CN106487813A - 工控网络安全检测系统及检测方法 - Google Patents

工控网络安全检测系统及检测方法 Download PDF

Info

Publication number
CN106487813A
CN106487813A CN201611144704.1A CN201611144704A CN106487813A CN 106487813 A CN106487813 A CN 106487813A CN 201611144704 A CN201611144704 A CN 201611144704A CN 106487813 A CN106487813 A CN 106487813A
Authority
CN
China
Prior art keywords
detection target
test
industry control
state
control network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611144704.1A
Other languages
English (en)
Inventor
叶长
吴玲花
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kuang En Network Technology Co Ltd
Original Assignee
Beijing Kuang En Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kuang En Network Technology Co Ltd filed Critical Beijing Kuang En Network Technology Co Ltd
Priority to CN201611144704.1A priority Critical patent/CN106487813A/zh
Publication of CN106487813A publication Critical patent/CN106487813A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及工业控制网络安全漏洞检测领域。为实现对工控网络安全漏洞的深入全面检测,有效发现未知安全漏洞,找出工控网络安全漏洞产生的根源,本发明提出一种工控网络安全检测系统,其中,测试用例模块向模糊测试引擎提供测试用例;模糊测试引擎生成测试数据包并对检测目标进行安全检测,得出包括“正常”、“其他”和“疑似漏洞”的测试结果;监视器实时监测检测目标的状态;根源分析模块驱动模糊测试引擎进行攻击重放,在漏洞验证成功后对异常数据包进行异常分析,得出安全漏洞产生的根源;报告生成引擎生成测试报告。使用该工控网络安全检测系统进行安全检测,检测深入全面,能够有效发现未知安全漏洞,得出安全漏洞产生的根源。

