CN112422557A - 一种工控网络的攻击测试方法及装置 - Google Patents
一种工控网络的攻击测试方法及装置 Download PDFInfo
- Publication number
- CN112422557A CN112422557A CN202011288714.9A CN202011288714A CN112422557A CN 112422557 A CN112422557 A CN 112422557A CN 202011288714 A CN202011288714 A CN 202011288714A CN 112422557 A CN112422557 A CN 112422557A
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- attack traffic
- industrial control
- traffic model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/80—Information retrieval; Database structures therefor; File system structures therefor of semi-structured data, e.g. markup language structured data such as SGML, XML or HTML
- G06F16/84—Mapping; Conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种工控网络的攻击测试方法及装置,针对工控网络的工控协议和攻击目标,预先构建攻击流量模型库,攻击流量模型库包括与不同工控协议和攻击目标组合相对应的攻击流量模型。基于攻击流量模型生成的符合工控协议且植入攻击策略的攻击流量数据,可以准确反映相应工控协议下攻击目标真实的网络通信状态,进而提升了攻击测试效果。
Description
技术领域
本发明涉及工控网络安全技术领域,更具体的,涉及一种工控网络的攻击测试方法及装置。
背景技术
近年来,针对工控网络的攻击事件呈上升趋势,如何提高工控网络的抗攻击能力成为本领域的重点研究方向。
虽然在其他领域中已经存在一些应用于提高网络抗攻击能力的研究,但是在工控网络安全领域并不适用,因此,目前亟需一种适用于工控网络安全领域的用于提高工控网络抗攻击能力的方法。
发明内容
有鉴于此,本发明提供了一种工控网络的攻击测试方法及装置,提升了攻击测试效果。
为了实现上述发明目的,本发明提供的具体技术方案如下:
一种工控网络的攻击测试方法,包括:
响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
可选的,所述攻击流量模型是基于XML语言脚本构建的。
可选的,所述基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据,包括:
对所述攻击流量模型进行初始化,确定所述攻击流量模型对应的攻击流量数据数量;
运行所述攻击流量模型,执行所述攻击流量模型中用于生成报文数据的函数,生成符合所述工控协议的所述报文数据;
执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据。
可选的,当所述攻击策略为攻击流量流速配置攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的攻击流量流速配置函数,对所述报文数据的起始流量速率、每秒递增速率、最高流量速率、达到最大速率后的持续时间和间隔步长进行配置,生成所述攻击流量数据。
可选的,当所述攻击策略为特征数据字段异常攻击时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据。
可选的,所述执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据,包括:
对所述特征数据字段异常攻击策略函数进行解析,得到所述特征数据字段异常攻击策略函数的参数;
判断所述参数是否包括异常数据列表;
若包括,将所述报文数据中的特征数据字段值替换为所述异常数据列表中的值,生成所述攻击流量数据;
若不包括,根据所述报文数据中的特征数据字段的类型,从系统数据库中提取缺省的攻击数据,并将所述报文数据中的特征数据字段值替换为所述攻击数据,生成所述攻击流量数据。
可选的,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,对所述报文数据中预设字段的位置进行交换,生成所述攻击流量数据。
可选的,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,在所述报文数据中预设字段的前面或后面填充预设无关数据,生成所述攻击流量数据。
可选的,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,删除所述报文数据中的预设字段,生成所述攻击流量数据。
一种工控网络的攻击测试装置,包括:
指令解析单元,用于响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
攻击流量模型获取单元,用于从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
攻击流量生成单元,用于基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
攻击流量发送单元,用于根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
可选的,所述攻击流量模型是基于XML语言脚本构建的。
可选的,所述攻击流量生成单元,包括:
模型初始化子单元,用于对所述攻击流量模型进行初始化,确定所述攻击流量模型对应的攻击流量数据数量;
报文数据生成子单元,用于运行所述攻击流量模型,执行所述攻击流量模型中用于生成报文数据的函数,生成符合所述工控协议的所述报文数据;
报文数据处理子单元,用于执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的攻击流量流速配置函数,对所述报文数据的起始流量速率、每秒递增速率、最高流量速率、达到最大速率后的持续时间和间隔步长进行配置,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
对所述特征数据字段异常攻击策略函数进行解析,得到所述特征数据字段异常攻击策略函数的参数;
判断所述参数是否包括异常数据列表;
若包括,将所述报文数据中的特征数据字段值替换为所述异常数据列表中的值,生成所述攻击流量数据;
若不包括,根据所述报文数据中的特征数据字段的类型,从系统数据库中提取缺省的攻击数据,并将所述报文数据中的特征数据字段值替换为所述攻击数据,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,对所述报文数据中预设字段的位置进行交换,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,在所述报文数据中预设字段的前面或后面填充预设无关数据,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,删除所述报文数据中的预设字段,生成所述攻击流量数据。
相对于现有技术,本发明的有益效果如下:
本发明公开的一种工控网络的攻击测试方法,针对工控网络的工控协议和攻击目标,预先构建攻击流量模型库,攻击流量模型库包括与不同工控协议和攻击目标组合相对应的攻击流量模型。基于攻击流量模型生成的符合工控协议且植入攻击策略的攻击流量数据,可以准确反映相应工控协议下攻击目标真实的网络通信状态,进而提升了攻击测试效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种工控网络的攻击测试方法的流程示意图;
图2为本发明实施例公开的另一种工控网络的攻击测试方法的流程示意图;
图3为本发明实施例公开的一种基于攻击流量模型生成攻击流量数据的方法的流程示意图;
图4为本发明实施例公开的一种工控网络的攻击测试装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种针对于工控网络安全领域的攻击测试方法,请参阅图1,预先根据工控协议样本数据和攻击策略构建由XML语言脚本生成的攻击流量模型,多个攻击流量模型组成攻击流量模型库。在攻击测试过程中,首先根据本次攻击测试针对的工控协议和攻击目标,从攻击流量模型库中选取相应的攻击流量模型,然后基于攻击流量模型生成符合该工控协议并植入相应攻击策略的攻击流量数据,最后通过将生成的攻击流量数据发送到目标设备,实现攻击测试,由于本发明中的攻击流量数据可以准确反映相应工控协议下攻击目标真实的网络通信状态,提升了攻击测试效果。
具体的,请参阅图2,本实施例公开的一种工控网络的攻击测试方法包括以下步骤:
S101:响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
不同攻击目标对应不同的攻击策略。
S102:从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
预先根据工控协议样本数据和攻击策略生成攻击流量模型,也就是说,每个攻击流量模型分别对应一个工控协议和攻击策略组,多个攻击流量模型组成攻击流量模型库。
依据攻击目标与攻击策略的对应关系,以及攻击流量模型库中攻击流量模型与工控协议和攻击策略组之间的对应关系,从攻击流量模型库中获取与工控协议和攻击目标相对应的攻击流量模型。
S103:基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
优选的,攻击流量模型是基于XML语言脚本构建的,XML语言提供了丰富的元素定义关键字用于定义协议字段并标识数据类型,一般来讲工控协议流量数据格式与互联网流量数据相比,特征更加明显,数据格式相对简单,对使用者稍做协议培训即可完成编写简单脚本的工作,推广使用的难度不大。
当然,攻击流量模型也可以基于JavaScript、Python等语言脚本构建,这里不做具体限定。
攻击流量模式实质上是由包括一系列接口函数的脚本,请参阅图3,基于攻击流量模型生成攻击流量数据的方法包括以下步骤:
S201:对攻击流量模型进行初始化,确定攻击流量模型对应的攻击流量数据数量;
对攻击流量模型进行初始化,具体为对攻击流量模型中的接口函数进行验证,所有接口函数验证通过后,根据其中一个用于定义攻击流量数据数量的函数,确定攻击流量模型对应的攻击流量数据数量。
用户可以根据攻击的实际需要调整攻击策略,还可以通过界面选择区间内的攻击数据进行发送测试,便于更快速地定位漏洞。
S202:运行攻击流量模型,执行攻击流量模型中用于生成报文数据的函数,生成符合工控协议的报文数据;
解析脚本中的相应函数,将数据字段值读入内存,解析计算长度、校验和等函数接口,调用相应函数计算这些动态字段的值并更新内存中对应地址的内容,对内容中对应地址的内容按照工控协议的规定进行组合,生成符合工控协议的报文数据。
因此,用于生成报文数据的函数包括生成正常数据的函数接口,如:计算长度、计算校验和、获取变量值等,确保协议数据合法性和完整性,解析生成攻击流量的函数接口需要访问异常数据库,生成攻击数据后同样要计算长度、校验和等,避免因为数据校验不通过无法执行到目标程序更深路径的代码,达不到预期的攻击效果。
S203:执行攻击流量模型中的攻击策略函数,对报文数据进行处理,生成攻击流量数据。
攻击策略函数包括攻击流量流速配置攻击策略、特征数据字段异常攻击策略、上下文不一致攻击策略,还可以为根据攻击目标自动以攻击策略函数。
以下分别介绍攻击流量流速配置攻击策略、特征数据字段异常攻击策略上下文不一致攻击策略所对应的攻击流量数据生成方法。
一、攻击流量流速配置攻击策略
执行攻击流量模型中的攻击流量流速配置函数,对报文数据的起始流量速率(脚本/秒)、每秒递增速率、最高流量速率(如测试网络无法达到最高流量速率,应达到该网络环境下可能达到的最大速率)、达到最大速率后的持续时间和间隔步长进行配置,生成所述攻击流量数据。
通过对攻击流量的速率配置,可开展洪泛攻击,当工控设备当前达到一个状态,可以支持处理某一类请求,那么可以针对这类请求做洪泛攻击,以检测工控设备对这类请求的处理能力。
二、特征数据字段异常攻击策略
执行攻击流量模型中的特征数据字段异常攻击策略函数,将报文数据中的特征数据字段值替换为预设异常值,生成攻击流量数据。
具体的,对特征数据字段异常攻击策略函数进行解析,得到特征数据字段异常攻击策略函数的参数;
判断参数是否包括异常数据列表;
若包括,将报文数据中的特征数据字段值替换为异常数据列表中的值,生成攻击流量数据;
若不包括,根据报文数据中的特征数据字段的类型,从系统数据库中提取缺省的攻击数据,并将报文数据中的特征数据字段值替换为攻击数据,生成攻击流量数据。
举例说明:西门子s7协议数据基本是以版本号“0300”开头,IEC104远动设备协议已特征值“68”开始等等。我们在协议脚本中植入攻击策略,将特征值替换为其他的异常值,检测工控协议设备在协议处理上的容错能力。攻击策略接口定义如下图示例所示:
以mutate为关键字的函数接口提示为攻击策略函数接口,上例中描述了针对特征值“68”的异常攻击策略,解析到该接口,将继续解析接口参数是否包含指定的异常数据列表,若没有攻击流量生成模块将会访问系统数据库,根据字段类型提取数据库中缺省的攻击数据生成攻击流量。
三、上下文不一致攻击策略
上下文不一致攻击策略通过将正常协议报文数据中某几个字段进行位置交换,或者在正常数据的前后填充无关数据,或者将某些字段内容去掉等方式生成攻击流量,以测试设备是否能识别此类异常报文,采用容错措施。
例如,执行攻击流量模型中的上下文不一致攻击策略函数,对报文数据中预设字段的位置进行交换,生成攻击流量数据。
执行攻击流量模型中的上下文不一致攻击策略函数,在报文数据中预设字段的前面或后面填充预设无关数据,生成攻击流量数据。
执行攻击流量模型中的上下文不一致攻击策略函数,删除报文数据中的预设字段,生成攻击流量数据。
以mutate为关键字,后面的函数名称分别代表了对正常的协议数据中指定的字段进行删除(delete)、填充(repeat)、交换(swap)以及对指定的数据块之间进行交换等操作,攻击流量生成模块将会按照函数接口名称对内存中的协议数据进行相应操作,形成攻击流量数据并保存在指定的内存数据地址中。
S104:根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
具体的,将攻击流量按照配置的流量速率发送给目标设备,在此期间不再等待目标设备的返回,直到全部数据流量发送完成。然后探测目标设备的状态是否还能正常提供服务。
如果对攻击流量发送速率没有特殊要求,则按照攻击数据包顺序逐一发送并等待接收目标设备的返回。
本实施例优选的采用生成一条攻击流量数据发送一条攻击流量数据的模式,这种方式不消耗内存,同时逻辑清晰。完成发送操作后需要判断发送执行结果,发送失败需重发。当攻击建模配置接受数据的解析,那么流量发送模块会等待数据接收并将数据传递到解析模块,为更加具体的攻击目标实现提供了可能的机制。
当用户选择区间式的攻击流量时,则根据用户选择的流量序列号生成攻击数据,再完成发送操作。
不论采用什么样的模式发送攻击流量数据,本实施例都能在攻击过程中采集网卡数据并生成pcap包,供后面的参考和分析。
可见,本实施例公开的一种工控网络的攻击测试方法,针对工控网络的工控协议和攻击目标,预先构建攻击流量模型库,攻击流量模型库包括与不同工控协议和攻击目标组合相对应的攻击流量模型。基于攻击流量模型生成的符合工控协议且植入攻击策略的攻击流量数据,可以准确反映相应工控协议下攻击目标真实的网络通信状态,进而提升了攻击测试效果。
基于上述实施例公开的一种工控网络的攻击测试方法,本实施例对应公开了一种工控网络的攻击测试装置,请参阅图4,该装置包括:
指令解析单元100,用于响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
攻击流量模型获取单元200,用于从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
攻击流量生成单元300,用于基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
攻击流量发送单元400,用于根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
可选的,所述攻击流量模型是基于XML语言脚本构建的。
可选的,所述攻击流量生成单元300,包括:
模型初始化子单元,用于对所述攻击流量模型进行初始化,确定所述攻击流量模型对应的攻击流量数据数量;
报文数据生成子单元,用于运行所述攻击流量模型,执行所述攻击流量模型中用于生成报文数据的函数,生成符合所述工控协议的所述报文数据;
报文数据处理子单元,用于执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的攻击流量流速配置函数,对所述报文数据的起始流量速率、每秒递增速率、最高流量速率、达到最大速率后的持续时间和间隔步长进行配置,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
对所述特征数据字段异常攻击策略函数进行解析,得到所述特征数据字段异常攻击策略函数的参数;
判断所述参数是否包括异常数据列表;
若包括,将所述报文数据中的特征数据字段值替换为所述异常数据列表中的值,生成所述攻击流量数据;
若不包括,根据所述报文数据中的特征数据字段的类型,从系统数据库中提取缺省的攻击数据,并将所述报文数据中的特征数据字段值替换为所述攻击数据,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,对所述报文数据中预设字段的位置进行交换,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,在所述报文数据中预设字段的前面或后面填充预设无关数据,生成所述攻击流量数据。
可选的,所述报文数据处理子单元,具体用于:
执行所述攻击流量模型中的上下文不一致攻击策略函数,删除所述报文数据中的预设字段,生成所述攻击流量数据。
本实施例公开的一种工控网络的攻击测试装置,针对工控网络的工控协议和攻击目标,预先构建攻击流量模型库,攻击流量模型库包括与不同工控协议和攻击目标组合相对应的攻击流量模型。基于攻击流量模型生成的符合工控协议且植入攻击策略的攻击流量数据,可以准确反映相应工控协议下攻击目标真实的网络通信状态,进而提升了攻击测试效果。
上述各个实施例之间可任意组合,对所公开的实施例的上述说明,本说明书中各实施例中记载的特征可以相互替换或者组合,使本领域专业技术人员能够实现或使用本申请。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种工控网络的攻击测试方法,其特征在于,包括:
响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
2.根据权利要求1所述的方法,其特征在于,所述攻击流量模型是基于XML语言脚本构建的。
3.根据权利要求2所述的方法,其特征在于,所述基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据,包括:
对所述攻击流量模型进行初始化,确定所述攻击流量模型对应的攻击流量数据数量;
运行所述攻击流量模型,执行所述攻击流量模型中用于生成报文数据的函数,生成符合所述工控协议的所述报文数据;
执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据。
4.根据权利要求3所述的方法,其特征在于,当所述攻击策略为攻击流量流速配置攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的攻击流量流速配置函数,对所述报文数据的起始流量速率、每秒递增速率、最高流量速率、达到最大速率后的持续时间和间隔步长进行配置,生成所述攻击流量数据。
5.根据权利要求3所述的方法,其特征在于,当所述攻击策略为特征数据字段异常攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据。
6.根据权利要求5所述的方法,其特征在于,所述执行所述攻击流量模型中的特征数据字段异常攻击策略函数,将所述报文数据中的特征数据字段值替换为预设异常值,生成所述攻击流量数据,包括:
对所述特征数据字段异常攻击策略函数进行解析,得到所述特征数据字段异常攻击策略函数的参数;
判断所述参数是否包括异常数据列表;
若包括,将所述报文数据中的特征数据字段值替换为所述异常数据列表中的值,生成所述攻击流量数据;
若不包括,根据所述报文数据中的特征数据字段的类型,从系统数据库中提取缺省的攻击数据,并将所述报文数据中的特征数据字段值替换为所述攻击数据,生成所述攻击流量数据。
7.根据权利要求3所述的方法,其特征在于,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,对所述报文数据中预设字段的位置进行交换,生成所述攻击流量数据。
8.根据权利要求3所述的方法,其特征在于,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,在所述报文数据中预设字段的前面或后面填充预设无关数据,生成所述攻击流量数据。
9.根据权利要求3所述的方法,其特征在于,当所述攻击策略为上下文不一致攻击策略时,所述执行所述攻击流量模型中的攻击策略函数,对所述报文数据进行处理,生成所述攻击流量数据,包括:
执行所述攻击流量模型中的上下文不一致攻击策略函数,删除所述报文数据中的预设字段,生成所述攻击流量数据。
10.一种工控网络的攻击测试装置,其特征在于,包括:
指令解析单元,用于响应于攻击流量生成指令,解析出所述攻击流量生成指令中携带的工控协议和攻击目标;
攻击流量模型获取单元,用于从预先构建的攻击流量模型库中获取与所述工控协议和所述攻击目标相对应的攻击流量模型;
攻击流量生成单元,用于基于所述攻击流量模型,生成符合所述工控协议的报文数据,并根据所述攻击流量模型中的攻击策略对所述报文数据进行处理,生成攻击流量数据;
攻击流量发送单元,用于根据所述攻击流量模型对应的数据发送参数,将所述攻击流量数据发送到目标设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011288714.9A CN112422557B (zh) | 2020-11-17 | 2020-11-17 | 一种工控网络的攻击测试方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011288714.9A CN112422557B (zh) | 2020-11-17 | 2020-11-17 | 一种工控网络的攻击测试方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112422557A true CN112422557A (zh) | 2021-02-26 |
| CN112422557B CN112422557B (zh) | 2023-06-27 |
Family
ID=74831940
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011288714.9A Active CN112422557B (zh) | 2020-11-17 | 2020-11-17 | 一种工控网络的攻击测试方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112422557B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660265A (zh) * | 2021-08-16 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114265360A (zh) * | 2021-12-28 | 2022-04-01 | 四川启睿克科技有限公司 | 工控系统网络安全试验箱及模糊测试方法、攻击演示方法 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、系统及网络安全测试系统 |
| CN117749648A (zh) * | 2024-01-23 | 2024-03-22 | 长扬科技(北京)股份有限公司 | 工控流量审计方法及装置 |
| CN117749648B (zh) * | 2024-01-23 | 2024-06-04 | 长扬科技(北京)股份有限公司 | 工控流量审计方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194469A1 (en) * | 2001-06-14 | 2002-12-19 | International Business Machines Corporation | Intrusion detection in data processing systems |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
| US20130291108A1 (en) * | 2012-04-26 | 2013-10-31 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining |
| US20130340083A1 (en) * | 2012-06-19 | 2013-12-19 | Lucian Petrica | Methods, systems, and computer readable media for automatically generating a fuzzer that implements functional and fuzz testing and testing a network device using the fuzzer |
| US20170013009A1 (en) * | 2015-07-07 | 2017-01-12 | University Of Science And Technology Beijing | Test method and system for plc security defense device |
| CN107360061A (zh) * | 2017-08-08 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的攻击测试系统及方法 |
| CN109104335A (zh) * | 2018-08-27 | 2018-12-28 | 广东电网有限责任公司 | 一种工控设备网络攻击测试方法与系统 |
| CN110505111A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 基于流量重放的工控协议模糊测试方法 |
| CN111193738A (zh) * | 2019-12-30 | 2020-05-22 | 南京联成科技发展股份有限公司 | 一种工业控制系统的入侵检测方法 |
-
2020
- 2020-11-17 CN CN202011288714.9A patent/CN112422557B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194469A1 (en) * | 2001-06-14 | 2002-12-19 | International Business Machines Corporation | Intrusion detection in data processing systems |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测系统的测试装置及测试方法 |
| US20130291108A1 (en) * | 2012-04-26 | 2013-10-31 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting traffic flooding attack and conducting in-depth analysis using data mining |
| US20130340083A1 (en) * | 2012-06-19 | 2013-12-19 | Lucian Petrica | Methods, systems, and computer readable media for automatically generating a fuzzer that implements functional and fuzz testing and testing a network device using the fuzzer |
| US20170013009A1 (en) * | 2015-07-07 | 2017-01-12 | University Of Science And Technology Beijing | Test method and system for plc security defense device |
| CN107360061A (zh) * | 2017-08-08 | 2017-11-17 | 上海斐讯数据通信技术有限公司 | 一种用于无线路由器的攻击测试系统及方法 |
| CN109104335A (zh) * | 2018-08-27 | 2018-12-28 | 广东电网有限责任公司 | 一种工控设备网络攻击测试方法与系统 |
| CN110505111A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 基于流量重放的工控协议模糊测试方法 |
| CN111193738A (zh) * | 2019-12-30 | 2020-05-22 | 南京联成科技发展股份有限公司 | 一种工业控制系统的入侵检测方法 |
Non-Patent Citations (3)
| Title |
|---|
| 冯帆等: "基于智能代理和攻击树的自动攻击系统研究", 《信息网络安全》 * |
| 王永杰等: "一种网络攻击流量生成器的设计与实现", 《计算机科学》 * |
| 郭志民等: "电力工控系统网络入侵和攻击典型模型研究", 《信息技术与网络安全》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660265A (zh) * | 2021-08-16 | 2021-11-16 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN113660265B (zh) * | 2021-08-16 | 2022-11-29 | 北京天融信网络安全技术有限公司 | 一种网络攻击测试方法、装置、电子设备及存储介质 |
| CN114157461A (zh) * | 2021-11-22 | 2022-03-08 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114157461B (zh) * | 2021-11-22 | 2023-08-01 | 绿盟科技集团股份有限公司 | 工控协议数据流处理方法、装置、设备及存储介质 |
| CN114265360A (zh) * | 2021-12-28 | 2022-04-01 | 四川启睿克科技有限公司 | 工控系统网络安全试验箱及模糊测试方法、攻击演示方法 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、系统及网络安全测试系统 |
| CN117749648A (zh) * | 2024-01-23 | 2024-03-22 | 长扬科技(北京)股份有限公司 | 工控流量审计方法及装置 |
| CN117749648B (zh) * | 2024-01-23 | 2024-06-04 | 长扬科技(北京)股份有限公司 | 工控流量审计方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112422557B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112422557A (zh) | 一种工控网络的攻击测试方法及装置 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US20130212639A1 (en) | Method, System And Apparatus For Improving Security Level Of A Terminal When Surfing Internet | |
| CN111813701B (zh) | 基于http的接口测试方法、装置、计算机设备及存储介质 | |
| CN103152365A (zh) | 对数据进行验证的数据验证方法及服务器 | |
| CN104301161A (zh) | 业务质量指标的计算方法、计算装置以及通信系统 | |
| CN102123058A (zh) | 一种对网络协议解码器进行测试的测试设备和方法 | |
| CN110602056A (zh) | 一种业务参数传递方法及装置 | |
| CN104301875A (zh) | 短消息处理方法和装置 | |
| CN102946396B (zh) | 用户代理装置、宿主网站服务器和用户认证方法 | |
| CN112804263A (zh) | 一种面向物联网的漏洞扫描方法、系统及设备 | |
| CN109558148B (zh) | 路由器的插件安装方法、装置、设备及存储介质 | |
| CN107360189A (zh) | 突破Web防护的漏洞扫描方法及装置 | |
| CN104462242B (zh) | 网页回流量统计方法及装置 | |
| CN113360300A (zh) | 接口调用链路生成方法、装置、设备及可读存储介质 | |
| CN113220481A (zh) | 请求处理及反馈方法、装置、计算机设备及可读存储介质 | |
| CN110445658B (zh) | 一种报文处理方法及系统 | |
| CN111935767A (zh) | 一种网络仿真系统 | |
| RU83145U1 (ru) | Устройство обнаружения вирусных воздействий на информационные системы | |
| CN110177096A (zh) | 客户端认证方法、装置、介质和计算设备 | |
| CN108306937B (zh) | 短信验证码的发送方法、获取方法、服务器及存储介质 | |
| CN102946397B (zh) | 用户认证方法及系统 | |
| CN114706778A (zh) | 云服务api的模糊测试方法和装置 | |
| CN114254218A (zh) | 一种外链访问加速方法、装置及计算机存储介质 | |
| CN112783451A (zh) | 一种基于拦截器的耗时异常分析的方法及系统、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |