[go: up one dir, main page]

TWI889560B - 物聯網資安檢測方法及物聯網資安檢測系統 - Google Patents

物聯網資安檢測方法及物聯網資安檢測系統 Download PDF

Info

Publication number
TWI889560B
TWI889560B TW113137359A TW113137359A TWI889560B TW I889560 B TWI889560 B TW I889560B TW 113137359 A TW113137359 A TW 113137359A TW 113137359 A TW113137359 A TW 113137359A TW I889560 B TWI889560 B TW I889560B
Authority
TW
Taiwan
Prior art keywords
test
information
question
data
information security
Prior art date
Application number
TW113137359A
Other languages
English (en)
Inventor
林宗億
徐漢宏
Original Assignee
耀睿科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 耀睿科技股份有限公司 filed Critical 耀睿科技股份有限公司
Priority to TW113137359A priority Critical patent/TWI889560B/zh
Application granted granted Critical
Publication of TWI889560B publication Critical patent/TWI889560B/zh

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本發明公開一種物聯網資安檢測方法及物聯網資安檢測系統。物聯網資安檢測方法包括以下步驟:載入標準法規資訊,標準法規資訊具有多個條件要求、多個測試項目及多個合規數據;輸入規格資訊;利用多個條件要求比對規格資訊以輸出對應的測試項目;通過被輸出的多個測試項目建立檢測清單;載入具有聲明數據的自我聲明資訊;依據檢測清單生成測試情境;帶入聲明數據至測試情境進行問題驗證,以確定是否存在問答關聯性;於問答關聯性不存在時產生修正回饋;傳送修正回饋至修正端,以對聲明數據進行修正;以及於問答關聯性存在時,帶入聲明數據至測試情境進行合規驗證,以確定聲明數據是否符合對應的合規數據。

