CN111008380A - 一种检测工控***漏洞的方法、装置和电子设备 - Google Patents
一种检测工控***漏洞的方法、装置和电子设备 Download PDFInfo
- Publication number
- CN111008380A CN111008380A CN201911169982.6A CN201911169982A CN111008380A CN 111008380 A CN111008380 A CN 111008380A CN 201911169982 A CN201911169982 A CN 201911169982A CN 111008380 A CN111008380 A CN 111008380A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- industrial control
- target
- information
- vulnerability information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种检测工控***漏洞的方法、装置和电子设备,涉及网络安全的技术领域,包括:获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口;基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果;基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,得到待检测工控***的漏洞检测结果。该方法在反馈漏洞检测结果之前增加了漏洞验证的步骤,将已经被修复的漏洞信息进行筛除,使得上报的漏洞检测结果更精准,从而有效缓解了现有技术中的工控***漏洞检测方法存在的漏洞误报率高的技术问题。
Description
技术领域
本发明涉及网络安全的技术领域,尤其是涉及一种检测工控***漏洞的方法、装置和电子设备。
背景技术
工业4.0的到来极大地加快了工控领域的生产效率,越来越多的工控设备运用到生产之中,一旦工控***遭到攻击,将会引发不可衡量的损失,因此,定期对工控***进行漏洞扫描成为了不可或缺的日常工作。现有技术中的工控漏洞扫描装置在扫描得到工控设备的信息之后,直接去漏洞库中查询该设备含有的漏洞信息并将得到的漏洞信息展示给用户,但是如果某些漏洞信息已经被修复,就会出现漏洞误报的情况,影响用户体验。
综上所述,现有技术中的工控***漏洞检测方法存在漏洞误报率高的技术问题。
发明内容
本发明的目的在于提供一种检测工控***漏洞的方法、装置和电子设备,以缓解了现有技术中的工控***漏洞检测方法存在的漏洞误报率高的技术问题。
第一方面,实施例提供一种检测工控***漏洞的方法,包括:获取待检测工控***的IP网段;并确定所述IP网段中每个存活IP的所有开放端口;基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将所述漏洞信息存入漏洞初检结果;基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,并将所述漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到所述待检测工控***的漏洞检测结果。
在可选的实施方式中,在基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息之前,所述方法还包括:判断所述预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,其中,所述目标开放端口为所述所有开放端口中的任意一个;若存在,则将存在目标设备识别脚本的目标开放端口作为工控开放端口。
在可选的实施方式中,基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,包括:利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息,其中,所述目标工控开放端口为所述所有工控开放端口中的任意一个;判断所述预设漏洞信息库中是否存在与所述目标设备信息相匹配的漏洞信息;若存在,则将所述漏洞信息作为所述目标工控开放端口对应的工控设备的漏洞信息。
在可选的实施方式中,基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,包括:在预设漏洞验证插件库中确定与目标漏洞信息相匹配的目标漏洞验证插件,其中,所述目标漏洞信息为所述所有漏洞信息中的任意一个;利用所述目标漏洞验证插件验证所述目标漏洞信息对应的目标漏洞是否已被修复。
在可选的实施方式中,所述漏洞检测结果包括:针对每条漏洞信息的修复方案。
第二方面,实施例提供一种检测工控***漏洞的装置,包括:第一确定模块,用于获取待检测工控***的IP网段;并确定所述IP网段中每个存活IP的所有开放端口;第二确定模块,用于基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将所述漏洞信息存入漏洞初检结果;验证模块,用于基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,并将所述漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到所述待检测工控***的漏洞检测结果。
在可选的实施方式中,所述装置还包括:判断模块,用于判断所述预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,其中,所述目标开放端口为所述所有开放端口中的任意一个;第三确定模块,若存在,则将存在目标设备识别脚本的目标开放端口作为工控开放端口。
在可选的实施方式中,所述第二确定模块包括:扫描单元,用于利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息,其中,所述目标工控开放端口为所述所有工控开放端口中的任意一个;判断单元,用于判断所述预设漏洞信息库中是否存在与所述目标设备信息相匹配的漏洞信息;第一确定单元,若存在,则将所述漏洞信息作为所述目标工控开放端口对应的工控设备的漏洞信息。
第三方面,实施例提供一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述前述实施方式中任一项所述的方法的步骤。
第四方面,实施例提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行前述实施方式中任一项所述的方法。
现有技术中的工控漏洞扫描装置在扫描得到工控设备的信息之后,直接去漏洞库中查询该设备含有的漏洞信息并将得到的漏洞信息展示给用户,如果某些漏洞信息已经被修复,就会出现漏洞误报的情况,影响用户体验,与现有技术相比,本发明提供了一种检测工控***漏洞的方法,首先获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口,再基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果,最后基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到待检测工控***的漏洞检测结果。该方法在反馈待检测工控***的漏洞检测结果之前增加了漏洞验证的步骤,将已经被修复的漏洞信息进行筛除,使得上报的漏洞检测结果更精准,从而有效缓解了现有技术中的工控***漏洞检测方法存在的漏洞误报率高的技术问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种检测工控***漏洞的方法流程图;
图2为本发明实施例提供的一种可选的检测工控***漏洞的方法流程图;
图3为本发明实施例提供的一种基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息的流程图;
图4为本发明实施例提供的一种检测工控***漏洞的装置的功能模块图;
图5为本发明实施例提供的一种电子设备的示意图。
图标:100-第一确定模块;200-第二确定模块;300-验证模块;60-处理器;61-存储器;62-总线;63-通信接口。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
为了工控***的生产安全,对工控***进行漏洞扫描是必不可少的日常工作,现有技术中的工控漏洞扫描装置在扫描得到工控设备的信息之后,直接去漏洞库中查询该设备含有的漏洞信息并将得到的漏洞信息展示给用户,但是如果某些漏洞信息已经被修复,就会出现漏洞误报的情况,影响用户体验,有鉴于此,本发明实施例提供了一种检测工控***漏洞的方法,用以缓解漏洞误报的技术问题。
实施例一
本发明实施例提供了一种检测工控***漏洞的方法,如图1所示,该方法具体包括如下步骤:
步骤S12,获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口。
在本发明实施例中,要对待检测工控***进行漏洞扫描,首先需要获取待检测工控***的IP(Internet Protocol,互联网协议)网段,上述IP网段涵盖了待检测工控***中所有设备的IP地址,IP网段中的IP地址可以为一个,也可以为多个。
进一步的,再对上述IP网段进行扫描,确定出IP网段中每个存活IP的所有开放端口,在本发明实施例中,将开放端口进行了分类,一种为工控开放端口,即供工控设备使用的开放端口,另一种为非工控开放端口,即供其他非工控设备使用的开放端口,不同开放端口对应的是不同的协议,例如,502端口对应modbus协议,1922端口对应fox协议,44818端口对应enip(EtherNet/IP,工业以太网)协议。
在一些实施例中,可以调用开源的masscan工具对IP网段进行扫描,以获取被扫描IP网段中的所有存活IP以及每个存活IP的所有开放端口,还可以选择使用nmap或者netcat等工具来探测IP的存活状态以及端口的开放状态,扫描得到的结果可以存储在activemq或其他类型的消息队列中,以供后续漏洞探测使用。
步骤S14,基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果。
在本发明实施例中,设有预设设备识别脚本库和预设漏洞信息库,其中,预设设备识别脚本库是存储了所有工控开放端口的设备识别脚本的数据库,每一种工控开放端口都对应一种设备识别脚本,并存储在预设设备识别脚本库中;预设漏洞信息库是存储了多个工控设备漏洞信息的数据库,利用工控设备信息就可以在预设漏洞信息库中查询是否存在漏洞。所以在获取到待检测工控***的所有端口开放状态后,就可以基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,再将得到的所有漏洞信息存入漏洞初检结果,其中,漏洞信息包括:漏洞类型、漏洞的cve(CommonVulnerabilities&Exposures,公共漏洞和暴露)编号,漏洞风险等级等信息。
