工控网络安全检测系统及检测方法技术方案

技术编号:14770629 阅读:96 留言:0更新日期:2017-03-08 14:31
本发明专利技术涉及工业控制网络安全漏洞检测领域。为实现对工控网络安全漏洞的深入全面检测,有效发现未知安全漏洞,找出工控网络安全漏洞产生的根源,本发明专利技术提出一种工控网络安全检测系统,其中,测试用例模块向模糊测试引擎提供测试用例;模糊测试引擎生成测试数据包并对检测目标进行安全检测,得出包括“正常”、“其他”和“疑似漏洞”的测试结果;监视器实时监测检测目标的状态;根源分析模块驱动模糊测试引擎进行攻击重放,在漏洞验证成功后对异常数据包进行异常分析,得出安全漏洞产生的根源;报告生成引擎生成测试报告。使用该工控网络安全检测系统进行安全检测,检测深入全面,能够有效发现未知安全漏洞,得出安全漏洞产生的根源。

【技术实现步骤摘要】

本专利技术涉及工业控制网络安全漏洞检测领域,尤其涉及一种对工业控制网络的安全漏洞进行检测用的工控网络安全检测系统及方法。
技术介绍
近年来,工业控制系统强调开放性,在工控网络中大量引入通用的IT产品,如Windows操作系统、关系数据库等,并广泛使用以太网和TCP/IP协议,从而导致大量的IT漏洞被引入到工控网络中。另外,大部分的工控网络的应用层协议和现场总线协议使用MODBUS/TCP、CAN等明码传输协议,存在没有严格的身份识别、报文很容易被伪造等无法避免的脆弱性。因此,工控网络很容易受到攻击者利用漏洞进行的攻击,严重的攻击后果甚至可以使工控网络完全瘫痪,导致工业过程失控或装置停机。目前,对工控网络安全漏洞进行检测时,端口服务扫描、漏洞特征扫描等技术对工控网络安全漏洞库的依赖较大,而公开的工控网络安全漏洞库中的安全漏洞信息很少,导致工控网络安全漏洞深入全面的检测无法实现;基于公开漏洞的扫描技术和机制,无法有效发现未知安全漏洞,且在时间上永远滞后于攻击者利用的未知安全漏洞。由此可见,目前在对工控网络安全漏洞进行检测时,既无法对工控网络安全漏洞进行深入检测,又无法有效发现未知安全漏洞,更无法获知工控网络安全漏洞产生的根本原因,进而导致工控网络安全防护困难。
技术实现思路
为实现对工控网络安全漏洞的深入全面检测,有效发现未知安全漏洞,找出工控网络安全漏洞产生的根源,提高工控网络的安全防护性能,本专利技术提出一种工控网络安全检测系统,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。使用该工控网络安全检测系统对检测目标的安全漏洞进行检测时,根据检测目标的工控协议生成检测所需的测试用例,可提高测试用例的适用性;利用监视器对检测目标的状态进行监测,可及时抓取使用检测目标的状态异常的测试数据包并保存为验证数据包,且在利用验证数据包对检测目标进行攻击重放时可准确判断出检测目标是否存在安全漏洞;通过根源分析模块对攻击重放结果进行分析验证漏洞,从而找出工控网络中存在的安全漏洞,尤其是工控网络中的未知安全漏洞;根源分析模块在漏洞验证成功后将验证数据包保存为异常数据包并对该异常数据包进行异常分析,从而找出异常数据包中的异常部分,进而得出安全漏洞产生的根本原因。由此可见,使用该工控网络安全检测系统对检测目标的安全漏洞进行检测时,检测深入全面,且能够有效发现工控网络中的未知安全漏洞,得出安全漏洞产生的根本原因。这样,工控网络安全防护人员在对工控网络进行安全防护时,可根据工控网络中的安全漏洞尤其是未知安全漏洞以及安全漏洞产生的根源采用有针对性的安全防护措施进行安全防护,进而提高工控网络的安全防护性能。优选地,所述测试用例模块包括数据模型子模块、状态模型子模块和测试参数子模块,所述数据模型子模块用于构造各字段符合所述检测目标的工控协议的数据模型;所述状态模型子模块对所述工控协议的交互状态进行控制;所述测试参数子模块用于指定测试参数。进一步地,所述测试参数包括用于补充所述数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。这样,测试用例模块提供的测试用例的适用性更广,采用该测试用例对于检测目标进行安全检测时,检测的覆盖率更高、深入度更好。优选地,所述模糊测试引擎包括数据生成模块、数据变形模块和攻击重放模块,所述数据生成模块根据所述测试用例模块提供的测试用例生成正常测试数据;所述数据变形模块对所述正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给所述检测目标;所述攻击重放模块在所述检测目标的状态异常时抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包重新发送给所述检测目标进行攻击重放。这样,模糊测试引擎在生成的测试数据时,先由数据生成模块根据测试用例生成正常的测试数据,再通过数据变形模块对正常测试数据的特定字段变形重组形成测试数据,测试数据的针对性更强,采用这种测试数据对检测目标进行测试时,测试精度更高。优选地,所述监视器的监测方式包括针对所述检测目标的存活状态的监测,针对所述检测目标的服务端口的状态的监测,针对所述检测目标的工控协议的应用层的监测,以及针对所述检测目标的实时性和数字模拟输入输出信号的监测。这样,监视器在对检测目标进行监测时,监测数据较为全面,监测到的检测目标的状态更准确。优选地,所述根源分析模块包括漏洞验证子模块和异常分析子模块;所述漏洞验证子模块驱动所述模糊测试引擎将抓取到的所述验证数据包重新发送给所述检测目标进行攻击重放,验证漏洞,并在漏洞验证成功后将所述验证数据包保存为异常数据包;所述异常分析子模块在漏洞验证成功后对所述异常数据包进行协议分析,并标注出所述异常数据包中不符合所述检测目标的工控协议的部分。进一步地,所述异常数据包中不符合所述检测目标的工控协议的部分包括:单个数据包报文格式异常,单个数据包状态转移异常,组合数据包的乱序行为及组合数据包的类型异常。这样,根源分析模块通过漏洞验证子模块在验证数据包对检测目标进行攻击重放时验证漏洞,从而根据验证结果确定检测目标状态异常的原因,并在确定检测目标是因为存在安全漏洞而出现状态异常时,漏洞验证子模块将导致检测目标状态异常的验证数据保存为异常数据包,并利用异常分析子模块对异常数据包进行异常分析,从而找出异常数据包中存在的异常部分,进而得出导致检测目标出现安全漏洞的根本原因。优选地,所述工控网络安全检测系统还包括中间继电模块,该中间继电模块与所述模糊测试引擎连接,并根据所述模糊测试引擎发来的控制信号控制所述检测目标的供电电源与所述检测目标之间的电路的通断。这样,在对检测目标进行攻击重放时,可通过模糊测试引擎驱动中间继电模块对检测目标进本文档来自技高网...
<a href="http://www.xjishu.com/zhuanli/62/201611144704.html" title="工控网络安全检测系统及检测方法原文来自X技术">工控网络安全检测系统及检测方法</a>

【技术保护点】
一种工控网络安全检测系统,其特征在于,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。...

【技术特征摘要】
1.一种工控网络安全检测系统,其特征在于,该工控网络安全检测系统包括测试用例模块、模糊测试引擎、监视器、根源分析模块和报告生成引擎;所述测试用例模块与所述模糊测试引擎连接,并根据检测目标的工控协议向所述模糊测试引擎提供安全检测所需的测试用例;所述模糊测试引擎根据所述测试用例模块提供的测试用例生成测试数据包并发送到所述检测目标中对所述检测目标进行安全检测,当所述监视器监测到所述检测目标的状态正常时,测试结果为“正常”;当所述检测目标的状态异常时,所述模糊测试引擎抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包发送给所述检测目标进行攻击重放,当所述检测目标的状态正常时,测试结果为“其他”;当所述检测目标的状态异常时,测试结果为“疑似漏洞”;所述监视器与所述模糊测试引擎连接,用于在所述模糊测试引擎将所述测试数据包或所述验证数据包发送给所述检测目标后对所述检测目标的状态进行实时监测,并将监测到的监视数据实时传输到所述模糊测试引擎中;所述根源分析模块与所述模糊测试引擎和所述报告生成引擎连接,当所述监视器监测到所述检测目标的状态异常时,所述根源分析模块驱动所述模糊测试引擎对所述检测目标进行攻击重放,验证漏洞,当所述检测目标的状态正常时,漏洞验证失败;当所述检测目标的状态异常时,漏洞验证成功;在漏洞验证成功后,所述根源分析模块将所述验证数据包保存为异常数据包并对所述异常数据包进行异常分析,找出所述异常数据包中的异常部分,得出安全漏洞产生的根源;所述报告生成引擎与所述根源分析模块连接并根据所述测试结果生成测试报告。2.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述测试用例模块包括数据模型子模块、状态模型子模块和测试参数子模块,所述数据模型子模块用于构造各字段符合所述检测目标的工控协议的数据模型;所述状态模型子模块对所述工控协议的交互状态进行控制;所述测试参数子模块用于指定测试参数。3.根据权利要求2所述的工控网络安全检测系统,其特征在于,所述测试参数包括用于补充所述数据模型中空缺字段的测试参数、用于指定通信参数的测试参数以及用于指定数据变形方式的测试参数。4.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述模糊测试引擎包括数据生成模块、数据变形模块和攻击重放模块,所述数据生成模块根据所述测试用例模块提供的测试用例生成正常测试数据;所述数据变形模块对所述正常测试数据的特定字段进行变形,并将变形后重组生成的测试数据发送给所述检测目标;所述攻击重放模块在所述检测目标的状态异常时抓取可能使所述检测目标的状态异常的测试数据包并保存为验证数据包,并将所述验证数据包重新发送给所述检测目标进行攻击重放。5.根据权利要求1所述的工控网络安全检测系统,其特征在于,所述监视器的监测方式包括针对所述检测目标的存活状态的监测,针对所述检测目标的服务端口的状态的监测,针对所...

【专利技术属性】
技术研发人员:叶长吴玲花
申请(专利权)人:北京匡恩网络科技有限责任公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1