CN112398839B - 工控漏洞挖掘方法及装置 - Google Patents

工控漏洞挖掘方法及装置 Download PDF

Info

Publication number
CN112398839B
CN112398839B CN202011232689.2A CN202011232689A CN112398839B CN 112398839 B CN112398839 B CN 112398839B CN 202011232689 A CN202011232689 A CN 202011232689A CN 112398839 B CN112398839 B CN 112398839B
Authority
CN
China
Prior art keywords
data packet
typical
message
list
acquiring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011232689.2A
Other languages
English (en)
Other versions
CN112398839A (zh
Inventor
孙利民
白双朋
宋站威
孙玉砚
朱红松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202011232689.2A priority Critical patent/CN112398839B/zh
Publication of CN112398839A publication Critical patent/CN112398839A/zh
Application granted granted Critical
Publication of CN112398839B publication Critical patent/CN112398839B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种工控漏洞挖掘方法及装置,所述方法包括:基于待分析数据包集合获取典型报文列表;基于所述典型报文列表获取种子列表;基于种子列表获取畸形数据包;基于所述畸形数据包对目标设备进行漏洞挖掘并验证。通过回复报文的相似性比较,选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。

Description

工控漏洞挖掘方法及装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种工控漏洞挖掘方法及装置。
背景技术
近年来针对物联网及工业控制系统设备的各种网络攻击事件日益增多,物联网及工业控制系统设备中存在的安全问题愈发严峻。预先发现并修复物联网嵌入式设备及工业控制系统中存在的安全漏洞可以有效的防范安全威胁,提升工业控制系统安全防护水平。
由于物联网设备及工业控制系统设备具有封闭性、难以调试、系统实时性高、难以仿真等特点,传统的漏洞挖掘方法,比如逆向分析、符号执行、污点跟踪等静态分析方法很难取得较好的效果。
因此,现有的工控漏洞挖掘方法存在着挖掘有效性差的缺陷。
发明内容
本发明实施例提供一种工控漏洞挖掘方法及装置,用以解决现有的工控漏洞挖掘方法存在着挖掘有效性差的缺陷,实现有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高对工业控制系统设备中漏洞挖掘的有效性。
本发明实施例提供一种工控漏洞挖掘方法,包括:
基于待分析数据包集合获取典型报文列表;
基于所述典型报文列表获取种子列表;
基于种子列表获取畸形数据包;
基于所述畸形数据包对目标设备进行漏洞挖掘。
根据本发明一个实施例的工控漏洞挖掘方法,所述基于待分析数据包集合获取典型报文列表,具体包括:
对待分析数据包集合中的报文进行相似性计算,筛选出典型数据包;每个典型数据包对应一个相似报文列表;
根据所述典型数据包构建典型报文列表;所述典型报文列表包括不少于一个典型数据包。
根据本发明一个实施例的工控漏洞挖掘方法,所述基于所述典型报文列表获取种子列表,具体包括:
在所述典型报文列表中,删除相似报文数量小于预设阈值的典型数据包及所述典型数据包对应的相似报文列表,获取删减后的典型报文列表;
基于所述删减后的典型报文列表,获取种子列表。
根据本发明一个实施例的工控漏洞挖掘方法,所述基于种子列表获取畸形数据包,具体包括:
获取所述种子列表中每个报文对应的发送报文;
对所述发送报文进行变异处理,获取畸形数据包。
根据本发明一个实施例的工控漏洞挖掘方法,所述基于所述畸形数据包对目标设备进行漏洞挖掘,具体包括:
向目标设备发送畸形数据包,判断所述目标设备是否崩溃;
若所述目标设备已崩溃,根据所述畸形数据包对目标设备进行漏洞挖掘的验证。
根据本发明一个实施例的工控漏洞挖掘方法,所述基于所述删减后的典型报文列表,获取种子列表,具体包括:
提取所述删减后的典型报文列表中的每个典型数据包对应的相似报文列表中相似性最小的回复报文;
基于所述删减后的典型报文列表中的每条报文和所述回复报文获取种子列表。
根据本发明一个实施例的工控漏洞挖掘方法,所述向目标设备发送畸形数据包,判断所述目标设备是否崩溃,具体包括:
向所述目标设备发送畸形数据包;
若未收到所述目标设备对所述畸形数据包的响应包,则向所述目标设备发送探测数据包;
若未收到所述目标设备对所述探测数据包的响应包,则判断所述目标设备已崩溃。
本发明实施例还提供一种工控漏洞挖掘装置,包括:
第一获取模块,用于基于待分析数据包集合获取典型报文列表;
第二获取模块,用于基于所述典型报文列表获取种子列表;
第三获取模块,用于基于种子列表获取畸形数据包;
漏洞挖掘模块,用于基于所述畸形数据包对目标设备进行漏洞挖掘。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述工控漏洞挖掘方法的步骤。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述工控漏洞挖掘方法的步骤。
本发明实施例提供的工控漏洞挖掘方法及装置,通过回复报文的相似性比较,选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种工控漏洞挖掘方法的流程示意图;
图2是本发明实施例提供的一种工控漏洞挖掘方法对目标进行fuzz测试的流程示意图;
图3是本发明实施例提供的一种工控漏洞挖掘方法中基于ModBus报文相似性比较对PLC进行fuzz测试的流程示意图;
图4是本发明实施例提供的一种工控漏洞挖掘装置的结构示意图;
图5是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种工控漏洞挖掘方法的流程示意图,如图1所示,具体包括:
基于待分析数据包集合获取典型报文列表;
具体地,首先获取目标设备的网络数据包,对网络数据包进行预处理得到待分析数据包集合,并通过对待分析数据包集合进行处理获取典型报文列表。
通过基于待分析数据包集合获取典型报文列表,为进一步基于典型报文列表获取种子列表创造条件。
基于所述典型报文列表获取种子列表;
具体地,基于典型报文列表获取种子列表,种子列表是用于通过设置变异次数,按位翻转、整数加减算术运算、替换为特殊内容等变异方式获取畸形数据包的。
通过典型报文列表获取种子列表,为进一步基于种子列表生成并发送相应的畸形数据包创造条件。
基于种子列表获取畸形数据包;
具体地,按顺序遍历种子列表,并设置变异次数,通过按位翻转、整数加减算术运算、替换为特殊内容等变异方式,生成并向目标设备发送相应的畸形数据包。
通过基于种子列表获取畸形数据包,为进一步根据异性数据包对目标设备进行漏洞挖掘创造了条件。
基于所述畸形数据包对目标设备进行漏洞挖掘。
具体地,在向目标设备发送畸形数据包以后,探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写概念验证(Proof of Concept,POC)脚本进行漏洞验证,从而发现目标设备中存在的工控漏洞。
图2是本发明实施例提供的一种工控漏洞挖掘方法对目标进行fuzz测试的流程示意图,如图2所示,通过回复报文的相似性比较,选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。
可选地,在上述各实施例的基础上,所述基于待分析数据包集合获取典型报文列表,具体包括:
对待分析数据包集合中的报文进行相似性计算,筛选出典型数据包;每个典型数据包对应一个相似报文列表;
根据所述典型数据包构建典型报文列表;所述典型报文列表包括不少于一个典型数据包。
