【技术实现步骤摘要】
本专利技术涉及工业控制网络安全漏洞检测领域,尤其涉及一种对工业控制网络的安全漏洞进行检测用的工控网络安全检测系统及方法。
技术介绍
近年来,工业控制系统强调开放性,在工控网络中大量引入通用的IT产品,如Windows操作系统、关系数据库等,并广泛使用以太网和TCP/IP协议,从而导致大量的IT漏洞被引入到工控网络中。另外,大部分的工控网络的应用层协议和现场总线协议使用MODBUS/TCP、CAN等明码传输协议,存在没有严格的身份识别、报文很容易被伪造等无法避免的脆弱性。因此,工控网络很容易受到攻击者利用漏洞进行的攻击,严重的攻击后果甚至可以使工控网络完全瘫痪,导致工业过程失控或装置停机。目前,对工控网络安全漏洞进行检测时,端口服务扫描、漏洞特征扫描等技术对工控网络安全漏洞库的依赖较大,而公开的工控网络安全漏洞库中的安全漏洞信息很少,导致工控网络安全漏洞深入全面的检测无法实现;基于公开漏洞的扫描技术和机制,无法有效发现未知安全漏洞,且在时间上永远滞后于攻击者利用的未知安全漏洞。由此可见,目前在对工控网络安全漏洞进行检测时,既无法对工控网络安全漏洞进行深入检测,又无法有效发现未知安全漏洞,更无法获知工控网络安全漏洞产生的根本原因,进而导致工控网络安全防护困难。
技术实现思路
为实现对工控网络安全漏洞的深入全面检测,有效发现未知安全漏洞,找出工控网络安全漏洞产生的根源,提高工控网络的安全防护性能,本专利技术提出一种工控网络安全检测系统,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接, ...
【技术保护点】
一种工控网络安全检测系统,其特征在于,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试 ...
【技术特征摘要】
1.一种工控网络安全检测系统,其特征在于,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。2.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述测试用例模块包括数据模型子模块、状态模型子模块和测试参数子模块,所述数据模型子模块用于构造各字段符合所述检测目标的工控协议的数据模型;所述状态模型子模块对所述工控协议的交互状态进行控制;所述测试参数子模块用于指定测试参数。3.根据权利要求2所述的工控网络安全检测系统,其特征在于,所述测试参数包括用于补充所述数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。4.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述模糊测试引擎包括数据生成模块、数据变形模块和攻击重放模块,所述数据生成模块根据所述测试用例模块提供的测试用例生成正常测试数据;所述数据变形模块对所述正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给所述检测目标;所述攻击重放模块在所述检测目标的状态异常时抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包重新发送给所述检测目标进行攻击重放。5.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述监视器的监测方式包括针对所述检测目标的存活状态的监测,针对所述检测目标的服务端口的状态的监测,针对所...
【专利技术属性】
技术研发人员:叶长,吴玲花,
申请(专利权)人:北京匡恩网络科技有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。