本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)空間工控資產(chǎn)的威脅檢測(cè)方法，首先通過(guò)TCP和UDP兩種預(yù)掃描方式對(duì)IPv4網(wǎng)絡(luò)空間進(jìn)行分布式全端口檢測(cè)，篩選出存活端口并緩存到精確掃描任務(wù)池；然后對(duì)精確掃描任務(wù)池中所有存活端口進(jìn)行精確掃描，發(fā)送工業(yè)協(xié)議探測(cè)報(bào)文讀取設(shè)備廠商、設(shè)備硬件型號(hào)、設(shè)備軟件版本信息；最后結(jié)合工控安全知識(shí)庫(kù)，利用版本、型號(hào)、廠商信息關(guān)聯(lián)匹配出網(wǎng)絡(luò)空間工控資產(chǎn)存在的漏洞。與現(xiàn)有技術(shù)相比，本發(fā)明的積極效果是：可以探測(cè)到更多的網(wǎng)絡(luò)空間工控資產(chǎn)；能夠大規(guī)模快速檢測(cè)整個(gè)互聯(lián)網(wǎng)空間工控資產(chǎn)的安全威脅；避免了傳統(tǒng)的Fuzzing技術(shù)可能造成工控系統(tǒng)業(yè)務(wù)異常中斷的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)空間工控資產(chǎn)的威脅檢測(cè)方法。

背景技術(shù)

包括工業(yè)控制系統(tǒng)在內(nèi)的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)系國(guó)家安全、國(guó)計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能?chē)?yán)重危害國(guó)家安全和公共利益。電力、軌道交通、供水、燃?xì)獾汝P(guān)鍵基礎(chǔ)設(shè)施和石油石化、鋼鐵、煤化工和智能制造等重點(diǎn)制造企業(yè)所采用的自動(dòng)控制系統(tǒng)，是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。目前超過(guò)80％的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施都依賴(lài)工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)相關(guān)工作作業(yè)，工業(yè)控制系統(tǒng)是水電氣等國(guó)家關(guān)鍵基礎(chǔ)實(shí)施工業(yè)行業(yè)正常運(yùn)行和國(guó)民經(jīng)濟(jì)健康發(fā)展的“大腦”和“中樞神經(jīng)”。因此，重要工業(yè)控制系統(tǒng)一旦遭到破壞、喪失功能或者信息泄露，可能?chē)?yán)重危害國(guó)家安全和公共利益。

隨著信息技術(shù)和現(xiàn)代城市的高速發(fā)展，“互聯(lián)網(wǎng)+”、智能制造等創(chuàng)新戰(zhàn)略的快速推進(jìn)，城市水、電、氣等關(guān)鍵基礎(chǔ)設(shè)施和制造企業(yè)的工業(yè)控制系統(tǒng)逐漸聯(lián)網(wǎng)化和智能化。來(lái)自網(wǎng)絡(luò)空間的信息安全風(fēng)險(xiǎn)已經(jīng)可以通過(guò)對(duì)工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)和設(shè)備的破壞，進(jìn)而對(duì)關(guān)鍵基礎(chǔ)設(shè)施和制造實(shí)體形成致命安全威脅，一旦發(fā)生安全事件，不僅嚴(yán)重影響生產(chǎn)安全和經(jīng)濟(jì)發(fā)展，更直接影響社會(huì)穩(wěn)定和國(guó)家安全。同時(shí)，針對(duì)工業(yè)控制系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊呈現(xiàn)組織化、集團(tuán)化、國(guó)家化和政治目的的趨勢(shì)。網(wǎng)絡(luò)空間工控資產(chǎn)的威脅識(shí)別，可以為網(wǎng)絡(luò)空間工控資產(chǎn)信息安全防御工作提供技術(shù)支持，為國(guó)家安全部門(mén)提供綜合安全態(tài)勢(shì)感知分析。

現(xiàn)有技術(shù)存在如下缺點(diǎn)：

(1)現(xiàn)有的網(wǎng)絡(luò)空間工控資產(chǎn)探測(cè)方法，只能識(shí)別出網(wǎng)絡(luò)空間工控資產(chǎn)的廠商、型號(hào)等基本信息，不能檢測(cè)出漏洞風(fēng)險(xiǎn)等安全威脅；

(2)現(xiàn)有的網(wǎng)絡(luò)空間工控資產(chǎn)探測(cè)方法，只針對(duì)特定的TCP和UDP端口進(jìn)行探測(cè)，未做全端口檢測(cè)，并且UDP端口探測(cè)存在效率低和誤報(bào)率高等問(wèn)題；

(3)傳統(tǒng)的Fuzzing技術(shù)可能會(huì)造成工控系統(tǒng)業(yè)務(wù)異常中斷，無(wú)法適用于網(wǎng)絡(luò)空間工控資產(chǎn)威脅檢測(cè)。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)的上述缺點(diǎn)，本發(fā)明提供了一種網(wǎng)絡(luò)空間工控資產(chǎn)的威脅檢測(cè)方法。

本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是：一種網(wǎng)絡(luò)空間工控資產(chǎn)的威脅檢測(cè)方法，首先通過(guò)TCP和UDP兩種預(yù)掃描方式對(duì)IPv4網(wǎng)絡(luò)空間進(jìn)行分布式全端口檢測(cè)和深度掃描，篩選出存活端口并緩存到精確掃描任務(wù)池；然后對(duì)精確掃描任務(wù)池中所有存活端口進(jìn)行精確掃描，發(fā)送工業(yè)協(xié)議探測(cè)報(bào)文讀取設(shè)備廠商、設(shè)備硬件型號(hào)、設(shè)備軟件版本信息；最后結(jié)合工控安全知識(shí)庫(kù)，利用版本、型號(hào)、廠商信息關(guān)聯(lián)匹配出網(wǎng)絡(luò)空間工控資產(chǎn)存在的漏洞。

與現(xiàn)有技術(shù)相比，本發(fā)明的積極效果是：

(1)采用了TCP和UDP全端口預(yù)掃描技術(shù)，可以探測(cè)到更多的網(wǎng)絡(luò)空間工控資產(chǎn)；

(2)能夠大規(guī)模快速檢測(cè)整個(gè)互聯(lián)網(wǎng)空間工控資產(chǎn)的安全威脅；

(3)結(jié)合工業(yè)安全知識(shí)庫(kù)實(shí)現(xiàn)威脅檢測(cè)，避免了傳統(tǒng)的Fuzzing技術(shù)可能造成工控系統(tǒng)業(yè)務(wù)異常中斷的問(wèn)題。

附圖說(shuō)明

本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明，其中：

圖1為網(wǎng)絡(luò)空間工控資產(chǎn)的威脅檢測(cè)流程圖。

具體實(shí)施方式