[发明专利]工控网络漏洞挖掘方法、装置及系统

说明书

技术领域

本发明实施例涉及计算机网络安全技术领域，具体涉及一种工控网络漏洞挖掘方法、装置及系统。

背景技术

工业控制网络(以下简称“工控网络”)安全漏洞是在其生命周期的各个阶段(设计、实现、运维等过程)中引入的某类问题，比如设计阶段引入的一个设计的非常容易被破解的加密算法，实现阶段引入的一个代码缓冲区溢出问题，运维阶段的一个错误的安全配置，这些都有可能最终成为工控网络安全漏洞，这些漏洞会对工控网络的安全(可用性、完整性、机密性)产生严重影响。

近年来，工控系统强调开放性，在网络中大量引入通用的IT产品，如Windows操作系统、关系数据库等，并广泛使用以太网和TCP/IP协议，在降低成本和简化集成的同时将大量IT漏洞引入了工控网络。同时，大部分的工控网络应用层协议和现场总线协议，广泛使用MODBUS/TCP、CAN等明码传输协议，存在没有严格的身份识别，报文很容易被伪造等无法避免的脆弱性。因此，由相对封闭的专用计算机和网络体系发展而来的工控网络系统，安全的薄弱的环节几乎来自于各方各面，特别对于大型SCADA系统，设备分散安装，部分采用公网和无线网络，更容易受到利用漏洞的攻击，严重的攻击后果可以使系统网络完全瘫痪，造成工业过程失控或装置停机。

工控网络具有非常鲜明的特点，首先是封闭性，SCADA、DCS等控制系统和PLC等控制设备在设计之初就没有考虑完善的安全机制；其次是复杂性，工控网络常见的总线协议和应用层协议有几十种，不但每种通信协议的数据接口不完全相同，这些协议的规约实现也不相同；最后是不可改变性，工控网络很难进行改造和补丁升级。综合以上，传统信息安全的测试技术和设备不适合工控网络。具体来说，当前我国相关机构对工控网络安全漏洞进行检测的手段是比较局限的，具体体现在：

现有的端口服务扫描、漏洞特征扫描等技术对漏洞库的依赖较大，但公开的工控网络安全漏洞库信息很少，导致无法实现深入、全面的检测；

基于公开漏洞的扫描技术和机制无法有效发现未知漏洞，同时在时间上永远滞后于攻击者利用的未知漏洞；

缺乏针对性检测工具，无法有效证明工控设备上的潜在漏洞是否存在。

发明内容

本发明实施例的一个目的是解决现有的漏洞检测技术依赖于公开的漏洞库，导致检测范围较小，而且无法检测到未知、潜在的漏洞的问题。

本发明实施例提出了一种工控网络漏洞挖掘方法，包括：

获取工控网络中待测设备的IP地址；

根据所述IP地址获取所述待测设备的属性信息；

根据所述属性信息获取至少一个测试用例；

发送所述至少一个测试用例至所述待测设备，并获取所述待测设备响应所述至少一个测试用例生成的反应数据；

根据所述至少一个测试用例和所述反应数据判断所述待测设备是否有异常。

可选的，在运行所述至少一个测试用例之前，所述方法还包括：

根据所述待测设备的属性信息获取测试口的IP地址；

通过所述测试口的IP地址与所述待测设备建立通信数据链。

可选的，所述根据所述IP地址获取所述待测设备的属性信息的步骤具体包括：

对所述待测设备的IP地址进行设备指纹识别处理，获取所述待测设备的属性信息。

可选的，所述根据所述属性信息获取至少一个测试用例的步骤具体包括：

根据所述基础信息从预建立测试用例库中获取至少一个测试用例，所述预建立测试用例库中存储有待测设备的属性信息与测试用例的对应关系。

可选的，所述至少一个测试用例中携带有测试输入数据和期望输出数据；所述反应数据为所述待测设备以所述测试输入数据为输入输出的；

相应地，所述根据所述至少一个测试用例和所述反应数据判断所述待测设备是否有异常的步骤具体包括：

对比所述期望输出数据和所述反应数据，若对比获知所述反应数据中未携带有所述期望输出数据，则确认所述待测设备发生异常。

可选的，若判断获知所述待测设备发生异常，则根据对比结果生成测试报告。

可选的，在获取工控网络中待测设备的IP地址的步骤之前，所述方法还包括：

获取所述工控网络的历史异常数据；

对所述历史异常数据进行分析，获取所述工控网络中各工控设备发生异常的概率；

根据各工控设备发生异常的概率和预设筛选规则对各待测设备进行筛选，获取待测设备组；

相应地，所述获取工控网络中待测设备的IP地址的步骤具体包括：