一种面向工控系统的主动式漏洞检测系统技术方案

本实用新型专利技术公开了一种面向工控系统的主动式安全漏洞检测系统，涉及工业控制系统安全领域，漏洞检测系统采用客户机服务器模式，包括控制器、客户端、服务器、评估报告和数据中心，其中控制器与服务器相连，服务器与不同客户端相连，客户端可通过防火墙、路由器连接互联网，也可与数据中心连接进行数据交互，同时服务器与数据中心相连进行数据交互，根据数据中心提供的数据生成评估报告。本实用新型专利技术的优点在于提出的漏洞检测系统不需要开发攻击代码，与微软开发的MBSA漏洞检测系统相比，检测速度快，准确度高，能很好地满足工业控制系统的高稳定性、高实时性要求，适合于管理员评估整个工业控制系统的安全状况，且对工业控制系统的稳定运行无影响。

An active vulnerability detection system for industrial control systems

The utility model discloses an active control system for security vulnerability detection system, relates to the field of industrial control system security, vulnerability detection system uses a client server mode, including controller, client and server, the assessment report and data center, wherein the controller is connected with the server, the server is connected with the different client, the client can connect to the Internet through firewall, router, also can be connected with the data center for data exchange and data center server and connected to data exchange, assessment report according to the data center data generation. The utility model has the advantages of the proposed vulnerability detection system does not need to exploit code, compared with Microsoft MBSA vulnerability detection system development, fast detection speed, high accuracy, can satisfy the high stability and high real-time requirements of industrial control system, suitable for the administrator to assess the safety status of the whole industrial control system. No effect and stable operation of the industrial control system.

【技术实现步骤摘要】
一种面向工控系统的主动式漏洞检测系统
本技术涉及工业信息安全领域，尤其涉及一种面向工控系统的主动式漏洞检测系统。
技术介绍
工业控制系统的信息安全关系到国家能源和基础设施行业的安全及稳定运行，是企业及国家安全面临的严峻挑战。系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，系统信息安全问题日益突出。过程控制系统已经从单机、分布式朝网络化方向发展，在网络设计过程中引入了不同类型的信息和通讯技术(ICT)，包括Internet和无线技术。这些新技术的引入也给基础行业的安全带来了新的挑战，包括电力、水利、交通运输以及大型制造行业。工业控制系统的协议和设计，偏重于功能实现的实时性和可靠性。对安全攻击缺乏前期的设计和有效的抵御方法。由于系统兼容性问题，工业控制系统通常不升级、不打补丁，甚至有的工作站供应商明确要求用户不得自行升级系统。因此，系统长期运行后会积累大量的安全漏洞，这些缺陷使工控系统面对网络安全攻击时极其脆弱，给安全生产带来极大隐患。工控安全的现状处于“先天不足，后天失养，未来堪忧”的状态：系统无法及时更新，自身漏洞隐蔽，不能被及时探测与修复，系统本身的安全隐患不容忽视；系统协议本身欠缺安全因素，安全政策和管理制度并不完善，易被攻击者利用；不能良好地审计系统中的违规操作行为，对于系统用户访问权限的管理机制不完善；系统操作人员缺乏必要的安全意识，操作过程不规范。近年来，工控信息安全事故频发，工控漏洞数量呈现爆炸式增长。工业控制系统之所以会面临拒绝服务、控制命令篡改、高级持续性威胁(APT)等攻击，最根本的原因是系统存在可以被渗透的漏洞。漏洞是安全问题的根源，漏洞检测是解决安全问题的基础。只有了解系统存在的安全隐患，才能做到有针对性的防护。因此，本领域的技术人员致力于开发一种面向工控系统的主动式漏洞检测系统，加强工控系统的漏洞检测，从根本上解决工控系统的安全问题。
技术实现思路
有鉴于现有技术的上述缺陷，本技术所要解决的技术问题是如何实现工业控制系统的主动安全检测。为实现上述目的，本技术提供了一种面向工控系统的主动式漏洞检测系统，包括控制器、客户端、服务器、评估报告模块和数据中心，其中，所述控制器与所述服务器相连，所述服务器与不同的所述客户端相连，所述客户端通过防火墙和/或路由器连接互联网，并与所述数据中心连接进行数据交互，所述服务器与所述数据中心相连进行数据交互；所述漏洞检测系统被配置为采集工控系统的软件、用户、进程及应用配置信息，然后进行逻辑判断以发现所述工控系统中存在的安全漏洞，并根据所述数据中心提供的数据由所述评估报告模块生成评估报告。进一步地，所述控制器被配置为由管理员控制所述漏洞检测系统的启停及根据需要设置检测参数和检测目标。进一步地，所述服务器被配置为通知客户端进行数据收集及检测逻辑条件判断，当收到所有客户端检测完毕的消息后，通知所述评估报告模块生成评估报告。进一步地，所述客户端被配置为接收到所述服务器发来的消息后，读取本机的系统和配置信息，进一步判断漏洞存在的逻辑条件是否成立，最后把检测判断结果发往所述数据中心，同时通知所述服务器检测完成。进一步地，所述数据中心被配置为所述客户端和所述评估报告模块的公共接口，存放系统所有信息，包括漏洞数据库、漏洞存在的逻辑条件和客户端检测的CVE列表。进一步地，所述评估报告模块被配置为向系统管理员提供评估目标的漏洞信息，所述漏洞信息包括漏洞名称、漏洞发布日期、漏洞内容简述、漏洞危险等级、损失类型、漏洞类型、暴露的系统组件、相关参考信息、脆弱的软件及其版本和补救措施。本技术的优点在于提出的漏洞检测系统不需要开发攻击代码，与微软开发的MBSA漏洞检测系统相比，检测速度快，准确度高，能很好地满足工业控制系统的高稳定性、高实时性要求，适合于管理员评估整个工业控制系统的安全状况，且对控制系统的稳定运行无影响。以下将结合附图对本技术的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本技术的目的、特征和效果。附图说明图1是本技术的一个较佳实施例的主动式漏洞检测系统结构图；图2是本技术的一个较佳实施例的漏洞检测信息图；图3是本技术的一个较佳实施例的漏洞检测实现流程图；图4是本技术的一个较佳实施例的实验测试环境图。具体实施方式下面结合附图和具体实施例对本技术作进一步说明。本技术所述的一种面向工控系统的主动式安全漏洞检测系统，采用客户机/服务器C/S模式，主要包括如下模块：控制器、客户端(client)、服务器(server)、评估报告和数据中心，其体系结构如图1所示，其中虚线表示控制信号，箭头指向信号的流动方向；实线表示数据信息，箭头指向数据的流动方向，其中控制器与服务器相连，服务器与不同客户端相连，客户端可通过防火墙、路由器连接互联网，也可与数据中心连接进行数据交互，同时服务器与数据中心相连进行数据交互，根据数据中心提供的数据生成评估报告。安全漏洞检测系统首先采集系统的软件、用户、进程及应用配置信息，然后进行逻辑判断以发现系统中存在的安全漏洞。系统结构中每个模块的功能及其之间的关系如下：控制器是漏洞检测体系的用户接口，主要是管理员控制系统的启停及根据需要设置检测参数和检测目标；服务器负责系统的协调，通知客户端进行数据收集及检测逻辑条件判断，当收到所有客户端检测完毕的消息后，通知漏洞评估报告模块，输出评估报告；客户端接收到服务器发来的消息后，读取本机的系统和配置信息，进一步判断漏洞存在的逻辑条件是否成立，最后把检测判断结果发往数据中心，同时通知服务器模块检测完成；数据中心是客户端模块和评估报告模块的公共接口，系统中所有的信息都存放在这里，包括漏洞数据库、漏洞存在的逻辑条件和客户端模块检测的CVE列表(CommonVulnerabilities&Exposures,公共漏洞和暴露)等；漏洞评估报告为系统管理员提供评估目标的漏洞信息，主要包括漏洞名称、漏洞发布日期、漏洞内容简述、漏洞危险等级、损失类型、漏洞类型、暴露的系统组件、相关参考信息、脆弱的软件及其版本和补救措施。所述无损式漏洞检测的核心是对系统的配置信息进行逻辑判断，进而得到系统中存在的漏洞信息。首先需要读取操作系统版本、具有漏洞的文件名字、应用版本和补丁状态，以判断脆弱的软件是否存在。接着获取相应的服务是否运行、具体配置设置和其它工作区，判断脆弱的配置是否存在。下面给出其具体原理。首先，定义一些集合：(1)文件名称FN＝{fn1，fn2，……，fnn},(2)应用软件版本AV＝{av1，av2，……，avm},(3)软件补丁PS＝{ps1，ps2，……，psk},(4)运行服务RS＝{rs1，rs2，……，rst},(5)配置设置CS＝{cs1，cs2，……，csi}。以上这五个集合中所有元素为三态变量，其值域为{0,1,Φ}。当漏洞的判断不使用某一变量时，其取值为Φ，当系统存在相应信息时变量取值为1，否则取值为0。其次，定义三个函数：(1)判断系统存在脆弱软件的判别函数其中，fn∈FN,av∈AV,ps∈PS，其函数的输出结果表示漏洞寄存的脆弱软件存在与否。(2)本文档来自技高网...

【技术保护点】
一种面向工控系统的主动式漏洞检测系统，其特征在于，包括控制器、客户端、服务器、评估报告模块和数据中心，其中，所述控制器与所述服务器相连，所述服务器与不同的所述客户端相连，所述客户端通过防火墙和/或路由器连接互联网，并与所述数据中心连接进行数据交互，所述服务器与所述数据中心相连进行数据交互；所述漏洞检测系统被配置为采集工控系统的软件、用户、进程及应用配置信息，然后进行逻辑判断以发现所述工控系统中存在的安全漏洞，并根据所述数据中心提供的数据由所述评估报告模块生成评估报告。

【技术特征摘要】
1.一种面向工控系统的主动式漏洞检测系统，其特征在于，包括控制器、客户端、服务器、评估报告模块和数据中心，其中，所述控制器与所述服务器相连，所述服务器与不同的所述客户端相连，所述客户端通过防火墙和/或路由器连接互联网，并与所述数据中心连接进行数据交互，所述服务器与所述数据中心相连进行数据交互；所述漏洞检测系统被配置为采集工控系统的软件、用户、进程及应用配置信息，然后进行逻辑判断以发现所述工控系统中存在的安全漏洞，并根据所述数据中心提供的数据由所述评估报告模块生成评估报告。2.如权利要求1所述的面向工控系统的主动式漏洞检测系统，其特征在于，所述控制器被配置为由管理员控制所述漏洞检测系统的启停及根据需要设置检测参数和检测目标。3.如权利要求1所述的面向工控系统的主动式漏洞检测系统，其特征在于，所述服务器被配置为通知客户端进行数据收集及检测逻辑条件判断，当收到所有客户端检...

【专利技术属性】
技术研发人员：王维建，李锐，彭道刚，
申请(专利权)人：上海新华控制技术集团有限公司，
类型：新型
国别省市：上海,31