随着全球能源转型加速，智能电网(Smart Grid, SG)通过整合信息通信技术(ICT)实现了电力系统的智能化升级。然而，这种变革也带来了新的安全挑战——乌克兰电网大停电、Aurora攻击等事件表明，传统集中于中央控制系统的防护已无法应对新型威胁。更令人担忧的是，近年来出现的"物联网需求操纵"(Manipulation of Demand via IoT, MadIoT)攻击，通过协调控制高功率物联网设备制造供需失衡，可能导致大规模停电。尽管智能电表、逆变器等边缘设备是电网数字化转型的关键节点，但其采用的近场通信(Near-Field Communication, NFN)协议和固件却长期缺乏系统性安全研究。

国网江苏省电力有限公司电力科学研究院的研究团队在《Array》发表的研究，首次构建了针对SG边缘设备的"三位一体"安全检测框架。该研究通过逆向工程解构设备固件、利用大语言模型解析通信协议语义，并开发基于AFL-Netzob的状态感知模糊测试技术，在真实电网场景中发现了6个关键漏洞，将模糊测试效率提升至传统方法的2倍。

研究主要采用三大核心技术：一是基于Ghidra的固件逆向分析与QEMU仿真环境构建技术，实现对ARM Cortex-M等架构的指令级行为重建；二是采用LLaMA、GPT-3.5等大模型进行协议语法推理，通过52,000条协议消息训练实现63.5%的异常检测准确率；三是整合Netzob协议建模的AFL变异引擎，支持字节级(如0×00边界值注入)和消息序列级(如握手协议重排序)双重变异策略。

攻击面分析

通过逆向工程解构智能电表固件，研究人员在ARM Cortex-M架构中发现未经验证的NFN命令处理函数。QEMU仿真实验显示，注入超长NDEF消息可触发内存崩溃，而UART维护端口存在未授权AT命令执行风险。

LLM协议分析

比较实验表明，经PEFT微调的LLaMA模型对ZigBee帧控制字段(Frame Control Field, FCF)的识别准确率提升18.8%，生成的协议模板使后续模糊测试有效载荷合规性提高61.2%。

模糊测试验证

在ProFTPD等真实固件测试中，AFL-Netzob发现的崩溃数量是Boofuzz的3倍，且首次暴露了OpenSSH在LoRaWAN MAC层状态机中的序列混淆漏洞。

这项研究的意义在于突破了传统安全检测方法的三大局限：通过固件仿真解决了硬件依赖性问题，利用LLM语义理解克服了协议逆向工程的高成本瓶颈，创新性的状态感知调度算法则显著提升了模糊测试的路径覆盖率。特别是提出的"协议语法保持变异"策略，在确保测试用例语义有效性的同时，仍能触发深层状态机错误，为关键信息基础设施的主动防御提供了新范式。未来，该框架可扩展应用于工业物联网(IIoT)和车联网(V2X)等边缘计算场景，但其在5G URLLC(超可靠低时延通信)等实时协议中的适应性仍需进一步验证。