[發明專利]一種網絡空間工控資產的威脅檢測方法在審

申請號：	201810082304.5	申請日：	2018-01-29
公開（公告）號：	CN108390861A	公開（公告）日：	2018-08-10
發明（設計）人：	馬強;羊依銀;唐林;殷順堯	申請（專利權）人：	中國電子科技網絡信息安全有限公司
主分類號：	H04L29/06	分類號：	H04L29/06
代理公司：	成都九鼎天元知識產權代理有限公司 51214	代理人：	鄧世燕
地址：	610207 四川省成都市***	國省代碼：	四川;51
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	工控網絡空間資產威脅檢測掃描任務池存活設備軟件版本緩存安全知識庫互聯網空間安全威脅廠商信息讀取設備端口檢測工控系統工業協議關聯匹配快速檢測設備硬件探測報文業務異常傳統的預掃描探測發送篩選廠商中斷漏洞
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種網絡空間工控資產的威脅檢測方法，其特征在于：首先通過TCP和UDP兩種預掃描方式對IPv4網絡空間進行分布式全端口檢測，篩選出存活端口并緩存到精確掃描任務池；然后對精確掃描任務池中所有存活端口進行精確掃描，發送工業協議探測報文讀取設備廠商、設備硬件型號、設備軟件版本信息；最后結合工控安全知識庫，利用版本、型號、廠商信息關聯匹配出網絡空間工控資產存在的漏洞。

2.根據權利要求1所述的一種網絡空間工控資產的威脅檢測方法，其特征在于：所述TCP預掃描的方法為：

(1)利用分布式算法將IP段拆分給TCP預掃節點；

(2)TCP預掃節點收到IP子段后，利用隨機算法打亂目標IP并存放至IP池；

(3)向IP池中的所有IP的全端口發送SYN報文，如果某端口能夠收到目標IP的ACK報文，說明該端口存活，則將該IP及存活端口加入到精確掃描任務池；

(4)重復第(3)步，直到遍歷完所有IP和全端口。

3.根據權利要求1所述的一種網絡空間工控資產的威脅檢測方法，其特征在于：所述UDP預掃描的方法為：

(1)利用分布式算法將IP段拆分給UDP預掃節點；

(2)UDP預掃節點收到IP子段后，利用隨機算法打亂目標IP并存放至IP池；

(3)向IP池中的所有IP的全端口發送UDP預掃描報文，如果某端口能夠收到目標IP的正確應答報文，說明該端口存活，則將該IP及存活端口加入到精確掃描任務池；

(4)重復第(3)步，直到遍歷完所有IP和全端口。

4.根據權利要求3所述的一種網絡空間工控資產的威脅檢測方法，其特征在于：所述UDP預掃描報文根據工業協議通信流程進行構造。

5.根據權利要求1所述的一種網絡空間工控資產的威脅檢測方法，其特征在于：所述精確掃描的方法為：