本發明實施例提供一種工控漏洞挖掘方法及裝置，所述方法包括：基于待分析數據包集合獲取典型報文列表；基于所述典型報文列表獲取種子列表；基于種子列表獲取畸形數據包；基于所述畸形數據包對目標設備進行漏洞挖掘并驗證。通過回復報文的相似性比較，選取優質的種子進行變異生成畸形數據包，進而進行遠程模糊測試，達到有效發現物聯網及工業控制系統設備中存在的安全缺陷的目的，提高了對工業控制系統設備中漏洞挖掘的有效性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種工控漏洞挖掘方法及裝置。

背景技術

近年來針對物聯網及工業控制系統設備的各種網絡攻擊事件日益增多，物聯網及工業控制系統設備中存在的安全問題愈發嚴峻。預先發現并修復物聯網嵌入式設備及工業控制系統中存在的安全漏洞可以有效的防范安全威脅，提升工業控制系統安全防護水平。

由于物聯網設備及工業控制系統設備具有封閉性、難以調試、系統實時性高、難以仿真等特點，傳統的漏洞挖掘方法，比如逆向分析、符號執行、污點跟蹤等靜態分析方法很難取得較好的效果。

因此，現有的工控漏洞挖掘方法存在著挖掘有效性差的缺陷。

發明內容

本發明實施例提供一種工控漏洞挖掘方法及裝置，用以解決現有的工控漏洞挖掘方法存在著挖掘有效性差的缺陷，實現有效發現物聯網及工業控制系統設備中存在的安全缺陷的目的，提高對工業控制系統設備中漏洞挖掘的有效性。

本發明實施例提供一種工控漏洞挖掘方法，包括：

基于待分析數據包集合獲取典型報文列表；

基于所述典型報文列表獲取種子列表；

基于種子列表獲取畸形數據包；

基于所述畸形數據包對目標設備進行漏洞挖掘。

根據本發明一個實施例的工控漏洞挖掘方法，所述基于待分析數據包集合獲取典型報文列表，具體包括：

對待分析數據包集合中的報文進行相似性計算，篩選出典型數據包；每個典型數據包對應一個相似報文列表；

根據所述典型數據包構建典型報文列表；所述典型報文列表包括不少于一個典型數據包。

根據本發明一個實施例的工控漏洞挖掘方法，所述基于所述典型報文列表獲取種子列表，具體包括：

在所述典型報文列表中，刪除相似報文數量小于預設閾值的典型數據包及所述典型數據包對應的相似報文列表，獲取刪減后的典型報文列表；

基于所述刪減后的典型報文列表，獲取種子列表。

根據本發明一個實施例的工控漏洞挖掘方法，所述基于種子列表獲取畸形數據包，具體包括：

獲取所述種子列表中每個報文對應的發送報文；

對所述發送報文進行變異處理，獲取畸形數據包。

根據本發明一個實施例的工控漏洞挖掘方法，所述基于所述畸形數據包對目標設備進行漏洞挖掘，具體包括：

向目標設備發送畸形數據包，判斷所述目標設備是否崩潰；

若所述目標設備已崩潰，根據所述畸形數據包對目標設備進行漏洞挖掘的驗證。

根據本發明一個實施例的工控漏洞挖掘方法，所述基于所述刪減后的典型報文列表，獲取種子列表，具體包括：

提取所述刪減后的典型報文列表中的每個典型數據包對應的相似報文列表中相似性最小的回復報文；

基于所述刪減后的典型報文列表中的每條報文和所述回復報文獲取種子列表。