[发明专利]一种网络空间工控资产的威胁检测方法

说明书

本发明公开了一种网络空间工控资产的威胁检测方法，首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测，筛选出存活端口并缓存到精确扫描任务池；然后对精确扫描任务池中所有存活端口进行精确扫描，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息；最后结合工控安全知识库，利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。与现有技术相比，本发明的积极效果是：可以探测到更多的网络空间工控资产；能够大规模快速检测整个互联网空间工控资产的安全威胁；避免了传统的Fuzzing技术可能造成工控系统业务异常中断的问题。

技术领域

本发明涉及一种网络空间工控资产的威胁检测方法。

背景技术

包括工业控制系统在内的国家关键信息基础设施关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全和公共利益。电力、轨道交通、供水、燃气等关键基础设施和石油石化、钢铁、煤化工和智能制造等重点制造企业所采用的自动控制系统，是国家关键信息基础设施的重要组成部分。目前超过80％的涉及国计民生的关键基础设施都依赖工业控制系统来实现相关工作作业，工业控制系统是水电气等国家关键基础实施工业行业正常运行和国民经济健康发展的“大脑”和“中枢神经”。因此，重要工业控制系统一旦遭到破坏、丧失功能或者信息泄露，可能严重危害国家安全和公共利益。

随着信息技术和现代城市的高速发展，“互联网+”、智能制造等创新战略的快速推进，城市水、电、气等关键基础设施和制造企业的工业控制系统逐渐联网化和智能化。来自网络空间的信息安全风险已经可以通过对工业控制系统、网络和设备的破坏，进而对关键基础设施和制造实体形成致命安全威胁，一旦发生安全事件，不仅严重影响生产安全和经济发展，更直接影响社会稳定和国家安全。同时，针对工业控制系统等关键信息基础设施的攻击呈现组织化、集团化、国家化和政治目的的趋势。网络空间工控资产的威胁识别，可以为网络空间工控资产信息安全防御工作提供技术支持，为国家安全部门提供综合安全态势感知分析。

现有技术存在如下缺点：

(1)现有的网络空间工控资产探测方法，只能识别出网络空间工控资产的厂商、型号等基本信息，不能检测出漏洞风险等安全威胁；

(2)现有的网络空间工控资产探测方法，只针对特定的TCP和UDP端口进行探测，未做全端口检测，并且UDP端口探测存在效率低和误报率高等问题；

(3)传统的Fuzzing技术可能会造成工控系统业务异常中断，无法适用于网络空间工控资产威胁检测。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种网络空间工控资产的威胁检测方法。

本发明解决其技术问题所采用的技术方案是：一种网络空间工控资产的威胁检测方法，首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测和深度扫描，筛选出存活端口并缓存到精确扫描任务池；然后对精确扫描任务池中所有存活端口进行精确扫描，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息；最后结合工控安全知识库，利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。

与现有技术相比，本发明的积极效果是：

(1)采用了TCP和UDP全端口预扫描技术，可以探测到更多的网络空间工控资产；

(2)能够大规模快速检测整个互联网空间工控资产的安全威胁；

(3)结合工业安全知识库实现威胁检测，避免了传统的Fuzzing技术可能造成工控系统业务异常中断的问题。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为网络空间工控资产的威胁检测流程图。

具体实施方式