CN114338104B - 安全网关解析功能验证方法、装置、设备及存储介质 - Google Patents
安全网关解析功能验证方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114338104B CN114338104B CN202111536873.0A CN202111536873A CN114338104B CN 114338104 B CN114338104 B CN 114338104B CN 202111536873 A CN202111536873 A CN 202111536873A CN 114338104 B CN114338104 B CN 114338104B
- Authority
- CN
- China
- Prior art keywords
- function
- protocol
- verification
- security gateway
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种安全网关解析功能验证方法、装置、设备及存储介质,所述安全网关解析功能验证方法包括:获取工业环境中的通讯数据,对所述通讯数据进行逆向深度解读,得到所述通讯数据较为全面的协议完整功能,基于所述协议完整功能构建协议验证模块,通过所述协议验证模块对安全网关的解析及防御能力进行验证,以得到验证结果。本发明可全面地验证安全网关的协议解析能力,提高解析功能验证的深度与广度。
Description
技术领域
本发明涉及网关功能验证技术领域,尤其涉及一种安全网关解析功能验证方法、装置、设备及存储介质。
背景技术
在工业互联网环境中,任何脆弱性都可能威胁到整体网络,一旦脆弱性被利用,则可能带来平台服务终止、数据被篡改或丢失等问题,为保护工业控制网络的安全,安全网关随之出现,通过工业安全网关的协议解析功能对工业协议进行识别、检测等处理,从而使非正常访问业务的控制指令无法访问工业控制设备,防止恶意控制的攻击行为。
一旦工业安全网关的协议解析功能失效或者不准确,工业控制网络将存在巨大的安全威胁,甚至将损害工厂利益,危及人身安全。目前对工业安全网关的协议解析能力进行验证的方式,通常是采用工业协议模拟器对网关的解析功能进行验证。而目前常见的协议模拟器支持的协议功能极少,只提供最常见的数据读、写功能,提供的验证深度和广度支持不足,无法全面地验证安全网关的协议解析能力。
发明内容
本发明的主要目的在于提供一种安全网关解析功能验证方法、装置、设备及存储介质,旨在解决现有对安全网关协议解析能力的验证不够全面的技术问题。
为实现上述目的,本发明提供一种安全网关解析功能验证方法,包括以下步骤:
获取工业环境中的通讯数据;
对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块;
通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
可选地,所述对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能的步骤,包括:
对所述通讯数据进行逆向解读,根据所述逆向解读的结果确定所述通讯数据中当前协议功能所处的功能位;
对所述功能位进行编码重构,得到所述通讯数据对应的协议完整功能。
可选地,所述对所述功能位进行编码重构,得到所述通讯数据对应的协议完整功能的步骤,包括:
确定所述功能位中的当前数值;
对所述当前数值进行编码重构,得到其他数值;
根据所述其他数值得到所述通讯数据对应的协议完整功能。
可选地,所述根据所述其他数值得到所述通讯数据对应的协议完整功能的步骤,包括:
将所述其他数值对应的功能请求发送至工控设备,并接收所述工控设备基于所述功能请求的响应数据,记录所述响应数据对应的其他协议功能;
归纳所述其他协议功能和当前协议功能,得到所述通讯数据对应的协议完整功能。
可选地,所述协议完整功能包括公共功能、私有功能和未使用功能中的一种或多种。
可选地,所述通过所述协议验证模块对网关的解析功能进行验证,以得到验证结果的步骤,包括:
根据所述协议验证模块与工控设备建立验证环境;
根据待验证网关获取所述验证环境中的通讯数据;
根据所述待验证网关对所述通讯数据进行解析,得到解析功能;
对所述解析功能进行验证,得到验证结果。
可选地,所述对所述解析功能进行验证,得到验证结果的步骤包括:
将所述解析功能与协议验证模块中的协议功能进行比对;
若所述解析功能与所述协议验证模块中的协议功能相同,则确定验证结果为网关的解析功能合格。
此外,为实现上述目的,本发明还提供一种安全网关解析功能验证装置,包括:
数据通讯交互单元,用于获取工业环境中的通讯数据;
数据解析单元,用于对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块;
