【技术实现步骤摘要】
本申请涉及一种工控系统异常检测方法及系统,属于工控安全检测领域,尤其涉及一种针对工控网络安全测试验证的方法、系统、终端及存储介质。
技术介绍
1、目前的网络协议模糊测试方法,其采用的无论是开源领域常用的fuzz框架下的测试工具,如peach、sulley,还是商用工具,均只能对主机存活或端口存活状态进行检测,而不能采用多种监视器或者对具体的服务状态进行检测。
2、在传统的协议模糊测试中,对于测试目标的监控维度单一,发现疑似漏洞的效率也较低。测试中通常采用arp、icmp、tcp、udp等监视器,其中,tcp、udp端口监视器只能检测工控系统服务是否运行正常,不能对服务中具体的行为、设备参数进行检测和分析,继而实现精准判断。
技术实现思路
1、根据本申请的第一个方面,提供了一种针对工控网络安全测试验证的方法,该方法能够全方位、多维度、高效率地发现工控系统中的安全缺陷,并提高了检测精度。
2、所述针对工控网络安全测试验证的方法,包括:
3、(1)配置目标环境;
4、(2)选择和生成测试用例,发送给目标设备;
5、(3)根据所述测试用例的要求进行模糊测试;
6、(4)针对不同协议,基于多监视器对运行状态信息进行检测和分析,所述运行状态信息包括:主机或端口的存活状态、服务行为及参数;
7、(5)根据所述检测和分析结果,输出安全缺陷分析报告。
8、现有的开源或商用的工控网络安全测试验证方法大多针对
9、进一步地,所述步骤(1)包括配置工控网络、监视器,所述工控网络的配置包括:设置目标设备属性,设置测试网络,配置本端ip地址、子网掩码和目标设备的ip地址。
10、进一步地,所述监视器的配置针对不同工控设备、不同协议选择不同的网络监视器或独立监视器。
11、进一步地,所述步骤(2)包括:
12、(21)针对已知协议,在测试用例库中选择测试用例;
13、(22)针对未知协议,先导入数据包,对所述数据包中的报文进行字段解析,通过聚合分类方式划分数据包测试类型,并分析出其协议以及字段结构,自动生成囊括所有被分析出字段的测试用例,将该用例生成的数据发送给目标设备。
14、进一步地,步骤(3)中,所述根据所述测试用例的要求进行模糊测试包括:根据测试用例需求,构造畸形测试报文,并向工控环境发送畸形报文,对工控系统中出现的异常状态进行跟踪,对所述异常状态生成的机制进行评测。
15、优选地,所述畸形测试报文的构造方法包括以下至少一种:随机生成输入、生成越界输入、生成截断输入、功能码异常输入、变异或强制性测试、基于遗传算法变异输入。
16、优选地,步骤(4)中,所述多监视器至少包括:snmp服务监视器、modbus服务监视器、di离散数据监视器、ai模拟量数据监视器。
17、进一步地,所述基于多监视器对运行状态进行检测和分析包括:
18、利用snmp服务监视器观测目标设备的snmp服务状态,发现更多的缺陷;
19、利用modbus服务监视器,通过读取目标设备的已知的modbus线圈数据,确定目标设备的modbus服务是否正常,发现更多的缺陷;
20、利用di离散数字监视器和ai模拟量监视器,对工控设备的数字量或者模拟量输出的值进行状态检测和行为分析,发现更多的控制功能和业务参数异常的安全缺陷。
21、优选地,所述多监视器还包括以下任意一种:arp监视器、icmp监视器、tcp端口监视器、udp监视器。
22、根据本申请的第二个方面,提供了一种针对工控网络安全测试验证的系统,该系统包括:
23、配置模块,用于配置目标环境;
24、测试模块,用于选择和生成测试用例,发送给目标设备,根据所述测试用例的要求进行模糊测试;
25、检测分析模块,用于获取多监视器对工控系统运行状态的实时检测结果,对异常状态进行告警,对系统中的服务异常行为、控制功能或业务参数异常进行分析,输出安全缺陷分析报告。
26、进一步地,所述测试模块包括:
27、选择和生成测试用例子单元,用于针对已知协议,获取用户在测试用例库中选择的测试用例;针对未知协议,先导入数据包,对所述数据包中的报文进行字段解析,通过聚合分类方式划分数据包测试类型,并分析出其协议以及字段结构,自动生成囊括所有被分析出字段的测试用例,将该用例生成的数据发送给目标设备;
28、模糊测试子单元,用于获取测试用例需求,构造畸形测试报文,并向工控环境发送畸形报文,对工控系统中出现的异常状态进行跟踪,对所述异常状态生成的机制进行评测。
29、优选地,所述测试用例库中的测试用例的生成方式包括:预生成、自动协议生成。
30、优选地,所述畸形测试报文的构造方法包括以下至少一种:随机生成输入、生成越界输入、生成截断输入、功能码异常输入、变异或强制性测试、基于遗传算法变异输入。
31、优选地,所述多监视器至少包括:snmp服务监视器、modbus服务监视器、di离散数据监视器、ai模拟量数据监视器;
32、所述检测分析模块,用于获取并分析所述snmp服务监视器观测的目标设备的snmp服务状态;获取并分析所述modbus服务监视器观测的目标设备的modbus线圈数据;获取并分析所述di离散数字监视器观测的目标设备周期性的数字输出值;获取并分析所述ai模拟量监视器观测的目标设备模拟量输出信号输出值。
33、根据本申请的第三个方面,提供了一种终端设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现所述的针对工控网络安全测试验证的方法的部分或全部步骤。
34、根据本申请的第四个方面,提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现所述针对工控网络安全测试验证的方法中的部分或全部步骤。
35、本申请能产生的有益效果包括:
36、1)本申请针对不同设备不同协议,形成了系统实体,硬件支持aidi等硬件监视器,并采用多种监视器相结合的方式,增加了设备检测维度,提高了漏洞发现效率。
37、2)本申请不仅能够对工控系统的整体服务运行状态进行检测,判断其是否运行正常,还能够对服务中具体的异常行为进行检测和分析。例如,利用icmp、arp监视器可以发现主机是否存活、主机拒绝服务的安全缺陷,利用tcp、udp监视器可以发现协议拒绝服务的安全缺陷,利用snmp监视器可以发现获取设备系统名称拒绝服务安全缺陷,利用modbus监视器可以发现读线圈数据拒绝服务安全缺陷,采用di离散数字监视器和ai模本文档来自技高网...
【技术保护点】
1.一种针对工控网络安全测试验证的方法,其特征在于,该方法包括:
2.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,所述步骤(1)包括配置工控网络、监视器,其中,
3.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,所述步骤(2)包括:
4.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,步骤(3)中,所述根据所述测试用例的要求进行模糊测试包括:根据测试用例要求,构造畸形测试报文,并向工控环境发送畸形报文,对工控系统中出现的异常状态进行跟踪监测;
5.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,步骤(4)中,所述多监视器至少包括:SNMP服务监视器、MODBUS服务监视器、DI离散数据监视器、AI模拟量数据监视器;
6.一种针对工控网络安全测试验证的系统,其特征在于,该系统包括:
7.根据权利要求6所述的针对工控网络安全测试验证的系统,其特征在于,所述测试模块包括:
8.根据权利要求6所述的针对工控网络安全测试验证的系统,其特征
9.一种终端设备,其特征在于,所述终端设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-5任一项所述的针对工控网络安全测试验证的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令被处理器执行时实现如权利要求1-5任一项所述的针对工控网络安全测试验证的方法。
...【技术特征摘要】
1.一种针对工控网络安全测试验证的方法,其特征在于,该方法包括:
2.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,所述步骤(1)包括配置工控网络、监视器,其中,
3.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,所述步骤(2)包括:
4.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,步骤(3)中,所述根据所述测试用例的要求进行模糊测试包括:根据测试用例要求,构造畸形测试报文,并向工控环境发送畸形报文,对工控系统中出现的异常状态进行跟踪监测;
5.根据权利要求1所述的针对工控网络安全测试验证的方法,其特征在于,步骤(4)中,所述多监视器至少包括:snmp服务监视器、modbus服务监视器、di离散数据监视器、ai模拟量数据监视器;
...【专利技术属性】
技术研发人员:傅涛,邓勇,李金祥,许阳,
申请(专利权)人:博智安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。