CN112668010A - 扫描工业控制***的漏洞的方法、***及计算设备 - Google Patents
扫描工业控制***的漏洞的方法、***及计算设备 Download PDFInfo
- Publication number
- CN112668010A CN112668010A CN202011491856.5A CN202011491856A CN112668010A CN 112668010 A CN112668010 A CN 112668010A CN 202011491856 A CN202011491856 A CN 202011491856A CN 112668010 A CN112668010 A CN 112668010A
- Authority
- CN
- China
- Prior art keywords
- scanning
- industrial control
- control system
- vulnerability
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 10
- 230000001066 destructive effect Effects 0.000 claims abstract description 8
- 238000004590 computer program Methods 0.000 claims description 21
- 238000003860 storage Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 230000008439 repair process Effects 0.000 claims description 4
- 230000006872 improvement Effects 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 description 16
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000011156 evaluation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 229940060321 after-bug Drugs 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请适用于***安全技术领域,提供一种扫描工业控制***的漏洞的方法、***及计算设备,包括:获取用于开展扫描任务的扫描配置信息;接收确认开启扫描的启动信号;响应于接收到的所述启动信号,根据所述扫描配置信息启动对所述工业控制***的无损扫描;根据所述无损扫描的结果确定所述工业控制***采用的指定协议;按照所述指定协议对所述工业控制***进行扫描以获取所述工业控制***的指纹信息;调用与所述指纹信息对应的第一数据对所述工业控制***进行漏洞探测;若探测到所述工业控制***存在指定漏洞,则调用第二数据对所述指定漏洞进行漏洞验证。本申请的实施例能保证工业控制***持续稳定地运行。
Description
技术领域
本申请属于***安全技术领域,尤其涉及一种扫描工业控制***的漏洞的方法、***及计算设备。
背景技术
工业控制***,包括SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)***、分布式控制***(DCS,Distributed Control System)、可编程逻辑控制器(PLC,Programmable Logic Controller)、远程终端(RTU,Remote Terminal Unit)等已广泛应用于电力、水力等多种工业领域,已成为国家关键基础设施的重要组成部分,工业控制***安全和国家战略安全密切相关。
由于工业控制***和工业应用软件的规模和数量不断扩大,***复杂性不断提高,导致工业企业遭遇的风险不断增加。根据控制***安全小组(US-CERT)的预警通告,多家知名工控设备厂商自研的控制产品存在多种漏洞。CNCERT/CC(National InternetEmergency Center,国家计算机网络应急技术处理协调中心)始终认为,各种安全事件发生的主要原因为信息***的安全漏洞。等保2.0(网络安全等级保护2.0制度)中提出要求漏洞与风险管理要求,要求企业采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补。因此,在安全事件层出不穷的今天,漏洞问题更需要被特别关注,在管理漏洞的前提是发现漏洞。然而,目前能发现漏洞的漏洞扫描***对工业控制***的打扰程度较大,影响工业控制***的运行。
发明内容
