[发明专利]一种面向工业控制系统的脆弱性检测方法

说明书

本发明提供一种面向工业控制系统的脆弱性检测方法：对目标环境进行基于工业以太网特征的网络探测，识别工控设备并捕获会话数据包。根据工控协议规范和私有协议逆向技术对数据包进行解析，并构造特征码数据包进行进一步的系统探测，获取具体的指纹信息。基于工控专有漏洞库的特征比对匹配目标的漏洞信息，并基于策略驱动进行相关的漏洞检测。基于工控协议脆弱性进行模糊测试，挖掘工控系统网络的安全漏洞并检测其安全脆弱性。本发明通过对工控目标进行脆弱性检测，先于网络攻击者检测出安全风险，提高工控系统安全可靠性。

技术领域

本发明属于计算机技术领域，尤其是工控安全领域。本发明提供了一种面向工控系统的脆弱性检测方法，用于检测工控系统安全脆弱性。

背景技术

工业控制系统是国家关键基础设施重要组成部分，其广泛应用在石油石化、水利、电力、食品加工和污水处理等工业领域，主要用于数据采集和生产控制等方面。早期的工控工控系统同互联网物理隔离，且大多采用专用软硬件，因此即便工控系统中存在安全隐患，但外界既难以接触到工控系统也难以展开对工控系统的研究。但是，随着计算机技术在工业环境中的广泛应用，通用计算设备、通用操作系统开始用于工控系统的实现，工控协议也开始基于TCP/IP协议构建，传统的工业控制系统逐步打破了以往的封闭性和专有性，使得传统互联网系统所面临的威胁蔓延到工控系统环境当中。工控系统安全事关经济发展、社会稳定和国家安全，针对工业控制系统的安全研究迫在眉睫。

工控系统脆弱性：与传统互联网系统不同，工业控制系统在功能上更偏重于实时性和可靠性，整个系统架构和通信协议在设计之初没有考虑安全因素，安全政策和管理制度制定不完善；由于系统兼容性问题，工业控制系统通常不升级、不打补丁，因此长时间运行的工控系统会积累大量的安全漏洞，这些缺陷使得工控系统在面对网络攻击非常脆弱，使得工控安全现状被业内人员成为“先天不足，后天失养”。

漏洞扫描是指利用扫描等手段检测目标主机或网络的安全脆弱性，并发现有利用的漏洞的一种安全检测技术，与防火墙和入侵检测技术一同属于主流安全检测技术。不过，防火墙和入侵检测技术属于被动的防御措施，而漏洞扫描技术则属于一种主动的防范措施，能在入侵者未攻击系统网络前，提高自身的安全可靠性。

现有的漏洞扫描方法主要包括以下几种：

1)基于主机的漏洞扫描。此方法采用被动的、非破坏性的办法对目标系统进行检测，通常涉及到系统的内核、文件属性、操作系统的补丁等问题，可以非常准确的定位系统的问题，及时发现系统漏洞。其优点很明显，但因为需要在目标系统中的每个目标主机都安装代理以及一些特定软件，不符合工控系统环境中主机的定位和配置，因此很难在工业以太网中适用。

2)基于网络的漏洞扫描。此方法采用主动的、非破坏性的办法对目标系统进行检测，一般分为主动扫描和模拟攻击两种手段。主动扫描的过程中，漏洞扫描系统针对目标主机或网络的端口分配、软硬件配置、匿名登录和提供的服务等信息进行扫描，并根据这些信息判断目标系统的漏洞信息；而模拟攻击这是利用特定的脚本对系统进行模拟攻击，并分析攻击的结果，从而判断系统是否存在崩溃的可能；常见的攻击方法有缓冲区溢出、口令攻击、分布式拒绝服务攻击。此外，该方法还基于已知的漏洞对目标系统进行检验，评估其安全脆弱性。但基于传统网络的漏洞扫描技术，其网络探测数据包可能因为工业防火墙和安全网关的存在而无法实现内网渗透，从而对目标网络进行有效探测。

协议逆向：网络协议指在两个或多个终端进行消息交换时，消息应遵循的格式以及终端接收这些消息应该执行的操作；而协议逆向(Protocol Reverse)是指在没有正式的协议描述的情况下，推断协议的参数、格式和语义规范的过程。现代协议逆向主要有分为两种：基于二进制文件的方法和基于网络流量的方法。

发明内容

在现有工作的基础上，本发明的目的在于：提出一种面向工控系统的脆弱性检测方法，解决现有脆弱性检测方法对工业以太网适用性不强、系统探测不深入和工控私有协议支持性差等问题。