CN108696544A - 基于工控***的安全漏洞探测方法和装置 - Google Patents
基于工控***的安全漏洞探测方法和装置 Download PDFInfo
- Publication number
- CN108696544A CN108696544A CN201811031062.3A CN201811031062A CN108696544A CN 108696544 A CN108696544 A CN 108696544A CN 201811031062 A CN201811031062 A CN 201811031062A CN 108696544 A CN108696544 A CN 108696544A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control equipment
- online
- information
- facility information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种基于工控***的安全漏洞探测方法和装置;其中,该方法包括:对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;根据IP地址列表,向对应的在线工控设备发送信息请求数据包;根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。本发明通过主动扫描方式可以全面有效地探测出工控设备,具有较好的实用性,并查找得到不同种类设备的漏洞信息,从而提高了工控设备的安全稳定性。
Description
技术领域
本发明涉及工业控制技术领域,尤其是涉及一种基于工控***的安全漏洞探测方法和装置。
背景技术
工业控制***广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控装置关系到国计民生,装置的稳定运行是至关重要的,一旦装置发生故障带来的不仅仅是巨大的经济损失,更恶劣的是社会影响。通过对众多的工控安全事件深入分析可以看到,大多数的工控安全事件利用了工业控制***的“漏洞”,进而攻陷了整个工业控制***。因此,在黑客成功攻击工业控制***之前及时帮助企业发现漏洞,进而促使其完善***,成为保障工业控制***安全运行、增强企业安全健壮性的必要手段。
现有技术中,通过以旁路镜像的方式做透明网络嗅探,获得资产数据,将资产数据进行整合,得到整合资产数据,将整合资产数据进行滤波处理,得到有效数据,将有效数据封装,得到封装数据,再根据封装数据进行数据识别,得到甄别数据,根据预先设置的漏洞信息对甄别数据进行漏洞分析,得到漏洞探测结果,生成探测漏洞报告。该方式中,以旁路镜像的方式做透明网络嗅探,获得资产数据,属于被动扫描方式。该从繁杂的网络中获得广播数据,然后剔除无用数据,但是在该装置检索期间,目标设备未必会有发包行为,所以被动扫描方式,难以全面有效地探测出连接到网络的工控设备,实用性较差。
发明内容
有鉴于此,本发明的目的在于提供一种基于工控***的安全漏洞探测方法和装置,以全面有效地探测出工控设备,提高实用性,从而提高工控设备的安全稳定性。
第一方面,本发明实施例提供了一种基于工控***的安全漏洞探测方法,该方法包括:对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;根据IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
在本发明较佳的实施例中,上述对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表的步骤,包括:向设定地址范围内的IP地址发送ping命令;当接收到ping命令的回应报文时,将发送回应报文的IP地址对应的工控设备确定为在线工控设备;将确定出的在线工控设备的IP地址确定为IP地址列表。
在本发明较佳的实施例中,上述根据IP地址列表,向对应的在线工控设备发送信息请求数据包的步骤之前,方法还包括:根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
在本发明较佳的实施例中,上述预设的设备信息库中保存有指纹信息和设备信息的对应关系;根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息的步骤,包括:对回应信息进行数据包解析,从解析出的数据中提取在线工控设备的指纹信息;根据在线工控设备的指纹信息,从预设的设备信息库中查找得到在线工控设备的设备信息。
在本发明较佳的实施例中,上述预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息的步骤,包括:根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
第二方面,本发明实施例提供了一种基于工控***的安全漏洞探测装置,装置包括:扫描模块,用于对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;数据包发送模块,用于根据IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;信息确定模块,用于根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;漏洞信息查找模块,用于根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