在确定每个工控开放端口的漏洞信息时,可以循环从上一步骤得到的消息队列中取出一个存活IP及工控开放端口的组合,再从预设设备识别脚本库中找出对应的设备识别脚本,然后再依次执行后续的步骤。
步骤S16,基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到待检测工控***的漏洞检测结果。
具体的,本发明实施例还设置了预设漏洞验证插件库,预设漏洞验证插件库中存储了多个漏洞验证插件,根据工控开放端口的漏洞类型既可以在预设漏洞验证插件库中确定出对应的漏洞验证插件,为了避免漏洞误报,在获取到漏洞初检结果后,还要利用预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将已经被修复的漏洞信息从漏洞初检结果中筛除,进而得到待检测工控***的漏洞检测结果。
现有技术中的工控漏洞扫描装置在扫描得到工控设备的信息之后,直接去漏洞库中查询该设备含有的漏洞信息并将得到的漏洞信息展示给用户,如果某些漏洞信息已经被修复,就会出现漏洞误报的情况,影响用户体验,与现有技术相比,本发明提供了一种检测工控***漏洞的方法,首先获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口,再基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果,最后基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到待检测工控***的漏洞检测结果。该方法在反馈待检测工控***的漏洞检测结果之前增加了漏洞验证的步骤,将已经被修复的漏洞信息进行筛除,使得上报的漏洞检测结果更精准,从而有效缓解了现有技术中的工控***漏洞检测方法存在的漏洞误报率高的技术问题。
上文中已经对检测工控***漏洞的方法进行了简单的描述,下面对其中涉及到的一些步骤进行详细介绍。
在一个可选的实施方式中,如图2所示,在步骤S14,基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息之前,本发明方法还包括如下步骤:
步骤S131,判断预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本。
具体的,在获取到待检测工控***中每个存活IP的所有开放端口之后,鉴于开放端口中包括一些非工控开放端口,且预设设备识别脚本库中仅存储了工控设备的设备识别脚本,所以可以通过判断预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,即可确定出哪些开放端口是工控开放端口,哪些是非工控开放端口,其中,目标开放端口为所有开放端口中的任意一个。
若存在相匹配的目标设备识别脚本,则执行步骤S132,若不存在,则说明该目标开放端口不是工控开放端口,例如,RTSP(Real Time Streaming Protocol,实时流传输协议)服务器的缺省端口都是554,因此端口号为554的开放端口为非工控开放端口;端口号为848,代表支持GDOI(Group Domain ofInterpretation,组解释域)协议,也属于非工控开放端口。
步骤S132,将存在目标设备识别脚本的目标开放端口作为工控开放端口。
在一个可选的实施方式中,如图3所示,上述步骤S14,基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,具体包括如下步骤:
步骤S141,利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息。
上文中已经介绍了,能够在预设设备识别脚本库中确定对应的设备识别脚本的端口即为工控开放端口,所以在为每个目标工控开放端口匹配到对应的设备识别脚本后,就可以利用上述设备识别脚本对目标工控开放端口进行扫描,进而得到目标设备信息,其中,目标工控开放端口为所有工控开放端口中的任意一个,目标设备信息包括:设备名称(product),设备版本号(version),设备供应商(vendor)。
步骤S142,判断预设漏洞信息库中是否存在与目标设备信息相匹配的漏洞信息。
若存在,则执行步骤S143,若不存在,则说明该目标设备信息对应的工控设备不存在漏洞。
步骤S143,将漏洞信息作为目标工控开放端口对应的工控设备的漏洞信息。
在确定了目标工控开放端口对应的目标设备信息后,就可以在预设漏洞信息库中查询漏洞信息,匹配不到说明目标设备信息对应的工控设备不存在漏洞,将所有匹配到的漏洞信息作为目标工控开放端口对应的工控设备的漏洞信息,然后可以将上述漏洞信息都存入漏洞初检结果。
在一个可选的实施方式中,上述步骤S16,基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,具体包括如下步骤:
步骤S161,在预设漏洞验证插件库中确定与目标漏洞信息相匹配的目标漏洞验证插件。
具体的,上文中已经对预设漏洞验证插件库进行了介绍,工控开放端口存在的漏洞类型就是每个漏洞验证插件的识别信息,所以可以在预设漏洞验证插件库中确定与目标漏洞信息相匹配的目标漏洞验证插件,其中,目标漏洞信息为所有漏洞信息中的任意一个。
步骤S162,利用目标漏洞验证插件验证目标漏洞信息对应的目标漏洞是否已被修复。
