CN111585989A - 联网工控设备的漏洞检测方法、装置和计算机设备 - Google Patents
联网工控设备的漏洞检测方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN111585989A CN111585989A CN202010338848.0A CN202010338848A CN111585989A CN 111585989 A CN111585989 A CN 111585989A CN 202010338848 A CN202010338848 A CN 202010338848A CN 111585989 A CN111585989 A CN 111585989A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control equipment
- equipment
- system information
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本申请涉及一种联网工控设备的漏洞检测方法、装置、计算机设备和计算机可读存储介质,其中,该联网工控设备的漏洞检测方法包括:获取设备搜索引擎查询到的设备搜索结果,其中,设备搜索结果包括工控设备的搜索结果;从设备搜索结果中,提取工控设备的系统信息;根据系统信息,对工控设备进行漏洞检测。通过本申请,解决了相关技术中工控系统监测技术对工控设备的扫描速度缓慢的问题,实现了缩短工控设备扫描时间的技术效果。
Description
技术领域
本申请实施例涉及计算机领域,特别是涉及一种联网工控设备的漏洞检测方法、装置、计算机设备和计算机可读存储介质。
背景技术
随着网络信息技术的不断发展及企业在不追求开放、融合的发展模式下,以工业控制系统为代表的关键基础设施越来越多采用互联网的通用协议并通过互联网进行数据交换和运行管理,这使得越来越多的工业控制系统开始与互联网连接。
由于工业控制系统需要保持运行的连续性以及可靠性等因素,导致工业控制系统存在大量漏洞没有得到修补的问题,这使得暴露于公网的工控设备容易遭受到黑客的攻击、利用,甚至破坏企业的生产以及运行。因此,如何对工控系统进行安全监测成为了业内的一个研究热点。
目前,相关技术中的工控系统监测技术往往是通过扫描探测技术结合IP地址库对公网中所有的IP地址进行逐一扫描,识别公网中存在的联网工控设备,通过识别其具体系统信息再与工控设备漏洞数据库进行匹配,获得该工控系统可能存在的漏洞信息,识别该工控系统的脆弱性。
这类技术方案存在以下技术缺陷:对所有工控设备进行逐一扫描导致扫描速度太慢,进而导致很多数据的时效性很差。
目前针对相关技术中的工控系统监测技术对工控设备的扫描速度缓慢的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种联网工控设备的漏洞检测方法、装置、计算机设备和计算机可读存储介质,以至少解决相关技术中工控系统监测技术对工控设备的扫描速度缓慢的问题。
第一方面,本申请实施例提供了一种联网工控设备的漏洞检测方法,所述方法包括:
获取设备搜索引擎查询到的设备搜索结果,其中,所述设备搜索结果包括工控设备的搜索结果;
从所述设备搜索结果中,提取工控设备的系统信息;
根据所述系统信息,对所述工控设备进行漏洞检测。
在其中一个实施例中,所述设备搜索引擎为Shodan引擎。
在其中一个实施例中,提取工控设备的系统信息包括:
从所述设备搜索结果中筛选出工控设备搜索结果;
对所述工控设备搜索结果进行去重处理,以及删除所述工控设备搜索结果中的无效数据,得到优化后的工控设备搜索结果;
从所述优化后的工控设备搜索结果中提取所述工控设备的系统信息。
在其中一个实施例中,所述系统信息包括以下至少之一:IP地址、端口、工控协议、地区、厂商、型号、版本号、设备类型。
在其中一个实施例中,在提取工控设备的系统信息之后,所述方法还包括:
构造用于查询所述工控设备的系统信息的查询请求消息;
将所述查询请求消息发送到根据所述系统信息确定的IP地址及端口号;
接收所述工控设备响应于所述查询请求消息的响应消息;
根据所述响应消息中携带的系统信息,更新所述工控设备的系统信息。
在其中一个实施例中,构造用于查询所述工控设备的系统信息的查询请求消息包括:
根据所述系统信息,确定所述工控设备的数据包构造和传输规则;
根据所述数据包构造和传输规则,构造所述查询请求消息。
在其中一个实施例中,根据所述系统信息,对所述工控设备进行漏洞检测包括:
使用所述系统信息在工控设备漏洞数据库中匹配漏洞信息;
在匹配到漏洞信息的情况下,提示所述工控设备存在漏洞。
第二方面,本申请实施例提供了一种联网工控设备的漏洞检测装置,所述装置包括:
获取模块,用于获取设备搜索引擎查询到的设备搜索结果,其中,所述设备搜索结果包括工控设备的搜索结果;
提取模块,用于从所述设备搜索结果中,提取工控设备的系统信息;
检测模块,用于根据所述系统信息,对所述工控设备进行漏洞检测。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的联网工控设备的漏洞检测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的车辆的方法。
相比于相关技术,本申请实施例提供的联网工控设备的漏洞检测方法、装置、计算机设备和计算机可读存储介质,通过设备搜索引擎获得工控设备的系统信息,并基于工控设备的系统信息对工控设备进行漏洞检测,解决了相关技术中工控系统监测技术对工控设备的扫描速度缓慢的问题,实现了缩短工控设备扫描时间的技术效果。
本申请实施例的一个或多个实施例的细节在以下附图和描述中提出,以使本申请实施例的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请实施例的进一步理解,构成本申请实施例的一部分,本申请实施例的示意性实施例及其说明用于解释本申请实施例,并不构成对本申请实施例的不当限定。在附图中:
图1是根据本申请实施例的联网工控设备的漏洞检测方法的流程图;
图2是根据本申请优选实施例的联网工控设备的漏洞检测方法的流程图;
图3是根据本申请实施例的联网工控设备的漏洞检测方法的步骤流程图;
图4是根据本申请实施例的联网工控设备的漏洞检测装置的结构框图;
图5是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。基于本申请实施例提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
显而易见地,下面描述中的附图仅仅是本申请实施例的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请实施例应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请实施例公开的内容相关的本领域的普通技术人员而言,在本申请实施例揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请实施例公开的内容不充分。
在本申请实施例中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请实施例的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请实施例所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请实施例所涉及的技术术语或者科学术语应当为本申请实施例所属技术领域内具有一般技能的人士所理解的通常意义。本申请实施例所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请实施例所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请实施例所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请实施例所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请实施例所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种联网工控设备的漏洞检测方法。图1是根据本申请实施例的联网工控设备的漏洞检测方法的流程图,该流程包括如下步骤:
步骤S101,获取设备搜索引擎查询到的设备搜索结果,其中,设备搜索结果包括工控设备的搜索结果。
普通搜索引擎的工作原理是采用高效的蜘蛛程序,从指定URL开始顺着网页上的超链接,采用深度优先算法或广度优先算法对整个Internet进行遍历,将网页信息抓取到本地数据库。
然后使用索引器对数据库中的重要信息单元,如标题,关键字及摘要等或者全文进行索引,以供查询导航。
最后,检索器将用户通过浏览器提交的查询请求与索引数据库中的信息以某种检索技术进行匹配,再将检索结果按某种排序方法返回给用户。
本实施例中的设备搜索引擎的工作原理是通过定期探测全网设备,扫描设备的端口并接受设备返回的Banner信息(标识),其中,欢迎语包括设备厂商、型号、设备类型等设备自身的信息。并将收集到的Banner信息分类,抓取到本地数据库。在收到输入请求后,显示设备信息。
步骤S102,从设备搜索结果中,提取工控设备的系统信息。
相关技术方案中的工控系统监测技术以端口扫描为主,扫描的很多数据几乎没有参考价值。
并且在扫描速度缓慢的情况下,即使获得的数据质量好,但是时效性很差,数据已经是几天、几周前的数据,甚至获取该数据的IP地址的设备已经不在线,这使得数据的实时性参考价值降低。
在本实施例中,通过该步骤,对设备搜索结果进行去重、优化以及整合,避免了在对工控设备扫描速度缓慢的情况下导致的信息时效性很差的问题,实现了提高信息时效性以及提高信息质量的技术效果。
步骤S103,根据系统信息,对工控设备进行漏洞检测。
在本实施例中,通过该步骤,根据识别信息对工控设备进行漏洞检测即可得知该工控系统可能存在的漏洞信息,并获得工控系统的安全状况。
通过对联网工控设备的漏洞检测,有助于对工控系统的安全检测以及获得工控系统的安全状况,对工控系统的安全防卫有很大的参考价值以及应用价值。
其中,工控系统包括但不限于以下至少之一:监控和数据采集系统(SCADA)、分布式控制系统(DCS)、可编辑逻辑控制器(PLC)。
在其中一个实施例中,设备搜索引擎为Shodan引擎。
Shodan是一种网络空间搜索引擎,用于搜索联网的设备,例如:服务器、摄像头、工控设备、智能家居等等。
Shodan不仅可以发现这些设备,还可以识别这些设备的版本、地区、端口、IP地址等信息,并对其信息进行分类处理。
Shodan用于扫描互联网和解析各种设备,通过对返回的Banner信息及其他信息的分类处理,可以确定最流行的数据库以及版本、特定的位置存在多少网络摄像头一击这些设备的具体设备信息。
在本实施例中,通过Shodan搜索引擎直接获取工控设备的系统信息,不用以遍历的方式一个一个扫描工控设备的端口,解决了相关技术中工控系统监测技术对工控设备的扫描速度缓慢的问题,实现了缩短工控设备扫描时间的技术效果。
相关技术中的工控系统监测技术由于全球IPv4、IPv6的地址范围很大,往往是通过扫描探测技术结合IP地址库对公网中所有的IP地址进行逐一扫描,识别公网中存在的联网工控设备,通过识别其具体系统信息再与工控设备漏洞数据库进行匹配,获得该工控系统可能存在的漏洞信息,识别该工控系统的脆弱性。
这类技术方案平衡扫描速度与扫描数据质量,在扫描速度较慢的情况下,会导致很多数据的时效性变差,进而导致很多数据的参考价值降低。同时存在工控协议服务端口情况不能识别、需要高带宽以及网络费用投入的缺陷。
通过上述步骤,通过设备搜索引擎获得工控设备的系统信息,并基于工控设备的系统信息对工控设备进行漏洞检测,解决了相关技术中工控系统监测技术对工控设备的扫描速度缓慢的问题,实现了缩短工控设备扫描时间的技术效果。
在其中一个实施例中,提取工控设备的系统信息包括:从设备搜索结果中筛选出工控设备搜索结果;对工控设备搜索结果进行去重处理,以及删除工控设备搜索结果中的无效数据,得到优化后的工控设备搜索结果;从优化后的工控设备搜索结果中提取工控设备的系统信息。
在本实施例中,通过对工控设备的搜索结果进行去重、优化、整合等处理,删除重复数据以及质量差的数据,例如:在没有解析出工控设备的系统信息的情况下,删除其数据;在工控设备的搜索结果不符合工控设备的工控协议时,删除其数据。最后,将其数据进行整合,存入数据库。
通过该步骤,剔除数据中重复、质量差的部分,在快速扫描获得工控设备的系统信息的情况下,保证了信息的准确性以及时效性,提高了漏洞检测方法的可靠性。
在其中一个实施例中,系统信息包括但不限于以下至少之一:IP地址、端口、工控协议、地区、厂商、型号、版本号、设备类型。
在本实施例中,通过获取工控设备的IP地址以及端口实现与工控设备的数据交互;通过获取工控设备的工控协议确定与工控设备的数据传输规则,构造符合其数据传输规则的数据包;通过获取工控设备的地区、厂商、型号、版本号以及设备类型,并将这些信息与预设的工控设备漏洞数据库中进行匹配,实现对工控设备的漏洞检测。
图2示出了本申请优选实施例的联网工控设备的漏洞检测方法的流程,如图2所示,在其中一些实施例中,网工控设备的漏洞检测方法的流程包括以下步骤:
步骤S201,获取设备搜索引擎查询到的设备搜索结果,其中,设备搜索结果包括工控设备的搜索结果。
步骤S202,从设备搜索结果中,提取工控设备的系统信息。
步骤S203,构造用于查询工控设备的系统信息的查询请求消息,将查询请求消息发送到根据系统信息确定的IP地址及端口号;接收工控设备响应于查询请求消息的响应消息,根据响应消息中携带的系统信息,更新工控设备的系统信息。
步骤S204,根据系统信息,对工控设备进行漏洞检测。
在本实施例中,通过对工控设备的系统信息进行二次扫描,并更新工控设备的系统信息,保证了系统得到信息的准确性。
同时,在本实施例中,在接收到工控设备响应于查询请求信息的响应消息之后,通过设备指纹库,根据工控设备的信息得到工控设备的数据包构造以及传输规则。
在本实施例中,通过对每种工控设备的指纹进行分类、整合,建立设备指纹库。
在其中一个实施例中,构造用于查询工控设备的系统信息的查询请求消息包括:根据系统信息,确定工控设备的数据包构造和传输规则;根据数据包构造和传输规则,构造查询请求消息。
在本实施例中,通过获取工控设备的数据包构造和传输规则,根据数据包构造以及传输规则来构造查询请求信息。
目前,由于工控设备的厂商不同或者设备型号不同,工控设备所采用的工控协议也会不同,基于不同工控协议的工控设备用于数据交互的数据包的构造也不同。
为了保证工控设备数据交互的准确性,需要对针对采用不同工控协议的工控设备构造不同的数据包,为了获取工控设备的系统信息还需要基于工控设备的工控协议构造出特定的查询请求信息。
因此,在本实施例中,通过获取工控设备的工控协议,决定查询请求信息的发送方式。例如:在工控设备的传输层协议为TCP协议(Transmission Control Protocol,传输控制协议)的情况下,先基于TCP协议与工控设备的IP地址以及端口号建立通信连接,最后基于通信连接向工控设备发送查询请求信息。
在工控设备的传输层协议为UDP协议(User Datagram Protocol,用户数据报协议)的情况下,则不需要与工控设备建立通信连接,可直接发送查询请求信息至工控设备。
在本实施例中,通过对每一种工控协议进行解析并将其传输规则分类整合,建立工控协议库。可以直接将工控设备的系统信息在工控协议库中进行匹配,得到工控设备的工控协议。
在其中一个实施例中,根据系统信息,对工控设备进行漏洞检测包括:使用工控设备漏洞数据库中匹配漏洞信息;在匹配到漏洞信息的情况下,提示工控设备存在漏洞。
在本实施例中,通过定期查询获取CVE(公共漏洞和披露)、NVD(美国国家漏洞数据库)、CNNVD(中国国家信息安全漏洞库)、CNVD(国家信息安全漏洞共享平台)等漏洞平台中的工控设备漏洞信息,以及工控设备厂商自己发现的工控设备漏洞信息,并对漏洞信息进行去重、优化、整合,建立工控设备漏洞数据库。
在本实施例中,通过获取更新并填充后的工控设备的系统信息,提取工控设备的设备信息,包括但不限于以下至少之一:厂商、型号、设备类型、版本号,将这些信息在工控设备漏洞数据库中进行匹配,在匹配到漏洞信息的情况下,提示工控设备存在漏洞。
图3为根据本申请实施例的联网工控设备的漏洞检测方法的步骤流程图。如图3所示,在本实施例中,通过Shodan引擎查询设备搜索结果,并对设备搜索结果进行数据去重、数据优化以及数据整合,建立工控系统数据库。
继而通过工控协议库以及设备指纹库,提供工控设备的工控协议、数据包构造以及传输规则,基于工控协议与工控设备进行数据交互,基于数据包构造以及传输规则构造并发送查询请求信息。
在接收到工控设备响应于查询请求信息的响应信息后,提取响应信息中的工控设备的系统信息。
并基于响应信息中携带的系统信息,更新工控系统数据库。
最后根据已更新后的工控系统数据库中存在的工控设备的系统信息,在工控设备漏洞数据库中进行漏洞匹配,在匹配到漏洞信息的情况下,提示工控设备存在漏洞。
相比于相关技术,本申请实施例有以下优势:
(1)本申请实施例通过设备搜索引擎获取工控设备的系统信息,降低了扫描成本,提高了扫描速度。
(2)本申请实施例通过对设备搜索引擎获取的系统信息基于工控协议库以及设备指纹库进行二次扫描,提高了扫描质量。
(3)本申请实施例通过设备搜索引擎获取工控设备的系统信息,降低了带宽以及网络费用投入,降低了工控设备探测的成本。
本实施例还提供了一种联网工控设备的漏洞检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的一种联网工控设备的漏洞检测装置的结构框图,如图5所示,该装置包括:获取模块40,提取模块41,检测模块42,获取模块40耦接于提取模块41,提取模块41耦接于检测模块42,其中,
获取模块40,用于获取设备搜索引擎查询到的设备搜索结果,其中,设备搜索结果包括工控设备的搜索结果;
提取模块41,用于从设备搜索结果中,提取工控设备的系统信息;
检测模块42,用于根据系统信息,对工控设备进行漏洞检测。
在其中一个实施例中,设备搜索引擎为Shodan引擎。
在其中一个实施例中,提取模块41包括筛选单元、与筛选单元耦接的优化单元、与优化单元耦接的提取单元,其中,
筛选单元,用于从所述设备搜索结果中筛选出工控设备搜索结果;
优化单元,用于对所述工控设备搜索结果进行去重处理,以及删除所述工控设备搜索结果中的无效数据,得到优化后的工控设备搜索结果;
提取单元,用于从所述优化后的工控设备搜索结果中提取所述工控设备的系统信息。
在其中一个实施例中,所述系统信息包括以下至少之一:IP地址、端口、工控协议、地区、厂商、型号、版本号、设备类型。
在其中一个实施例中,该装置还包括与提取模块41耦接的更新模块,更新模块包括构造单元、与构造单元耦接的发送单元、与发送单元耦接的接收单元、与接收单元耦接的更新单元,其中,
构造单元用于构造用于查询所述工控设备的系统信息的查询请求消息;
发送单元用于将所述查询请求消息发送到根据所述系统信息确定的IP地址及端口号;
接收单元用于接收所述工控设备响应于所述查询请求消息的响应消息;
更新单元用于根据所述响应消息中携带的系统信息,更新所述工控设备的系统信息。
在其中一个实施例中,构造单元包括确定子单元以及与确定子单元耦接的构造子单元,其中,
确定子单元用于根据所述系统信息,确定所述工控设备的数据包构造和传输规则;
构造子单元用于根据所述数据包构造和传输规则,构造所述查询请求消息。
在其中一个实施例中,检测模块42包括匹配单元以及与匹配单元耦接的提示单元,其中,
匹配单元用于使用所述系统信息在工控设备漏洞数据库中匹配漏洞信息;
提示单元用于在匹配到漏洞信息的情况下,提示所述工控设备存在漏洞。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图1描述的本申请实施例的联网工控设备的漏洞检测方法可以由计算机设备来实现。图5为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括存储器52、处理器51以及存储在存储器上并可在处理器上运行的计算机程序。
具体地,上述处理器51可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器52可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器52可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器52可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器52可在数据处理装置的内部或外部。在特定实施例中,存储器52是非易失性(Non-Volatile)存储器。在特定实施例中,存储器52包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器52可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器51所执行的可能的计算机程序指令。
处理器51通过读取并执行存储器52中存储的计算机程序指令,以实现上述实施例中的任意一种联网工控设备的漏洞检测方法。
在其中一些实施例中,计算机设备还可包括通信接口53和总线50。其中,如图5所示,处理器51、存储器52、通信接口53通过总线50连接并完成相互间的通信。
通信接口53用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口53还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线50包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线50包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线50可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线50可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请实施例考虑任何合适的总线或互连。
另外,结合上述实施例中的联网工控设备的漏洞检测方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种联网工控设备的漏洞检测方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请实施例的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请实施例构思的前提下,还可以做出若干变形和改进,这些都属于本申请实施例的保护范围。因此,本申请实施例专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种联网工控设备的漏洞检测方法,其特征在于,所述方法包括:
获取设备搜索引擎查询到的设备搜索结果,其中,所述设备搜索结果包括工控设备的搜索结果;
从所述设备搜索结果中,提取工控设备的系统信息;
根据所述系统信息,对所述工控设备进行漏洞检测。
2.根据权利要求1所述的联网工控设备的漏洞检测方法,其特征在于,所述设备搜索引擎为Shodan引擎。
3.根据权利要求1所述的联网工控设备的漏洞检测方法,其特征在于,提取工控设备的系统信息包括:
从所述设备搜索结果中筛选出工控设备搜索结果;
对所述工控设备搜索结果进行去重处理,以及删除所述工控设备搜索结果中的无效数据,得到优化后的工控设备搜索结果;
从所述优化后的工控设备搜索结果中提取所述工控设备的系统信息。
4.根据权利要求3所述的联网工控设备的漏洞检测方法,其特征在于,所述系统信息包括以下至少之一:IP地址、端口、工控协议、地区、厂商、型号、版本号、设备类型。
5.根据权利要求1所述的联网工控设备的漏洞检测方法,其特征在于,在提取工控设备的系统信息之后,所述方法还包括:
构造用于查询所述工控设备的系统信息的查询请求消息;
将所述查询请求消息发送到根据所述系统信息确定的IP地址及端口号;
接收所述工控设备响应于所述查询请求消息的响应消息;
根据所述响应消息中携带的系统信息,更新所述工控设备的系统信息。
6.根据权利要求5所述的联网工控设备的漏洞检测方法,其特征在于,构造用于查询所述工控设备的系统信息的查询请求消息包括:
根据所述系统信息,确定所述工控设备的数据包构造和传输规则;
根据所述数据包构造和传输规则,构造所述查询请求消息。
7.根据权利要求1所述的联网工控设备的漏洞检测方法,其特征在于,根据所述系统信息,对所述工控设备进行漏洞检测包括:
使用所述系统信息在工控设备漏洞数据库中匹配漏洞信息;
在匹配到漏洞信息的情况下,提示所述工控设备存在漏洞。
8.一种联网工控设备的漏洞检测装置,其特征在于,所述装置包括:
获取模块,用于获取设备搜索引擎查询到的设备搜索结果,其中,所述设备搜索结果包括工控设备的搜索结果;
提取模块,用于从所述设备搜索结果中,提取工控设备的系统信息;
检测模块,用于根据所述系统信息,对所述工控设备进行漏洞检测。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的联网工控设备的漏洞检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7中任一项所述的联网工控设备的漏洞检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010338848.0A CN111585989A (zh) | 2020-04-26 | 2020-04-26 | 联网工控设备的漏洞检测方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010338848.0A CN111585989A (zh) | 2020-04-26 | 2020-04-26 | 联网工控设备的漏洞检测方法、装置和计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111585989A true CN111585989A (zh) | 2020-08-25 |
Family
ID=72125022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010338848.0A Pending CN111585989A (zh) | 2020-04-26 | 2020-04-26 | 联网工控设备的漏洞检测方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111585989A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控系统的漏洞检测方法和装置 |
| CN112395618A (zh) * | 2020-11-16 | 2021-02-23 | 杭州安恒信息技术股份有限公司 | 非授权数据库漏洞扫描方法、系统、存储介质及设备 |
| CN112883383A (zh) * | 2021-03-04 | 2021-06-01 | 北京明略昭辉科技有限公司 | 一种漏洞安全防御方法、系统及计算机设备 |
| CN114598509A (zh) * | 2022-02-23 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130212160A1 (en) * | 2012-02-09 | 2013-08-15 | Rockwell Automation Technologies, Inc. | Industrial automation app-store |
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
| CN111026012A (zh) * | 2019-11-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Plc固件级漏洞的检测方法、装置、电子设备及存储介质 |
-
2020
- 2020-04-26 CN CN202010338848.0A patent/CN111585989A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130212160A1 (en) * | 2012-02-09 | 2013-08-15 | Rockwell Automation Technologies, Inc. | Industrial automation app-store |
| CN110868404A (zh) * | 2019-11-05 | 2020-03-06 | 北京航空航天大学 | 一种基于tcp/ip指纹的工控设备自动识别方法 |
| CN111026012A (zh) * | 2019-11-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | Plc固件级漏洞的检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 周伟平等: "《面向工业控制系统的渗透测试工具研究》", 《计算机工程》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087462A (zh) * | 2020-09-11 | 2020-12-15 | 北京顶象技术有限公司 | 一种工控系统的漏洞检测方法和装置 |
| CN112395618A (zh) * | 2020-11-16 | 2021-02-23 | 杭州安恒信息技术股份有限公司 | 非授权数据库漏洞扫描方法、系统、存储介质及设备 |
| CN112883383A (zh) * | 2021-03-04 | 2021-06-01 | 北京明略昭辉科技有限公司 | 一种漏洞安全防御方法、系统及计算机设备 |
| CN114598509A (zh) * | 2022-02-23 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN114598509B (zh) * | 2022-02-23 | 2023-06-20 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111585989A (zh) | 联网工控设备的漏洞检测方法、装置和计算机设备 | |
| CN112003870A (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
| US20160299971A1 (en) | Identifying Search Engine Crawlers | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
| CN111104395A (zh) | 数据库审计方法、设备、存储介质及装置 | |
| CN113965407A (zh) | Ioc情报文件生成方法、装置、存储介质及电子设备 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| CN112087532B (zh) | 信息获取方法、装置、设备及存储介质 | |
| CN113765846B (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| CN111061972B (zh) | 一种用于url路径匹配的ac查找优化方法和装置 | |
| CN111148185A (zh) | 建立用户关系的方法及装置 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 | |
| CN112231700B (zh) | 行为识别方法和装置、存储介质及电子设备 | |
| CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN112118256B (zh) | 工控设备指纹归一化方法、装置、计算机设备及存储介质 | |
| CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
| CN111368294B (zh) | 病毒文件的识别方法和装置、存储介质、电子装置 | |
| CN113572781A (zh) | 网络安全威胁信息归集方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200825 |
|
| RJ01 | Rejection of invention patent application after publication |