CN109063486B - 一种基于plc设备指纹识别的安全渗透测试方法与系统 - Google Patents

Abstract

本发明提供了一种基于PLC设备指纹识别的安全渗透测试方法与系统，涉及信息安全技术领域，该基于PLC设备指纹识别的安全渗透测试方法首先通过获取PLC设备的指纹特征库；然后在基于该PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定待测PLC设备的指纹特征；最后基于该确定的待测PLC设备的指纹特征对所述待测PLC设备进行安全渗透测试，该方法能够缓解现有的渗透测试方法对于PLC设备测试针对性不强的缺点，充分利用PLC设备指纹识别和信息安全风险渗透测试技术来评估PLC设备的安全性，有利于改善PLC设备的安全性。

Description

一种基于PLC设备指纹识别的安全渗透测试方法与系统

技术领域

本发明涉及信息安全技术领域，尤其是涉及一种基于PLC设备指纹识别的安全渗透测试方法与系统。

背景技术

随着工业4.0和智能制造的发展，作为很多工业控制系统核心的PLC(Programmable Logic Controller，可编程逻辑控制器)设备，通常PLC设备几乎没有采取任何安全措施就直接接入互联网，存在很大的安全隐患。由于PLC设备的某些操作和安全性是相互矛盾的，因此PLC设备的安全性往往被忽略甚至被禁用；但是，如果继续对PLC设备的安全性不加考虑，则PLC设备有可能遭遇病毒入侵，如“震网”病毒利用PLC漏洞进行的入侵。安全性的缺失除了会给PLC设备本身带来重大隐患；PLC设备长期运行后会积累大量的安全漏洞；再加上运维过程中缺乏科学的安全意识、管理和技术方案，这些缺陷使工控设备面对网络安全攻击时极其脆弱，给安全生产带来极大隐患。

针对以上问题，目前尚未提出有效的解决方案。

发明内容

有鉴于此，本发明的目的在于提供一种基于PLC设备指纹识别的安全渗透测试方法与系统，以缓解了现有技术中存在对PLC设备的针对性不强的技术问题。

第一方面，本发明实施例提供了一种基于PLC设备指纹识别的安全渗透测试方法，包括：

获取PLC设备的指纹特征库；

基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征；

基于所述指纹特征对所述待测PLC设备进行安全渗透测试。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征包括：

获取所述待测PLC设备的识别信息，所述识别信息包括所述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；所述数据源信息包括网络流量特征信息和会话交互模式信息；所述第一信息是对所述数据源信息中的无用数据进行过滤得到的信息；所述第二信息是对基于第一信息建立的特征模型进行上下文环境分析得到的信息；所述签名信息是对所述第二信息中的无用信息进行过滤得到的信息；

将所述待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

根据所述比对结果确定所述待测PLC设备的指纹特征。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述基于所述指纹特征对所述待测PLC设备进行安全渗透测试包括：

基于所述指纹特征中的所述待测PLC设备的型号对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息；

基于所述漏洞信息对所述待测PLC设备进行POC验证，以确定所述漏洞信息是否存在。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息包括以下方式中的至少一种：

从互联网资源中获取所述待测PLC设备的漏洞信息；

对所述待测PLC设备进行漏洞扫描，获取所述待测PLC设备的漏洞信息；

根据所述待测PLC设备的指纹特征中的供应商信息从所述待测PLC设备的厂商的安全公告里获取所述待测PLC设备的漏洞信息。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，采用以下至少一种方式对所述待测PLC设备进行POC验证：

PLC上载程序测试方式；

PLC下载程序测试方式；

PLC上位机指令测试方式；

PLC下位机指令测试方式；

拒绝服务测试方式。

结合第一方面的，本发明实施例提供了第一方面的第五种可能的实施方式，其中，所述方法还包括：

构建所述PLC设备的指纹特征库。

结合第一方面的第五种可能的实施方式，本发明实施例提供了第一方面的第六种可能的实施方式，其中，所述构建所述PLC设备的指纹特征库，包括：

在工业控制系统环境中选取用于进行指纹特征提取的目标数据源信息，所述目标数据源信息包括：目标PLC设备的网络流量特征数据和网络会话交互模式数据；

从所述目标数据源信息中过滤掉无用数据，得到第三信息；所述无用数据包括与网络会话无关的数据；所述第三信息包括：所述目标PLC设备的网络五元组信息、所述目标PLC设备的banner信息、所述目标PLC设备运行过程中的错误信息；其中所述目标PLC设备的数量为多个；

