CN106131041A - 一种工控网络安全检测装置和未知漏洞检测方法 - Google Patents
一种工控网络安全检测装置和未知漏洞检测方法 Download PDFInfo
- Publication number
- CN106131041A CN106131041A CN201610619256.XA CN201610619256A CN106131041A CN 106131041 A CN106131041 A CN 106131041A CN 201610619256 A CN201610619256 A CN 201610619256A CN 106131041 A CN106131041 A CN 106131041A
- Authority
- CN
- China
- Prior art keywords
- test
- industry control
- communication unit
- leak
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 99
- 238000012360 testing method Methods 0.000 claims abstract description 122
- 238000004891 communication Methods 0.000 claims abstract description 43
- 238000003860 storage Methods 0.000 claims abstract description 20
- 238000000034 method Methods 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 22
- 238000009412 basement excavation Methods 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000011160 research Methods 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 5
- 238000007405 data analysis Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000005764 inhibitory process Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 201000004569 Blindness Diseases 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种工控网络安全检测装置和未知漏洞检测方法,该装置包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;电源模块分别与处理器、存储器和通信单元供电;存储器中存储有网络安全检测漏洞数据库和检测规则数据库;处理器控制安全扫描单元调用存储器中存储的检测规则通过通信单元向与通信单元连接的被测终端发送漏洞安全检测数据;通信单元接收被测终端的反馈信息并传送至处理器,处理器控制安全扫描单元根据安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将漏洞信息存储到存储器中。本发明通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种工控网络安全检测装置和未知漏洞检测方法。
背景技术
工业控制网络(以下简称“工控网络”)安全漏洞是在其生命周期的各个阶段(设计、实现、运维等过程)中引入的某类问题。比如设计阶段引入的非常容易被破解的加密算法,实现阶段引入的一个代码缓冲区溢出问题,运维阶段的一个错误的安全配置。这些都有可能最终成为工控网络安全漏洞,这些漏洞会对工控网络的安全(可用性、完整性、机密性)产生严重影响。
近年来,工控***强调开放性,在网络中大量引入通用的IT产品,如Windows操作***、关系数据库等,并广泛使用以太网和TCP/IP协议,在降低成本和简化集成的同时将大量IT漏洞引入了工控网络。同时,大部分的工控网络应用层协议和现场总线协议,广泛使用MODBUS/TCP、CAN等明码传输协议,存在没有严格的身份识别,报文很容易被伪造等无法避免的脆弱性。因此,由相对封闭的专用计算机和网络体系发展而来的工控网络***,安全的薄弱的环节几乎来自于各方各面,特别对于大型SCADA***,设备分散安装,部分采用公网和无线网络,更容易受到利用漏洞的攻击,严重的攻击后果可以使***网络完全瘫痪,造成工业过程失控或装置停机。
工控网络具有非常鲜明的特点,当前工控网络安全漏洞进行检测的手段是比较局限的,具体体现在:现有检测手段仅针对工控网络内的***服务器和通用IT设备,无法触及亟待保护的核心工控设备;现有的端口服务扫描、漏洞特征扫描等技术对漏洞库的依赖较大,但公开的工控网络安全漏洞库信息很少,导致无法实现深入、全面的检测;
基于公开漏洞的扫描技术和机制无法有效发现未知漏洞,同时在时间上永远滞后于攻击者利用的未知漏洞。
发明内容
要解决的技术问题,如何检测工控设备的安全性。
针对现有技术中的缺陷,本发明实施例提供一种工控网络安全检测装置,包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;
所述电源模块分别与所述处理器、存储器和通信单元供电;
所述存储器中存储有网络安全检测漏洞数据库和检测规则数据库;
所述处理器控制所述安全扫描单元调用所述存储器中存储的检测规则通过所述通信单元向与所述通信单元连接的被测终端发送漏洞安全检测数据;
所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到所述存储器中。
可选地,还包括:
与所述通信单元连接的客户端装置;
所述客户端用于通过所述通信单元向所述处理器发送漏洞检测控制命令;
还用于通过所述通信单元接收所述处理器处理的漏洞信息并显示。
可选地,所述通信单元包括以太网接口、串口和/或总线接口。
可选地,还所述通信单元还包括存储扩展单元,所述存储扩展单元与所述处理器连接;
所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到存储扩展单元。
可选地,所述通过存储扩展单元是SD卡存读取装置。
可选地,所述被测设备包括工控安全设备、工控控制***和工控设备。
可选地,还包括与所述处理器连接的显示装置,所述显示装置用时显示所述网络安全检测的状态信息。
一种未知漏洞检测方法,用于上述的工控网络安全检测装置包括:
连接被检测设备;
配置未知漏洞检测装置;
对被检测设备和漏洞检测设备的连接性测试;
向被检测设备发送测试数据执行测试,得到测试数据;
分析监测数据并输出检测结果。
可选地,所述配置未知漏洞检测装置包括:
根据被测设备或***使用的工控协议进行测试用例选取;
选择要进行模糊测试变异的数据内容进行建模。
可选地,所述对被检测设备和漏洞检测设备的连接性测试包括:
漏洞挖掘引擎会根据相关协议进行深度报文解析,解析其中需要变异的字段,并通过测试报文生成模块进行测试相关数据生成,同时根据模块中建模不断对其中需要变化的数据通过测试报文变形模块进行变形,然后输出给被测目标工业控制设备及***。
可选地,所述向被检测设备发送测试数据执行测试,得到测试数据包括:
根据监视的异常告警情况进行数据解析和异常分析判断是否由于测试报文导致被测目标产生异常从而分析其是否存在未知漏洞;
并通过数据分析引擎模块分析发送的测试数据以及该测试数据造成被测目标异常情况进行分析得出相关未知漏洞及漏洞原因。
可选地,所述分析监测数据并输出检测结果包括:
根据数据分析结果进行结果汇总、展示和报告,通过报告生成引擎自动化形成定制化漏洞挖掘检测报告。
由上述技术方案可知,本发明实施例提供的工控网络安全检测装置通,过对“疑似漏洞”的所有相关信息的细节进行深入分析,重复进行针对性的测试,明确“疑似漏洞”的真实性,最后在出错数据包中精确定位,并可以将发现的“疑似漏洞”保存至漏洞库中进行管理。通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。一方面可以用来检测工控网络的安全性,挖掘未知漏洞;另一方面可以作为模拟的恶意攻击方,检验保护设备能否起到作用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明实施例的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一个实施例中一种工控网络安全检测装置的结构示意图;
图2为本发明实施例一个实施例中一种工控网络安全检测装置示意图;
图3为本发明实施例一个实施例中一种工控网络安全检测装置示意图;
图4为本发明实施例一个实施例中一种工控网络安全检测装置示意图;
图5为本发明实施例一个实施例中一种未知漏洞检测方法流程示意图;
图6为本发明实施例一个实施例中一种未知漏洞检测方法流程示意图
图7为本发明实施例一个实施例中一种未知漏洞检测方法原理示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种工控网络安全检测装置,如图1-图3所示,本工控网络安全检测装置包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;所述电源模块分别与所述处理器、存储器和通信单元供电;所述存储器中存储有网络安全检测漏洞数据库和检测规则数据库;所述处理器控制所述安全扫描单元调用所述存储器中存储的检测规则通过所述通信单元向与所述通信单元连接的被测终端发送漏洞安全检测数据;所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到所述存储器中。下面对本发明实施例和提供的工控网络安全检测装置展开详细的说明。
在本发明实施例中,如图2所示,为了进一步方便用户配置本工控网络安全检测装置,使本工控网络安全检测装置的安全检测过程可视化,工控网络安全检测装置,还包括:与所述通信单元连接的客户端装置;所述客户端用于通过所述通信单元向所述处理器发送漏洞检测控制命令;还用于通过所述通信单元接收所述处理器处理的漏洞信息并显示。在本发明实施例中,该客户端装置可以配置工控网络安全检测装置的检测参数。例如,该客户端装置可以通过点对点直连方式,将漏洞挖掘检测平台与被测设备或***进行连接,可以对配置工控网络安全检测装置、选择用例、运行测试等操作。
如图3所示,本发明实施例提供的工控网络安全检测装置中,所述通信单元包括以太网接口、串口和/或总线接口。为了能保证同一个工控网络安全检测装置同时连接多个被测终端,通信单元的以太网端口为多个。多个以太网端口可以同时连接多台工控安全设备、工控控制***和工控设备。实现了一台设备可以同时多人处理,检测多台工控安全设备、多个工控控制***和多个工控设备,节约逐个检测的时间,也可以避免每个工控设备都配置一台工控网络安全检测装置,造成资源浪费的问题。
