【技术实现步骤摘要】
本申请涉及网络安全领域,具体而言,涉及一种工控设备检测方法、装置、电子设备和存储介质。
技术介绍
1、为了对工控设备的脆弱性进行评估,使网络管理员能了解工控设备的安全设置和运行的应用服务,及时发现安全漏洞,客观评估工控系统风险等级,现有技术提供一种工控漏洞扫描技术,该工控漏洞扫描技术的过程为:主动对于工控系统进行发包探测,模拟漏洞的攻击行为,发送大量的数据包进行探测工控系统开放的端口、协议、应用等信息,然后结合工控漏洞插件库进行判断工控系统的安全。然而,这一技术存在以下确定:
2、第一、模拟攻击导致工控系统不稳定或者宕机。
3、第二、检测工控设备开放的端口、协议、应用、漏洞等信息时,会产生大量的数据包,而传递这些大量的数据包会给网络带来额外的负载和流量,从而增加网络拥塞和延迟,最终会导致工控设备稳定性存在问题,特别是对于大型系统和有限带宽的网络,可能会对工控设备的正常业务造成影响。
4、第三、工控漏洞插件库需要维护大量的用于验证漏洞的代码。
技术实现思路
1、本申请实施例的目的在于提供一种工控设备检测方法、装置、电子设备和存储介质,用以实现在不使用主动扫描这一前提下,实现对工控设备进行安全检测,并克服主动扫描存储的技术缺陷。
2、第一方面,本专利技术提供一种工控设备检测方法,所述方法包括:
3、基于待测工控设备所使用的协议集确定通信协议库,并对所述通信协议库进行初始化;
4、基于所述通信协议库和所述待测工控设备
5、基于所述通信协议库向所述待测工控设备发送目标指令,以使所述待测工控设备基于所述目标指令返回响应数据包;
6、接收所述响应数据包,并基于协议规范解析所述响应数据包,得到响应信息;
7、基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果。
8、本申请基于待测工控设备所使用的协议集能够确定通信协议库,并对所述通信协议库进行初始化,进而能够基于所述通信协议库和所述待测工控设备的识别标识符与所述待测工控设备的串口建立连接,进而能够基于所述通信协议库向所述待测工控设备发送目标指令,以使所述待测工控设备基于所述目标指令返回响应数据包,进而通过接收所述响应数据包,能够基于协议规范解析所述响应数据包,得到响应信息,从而能够基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果,最终实现对工控设备的安全检测。与现有技术相比,本申请能够在与所述待测工控设备的串口建立连接之后,可基于所述通信协议库向所述待测工控设备发送目标指令,以使所述待测工控设备基于所述目标指令返回响应数据包,进而以串口扫描方式对工控设备进行扫描,进而通过静态漏洞库进行对比,分析出工控系统存在的漏洞,此过程不需要采用实现主动扫描的步骤,即无需发起模拟攻击,无需采用工控漏洞插件库,也无需检测工控设备开放的端口、协议、应用、漏洞等信息,避免了大量的数据包对于工控系统性能的影响,同时能够确保工控设备的业务稳定性以及降低了代码维护工作量。
9、在可选的实施方式中,所述响应信息包括设备信息,其中,所述设备信息包括设备厂商信息、设备类型信息、cpu型号、版本信息。
10、本可选的实施方式可获取设备厂商信息、设备类型信息、cpu型号、版本信息,进而通过设备厂商信息、设备类型信息、cpu型号、版本信息对工控设备进行安全检测。
11、在可选的实施方式中,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果包括:
12、判断所述设备厂商信息是否与所述待测工控设备的第一漏洞库信息一致,其中,所述待测工控设备的第一漏洞库信息存储在所述静态工控漏洞库中且表征所述待测工控设备所属厂商;
13、当所述设备厂商信息与所述待测工控设备的第一漏洞库信息一致时,确定所述待测工控设备存在漏洞并上报漏洞。
14、本可选的实施方式能够判断所述设备厂商信息是否与所述待测工控设备的第一漏洞库信息一致,其中,所述待测工控设备的第一漏洞库信息存储在所述静态工控漏洞库中且表征所述待测工控设备所属厂商,进而在所述设备厂商信息与所述待测工控设备的第一漏洞库信息一致时,能够确定所述待测工控设备存在漏洞并上报漏洞。
15、在可选的实施方式中,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果还包括:
16、当所述设备厂商信息与所述待测工控设备的第一漏洞库信息不一致时,判断所述设备类型信息是否与所述待测工控设备的第二漏洞库信息一致,或者判断所述cpu型号是否与所述待测工控设备的第三漏洞库信息一致,其中,所述待测工控设备的第二漏洞库信息存储在所述静态工控漏洞库中且表征所述待测工控设备的类型,所述待测工控设备的第三漏洞库信息存储在所述静态工控漏洞库中且表征所述待测工控设备的cpu类型;
17、当所述设备类型信息与所述待测工控设备的第二漏洞库信息一致或所述cpu型号与所述待测工控设备的第三漏洞库信息一致时,确定所述待测工控设备存在漏洞并上报漏洞。
18、本可选的实施方式能够在所述设备类型信息与所述待测工控设备的第二漏洞库信息一致或所述cpu型号与所述待测工控设备的第三漏洞库信息一致时,确定所述待测工控设备存在漏洞并上报漏洞。
19、在可选的实施方式中,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果还包括:
20、当所述设备类型信息与所述待测工控设备的第二漏洞库信息不一致或所述cpu型号与所述待测工控设备的第三漏洞库信息不一致时,判断所述版本信息是否与所述待测工控设备的第四漏洞库信息一致;
21、当所述版本信息与待测工控设备的第四漏洞库信息一致时,确定所述待测工控设备存在漏洞并上报漏洞。
22、本可选的实施方式能够子啊所述版本信息与待测工控设备的第四漏洞库信息一致时,确定所述待测工控设备存在漏洞并上报漏洞。
23、在可选的实施方式中,所述判断所述版本信息是否与所述待测工控设备的第四漏洞库信息一致,包括:
24、将所述版本信息转换为ascii码;
25、判断所述ascii码是否与所述待测工控设备的第四漏洞库信息一致。
26、本可选的方式通过将所述版本信息转换为ascii码,进而能够基于ascii码判断所述版本信息是否与所述待测工控设备的第四漏洞库信息一致,其中,将版本信息转换为ascii码能够使版本信息的编码格式与第四漏洞库信息的信息编码格式一致,提高对比准确性。
27、在可选的实施方式中,所述方法包括:所述初始化的步骤和配置参数基于协议类型确定,所述配置参数包括波特率、数据位、停止位、校验位。
28、本可选的实施方式全可基于协议类型确定初始化的步骤和配置参数。
29、第二方面,本专利技术提供一种工控设备检测装置,所述装置包括:
30、初始化本文档来自技高网...
【技术保护点】
1.一种工控设备检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述响应信息包括设备信息,其中,所述设备信息包括设备厂商信息、设备类型信息、cpu型号、版本信息。
3.如权利要求2所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果包括:
4.如权利要求3所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果还包括:
5.如权利要求3所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果还包括:
6.如权利要求5所述的方法,其特征在于,所述判断所述版本信息是否与所述待测工控设备的第四漏洞库信息一致,包括:
7.如权利要求1所述的方法,其特征在于,所述方法包括:所述初始化的步骤和配置参数基于协议类型确定,所述配置参数包括波特率、数据位、停止位、校验位。
8.一种工控设备检测装置,其特征在于,所述装置包括:
9.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种工控设备检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述响应信息包括设备信息,其中,所述设备信息包括设备厂商信息、设备类型信息、cpu型号、版本信息。
3.如权利要求2所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果包括:
4.如权利要求3所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备的检测结果还包括:
5.如权利要求3所述的方法,其特征在于,所述基于所述响应信息与静态工控漏洞库确定所述待测工控设备...
【专利技术属性】
技术研发人员:徐志强,
申请(专利权)人:湖北天融信网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。