CN112448963A - 分析自动攻击工业资产的方法、装置、设备及存储介质 - Google Patents
分析自动攻击工业资产的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112448963A CN112448963A CN202110132953.3A CN202110132953A CN112448963A CN 112448963 A CN112448963 A CN 112448963A CN 202110132953 A CN202110132953 A CN 202110132953A CN 112448963 A CN112448963 A CN 112448963A
- Authority
- CN
- China
- Prior art keywords
- asset
- attack
- industrial
- analyzing
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种分析自动攻击工业资产的方法、装置、设备及存储介质,其中,所述分析自动攻击工业资产的方法,包括:策略配置阶段;知识库构建阶段;流量分析阶段;资产识别与管理阶段;自动攻击阶段。目的是为了解决网络环境中,无法精准自动的对网络空间的工业资产进行攻击的问题。
Description
技术领域
本发明涉及网络安全技术领域,主要指一种分析自动攻击工业资产的方法、装置、设备及存储介质,尤指一种基于流量分析自动攻击工业资产的方法、装置、设备及存储介质。
背景技术
随着“互联网+”和“网络空间战”等国家战略的布局和实施,我国以工业互联网为特征和目标的国家基础设施数字化步伐不断加大,越来越多的工控设备暴露到互联网上,一旦被黑客发现利用将会造成不可估量的后果,国家工控基础设施安全问题变得尤为突出。实时掌握网络空间资产信息,并能自动化精准攻击,在网络空间战中变得尤为重要,市面上存在资产扫描探测系统和资产攻击系统,暂未出现将资产识别与自动攻击结合在一起的技术及系统。
现有技术的资产扫描探测系统和资产攻击系统存在如下缺陷:
1)系统不能精确识别分析工业资产属性,包括ip地址、操作系统、资产厂商、资产类型、资产型号、资产漏洞、资产可信度等属性信息。
2)无法识别工业资产中的蜜罐系统、仿真器、模拟器等虚拟服务,工业资产攻击效果不佳。
3)不能根据配置的策略进行自动化的攻击工业资产。
4)不能通过主被动相结合的方式,对流量进行分析,识别工业资产。
发明内容
本发明实施例提供了一种分析自动攻击工业资产的方法、装置、设备及存储介质,目的是为了解决网络环境中,无法精准自动的对网络空间的工业资产进行攻击的问题。
本发明实施例提供了一种分析自动攻击工业资产的方法,包括:
策略配置阶段;
知识库构建阶段;
流量分析阶段;
资产识别与管理阶段;
自动攻击阶段。
进一步的,所述策略配置阶段的方法,包括如下步骤:
设置攻击范围;
确定攻击目标;
设置攻击频率。
进一步的,所述知识库构建阶段的方法,包括:
构建ip地理位置属性库;
构建资产指纹库;
构建资产漏洞库;
构建资产攻击脚本库。
进一步的,所述流量分析阶段的方法,包括:
当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析;
基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善。
进一步的,所述资产识别与管理阶段的方法,包括:
基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产;
如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析。
进一步的,所述自动攻击阶段的方法,包括:
首先基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表;
其次根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击;
最后对攻击结果进行保存。
本发明实施例还提供一种分析自动攻击工业资产的装置,包括:
配置模块,用于执行策略配置阶段;还用于设置攻击范围;用于确定攻击目标;用于设置攻击频率;
构建模块,用于执行知识库构建阶段;还用于构建ip地理位置属性库;用于构建资产指纹库;用于构建资产漏洞库;用于构建资产攻击脚本库;
分析模块,用于执行流量分析阶段;还用于当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析;用于基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善;
管理模块,用于执行资产识别与管理阶段;还用于基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产;用于如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析;
攻击模块,用于执行自动攻击阶段;还用于基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表;用于根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击;用于对攻击结果进行保存。
本发明实施例还提供一种分析自动攻击工业资产的设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述分析自动攻击工业资产的方法。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行所述分析自动攻击工业资产的方法。
本发明实施例,其方法包括:策略配置阶段;知识库构建阶段;流量分析阶段;资产识别与管理阶段;自动攻击阶段。由此能够基于被动流量分析和主动扫描探测相结合的方式,对工业资产的属性分析更加全面,对工业资产的识别更加精准,其中资产属性包括厂商、类型、型号;有效识别工业环境中的工控蜜罐、仿真器、模拟器等虚拟工业资产,提高攻击目标的准确性;基于攻击脚本与工业资产映射关系,结合事先配置的攻击策略,精准自动化攻击工业资产。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
图1是本发明实施例的所述分析自动攻击工业资产的方法的整体流程图;
图2是本发明实施例的所述策略配置阶段的方法的流程图;
图3是本发明实施例的所述知识库构建阶段的方法的流程图;
图4是本发明实施例的所述流量分析阶段的方法的流程图;
图5是本发明实施例的所述资产识别与管理阶段的方法的流程图;
图6是本发明实施例的所述自动攻击阶段的方法的流程图;
图7是本发明实施例的分析自动攻击工业资产的装置的结构图。
具体实施方式
下文中将结合附图对本发明的实施例进行详细说明。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
随着工业互联网的发展,工业网络安全变得尤为重要,工业控制系统及设备做为国家关键基础设施,一旦被黑客利用及攻击,将对国家及人民造成不可估量的损失与后果,为了提高我国网络空间作战能力,急需一种基于流量分析自动精准攻击工业资产的方法及系统,该方法及系统主要包括策略配置、知识库配置、主被动流量分析、资产识别与管理和自动攻击核心模块与流程,解决了现有技术中对资产识别不准确、不能自动根据自定义配置的策略攻击工业资产的问题,采取该方法达到了精准识别工业资产并进行自动攻击资产的效果。
针对上述情况,如图1所示,本发明实施例提出一种分析自动攻击工业资产的方法,本发明实施例解决了现有技术中出现的工业资产无法准确识别、无法通过主动方式或者被动方式对资产流量进行分析,无法基于策略自动化对工业资产进行攻击的问题。通过该方法主要解决了自动化精准攻击工业资产的问题,该方法主要包含策略配置、知识库构建、流量分析、资产识别与管理、自动攻击等主要步骤,其具体包括:
步骤101,策略配置阶段。
其中,通过策略配置阶段,确定攻击地理区域、攻击资产的类型及攻击资产的时间频率,另外,如图2所示,在一个实施例中,所述策略配置阶段的方法,包括如下步骤:
步骤201,设置攻击范围。
其中,所述设置攻击范围可以为:如果该设备部署在局域网,攻击范围则对局域网所有工业资产进行攻击,如果该设备部署在城域网,攻击范围可以选择国家、省份、城市,如对某个国家某个城市的工业资产设备进行攻击。
步骤202,确定攻击目标。
其中,所述确定攻击目标可以为:设置对何种类型和型号的工业资产进行攻击,工业资产的类型包括,plc、rtu、hmi、scada等,工业资产的型号包括西门子s7-300、s7-1200,施耐德m340和m580等。
步骤203,设置攻击频率。
其中,所述设置攻击频率可以包括在什么时间段对工业资产进行攻击,还包括攻击次数、攻击周期等参数。
这样,策略配置阶段的作用是为了限制攻击目标和范围,更精准的攻击工业资产。
步骤102,知识库构建阶段。
其中,如图3所示,在一个实施例中,所述知识库构建阶段的方法,包括:
步骤301,构建ip地理位置属性库。
其中,所述ip地理位置属性库包括ip所属的国家、省份、城市和区县等信息。这里的所述ip为工业资产的基本属性,即工业资产的ip。
步骤302,构建资产指纹库。
其中,所述资产指纹库包括被动流量分析指纹库和主动探测资产识别指纹库,这里,主动探测资产识别指纹库以西门s7-1500举例,只要以s7协议规约探测资产响应报文有6ES7 5字符串则识别是西门子s7-1500 plc设备,如下所示:
<fg ics="1" md="S7-1500" pt="S7" tp="plc" vd="西门子">
<dt>6ES7 5.</dt>
</fg>
而所述被动流量分析指纹库以s7协议举例,只要通信端口为102,且流量s7应用协议特征载荷关键字包含02F08032则识别为使用了s7通信协议的西门子plc设备,如下所示:
<fg ics="1" port="102" pt="S7" tp="plc" vd="西门子">
<payload>02F08032</payload>
</fg>。
所述资产指纹库包括设备流量指纹特征、指纹特征对应的资产厂商、资产类型、资产型号等属性。被动流量分析指纹库内容包括资产流量使用的协议名称、流量使用的传输端口、流量中资产特征载荷关键字等。主动探测资产识别指纹库内容包括,资产厂商、类型、型号以及资产特征载荷关键字等。
步骤303,构建资产漏洞库。
其中,所述资产漏洞库包括工业资产的资产厂商、资产型号、资产漏洞名称、漏洞级别、漏洞影响、漏洞发现时间、漏洞来源等基本属性。
步骤304,构建资产攻击脚本库。
其中,所述资产攻击脚本库包括工业资产的资产厂商、资产型号、资产固件版本、资产漏洞名称、该漏洞影响哪些型号及版本的产品、针对某资产厂商及型号等关键字对应的漏洞利用脚本等属性。
这样构建如ip地理位置属性库、工业资产漏洞库、工业资产指纹库和资产攻击脚本库,为后面流量分析与资产识别做准备。
步骤103,流量分析阶段。
其中,流量分析阶段主要分为被动流量分析和主动扫描探测分析,即根据网络环境不同,如果对局域网进行资产攻击、如果能够获取到局域网镜像流量,则可以先进行被动流量下的资产分析,即被动流量分析,并进行主动扫描探测分析,以此对资产属性进行完善,丰富资产属性。如图4所示,在一个实施例中,所述流量分析阶段的方法,包括:
步骤401,当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析。
其中,对所有的镜像流量进行采集分析主要对工业资产的网络层、传输层、应用层的数据进行深度解析,包括解析出工业资产的源ip、目的ip、源mac、目的mac、源端口、目的端口、应用层协议名称、应用层指纹特征属性、源目的mac的生产厂商。
步骤402,基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机网段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善
其中,举例说明,1.基于被动流量识别出资产1:192.168.10.;2,资产2:192.168.10.;3,资产3:172.16.1.2等资产,则可运用子网掩码如掩码16,对网络环境中的资产使用的网段进行梳理,基于以上资产,则可梳理出192.168.x.x和172.16.x.x网段的资产,接下来的主动扫描探测,则可以对以上2个网段的资产进行全网探测扫描。
其中,步骤402具体为:基于被动流量梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段所有地址进行主动资产探测扫描,结合资产探测插件和资产指纹库,对主动探测流量报文深度分析识别工业资产属性,并完善被动流量分析出的工业资产属性。
