CN111385253B - 一种面向配电自动化***网络安全的脆弱性检测*** - Google Patents

一种面向配电自动化***网络安全的脆弱性检测*** Download PDF

Info

Publication number
CN111385253B
CN111385253B CN201811623895.9A CN201811623895A CN111385253B CN 111385253 B CN111385253 B CN 111385253B CN 201811623895 A CN201811623895 A CN 201811623895A CN 111385253 B CN111385253 B CN 111385253B
Authority
CN
China
Prior art keywords
script
test
task
module
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811623895.9A
Other languages
English (en)
Other versions
CN111385253A (zh
Inventor
李二霞
何连杰
李玉凌
亢超群
常方圆
孙智涛
许保平
樊勇华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd
State Grid Shandong Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd
State Grid Shandong Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, Electric Power Research Institute of State Grid Shandong Electric Power Co Ltd, State Grid Shandong Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201811623895.9A priority Critical patent/CN111385253B/zh
Publication of CN111385253A publication Critical patent/CN111385253A/zh
Application granted granted Critical
Publication of CN111385253B publication Critical patent/CN111385253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种面向配电自动化***网络安全的脆弱性检测***,所述***包括:漏洞扫描***和配置管理模块;漏洞扫描***和配置管理模块之间通信连接,以进行任务下发工作和结果返回。本发明采用基于插件的漏洞库特征匹配方式,同时检测***还具备强大的自主工控漏洞库;可实现“无损检测漏洞”特点,检测过程不带任何攻击行为,在保证不影响现场业务正常运行的前提下可对主站服务器、应用软件、网络设备、配电终端、协议安全等实施全面扫描。

Description

一种面向配电自动化***网络安全的脆弱性检测***
【技术领域】
本发明属于配电自动化***网络安全技术领域,尤其涉及一种面向配电自动化***网络安全的脆弱性检测***。
【背景技术】
近年来,国外频出电网安全事件,造成大面积停电事故及重大经济损失,社会危害性巨大。由于***漏洞的存在,攻击者在未经授权的情况下会利用存在的漏洞对计算机的软硬件设备,应用服务,甚至是整个网络产生非常恶劣的影响。配电自动化***的运行状况直接影响着用户的供电可靠性,而配电自动化***设备是否存在高危漏洞,目前缺乏检测方法及评判手段,导致***中配电主站服务器、配电终端等设备“带病运行”,给配电自动化***稳定运行带来隐患。目前国内外已具备一些针对互联网***漏洞的检测手段,能够很好的检测通用IT设备的漏洞,但对配电自动化***等工控***不具有专用性,对一些工控***漏洞尚不具备检测能力。如工控***有很多特定的协议,在最初设计时为了兼顾工控***通信的实时性,很多都忽略了协议通信的机密性、可认证性等在当时看起来不必要的附加功能。但随着工控***与信息网络的联系日益密切,工控协议漏洞容易被攻击者利用。同时,配电自动化***长期在线运行,现有漏洞检查设备扫描过程中可能会影响***稳定运行,导致在运设备大面积掉线或停电事故发生。因此,亟需一种新的面向配电自动化***网络安全的脆弱性检测***,本发明采用基于插件的漏洞库特征匹配方式,同时检测***还具备强大的自主工控漏洞库;可实现“无损检测漏洞”特点,检测过程不带任何攻击行为,在保证不影响现场业务正常运行的前提下可对主站服务器、应用软件、网络设备、配电终端、协议安全等实施全面扫描。
【发明内容】
为了解决现有技术中的上述问题,本发明提出了一种面向配电自动化***网络安全的脆弱性检测***,该***包括:漏洞扫描***和配置管理模块;漏洞扫描***和配置管理模块之间通信连接,以进行任务下发工作和结果返回;
所述漏洞扫描***包括任务分析器、脚本引擎、漏洞扫描测试脚本库;其中:任务分析器用于对配置管理模块下发的任务进行分析,脚本引擎用于加载完成所下发任务需要执行的测试脚本,对所述测试脚本进行语法分析和执行,并将测试脚本的执行结果返回给配置管理模块;测试脚本库中保存漏洞扫描测试脚本;
配置管理模块用于下发测试任务以及接收漏洞扫描***返回的测试结果。
进一步的,所述任务分析器用于对配置管理模块下发的任务进行分析;具体的:任务采用指令的方式下发,指令中包含任务名称和任务详情、任务数据地址;当接收到任务数据时,解析任务详情,基于解析结果获取任务数据和创建新的测试进程进行任务处理。
进一步的,所述基于解析结果获取任务数据和创建新的测试进程进行任务处理,具体为:解析任务详情以获取任务类型,当任务类型中脚本执行类型时,获取任务数据地址,并基于所述任务数据地址获取脚本名称及参数信息,基于所述脚本名称和参数信息创建新的测试进程,将所述脚本名称和参数信息拷贝新的测试进程的进程存储空间中。
进一步的,脚本引擎包括脚本调度模块和脚本执行模块、知识库。
进一步的,脚本调度模块对需要执行的测试脚本进行选取,脚本执行模块用于执行所选取的测试脚本。
进一步的,所述脚本调度模块用于读取测试脚本和完成脚本调用的初始化与序列化;所述脚本调度模块包括脚本加载模块和脚本组织模块。
进一步的,所述加载模块用于根据需要执行的脚本名称及参数信息,加载相应的测试脚本,并对其进行初始化;具体的:加载所有的测试脚本,并存储为包含脚本引擎在启动、运行和结束过程中所有信息的全局变量链表;优选的:所述全局变量链表保存在测试进程的进程空间中;当控制权从任务分析器移交给脚本引擎的过程中,通过进程进行数据交换和保存。
进一步的,所述组织模块用于根据脚本的调度策略以及知识库中已存储的相关调度信息,确定脚本的执行顺序,并基于所述执行顺序进行测试脚本的解释和执行。
进一步的,组织模块用于根据脚本的调度策略获取确定初步执行顺序;通过知识库中已存储的相关调度信息对所述初步执行顺序进行调整以获取脚本的执行顺序;基于所述执行顺序进行测试脚本的解释和执行。
进一步的,每个测试脚本有其对应的调度策略,所述调度策略为配置管理模块设置。
本发明的有益效果包括:采用基于插件的漏洞库特征匹配方式,同时检测***还具备强大的自主工控漏洞库;可实现“无损检测漏洞”特点,检测过程不带任何攻击行为,在保证不影响现场业务正常运行的前提下可对主站服务器、应用软件、网络设备、配电终端、协议安全等实施全面扫描。
【附图说明】
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明的脆弱性检测***的结构示意图。
图2是本发明的脚本执行模块结构示意图。
图3是本发明的漏洞扫描策略示意图。
图4是本发明的协议认证测试方法示意图。
图5是本发明的协议加密测试方法示意图。
图6是本发明的漏洞检测结果示意图。
【具体实施方式】
下面将结合附图以及具体实施例来详细说明本发明,其中的示意性实施例以及说明仅用来解释本发明,但并不作为对本发明的限定。
如图1所示,对本发明所应用的一种面向配电自动化***网络安全的脆弱性检测***进行详细说明;
所述脆弱性检测***包括漏洞扫描***和配置管理模块;
漏洞扫描***和配置管理模块之间通信连接,以进行任务下发工作和结果返回;
所述漏洞扫描***包括任务分析器、脚本引擎、漏洞扫描测试脚本库;其中:任务分析器用于对配置管理模块下发的任务进行分析,脚本引擎用于加载完成所下发任务需要执行的测试脚本,对所述测试脚本进行语法分析和执行,并将测试脚本的执行结果返回给配置管理模块;
所述任务分析器用于对配置管理模块下发的任务进行分析;具体的:任务采用指令的方式下发,指令中包含任务名称和任务详情、任务数据地址等;当接收到任务数据时,解析任务详情,基于解析结果获取任务数据和创建新的测试进程进行任务处理;
配置管理模块用于下发测试任务以及接收漏洞扫描***返回的测试结果;所述测试任务中包含测试所需要的脚本名称及其参数信息;还包含任务名称和任务详情、任务数据地址;当接收到任务数据时,解析任务详情;还用于为所需要的没给测试脚本配置调度策略;所述调度策略可以是一个初始的默认调度策略;
所述基于解析结果获取任务数据和创建新的测试进程进行任务处理,具体为:解析任务详情以获取任务类型,当任务类型中脚本执行类型时,获取任务数据地址,并基于所述任务数据地址获取脚本名称及参数信息,基于所述脚本名称和参数信息创建新的测试进程,将所述脚本名称和参数信息拷贝新的测试进程的进程存储空间中;这样就能够通过进程体本身进行数据的传递,任务分析器和脚本引擎之间没有共享存储空间,避免了数据污染的可能性;
所述任务详情包含任务类型,任务可分为多种类型,主要类型如下:
CREQ_ATTACHED_FILE:收到的内容为文件类型,将对收到的文件进行存储;
CREQ_LONG_ATTACK:收到脚本执行命令,将调用指定的脚本(策略配置选取)对配置目标进行发包检测;
CREQ_PAUSE_WHOLE_TEST:向所有的测试进程发送SIGUSR1信号,以暂停所有的测试;
CREQ_PLUGIN_INFO:获取指定OID值的测试脚本信息;
CREQ_PREFERENCES:获取扫描引擎参数信息;
CREQ_RESUME_WHOLE_TEST:向所有的测试进程发送SIGUSR2信号,以恢复被暂停的测试;
CREQ_STOP_ATTACK:向指定主机的测试进程发送SIGTERM信号,以结束扫描进程;
CREQ_STOP_WHOLE_TEST:向所有主机的测试进程发送SIGTERM信号,结束所有的扫描进程;
CREQ_NVT_INFO:获得NVT脚本库信息;
CREQ_UNKNOWN:默认类型,收到的任务不合规或无法解析,不对此任务请求进行处理;
脚本引擎包括脚本调度模块和脚本执行模块、知识库;其中,脚本调度模块对需要执行的测试脚本进行选取,脚本执行模块用于执行所选取的测试脚本;
所述脚本调度模块用于读取测试脚本和完成脚本调用的初始化与序列化;所述脚本调度模块包括脚本加载模块和脚本组织模块;
所述加载模块用于根据需要执行的脚本名称及参数信息,加载相应的测试脚本,并对其进行初始化;具体的:加载所有的测试脚本,并存储为包含脚本引擎在启动、运行和结束过程中所有信息的全局变量链表;优选的:所述全局变量链表保存在测试进程的进程空间中;当控制权从任务分析器移交给脚本引擎的过程中,通过进程进行数据交换和保存;
所述组织模块用于根据脚本的调度策略以及知识库中已存储的相关调度信息,确定脚本的执行顺序,并基于所述执行顺序进行测试脚本的解释和执行;具体的;组织模块用于根据脚本的调度策略获取确定初步执行顺序;通过知识库中已存储的相关调度信息对所述初步执行顺序进行调整以获取脚本的执行顺序;基于所述执行顺序进行测试脚本的解释和执行;
优选的:每个测试脚本有其对应的调度策略,所述调度策略为配置管理模块设置;所述调度策略中包含脚本的运行状态、策略编码、优先级、超时时间、tcp端口、udp端口,所需要的全局变量链表中节点标识、强制需要的全局变量链表中节点标识等;
所述组织模块用于根据脚本的调度策略获取确定初步执行顺序,具体为:组织模块获取所有的测试脚本,并基于所述测试脚本的调度策略获取调度策略的策略类型,并基于所述调度策略的类型获取其对应的优先级;基于所述优先级以及策略编码确定初步执行顺序;下表为策略类型及其优先级的对照表;
表1:策略类型及其优先级对照表
Figure BDA0001927558460000071
Figure BDA0001927558460000081
所述基于所述优先级以及策略编码确定初步执行顺序,具体为:将脚本策略按照优先级大小进行排序,优先级越大执行顺序越靠前,反之亦然;如果两个测试脚本的优先级大小相同,则按照策略编码进行排序,当策略编码的值越小,则执行顺序越靠前;
所述通过知识库中已存储的相关调度信息对所述初步执行顺序进行调整以获取脚本的执行顺序,具体为:基于测试脚本之间的依赖关系进行初步执行顺序的调整以得到执行顺序;
所述基于测试脚本之间的依赖关系进行初步执行顺序的调整以得到执行顺序;具体为:初步执行顺序中的两个测试脚本的执行顺序违反所述两个测试脚本之间的先后顺序要求时,将所述两个测试脚本的顺序进行调整以满足所述先后顺序要求;将满足先后顺序要求的执行顺序作为执行顺序;
所述基于所述执行顺序进行测试脚本的解释和执行,具体为:基于执行环境预断待执行测试脚本运行需求是否能够被脚本引擎的执行环境满足,如果能够满足,则继续执行所述测试脚本;否则,将所述执行脚本在执行顺序上进行推后处理;该对脚本调度的进行的优化,最为直接有效的方法是确认脚本引擎处于何种情况,而无需启动该脚本。例如,脚本需要建立到远程主机123/TCP端口的连接,如果知道这个端口已经被关闭,就没有必要再运行此脚本。对知识库中相关信息进行操作,确定脚本的调度策略;
所述将所述执行脚本在执行顺序上进行推后处理,具体为:将所述执行脚本放在不同于所述执行顺序队列的等待队列中,并定期的对执行环境进行检查,在执行环境能够满足所述测试脚本运行需求时,唤醒所述测试脚本,并将所述测试脚本放在执行顺序中的首位;
优选的:通过查询知识库和测试脚本对应的调度策略以获取测试脚本的运行需求;通过查询全局变量链表以获取执行环境信息;
优选的:脚本引擎从进程空间中获取测试任务需要完成的测试脚本及其参数信息;
***将加载所有的脚本,并存储为arglist结构,其为一个全局变量链表,包含引擎在启动、运行和结束过程中的所有信息,包含启动配置、脚本解释执行以及返回信息等,其节点的数据结构中包含节点名称、节点类型(代表所保存的信息的类型)、节点值(代表所保保存信息的内容)、节点长度、节下一节点地址、节点编号(根据哈希算法计算)等信息;脚本引擎所需要的每一种信息,比如脚本信息、目标主机信息等都包含在与其对应的一个链表中,这些链表都连接在全局变量链表上,脚本引擎启动时会初始化一个空的全局变量链表,在运行期间填写该全局变量链表;脚本引擎在运行过程中从所述全局变量链表中搜索所需要的信息;全局变量链表随着脚本引擎的运行,每个节点上的信息是实时修改的;
所述脚本引擎在运行过程中从所述全局变量链表中搜索所需要的信息,具体为:脚本引擎中保存全局变量链表摘要表;脚本引擎通过所述摘要表对全局变量链表进行搜索;所述全局变量链表摘要表中保存了节点摘要值及其类型、位置的对应关系;所述摘要值为节点的关键性信息,所述关键性信息为常见的搜索内容、键值等;脚本引擎在对全局变量链表的修改后需要实时的修改所述摘要表;
所述知识库,用于进行测试脚本的保存以及进行测试脚本信息的间交互;在脚本引擎的工作中,将脚本执行收集到的信息保存在知识库中,可有效避免重复扫描,减少不必要的资源浪费,提高工作效率;
脚本引擎维护的脚本知识库,记录了一些脚本运行后所得到的有用信息,如操作***的类型、打开的端口、提供的服务、登陆的账户等;利用知识库可以进行脚本间的信息交互,为一些脚本的运行提供基础,同时,也简化了脚本代码的编写;例如;无需在测试脚本中写明运行中需要依赖的***环境、端口状态等信息;在测试脚本在实际执行过程中,对于所依赖的***环境、端口状态等信息,通过查询知识库来做出合理的操作;例如:基于脚本的类型进行脚本相关信息的查询;脚本引擎在维护的过程中,基于脚本中的共性进行知识库的自动填充;在脚本引擎的对脚本执行完毕后,基于执行过程中的执行信息,进行知识库的填充;
如图2所示:脚本执行模块用于解释执行具体的测试脚本;脚本执行模块包含脚本解释器,脚本解释器将按照测试脚本中语句的动态顺序,逐句地进行分析解释,通过词法分析、语法分析、语义分析,结合符号表及出错处理机制,将脚本转换成内部函数及变量并执行;
优选的:在完成脚本的加载及组织后,脚本引擎将调用脚本执行模块来执行具体的测试脚本;
优选的:词法分析主要用于将NASL脚本分成类型与值的二元组,分隔出单个的单词,并填入符号表中;语法分析则是对词法分析阶段形成的字链表进行分析,识别出完整的语句,并进行语法完整性验证;在执行脚本的过程中,识别所定义的各种变量,并将变量填入符号表中;语义分析用于语法分析阶段,对形成的语法树中的每一个语句进行解析,并执行相应的语义动作;
漏洞扫描测试脚本库中保存漏洞扫描测试脚本;漏洞扫描测试脚本使用nasl语言进行编写,测试脚本包括漏洞及脚本描述部分和漏洞测试流程部分;
所述漏洞及脚本描述部分对测试脚本本身以及漏洞本身进描述,包括漏洞名称,漏洞描述,漏洞id号,漏洞cve编号,漏洞bid编号,漏洞cnvd编号,漏洞cnnvd编号,漏洞影响版本,漏洞解决方案,漏洞威胁等级,漏洞所属家族,漏洞相关链接地址,漏洞所需kb值,漏洞强制所需kb值,漏洞排除kb值,漏洞脚本扫描参数等;
所述漏洞测试流程部分为进行漏洞验证的逻辑流程,即发送数据包的方式方法,包括字符串解析、socket相关函数、文件操作相关函数等;
漏洞扫描测试可根据待测设备运行状况及扫描时间安排等,选择相应扫描策略进行漏洞检测;附图3中示出了几种漏洞扫描策略;
就具体的测试脚本的测试策略而言,早期已建成的配电自动化***安全防护体系支持基于非对称密钥技术的单向认证功能,主站下发的遥控命令应带有基于调度证书的数字签名,子站侧或终端侧应能够鉴别主站的数字签名,实现对主站***的控制命令和参数设置指令安全鉴别和数据完整性验证。但终端上线运行时主站对其缺乏认证机制,导致主站对终端真伪缺乏鉴别能力。且主站与终端间的遥测、遥信数据交互为明文传输,容易造成数据泄露、篡改。针对这种情况,利用检测***主动发包与被动截取数据包分析的方式,对配电协议安全认证及加密功能进行检测。目前配电主站与终端普遍采用101/104协议进行通信,因此,通过分析配电101/104协议规约,构造协议建连及通信数据包,主动发送至被测试目标***,通过目标***响应情况来测试其是否进行了有效的认证处理。若使用未认证数据包能顺利与目标***建立连接并通信,则表明目标***未采用认证机制。另外,通过截取101/104协议通信数据包,对其进行深度包解析,通过tshark来过滤指定目标设备IP和指定端口(2404)的数据包,然后通过tshark内置的60870-5-104-Asdu组件来分析数据包是否符合101/104规约协议,如果符合再提取数据包中的Typeid信息及功能码信息,若提取信息符合101/104标准协议规定,则认为协议未加密。
下面,以104协议为基础,详细分析其协议安全测试方法;例如:104协议安全测试是对运行104协议的配电网***进行协议安全性检查,包括验证104报文是否进行认证、104报文是否进行加密两部分;
本发明的所述脆弱性检测方法,包括如下步骤:
步骤S1:验证报文是否进行认证;具体为:通过主动向已确定运行协议的终端发送报文进行验证(如附图4所示);
步骤S11:确定待验证的所述已确定运行协议的终端是否为运行特定协议的终端;如果是,则进入下一步,否则,进入步骤S1X;
步骤S12:确定是否能够和终端之间建立链接;如果是,则进入下一步,否则;进入步骤S16;
步骤S13:发送协议链路请求测试报文,如果终端返回链路测试成功报文,则进入步骤S14,否则,进入步骤S17;
步骤S14:发送协议总召测试测试报文,如果终端返回总召测试成功报文,则进入步骤S15,否则进入步骤S18;
步骤S15:确定协议未进行认证;
步骤S16:连接出现异常,无法测试协议认证状态;进入步骤S1X;
步骤S17:确定链路请求测试失败,进入步骤S14;
步骤S18:确定总召测试失败,进入步骤S19;
步骤S19,:确定协议已进行认证;
步骤S1X:结束;
步骤S2:验证报文是否进行加密;具体为:通过主动抓取运行协议的终端的端口数据包进行分析,以确定报文是否加密(如附图5所示);
步骤S21:确定终端是否为运行特定协议的终端;如果是,则进入下一步,否则进入步骤S2X;
步骤S22:实时抓取端口数据包;
优选的:通过tshark抓取2404端口数据包;
步骤S23:确定数据包中是否包含特定类型的数据;
优选的:所述特定类型为60870-5-105-Asdu数据;
步骤S24:确定协议未进行加密,进入步骤S2X;
步骤S25:确定协议已进行加密;
步骤S2X:结束;
如附图6所示,本发明的脆弱性检测方法能够快速的发现漏洞,附图6中示出了本发明的漏洞检测结果;
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和终端,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
另外,在不发生矛盾的情况下,上述几个实施例中的技术方案可以相互组合和替换。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。***权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (4)

1.一种面向配电自动化***网络安全的脆弱性检测***,其特征在于,所述检测***包括:漏洞扫描***和配置管理模块;漏洞扫描***和配置管理模块之间通信连接,以进行任务下发工作和结果返回;
所述漏洞扫描***包括任务分析器、脚本引擎、漏洞扫描测试脚本库;其中:任务分析器用于对配置管理模块下发的任务进行分析,脚本引擎用于加载完成所下发任务需要执行的测试脚本,对所述测试脚本进行语法分析和执行,并将测试脚本的执行结果返回给配置管理模块;测试脚本库中保存漏洞扫描测试脚本;
配置管理模块用于下发测试任务以及接收漏洞扫描***返回的测试结果;
所述任务分析器用于对配置管理模块下发的任务进行分析;具体的:任务采用指令的方式下发,指令中包含任务名称和任务详情、任务数据地址;当接收到任务数据时,解析任务详情,基于解析结果获取任务数据和创建新的测试进程进行任务处理;
所述基于解析结果获取任务数据和创建新的测试进程进行任务处理,具体为:解析任务详情以获取任务类型,当任务类型中脚本执行类型时,获取任务数据地址,并基于所述任务数据地址获取脚本名称及参数信息,基于所述脚本名称和参数信息创建新的测试进程,将所述脚本名称和参数信息拷贝新的测试进程的进程存储空间中;
脚本引擎包括脚本调度模块和脚本执行模块、知识库;
脚本调度模块对需要执行的测试脚本进行选取,脚本执行模块用于执行所选取的测试脚本;
所述脚本调度模块用于读取测试脚本和完成脚本调用的初始化与序列化;所述脚本调度模块包括脚本加载模块和脚本组织模块;
所述加载模块用于根据需要执行的脚本名称及参数信息,加载相应的测试脚本,并对其进行初始化;具体的:加载所有的测试脚本,并存储为包含脚本引擎在启动、运行和结束过程中所有信息的全局变量链表;全局变量链表保存在测试进程的进程空间中;当控制权从任务分析器移交给脚本引擎的过程中,通过进程进行数据交换和保存。
2.根据权利要求1所述的面向配电自动化***网络安全的脆弱性检测***,其特征在于,所述组织模块用于根据脚本的调度策略以及知识库中已存储的相关调度信息,确定脚本的执行顺序,并基于所述执行顺序进行测试脚本的解释和执行。
3.根据权利要求2所述的面向配电自动化***网络安全的脆弱性检测***,其特征在于,组织模块用于根据脚本的调度策略获取确定初步执行顺序;通过知识库中已存储的相关调度信息对所述初步执行顺序进行调整以获取脚本的执行顺序;基于所述执行顺序进行测试脚本的解释和执行。
4.根据权利要求3所述的面向配电自动化***网络安全的脆弱性检测***,其特征在于,每个测试脚本有其对应的调度策略,所述调度策略为配置管理模块设置。
CN201811623895.9A 2018-12-28 2018-12-28 一种面向配电自动化***网络安全的脆弱性检测*** Active CN111385253B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811623895.9A CN111385253B (zh) 2018-12-28 2018-12-28 一种面向配电自动化***网络安全的脆弱性检测***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811623895.9A CN111385253B (zh) 2018-12-28 2018-12-28 一种面向配电自动化***网络安全的脆弱性检测***

Publications (2)

Publication Number Publication Date
CN111385253A CN111385253A (zh) 2020-07-07
CN111385253B true CN111385253B (zh) 2023-05-23

Family

ID=71217972

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811623895.9A Active CN111385253B (zh) 2018-12-28 2018-12-28 一种面向配电自动化***网络安全的脆弱性检测***

Country Status (1)

Country Link
CN (1) CN111385253B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111737697B (zh) * 2020-08-06 2020-12-25 中国人民解放军国防科技大学 一种基于原子化功能的安全扫描***及扫描方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082659A (zh) * 2009-12-01 2011-06-01 厦门市美亚柏科信息股份有限公司 一种面向网络安全评估的漏洞扫描***及其处理方法
CN102567669A (zh) * 2011-12-23 2012-07-11 广东电网公司电力科学研究院 用于等保测评中数据库安全的自动测评方法及其***
CN103106368A (zh) * 2013-02-26 2013-05-15 南京理工大学常熟研究院有限公司 一种面向等级保护的漏洞扫描方法
CN107729234A (zh) * 2017-09-29 2018-02-23 郑州云海信息技术有限公司 测试用例的调度执行方法、装置、设备及计算机存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9160624B2 (en) * 2012-07-03 2015-10-13 Opera Software Ireland Limited Linked list scripting engine

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102082659A (zh) * 2009-12-01 2011-06-01 厦门市美亚柏科信息股份有限公司 一种面向网络安全评估的漏洞扫描***及其处理方法
CN102567669A (zh) * 2011-12-23 2012-07-11 广东电网公司电力科学研究院 用于等保测评中数据库安全的自动测评方法及其***
CN103106368A (zh) * 2013-02-26 2013-05-15 南京理工大学常熟研究院有限公司 一种面向等级保护的漏洞扫描方法
CN107729234A (zh) * 2017-09-29 2018-02-23 郑州云海信息技术有限公司 测试用例的调度执行方法、装置、设备及计算机存储介质

Also Published As

Publication number Publication date
CN111385253A (zh) 2020-07-07

Similar Documents

Publication Publication Date Title
CN109325351B (zh) 一种基于众测平台的安全漏洞自动化验证***
Lv Security of internet of things edge devices
CN109800160B (zh) 机器学习***中的集群服务器故障测试方法和相关装置
CN111092910B (zh) 数据库安全访问方法、装置、设备、***及可读存储介质
CN111884989B (zh) 一种针对电力web***的漏洞探测方法和***
CN114679292B (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN113179271A (zh) 一种内网安全策略检测方法及装置
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
CN111131303A (zh) 一种请求数据的校验***和方法
CN114189383B (zh) 封禁方法、装置、电子设备、介质和计算机程序产品
Chen et al. Detection, traceability, and propagation of mobile malware threats
Ben Jaballah et al. A grey-box approach for detecting malicious user interactions in web applications
CN111385253B (zh) 一种面向配电自动化***网络安全的脆弱性检测***
Tang et al. Ssldetecter: detecting SSL security vulnerabilities of android applications based on a novel automatic traversal method
Morais et al. A model-based attack injection approach for security validation
CN110099041A (zh) 一种物联网防护方法及设备、***
WO2021243555A1 (zh) 一种快应用检测方法、装置、设备及存储介质
CN115296936B (zh) 一种反网络犯罪辅侦的自动化方法及***
CN111385249B (zh) 一种脆弱性检测方法
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
CN113194088B (zh) 访问拦截方法、装置、日志服务器和计算机可读存储介质
Cheng et al. PDFuzzerGen: Policy‐Driven Black‐Box Fuzzer Generation for Smart Devices
CN111639033B (zh) 软件安全威胁分析方法与***
Gaur et al. Prevention of Security Attacks in Cloud Computing
Yuan et al. MQTTactic: Security Analysis and Verification for Logic Flaws in MQTT Implementations

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant