CN110008713A - 一种新型工控系统漏洞探测方法及系统 - Google Patents
一种新型工控系统漏洞探测方法及系统 Download PDFInfo
- Publication number
- CN110008713A CN110008713A CN201910370482.2A CN201910370482A CN110008713A CN 110008713 A CN110008713 A CN 110008713A CN 201910370482 A CN201910370482 A CN 201910370482A CN 110008713 A CN110008713 A CN 110008713A
- Authority
- CN
- China
- Prior art keywords
- industry control
- network
- data
- information
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种新型工控系统漏洞探测方法及系统,其中方法包括以下步骤:S100,以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息;S200,以此信息为基础,漏洞探测装置通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息;S300,将同一个目标工控设备获得的很多资产信息这些信息进行整合,区分优先级,给该工控设备做相应的资产标签;S400,根据该工控设备的资产标签,在工控漏洞库中进行分析匹配,得到该工控设备的相关漏洞,对该工控网络中的所有工控设备进行相应的漏洞探测,得到整个网络区域的漏洞结果。
Description
技术领域
本发明属于工业控制技术领域,具体涉及一种新型工控系统漏洞探测方法及系统。
背景技术
工业控制系统是指由计算机与工业过程控制部件组成的自动控制系统。工业过程控制部件对实时数据进行采集、监测,在计算机的调配下,实现设备自动化运行以及对业务流程的管理与监控,其特点主要表现在数据传送的实时性、数据的事件驱动及数据源主动推送等。工业控制系统已经广泛运用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、军工、城市供水供气供热以及其他与国计民生紧密相关的领域。
随着我国“工业4.0”时代的来临,“互联网+”、“中国制造2025”的提出,越来越多的网络安全隐患被带入了工业控制领域,威胁不断加剧。对工业控制网络和系统的攻击,可能破坏企业重要装置的正常工艺流程,由此引发的后果是灾难性的。对此,国家极其重视。2011年,中华人民共和国国家质量监督检验检疫总局联合中国国家标准化管理委员会发布了《工业控制网络安全风险评估规范》GB/T 26333-2010。2014年,又发布了《工业控制系统信息安全第一部分:评估规范》GB/T 30976.1-2014,该标准明确了工业控制系统信息安全评估的目标、评估的内容、实施过程等。2015年2月,国家能源局发布国能安全第36号文件《电力监控系统安全防护总体方案》,其中规定了对于电力生产监控系统应该每年进行一次安全评估。2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,2017年,工信部再度印发《工业控制系统信息安全防护能力评估工作管理办法》,明确了针对于工业控制系统的安全评估方案。2017年6月1日,《中华人民共和国网络安全法》正式施行,其中第38条明确了关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。在国家层面,对于工业控制系统的漏洞探测和风险评估越来越被重视。
现有技术中,主要采用的工控漏洞探测方法有两种:镜像嗅探方式和主动探测方式。图1所示为采用镜像嗅探方式的工控漏洞探测方法,DCS(Distributed ControlSystem,分布式控制系统)、PLC(Programmable Logic Controller,可编程逻辑控制器)、RTU(Remote Terminal Unit,远程终端单元)、SCADA(Supervisory Control And DataAcquisition,数据采集与监视控制系统)、工程师站和操作员站之间有大量的网络通讯。通过镜像交换机将这些网络通讯流量镜像给漏洞探测装置,漏洞探测装置不与上述设备进行网络通讯,由漏洞探测装置分析上述装置之间的网络通讯流量,获得工控资产信息,从而得到资产的漏洞信息。优点:因为漏洞探测装置不与其它设备进行网络通讯,所以这种方式对工控网络和工控设备的正常运行不会造成任何影响。缺点:被镜像的网络通讯大多承载的是业务数据(例如Ethernet/IP协议,DNP3协议),并不包含工控设备的资产信息。
图2为采用主动探测方式的网络结构图,漏洞探测装置采用传统的网络端口信息获取技术,通过与DCS、PLC、RTU、SCADA、工程师站和操作员站发生网络通讯,来识别被检测设备。优点:漏洞探测装置与这些工控设备进行网络通讯时,使用了这些工控设备使用的工控协议,获取工控设备的资产信息的可能性较大。缺点:大部分工控设备的工控协议使用常规端口,例如施耐德的Modbus/TCP协议使用TCP 502端口,西门子S7协议使用TCP 102端口。但是有些厂家的工控设备使用了非常规的网络端口。例如某厂家也使用了Modbus/TCP协议,但使用的不是TCP 502端口,而是TCP 6502端口或者TCP 8502端口,这样漏洞探测装置如果和该厂家的设备的TCP 502端口进行通讯,就无法获取对应的资产信息。
实际应用中,工控网络区别于传统的以太网,对网络稳定性和网络延时要求很高,一般网络延时在毫秒级别甚至更低。在工控设备使用非常规端口的情况下,如果对目标设备进行全端口探测,一是需要花费较长时间,一个待测设备需要1-2个小时,客户无法接受这个时间;二是全端口扫描会工控网络造成比较大的负载,导致工控网络稳定性变差,网络延时提高,同时待测设备的正常的网络通讯也会受到影响。
发明内容
鉴于以上存在的技术问题,本发明用于提供一种新型工控系统漏洞探测方法及系统。
为解决上述技术问题,本发明采用如下的技术方案:
一种新型工控系统漏洞探测方法,该探测方法可以通过旁路镜像方式快速定位待测设备所使用的非常规端口和工控协议,然后通过主动探测方式,根据非常规端口和工控协议,获取待测设备的工控资产信息,然后匹配相关的漏洞,整个过程可在分钟级以内完成。该探测方法包括以下具体步骤:
S100,以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息,该信息包含了工控网络内所有正在通讯的工控设备的IP地址、端口和所使用的工控协议;
S200,以此信息为基础,对于使用了非常规端口的待测设备,漏洞探测装置通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息;
S300,将同一个目标工控设备获得的很多资产信息这些信息进行整合,区分优先级,给该工控设备做相应的资产标签;
S400,根据该工控设备的资产标签,在工控漏洞库中进行分析匹配,得到该工控设备的相关漏洞,对该工控网络中的所有工控设备进行相应的漏洞探测,得到整个网络区域的漏洞结果。
优选地,S100进一步包括以下步骤:
S110,获得被镜像的流量数据,DCS、PLC、RTU、SCADA、工程师站和操作员站之间有大量的网络通讯,通过镜像交换机,DCS、PLC、RTU、SCADA、工程师站、操作员站之间会进行业务相关的网络通讯,镜像交换机将这些通讯流量镜像给漏洞探测装置;
S120,漏洞探测装置获取网络流量后,对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
S130,网络流量解析后,从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来;
S140,根据S130的结果,对网络流量进行过滤,获得跟工控协议相关的流量数据;
S150,基于S140的结果,对工控流量进行分析,判断工控流量中是否包含资产信息;
S160,S150中,如果工控流量中包含资产信息,则将这些资产信息提取出来;
S170,提取出来的资产信息,针对不是规范的数据,对这样的数据进行过滤和清洗;
S180,记录过滤和清洗之后的资产信息,留待后续进行进一步分析和处理。
优选地,所述S200中,先对目标设备的IP地址、端口和协议,进行主动探测,包括以下步骤:
S211,基于S100的结果,将探测数据转换为合规的工控协议数据;
S212,将转换后的数据发送给待测工控设备;
S213,接收待测设备返回的响应流量,同时对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
S214,判断解析后的流量中,是否包含工控资产信息;
S215,获取工控资产信息;
S216,提取出来的资产信息,可能不是规范的数据,需要对这样的资产信息数据进行过滤和清洗;
S217,将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
优选地,所述S200中,进一步包括以下步骤:
S221,对于工控网络内的所有设备,进行全网扫描,探测正在运行的工控设备及其IP地址;
S222,基于S221的结果,对于常见的工控协议端口,进行TCP端口探测,判断工控设备的端口开放情况;
S223,对于TCP端口,基于S221和S222的结果,根据IP地址、TCP端口和端口可能使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于S221发现的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据;
S224,将转换后的工控协议数据发送给待测工控设备;
S225,接收待测设备返回的响应流量,同时对网络流量进行解析;
S226,判断解析后的流量中,是否包含工控资产信息
S227,将资产信息提取出来;
S228,提取出来的资产信息,对不是规范的数据,进行过滤和清洗;
S229,将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
优选地,S400进一步包括以下步骤:
S410,加载内置的漏洞库;
S420,从漏洞库中提取漏洞标签;
S430,对每一个工控资产,将资产标签与漏洞标签逐一匹配,如果匹配成功,则判断该工控资产有该漏洞;
S440,通过匹配可以获得该网络区域内所有工控资产的漏洞情况。
一种新型工控系统漏洞探测系统,包括公共漏洞探测装置,交换机、镜像交换机、以及待测工控设备,工控漏洞探测装置与待测工控设备之间通过包括交换机和镜像交换机的网络连接,所述工控漏洞探测装置进一步包括旁路镜像模块、主动探测模块、数据整合模块和漏洞匹配模块,所述系统工作过程如下:
旁路镜像模块以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息;
主动探测模块结合旁路镜像模块的结果,通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息;
数据整合模块基于旁路镜像模块和主动探测模块的结果,整合获得的工控资产信息,进行分类,区分优先级,对工控网络中的所有工控设备生成相应的资产标签;
漏洞匹配模块加载内置漏洞库,将工控设备的资产标签与漏洞标签进行匹配,获得工控设备的漏洞信息。
优选地,所述旁路镜像模块进一步包括流量获取单元、流量解析单元、以太网数据处理单元和工控数据处理单元,其中:
所述流量获取单元用于获取被镜像过来的工控网络流量;
所述流量解析单元用于依据TCP/IP模型和网络协议,对网络流量进行解析;
所述以太网数据处理单元用于对网络流量中的特征进行处理,包括IP地址、端口和所使用的协议;
所述工控数据处理单元用于首先过滤网络流量获得工控资产信息,然后对这些信息进行过滤和清洗,获得合规的信息,最后进行记录。
优选地,所述主动探测模块进一步包括IP地址探测单元、端口探测单元、协议转换单元、流量发送单元、流量接收单元、流量解析单元、以太网数据处理单元和工控数据处理单元,其中,
所述IP地址探测单元用于对工控网络内的所有IP地址进行探测,判断哪些IP地址已被使用;
所述端口探测单元用于对已经在使用的IP地址,进行端口探测,判断哪些端口开放;
协议转换单元用于根据IP地址、端口和工控协议,将探测数据转换为相应的工控协议数据;
所述流量发送单元用于将转换后的工控协议数据,通过以太网发送给待测工控设备;
所述流量接收单元用于在待测工控设备接收到探测协议数据后,向工控漏洞探测装置发送响应数据,流量接收单元负责接收响应数据;
所述流量解析单元用于对响应的网络流量进行解析;
所述以太网数据处理单元用于对网络流量中的特征进行处理,包括IP地址、端口和所使用的协议;
所述工控数据处理单元用于过滤网络流量获得工控资产信息,然后对工控资产信息进行过滤和清洗,获得合规的信息,最后记录。
优选地,所述数据整合模块进一步包括:
所述汇总单元用于将旁路镜像和主动探测所获得的工控信息进行汇总;
所述分类单元用于依次按照IP地址、端口和协议,对工控信息进行分类;
所述关键数据提取单元用于从分类后的数据中,提取关键数据;
所述标签单元用于基于关键数据提取单元提取出来的关键数据,为工控设备生成相应的标签。
优选地,所述漏洞匹配模块进一步包括漏洞库加载单元、漏洞标签提取单元和漏洞匹配单元,其中,
所述漏洞库加载单元用于加载内置漏洞库;
所述漏洞标签提取单元用于从漏洞库的漏洞信息中提取漏洞标签。
所述漏洞匹配单元用于根据工控资产的标签与漏洞标签逐一进行匹配,获取工控资产的漏洞信息。
采用本发明具有如下的有益效果:即使待测工控设备使用了非常规的端口进行工控协议通讯,也可以通过上述方式快速发现,并快速获取资产信息,从而获得漏洞信息。同时不会因为全端口扫描,对工控网络造成较大影响。
附图说明
图1为现有技术中工控系统的镜像探测系统的原理框图;
图2为现有技术中工控系统的主动探测系统的原理框图;
图3为本发明实施例的新型工控系统漏洞探测方法的步骤流程;
图4为本发明方法实施例中旁路镜像方式的步骤流程图;
图5为本发明方法实施例中主动探测方式的步骤流程图;
图6为本发明方法实施例的主动探测方式中对指定的IP地址、端口和协议,进行主动探测的步骤流程图;
图7为本发明方法实施例的主动探测方式对工控网络,进行主动探测的步骤流程图;
图8为本发明方法实施例中整合资产信息的步骤流程图;
图9为本发明实施例中获得漏洞信息的步骤流程图;
图10为本发明实施例的新型工控系统漏洞探测系统的原理框图;
图11为本发明实施例的系统的工控漏洞探测装置的整体模块原理框图;
图12为本发明系统实施例中工控漏洞探测装置的旁路镜像模块的原理框图;
图13为本发明系统实施例中工控漏洞探测装置的主动探测模块的原理框图;
图14为本发明系统实施例中工控漏洞探测装置的数据整合模块的原理框图;
图15为本发明系统实施例中工控漏洞探测装置的漏洞匹配模块的原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图3所示,所示为本发明实施例公开的一种新型工控系统漏洞探测方法的步骤流程图,应用其的新型工控漏洞探测系统如图10所示,包括公共漏洞探测装置,交换机、镜像交换机、以及待测工控设备,工控漏洞探测装置与待测工控设备之间通过包括交换机和镜像交换机的网络连接。待测工控设备包括DCS、PLC、RTU、SCADA、工程师站和操作员站等设备。工控网络中的待测工控设备会定期进行正常的业务网络通讯,这些业务网络通讯大部分基于工控网络协议,少部分基于传统以太网的应用层协议。具体包括以下步骤:
S100,本工控漏洞探测方法以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息,该信息包含了工控网络内所有正在通讯的工控设备的IP地址、端口和所使用的工控协议
S200,以此信息为基础,漏洞探测装置通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息。
S300,同一个目标工控设备可能会获得很多资产信息,需要将这些信息进行整合,区分优先级,给该工控设备做相应的资产标签。
S400,根据该工控设备的资产标签,在工控漏洞库中进行分析匹配,可以得到该工控设备的相关漏洞。对该工控网络中的所有工控设备进行好漏洞探测,则可得到整个网络区域的漏洞结果。
以上方法的优点在于,即使待测工控设备使用了非常规的端口进行工控协议通讯,也可以通过上述方式快速发现,并快速获取资产信息,从而获得漏洞信息。同时不会因为全端口扫描,对网络造成较大影响。
参见图4,进一步的,S100中,旁路镜像方式进一步包括以下步骤:
S110,DCS、PLC、RTU、SCADA、工程师站和操作员站之间有大量的网络通讯。通过镜像交换机,DCS、PLC、RTU、SCADA、工程师站、操作员站等工控设备之间会进行业务相关的网络通讯。镜像交换机将这些通讯流量镜像给漏洞探测装置。这些通讯流量既有可能是工控协议,也有可能是传统以太网协议,例如FTP、NTP、HTTP协议。
S120,漏洞探测装置获取网络流量后,会对网络流量进行解析。根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层。大部分工控协议会出现在应用层,但有少部分工控协议出现在数据链路层之上。
S130,网络流量解析后,可以从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来。
S140,根据S130的结果,对网络流量进行过滤,获得跟工控协议相关的流量数据。
S150,基于S140的结果,对工控流量进行分析,判断工控流量中是否包含资产信息。大部分的工控通讯流量承载的是业务数据(例如Ethernet/IP协议,DNP3协议),并不包含工控设备的资产信息。
S160,S150中,如果工控流量中包含资产信息,则将这些资产信息提取出来。
S170,提取出来的资产信息,可能不是规范的数据,需要对这样的数据进行过滤和清洗。例如罗克韦尔的PLC MicroLogix根据版本不同,返回的信息既有可能为“RockwellAutomation/Allen-Bradley MicroLogix 1100”,也有可能为“Rockwell Automation/Allen-Bradley MicroLogix-1100”中,需要统一清洗为“Rockwell Automation/Allen-Bradley MicroLogix-1100”。
S180,记录过滤和清洗之后的资产信息,留待后续进行进一步分析和处理。
通过旁路镜像方式,可以知道工控网络中有哪些设备之间在进行通讯,这些设备使用的IP地址、端口、协议,也有可能从协议中知道设备的资产信息。
参见图5,S200的主动探测方式进一步包括以下步骤:
S210基于S100的结果,针对目标设备的IP地址、端口和协议,进行主动探测。这样即使目标设备使用非常规端口进行工控协议的网络通讯,工控漏洞探测装置也能对其进行主动探测。
但是部分工控设备开放了工控协议端口,但是并没有用来进行网络通讯。所以基于S100的结果还不够全面,需要S220对整个工控网络进行全面探测。
进一步的,参见图6,S210进一步包括以下步骤:
S211,基于S100的结果,将探测数据转换为合规的工控协议数据。
S212,将转换后的数据发送给待测工控设备。
S213,接收待测设备返回的响应流量,同时对网络流量进行解析。根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层。大部分工控协议会出现在应用层,但有少部分工控协议出现在数据链路层之上。
S214,判断解析后的流量中,是否包含工控资产信息;
S215,将这些资产信息提取出来;
S216,提取出来的资产信息,可能不是规范的数据,需要对这样的数据进行过滤和清洗;
S217将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
进一步的,参见图7,S220进一步包括如下步骤:
S221,对于工控网络内的所有设备,进行全网扫描,探测正在运行的工控设备及其IP地址。
S222,基于S221的结果,对于常见的工控协议端口,进行TCP端口探测,判断工控设备的端口开放情况。而UDP端口即使开放,如果通讯数据不符合规范,目标主机可能不会响应,所以UDP端口探测意义不大。
S223,对于TCP端口,基于S221和S222的结果,根据IP地址、TCP端口和端口可能使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于S221发现的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据。
S224,将转换后的工控协议数据发送给待测工控设备。
S225,接收待测设备返回的响应流量,同时对网络流量进行解析。
S226,判断解析后的流量中,是否包含工控资产信息。
S227,将这些资产信息提取出来。
S228,提取出来的资产信息,可能不是规范的数据,需要对这样的数据进行过滤和清洗。
S229,将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
通过主动探测整个工控网络,可以获得网络内工控资产的完整情况情况。
参见图8,步骤S300进一步包括以下步骤:
S310,记录下来的资产信息,既有来自S100旁路镜像方式获得的资产信息,也有来自S200主动探测方式获得的资产信息,需要对这些信息进行汇总。
S320,汇总的信息进行分类,首先根据IP地址,对信息进行分类。然后依据端口和协议进行分类。一个IP地址代表一个工控设备,一个工控设备可能开放多个端口,每个端口有可能使用多个协议。例如一个工控设备既可能是操作员站,运行step7软件,也可能是一个数据库。
S330,对分类后的数据提取关键数据。例如资产信息中包含“RockwellAutomation/Allen-Bradley MicroLogix-1100 V2.16”,此为关键数据,其中Rockwell是厂商,Automation/Allen-Bradley是罗克韦尔的子品牌,MicroLogix-1100是一款PLC,V2.16是PLC的版本。
S340,形成设备标签,例如设备类型、厂商、型号、版本等就是设备标签。一个工控设备有一个或者多个标签。
参见图9,步骤S400进一步包括以下步骤:
S410,加载内置的漏洞库;
S420,从漏洞库中提取漏洞标签。每个漏洞的标签,表明该漏洞适用于哪些设备;
S430,对每一个工控资产,将资产标签与漏洞标签逐一匹配。如果匹配成功,则判断该工控资产有该漏洞。
S440,一个工控资产可能有多个漏洞,通过匹配可以获得该网络区域内所有工控资产的漏洞情况。
与本发明方法实施例对应,参见图10,所示为本发明实施例的新型工控系统漏洞探测系统的原理框图,包括公共漏洞探测装置,交换机、镜像交换机、以及待测工控设备,工控漏洞探测装置与待测工控设备之间通过包括交换机和镜像交换机的网络连接,参见图11,所述工控漏洞探测装置进一步包括旁路镜像模块110、主动探测模块120、数据整合模块130和漏洞匹配模块140。本工控漏洞探测装置适用的被探测设备包括但不限于PLC、DCS、SCADA、RTU、工程师站、操作员站。
本工控漏洞探测装置可以探测一个工控设备的漏洞,也可以同时探测多个工控设备的漏洞。其工作过程如下:
旁路镜像模块110,用于以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息。
主动探测模块120,用于结合旁路镜像模块的结果,通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息。
数据整合模块130,用于基于旁路镜像模块和主动探测模块的结果,整合获得的工控资产信息,进行分类,区分优先级,对工控网络中的所有工控设备生成相应的资产标签。
漏洞匹配模块140,用于加载内置漏洞库,将工控设备的资产标签与漏洞标签进行匹配,获得工控设备的漏洞信息。
进一步的,参见图12,旁路镜像模110进一步包括流量获取单元111,流量解析单元112,以太网数据处理单元113和工控数据处理单元114,其中,
流量获取单元111,用于获取被镜像过来的工控网络流量;
流量解析单元112,用于依据TCP/IP模型和网络协议,对网络流量进行解析。
以太网数据处理单元113,用于对网络流量中的特征进行处理,例如IP地址、端口和所使用的协议。
工控数据处理单元114,首先过滤网络流量获得工控资产信息,然后对这些信息进行过滤和清洗,获得合规的信息,最后记录下来。
进一步的,参见图13,主动探测模块120进一步包括IP地址探测单元121,端口探测单元122,协议转换单元123,流量发送单元124,流量接收单元125,流量解析单元126,以太网数据处理单元127和工控数据处理单元,其中,
IP地址探测单元121,用于对工控网络内的所有IP地址进行探测,判断哪些IP地址已经被使用。
端口探测单元122,用于对已经在使用的IP地址,进行端口探测,判断哪些端口开放。
协议转换单元123,用于根据IP地址、端口和工控协议,将探测数据转换为相应的工控协议数据。
流量发送单元124,用于将转换后的工控协议数据,通过以太网发送给待测工控设备。
流量接收单元125,用于待测工控设备接收到探测协议数据后,向工控漏洞探测装置发送响应数据,流量接收单元负责接收响应数据。
流量解析单元126,用于对响应的网络流量进行解析。
以太网数据处理单元127,用于对网络流量中的特征进行处理,例如IP地址、端口和所使用的协议。
工控数据处理单元128,首先过滤网络流量获得工控资产信息,然后对这些信息进行过滤和清洗,获得合规的信息,最后记录下来。
进一步的,参见图14,数据整合模块130进一步包括汇总单元131,分类单元132,关键数据提取单元133和标签单元134,其中,
