[发明专利]一种工控系统漏洞探测方法及系统

权利要求书

1.一种工控系统漏洞探测方法，其特征在于，该探测方法通过旁路镜像方式快速定位待测设备所使用的非常规端口和工控协议，然后通过主动探测方式，根据非常规端口和工控协议，获取待测设备的工控资产信息，然后匹配相关的漏洞，整个过程可在分钟级以内完成，包括以下步骤：

S100，以旁路镜像的方式，对工控网络中的业务网络通讯进行嗅探，获得初步的资产信息，该信息包含了工控网络内所有正在通讯的工控设备的IP地址、端口和所使用的工控协议；

S200，以此信息为基础，漏洞探测装置通过主动探测方式，以符合规范的工控协议与工控网络中的所有目标工控设备进行通讯，根据目标工控设备返回的结果，获得详细的资产信息；

S300，将同一个目标工控设备获得的资产信息这些信息进行整合，区分优先级，给该工控设备做相应的资产标签；

S400，根据该工控设备的资产标签，在工控漏洞库中进行分析匹配，得到该工控设备的相关漏洞，对该工控网络中的所有工控设备进行相应的漏洞探测，得到整个网络区域的漏洞结果，

S100进一步包括以下步骤：

S110，获得被镜像的流量数据，DCS、PLC、RTU、SCADA、工程师站和操作员站之间有大量的网络通讯，通过镜像交换机，DCS、PLC、RTU、SCADA、工程师站、操作员站之间进行业务相关的网络通讯，镜像交换机将这些通讯流量镜像给漏洞探测装置；

S120，漏洞探测装置获取网络流量后，对网络流量进行解析，根据TCP/IP结构，依次解析物理层、数据链路层、网络层、传输层、应用层；

S130，网络流量解析后，从网络流量的网络层记录源IP地址和目标IP地址，从网络流量的传输层记录源端口和目标端口，通过解析应用层协议或者数据链路层之上的协议，判断网络流量使用的哪种协议，并记录下来；

S140，根据S130的结果，对网络流量进行过滤，获得跟工控协议相关的流量数据；

S150，基于S140的结果，对工控流量进行分析，判断工控流量中是否包含资产信息；

S160，S150中，如果工控流量中包含资产信息，则将这些资产信息提取出来；

S170，提取出来的资产信息，针对不是规范的数据，对这样的数据进行过滤和清洗；

S180，记录过滤和清洗之后的资产信息，留待后续进行进一步分析和处理，所述S200中，先对目标设备的IP地址、端口和协议，进行主动探测，包括以下步骤：

S211，基于S100的结果，将探测数据转换为合规的工控协议数据；

S212，将转换后的数据发送给待测工控设备；

S213，接收待测设备返回的响应流量，同时对网络流量进行解析，根据TCP/IP结构，依次解析物理层、数据链路层、网络层、传输层、应用层；

S214，判断解析后的流量中，是否包含工控资产信息；

S215，获取工控资产信息；

S216，提取出来的资产信息，不是规范的数据，对这样的资产信息数据进行过滤和清洗；

S217，将过滤和清洗之后的资产信息记录下来，留待后续进行进一步分析和处理，

所述S200中，进一步包括以下步骤：

S221，对于工控网络内的所有设备，进行全网扫描，探测正在运行的工控设备及其IP地址；

S222，基于S221的结果，对工控协议端口，进行TCP端口探测，判断工控设备的端口开放情况；

S223，对于TCP端口，基于S221和S222的结果，根据IP地址、TCP端口和端口可能使用的工控协议，将探测数据转换为工控协议数据；对于UDP端口，基于S221发现的IP地址和工控协议库中的UDP端口和UDP协议，将探测数据转换为工控协议数据；

S224，将转换后的工控协议数据发送给待测工控设备；

S225，接收待测设备返回的响应流量，同时对网络流量进行解析；

S226，判断解析后的流量中，是否包含工控资产信息

S227，将资产信息提取出来；

S228，提取出来的资产信息，对不是规范的数据，进行过滤和清洗；

S229，将过滤和清洗之后的资产信息记录下来，留待后续进行进一步分析和处理。