具体地,对网络数据包的获取方法包括但不限于使用Wireshark、Tcpdump、Burpsuite、Fiddler、Scapy、libpcap等工具,针对的目标设备包括但不限于网络摄像头、智能路由器、智能灯泡、PLC等,针对的网络协议包括但不限于传输控制协议(TransmissionControl Protocol,TCP)、用户数据报协议(User Datagram Protocol,UDP)、文件传输协议(File Transfer Protocol,FTP)、Telnet协议、超文本传输协议(Hyper Text TransferProtocol,HTTP)、实时流传输协议(Real Time Streaming Protocol,RTSP)、S7协议及MODBUS协议等。
对待分析数据包集合中的报文进行相似性计算,筛选出典型数据包的方法包括,通过计算并比较报文间相似性,构造典型报文列表,列表元素为典型数据包,每个典型数据包对应一个相似报文列表。对报文间相似性的计算,包括但不限于闵可夫斯基距离、汉明距离、编辑距离等。
例如,图3是本发明实施例提供的一种工控漏洞挖掘方法对目标进行fuzz测试的流程示意图,如图3所示,首先使用上位机软件发送MosBus数据包对下位机进行控制,包括读线圈、写线圈、读寄存器、写寄存器等操作,同时利用wireshark工具捕获数据包。
对协议数据包进行分析,将第一个报文加入典型报文列表,顺序遍历其余回复报文,计算当前回复报文与典型报文列表的所有报文的编辑距离,如果编辑距离大于阈值,则当前报文加入典型报文列表,成为典型报文,并初始化其相似列表为空。如果编辑距离小于阈值,则当前报文加入其最大相似性的典型报文的相似列表中。
对Wireshark中捕获的数据包进行预处理操作,设置过滤条件为“modbus”筛选出MosBus协议的数据包,去重后保存结果得到待分析数据包集合。
通过计算并比较报文间相似性,构造典型报文列表,其中列表元素为典型数据包,每个典型数据包对应一个相似报文列表,为进一步基于典型报文列表获取种子列表创造条件。
可选地,在上述各实施例的基础上,所述基于所述典型报文列表获取种子列表,具体包括:
在所述典型报文列表中,删除相似报文数量小于预设阈值的典型数据包及所述典型数据包对应的相似报文列表,获取删减后的典型报文列表;
基于所述删减后的典型报文列表,获取种子列表。
具体地,遍历典型报文列表,如果典型数据包的相似报文数量小于数量阈值,则删除该报文及其相似列表。遍历删减后的典型报文列表,将当前报文和其相似报文列表中与该报文相似性最小的回复报文共同加入种子列表。
例如,在遍历完成后,得到典型报文列表,列表元素为典型报文,每个典型报文对应一个相似列表。遍历典型报文列表,如某典型报文的相似列表内元素个数小于阈值,则从典型报文列表中删除该典型报文。否则,将该典型报文加入种子列表,在其相似列表中找到与该典型报文编辑距离最大的报文,加入种子列表。
通过遍历删减后的典型报文列表,将当前报文和其相似报文列表中与该报文相似性最小的回复报文共同加入种子列表,为进一步基于种子列表生成并发送相应的畸形数据包创造条件。
可选地,在上述各实施例的基础上,所述基于种子列表获取畸形数据包,具体包括:
获取所述种子列表中每个报文对应的发送报文;
对所述发送报文进行变异处理,获取畸形数据包。
具体地,对种子列表中的每个报文,找到其对应发送报文,对发送报文进行变异,生成并发送相应的畸形数据包。其中,对报文进行变异包含但不限于按位翻转、整数加减算术运算、替换为特殊内容等。
通过对发送报文进行变异,生成并发送相应的畸形数据包,为进一步根据异性数据包对目标设备进行漏洞挖掘创造了条件。
可选地,在上述各实施例的基础上,所述基于所述畸形数据包对目标设备进行漏洞挖掘,具体包括:
向目标设备发送畸形数据包,判断所述目标设备是否崩溃;
若所述目标设备已崩溃,根据所述畸形数据包对目标设备进行漏洞挖掘的验证。
具体地,在向目标设备发送畸形数据包以后,探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写概念验证(Proof of Concept,POC)脚本进行漏洞验证,从而发现目标设备中存在的工控漏洞。探测目标系统是否存活的方法包括但不限于发送Internet控制报文协议(Internet Control Message Protocol,ICMP)探测数据包、发送TCP SYN探测数据包、发送TCP FIN数据包、发送TCP探测数据包、发送UDP探测数据包等。
例如,顺序遍历种子列表,并设置变异次数,通过按位翻转、整数加减算术运算、替换为特殊内容等变异方式,生成并发送相应的畸形数据包。若发送畸形数据包后未收到来自目标设备的响应包,则发送TCP SYN探测数据包探测目标设备是否存活,若收到来自目标设备的TCP SYN+ACK数据包,说明目标设备没有崩溃,反之则说明目标已崩溃,形成一条异常记录并保存之前发送的畸形数据包,根据该畸形数据包编写POC脚本对“漏洞”进行验证。探测完毕后,若所有种子均达到变异数量的要求,则停止。
通过选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。
可选地,在上述各实施例的基础上,所述基于所述删减后的典型报文列表,获取种子列表,具体包括:
提取所述删减后的典型报文列表中的每个典型数据包对应的相似报文列表中相似性最小的回复报文;
基于所述删减后的典型报文列表中的每条报文和所述回复报文获取种子列表。
具体地,遍历典型报文列表,如果典型数据包的相似报文数量小于数量阈值,则删除该报文及其相似列表。遍历删减后的典型报文列表,将当前报文和其相似报文列表中与该报文相似性最小的回复报文共同加入种子列表。对种子列表中的每个报文,找到其对应发送报文,对发送报文进行变异,生成并发送相应的畸形数据包。
通过遍历删减后的典型报文列表,将当前报文和其相似报文列表中与该报文相似性最小的回复报文共同加入种子列表,为进一步基于种子列表生成并发送相应的畸形数据包创造条件。
可选地,在上述各实施例的基础上,所述向目标设备发送畸形数据包,判断所述目标设备是否崩溃,具体包括:
向所述目标设备发送畸形数据包;
若未收到所述目标设备对所述畸形数据包的响应包,则向所述目标设备发送探测数据包;
若未收到所述目标设备对所述探测数据包的响应包,则判断所述目标设备已崩溃。
具体地,探测目标系统是否存活的方法包括但不限于发送ICMP探测数据包、发送TCP SYN探测数据包、发送TCP FIN数据包、发送TCP探测数据包、发送UDP探测数据包等;在向目标设备发送畸形数据包以后,探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写概念验证(Proof of Concept,POC)脚本进行漏洞验证,从而发现目标设备中存在的工控漏洞。
通过回复报文的相似性比较,选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。
图4是本发明实施例提供的一种工控漏洞挖掘装置的结构示意图,如图4所示,包括:第一获取模块401用于基于待分析数据包集合获取典型报文列表;第二获取模块402用于基于所述典型报文列表获取种子列表;第三获取模块403用于基于种子列表获取畸形数据包;漏洞挖掘模块404用于基于所述畸形数据包对目标设备进行漏洞挖掘。
具体地,第一获取模块401首先获取目标设备的网络数据包,对网络数据包进行预处理得到待分析数据包集合,并通过对待分析数据包集合进行处理获取典型报文列表。第二获取模块402用于基于典型报文列表获取种子列表,种子列表是用于通过设置变异次数,按位翻转、整数加减算术运算、替换为特殊内容等变异方式获取畸形数据包的。第三获取模块403用于按顺序遍历种子列表,并设置变异次数,通过按位翻转、整数加减算术运算、替换为特殊内容等变异方式,生成并向目标设备发送相应的畸形数据包。漏洞挖掘模块404用于在向目标设备发送畸形数据包以后,探测目标设备是否存活,若目标设备崩溃则根据畸形数据包编写概念验证(Proof of Concept,POC)脚本进行漏洞验证,从而发现目标设备中存在的工控漏洞。
本发明实施例提供的一种工控漏洞挖掘装置,通过回复报文的相似性比较,选取优质的种子进行变异生成畸形数据包,进而进行远程模糊测试,达到有效发现物联网及工业控制系统设备中存在的安全缺陷的目的,提高了对工业控制系统设备中漏洞挖掘的有效性。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行一种工控漏洞挖掘方法,该方法包括:基于待分析数据包集合获取典型报文列表;基于所述典型报文列表获取种子列表;基于种子列表获取畸形数据包;基于所述畸形数据包对目标设备进行漏洞挖掘。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的一种工控漏洞挖掘方法,该方法包括:基于待分析数据包集合获取典型报文列表;基于所述典型报文列表获取种子列表;基于种子列表获取畸形数据包;基于所述畸形数据包对目标设备进行漏洞挖掘。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的一种工控漏洞挖掘方法,该方法包括:基于待分析数据包集合获取典型报文列表;基于所述典型报文列表获取种子列表;基于种子列表获取畸形数据包;基于所述畸形数据包对目标设备进行漏洞挖掘。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种工控漏洞挖掘方法,其特征在于,包括:
基于待分析数据包集合获取典型报文列表;
所述基于待分析数据包集合获取典型报文列表,具体包括:
对待分析数据包集合中的报文进行相似性计算,筛选出典型数据包;每个典型数据包对应一个相似报文列表;
根据所述典型数据包构建典型报文列表;所述典型报文列表包括不少于一个典型数据包;
基于所述典型报文列表获取种子列表;
所述基于所述典型报文列表获取种子列表,具体包括:
在所述典型报文列表中,删除相似报文数量小于预设阈值的典型数据包及所述典型数据包对应的相似报文列表,获取删减后的典型报文列表;
基于所述删减后的典型报文列表,获取种子列表;
基于种子列表获取畸形数据包;
基于所述畸形数据包对目标设备进行漏洞挖掘。
2.根据权利要求1所述的工控漏洞挖掘方法,其特征在于,所述基于种子列表获取畸形数据包,具体包括:
获取所述种子列表中每个报文对应的发送报文;
对所述发送报文进行变异处理,获取畸形数据包。
3.根据权利要求1所述的工控漏洞挖掘方法,其特征在于,所述基于所述畸形数据包对目标设备进行漏洞挖掘,具体包括:
向目标设备发送畸形数据包,判断所述目标设备是否崩溃;
若所述目标设备已崩溃,根据所述畸形数据包对目标设备进行漏洞挖掘的验证。
4.根据权利要求1所述的工控漏洞挖掘方法,其特征在于,所述基于所述删减后的典型报文列表,获取种子列表,具体包括:
提取所述删减后的典型报文列表中的每个典型数据包对应的相似报文列表中相似性最小的回复报文;
基于所述删减后的典型报文列表中的每条报文和所述回复报文获取种子列表。
5.根据权利要求3所述的工控漏洞挖掘方法,其特征在于,所述向目标设备发送畸形数据包,判断所述目标设备是否崩溃,具体包括:
向所述目标设备发送畸形数据包;
若未收到所述目标设备对所述畸形数据包的响应包,则向所述目标设备发送探测数据包;
若未收到所述目标设备对所述探测数据包的响应包,则判断所述目标设备已崩溃。
6.一种工控漏洞挖掘装置,其特征在于,包括:
第一获取模块,用于基于待分析数据包集合获取典型报文列表;
所述基于待分析数据包集合获取典型报文列表,具体包括:
对待分析数据包集合中的报文进行相似性计算,筛选出典型数据包;每个典型数据包对应一个相似报文列表;
根据所述典型数据包构建典型报文列表;所述典型报文列表包括不少于一个典型数据包;
第二获取模块,用于基于所述典型报文列表获取种子列表;所述基于所述典型报文列表获取种子列表,具体包括:
在所述典型报文列表中,删除相似报文数量小于预设阈值的典型数据包及所述典型数据包对应的相似报文列表,获取删减后的典型报文列表;
基于所述删减后的典型报文列表,获取种子列表;
第三获取模块,用于基于种子列表获取畸形数据包;
漏洞挖掘模块,用于基于所述畸形数据包对目标设备进行漏洞挖掘。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述工控漏洞挖掘方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述工控漏洞挖掘方法的步骤。
CN202011232689.2A 2020-11-06 2020-11-06 工控漏洞挖掘方法及装置 Active CN112398839B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011232689.2A CN112398839B (zh) 2020-11-06 2020-11-06 工控漏洞挖掘方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011232689.2A CN112398839B (zh) 2020-11-06 2020-11-06 工控漏洞挖掘方法及装置

Publications (2)

Publication Number Publication Date
CN112398839A CN112398839A (zh) 2021-02-23
CN112398839B true CN112398839B (zh) 2021-11-30

Family

ID=74598879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011232689.2A Active CN112398839B (zh) 2020-11-06 2020-11-06 工控漏洞挖掘方法及装置

Country Status (1)

Country Link
CN (1) CN112398839B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113722717B (zh) * 2021-07-21 2024-04-05 中国科学院信息工程研究所 一种安全漏洞测试方法、装置、设备及可读存储介质
CN114722403A (zh) * 2022-05-19 2022-07-08 北京华云安信息技术有限公司 一种远程执行漏洞挖掘方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168288A (zh) * 2014-08-27 2014-11-26 中国科学院软件研究所 一种基于协议逆向解析的自动化漏洞挖掘系统及方法
CN106888209A (zh) * 2017-03-02 2017-06-23 中国科学院信息工程研究所 一种基于协议状态图深度遍历的工控漏洞挖掘方法
CN107046526A (zh) * 2016-12-28 2017-08-15 北京邮电大学 基于Fuzzing算法的分布式异构网络漏洞挖掘方法
CN109660558A (zh) * 2019-01-18 2019-04-19 中国电力科学研究院有限公司 基于协议状态图遍历的iec104协议漏洞挖掘方法
CN110597715A (zh) * 2019-08-28 2019-12-20 昆明理工大学 一种基于模糊测试的测试样本优化方法
CN111124926A (zh) * 2019-12-25 2020-05-08 支付宝(杭州)信息技术有限公司 模糊测试方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US8751633B2 (en) * 2010-04-01 2014-06-10 Cloudflare, Inc. Recording internet visitor threat information through an internet-based proxy service
US10121009B2 (en) * 2015-09-25 2018-11-06 Synack, Inc. Computer system for discovery of vulnerabilities in applications including guided tester paths based on application coverage measures
CN110348220A (zh) * 2019-06-28 2019-10-18 北京威努特技术有限公司 一种漏洞挖掘方法、漏洞修复验证方法、装置及电子设备
CN110912776B (zh) * 2019-11-27 2021-09-28 中国科学院信息工程研究所 一种实体路由器管理协议的自动化模糊测试方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168288A (zh) * 2014-08-27 2014-11-26 中国科学院软件研究所 一种基于协议逆向解析的自动化漏洞挖掘系统及方法
CN107046526A (zh) * 2016-12-28 2017-08-15 北京邮电大学 基于Fuzzing算法的分布式异构网络漏洞挖掘方法
CN106888209A (zh) * 2017-03-02 2017-06-23 中国科学院信息工程研究所 一种基于协议状态图深度遍历的工控漏洞挖掘方法
CN109660558A (zh) * 2019-01-18 2019-04-19 中国电力科学研究院有限公司 基于协议状态图遍历的iec104协议漏洞挖掘方法
CN110597715A (zh) * 2019-08-28 2019-12-20 昆明理工大学 一种基于模糊测试的测试样本优化方法
CN111124926A (zh) * 2019-12-25 2020-05-08 支付宝(杭州)信息技术有限公司 模糊测试方法、装置、电子设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Vulnerability mining for Modbus TCP based on exception field positioning;Wenqian Feng,Yingxu Lai,Zenghui Liu;《ELSEVIER》;20200731;第1-11页 *
基于模糊测试的Android平台漏洞挖掘方法及软件实现;迟欣茹;《中国优秀硕士学位论文全文数据库信息科技辑》;20180403;第1-46页 *

Also Published As

Publication number Publication date
CN112398839A (zh) 2021-02-23

Similar Documents

Publication Publication Date Title
CN108696473B (zh) 攻击路径还原方法及装置
CN112398839B (zh) 工控漏洞挖掘方法及装置
CN112184091B (zh) 工控系统安全威胁评估方法、装置和系统
CN113055335B (zh) 用于检测通信异常的方法、装置、网络系统和存储介质
CN111628900B (zh) 基于网络协议的模糊测试方法、装置和计算机可读介质
US20090034423A1 (en) Automated detection of TCP anomalies
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
CN107864128B (zh) 基于网络行为的扫描检测方法、装置、可读存储介质
CN110839088A (zh) 一种被虚拟货币挖矿的检测方法、系统、装置及存储介质
Lee et al. Abnormal behavior-based detection of Shodan and Censys-like scanning
CN111049827A (zh) 一种网络系统安全防护方法、装置及其相关设备
CN113079185B (zh) 实现深度数据包检测控制的工业防火墙控制方法及设备
CN113934621A (zh) 模糊测试方法、系统、电子设备及介质
CN110765000A (zh) 一种程序测试方法及装置
CN112217800A (zh) 一种蜜罐识别方法、系统、装置及介质
US20220407875A1 (en) System and method for detection of malicious network resources
CN112291213A (zh) 一种基于智能终端的异常流量分析方法及装置
CN111641589A (zh) 高级可持续威胁检测方法、系统、计算机以及存储介质
Almotairi et al. A technique for detecting new attacks in low-interaction honeypot traffic
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN114257517B (zh) 一种生成用于检测网络节点的状态的训练集的方法
CN113722717B (zh) 一种安全漏洞测试方法、装置、设备及可读存储介质
CN112217777A (zh) 攻击回溯方法及设备
CN107231377B (zh) 基于突变平衡态理论的BGP-LDoS攻击检测方法
CN113760753B (zh) 基于灰盒模糊技术的quic协议测试方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant