一种工控漏洞挖掘方法及系统技术方案

本发明专利技术提供一种工控漏洞挖掘方法及系统，系统包括协议框架系统、web界面模块、客户端模块、插件运行模块、任务存储模块、数据分析模块以及状态记录模块，方法包括将漏洞挖掘系统接入到工控设备上，采集工控设备与工业应用软件的工控协议数据；通过web界面进行任务配置填写；调动引擎启动客户端；插件运行依次完成数据装载、会话连接以及节点遍历；数据分析模块接收插件运行产生的过程数据记录，并进行数据处理；数据分析模块进行数据处理并向客户端发送任务完成标识；客户端接收到任务完成标识后完成扫描并退出，web界面完成漏洞扫描并从数据分析模块获取扫描结果数据并进行扫描结果数据展示，充分挖掘在运和上线前的未知工控漏洞。

A Method and System for Exploiting Industrial Control Vulnerabilities

The invention provides an industrial control vulnerability mining method and system, which includes protocol framework system, web interface module, client module, plug-in operation module, task storage module, data analysis module and status recording module. The method includes connecting the vulnerability mining system to industrial control equipment, collecting industrial control protocol data of industrial control equipment and industrial application software through the web boundary; The data analysis module receives the process data records generated by the plug-in operation and carries out data processing; the data analysis module carries out data processing and sends the task completion identification to the client; the client completes the scanning after receiving the task completion identification. After tracing and exiting, the web interface completes the vulnerability scanning and acquires the scanning result data from the data analysis module and displays the scanning result data, fully mining the unknown industrial control vulnerabilities before operation and online.

【技术实现步骤摘要】
一种工控漏洞挖掘方法及系统
本专利技术涉及信息安全领域，具体地说是指一种工控漏洞挖掘方法及系统。
技术介绍
工业控制系统在工业信息化中有着举足轻重的位置，其广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业，被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节，保证工业设施的正常运转，是国家关键基础设施和信息系统的重要组成部分。同时，正因为这些关键基础设施在国计民生中的重要性，也往往成为国际敌对势力、敌对组织、黑客的攻击目标。ICS-CERT公布数据中，2017年全年的工控安全事件达305件，其中多集中国家关键基础设施行业，工控安全事件呈快速增长的趋势，通过对这些众多的工控安全事件深入分析可以看到，其有一个核心的关键环节就是利用了工业控制系统的“漏洞”，进而攻陷了整个工业控制系统。而工业控制系统公开的漏洞也是呈现出快速增长的趋势，且行业分布广泛。综上所述，目前亟需研发一款针对工业控制设备和工业应用软件的漏洞挖掘设备，充分挖掘在运和上线前的未知工控漏洞，并提出相应的应对措施，可以在很大程度上减少针对工业控制系统的网络攻击。
技术实现思路
本专利技术的目的在于提供一种工控漏洞挖掘方法及系统，通过对工控协议的深度解析，能够判断目标设备的实现与标准协议预期实现的一致性，能够从更深层次了解该协议的工作方式，更有可能从业务层面达到实现对被测设备安全漏洞的挖掘。本专利技术的技术方案：一种工控漏洞挖掘方法，包括以下具体步骤，S1.将漏洞挖掘系统接入到工控设备上，采集工控设备与工业应用软件的工控协议数据；S2.通过漏洞挖掘系统的web界面进行任务配置填写以及任务队列排列并将其存储到任务队列模块中以及向调动引擎发送新任务信号；S3.漏洞挖掘系统的调动引擎根据web界面发送的新任务信号获取任务队列模块中的任务信息并启动客户端；S4.客户端根据任务信息启动插件，插件运行依次完成数据装载、会话连接以及节点遍历；S5.漏洞挖掘系统的数据分析模块接收插件运行产生的过程数据记录，并进行数据处理；S6.数据分析模块进行数据处理并向客户端发送任务完成标识；S7.客户端接收到任务完成标识后完成扫描并退出，web界面完成漏洞扫描并从数据分析模块获取扫描结果数据并进行扫描结果数据展示。所述步骤S3中客户端启动后将任务概要信息发送到状态记录模块，所述步骤S4中插件将节点录入信息、会话录入信息以及过程录入信息发送到状态记录模块，所述客户端根据插件节点遍历完成信息得到任务进度更新信息并将其发送到状态记录模块，所述web界面从状态记录模块获取任务进度信息。所述步骤S7中客户端将任务完成信息发送到状态记录模块中，web界面从状态记录模块中获取到任务完成信息结束漏洞扫描操作。所述步骤S4中插件运行时web界面进行节点信息更新、会话信息展示以及运行队列展示并将节点信息更新、会话信息展示以及运行队列展示发送给状态记录模块。一种工控漏洞挖掘系统，包括协议框架系统、web界面模块、客户端模块、插件运行模块、任务存储模块、数据分析模块以及状态记录模块，所述web界面模块与协议框架系统相连接，用以提供原始数据输入，漏洞扫描任务信息配置、进行运行过程监控，任务启停；所述客户端模块与协议框架系统相连接，用以根据web界面模块的任务启停信息实现驱动转换，插件运行，调用数据分析模块；所述插件运行模块与协议框架系统相连接，用以根据客户端接收的任务信息实现节点初始化、字段填充、会话建立、节点变异、数据发送与接收、状态记录、日志记录以及异常记录，完成漏洞扫描，并将所有的漏洞扫描信息传送到状态记录模块；所述任务存储模块与协议框架系统相连接，用以存储web界面模块配置的任务信息；所述数据分析模块与协议框架系统相连接，用以对客户端模块、插件运行模块以及任务存储模块产生的数据进行分析并将分析结构回传给web界面模块；所述状态记录模块与协议框架系统相连接，用以记录web界面模块、客户端模块以及插件运行模块产生的状态信息。所述协议框架系统还连接调度引擎模块，用以监听获取新任务信号以及启动客户端模块。所述web界面模块包括用户界面模块、配置文件模块、过程监视模块以及crash还原模块，所述web界面模块通过用户界面模块对主机、端口以及协议进行信息配置，所述配置文件模块进行漏洞扫描任务名称输入、原始语言输入以及配置块输入并生成.XML文件进行保存，所述过程监视模块用以对路径包以及实时进程进行监视。所述协议框架系统采用模糊测试框架协议进行构建。所述调度引擎模块入口处接收信号自定义函数，负责接收，web界面模块传来的新任务信号，去任务存储模块的任务队列读取新任务ID或者60s轮询任务队列。与现有技术相比，本专利技术的有益效果是：支持多款串口总线协议；支持多款主流工业以太网协议；丰富细分的协议测试用例，协议格式细分用例、功能细分用例、应用数据细分用例等；完善的模糊测试框架支撑，配合外部DTU供电电源可支持自动化无人值守完成全部测试用例执行检测；DTU资产全局管理，快速端口扫描，指纹识别，类别划分，可视化分类展示；过程化记录，详细至会话及会话内容，精确定位问题位置；进度可视化，总体进度，单用例执行进度，以及实时漏洞展示；监听多样化，远程链路监听，网络监听，端口链接监听、TCPDump备份，多维度获取异常情况；拒绝服务异常时对DTU响应处理，单次响应时间、响应测试可配置，无响应断电重启配置；发包速率，监控发包速率可配置，更加适应多样化被测环境；协议分析参考国内、国际、行业内部规约标准进行数据分析，有法可依，有理有据；结果支持拒绝服务漏洞及协议实现不合规风险分析；漏洞展示详情内容丰富，触发用例名、会话ID、风险类型、发包内容、收包内容、风险原因，问题风险一目了然；支持漏洞即时回放，快速验证、精确定位；支持漏洞收藏，实现客户自主产权，并对同批次设备快速漏洞验证，无须再次长时间扫描；支持前设备指纹特征提取，识别设备类型，进行归类整理；支持漏洞POC扫描插件生成，对线上产品快速扫描普查，无须漏洞触发，无损高效；支持在线报表查看及离线报表导出，内容丰富细致，报表模板内容标题可定义；支持报表自动生成邮件上传。附图说明图1为本专利技术整体结构示意图；图2为本专利技术方法的时序图；图3为本专利技术实施例目标任务配置图；图4为本专利技术实施例协议配置图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。请参阅图1和图2，本专利技术提供一种技术方案：如图2所示，一种工控漏洞挖掘方法，包括以下具体步骤，S1.将漏洞挖掘系统接入到工控设备上，采集工控设备与工业应用软件的工控协议数据；S2.通过漏洞挖掘系统的web界面进行任务配置填写以及任务队列排列并将其存储到任务队列模块中以及向调动引擎发送新任务信号；S3.漏洞挖掘系统的调动引擎根据web界面发送的新任务信号获取任务队列模块中的任务信息并启动客户端；S4.客户端根据任务信息启动插件，插本文档来自技高网...

【技术保护点】
1.一种工控漏洞挖掘方法，其特征在于：包括以下具体步骤，S1.将漏洞挖掘系统接入到工控设备上，采集工控设备与工业应用软件的工控协议数据；S2.通过漏洞挖掘系统的web界面进行任务配置填写以及任务队列排列并将其存储到任务队列模块中以及向调动引擎发送新任务信号；S3.漏洞挖掘系统的调动引擎根据web界面发送的新任务信号获取任务队列模块中的任务信息并启动客户端；S4.客户端根据任务信息启动插件，插件运行依次完成数据装载、会话连接以及节点遍历；S5.漏洞挖掘系统的数据分析模块接收插件运行产生的过程数据记录，并进行数据处理；S6.数据分析模块进行数据处理并向客户端发送任务完成标识；S7.客户端接收到任务完成标识后完成扫描并退出，web界面完成漏洞扫描并从数据分析模块获取扫描结果数据并进行扫描结果数据展示。

【技术特征摘要】
1.一种工控漏洞挖掘方法，其特征在于：包括以下具体步骤，S1.将漏洞挖掘系统接入到工控设备上，采集工控设备与工业应用软件的工控协议数据；S2.通过漏洞挖掘系统的web界面进行任务配置填写以及任务队列排列并将其存储到任务队列模块中以及向调动引擎发送新任务信号；S3.漏洞挖掘系统的调动引擎根据web界面发送的新任务信号获取任务队列模块中的任务信息并启动客户端；S4.客户端根据任务信息启动插件，插件运行依次完成数据装载、会话连接以及节点遍历；S5.漏洞挖掘系统的数据分析模块接收插件运行产生的过程数据记录，并进行数据处理；S6.数据分析模块进行数据处理并向客户端发送任务完成标识；S7.客户端接收到任务完成标识后完成扫描并退出，web界面完成漏洞扫描并从数据分析模块获取扫描结果数据并进行扫描结果数据展示。2.根据权利要求1所述的一种工控漏洞挖掘方法，其特征在于：所述步骤S3中客户端启动后将任务概要信息发送到状态记录模块，所述步骤S4中插件将节点录入信息、会话录入信息以及过程录入信息发送到状态记录模块，所述客户端根据插件节点遍历完成信息得到任务进度更新信息并将其发送到状态记录模块，所述web界面从状态记录模块获取任务进度信息。3.根据权利要求1所述的一种工控漏洞挖掘方法，其特征在于：所述步骤S7中客户端将任务完成信息发送到状态记录模块中，web界面从状态记录模块中获取到任务完成信息结束漏洞扫描操作。4.根据权利要求1所述的一种工控漏洞挖掘方法，其特征在于：所述步骤S4中插件运行时web界面进行节点信息更新、会话信息展示以及运行队列展示并将节点信息更新、会话信息展示以及运行队列展示发送给状态记录模块。5.一种工控漏洞挖掘系统，其特征在于：包括协议框架系统、web界面模块、客户端模块、插件运行模块、任务存储模块、数据分析模块以及状态记录模块，所...

【专利技术属性】
技术研发人员：王捷，王晋，喻潇，田里，刘畅，龙凤，徐江珮，周亮，
申请(专利权)人：国网湖北省电力有限公司电力科学研究院，
类型：发明
国别省市：湖北,42