在本发明较佳的实施例中,上述扫描模块还用于:向设定地址范围内的IP地址发送ping命令;当接收到ping命令的回应报文时,将发送回应报文的IP地址对应的工控设备确定为在线工控设备;将确定出的在线工控设备的IP地址确定为IP地址列表。
在本发明较佳的实施例中,上述装置还包括:数据包生成模块,用于根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
在本发明较佳的实施例中,上述预设的设备信息库中保存有指纹信息和设备信息的对应关系;信息确定模块还用于:对回应信息进行数据包解析,从解析出的数据中提取在线工控设备的指纹信息;根据在线工控设备的指纹信息,从预设的设备信息库中查找得到在线工控设备的设备信息。
在本发明较佳的实施例中,上述预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;漏洞信息查找模块还用于:根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
本发明实施例带来了以下有益效果:
本发明实施例提供的上述基于工控***的安全漏洞探测方法和装置,首先对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;根据该IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;再根据该在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;最后根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。该方式通过主动扫描方式可以全面有效地探测出工控设备,具有较好的实用性,并查找得到不同种类设备的漏洞信息,从而提高了工控设备的安全稳定性。
同时,由于工控***在线运行过程事件较长,运行过程中的需要尽可能减少外部干扰,上述安全漏洞探测方法可以避免因漏洞扫描而引发***故障引起安全事故。
本发明的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本发明的上述技术即可得知。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于工控***的安全漏洞探测方法的流程图;
图2为本发明实施例提供的另一种基于工控***的安全漏洞探测方法的流程图;
图3为本发明实施例提供的一种基于工控***的安全漏洞探测装置的结构示意图;
图4为本发明实施例提供的一种工控***漏洞扫描***的***架构示意图;
图5为本发明实施例提供的一种工控***漏洞扫描***的网络拓扑图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到现有技术中对工控设备的被动扫描方式难以全面有效地探测出连接到网络的工控设备,实用性较差的问题,本发明实施例提供了一种基于工控***的安全漏洞探测方法和装置;该技术可以应用于各个领域的工业控制***的漏洞探测中。为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于工控***的安全漏洞探测方法进行详细介绍。
如图1所示,该基于工控***的安全漏洞探测方法包括如下步骤:
步骤S102,对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;
其中,设定地址范围可以为IP地址列表,也可以为IP地址段范围;在实际实现时,可以同时向设定地址范围内的IP地址进行ping扫描,也可以逐一向设定地址范围内的IP地址进行ping扫描。在ping扫描过程中,在线工控设备通常会回应相关的报文,而不在线的工控设备通常不回应;因此,如果接收到某IP地址的回应报文,说明该IP地址的工控设备为在线工控设备。
步骤S104,根据IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;
IP地址列表中记录有在线工控设备的IP地址;可以同时或逐一向IP地址列表中各个IP地址发送信息请求数据包;在线工控设备接收到信息请求数据包后,对该信息请求数据包进行解析,并生成回应信息;该回应信息中通常包含有信息请求数据包具体请求的内容,例如,指纹信息、MAC地址等。
步骤S106,根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;该设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;
通常,在工控设备投入运行之前,或者接入网络时,将该工控设备的设备信息更新至上述预设的设备信息库中;上述在线工控设备的回应信息中通常携带有可以唯一标识该在线工控设备的信息,例如,设备MAC地址;通过上述回应信息可以从设备信息库中查询到该设备的较为具体的设备信息。其中,设备信息中的***制造商标识是该工控设备的制造商的商标、生产厂商代码等;设备地址即为工控设备的IP地址、MAC地址等。
步骤S108,根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
该预设的漏洞信息库中保存有不同种类、不同制造商或不同版本批号的工控设备可能具有的安全漏洞,因此,当获取到在线工控设备的设备信息后,即可根据该设备信息从所述漏洞信息库中查询该设备的漏洞信息;以使工程师根据该漏洞信息弥补设备的安全漏洞。
本发明实施例提供的上述基于工控***的安全漏洞探测方法,首先对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;根据该IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;再根据该在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;最后根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。该方式通过主动扫描方式可以全面有效地探测出工控设备,具有较好的实用性,并查找得到不同种类设备的漏洞信息,从而提高了工控设备的安全稳定性。
同时,由于工控***在线运行过程事件较长,运行过程中的需要尽可能减少外部干扰,上述安全漏洞探测方法可以避免因漏洞扫描而引发***故障引起安全事故。
本发明实施例还提供了另一种基于工控***的安全漏洞探测方法,该方法执行前需要预先建立设备信息库和漏洞信息库;其中,预设的设备信息库中保存有指纹信息和设备信息的对应关系;预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;
如图2所示,该方法包括如下步骤:
步骤S202,向设定地址范围内的IP地址发送ping命令;
步骤S204,当接收到ping命令的回应报文时,将发送回应报文的IP地址对应的工控设备确定为在线工控设备;
步骤S206,将确定出的在线工控设备的IP地址确定为IP地址列表。
上述ping扫描的过程也可以称为网络探测,针对网络信息层面的探测,主要利用工控交换机具有的普通交换机周期性发送广播包的特点,通过捕获并解析数据包探测出工控交换机的站名称、工控交换机的地址以及工控***的广播地址等基本信息。工控交换机是传统网络和工控***之间的桥梁,网络探测也是***探测的基础。
上述Ping扫描主要用于探测主机(即上述工控设备)的地址,通过探测目标主机的网络是否联通来判断探测的地址是否分配了主机。通过扫描获取网络的基本信息是进行漏洞扫描的基础。通过扫描,也能准确的定位的分布。Ping扫描成功后可生成在线设别的IP列表。
步骤S208,根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
步骤S210,根据IP地址列表,向对应的在线工控设备发送上述信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;
在实际实现时,当向在线工控设备发送上述信息请求数据包后,设定时间段内如果没有收到回应信息,则需要继续向该在线工控设备再次发送信息请求数据包,直至收到在线工控设备反馈信息请求数据包对应的回应信息,此时停止向在线工控设备发送信息请求数据包。
步骤S212,对回应信息进行数据包解析,从解析出的数据中提取在线工控设备的指纹信息;
步骤S214,根据在线工控设备的指纹信息,从预设的设备信息库中查找得到在线工控设备的设备信息。该设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;
上述发送信息请求数据包并根据回应信息得到在线工控设备的设备信息的过程,也可以称为***探测,针对***信息层面的探测,基于网络探测中工控***的广播地址等基本信息,由于一些工控设备只有在收到请求时才会做出响应,因此,只能通过构造并广播发送请求数据包、捕获并解析响应数据包来探测出工控***中的工控设备以及其站类型、站名称、制造商标识、设备标识、设备角色以及地址等具体信息。
***探测的方法是根据数据库中工控协议生成协议帧结构,构造一个实时的数据包,并在连接了工控设备的网络中以广播的方式发送,以请求工控设备回复,再通过对回复的数据包进行解析来提取需要探测的工控设备的具体信息。
步骤S216,根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
在实际实现时,将在线工控设备的设备信息与漏洞信息库中的设备信息进行比对,比对成功后,将对应的漏洞信息作为在线工控设备的漏洞信息。数据比对的主要功能是根据工控***探测模块中探测到的工控设备的具体信息,例如,站类型、站名称、制造商标识、设备标识以及设备角色等与工控***漏洞库做比对,匹配出该设备存在的漏洞。
上述基于工控***的安全漏洞探测方法,基于探测工控***内部的设备种类,并结合设备重要性与安全需求,结合指纹库,设备库,漏洞库,选择不同种类的漏洞探测方法,可以保证工控***安全稳定运行。
对应于上述方法实施例,参见图3所示的一种基于工控***的安全漏洞探测装置的结构示意图,该装置包括:
扫描模块30,用于对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;
数据包发送模块31,用于根据IP地址列表,向对应的在线工控设备发送信息请求数据包,以使在线工控设备反馈信息请求数据包对应的回应信息;
信息确定模块32,用于根据在线工控设备的回应信息,以及预设的设备信息库,确定在线工控设备的设备信息;设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;
漏洞信息查找模块33,用于根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
上述扫描模块还用于:向设定地址范围内的IP地址发送ping命令;当接收到ping命令的回应报文时,将发送回应报文的IP地址对应的工控设备确定为在线工控设备;将确定出的在线工控设备的IP地址确定为IP地址列表。
上述装置还包括:数据包生成模块,用于根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
上述预设的设备信息库中保存有指纹信息和设备信息的对应关系;信息确定模块还用于:对回应信息进行数据包解析,从解析出的数据中提取在线工控设备的指纹信息;根据在线工控设备的指纹信息,从预设的设备信息库中查找得到在线工控设备的设备信息。
上述预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;漏洞信息查找模块还用于:根据在线工控设备的设备信息,从预设的漏洞信息库中查找得到在线工控设备的漏洞信息。
本发明实施例提供的基于工控***的安全漏洞探测装置,与上述实施例提供的基于工控***的安全漏洞探测方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本发明实施例还提供的一种工控***漏洞扫描***,***架构如图4所示,该漏洞扫描***主要分为前台界面、控制中心、工控***探测模块、数据比对模块和数据库模块五大部分,其中工控***探测模块分网络探测和***探测两部分,数据库模块分工控协议数据库模块和工控***漏洞数据库模块两部分。
前台界面主要包括拓扑展示界面和扫描结果展示界面。拓扑展示界面的功能是展示工控***网络拓扑图,用户可以在拓扑展示界面上选择想要对其进行漏洞扫描的工控设备;扫描结果展示界面的功能是展示用户选择的工控设备存在的漏洞,用户可以在扫描结果界面查看选择的工控设备存在的漏洞。
控制中心提供整个***与前台界面的接口,负责控制和管理工控***探测模块和数据比对模块。其中,工控***探测模块是数据比对模块的基础。
控***探测的主要功能是探测出网络中的工控设备以及工控设备的具体信息。主要包括网络探测和***探测两部分:其中,网络探测的主要功能是探测出工控交换机的站名称、工控交换机的地址以及***的广播地址等基本信息。***探测的主要功能是探测出工控***中的工控设备以及其站类型、站名称、制造商标识、设备标识、地址等具体信息。
数据比对模块的主要功能是根据工控***探测模块中探测到的工控设备的具体信息,例如,站类型、站名称、制造商标识以及设备标识等查找工控***漏洞库,找出该设备存在的漏洞。
数据库模块主要包括工控***信息库和工控***漏洞库两部分,工控***信息库主要负责与工控***探测模块进行数据交互;工控***漏洞库主要负责与数据比对模块进行数据交互。
图5所示为上述工控***漏洞扫描***的网络拓扑图;漏洞扫描***的网络环境主要由工控***、工控***漏洞扫描***主机、工程师站主机、操作员站主机和测试主机组成,其中,工控***包括工控设备和工控交换机(图5中未示出);工控设备包括PLC(Programmable Logic Controller,可编程逻辑控制器)设备和DCS(Distributed ControlSystem,分布式控制***)设备。上述工控***漏洞扫描***主机、工程师站主机、操作员站主机和测试主机通过总线与工控***连接。
本发明实施例所提供的基于工控***的安全漏洞探测方法、装置和工控***漏洞扫描***,本发明可以在任何时候对工控***进行无扰的漏洞扫描,帮助企业发现漏洞,进而帮助企业完善工控***。
本发明实施例所提供的基于工控***的安全漏洞探测方法、装置和工控***漏洞扫描***的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于工控***的安全漏洞探测方法,其特征在于,所述方法包括:
对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;
根据所述IP地址列表,向对应的在线工控设备发送信息请求数据包,以使所述在线工控设备反馈所述信息请求数据包对应的回应信息;
根据所述在线工控设备的回应信息,以及预设的设备信息库,确定所述在线工控设备的设备信息;所述设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;
根据所述在线工控设备的设备信息,从预设的漏洞信息库中查找得到所述在线工控设备的漏洞信息。
2.根据权利要求1所述的方法,其特征在于,对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表的步骤,包括:
向设定地址范围内的IP地址发送ping命令;
当接收到所述ping命令的回应报文时,将发送所述回应报文的IP地址对应的工控设备确定为在线工控设备;
将确定出的所述在线工控设备的IP地址确定为IP地址列表。
3.根据权利要求1所述的方法,其特征在于,根据所述IP地址列表,向对应的在线工控设备发送信息请求数据包的步骤之前,所述方法还包括:根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
4.根据权利要求1所述的方法,其特征在于,所述预设的设备信息库中保存有指纹信息和设备信息的对应关系;
根据所述在线工控设备的回应信息,以及预设的设备信息库,确定所述在线工控设备的设备信息的步骤,包括:
对所述回应信息进行数据包解析,从解析出的数据中提取所述在线工控设备的指纹信息;
根据所述在线工控设备的指纹信息,从所述预设的设备信息库中查找得到所述在线工控设备的设备信息。
5.根据权利要求1所述的方法,其特征在于,所述预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;
根据所述在线工控设备的设备信息,从预设的漏洞信息库中查找得到所述在线工控设备的漏洞信息的步骤,包括:根据所述在线工控设备的设备信息,从所述预设的漏洞信息库中查找得到所述在线工控设备的漏洞信息。
6.一种基于工控***的安全漏洞探测装置,其特征在于,所述装置包括:
扫描模块,用于对设定地址范围内的工控设备进行ping扫描,得到在线工控设备的IP地址列表;
数据包发送模块,用于根据所述IP地址列表,向对应的在线工控设备发送信息请求数据包,以使所述在线工控设备反馈所述信息请求数据包对应的回应信息;
信息确定模块,用于根据所述在线工控设备的回应信息,以及预设的设备信息库,确定所述在线工控设备的设备信息;所述设备信息包括***制造商标识、产品系列及型号、固件版本、设备地址、设备名称中的多种;
漏洞信息查找模块,用于根据所述在线工控设备的设备信息,从预设的漏洞信息库中查找得到所述在线工控设备的漏洞信息。
7.根据权利要求6所述的装置,其特征在于,所述扫描模块还用于:
向设定地址范围内的IP地址发送ping命令;
当接收到所述ping命令的回应报文时,将发送所述回应报文的IP地址对应的工控设备确定为在线工控设备;
将确定出的所述在线工控设备的IP地址确定为IP地址列表。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:数据包生成模块,用于根据预设的工控协议对应的协议帧结构,生成实时的信息请求数据包。
9.根据权利要求6所述的装置,其特征在于,所述预设的设备信息库中保存有指纹信息和设备信息的对应关系;
所述信息确定模块还用于:
对所述回应信息进行数据包解析,从解析出的数据中提取所述在线工控设备的指纹信息;
根据所述在线工控设备的指纹信息,从所述预设的设备信息库中查找得到所述在线工控设备的设备信息。
10.根据权利要求6所述的装置,其特征在于,所述预设的漏洞信息库保存有设备信息和漏洞信息的对应关系;
所述漏洞信息查找模块还用于:
根据所述在线工控设备的设备信息,从所述预设的漏洞信息库中查找得到所述在线工控设备的漏洞信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811031062.3A CN108696544A (zh) | 2018-09-05 | 2018-09-05 | 基于工控***的安全漏洞探测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811031062.3A CN108696544A (zh) | 2018-09-05 | 2018-09-05 | 基于工控***的安全漏洞探测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108696544A true CN108696544A (zh) | 2018-10-23 |
Family
ID=63841446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811031062.3A Pending CN108696544A (zh) | 2018-09-05 | 2018-09-05 | 基于工控***的安全漏洞探测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108696544A (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109412861A (zh) * | 2018-11-19 | 2019-03-01 | 广州粤能信息技术有限公司 | 一种终端网络建立安全关联展示方法 |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控***漏洞探测方法及*** |
| CN110099074A (zh) * | 2019-05-28 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 一种物联网设备的异常检测方法、***及电子设备 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN110730180A (zh) * | 2019-10-17 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 便携式通信设备探测仪器和通信设备探测方法 |
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和*** |
| CN110830454A (zh) * | 2019-10-22 | 2020-02-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN110855678A (zh) * | 2019-11-15 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种工控***的漏洞检测方法、***及相关装置 |
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制***的探测方法、装置、计算机设备和介质 |
| CN111814155A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 漏洞检测方法、平台及装置以及计算机可读介质 |
| CN112115457A (zh) * | 2020-08-24 | 2020-12-22 | 国网福建省电力有限公司 | 一种电力终端接入方法及*** |
| CN112615831A (zh) * | 2020-12-11 | 2021-04-06 | 杭州安恒信息技术股份有限公司 | 一种基于工业互联网的漏洞扫描平台、方法、设备及介质 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112650085A (zh) * | 2019-10-12 | 2021-04-13 | 北京京东尚科信息技术有限公司 | 监测工业控制***的方法和装置 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测***及方法 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN114070575A (zh) * | 2020-08-07 | 2022-02-18 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
