[发明专利]工控网络漏洞挖掘方法、装置及系统

权利要求书

1.一种工控网络漏洞挖掘方法，其特征在于，包括：

获取工控网络中待测设备的IP地址；

根据所述IP地址获取所述待测设备的属性信息；

根据所述属性信息获取至少一个测试用例；

发送所述至少一个测试用例至所述待测设备，并获取所述待测设备响应所述至少一个测试用例生成的反应数据；

根据所述至少一个测试用例和所述反应数据判断所述待测设备是否有异常。

2.根据权利要求1所述的方法，其特征在于，在运行所述至少一个测试用例之前，所述方法还包括：

根据所述待测设备的IP地址获取测试口的IP地址；

通过所述测试口的IP地址与所述待测设备建立通信数据链。

3.根据权利要求1所述的方法，其特征在于，所述根据所述IP地址获取所述待测设备的属性信息的步骤具体包括：

对所述待测设备的IP地址进行设备指纹识别处理，获取所述待测设备的属性信息。

4.根据权利要求1所述的方法，其特征在于，所述根据所述属性信息获取至少一个测试用例的步骤具体包括：

根据所述基础信息从预建立测试用例库中获取至少一个测试用例，所述预建立测试用例库中存储有待测设备的属性信息与测试用例的对应关系。

5.根据权利要求1所述的方法，其特征在于，所述至少一个测试用例中携带有测试输入数据和期望输出数据；所述反应数据为所述待测设备以所述测试输入数据为输入输出的；

相应地，所述根据所述至少一个测试用例和所述反应数据判断所述待测设备是否有异常的步骤具体包括：

对比所述期望输出数据和所述反应数据，若对比获知所述反应数据中未携带有所述期望输出数据，则确认所述待测设备发生异常。

6.根据权利要求5所述的方法，其特征在于，若判断获知所述待测设备发生异常，则根据对比结果生成测试报告。

7.根据权利要求1-6任一项所述的方法，其特征在于，在获取工控网络中待测设备的IP地址的步骤之前，所述方法还包括：

获取所述工控网络的历史异常数据；

对所述历史异常数据进行分析，获取所述工控网络中各工控设备发生异常的概率；

根据各工控设备发生异常的概率和预设筛选规则对各待测设备进行筛选，获取待测设备组；

相应地，所述获取工控网络中待测设备的IP地址的步骤具体包括：

获取所述待测设备组中的待测设备的IP地址。

8.一种工控网络漏洞挖掘装置，其特征在于，包括：

获取模块，用于获取工控网络中待测设备的IP地址；

第一处理模块，用于根据所述IP地址获取所述待测设备的属性信息；

第二处理模块，用于根据所述属性信息获取至少一个测试用例；

发送接收模块，用于发送所述至少一个测试用例至所述待测设备，并获取所述待测设备发送的反应数据；

判断模块，用于根据所述至少一个测试用例和所述反应数据判断所述待测设备是否有异常。

9.根据权利要求8任一项所述的装置，其特征在于，所述至少一个测试用例中携带有测试输入数据和期望输出数据；所述反应数据为所述待测设备以所述测试输入数据为输入输出的；

相应地，所述判断模块，具体用于对比所述期望输出数据和所述反应数据，若对比获知所述反应数据中未携带有所述期望输出数据，则确认所述待测设备发生异常。

10.一种工控网络漏洞挖掘系统，其特征在于，包括：数据输入模块、监视器、以及权利要求8-9任一项所述的工控网络漏洞挖掘装置；

所述数据输入模块，用于基于工控网络的工控协议生成多个测试用例；

所述工控网络漏洞挖掘装置，用于根据工控网络中待测设备的属性信息选择测试用例，并将选择的测试用例输入至待测设备；

所述监视器，用于监视所述待测设备的响应，生成反应数据，并将所述反应数据输入至所述工控网络漏洞挖掘装置，由工控网络漏洞挖掘装置根据所述反应数据判断所述待测设备是否有异常。