Description

工控网络安全检测系统及检测方法
技术领域
本发明涉及工业控制网络安全漏洞检测领域,尤其涉及一种对工业控制网络的安全漏洞进行检测用的工控网络安全检测系统及方法。
背景技术
近年来,工业控制系统强调开放性,在工控网络中大量引入通用的IT产品,如Windows操作系统、关系数据库等,并广泛使用以太网和TCP/IP协议,从而导致大量的IT漏洞被引入到工控网络中。另外,大部分的工控网络的应用层协议和现场总线协议使用MODBUS/TCP、CAN等明码传输协议,存在没有严格的身份识别、报文很容易被伪造等无法避免的脆弱性。因此,工控网络很容易受到攻击者利用漏洞进行的攻击,严重的攻击后果甚至可以使工控网络完全瘫痪,导致工业过程失控或装置停机。
目前,对工控网络安全漏洞进行检测时,端口服务扫描、漏洞特征扫描等技术对工控网络安全漏洞库的依赖较大,而公开的工控网络安全漏洞库中的安全漏洞信息很少,导致工控网络安全漏洞深入全面的检测无法实现;基于公开漏洞的扫描技术和机制,无法有效发现未知安全漏洞,且在时间上永远滞后于攻击者利用的未知安全漏洞。由此可见,目前在对工控网络安全漏洞进行检测时,既无法对工控网络安全漏洞进行深入检测,又无法有效发现未知安全漏洞,更无法获知工控网络安全漏洞产生的根本原因,进而导致工控网络安全防护困难。
发明内容
为实现对工控网络安全漏洞的深入全面检测,有效发现未知安全漏洞,找出工控网络安全漏洞产生的根源,提高工控网络的安全防护性能,本发明提出一种工控网络安全检测系统,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;
所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;
所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;
所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;
所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;
所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。
使用该工控网络安全检测系统对检测目标的安全漏洞进行检测时,根据检测目标的工控协议生成检测所需的测试用例,可提高测试用例的适用性;利用监视器对检测目标的状态进行监测,可及时抓取使用检测目标的状态异常的测试数据包并保存为验证数据包,且在利用验证数据包对检测目标进行攻击重放时可准确判断出检测目标是否存在安全漏洞;通过根源分析模块对攻击重放结果进行分析验证漏洞,从而找出工控网络中存在的安全漏洞,尤其是工控网络中的未知安全漏洞;根源分析模块在漏洞验证成功后将验证数据包保存为异常数据包并对该异常数据包进行异常分析,从而找出异常数据包中的异常部分,进而得出安全漏洞产生的根本原因。由此可见,使用该工控网络安全检测系统对检测目标的安全漏洞进行检测时,检测深入全面,且能够有效发现工控网络中的未知安全漏洞,得出安全漏洞产生的根本原因。这样,工控网络安全防护人员在对工控网络进行安全防护时,可根据工控网络中的安全漏洞尤其是未知安全漏洞以及安全漏洞产生的根源采用有针对性的安全防护措施进行安全防护,进而提高工控网络的安全防护性能。
优选地,所述测试用例模块包括数据模型子模块、状态模型子模块和测试参数子模块,所述数据模型子模块用于构造各字段符合所述检测目标的工控协议的数据模型;所述状态模型子模块对所述工控协议的交互状态进行控制;所述测试参数子模块用于指定测试参数。进一步地,所述测试参数包括用于补充所述数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。这样,测试用例模块提供的测试用例的适用性更广,采用该测试用例对于检测目标进行安全检测时,检测的覆盖率更高、深入度更好。
优选地,所述模糊测试引擎包括数据生成模块、数据变形模块和攻击重放模块,所述数据生成模块根据所述测试用例模块提供的测试用例生成正常测试数据;所述数据变形模块对所述正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给所述检测目标;所述攻击重放模块在所述检测目标的状态异常时抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包重新发送给所述检测目标进行攻击重放。这样,模糊测试引擎在生成的测试数据时,先由数据生成模块根据测试用例生成正常的测试数据,再通过数据变形模块对正常测试数据的特定字段变形重组形成测试数据,测试数据的针对性更强,采用这种测试数据对检测目标进行测试时,测试精度更高。
优选地,所述监视器的监测方式包括针对所述检测目标的存活状态的监测,针对所述检测目标的服务端口的状态的监测,针对所述检测目标的工控协议的应用层的监测,以及针对所述检测目标的实时性和数字模拟输入输出信号的监测。这样,监视器在对检测目标进行监测时,监测数据较为全面,监测到的检测目标的状态更准确。
优选地,所述根源分析模块包括漏洞验证子模块和异常分析子模块;所述漏洞验证子模块驱动所述模糊测试引擎将抓取到的所述验证数据包重新发送给所述检测目标进行攻击重放,验证漏洞,并在漏洞验证成功后将所述验证数据包保存为异常数据包;所述异常分析子模块在漏洞验证成功后对所述异常数据包进行协议分析,并标注出所述异常数据包中不符合所述检测目标的工控协议的部分。进一步地,所述异常数据包中不符合所述检测目标的工控协议的部分包括:单个数据包报文格式异常,单个数据包状态转移异常,组合数据包的乱序行为及组合数据包的类型异常。这样,根源分析模块通过漏洞验证子模块在验证数据包对检测目标进行攻击重放时验证漏洞,从而根据验证结果确定检测目标状态异常的原因,并在确定检测目标是因为存在安全漏洞而出现状态异常时,漏洞验证子模块将导致检测目标状态异常的验证数据保存为异常数据包,并利用异常分析子模块对异常数据包进行异常分析,从而找出异常数据包中存在的异常部分,进而得出导致检测目标出现安全漏洞的根本原因。
优选地,所述工控网络安全检测系统还包括中间继电模块,该中间继电模块与所述模糊测试引擎连接,并根据所述模糊测试引擎发来的控制信号控制所述检测目标的供电电源与所述检测目标之间的电路的通断。这样,在对检测目标进行攻击重放时,可通过模糊测试引擎驱动中间继电模块对检测目标进行重启,使检测目标自动复位并恢复至正常可测试状态,从而利用剩余的测试用例继续对检测目标6进行安全检测。
本发明还提出一种工控网络安全检测方法,该工控网络安全检测方法利用上述任意一种工控网络安全检测系统对检测目标进行安全检测,且安全检测步骤如下:
S1、利用所述测试用例模块根据所述检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;
S2、所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包,并将所述测试数据包发送到所述检测目标中对所述检测目标进行安全检测,同时利用监视器对所述检测目标的状态进行实时监测,当所述检测目标的状态正常时,得出所述检测目标的测试结果为“正常”;当所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包;
S3、所述模糊测试引擎将所述验证数据包重新发送到所述检测目标中进行攻击重放,验证漏洞,同时使用所述监视器对所述检测目标的状态进行监测;当所述检测目标正常时,漏洞验证失败,得出所述检测目标的测试结果为“其他”;当所述检测目标的状态异常时,漏洞验证成功,得出所述检测目标的测试结果为“疑似漏洞”;
S4、在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包,并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;
S5、在安全检测完成后,利用所述报告生成引擎根据所述测试结果生成测试报告。
优选地,在所述步骤S5中,所述报告生成引擎在生成测试报告时,对所述测试结果中的“疑似漏洞”进行漏洞标识,并关联该“疑似漏洞”的所有相关信息,并对所述“疑似漏洞”的漏洞名称、危险等级和描述进行编辑并保存至所述工控网络安全检测系统的本机漏洞库中。
附图说明
图1为本发明工控网络安全检测系统与检测目标连接时的结构框图;
图2为采用本发明工控网络安全检测系统中的根源分析模块异常数据包进行协议分析得到的分析结果展示图;
图3为本发明工控网络安全检测方法的流程图。
具体实施方式
下面,结合图1对本发明工控网络安全检测系统以及利用该工控网络安全检测系统对检测目标(待检测的设备或系统)进行检测的方法进行详细说明。
如图1所示,本发明工控网络安全检测系统包括测试用例模块1、模糊测试引擎2、监视器3、根源分析模块4、报告生成引擎5和中间继电模块(图中未示出)。
测试用例模块1与模糊测试引擎2连接,并根据检测目标6的工控协议向模糊测试引擎2提供对检测目标6进行安全检测用的测试用例。优选地,测试用例模块1包括数据模型子模块11、状态模型子模块12和测试参数子模块13。其中,数据模型子模块11用于构造各字段符合检测目标6的工控协议的数据模型。状态模型子模块12对工控协议的交互状态进行控制。由于工控协议侧重于控制,客户端和服务器之间的交互状态较多,通常需要多个有序的报文交互才能完成其功能。例如,多数协议都存在初始化建立连接的交互过程,因为只有在建立初始化连接后才能进行后续的交互过程,如果测试用例模块不考虑状态的转换,那么在进行测试时被测试的仅仅是客户端和服务器之间的第一个交互状态,而测试很难进入到后续交互状态中,即很难对后续的交互状态进行测试,导致测试的覆盖率较低、测试深入度较差。本发明工控网络安全检测系统中的状态模型子模块12通过对交互状态进行控制,能够实现较高的测试覆盖率和较好地测试深度。测试参数子模块13用于指定测试参数,该测试参数包括用于补充数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。这样,测试参数子模块13通过对测试参数的指定,使得测试用例模提供的测试用例的适用性更广。
模糊测试引擎2根据测试用例模块1提供的测试用例生成安全检测所需的测试数据包并将该测试数据包发送到检测目标6中对检测目标6进行安全检测,在检测目标6的状态异常时,抓取可能使检测目标6的状态异常的单个或组合的测试数据包并保存为验证数据包,并将该验证数据包重新发送给检测目标6进行攻击重放,以便于准确判断出检测目标6是否存在安全漏洞。优选地,模糊测试引擎2包括数据生成模块21、数据变形模块22和攻击重放模块23。其中,数据生成模块21根据测试用例模块1提供的测试用例生成正常测试数据。数据变形模块22对数据生成模块21生成的正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给检测目标6对检测目标6进行安全检测。这样生成的测试数据通过数据变形模块对正常测试数据的特定字段变形重组形成,相对于正常测试数据针对性更强,测试精度更高。在利用测试数据包对检测目标6进行安全检测时,当检测目标6的状态正常时,安全检测的测试结果为“正常”;当检测目标6的状态异常时,攻击重放模块23抓取可能使检测目标6的状态异常的单个或组合的测试数据包,将该测试数据包保存为验证数据包,并将该验证数据包重新发送给检测目标6进行攻击重放。这样,可对攻击重放产生的结果进行分析验证漏洞,并根据漏洞验证结果确认检测目标6是否存在安全漏洞。在模糊测试引擎2将验证数据包发送到检测目标6中进行攻击重放时,当检测目标6的状态正常时,表明检测目标6在安全检测过程中出现的异常状态可能由非安全漏洞的其他因素引起,例如网络异常,设备接口松动等,故安全检测的测试结果为“其他”;当检测目标6的状态异常时,表明检测目标6在安全检测过程中出现的异常状态可能是由于存在安全漏洞引起的,故安全检测的测试结果为“疑似漏洞”。
监视器3与模糊测试引擎2连接,在模糊测试引擎2将测试数据包或验证数据包发送给检测目标6后,监视器3对检测目标6的状态进行实时监测并将监测到的监视数据实时传输到模糊测试引擎2中。这样,无论是在进行正常的安全检测时,还是在进行漏洞验证时,模糊测试引擎2均可及时准确地获取检测目标6的状态信息,以便于模糊测试引擎2中的攻击重放子模块23能够在检测目标6的状态异常时及时准确地抓取可能使检测目标6状态异常的测试数据包,进而可避免因抓取时机错误而导致抓取到错误的测试数据包,从而避免使用抓取到的错误的测试数据包对检测目标6进行攻击重放,缩短安全检测耗时,提高安全检测效率。优选地,监视器3的监测方式包括针对检测目标6的存活状态(上电状态)的监测(ARP,ICMP),针对检测目标6的服务端口的状态的监测(TCP,UDP),针对检测目标6的工控协议的应用层的监测(返回值,协议状态机),以及针对检测目标6的实时性和数字模拟输入输出信号的监测。这样,监视器3在对检测目标6进行检测时,监测到的监测数据较为全面,从而可提高检测目标6的状态的监测准确性。
根源分析模块4与模糊测试引擎2和报告生成引擎5连接,并在监视器3实时监测到检测目标6的状态异常时驱动模糊测试引擎2中的攻击重放子模块23对检测目标6中进行攻击重放,并对攻击重放结果进行分析验证漏洞,并在漏洞验证成功后将验证数据包保存为异常数据包,并对异常数据包进行异常分析,从而得出安全漏洞产生的根源。优选地,根源分析模块4包括漏洞验证子模块41和异常分析子模块42。其中,漏洞验证子模块41驱动模糊测试引擎2中的攻击重放模块23将抓取到的验证数据包重新发送到检测目标6中进行攻击重放,并启动监视器3对检测目标6的状态进行实时监测,以验证漏洞。在攻击重放的过程中,当检测目标6的状态正常时,漏洞验证失败;当检测目标6的状态异常时,漏洞验证成功。在漏洞验证成功后,根源分析模块4将验证数据包保存为异常数据包,同时对“疑似漏洞”的相关信息比如监测器3的异常状态和工控协议名称进行保存。异常分析子模块42在漏洞验证成功后对异常数据包进行协议解析,并标注出异常数据包中不符合检测目标6的工控协议的部分。其中,异常数据包中不符合检测目标6的工控协议的部分包括但不限于:单个数据包报文格式异常,单个数据包状态转移异常,组合数据包的乱序行为及组合数据包的类型异常。以单个数据包报文格式异常为例,异常的类型通常包括:单个数据包中某个字段的溢出;单个数据包中某个字段非法;单个数据包整体长度过长等。
以Modbus/TCP协议异常数据包为例,按照开放系统互联(Open SystemInterconnection,简称OSI)模型对Modbus/TCP协议异常数据包进行解析并按照链路层、网络层、传输层和应用层的结构展现出来,如图2所示。其中,由Modbus/TCP协议规约可知,图2中Length字段的意义是该字段之后其余字段的字节数;由数据包可知,Length字段之后还有6个字节“ff 06 00 8a ff ff”,而Length字段值为5是非法长度字段,故应用层Modbus/TCP的单个数据包报文格式异常,出现了非法长度字段,即长度字段非法。由此可见,对检测目标6(目标设备或系统)出现的异常状况进行根源分析时,使用可能导致检测目标6状态异常的验证数据包对检测目标6进行攻击重放和验证,能够精确定位导致检测目标6状态异常的输入,对验证成功的异常数据进行解析和呈现,找出安全漏洞产生的根源,进而可为工控网络的安全防护工作提供技术支撑,提高工控网络的安全防护性能。
报告生成引擎5与根源分析模块4连接并根据测试结果生成测试报告,其中,测试结果包括“正常”、“疑似漏洞”和“其他”。优选地,报告生成引擎5在生成测试报告时,可对测试结果中的“疑似漏洞”进行漏洞标识,关联该“疑似漏洞”所有相关信息,并对漏洞名称、危险等级和描述等信息进行编辑并保存至安全检测所使用的工控网络安全检测系统的本机漏洞库中,作为漏洞分析的依据。优选地,报告生成引擎5中存储有多种报告模板,比如检测报告模板、漏洞挖掘报告模板等,以便于根据需要生成不同的测试报告。另外,用户在对报告生成引擎5生成的测试报告进行导出时,可导出为RTF模式,以便于用户根据需要对测试报告进行修改。
中间继电模块与模糊测试引擎2连接,并根据模糊测试引擎2发来的控制信号控制检测目标6的供电电源与检测目标6之间的电路的通断。具体地,当检测目标6的状态异常时,模糊测试引擎2先向中间继电模块发送断电控制信号,使中间继电模块断开检测目标6的供电电源与检测目标6之间的电路,即使检测目标6断电;再向中间继电模块发送供电控制信号,使中间继电模块导通检测目标6的供电电源与检测目标6之间的电路,即使检测目标6上电,从而完成检测目标6的重启操作。这样,在使用本发明工控网络安全检测系统对检测目标6进行安全检测的过程中,可通过模糊测试引擎2驱动中间继电模块对检测目标6进行重启,并使检测目标6自动复位至正常可测试状态,从而利用剩余的测试用例继续对检测目标6进行安全检测。
下面,结合图1和3对利用上述工控网络安全检测系统对检测目标6进行安全检测的具体步骤进行详细说明。
S1、利用测试用例模块1根据检测目标6的工控协议向模糊测试引擎2提供安全检测所需的测试用例。由于测试用例模块1利用数据模块子模块11构造出各字段符合检测目标6的工控协议的数据模型,并利用状态模型子模块12对工控协议的交互状态进行控制,并利用测试参数子模块13对测试参数进行指定,使得提供给模糊测试引擎2的测试用例的适用性广,进而可提高测试覆盖率和测试深入度。
S2、模糊测试引擎2根据测试用例模块1提供的测试用例生成测试数据包,并将测试数据包发送到检测目标6中对检测目标6进行安全检测,同时利用监视器3对检测目标6的状态进行实时监测,当检测目标6的状态正常时,检测目标6的测试结果为“正常”;当检测目标6的状态异常时,根源分析模块4驱动模糊测试引擎2抓取可能使检测目标6的状态异常的测试数据包并保存为验证数据包。在利用模糊测试引擎2生成测试数据包时,先利用数据生成模块21根据测试用例模块1提供的测试用例生成正常测试数据,再利用数据变形模块22对数据生成模块21生成的正常测试数据的特定字段进行变形重组形成测试数据。
S3、模糊测试引擎2将验证数据包重新发送到检测目标6中进行攻击重放以验证漏洞,同时使用监视器3对检测目标6的状态进行实时监测;当检测目标6的状态正常时,漏洞验证失败,则检测目标6在进行安全检测时的状态异常是由非安全漏洞的其他因素比如网络异常,设备接口松动等引起的,检测目标6的测试结果为“其他”;当检测目标6的状态异常时,漏洞验证成功,检测目标6的异常状态可能是由于存在安全漏洞引起的,检测目标6的测试结果为“疑似漏洞”。在对检测目标6中的安全漏洞进行验证时,根源分析模块4中的漏洞验证子模块41驱动模糊测试引擎2中的攻击重放模块23进行攻击重放,将抓取到的验证数据包重新发送到检测目标6中进行漏洞验证,并启动监视器3对检测目标6的状态进行实时监测,当检测目标6的状态正常时,漏洞验证失败;当检测目标6的状态异常时,漏洞验证成功。
S4、在漏洞验证成功后,根源分析模块4将验证数据包保存为异常数据包并对异常数据包进行异常分析,找出异常数据包中的异常部分,得出安全漏洞产生的根源。根源分析模块4对异常数据包进行异常分析时,可对异常数据包进行协议分析,并在分析结果上标注出异常数据包中不符合检测目标的工控协议的部分,即异常部分,从而得出检测目标的安全漏洞产生的根源。
S5、在检测完成后,利用报告生成引擎5根据测试结果生成测试报告。报告生成引擎5在生成的测试报告时,对测试结果中的“疑似漏洞”进行漏洞标识,并关联该“疑似漏洞”的所有相关信息,并对“疑似漏洞”的漏洞名称、危险等级和描述进行编辑并保存至安全检测所使用的工控网络安全检测系统的本机漏洞库中,作为漏洞分析的依据。

Claims (10)

1.一种工控网络安全检测系统,其特征在于,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;
所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;
所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;
所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;
所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;
所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。
2.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述测试用例模块包括数据模型子模块、状态模型子模块和测试参数子模块,所述数据模型子模块用于构造各字段符合所述检测目标的工控协议的数据模型;所述状态模型子模块对所述工控协议的交互状态进行控制;所述测试参数子模块用于指定测试参数。
3.根据权利要求2所述的工控网络安全检测系统,其特征在于,所述测试参数包括用于补充所述数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。
4.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述模糊测试引擎包括数据生成模块、数据变形模块和攻击重放模块,所述数据生成模块根据所述测试用例模块提供的测试用例生成正常测试数据;所述数据变形模块对所述正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给所述检测目标;所述攻击重放模块在所述检测目标的状态异常时抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包重新发送给所述检测目标进行攻击重放。
5.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述监视器的监测方式包括针对所述检测目标的存活状态的监测,针对所述检测目标的服务端口的状态的监测,针对所述检测目标的工控协议的应用层的监测,以及针对所述检测目标的实时性和数字模拟输入输出信号的监测。
6.根据权利要求1-5中任意一项所述的工控网络安全检测系统,其特征在于,所述根源分析模块包括漏洞验证子模块和异常分析子模块;所述漏洞验证子模块驱动所述模糊测试引擎将抓取到的所述验证数据包重新发送给所述检测目标进行攻击重放,验证漏洞,并在漏洞验证成功后将所述验证数据包保存为异常数据包;所述异常分析子模块在漏洞验证成功后对所述异常数据包进行协议分析,并标注出所述异常数据包中不符合所述检测目标的工控协议的部分。
7.根据权利要求6所述的工控网络安全检测系统,其特征在于,所述异常数据包中不符合所述检测目标的工控协议的部分包括:单个数据包报文格式异常,单个数据包状态转移异常,组合数据包的乱序行为及组合数据包的类型异常。
8.根据权利要求1-5中任意一项所述的工控网络安全检测系统,其特征在于,所述工控网络安全检测系统还包括中间继电模块,该中间继电模块与所述模糊测试引擎连接,并根据所述模糊测试引擎发来的控制信号控制所述检测目标的供电电源与所述检测目标之间的电路的通断。
9.一种工控网络安全检测方法,其特征在于,该工控网络安全检测方法利用权利要求1-8中任意一项所述的工控网络安全检测系统对检测目标进行安全检测,且安全检测步骤如下:
S1、利用所述测试用例模块根据所述检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;
S2、所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包,并将所述测试数据包发送到所述检测目标中对所述检测目标进行安全检测,同时利用监视器对所述检测目标的状态进行实时监测,当所述检测目标的状态正常时,得出所述检测目标的测试结果为“正常”;当所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包;
S3、所述模糊测试引擎将所述验证数据包重新发送到所述检测目标中进行攻击重放,验证漏洞,同时使用所述监视器对所述检测目标的状态进行实时监测;当所述检测目标的状态正常时,漏洞验证失败,得出所述检测目标的测试结果为“其他”;当所述检测目标的状态异常时,漏洞验证成功,得出所述检测目标的测试结果为“疑似漏洞”;
S4、在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包,并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;
S5、在安全检测完成后,利用所述报告生成引擎根据所述测试结果生成测试报告。
10.根据权利要求9所述的工控网络安全检测方法,其特征在于,在所述步骤S5中,所述报告生成引擎在生成测试报告时,对所述测试结果中的“疑似漏洞”进行漏洞标识,并关联该“疑似漏洞”的所有相关信息,并对所述“疑似漏洞”的漏洞名称、危险等级和描述进行编辑并保存至所述工控网络安全检测系统的本机漏洞库中。
CN201611144704.1A 2016-12-13 2016-12-13 工控网络安全检测系统及检测方法 Pending CN106487813A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611144704.1A CN106487813A (zh) 2016-12-13 2016-12-13 工控网络安全检测系统及检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611144704.1A CN106487813A (zh) 2016-12-13 2016-12-13 工控网络安全检测系统及检测方法

Publications (1)

Publication Number Publication Date
CN106487813A true CN106487813A (zh) 2017-03-08

Family

ID=58284975

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611144704.1A Pending CN106487813A (zh) 2016-12-13 2016-12-13 工控网络安全检测系统及检测方法

Country Status (1)

Country Link
CN (1) CN106487813A (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256334A (zh) * 2018-01-26 2018-07-06 平安科技(深圳)有限公司 漏洞测试方法、装置、计算机设备和存储介质
CN108920963A (zh) * 2018-07-23 2018-11-30 国网浙江省电力有限公司电力科学研究院 一种工业控制系统自动化漏洞检测插件生成方法及系统
CN109889280A (zh) * 2019-02-22 2019-06-14 信联科技(南京)有限公司 一种nfc设备安全测试方法
CN110348216A (zh) * 2019-05-24 2019-10-18 中国科学院信息工程研究所 一种针对云计算系统虚拟设备的模糊测试方法及系统
CN110851352A (zh) * 2019-10-15 2020-02-28 深圳开源互联网安全技术有限公司 一种模糊测试系统及终端设备
CN111026012A (zh) * 2019-11-29 2020-04-17 哈尔滨安天科技集团股份有限公司 Plc固件级漏洞的检测方法、装置、电子设备及存储介质
CN111294345A (zh) * 2020-01-20 2020-06-16 支付宝(杭州)信息技术有限公司 一种漏洞检测方法、装置及设备
CN112417462A (zh) * 2020-12-10 2021-02-26 中国农业科学院农业信息研究所 一种网络安全漏洞追踪方法及系统
CN112491917A (zh) * 2020-12-08 2021-03-12 物鼎安全科技(武汉)有限公司 一种物联网设备未知漏洞识别方法及装置
CN113098847A (zh) * 2021-03-16 2021-07-09 四块科技(天津)有限公司 供应链管理方法、系统、存储介质和电子设备
CN113347184A (zh) * 2021-06-01 2021-09-03 国家计算机网络与信息安全管理中心 网络流量安全检测引擎的测试方法、装置、设备及介质
CN114070766A (zh) * 2021-11-15 2022-02-18 中国建设银行股份有限公司 一种网络安全产品有效性检测方法及相关设备
CN114265360A (zh) * 2021-12-28 2022-04-01 四川启睿克科技有限公司 工控系统网络安全试验箱及模糊测试方法、攻击演示方法
CN115001829A (zh) * 2022-06-07 2022-09-02 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 协议漏洞挖掘方法、装置、设备及存储介质
CN115174276A (zh) * 2022-09-07 2022-10-11 国网江西省电力有限公司电力科学研究院 一种竞争式工业控制系统漏洞挖掘方法及系统
CN115604037A (zh) * 2022-12-13 2023-01-13 广州市盛通建设工程质量检测有限公司(Cn) 一种故障监测系统的通信安全测试方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010048776A1 (zh) * 2008-10-28 2010-05-06 中国科学院研究生院 一种obex协议漏洞挖掘方法及其系统
CN104168288A (zh) * 2014-08-27 2014-11-26 中国科学院软件研究所 一种基于协议逆向解析的自动化漏洞挖掘系统及方法
CN105404207A (zh) * 2015-12-14 2016-03-16 中国电子信息产业集团有限公司第六研究所 一种工业环境漏洞挖掘设备与方法
CN106131041A (zh) * 2016-07-29 2016-11-16 北京匡恩网络科技有限责任公司 一种工控网络安全检测装置和未知漏洞检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010048776A1 (zh) * 2008-10-28 2010-05-06 中国科学院研究生院 一种obex协议漏洞挖掘方法及其系统
CN104168288A (zh) * 2014-08-27 2014-11-26 中国科学院软件研究所 一种基于协议逆向解析的自动化漏洞挖掘系统及方法
CN105404207A (zh) * 2015-12-14 2016-03-16 中国电子信息产业集团有限公司第六研究所 一种工业环境漏洞挖掘设备与方法
CN106131041A (zh) * 2016-07-29 2016-11-16 北京匡恩网络科技有限责任公司 一种工控网络安全检测装置和未知漏洞检测方法

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108256334A (zh) * 2018-01-26 2018-07-06 平安科技(深圳)有限公司 漏洞测试方法、装置、计算机设备和存储介质
CN108256334B (zh) * 2018-01-26 2019-06-04 平安科技(深圳)有限公司 漏洞测试方法、装置、计算机设备和存储介质
CN108920963A (zh) * 2018-07-23 2018-11-30 国网浙江省电力有限公司电力科学研究院 一种工业控制系统自动化漏洞检测插件生成方法及系统
CN109889280A (zh) * 2019-02-22 2019-06-14 信联科技(南京)有限公司 一种nfc设备安全测试方法
CN109889280B (zh) * 2019-02-22 2021-09-07 信联科技(南京)有限公司 一种nfc设备安全测试方法
CN110348216A (zh) * 2019-05-24 2019-10-18 中国科学院信息工程研究所 一种针对云计算系统虚拟设备的模糊测试方法及系统
CN110851352A (zh) * 2019-10-15 2020-02-28 深圳开源互联网安全技术有限公司 一种模糊测试系统及终端设备
CN111026012A (zh) * 2019-11-29 2020-04-17 哈尔滨安天科技集团股份有限公司 Plc固件级漏洞的检测方法、装置、电子设备及存储介质
CN111294345A (zh) * 2020-01-20 2020-06-16 支付宝(杭州)信息技术有限公司 一种漏洞检测方法、装置及设备
CN112491917B (zh) * 2020-12-08 2021-05-28 物鼎安全科技(武汉)有限公司 一种物联网设备未知漏洞识别方法及装置
CN112491917A (zh) * 2020-12-08 2021-03-12 物鼎安全科技(武汉)有限公司 一种物联网设备未知漏洞识别方法及装置
CN112417462A (zh) * 2020-12-10 2021-02-26 中国农业科学院农业信息研究所 一种网络安全漏洞追踪方法及系统
CN112417462B (zh) * 2020-12-10 2024-02-02 中国农业科学院农业信息研究所 一种网络安全漏洞追踪方法及系统
CN113098847A (zh) * 2021-03-16 2021-07-09 四块科技(天津)有限公司 供应链管理方法、系统、存储介质和电子设备
CN113347184A (zh) * 2021-06-01 2021-09-03 国家计算机网络与信息安全管理中心 网络流量安全检测引擎的测试方法、装置、设备及介质
CN114070766B (zh) * 2021-11-15 2023-08-11 中国建设银行股份有限公司 一种网络安全产品有效性检测方法及相关设备
CN114070766A (zh) * 2021-11-15 2022-02-18 中国建设银行股份有限公司 一种网络安全产品有效性检测方法及相关设备
CN114265360A (zh) * 2021-12-28 2022-04-01 四川启睿克科技有限公司 工控系统网络安全试验箱及模糊测试方法、攻击演示方法
CN115001829A (zh) * 2022-06-07 2022-09-02 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 协议漏洞挖掘方法、装置、设备及存储介质
CN115001829B (zh) * 2022-06-07 2024-06-07 中国软件评测中心(工业和信息化部软件与集成电路促进中心) 协议漏洞挖掘方法、装置、设备及存储介质
CN115174276B (zh) * 2022-09-07 2022-12-30 国网江西省电力有限公司电力科学研究院 一种竞争式工业控制系统漏洞挖掘方法及系统
CN115174276A (zh) * 2022-09-07 2022-10-11 国网江西省电力有限公司电力科学研究院 一种竞争式工业控制系统漏洞挖掘方法及系统
CN115604037A (zh) * 2022-12-13 2023-01-13 广州市盛通建设工程质量检测有限公司(Cn) 一种故障监测系统的通信安全测试方法

Similar Documents

Publication Publication Date Title
CN106487813A (zh) 工控网络安全检测系统及检测方法
CN103905451B (zh) 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
CN103905450B (zh) 智能电网嵌入式设备网络检测评估系统与检测评估方法
CN102082659B (zh) 一种面向网络安全评估的漏洞扫描系统及其处理方法
CN106828362B (zh) 汽车信息的安全测试方法及装置
CN104363236A (zh) 一种自动化漏洞验证的方法
CN106131041A (zh) 一种工控网络安全检测装置和未知漏洞检测方法
CN108809951A (zh) 一种适用于工业控制系统的渗透测试框架
CN104850093B (zh) 用于监控自动化网络中的安全性的方法以及自动化网络
CN105493060A (zh) 蜜端主动网络安全
US20180075233A1 (en) Systems and methods for agent-based detection of hacking attempts
CN111984975B (zh) 基于拟态防御机制的漏洞攻击检测系统、方法及介质
CN103378991A (zh) 一种在线服务异常监测方法及其监测系统
CN113315767B (zh) 一种电力物联网设备安全检测系统及方法
CN106656657A (zh) 基于工控协议的自适应漏洞挖掘框架
CN105975863A (zh) 一种配电自动化终端设备信息安全风险测评与计算方法
Liebl et al. Analyzing the attack surface and threats of industrial Internet of Things devices
CN206195821U (zh) 一种工控网络安全检测装置
US11079400B2 (en) Monitoring a product build process via a smart tray
CN111157833B (zh) 一种基于流水线自动运转的配电终端安全检测系统及方法
CN106789156A (zh) 一种工控网络测试方法、装置及系统
CN116319074B (zh) 一种基于多源日志的失陷设备检测方法、装置及电子设备
Abakumov et al. Combining IMECA analysis and penetration testing to assess the Cybersecurity of Industrial Robotic Systems
CN110086812A (zh) 一种安全可控的内网安全巡警系统及方法
CN107181768A (zh) 一种服务器系统的漏洞检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination