CN106161426A - 一种应用于工业物联网的漏洞扫描方法 - Google Patents
一种应用于工业物联网的漏洞扫描方法 Download PDFInfo
- Publication number
- CN106161426A CN106161426A CN201610405475.8A CN201610405475A CN106161426A CN 106161426 A CN106161426 A CN 106161426A CN 201610405475 A CN201610405475 A CN 201610405475A CN 106161426 A CN106161426 A CN 106161426A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- agreement
- equipment
- things
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用于工业物联网的漏洞扫描方法,该方法基于协议集和底层设备库获取网络中设备的具体信息;同时采用“逐级判断”分层次的扫描策略。该方法主要由网络探测1、系统探测2以及扫描引擎3三部分组成,网络探测层将捕获在网络中进行数据交换的数据包11,传递给协议集12,由协议集对该数据包进行判断,以找到对应协议并对数据包进行解析。系统探测将根据协议构造的数据包21,采用主从模式,主动广播发送要请求的数据包22,截取底层设备返回的数据包23,利用协议集中适用的协议对数据包进行解析24,通过与底层的设备库31进行对比获得该设备具体信息,并与工业物联网中的漏洞库做比对,匹配出该设备存在的漏洞。
Description
技术领域
本发明涉及工业物联网的安全领域,具体为一种应用于工业物联网的漏洞扫描方法。
背景技术
物联网是新一代信息技术的重要组成部分,其实质是物物相连的互联网。而工业物联网是指通过将具有感知能力的智能终端、无处不在的移动计算模式、泛在的移动网络通信方式应用到工业生产的各个环节,提高制造效率,把握产品质量,降低成本,减少污染,从而实现智能工业。工业物联网的三个特征是全面感知、可靠传输、智能处理,系统通过网络通信协议协调各模块之间的操作作序,从而实现整个系统的自我感知和判断、自我调节和控制等。
随着工业物联网在先进制造领域崭露头角,信息安全也告别传统的病毒感染、网络黑客攻击及资源滥用等阶段,迈进一个复杂多元、综合交互的新时期。工业物联网应用规模越大就越能放大安全问题造成的影响。无论是智能交通、智能电网、智能医疗还是桥梁检测、灾害监测还是其它工业领域,一旦出现问题就会涉及实体的损失,安全隐患已成为制约工业物联网发展的一大瓶颈。
由于工业物联网与传统网络的适用场景不同,工业系统与传统网络的体系结构、操作系统、实时要求和通信协议等典型特征也存在很大的差异,因此,工业物联网的安全机制也不同于传统网络。传统网络对实时性的要求不高,通常采用TCP/IP协议,其防护技术较为成熟。工控系统对实时性的要求很高,通常采用专用的实时性协议,且协议规约种类繁多,没有形成统一的标准,并且也缺少足够的认证、加密、授权等;传统网络的系统安全主要针对操作系统的脆弱性、安全配置、病毒防护和系统资源的非授权访问等,由于传统网络通常采用常见的操作系统,其防护手段较为丰富。工控系统的系统安全主要针对操作系统的漏洞和配置缺陷等,由于工控系统通常采用专用的操作系统,其防护手段较为局限;传统网络的数据安全主要针对数据的安全存储和授权使用,工控系统的数据安全主要针对工控设备控制信息的实时传输和安全处理。
发明内容
本发明的目的在于针对目前工业物联网所面临的全新的安全漏洞问题,提出了一种适用于工业物联网特点的漏洞扫描方法。它根据工业物联网中大都采用专用的实时性协议,且协议规约种类繁多的特点,提出了基于协议集和底层设备库的扫描方法,以获取网络中设备的具体信息。同时采用“逐级判断”分层次的扫描策略,大大的提高了漏洞扫描的效率。
本发明所述的漏洞扫描方法如图1所示,主要由网络探测1、系统探测2以及扫描引擎3三部分组成。
所述的网络探测是针对网络信息层面的探测,主要利用工控交换机具有的普通交换机周期性发送广播包的特点,将捕获在网络中进行数据交换的数据包11,传递给协议集12,由协议集对该数据包进行判断,以找到该数据包所对应的协议,利用该协议对数据包进行解析。
通过对数据包探测出工控交换机的站名称、工控交换机的地址以及工控系统的广播地址等基本信息。网络探测是系统探测的基础,在此基础上对系统进行探测。
所述的系统探测是针对系统信息层面的探测,基于网络探测的工业物联网中广播地址以及适用的协议等基本信息构造数据包21,采用主从模式,主动广播发送要请求的数据包22,截取底层设备返回的数据包23,利用协议集中适用的协议对数据包进行解析24,通过与底层的设备库31进行对比,探测出工业物联网中的工控设备以及其站类型、站名称、制造商标识、设备标识、设备角色以及地址等具体信息。
所述的扫描引擎的主要功能是根据该方法中的底层设备库探测到的工控设备的具体信息,例如,制造商标识、设备标识以及设备角色等与工业物联网中的漏洞库做比对,匹配出该设备存在的漏洞。
本发明所述的漏洞扫描方法,还规定了“逐层判断”的分层次扫描策略。
