基于工控协议的自适应漏洞挖掘框架制造技术

本发明专利技术公开一种基于工控协议的自适应漏洞挖掘框架，能够检测出工控网络中存在的各类已知漏洞，并挖掘潜在的未知漏洞。该框架包括接口层、核心功能层和协议层；其中，所述接口层包括以太网口、串行接口、总线接口和定制接口，用于自适应连接被测对象；所述协议层为所述核心功能层提供工控协议的测试用例库；所述核心功能层包括漏洞扫描模块和漏洞挖掘模块，其中，所述漏洞扫描模块基于已知漏洞库对工控网络中的已知漏洞进行检测，所述漏洞挖掘模块基于所述测试用例库挖掘工控网络中的潜在漏洞。

Adaptive vulnerability mining framework based on industrial control protocol

The invention discloses an adaptive vulnerability mining framework based on an industrial control protocol, which can detect all kinds of known vulnerabilities in the industrial control network, and explore potential unknown vulnerabilities. The framework includes interface layer, core layer and protocol layer; wherein the interface layer includes Ethernet interface, serial interface, bus interface and custom interface for adaptive connection object; the protocol layer is the core function of industrial control protocol layer provides a test case library; the key function layer including vulnerability the scanning module and the module of vulnerability, the vulnerability scanning module known vulnerability database to detect known vulnerabilities in the industrial control network based on the vulnerability mining module the test case library in the industrial control network in mining potential vulnerabilities based on.

【技术实现步骤摘要】

本专利技术涉及工控网络
，具体涉及一种基于工控协议的自适应漏洞挖掘框架。
技术介绍
工业控制网络(以下简称“工控网络”)安全漏洞是在其生命周期的各个阶段(设计、实现、运维等过程)中引入的某类问题。近年来，工控系统强调开放性，在网络中大量引入通用的IT产品，如Windows操作系统、关系数据库等，并广泛使用以太网和TCP/IP协议，在降低成本和简化集成的同时将大量IT漏洞引入了工控网络。同时，大部分的工控网络应用层协议和现场总线协议，广泛使用MODBUS/TCP、CAN等明码传输协议，存在没有严格的身份识别，报文很容易被伪造等无法避免的脆弱性。因此，由相对封闭的专用计算机和网络体系发展而来的工控网络系统，安全的薄弱的环节几乎来自于各方各面，特别对于大型SCADA系统，设备分散安装，部分采用公网和无线网络，更容易受到利用漏洞的攻击，严重的攻击后果可以使系统网络完全瘫痪，造成工业过程失控或装置停机。工控网络具有非常鲜明的特点，首先是封闭性，SCADA、DCS等控制系统和PLC等控制设备在设计之初就没有考虑完善的安全机制；其次是复杂性，工控网络常见的总线协议和应用层协议有几十种，不但每种通信协议的数据接口不完全相同，这些协议的规约实现也不相同；最后是不可改变性，工控网络很难进行改造和补丁升级。综合以上，传统信息安全的测试技术和设备不适合工控网络。具体来说，当前我国相关机构对工控网络安全漏洞进行检测的手段是比较局限的，具体体现在：现有检测手段仅针对工控网络内的外围服务器和通用IT设备，无法触及亟待保护的核心工控设备；现有的端口服务扫描、漏洞特征扫描等技术对漏洞库的依赖较大，但公开的工控网络安全漏洞库信息很少，导致无法实现深入、全面的检测；基于公开漏洞的扫描技术和机制无法有效发现未知漏洞，同时在时间上永远滞后于攻击者利用的未知漏洞；缺乏针对性检测工具，无法有效证明工控设备上的潜在漏洞是否存在。由于缺乏针对工控网络安全漏洞进行检测和挖掘的工具，在定期的安全检查时无法及时发现工控设备和系统的隐患和漏洞，一旦发生工控网络安全事故，不但难以在第一时间内辨析是脆弱性问题还是设备故障，也无法对可疑设备做到物证俱全。
技术实现思路
针对现有技术存在的不足和缺陷，本专利技术提供一种基于工控协议的自适应漏洞挖掘框架。本专利技术实施例提出一种基于工控协议的自适应漏洞挖掘框架，包括：接口层、核心功能层和协议层；其中，所述接口层包括以太网口、串行接口、总线接口和定制接口，用于自适应连接被测对象；所述协议层为所述核心功能层提供工控协议的测试用例库；所述核心功能层包括漏洞扫描模块和漏洞挖掘模块，其中，所述漏洞扫描模块基于已知漏洞库对工控网络中的已知漏洞进行检测，所述漏洞挖掘模块基于所述测试用例库挖掘工控网络中的潜在漏洞。本专利技术实施例提供的基于工控协议的自适应漏洞挖掘框架，依托已知漏洞库和工业控制协议测试用例库，能够检测出工控网络中存在的各类已知漏洞和缺陷，还能挖掘潜在的未知漏洞，实现了自下而上的工控自适应漏洞挖掘检测，底层硬件接口可以进行工控硬件接口自适应，集成了IT网络中无法适配的工控设备的串口、现场总线接口等接口，同时可以定制非标准的私有协议数据接口，可适应各种复杂的工控网络环境中各类接口的漏洞挖掘检测。附图说明图1为本专利技术基于工控协议的自适应漏洞挖掘框架一实施例的结构示意图；图2为本专利技术工控设备漏洞挖掘检测直连示意图；图3为本专利技术工控设备漏洞挖掘检测单向桥连(下位机)示意图；图4为本专利技术工控设备漏洞挖掘检测单向桥连(上位机)示意图；图5为本专利技术工控设备漏洞挖掘检测双向桥连示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。参看图1，本实施例公开一种基于工控协议的自适应漏洞挖掘框架，包括：接口层1、核心功能层2和协议层3；其中，所述接口层1包括以太网口、串行接口、总线接口和定制接口，用于自适应连接被测对象；所述协议层3为所述核心功能层提供工控协议的测试用例库；所述核心功能层2包括漏洞扫描模块和漏洞挖掘模块，其中，所述漏洞扫描模块基于已知漏洞库对工控网络中的已知漏洞进行检测，所述漏洞挖掘模块基于所述测试用例库挖掘工控网络中的潜在漏洞。具体地，所述漏洞扫描模块获取被测对象的特征，将所述特征与已知漏洞库中的漏洞特征进行匹配，若所述特征匹配上已知漏洞库中一已知漏洞特征，则确定被测对象存在该已知漏洞。其中，所述特征包括被测对象厂商信息、型号、版本信息和所使用的通信协议。所述漏洞挖掘模块，在强大自定义测试引擎的基础上，综合运用各种测试方法和脚本，向被测对象提供非预期的随机或用户自定义输入并监控输出中的异常来发现其潜在缺陷和故障。该框架支持直连和桥接的测试连接方式，支持工控协议的定制升级以及自定义设备添加，通过协议开放API支持私有协议的自定义测试，并支持插件方式的产品功能扩充。如图2所示，将使用该框架的测试平台通过工业以太网口，串口或其他总线接口与被测设备直接相连(点对点连接)。测试时由测试平台直接对被测设备发送数据包，同时通过客户端电脑作为监视器，来实现操作、监视和管理整个对被测设备进行已知漏洞检测和未知漏洞挖掘的过程。直连方式下的已知漏洞检测方式主要通过漏洞库来实现，而未知漏洞挖掘则主要通过各类基于生成的模糊(fuzzing)测试用引擎，具体包括：(1)基于工控漏洞库的已知漏洞检测基于业界最专业完整的工控网络安全漏洞库，依靠高效漏洞扫描引擎、检测规则的自动匹配，扫描工控网络中的关键设备和软件，检测是否存在已知漏洞。(2)针对通用漏洞进行针对性攻击测试攻击测试用例来自于匡恩安全团队在实际挖掘漏洞中获得经验的积累和总结。同一厂商的产品往往形成漏洞的功能模块逻辑和配置方式是相似的，因此可以针对某一类型漏洞开发专门的攻击测试方式，在测试任务中运行攻击测试用例可以更快速的检测到该被测设备是否存在同类型的通用漏洞，例如检测设备是否存在某些配置错误，可以被利用形成未授权操作，中间人攻击等。(3)基于工控协议的语法模糊测试语法模糊测试基于工控协议实现(协议规范定义)的报文语法，在给定变量初始化文件的前提下，生成递归定义的测试用例语法描述，根据交互语义生成有序的一系列测试用例，有意将畸形的语法注入到测试报文，或者对合法的报文进行变异，从而试图触发协议实现中有缺陷的代码，导致协议规范中定义的正常操作流程遭到干扰或破坏。(4)基于工控协议的智能模糊测试创新的智能模糊测试引擎基于各类工控协议的规约来构建模型，在深入理解各个工控协议规约特征的基础上生成输入数据和测试用例去遍历协议实现的各个方面，包括在数据内容，结构，消息，序列中引入各种异常。同时，引入了大数据分析和人工智能算法，将初始的变形范围主要集中在该厂商设备最容易发生故障的范围内进行密集测试，测试中动态追踪被测设备的异常反应，智能选择更有效的输入属性构造新样本进行测试，在迭代测试中不断更新模型参数和优化样本构造，使得同一类设备将来进行测试时能本文档来自技高网...

【技术保护点】
一种基于工控协议的自适应漏洞挖掘框架，其特征在于，包括：接口层、核心功能层和协议层；其中，所述接口层包括以太网口、串行接口、总线接口和定制接口，用于自适应连接被测对象；所述协议层为所述核心功能层提供工控协议的测试用例库；所述核心功能层包括漏洞扫描模块和漏洞挖掘模块，其中，所述漏洞扫描模块基于已知漏洞库对工控网络中的已知漏洞进行检测，所述漏洞挖掘模块基于所述测试用例库挖掘工控网络中的潜在漏洞。

【技术特征摘要】
1.一种基于工控协议的自适应漏洞挖掘框架，其特征在于，包括：接口层、核心功能层和协议层；其中，所述接口层包括以太网口、串行接口、总线接口和定制接口，用于自适应连接被测对象；所述协议层为所述核心功能层提供工控协议的测试用例库；所述核心功能层包括漏洞扫描模块和漏洞挖掘模块，其中，所述漏洞扫描模块基于已知漏洞库对工控网络中的已知漏洞进行检测，所述漏洞挖掘模块基于所述测试用例库挖掘工控网络中的潜在漏洞。2.根据权利要求1所述的框架，其特征在于，该框架支持直连和桥接的测试连接方式。3.根据权利要求2所述的框架，其特征在于，若该框架与被测对象直接相连，测试时由该框架...

【专利技术属性】
技术研发人员：胡仁豪，范科峰，张志群，
申请(专利权)人：北京匡恩网络科技有限责任公司，工业和信息化部电子工业标准化研究院，
类型：发明
国别省市：北京;11