这样通过主动扫描探测分析或者被动流量分析并结合资产识别的方法对网络流量中的工业资产进行识别,分析出工业资产基本属性信息,有效排出工业蜜罐、仿真器、模拟器等非工业资产的干扰。
步骤104,资产识别与管理阶段。
其中,如图5所示,在一个实施例中,所述资产识别与管理阶段的方法,包括:
步骤501,基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产。
其中,基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对蜜罐、仿真器、模拟器等资产进行识别,具体包括资产使用的操作系统、资产使用的mac厂商、资产探测应答报文、资产地理属性等方式综合分析,确定资产的可信度,判断该资产是否为真实的工业资产。可信度值满分为1-5分,分数越高,表示真实工业资产准确度越精准。可信度可以判断该资产是否为真实的工业资产。举例说明:从资产使用的操作系统(1分)、资产mac地址生产厂商(1分)、资产应答报文特征(2分)、资产网络地理属性等属性(1分),通过扣分机制对蜜罐、仿真模拟器进行可信度分值评判,比如不满足则扣除1分。最终得分越高,则为真实资产,反之则为蜜罐、仿真模拟器的可能越大。能够说明:通常如西门子s7-300plc,通常使用vxworks嵌入式操作系统、硬件mac生产厂商为西门子、支持高交互的协议报文应答、设备不会部署在如阿里云等云运营商商,当采用资产识别,获取的信息与以上相反,则进行扣分,来判断真实资产的可信度。
步骤502,如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析。
其中,对该真实的工业资产属性进行深度解析(如施耐德plc资产,该资产通常使用modbus协议进行通信,按照该协议规约通过构造modbus协议2B资产识别指令,发往施耐德plc资产,根据对应的响应报文,即可获取到厂商、型号、固件版本等属性)的内容,包括该真实的工业资产的资产厂商、资产类型、资产型号、资产所在地理位置等属性,为自动攻击资产阶段做准备。
步骤105,自动攻击阶段。
其中,如图6所示,所述自动攻击阶段的方法,包括:
步骤601,首先基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表。基于前期分析出资产的属性如厂商、型号、固件版本等重要信息做为检索关联条件,从资产构建脚本库的厂商、型号、固件版本等属性字段进行关联,获取到对应的攻击脚本文件。
其中,所述资产与攻击脚本映射表主要包括资产名称、资产厂商、资产型号、版本、该资产存在的漏洞、以及漏洞对应的攻击利用脚本等信息。
步骤602,其次根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击(事先配置的策略,主要包括,对哪些厂商、哪些型号的设备进行攻击,后续通过资产识别分析出的资产属性和对应的漏洞利用攻击脚本进行关联批量攻击)。
步骤603,最后对攻击结果进行保存。
其中,所述对攻击结果进行保存的内容包括攻击成功、攻击失败、攻击次数等信息,便于后续统计分析。
这样就能根据资产信息与资产攻击脚本库建立映射关系,结合事先配置的策略,利用攻击脚本对工业资产进行自动攻击。
综上所述,本发明实施例的方法通过被动流量镜像分析和主动扫描探测相结合的方式,对网络空间工业资产进行识别,并结合事先配置的策略进行自动攻击工业资产,能达到如下技术效果:
1)该方法结合事先已配置策略,有效精准批量自动攻击工业资产。
2)该方法通过主被动流量分析方式,对非工业资产进行有效识别,包括识别工业蜜罐、工业仿真器、工业模拟器等资产。
3)该方法通过主被动流量分析方式,对工业资产属性进行深度解析,包括资产地理位置、资产厂商、资产类型、资产型号、资产漏洞等信息,提高了资产识别准确度。
如图7所示,本发明实施例还提供一种分析自动攻击工业资产的装置,包括:
配置模块71,用于执行策略配置阶段;还用于设置攻击范围;用于确定攻击目标;用于设置攻击频率;
构建模块72,用于执行知识库构建阶段;还用于构建ip地理位置属性库;用于构建资产指纹库;用于构建资产漏洞库;用于构建资产攻击脚本库;
分析模块73,用于执行流量分析阶段;还用于当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析;用于基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善;
管理模块74,用于执行资产识别与管理阶段;还用于基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产;用于如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析;
攻击模块75,用于执行自动攻击阶段;还用于基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表;用于根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击;用于对攻击结果进行保存。
本发明实施例的装置采用被动流量与主动流量相结合的分析方式,对工业资产进行精确识别,有效识别出真实工业资产的基本属性,包括ip、mac、操作系统、资产厂商、资产类型、资产型号、资产地理位置等,提高自动精准攻击工业资产的成功率;该装置能够有效识别非真实工业资产包括蜜罐设备、模拟器、仿真器等,有效提高识别工业资产的准确率;该装置基于攻击策略配置,能够对攻击次数、攻击周期、攻击目标类型、攻击范围进行灵活配置管理;目前现有技术中还没有这样的装置。
本发明实施例还提供一种分析自动攻击工业资产的设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述分析自动攻击工业资产的方法。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行所述分析自动攻击工业资产的方法。
在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,ReadOnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号。