所述的分层次扫描策略是以网络扫描为基础,用状态转换推理的方法实现,即建立一个策略驱动机制来组织所有的漏洞检测模块,由它来负责调度漏洞检测模块的执行,包括该运行哪些漏洞检测模块以及运行顺序。驱动机制的核心即状态的判断和转换,收集目标主机的具体信息以及所适用的协议,作为第一级的状态集,由它来决定接下来所要调用的检测模块,然后进入下一级的状态集。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:本发明解决了在工业物联网中底层数据采集和控制与上层数据传输协议不同,造成的漏洞扫描无法识别全部漏洞的问题。加入了协议集和设备库,是该漏洞扫描方法具有较好的额扩展性和易用性。采用分层次扫描的策略极大的提高了扫描的效率。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明的结构示意图。
图2为网络探测流程图
图3为系统探测流程图
具体实施方式
下面结合附图和实施例对本发明作进一步说明,本发明旨在提供一种针对工业物联网漏洞的扫描方法。自动高效的检测工业网上存在的漏洞以及安全隐患。
本发明最关键部分为网络探测和系统探测。其为扫描引擎的基础和前提,其主要功能是探测连接到工业物联网的工控设备及其具体信息,这些信息是数据比对中的待比对数据,通过将这些信息与基准数据相比对,进而匹配出工控系统存在的漏洞。
该实例以一种开放式的工业以太网标准——PROFINET的实时(Real-Time,RT)通信协议为例进行说明。网络探测是通过捕获网络中的PROFINET数据包并对其进行解析来提取工控交换机的站名称、工控交换机的MAC地址以及系统的广播地址等基本信息;系统探测则是在网络探测的基础上,通过构造一个实时的PROFINET数据包,并在连接了工控设备的网络中以广播的方式发送,以请求工控设备的响应,再对回复的PROINET数据包进行解析来提取工控系统中的工控设备以及其站类型、站名称、制造商标识、设备标识、设备角色以及MAC地址等具体信息。通过系统探测和网络探测两步,即可完成对工控系统的探测。
其中,在网络探测中因工程控交换机具有普通交换机的基本功能,并在此基础上添加了一些工控的特性。因此,工控交换机会周期性的向整个工控系统中发送基于PROFINET RT通信中DCP协议的广播包,广播自己的站名称,通过捕获工控交换机发送的广播包并根据DCP协议的帧结构进行解析和提取可以获得工控系统的基本信息,例如,工控交换机的站名称、工控交换机的MAC地址和广播地址等。其流程如图2所示。
启动捕获数据包线程:用于捕获网络中的数据包;
提取回复的PROFINET数据包:
提取Ethernet Type为0x8892的数据包;
对提取的数据包进行解析:根据DCP协议的帧结构对提取的数据包进行解析,提取所需的工控设备信息。
其中在系统探测中,根据PROFINET RT通信中DCP协议帧结构,构造一个实时的PROFINET数据包,并在连接了工控设备的网络中以广播的方式发送,以请求工控设备回复,再通过对回复的数据包进行解析来提取需要探测的工控设备的具体信息。其流程如图3。
构造PROINET数据包:根据DCP协议的帧结构构造PROFINET数据包;
启动捕获数据包线程:用于捕获网络中的数据包;
广播发送PROFINET数据包:将目的地址设定为工控系统的广播MAC地址,将源地址设定为测试主机的MAC地址,Ethernet Type为PROFIENT的协议ID,即0x8892;
提取回复的PROFINET数据包:提取Ethernet Type为0x8892且目的地址为测试主机的MAC地址的数据包;
对提取的数据包进行解析:根据DCP协议的帧结构对提取的数据包进行解析,提取所需的工控设备信息。
上述实施例,仅为对本发明的目的、技术方案和有益效果进一步详细说明的具体个例,本发明并非限定于此。凡在本发明的公开的范围之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (7)
1.一种应用于工业物联网的漏洞扫描方法,其特征在于:基于协议集和底层设备库获取网络中设备的具体信息;同时采用“逐级判断”分层次的扫描策略。该方法主要由网络探测、系统探测以及扫描引擎三部分组成。
2.根据权利要求1所述的方法,其特征在于网络探测层将捕获在网络中进行数据交换的数据包,传递给协议集,由协议集对该数据包进行判断,以找到该数据包所对应的协议,利用该协议对数据包进行解析。
3.根据权利要求1、2所述的方法,其特征在于探测出工控交换机的站名称、工控交换机的地址以及工控系统的广播地址等基本信息。
4.根据权利要求1所述的方法,其特征在于系统探测将根据协议构造的数据包,采用主从模式,主动广播发送要请求的数据包,截取底层设备返回的数据包,利用协议集中适用的协议对数据包进行解析,通过与底层的设备库进行对比获得该设备具体信息,并与工业物联网中的漏洞库做比对,匹配出该设备存在的漏洞。
5.根据权利要求1、2所述的方法,其特征在于探测出工业物联网中的工控设备以及其站类型、站名称、制造商标识、设备标识、设备角色以及地址等具体信息。
6.根据权利1要求所述的方法,其特征在于规定了“逐层判断”的分层次扫描策略。
7.根据权利6要求所述的方法,其特征在于所述的分层次扫描策略是以网络扫描为基础,用状态转换推理的方法实现,即建立一个策略驱动机制来组织所有的漏洞检测模块,由它来负责调度漏洞检测模块的执行,包括该运行哪些漏洞检测模块以及运行顺序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610405475.8A CN106161426A (zh) | 2016-06-08 | 2016-06-08 | 一种应用于工业物联网的漏洞扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610405475.8A CN106161426A (zh) | 2016-06-08 | 2016-06-08 | 一种应用于工业物联网的漏洞扫描方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106161426A true CN106161426A (zh) | 2016-11-23 |
Family
ID=57353262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610405475.8A Pending CN106161426A (zh) | 2016-06-08 | 2016-06-08 | 一种应用于工业物联网的漏洞扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106161426A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107154940A (zh) * | 2017-05-11 | 2017-09-12 | 济南大学 | 一种物联网漏洞扫描系统及扫描方法 |
| CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
| CN108809951A (zh) * | 2018-05-16 | 2018-11-13 | 南京大学 | 一种适用于工业控制系统的渗透测试框架 |
| CN109257348A (zh) * | 2018-09-13 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种基于工业控制系统的集群漏洞挖掘方法和装置 |
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和系统 |
| CN111723377A (zh) * | 2020-06-17 | 2020-09-29 | 中国电子信息产业集团有限公司第六研究所 | 一种平台脆弱性的评估方法、装置、电子设备及存储介质 |
| CN112115457A (zh) * | 2020-08-24 | 2020-12-22 | 国网福建省电力有限公司 | 一种电力终端接入方法及系统 |
| CN112653677A (zh) * | 2020-12-13 | 2021-04-13 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理系统的网路隔离方法 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及系统 |
| CN114817929A (zh) * | 2022-04-19 | 2022-07-29 | 北京天防安全科技有限公司 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036231A (zh) * | 2010-09-07 | 2011-04-27 | 北京兵港科技发展有限公司 | 一种物联网网络架构安全体系及其安全方法 |
| US20120180133A1 (en) * | 2011-01-10 | 2012-07-12 | Saudi Arabian Oil Company | Systems, Program Product and Methods For Performing a Risk Assessment Workflow Process For Plant Networks and Systems |
| CN103795723A (zh) * | 2014-01-28 | 2014-05-14 | 河南科技大学 | 一种分布式物联网安全态势感知方法 |
| CN104618317A (zh) * | 2014-07-30 | 2015-05-13 | 江苏物泰信息科技有限公司 | 一种基于信任的物联网数据安全系统 |
-
2016
- 2016-06-08 CN CN201610405475.8A patent/CN106161426A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036231A (zh) * | 2010-09-07 | 2011-04-27 | 北京兵港科技发展有限公司 | 一种物联网网络架构安全体系及其安全方法 |
| US20120180133A1 (en) * | 2011-01-10 | 2012-07-12 | Saudi Arabian Oil Company | Systems, Program Product and Methods For Performing a Risk Assessment Workflow Process For Plant Networks and Systems |
| CN103795723A (zh) * | 2014-01-28 | 2014-05-14 | 河南科技大学 | 一种分布式物联网安全态势感知方法 |
| CN104618317A (zh) * | 2014-07-30 | 2015-05-13 | 江苏物泰信息科技有限公司 | 一种基于信任的物联网数据安全系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王欢欢: "工控系统漏洞扫描技术的研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107154940A (zh) * | 2017-05-11 | 2017-09-12 | 济南大学 | 一种物联网漏洞扫描系统及扫描方法 |
| CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| CN108809951A (zh) * | 2018-05-16 | 2018-11-13 | 南京大学 | 一种适用于工业控制系统的渗透测试框架 |
| CN108810034A (zh) * | 2018-08-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息资产的安全防护方法 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN109257348A (zh) * | 2018-09-13 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种基于工业控制系统的集群漏洞挖掘方法和装置 |
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和系统 |
| CN111723377A (zh) * | 2020-06-17 | 2020-09-29 | 中国电子信息产业集团有限公司第六研究所 | 一种平台脆弱性的评估方法、装置、电子设备及存储介质 |
| CN111723377B (zh) * | 2020-06-17 | 2023-02-07 | 中国电子信息产业集团有限公司第六研究所 | 一种平台脆弱性的评估方法、装置、电子设备及存储介质 |
| CN112115457A (zh) * | 2020-08-24 | 2020-12-22 | 国网福建省电力有限公司 | 一种电力终端接入方法及系统 |
| CN112115457B (zh) * | 2020-08-24 | 2022-08-05 | 国网福建省电力有限公司 | 一种电力终端接入方法及系统 |
| CN112653677A (zh) * | 2020-12-13 | 2021-04-13 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理系统的网路隔离方法 |
| CN112653677B (zh) * | 2020-12-13 | 2021-12-07 | 北京哈工信息产业股份有限公司 | 基于物联网终端分类管理系统的网路隔离方法 |
| CN113239366A (zh) * | 2021-07-12 | 2021-08-10 | 国网江西省电力有限公司电力科学研究院 | 一种电力工控设备的漏洞无损检测方法及系统 |
| CN114817929A (zh) * | 2022-04-19 | 2022-07-29 | 北京天防安全科技有限公司 | 物联网漏洞动态追踪和处理方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161426A (zh) | 一种应用于工业物联网的漏洞扫描方法 | |
| CN109167796B (zh) | 一种基于工业scada系统的深度包检测平台 | |
| CN109600363A (zh) | 一种物联网终端网络画像及异常网络访问行为检测方法 | |
| CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN109861988A (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN103763695B (zh) | 一种物联网安全测评方法 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN102970306B (zh) | 一种IPv6网络环境下的入侵检测系统 | |
| CN106130786A (zh) | 一种网络故障的检测方法及装置 | |
| CN103716822A (zh) | 监控方法及装置 | |
| CN110086810A (zh) | 基于特征行为分析的被动式工控设备指纹识别方法及装置 | |
| CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
| KR102001812B1 (ko) | K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법 | |
| CN102143511A (zh) | 对室内分布器件进行无线感知监测的系统及方法 | |
| CN107864162A (zh) | 融合网关双系统及其通信安全保护方法 | |
| CN110324323A (zh) | 一种新能源厂站涉网端实时交互过程异常检测方法及系统 | |
| CN106411644A (zh) | 基于dpi技术的网络共享设备检测方法及系统 | |
| CN104811437A (zh) | 一种工业控制网络中生成安全策略的系统和方法 | |
| CN102420765A (zh) | 一种确定交换机与终端之间的物理链路的方法以及装置 | |
| CN107645472A (zh) | 一种基于OpenFlow的虚拟机流量检测系统 | |
| CN103944912B (zh) | 一种防范网络中各种新兴和未知攻击行为的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161123 |