在得到目标漏洞验证插件后,就可以验证出目标漏洞信息对应的目标漏洞是否已经被修复,并将目标漏洞是否真正存在的信息进行反馈。在本发明实施例中,漏洞验证插件是模拟漏洞攻击的插件,因为漏洞是已知存在的漏洞,并且存在模拟还原漏洞的方案,漏洞验证插件的构建其实就是根据已知的漏洞还原方式将该过程进行脚本化的过程,不同的漏洞具有不同的验证过程,本发明实施例不对其进行一一的说明,漏洞验证的过程就是与工控开放端口对应的工控设备进行通信的过程,并根据通信过程中反馈的数据确定验证结果。
在确定出漏洞信息中哪些漏洞已经被修复后,将已被修复的漏洞从漏洞初检结果中筛除,筛除之后即可得到待检测工控***的漏洞检测结果。
在一个可选的实施方式中,漏洞检测结果包括:针对每条漏洞信息的修复方案。
具体的,为了提供更好的用户体验,在反馈漏洞检测结果时,可以将每条漏洞信息的修复指导信息(修复方案)一并进行反馈,修复方案可以预存在预设漏洞信息库中,与漏洞信息一一对应存储。
综上所述,本发明实施例提供的检测工控***漏洞的方法,通过在反馈待检测工控***的漏洞检测结果之前增加漏洞验证的步骤,帮助待检测工控***扫描出真正存在的漏洞,减少了现有的工控漏扫误报的情况,同时,漏洞检测结果还能提供漏洞修复指导信息,辅助建立更加安全的工控生产环境,提高了用户体验。
实施例二
本发明实施例还提供了一种检测工控***漏洞的装置,该检测工控***漏洞的装置主要用于执行上述实施例一所提供的检测工控***漏洞的方法,以下对本发明实施例提供的检测工控***漏洞的装置做具体介绍。
图4是本发明实施例提供的一种检测工控***漏洞的装置的功能模块图,如图4所示,该装置主要包括:第一确定模块100,第二确定模块200,验证模块300,其中:
第一确定模块100,用于获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口。
第二确定模块200,用于基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果。
验证模块300,用于基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到待检测工控***的漏洞检测结果。
现有技术中的工控漏洞扫描装置在扫描得到工控设备的信息之后,直接去漏洞库中查询该设备含有的漏洞信息并将得到的漏洞信息展示给用户,如果某些漏洞信息已经被修复,就会出现漏洞误报的情况,影响用户体验,与现有技术相比,本发明提供了一种检测工控***漏洞的装置,首先获取待检测工控***的IP网段;并确定IP网段中每个存活IP的所有开放端口,再基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将漏洞信息存入漏洞初检结果,最后基于预设漏洞验证插件库对漏洞初检结果中的所有漏洞信息进行验证,并将漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到待检测工控***的漏洞检测结果。该装置在反馈待检测工控***的漏洞检测结果之前增加了漏洞验证的步骤,将已经被修复的漏洞信息进行筛除,使得上报的漏洞检测结果更精准,从而有效缓解了现有技术中的工控***漏洞检测方法存在的漏洞误报率高的技术问题。
可选的,本发明装置还包括:
判断模块,用于判断预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,其中,目标开放端口为所有开放端口中的任意一个。
第三确定模块,若存在,则将存在目标设备识别脚本的目标开放端口作为工控开放端口。
可选的,第二确定模块200包括:
扫描单元,用于利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息,其中,目标工控开放端口为所有工控开放端口中的任意一个。
判断单元,用于判断预设漏洞信息库中是否存在与目标设备信息相匹配的漏洞信息。
第一确定单元,若存在,则将漏洞信息作为目标工控开放端口对应的工控设备的漏洞信息。
可选的,验证模块300包括:
第二确定单元,用于在预设漏洞验证插件库中确定与目标漏洞信息相匹配的目标漏洞验证插件,其中,目标漏洞信息为所有漏洞信息中的任意一个。
验证单元,用于利用目标漏洞验证插件验证目标漏洞信息对应的目标漏洞是否已被修复。
可选的,漏洞检测结果包括:针对每条漏洞信息的修复方案。
实施例三
参见图5,本发明实施例提供了一种电子设备,该电子设备包括:处理器60,存储器61,总线62和通信接口63,所述处理器60、通信接口63和存储器61通过总线62连接;处理器60用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器60在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器60中,或者由处理器60实现。
处理器60可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器60读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的一种检测工控***漏洞的方法、装置和电子设备的计算机程序产品,包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂,而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平,并不是表示该结构一定要完全水平,而是可以稍微倾斜。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种检测工控***漏洞的方法,其特征在于,包括:
