CN108390861A - 一种网络空间工控资产的威胁检测方法 - Google Patents

一种网络空间工控资产的威胁检测方法 Download PDF

Info

Publication number
CN108390861A
CN108390861A CN201810082304.5A CN201810082304A CN108390861A CN 108390861 A CN108390861 A CN 108390861A CN 201810082304 A CN201810082304 A CN 201810082304A CN 108390861 A CN108390861 A CN 108390861A
Authority
CN
China
Prior art keywords
port
industry control
cyberspace
accurate scan
control assets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810082304.5A
Other languages
English (en)
Inventor
马强
羊依银
唐林
殷顺尧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronic Technology Cyber Security Co Ltd
Original Assignee
China Electronic Technology Cyber Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronic Technology Cyber Security Co Ltd filed Critical China Electronic Technology Cyber Security Co Ltd
Priority to CN201810082304.5A priority Critical patent/CN108390861A/zh
Publication of CN108390861A publication Critical patent/CN108390861A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络空间工控资产的威胁检测方法,首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测,筛选出存活端口并缓存到精确扫描任务池;然后对精确扫描任务池中所有存活端口进行精确扫描,发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息;最后结合工控安全知识库,利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。与现有技术相比,本发明的积极效果是:可以探测到更多的网络空间工控资产;能够大规模快速检测整个互联网空间工控资产的安全威胁;避免了传统的Fuzzing技术可能造成工控系统业务异常中断的问题。

Description

一种网络空间工控资产的威胁检测方法
技术领域
本发明涉及一种网络空间工控资产的威胁检测方法。
背景技术
包括工业控制系统在内的国家关键信息基础设施关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全和公共利益。电力、轨道交通、供水、燃气等关键基础设施和石油石化、钢铁、煤化工和智能制造等重点制造企业所采用的自动控制系统,是国家关键信息基础设施的重要组成部分。目前超过80%的涉及国计民生的关键基础设施都依赖工业控制系统来实现相关工作作业,工业控制系统是水电气等国家关键基础实施工业行业正常运行和国民经济健康发展的“大脑”和“中枢神经”。因此,重要工业控制系统一旦遭到破坏、丧失功能或者信息泄露,可能严重危害国家安全和公共利益。
随着信息技术和现代城市的高速发展,“互联网+”、智能制造等创新战略的快速推进,城市水、电、气等关键基础设施和制造企业的工业控制系统逐渐联网化和智能化。来自网络空间的信息安全风险已经可以通过对工业控制系统、网络和设备的破坏,进而对关键基础设施和制造实体形成致命安全威胁,一旦发生安全事件,不仅严重影响生产安全和经济发展,更直接影响社会稳定和国家安全。同时,针对工业控制系统等关键信息基础设施的攻击呈现组织化、集团化、国家化和政治目的的趋势。网络空间工控资产的威胁识别,可以为网络空间工控资产信息安全防御工作提供技术支持,为国家安全部门提供综合安全态势感知分析。
现有技术存在如下缺点:
(1)现有的网络空间工控资产探测方法,只能识别出网络空间工控资产的厂商、型号等基本信息,不能检测出漏洞风险等安全威胁;
(2)现有的网络空间工控资产探测方法,只针对特定的TCP和UDP端口进行探测,未做全端口检测,并且UDP端口探测存在效率低和误报率高等问题;
(3)传统的Fuzzing技术可能会造成工控系统业务异常中断,无法适用于网络空间工控资产威胁检测。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种网络空间工控资产的威胁检测方法。
本发明解决其技术问题所采用的技术方案是:一种网络空间工控资产的威胁检测方法,首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测和深度扫描,筛选出存活端口并缓存到精确扫描任务池;然后对精确扫描任务池中所有存活端口进行精确扫描,发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息;最后结合工控安全知识库,利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。
与现有技术相比,本发明的积极效果是:
(1)采用了TCP和UDP全端口预扫描技术,可以探测到更多的网络空间工控资产;
(2)能够大规模快速检测整个互联网空间工控资产的安全威胁;
(3)结合工业安全知识库实现威胁检测,避免了传统的Fuzzing技术可能造成工控系统业务异常中断的问题。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为网络空间工控资产的威胁检测流程图。
具体实施方式
针对目前的网络空间工控资产探测方法存在的问题,本发明在识别网络空间资产时,首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测和深度扫描,初步筛选出存活端口并缓存到精确扫描任务池;然后针对精确扫描任务池中所有存活端口,发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本。最后结合工控安全知识库,利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞,实现网络空间工控安全资产威胁的无损检测。
如图1所示,本发明的网络空间工控资产威胁检测方法包括如下步骤:
步骤一、TCP预扫描:
(1)利用分布式算法将IP段拆分给TCP预扫节点;
(2)TCP预扫节点收到IP子段后,利用随机算法打乱目标IP并存放至IP池;
(3)向IP池中的所有IP的全端口发送SYN报文,发送方法为从0至65535端口中随机挑选一个端口并发送SYN报文,如果该端口能够收到目标IP的ACK报文,说明该端口存活,则将该IP及端口加入到精确扫描任务池;
(4)重复第(3)步,直到遍历完所有IP和全端口。
步骤二、UDP预扫描:
(1)分析工业协议通信流程并构造UDP预扫描报文;
(2)利用分布式算法将IP段拆分给UDP预扫节点;
(3)UDP预扫节点收到IP子段后,利用随机算法打乱目标IP并存放至IP池;
(4)向IP池中的所有IP的全端口发送UDP预扫描报文,如果能够收到目标IP的正确应答报文,说明端口存活,则将该IP及端口加入到精确扫描任务池;
(5)重复第(4)步,直到遍历完所有IP和全端口。
步骤三、精确扫描:
(1)利用分布式算法将精确扫描任务池中的所有IP及其存活端口,发送给精确扫描节点;
(2)精确扫描节点收到IP和存活端口后,发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息;如果能够读取到设备厂商、设备硬件型号、设备软件版本信息,则将IP和端口存储到威胁检测缓存池;
(3)重复第(2)步,直到遍历完所有IP及其存活端口。
步骤四、漏洞关联匹配:
(1)通过自主漏洞挖掘及对CNVD、CNNVD、CVE等公开漏洞库的数据采集,形成工控安全知识库;
(2)结合精确扫描探测出的厂商、型号、版本信息,关联匹配出漏洞信息;
(3)重复第(2)步直到遍历完威胁检测缓存池中的所有IP。

Claims (6)

1.一种网络空间工控资产的威胁检测方法,其特征在于:首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测,筛选出存活端口并缓存到精确扫描任务池;然后对精确扫描任务池中所有存活端口进行精确扫描,发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息;最后结合工控安全知识库,利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。
2.根据权利要求1所述的一种网络空间工控资产的威胁检测方法,其特征在于:所述TCP预扫描的方法为:
(1)利用分布式算法将IP段拆分给TCP预扫节点;
(2)TCP预扫节点收到IP子段后,利用随机算法打乱目标IP并存放至IP池;
(3)向IP池中的所有IP的全端口发送SYN报文,如果某端口能够收到目标IP的ACK报文,说明该端口存活,则将该IP及存活端口加入到精确扫描任务池;
(4)重复第(3)步,直到遍历完所有IP和全端口。
3.根据权利要求1所述的一种网络空间工控资产的威胁检测方法,其特征在于:所述UDP预扫描的方法为:
(1)利用分布式算法将IP段拆分给UDP预扫节点;
(2)UDP预扫节点收到IP子段后,利用随机算法打乱目标IP并存放至IP池;
(3)向IP池中的所有IP的全端口发送UDP预扫描报文,如果某端口能够收到目标IP的正确应答报文,说明该端口存活,则将该IP及存活端口加入到精确扫描任务池;
(4)重复第(3)步,直到遍历完所有IP和全端口。
4.根据权利要求3所述的一种网络空间工控资产的威胁检测方法,其特征在于:所述UDP预扫描报文根据工业协议通信流程进行构造。
5.根据权利要求1所述的一种网络空间工控资产的威胁检测方法,其特征在于:所述精确扫描的方法为:
(1)利用分布式算法将精确扫描任务池中的所有IP及其存活端口,发送给精确扫描节点;
(2)精确扫描节点收到IP和存活端口后,发送工业协议探测报文,如果能够读取到设备厂商、设备硬件型号、设备软件版本信息,则将IP和端口存储到威胁检测缓存池;
(3)重复第(2)步,直到遍历完所有IP及其存活端口。
6.根据权利要求1所述的一种网络空间工控资产的威胁检测方法,其特征在于:所述工控安全知识库通过自主漏洞挖掘及对公开漏洞库的数据采集形成。
CN201810082304.5A 2018-01-29 2018-01-29 一种网络空间工控资产的威胁检测方法 Pending CN108390861A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810082304.5A CN108390861A (zh) 2018-01-29 2018-01-29 一种网络空间工控资产的威胁检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810082304.5A CN108390861A (zh) 2018-01-29 2018-01-29 一种网络空间工控资产的威胁检测方法

Publications (1)

Publication Number Publication Date
CN108390861A true CN108390861A (zh) 2018-08-10

Family

ID=63074140

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810082304.5A Pending CN108390861A (zh) 2018-01-29 2018-01-29 一种网络空间工控资产的威胁检测方法

Country Status (1)

Country Link
CN (1) CN108390861A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109274551A (zh) * 2018-09-14 2019-01-25 江苏博智软件科技股份有限公司 一种精确高效的工控资源定位方法
CN110351251A (zh) * 2019-06-20 2019-10-18 哈尔滨工业大学(威海) 一种基于过滤技术的工控设备资产探测方法
CN111131320A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 资产识别方法、装置、系统、介质、和程序产品
CN112800408A (zh) * 2021-04-15 2021-05-14 工业信息安全(四川)创新中心有限公司 一种基于主动探测的工控设备指纹提取与识别方法
CN112801295A (zh) * 2021-04-12 2021-05-14 远江盛邦(北京)网络安全科技股份有限公司 基于通用网络空间资产的组织推演方法及系统
CN113032654A (zh) * 2021-04-08 2021-06-25 远江盛邦(北京)网络安全科技股份有限公司 网络空间内基于暴露面的社会组织识别方法及系统
CN113055379A (zh) * 2021-03-11 2021-06-29 北京顶象技术有限公司 一种面向全网关键基础设施的风险态势感知方法和系统
CN113240258A (zh) * 2021-04-30 2021-08-10 山东云天安全技术有限公司 一种工业资产探测方法、设备及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106161426A (zh) * 2016-06-08 2016-11-23 北京工业大学 一种应用于工业物联网的漏洞扫描方法
CN106230800A (zh) * 2016-07-25 2016-12-14 恒安嘉新(北京)科技有限公司 一种对资产主动探测和漏洞预警的方法
CN106713449A (zh) * 2016-12-21 2017-05-24 中国电子科技网络信息安全有限公司 一种快速识别联网工控设备的方法
US20170264629A1 (en) * 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
WO2017210240A1 (en) * 2016-06-02 2017-12-07 Hubbell Incorporated System and method for securely changing network configuration settings to multiplexers in an industrial control system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170264629A1 (en) * 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
WO2017210240A1 (en) * 2016-06-02 2017-12-07 Hubbell Incorporated System and method for securely changing network configuration settings to multiplexers in an industrial control system
CN106161426A (zh) * 2016-06-08 2016-11-23 北京工业大学 一种应用于工业物联网的漏洞扫描方法
CN106230800A (zh) * 2016-07-25 2016-12-14 恒安嘉新(北京)科技有限公司 一种对资产主动探测和漏洞预警的方法
CN106713449A (zh) * 2016-12-21 2017-05-24 中国电子科技网络信息安全有限公司 一种快速识别联网工控设备的方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109274551A (zh) * 2018-09-14 2019-01-25 江苏博智软件科技股份有限公司 一种精确高效的工控资源定位方法
CN110351251A (zh) * 2019-06-20 2019-10-18 哈尔滨工业大学(威海) 一种基于过滤技术的工控设备资产探测方法
CN110351251B (zh) * 2019-06-20 2020-09-01 哈尔滨工业大学(威海) 一种基于过滤技术的工控设备资产探测方法
CN111131320A (zh) * 2019-12-31 2020-05-08 奇安信科技集团股份有限公司 资产识别方法、装置、系统、介质、和程序产品
CN111131320B (zh) * 2019-12-31 2022-06-14 奇安信科技集团股份有限公司 资产识别方法、装置、系统和介质
CN113055379A (zh) * 2021-03-11 2021-06-29 北京顶象技术有限公司 一种面向全网关键基础设施的风险态势感知方法和系统
CN113032654A (zh) * 2021-04-08 2021-06-25 远江盛邦(北京)网络安全科技股份有限公司 网络空间内基于暴露面的社会组织识别方法及系统
CN112801295A (zh) * 2021-04-12 2021-05-14 远江盛邦(北京)网络安全科技股份有限公司 基于通用网络空间资产的组织推演方法及系统
CN112800408A (zh) * 2021-04-15 2021-05-14 工业信息安全(四川)创新中心有限公司 一种基于主动探测的工控设备指纹提取与识别方法
CN113240258A (zh) * 2021-04-30 2021-08-10 山东云天安全技术有限公司 一种工业资产探测方法、设备及装置

Similar Documents

Publication Publication Date Title
CN108390861A (zh) 一种网络空间工控资产的威胁检测方法
Bryant et al. A novel kill-chain framework for remote security log analysis with SIEM software
CN115296924B (zh) 一种基于知识图谱的网络攻击预测方法及装置
CN111756759A (zh) 一种网络攻击溯源方法、装置及设备
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN113067812B (zh) Apt攻击事件溯源分析方法、装置和计算机可读介质
CN112217800B (zh) 一种蜜罐识别方法、系统、装置及介质
KR20040022073A (ko) 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
CN111541655A (zh) 网络异常流量检测方法、控制器及介质
CN114117432A (zh) 一种基于数据溯源图的apt攻击链还原系统
Musa et al. Analysis of complex networks for security issues using attack graph
CN117220993A (zh) 一种网络安全测试评估方法及系统
CN113886829B (zh) 一种失陷主机检测方法、装置、电子设备及存储介质
CN112800408B (zh) 一种基于主动探测的工控设备指纹提取与识别方法
CN117792733A (zh) 一种网络威胁的检测方法及相关装置
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
Ionită et al. Biologically inspired risk assessment in cyber security using neural networks
Swart et al. Adaptation of the JDL model for multi-sensor national cyber security data fusion
CN113824736B (zh) 一种资产风险处置方法、装置、设备及存储介质
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
Liu et al. SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering
CN105791263A (zh) 一种信息安全风险预警方法及管理系统
CN113726826B (zh) 一种威胁情报生成方法及装置
CN113852641B (zh) 一种基于图数据库的网络攻击溯源系统、方法及设备
Peterson Unmasking deceptive attacks with machine learning

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180810