CN112087462A - 一种工控***的漏洞检测方法和装置 - Google Patents
一种工控***的漏洞检测方法和装置 Download PDFInfo
- Publication number
- CN112087462A CN112087462A CN202010958036.6A CN202010958036A CN112087462A CN 112087462 A CN112087462 A CN 112087462A CN 202010958036 A CN202010958036 A CN 202010958036A CN 112087462 A CN112087462 A CN 112087462A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- vulnerability
- control equipment
- network
- equipment corresponding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims description 41
- 238000004590 computer program Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 5
- 239000000047 product Substances 0.000 description 17
- 238000004891 communication Methods 0.000 description 12
- 238000004519 manufacturing process Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种工控***的漏洞检测方法和装置,涉及设备安全的技术领域,包括:获取待检测工控网络的IP网段和网络协议列表;基于网络协议列表,向IP网段中的每个IP对应的工控设备发送合规检测包,并获取每个IP对应的工控设备基于合规检测包反馈的合规数据包;利用工控设备指纹库和合规数据包,提取出每个IP对应的工控设备的身份信息;基于每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出每个IP对应的工控设备的漏洞信息,解决了现有技术中对工控***进行漏洞检测时存在影响工控设备正常运作的技术问题。
Description
技术领域
本发明涉及设备安全的技术领域,尤其是涉及一种工控***的漏洞检测方法和装置。
背景技术
新基建是政企业务数字化运营进一步深入的加速器,随着信息化和工业化的逐步融合,工业控制***的信息化程度越来越高。通用软硬件和网络设施的广泛使用,打破了传统工业控制***原本的“隔离保护”,在不断促进工业互联网发展的同时,传统IT网络所面临的安全问题逐渐渗透到工业互联网中。然而,与传统IT网络相比,工业互联网的特征更加复杂,不仅其涉及的设备种类更多、更复杂,所使用的公有协议或私有协议更多,同时对整个工业***生产环境的稳定性、实时性要求更高,所以对它构成安全威胁的因素也就更多、更复杂。
但是,现有技术中对工控***进行漏洞检测的过程中,存在的影响工控正常生产环境正常运作的技术问题。
针对上述问题,还未提出有效的解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种工控***的漏洞检测方法和装置,以缓解了现有技术中对工控***进行漏洞检测时存在影响工控设备正常运作的技术问题。
第一方面,本发明实施例提供了一种工控***的漏洞检测方法,包括:获取待检测工控网络的IP网段和网络协议列表;基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
进一步地,所述身份信息包括以下至少之一:设备厂商、设备型号、设备版本号。
进一步地,所述漏洞信息包括以下至少之一:漏洞对应的CVE编号、漏洞对应的CNNVD编号、漏洞对应的CNVD编号、漏洞等级、漏洞类型、漏洞的描述信息、漏洞的解决方案。
进一步地,在获取待检测工控网络的IP网段和网络协议列表之前,所述方法还包括:获取工控设备厂商的产品目录;利用所述工控设备厂商的产品目录,确定工控设备的分类规则;基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
进一步地,基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息,包括:利用所述每个IP对应的工控设备的身份信息和所述漏洞检测规则匹配数据库,确定出所述每个IP对应的工控设备对应的漏洞匹配规则;利用所述每个IP对应的工控设备对应的漏洞匹配规则,确定出所述每个IP对应的工控设备的漏洞;基于所述每个IP对应的工控设备的漏洞和所述漏洞数据库,确定出所述每个IP对应的工控设备对应的漏洞信息。
进一步地,利用仪表盘对所述每个IP对应的工控设备对应的漏洞信息进行显示。