获取待检测工控***的IP网段;并确定所述IP网段中每个存活IP的所有开放端口;
基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将所述漏洞信息存入漏洞初检结果;
基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,并将所述漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到所述待检测工控***的漏洞检测结果。
2.根据权利要求1所述的方法,其特征在于,在基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息之前,所述方法还包括:
判断所述预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,其中,所述目标开放端口为所述所有开放端口中的任意一个;
若存在,则将存在目标设备识别脚本的目标开放端口作为工控开放端口。
3.根据权利要求2所述的方法,其特征在于,基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,包括:
利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息,其中,所述目标工控开放端口为所述所有工控开放端口中的任意一个;
判断所述预设漏洞信息库中是否存在与所述目标设备信息相匹配的漏洞信息;
若存在,则将所述漏洞信息作为所述目标工控开放端口对应的工控设备的漏洞信息。
4.根据权利要求3所述的方法,其特征在于,基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,包括:
在预设漏洞验证插件库中确定与目标漏洞信息相匹配的目标漏洞验证插件,其中,所述目标漏洞信息为所述所有漏洞信息中的任意一个;
利用所述目标漏洞验证插件验证所述目标漏洞信息对应的目标漏洞是否已被修复。
5.根据权利要求1所述的方法,其特征在于,所述漏洞检测结果包括:针对每条漏洞信息的修复方案。
6.一种检测工控***漏洞的装置,其特征在于,包括:
第一确定模块,用于获取待检测工控***的IP网段;并确定所述IP网段中每个存活IP的所有开放端口;
第二确定模块,用于基于预设设备识别脚本库和预设漏洞信息库确定所有工控开放端口对应的工控设备的漏洞信息,并将所述漏洞信息存入漏洞初检结果;
验证模块,用于基于预设漏洞验证插件库对所述漏洞初检结果中的所有漏洞信息进行验证,并将所述漏洞初检结果中已被修复的漏洞信息筛除,筛除之后得到所述待检测工控***的漏洞检测结果。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
判断模块,用于判断所述预设设备识别脚本库中是否存在与目标开放端口相匹配的目标设备识别脚本,其中,所述目标开放端口为所述所有开放端口中的任意一个;
第三确定模块,若存在,则将存在目标设备识别脚本的目标开放端口作为工控开放端口。
8.根据权利要求7所述的装置,其特征在于,所述第二确定模块包括:
扫描单元,用于利用与目标工控开放端口相匹配的设备识别脚本对目标工控开放端口进行扫描,得到目标设备信息,其中,所述目标工控开放端口为所述所有工控开放端口中的任意一个;
判断单元,用于判断所述预设漏洞信息库中是否存在与所述目标设备信息相匹配的漏洞信息;
第一确定单元,若存在,则将所述漏洞信息作为所述目标工控开放端口对应的工控设备的漏洞信息。
9.一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至5中任一项所述的方法的步骤。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911169982.6A CN111008380B (zh) | 2019-11-25 | 2019-11-25 | 一种检测工控***漏洞的方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911169982.6A CN111008380B (zh) | 2019-11-25 | 2019-11-25 | 一种检测工控***漏洞的方法、装置和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111008380A true CN111008380A (zh) | 2020-04-14 |
| CN111008380B CN111008380B (zh) | 2022-05-31 |
Family
ID=70113250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911169982.6A Active CN111008380B (zh) | 2019-11-25 | 2019-11-25 | 一种检测工控***漏洞的方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111008380B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控***的漏洞检测方法和装置 |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112581027A (zh) * | 2020-12-29 | 2021-03-30 | 国网河北省电力有限公司电力科学研究院 | 一种风险信息管理方法、装置、电子设备及存储介质 |
| CN112668010A (zh) * | 2020-12-17 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 扫描工业控制***的漏洞的方法、***及计算设备 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测***及方法 |
| CN112711574A (zh) * | 2021-01-15 | 2021-04-27 | 光通天下网络科技股份有限公司 | 数据库安全性检测方法、装置、电子设备及介质 |
| CN112883031A (zh) * | 2021-02-24 | 2021-06-01 | 杭州迪普科技股份有限公司 | 工控资产信息获取方法及装置 |
| CN113672929A (zh) * | 2020-05-14 | 2021-11-19 | 阿波罗智联(北京)科技有限公司 | 漏洞特征获取方法、装置及电子设备 |
| CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
| CN114928495A (zh) * | 2022-05-31 | 2022-08-19 | 江苏保旺达软件技术有限公司 | 一种安全检测方法、装置、设备及存储介质 |
| CN115021952A (zh) * | 2022-04-15 | 2022-09-06 | 国网智能电网研究院有限公司 | 一种漏洞验证方法、装置、存储介质及电子设备 |
| CN116776338A (zh) * | 2023-07-28 | 2023-09-19 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100125663A1 (en) * | 2008-11-17 | 2010-05-20 | Donovan John J | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| CN102769536A (zh) * | 2011-12-16 | 2012-11-07 | 北京安天电子设备有限公司 | 局域网终端漏洞修复情况呈现的方法及*** |
| CN106973071A (zh) * | 2017-05-24 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种漏洞扫描方法和装置 |
| CN108200029A (zh) * | 2017-12-27 | 2018-06-22 | 北京知道创宇信息技术有限公司 | 漏洞态势检测方法、装置、服务器及可读存储介质 |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控***漏洞探测方法及*** |
| CN110347700A (zh) * | 2019-06-28 | 2019-10-18 | 北京威努特技术有限公司 | 静态漏洞库匹配方法、装置、电子设备及可读存储介质 |
-
2019
- 2019-11-25 CN CN201911169982.6A patent/CN111008380B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100125663A1 (en) * | 2008-11-17 | 2010-05-20 | Donovan John J | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| CN102769536A (zh) * | 2011-12-16 | 2012-11-07 | 北京安天电子设备有限公司 | 局域网终端漏洞修复情况呈现的方法及*** |
| CN106973071A (zh) * | 2017-05-24 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种漏洞扫描方法和装置 |
| CN108200029A (zh) * | 2017-12-27 | 2018-06-22 | 北京知道创宇信息技术有限公司 | 漏洞态势检测方法、装置、服务器及可读存储介质 |
| CN110008713A (zh) * | 2019-05-06 | 2019-07-12 | 杭州齐安科技有限公司 | 一种新型工控***漏洞探测方法及*** |
| CN110347700A (zh) * | 2019-06-28 | 2019-10-18 | 北京威努特技术有限公司 | 静态漏洞库匹配方法、装置、电子设备及可读存储介质 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113672929A (zh) * | 2020-05-14 | 2021-11-19 | 阿波罗智联(北京)科技有限公司 | 漏洞特征获取方法、装置及电子设备 |
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控***的漏洞检测方法和装置 |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112668010A (zh) * | 2020-12-17 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 扫描工业控制***的漏洞的方法、***及计算设备 |
| CN112581027B (zh) * | 2020-12-29 | 2023-10-31 | 国网河北省电力有限公司电力科学研究院 | 一种风险信息管理方法、装置、电子设备及存储介质 |
| CN112581027A (zh) * | 2020-12-29 | 2021-03-30 | 国网河北省电力有限公司电力科学研究院 | 一种风险信息管理方法、装置、电子设备及存储介质 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测***及方法 |
| CN112711574A (zh) * | 2021-01-15 | 2021-04-27 | 光通天下网络科技股份有限公司 | 数据库安全性检测方法、装置、电子设备及介质 |
| CN112883031A (zh) * | 2021-02-24 | 2021-06-01 | 杭州迪普科技股份有限公司 | 工控资产信息获取方法及装置 |
| CN114095218A (zh) * | 2021-11-05 | 2022-02-25 | 武汉思普崚技术有限公司 | 一种资产漏洞管理方法及装置 |
| CN115021952A (zh) * | 2022-04-15 | 2022-09-06 | 国网智能电网研究院有限公司 | 一种漏洞验证方法、装置、存储介质及电子设备 |
| CN115021952B (zh) * | 2022-04-15 | 2024-03-12 | 国网智能电网研究院有限公司 | 一种漏洞验证方法、装置、存储介质及电子设备 |
| CN114928495A (zh) * | 2022-05-31 | 2022-08-19 | 江苏保旺达软件技术有限公司 | 一种安全检测方法、装置、设备及存储介质 |
| CN116776338A (zh) * | 2023-07-28 | 2023-09-19 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
| CN116776338B (zh) * | 2023-07-28 | 2024-05-10 | 上海螣龙科技有限公司 | 一种多层过滤高精度漏洞检测方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111008380B (zh) | 2022-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111008380B (zh) | 一种检测工控***漏洞的方法、装置和电子设备 | |
| CN110708315A (zh) | 资产漏洞的识别方法、装置和*** | |
| CN106828362B (zh) | 汽车信息的安全测试方法及装置 | |
| CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与*** | |
| CN107888446B (zh) | 一种协议健壮性测试方法及装置 | |
| US10503909B2 (en) | System and method for vulnerability remediation verification | |
| CN112395616A (zh) | 漏洞处理的方法、装置及计算机设备 | |
| CN112087462A (zh) | 一种工控***的漏洞检测方法和装置 | |
| CN110874691A (zh) | 一种总装下线控制方法及*** | |
| CN112653693A (zh) | 一种工控协议分析方法、装置、终端设备及可读存储介质 | |
| CN111030887B (zh) | web服务器发现方法、装置和电子设备 | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN112153062A (zh) | 基于多维度的可疑终端设备检测方法及*** | |
| CN113206849B (zh) | 一种基于ghidra的漏洞扫描方法、装置及相关设备 | |
| CN112464238B (zh) | 漏洞扫描方法及电子设备 | |
| CN111752819B (zh) | 一种异常监控方法、装置、***、设备和存储介质 | |
| CN109711166B (zh) | 漏洞检测方法及装置 | |
| CN109145609B (zh) | 一种数据处理方法和装置 | |
| CN113572826B (zh) | 一种设备信息绑定方法、***及电子设备 | |
| CN115051824A (zh) | 一种垂直越权检测方法、***、设备及存储介质 | |
| CN114629686A (zh) | 一种漏洞攻击检测方法及装置 | |
| CN114281774A (zh) | 一种日志识别方法、装置、电子设备及存储介质 | |
| CN106685966B (zh) | 泄露信息的检测方法、装置及*** | |
| CN113835954A (zh) | 一种动态网络安全监测方法、装置及设备 | |
| KR20210076455A (ko) | Xss 공격 검증 자동화 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |