[发明专利]联网工业控制系统的探测方法、装置、计算机设备和介质

说明书

本申请涉及一种联网工业控制系统的探测方法、装置、计算机设备和介质。其中，该联网工业控制系统的探测方法包括：从存活端口库中读取存活端口，并使用探测脚本探测与存活端口对应的工控设备的第一特征信息；使用第一特征信息，在工控设备指纹库中模糊匹配对应的工控设备；根据匹配到的工控设备所使用的工控通信协议，获取工控设备的第二特征信息；根据第一特征信息和第二特征信息，生成工控设备的指纹特征，并将指纹特征存储到工控设备指纹库中。通过本申请，解决了相关技术中搜索引擎对工业控制系统的探测深度不够的问题，增加了对工业控制系统的探测深度。

技术领域

本申请涉及网络安全领域，特别是涉及联网工业控制系统的探测方法、装置、计算机设备和计算机可读介质。

背景技术

现代工业生产企业信息化和工业化已经高度融合，这意味着工业控制系统越来越走向开放和互联，工业控制系统与外界完全隔离几乎成为不可能。

与上述严峻的安全形势相对应的，由于黑客大会、白帽社区、开源社区的出现，获得工业控制系统的攻击方法越来越容易，大量工业控制系统软硬件设备的安全漏洞及利用方法可通过公开或半公开的渠道获得，这些都极大地降低了针对工业控制系统的网络攻击的难度。因此监管单位及时发现辖区暴露在互联网的工业控制系统，以及企业及时发现暴露在互联网的工业控制系统成为主动防御信息安全事件的必要手段。

在相关技术中，监管单位在对工业控制系统进行探测时，通常是采用工业控制系统对应的搜索引擎(如Shodan、Zoomeye)进行探测。发明人在研究过程中发现，采用上述搜索引擎进行探测存在着对工业控制系统的探测广度、准确度和深度不够的问题。

目前针对相关技术存在搜索引擎对工业控制系统的探测深度不够的问题，尚未提出有效的解决方案。

发明内容

本申请实施例提供了联网工业控制系统的探测方法、装置、计算机设备和计算机可读介质，以至少解决相关技术中搜索引擎对工业控制系统的探测深度不够的问题。

第一方面，本申请实施例提供了一种联网工业控制系统的探测方法，所述方法包括：

从存活端口库中读取存活端口，并使用探测脚本探测与所述存活端口对应的工控设备的第一特征信息；

使用所述第一特征信息，在工控设备指纹库中模糊匹配对应的工控设备；

根据匹配到的工控设备所使用的工控通信协议，获取所述工控设备的第二特征信息；

根据所述第一特征信息和所述第二特征信息，生成所述工控设备的指纹特征，并将所述指纹特征存储到所述工控设备指纹库中。

在其中一些实施例中，在从存活端口库中读取存活端口，并使用探测脚本探测与所述存活端口对应的工控设备的第一特征信息之前，所述方法还包括：

对工控通信协议对应的端口进行探测；

在探测到存活端口的情况下，根据所述存活端口生成所述存活端口库。

在其中一些实施例中，对工控通信协议对应的端口进行探测包括：

在所述工控通信协议包括TCP协议的情况下，采用Masscan对所述工控通信协议对应的端口进行探测；和/或

在所述工控通信协议包括UDP协议的情况下，采用Zmap对所述工控通信协议对应的端口进行探测。

在其中一些实施例中，从存活端口库中读取存活端口，并使用探测脚本探测与所述存活端口对应的工控设备的第一特征信息包括：

根据所述探测脚本，向存活端口发送报文请求消息，接收所述存活端口根据所述报文请求消息生成的报文响应消息；

解析所述报文响应消息中的报文，通过预设抓包工具，获取所述报文中的应用层交互子报文；