如图3所示,在本发明实施例中,工控网络安全检测装置中,通信单元还包括存储扩展单元,所述存储扩展单元与所述处理器连接;所述所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到存储扩展单元。通过存储扩展单元可以在对被检测设备检测结束后的漏洞信息存储并随时转移。存储扩展单元优选是SD卡存读取装置。
如图4所示,在本发明实施例中,工控网络安全检测装置中,还包括与所述处理器连接的显示装置,所述显示装置用时显示所述网络安全检测的状态信息。显示装置用于通过通信单元连接。
在本发明实施例中工控网络安全检测装置可以参考现有的平台以低成本开发实现,当然也可以为了提高用户体验单独开发。最后需要说明的是,在本发明实施例中如果涉及到计算机程序及相应的方法均是直接应用了现有的比较成熟的方法实现,不涉及计算机程序等方法的改进,例如本发明实施例中涉及到的编码、解码、加密解密、验证等方法均能通过现有的方法实现。
为了进一步体现本发明提供的工控网络安全检测装置的优越性,本发明提供一种未知漏洞检测方法,应用于上述的工控网络安全检测装置,如图5所示,该方法包括:连接被检测设备;配置未知漏洞检测装置;对被检测设备和漏洞检测设备的连接性测试;向被检测设备发送测试数据执行测试,得到测试数据;分析监测数据并输出检测结果。下面对本发明提供的未知漏洞检测方法展开详细的说明。
对工控网络未知安全漏洞进行挖掘需要基于工控协议的模糊测试技术,通过对工控网络中的设备和***进行智能模糊测试来发现。
运用模糊测试的原理,设计测试用例并构造变异报文,检测工控协议实现的缺陷。
通过点对点直连方式,将漏洞挖掘检测平台与被测设备或***进行连接,经过配置、选择用例、运行测试、监测异常、结果分析等步骤,在强大自定义测试引擎的基础上,综合运用各种测试方法和脚本,向被测对象提供非预期的随机或用户自定义输入并监控输出中的异常来发现其潜在缺陷和故障。优化后的自动化模糊测试引擎不仅仅只关注协议和软件的边界值,同时还会关心任何能够触发未定义或是不安全行为的输入数据。
如图6、图7所示,测试过程中,基于高效的智能模糊测试和攻击测试等自动化测试方法,自动生成测试用例列表,并在测试列表运行时可以实时监控和进行管理,能够高效的完成复杂测试。丰富的测试监视器,包含底层通信(ICMP、ARP、链路状态),高层通讯(TCP和UDP端口),控制信号(离散、模拟),能够随时监视测试用例执行情况和相关漏洞检测结果。测试完成即可生成“正常”、“疑似漏洞”“、“其他”等测试结果,并可对“疑似漏洞”的测试结果进行漏洞标识,关联所有相关信息,并对漏洞名称、危险等级和描述等信息进行编辑,保存至漏洞库作为漏洞析的依据。
同时,通过对“疑似漏洞”的所有相关信息的细节进行深入分析,重复进行针对性的测试,明确“疑似漏洞”的真实性,最后在出错数据包中精确定位,并可以将发现的“疑似漏洞”保存至漏洞库中进行管理。通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。
根据漏洞分析的结果,利用漏洞挖掘检测平台提供的开发工具可以进行一系列的衍生开发。包括新的测试用例,测试脚本,测试/攻击套件,并且可以对衍生开发的结果进行漏洞测试用例、脚本测试检验。
具体地,所述配置未知漏洞检测装置包括:
根据被测设备或***使用的工控协议进行测试用例选取;
选择要进行模糊测试变异的数据内容进行建模。
输入数据模块:根据被测设备或***使用的工控协议进行测试用例选取,数据模块即选择要进行模糊测试变异的数据内容进行建模。状态模型即根据相应的协议中需要采用的状态机进行状态建模。测试参数即测试用例中比如变化次数、端口等参数的设置。
所述对被检测设备和漏洞检测设备的连接性测试包括:
漏洞挖掘引擎会根据相关协议进行深度报文解析,解析其中需要变异的字段,并通过测试报文生成模块进行测试相关数据生成,同时根据模块中建模不断对其中需要变化的数据通过测试报文变形模块进行变形,然后输出给被测目标工业控制设备及***。
具体地,输入数据输入后,漏洞挖掘引擎会根据相关协议进行深度报文解析,解析其中需要变异的字段,并通过测试报文生成模块进行测试相关数据生成,同时根据模块中建模不断对其中需要变化的数据通过测试报文变形模块进行变形,然后输出给被测目标工业控制设备及***。
向被检测设备发送测试数据执行测试,得到测试数据包括:
根据监视的异常告警情况进行数据解析和异常分析判断是否由于测试报文导致被测目标产生异常从而分析其是否存在未知漏洞;
并通过数据分析引擎模块分析发送的测试数据以及该测试数据造成被测目标异常情况进行分析得出相关未知漏洞及漏洞原因。
被测目标工业控制设备及***收到测试报文后会对其进行响应,响应会在监视器中进行显示,监视被测目标的设备是否还存活、端口是否还开放、服务是否还存在以及其逻辑输出是否符合预期等。
根据监视的异常告警情况进行数据解析和异常分析判断是否由于测试报文导致被测目标产生异常从而分析其是否存在未知漏洞。并通过数据分析引擎模块分析发送的测试数据以及该测试数据造成被测目标异常情况进行分析得出相关未知漏洞及漏洞原因。
所述分析监测数据并输出检测结果包括:
根据数据分析结果进行结果汇总、展示和报告,通过报告生成引擎自动化形成定制化漏洞挖掘检测报告。
本工控网络安全检测装置提供了操作、监视、管理整个漏洞挖掘测试过程的功能。测试过程中,基于高效的智能模糊测试和攻击测试等自动化测试方法,自动生成测试用例列表,并在测试列表运行时可以实时监控和进行管理,能够高效的完成复杂测试。丰富的测试监视器,包含底层通信(ICMP、ARP、链路状态),高层通讯(TCP和UDP端口),控制信号(离散、模拟),能够随时监视测试用例执行情况和结果。测试完成即可生成“正常”、“疑似漏洞”、“其他”等测试结果,并可对“疑似漏洞”的测试结果进行漏洞标识,关联所有相关信息,并对漏洞名称、危险等级和描述等信息进行编辑,保存至本机漏洞库作为漏洞析的依据。
