[发明专利]一种工控设备网络攻击测试方法与系统

说明书

本申请提供了一种工控设备网络攻击测试方法及系统，其中方法包括：在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测；根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。本申请提供的方法能够发送不同类型协议的探测报文，当被测设备回应其中几种类型协议的探测报文时，能够根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态，在多层次对被测设备进行探测，利用被测设备的运行状态与回应探测报文类型的关系实现了不同运行状态的判断，解决了传统的测试方法自动化程度低且分析层面单一的技术问题。

技术领域

本申请涉及网络测试技术领域，尤其涉及一种工控设备网络攻击测试方法与系统。

背景技术

近年来，针对工业重要基础设施的网络攻击事件呈上升趋势。在我国，国家重要工业基础设施的防攻击手段主要还是采取物理隔离等边界防护措施。一旦边界防护被攻破，工业基础设施将直接面对网络攻击的考验。由于没有直接的抗攻击能力，工业基础设施非常脆弱，以至于将在最快的时间内被网络攻击破坏。

这些年来，工业控制设备的直接抗攻击能力一直是测试技术研究的方向，它主要验证在各种网络攻击方式下(如DOS、fuzzing攻击等)，工控设备的各种异常状态和健壮性，如网络拥塞、系统死机或重启等。常规的方法是用测试工具对工控设备发送网络攻击流量的同时，通过网络协议或设备日志的方式对被测设备的状态进行监控。

传统的网络攻击测试方法没有形成统一的闭环方式，测试和结果分析是分开执行。一般情况是发起和完成测试后，在被测设备上核对相关的结果参数。这种方法效率很低，需要人工不断干预，不能适应大型的工控设备入网测试。

传统的网络攻击测试方法一般基于单个维度进行被测设备状态的诊断，根据单一维度的参数来手工调节测试工具的参数，这样不利于在多个维度综合考虑被测设备在综合因素条件下的表现。

传统的测试方法只是简单查看被测设备的对应状态和参数，由于许多层面的问题可能导致的状态参数的反应趋于一致，因此很难快速分辨和定位出现问题的层面。

发明内容

本申请提供了一种工控设备网络攻击测试方法与系统，用于解决传统的测试方法自动化程度低且分析层面单一的技术问题。

有鉴于此，本申请第一方面提供了一种工控设备网络攻击测试方法，包括：

在对被测设备进行网络攻击流量测试的同时，定期发送不同类型协议的探测报文对被测设备进行探测；

根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态。

优选地，所述不同类型协议的探测报文包括ARP探测报文、ICMP探测报文、TCP探测报文和HTTP探测报文；所述根据被测设备对不同类型协议的报文的回应判断被测设备的运行状态包括：

若检测到ARP探测报文无回应，则确定被测设备的底层firmware或操作系统已卡死；

若检测到ARP探测报文的回应并检测到ICMP探测报文无回应，则确定被测设备的底层firmware没有卡死，而操作系统已卡死；

若检测到ARP探测报文和ICMP探测报文的回应并检测到TCP探测报文和HTTP探测报文无回应，则确定被测设备的操作系统网络层没有卡死，而传输层或应用层软件已卡死；

若检测到ARP探测报文、ICMP探测报文和TCP探测报文的回应并检测到HTTP探测报文无回应，则确定被测设备的操作系统网络层和传输层没有卡死，而应用层软件已卡死。

优选地，所述根据被测设备对不同类型协议的探测报文的回应判断被测设备的运行状态之后还包括：

提取被测设备的操作系统和应用的日志信息；