基于所述第三信息和所述目标数据源信息构建特征模型；

对所述特征模型进行上下文环境分析生成第四信息；所述第四信息与所述目标PLC设备的型号相关联；

对所述第四信息进行预处理，根据处理结果建立签名信息；所述签名信息包括：所述目标PLC设备的供应商、型号、版本号、属性、配置参数；

基于所述签名信息对多个所述目标PLC设备进行分类，根据分类结果构建所述PLC设备的指纹特征库；所述PLC设备的指纹特征库包括与所述目标PLC设备的指纹特征相对应的所述目标数据源信息、所述第三信息、所述第四信息、所述签名信息。

第二方面，本发明实施例还提供一种基于PLC设备指纹识别的安全渗透测试系统，包括：

数据库获取模块，用于获取PLC设备的指纹特征库；

指纹识别模块，用于基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征；

渗透测试模块，用于基于所述指纹特征对所述待测PLC设备进行安全渗透测试。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述指纹识别模块包括：

获取单元，用于获取所述待测PLC设备的识别信息，所述识别信息包括所述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；所述数据源信息包括网络流量特征信息和会话交互模式信息；所述第一信息是对所述数据源信息中的无用数据进行过滤得到的信息；所述第二信息是对基于第一信息建立的特征模型进行上下文环境分析得到的信息；所述签名信息是对所述第二信息中的无用信息进行过滤得到的信息；

比对单元，用于将所述待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

确定单元，用于根据所述比对结果确定所述PLC设备的指纹特征。

结合第二方面，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述渗透测试模块包括：

搜集单元，用于基于所述指纹特征中的所述待测PLC设备的型号对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息；

验证单元，用于基于所述漏洞信息对所述待测PLC设备进行POC验证，以确定所述漏洞信息是否存在。

第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的基于PLC设备指纹识别的安全渗透测试方法的步骤。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述基于PLC设备指纹识别的安全渗透测试方法的步骤。

本发明实施例带来了以下有益效果：本发明实施例提供的基于PLC设备指纹识别的安全渗透测试方法、系统、电子设备以及计算机可读存储介质，其中，该基于PLC设备指纹识别的安全渗透测试方法首先通过获取PLC设备的指纹特征库；然后在基于该PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定待测PLC设备的指纹特征；最后基于该确定的待测PLC设备的指纹特征对所述待测PLC设备进行安全渗透测试，能够缓解现有的渗透测试方法对于PLC设备测试针对性不强的缺点，充分利用PLC设备指纹识别及信息系统脆弱性渗透测试技术，通过PLC设备指纹识别和信息安全风险渗透测试技术，模拟黑客的攻击方法，来评估PLC设备的安全性，提供一种设计合理，准确快速的基于PLC设备指纹的安全隐患渗透测试方法，有利于改善PLC设备的安全性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试方法的流程图；

图2为本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试方法的步骤S102的流程图；

图3为本发明实施例提供的另一种基于PLC设备指纹识别的安全渗透测试方法的流程图；

图4为本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试系统的结构图；

图5为本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试系统的渗透测试模块的应用场景图；

图6为本发明实施例提供的一种电子设备的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前，现有的PLC设备的安全性往往被忽略，通常PLC设备几乎没有采取任何安全措施就直接接入互联网，导致系统存在的漏洞难以得到有效防护，面对网络安全攻击时极其脆弱，给安全生产带来极大的安全隐患。

基于此，本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试方法与系统，通过开展针对PLC设备指纹的信息安全风险渗透测试技术研究工作，基于设备指纹的识别及尽可能地完整模拟黑客使用的漏洞发现技术和攻击手段，对PLC设备的安全性作深入探测，发现PLC设备中存在的脆弱环节，保障工业控制系统的安全运行，可以缓解或部分缓解现有技术中对存在的PLC设备存在的针对性不强，PLC设备存在安全性较差的技术问题，有利于改善PLC设备的安全性。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种基于PLC设备指纹识别的安全渗透测试方法进行详细介绍。

实施例一：

图1为本发明实施例提供的一种基于PLC设备指纹识别的安全渗透测试方法的流程图。

在本发明实施例中，该方法应用于能够模拟被控制端的基于PLC设备指纹识别的安全渗透测试系统，包括如下步骤：

步骤S101，获取PLC设备的指纹特征库；

其中，该PLC设备的指纹特征库包括：多个目标PLC设备的指纹特征以及与多个上述的目标PLC设备的指纹特征相对应的识别信息；每个目标PLC设备的指纹特征相对应的识别信息包括：与该目标PLC设备的指纹特征相对应的目标数据源信息、第三信息、第四信息、签名信息的至少一种信息。

步骤S102，基于PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定待测PLC设备的指纹特征；

这里的待测PLC设备可以是已知的PLC设备，也可以是未知的PLC设备，具体的，待测PLC设备可以是类型和型号已知的PLC设备，例如XXX公司的A型号PLC设备；也可以是类型和型号未知的PLC设备，例如设备铭牌无法识别；其中，已知的PLC设备还可以作为目标PLC设备用于构建PLC设备的指纹特征数据库；未知的PLC设备可以用于完善构建PLC设备的指纹特征数据库；上述待测PLC设备的指纹特征包括该待测PLC设备的供应商、型号、类型(应用的工控系统环境，例如电厂工控环境、机械厂工控环境、轨交工控环境)；当然上述待测PLC设备的指纹特征还可以包括该待测PLC设备的版本号、属性、配置参数等；需要说明的是，本实施例指纹识别采用的指纹提取方法为被动式提取方法。被动式指纹则是通过尽可能少的网络侵扰(less intrusive)，被动式的监听网络获取信息。被动式识别只能收集会话通道信息。被动式提取方式解决了主动式识别的探测扫描更易造成网络繁忙，且易被检测的问题，例如，在SCADA(Supervisory Control And Data Acquisition，数据采集与监视控制系统)中，主动式扫描可能造成系统过载以及主动调试会使设备处理的frame数量增长，PLCs和RTUs无法支持超出的流量，从而导致正常请求无法响应。

具体实现时，参照图2，该步骤S102通过以下步骤执行：

步骤S1021，获取待测PLC设备的识别信息；

其中，上述识别信息包括上述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；上述数据源信息包括待测PLC设备在预设工控系统环境中的网络流量特征信息和会话交互模式信息，网络流量特征信息是指预设时间段内的网络流量值；因此，本实施例中的上述数据源信息无需时间维度；上述第一信息是对上述数据源信息中的无用数据进行过滤得到的信息；这里的无用数据包括与网络会话无关的数据(如TCP重传，重复的ACK包等)；上述第二信息是对基于第一信息建立的待测PLC设备的特征模型进行上下文环境分析得到的信息；上述签名信息是对上述第二信息中的无用信息(例如标记不完整信息)进行过滤得到的信息；

步骤S1022，将待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

具体的，将待测PLC设备的上述识别信息与PLC设备的指纹特征库中的每个目标PLC设备的指纹特征相对应的识别信息进行逐一比对，生成比对结果；例如，当识别信息为待测PLC设备的数据源信息时，则将待测PLC设备的数据源信息与PLC设备的指纹特征库中的每个目标PLC设备的指纹特征相对应的目标数据源信息进行逐一比对，生成比对结果；当识别信息为待测PLC设备的第一信息时，则将待测PLC设备的第一信息与PLC设备的指纹特征库中的每个目标PLC设备的指纹特征相对应的第三信息进行逐一比对，生成比对结果；当识别信息为待测PLC设备的第二信息时，则将待测PLC设备的第二信息与PLC设备的指纹特征库中的每个目标PLC设备的指纹特征相对应的第四信息进行逐一比对，生成比对结果；当识别信息为待测PLC设备的签名信息时，则将待测PLC设备的签名信息与PLC设备的指纹特征库中的每个目标PLC设备的指纹特征相对应的签名信息进行逐一比对，生成比对结果。