未知漏洞挖掘则主要通过各类基于生成的模糊(fuzzing)测试用引擎,具体包括:
(1)基于工控协议的语法模糊测试
语法模糊测试基于工控协议实现(协议规范定义)的报文语法,在给定变量初始化文件的前提下,生成递归定义的测试用例语法描述,根据交互语义生成有序的一系列测试用例,有意将畸形的语法注入到测试报文,或者对合法的报文进行变异,从而试图触发协议实现中有缺陷的代码,导致协议规范中定义的正常操作流程遭到干扰或破坏。
(2)基于工控协议的智能模糊测试
创新的智能模糊测试引擎基于各类工控协议的规约来构建模型,在深入理解各个工控协议规约特征的基础上生成输入数据和测试用例去遍历协议实现的各个方面,包括在数据内容,结构,消息,序列中引入各种异常。同时,引入了大数据分析和人工智能算法,将初始的变形范围主要集中在该厂商设备最容易发生故障的范围内进行密集测试,测试中动态追踪被测设备的异常反应,智能选择更有效的输入属性构造新样本进行测试,在迭代测试中不断更新模型参数和优化样本构造,使得同一类设备将来进行测试时能够自动选择更有效的样本优先进行测试,这样可以大大减少测试数据生成的盲目性和测试用例的无效性,提升关键代码的覆盖率和设备的异常检测能力。
工控网络安全检测装置通过对“疑似漏洞”的所有相关信息的细节进行深入分析,重复进行针对性的测试,明确“疑似漏洞”的真实性,最后在出错数据包中精确定位,并可以将发现的“疑似漏洞”保存至漏洞库中进行管理。通过漏洞库中发现的漏洞进行漏洞测试验证漏洞的真实性和可复现性。
在这类应用场景里,本发明实施例可以起到多角色的作用,一方面可以用来检测工控网络的安全性,挖掘未知漏洞;另一方面可以作为模拟的恶意攻击方,检验保护设备能否起到作用。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明实施例的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明实施例中的具体含义。
本发明实施例的说明书中,说明了大量具体细节。然而能够理解的是,本发明实施例的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明实施例公开并帮助理解各个发明方面中的一个或多个,在上面对本发明实施例的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明实施例的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明实施例并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明实施例的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的范围,其均应涵盖在本发明实施例的权利要求和说明书的范围当中。
Claims (10)
1.一种工控网络安全检测装置,其特征在于,包括壳体,设置在壳体内的电源模块、处理器、安全扫描单元、存储器和通信单元;
所述电源模块分别与所述处理器、存储器和通信单元供电;
所述存储器中存储有网络安全检测漏洞数据库和检测规则数据库;
所述处理器控制所述安全扫描单元调用所述存储器中存储的检测规则通过所述通信单元向与所述通信单元连接的被测终端发送漏洞安全检测数据;
所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到所述存储器中。
2.根据权利要求1所述的工控网络安全检测装置,其特征在于,还包括:
与所述通信单元连接的客户端装置;
所述客户端用于通过所述通信单元向所述处理器发送漏洞检测控制命令;
还用于通过所述通信单元接收所述处理器处理的漏洞信息并显示。
3.根据权利要求1所述的工控网络安全检测装置,其特征在于,还所述通信单元还包括存储扩展单元,所述存储扩展单元与所述处理器连接;
所述所述通信单元接收被测终端的反馈信息并传送至所述处理器,所述处理器控制所述安全扫描单元根据所述安全检测漏洞库和反馈信息判断被测终端的漏洞信息并将所述漏洞信息存储到存储扩展单元。
4.根据权利要求1所述的工控网络安全检测装置,其特征在于,所述被测设备包括工控安全设备、工控控制***和工控设备。
5.根据权利要求1所述的工控网络安全检测装置,其特征在于,还包括与所述处理器连接的显示装置,所述显示装置用时显示所述网络安全检测的状态信息。
6.一种未知漏洞检测方法,用于权利要求1-5任意一项所述的工控网络安全检测装置,其特征在于,包括:
连接被检测设备;
配置未知漏洞检测装置;
对被检测设备和漏洞检测设备的连接性测试;
向被检测设备发送测试数据执行测试,得到测试数据;
分析监测数据并输出检测结果。
7.根据权利要求6所述的未知漏洞检测方法,其特征在于,所述配置未知漏洞检测装置包括:
根据被测设备或***使用的工控协议进行测试用例选取;
选择要进行模糊测试变异的数据内容进行建模。
8.根据权利要求6所述的工控网络安全检测装置,其特征在于,所述对被检测设备和漏洞检测设备的连接性测试包括:
漏洞挖掘引擎会根据相关协议进行深度报文解析,解析其中需要变异的字段,并通过测试报文生成模块进行测试相关数据生成,同时根据模块中建模不断对其中需要变化的数据通过测试报文变形模块进行变形,然后输出给被测目标工业控制设备及***。
9.根据权利要求6所述的工控网络安全检测装置,其特征在于所述向被检测设备发送测试数据执行测试,得到测试数据包括:
根据监视的异常告警情况进行数据解析和异常分析判断是否由于测试报文导致被测目标产生异常从而分析其是否存在未知漏洞;
并通过数据分析引擎模块分析发送的测试数据以及该测试数据造成被测目标异常情况进行分析得出相关未知漏洞及漏洞原因。
10.根据权利要求6所述的工控网络安全检测装置,其特征在于,所述分析监测数据并输出检测结果包括:
根据数据分析结果进行结果汇总、展示和报告,通过报告生成引擎自动化形成定制化漏洞挖掘检测报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610619256.XA CN106131041A (zh) | 2016-07-29 | 2016-07-29 | 一种工控网络安全检测装置和未知漏洞检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610619256.XA CN106131041A (zh) | 2016-07-29 | 2016-07-29 | 一种工控网络安全检测装置和未知漏洞检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106131041A true CN106131041A (zh) | 2016-11-16 |
Family
ID=57255149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610619256.XA Pending CN106131041A (zh) | 2016-07-29 | 2016-07-29 | 一种工控网络安全检测装置和未知漏洞检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106131041A (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487813A (zh) * | 2016-12-13 | 2017-03-08 | 北京匡恩网络科技有限责任公司 | 工控网络安全检测***及检测方法 |
| CN106953843A (zh) * | 2017-02-15 | 2017-07-14 | 江苏大学 | 一种基于NuSMV的访问控制规则的覆盖性检测方法 |
| CN107360171A (zh) * | 2017-07-19 | 2017-11-17 | 成都明得科技有限公司 | 基于状态灯检测的工业控制***信息安全测试装置及方法 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN108616400A (zh) * | 2018-05-09 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种针对工业控制***的脆弱性检查方法与装置 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制***信息资产的安全防护方法 |
| CN108933784A (zh) * | 2018-06-26 | 2018-12-04 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN109933990A (zh) * | 2019-03-12 | 2019-06-25 | 国网新疆电力有限公司电力科学研究院 | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 |
| CN110365678A (zh) * | 2019-07-15 | 2019-10-22 | 北京工业大学 | 一种基于反样本的工控网络协议漏洞挖掘方法 |
| CN110489973A (zh) * | 2019-08-06 | 2019-11-22 | 广州大学 | 一种基于Fuzz的智能合约漏洞检测方法、装置和存储介质 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN111026012A (zh) * | 2019-11-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Plc固件级漏洞的检测方法、装置、电子设备及存储介质 |
| CN111062040A (zh) * | 2019-12-19 | 2020-04-24 | 成都烽创科技有限公司 | 一种确定未知漏洞的方法、服务器及计算机可读存储介质 |
| CN111796585A (zh) * | 2020-09-10 | 2020-10-20 | 浙江浙能技术研究院有限公司 | 一种工控设备漏洞挖掘检测*** |
| CN111818042A (zh) * | 2020-07-07 | 2020-10-23 | 国家计算机网络与信息安全管理中心 | 一种车联网漏洞众测平台的检测方法 |
| CN112152972A (zh) * | 2019-06-28 | 2020-12-29 | 北京奇虎科技有限公司 | 检测iot设备漏洞的方法和装置、路由器 |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112506795A (zh) * | 2020-12-18 | 2021-03-16 | 国家工业信息安全发展研究中心 | 工控设备安全漏洞的测试方法、***、终端及存储介质 |
| CN112653693A (zh) * | 2020-12-21 | 2021-04-13 | 哈尔滨工大天创电子有限公司 | 一种工控协议分析方法、装置、终端设备及可读存储介质 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息***的安全性及生存性评估的***和方法 |
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN102541729A (zh) * | 2010-12-31 | 2012-07-04 | 航空工业信息中心 | 软件安全漏洞检测装置和方法 |
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
| CN206195821U (zh) * | 2016-07-29 | 2017-05-24 | 北京匡恩网络科技有限责任公司 | 一种工控网络安全检测装置 |
-
2016
- 2016-07-29 CN CN201610619256.XA patent/CN106131041A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息***的安全性及生存性评估的***和方法 |
| CN102541729A (zh) * | 2010-12-31 | 2012-07-04 | 航空工业信息中心 | 软件安全漏洞检测装置和方法 |
| CN102354310A (zh) * | 2011-07-12 | 2012-02-15 | 广东电网公司信息中心 | 一种自动化信息安全评估的方法及装置 |
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| CN105763392A (zh) * | 2016-02-19 | 2016-07-13 | 中国人民解放军理工大学 | 一种基于协议状态的工控协议模糊测试方法 |
| CN206195821U (zh) * | 2016-07-29 | 2017-05-24 | 北京匡恩网络科技有限责任公司 | 一种工控网络安全检测装置 |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106487813A (zh) * | 2016-12-13 | 2017-03-08 | 北京匡恩网络科技有限责任公司 | 工控网络安全检测***及检测方法 |
| CN106953843A (zh) * | 2017-02-15 | 2017-07-14 | 江苏大学 | 一种基于NuSMV的访问控制规则的覆盖性检测方法 |
| CN107360171A (zh) * | 2017-07-19 | 2017-11-17 | 成都明得科技有限公司 | 基于状态灯检测的工业控制***信息安全测试装置及方法 |
| CN107404487B (zh) * | 2017-08-07 | 2020-07-21 | 浙江国利网安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制***安全检测方法及装置 |
| CN108616400A (zh) * | 2018-05-09 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种针对工业控制***的脆弱性检查方法与装置 |
| CN108933784A (zh) * | 2018-06-26 | 2018-12-04 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN108933784B (zh) * | 2018-06-26 | 2021-02-09 | 北京威努特技术有限公司 | 一种工控协议解码规则的表述及优化解码方法 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制***信息资产的安全防护方法 |
| CN109933990A (zh) * | 2019-03-12 | 2019-06-25 | 国网新疆电力有限公司电力科学研究院 | 基于多模式匹配的安全漏洞发现方法、装置及电子设备 |
| CN112152972A (zh) * | 2019-06-28 | 2020-12-29 | 北京奇虎科技有限公司 | 检测iot设备漏洞的方法和装置、路由器 |
| CN110365678A (zh) * | 2019-07-15 | 2019-10-22 | 北京工业大学 | 一种基于反样本的工控网络协议漏洞挖掘方法 |
| CN110489973A (zh) * | 2019-08-06 | 2019-11-22 | 广州大学 | 一种基于Fuzz的智能合约漏洞检测方法、装置和存储介质 |
| CN110891055A (zh) * | 2019-11-20 | 2020-03-17 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN110891055B (zh) * | 2019-11-20 | 2020-12-25 | 北京航空航天大学 | 一种基于规则树的工控网络白名单异常检测方法 |
| CN111026012A (zh) * | 2019-11-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Plc固件级漏洞的检测方法、装置、电子设备及存储介质 |
| CN111062040A (zh) * | 2019-12-19 | 2020-04-24 | 成都烽创科技有限公司 | 一种确定未知漏洞的方法、服务器及计算机可读存储介质 |
| CN111818042A (zh) * | 2020-07-07 | 2020-10-23 | 国家计算机网络与信息安全管理中心 | 一种车联网漏洞众测平台的检测方法 |
| CN111796585A (zh) * | 2020-09-10 | 2020-10-20 | 浙江浙能技术研究院有限公司 | 一种工控设备漏洞挖掘检测*** |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112506795A (zh) * | 2020-12-18 | 2021-03-16 | 国家工业信息安全发展研究中心 | 工控设备安全漏洞的测试方法、***、终端及存储介质 |
| CN112653693A (zh) * | 2020-12-21 | 2021-04-13 | 哈尔滨工大天创电子有限公司 | 一种工控协议分析方法、装置、终端设备及可读存储介质 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106131041A (zh) | 一种工控网络安全检测装置和未知漏洞检测方法 | |
| US10764319B2 (en) | Intelligent automated security vulnerability detection and analysis for industrial internet of things (IIOT) devices | |
| CN106656657A (zh) | 基于工控协议的自适应漏洞挖掘框架 | |
| US8006136B2 (en) | Automatic grammar based fault detection and isolation | |
| Antao et al. | Requirements for testing and validating the industrial internet of things | |
| CN106657018A (zh) | 工控网络漏洞挖掘方法、装置及*** | |
| EP2462716B1 (en) | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy | |
| US20140025994A1 (en) | System and method for grammar based test planning | |
| CN106487813A (zh) | 工控网络安全检测***及检测方法 | |
| EA037617B1 (ru) | Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных | |
| CN101695033A (zh) | 基于权限提升的网络脆弱性分析*** | |
| KR20190017208A (ko) | 직렬 포트 기반 사이버 보안 취약점 점검 장치 및 그 방법 | |
| Pfrang et al. | Advancing Protocol Fuzzing for Industrial Automation and Control Systems. | |
| CN206195821U (zh) | 一种工控网络安全检测装置 | |
| Kleine et al. | Coveringcerts: Combinatorial methods for X. 509 certificate testing | |
| Luo et al. | Bleem: Packet sequence oriented fuzzing for protocol implementations | |
| CN113315767A (zh) | 一种电力物联网设备安全检测***及方法 | |
| CN113836009A (zh) | 一种基于强化学习的智能合约模糊测试方法及*** | |
| Liu et al. | ShadowPLCs: A novel scheme for remote detection of industrial process control attacks | |
| CN115098863A (zh) | 一种基于静态与动态分析的智能合约重入漏洞检测方法 | |
| Romero-Mariona et al. | Security in the industrial internet of things-the C-SEC approach | |
| Wolf et al. | The PASTA threat model implementation in the IoT development life cycle | |
| Fang et al. | Foresee: A cross-layer vulnerability detection framework for the internet of things | |
| Murillo et al. | High-fidelity cyber and physical simulation of water distribution systems. II: Enabling cyber-physical attack localization | |
| Agadakos et al. | Butterfly effect: Causality from chaos in the iot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Sun Yian Inventor after: Bai Liang Inventor before: Sun Yian Inventor before: Fan Kefeng |
|
| COR | Change of bibliographic data |