第二方面,本发明实施例提供了一种工控***的漏洞检测装置,包括:获取单元,执行单元,提取单元和确定单元,其中,所述获取单元,用于获取待检测工控网络的IP网段和网络协议列表;所述执行单元,用于基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;所述提取单元,用于利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;所述确定单元,用于基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
进一步地,所述装置还包括:构建单元,所述构建单元用于:获取工控设备厂商的产品目录;利用所述工控设备厂商的产品目录,确定工控设备的分类规则;基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
第三方面,本发明实施例还提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储支持处理器执行上述第一方面中所述方法的程序,所述处理器被配置为用于执行所述存储器中存储的程序。
第四方面,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行第一方面中所述方法的步骤。
在本发明实施例中,获取待检测工控网络的IP网段和网络协议列表;基于网络协议列表,向IP网段中的每个IP对应的工控设备发送合规检测包,并获取每个IP对应的工控设备基于合规检测包反馈的合规数据包;利用工控设备指纹库和合规数据包,提取出每个IP对应的工控设备的身份信息;基于每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出每个IP对应的工控设备的漏洞信息。
在本发明实施例中,根据工控***网络协议,基于合规数据包实现主动探测,而非大规模扫描设备端口,再进行端口识别扫描、***识别扫描的主动式方法对工控***中的设备进行漏洞检测,由于遵循工控环境下原先设计好的协议,达到了不会对工控***生产环境造成影响的目的,进而解决了现有技术中对工控***进行漏洞检测时存在影响工控设备正常运作的技术问题,从而实现了在对工控***内的设备进行漏洞检测时,保证了设备能够正常运作的技术效果。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工控***的漏洞检测方法的流程图;
图2为本发明实施例提供的一种漏洞检测规则匹配数据库的构建方法的流程图;
图3为本发明实施例提供的一种工控设备的漏洞信息的确定方法的流程图;
图4为本发明实施例提供的一种工控***的漏洞检测装置的示意图;
图5为本发明实施例提供的一种电子设备的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在现有技术中,对工控***进行漏洞检测一般采用如下两种方式:
基于被动式的风险检测:网络设备会嗅探所有网络流量,并解析它们以获取可用于资产发现、识别的数据。然而,用于资产发现所需要的流量元数据通常混杂、隐藏在通信交互繁杂的网络流量当中。在大量的网络流量中,寻找可用于识别设备厂商、产品型号、固件版本等关键信息是一项艰巨的任务,就像大海捞针一般,而且并非总能获得准确的结果。这类被动监测的方法,存在技术限制,对于闲置、非活跃的设备,则不会被检测到。检测到的数据量有限,所能识别到的设备数据也极其有限,这样的被动式网络流量监听方式不适合OT(Operational Technology,运营技术)资产管理。
基于massscan、nmap扫描器的主动探测:由于工控网络环境对稳定性、实时性的高度要求,类似nmap等相关传统扫描器仅适合健壮性更强的IT网络,并不适合在OT网络环境下进行扫描、探测。
针对上述两种方式存在的技术问题,本申请提出以下实施例。
实施例一:
根据本发明实施例,提供了一种工控***的漏洞检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种工控***的漏洞检测方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测工控网络的IP网段和网络协议列表;
需要说明的是,上述IP网段中可以包含一个IP,多个IP,或者工控***中的整个IP网段。
对于上述的工控***的网络协议列表,如生产环境中工控设备之间主要以modbus、snmp协议实现通信,则网络协议列表可以只选择modbus、snmp以及其他常用协议;如果生产环境中工控设备之间以S7、snmp协议实现通信,则网络协议列表可选择S7、snmp以及其他常用协议;如果生产环境中工控设备之间以EtherNet/IP协议实现通信,则网络协议列表可选择EtherNet/IP协议以及其他常用协议;当然,如果不确定环境下的通信协议,可以选择默认的所有工控环境通信协议。
步骤S104,基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;
需要说明的是,在OT空间中,每个工控设备所使用的网络协议都具有从设备位置、厂商到固件版本等产品标识的查询元数据,包括Modbus、Ethernet/IP、Profinet、S7等工控专有协议。
元数据属性同样适用于OT中使用的IT协议,例如SNMP协议。工控协议基本都具有查询元数据的特定功能,工控***的网络协议这样的特性设计,能够方便设备厂商在工作站、HMI上发现和获取工控***中各个设备的配置细节,例如Siemens、Rockwell、Schneider-Electric等供应商的设备发现产品也会使用这些协议实现设备配置管理,从而达到利用工控***的网络协议合规探测包采集工控设备的身份信息时能够保证工控设备正常工作。
本申请不是对工控***中的所有网络流量,或者发送大量的端口探测包去扫描设备,而是一次发送适当的、匹配的合规协议的合规检测包,进行设备发现、收集,因此,本申请中的主动探测获取到的合规数据包中仅会包含需要检测的设备信息,从而大大减轻设备探测过程对工控生产环境的影响。
基于工控协议采用特定的协议端口,关联调用与其相对匹配的协议探测包进行工控设备信息的探测,由于采用了遵循工控协议约定的合规检测包,不仅可以准确无误地获取到完整、可靠的设备标识数据,同时不会对稳定性、实时性要求极高的工控网络环境造成影响,本探测方法为无感、无损的主动式方法。利用合规检测包的主动探测方法不仅针对性强,而且仅消耗极少的处理器性能和内存。
步骤S106,利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;
需要说明的是,上述的身份信息包括以下至少之一:设备厂商、设备型号、设备版本号。
步骤S108,基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
需要说明的是,上述的漏洞信息包括以下至少之一:漏洞对应的CVE编号、漏洞对应的CNNVD编号、漏洞对应的CNVD编号、漏洞等级、漏洞类型、漏洞的描述信息、漏洞的解决方案。
在本发明实施例中,根据工控***网络协议,基于合规数据包实现主动探测,而非大规模扫描设备端口,再进行端口识别扫描、***识别扫描的主动式方法对工控***中的设备进行漏洞检测,由于遵循工控环境下原先设计好的协议,达到了不会对工控***生产环境造成影响的目的,进而解决了现有技术中对工控***进行漏洞检测时存在影响工控设备正常运作的技术问题,从而实现了在对工控***内的设备进行漏洞检测时,保证了设备能够正常运作的技术效果。
在本发明实施例中,如图2所示,在获取待检测工控网络的IP网段和网络协议列表之前,所述方法还包括如下步骤:
步骤S11,获取工控设备厂商的产品目录;
步骤S12,利用所述工控设备厂商的产品目录,确定工控设备的分类规则;
步骤S13,基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
漏洞检测规则匹配库,是基于工控各厂商的产品目录册,设计覆盖全面的工控产品精确划分方法,并结合人工审阅厂商漏洞安全公告的漏洞核对方式,建立细致的漏洞检测规则匹配库,实现对工控细分产品的精确检测规则匹配,从而确保能够准确检测到设备中存在的漏洞,大大降低基于静态漏洞检测的误报率,同时避免漏报潜在漏洞的风险。
在本发明实施例中,如图3所示,步骤S108包括如下步骤:
步骤S21,利用所述每个IP对应的工控设备的身份信息和所述漏洞检测规则匹配数据库,确定出所述每个IP对应的工控设备对应的漏洞匹配规则;
步骤S22,利用所述每个IP对应的工控设备对应的漏洞匹配规则,确定出所述每个IP对应的工控设备的漏洞;
步骤S23,基于所述每个IP对应的工控设备的漏洞和所述漏洞数据库,确定出所述每个IP对应的工控设备对应的漏洞信息。
在本发明实施例中,可以利用每个网络协议获取到设备厂商、产品型号、版本号等产品标识元数据,进行厂商、产品的分类,到目标厂商的设备漏洞检测规则库中快速查询与设备匹配的规则,进一步基于查询到的漏洞检测规则完成已知漏洞关联。
因此,可以利用每个IP对应的工控设备的身份信息和漏洞检测规则匹配数据库,确定出每个IP对应的工控设备对应的漏洞匹配规则,然后,利用每个IP对应的工控设备对应的漏洞匹配规则,确定出每个IP对应的工控设备的漏洞。
最后,根据基于每个IP对应的工控设备的漏洞和漏洞数据库,确定出每个IP对应的工控设备对应的漏洞对应的CVE编号、CNNVD编号、CNVD编号、漏洞等级、漏洞类型、漏洞描述、解决方案等漏洞信息。
需要说明的是,基于每个设备所关联到的漏洞列表,对应漏洞库和漏洞信息能够生成可视化报告,并将工控设备的每个漏洞详情通过Web界面进行展示。
在本发明实施例中,所述方法还包括如下步骤:
步骤S110,利用仪表盘对所述每个IP对应的工控设备对应的漏洞信息进行显示。
在本发明实施例中,对整个工控***中的工控设备和工控设备对应的漏洞信息,进行工控设备归类、风险威胁等级、漏洞类型统计等数据分析,并通过仪表盘的方式直观呈现工控网络中每个工控设备对应的漏洞信息。
实施例二:
本发明实施例还提供了一种工控***的漏洞检测装置,该工控***的漏洞检测装置用于执行本发明实施例上述内容所提供的工控***的漏洞检测方法,以下是本发明实施例提供的工控***的漏洞检测装置的具体介绍。
如图4所示,图4为上述工控***的漏洞检测装置的示意图,该工控***的漏洞检测装置包括:获取单元10,执行单元20,提取单元30和确定单元40。
所述获取单元10,用于获取待检测工控网络的IP网段和网络协议列表;
所述执行单元20,用于基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;
所述提取单元30,用于利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;
所述确定单元40,用于基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
在本发明实施例中,根据工控***网络协议,基于合规数据包实现主动探测,而非大规模扫描设备端口,再进行端口识别扫描、***识别扫描的主动式方法对工控***中的设备进行漏洞检测,由于遵循工控环境下原先设计好的协议,达到了不会对工控***生产环境造成影响的目的,进而解决了现有技术中对工控***进行漏洞检测时存在影响工控设备正常运作的技术问题,从而实现了在对工控***内的设备进行漏洞检测时,保证了设备能够正常运作的技术效果。
优选地,所述身份信息包括以下至少之一:设备厂商、设备型号、设备版本号。
优选地,所述漏洞信息包括以下至少之一:漏洞对应的CVE编号、漏洞对应的CNNVD编号、漏洞对应的CNVD编号、漏洞等级、漏洞类型、漏洞的描述信息、漏洞的解决方案。
优选地,所述装置还包括:构建单元,所述构建单元用于:获取工控设备厂商的产品目录;利用所述工控设备厂商的产品目录,确定工控设备的分类规则;基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
优选地,所述确定单元,用于利用所述每个IP对应的工控设备的身份信息和所述漏洞检测规则匹配数据库,确定出所述每个IP对应的工控设备对应的漏洞匹配规则;利用所述每个IP对应的工控设备对应的漏洞匹配规则,确定出所述每个IP对应的工控设备的漏洞;基于所述每个IP对应的工控设备的漏洞和所述漏洞数据库,确定出所述每个IP对应的工控设备对应的漏洞信息。
优选地,所述装置还包括:显示单元,用于利用仪表盘对所述每个IP对应的工控设备对应的漏洞信息进行显示。
实施例三:
本发明实施例还提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储支持处理器执行上述实施例一中所述方法的程序,所述处理器被配置为用于执行所述存储器中存储的程序。
参见图5,本发明实施例还提供一种电子设备100,包括:处理器50,存储器51,总线52和通信接口53,所述处理器50、通信接口53和存储器51通过总线52连接;处理器50用于执行存储器51中存储的可执行模块,例如计算机程序。
其中,存储器51可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该***网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线52可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器51用于存储程序,所述处理器50在接收到执行指令后,执行所述程序,前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器50中,或者由处理器50实现。
处理器50可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器50中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器50可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器51,处理器50读取存储器51中的信息,结合其硬件完成上述方法的步骤。
实施例四:
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例一中所述方法的步骤。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种工控***的漏洞检测方法,其特征在于,包括:
获取待检测工控网络的IP网段和网络协议列表;
基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;
利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;
基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
2.根据权利要求1所述的方法,其特征在于,所述身份信息包括以下至少之一:设备厂商、设备型号、设备版本号。
3.根据权利要求1所述的方法,其特征在于,所述漏洞信息包括以下至少之一:漏洞对应的CVE编号、漏洞对应的CNNVD编号、漏洞对应的CNVD编号、漏洞等级、漏洞类型、漏洞的描述信息、漏洞的解决方案。
4.根据权利要求1所述的方法,其特征在于,在获取待检测工控网络的IP网段和网络协议列表之前,所述方法还包括:
获取工控设备厂商的产品目录;
利用所述工控设备厂商的产品目录,确定工控设备的分类规则;
基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
5.根据权利要求4所述的方法,其特征在于,基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息,包括:
利用所述每个IP对应的工控设备的身份信息和所述漏洞检测规则匹配数据库,确定出所述每个IP对应的工控设备对应的漏洞匹配规则;
