本申请提供了一种工控设备网络攻击测试方法及系统,其中方法包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。本申请提供的方法能够发送不同类型协议的探测报文,当被测设备回应其中几种类型协议的探测报文时,能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态,在多层次对被测设备进行探测,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。
【技术实现步骤摘要】
一种工控设备网络攻击测试方法与系统
本申请涉及网络测试
,尤其涉及一种工控设备网络攻击测试方法与系统。
技术介绍
近年来,针对工业重要基础设施的网络攻击事件呈上升趋势。在我国,国家重要工业基础设施的防攻击手段主要还是采取物理隔离等边界防护措施。一旦边界防护被攻破,工业基础设施将直接面对网络攻击的考验。由于没有直接的抗攻击能力,工业基础设施非常脆弱,以至于将在最快的时间内被网络攻击破坏。这些年来,工业控制设备的直接抗攻击能力一直是测试技术研究的方向,它主要验证在各种网络攻击方式下(如DOS、fuzzing攻击等),工控设备的各种异常状态和健壮性,如网络拥塞、系统死机或重启等。常规的方法是用测试工具对工控设备发送网络攻击流量的同时,通过网络协议或设备日志的方式对被测设备的状态进行监控。传统的网络攻击测试方法没有形成统一的闭环方式,测试和结果分析是分开执行。一般情况是发起和完成测试后,在被测设备上核对相关的结果参数。这种方法效率很低,需要人工不断干预,不能适应大型的工控设备入网测试。传统的网络攻击测试方法一般基于单个维度进行被测设备状态的诊断,根据单一维度的参数来手工调节测试工具的参数,这样不利于在多个维度综合考虑被测设备在综合因素条件下的表现。传统的测试方法只是简单查看被测设备的对应状态和参数,由于许多层面的问题可能导致的状态参数的反应趋于一致,因此很难快速分辨和定位出现问题的层面。
技术实现思路
本申请提供了一种工控设备网络攻击测试方法与系统,用于解决传统的测试方法自动化程度低且分析层面单一的技术问题。有鉴于此,本申请第一方面提供了一种工控设备网络攻击测试方法,包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。优选地,所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文;所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括:若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作系统已卡死;若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作系统已卡死;若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作系统网络层没有卡死,而传输层或应用层软件已卡死;若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作系统网络层和传输层没有卡死,而应用层软件已卡死。优选地,所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:提取被测设备的操作系统和应用的日志信息;从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。优选地,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:调节网络攻击流量测试的攻击流量大小;所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。优选地,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。本申请第二方面提供一种工控设备网络攻击测试系统,第一方面所述的一种工控设备网络攻击测试方法进行测试,包括:网络测试仪,用于对被测设备进行网络攻击流量测试;在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;测试管理主机,用于根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态;被测设备,所述连接网络测试仪和所述测试管理主机。优选地,所述测试管理主机具体用于判断:若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作系统已卡死;若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作系统已卡死;若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作系统网络层没有卡死,而传输层或应用层软件已卡死;若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作系统网络层和传输层没有卡死,而应用层软件已卡死。优选地,所述测试管理主机还用于:提取被测设备的操作系统和应用的日志信息;从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。优选地,所述网络测试仪还用于调节网络攻击流量测试的攻击流量大小;所述测试管理主机还用于根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。优选地,所述测试管理主机还用于对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。从以上技术方案可以看出,本申请具有以下优点:本申请提供了一种工控设备网络攻击测试方法及系统,其中方法包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。本申请能够发送不同类型协议的探测报文,当被测设备回应其中几种类型协议的探测报文时,能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态,在多层次对被测设备进行探测,利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断,解决了传统的测试方法自动化程度低且分析层面单一的技术问题。附图说明为了更清楚地说明本申请实施例,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。图1为本申请提供的工控设备网络攻击测试系统的系统架构图;图2为本申请实施例中工控设备网络攻击测试方法的一个实施例的方法流程图;图3为本申请实施例中工控设备网络攻击测试方法的另一个实施例的方法流程图;图4为本申请实施例中工控设备网络攻击测试方法的另一个实施例的方法流程图。具体实施方式本申请提供了一种工控设备网络攻击测试方法与系统,用于解决传统的测试方法自动化程度低且分析层面单一的技术问题。为使得本申请的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本申请一部分实施例,而非全部的实施例。基于本申请中的实施本文档来自技高网...
【技术保护点】
1.一种工控设备网络攻击测试方法,其特征在于,包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。
【技术特征摘要】
1.一种工控设备网络攻击测试方法,其特征在于,包括:在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测;根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。2.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文;所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括:若检测到ARP探测报文无回应,则确定被测设备的底层firmware或操作系统已卡死;若检测到ARP探测报文的回应并检测到ICMP探测报文无回应,则确定被测设备的底层firmware没有卡死,而操作系统已卡死;若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应,则确定被测设备的操作系统网络层没有卡死,而传输层或应用层软件已卡死;若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应,则确定被测设备的操作系统网络层和传输层没有卡死,而应用层软件已卡死。3.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:提取被测设备的操作系统和应用的日志信息;从日志信息中提取关键字及关键字对应的时间,与被测设备的运行状态判断结果进行对比,若相同,则发送验证正确信号,若不相同,则发送验证失败信号。4.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探测之前还包括:调节网络攻击流量测试的攻击流量大小;所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括:根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。5.根据权利要求1所述的一种工控设备网络攻击测试方法,其特征在于,所述在对被测设备进行网络攻击流量测试的同时,定期发送不同类型协议的探测报文对被测设备进行探...
【专利技术属性】
技术研发人员:伍晓泉,胡春潮,高雅,林丹生,胡海生,曾智勇,梁智强,
申请(专利权)人:广东电网有限责任公司,广东电网有限责任公司电力科学研究院,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。