CN105404207B - 一种工业环境漏洞挖掘设备与方法 - Google Patents

Abstract

本发明公开了一种工业环境漏洞挖掘设备与方法,本发明的工业环境漏洞挖掘设备包括：由中央处理器和网口控制芯片组成的主板、可编程输入控制器、可编程显示终端；本发明的一种工业环境漏洞挖掘方法是一种通过向应用提供非预期的输入并监控外部设备输出中的异常来发现被测设备的故障的方法，其通过模糊测试来发现工业控制系统的安全漏洞从而实现漏洞挖掘与安全预警；本发明的优点是：(1)具备专业的协议资源库；(2)具备强大灵活的图形化自定义框架；(3)具备丰富的功能库；(4)具备自定义功能块；(5)本发明具备通信流程设计功能；(6)具备多种测试方式；(7)能够定制分析报告、报告模板；(8)能够自定义报告内容格式。

Description

一种工业环境漏洞挖掘设备与方法

技术领域

本发明涉及一种工业环境漏洞挖掘设备与方法,属于工业控制技术领域。

背景技术

目前，国际上，自从“震网”病毒事件爆发以及美国发布“国家网络空间安全战略”政策之后，工业控制系统安全才引起西方国家的高度重视，并把工业控制系统的安全提到了国家安全战略的地步。同时，中国国内同样遭受着工业控制系统信息安全问题的困扰，这些信息安全漏洞主要集中在能源、关键制造业、交通、通讯、水利、核能领域，而且能源行业的安全事故超过了一半。所以，未来的工业控制系统的信息安全建设将会成为电力、石化、冶金、交通以及市政多领域的主要应用场所。增加对工业控制设备的设备漏洞检测能力，提高工业控制设备的安全水平，加强工业控制系统的安全防护等级迫在眉睫。但是，

例如，申请号为CN201310360920.X的专利公开了一种复杂工业环境中的巡检机器人系统及多人脸动态跟踪方法。所述机器人系统由智能巡检机器人、电磁导航线路和监控中心组成。所述方法如下：平板接收天线与无线影音传送接收器相连，通过安装在监控主机PCI插槽内的图像采集卡，将视频信号送入监控主机。多人脸动态跟踪方法主要通过联合AdaBoost算法、Camshift算法和卡尔曼滤波来实现多人脸的自动跟踪，即首先基于AdaBoost算法进行视频图像中人脸区域的检测，实现搜索窗口的初始化；然后基于Camshift算法进行多人脸的跟踪，并结合卡尔曼滤波对人脸运动目标进行预测。

例如，申请号为CN201510260014.1的专利公开了一种基于物联网和蓝牙技术的工业环境空气质量实时监测系统及其控制方法，与现有技术相比解决了工业环境现场空气质量数据获取不便的缺陷。本发明包括以下步骤：粉尘数据的获取，通过粉尘传感器实时采集当前外部环境中的粉尘污染参数，并传送给Arduino主控板；粉尘数据的计算，Arduino主控板对获取到的实时粉尘数据进行统计和计算，并传送给蓝牙模块；建立蓝牙无线连接，Android手机与蓝牙模块建立蓝牙无线连接；污染数据的展示，Android手机接收蓝牙模块发送的粉尘数据并进行展示。

例如，申请号为CN200910024054.0的专利公开了一种工业环境高精度空调的模糊PID控制方法及装置，其方法为：选择模糊PID控制器的输入量为期望值与实际输出的偏差e和偏差变化率ec，建立参数Kp、Ki、Kd同偏差绝对值和偏差变化绝对值间的二元连续函数关系，输出量为PID参数的修正量ΔKp、ΔKi、ΔKd；然后确定PID三个参数与偏差e和偏差变化率ec之间的模糊关系，在运行中通过不断检测e和ec，再根据模糊控制原理对三个参数进行在线调整得到调整后的Kp、Ki、Kd，然后将Kp、Ki、Kd输入给PID控制器。该控制装置包括线路板上的模糊控制电路，所述模糊控制电路上还设有一个参数在线整定的自整定机构电路。

综上所述，传统现有的技术都存在着功能单一简单、不具备丰富的功能库和自定义功能块的缺点。综上，传统现有的技术都存在着功能单一简单、不具备丰富的功能库和自定义功能块的缺点。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的工业环境漏洞挖掘设备与方法，本发明部署在工业控制系统中能对控制系统的信息安全漏洞进行挖掘并广泛应用于电力、石化、冶金、交通以及市政多种工业领域。