本申请的实施例提供一种扫描工业控制***的漏洞的方法、***及计算设备,能实现对工业控制***的高效精准探测,能保证工业控制***持续稳定地运行。
第一方面,本申请的实施例提供一种扫描工业控制***的漏洞的方法,包括:
获取用于开展扫描任务的扫描配置信息;
接收确认开启扫描的启动信号;
响应于接收到的所述启动信号,根据所述扫描配置信息启动对所述工业控制***的无损扫描;
根据所述无损扫描的结果确定所述工业控制***采用的指定协议;
按照所述指定协议对所述工业控制***进行扫描以获取所述工业控制***的指纹信息,所述指纹信息为用于标识所述工业控制***的设备特征或者独特的设备标识;
调用与所述指纹信息对应的第一数据对所述工业控制***进行漏洞探测,其中,所述第一数据为概念验证的数据;
若探测到所述工业控制***存在指定漏洞,则调用第二数据对所述指定漏洞进行漏洞验证,其中,所述第二数据为利用漏洞进行攻击的数据。
在第一方面的一种可能的实现方式中,调用第二数据对所述指定漏洞进行验证,具体包括:调用与所述指纹信息对应的利用漏洞进行攻击的第二数据对所述指定漏洞进行验证。
在第一方面的一种可能的实现方式中,根据指定条件搜索和/或筛选工业控制***,输出搜索和/或筛选结果。
在第一方面的一种可能的实现方式中,基于多个扫描结果生成定期漏洞扫描结果报告,将当前的扫描报告与所述定期漏洞扫描结果报告进行对比,根据对比结果执行下一次的扫描任务。
在第一方面的一种可能的实现方式中,根据对比结果来开展下一次的扫描任务,包括:根据对比结果选择指定的漏洞生成下一次的周期性扫描任务的周期性扫描配置信息。
第二方面,本申请的实施例提供一种扫描工业控制***的漏洞的***,包括:
漏洞扫描配置单元,用于获取用于开展扫描任务的扫描配置信息;
漏洞扫描资源库,用于存储第一数据以及第二数据;所述第一数据为概念验证的数据;所述第二数据为利用漏洞进行攻击的数据;
扫描单元,用于:接收确认开启扫描的启动信号;响应于接收到的所述启动信号,根据所述扫描配置信息启动对所述工业控制***的无损扫描;根据所述无损扫描的结果确定所述工业控制***采用的指定协议;按照所述指定协议对所述工业控制***进行扫描以获取所述工业控制***的指纹信息,所述指纹信息为用于标识所述工业控制***的设备特征或者独特的设备标识;调用与所述指纹信息对应的所述第一数据对所述工业控制***进行漏洞探测;若探测到所述工业控制***存在指定漏洞,则调用所述第二数据对所述指定漏洞进行验证。
第三方面,本申请的实施例提供一种计算设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述方法。
第四方面,本申请的实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项所述方法。
第五方面,本申请的实施例提供一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述**方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请的实施例与现有技术相比存在的有益效果是:
接收确认开启扫描的启动信号,根据获取到的扫描配置信息启动对工业控制***的无损扫描;通过无损扫描确定工业控制***所采用的指定协议;按照获取到的指定协议对工业控制***进行扫描,以获取工业控制***的指纹信息;调用与工业控制***的指纹信息对应的概念验证的第一数据对工业控制***进行漏洞探测;对探测到工业控制***存在的指定漏洞,调用利用漏洞进行攻击的第二数据对指定漏洞进行漏洞验证;如此,能实现对工业控制***的高效精准探测,能最大程度保证工业控制***持续稳定地运行。
本申请的实施例的一些可能的实现方式具有如下有益效果:
调用与工业控制***的指纹信息对应的第二数据对指定漏洞进行验证,这样能进一步提高***执行扫描任务的速度。
附图说明
为了更清楚地说明本申请的实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的扫描工业控制***的漏洞的方法的流程示意图;
图2是本申请一实施例提供的扫描工业控制***的漏洞的方法的变型方式的流程示意图;
图3是本申请一实施例提供的扫描工业控制***的漏洞的***的结构框图;
图4是本申请一实施例提供的扫描工业控制***的漏洞的***的变型方式的结构框图;
图5是本申请一实施例提供的扫描工业控制***的漏洞的***的工作流程图;
图6是本申请一实施例提供的计算设备的结构示意图。
具体实施方式
为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图1至6及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请的实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
工业控制***包括SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)***、分布式控制***(DCS,Distributed Control System)、可编程逻辑控制器(PLC,Programmable Logic Controller)、以及远程终端(RTU,Remote TerminalUnit)。前述工业控制***产品广泛应用于各行各业、各类关键基础设施。信息安全工作涉及的主体包括主管部门、行业协会、工控运营单位、各类研究机构、工控产品提供商、***集成商、信息安全厂商等等。目前,各类主体对工业控制***的信息安全缺乏统一认识,部分运营单位和主管部门只注重生产效益而忽视信息安全隐患。
为此,本实施例提供一种扫描工业控制***的漏洞的方法,具体为一种基于等保2.0的扫描工业控制***的漏洞的方法,能应用于各种计算设备,比如服务器或者个人计算机,能发现信息安全隐患。
本实施例的扫描工业控制***的漏洞的方法包括步骤S1至步骤S7。图1示出本实施例提供的扫描工业控制***的漏洞的方法的示意性流程图,作为示例而非限定,该方法可以应用于上述计算设备中。
步骤S1,获取用于开展扫描任务的扫描配置信息。
在开始扫描之前,用户首先需要在***上配置本次扫描,完成基础配置。在本实施例中,用户在***上进行操作以进行配置,***则接收用于开展扫描任务的扫描配置信号,具体是接收含有扫描周期、待扫描工业控制***、扫描方式、白名单配置、以及最大线程数中的至少一者的扫描配置信号,生成扫描配置信息,从而获取到扫描配置信息,完成漏洞扫描配置。其中,扫描配置信息包括扫描周期、待扫描工业控制***、扫描方式、白名单配置、以及最大线程数中的至少一者。
当然,也可以采用***的默认配置,比如全面扫描,后续根据默认配置信息来执行扫描。如此,默认配置信号为扫描配置信号,默认配置信息为扫描配置信息。其中,默认配置信息可以是预先存储在存储部件中的,在需要的时候直接从存储部件获取。
步骤S2,接收确认开启扫描的启动信号。
完成扫描配置之后,用户进行开启扫描的操作;示例的,用户点击确认扫描,生成确认开启扫描的启动信号,***则接收该启动信号。
当然,对于采用***的默认配置进行扫描的场景中,用户点击确认扫描的同时就生成作为启动信号的默认启动信号;默认启动信号代表采用默认配置开启扫描。
步骤S3,响应于接收到的启动信号,根据扫描配置信息启动对工业控制***的无损扫描。
接收到启动信号之后,***根据扫描配置信息启动对工业控制***的无损扫描。无损扫描是低交互的扫描方式。在本实施例中,无损扫描是基于nmap(Network Mapper)的扫描。nmap是网络扫描和嗅探工具包,是一个网络连接端扫描软件,能对网络中的工业控制***进行无损扫描。
示例的,用户点击确认扫描后,***默认开启无损扫描。
步骤S4,根据无损扫描的结果确定工业控制***采用的指定协议。
通过无损扫描与网络中的工业控制***进行低交互通信,从而确定工业控制***所采用的指定协议。其中,指定协议的一个具体例子是TCP/IP协议。
步骤S5,按照指定协议对工业控制***进行扫描以获取工业控制***的指纹信息。
获取工业控制***所采用的协议之后,按照工业控制***采用的指定协议对工业控制***进行扫描识别,比如通过***内置的分析脚本插件对工业控制***按照指定协议进行扫描识别;在这个过程中,能识别到工业控制***的指纹信息。
其中,工业控制***的指纹信息(Fingerprinting)是指可以用于标识出该工业控制***的设备特征或者独特的设备标识。示例的,根据工业***的操作***类型、安装的各种插件、语言设置及其时区、硬件ID、网卡Mac地址中的至少一者,通过指定哈希(Hash)算法生产特征字符串来用作工业控制***的指纹。
步骤S6,调用与指纹信息对应的第一数据对工业控制***进行漏洞探测,其中,第一数据为概念验证的数据。
参考图3,***具有漏洞扫描资源库2。漏洞扫描资源库2具备丰富的POC(Proof ofConcept,概念验证)和EXP(Exploit,利用),为***的漏洞扫描提供检测验证。漏洞扫描资源库2集成互联网上已有的工控漏洞和***自挖掘的漏洞。
POC是指一段漏洞证明的代码,在漏洞扫描资源库2中体现为概念验证的数据。漏洞扫描资源库2中存储有与工业控制***的指纹信息对应的概念验证的数据,该数据为第一数据。具体而言,工业控制***的指纹信息包含有硬件ID信息;漏洞扫描资源库2中存储有与该硬件ID信息对应的概念验证的数据,表示这一类的工业控制***通常会出现哪些漏洞。
EXP是指利用***漏洞进行攻击的动作,在漏洞扫描资源库2中体现为利用漏洞进行攻击的数据,称为第二数据。
如此,获取到工业控制***的指纹信息之后,将识别到的指纹信息与漏洞扫描资源库2中的漏洞信息进行关联,找到与工业控制***的指纹信息对应的概念验证的第一数据,也可称为指定的POC。然后,调用第一数据(指定的POC)对工业控制***进行漏洞探测,以探测工业控制***是否存在漏洞;如果探测到工业控制***存在指定漏洞,则进行记录。
步骤S7,若探测到工业控制***存在指定漏洞,则调用第二数据对指定漏洞进行漏洞验证,其中,第二数据为利用漏洞进行攻击的数据。
在本实施例中,利用漏洞进行攻击的第二数据也是存储在漏洞扫描资源库2中的。探测到工业控制***存在指定漏洞之后,调用漏洞扫描资源库2中的第二数据(EXP)对探测到工业控制***存在的指定漏洞进行验证;具体可以是将从工业控制***获取到的数据包与漏洞扫描资源库2中的第二数据进行比对,以验证指定漏洞是否真实和/或验证指定漏洞的具体信息。
完成验证之后,根据漏洞验证的结果确定工业控制***存在的漏洞数量,形成扫描结果。
在其他一些实施例中,漏洞扫描资源库2中也存储有与工业控制***的指纹信息对应的第二数据,那么就可以直接调用漏洞扫描资源库2中与工业控制***的指纹信息对应的第二数据对指定漏洞进行验证,这样能进一步提高***执行扫描任务的速度。
根据上述可知,接收确认开启扫描的启动信号,根据获取到的扫描配置信息启动对工业控制***的无损扫描;通过无损扫描确定工业控制***所采用的指定协议;按照获取到的指定协议对工业控制***进行扫描,以获取工业控制***的指纹信息;调用与工业控制***的指纹信息对应的概念验证的第一数据对工业控制***进行漏洞探测;对探测到工业控制***存在的指定漏洞,调用利用漏洞进行攻击的第二数据对指定漏洞进行漏洞验证;如此,能实现对工业控制***的高效精准探测,有利于降低对工业控制***的打扰,能最大程度保证工业控制***持续稳定地运行。
参考图2,本实施例的扫描工业控制***的漏洞的方法还包括步骤S8和步骤S9。
步骤S8,对含有扫描工业控制***的数量、工业控制***存在的漏洞数量、以及漏洞总数中至少一者的扫描结果进行可视化。
步骤S8主要针对***扫描后的结果进行综合呈现,主要显示用户扫描工业控制***的总数、工业控制***存在的漏洞数量、存在漏洞的工业控制***总数、以及本***记录的漏洞总数,根据目前完成的扫描结果数据提供图形化呈现,支持以柱状图和趋势图的形式进行展示。
步骤S9,根据含有漏洞、漏洞等级、漏洞产生原因分析、漏洞改进修补意见中至少一者的扫描结果生成扫描报告。
步骤S9主要针对工业控制***漏洞扫描后的扫描结果进行汇总分析,经***扫描完成后可出具漏洞扫描报告,报告包含经扫描后的每个工业控制***存在的漏洞、漏洞等级、漏洞产生原因分析、漏洞详细信息及解决方案(漏洞改进修补意见),经综合评估后出具评估分数。
对应于上文实施例所述方法,图3示出本实施例提供的扫描工业控制***的漏洞的***的结构框图,为了便于说明,仅示出了与本实施例相关的部分。
本实施例的扫描工业控制***的漏洞的***具体为一种基于等保2.0的扫描工业控制***的漏洞的***,或者称为一种基于等保2.0的扫描工业控制***的漏洞扫描平台,能以软件工具的形式呈现。参考图3,该***包括漏洞扫描配置单元1、漏洞扫描资源库2和扫描单元3。
漏洞扫描配置单元1也可称为漏扫配置单元,用于实现前述步骤S1。漏洞扫描配置单元1支持用户对扫描的操作进行配置,接收扫描配置信号;如前所述,扫描配置信号包含扫描周期、扫描工业控制***、扫描方式、白名单配置、最大线程数等信息,除此之外还可配置周期性扫描,帮助管理人员定期开展安全测评,以形成安全测评报告。
漏洞扫描资源库2也可称为漏扫资源库,用于存储概念验证的第一数据、以及利用漏洞进行攻击的第二数据。当***运行扫描单元3时,可选择漏洞扫描资源库2中POC的脚本(也即概念验证的第一数据)进行漏洞探测;当扫描发现工业控制***存在某项漏洞时,调用EXP(也即利用漏洞进行攻击的第二数据)对漏洞进行验证;如此,实现将扫描与风险验证相结合。
扫描单元3用于实现前述步骤S2、步骤S3、步骤S4、步骤S5、步骤S6和步骤S7。扫描单元3为无损扫描单元,内置nmap(Network Mapper),点击无损扫描单元后,用户可根据实际情况选择TCP(Transmission Control Protocol)、UDP(User Datagram Protocol)等扫描方式,一方面可探测设备是否运行正常,另一方面扫描单元3支持与漏洞扫描资源库2进行联动,实现漏洞的探测与验证。
参考图4,本实施例的扫描工业控制***的漏洞的***还包括可视化展示单元4和漏洞扫描报告单元5。
可视化展示单元4用于实现前述步骤S8。
漏洞扫描报告单元5用于实现前述步骤S9。
