CN113836539A - 基于精准测试的电力工控系统漏洞全流程处置系统及方法 - Google Patents
基于精准测试的电力工控系统漏洞全流程处置系统及方法 Download PDFInfo
- Publication number
- CN113836539A CN113836539A CN202111019963.2A CN202111019963A CN113836539A CN 113836539 A CN113836539 A CN 113836539A CN 202111019963 A CN202111019963 A CN 202111019963A CN 113836539 A CN113836539 A CN 113836539A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- detection
- power engineering
- industrial control
- bug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012360 testing method Methods 0.000 title claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 116
- 238000005516 engineering process Methods 0.000 claims abstract description 15
- 230000008439 repair process Effects 0.000 claims abstract description 11
- 238000012937 correction Methods 0.000 claims description 11
- 238000003780 insertion Methods 0.000 claims description 10
- 230000037431 insertion Effects 0.000 claims description 10
- 238000005111 flow chemistry technique Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000005065 mining Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000011156 evaluation Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013075 data extraction Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000013210 evaluation model Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种基于精准测试的电力工控系统漏洞全流程处置系统及方法,包括:设备漏洞指纹库,由通过互联网持续采集的电力工控系统的指纹信息及电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令构成,其中,指纹信息与设备漏洞建立有关联性;指纹信息采集模块,用于采用massan技术和whatweb技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与指纹漏洞库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,则对该工控系统漏洞风险进行漏洞检测;漏洞检测模块,以及漏洞修复模块。以解决现有技术中检测效率低、检测的时间长、消耗带宽大、检测准确率低等问题。
Description
技术领域
本发明涉及工控安全技术领域,尤其涉及一种基于精准测试的电力工控系统漏洞全流程处置系统及方法,包括工控资产指纹识别、工控漏洞检测和工控漏洞修复。
背景技术
当前,国际网络安全形势日益严峻。电力作为关乎国计民生的重要基础设施,一直以来都是网络攻击的重点目标。如果发生黑客攻击造成的大面积停电事故,将造成巨大经济损失。电力工控系统漏洞入侵是黑客攻击电力等大型企业的一种重要的手段。
电力工业控制系统简称工控系统,它是通过计算机或者总线对机床或者传感器进行控制的系统,工业控制系统是独立局域网,整体密封度较好。但是由于工业控制的运算能力要求较低,导致工业控制系统出厂时的版本都比家用系统低,而且工业控制系统不与外界互联网连通,导致设备的补丁未能及时更新,这也直接造成了工业控制系统在使用过程中经常出现漏洞。
为了克服以上问题,现有技术有提出一些解决方案,如现有公开文献,CN202010926215.1-一种fuzzing工控协议漏洞挖掘系统,一种基于图卷积神经网络的fuzzing工控协议漏洞挖掘系统,包括测试用例生成模块、测试用例评价模块和攻击测试模块;所述测试用例生成模块用于生成测试用例;所述测试用例评价模块对测试用例进行归一化处理后,导入基于图卷积神经网络创建的测试用例评估模型,对测试用例的漏洞触发能力进行评估,输出漏洞触发能力满足预设最低能力阈值的测试用例;所述攻击测试模块用于将测试用例评价模块输出的测试用例发送至目标应用,对目标应用的状态进行监控,并将测试用例和对应的监控结果反哺至测试用例评估模型。虽然解决了现有的工控系统漏洞扫描中白盒测试和灰盒测试存在代码获取困难且难以安装调试器问题,但它在实际使用中仍存在以下弊端:
1、工业控制设备存在底层架构差异大、通信方式多样、专有协议较多等特点,这些特点也直接导致上述漏洞挖掘方案不能完全应用在工业控制领域的环境中。导致很大程度上传统的模糊测试方法过于依赖于测试人员现有的经验及技术,某些特定情况下过于依赖测试人员现有的经验及技术,某些特定情况下扔存在很多不足,如测试效率低、测试用例高度冗余、测试覆盖率低一级测试不充分等问题。
2、现有的工控系统漏洞挖掘采用fuzzing测试技术,需要对系统输入大量的数据,没有针对性的对工控系统进行精准测试,造成工控系统带宽过高,测试时间长,漏洞检测准确率低等问题。
3、现有的工控系统漏洞并未对工控资产指纹进行收集,不便于运维人员对资产漏洞进行运维,无法做到工控系统的漏洞管理、跟踪修复等问题。
发明内容
本发明针对现有技术存在的缺陷和不足,提出一种基于精准测试的电力工控系统漏洞全流程处置系统及方法,包括工控资产指纹识别、工控漏洞检测和工控漏洞修复等技术内容,以解决现有技术中检测效率低、检测的时间长、消耗带宽大、检测准确率低,而且无法做到工控系统的漏洞管理、跟踪修复等问题。
其具体包括以下技术内容:
一种基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于,包括:设备漏洞指纹库,由通过互联网持续采集的电力工控系统的指纹信息及电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令构成,其中,指纹信息与设备漏洞建立有关联性;
指纹信息采集模块,用于采用massan技术和whatweb 技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与指纹漏洞库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,则对该工控系统漏洞风险进行漏洞检测;
漏洞检测模块,以及漏洞修复模块。
进一步地,所述漏洞检测模块用于获取电力工控系统的数据,检测装置生成标准状态表单和标准的运行数据,在标准状态表单和标准的运行数据生成之后,存储标准状态表单和标准的运行数据,之后启动漏洞检测,其中,所述漏洞检测针对设备漏洞指纹库中匹配到的漏洞进行。
进一步地,所述标准状态表单通过图片的格式进行存储;所述漏洞检测的方法包括通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测。
进一步地,通过比对表单进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,将生成的实时表单与标准状态表单进行差异比对,判断表单的差异程度是否超过阈值,如果是则判定存在漏洞,进行下一步的漏洞修复环节;否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
进一步地,通过运行数据比对进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,检测运行数据是否发生变化,如果是则判定为存在疑似漏洞,则进行下一步的疑似漏洞的认定,否则判定为不存在漏洞,则继续下一次漏洞检测。
进一步地,所述疑似漏洞认定的方法包括:存储疑似漏洞的随机序列和返回的数据包,并发送至后台中心,以进一步判断是否存在基于该随机序列和该返回的数据包的漏洞,如果是则判定为漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
进一步地,所述漏洞修复模块用于发送修正代码给工控系统,以替代存在漏洞的原有代码。
一种基于精准测试的电力工控系统漏洞全流程处置方法,其特征在于,包括以下步骤:
步骤S1:通过互联网持续采集的电力工控系统的指纹信息及电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令,构建设备漏洞指纹库;并将指纹信息与设备漏洞建立关联;
步骤S2:采用massan技术和whatweb 技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与指纹漏洞库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,则对该工控系统漏洞风险进行漏洞检测;
步骤S3:获取电力工控系统的数据,检测装置生成标准状态表单和标准的运行数据,在标准状态表单和标准的运行数据生成之后,存储标准状态表单和标准的运行数据,之后启动漏洞检测,其中,所述漏洞检测针对设备漏洞指纹库中匹配到的漏洞进行;
步骤S4:对于检测确定的漏洞,发送修正代码给工控系统,以替代存在漏洞的原有代码。
进一步地,在步骤S3中,所述漏洞检测的方法包括通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测:
所述通过比对表单进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,将生成的实时表单与标准状态表单进行差异比对,判断表单的差异程度是否超过阈值,如果是则判定存在漏洞,进行下一步的漏洞修复环节;否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单;
所述通过运行数据比对进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,检测运行数据是否发生变化,如果是则判定为存在疑似漏洞,则进行下一步的疑似漏洞的认定,否则判定为不存在漏洞,则继续下一次漏洞检测;
所述疑似漏洞认定的方法包括:存储疑似漏洞的随机序列和返回的数据包,并发送至后台中心,以进一步判断是否存在基于该随机序列和该返回的数据包的漏洞,如果是则判定为漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
进一步地,所述将随机序列插入指令生成的数据包具体为:在正常输入数据流的第N行增加随机数,N与随机数均根据时间节点进行选择以达到在一定时间段内能够检测工控系统;将生成的实时表单与标准状态表单进行差异比对的具体方法为:进行SIFT特征点识别生成差异列表,根据差异列表分析出差异点,判断表单的差异程度是否超过阈值。
本发明及其优选方案具有以下有益效果:通过对工控系统的指纹进行收集,并与设备漏洞指纹库进行比对,从原先的模糊检测修复漏洞变为精准检测漏洞,同时通过状态表单和运行数据同时进行精准测试,使得漏洞的发现时间更短,消耗带宽更少,检测更准确,同时能对工控系统的漏洞管理、跟踪修复。
附图说明
下面结合附图和具体实施方式对本发明进一步详细的说明:
图1为本发明实施例基于精准测试的工控系统指纹识别方法的流程图;
图2为本发明实施例基于精准测试的工控系统漏洞挖掘方法的流程图;
图3为本发明实施例中通过比对表单进行漏洞检测的方法的流程图;
图4为本发明实施例中通过运行数据比对进行漏洞检测的方法的流程图;
图5为本发明实施例中疑似漏洞认定的方法的流程图;
图6为本发明实施例漏洞修复方法的流程图;
图7为本发明实施例基于精准测试的工控系统漏洞挖掘装置的结构示意图。
图中,701-设备连接模块,702-数据获取模块,703-标准信息生成模块,704-信息存储模块,705-漏洞检测模块,706-数据提取模块。707-设备漏洞指纹库,706-数据对比模块。
具体实施方式
为让本专利的特征和优点能更明显易懂,下文特举实施例,并配合附图,作详细说明如下:
在此需要说明的是,对于这些实施方式的说明用于帮助理解本发明,但并不构成对本发明的限定。此外,下面所描述的本发明各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。
作为本发明的第一实施例,提出一种工控资产指纹识别方法,如图1所示,包括:首先创建设备漏洞指纹库。通过数据爬虫、流量探针等工具从互联网搜索引擎、第三方数据提供商、各类文库、网盘、信息托管网站等各类接口持续采集相关工控系统的指纹信息,不断的统计与更新电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令等方面的词汇,把指纹信息与设备漏洞建立联系,并形成设备漏洞指纹库;其次采用massan技术和whatweb技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与设备漏洞指纹库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,将有针对性的对该漏洞风险进行漏洞检测;
作为本发明的第二实施例,提出一种基于精准测试的工控系统漏洞挖掘方法,如图2所示,包括:首先在工控系统稳定运行之后,将检测装置连接上工控系统(步骤S1),本实施例中采用带有数据传输接口的检测装置,例如带有检测软件的PC主机;检测装置通过数据线缆连接至工控系统的主机的数据接口上。在检测装置连接上工控系统之后检测装置启动,调用工控系统的数据(步骤S2),检测装置将调取的工控系统中的数据分别生成为标准状态表单和标准的运行数据(步骤S3),将标准状态表单转化为曲线图或者柱状图,方便观察区别;在标准状态表单和标准的运行数据生成之后,将标准状态表单和标准的运行数据进行存储(步骤S4),其中,转化为曲线图的标准状态表单以图片的格式进行存储,存储精度为400dpi的分辨率,2500*2500的像素尺寸,使得存储的标准状态表单能够清晰可见,同时可以进行SIFT特征点识别;标准的运行数据则以数据包的方式进行存储,以16字节的物理页为最小单位进行顺序存储;在存储之后检测装置启动基于精准测试的漏洞检测(步骤S5),如果检测发现存在漏洞,将进行下一步的漏洞修复环节(步骤S5),如果检测未发现存在漏洞,则并将该工控设备加入漏洞检测白名单。
其中,检测装置启动基于精准测试的漏洞检测的方法包括了通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测,上述两种漏洞检测方式同步进行,也就是在同一时间段时,生成的随机序列同时作用于状态表单和运行数据。如图3所示,通过比对表单进行漏洞检测的方法包括:检测装置首先生成随机序列(步骤S501),例如随机序列为16位的随机数,在正常输入数据流的第N行增加一该随机数,N与随机数均根据时间节点来选择不同的数以达到在一定时间段内能够检测整体系统;将随机序列数据包发送至工控系统(步骤S502),之后检测装置监控实时生成的状态表单的变化,将生成的实时状态表单与标准状态表单进行差异比对(步骤S503),由于标准状态表单是通过曲线图或者柱状图形式的图片格式进行存储,因此实时状态表单也先转化为同样的曲线图或柱状图,再以图片格式进行存储,之后通过SIFT图像特征点进行比对,生成差异列表,根据差异列表分析出差异点;判断表单的差异程度是否超过阈值(步骤S504),如果是则判定存在漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,则并将该工控设备加入漏洞检测白名单。
如图4所示,通过运行数据比对进行漏洞检测的方法包括:与通过比对表单进行漏洞检测的方法一样,检测装置首先生成随机序列(步骤S511),例如随机序列为16位的随机数,在正常输入数据流的第N行增加一该随机数,N与随机数均根据时间节点来选择不同的数以达到在一定时间段内能够检测整体系统;将随机序列数据包发送至工控系统 (步骤S512),检测装置检测运行数据是否发生变化(步骤S513),如果是则判定为存在疑似漏洞(步骤S514),进行疑似漏洞的认定(步骤S515),否则判定为不存在疑似漏洞,继续下一次漏洞检测。
具体的,如图5所示,步骤S515,疑似漏洞认定的方法包括:检测装置存储疑似漏洞的随机序列和返回的数据包(步骤S5151),将随机序列和返回的数据包发送至后台中心(步骤S5152),后台中心判断是否存在基于该随机序列和该返回的数据包的漏洞(步骤S5153)后台中心可以通过人工的方式通过程序员对随机序列和返回数据包对原代码进行漏洞的人为检测,判断是否为漏洞;经过人为检测如果是则判定为漏洞,进行下一步的漏洞修复环节(步骤S5154),否则判定为不存在漏洞,则并将该工控设备加入漏洞检测白名单。
作为本发明的第二实施例,基于上述基于精准测试的工控系统漏洞挖掘方法,提出一种漏洞修复方法,如图6所示,包括:后台中心对漏洞进行分析(步骤S601),分析之后生成修正代码(步骤S602),后台中心将修正代码通过检测装置发送给工控系统(步骤S603),在后台中心将修正代码通过检测装置发送给工控系统之后,工控系统将原有代码存储在检测装置中,在确认工控系统运行正常之后再删除原有代码;工控系统使用修正代码替代原有代码(步骤S604),在工控系统使用修正代码替代原有代码之后,首先验证修正代码的可行性,通过检测装置发送随机序列数据包重新进行漏洞检测以验证修正代码的可行性。
作为本发明的第三实施例,与第二实施例中基于精准测试的工控系统漏洞挖掘方法相对应的,提出一种基于精准测试的工控系统漏洞挖掘装置,如图7所示,包括:
连接模块701:用于将检测装置连接上工控系统;数据获取模块702:用于在检测装置连接上工控系统之后检测装置获取工控系统的数据;标准信息生成模块703:用于生成标准状态表单和标准的运行数据;存储模块704:用于存储标准状态表单和标准的运行数据;漏洞检测模块705:用于启动漏洞检测;数据提取模块706:用于从数据获取模块702获取的数据中提取出工控系统对应的指纹信息;设备漏洞指纹库707:事先创建的设备漏洞指纹库;数据对比模块708:用于将采集到的数据与设备漏洞指纹库进行比对;用于存储标准状态表单和实际状态表进行比对;用于标准的运行数据与实际数据进行比对;其中,检测装置启动基于精准测试的漏洞检测的方法包括了通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测,上述两种漏洞检测方式可以同步进行,也就是在同一时间段时,生成的随机序列同时作用于状态表单和运行数据。通过比对表单进行漏洞检测的方法包括:检测装置首先生成随机序列 (步骤S501),例如随机序列为16位的随机数,在正常输入数据流的第N行增加一该随机数,N与随机数均根据时间节点来选择不同的数以达到在一定时间段内能够检测整体系统;将随机序列数据包发送至工控系统(步骤S502),之后检测装置监控实时生成的状态表单的变化,将生成的实时状态表单与标准状态表单进行差异比对(步骤S503),由于标准状态表单是通过曲线图或者柱状图形式的图片格式进行存储,因此实时状态表单也先转化为同样的曲线图或柱状图,再以图片格式进行存储,之后通过SIFT图像特征点进行比对,生成差异列表,根据差异列表分析出差异点;判断表单的差异程度是否超过阈值(步骤S504),如果是则判定存在漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,则并将该工控设备加入漏洞检测白名单。
