本發(fā)明涉及工控網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體涉及一種基于工控協(xié)議的自適應(yīng)漏洞挖掘框架。

背景技術(shù)：

工業(yè)控制網(wǎng)絡(luò)(以下簡(jiǎn)稱“工控網(wǎng)絡(luò)”)安全漏洞是在其生命周期的各個(gè)階段(設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)維等過(guò)程)中引入的某類問題。近年來(lái)，工控系統(tǒng)強(qiáng)調(diào)開放性，在網(wǎng)絡(luò)中大量引入通用的IT產(chǎn)品，如Windows操作系統(tǒng)、關(guān)系數(shù)據(jù)庫(kù)等，并廣泛使用以太網(wǎng)和TCP/IP協(xié)議，在降低成本和簡(jiǎn)化集成的同時(shí)將大量IT漏洞引入了工控網(wǎng)絡(luò)。同時(shí)，大部分的工控網(wǎng)絡(luò)應(yīng)用層協(xié)議和現(xiàn)場(chǎng)總線協(xié)議，廣泛使用MODBUS/TCP、CAN等明碼傳輸協(xié)議，存在沒有嚴(yán)格的身份識(shí)別，報(bào)文很容易被偽造等無(wú)法避免的脆弱性。因此，由相對(duì)封閉的專用計(jì)算機(jī)和網(wǎng)絡(luò)體系發(fā)展而來(lái)的工控網(wǎng)絡(luò)系統(tǒng)，安全的薄弱的環(huán)節(jié)幾乎來(lái)自于各方各面，特別對(duì)于大型SCADA系統(tǒng)，設(shè)備分散安裝，部分采用公網(wǎng)和無(wú)線網(wǎng)絡(luò)，更容易受到利用漏洞的攻擊，嚴(yán)重的攻擊后果可以使系統(tǒng)網(wǎng)絡(luò)完全癱瘓，造成工業(yè)過(guò)程失控或裝置停機(jī)。

工控網(wǎng)絡(luò)具有非常鮮明的特點(diǎn)，首先是封閉性，SCADA、DCS等控制系統(tǒng)和PLC等控制設(shè)備在設(shè)計(jì)之初就沒有考慮完善的安全機(jī)制；其次是復(fù)雜性，工控網(wǎng)絡(luò)常見的總線協(xié)議和應(yīng)用層協(xié)議有幾十種，不但每種通信協(xié)議的數(shù)據(jù)接口不完全相同，這些協(xié)議的規(guī)約實(shí)現(xiàn)也不相同；最后是不可改變性，工控網(wǎng)絡(luò)很難進(jìn)行改造和補(bǔ)丁升級(jí)。綜合以上，傳統(tǒng)信息安全的測(cè)試技術(shù)和設(shè)備不適合工控網(wǎng)絡(luò)。具體來(lái)說(shuō)，當(dāng)前我國(guó)相關(guān)機(jī)構(gòu)對(duì)工控網(wǎng)絡(luò)安全漏洞進(jìn)行檢測(cè)的手段是比較局限的，具體體現(xiàn)在：

現(xiàn)有檢測(cè)手段僅針對(duì)工控網(wǎng)絡(luò)內(nèi)的外圍服務(wù)器和通用IT設(shè)備，無(wú)法觸及亟待保護(hù)的核心工控設(shè)備；

現(xiàn)有的端口服務(wù)掃描、漏洞特征掃描等技術(shù)對(duì)漏洞庫(kù)的依賴較大，但公開的工控網(wǎng)絡(luò)安全漏洞庫(kù)信息很少，導(dǎo)致無(wú)法實(shí)現(xiàn)深入、全面的檢測(cè)；

基于公開漏洞的掃描技術(shù)和機(jī)制無(wú)法有效發(fā)現(xiàn)未知漏洞，同時(shí)在時(shí)間上永遠(yuǎn)滯后于攻擊者利用的未知漏洞；

缺乏針對(duì)性檢測(cè)工具，無(wú)法有效證明工控設(shè)備上的潛在漏洞是否存在。

由于缺乏針對(duì)工控網(wǎng)絡(luò)安全漏洞進(jìn)行檢測(cè)和挖掘的工具，在定期的安全檢查時(shí)無(wú)法及時(shí)發(fā)現(xiàn)工控設(shè)備和系統(tǒng)的隱患和漏洞，一旦發(fā)生工控網(wǎng)絡(luò)安全事故，不但難以在第一時(shí)間內(nèi)辨析是脆弱性問題還是設(shè)備故障，也無(wú)法對(duì)可疑設(shè)備做到物證俱全。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)現(xiàn)有技術(shù)存在的不足和缺陷，本發(fā)明提供一種基于工控協(xié)議的自適應(yīng)漏洞挖掘框架。

本發(fā)明實(shí)施例提出一種基于工控協(xié)議的自適應(yīng)漏洞挖掘框架，包括：

接口層、核心功能層和協(xié)議層；其中，

所述接口層包括以太網(wǎng)口、串行接口、總線接口和定制接口，用于自適應(yīng)連接被測(cè)對(duì)象；

所述協(xié)議層為所述核心功能層提供工控協(xié)議的測(cè)試用例庫(kù)；

所述核心功能層包括漏洞掃描模塊和漏洞挖掘模塊，其中，所述漏洞掃描模塊基于已知漏洞庫(kù)對(duì)工控網(wǎng)絡(luò)中的已知漏洞進(jìn)行檢測(cè)，所述漏洞挖掘模塊基于所述測(cè)試用例庫(kù)挖掘工控網(wǎng)絡(luò)中的潛在漏洞。

本發(fā)明實(shí)施例提供的基于工控協(xié)議的自適應(yīng)漏洞挖掘框架，依托已知漏洞庫(kù)和工業(yè)控制協(xié)議測(cè)試用例庫(kù)，能夠檢測(cè)出工控網(wǎng)絡(luò)中存在的各類已知漏洞和缺陷，還能挖掘潛在的未知漏洞，實(shí)現(xiàn)了自下而上的工控自適應(yīng)漏洞挖掘檢測(cè)，底層硬件接口可以進(jìn)行工控硬件接口自適應(yīng)，集成了IT網(wǎng)絡(luò)中無(wú)法適配的工控設(shè)備的串口、現(xiàn)場(chǎng)總線接口等接口，同時(shí)可以定制非標(biāo)準(zhǔn)的私有協(xié)議數(shù)據(jù)接口，可適應(yīng)各種復(fù)雜的工控網(wǎng)絡(luò)環(huán)境中各類接口的漏洞挖掘檢測(cè)。

附圖說(shuō)明

圖1為本發(fā)明基于工控協(xié)議的自適應(yīng)漏洞挖掘框架一實(shí)施例的結(jié)構(gòu)示意圖；

圖2為本發(fā)明工控設(shè)備漏洞挖掘檢測(cè)直連示意圖；

圖3為本發(fā)明工控設(shè)備漏洞挖掘檢測(cè)單向橋連(下位機(jī))示意圖；

圖4為本發(fā)明工控設(shè)備漏洞挖掘檢測(cè)單向橋連(上位機(jī))示意圖；

圖5為本發(fā)明工控設(shè)備漏洞挖掘檢測(cè)雙向橋連示意圖。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

參看圖1，本實(shí)施例公開一種基于工控協(xié)議的自適應(yīng)漏洞挖掘框架，包括：

接口層1、核心功能層2和協(xié)議層3；其中，

所述接口層1包括以太網(wǎng)口、串行接口、總線接口和定制接口，用于自適應(yīng)連接被測(cè)對(duì)象；

所述協(xié)議層3為所述核心功能層提供工控協(xié)議的測(cè)試用例庫(kù)；

所述核心功能層2包括漏洞掃描模塊和漏洞挖掘模塊，其中，所述漏洞掃描模塊基于已知漏洞庫(kù)對(duì)工控網(wǎng)絡(luò)中的已知漏洞進(jìn)行檢測(cè)，所述漏洞挖掘模塊基于所述測(cè)試用例庫(kù)挖掘工控網(wǎng)絡(luò)中的潛在漏洞。

具體地，所述漏洞掃描模塊獲取被測(cè)對(duì)象的特征，將所述特征與已知漏洞庫(kù)中的漏洞特征進(jìn)行匹配，若所述特征匹配上已知漏洞庫(kù)中一已知漏洞特征，則確定被測(cè)對(duì)象存在該已知漏洞。其中，所述特征包括被測(cè)對(duì)象廠商信息、型號(hào)、版本信息和所使用的通信協(xié)議。所述漏洞挖掘模塊，在強(qiáng)大自定義測(cè)試引擎的基礎(chǔ)上，綜合運(yùn)用各種測(cè)試方法和腳本，向被測(cè)對(duì)象提供非預(yù)期的隨機(jī)或用戶自定義輸入并監(jiān)控輸出中的異常來(lái)發(fā)現(xiàn)其潛在缺陷和故障。

該框架支持直連和橋接的測(cè)試連接方式，支持工控協(xié)議的定制升級(jí)以及自定義設(shè)備添加，通過(guò)協(xié)議開放API支持私有協(xié)議的自定義測(cè)試，并支持插件方式的產(chǎn)品功能擴(kuò)充。

如圖2所示，將使用該框架的測(cè)試平臺(tái)通過(guò)工業(yè)以太網(wǎng)口，串口或其他總線接口與被測(cè)設(shè)備直接相連(點(diǎn)對(duì)點(diǎn)連接)。測(cè)試時(shí)由測(cè)試平臺(tái)直接對(duì)被測(cè)設(shè)備發(fā)送數(shù)據(jù)包，同時(shí)通過(guò)客戶端電腦作為監(jiān)視器，來(lái)實(shí)現(xiàn)操作、監(jiān)視和管理整個(gè)對(duì)被測(cè)設(shè)備進(jìn)行已知漏洞檢測(cè)和未知漏洞挖掘的過(guò)程。

直連方式下的已知漏洞檢測(cè)方式主要通過(guò)漏洞庫(kù)來(lái)實(shí)現(xiàn)，而未知漏洞挖掘則主要通過(guò)各類基于生成的模糊(fuzzing)測(cè)試用引擎，具體包括：

(1)基于工控漏洞庫(kù)的已知漏洞檢測(cè)

基于業(yè)界最專業(yè)完整的工控網(wǎng)絡(luò)安全漏洞庫(kù)，依靠高效漏洞掃描引擎、檢測(cè)規(guī)則的自動(dòng)匹配，掃描工控網(wǎng)絡(luò)中的關(guān)鍵設(shè)備和軟件，檢測(cè)是否存在已知漏洞。

(2)針對(duì)通用漏洞進(jìn)行針對(duì)性攻擊測(cè)試

攻擊測(cè)試用例來(lái)自于匡恩安全團(tuán)隊(duì)在實(shí)際挖掘漏洞中獲得經(jīng)驗(yàn)的積累和總結(jié)。同一廠商的產(chǎn)品往往形成漏洞的功能模塊邏輯和配置方式是相似的，因此可以針對(duì)某一類型漏洞開發(fā)專門的攻擊測(cè)試方式，在測(cè)試任務(wù)中運(yùn)行攻擊測(cè)試用例可以更快速的檢測(cè)到該被測(cè)設(shè)備是否存在同類型的通用漏洞，例如檢測(cè)設(shè)備是否存在某些配置錯(cuò)誤，可以被利用形成未授權(quán)操作，中間人攻擊等。

(3)基于工控協(xié)議的語(yǔ)法模糊測(cè)試

語(yǔ)法模糊測(cè)試基于工控協(xié)議實(shí)現(xiàn)(協(xié)議規(guī)范定義)的報(bào)文語(yǔ)法，在給定變量初始化文件的前提下，生成遞歸定義的測(cè)試用例語(yǔ)法描述，根據(jù)交互語(yǔ)義生成有序的一系列測(cè)試用例，有意將畸形的語(yǔ)法注入到測(cè)試報(bào)文，或者對(duì)合法的報(bào)文進(jìn)行變異，從而試圖觸發(fā)協(xié)議實(shí)現(xiàn)中有缺陷的代碼，導(dǎo)致協(xié)議規(guī)范中定義的正常操作流程遭到干擾或破壞。

(4)基于工控協(xié)議的智能模糊測(cè)試

創(chuàng)新的智能模糊測(cè)試引擎基于各類工控協(xié)議的規(guī)約來(lái)構(gòu)建模型，在深入理解各個(gè)工控協(xié)議規(guī)約特征的基礎(chǔ)上生成輸入數(shù)據(jù)和測(cè)試用例去遍歷協(xié)議實(shí)現(xiàn)的各個(gè)方面，包括在數(shù)據(jù)內(nèi)容，結(jié)構(gòu)，消息，序列中引入各種異常。同時(shí)，引入了大數(shù)據(jù)分析和人工智能算法，將初始的變形范圍主要集中在該廠商設(shè)備最容易發(fā)生故障的范圍內(nèi)進(jìn)行密集測(cè)試，測(cè)試中動(dòng)態(tài)追蹤被測(cè)設(shè)備的異常反應(yīng)，智能選擇更有效的輸入屬性構(gòu)造新樣本進(jìn)行測(cè)試，在迭代測(cè)試中不斷更新模型參數(shù)和優(yōu)化樣本構(gòu)造，使得同一類設(shè)備將來(lái)進(jìn)行測(cè)試時(shí)能夠自動(dòng)選擇更有效的樣本優(yōu)先進(jìn)行測(cè)試，這樣可以大大減少測(cè)試數(shù)據(jù)生成的盲目性和測(cè)試用例的無(wú)效性，提升關(guān)鍵代碼的覆蓋率和設(shè)備的異常檢測(cè)能力。

(5)用戶自定義測(cè)試

根據(jù)不同的工控協(xié)議需求，或者出于未知協(xié)議細(xì)節(jié)保密等方面的考量，用戶可以有多種自定義測(cè)試用例的方式。

(a)基于編輯已有測(cè)試用例的自定義測(cè)試

針對(duì)不同的工控協(xié)議，漏洞挖掘檢測(cè)平臺(tái)內(nèi)置了大量的測(cè)試用例，覆蓋了協(xié)議功能碼、邊界值等方面的測(cè)試。用戶可以在已有測(cè)試用例的基礎(chǔ)上重新設(shè)置目標(biāo)端口，迭代次數(shù)，重復(fù)次數(shù)等關(guān)鍵參數(shù)。

(b)基于編輯新建測(cè)試用例的自定義測(cè)試

漏洞挖掘檢測(cè)平臺(tái)還提供了用戶新建測(cè)試用例的功能，允許自定義全新測(cè)試用例的數(shù)據(jù)模型和狀態(tài)模型。用戶可以直接在平臺(tái)上編輯測(cè)試用例，也可以上傳已經(jīng)編輯好的客戶端XML文件，經(jīng)過(guò)校驗(yàn)后就可以在平臺(tái)上自動(dòng)運(yùn)行測(cè)試了。

需要說(shuō)明的是，私有協(xié)議自定義測(cè)試首先要對(duì)被測(cè)應(yīng)用進(jìn)行研究，理解和解釋協(xié)議規(guī)約或文件定義。然而這種方法并不基于協(xié)議規(guī)約或文件定義創(chuàng)建硬編碼的測(cè)試用例，而是創(chuàng)建一個(gè)描述協(xié)議規(guī)約如何工作的文法(grammar)。采用這種方式，測(cè)試者可以識(shí)別出數(shù)據(jù)包或是文件中的靜態(tài)部分和動(dòng)態(tài)部分，動(dòng)態(tài)部分就是可以被模糊化變量替代的部分。隨后，模糊測(cè)試器動(dòng)態(tài)分析包含了靜態(tài)和動(dòng)態(tài)部分的模板，生成模糊測(cè)試數(shù)據(jù)，將結(jié)果數(shù)據(jù)包或是文件發(fā)送給被測(cè)應(yīng)用。這種測(cè)試方法對(duì)測(cè)試者有較高的要求，測(cè)試者需要能夠指出規(guī)約中最容易導(dǎo)致目標(biāo)應(yīng)用在解析時(shí)發(fā)生故障的部分。

橋接測(cè)試也被稱為內(nèi)聯(lián)測(cè)試，Inline測(cè)試，是一種基于突變的強(qiáng)制性模糊測(cè)試方法，這種方法通過(guò)在已有數(shù)據(jù)樣本基礎(chǔ)上插入或修改變異字節(jié)來(lái)改變正常上位機(jī)和被測(cè)設(shè)備間的交互數(shù)據(jù)，并同時(shí)監(jiān)視上位機(jī)和被測(cè)設(shè)備的狀態(tài)，是一種雙向測(cè)試。

橋接測(cè)試首先采用智能推論算法，通過(guò)從網(wǎng)絡(luò)流量中推導(dǎo)出協(xié)議的大概相似模型，然后通過(guò)啟發(fā)式算法來(lái)估計(jì)邊界值，最后使用變異算法來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的突變。因此，橋接測(cè)試也可以在無(wú)需知道協(xié)議細(xì)節(jié)的情況下，用于對(duì)通過(guò)未知協(xié)議進(jìn)行交互的設(shè)備進(jìn)行漏洞測(cè)試和挖掘，具體包括如下測(cè)試方法：

(1)針對(duì)下位機(jī)(被測(cè)設(shè)備)的單向橋接測(cè)試

如圖3所示，在測(cè)試環(huán)境部署時(shí)采用了中間人的方式，將漏洞挖掘檢測(cè)平臺(tái)部署在上位機(jī)和被測(cè)工控設(shè)備之間。橋接測(cè)試引擎對(duì)所有上位機(jī)發(fā)給被測(cè)設(shè)備的數(shù)據(jù)包進(jìn)行截獲和分析，估計(jì)協(xié)議幀的有效范圍，并根據(jù)用戶的設(shè)置參數(shù)進(jìn)行變異，實(shí)時(shí)生成變異報(bào)文發(fā)送給被測(cè)設(shè)備，同時(shí)接收返回的應(yīng)答結(jié)果，判斷被測(cè)對(duì)象的狀態(tài)，智能決定下一步變異策略。

(2)針對(duì)上位機(jī)(控制端)的單向橋接測(cè)試

如圖4所示，在連接時(shí)將漏洞挖掘檢測(cè)平臺(tái)單向橋連上位機(jī)。橋接測(cè)試時(shí)，被測(cè)設(shè)備對(duì)上位機(jī)的應(yīng)答數(shù)據(jù)包也可以進(jìn)行變異。漏洞挖掘檢測(cè)平臺(tái)截獲所有的被測(cè)設(shè)備應(yīng)答數(shù)據(jù)包后，根據(jù)用戶設(shè)置，實(shí)時(shí)生成變異報(bào)文發(fā)送給上位機(jī)，來(lái)觀察上位機(jī)的狀態(tài)。

(3)針對(duì)上位機(jī)和下位機(jī)的雙向橋接測(cè)試

如圖5所示，在連接時(shí)將漏洞挖掘檢測(cè)平臺(tái)雙向橋連上位機(jī)和被測(cè)工控設(shè)備。測(cè)試中同時(shí)修改上位機(jī)的輸入和下位機(jī)的輸出，根據(jù)用戶的設(shè)置雙向變異發(fā)包，同時(shí)觀察兩個(gè)設(shè)備的狀況。

本發(fā)明實(shí)施例提供的基于工控協(xié)議的自適應(yīng)漏洞挖掘框架，依托已知漏洞庫(kù)和工業(yè)控制協(xié)議測(cè)試用例庫(kù)，能夠檢測(cè)出工控網(wǎng)絡(luò)中存在的各類已知漏洞和缺陷，還能挖掘潛在的未知漏洞，實(shí)現(xiàn)了自下而上的工控自適應(yīng)漏洞挖掘檢測(cè)，底層硬件接口可以進(jìn)行工控硬件接口自適應(yīng)，集成了IT網(wǎng)絡(luò)中無(wú)法適配的工控設(shè)備的串口、現(xiàn)場(chǎng)總線接口等接口，同時(shí)可以定制非標(biāo)準(zhǔn)的私有協(xié)議數(shù)據(jù)接口，可適應(yīng)各種復(fù)雜的工控網(wǎng)絡(luò)環(huán)境中各類接口的漏洞挖掘檢測(cè)。

雖然結(jié)合附圖描述了本發(fā)明的實(shí)施方式，但是本領(lǐng)域技術(shù)人員可以在不脫離本發(fā)明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)。