上述实施例能提供对于工业控制***的周期性漏洞扫描功能:用户首先在***上配置当前(或者说本次)的扫描周期、待扫描工业控制***及扫描方式,***据此生成周期性扫描配置信息,其中周期性扫描配置信息属于前述的扫描配置信息;当完成基础配置后,需要进一步配置本次需要扫描的漏洞,可以预先选择指定的漏洞,也支持全面检测(比如按照漏洞扫描资源库2中存在的POC/EXP依次进行探测验证),***也据此形成周期性扫描配置信息;点击确认扫描后***默认开启无损扫描,即通过与工业控制***进行低交互通信的方式确认工业控制***所采用的协议,再通过***内置的分析脚本插件对工业控制***按照对应协议进行扫描识别,将识别到的指纹信息与漏洞扫描资源库2中的漏洞信息进行关联,然后开展后续漏洞扫描。
扫描完成后,对扫描结果进行处理分析后以可视化方式展示。本实施例的***支持从整体到局部进行展示:首先展示工业控制***整体的风险情况,并对整体情况通过趋势图的方式进行分析展示;其次对工业控制***的各主机的详细风险信息进行展示,其风险信息包括风险等级、风险分布等,并将各类信息进行趋势化统计,用户可从可视化风险展示中掌握工业控制***的重要信息;对于重点区域、重点工业控制***、严重问题通过高亮的信息状态进行提示;同时,***提供良好的搜索功能,可根据区域、工业控制***名称、风险程度等指定条件搜索和/或筛选工业控制***,输出搜索和/或筛选结果,为企业快速定位风险位置提供更为便携的方式。
扫描全部完成之后出具漏扫报告,该报告中的内容描述本次扫描的扫描结果,包括存在的漏洞、漏洞的严重级别、漏洞产生原因分析、漏洞改进修补意见等信息。用户通过该扫描报告能清晰准确的了解到当前工控环境中存在的问题,并可通过报告的详细内容快速精准的定位到有问题的工业控制***。上述实施例还能基于多个扫描结果生成定期漏洞扫描结果报告,后续将当前的扫描报告(也就是本次的扫描报告)与定期漏洞扫描结果报告进行对比,根据对比结果执行下一次的周期性扫描任务,比如改变扫描的频次或者扫描方式或者根据对比结果选择指定的漏洞生成下一次的周期性扫描任务的周期性扫描配置信息,其中,***在进行漏洞扫描时会调用前述指定的漏洞的数据来对工业控制***进行漏洞探测,如此,能有效的辅助下一次的扫描比如周期性扫描;对比结果的准确性能为后续的漏洞核查、漏洞修复或消除隐患提供帮助,结合前述搜索功能,能有效发现、排查工业控制***的潜在的安全隐患。
本实施例的扫描工业控制***的漏洞的***以旁路部署的方式与工业控制***进行通信,能真正实现对工业生产过程“零风险”探测,能够实时发现工业控制***中存在的***漏洞、蠕虫、病毒等恶意软件的传播并报警;***在扫描的过程中详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,能切实为解决工业企业等保2.0漏洞检测合规问题提供检测支撑。
参考图5,上述实施例可以为工业企业内部的工业控制***提供全面的漏洞测评和检查,扫描之后可以出具检测报告,提供有效的漏洞修复建议与预防措施,达到帮助企业或监管单位实时工业控制***安全状态的作用。上述实施例支持可视化展示,能实现多种漏洞类型统计及图表的呈现;支持***漏洞库功能,为***进行漏洞扫描提供检测支撑;支持无损扫描功能,为与工业控制***建立连接提供探测和验证;支持漏扫报告功能,完成漏洞扫描后提供***检测报告,能为企业进行安全整改提供合理化的建议。
上述实施例能有效检测工业控制***潜在的安全缺陷或漏洞,能促进工业控制***信息安全检查工作,更加符合等保2.0的要求,是一套基于等保2.0的工业控制***漏洞扫描平台,能满足企业针对工业控制***进行漏洞核查与合规检测的需求。
应理解,本申请的实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图6为本申请一实施例提供的计算设备的结构示意图。参考图6,该实施例的计算设备6包括:至少一个处理器60(图6中仅示出一个)处理器、存储器61以及存储在存储器61中并可在至少一个处理器60上运行的计算机程序62;处理器60执行计算机程序62时实现上述任意各个扫描工业控制***的漏洞的方法实施例中的步骤。
计算设备6可以是桌上型计算机、笔记本、及云端服务器等。该计算设备6可包括,但不仅限于,处理器60和存储器61。本领域技术人员可以理解,图6仅仅是计算设备6的举例,并不构成对计算设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备、总线等。
处理器60可以是中央处理单元(Central Processing Unit,CPU),该处理器60还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器61在一些实施例中可以是计算设备6的内部存储单元,例如计算设备6的硬盘或内存。存储器61在另一些实施例中也可以是计算设备6的外部存储设备,例如计算设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器61还可以既包括计算设备6的内部存储单元也包括外部存储设备。存储器61用于存储操作***、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如计算机程序的程序代码等。存储器61还可以用于暂时地存储已经输出或者将要输出的数据。
示例性的,计算机程序62可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器61中,并由处理器60执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序62在终端设备6中的执行过程。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
前述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于计算机可读存储介质中;该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质包括:能够将计算机程序代码携带到装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
本申请的实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请的实施例提供一种计算机程序产品,当计算机程序产品在终端设备比如移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
前述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种扫描工业控制***的漏洞的方法,其特征在于,包括:
获取用于开展扫描任务的扫描配置信息;
接收确认开启扫描的启动信号;
响应于接收到的所述启动信号,根据所述扫描配置信息启动对所述工业控制***的无损扫描;
根据所述无损扫描的结果确定所述工业控制***采用的指定协议;
按照所述指定协议对所述工业控制***进行扫描以获取所述工业控制***的指纹信息,所述指纹信息为用于标识所述工业控制***的设备特征或者独特的设备标识;
调用与所述指纹信息对应的第一数据对所述工业控制***进行漏洞探测,其中,所述第一数据为概念验证的数据;
若探测到所述工业控制***存在指定漏洞,则调用第二数据对所述指定漏洞进行漏洞验证,其中,所述第二数据为利用漏洞进行攻击的数据。
2.如权利要求1所述的方法,其特征在于,还包括:
对含有扫描工业控制***数量、工业控制***存在的漏洞数量、以及漏洞总数中至少一者的扫描结果进行可视化。
3.如权利要求1所述的方法,其特征在于,还包括:
根据含有漏洞、漏洞等级、漏洞产生原因分析、漏洞改进修补意见中至少一者的扫描结果生成扫描报告。
4.如权利要求3所述的方法,其特征在于,还包括:
基于多个所述扫描结果生成定期漏洞扫描结果报告,将当前的所述扫描报告与所述定期漏洞扫描结果报告进行对比,根据对比结果执行下一次的扫描任务。
5.如权利要求1所述的方法,其特征在于,调用第二数据对所述指定漏洞进行验证,具体包括:
调用与所述指纹信息对应的第二数据对所述指定漏洞进行验证。
6.如权利要求1所述的方法,其特征在于,启动对所述工业控制***的无损扫描,具体包括:
启动对所述工业控制***的基于nmap的扫描。
7.如权利要求1至6任一项所述的方法,其特征在于,获取用于开展扫描任务的扫描配置信息,具体包括:
接收含有扫描周期、待扫描工业控制***、扫描方式、白名单、以及最大线程数中的至少一者的扫描配置信息。
8.一种扫描工业控制***的漏洞的***,其特征在于,包括:
漏洞扫描配置单元,用于获取用于开展扫描任务的扫描配置信息;
漏洞扫描资源库,用于存储第一数据以及第二数据;所述第一数据为概念验证的数据;所述第二数据为利用漏洞进行攻击的数据;
扫描单元,用于:接收确认开启扫描的启动信号;响应于接收到的所述启动信号,根据所述扫描配置信息启动对所述工业控制***的无损扫描;根据所述无损扫描的结果确定所述工业控制***采用的指定协议;按照所述指定协议对所述工业控制***进行扫描以获取所述工业控制***的指纹信息,所述指纹信息为用于标识所述工业控制***的设备特征或者独特的设备标识;调用与所述指纹信息对应的所述第一数据对所述工业控制***进行漏洞探测;若探测到所述工业控制***存在指定漏洞,则调用所述第二数据对所述指定漏洞进行验证。
9.一种计算设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011491856.5A CN112668010A (zh) | 2020-12-17 | 2020-12-17 | 扫描工业控制***的漏洞的方法、***及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011491856.5A CN112668010A (zh) | 2020-12-17 | 2020-12-17 | 扫描工业控制***的漏洞的方法、***及计算设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112668010A true CN112668010A (zh) | 2021-04-16 |
Family
ID=75404333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011491856.5A Pending CN112668010A (zh) | 2020-12-17 | 2020-12-17 | 扫描工业控制***的漏洞的方法、***及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112668010A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及*** |
| CN113836539A (zh) * | 2021-09-01 | 2021-12-24 | 国网福建省电力有限公司 | 基于精准测试的电力工控***漏洞全流程处置***及方法 |
| CN114553585A (zh) * | 2022-03-04 | 2022-05-27 | 北京网藤科技有限公司 | 一种基于工业网络的漏洞扫描***及其控制方法 |
| CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108573137A (zh) * | 2017-03-14 | 2018-09-25 | 三星电子株式会社 | 指纹验证方法和设备 |
| CN109766697A (zh) * | 2018-12-29 | 2019-05-17 | 武汉烽火技术服务有限公司 | 应用于Linux***的漏洞扫描方法、存储介质、设备及*** |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控***漏洞的方法、装置和电子设备 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制***的探测方法、装置、计算机设备和介质 |
-
2020
- 2020-12-17 CN CN202011491856.5A patent/CN112668010A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108573137A (zh) * | 2017-03-14 | 2018-09-25 | 三星电子株式会社 | 指纹验证方法和设备 |
| US20200120126A1 (en) * | 2018-10-15 | 2020-04-16 | International Business Machines Corporation | Prioritizing vulnerability scan results |
| CN109766697A (zh) * | 2018-12-29 | 2019-05-17 | 武汉烽火技术服务有限公司 | 应用于Linux***的漏洞扫描方法、存储介质、设备及*** |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控***漏洞的方法、装置和电子设备 |
| CN111193727A (zh) * | 2019-12-23 | 2020-05-22 | 成都烽创科技有限公司 | 运行监测***及运行监测方法 |
| CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制***的探测方法、装置、计算机设备和介质 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN113239366B (zh) * | 2021-07-12 | 2021-12-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及*** |
| CN113688398A (zh) * | 2021-08-24 | 2021-11-23 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及*** |
| CN113688398B (zh) * | 2021-08-24 | 2024-04-26 | 杭州迪普科技股份有限公司 | 漏洞扫描结果的评估方法、装置及*** |
| CN113836539A (zh) * | 2021-09-01 | 2021-12-24 | 国网福建省电力有限公司 | 基于精准测试的电力工控***漏洞全流程处置***及方法 |
| CN114553585A (zh) * | 2022-03-04 | 2022-05-27 | 北京网藤科技有限公司 | 一种基于工业网络的漏洞扫描***及其控制方法 |
| CN114760151A (zh) * | 2022-06-13 | 2022-07-15 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
| CN114760151B (zh) * | 2022-06-13 | 2022-09-13 | 宁波和利时信息安全研究院有限公司 | 一种通过plc获取上位机权限的方法和装置 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN115033881B (zh) * | 2022-08-12 | 2022-12-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112668010A (zh) | 扫描工业控制***的漏洞的方法、***及计算设备 | |
| US11036867B2 (en) | Advanced rule analyzer to identify similarities in security rules, deduplicate rules, and generate new rules | |
| CN110149327B (zh) | 网络安全威胁的告警方法、装置、计算机设备和存储介质 | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| CN110598411A (zh) | 敏感信息检测方法、装置、存储介质和计算机设备 | |
| CN110719300B (zh) | 一种自动化漏洞验证的方法和*** | |
| US11372974B2 (en) | Rule-based system and method for detecting and identifying tampering in security analysis of source code | |
| CN113987504A (zh) | 一种网络资产管理的漏洞检测方法 | |
| CN112799722A (zh) | 命令识别方法、装置、设备和存储介质 | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| CN112822210B (zh) | 一种基于网络资产的漏洞管理*** | |
| CN112528295B (zh) | 工业控制***的漏洞修复方法及装置 | |
| US9621677B1 (en) | Monitoring accesses to computer source code | |
| CN113709170A (zh) | 资产安全运营***、方法和装置 | |
| Marandi et al. | Implementing and Automating Security Scanning to a DevSecOps CI/CD Pipeline | |
| CN113626825A (zh) | 一种安全漏洞管控方法、装置、设备及计算机可读介质 | |
| CN117118857A (zh) | 基于知识图谱的网络安全威胁管理***及方法 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN114584391A (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN113420302A (zh) | 主机漏洞检测方法及装置 | |
| Klinkhamhom et al. | Threat Hunting for Digital Forensic Using GRR Rapid Response with NIST Framework | |
| CN111314308A (zh) | 基于端口分析的***安全检查方法及装置 | |
| CN112989403A (zh) | 一种数据库破坏的检测方法、装置、设备及存储介质 | |
| Abadeh et al. | An empirical analysis for software robustness vulnerability in terms of modularity quality | |
| CN116401714B (zh) | 安全信息获取方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |