一种面向工控设备的安全测试系统及其工作方法技术方案

本发明专利技术涉及一种面向工控设备的安全测试系统及其工作方法，该系统包括资产识别模块、拓扑构建模块、测试规则模块、攻击生成模块、安全判别模块、数据采集模块、系统监控模块、库管理模块、用户配置模块和信息展示模块；本发明专利技术提供的面向工控设备的安全测试系统不仅能够针对单独的工业控制系统设备进行安全性检测；而且能够针对多种工业控制拓扑进行安全性测试。根据得到的安全测试结果，可以准确找出设备脆弱点，后续着重分析设备脆弱点，有针对性的加以改善，实现安全测试的意义。

【技术实现步骤摘要】
一种面向工控设备的安全测试系统及其工作方法
本专利技术涉及一种面向工控设备的安全测试系统及其工作方法，属于工控设备的安全

技术介绍
随着计算机网络技术和工业控制系统的飞速发展，工业化与信息化深度融合，工控系统的通信也更加深入的涉及公共网络的连接。高度融合信息化的工业系统使工业控制行业更加便利的同时，也使得工业控制系统本身的脆弱性渐渐凸显，针对工业控制系统设备的攻击逐渐增多，设备面临的安全性问题日益显现，如设备面临不同层次攻击，同时设备本身也存在安全问题。目前，针对工业控制系统的安全性测试系统主要是针对单一攻击(拒绝服务攻击，重放攻击，数据注入攻击等)；或单独层次(应用层、网络层、设备层)；或单独设备(控制器、执行器、传感器等)；或某种特定工业环境(电力系统、水处理系统、石油化工系统、天然气系统等)。其通过捕获特定攻击特征或行为特征对待测对象进行攻击，根据返回结果，与预期结果进行对比，得出待测对象的安全评估结果。上述方法虽然有较好的评估结果，但其规模小，可扩展性差，且应用场景有限，通用性不好。
技术实现思路
针对现有技术的不足，本专利技术提供了一种面向工控设备的安全测试系统，该系统包括资产识别模块、拓扑构建模块、测试规则模块、攻击生成模块、安全判别模块、数据采集模块、系统监控模块、库管理模块、用户配置模块和信息展示模块；首先把待测设备放入典型工业控制系统拓扑中，通过对设备指纹信息的扫描匹配，对设备漏洞进行扫描或挖掘，根据指纹信息选择可利用漏洞攻击待测设备，记录攻击数据，监控运行状态，制定测试规则，对待测设备进行安全测试。本专利技术提供的针对工业控制系统设备的安全测试系统不仅为设备提供全面的、定制化的安全性测试，还可以为后续系统分析提供数据支撑。本专利技术还提供了上述面向工控设备的安全测试系统的工作方法。术语解释：1.ISF：IndustrialSecurityFramework是一款采用Python语言开发的，针对工业控制系统的漏洞利用框架。2.OpenVAS扫描系统：OpenVAS是开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器，包括一套网络漏洞测试程序，可以检测远程系统和应用程序中的安全问题。3.CNVD：国家信息安全漏洞共享平台。4.CVE：CommonVulnerabilities&Exposures，公共漏洞和暴露，为漏洞和暴露确定了唯一的名称。本专利技术的技术方案为：一种面向工控设备的安全测试系统，该系统包括资产识别模块、拓扑构建模块、测试规则模块、攻击生成模块、安全判别模块、数据采集模块、系统监控模块、库管理模块、用户配置模块和信息展示模块；所述资产识别模块对待测设备进行设备信息识别，构建设备指纹库，并将设备信息传输到拓扑构建模块；所述用户配置模块向拓扑构建模块、测试规则模块、攻击生成模块、数据采集模块、系统监控模块提供用户的配置选择；根据用户的配置选择，针对资产识别模块识别得到的设备信息，拓扑构建模块构建完整拓扑结构，测试规则模块制定安全测试规则，攻击生成模块进行漏洞攻击，并将产生的攻击数据传输到安全判别模块中进行安全性判别，并将安全性判别结果反馈给数据采集模块，系统监控模块对数据采集模块中的监控项数据进行监控；监控项数据为组态软件上及监控软件上的原生监控功能的监控项，包括设备运行状态、关键值范围、设备指示灯和固件版本；库管理模块对资产识别模块构建的设备指纹库和攻击生成模块产生的漏洞库进行管理；资产识别模块识别得到的设备信息、拓扑构建模块构建的完整拓扑结构、测试规则模块提供的安全测试规则、攻击生成模块产生的攻击数据、安全判别模块得到的安全测试结果、数据采集模块从安全判别模块采集的数据、系统监控模块从数据采集模块得到的监控项数据均在信息展示模块进行可视化展示。上述面向工控设备的安全测试系统的工作方法，包括：(1)资产识别模块对待测设备进行设备信息识别，并将识别的设备信息与用户手动输入设备信息进行匹配、融合，构建设备指纹库；(2)根据用户配置模块的拓扑结构选择，拓扑构建模块构建待测设备的完整拓扑结构；(3)测试规则模块制定安全测试规则，并根据用户配置模块的测试规则选择对安全测试要求项进行测试；(4)根据用户配置模块的攻击方法选择，攻击生成模块对工控设备进行漏洞分析，并利用漏洞生成攻击；(5)根据攻击生成模块产生的攻击数据，安全判别模块进行安全性判别，并将安全性判别的结果反馈给数据采集模块；根据用户配置模块的报警阈值配置，系统监控模块对数据采集模块中的监控项数据进行监控；(6)库管理模块根据数据采集模块所采集的信息，管理安全测试系统的设备指纹库和漏洞库；(7)资产识别模块识别得到的设备信息、拓扑构建模块构建的完整拓扑结构、测试规则模块提供的安全测试规则、攻击生成模块产生的攻击数据、安全判别模块得到的安全性测试结果、数据采集模块从安全判别模块采集的数据、系统监控模块从数据采集模块得到的监控项数据均在信息展示模块进行可视化展示。根据本专利技术优选的，所述步骤(4)中，攻击生成模块生成攻击的方法包括基于漏洞扫描的攻击和基于漏洞挖掘的攻击；4-1、基于漏洞扫描的攻击：根据用户的选择，基于漏洞扫描的攻击为基于工具集的漏洞扫描攻击或基于漏洞攻击模板的漏洞扫描攻击；若用户未选择，则默认进行基于工具集的漏洞扫描攻击；①基于工具集的漏洞扫描攻击包括步骤：将漏洞扫描的工具集成工具集，并对IT漏洞和工业控制系统的设备漏洞进行扫描；用于漏洞扫描攻击的工具包括Recon-ng系统和openVAS扫描系统；漏洞扫描的工具集集成了目前大部分针对常用操作系统和工控设备的漏洞扫描工具，所述漏洞扫描工具以Recon-ng系统和openVAS扫描系统为基础，后续可集成插件；针对工具集扫描得到的漏洞，按照CWE安全漏洞分类标准对安全测试系统漏洞库中漏洞进行多维漏洞分类；若用户选择部分设备测试，则根据用户所选的测试项和测试项相关漏洞进行匹配，利用工具集对漏洞进行待测工控设备攻击；所述工具集以ISF为基础，然后利用脚本集成漏洞；若用户选择整体测试，或未进行选择，均进行整体测试，则利用所有扫描得到的漏洞进行待测工控设备攻击；②基于漏洞攻击模板的漏洞扫描攻击包括步骤：a.构建多维关联漏洞库：对CNVD漏洞库、CVE漏洞库中工控系统的漏洞进行爬取；不同漏洞数据库之间存在冗余和异构，将CNVD漏洞库、CVE漏洞库中漏洞标识、系统安全配置、漏洞危害评估、漏洞评估语言标准化，进行漏洞库的漏洞条目融合，使漏洞库中每个漏洞只有一个记录；按照CWE安全漏洞分类标准对本系统漏洞库中漏洞进行多维漏洞分类，同时进行漏洞量化处理，完成多维关联漏洞库的构建，所述量化处理是将漏洞名称、漏洞类型、使用端口、漏洞特征存入漏洞库；b.生成攻击模板：根据生成的多维关联漏洞库构建漏洞攻击模板；<本文档来自技高网...

【技术保护点】
1.一种面向工控设备的安全测试系统，其特征在于，该系统包括资产识别模块、拓扑构建模块、测试规则模块、攻击生成模块、安全判别模块、数据采集模块、系统监控模块、库管理模块、用户配置模块和信息展示模块；/n所述资产识别模块对待测设备进行设备信息识别，构建设备指纹库，并将设备信息传输到拓扑构建模块；/n所述用户配置模块向拓扑构建模块、测试规则模块、攻击生成模块、数据采集模块、系统监控模块提供用户的配置选择；根据用户的配置选择，针对资产识别模块识别得到的设备信息，拓扑构建模块构建完整拓扑结构，测试规则模块制定安全测试规则，攻击生成模块进行漏洞攻击，并将产生的攻击数据传输到安全判别模块中进行安全性判别，并将安全性判别结果反馈给数据采集模块，系统监控模块对数据采集模块中的监控项数据进行监控；/n库管理模块对资产识别模块构建的设备指纹库和攻击生成模块产生的漏洞库进行管理；/n资产识别模块识别得到的设备信息、拓扑构建模块构建的完整拓扑结构、测试规则模块提供的安全测试规则、攻击生成模块产生的攻击数据、安全判别模块得到的安全测试结果、数据采集模块从安全判别模块采集的数据、系统监控模块从数据采集模块得到的监控项数据均在信息展示模块进行可视化展示。/n...

【技术特征摘要】
1.一种面向工控设备的安全测试系统，其特征在于，该系统包括资产识别模块、拓扑构建模块、测试规则模块、攻击生成模块、安全判别模块、数据采集模块、系统监控模块、库管理模块、用户配置模块和信息展示模块；
所述资产识别模块对待测设备进行设备信息识别，构建设备指纹库，并将设备信息传输到拓扑构建模块；
所述用户配置模块向拓扑构建模块、测试规则模块、攻击生成模块、数据采集模块、系统监控模块提供用户的配置选择；根据用户的配置选择，针对资产识别模块识别得到的设备信息，拓扑构建模块构建完整拓扑结构，测试规则模块制定安全测试规则，攻击生成模块进行漏洞攻击，并将产生的攻击数据传输到安全判别模块中进行安全性判别，并将安全性判别结果反馈给数据采集模块，系统监控模块对数据采集模块中的监控项数据进行监控；
库管理模块对资产识别模块构建的设备指纹库和攻击生成模块产生的漏洞库进行管理；
资产识别模块识别得到的设备信息、拓扑构建模块构建的完整拓扑结构、测试规则模块提供的安全测试规则、攻击生成模块产生的攻击数据、安全判别模块得到的安全测试结果、数据采集模块从安全判别模块采集的数据、系统监控模块从数据采集模块得到的监控项数据均在信息展示模块进行可视化展示。


2.如权利要求1所述的一种面向工控设备的安全测试系统的工作方法，其特征在于，包括：
(1)资产识别模块对待测设备进行设备信息识别，并将识别的设备信息与用户手动输入设备信息进行匹配、融合，构建设备指纹库；
(2)根据用户配置模块的拓扑结构选择，拓扑构建模块构建待测设备的完整拓扑结构；
(3)测试规则模块制定安全测试规则，并根据用户配置模块的测试规则选择对安全测试要求项进行测试；
(4)根据用户配置模块的攻击方法选择，攻击生成模块对工控设备进行漏洞分析，并利用漏洞生成攻击；
(5)根据攻击生成模块产生的攻击数据，安全判别模块进行安全性判别，并将安全性判别的结果反馈给数据采集模块；根据用户配置模块的报警阈值配置，系统监控模块对数据采集模块中的监控项数据进行监控；
(6)库管理模块根据数据采集模块所采集的信息，管理安全测试系统的设备指纹库和漏洞库；
(7)资产识别模块识别得到的设备信息、拓扑构建模块构建的完整拓扑结构、测试规则模块提供的安全测试规则、攻击生成模块产生的攻击数据、安全判别模块得到的安全性测试结果、数据采集模块从安全判别模块采集的数据、系统监控模块从数据采集模块得到的监控项数据均在信息展示模块进行可视化展示。


3.根据权利要求2所述的一种面向工控设备的安全测试系统的工作方法，其特征在于，所述步骤(4)中，攻击生成模块生成攻击的方法包括基于漏洞扫描的攻击和基于漏洞挖掘的攻击；
4-1、基于漏洞扫描的攻击：
根据用户的选择，基于漏洞扫描的攻击为基于工具集的漏洞扫描攻击或基于漏洞攻击模板的漏洞扫描攻击；
若用户未选择，则默认进行基于工具集的漏洞扫描攻击；
①基于工具集的漏洞扫描攻击包括步骤：
将漏洞扫描的工具集成工具集，并对IT漏洞和工业控制系统的设备漏洞进行扫描；用于漏洞扫描攻击的工具包括Recon-ng系统和openVAS扫描系统；
针对工具集扫描得到的漏洞，按照CWE安全漏洞分类标准对安全测试系统漏洞库中漏洞进行多维漏洞分类；
若用户选择部分设备测试，则根据用户所选的测试项和测试项相关漏洞进行匹配，利用工具集对漏洞进行待测工控设备攻击；所述工具集以ISF为基础，然后利用脚本集成漏洞；
若用户选择整体测试，或未进行选择，均进行整体测试，则利用所有扫描得到的漏洞进行待测工控设备攻击；
②基于漏洞攻击模板的漏洞扫描攻击包括步骤：
a.构建多维关联漏洞库：对CNVD漏洞库、CVE漏洞库中工控系统的漏洞进行爬取；将CNVD漏洞库、CVE漏洞库中漏洞标识、系统安全配置、漏洞危害评估、漏洞评估语言标准化，进行漏洞库的漏洞条目融合，使漏洞库中每个漏洞只有一个记录；
按照CWE安全漏洞分类标准对本系统漏洞库中漏洞进行多维漏洞分类，同时进行漏洞量化处理，完成多维关联漏洞库的构建，所述量化处理是将漏洞名称、漏洞类型、使用端口、漏洞特征存入漏洞库；
b.生成攻击模板：根据生成的多维关联漏洞库构建漏洞攻击模板；
首先分析工控通信协议、交互模式、通信行为，为工控通信协议建立状态模型，使状态模型覆盖所有通信协议状态路径；所述工控通信协议包括Modbus协议，S7协议，DNP3协议，OPC协议；
基于生成的状态模型，根据多维关联漏洞库中待选取漏洞的特征信息，修改协议状态模型的特征字段，构造攻击数据包；所述特征信息包括漏洞利用条件、漏洞影响、漏洞危害性；
c.匹配攻击模板：根据通信协议、开放端口、系统版本、设备指纹信息，在多维关联漏洞库中查询能够利用的漏洞，选择其攻击模板；
若用户选择部分设备测试，则根据所测部分匹配该类型漏洞的攻击模板，进行待测工控设备攻击；
若用户选择整体测试，或未进行选择，均进行整体测试；利用所有已扫描漏洞的攻击模板进行待测工控设备攻击；针对应用层攻击、网络层攻击、感知控制层攻击，进行关联工作，保证多维漏洞的关联性，构成攻击链，对待测工控设备进行脆弱点多维关联攻击；
4-2、基于漏洞挖掘的攻击：
根据用户的选择，所述基于漏洞挖掘的攻击为基于工具集的漏洞挖掘攻击或基于漏洞挖掘方法的攻击，

【专利技术属性】
技术研发人员：张耀方，王子博，张格，王佰玲，刘志尧，王巍，
申请(专利权)人：哈尔滨工业大学威海，国家工业信息安全发展研究中心，
类型：发明
国别省市：山东;37