本发明的工业环境漏洞挖掘设备包括：由中央处理器和网口控制芯片组成的主板、可编程输入控制器、可编程显示终端。本发明的工业环境漏洞挖掘设备能通过网口控制芯片的主板网口与外部控制平台进行连接。所述主板的中央处理器分别与可编程输入控制器和可编程显示终端相连，所述中央处理器和网口控制芯片连接。

所述主板网口由网口控制芯片引出，用于业务接入和软件平台管理工作。

所述可编程输入控制器能够对外引出接口，便于外部工业设备信号接入。

所述可编程显示终端能够对本发明的工业环境漏洞挖掘设备的检测状态和检测结果进行实时输出。

本发明的一种工业环境漏洞挖掘方法，是一种通过向应用提供非预期的输入并监控外部设备输出中的异常来发现被测设备的故障的方法。本发明的一种工业环境漏洞挖掘方法是通过模糊测试来发现工业控制系统的安全漏洞从而实现漏洞挖掘与安全预警,本发明的漏洞挖掘过程：根据不同工业控制系统实际环境不同，进行漏洞挖掘的方式与方法亦不相同。

本发明的一种工业环境漏洞挖掘方法包括以下步骤：

步骤一：进行物理连接，即通过连接线缆把外部待测工业安全系统设备与本漏洞挖掘设备进行连接。

(1)待测工业安全系统设备能与本漏洞挖掘设备的可编程控制模块(PLC)连接。

(2)待测工业安全系统设备能与本漏洞挖掘设备的网络接口进行连接。

步骤二：挖掘测试，分为物理连接挖掘测试和功能性测试。

(1)物理连接挖掘测试分为可编程控制模块(PLC)挖掘测试，控制器挖掘测试，防火墙挖掘测试；

(2)功能性测试分为性能挖掘测试，兼容性挖掘测试，功能性挖掘测试；

步骤三：模糊挖掘分析，即对上述步骤一和步骤二过程的分析与总结，并给出挖掘结果与记录的挖掘分析方法。

所述模糊挖掘分析是本发明方法的重要实施手段，是一种通过提供非预期的输入并监视异常结果来发现系统故障的方法。本发明的漏洞工控挖掘检测平台采用的模糊算法并基于PROTOS测试理念，大大提高了发掘漏洞的能力。

所述模糊挖掘分析采用的方法使得最终产品不必依赖于公开漏洞库如CVE/CNVD。所述模糊挖掘分析能够归到一两个类别中，基于变异的模糊挖掘分析器通过在已有的数据样本上产生变异来创建测试用例，而基于生成的模糊挖掘分析器则使用通讯协议来建模，并据此创建测试用例。

所述模糊挖掘分析是步骤二中可编程控制模块(PLC)挖掘测试、性能挖掘测试、控制器挖掘测试、防火墙挖掘测试、功能性挖掘测试、兼容性挖掘测试的软件分析工具，步骤如下：

(1)所述模糊挖掘分析通过全自动化的方式生成从而向被测设备或安全生产系统提供非预期的输入；

(2)所述模糊挖掘分析能够基于变异的模糊挖掘分析生成器并通过对已有的数据样本进行适应变异来创建测试用例，也能够基于生成的模糊挖掘分析生成器并通过为被测设备使用的协议格式和交互逻辑进行建立电力产业模型或其它安全产业模型，从而用此电力产业模型来模拟仿真电力产业网络传输安全过程，并据此创建测试用例；

所述创建测试用例要求首先研究特定的规约，理解该规约支持的数据结构和能接受的值的范围,然后依据这些理解生成用于测试边界条件或者是违反规约的测试用例,接下来使用这些测试用例来测试该规约实现的完备性,所有这些测试用例一旦被创建就很容易被复用并用于测试某种协议的不同实现。

(3)所述模糊挖掘分析包含以下基本阶段：确定测试目标、确定输入向量、生成模糊挖掘分析数据、执行模糊挖掘分析数据、监视异常；通过异常判定发现的漏洞是否可能被利用,如果在模糊挖掘分析中发现了一个错误，依据审计的目的，需要判定这个被发现的错误是否是一个可被利用的安全漏洞。

步骤四：可编程显示终端结果输出；根据之前设置或者用户指定对挖掘过程和挖掘结果进行实施显示输出，同时也能根据预定设置对挖掘过程的风险与问题进行预警、警告。

步骤五：日志报告生成；本发明的工控漏洞挖掘检测平台自带多种测试报告模板，用户能直接套用这些模板生成所需的报告，所述报告能导出PDF和Word模式并能进行修改。

与现有技术相比，本发明具有以下优点：

(1)具备专业的协议资源库；

工控漏洞挖掘检测平台有专业的协议资源库，既支持开放式系统互联：OSI、OSI2-4层协议，也支持IT即信息技术常用网络协议，同时支持工业控制领域的以下常用主流协议：

(11)TCP/IP协议；

(12)IT协议；对常用的网络IT协议的支持：FTP、HTTP、NTP、RDP、RPC、SNMP、Telnet；

(13)工业控制协议；支持OPC、EtherNet、Modbus/TCP、IEC 60870-5-104、IEC61850-MMS、DNP3、Profinet各类常见工控协议；

(2)具备强大灵活的图形化自定义框架；

本发明拥有强大的图形化自定义测试框架，该功能使用图形化界面，无需客户有任何编程能力，通过对图形界面的导入、拖拉、连接的简单操作即能轻松完成包组装定义、通信流程设计的操作，通俗的讲，通过该自定义测试框架，用户能任意的操纵网络数据通信。

(3)本发明具备丰富的功能库；

在自定义测试框架中，提供了丰富的功能库，通过功能库中各类不同的模块，能实现各种类型的测试。功能库包括数据类型、监听过滤、校验算法、模糊算法、监视器的实现数据流定义的不同模块。

(4)本发明具备自定义功能块；

当用户在丰富的功能库中还是发现没有需求的功能块时，通过自定义功能块来自定义该功能，并且加入到功能库中，以便后期的引用。

(5)本发明具备通信流程设计功能；

在自定义框架中，本发明还具备强大通信流程设计功能，用户在通过功能库实现对包组装定义后，通过加载一系列诸如监听过滤多种功能后能形成用户预先设定的通讯流程，例如一套完整TCP握手流程，并在该流程中加入模糊算法。强大自定义测试框架，不仅能用来进行通讯健壮性测试，也能针对协议进行功能测试以及性能测试。

(6)本发明具备多种测试方式；

工控漏洞挖掘检测平台针对不同的测试对象拥有不同的连接模式：

(7)本发明能够定制分析报告、报告模板；

本发明的工控漏洞挖掘检测平台自带多种测试报告模板，用户能直接套用这些模板，生成所需的报告。报告能导出PDF和Word模式，并能进行修改。

(8)本发明能够自定义报告内容格式；

用户在使用漏洞挖掘工具生成报告时，能按照被测单位的要求对报告的内容和格式进行定制，满足不同行业，不同单位对测试报告的需求。

附图说明

图1是本发明所述一种工业环境漏洞挖掘设备的整体结构示意图。

具体实施方式

下面结合附图对本发明的实施方式进行详细描述。如图1所示，本发明的工业环境漏洞挖掘设备包括：由中央处理器和网口控制芯片组成的主板、可编程输入控制器、可编程显示终端。本发明的工业环境漏洞挖掘设备能通过网口控制芯片的主板网口与外部控制平台进行连接。所述主板的中央处理器分别与可编程输入控制器和可编程显示终端相连，所述中央处理器和网口控制芯片连接。所述主板网口由网口控制芯片引出，用于业务接入和软件平台管理工作。所述可编程输入控制器能够对外引出接口，便于外部工业设备信号接入。所述可编程显示终端能够对本发明的工业环境漏洞挖掘设备的检测状态和检测结果进行实时输出。

本发明的一种工业环境漏洞挖掘方法包括以下步骤：

漏洞挖掘过程：根据不同工业控制系统实际环境不同，进行漏洞挖掘的方式与方法亦不相同。

步骤一：进行物理连接，即通过连接线缆把外部待测工业安全系统设备与本漏洞挖掘设备进行连接。

(1)待测工业安全系统设备与本漏洞挖掘设备的可编程控制模块(PLC)连接。

(2)待测工业安全系统设备与本漏洞挖掘设备的网络接口进行连接。

步骤二：挖掘测试，分为物理连接挖掘测试和功能性测试。

(1)物理连接挖掘测试分为可编程控制模块(PLC)挖掘测试，控制器挖掘测试，防火墙挖掘测试，

(2)功能性测试分为性能挖掘测试，兼容性挖掘测试，功能性挖掘测试；

步骤三：模糊挖掘分析，即对上述步骤一和步骤二过程的分析与总结，并给出挖掘结果与记录的挖掘分析方法。

所述模糊挖掘分析是本发明方法的重要实施手段，是一种通过提供非预期的输入并监视异常结果来发现系统故障的方法。本发明的漏洞工控挖掘检测平台采用的模糊算法并基于PROTOS测试理念，大大提高了发掘漏洞的能力。

所述模糊挖掘分析采用的方法使得最终产品不必依赖于公开漏洞库如CVE/CNVD。所述模糊挖掘分析能够归到一两个类别中，基于变异的模糊挖掘分析器通过在已有的数据样本上产生变异来创建测试用例，而基于生成的模糊挖掘分析器则使用通讯协议来建模，并据此创建测试用例。

所述模糊挖掘分析是步骤二中可编程控制模块(PLC)挖掘测试、性能挖掘测试、控制器挖掘测试、防火墙挖掘测试、功能性挖掘测试、兼容性挖掘测试的软件分析工具，步骤如下：

(1)所述模糊挖掘分析通过全自动化的方式生成从而向被测设备或安全生产系统提供非预期的输入；

(2)所述模糊挖掘分析能够基于变异的模糊挖掘分析生成器并通过对已有的数据样本进行适应变异来创建测试用例，也能够基于生成的模糊挖掘分析生成器并通过为被测设备使用的协议格式和交互逻辑进行建立电力产业模型或其它安全产业模型，从而用此电力产业模型来模拟仿真电力产业网络传输安全过程，并据此创建测试用例；

所述创建测试用例要求首先研究特定的规约，理解该规约支持的数据结构和能接受的值的范围,然后依据这些理解生成用于测试边界条件或者是违反规约的测试用例,接下来使用这些测试用例来测试该规约实现的完备性,所有这些测试用例一旦被创建就很容易被复用并用于测试某种协议的不同实现。

(3)所述模糊挖掘分析包含以下基本阶段：确定测试目标、确定输入向量、生成模糊挖掘分析数据、执行模糊挖掘分析数据、监视异常；通过异常判定发现的漏洞是否可能被利用,如果在模糊挖掘分析中发现了一个错误，依据审计的目的，需要判定这个被发现的错误是否是一个可被利用的安全漏洞。

步骤四：可编程显示终端结果输出；根据之前设置或者用户指定对挖掘过程和挖掘结果进行实施显示输出，同时也能根据预定设置对挖掘过程的风险与问题进行预警、警告。

步骤五：日志报告生成；本发明的工控漏洞挖掘检测平台自带多种测试报告模板，用户能直接套用这些模板生成所需的报告，所述报告能导出PDF和Word模式并能进行修改。

所述模糊挖掘分析是可编程控制模块挖掘测试、性能挖掘测试、控制器挖掘测试、防火墙挖掘测试、功能性挖掘测试、兼容性挖掘测试的软件分析工具，如下所述：

1.可编程控制模块(PLC)挖掘测试；

简单的可编程控制模块(PLC)测试能采用点对点的连接模式，将工控设备直接连接至可编程控制模块(PLC)的通讯端口，点对点的连接方式能有效地对可编程控制模块(PLC)进行漏洞挖掘，并排除网络上其他因素对测试的干扰。

2.控制器挖掘测试；

分布式控制系统(DCS)控制器或数据采集与监视控制系统(SCADA)控制器构建了规模庞大的工业控制系统，当然目前可编程控制模块PLC也逐渐由最初的简单架构逐渐转向大型的应用。在对此类设备进行测试时，将工控漏洞挖掘检测平台桥接到组态监控软件与控制器之间，测试平台不仅能够直接对被测对象进行漏洞检测，能将正常的通信数据进行变异后对被测对象进行漏洞挖掘。

3.防火墙挖掘测试；

工控漏洞挖掘检测平台针对防火墙测试提供了特殊的拓扑，能将防火墙通过网络接口串接到检测平台中，通过配置简单策略后，能对防火墙所支持的工业协议、通用协议进行测试，同时，也能对防火墙进行并发连接、吞吐量的性能测试。

4.性能挖掘测试：漏洞检测设备通过网络接口对设备或网络在各类极端情况下的表现进行风暴压力测试。该风暴压力测试即通过网络传输数据大，协议多，时间短的数据包。

5.兼容性挖掘测试：漏洞检测设备对各类工控协议的兼容性测试，例如数据包的规范性，合法性，匹配性。

6.功能性挖掘测试：漏洞检测设备对设备或网络在不同应用场景下的功能表现进行检测。

对于电网的嵌入式工控设备来说，生成模糊挖掘分析数据、监视异常、异常回溯与定位是最重要的步骤。对于漏洞挖掘来说需要细化这些测试方法，通过细化，本发明的主要功能包括：

1.端口扫描：TCP端口扫描、UDP端口扫描、用户自定义端口。该端口能够通过网口或工业环境接口与本漏洞挖掘设备进行连接。

2.测试用例加载：通过漏洞挖掘设备专用软件平台将测试用例列表(根据协议分，包括TCP/IP协议、工控通讯协议)、测试用例配置、用户自定义测试用例、用户自定义协议加载到测试测试系统中。

3.监控系统：漏洞挖掘设备通过网络接口监控被测设备的网络状态,分为ARP、ICMP、TCP，通过可编程输入模块接口监控被测设备的输入状态。

4.漏洞挖掘：通过以上措施和手段，漏洞挖掘设备执行测试用例来进行漏洞挖掘

5.根源分析与回溯：漏洞挖掘设备监视被测设备的运行状态，找到出现问题对应的测试用例，同时进行测试用例分析，进行测试用例回放，帮助被测设备进行问题定位

6.事件日志：漏洞挖掘设备记录执行测试用例条目，显示每条测试用例执行时的状态。显示执行每条测试用例时出现问题的次数。显示出现问题后设备能否恢复

7.测试总结：漏洞挖掘设备显示被测设备网络状态图，生成测试报告(包括PDF，WORD，XML，HTML)

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的范围内，能够轻易想到的变化或替换，都应涵盖在本发明权利要求的保护范围内。

Claims (2)

1.一种工业环境漏洞挖掘方法，其特征在于，包括以下步骤：

步骤一：进行物理连接，即通过连接线缆把外部待测工业安全系统设备与本漏洞挖掘设备进行连接；

步骤二：挖掘测试，分为物理连接挖掘测试和功能性测试；

步骤三：模糊挖掘分析，即对上述步骤一和步骤二过程的分析与总结，并给出挖掘结果与记录的挖掘分析方法；所述模糊挖掘分析是一种通过提供非预期的输入并监视异常结果来发现系统故障的方法，漏洞工控挖掘检测平台采用模糊算法并基于PROTOS测试理念；

步骤四：可编程显示终端结果输出；根据之前设置或者用户指定对挖掘过程和挖掘结果进行实施显示输出，同时也能根据预定设置对挖掘过程的风险与问题进行预警、警告；

步骤五：日志报告生成；工控漏洞挖掘检测平台自带多种测试报告模板，用户能直接套用这些模板生成所需的报告，所述报告能导出PDF和Word模式并能进行修改；

所述步骤一包括以下步骤：

(1)待测工业安全系统设备能与本漏洞挖掘设备的可编程控制模块连接；

(2)待测工业安全系统设备能与本漏洞挖掘设备的网络接口进行连接；

所述步骤二包括以下步骤：

(1)物理连接挖掘测试分为可编程控制模块挖掘测试，控制器挖掘测试，防火墙挖掘测试；

(2)功能性测试分为性能挖掘测试，兼容性挖掘测试，功能性挖掘测试；

所述步骤三中，所述模糊挖掘分析采用的方法使得最终产品不必依赖于CVE/CNVD公开漏洞库，所述模糊挖掘分析能够归到一两个类别中，基于变异的模糊挖掘分析器通过在已有的数据样本上产生变异来创建测试用例，而基于生成的模糊挖掘分析器则使用通讯协议来建模，并据此创建测试用例。

2.根据权利要求1所述的一种工业环境漏洞挖掘方法，其特征在于，所述模糊挖掘分析是所述步骤二中可编程控制模块挖掘测试、性能挖掘测试、控制器挖掘测试、防火墙挖掘测试、功能性挖掘测试、兼容性挖掘测试的软件分析工具，步骤如下：

(1)所述模糊挖掘分析通过全自动化的方式生成从而向被测设备或安全生产系统提供非预期的输入；

(2)所述模糊挖掘分析能够基于变异的模糊挖掘分析生成器并通过对已有的数据样本进行适应变异来创建测试用例，也能够基于生成的模糊挖掘分析生成器并通过为被测设备使用的协议格式和交互逻辑进行建立电力产业模型或其它安全产业模型，从而用此电力产业模型来模拟仿真电力产业网络传输安全过程，并据此创建测试用例；

所述创建测试用例要求首先研究特定的规约，理解该规约支持的数据结构和能接受的值的范围,然后依据这些理解生成用于测试边界条件或者是违反规约的测试用例,接下来使用这些测试用例来测试该规约实现的完备性,所有这些测试用例一旦被创建就很容易被复用并用于测试某种协议的不同实现；

(3)所述模糊挖掘分析包含以下基本阶段：确定测试目标、确定输入向量、生成模糊挖掘分析数据、执行模糊挖掘分析数据、监视异常；通过异常判定发现的漏洞是否可能被利用,如果在模糊挖掘分析中发现了一个错误，依据审计的目的，需要判定这个被发现的错误是否是一个可被利用的安全漏洞。