【技术实现步骤摘要】
一种发电厂工业控制系统的漏洞发现方法
[0001]本专利技术属于工控系统漏洞检测领域,具体涉及一种发电厂工业控制系统漏洞发现方法。
技术介绍
[0002]发电厂属于国家关键生产基础设施,若被恶意攻击,工业控制系统崩溃,后果将不堪设想。因此,定期对发电厂工业控制系统漏洞进行检测,及时发现发电厂工业控制系统安全风险,并对发现的安全漏洞采用相应的策略和防护措施及时加固,具有极强的政治必要性。目前,发电厂工业控制系统的安全防护一直以来都是使用传统安全防护措施,以“横向隔离、纵向认证”的边界防护技术为主,缺乏对站内的安全防护的建设,“安全边界”早已模糊,在有限认知和静态的安全策略指引下,构建的安全防护措施就犹如建在沙滩上的房子,迟早都会坍塌。如何建立动态的、主动的工业控制系统安全防护新体系,是保障发电厂工业控制系统安全运行的关键。
技术实现思路
[0003]本专利技术的目的是为了解决现有技术中存在的缺陷,提供一种能够主动进行安全防护,保障发电厂工控系统稳定安全运行的漏洞发现方法。
[0004]为了达到上述目的,本专利技术提供的技术方案如下:
[0005]一种发电厂工业控制系统的漏洞发现方法,该漏洞发现方法自动识别电厂工控系统网络资产清单,根据资产清单进行安全漏洞扫描;协议识别获取工业通信协议,构造和维护相应的写模型脚本,生成测试用例进行未知漏洞挖掘。
[0006]本专利技术基于资产构架嗅探、协议识别,进行已知漏洞扫描和未知漏洞挖掘,从而构建主动的、动态的电厂控制系统信息安全系统。>[0007]具体技术方案如下:
[0008]通过对发电企业内网业务信息流和设备功能配置特性的深度研究分析,建立业务信息流安全库和设备工作行为安全库,识别电厂控制系统网络资产清单。依据对电厂信息安全风险识别,利用网络爬虫和自然语言处理技术构建电厂控制系统安全漏洞库,结合已知漏洞的原理和入侵行为的特性,采用指纹识别技术智能识别对电厂控制系统内网的潜在攻击行为,利用模糊测试等人工智能技术实现未知漏洞挖掘,并从风险发生可能性和风险影响严重程度两个方面开展信息安全度量,自动对电厂控制系统潜在安全隐患进行统计分析。在此技术基础上,实现具有资产架构嗅探、已知漏洞扫描、未知漏洞挖掘、异常行为预警和入侵检测、漏洞统计分析功能的电厂控制系统信息安全装置,构建主动的、动态的电厂控制系统信息安全系统。
[0009]基于CVE、CVND等漏洞库中工控行业的漏洞信息,设计研发工控漏洞发现分析系统,系统主要包括漏洞库构建、资产发现与协议识别、未知漏洞挖掘、已知漏洞扫描、风险评估和分析等主要功能模块,实现方法如下:
[0010]1、漏洞指纹库构建
[0011]二十世纪九十年代美国国家标准协会开展了操作系统安全研究项目,相关研究机构对大型系统漏洞进行收集,并根据漏洞发现时间、漏洞产生的原因和漏洞所处的位置进行了简单的分类。由MITRE公司负责维护的通用漏洞列表(CommonVulnerabilities and Exposures,CVE)成为全球公认的安全漏洞索引标准,该项目将已暴露并引起广泛认同的安全漏洞进行编号,定期对漏洞列表进行发布,方便漏洞信息的共享。2009年以来,我国先后推出了中国国家漏洞库、国家信息安全漏洞共享平台CNVD、国家安全漏洞库等颇具规模的漏洞库。本专利技术基于 CVE、CNVD等著名漏洞库自动爬取工控系统安全漏洞信息,并用自然语言处理技术对爬取到的信息进行自动分析、过滤和整合,建立全面准确的电厂控制系统漏洞指纹库。
[0012]2、资产发现和协议识别
[0013]资产发现主要对网络上的资产清单进行管理,包括管理主机OS版本、IP、 MAC、PORT等基础硬件信息,还将提供资产的漏洞数量、软件包名称、网络服务的状态、产生网络报警数量等,从资产、漏洞和威胁多个维度分析网络风险,从而提升系统漏洞扫描有效的防御手段。通过TCP SYS/ACK、UDP和ICMP等数据包任意组合起来发送以探测活动的目标主机并探测端口的状态。通过对远程机器端口的探测,确认目标主机开启了哪些网络服务。使用TCP和UDP报文,将返回结果与漏洞指纹库已知的操作系统的fingerprints进行比较,查找匹配操作系统。
[0014]工业通信协议不同于一般的网络通信协议,通信协议是一种有状态数据的协议,协议内容规则较多。协议识别模块采用正则表达式方式,实现工业通信过程中协议数据包的采集和识别,构造和维护相应的协议模型脚本,为测试用例的生成提供基本条件。
[0015]3、已知漏洞扫描
[0016]已知漏洞扫描也称为脆弱性评估(Vulnerability Assessment),其基本原理是采用模拟黑客入侵的方式对目标可能存在的已知安全漏洞进行逐项检测,以检测被检测系统上有无安全上的漏洞,对目标可能存在的已知安全漏洞进行逐项检查。基于OpenVAS(Open Vulnerability Assessment System)的实现思路,同时采用外部查询和内容采集两种方式收集指定目标主机的信息,将收集到的信息与已知的安全漏洞进行比对,找出其中可能存在的安全隐患。目标可以是工作站、服务器、交换机、数据库应用等各种对象。
[0017]4、未知漏洞挖掘
[0018]基于模糊测试技术实现未知漏洞挖掘。模糊测试技术是当前工业界普遍采用的网络安全漏洞挖掘方法,已经成为检查程序可靠性和安全性的一个重要的测试手段。利用模糊测试技术反复向应用程序或被测设备输入非预期的数据,并在输入的同时监控输出中出现的异常。在未知漏洞挖掘中,基于协议识别模块中生成的工控协议模型脚本,在开源Fuzzing测试框架Peach的基础上,生成针对工控协议的模糊漏洞挖掘测试用例。并在测试用例生成时,为了避免重复测试用例造成测试时间的浪费,利用哈希算法对测试用例进行了去重操作。为了提高测试用例使用效果,系统的模糊数据字段生成拟使用异常变量数据库提前存储部分具有一定测试效果的模糊变量,同时该数据库能够对异常变量进行自学习式的维护和更新。在模糊测试过程中,首先从异常变量数据库中选取部分异常变量数据加入到模糊数据列表中生成测试用例,然后通过模糊测试引擎将模糊数据列表中的数据加以
变异,通过会话接口发向目标对象,使测试更加明确可行。
[0019]5、风险评估和分析
[0020]风险评估和分析对系统的漏洞信息进行统计分析。根据月份对不同级别的漏洞进行汇总,可发现整个年度漏洞发生的变化趋势;在对一定时间段的漏洞信息按照产生原因或漏洞利用的主要位置进行汇总,可发现工控行业漏洞产生的主要原因或漏洞利用最常见的位置,这对于工业控制系统防护人员有针对性地加强工控系统防护有重要意义,对设备和系统的风险评估和安全预警提供了有力的数据支撑。同时,根据扫描结果向自动生成周密可靠的安全性分析报告。
[0021]本专利技术相比现有技术具有以下优点:
[0022]1、本专利技术通过识别工控系统的资产清单及工业通信协议,并基于此进行安全漏洞的扫描和未知漏洞的挖掘,能够主本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种发电厂工业控制系统的漏洞发现方法,其特征在于,所述发电厂工业控制系统的漏洞发现方法自动识别电厂工控系统网络资产清单,根据资产清单进行安全漏洞扫描;协议识别获取工业通信协议,构造和维护相应的写模型脚本,生成测试用例进行未知漏洞挖掘。2.根据权利要求1所述的发电厂工业控制系统的漏洞发现方法,其特征在于,所述电厂工控系统网络资产清单包括目标对象的型号、固定版本、通信协议、操作系统、IP、端口、网络服务。3.根据权利要求2所述的发电厂工业控制系统的漏洞发现方法,其特征在于,所述电厂工控系统网络资产清单的自动识别过程如下:(1.1.1)进行目标存活性检测,如果目标在线就进行下一步扫描,否则结束检测;(1.1.2)利用协议栈指纹识别技术检测扫描目标的操作系统类型;(1.1.3)检测目标的开放端口,判断目标所提供的应用服务。4.根据权利要求3所述的发电厂工业控制系统的漏洞发现方法,其特征在于,根据资产清单进行安全漏洞扫描之前,先收集建立工业控制系统安全漏洞指纹库,然后对工控系统网络进行外部扫描,查询网络服务端口,收集反馈信息,再对网络主机进行内部扫描,收集软件安装及配置信息,最后根据被测设备的型号、固件、通讯协议等指纹信息进行检测规则的自动匹配,从而检测是否存在已知漏洞。5.根据权利要求4所述的发电厂工业控制系统的漏洞发现方法,其特征在于,所述工业控制系统安全漏洞指纹库通过搜集和整合CVE、NVD和CNVD标准漏洞库数据来构建。6.根据权利要求5所述的发电厂工业控制系统的漏洞发现方法,其特征在于,所述工业通信协议的获取包括以下步骤:(1.2.1)抓取网络协议报文数据包,以源端口号、源IP地址、协议类型(TCP/UDP)、目的端口号、目的IP地址的五元组信息数据流为单位解析形成数据报文集合,建立协议指纹特征库;(1.2.2)对未知协议报文流进行报文数据包解析,提取其五元组属性形成协议指纹;(1.2...
【专利技术属性】
技术研发人员:张潇,潘杨,
申请(专利权)人:国家能源集团科学技术研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。