汇总单元131,用于将旁路镜像和主动探测所获得的工控信息进行汇总。
分类单元132,用于依次按照IP地址、端口和协议,对工控信息进行分类。
关键数据提取单元133,用于从分类后的数据中,提取关键数据。
标签单元134,用于基于133提取出来的关键数据,为工控设备生成相应的标签。
进一步的,参见图15,漏洞匹配模140进一步包括漏洞库加载单元141,漏洞标签提取单元142和漏洞匹配单元143,其中,
漏洞库加载单元141,用于加载内置漏洞库。
漏洞标签提取单元142,用于从漏洞库的漏洞信息中提取漏洞标签。
漏洞匹配单元143,用于根据工控资产的标签与漏洞标签逐一进行匹配,获取工控资产的漏洞信息。
应当理解,本文所述的示例性实施例是说明性的而非限制性的。尽管结合附图描述了本发明的一个或多个实施例,本领域普通技术人员应当理解,在不脱离通过所附权利要求所限定的本发明的精神和范围的情况下,可以做出各种形式和细节的改变。
Claims (10)
1.一种新型工控系统漏洞探测方法,其特征在于,包括以下步骤:
S100,以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息,该信息包含了工控网络内所有正在通讯的工控设备的IP地址、端口和所使用的工控协议;
S200,以此信息为基础,漏洞探测装置通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息;
S300,将同一个目标工控设备获得的很多资产信息这些信息进行整合,区分优先级,给该工控设备做相应的资产标签;
S400,根据该工控设备的资产标签,在工控漏洞库中进行分析匹配,得到该工控设备的相关漏洞,对该工控网络中的所有工控设备进行相应的漏洞探测,得到整个网络区域的漏洞结果。
2.如权利要求1所述的新型工控系统漏洞探测方法,其特征在于,S100进一步包括以下步骤:
S110,获得被镜像的流量数据,DCS、PLC、RTU、SCADA、工程师站和操作员站之间有大量的网络通讯,通过镜像交换机,DCS、PLC、RTU、SCADA、工程师站、操作员站之间会进行业务相关的网络通讯,镜像交换机将这些通讯流量镜像给漏洞探测装置;
S120,漏洞探测装置获取网络流量后,对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
S130,网络流量解析后,从网络流量的网络层记录源IP地址和目标IP地址,从网络流量的传输层记录源端口和目标端口,通过解析应用层协议或者数据链路层之上的协议,判断网络流量使用的哪种协议,并记录下来;
S140,根据S130的结果,对网络流量进行过滤,获得跟工控协议相关的流量数据;
S150,基于S140的结果,对工控流量进行分析,判断工控流量中是否包含资产信息;
S160,S150中,如果工控流量中包含资产信息,则将这些资产信息提取出来;
S170,提取出来的资产信息,针对不是规范的数据,对这样的数据进行过滤和清洗;
S180,记录过滤和清洗之后的资产信息,留待后续进行进一步分析和处理。
3.如权利要求2所述的新型工控系统漏洞探测方法,其特征在于,所述S200中,先对目标设备的IP地址、端口和协议,进行主动探测,包括以下步骤:
S211,基于S100的结果,将探测数据转换为合规的工控协议数据;
S212,将转换后的数据发送给待测工控设备;
S213,接收待测设备返回的响应流量,同时对网络流量进行解析,根据TCP/IP结构,依次解析物理层、数据链路层、网络层、传输层、应用层;
S214,判断解析后的流量中,是否包含工控资产信息;
S215,获取工控资产信息;
S216,提取出来的资产信息,可能不是规范的数据,需要对这样的资产信息数据进行过滤和清洗;
S217,将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
4.如权利要求3所述的新型工控系统漏洞探测方法,其特征在于,所述S200中,进一步包括以下步骤:
S221,对于工控网络内的所有设备,进行全网扫描,探测正在运行的工控设备及其IP地址;
S222,基于S221的结果,对工控协议端口,进行TCP端口探测,判断工控设备的端口开放情况;
S223,对于TCP端口,基于S221和S222的结果,根据IP地址、TCP端口和端口可能使用的工控协议,将探测数据转换为工控协议数据;对于UDP端口,基于S221发现的IP地址和工控协议库中的UDP端口和UDP协议,将探测数据转换为工控协议数据;
S224,将转换后的工控协议数据发送给待测工控设备;
S225,接收待测设备返回的响应流量,同时对网络流量进行解析;
S226,判断解析后的流量中,是否包含工控资产信息
S227,将资产信息提取出来;
S228,提取出来的资产信息,对不是规范的数据,进行过滤和清洗;
S229,将过滤和清洗之后的资产信息记录下来,留待后续进行进一步分析和处理。
5.如权利要求1至4任一所述的新型工控系统漏洞探测方法,其特征在于,S400进一步包括以下步骤:
S410,加载内置的漏洞库;
S420,从漏洞库中提取漏洞标签;
S430,对每一个工控资产,将资产标签与漏洞标签逐一匹配,如果匹配成功,则判断该工控资产有该漏洞;
S440,通过匹配可以获得该网络区域内所有工控资产的漏洞情况。
6.一种新型工控系统漏洞探测系统,其特征在于,包括公共漏洞探测装置,交换机、镜像交换机、以及待测工控设备,工控漏洞探测装置与待测工控设备之间通过包括交换机和镜像交换机的网络连接,所述工控漏洞探测装置进一步包括旁路镜像模块、主动探测模块、数据整合模块和漏洞匹配模块,所述系统工作过程如下:
旁路镜像模块以旁路镜像的方式,对工控网络中的业务网络通讯进行嗅探,获得初步的资产信息;
主动探测模块结合旁路镜像模块的结果,通过主动探测方式,以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯,根据目标工控设备返回的结果,获得详细的资产信息;
数据整合模块基于旁路镜像模块和主动探测模块的结果,整合获得的工控资产信息,进行分类,区分优先级,对工控网络中的所有工控设备生成相应的资产标签;
漏洞匹配模块加载内置漏洞库,将工控设备的资产标签与漏洞标签进行匹配,获得工控设备的漏洞信息。
7.如权利要求6所述的新型工控系统漏洞探测系统,其特征在于,所述旁路镜像模块进一步包括流量获取单元、流量解析单元、以太网数据处理单元和工控数据处理单元,其中:
所述流量获取单元用于获取被镜像过来的工控网络流量;
所述流量解析单元用于依据TCP/IP模型和网络协议,对网络流量进行解析;
所述以太网数据处理单元用于对网络流量中的特征进行处理,包括IP地址、端口和所使用的协议;
所述工控数据处理单元用于首先过滤网络流量获得工控资产信息,然后对这些信息进行过滤和清洗,获得合规的信息,最后进行记录。
8.如权利要求6所述的新型工控系统漏洞探测系统,其特征在于,所述主动探测模块进一步包括IP地址探测单元、端口探测单元、协议转换单元、流量发送单元、流量接收单元、流量解析单元、以太网数据处理单元和工控数据处理单元,其中,
所述IP地址探测单元用于对工控网络内的所有IP地址进行探测,判断哪些IP地址已被使用;
所述端口探测单元用于对已经在使用的IP地址的工控协议端口,进行端口探测,判断哪些端口开放;
协议转换单元用于根据IP地址、端口和工控协议,将探测数据转换为相应的工控协议数据;
所述流量发送单元用于将转换后的工控协议数据,通过以太网发送给待测工控设备;
所述流量接收单元用于在待测工控设备接收到探测协议数据后,向工控漏洞探测装置发送响应数据,流量接收单元负责接收响应数据;
所述流量解析单元用于对响应的网络流量进行解析;
所述以太网数据处理单元用于对网络流量中的特征进行处理,包括IP地址、端口和所使用的协议;
所述工控数据处理单元用于过滤网络流量获得工控资产信息,然后对工控资产信息进行过滤和清洗,获得合规的信息,最后记录。
9.如权利要求7所述的新型工控系统漏洞探测系统,其特征在于,所述数据整合模块进一步包括:
所述汇总单元用于将旁路镜像和主动探测所获得的工控信息进行汇总;
所述分类单元用于依次按照IP地址、端口和协议,对工控信息进行分类;
所述关键数据提取单元用于从分类后的数据中,提取关键数据;
所述标签单元用于基于关键数据提取单元提取出来的关键数据,为工控设备生成相应的标签。
10.如权利要求7所述的新型工控系统漏洞探测系统,其特征在于,所述漏洞匹配模块进一步包括漏洞库加载单元、漏洞标签提取单元和漏洞匹配单元,其中,
所述漏洞库加载单元用于加载内置漏洞库;
所述漏洞标签提取单元用于从漏洞库的漏洞信息中提取漏洞标签。
所述漏洞匹配单元用于根据工控资产的标签与漏洞标签逐一进行匹配,获取工控资产的漏洞信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910370482.2A CN110008713B (zh) | 2019-05-06 | 2019-05-06 | 一种工控系统漏洞探测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910370482.2A CN110008713B (zh) | 2019-05-06 | 2019-05-06 | 一种工控系统漏洞探测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110008713A true CN110008713A (zh) | 2019-07-12 |
| CN110008713B CN110008713B (zh) | 2021-05-11 |
Family
ID=67175744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910370482.2A Active CN110008713B (zh) | 2019-05-06 | 2019-05-06 | 一种工控系统漏洞探测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110008713B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和系统 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111062040A (zh) * | 2019-12-19 | 2020-04-24 | 成都烽创科技有限公司 | 一种确定未知漏洞的方法、服务器及计算机可读存储介质 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111562938A (zh) * | 2020-04-20 | 2020-08-21 | 杭州迪普科技股份有限公司 | 核查plc的配置信息的方法、装置和计算机设备 |
| CN111917975A (zh) * | 2020-07-06 | 2020-11-10 | 成都深思科技有限公司 | 基于网络通讯数据的隐蔽网络摄像头识别方法 |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112468364A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
| CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN115277220A (zh) * | 2022-07-29 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控网络流量安全分类方法、系统及可读存储设备 |
| CN115296891A (zh) * | 2022-08-02 | 2022-11-04 | 中国电子科技集团公司信息科学研究院 | 数据探测系统和数据探测方法 |
| CN115622754A (zh) * | 2022-09-29 | 2023-01-17 | 四川启睿克科技有限公司 | 一种检测并防止mqtt漏洞的方法、系统和装置 |
| CN116070218A (zh) * | 2023-03-28 | 2023-05-05 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
| CN117708834A (zh) * | 2024-02-06 | 2024-03-15 | 长扬科技(北京)股份有限公司 | 资产漏洞检测方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| CN106470188A (zh) * | 2015-08-18 | 2017-03-01 | 中国电信股份有限公司 | 安全威胁的检测方法、装置以及安全网关 |
| US20170111383A1 (en) * | 2015-10-16 | 2017-04-20 | Microsoft Technology Licensing, Llc. | Detection of bypass vulnerabilities |
| CN107566388A (zh) * | 2017-09-18 | 2018-01-09 | 杭州安恒信息技术有限公司 | 工控漏洞探测方法、装置及系统 |
| CN108074030A (zh) * | 2017-03-03 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种资产信息的安全分析和可视化管理系统及方法 |
| US20180159887A1 (en) * | 2015-07-13 | 2018-06-07 | CYBRIC Inc. | Enterprise level cybersecurity automatic remediation |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN108768996A (zh) * | 2018-05-23 | 2018-11-06 | 国网河南省电力公司漯河供电公司 | 一种sql注入攻击的检测防护系统 |
| CN109167799A (zh) * | 2018-11-06 | 2019-01-08 | 北京华顺信安科技有限公司 | 一种用于智能网络信息系统的漏洞监控检测系统 |
-
2019
- 2019-05-06 CN CN201910370482.2A patent/CN110008713B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180159887A1 (en) * | 2015-07-13 | 2018-06-07 | CYBRIC Inc. | Enterprise level cybersecurity automatic remediation |
| CN106470188A (zh) * | 2015-08-18 | 2017-03-01 | 中国电信股份有限公司 | 安全威胁的检测方法、装置以及安全网关 |
| US20170111383A1 (en) * | 2015-10-16 | 2017-04-20 | Microsoft Technology Licensing, Llc. | Detection of bypass vulnerabilities |
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| CN108074030A (zh) * | 2017-03-03 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种资产信息的安全分析和可视化管理系统及方法 |
| CN107566388A (zh) * | 2017-09-18 | 2018-01-09 | 杭州安恒信息技术有限公司 | 工控漏洞探测方法、装置及系统 |
| CN108768996A (zh) * | 2018-05-23 | 2018-11-06 | 国网河南省电力公司漯河供电公司 | 一种sql注入攻击的检测防护系统 |
| CN108696544A (zh) * | 2018-09-05 | 2018-10-23 | 杭州安恒信息技术股份有限公司 | 基于工控系统的安全漏洞探测方法和装置 |
| CN109167799A (zh) * | 2018-11-06 | 2019-01-08 | 北京华顺信安科技有限公司 | 一种用于智能网络信息系统的漏洞监控检测系统 |
Non-Patent Citations (1)
| Title |
|---|
| 陈晓兵 等: ""面向工业控制网络的安全监管方案"", 《信息网络安全》 * |
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784486A (zh) * | 2019-11-07 | 2020-02-11 | 广州安加互联科技有限公司 | 一种工业漏洞扫描方法和系统 |
| CN110958231A (zh) * | 2019-11-21 | 2020-04-03 | 博智安全科技股份有限公司 | 基于互联网的工控安全事件监测平台及其方法 |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111008380B (zh) * | 2019-11-25 | 2022-05-31 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111062040A (zh) * | 2019-12-19 | 2020-04-24 | 成都烽创科技有限公司 | 一种确定未知漏洞的方法、服务器及计算机可读存储介质 |
| CN111562938B (zh) * | 2020-04-20 | 2024-05-24 | 杭州迪普科技股份有限公司 | 核查plc的配置信息的方法、装置和计算机设备 |
| CN111562938A (zh) * | 2020-04-20 | 2020-08-21 | 杭州迪普科技股份有限公司 | 核查plc的配置信息的方法、装置和计算机设备 |
| CN111427336B (zh) * | 2020-05-08 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111917975A (zh) * | 2020-07-06 | 2020-11-10 | 成都深思科技有限公司 | 基于网络通讯数据的隐蔽网络摄像头识别方法 |
| CN112448866A (zh) * | 2020-11-12 | 2021-03-05 | 国网北京市电力公司 | 协议检测方法、装置、计算机可读存储介质和处理器 |
| CN112468364A (zh) * | 2020-11-25 | 2021-03-09 | 杭州安恒信息技术股份有限公司 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
| CN112468364B (zh) * | 2020-11-25 | 2022-02-22 | 杭州安恒信息技术股份有限公司 | Cip资产的探测方法、装置、计算机设备及可读存储介质 |
| CN113315769A (zh) * | 2021-05-27 | 2021-08-27 | 杭州迪普科技股份有限公司 | 工控资产信息收集方法及装置 |
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与系统 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
| CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
| CN114598511B (zh) * | 2022-02-24 | 2024-01-19 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
| CN115277220B (zh) * | 2022-07-29 | 2023-10-20 | 西安热工研究院有限公司 | 一种工控网络流量安全分类方法、系统及可读存储设备 |
| CN115277220A (zh) * | 2022-07-29 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控网络流量安全分类方法、系统及可读存储设备 |
| CN115296891A (zh) * | 2022-08-02 | 2022-11-04 | 中国电子科技集团公司信息科学研究院 | 数据探测系统和数据探测方法 |
| CN115296891B (zh) * | 2022-08-02 | 2023-12-22 | 中国电子科技集团公司信息科学研究院 | 数据探测系统和数据探测方法 |
| CN115033881B (zh) * | 2022-08-12 | 2022-12-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN115033881A (zh) * | 2022-08-12 | 2022-09-09 | 中国电子科技集团公司第三十研究所 | Plc控制器病毒检测方法、装置、设备及存储介质 |
| CN115622754A (zh) * | 2022-09-29 | 2023-01-17 | 四川启睿克科技有限公司 | 一种检测并防止mqtt漏洞的方法、系统和装置 |
| CN115622754B (zh) * | 2022-09-29 | 2024-05-14 | 四川启睿克科技有限公司 | 一种检测并防止mqtt漏洞的方法、系统和装置 |
| CN116070218A (zh) * | 2023-03-28 | 2023-05-05 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
| CN116070218B (zh) * | 2023-03-28 | 2023-06-30 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
| CN117708834A (zh) * | 2024-02-06 | 2024-03-15 | 长扬科技(北京)股份有限公司 | 资产漏洞检测方法及装置 |
| CN117708834B (zh) * | 2024-02-06 | 2024-04-23 | 长扬科技(北京)股份有限公司 | 资产漏洞检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110008713B (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110008713A (zh) | 一种新型工控系统漏洞探测方法及系统 | |
| CN112651006B (zh) | 一种电网安全态势感知系统 | |
| CN110113335A (zh) | 一种工控设备指纹归一化方法 | |
| CN109861988A (zh) | 一种基于集成学习的工业控制系统入侵检测方法 | |
| CN109660526A (zh) | 一种应用于信息安全领域的大数据分析方法 | |
| CN110535855A (zh) | 一种网络事件监测分析方法和系统、信息数据处理终端 | |
| CN109066971A (zh) | 基于全站业务数据的变电站智能运检管控系统及方法 | |
| CN110113345A (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| WO2001001272A3 (en) | Method and apparatus for monitoring traffic in a network | |
| CN113904862A (zh) | 分布式列车控制网络入侵检测方法、系统、存储介质 | |
| CN106055608A (zh) | 自动采集和分析交换机日志的方法和装置 | |
| CN104811437B (zh) | 一种工业控制网络中生成安全策略的系统和方法 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| CN106953749A (zh) | 一种智能变电站过程层网络实时监测方法 | |
| CN108092854A (zh) | 基于iec61375协议的列车级以太网设备的测试方法及装置 | |
| CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
| CN107786565A (zh) | 一种分布式实时入侵检测方法及检测系统 | |
| CN108712433A (zh) | 一种网络安全检测方法和系统 | |
| CN108809708A (zh) | 一种电力通信网络节点故障检测系统 | |
| CN110807460A (zh) | 一种基于图像识别的变电站智能巡视系统及其应用方法 | |
| CN108259263A (zh) | 数据分析方法、装置及系统 | |
| CN111698209A (zh) | 一种网络异常流量检测方法及装置 | |
| CN109768882A (zh) | 一种基于网络设备的自动组网系统及其故障自排查方法 | |
| CN108696371A (zh) | 网络故障确定方法及系统 | |
| CN110266680A (zh) | 一种基于双重相似性度量的工业通信异常检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |