一种工业控制系统的漏洞扫描方法、装置及设备制造方法及图纸

本申请公开了一种工业控制系统的漏洞扫描方法，该方法结合主动探测扫描和被动流量解析扫描的特点，一方面，通过分析工业控制系统的网络流量数据得到目标工控资产的网络通讯参数，避免端口扫描结果不准确的问题；另一方面，在扫描过程中实时监测目标工控资产的实时流量、扫描基准值和正常生产基准值之间的大小关系，若实时流量超过扫描基准值，则暂停扫描，最大化的减少对系统网络的影响，避免造成系统网络阻塞。此外，本申请还提供了一种工业控制系统的漏洞扫描装置、设备及可读存储介质，其技术效果与上述方法的技术效果相对应。

【技术实现步骤摘要】
一种工业控制系统的漏洞扫描方法、装置及设备
本申请涉及计算机
，特别涉及一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质。
技术介绍
工业控制系统往往涉及一个城市或国家的重要基础设施，比如电力、燃气、自来水等。一旦发生安全问题，后果非常严重，影响广泛。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施，在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。近几年工业控制系统漏洞数量逐年大比例提升，安全漏洞的涌现，无疑为工业控制系统增加了风险，进而影响正常的生产秩序，甚至会危及人员健康和公共财产安全。工业控制系统网络中有很多资产，例如工程师站、操作站、服务器、控制器(DCS、PLC)、交换机、安全网络设备等，这些设备本身会存在漏洞，一旦这些设备的漏洞被利用会对工业控制系统带来巨大危害。鉴于工业控制系统的重要性，其一旦被破坏不但带来财产损失也会造成安全事故。因此，对工控系统进行漏洞扫描评估，及时解决安全隐患从而加固工控网络，显得十分必要。目前，对工业控制系统的漏洞扫描方案包括主动探测扫描与被动流量解析扫描两种方式：主动探测扫描具备扫描准确性高的特点，但是考虑到主动发包探测对工控系统网络环境要求的实时性、可靠性影响，大部分都只能等到现场停产检修时才能进行漏洞扫描，或者实际搭建一套与现场一致的工控环境才能进行漏洞扫描。且主动探测扫描技术主要基于已知的常规工控协议端口，如MODBUS/TCP端口为502、IEC104端口为2404等，但是部分设备厂商可能将默认端口改为其它非常规端口，如将IEC104端口改为2405等，导致采用传统端口扫描结果不准确甚至不能扫描出结果。被动流量解析扫描具备对已有工控网络环境零干扰的优势，但是该方式需要长时间的去解析通讯流量，获取跟设备与系统指纹相关的信息后才能够识别资产并进行漏洞匹配，一方面扫描质量差，时间周期长；另一方面被动流量获取设备及系统通讯指纹的数据有限，导致扫描结果误差很大。综上，如何提供一种工业控制系统的漏洞扫描方案，避免漏洞扫描时对工控网络业务造成影响，以及导致网络拥塞延迟甚至中断的现象，是亟待本领域技术人员解决的问题。
技术实现思路
本申请的目的是提供一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质，用以解决传统的漏洞扫描方案要么会对网络业务造成影响，要么会导致系统网络阻塞的问题。其具体方案如下：第一方面，本申请提供了一种工业控制系统的漏洞扫描方法，包括：获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；根据所述目标工控资产的网络通讯参数，生成探测数据包；周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。优选的，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和IP地址。优选的，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：根据当前扫描任务，确定工业控制系统中待扫描的目标工控资产，所述当前扫描任务包括IP地址的范围区间。优选的，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：在开始扫描的第N个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，动态调整发包速率，并按照调整后的发包速率向所述目标工控资产发送所述探测数据包，其中N大于等于2。优选的，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：在开始扫描的第一个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，按照发包速率的初始值向所述目标工控资产发送所述探测数据包。优选的，在所述若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包之后，还包括：将发包速率重置为初始值。第二方面，本申请提供了一种工业控制系统的漏洞扫描装置，包括：通讯参数获取模块：用于获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；数据包生成模块：用于根据所述目标工控资产的网络通讯参数，生成探测数据包；判断模块：用于周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；数据包发送模块：用于若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；数据包接收模块：用于接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；匹配模块：用于通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。优选的，还包括：流量数据获取模块：用于通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；流量数据分析模块：用于通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和IP地址。第三方面，本申请提供了一种工业控制系统的漏洞本文档来自技高网...

【技术保护点】
1.一种工业控制系统的漏洞扫描方法，其特征在于，包括：/n获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；/n根据所述目标工控资产的网络通讯参数，生成探测数据包；/n周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；/n若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；/n接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；/n通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。/n...

【技术特征摘要】
1.一种工业控制系统的漏洞扫描方法，其特征在于，包括：
获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；
根据所述目标工控资产的网络通讯参数，生成探测数据包；
周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；
若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；
接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；
通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。


2.如权利要求1所述的方法，其特征在于，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：
通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；
通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和IP地址。


3.如权利要求2所述的方法，其特征在于，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：
根据当前扫描任务，确定工业控制系统中待扫描的目标工控资产，所述当前扫描任务包括IP地址的范围区间。


4.如权利要求1-3任意一项所述的方法，其特征在于，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：
在开始扫描的第N个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，动态调整发包速率，并按照调整后的发包速率向所述目标工控资产发送所述探测数据包，其中N大于等于2。


5.如权利要求4所述的方法，其特征在于，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：
在开始扫描的第一个周期内，若所述目...

【专利技术属性】
技术研发人员：李显松，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江;33