CN109104335A - 一种工控设备网络攻击测试方法与*** - Google Patents
一种工控设备网络攻击测试方法与*** Download PDFInfo
- Publication number
- CN109104335A CN109104335A CN201810982351.5A CN201810982351A CN109104335A CN 109104335 A CN109104335 A CN 109104335A CN 201810982351 A CN201810982351 A CN 201810982351A CN 109104335 A CN109104335 A CN 109104335A
- Authority
- CN
- China
- Prior art keywords
- under test
- equipment under
- test
- equipment
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种工控设备网络攻击测试方法及***,其中方法包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。本申请提供的方法能够发送不同类型协议的探测报文,当被测设备回应其中几种类型协议的探测报文时,能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态,在多层次对被测设备进行探测,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。
Description
技术领域
本申请涉及网络测试技术领域,尤其涉及一种工控设备网络攻击测试方法与***。
背景技术
近年来,针对工业重要基础设施的网络攻击事件呈上升趋势。在我国,国家重要工业基础设施的防攻击手段主要还是采取物理隔离等边界防护措施。一旦边界防护被攻破,工业基础设施将直接面对网络攻击的考验。由于没有直接的抗攻击能力,工业基础设施非常脆弱,以至于将在最快的时间内被网络攻击破坏。
这些年来,工业控制设备的直接抗攻击能力一直是测试技术研究的方向,它主要验证在各种网络攻击方式下(如DOS、fuzzing攻击等),工控设备的各种异常状态和健壮性,如网络拥塞、***死机或重启等。常规的方法是用测试工具对工控设备发送网络攻击流量的同时,通过网络协议或设备日志的方式对被测设备的状态进行监控。
传统的网络攻击测试方法没有形成统一的闭环方式,测试和结果分析是分开执行。一般情况是发起和完成测试后,在被测设备上核对相关的结果参数。这种方法效率很低,需要人工不断干预,不能适应大型的工控设备入网测试。
传统的网络攻击测试方法一般基于单个维度进行被测设备状态的诊断,根据单一维度的参数来手工调节测试工具的参数,这样不利于在多个维度综合考虑被测设备在综合因素条件下的表现。
传统的测试方法只是简单查看被测设备的对应状态和参数,由于许多层面的问题可能导致的状态参数的反应趋于一致,因此很难快速分辨和定位出现问题的层面。
发明内容
本申请提供了一种工控设备网络攻击测试方法与***,用于解决传统的测试方法自动化程度低且分析层面单一的技术问题。
有鉴于此,本申请第一方面提供了一种工控设备网络攻击测试方法,包括:
在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。
优选地,所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文;所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括:
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
优选地,所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:
提取被测设备的操作***和应用的日志信息;
从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
优选地,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:
调节网络攻击流量测试的攻击流量大小;
所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:
根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。
优选地,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:
对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。
本申请第二方面提供一种工控设备网络攻击测试***,第一方面所述的一种工控设备网络攻击测试方法进行测试,包括:
网络测试仪,用于对被测设备进行网络攻击流量测试;在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
测试管理主机,用于根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;
被测设备,所述连接网络测试仪和所述测试管理主机。
优选地,所述测试管理主机具体用于判断:
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
优选地,所述测试管理主机还用于:
提取被测设备的操作***和应用的日志信息;
从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
优选地,所述网络测试仪还用于调节网络攻击流量测试的攻击流量大小;
所述测试管理主机还用于根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。
优选地,所述测试管理主机还用于对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。
从以上技术方案可以看出,本申请具有以下优点:
本申请提供了一种工控设备网络攻击测试方法及***,其中方法包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。本申请能够发送不同类型协议的探测报文,当被测设备回应其中几种类型协议的探测报文时,能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态,在多层次对被测设备进行探测,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的工控设备网络攻击测试***的***架构图;
图2为本申请实施例中工控设备网络攻击测试方法的一个实施例的方法流程图;
图3为本申请实施例中工控设备网络攻击测试方法的另一个实施例的方法流程图;
图4为本申请实施例中工控设备网络攻击测试方法的另一个实施例的方法流程图。
具体实施方式
本申请提供了一种工控设备网络攻击测试方法与***,用于解决传统的测试方法自动化程度低且分析层面单一的技术问题。
为使得本申请的发明目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
应理解,本申请应用于工控设备网络攻击测试***,请参阅图1,图1为本申请实施例中工控设备网络攻击测试***架构图,如图1所示,图1中包括网络测试仪、测试管理主机和被测设备。
本申请设计了一种工控设备网络攻击测试方法及***,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。
为了便于理解,请参阅图2,图2为本申请实施例中工控设备网络攻击测试方法的方法流程图,如图2所示,具体为:
101、在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
102、根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。
需要说明的是,也可以根据被测设备对不同类型协议的探测报文的回应判断被测设备中与不同类型协议的探测报文对应的硬件或软件是否正常运行。
举个例子,假设被测设备是计算机(当然也可以是其他终端,如手机、平板等),则,由于网络是分层工作的。因此,对于TCP/IP五层模型中的网络层次与TCP/IP五层模型中的ARP、ICMP、TCP、HTTP协议的对应关系如下:
第一层:应用层(HTTP)
第二层:传输层(TCP)
第三层:网络层(ICMP)
第四层:数据链路层(ARP)
第五层:物理层。
物理层为最底层,应用层为最高层,高层协议依赖于下一层协议的实现,如果下一层不正常,那么上一层不能正常工作。
按照以上原理,在网络攻击测试的时候会发送两种类型的流量:
一种为攻击流量,目的是向被测设备发动攻击;
另一种流量为验证流量,目的是探测被测设备在攻击下处于何种状态(哪一层工作不正常了),那么如果低层流量探测报文有回应(被测设备能正常回包),说明被测设备对应的低层协议工作正常,而高一层探测报文不能正常回包说明问题出现在高一层协议上,由此可定位攻击导致了被测设备哪一层出现了问题。
协议对应的物理设备:
应用层(HTTP)、传输层(TCP)网络层(ICMP)是在PC机的操作***里用软件实现的。
数据链路层(ARP):是在PC机的网卡里实现的,对应被测设备的firmware。
物理层:网线或电线。
所以通过上述的原理可以判断出是firmware出问题了,还是操作***里面的某一层协议出问题了。
因此,
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
对于不同的***,有不同的协议对应不同的硬件或软件层次,此处的TCP/IP五层模型的例子不应视为本申请的局限。
因此,本申请能够发送不同类型协议的探测报文,当被测设备回应其中几种类型协议的探测报文时,能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态,在多层次对被测设备进行探测,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。
以上是对本申请提供的一种工控设备网络攻击测试方法的一个实施例进行详细的描述,以下将对本申请提供的一种工控设备网络攻击测试方法的另一个实施例进行详细的描述。
请参阅图3,本申请提供的一种工控设备网络攻击测试方法的另一个实施例,包括:
201、通过网络测试仪对被测设备进行网络攻击流量测试,并调节网络攻击流量测试的攻击流量大小;
网络测试仪可以在测试管理主机的控制下进行网络攻击流量测试以及攻击流量大小调节。可以是将攻击流量大小调至最小,待被测设备的运行状态判断完毕后,在逐渐增加攻击流量大小,并不断地实时地判断被测设备的运行状态(即步骤202和步骤203实时进行,步骤201调节网络攻击流量测试的攻击流量大小,最后通过步骤204得出结果,也可以是步骤201、步骤202和步骤203循环进行,最后通过步骤204得出结果),得到攻击流量大小与被测设备的运行状态判断结果的关系。如,攻击流量大小增加到第一阈值时,被测设备的应用层卡死,攻击流量大小增加到第二阈值时,被测设备的传输层卡死…其他类似的关系不再赘述。
202、在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
发送不同类型协议的探测报文可以一起发送或顺次发送,原理上并无区别,都可以观察出回包的情况。不一样的协议回包也会不一样。一般为了简单不造成混淆,可以顺次发送,从协议的低层到高层逐一发送。
203、根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;
该步骤原理与上一个实施例一样。
204、根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值;
网络攻击时会发送两种流量,一种为攻击流量,目的是向被测设备发动攻击;另一种流量为验证流量,目的是探测被测设备在攻击下处于何种状态。一般来说,攻击流量会以一个固定速率发给被测设备,当流量逐渐变大到一定阈值时,被测设备由于性能有限,一定会出现操作***或firmware卡死。攻击流量逐渐增加使被测设备出现各个卡死情况描述的情况,从而探测出被测设备的各种抗攻击阈值。
以上是对本申请提供的一种工控设备网络攻击测试方法的另一个实施例进行详细的描述,以下将对本申请提供的一种工控设备网络攻击测试方法的另一个实施例进行详细的描述。
请参阅图4,本申请提供的一种工控设备网络攻击测试方法的另一个实施例,包括:
301、对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步;
同步的时钟信息使得***中的每个设备的日志时间是统一的,可比较的,不会出现因设备时钟不统一,而导致同一时刻的日志记录的时间不一致的情况出现,避免对结果分析造成干扰。
302、在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
303、根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;
304、提取被测设备的操作***和应用的日志信息;
可以通过网络管理技术手段自动提取操作***、应用的日志信息,比如,测试管理主机通过syslog的方式向被测设备发起日志请求,对被测设备日志信息进行采集和分析
305、从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
提取日志的时间关键字,对同一时间的日志结果中的“通信中断”“重启”字段进行提取,检测在发送攻击流量时,是否出现了故障日志。例如:根据日志时间,若在ARP攻击期间,被测设备对ARP探测报文无回应,且***日志出现“与被测设备网络通信连接中断”的日志信息,则可得出“该被测设备未能承受住攻击流量测试,攻击测试时firmware或操作***已卡死”的结论。
文本分析结果是用来印证验证流量的结果,如果两者一致,可以自动的判断设备处于故障状态,不需要人工干预。如果攻击流量回包情况与文本分析结果不一致,则发出验证失败信号,工人看到验证失败信号则会进行人工分析,分析被测设备是否故障,考虑:(1)通过人工查看应用界面、操作***状态等判断哪里故障(2)考虑被测设备为什么不回包?是否设置了白名单、黑名单等限制策略。
本实施例在进行网络攻击流量测试的同时,分别用网络测试仪定期发送协议报文对被测设备进行综合探测;从不同层次判断设备运行状态,同时自动读取并比对设备日志信息,综合判断被测设备在网络攻击下的状态。
以上对本申请提供的一种工控设备网络攻击测试方法的另一个实施例进行详细的描述,以下将对本申请提供的一种工控设备网络攻击测试***的一个实施例进行详细的描述。
请参阅图1,本申请提供的一种工控设备网络攻击测试***的一个实施例,包括:
网络测试仪,用于对被测设备进行网络攻击流量测试;在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
测试管理主机,用于根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;
被测设备,连接网络测试仪和测试管理主机。
进一步地,测试管理主机具体用于判断:
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
进一步地,测试管理主机还用于:
提取被测设备的操作***和应用的日志信息;
从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
进一步地,网络测试仪还用于调节网络攻击流量测试的攻击流量大小;
测试管理主机还用于根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。
进一步地,测试管理主机还用于对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。
网络测试仪负责向被测设备发送网络攻击流量和协议探测报文;测试管理主机一方面控制网络测试仪,一方面负责从被测设备远程采集结果信息。这三个部分会组成一个闭环反馈***,测试管理主机会根据被测设备的结果信息来对网络测试仪发送的流量进行调节。
网络测试仪是一种具备以下特点的测试工具:可以仿真2-7层各种协议流量;可以仿真类型丰富的网络攻击流量;仿真流量的速率可以调节,可以通过仿真测试仪实现攻击流量的增大或减小,流量为字节流。
本申请具有下述明显优点:
1、自动化代替人工;
传统的网络攻击测试方法没有形成统一的闭环方式,测试和结果分析是分开执行。一般情况是发起和完成测试后,在被测设备上核对相关的结果参数。这种方法效率很低,需要人工不断干预,不能适应大型的工控设备入网测试。
自动化的测试理念是将整个测试***形成闭环,通过网络协议和日志的方式采集被测设备在测试环境下变化的参数,自动调节测试工具的测试参数,从而达到自动收集测试结果和自动完成参数调节的目的。
2、从多个维度进行设备状态判断,结果准确;
传统的网络攻击测试方法一般基于单个维度进行被测设备状态的诊断,根据单一维度的参数来手工调节测试工具的参数,这样不利于在多个维度综合考虑被测设备在综合因素条件下的表现。
多维的被测设备状态诊断,可以基于综合采集被测设备状态参数,并根据事先设定好的反应策略来综合计算下一步测试的参数调节,从而衡量被测设备在一个综合因素环境下的具体表现。
3、采取不同网络协议结合日志的方法,可以判断出设备出现问题的原因处于网络模型的哪个层次(物理层、操作***层还是应用层);
传统的测试方法只是简单查看被测设备的对应状态和参数,由于许多层面的问题可能导致的状态参数的反应趋于一致,因此很难快速分辨和定位出现问题的层面。
采取不同网络协议结合日志的方法,并且结合自动化的综合分析,就可以实现不同层面的故障定位,从而可以快速确定出现问题的原因处于网络模型的哪个层次。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (10)
1.一种工控设备网络攻击测试方法,其特征在于,包括:
在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。
2.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文;所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括:
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
3.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:
提取被测设备的操作***和应用的日志信息;
从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
4.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:
调节网络攻击流量测试的攻击流量大小;
所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:
根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。
5.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:
对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。
6.一种工控设备网络攻击测试***,根据权利要求1至5中任意一项所述的一种工控设备网络攻击测试方法进行测试,其特征在于,包括:
网络测试仪,用于对被测设备进行网络攻击流量测试;在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;
测试管理主机,用于根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;
被测设备,所述连接网络测试仪和所述测试管理主机。
7.根据权利要求6所述的一种工控设备网络攻击测试***,其特征在于,所述测试管理主机具体用于判断:
若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作***已卡死;
若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作***已卡死;
若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作***网络层没有卡死,而传输层或应用层软件已卡死;
若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作***网络层和传输层没有卡死,而应用层软件已卡死。
8.根据权利要求6所述的一种工控设备网络攻击测试***,其特征在于,所述测试管理主机还用于:
提取被测设备的操作***和应用的日志信息;
从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。
9.根据权利要求6所述的一种工控设备网络攻击测试***,其特征在于,所述网络测试仪还用于调节网络攻击流量测试的攻击流量大小;
所述测试管理主机还用于根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。
10.根据权利要求6所述的一种工控设备网络攻击测试***,其特征在于,所述测试管理主机还用于对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810982351.5A CN109104335A (zh) | 2018-08-27 | 2018-08-27 | 一种工控设备网络攻击测试方法与*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810982351.5A CN109104335A (zh) | 2018-08-27 | 2018-08-27 | 一种工控设备网络攻击测试方法与*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109104335A true CN109104335A (zh) | 2018-12-28 |
Family
ID=64851363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810982351.5A Pending CN109104335A (zh) | 2018-08-27 | 2018-08-27 | 一种工控设备网络攻击测试方法与*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109104335A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535730A (zh) * | 2019-09-23 | 2019-12-03 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN113542029A (zh) * | 2021-07-19 | 2021-10-22 | 凌云天博光电科技股份有限公司 | 一种网络设备的业务稳定性测试方法、***及工具 |
| CN114265383A (zh) * | 2021-11-18 | 2022-04-01 | 北京威努特技术有限公司 | 一种基于电源管理的全自动化工控设备检测方法及*** |
| CN114584466A (zh) * | 2022-02-28 | 2022-06-03 | 湖南亿联无限科技有限公司 | 通信产品返工方法及*** |
| CN114745300A (zh) * | 2022-03-29 | 2022-07-12 | 成都安恒信息技术有限公司 | 网络资产的探测方法、装置、电子装置和存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488890A (zh) * | 2009-01-14 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击测试的方法和*** |
| CN101883020A (zh) * | 2009-04-29 | 2010-11-10 | 丛林网络公司 | 检测恶意网络软件代理 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试***和测试方法 |
| CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
| CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其*** |
| CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及*** |
| CN106412067A (zh) * | 2016-09-30 | 2017-02-15 | 广东电网有限责任公司电力科学研究院 | 基于工控协议模糊测试的数据分层生成方法 |
| WO2017064824A1 (ja) * | 2015-10-15 | 2017-04-20 | 日本電気株式会社 | 監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体 |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测*** |
| CN108111482A (zh) * | 2017-11-24 | 2018-06-01 | 国网天津市电力公司电力科学研究院 | 一种智能电网工业控制网络安全测试***和测试方法 |
-
2018
- 2018-08-27 CN CN201810982351.5A patent/CN109104335A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488890A (zh) * | 2009-01-14 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击测试的方法和*** |
| CN101883020A (zh) * | 2009-04-29 | 2010-11-10 | 丛林网络公司 | 检测恶意网络软件代理 |
| CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试***和测试方法 |