功能检验单元,用于通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
此外,为实现上述目的,本发明还提供一种安全网关解析功能验证设备,所述安全网关解析功能验证设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的功能验证程序,功能验证程序被处理器执行时实现如上述的安全网关解析功能验证方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,存储介质上存储有功能验证程序,功能验证程序被处理器执行时实现如上述的安全网关解析功能验证方法的步骤。
本发明通过获取工业环境中的通讯数据,并对通讯数据进行解读,得到通讯数据对应的协议完整功能,基于协议完整功能构建协议验证模块,首先对真实的工业网络环境中的通讯数据进行解读,通过解读可得出该通讯数据中完整的协议功能,将协议完整功能构建协议验证模块,通过具备完整协议功能的协议验证模块对安全网关的解析功能进行验证,可较为全面地验证安全网关的协议解析能力,且基于真实工业环境中的通讯数据构建协议验证模块,保证了验证结果的真实可靠性,对安全网关的深度解析功能进行准确验证,进一步提高了业界安全网关的防护能力。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明安全网关解析功能验证方法第一实施例的流程示意图;
图3为本发明安全网关解析功能验证方法中的流程示意图;
图4为本发明安全网关解析功能验证装置的装置模块示意图。
本发明目的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的设备结构示意图。
如图1所示,本发明实施例设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及功能验证程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的功能验证程序,并执行以下操作:
获取工业环境中的通讯数据;
对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块;
通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
参照图2,本发明提供一种安全网关解析功能验证方法,在安全网关解析功能验证方法的第一实施例中,安全网关解析功能验证方法包括以下步骤:
步骤S10,获取工业环境中的通讯数据;
步骤S20,对所述通讯数据进行解读,得到所述通讯数据对应的协议功完整能,基于所述协议完整功能构建协议验证模块;
步骤S30,通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
本实施例提供的一种安全网关解析功能验证方法,可用于验证工业安全网关类产品的协议解析功能的协议解析深度与广度。其中,工业安全网关类产品是例如工业防火墙、工业审计等安全网关,工业安全网关与传统安全网关本质区别在于,工业安全网关需要识别、检测、深度解析与处理更多的工业协议,工业协议是工控系统通讯协议,例如:施耐德Modbus协议、西门子S7协议、罗克韦尔CIP协议、OPC DA、OPC UA等协议。
由于目前对工业安全网关解析功能进行验证是采用工业协议模拟器仿真通讯的主从环境来进行验证,协议模拟器支持的协议功能较少,无法提供全面的协议功能以验证网关协议解析能力,对网关协议解析深度与广度的验证效果不佳。因此,在本实施例中,是获取工业环境中的通讯数据,该工业环境为模拟真实的工业通讯环境,如本实施例中获取组态软件与PLC设备之间的通讯环境,如图3所示上位机软件与PLC(可编程逻辑控制器)设备之间、以及下位机软件与PLC设备之间的通讯环境中的通讯数据,以保证一个真实可靠的测试环境,进而对通讯数据进行全面的深度解读,得到通讯数据中所有的协议功能,即协议完整功能,协议完整功能包括公共功能、私有功能和未使用功能中的一种或多种,基于协议完整功能构建协议验证模块,最终通过构建得到的协议验证模块对安全网关的解析能力进行验证,以得到验证结果。本实施例不仅仅针对通讯协议的公共功能进行验证,还可以对通讯协议的私有功能及未使用功能等进行验证,提供了更加全面的协议验证功能。其中,上位机是指可以直接发出操控命令的计算机,一般可为人机交互界面,下位机是工控控制设备,例如PLC,RTU等,通讯数据中包括多个以太网帧,每个以太网帧属于某种协议,因此,对通讯数据进行解读,以得到每个以太网帧中的协议功能,进而根据获得的所有协议功能归纳整合至协议验证模块中,验证安全网关能否识别出完整的协议功能,并验证安全网关能否实现相应的防御功能,可判断安全网关的解析能力以及防御能力。
其中,公共功能为工业协议公开的功能,如读功能、写功能等;私有功能为工业协议非公开的私有功能;未使用功能为工业协议中未使用的功能,本实施例中的协议验证模块可解析出通讯数据中的私有功能和未使用功能,作用在于验证安全网关协议深度解析功能是否有遗漏的功能,为了加快功能验证效率,使用对协议功能总遍历进行验证,将所有功能经过安全网关发送给下位机工控设备,查看安全网关的解析结果。
在本实施例中,通过获取工业环境中的通讯数据,并对通讯数据进行解读,得到通讯数据对应的协议完整功能,基于协议完整功能构建协议验证模块,首先对工业网络环境中的通讯数据进行解读,通过解读可得出该通讯数据中完整的协议功能,将协议完整功能构建协议验证模块,通过具备协议完整功能的协议验证模块对安全网关的解析功能进行验证,可获得较为全面的验证结果,且基于真实工业环境中的通讯数据构建协议验证模块,保证了验证结果的真实性和可靠性。
进一步地,上述步骤S20,对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能的细化步骤包括:
步骤A,对所述通讯数据进行逆向解读,根据所述逆向解读的结果确定所述通讯数据中当前协议功能所处的功能位;
步骤B,对所述功能位进行编码重构,得到所述通讯数据对应的协议完整功能。
目前,对安全网关的协议解析功能进行验证的过程,使用最多的方法是通过工业协议模拟器配置CLIENT-SERVER(客户机-服务器)仿真模拟环境,建立工业协议仿真通讯的主从环境,将待验证的安全网关部署在仿真模拟环境中,模拟器CLIENT发送协议功能请求,该模拟器CLIENT发送协议功能请求大多为数据的读功能或写功能,当协议功能请求经过安全网关时,触发安全网关中的协议解析策略,通过协议解析策略对协议功能请求进行解析,解析出协议功能请求中对应的协议功能,进而将安全网关中解析出的协议功能与工业协议模拟器中已知的模拟操作,通过人为判断对比,即可得到验证结果,但由于模拟器CLIENT只能模拟读、写等少数公共功能,不能提供其他的协议功能,因此仅能验证安全网关解析出的读、写等少数公共功能是否准确,也即无法验证安全网关是否能解析得出通讯数据的其他功能,并且基于模拟环境对深度解析功能进行验证的程度有限,使得验证结果不具备较强说服力。
因此,在本实施例中,是使用真实的工业环境来搭建的协议验证模块,具体地,获取工业环境中的通讯数据,对通讯数据进行逆向解读,确定通讯数据中当前协议功能所处的功能位,也即对通讯数据进行逆向解读得出通讯数据中哪些字段对应是协议功能的字段,比如:对通讯数据进行逆向解读得出的当前协议功能为读功能,确定读功能所处的功能位为第5个字段,第5个字段中的数值为功能码03,进而对该功能位进行编码重构,也即改变功能位中的数值,如将功能位中的功能码03编码重构为01,通过改变功能码可得到不同的协议功能,将编码重构后的通讯数据发送至PLC设备,获取PLC设备响应的响应数据,本实施例中以Modbus TCP协议为例,响应数据为功能码域,根据功能码域可获得编码重构后的通讯数据对应的其他协议功能。将其他协议功能记录在协议验证模块中,以便于后续根据具备完整协议功能的协议验证模块对待验证安全网关进行完整功能验证。
在本实施例中,可通过网络抓包工具抓取PLC设备和上位机软件之间、PLC设备和下位机软件之间的通讯数据,对通讯数据进行逆向研究,分析出通讯数据的协议框架,协议框架即为确定协议功能所处的位置,即功能位,可使用编程工具(如Python、C、C++等)对协议框架进行编码重构,得到通讯数据对应的协议完整功能,并基于协议完整功能构建协议验证模块,通过协议验证模块对安全网关的解析功能进行验证,以得到验证结果。本实施例通过对通讯数据的功能位进行多次编码重构,即改变功能位中的数值(如功能码),便可获取到不同的协议功能,最终可获取到通讯数据对应的较为全面的协议完整功能,以便于后续根据具备协议完整功能的协议验证模块对待验证安全网关进行功能验证。
进一步地,上述步骤B,对所述功能位进行编码重构,得到所述通讯数据对应的协议完整功能的细化步骤,包括:
步骤b1,确定所述功能位中的当前数值;
步骤b2,对所述当前数值进行编码重构,得到其他数值;
步骤b3,根据所述其他数值得到所述通讯数据对应的协议完整功能。
在本实施例中,对通讯数据进行逆向解读,确定出当前协议功能所处的功能位后,确定功能位中的当前数值,对该当前数值进行编码重构,得到其他数值,如以Modbus TCP协议为例,确定当前功能位中的当前数值为03,对当前数值03进行编码重构,得到其他数值,如使用Python工具将当前数值03进行重构编码,得到其他数值为01,根据其他数值得到通讯数据对应的协议功能。本实施例中编码重构的一种方式可以为:通过编程工具遍历功能位中的当前数值,得到所有的数值,如遍历功能位得到Modbus TCP协议中01~127的所有功能码数值,由编程工具自动地重发所有功能码数值对应的协议功能请求至PLC设备,协议功能请求为数据包的形式,协议功能请求中包括功能码数值,进而PLC设备响应功能码,根据响应功能码得到对应的协议功能。也可以通过操作人员手动对当前数值进行编码重构,重构为其他的任意数值,在操作界面上即可更改功能位中的数值,可便利地对通讯数据中的数值进行重构,进而获取通讯数据的所有协议功能。
通讯数据中的协议功能可以包括一级功能,一级功能中包括二级子功能,二级子功能中包括三级子功能等,作为另一实施例,可对功能位中的当前数值(如当前功能码)进行编码重构,得到当前功能码对应的二级子功能码,如当前功能码为03,03对应一级功能为读功能,对当前功能码03进行编码重构,得到03*01、03*02等所有的二级子功能码,例如二级子功能码03*01对应为读比特功能。将子功能码对应的功能请求重放至工控设备,并记录工控设备基于子功能码对应的功能请求反馈的子协议功能,将子协议功能记录在协议验证模块中,进一步地增加了协议验证模块可验证的协议解析深度。
通讯数据包中包含许多以太网帧,每个以太网帧属于某种工业协议,获取通讯数据包,解读出每个以太网帧中协议功能的地址和值域,将每个以太网帧中协议功能的地址和值域记录在协议解析模块中,比如解析得到读功能,读功能的相关数据:地址为0,地址域为100,也就是从0开始读,读取100个数,正常情况下若地址域突然变化,安全网关应该检测到地址域变化并进行防御或提示,因此可进一步提高对安全网关的解析功能及防御功能的验证深度,PLC设备返回值域,将PLC反馈的值域进行记录,根据值域判断协议中是否存在其他功能,将所有的协议功能进行总结,得到功能数据结构模板。
进一步地,上述步骤b3,根据所述其他数值得到所述通讯数据对应的协议完整功能的细化步骤包括:
步骤b31,将所述其他数值对应的功能请求发送至工控设备,并接收所述工控设备基于所述功能请求的响应数据,记录所述响应数据对应的其他协议功能;
步骤b32,归纳所述其他协议功能和当前协议功能,得到所述通讯数据对应的协议完整功能。
在本实施例中,确定功能位中的当前数值,对当前数值进行编码重构,得到其他数值之后,将其他数值对应的功能请求重放至工控设备,工控设备接收功能请求后,会反馈出相应的值域并发送至协议验证模块,记录工控设备基于该功能请求反馈的其他协议功能,如将其他数值01对应的功能请求发送至工控设备,工控设备接收01对应的功能请求后,PLC设备停止工作,且PLC设备反馈的值域符号对应为停止的命令,则说明01对应的协议功能为停止,或如发送其他数值02对应的功能请求至工控设备,工控设备接收02对应的功能请求后,PLC设备显示值域为程序清空,则说明02对应的协议功能为程序清空,另外,其他数值对应的协议功能可能为空位,本实施例中将协议功能为空位的功能码也进行关联记录,即记录所有的功能码对应的协议功能,包括停止协议功能、程序清空、空位协议功能等等私有功能和未使用功能。正常来说,如停止协议功能和程序清空的协议功能在经过安全网关时,安全网关应该能识别出该协议功能,并进行告警或阻断,然后对得到的所有其他协议功能和当前协议功能进行归纳,总和得到通讯数据对应的协议功能,此时的协议功能即通讯数据中的所有公共功能、私有功能和未使用功能,本实施例中的协议验证模块支持多种协议功能,具备多种功能码可实现较高的解析深度验证,支持较多的协议数量可提高解析广度。
本实施例构建协议验证模块分析出通讯数据中每个功能的详细功能含义,总结协议功能及功能数据结构模板,深度解析通讯数据后,协议验证模块将支持协议解析更深、支持协议数量更广,支持网关验证更灵活的协议验证方法。
进一步地,基于上述本发明的第一实施例,提出本发明安全网关解析功能验证方法的第二实施例,在本实施例中,上述步骤S30,通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果的细化步骤包括:
步骤C,根据所述协议验证模块与工控设备建立验证环境;
步骤D,根据待验证网关获取所述验证环境中的通讯数据;
在本实施例中,建立协议验证模块后,通过协议验证模块对安全网关的解析功能进行验证,具体地,可将协议验证模块与工控设备建立通讯连接,以建立验证环境,将待验证安全网关部署在验证环境中,通过待验证安全网关获取验证环境中的通讯数据,协议验证模块将包括协议功能请求的通讯数据包发送至常用的工控设备,本实施例中的工控设备为PLC设备,如图3所示,构建协议验证模块后,将协议验证模块与PLC之间建立通讯,将安全网关部署在协议验证模块与PLC之间的通讯环境中,安全网关的部署方式此处不做限定,在安全网关中部署解析策略,安全网关对通讯环境中的通讯数据进行解析得出解析结果,也可以使用循环遍历,将所有的协议完整功能经过待验证网关发送至工控设备,进而查看安全网关的解析结果,以达到快速测试的效果。
在本实施例中,使用协议验证模块经过安全网关向工控设备发送功能请求,验证安全网关能否正确识别出功能请求对应的完整的协议功能,将协议验证模块与真实的工控设备进行通讯,通过真实的工控设备对验证模块发送的功能请求作出的真实反馈,可提高验证结果的准确性。
步骤E,根据所述待验证网关对所述通讯数据进行解析,得到解析功能;
步骤F,对所述解析功能进行验证,得到验证结果。
在本实施例中,待验证网关可获取验证环境中的通讯数据,进而通过待验证网关对通讯数据进行解析,得到解析功能,解析功能为待验证网关对通讯数据进行解析得到的协议功能,进而对该解析功能进行验证,得到解析结果。
进一步地,上述步骤F,对所述解析功能进行验证,得到验证结果的细化步骤包括:
步骤f1,将所述解析功能与协议验证模块中的协议功能进行比对;
步骤f2,若所述解析功能与所述协议验证模块中的协议功能相同,则确定验证结果为网关的解析功能合格。
在本实施例中,待验证安全网关对通讯数据进行解析得到解析功能后,即可将该解析功能与协议验证模块中的协议完整功能进行比对,若解析功能与协议验证模块中的协议完整功能的功能数量以及功能含义相同,则确定验证结果为网关的解析功能合格,若协议验证模块中部分功能或所有功能在待验证安全网关的解析功能中不存在,则说明待验证安全网关无法解析出部分功能或所有功能,网关解析功能缺少,则确定验证结果为网关的解析深度不足,解析功能不合格,如通过协议验证模块解析出通讯数据中的协议完整功能包括50个功能,验证安全网关时,安全网关只读取出5个,则说明安全网关的功能码不完整,即不合格,需要对该待验证安全网关的协议深度解析功能进行改进与完善,若解析功能中存在与协议验证模块中的协议功能不同的功能,则说明待验证安全网关解析结果不准确,如发送的通讯数据对应的是读的功能命令,而安全网关解析出的解析功能为写的功能命令,则待验证安全网关解析错误,解析功能不合格,此情况需要对网关协议深度解析功能进行改进与完善。
本实施例中将待验证网关解析的解析结果与协议验证模块中已知的协议完整功能进行对比验证,协议验证模块支持较高的功能码的广度与深度,协议验证模块具备高可扩展能力,还原真实设备之间的交互环境,提高功能验证可信性。
此外,参照图4,本发明实施例还提供一种安全网关解析功能验证装置,包括:
数据通讯交互单元A10:获取工业环境中的通讯数据;
数据解析单元A20:对所述通讯数据进行解读,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块;
功能检验单元A30:通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
可选地,数据解析单元A20,用于:对所述通讯数据进行逆向解读,根据所述逆向解读的结果确定所述通讯数据中当前协议功能所处的功能位;
对所述功能位进行编码重构,得到所述通讯数据对应的协议完整功能。
可选地,数据解析单元A20,用于:
确定所述功能位中的当前数值;
对所述当前数值进行编码重构,得到其他数值;
根据所述其他数值得到所述通讯数据对应的协议完整功能。
可选地,数据解析单元A20,用于:
将所述其他数值对应的功能请求发送至工控设备,并接收所述工控设备基于所述功能请求的响应数据,记录所述响应数据对应的其他协议功能;
归纳所述其他协议功能和当前协议功能,得到所述通讯数据对应的协议完整功能。
可选地,功能检验单元A30,用于:
根据所述协议验证模块与工控设备建立验证环境;
根据待验证网关获取所述验证环境中的通讯数据;
根据所述待验证网关对所述通讯数据进行解析,得到解析功能;
对所述解析功能进行验证,得到验证结果。
可选地,功能检验单元A30,用于:
将所述解析功能与协议验证模块中的协议功能进行比对;
若所述解析功能与所述协议验证模块中的协议功能相同,则确定验证结果为网关的解析功能合格。
其中,安全网关解析功能验证装置的各个功能模块实现的步骤可参照本发明安全网关解析功能验证方法的各个实施例,此处不再赘述。
此外,本发明还提供一种安全网关解析功能验证设备,所述安全网关解析功能验证设备包括:存储器、处理器及存储在所述存储器上的功能验证程序;所述处理器用于执行所述功能验证程序,以实现上述安全网关解析功能验证方法各实施例的步骤。
本发明还提供了一种存储介质,所述存储介质可以为计算机可读存储介质,所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述安全网关解析功能验证方法各实施例的步骤。
本发明计算机可读存储介质具体实施方式与上述安全网关解析功能验证方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种安全网关解析功能验证方法,其特征在于,所述安全网关解析功能验证方法包括以下步骤:
获取工业环境中的通讯数据;
对所述通讯数据进行逆向解读,根据所述逆向解读的结果确定所述通讯数据中当前协议功能所处的功能位;
确定所述功能位中的当前数值;
对所述当前数值进行编码重构,得到其他数值;
将所述其他数值对应的功能请求发送至工控设备,并接收所述工控设备基于所述功能请求的响应数据,记录所述响应数据对应的其他协议功能;
归纳所述其他协议功能和当前协议功能,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块,所述协议完整功能包括公共功能、私有功能和未使用功能中的一种或多种;
通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
2.如权利要求1所述的安全网关解析功能验证方法,其特征在于,所述通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果的步骤,包括:
根据所述协议验证模块与工控设备建立验证环境;
根据待验证网关获取所述验证环境中的通讯数据;
根据所述待验证网关对所述通讯数据进行解析,得到解析功能;
对所述解析功能进行验证,得到验证结果。
3.如权利要求2所述的安全网关解析功能验证方法,其特征在于,所述对所述解析功能进行验证,得到验证结果的步骤包括:
将所述解析功能与协议验证模块中的协议功能进行比对;
若所述解析功能与所述协议验证模块中的协议功能相同,则确定验证结果为网关的解析功能合格。
4.一种安全网关解析功能验证装置,其特征在于,所述安全网关解析功能验证装置包括:
数据通讯交互单元,用于获取工业环境中的通讯数据;
数据解析单元,用于对所述通讯数据进行逆向解读,根据所述逆向解读的结果确定所述通讯数据中当前协议功能所处的功能位;确定所述功能位中的当前数值;对所述当前数值进行编码重构,得到其他数值;将所述其他数值对应的功能请求发送至工控设备,并接收所述工控设备基于所述功能请求的响应数据,记录所述响应数据对应的其他协议功能;归纳所述其他协议功能和当前协议功能,得到所述通讯数据对应的协议完整功能,基于所述协议完整功能构建协议验证模块,所述协议完整功能包括公共功能、私有功能和未使用功能中的一种或多种;
功能检验单元,用于通过所述协议验证模块对安全网关的解析功能进行验证,以得到验证结果。
5.一种安全网关解析功能验证设备,其特征在于,所述安全网关解析功能验证设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的功能验证程序,所述功能验证程序被所述处理器执行时实现如权利要求1至3中任一项所述的安全网关解析功能验证方法的步骤。
6.一种存储介质,其特征在于,所述存储介质上存储有功能验证程序,所述功能验证程序被处理器执行时实现如权利要求1至3中任一项所述的安全网关解析功能验证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111536873.0A CN114338104B (zh) | 2021-12-15 | 2021-12-15 | 安全网关解析功能验证方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111536873.0A CN114338104B (zh) | 2021-12-15 | 2021-12-15 | 安全网关解析功能验证方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338104A CN114338104A (zh) | 2022-04-12 |
CN114338104B true CN114338104B (zh) | 2023-04-25 |
Family
ID=81052103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111536873.0A Active CN114338104B (zh) | 2021-12-15 | 2021-12-15 | 安全网关解析功能验证方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338104B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115333872B (zh) * | 2022-10-17 | 2023-01-20 | 北京六方云信息技术有限公司 | 安全网关解析功能验证方法、装置、终端设备及存储介质 |
CN115801643B (zh) * | 2022-10-28 | 2023-09-22 | 北京六方云信息技术有限公司 | 协议解析功能的测试方法、装置、终端设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113596017A (zh) * | 2021-07-27 | 2021-11-02 | 上海上实龙创智能科技股份有限公司 | 一种协议解析方法、装置、软网关和存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710656B (zh) * | 2012-06-14 | 2014-03-12 | 北京理工大学 | 基于汽车网关系统的通信协议逆向解析方法 |
CN102710479B (zh) * | 2012-06-14 | 2014-03-12 | 北京理工大学 | 用于通信协议逆向解析的汽车网关系统 |
CN106657020A (zh) * | 2016-11-23 | 2017-05-10 | 沈阳理工大学 | 面向空天通信的网关协议转换测试系统 |
RU2726879C2 (ru) * | 2018-12-28 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Система и способ подключения протокола безопасного разрешения DNS |
CN111327636B (zh) * | 2020-03-10 | 2021-05-07 | 西北工业大学 | 一种涉及网络安全的s7-300plc私有协议逆向方法 |
CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
CN113271237B (zh) * | 2021-06-16 | 2022-12-13 | 山石网科通信技术股份有限公司 | 工控协议的解析方法、装置、存储介质及处理器 |
-
2021
- 2021-12-15 CN CN202111536873.0A patent/CN114338104B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113596017A (zh) * | 2021-07-27 | 2021-11-02 | 上海上实龙创智能科技股份有限公司 | 一种协议解析方法、装置、软网关和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114338104A (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114338104B (zh) | 安全网关解析功能验证方法、装置、设备及存储介质 | |
CN107294808B (zh) | 接口测试的方法、装置和系统 | |
CN110881044B (zh) | 一种计算机防火墙动态防御安全平台 | |
CN104144419B (zh) | 一种身份验证的方法、装置及系统 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
JP2017538376A (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
CN102123058A (zh) | 一种对网络协议解码器进行测试的测试设备和方法 | |
CN113179194B (zh) | Opc协议网关的测试系统及方法 | |
CN108347361A (zh) | 应用程序测试方法、装置、计算机设备和存储介质 | |
US10091223B2 (en) | Method for detecting anomalies in network traffic | |
CN110505497A (zh) | 一种云手机运行监测方法、系统、装置和存储介质 | |
Cook et al. | Introducing a forensics data type taxonomy of acquirable artefacts from programmable logic controllers | |
CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN111597093A (zh) | 一种异常处理方法、装置及其设备 | |
CN111079140A (zh) | 用于防作弊的方法、设备和系统 | |
CN115514677A (zh) | 服务器拨测方法及系统 | |
CN114553551A (zh) | 对入侵防御系统进行测试的方法及装置 | |
CN115801643B (zh) | 协议解析功能的测试方法、装置、终端设备及存储介质 | |
CN108366040B (zh) | 一种可编程防火墙的逻辑代码检测方法、装置及电子设备 | |
CN110730157A (zh) | 一种存储系统入侵检测方法、系统、终端及存储介质 | |
Kayacik et al. | Evolving buffer overflow attacks with detector feedback | |
CN116708001B (zh) | 工业控制系统私有协议漏洞探测方法及装置 | |
CN114785691B (zh) | 网络安全管控方法、装置、计算机设备及存储介质 | |
Korneliussen | Implementation of a Security Information Event Management System in an Industrial Control System | |
WO2024069876A1 (ja) | 評価装置、評価方法、及び、記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |