[发明专利]一种漏洞挖掘方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，更具体的说，是涉及一种漏洞挖掘方法及系统。

背景技术

工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统，目前已经发展成为一种包括企业管理层、数据采集信息层、工业控制层的工业控制系统。随着计算机信息技术与网络技术的不断发展，工业控制系统在节约管理成本及提高工作效率的同时，也存在许多安全隐患，如平台漏洞、网络漏洞等。

为了保证工业控制系统的网络及系统安全，需要防患于未然，对工业控制系统进行主动的漏洞挖掘。模糊测试技术是目前主流的漏洞挖掘技术，其实现装置一般包括初始设置模块、数据生成子系统、数据收发子系统和异常分析子系统。其中，初始设置模块用于进行各子系统所必须的初始化；数据生成子系统用于根据协议的表达规范生成测试用例数据；数据收发子系统用于根据协议的通信规范把测试用例数据发送至被测对象并接收其反馈信息即通信返回包；异常分析子系统用于对通信返回包进行分析以实现漏洞挖掘。

但是，通过分析通信返回包中的信息，很多漏洞是发现不了的，且工业控制系统中网络协议的复杂性和业务的多样性，进一步增加了异常分析子系统从通信返回包中发现漏洞的难度。这些问题导致现有技术对工业控制系统进行漏洞挖掘的效果不理想。

发明内容

有鉴于此，本发明提供了一种漏洞挖掘方法及系统，以提升工业控制系统漏洞挖掘的效果。

一种漏洞挖掘方法，包括：

在向被测系统发送测试用例后，采集监控对象的状态图像；

将所述状态图像与预存图像进行比对；

根据比对结果确定工业控制系统是否存在异常状态；

在确定存在异常状态的情况下，分析确定异常原因。

可选的，所述采集监控对象的状态图像，包括：

根据向被测系统发送测试用例的频率采集监控对象的状态图像。

可选的，在所述将所述状态图像与预存图像进行比对之前，还包括：

对所述状态图像进行预处理。

可选的，所述将所述状态图像与预存图像进行比对，包括：

将所述状态图像进行灰度化处理，得到灰度状态图像；

将所述灰度状态图像与预存的正常灰度图像进行比对。

可选的，所述根据比对结果确定工业控制系统是否存在异常状态，包括：

若所述灰度状态图像与预存的正常灰度图像的灰度值差值小于第一预设阈值，确定工业控制系统正常；

若所述灰度状态图像与预存的正常灰度图像的灰度值差值大于或等于第一预设阈值，确定工业控制系统异常。

可选的，所述将所述状态图像与预存图像进行比对，包括：

根据所述状态图像中事物的特征指标构建神经网络学习模型；

通过对所述神经网络的机器学习确定所有特征指标的权重值；

根据各个特征指标的权重值确定所述状态图像的目标数值；

将所述目标数值与第二预设阈值进行比对。

可选的，所述根据比对结果确定工业控制系统是否存在异常状态，包括：

若所述目标数值小于所述第二预设阈值，确定工业控制系统异常；

若所述目标数值大于或等于所述第二预设阈值，确定工业控制系统正常。

可选的，所述监控对象包括设备信号灯和上位机屏幕，则所述在确定存在异常状态的情况下，分析确定异常原因，包括：

在确定存在异常状态的情况下，通过将所述设备信号灯的状态图像与预存的信号灯异常图像比较确定异常原因；或，

通过对上位机屏幕的状态图像中的文字进行识别处理，分析确定异常原因。

一种漏洞挖掘系统，包括初始设置模块、数据生成系统、数据收发系统和异常分析系统，所述异常分析系统包括：

图像采集模块，用于在向被测系统发送测试用例后，采集监控对象的状态图像；

异常现象判断模块，用于将所述状态图像与预存图像进行比对，并根据比对结果确定工业控制系统是否存在异常状态；

异常原因确定模块，用于在所述异常现象判断模块的判断结果为是的情况下，分析确定异常原因。

可选的，所述异常分析系统还包括：

初始化模块，用于对所述异常分析系统进行初始化。

可选的，所述异常分析系统还包括：

图像预处理模块，用于在所述异常现象判断模块对所述状态图像进行判断之前，对所述状态图像进行预处理。