步骤S1023，根据比对结果确定待测PLC设备的指纹特征。

具体实现时，可以通过设置阈值的方式进行确定，设置阈值的方式如下：1、设置阈值的大小、与识别信息的类型相对应；即对于不同的识别信息，其阈值是不同的，且阈值与上文提及的识别信息的顺序成反比，即识别信息为数据源信息时，设置的阈值越大，当识别信息为签名信息时，设置的阈值越小；例如当识别信息为数据源信息时，设置阈值为99％；当识别信息为第一信息时，设置阈值为96％；当识别信息为第二信息时，设置阈值为93％；当识别信息为签名信息时，设置阈值为90％；当识别信息为一个时，若待测PLC设备的上述识别信息之一与PLC设备的指纹数据库中目标PLC设备的相对应的识别信息之一的比对结果满足(例如大于)该识别信息对应的设置阈值条件时，则比对成功，该目标PLC设备的指纹特征即为待测PLC设备的指纹特征；当识别信息为两个时，两个的比较结果都满足相应的设置阈值条件的目标PLC设备的指纹特征作为待测PLC设备的指纹特征；当识别信息为三个时，三个的比较结果中的至少两个都满足相应的设置阈值条件的目标PLC设备的指纹特征作为待测PLC设备的指纹特征；当识别信息为四个时，四个的比较结果中的至少有三个都满足相应的设置阈值条件的目标PLC设备的指纹特征作为待测PLC设备的指纹特征；需要说明的是，上述仅为判定的一种具体方式，当然也可以根据需求和实际实验结果进行调整，例如识别信息为多个时，多个比较结果都满足设置阈值时的目标PLC设备的指纹特征才可以作为待测PLC设备的指纹特征，以最大限度的提高指纹识别的准确性。若不满足时，则将该PLC设备作为拓展PLC设备的指纹特征库的目标PLC设备进行机器学习，完善该PLC设备的指纹特征库。

该步骤S102的目的在于根据获取的待测PLC的指纹特征，调取与该指纹特征相对应的渗透途径或渗透脚本对该待测PLC设备进行安全渗透测试。

步骤S103，基于指纹特征对上述待测PLC设备进行安全渗透测试。

具体的，该步骤S103通过以下步骤实现：

A基于上述指纹特征中的上述待测PLC设备的型号对上述待测PLC设备进行漏洞搜集，以得到上述PLC设备的漏洞信息；

本实施例中，步骤A可以通过以下方式中的至少一种实现：

A1从互联网资源中获取上述待测PLC设备的漏洞信息；

具体的，基于网络爬虫技术从国家信息安全漏洞共享平台、中国国家信息安全漏洞库、CVE(Common Vulnerabilities&Exposures，公共漏洞和暴露)、工控安全相关的专业论坛进行爬取，得到已识别的上述待测PLC设备的漏洞信息；

A2对上述待测PLC设备进行漏洞扫描，获取上述待测PLC设备的漏洞信息；

基于漏洞扫描工具对上述待测PLC设备进行漏洞扫描，获取上述待测PLC设备的漏洞信息；例如，使用如NESSUS或工控漏洞扫描工具对已识别的待测PLC设备进行漏洞扫描，发现已识别的待测PLC设备的已知漏洞；进一步的，还可以确认该已知漏洞的严重程度；

A3根据上述待测PLC设备的指纹特征中的供应商信息从上述待测PLC设备的厂商的安全公告里获取上述待测PLC设备的漏洞信息。

具体的，根据上述待测PLC设备的指纹信息中提取的供应商基于网络爬虫技术直接从上述已识别的待测PLC设备的厂商的安全公告里查询上述待测PLC设备的漏洞信息；和/或，根据上述待测PLC设备的指纹信息中提取的供应商基于网络爬虫技术从上述已识别的待测PLC设备的厂商的安全公告里进行爬取，得到该待测PLC设备的最新固件版本；将待测PLC设备指纹特征中的版本号与上述最新固件版本进行对比，来获取存在的漏洞信息；即通过对比该待测PLC设备的最新固件版本上述待测PLC设备是否已经及时更新到最新固件版本来确定漏洞(包括历史更新信息中说明的漏洞)的存在。

B基于上述漏洞信息对上述待测PLC设备进行POC(Proof of Concept，观点验证程序)验证，以确定上述漏洞信息是否存在。

逐一对上述漏洞信息进行POC验证，以确定上述漏洞信息是否存在。

具体的，首先获取漏洞利用程序，该漏洞利用程序可以是漏洞测试工具编写的PLC漏洞利用程序或利用工控专业论坛中已有的漏洞利用程序；然后基于上述的漏洞利用程序对得到的上述漏洞信息中漏洞的严重性进行测试和验证：

具体实施时，可以采用以下至少一种方式对该步骤B来验证；

B1PLC上载程序测试方式；

获取PLC编程软件或调试软件测试待测PLC设备对PLC执行程序进行上载，测试待测PLC设备是否能够获取PLC执行程序备份；

B2PLC下载程序测试方式；

具体的，获取PLC编程软件或调试软件测试待测PLC设备的设置情况，如是否允许执行程序编译、是否允许程序下载、是否能够远程读取等信息；

B3PLC上位机指令测试方式；

实施时，获取数据包嗅探软件，例如SNIFFER等数据包嗅探软件，捕获数据链路层、网络层、传输层、应用层上位机传输数据，以及利用存储的专用协议分析器查看指令内容和发送地址和源地址，伪造上位机指令，查看待测PLC设备是否接受并执行；

B4PLC下位机指令测试方式；

具体的，获取数据包嗅探软件，例如SNIFFER等数据包嗅探软件，基于数据包嗅探软件捕获数据链路层、网络层、传输层、应用层获取待测PLC设备传输数据，以及利用存储的专用协议分析器查看指令内容和发送地址和目的地址，修改传输数据，重新发送，查看待测PLC设备是否接受并执行；

B5拒绝服务测试方式。

具体实现时，利用模拟工具向待测PLC设备发送广播报文，填充待测PLC设备的数据缓冲区，使待测PLC设备无法正常接收上位机发送的数据。

本发明实施例提供的该基于PLC设备指纹识别的安全渗透测试方法首先通过获取PLC设备的指纹特征库；然后在基于该PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定待测PLC设备的指纹特征；最后基于该确定的待测PLC设备的指纹特征对上述待测PLC设备进行安全渗透测试，能够缓解现有的渗透测试方法对于PLC设备测试针对性不强的缺点，充分利用PLC设备指纹识别及信息系统脆弱性渗透测试技术，通过PLC设备指纹识别和信息安全风险渗透测试技术，模拟黑客的攻击方法，来评估PLC设备的安全性，提供一种设计合理，准确快速的基于PLC设备指纹的安全隐患渗透测试方法，有利于改善PLC设备的安全性。

实施例二：

如图3所示，在实施例一的基础上，本发明实施例提供了另一种基于PLC设备指纹识别的安全渗透测试方法，与实施例一的区别在于，该方法还包括：

步骤S301，构建PLC设备的指纹特征库。

具体的，该步骤S301主要包括：

1、在工业控制系统环境中选取用于进行指纹特征提取的目标数据源信息；

这里的工业控制系统环境为已知的，且上述目标数据源信息包括：目标PLC设备的网络流量特征数据和网络会话交互模式数据；其中目标PLC设备是指选取的用于构建指纹数据库的PLC设备；且这里目标PLC设备的指纹特征是已知的；

具体的，将在工业控制系统环境(已知的，例如电厂工控环境或者轨交工控环境)中选取的用于构建指纹数据库的PLC设备的网络流量特征信息(包括时间特征，预设时间段的网络流量值)和网络会话交互模式等存储所需信息的数据作为指纹提取的数据源；

2、从上述目标数据源信息中过滤掉无用数据，得到第三信息；

上述的无用信息包括与网络会话无关的数据(如TCP重传，重复的ACK包等)；上述第三信息是与上述目标PLC设备相关联的，上述第三信息包括：上述目标PLC设备的网络五元组信息、上述目标PLC设备的banner信息、上述目标PLC设备运行过程中的错误信息(例如404)；其中上述目标PLC设备的数量为多个；这里的网络五元组信息是指源IP地址，源端口，目的IP地址，目的端口，和传输层协议这五个量组成的一个集合。例如:192.168.1.110000TCP 121.14.88.76 80就构成了一个五元组。其意义是，一个IP地址为192.168.1.1的终端通过端口10000，利用TCP协议，和IP地址为121.14.88.76，端口为80的终端进行连接。

具体的，对上述数据源采用抓包工具(例如Wireshark等工具)生成的封包文件(例如PCAP文件)或者直接生产线上SNIFFER进行数据分析，过滤掉上述数据源中的无用数据，采集得到与选取的用于构建指纹数据库的PLC设备相关联的第一信息，上述第一信息是指对确定上述选取的用于构建指纹数据库的PLC设备相关的数据，包括网络五元组信息、banner信息、错误信息中的有价值信息(例如运行过程中产生的错误信息)；

3、基于上述第三信息和上述目标数据源信息构建特征模型；

对采集到的有价值信息(即第三信息)，基于时间，网络流量，会话交互模式等数据源的识别，建立特征模型，特征模型按照预设的数据结构定义格式进行了系统的和完整的数据结构定义，数据结构定义包括型号、属性等格式定义；即特征模型包括型号、属性等信息，需要指出的是，不同型号的PLC设备(例如两种型号A或型号B)的上述特征可能一致，导致特征模型的型号不确定；

4、对上述特征模型进行上下文环境分析生成第四信息；上述第四信息与上述目标PLC设备的型号相关联；

具体的，获取上下文环境中的特征值和运行关系，基于上下文环境中的特征值和运行关系展现目标PLC设备在工控系统的角色；根据角色确定特征模型中具体的型号，基于用于确定该型号的上述特征值和运行关系信息生成第四信息；

5、对上述第四信息进行预处理，根据处理结果建立签名信息；上述签名信息包括：上述目标PLC设备的供应商、型号、版本号、属性、配置参数；

即，对第四信息进行进一步的提炼，例如预处理未知的环境数据、过滤掉第四信息中的无用信息和标记不完整信息，建立得到用于对上述目标PLC设备进行分类的签名信息；

6、基于上述签名信息对多个上述目标PLC设备进行分类，根据分类结果构建上述PLC设备的指纹特征库；上述PLC设备的指纹特征库包括与上述目标PLC设备的指纹特征相对应的上述目标数据源信息、上述第三信息、上述第四信息、上述签名信息。

具体实现时，可以通过调取并利用标准TCP/IP协议栈分析方法实现一系列比较算法，提供扫描查询设备信息，进行全面的指纹信息分类，包括供应商、型号、版本号、属性、配置参数；

其中与上述目标PLC设备的指纹特征相对应的上述目标数据源信息、上述第三信息、上述第四信息、上述签名信息构成了与目标PLC设备的指纹特征相对应的识别信息；

具体的，根据签名信息，按照预设的分类方法进行分类，根据分类结果建立指纹特征库；例如采用数叉状分类方法对签名信息进行分类，生成的分类结果为一级标签：供应商二级标签：该供应商下面的多个型号分支；三级标签：每个型号下面的多个版本号分支等等；根据该分类结果以及与该分类结果中的指纹特征对应的目标PLC设备的目标数据源信息、第三信息、第四信息以及签名信息关联起来建立PLC设备的指纹特征库。

为了便于理解，下面对该构建PLC设备的指纹特征库进行举例说明：在步骤3中，考虑到不同的PLC设备可能存在第三信息和数据源信息相同的情况，即根据步骤3建立的特征模型中识别的PLC设备型号有多个，例如型号A和型号B对应了同一个特征模型，通常应用于该工控系统环境的PLC设备的型号是确定的，为了确定出具体的型号；因此本实施例中利用上下文环境分析，以获取更高水平的契合分析型号的第四信息，确定应用于该工控系统环境的是型号A而非B；鉴于特征模型中除了型号(A)以外，还存在banner信息(例如AAA)，错误信息(例如404)，banner信息或者错误信息(例如掉电引起的错误)中存在对推出型号(A)无用信息或者干扰信息，因此需要对这些无用信息进行排除(预处理，例如过滤标记不玩整信息)，仅留下对推出型号(A)的有用信息来建立签名信息；最后基于签名信息建立指纹特征库。

实施例三：

如图4所示，本发明实施例提供了一种基于PLC设备指纹识别的安全渗透测试系统，包括：数据库获取模块401、指纹识别模块402和渗透测试模块403。

其中，数据库获取模块401，用于获取PLC设备的指纹特征库；

指纹识别模块402，用于基于上述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定上述待测PLC设备的指纹特征；

渗透测试模块403，用于基于上述指纹特征对上述待测PLC设备进行安全渗透测试。

进一步的，上述指纹识别模块402包括：

获取单元4021，用于获取上述待测PLC设备的识别信息，上述识别信息包括上述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；上述数据源信息包括网络流量特征信息和会话交互模式信息；上述第一信息是对上述数据源信息中的无用数据进行过滤得到的信息；上述第二信息是对基于第一信息建立的特征模型进行上下文环境分析得到的信息；上述签名信息是对上述第二信息中的无用信息进行过滤得到的信息；

比对单元4022，用于将上述待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

确定单元4023，用于根据上述比对结果确定上述PLC设备的指纹特征。

进一步的，上述渗透测试模块403包括：

搜集单元4031，用于基于上述指纹特征中的上述待测PLC设备的型号对上述待测PLC设备进行漏洞搜集，以得到上述PLC设备的漏洞信息；

验证单元4032，用于基于上述漏洞信息对上述待测PLC设备进行POC验证，以确定上述漏洞信息是否存在。

参照图5，下面对本发明实施例提供的基于PLC设备指纹识别的安全渗透测试系统的渗透测试模块的具体应用场景进行说明：

其中，搜集单元具体用于PLC漏洞搜集、PLC漏洞扫描、PLC固件漏洞搜集；验证单元用于PLC漏洞利用测试，具体的，PLC漏洞测试包括PLC上载程序测试、PLC下载程序测试、PLC上位机指令测试、PLC下位机指令测试以及拒绝服务测试；

本发明实施例提供的基于PLC设备指纹识别的安全渗透测试系统，与上述实施例提供的基于PLC设备指纹识别的安全渗透测试方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例提供的基于PLC设备指纹识别的安全渗透测试方法与系统可用于已知和未知PLC设备的安全风险分析工作，在PLC设备完成指纹识别后，对存在安全隐患PLC设备完成问题整改及复测工作提供指导，针对性强、测试范围广，相比传统测试渗透测试方式可极大的提高漏洞匹配的准确性，极大缩短测试时间，减少PLC上线后因安全问题故障进行停机维修事件的发生，不仅满足了PLC设备的安全风险渗透测试，也可以应用到DCS(Distributed Control System，分布式控制系统)、SCADA等工控设备，为工业控制系统设备健壮性测试提供支持，避免发生通过网络攻击的安全事件，为国家工业控制系统信息安全提供有力保障。

本发明实施例所提供的系统，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，系统实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，上述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

参见图6，本发明实施例还提供一种电子设备100，包括：处理器40，存储器41，总线42和通信接口43，上述处理器40、通信接口43和存储器41通过总线42连接；处理器40用于执行存储器41中存储的可执行模块，例如计算机程序。

其中，存储器41可能包含高速随机存取存储器(RAM，Random Access Memory)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口43(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线42可以是ISA总线、PCI总线或EISA总线等。上述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器41用于存储程序，上述处理器40在接收到执行指令后，执行上述程序，前述本发明实施例任一实施例揭示的流过程定义的系统所执行的方法可以应用于处理器40中，或者由处理器40实现。

处理器40可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器40中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器40可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital SignalProcessing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器41，处理器40读取存储器41中的信息，结合其硬件完成上述方法的步骤。

在另一个实施例中，本发明实施例提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，上述程序代码使所述处理器执行上述方法实施例中所述方法。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的系统或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、系统和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、系统和方法，可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (8)

1.一种基于PLC设备指纹识别的安全渗透测试方法，其特征在于，包括：

获取PLC设备的指纹特征库；

基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征；该指纹识别采用的指纹提取方法为被动式提取方法；

基于所述指纹特征对所述待测PLC设备进行安全渗透测试；

所述指纹特征库的构建过程，包括：

在工业控制系统环境中选取用于进行指纹特征提取的目标数据源信息，所述目标数据源信息包括：目标PLC设备的网络流量特征数据和网络会话交互模式数据；

从所述目标数据源信息中过滤掉无用数据，得到第三信息；所述无用数据包括与网络会话无关的数据；所述第三信息包括：所述目标PLC设备的网络五元组信息、所述目标PLC设备的banner信息、所述目标PLC设备运行过程中的错误信息；其中所述目标PLC设备的数量为多个；

基于所述第三信息和所述目标数据源信息构建特征模型；

对所述特征模型进行上下文环境分析生成第四信息；所述第四信息与所述目标PLC设备的型号相关联；

对所述第四信息进行预处理，根据处理结果建立签名信息；所述签名信息包括：所述目标PLC设备的供应商、型号、版本号、属性、配置参数；

基于所述签名信息对多个所述目标PLC设备进行分类，根据分类结果构建所述PLC设备的指纹特征库；所述PLC设备的指纹特征库包括与所述目标PLC设备的指纹特征相对应的所述目标数据源信息、所述第三信息、所述第四信息、所述签名信息；

所述签名信息是对所述第四信息中的无用信息进行过滤得到的信息。

2.根据权利要求1所述的方法，其特征在于，所述基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征包括：

获取所述待测PLC设备的识别信息，所述识别信息包括所述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；所述数据源信息包括网络流量特征信息和会话交互模式信息；所述第一信息是对所述数据源信息中的无用数据进行过滤得到的信息；所述第二信息是对基于第一信息建立的特征模型进行上下文环境分析得到的信息；所述签名信息是对所述第二信息中的无用信息进行过滤得到的信息；

将所述待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

根据所述比对结果确定所述待测PLC设备的指纹特征。

3.根据权利要求1所述的方法，其特征在于，所述基于所述指纹特征对所述待测PLC设备进行安全渗透测试包括：

基于所述指纹特征中的所述待测PLC设备的型号对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息；

基于所述漏洞信息对所述待测PLC设备进行POC验证，以确定所述漏洞信息是否存在。

4.根据权利要求3所述的方法，其特征在于，所述对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息包括以下方式中的至少一种：

从互联网资源中获取所述待测PLC设备的漏洞信息；

对所述待测PLC设备进行漏洞扫描，获取所述待测PLC设备的漏洞信息；

根据所述待测PLC设备的指纹特征中的供应商信息从所述待测PLC设备的厂商的安全公告里获取所述待测PLC设备的漏洞信息。

5.根据权利要求3所述的方法，其特征在于，采用以下至少一种方式对所述待测PLC设备进行POC验证：

PLC上载程序测试方式；

PLC下载程序测试方式；

PLC上位机指令测试方式；

PLC下位机指令测试方式；

拒绝服务测试方式。

6.一种基于PLC设备指纹识别的安全渗透测试系统，其特征在于，包括：

数据库获取模块，用于获取PLC设备的指纹特征库；

指纹识别模块，用于基于所述PLC设备的指纹特征库对待测PLC设备进行指纹识别，以确定所述待测PLC设备的指纹特征；该指纹识别采用的指纹提取方法为被动式提取方法；

渗透测试模块，用于基于所述指纹特征对所述待测PLC设备进行安全渗透测试；

所述指纹特征库的构建过程，包括：

在工业控制系统环境中选取用于进行指纹特征提取的目标数据源信息，所述目标数据源信息包括：目标PLC设备的网络流量特征数据和网络会话交互模式数据；

从所述目标数据源信息中过滤掉无用数据，得到第三信息；所述无用数据包括与网络会话无关的数据；所述第三信息包括：所述目标PLC设备的网络五元组信息、所述目标PLC设备的banner信息、所述目标PLC设备运行过程中的错误信息；其中所述目标PLC设备的数量为多个；

基于所述第三信息和所述目标数据源信息构建特征模型；

对所述特征模型进行上下文环境分析生成第四信息；所述第四信息与所述目标PLC设备的型号相关联；

对所述第四信息进行预处理，根据处理结果建立签名信息；所述签名信息包括：所述目标PLC设备的供应商、型号、版本号、属性、配置参数；

基于所述签名信息对多个所述目标PLC设备进行分类，根据分类结果构建所述PLC设备的指纹特征库；所述PLC设备的指纹特征库包括与所述目标PLC设备的指纹特征相对应的所述目标数据源信息、所述第三信息、所述第四信息、所述签名信息；

所述签名信息是对所述第四信息中的无用信息进行过滤得到的信息。

7.根据权利要求6所述的系统，其特征在于，所述指纹识别模块包括：

获取单元，用于获取所述待测PLC设备的识别信息，所述识别信息包括所述待测PLC设备的至少一种信息：数据源信息、第一信息、第二信息、签名信息；所述数据源信息包括网络流量特征信息和会话交互模式信息；所述第一信息是对所述数据源信息中的无用数据进行过滤得到的信息；所述第二信息是对基于第一信息建立的特征模型进行上下文环境分析得到的信息；所述签名信息是对所述第二信息中的无用信息进行过滤得到的信息；

比对单元，用于将所述待测PLC设备的识别信息与PLC设备的指纹特征库中的相对应的识别信息进行比对，生成比对结果；

确定单元，用于根据所述比对结果确定所述PLC设备的指纹特征。

8.根据权利要求6所述的系统，其特征在于，所述渗透测试模块包括：

搜集单元，用于基于所述指纹特征中的所述待测PLC设备的型号对所述待测PLC设备进行漏洞搜集，以得到所述PLC设备的漏洞信息；

验证单元，用于基于所述漏洞信息对所述待测PLC设备进行POC验证，以确定所述漏洞信息是否存在。

Images