| WO2017064824A1 (ja) * | 2015-10-15 | 2017-04-20 | 日本電気株式会社 | 監視装置、基地局、監視方法、制御方法、及び非一時的なコンピュータ可読媒体 |
| CN105227383A (zh) * | 2015-11-06 | 2016-01-06 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查的装置 |
| CN105450442A (zh) * | 2015-11-06 | 2016-03-30 | 广东电网有限责任公司电力科学研究院 | 一种网络拓扑排查方法及其*** |
| CN106888106A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 智能电网中的it资产大规模侦测*** |
| CN105827613A (zh) * | 2016-04-14 | 2016-08-03 | 广东电网有限责任公司电力科学研究院 | 一种针对变电站工控设备信息安全的测试方法及*** |
| CN106412067A (zh) * | 2016-09-30 | 2017-02-15 | 广东电网有限责任公司电力科学研究院 | 基于工控协议模糊测试的数据分层生成方法 |
| CN108111482A (zh) * | 2017-11-24 | 2018-06-01 | 国网天津市电力公司电力科学研究院 | 一种智能电网工业控制网络安全测试***和测试方法 |
Non-Patent Citations (3)
| Title |
|---|
| 曾纪钧: "工控设备通信协议安全测试技术研究", 《软件》 * |
| 朱广宇: "面向工业互联网环境的模糊测试***设计研究与实现", 《信息通信技术》 * |
| 梁智强: "电网嵌入式设备通信健壮性测试", 《自动化技术与应用》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110535730A (zh) * | 2019-09-23 | 2019-12-03 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
| CN110535730B (zh) * | 2019-09-23 | 2020-12-29 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
| CN112422557A (zh) * | 2020-11-17 | 2021-02-26 | 中国信息安全测评中心 | 一种工控网络的攻击测试方法及装置 |
| CN113542029A (zh) * | 2021-07-19 | 2021-10-22 | 凌云天博光电科技股份有限公司 | 一种网络设备的业务稳定性测试方法、***及工具 |
| CN114265383A (zh) * | 2021-11-18 | 2022-04-01 | 北京威努特技术有限公司 | 一种基于电源管理的全自动化工控设备检测方法及*** |
| CN114584466A (zh) * | 2022-02-28 | 2022-06-03 | 湖南亿联无限科技有限公司 | 通信产品返工方法及*** |
| CN114745300A (zh) * | 2022-03-29 | 2022-07-12 | 成都安恒信息技术有限公司 | 网络资产的探测方法、装置、电子装置和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109104335A (zh) | 一种工控设备网络攻击测试方法与*** | |
| US8443074B2 (en) | Constructing an inference graph for a network | |
| US8006136B2 (en) | Automatic grammar based fault detection and isolation | |
| Nováczki | An improved anomaly detection and diagnosis framework for mobile network operators | |
| CN104932978B (zh) | 一种***运行故障自检测及自修复的方法和*** | |
| WO2009105883A1 (en) | System and method for grammar based test planning | |
| CN109039763A (zh) | 一种基于回溯法的网络故障节点检测方法及网络管理*** | |
| CN112291075B (zh) | 网络故障定位方法、装置、计算机设备及存储介质 | |
| CN107491021A (zh) | 家用电器及其故障诊断***、方法和服务器 | |
| CN105630647A (zh) | 一种设备检测方法及检测设备 | |
| CN107356284A (zh) | 一种检测方法、装置及*** | |
| CN101252477B (zh) | 一种网络故障根源的确定方法及分析装置 | |
| CN102299829B (zh) | 一种网络故障探测与定位的方法 | |
| CN110474821A (zh) | 节点故障检测方法及装置 | |
| CN109688603B (zh) | 网络诊断方法、装置及机器可读存储介质 | |
| CN103716377B (zh) | 一种实现ups远程监控的方法及智能卡 | |
| CN101707503A (zh) | 嵌入式控制通道通讯故障自动定位方法和装置 | |
| CN111431763B (zh) | Sdn控制器的一种连通性检测方法 | |
| CN103731315A (zh) | 一种服务器故障检测方法 | |
| CN110224872A (zh) | 一种通信方法、装置及存储介质 | |
| KR100500836B1 (ko) | 매트로 이더넷망의 장애처리 장치 및 그 방법 | |
| CN112468336B (zh) | 一种网络质量监测预警方法、装置、终端及存储介质 | |
| CN113726808A (zh) | 一种网站监测方法、装置、设备及存储介质 | |
| CN111261271B (zh) | 一种针对视频监控环境的业务可用性诊断方法及装置 | |
| CN112611082A (zh) | 空调机组及其控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181228 |