[发明专利]一种工控设备网络攻击测试方法与系统

权利要求书

1.一种工控设备网络攻击测试方法，其特征在于，包括：

在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测；

根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。

2.根据权利要求1所述的一种工控设备网络攻击测试方法，其特征在于，所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文；所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括：

若检测到ARP探测报文无回应，则确定被测设备的底层firmware或操作系统已卡死；

若检测到ARP探测报文的回应并检测到ICMP探测报文无回应，则确定被测设备的底层firmware没有卡死，而操作系统已卡死；

若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应，则确定被测设备的操作系统网络层没有卡死，而传输层或应用层软件已卡死；

若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应，则确定被测设备的操作系统网络层和传输层没有卡死，而应用层软件已卡死。

3.根据权利要求1所述的一种工控设备网络攻击测试方法，其特征在于，所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括：

提取被测设备的操作系统和应用的日志信息；

从日志信息中提取关键字及关键字对应的时间，与被测设备的运行状态判断结果进行对比，若相同，则发送验证正确信号，若不相同，则发送验证失败信号。

4.根据权利要求1所述的一种工控设备网络攻击测试方法，其特征在于，所述在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测之前还包括：

调节网络攻击流量测试的攻击流量大小；

所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括：

根据网络攻击流量测试的攻击流量大小与被测设备的运行状态判断结果的对应关系得到被测设备的各种运行状态对应的攻击流量阈值。

5.根据权利要求1所述的一种工控设备网络攻击测试方法，其特征在于，所述在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测之前还包括：

对被测设备、进行网络攻击流量测试的网络测试仪和进行工控设备网络攻击测试方法的测试管理主机进行时钟同步。

6.一种工控设备网络攻击测试系统，根据权利要求1至5中任意一项所述的一种工控设备网络攻击测试方法进行测试，其特征在于，包括：

网络测试仪，用于对被测设备进行网络攻击流量测试；在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测；

测试管理主机，用于根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态；

被测设备，所述连接网络测试仪和所述测试管理主机。

7.根据权利要求6所述的一种工控设备网络攻击测试系统，其特征在于，所述测试管理主机具体用于判断：

若检测到ARP探测报文无回应，则确定被测设备的底层firmware或操作系统已卡死；

若检测到ARP探测报文的回应并检测到ICMP探测报文无回应，则确定被测设备的底层firmware没有卡死，而操作系统已卡死；

若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应，则确定被测设备的操作系统网络层没有卡死，而传输层或应用层软件已卡死；

若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应，则确定被测设备的操作系统网络层和传输层没有卡死，而应用层软件已卡死。