| CN115037649A (zh) * | 2022-06-16 | 2022-09-09 | 广东电网有限责任公司 | 一种野外站运行环境安全监测方法及监测机 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160234243A1 (en) * | 2015-02-06 | 2016-08-11 | Honeywell International Inc. | Technique for using infrastructure monitoring software to collect cyber-security risk data |
| CN106161426A (zh) * | 2016-06-08 | 2016-11-23 | 北京工业大学 | 一种应用于工业物联网的漏洞扫描方法 |
| CN106254370A (zh) * | 2016-08-30 | 2016-12-21 | 成都源知信息技术有限公司 | 一种网络设备指纹生成方法及探测设备 |
| CN108183895A (zh) * | 2017-12-26 | 2018-06-19 | 广东电网有限责任公司信息中心 | 一种网络资产信息采集*** |
-
2018
- 2018-09-05 CN CN201811031062.3A patent/CN108696544A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160234243A1 (en) * | 2015-02-06 | 2016-08-11 | Honeywell International Inc. | Technique for using infrastructure monitoring software to collect cyber-security risk data |
| CN106161426A (zh) * | 2016-06-08 | 2016-11-23 | 北京工业大学 | 一种应用于工业物联网的漏洞扫描方法 |
| CN106254370A (zh) * | 2016-08-30 | 2016-12-21 | 成都源知信息技术有限公司 | 一种网络设备指纹生成方法及探测设备 |
| CN108183895A (zh) * | 2017-12-26 | 2018-06-19 | 广东电网有限责任公司信息中心 | 一种网络资产信息采集*** |
Non-Patent Citations (1)
| Title |
|---|
| 王欢欢: "《工控***漏洞扫描技术的研究》", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109412861B (zh) * | 2018-11-19 | 2022-04-08 | 广州粤能信息技术有限公司 | 一种终端网络建立安全关联展示方法 |
| CN109412861A (zh) * | 2018-11-19 | 2019-03-01 | 广州粤能信息技术有限公司 | 一种终端网络建立安全关联展示方法 |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控***漏洞探测方法及*** |
| CN110008713B (zh) * | 2019-05-06 | 2021-05-11 | 杭州齐安科技有限公司 | 一种工控***漏洞探测方法及*** |
| CN110099074A (zh) * | 2019-05-28 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 一种物联网设备的异常检测方法、***及电子设备 |
| CN110401662A (zh) * | 2019-07-29 | 2019-11-01 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN110401662B (zh) * | 2019-07-29 | 2021-12-31 | 华能阜新风力发电有限责任公司 | 一种工控设备指纹识别方法、存储介质 |
| CN112650085A (zh) * | 2019-10-12 | 2021-04-13 | 北京京东尚科信息技术有限公司 | 监测工业控制***的方法和装置 |
| CN110635971A (zh) * | 2019-10-16 | 2019-12-31 | 杭州安恒信息技术股份有限公司 | 工控资产探测及管理方法、装置和电子设备 |
| CN110730180A (zh) * | 2019-10-17 | 2020-01-24 | 杭州安恒信息技术股份有限公司 | 便携式通信设备探测仪器和通信设备探测方法 |
| CN110830454A (zh) * | 2019-10-22 | 2020-02-21 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| WO2021077979A1 (zh) * | 2019-10-22 | 2021-04-29 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于alg协议实现tcp协议栈信息泄露的安防设备检测方法 |