Description

物聯網資安檢測方法及物聯網資安檢測系統
本發明涉及一種檢測方法,尤其涉及一種物聯網資安檢測方法及物聯網資安檢測系統。
為了確保物聯網設備的資訊安全,因此物聯網設備會通過資安法規(例如:EN303645、CNS16190)來進行檢驗。然而,現有檢測方法是通過人工方式來對物聯網設備進行選擇與判讀,從而針對物聯網設備提供資訊安全的報告,但這樣耗時且人力成本高。
於是,本發明人認為上述缺陷可改善,乃特潛心研究並配合科學原理的運用,終於提出一種設計合理且有效改善上述缺陷的本發明。
本發明所要解決的技術問題在於,針對現有技術的不足提供一種物聯網資安檢測方法及物聯網資安檢測系統。
本發明實施例公開一種物聯網資安檢測方法,應用於一檢測系統以用來檢測一待檢測設備,所述資安檢測方法包括以下步驟:載入一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據;輸入所述待檢測設備的一規格資訊;利用多個所述條件要求比對所述規格資訊,以輸出對應的所述測試項目;通過被輸出的多個所述測試項目建立具有至少一所述測試項目的一檢測清單;載入一自我聲明資訊,所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據;利用一大語言模型(LLM)依據所述檢測清單生成一測試情境;利用所述大語言模型將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性;於所述問答關聯性不存在時產生一修正回饋;傳送所述修正回饋至一修正端,使所述修正端對所述聲明數據進行修正;以及於所述問答關聯性存在時,利用所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
本發明實施例還公開一種物聯網資安檢測系統,用來檢測一待檢測設備,所述資安檢測系統包括:一資料庫,包含一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據;一前端介面能輸入一自我聲明資訊、以及對應所述待檢測設備的一規格資訊;一伺服器,連接所述資料庫及所述前端介面,所述伺服器利用多個所述條件要求比對所述規格資訊以輸出對應的所述測試項目至所述前端介面,使所述前端介面能被操作以建立具有至少一所述測試項目的一檢測清單,並且所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據;以及一大語言模型,連接所述伺服器,所述大語言模型能依據所述檢測清單生成一測試情境,並且將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性;當所述問答關聯性不存在時,所述大語言模型產生一修正回饋以傳送至一修正端,使所述修正端對所述聲明數據進行修正;當所述問答關聯性存在時,所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
綜上所述,本發明實施例所公開的物聯網資安檢測方法及物聯網資安檢測系統,能通過“利用所述大語言模型將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性”及“利用所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據”的設計,所述物聯網資安檢測方法及物聯網資安檢測系統能不通過人力即可確認所述待檢測設備是否符合資安法規。
為使能更進一步瞭解本發明的特徵及技術內容,請參閱以下有關本發明的詳細說明與圖式,然而所提供的圖式僅用於提供參考與說明,並非用來對本發明加以限制。
以下是通過特定的具體實施例來說明本發明所公開有關“物聯網資安檢測方法及物聯網資安檢測系統”的實施方式,本領域技術人員可由本說明書所公開的內容瞭解本發明的優點與效果。本發明可通過其他不同的具體實施例加以施行或應用,本說明書中的各項細節也可基於不同觀點與應用,在不悖離本發明的構思下進行各種修改與變更。另外,本發明的附圖僅為簡單示意說明,並非依實際尺寸的描繪,事先聲明。以下的實施方式將進一步詳細說明本發明的相關技術內容,但所公開的內容並非用以限制本發明的保護範圍。
應當可以理解的是,雖然本文中可能會使用到“第一”、“第二”、“第三”等術語來描述各種元件或者訊號,但這些元件或者訊號不應受這些術語的限制。這些術語主要是用以區分一元件與另一元件,或者一訊號與另一訊號。另外,本文中所使用的術語“或”,應視實際情況可能包括相關聯的列出項目中的任一個或者多個的組合。
另外,於以下說明中,如有指出請參閱特定圖式或是如特定圖式所示,其僅是用以強調於後續說明中,所述的相關內容大部份出現於該特定圖式中,但不限制該後續說明中僅可參考所述特定圖式。
[第一實施例]
參閱圖1所示,本實施例提供一種物聯網資安檢測方法,所述物聯網資安檢測方法應用於一檢測系統(例如:第二實施例的物聯網資安檢測系統)。所述物聯網資安檢測方法能用來檢測一待檢測設備(未繪示),並且所述待檢測設備於檢測過程中是通過一大語言模型(LLM)來進行,即可確認所述待檢測設備是否符合資訊安全的規定。其中,所述物聯網資安檢測方法於本實施例中包含步驟S101~S119,但本發明不以此為限制。於實務上,所述物聯網資安檢測方法可以視情況增加或調整步驟。接著,以下介紹所述物聯網資安檢測方法的各步驟。
步驟S101:載入一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據。
其中,所述標準法規資訊是指關於資訊安全的法規資訊,舉例來說,中華民國國家標準出版的“消費者物聯網之網宇安全:基準要求事項”(編號CNS16190)。此外,各所述條件要求是指於法規資訊中被定義的基準條件,並且各所述基準條件具有對應的一檢測事項(即,所述測試項目)。各所述合規數據是指用來驗證所述測試項目是否符合規定的具體數據。當然,所述標準法規資訊於實務上也可以是選用EN303645,本發明於此不特別限制所述標準法規資訊的使用。
步驟S103:輸入所述待檢測設備的一規格資訊。舉例來說,所述規格資訊可以例如是「具備身份驗證機制」。
步驟S105:利用多個所述條件要求比對所述規格資訊,以輸出對應的所述測試項目。舉例來說,所述規格資訊記載所述待測設備具有A功能、B功能、及C功能,所以,被輸出的多個所述測試項目是分別對應A功能、B功能、及C功能。
步驟S107:通過被輸出的多個所述測試項目建立具有至少一所述測試項目的一檢測清單。需說明的是,多個所述測試項目於實務上是包含必要性測試項目、建議性測試項目、及有條件性測試項目,所以所述檢測清單可以是包含至少一個所述測試項目。
舉例來說,被輸出的多個所述測試項目分別對應為必要性的A功能、建議性的B功能、與有條件性的C功能,因此所述檢測清單內的所述測試項目勢必會有一個對應A功能,對應為建議性B功能的所述測試項目則依據人員的選擇,對應為有條件性C功能的所述測試項目則依據「條件被滿足」而被系統做選擇。
步驟S109:載入一自我聲明資訊,所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據。
於實務上,所述待檢測設備的供應人員會上傳一份自我聲明書(即,所述自我聲明資訊),並且所述自我聲明書會針對所述檢測清單內各所述測試項目進行聲明。
步驟S111:利用一大語言模型(LLM)依據所述檢測清單生成一測試情境。
步驟S113:利用所述大語言模型將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性。
舉例來說,所述測試項目為:「如果使用密碼並且處於出廠預設設置以外的任何狀態,則所有消費者物聯網設備密碼應為每個設備獨有的或由用戶定義」,所述大語言模型會依據所述測試項目的語意建立為:「當使用密碼且處於出廠預設值(例如「admin」)以外的任何狀態時,所有消費者物聯網裝置密碼應符合下列其中一項:(一)每個設備都是唯一的;(二)由使用者定義,請詳細說明密碼是如何建立的」的測試情境。
假設所述聲明數據為:「使用者密碼透過wizard由使用者設定且與MAC Address/SN無相關性,且無法反算或暴力計算」,所述大語言模型能導入所述聲明數據至所述測試情境中進行語意關係判斷,從而確定所述聲明數據是否回應所述測試情境之問題(即,所述問答關聯性)。
值得注意的是,為了確保所述大語言模型能準確地進行所述問題驗證,本發明的所述物聯網資安檢測方法可以利用為關聯於批判角度的一提示詞對所述大語言模型要求進行所述問題驗證。
舉例來說,以Python程式語言對所述大語言模型來說,可以是以下列代碼方式來實現:「merged_data = "用一個批判的角度去判斷這個測試項目,問題是:" + str(TestCase.question) + "\n\n答案是:" + str(TestCase.answer) + "\n\n理由:" + "\n結果:\n只需要回答通過或不通過不用其他的說明"」,其中,TestCase.question為所述測試情境,TestCase.answer為所述聲明數據。
步驟S115:於所述問答關聯性不存在時產生一修正回饋。
步驟S117:傳送所述修正回饋至一修正端,使所述修正端對所述聲明數據進行修正。其中,當所述聲明數據被修正後,再次執行步驟S113。
舉例來說,當所述聲明數據的語意無關於所述測試情境的問題(即,所述聲明數據相對於所述測試項目發生答非所問之情形),所述修正端被發出,使人員依據對應所述測試項目的所述聲明數據進行修正,直至所述聲明數據的語意與所述測試情境的問題產生所述問答關聯性。
步驟S119:於所述問答關聯性存在時,利用所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
也就是說,當所述聲明數據的語意與所述測試情境的問題產生所述問答關聯性時,所述大語言模型會再次判讀所述聲明數據的語意在所述測試情境的問題依據所述合規數據是否正確。
於實務上,完成步驟S119時,所述物聯網資安檢測方法能輸出所述待檢測設備於所述標準法規資訊下的檢測報告。
[第二實施例]
參閱圖2所示,本實施例提供一種物聯網資安檢測系統100,所述物聯網資安檢測系統100是採用或執行第一實施例的所述物聯網資安檢測方法。因此,所述物聯網資安檢測系統100各元件關聯於所述物聯網資安檢測方法的細節則不特別贅述。
其中,所述物聯網資安檢測系統100包含一資料庫1、一前端介面2、連接所述資料庫1及所述前端介面2的一伺服器3、以及一大語言模型4。接著,以下介紹所述物聯網資安檢測系統100的各元件及其連接關係。
所述資料庫1包含一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據。於實務上,所述標準法規資訊可以是預先儲存、或是即時地由雲端取得,並且所述標準法規資訊不限於單一特定來源。
所述前端介面2能輸入一自我聲明資訊、以及對應所述待檢測設備的一規格資訊。其中,所述前端介面2可以是通過電腦設備或其他電子裝置使用,但本發明不以此為限制。
所述伺服器3利用多個所述條件要求比對所述規格資訊以輸出對應的所述測試項目至所述前端介面,使所述前端介面能被操作以建立具有至少一所述測試項目的一檢測清單,並且所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據。
所述大語言模型4能依據所述檢測清單生成一測試情境,並且將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性。
當所述問答關聯性不存在時,所述大語言模型4產生一修正回饋以傳送至一修正端(例如:所述前端介面2),使所述修正端對所述聲明數據進行修正。
當所述問答關聯性存在時,所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
[本發明實施例的技術效果]
綜上所述,本發明實施例所公開的物聯網資安檢測方法及物聯網資安檢測系統,能通過“利用所述大語言模型將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性”及“利用所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據”的設計,所述物聯網資安檢測方法及物聯網資安檢測系統能不通過人力即可確認所述待檢測設備是否符合資安法規。
以上所公開的內容僅為本發明的優選可行實施例,並非因此侷限本發明的申請專利範圍,所以凡是運用本發明說明書及圖式內容所做的等效技術變化,均包含於本發明的申請專利範圍內。
S101~S119:步驟 100:物聯網資安檢測系統 1:資料庫 2:前端介面 3:伺服器 4:大語言模型
圖1為本發明的第一實施例的物聯網資安檢測方法的步驟流程示意圖。
圖2為本發明的第二實施例的物聯網資安檢測系統的電路方塊示意圖。
S101~S119:步驟

Claims (4)

  1. 一種物聯網資安檢測方法,應用於一檢測系統以用來檢測一待檢測設備,所述資安檢測方法包括以下步驟: 載入一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據; 輸入所述待檢測設備的一規格資訊; 利用多個所述條件要求比對所述規格資訊,以輸出對應的所述測試項目; 通過被輸出的多個所述測試項目建立具有至少一所述測試項目的一檢測清單; 載入一自我聲明資訊,所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據; 利用一大語言模型(LLM)依據所述檢測清單生成一測試情境; 利用所述大語言模型將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性; 於所述問答關聯性不存在時產生一修正回饋; 傳送所述修正回饋至一修正端,使所述修正端對所述聲明數據進行修正;以及 於所述問答關聯性存在時,利用所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
  2. 如請求項1所述的物聯網資安檢測方法,其中,利用為關聯於批判角度的一提示詞對所述大語言模型要求進行所述問題驗證。
  3. 一種物聯網資安檢測系統,用來檢測一待檢測設備,所述資安檢測系統包括: 一資料庫,包含一標準法規資訊,所述標準法規資訊具有多個條件要求、對應多個所述條件要求的多個測試項目、以及匹配多個所述測試項目的多個合規數據; 一前端介面,能輸入一自我聲明資訊、以及對應所述待檢測設備的一規格資訊; 一伺服器,連接所述資料庫及所述前端介面,所述伺服器利用多個所述條件要求比對所述規格資訊以輸出對應的所述測試項目至所述前端介面,使所述前端介面能被操作以建立具有至少一所述測試項目的一檢測清單,並且所述自我聲明資訊具有對應於所述檢測清單中的所述測試項目的一聲明數據;以及 一大語言模型,連接所述伺服器,所述大語言模型能依據所述檢測清單生成一測試情境,並且將所述聲明數據帶入所述測試情境進行一問題驗證,以確定所述聲明數據與所述測試情境之間是否存在一問答關聯性; 當所述問答關聯性不存在時,所述大語言模型產生一修正回饋以傳送至一修正端,使所述修正端對所述聲明數據進行修正; 當所述問答關聯性存在時,所述大語言模型將所述聲明數據帶入所述測試情境進行一合規驗證,以確定所述聲明數據於所述測試情境中是否符合對應的所述合規數據。
  4. 如請求項3所述的物聯網資安檢測系統,其中,所述大語言模型依據關聯於批判角度的一提示詞進行所述問題驗證。
TW113137359A 2024-09-30 2024-09-30 物聯網資安檢測方法及物聯網資安檢測系統 TWI889560B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW113137359A TWI889560B (zh) 2024-09-30 2024-09-30 物聯網資安檢測方法及物聯網資安檢測系統

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW113137359A TWI889560B (zh) 2024-09-30 2024-09-30 物聯網資安檢測方法及物聯網資安檢測系統

Publications (1)

Publication Number Publication Date
TWI889560B true TWI889560B (zh) 2025-07-01

Family

ID=97227894

Family Applications (1)

Application Number Title Priority Date Filing Date
TW113137359A TWI889560B (zh) 2024-09-30 2024-09-30 物聯網資安檢測方法及物聯網資安檢測系統

Country Status (1)

Country Link
TW (1) TWI889560B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10402546B1 (en) * 2011-10-11 2019-09-03 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
CN113302638A (zh) * 2018-10-29 2021-08-24 强力交易投资组合2018有限公司 用于改进自动执行能源、计算、存储和其他资源的现货和远期市场中的分布式账本和其他交易的机器和系统的方法和系统
TW202305633A (zh) * 2021-07-20 2023-02-01 奧義智慧科技股份有限公司 具有自適應叢集化功能的日誌分類裝置與相關的電腦程式產品

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10402546B1 (en) * 2011-10-11 2019-09-03 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
CN113302638A (zh) * 2018-10-29 2021-08-24 强力交易投资组合2018有限公司 用于改进自动执行能源、计算、存储和其他资源的现货和远期市场中的分布式账本和其他交易的机器和系统的方法和系统
TW202305633A (zh) * 2021-07-20 2023-02-01 奧義智慧科技股份有限公司 具有自適應叢集化功能的日誌分類裝置與相關的電腦程式產品
TW202305632A (zh) * 2021-07-20 2023-02-01 奧義智慧科技股份有限公司 用於輔助入侵偵測的資安事件診斷系統與相關的電腦程式產品

Similar Documents

Publication Publication Date Title
CN107657177B (zh) 一种漏洞检测方法及装置
Rahman et al. Share, but be aware: Security smells in python gists
CN105141647B (zh) 一种检测Web应用的方法和系统
CN104462983B (zh) 一种php源代码处理方法及系统
CN118036009A (zh) 处理安全漏洞的方法、装置及电子设备
KR20200074715A (ko) 검증용 주석 처리 작업을 이용한 실전용 주석 처리 작업의 검증 방법 및 장치
US9268944B2 (en) System and method for sampling based source code security audit
TWI889560B (zh) 物聯網資安檢測方法及物聯網資安檢測系統
CN113094281B (zh) 一种混合式App的测试方法及装置
KR102111392B1 (ko) 테스트 통합 관리시스템 및 그 제어방법
CN106933888A (zh) 数据库配置管理系统
CN113037526B (zh) 一种安全检测方法、终端、系统及存储介质
WO2025171772A1 (zh) 接口自动化测试方法、装置、电子设备及存储介质
CN110874475A (zh) 漏洞挖掘方法、漏洞挖掘平台及计算机可读存储介质
WO2017092391A1 (zh) 一种中间库虚拟控制测试方法及其系统
CN115144716B (zh) 一种探针台ocr识别结果的修正方法及系统
CN110704307A (zh) 应用产品的测试方法、装置、用户设备及计算机存储介质
CN105404543A (zh) 一种模拟机
CN110633204B (zh) 一种程序缺陷检测方法及装置
CN117112435A (zh) 一种漏洞联动检测结果的融合方法、存储介质及电子设备
CN117194259A (zh) 接口测试方法、系统、电子设备及存储介质
CN116757642A (zh) 一种作业审核方法、装置及设备
Tsahat et al. Software testing and its aspects
CN114705936A (zh) 一种产品状态判定方法、装置、设备及存储介质
CN117709858B (zh) 基于ai的多金属供应商准入数据校验方法、装置及设备