本发明专利技术公开了一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,包括以下步骤:S01,基于树莓派开发板系统烧录,构造工控漏洞检测指纹库,添加工控协议漏洞、工控信息探测脚本和工控PLC漏洞检测脚本至树莓派;S02,利用工控信息探测脚本对工控主机进行存活检测,得到存活工控主机;S03,利用工控PLC漏洞检测脚本对存活工控主机地址的端口进行探测,确定开放的端口号,对需要检测的工控主机的开放端口进行扫描以及工控协议的识别,发现工控协议漏洞;S04,根据工控漏洞检测指纹库制定漏洞检测POC代码,验证工控协议漏洞。本发明专利技术提供的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,能够充分利用树莓派部署的便捷性和可扩展性,提高新能源边缘工业控制系统漏洞检测效率。测效率。测效率。
【技术实现步骤摘要】
一种基于树莓派的新能源边缘工业控制系统漏洞检测方法
[0001]本专利技术具体涉及一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,属于漏洞检测
技术介绍
[0002]我国新能源风力发电厂大多地处偏远,风机分布位置相对分散,目前在控制方式上采用四级控制,分别是现场侧、场站侧、集控侧、总控侧。其中现场侧主要是风机主控对现场侧下发各种控制调节命令。新能源边缘工业控制系统普遍采用国外的工控设备和工业控制系统协议,面临着严重的网络安全隐患问题。
[0003]新能源风电网络系统的安全性可直接影响新能源风力发电的稳定性,在新能源风电风机主控设备使用Modbus/TCP协议实现风机控制,转舵等控制动作,通过实验可以实现无线方式对其实施中间人攻击,重放控制指令导致风机意外停机或进行反复启停操作。攻击者利用新能源风电存在的边界安全隐患问题攻击风电场,可直接造成风机意外停机或重启,一旦遭到网络攻击将严重影风电场的安全。
[0004]目前传统的自动化漏洞探测技术基于漏洞指纹探测和模糊识别技术,传统基于指纹探测的漏洞探测技术需要设置大量的漏洞指纹库,而且指纹库不可修改,需要发起大量的请求报文,并且识别率低。模糊识别技术主要通过构造异常的数据包来探测被测目标的响应来判断服务漏洞。智能探具Sulley主要针对协议的模糊测试,需要手动设置探测协议的参数。Peach fuzzer利用“畸形文件”检测目标设备的稳定性和目标代码的健壮性,不适用于对运行状态的工控组件进行检测。现有的工控安全检测设备部署在传统主机上,更新升级缓慢,携带不方便,且存在耗电量大不易部署等情况。
技术实现思路
[0005]本专利技术要解决的技术问题是,克服现有技术的缺陷,提供一种能够充分利用树莓派部署的便捷性和可扩展性,提高新能源边缘工业控制系统漏洞检测效率的基于树莓派的新能源边缘工业控制系统漏洞检测方法。
[0006]为解决上述技术问题,本专利技术采用的技术方案为:
[0007]一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,包括以下步骤:
[0008]S01,基于树莓派开发板系统烧录,构造工控漏洞检测指纹库,添加工控协议漏洞、工控信息探测脚本和工控PLC漏洞检测脚本至树莓派;
[0009]S02,利用所述工控信息探测脚本对工控主机进行存活检测,得到存活工控主机;
[0010]S03,利用所述工控PLC漏洞检测脚本对存活工控主机地址的端口进行探测,确定开放的端口号,对需要检测的工控主机的开放端口进行扫描以及工控协议的识别,发现工控协议漏洞;
[0011]S04,根据所述工控漏洞检测指纹库制定漏洞检测POC代码,验证所述工控协议漏洞,实现工控协议漏洞检测。
[0012]S01中,树莓派开发板系统烧录采用无线接入设备来实现。
[0013]S02中,对于待检测的IP地址段,对该IP地址段采用ICMP协议探测,对存活的每个地址段进行C段检测,以及确定开放的端口和服务,根据Ipv4地址构造结构,循环遍历IP地址,分别对B段、C段、D段进行了递增的遍历。
[0014]S03中,调用nmap扫描器对特定的主机进行全端口扫描以及工控协议的识别,nmap扫描器中设有针对不同工控协议的检测脚本NSE。
[0015]S01到S04整个过程基于网络流量检测,从检测确认有漏洞的网络流量中确定数据检测区域,在数据检测区域中采集工控系统的关键控制指令,然后采用特征词检索算法过滤高频度使用的关键控制指令,基于过滤后的关键控制指令构造重放攻击,检测工控协议安全。
[0016]特征词检索算法包括如下步骤:
[0017]基于数据检测区域D构建加权的特征词指纹库,加权的特征词指纹库定义为FingerPrint={k1,k2,
···
k
n
},其中k1,k2,...k
n
是一组待检索特征词,下标n表示指定的第n个特征词的序号;
[0018]多次查询加权的特征词指纹库中加权特征词,计算第j次查询特征词指纹库中最大值Q
j
,Q
j
=max{k1·
w1,k2w2,
···
k
n
w
n
},其中w1,w2,...w
n
分别是特征词k1,k2,...k
n
在数据检测区域D中的权重值,计算第j次查询数据检测区域D上加权特征词的映射分布情况其中表示映射指数,D
j
表示第j次在数据检测区域D上的取值;
[0019]根据Q
j
和D
j
数值计算最终的特征分布情况
[0020]本专利技术的有益效果:本专利技术提供的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,基于成本小的树莓派,充分利用树莓派部署的便捷性和可扩展性,搭建工控漏洞检测平台,能够提升新能源工业控制系统网络安全防御能力和对边界工业控制系统漏洞检测效率;利用已知工控漏洞指纹和新能源工控特征主动挖掘技术,构造新能源工业控制系统特征词数据库池,使用算法定位高频度的特征词分布情况,实现对新能源边缘工业控制的系统漏洞检测,能够解决新能源边缘工业控系统网络安全检测问题。
附图说明
[0021]图1为本专利技术基于树莓派漏洞检测原理示意图;
[0022]图2为本专利技术中工控协议模糊测试示意图;
[0023]图3为本专利技术中Modbus通信请求模式示意图;
[0024]图4为本专利技术中无线远程攻击新能源边缘工业控制示意图;
[0025]图5为本专利技术中新能源工业控制系统敏感控制指令特征模型示意图。
具体实施方式
[0026]下面结合附图对本专利技术作进一步描述,以下实施例仅用于更加清楚地说明本专利技术的技术方案,而不能以此来限制本专利技术的保护范围。
[0027]本专利技术公开一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,基于可扩展的轻量级树莓派开发板,构造新能源工业控制系统特征词数据库空间,计算新能源工控
系统控制指令特征词分布情况,实现对新能源边缘工业控制的系统漏洞检测。本专利技术的具体检测原理如图1所示,首先进行系统镜像文件烧录树莓派,然后进行主动信息探测采集,提取数据包,将新能源工控系统控制指令数据包分解,进行数据包重构,最后进行新能源工控指令重放攻击,检测工控协议安全。具体包括以下步骤:
[0028]步骤一,基于树莓派开发板系统烧录,配置无线接入设备,构造工控漏洞检测指纹库,添加工控协议漏洞、工控信息探测脚本和工控PLC漏洞检测脚本,以及扩展聚合平台支持的底层依赖库文件。
[0029]步骤二,新能源边缘工业控制系统主机存活检测,工控信息探测脚本实现对指定IP地址段循环探测,目的是确定工控主机存活性,针对新能源区域内可以被访问的网站、服务器、数据库、业务应用系统等,需要确定待检测的IP地址段,对该地址段采用ICMP协议探测,对存活的每个地址段进行C段检测,以及本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,其特征在于:包括以下步骤:S01,基于树莓派开发板系统烧录,构造工控漏洞检测指纹库,添加工控协议漏洞、工控信息探测脚本和工控PLC漏洞检测脚本至树莓派;S02,利用所述工控信息探测脚本对工控主机进行存活检测,得到存活工控主机;S03,利用所述工控PLC漏洞检测脚本对存活工控主机地址的端口进行探测,确定开放的端口号,对需要检测的工控主机的开放端口进行扫描以及工控协议的识别,发现工控协议漏洞;S04,根据所述工控漏洞检测指纹库制定漏洞检测POC代码,验证所述工控协议漏洞,实现工控协议漏洞检测。2.根据权利要求1所述的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,其特征在于:S01中,树莓派开发板系统烧录采用无线接入设备来实现。3.根据权利要求1所述的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,其特征在于:S02中,对于待检测的IP地址段,对该IP地址段采用ICMP协议探测,对存活的每个地址段进行C段检测,以及确定开放的端口和服务,根据Ipv4地址构造结构,循环遍历IP地址,分别对B段、C段、D段进行了递增的遍历。4.根据权利要求1所述的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,其特征在于:S03中,调用nmap扫描器对特定的主机进行全端口扫描以及工控协议的识别,nmap扫描器中设有针对不同工控协议的检测脚本NSE。5.根据权利要求1所述的一种基于树莓派的新能源边缘工业控制系统漏洞检测方法,其特征在于:S01到S0...
【专利技术属性】
技术研发人员:田学成,张五一,江楠,陈燕峰,田叶,刘雪梅,
申请(专利权)人:南京华盾电力信息安全测评有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。