【技术实现步骤摘要】
一种工业控制系统的漏洞扫描方法、装置及设备
本申请涉及计算机
,特别涉及一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质。
技术介绍
工业控制系统往往涉及一个城市或国家的重要基础设施,比如电力、燃气、自来水等。一旦发生安全问题,后果非常严重,影响广泛。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。近几年工业控制系统漏洞数量逐年大比例提升,安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。工业控制系统网络中有很多资产,例如工程师站、操作站、服务器、控制器(DCS、PLC)、交换机、安全网络设备等,这些设备本身会存在漏洞,一旦这些设备的漏洞被利用会对工业控制系统带来巨大危害。鉴于工业控制系统的重要性,其一旦被破坏不但带来财产损失也会造成安全事故。因此,对工控系统进行漏洞扫描评估,及时解决安全隐患从而加固工控网络,显得十分必要。目前,对工业控制系统的漏洞扫描方案包括主动探测扫描与被动流量解析扫描两种方式:主动探测扫描具备扫描准确性高的特点,但是考虑到主动发包探测对工控系统网络环境要求的实时性、可靠性影响,大部分都只能等到现场停产检修时才能进行漏洞扫描,或者实际搭建一套与现场一致的工控环境才能进行漏洞扫描。且主动探测扫描技术主要基于已知的常规工控协议端口,如MODBUS/TCP端口为502、IEC104端口为2404等,但是部分设备厂商可能将默认端口改为其它非常规端 ...
【技术保护点】
1.一种工业控制系统的漏洞扫描方法,其特征在于,包括:/n获取工业控制系统中目标工控资产的网络通讯参数,其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的;/n根据所述目标工控资产的网络通讯参数,生成探测数据包;/n周期性地获取所述目标工控资产的扫描基准值和正常生产基准值,并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系,其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值,所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值;/n若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间,向所述目标工控资产发送所述探测数据包;若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值,则暂停向所述目标工控资产发送所述探测数据包,直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值;/n接收所述目标工控资产返回的响应数据包,从所述响应数据包提取所述目标工控资产的系统信息,其中所述系统信息包括版本号;/n通过对所述系统信息和工控漏 ...
【技术特征摘要】
1.一种工业控制系统的漏洞扫描方法,其特征在于,包括:
获取工业控制系统中目标工控资产的网络通讯参数,其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的;
根据所述目标工控资产的网络通讯参数,生成探测数据包;
周期性地获取所述目标工控资产的扫描基准值和正常生产基准值,并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系,其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值,所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值;
若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间,向所述目标工控资产发送所述探测数据包;若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值,则暂停向所述目标工控资产发送所述探测数据包,直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值;
接收所述目标工控资产返回的响应数据包,从所述响应数据包提取所述目标工控资产的系统信息,其中所述系统信息包括版本号;
通过对所述系统信息和工控漏洞库进行匹配,得到漏洞扫描结果。
2.如权利要求1所述的方法,其特征在于,在所述获取工业控制系统中目标工控资产的网络通讯参数之前,还包括:
通过配置交换机的镜像端口,获取工业控制系统的网络流量数据;
通过分析所述网络流量数据,确定所述工业控制系统中各个工控资产的网络通讯参数,所述网络通讯参数包括工业应用层协议、端口号和IP地址。
3.如权利要求2所述的方法,其特征在于,在所述获取工业控制系统中目标工控资产的网络通讯参数之前,还包括:
根据当前扫描任务,确定工业控制系统中待扫描的目标工控资产,所述当前扫描任务包括IP地址的范围区间。
4.如权利要求1-3任意一项所述的方法,其特征在于,所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间,向所述目标工控资产发送所述探测数据包,包括:
在开始扫描的第N个周期内,若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间,动态调整发包速率,并按照调整后的发包速率向所述目标工控资产发送所述探测数据包,其中N大于等于2。
5.如权利要求4所述的方法,其特征在于,所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间,向所述目标工控资产发送所述探测数据包,包括:
在开始扫描的第一个周期内,若所述目...
【专利技术属性】
技术研发人员:李显松,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。