利用所述每个IP对应的工控设备对应的漏洞匹配规则,确定出所述每个IP对应的工控设备的漏洞;
基于所述每个IP对应的工控设备的漏洞和所述漏洞数据库,确定出所述每个IP对应的工控设备对应的漏洞信息。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
利用仪表盘对所述每个IP对应的工控设备对应的漏洞信息进行显示。
7.一种工控***的漏洞检测装置,其特征在于,包括:获取单元,执行单元,提取单元和确定单元,其中,
所述获取单元,用于获取待检测工控网络的IP网段和网络协议列表;
所述执行单元,用于基于所述网络协议列表,向所述IP网段中的每个IP对应的工控设备发送合规检测包,并获取所述每个IP对应的工控设备基于所述合规检测包反馈的合规数据包;
所述提取单元,用于利用工控设备指纹库和所述合规数据包,提取出所述每个IP对应的工控设备的身份信息;
所述确定单元,用于基于所述每个IP对应的工控设备的身份信息、漏洞检测规则匹配数据库和漏洞数据库,确定出所述每个IP对应的工控设备的漏洞信息。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:构建单元,所述构建单元用于:
获取工控设备厂商的产品目录;
利用所述工控设备厂商的产品目录,确定工控设备的分类规则;
基于所述分类规则和所述工控设备厂商的漏洞核对方式,构建所述漏洞检测规则匹配数据库。
9.一种电子设备,其特征在于,包括存储器以及处理器,所述存储器用于存储支持处理器执行权利要求1至6任一项所述方法的程序,所述处理器被配置为用于执行所述存储器中存储的程序。
10.一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,其特征在于,计算机程序被处理器运行时执行上述权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010958036.6A CN112087462A (zh) | 2020-09-11 | 2020-09-11 | 一种工控***的漏洞检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010958036.6A CN112087462A (zh) | 2020-09-11 | 2020-09-11 | 一种工控***的漏洞检测方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112087462A true CN112087462A (zh) | 2020-12-15 |
Family
ID=73737657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010958036.6A Pending CN112087462A (zh) | 2020-09-11 | 2020-09-11 | 一种工控***的漏洞检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112087462A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112818357A (zh) * | 2021-03-11 | 2021-05-18 | 北京顶象技术有限公司 | 一种自动化的批量IoT固件风险评估方法和*** |
CN112822210A (zh) * | 2021-02-06 | 2021-05-18 | 华能国际电力股份有限公司 | 一种基于网络资产的漏洞管理*** |
CN113055379A (zh) * | 2021-03-11 | 2021-06-29 | 北京顶象技术有限公司 | 一种面向全网关键基础设施的风险态势感知方法和*** |
CN113343246A (zh) * | 2021-05-28 | 2021-09-03 | 福建榕基软件股份有限公司 | 一种检测数据库漏洞的方法及终端 |
CN114006761A (zh) * | 2021-11-01 | 2022-02-01 | 北京顶象技术有限公司 | 漏洞检测的通信方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110740125A (zh) * | 2019-09-23 | 2020-01-31 | 公安部第一研究所 | 一种针对视频监控设备漏洞检测使用的漏洞库的实现方法 |
CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控***漏洞的方法、装置和电子设备 |
US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
CN111585989A (zh) * | 2020-04-26 | 2020-08-25 | 杭州安恒信息技术股份有限公司 | 联网工控设备的漏洞检测方法、装置和计算机设备 |
-
2020
- 2020-09-11 CN CN202010958036.6A patent/CN112087462A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
CN110740125A (zh) * | 2019-09-23 | 2020-01-31 | 公安部第一研究所 | 一种针对视频监控设备漏洞检测使用的漏洞库的实现方法 |
CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控***漏洞的方法、装置和电子设备 |
CN111585989A (zh) * | 2020-04-26 | 2020-08-25 | 杭州安恒信息技术股份有限公司 | 联网工控设备的漏洞检测方法、装置和计算机设备 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112822210A (zh) * | 2021-02-06 | 2021-05-18 | 华能国际电力股份有限公司 | 一种基于网络资产的漏洞管理*** |
CN112822210B (zh) * | 2021-02-06 | 2023-01-03 | 华能国际电力股份有限公司 | 一种基于网络资产的漏洞管理*** |
CN112818357A (zh) * | 2021-03-11 | 2021-05-18 | 北京顶象技术有限公司 | 一种自动化的批量IoT固件风险评估方法和*** |
CN113055379A (zh) * | 2021-03-11 | 2021-06-29 | 北京顶象技术有限公司 | 一种面向全网关键基础设施的风险态势感知方法和*** |
CN113343246A (zh) * | 2021-05-28 | 2021-09-03 | 福建榕基软件股份有限公司 | 一种检测数据库漏洞的方法及终端 |
CN114006761A (zh) * | 2021-11-01 | 2022-02-01 | 北京顶象技术有限公司 | 漏洞检测的通信方法、装置和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112087462A (zh) | 一种工控***的漏洞检测方法和装置 | |
CN110535727B (zh) | 资产识别方法和装置 | |
CN111178760B (zh) | 风险监测方法、装置、终端设备及计算机可读存储介质 | |
CN110708315A (zh) | 资产漏洞的识别方法、装置和*** | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
US20220050765A1 (en) | Method for processing logs in a computer system for events identified as abnormal and revealing solutions, electronic device, and cloud server | |
CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
CN111371638A (zh) | 智能设备测试方法、装置、服务器及存储介质 | |
CN113687969A (zh) | 告警信息生成方法、装置、电子设备及可读存储介质 | |
CN112636985B (zh) | 基于自动化发现算法的网络资产探测装置 | |
CN112688806A (zh) | 一种网络资产呈现的方法及*** | |
CN113760641A (zh) | 业务监控方法、装置、计算机***和计算机可读存储介质 | |
US11856426B2 (en) | Network analytics | |
CN113055379A (zh) | 一种面向全网关键基础设施的风险态势感知方法和*** | |
US11336663B2 (en) | Recording medium on which evaluating program is recorded, evaluating method, and information processing apparatus | |
CN112653693A (zh) | 一种工控协议分析方法、装置、终端设备及可读存储介质 | |
CN111193727A (zh) | 运行监测***及运行监测方法 | |
CN110177024B (zh) | 热点设备的监控方法及客户端、服务端、*** | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN112464238A (zh) | 漏洞扫描方法及电子设备 | |
CN112306871A (zh) | 数据处理方法、装置、设备及存储介质 | |
CN104461847A (zh) | 数据处理程序检测方法及装置 | |
CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
JP2017199250A (ja) | 計算機システム、データの分析方法、及び計算機 | |
CN113014587B (zh) | 一种api检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201215 |
|
RJ01 | Rejection of invention patent application after publication |