Claims (9)
1.一种分析自动攻击工业资产的方法,其特征在于,包括:
策略配置阶段;
知识库构建阶段;
流量分析阶段;
资产识别与管理阶段;
自动攻击阶段。
2.根据权利要求1所述的分析自动攻击工业资产的方法,其特征在于,所述策略配置阶段的方法,包括如下步骤:
设置攻击范围;
确定攻击目标;
设置攻击频率。
3.根据权利要求1所述的分析自动攻击工业资产的方法,其特征在于,所述知识库构建阶段的方法,包括:
构建ip地理位置属性库;
构建资产指纹库;
构建资产漏洞库;
构建资产攻击脚本库。
4.根据权利要求1所述的分析自动攻击工业资产的方法,其特征在于,所述流量分析阶段的方法,包括:
当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析;
基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善。
5.根据权利要求2所述的分析自动攻击工业资产的方法,其特征在于,所述资产识别与管理阶段的方法,包括:
基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产;
如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析。
6.根据权利要求1所述的分析自动攻击工业资产的方法,其特征在于,所述自动攻击阶段的方法,包括:
首先基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表;
其次根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击;
最后对攻击结果进行保存。
7.一种分析自动攻击工业资产的装置,其特征在于,包括:
配置模块,用于执行策略配置阶段;还用于设置攻击范围;用于确定攻击目标;用于设置攻击频率;
构建模块,用于执行知识库构建阶段;还用于构建ip地理位置属性库;用于构建资产指纹库;用于构建资产漏洞库;用于构建资产攻击脚本库;
分析模块,用于执行流量分析阶段;还用于当工业资产所部署的环境能够进行镜像流量时,对所有的镜像流量进行采集分析;用于基于被动流量分析梳理出逻辑网络拓扑,并按子网掩码对主机段进行划分,根据划分的主机段地址进行主动发包资产探测,从资产探测报文中分析工业资产属性,并对被动流量分析出的工业资产属性进行完善;
管理模块,用于执行资产识别与管理阶段;还用于基于被动流量分析出的资产属性和主动发包资产探测完善后的资产属性,并结合资产指纹库采用特征匹配方式对资产进行识别,判断该资产是否为真实的工业资产;用于如果是真实的工业资产,则结合资产指纹库,对该真实的工业资产属性进行深度解析;
攻击模块,用于执行自动攻击阶段;还用于基于资产识别分析的结果与资产攻击脚本库建立资产与攻击脚本映射表;用于根据事先配置的策略,结合任务调度与管理,以后台程序运行方式,对指定资产通过漏洞利用方式来批量执行漏洞攻击利用脚本,进行自动攻击;用于对攻击结果进行保存。
8.一种分析自动攻击工业资产的设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~6中任意一项所述分析自动攻击工业资产的方法。
9.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1~6中任意一项所述分析自动攻击工业资产的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110132953.3A CN112448963A (zh) | 2021-02-01 | 2021-02-01 | 分析自动攻击工业资产的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110132953.3A CN112448963A (zh) | 2021-02-01 | 2021-02-01 | 分析自动攻击工业资产的方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112448963A true CN112448963A (zh) | 2021-03-05 |
Family
ID=74739753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110132953.3A Pending CN112448963A (zh) | 2021-02-01 | 2021-02-01 | 分析自动攻击工业资产的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112448963A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676459A (zh) * | 2021-07-28 | 2021-11-19 | 中国石油化工股份有限公司 | 一种实时的工控被动识别罗克韦尔设备的方法 |
| CN114301840A (zh) * | 2021-12-16 | 2022-04-08 | 山石网科通信技术股份有限公司 | 地理信息库的加载方法、装置及电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3196716A1 (en) * | 2016-01-22 | 2017-07-26 | Rockwell Automation Technologies, Inc. | Model-based security policy configuration and enforcement in an industrial automation system |
| US20170221011A1 (en) * | 2016-02-01 | 2017-08-03 | General Electric Company | System, method, and machine-readable medium for managing network-connected industrial assets |
| CN110430080A (zh) * | 2019-08-07 | 2019-11-08 | 国家计算机网络与信息安全管理中心 | 网络拓扑探测方法及装置 |
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN111881452A (zh) * | 2020-07-17 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种面向工控设备的安全测试系统及其工作方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
-
2021
- 2021-02-01 CN CN202110132953.3A patent/CN112448963A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3196716A1 (en) * | 2016-01-22 | 2017-07-26 | Rockwell Automation Technologies, Inc. | Model-based security policy configuration and enforcement in an industrial automation system |
| US20170221011A1 (en) * | 2016-02-01 | 2017-08-03 | General Electric Company | System, method, and machine-readable medium for managing network-connected industrial assets |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN110430080A (zh) * | 2019-08-07 | 2019-11-08 | 国家计算机网络与信息安全管理中心 | 网络拓扑探测方法及装置 |
| CN110474906A (zh) * | 2019-08-16 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 基于闭环反馈的主被动结合网络空间目标深度挖掘技术 |
| CN111427336A (zh) * | 2020-05-08 | 2020-07-17 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统的漏洞扫描方法、装置及设备 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN111881452A (zh) * | 2020-07-17 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种面向工控设备的安全测试系统及其工作方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113676459A (zh) * | 2021-07-28 | 2021-11-19 | 中国石油化工股份有限公司 | 一种实时的工控被动识别罗克韦尔设备的方法 |
| CN114301840A (zh) * | 2021-12-16 | 2022-04-08 | 山石网科通信技术股份有限公司 | 地理信息库的加载方法、装置及电子设备 |
| CN114301840B (zh) * | 2021-12-16 | 2024-02-13 | 山石网科通信技术股份有限公司 | 地理信息库的加载方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN109257326B (zh) | 防御数据流攻击的方法、装置和存储介质及电子设备 | |
| US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
| CN109344624B (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| US20110093786A1 (en) | Geographical vulnerability mitgation response mapping system | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN111901317B (zh) | 一种访问控制策略处理方法、系统和设备 | |
| CN112241439A (zh) | 一种攻击组织发现方法、装置、介质和设备 | |
| CN112671887A (zh) | 一种资产识别方法、装置、电子设备及计算机存储介质 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
| CN111355740A (zh) | 一种快速便捷检测防火墙配置的方法 | |
| CN111193731A (zh) | 网络靶场场景描述文件的生成方法和装置 | |
| CN113904910A (zh) | 一种基于运维系统的智能资产发现方法及装置 | |
| CN115826444A (zh) | 基于dns解析的安全访问控制方法、系统、装置及设备 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| CN109587121B (zh) | 安全策略的管控方法及装置 | |
| CN106506553A (zh) | 一种网际协议ip过滤方法及系统 | |
| CN114070624B (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| CN112688899A (zh) | 云内安全威胁检测方法、装置、计算设备及存储介质 | |
| CN111541675B (zh) | 一种基于白名单的网络安全防护方法、装置及设备 | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN114039778A (zh) | 一种请求处理方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210305 |
|
| RJ01 | Rejection of invention patent application after publication |