本发明专利技术公开了一种工业控制系统网络漏洞识别方法、装置及其相关设备,该方法包括服务指纹特征库、通信协议特征库、漏洞特征库建立;静态资产信息获取;设备信息获取;流量信息获取;资产识别;服务识别;漏洞识别;漏洞确认;该装置包括基础信息管理模块、信息采集模块、资产识别模块、服务识别模块和漏洞识别模块;本发明专利技术可以有效提高漏洞识别的准确性,同时降低识别过程中对工业控制系统负载过大、宕机等风险。
【技术实现步骤摘要】
一种工业控制系统网络漏洞识别方法、装置及其相关设备
本专利技术涉及一种工业控制系统网络漏洞识别方法、装置及其相关设备,属于信息安全
技术介绍
随着计算机技术的发展,工业生产中越来越多采用信息化技术,随之带来的是越来越多的安全问题。安全问题会造成生产事故,严重的甚至会产生人身伤害。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统,是安全问题的重要产生原因之一。漏洞识别、漏洞修复是消除漏洞的主要工作步骤,漏洞修复主要由硬件、软件产品供应商进行,而漏洞识别工作则需要使用相关技术开展。在现有技术中,漏洞识别一般采用主动扫描配合漏洞特征库方式进行,在传统信息系统网络中,该方式已可以有效的开展漏洞识别工作。但在工业控制系统网络中,不仅有传统信息系统,还存在大量的PLC等工业控制系统设备,工业控制系统设备是实时系统,对网络质量要求高,现有漏洞识别技术的畸形数据包、高并发等特点往往会造成工业控制系统负荷过大、宕机等风险。同时工业控制设备的协议也与传统信息系统不同,使用一般的漏洞特征库也不能准确识别漏洞。所以如何在工业控制系统网络中提高漏洞识别精确率,降低故障率成为亟待解决的问题。
技术实现思路
本专利技术解决了现有工业控制系统网络漏洞识别中存在的问题,提供一种工业控制系统网络漏洞识别方法、装置及其相关设备,该方法可以有效提高漏洞识别的准确性,同时降低识别过程中对工业控制系统负载过大、宕机等风险。为了解决上述技术问题,第一方面,本专利技术提供了一种工业控制系统网络漏洞识别方法,包括如下步骤:S100:建立服务指纹特征库、通信协议特征库和漏洞特征库:其中,服务指纹特征库包含服务名称、服务版本和服务特征;通信协议特征库包含协议名称、协议版本和协议特征;漏洞特征库包含漏洞名称、漏洞描述、涉及服务名称、涉及服务版本、漏洞识别静态特征和漏洞识别动态特征,其中漏洞识别静态特征包括服务组件名称、服务版本和协议版本信息,漏洞识别动态特征为经过验证的高可用探测代码,防止工业控制系统发生负载过大、宕机风险;S101:静态资产信息获取:获取用户提供的资产和服务信息,形成资产名称、IP信息、MAC信息、端口开放信息和服务名称信息;S102:设备信息获取:利用软探针获取设备的真实物理信息与服务信息;S103:流量信息获取:使用分光或流量镜像方式将工业控制网络内流量进行汇聚分析;S104:资产识别:利用设备信息、流量信息识别资产IP、MAC、端口、指纹信息,与静态资产信息进行交叉验证,获取完整资产信息;S105:服务识别:利用设备信息、流量信息、服务指纹特征库和通信协议特征库,利用主动识别与被动分析两种模式综合匹配工业控制系统网络内资产具有何种服务;S106:漏洞识别:利用完成完整的资产信息、服务信息和漏洞特征库,进行静态漏洞识别和动态漏洞识别;其中,静态漏洞识别将已识别到的服务与漏洞特征库静态特征进行匹配,动态漏洞识别以高可用的漏洞测试代码为主;S107:漏洞确认:将探测到的漏洞进行二次验证,使漏洞识别更准确。第二方面,本申请还提供了一种工业控制系统网络漏洞识别装置,包括:基础信息管理模块,用于服务指纹特征、通信协议特征、漏洞特征进行管理,为流量采集分析、资产识别、服务识别、漏洞识别提供基础数据支持;信息采集模块,利用软探针、流量分析采集技术,获取工业控制系统网络相关基础信息;资产识别模块,用于对工业控制系统网络内资产进行精准识别;服务识别模块,用于对工业控制系统网络内资产开启何种服务进行精准识别;漏洞识别模块,用于识别工业控制系统存在的漏洞及风险。第三方面,本申请还公开了一种工业控制系统网络漏洞识别设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现如上所述的一种工业控制系统网络漏洞识别方法的步骤。第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用以实现如上所述的一种工业控制系统网络漏洞识别方法的步骤。本专利技术通过利用特征分析法,利用主动探测与流动被动识别方式更全面、准确的识别资产与服务信息,在利用建立静态、动态漏洞识别方法识别漏洞,降低在漏洞识别过程中对工业控制系统的负载压力同时增加识别准确性,实现工业控制系统的漏洞识别。附图说明为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。图1为本专利技术提供的一种工业控制系统网络漏洞识别方法的流程示意图。图2为本专利技术提供的一种工业控制系统网络漏洞识别装置的结构示意图。图3为本专利技术提供的一种工业控制系统网络漏洞识别设备的结构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。本申请提供了一种工业控制系统网络漏洞识别方法,该系统漏洞与攻击的检测方法可以有效提高系统漏洞和攻击识别结果的准确性,同时提高了识别效率。图1为本专利技术提供的一种工业控制系统网络漏洞识别方法流程示意图,具体包括如下步骤:S100:建立基础信息库:包括服务指纹特征库、通信协议特征库、漏洞特征库。服务指纹特征库包含服务名称、服务版本和服务特征。如服务Nginx1.4.6版本,则可表示为{Nginx,1.4.6,HttpHeaders:Server:nginx.*1\.4\.6.*},该元素组合表示在HTTP访问中查找HTTP头中的Server属性,如果能匹配到nginx.*1\.4\.6.*,则表示存在服务Nginx1.4.6版本。通信协议特征库包含协议名称、协议版本和协议特征。如Modbus协议,则可表示为{Modbus,Modbus/TCP,tcp:data[4:5]==len(data)-6&&data[2:3]==0x0000},该元素组表示当tcp数据包中第5至6位的值为数据包总长度减去6,并且数据包第3、4位均为0x00,则该协议为Modbus/TCP协议。漏洞特征库包含漏洞名称、漏洞描述、涉及服务名称、涉及服务版本、漏洞识别静态特征和漏洞识别动态特征,其中漏洞识别静态特征包括如服务组件名称、服务版本、协议版本等信息,漏洞识别动态特征为经过验证的高可用探测代码,防止工业控制系统发生负载过大、宕机等风险。S101:静态资产信息获取:获取用户提供的资产和服务信息,形成资产名称、IP信息、MAC信息、端口开放信息和服务名称等信息。本步骤一般情况下通过人工填方式收集信息,再进行信息导入,此情况下收集的信息为后面工作的基本依据,但人工填写数据准确度和全面本文档来自技高网...
【技术保护点】
1.一种工业控制系统网络漏洞识别方法,其特征在于:包括如下步骤:/nS100:建立服务指纹特征库、通信协议特征库和漏洞特征库:其中,服务指纹特征库包含服务名称、服务版本和服务特征;通信协议特征库包含协议名称、协议版本和协议特征;漏洞特征库包含漏洞名称、漏洞描述、涉及服务名称、涉及服务版本、漏洞识别静态特征和漏洞识别动态特征,其中漏洞识别静态特征包括服务组件名称、服务版本和协议版本信息,漏洞识别动态特征为经过验证的高可用探测代码,防止工业控制系统发生负载过大、宕机风险;/nS101:静态资产信息获取:获取用户提供的资产和服务信息,形成资产名称、IP信息、MAC信息、端口开放信息和服务名称信息;/nS102:设备信息获取:利用软探针获取设备的真实物理信息与服务信息;/nS103:流量信息获取:使用分光或流量镜像方式将工业控制网络内流量进行汇聚分析;/nS104:资产识别:利用设备信息、流量信息识别资产IP、MAC、端口、指纹信息,与静态资产信息进行交叉验证,获取完整资产信息;/nS105:服务识别:利用设备信息、流量信息、服务指纹特征库和通信协议特征库,利用主动识别与被动分析两种模式综合匹配工业控制系统网络内资产具有何种服务;/nS106:漏洞识别:利用完成完整的资产信息、服务信息和漏洞特征库,进行静态漏洞识别和动态漏洞识别;其中,静态漏洞识别将已识别到的服务与漏洞特征库静态特征进行匹配,动态漏洞识别以高可用的漏洞测试代码为主;/nS107:漏洞确认:将探测到的漏洞进行二次验证,使漏洞识别更准确。/n...
【技术特征摘要】
1.一种工业控制系统网络漏洞识别方法,其特征在于:包括如下步骤:
S100:建立服务指纹特征库、通信协议特征库和漏洞特征库:其中,服务指纹特征库包含服务名称、服务版本和服务特征;通信协议特征库包含协议名称、协议版本和协议特征;漏洞特征库包含漏洞名称、漏洞描述、涉及服务名称、涉及服务版本、漏洞识别静态特征和漏洞识别动态特征,其中漏洞识别静态特征包括服务组件名称、服务版本和协议版本信息,漏洞识别动态特征为经过验证的高可用探测代码,防止工业控制系统发生负载过大、宕机风险;
S101:静态资产信息获取:获取用户提供的资产和服务信息,形成资产名称、IP信息、MAC信息、端口开放信息和服务名称信息;
S102:设备信息获取:利用软探针获取设备的真实物理信息与服务信息;
S103:流量信息获取:使用分光或流量镜像方式将工业控制网络内流量进行汇聚分析;
S104:资产识别:利用设备信息、流量信息识别资产IP、MAC、端口、指纹信息,与静态资产信息进行交叉验证,获取完整资产信息;
S105:服务识别:利用设备信息、流量信息、服务指纹特征库和通信协议特征库,利用主动识别与被动分析两种模式综合匹配工业控制系统网络内资产具有何种服务;
S106:漏洞识别:利用完成完整的资产信息、服务信息和漏洞特征库,进行静态漏洞识别和动态漏...
【专利技术属性】
技术研发人员:邓楠轶,曾荣汉,杨东,胥冠军,王文庆,崔逸群,刘超飞,毕玉冰,董夏昕,朱博迪,介银娟,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。