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和*** |
| CN110855678A (zh) * | 2019-11-15 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 一种工控***的漏洞检测方法、***及相关装置 |
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制***的探测方法、装置、计算机设备和介质 |
| CN114070575A (zh) * | 2020-08-07 | 2022-02-18 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
| CN114070575B (zh) * | 2020-08-07 | 2024-05-28 | 奇安信科技集团股份有限公司 | 设备探测处理方法、装置、电子设备、存储介质和程序 |
| CN112115457A (zh) * | 2020-08-24 | 2020-12-22 | 国网福建省电力有限公司 | 一种电力终端接入方法及*** |
| CN112115457B (zh) * | 2020-08-24 | 2022-08-05 | 国网福建省电力有限公司 | 一种电力终端接入方法及*** |
| CN111814155A (zh) * | 2020-08-31 | 2020-10-23 | 北京安帝科技有限公司 | 漏洞检测方法、平台及装置以及计算机可读介质 |
| CN112615831A (zh) * | 2020-12-11 | 2021-04-06 | 杭州安恒信息技术股份有限公司 | 一种基于工业互联网的漏洞扫描平台、方法、设备及介质 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测***及方法 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN113239366B (zh) * | 2021-07-12 | 2021-12-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN115037649A (zh) * | 2022-06-16 | 2022-09-09 | 广东电网有限责任公司 | 一种野外站运行环境安全监测方法及监测机 |
| CN115037649B (zh) * | 2022-06-16 | 2024-03-01 | 广东电网有限责任公司 | 一种野外站运行环境安全监测方法及监测机 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696544A (zh) | 基于工控***的安全漏洞探测方法和装置 | |
| CN110635971A (zh) | 工控资产探测及管理方法、装置和电子设备 | |
| CN112700256A (zh) | 一种产品生产的溯源方法、设备及介质 | |
| CN110868763B (zh) | 建立蓝牙连接的方法、装置及*** | |
| CN104243490A (zh) | 识别伪无线网络接入点的方法、装置及移动终端 | |
| CN106817353A (zh) | 用于mac采集和网络安全审计的无线ap和方法 | |
| CN108510086A (zh) | 故障应对方案确定方法及装置 | |
| CN105761084A (zh) | 一种防窜货的方法及装置 | |
| CN108712428A (zh) | 一种对终端进行设备类型识别的方法及装置 | |
| CN112351035A (zh) | 一种工控安全态势感知方法、装置及介质 | |
| CN105183619A (zh) | 一种***故障预警方法和*** | |
| CN102571416B (zh) | 一种虚拟机位置定位方法和装置 | |
| CN103428249A (zh) | 一种http请求包的收集及处理方法、***和服务器 | |
| CN106331060B (zh) | 一种基于wifi进行布控的方法和*** | |
| CN111355740A (zh) | 一种快速便捷检测防火墙配置的方法 | |
| CN112350874B (zh) | 一种基于动态发现设备的自动靶场方法及*** | |
| CN114363334A (zh) | 云***及云桌面虚拟机的网络配置方法、装置及设备 | |
| CN107730015A (zh) | 新型的智能办公设备维修方法和*** | |
| CN106155000A (zh) | 半导体机台的机台警报信息的处理方法及装置 | |
| CN112615831A (zh) | 一种基于工业互联网的漏洞扫描平台、方法、设备及介质 | |
| CN106899429B (zh) | 一种基于snmp的设备管理方法及装置 | |
| CN110611591A (zh) | 一种网络拓扑建立方法及装置 | |
| CN106920104A (zh) | 网点的智能选择方法和装置 | |
| CN103152196A (zh) | 一种epon网管中动态添加olt的方法 | |
| CN114338527A (zh) | IPv6主动标识符处理方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181023 |
|
| RJ01 | Rejection of invention patent application after publication |