通过运行数据比对进行漏洞检测的方法包括:与通过比对表单进行漏洞检测的方法一样,检测装置首先生成随机序列(步骤S511),例如随机序列为16位的随机数,在正常输入数据流的第N行增加一该随机数,N与随机数均根据时间节点来选择不同的数以达到在一定时间段内能够检测整体系统;将随机序列数据包发送至工控系统(步骤S512),检测装置检测运行数据是否发生变化(步骤S513),如果是则判定为存在疑似漏洞(步骤S514),进行疑似漏洞的认定(步骤S515),否则判定为不存在疑似漏洞,继续下一次漏洞检测。
具体的,疑似漏洞认定的方法包括:检测装置存储疑似漏洞的随机序列和返回的数据包(步骤S5151),将随机序列和返回的数据包发送至后台中心(步骤S5152),后台中心判断是否存在基于该随机序列和该返回的数据包的漏洞(步骤S5153)后台中心可以通过人工的方式通过程序员对随机序列和返回数据包对原代码进行漏洞的人为检测,判断是否为漏洞;经过人为检测如果是则判定为漏洞,进行下一步的漏洞修复环节(步骤S5154),否则判定为不存在漏洞,则并将该工控设备加入漏洞检测白名单。
采用上述技术方案,通过对工控系统的指纹进行收集,并与设备漏洞指纹库进行比对,从原先的模糊检测修复漏洞变为精准检测漏洞,同时通过状态表单和运行数据同时进行精准测试,使得漏洞的发现时间更短,消耗带宽更少,检测更准确。同事能对工控系统的漏洞管理、跟踪修复进行全生命周期管理管理。
以上结合附图对本发明的实施方式作了详细说明,但本发明不限于所描述的实施方式。对于本领域的技术人员而言,在不脱离本发明原理和精神的情况下,对这些实施方式进行多种变化、修改、替换和变型,仍落入本发明的保护范围内。
本实施例提供的以上系统及方法可以代码化的形式存储在计算机可读取存储介质中,并以计算机程序的方式进行实现,并通过计算机硬件输入计算所需的基本参数信息,并输出计算结果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
本专利不局限于上述最佳实施方式,任何人在本专利的启示下都可以得出其它各种形式的基于精准测试的电力工控系统漏洞全流程处置系统及方法,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本专利的涵盖范围。
Claims (10)
1.一种基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于,包括:设备漏洞指纹库,由通过互联网持续采集的电力工控系统的指纹信息及电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令构成,其中,指纹信息与设备漏洞建立有关联性;
指纹信息采集模块,用于采用massan技术和whatweb 技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与指纹漏洞库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,则对该工控系统漏洞风险进行漏洞检测;
漏洞检测模块,以及漏洞修复模块。
2.根据权利要求1所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:所述漏洞检测模块用于获取电力工控系统的数据,检测装置生成标准状态表单和标准的运行数据,在标准状态表单和标准的运行数据生成之后,存储标准状态表单和标准的运行数据,之后启动漏洞检测,其中,所述漏洞检测针对设备漏洞指纹库中匹配到的漏洞进行。
3.根据权利要求2所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:所述标准状态表单通过图片的格式进行存储;所述漏洞检测的方法包括通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测。
4.根据权利要求3所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:通过比对表单进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,将生成的实时表单与标准状态表单进行差异比对,判断表单的差异程度是否超过阈值,如果是则判定存在漏洞,进行下一步的漏洞修复环节;否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
5.根据权利要求3所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:通过运行数据比对进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,检测运行数据是否发生变化,如果是则判定为存在疑似漏洞,则进行下一步的疑似漏洞的认定,否则判定为不存在漏洞,则继续下一次漏洞检测。
6.根据权利要求5所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:所述疑似漏洞认定的方法包括:存储疑似漏洞的随机序列和返回的数据包,并发送至后台中心,以进一步判断是否存在基于该随机序列和该返回的数据包的漏洞,如果是则判定为漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
7.根据权利要求1所述的基于精准测试的电力工控系统漏洞全流程处置系统,其特征在于:所述漏洞修复模块用于发送修正代码给工控系统,以替代存在漏洞的原有代码。
8.一种基于精准测试的电力工控系统漏洞全流程处置方法,其特征在于,包括以下步骤:
步骤S1:通过互联网持续采集的电力工控系统的指纹信息及电力工控系统相关的设备型号、版本、漏洞、补丁、常用口令,构建设备漏洞指纹库;并将指纹信息与设备漏洞建立关联;
步骤S2:采用massan技术和whatweb 技术对电力工控系统进行指纹信息采集,并将采集到的指纹信息与指纹漏洞库进行进行匹配,如果没有匹配到漏洞风险,则不进行下一步的漏洞检测;如果匹配到漏洞风险,则对该工控系统漏洞风险进行漏洞检测;
步骤S3:获取电力工控系统的数据,检测装置生成标准状态表单和标准的运行数据,在标准状态表单和标准的运行数据生成之后,存储标准状态表单和标准的运行数据,之后启动漏洞检测,其中,所述漏洞检测针对设备漏洞指纹库中匹配到的漏洞进行;
步骤S4:对于检测确定的漏洞,发送修正代码给工控系统,以替代存在漏洞的原有代码。
9.根据权利要求8所述的基于精准测试的电力工控系统漏洞全流程处置方法,其特征在于:在步骤S3中,所述漏洞检测的方法包括通过比对表单进行漏洞检测和通过运行数据比对进行漏洞检测:
所述通过比对表单进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,将生成的实时表单与标准状态表单进行差异比对,判断表单的差异程度是否超过阈值,如果是则判定存在漏洞,进行下一步的漏洞修复环节;否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单;
所述通过运行数据比对进行漏洞检测的方法包括:生成随机序列,将随机序列插入指令生成的数据包发送至工控系统,检测运行数据是否发生变化,如果是则判定为存在疑似漏洞,则进行下一步的疑似漏洞的认定,否则判定为不存在漏洞,则继续下一次漏洞检测;
所述疑似漏洞认定的方法包括:存储疑似漏洞的随机序列和返回的数据包,并发送至后台中心,以进一步判断是否存在基于该随机序列和该返回的数据包的漏洞,如果是则判定为漏洞,进行下一步的漏洞修复环节,否则判定为不存在漏洞,并将该工控设备加入漏洞检测白名单。
10.根据权利要求9所述的基于精准测试的电力工控系统漏洞全流程处置方法,其特征在于:所述将随机序列插入指令生成的数据包具体为:在正常输入数据流的第N行增加随机数,N与随机数均根据时间节点进行选择以达到在一定时间段内能够检测工控系统;将生成的实时表单与标准状态表单进行差异比对的具体方法为:进行SIFT特征点识别生成差异列表,根据差异列表分析出差异点,判断表单的差异程度是否超过阈值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111019963.2A CN113836539A (zh) | 2021-09-01 | 2021-09-01 | 基于精准测试的电力工控系统漏洞全流程处置系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111019963.2A CN113836539A (zh) | 2021-09-01 | 2021-09-01 | 基于精准测试的电力工控系统漏洞全流程处置系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113836539A true CN113836539A (zh) | 2021-12-24 |
Family
ID=78961799
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111019963.2A Pending CN113836539A (zh) | 2021-09-01 | 2021-09-01 | 基于精准测试的电力工控系统漏洞全流程处置系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113836539A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277198A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控系统网络的漏洞检测方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108509797A (zh) * | 2018-02-23 | 2018-09-07 | 福州恒奥信息科技有限公司 | 基于模糊测试的工控系统漏洞挖掘方法、装置及修复方法 |
CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
WO2020210968A1 (zh) * | 2019-04-16 | 2020-10-22 | 江励 | 一种物联网连网安全控管机制操控系统 |
CN112668010A (zh) * | 2020-12-17 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 扫描工业控制系统的漏洞的方法、系统及计算设备 |
-
2021
- 2021-09-01 CN CN202111019963.2A patent/CN113836539A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108509797A (zh) * | 2018-02-23 | 2018-09-07 | 福州恒奥信息科技有限公司 | 基于模糊测试的工控系统漏洞挖掘方法、装置及修复方法 |
WO2020210968A1 (zh) * | 2019-04-16 | 2020-10-22 | 江励 | 一种物联网连网安全控管机制操控系统 |
CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
CN112668010A (zh) * | 2020-12-17 | 2021-04-16 | 哈尔滨工大天创电子有限公司 | 扫描工业控制系统的漏洞的方法、系统及计算设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277198A (zh) * | 2022-07-27 | 2022-11-01 | 西安热工研究院有限公司 | 一种工控系统网络的漏洞检测方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
CN111881452B (zh) | 一种面向工控设备的安全测试系统及其工作方法 | |
CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
CN112560045A (zh) | 应用程序漏洞检测方法、装置、计算机设备和存储介质 | |
CN112055003B (zh) | 一种基于字节长度分类的私有协议模糊测试用例生成方法 | |
CN113114680B (zh) | 用于文件上传漏洞的检测方法和检测装置 | |
CN114866358B (zh) | 一种基于知识图谱的自动化渗透测试方法及系统 | |
CN113315767A (zh) | 一种电力物联网设备安全检测系统及方法 | |
CN116383833A (zh) | 软件程序代码的测试方法及其装置、电子设备、存储介质 | |
CN113158197A (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN113836539A (zh) | 基于精准测试的电力工控系统漏洞全流程处置系统及方法 | |
KR20180060616A (ko) | Rba기반 통합 취약점 진단 방법 | |
CN111858140B (zh) | 污染物监控数据的校验方法、装置、服务器和介质 | |
CN117828605A (zh) | 系统漏洞的检测方法、装置、电子设备和存储介质 | |
CN117240522A (zh) | 基于攻击事件模型的漏洞智能挖掘方法 | |
CN114282226B (zh) | 单次多漏洞代码检测方法及系统 | |
CN113297583B (zh) | 漏洞风险分析方法、装置、设备及存储介质 | |
CN116501531B (zh) | 用于监测软件运行数据安全的软件插件配置方法和系统 | |
CN118036019B (zh) | 基于代码自动检测的漏洞定位方法及系统 | |
CN117150506B (zh) | 一种漏洞全生命周期管理运营系统及方法 | |
CN118132451B (zh) | 一种计算机操作系统自动化测试及错误诊断系统及方法 | |
CN113055396B (zh) | 一种跨终端溯源分析的方法、装置、系统和存储介质 | |
CN112541183B (zh) | 数据处理方法及装置、边缘计算设备、存储介质 | |
CN118378196B (zh) | 基于多模态数据融合的工控主机异常行为识别方法 | |
CN115941358A (zh) | 漏洞挖掘方法、装置、终端设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20211224 |