亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種應(yīng)用于工業(yè)物聯(lián)網(wǎng)的漏洞掃描方法與流程

文檔序號(hào):11842928閱讀:1081來源:國知局
一種應(yīng)用于工業(yè)物聯(lián)網(wǎng)的漏洞掃描方法與流程

本發(fā)明涉及工業(yè)物聯(lián)網(wǎng)的安全領(lǐng)域,具體為一種應(yīng)用于工業(yè)物聯(lián)網(wǎng)的漏洞掃描方法。



背景技術(shù):

物聯(lián)網(wǎng)是新一代信息技術(shù)的重要組成部分,其實(shí)質(zhì)是物物相連的互聯(lián)網(wǎng)。而工業(yè)物聯(lián)網(wǎng)是指通過將具有感知能力的智能終端、無處不在的移動(dòng)計(jì)算模式、泛在的移動(dòng)網(wǎng)絡(luò)通信方式應(yīng)用到工業(yè)生產(chǎn)的各個(gè)環(huán)節(jié),提高制造效率,把握產(chǎn)品質(zhì)量,降低成本,減少污染,從而實(shí)現(xiàn)智能工業(yè)。工業(yè)物聯(lián)網(wǎng)的三個(gè)特征是全面感知、可靠傳輸、智能處理,系統(tǒng)通過網(wǎng)絡(luò)通信協(xié)議協(xié)調(diào)各模塊之間的操作作序,從而實(shí)現(xiàn)整個(gè)系統(tǒng)的自我感知和判斷、自我調(diào)節(jié)和控制等。

隨著工業(yè)物聯(lián)網(wǎng)在先進(jìn)制造領(lǐng)域嶄露頭角,信息安全也告別傳統(tǒng)的病毒感染、網(wǎng)絡(luò)黑客攻擊及資源濫用等階段,邁進(jìn)一個(gè)復(fù)雜多元、綜合交互的新時(shí)期。工業(yè)物聯(lián)網(wǎng)應(yīng)用規(guī)模越大就越能放大安全問題造成的影響。無論是智能交通、智能電網(wǎng)、智能醫(yī)療還是橋梁檢測、災(zāi)害監(jiān)測還是其它工業(yè)領(lǐng)域,一旦出現(xiàn)問題就會(huì)涉及實(shí)體的損失,安全隱患已成為制約工業(yè)物聯(lián)網(wǎng)發(fā)展的一大瓶頸。

由于工業(yè)物聯(lián)網(wǎng)與傳統(tǒng)網(wǎng)絡(luò)的適用場景不同,工業(yè)系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)的體系結(jié)構(gòu)、操作系統(tǒng)、實(shí)時(shí)要求和通信協(xié)議等典型特征也存在很大的差異,因此,工業(yè)物聯(lián)網(wǎng)的安全機(jī)制也不同于傳統(tǒng)網(wǎng)絡(luò)。傳統(tǒng)網(wǎng)絡(luò)對(duì)實(shí)時(shí)性的要求不高,通常采用TCP/IP協(xié)議,其防護(hù)技術(shù)較為成熟。工控系統(tǒng)對(duì)實(shí)時(shí)性的要求很高,通常采用專用的實(shí)時(shí)性協(xié)議,且協(xié)議規(guī)約種類繁多,沒有形成統(tǒng)一的標(biāo)準(zhǔn),并且也缺少足夠的認(rèn)證、加密、授權(quán)等;傳統(tǒng)網(wǎng)絡(luò)的系統(tǒng)安全主要針對(duì)操作系統(tǒng)的脆弱性、安全配置、病毒防護(hù)和系統(tǒng)資源的非授權(quán)訪問等,由于傳統(tǒng)網(wǎng)絡(luò)通常采用常見的操作系統(tǒng),其防護(hù)手段較為豐富。工控系統(tǒng)的系統(tǒng)安全主要針對(duì)操作系統(tǒng)的漏洞和配置缺陷等,由于工控系統(tǒng)通常采用專用的操作系統(tǒng),其防護(hù)手段較為局限;傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)安全主要針對(duì)數(shù)據(jù)的安全存儲(chǔ)和授權(quán)使用,工控系統(tǒng)的數(shù)據(jù)安全主要針對(duì)工控設(shè)備控制信息的實(shí)時(shí)傳輸和安全處理。



技術(shù)實(shí)現(xiàn)要素:

本發(fā)明的目的在于針對(duì)目前工業(yè)物聯(lián)網(wǎng)所面臨的全新的安全漏洞問題,提出了一種適用于工業(yè)物聯(lián)網(wǎng)特點(diǎn)的漏洞掃描方法。它根據(jù)工業(yè)物聯(lián)網(wǎng)中大都采用專用的實(shí)時(shí)性協(xié)議,且協(xié)議規(guī)約種類繁多的特點(diǎn),提出了基于協(xié)議集和底層設(shè)備庫的掃描方法,以獲取網(wǎng)絡(luò)中設(shè)備的具體信息。同時(shí)采用“逐級(jí)判斷”分層次的掃描策略,大大的提高了漏洞掃描的效率。

本發(fā)明所述的漏洞掃描方法如圖1所示,主要由網(wǎng)絡(luò)探測1、系統(tǒng)探測2以及掃描引擎3三部分組成。

所述的網(wǎng)絡(luò)探測是針對(duì)網(wǎng)絡(luò)信息層面的探測,主要利用工控交換機(jī)具有的普通交換機(jī)周期性發(fā)送廣播包的特點(diǎn),將捕獲在網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換的數(shù)據(jù)包11,傳遞給協(xié)議集12,由協(xié)議集對(duì)該數(shù)據(jù)包進(jìn)行判斷,以找到該數(shù)據(jù)包所對(duì)應(yīng)的協(xié)議,利用該協(xié)議對(duì)數(shù)據(jù)包進(jìn)行解析。

通過對(duì)數(shù)據(jù)包探測出工控交換機(jī)的站名稱、工控交換機(jī)的地址以及工控系統(tǒng)的廣播地址等基本信息。網(wǎng)絡(luò)探測是系統(tǒng)探測的基礎(chǔ),在此基礎(chǔ)上對(duì)系統(tǒng)進(jìn)行探測。

所述的系統(tǒng)探測是針對(duì)系統(tǒng)信息層面的探測,基于網(wǎng)絡(luò)探測的工業(yè)物聯(lián)網(wǎng)中廣播地址以及適用的協(xié)議等基本信息構(gòu)造數(shù)據(jù)包21,采用主從模式,主動(dòng)廣播發(fā)送要請(qǐng)求的數(shù)據(jù)包22,截取底層設(shè)備返回的數(shù)據(jù)包23,利用協(xié)議集中適用的協(xié)議對(duì)數(shù)據(jù)包進(jìn)行解析24,通過與底層的設(shè)備庫31進(jìn)行對(duì)比,探測出工業(yè)物聯(lián)網(wǎng)中的工控設(shè)備以及其站類型、站名稱、制造商標(biāo)識(shí)、設(shè)備標(biāo)識(shí)、設(shè)備角色以及地址等具體信息。

所述的掃描引擎的主要功能是根據(jù)該方法中的底層設(shè)備庫探測到的工控設(shè)備的具體信息,例如,制造商標(biāo)識(shí)、設(shè)備標(biāo)識(shí)以及設(shè)備角色等與工業(yè)物聯(lián)網(wǎng)中的漏洞庫做比對(duì),匹配出該設(shè)備存在的漏洞。

本發(fā)明所述的漏洞掃描方法,還規(guī)定了“逐層判斷”的分層次掃描策略。

所述的分層次掃描策略是以網(wǎng)絡(luò)掃描為基礎(chǔ),用狀態(tài)轉(zhuǎn)換推理的方法實(shí)現(xiàn),即建立一個(gè)策略驅(qū)動(dòng)機(jī)制來組織所有的漏洞檢測模塊,由它來負(fù)責(zé)調(diào)度漏洞檢測模塊的執(zhí)行,包括該運(yùn)行哪些漏洞檢測模塊以及運(yùn)行順序。驅(qū)動(dòng)機(jī)制的核心即狀態(tài)的判斷和轉(zhuǎn)換,收集目標(biāo)主機(jī)的具體信息以及所適用的協(xié)議,作為第一級(jí)的狀態(tài)集,由它來決定接下來所要調(diào)用的檢測模塊,然后進(jìn)入下一級(jí)的狀態(tài)集。

本申請(qǐng)實(shí)施例中提供的一個(gè)或多個(gè)技術(shù)方案,至少具有如下技術(shù)效果或優(yōu)點(diǎn):本發(fā)明解決了在工業(yè)物聯(lián)網(wǎng)中底層數(shù)據(jù)采集和控制與上層數(shù)據(jù)傳輸協(xié)議不同,造成的漏洞掃描無法識(shí)別全部漏洞的問題。加入了協(xié)議集和設(shè)備庫,是該漏洞掃描方法具有較好的額擴(kuò)展性和易用性。采用分層次掃描的策略極大的提高了掃描的效率。

附圖說明

下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。

圖1為本發(fā)明的結(jié)構(gòu)示意圖。

圖2為網(wǎng)絡(luò)探測流程圖

圖3為系統(tǒng)探測流程圖

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明,本發(fā)明旨在提供一種針對(duì)工業(yè)物聯(lián)網(wǎng)漏洞的掃描方法。自動(dòng)高效的檢測工業(yè)網(wǎng)上存在的漏洞以及安全隱患。

本發(fā)明最關(guān)鍵部分為網(wǎng)絡(luò)探測和系統(tǒng)探測。其為掃描引擎的基礎(chǔ)和前提,其主要功能是探測連接到工業(yè)物聯(lián)網(wǎng)的工控設(shè)備及其具體信息,這些信息是數(shù)據(jù)比對(duì)中的待比對(duì)數(shù)據(jù),通過將這些信息與基準(zhǔn)數(shù)據(jù)相比對(duì),進(jìn)而匹配出工控系統(tǒng)存在的漏洞。

該實(shí)例以一種開放式的工業(yè)以太網(wǎng)標(biāo)準(zhǔn)——PROFINET的實(shí)時(shí)(Real-Time,RT)通信協(xié)議為例進(jìn)行說明。網(wǎng)絡(luò)探測是通過捕獲網(wǎng)絡(luò)中的PROFINET數(shù)據(jù)包并對(duì)其進(jìn)行解析來提取工控交換機(jī)的站名稱、工控交換機(jī)的MAC地址以及系統(tǒng)的廣播地址等基本信息;系統(tǒng)探測則是在網(wǎng)絡(luò)探測的基礎(chǔ)上,通過構(gòu)造一個(gè)實(shí)時(shí)的PROFINET數(shù)據(jù)包,并在連接了工控設(shè)備的網(wǎng)絡(luò)中以廣播的方式發(fā)送,以請(qǐng)求工控設(shè)備的響應(yīng),再對(duì)回復(fù)的PROINET數(shù)據(jù)包進(jìn)行解析來提取工控系統(tǒng)中的工控設(shè)備以及其站類型、站名稱、制造商標(biāo)識(shí)、設(shè)備標(biāo)識(shí)、設(shè)備角色以及MAC地址等具體信息。通過系統(tǒng)探測和網(wǎng)絡(luò)探測兩步,即可完成對(duì)工控系統(tǒng)的探測。

其中,在網(wǎng)絡(luò)探測中因工程控交換機(jī)具有普通交換機(jī)的基本功能,并在此基礎(chǔ)上添加了一些工控的特性。因此,工控交換機(jī)會(huì)周期性的向整個(gè)工控系統(tǒng)中發(fā)送基于PROFINET RT通信中DCP協(xié)議的廣播包,廣播自己的站名稱,通過捕獲工控交換機(jī)發(fā)送的廣播包并根據(jù)DCP協(xié)議的幀結(jié)構(gòu)進(jìn)行解析和提取可以獲得工控系統(tǒng)的基本信息,例如,工控交換機(jī)的站名稱、工控交換機(jī)的MAC地址和廣播地址等。其流程如圖2所示。

啟動(dòng)捕獲數(shù)據(jù)包線程:用于捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包;

提取回復(fù)的PROFINET數(shù)據(jù)包:

提取Ethernet Type為0x8892的數(shù)據(jù)包;

對(duì)提取的數(shù)據(jù)包進(jìn)行解析:根據(jù)DCP協(xié)議的幀結(jié)構(gòu)對(duì)提取的數(shù)據(jù)包進(jìn)行解析,提取所需的工控設(shè)備信息。

其中在系統(tǒng)探測中,根據(jù)PROFINET RT通信中DCP協(xié)議幀結(jié)構(gòu),構(gòu)造一個(gè)實(shí)時(shí)的PROFINET數(shù)據(jù)包,并在連接了工控設(shè)備的網(wǎng)絡(luò)中以廣播的方式發(fā)送,以請(qǐng)求工控設(shè)備回復(fù),再通過對(duì)回復(fù)的數(shù)據(jù)包進(jìn)行解析來提取需要探測的工控設(shè)備的具體信息。其流程如圖3。

構(gòu)造PROINET數(shù)據(jù)包:根據(jù)DCP協(xié)議的幀結(jié)構(gòu)構(gòu)造PROFINET數(shù)據(jù)包;

啟動(dòng)捕獲數(shù)據(jù)包線程:用于捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包;

廣播發(fā)送PROFINET數(shù)據(jù)包:將目的地址設(shè)定為工控系統(tǒng)的廣播MAC地址,將源地址設(shè)定為測試主機(jī)的MAC地址,Ethernet Type為PROFIENT的協(xié)議ID,即0x8892;

提取回復(fù)的PROFINET數(shù)據(jù)包:提取Ethernet Type為0x8892且目的地址為測試主機(jī)的MAC地址的數(shù)據(jù)包;

對(duì)提取的數(shù)據(jù)包進(jìn)行解析:根據(jù)DCP協(xié)議的幀結(jié)構(gòu)對(duì)提取的數(shù)據(jù)包進(jìn)行解析,提取所需的工控設(shè)備信息。

上述實(shí)施例,僅為對(duì)本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)一步詳細(xì)說明的具體個(gè)例,本發(fā)明并非限定于此。凡在本發(fā)明的公開的范圍之內(nèi)所做的任何修改、等同替換、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍之內(nèi)。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1