技術領域

本發明實施例涉及計算機網絡安全技術領域，具體涉及一種工控網絡漏洞挖掘方法、裝置及系統。

背景技術

工業控制網絡(以下簡稱“工控網絡”)安全漏洞是在其生命周期的各個階段(設計、實現、運維等過程)中引入的某類問題，比如設計階段引入的一個設計的非常容易被破解的加密算法，實現階段引入的一個代碼緩沖區溢出問題，運維階段的一個錯誤的安全配置，這些都有可能最終成為工控網絡安全漏洞，這些漏洞會對工控網絡的安全(可用性、完整性、機密性)產生嚴重影響。

近年來，工控系統強調開放性，在網絡中大量引入通用的IT產品，如Windows操作系統、關系數據庫等，并廣泛使用以太網和TCP/IP協議，在降低成本和簡化集成的同時將大量IT漏洞引入了工控網絡。同時，大部分的工控網絡應用層協議和現場總線協議，廣泛使用MODBUS/TCP、CAN等明碼傳輸協議，存在沒有嚴格的身份識別，報文很容易被偽造等無法避免的脆弱性。因此，由相對封閉的專用計算機和網絡體系發展而來的工控網絡系統，安全的薄弱的環節幾乎來自于各方各面，特別對于大型SCADA系統，設備分散安裝，部分采用公網和無線網絡，更容易受到利用漏洞的攻擊，嚴重的攻擊后果可以使系統網絡完全癱瘓，造成工業過程失控或裝置停機。

工控網絡具有非常鮮明的特點，首先是封閉性，SCADA、DCS等控制系統和PLC等控制設備在設計之初就沒有考慮完善的安全機制；其次是復雜性，工控網絡常見的總線協議和應用層協議有幾十種，不但每種通信協議的數據接口不完全相同，這些協議的規約實現也不相同；最后是不可改變性，工控網絡很難進行改造和補丁升級。綜合以上，傳統信息安全的測試技術和設備不適合工控網絡。具體來說，當前我國相關機構對工控網絡安全漏洞進行檢測的手段是比較局限的，具體體現在：

現有的端口服務掃描、漏洞特征掃描等技術對漏洞庫的依賴較大，但公開的工控網絡安全漏洞庫信息很少，導致無法實現深入、全面的檢測；

基于公開漏洞的掃描技術和機制無法有效發現未知漏洞，同時在時間上永遠滯后于攻擊者利用的未知漏洞；

缺乏針對性檢測工具，無法有效證明工控設備上的潛在漏洞是否存在。

發明內容

本發明實施例的一個目的是解決現有的漏洞檢測技術依賴于公開的漏洞庫，導致檢測范圍較小，而且無法檢測到未知、潛在的漏洞的問題。

本發明實施例提出了一種工控網絡漏洞挖掘方法，包括：

獲取工控網絡中待測設備的IP地址；

根據所述IP地址獲取所述待測設備的屬性信息；

根據所述屬性信息獲取至少一個測試用例；

發送所述至少一個測試用例至所述待測設備，并獲取所述待測設備響應所述至少一個測試用例生成的反應數據；

根據所述至少一個測試用例和所述反應數據判斷所述待測設備是否有異常。

可選的，在運行所述至少一個測試用例之前，所述方法還包括：

根據所述待測設備的屬性信息獲取測試口的IP地址；

通過所述測試口的IP地址與所述待測設備建立通信數據鏈。

可選的，所述根據所述IP地址獲取所述待測設備的屬性信息的步驟具體包括：

對所述待測設備的IP地址進行設備指紋識別處理，獲取所述待測設備的屬性信息。

可選的，所述根據所述屬性信息獲取至少一個測試用例的步驟具體包括：

根據所述基礎信息從預建立測試用例庫中獲取至少一個測試用例，所述預建立測試用例庫中存儲有待測設備的屬性信息與測試用例的對應關系。

可選的，所述至少一個測試用例中攜帶有測試輸入數據和期望輸出數據；所述反應數據為所述待測設備以所述測試輸入數據為輸入輸出的；

相應地，所述根據所述至少一個測試用例和所述反應數據判斷所述待測設備是否有異常的步驟具體包括：

對比所述期望輸出數據和所述反應數據，若對比獲知所述反應數據中未攜帶有所述期望輸出數據，則確認所述待測設備發生異常。

可選的，若判斷獲知所述待測設備發生異常，則根據對比結果生成測試報告。

可選的，在獲取工控網絡中待測設備的IP地址的步驟之前，所述方法還包括：

獲取所述工控網絡的歷史異常數據；

對所述歷史異常數據進行分析，獲取所述工控網絡中各工控設備發生異常的概率；

根據各工控設備發生異常的概率和預設篩選規則對各待測設備進行篩選，獲取待測設備組；

相應地，所述獲取工控網絡中待測設備的IP地址的步驟具體包括：