本發明涉及工控網絡技術領域，具體涉及一種基于工控協議的自適應漏洞挖掘框架。

背景技術：

工業控制網絡(以下簡稱“工控網絡”)安全漏洞是在其生命周期的各個階段(設計、實現、運維等過程)中引入的某類問題。近年來，工控系統強調開放性，在網絡中大量引入通用的IT產品，如Windows操作系統、關系數據庫等，并廣泛使用以太網和TCP/IP協議，在降低成本和簡化集成的同時將大量IT漏洞引入了工控網絡。同時，大部分的工控網絡應用層協議和現場總線協議，廣泛使用MODBUS/TCP、CAN等明碼傳輸協議，存在沒有嚴格的身份識別，報文很容易被偽造等無法避免的脆弱性。因此，由相對封閉的專用計算機和網絡體系發展而來的工控網絡系統，安全的薄弱的環節幾乎來自于各方各面，特別對于大型SCADA系統，設備分散安裝，部分采用公網和無線網絡，更容易受到利用漏洞的攻擊，嚴重的攻擊后果可以使系統網絡完全癱瘓，造成工業過程失控或裝置停機。

工控網絡具有非常鮮明的特點，首先是封閉性，SCADA、DCS等控制系統和PLC等控制設備在設計之初就沒有考慮完善的安全機制；其次是復雜性，工控網絡常見的總線協議和應用層協議有幾十種，不但每種通信協議的數據接口不完全相同，這些協議的規約實現也不相同；最后是不可改變性，工控網絡很難進行改造和補丁升級。綜合以上，傳統信息安全的測試技術和設備不適合工控網絡。具體來說，當前我國相關機構對工控網絡安全漏洞進行檢測的手段是比較局限的，具體體現在：

現有檢測手段僅針對工控網絡內的外圍服務器和通用IT設備，無法觸及亟待保護的核心工控設備；

現有的端口服務掃描、漏洞特征掃描等技術對漏洞庫的依賴較大，但公開的工控網絡安全漏洞庫信息很少，導致無法實現深入、全面的檢測；

基于公開漏洞的掃描技術和機制無法有效發現未知漏洞，同時在時間上永遠滯后于攻擊者利用的未知漏洞；

缺乏針對性檢測工具，無法有效證明工控設備上的潛在漏洞是否存在。

由于缺乏針對工控網絡安全漏洞進行檢測和挖掘的工具，在定期的安全檢查時無法及時發現工控設備和系統的隱患和漏洞，一旦發生工控網絡安全事故，不但難以在第一時間內辨析是脆弱性問題還是設備故障，也無法對可疑設備做到物證俱全。

技術實現要素：

針對現有技術存在的不足和缺陷，本發明提供一種基于工控協議的自適應漏洞挖掘框架。

本發明實施例提出一種基于工控協議的自適應漏洞挖掘框架，包括：

接口層、核心功能層和協議層；其中，

所述接口層包括以太網口、串行接口、總線接口和定制接口，用于自適應連接被測對象；

所述協議層為所述核心功能層提供工控協議的測試用例庫；

所述核心功能層包括漏洞掃描模塊和漏洞挖掘模塊，其中，所述漏洞掃描模塊基于已知漏洞庫對工控網絡中的已知漏洞進行檢測，所述漏洞挖掘模塊基于所述測試用例庫挖掘工控網絡中的潛在漏洞。

本發明實施例提供的基于工控協議的自適應漏洞挖掘框架，依托已知漏洞庫和工業控制協議測試用例庫，能夠檢測出工控網絡中存在的各類已知漏洞和缺陷，還能挖掘潛在的未知漏洞，實現了自下而上的工控自適應漏洞挖掘檢測，底層硬件接口可以進行工控硬件接口自適應，集成了IT網絡中無法適配的工控設備的串口、現場總線接口等接口，同時可以定制非標準的私有協議數據接口，可適應各種復雜的工控網絡環境中各類接口的漏洞挖掘檢測。

附圖說明

圖1為本發明基于工控協議的自適應漏洞挖掘框架一實施例的結構示意圖；

圖2為本發明工控設備漏洞挖掘檢測直連示意圖；

圖3為本發明工控設備漏洞挖掘檢測單向橋連(下位機)示意圖；

圖4為本發明工控設備漏洞挖掘檢測單向橋連(上位機)示意圖；

圖5為本發明工控設備漏洞挖掘檢測雙向橋連示意圖。

具體實施方式

為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

參看圖1，本實施例公開一種基于工控協議的自適應漏洞挖掘框架，包括：

接口層1、核心功能層2和協議層3；其中，

所述接口層1包括以太網口、串行接口、總線接口和定制接口，用于自適應連接被測對象；

所述協議層3為所述核心功能層提供工控協議的測試用例庫；

所述核心功能層2包括漏洞掃描模塊和漏洞挖掘模塊，其中，所述漏洞掃描模塊基于已知漏洞庫對工控網絡中的已知漏洞進行檢測，所述漏洞挖掘模塊基于所述測試用例庫挖掘工控網絡中的潛在漏洞。

具體地，所述漏洞掃描模塊獲取被測對象的特征，將所述特征與已知漏洞庫中的漏洞特征進行匹配，若所述特征匹配上已知漏洞庫中一已知漏洞特征，則確定被測對象存在該已知漏洞。其中，所述特征包括被測對象廠商信息、型號、版本信息和所使用的通信協議。所述漏洞挖掘模塊，在強大自定義測試引擎的基礎上，綜合運用各種測試方法和腳本，向被測對象提供非預期的隨機或用戶自定義輸入并監控輸出中的異常來發現其潛在缺陷和故障。

該框架支持直連和橋接的測試連接方式，支持工控協議的定制升級以及自定義設備添加，通過協議開放API支持私有協議的自定義測試，并支持插件方式的產品功能擴充。

如圖2所示，將使用該框架的測試平臺通過工業以太網口，串口或其他總線接口與被測設備直接相連(點對點連接)。測試時由測試平臺直接對被測設備發送數據包，同時通過客戶端電腦作為監視器，來實現操作、監視和管理整個對被測設備進行已知漏洞檢測和未知漏洞挖掘的過程。

直連方式下的已知漏洞檢測方式主要通過漏洞庫來實現，而未知漏洞挖掘則主要通過各類基于生成的模糊(fuzzing)測試用引擎，具體包括：

(1)基于工控漏洞庫的已知漏洞檢測

基于業界最專業完整的工控網絡安全漏洞庫，依靠高效漏洞掃描引擎、檢測規則的自動匹配，掃描工控網絡中的關鍵設備和軟件，檢測是否存在已知漏洞。

(2)針對通用漏洞進行針對性攻擊測試

攻擊測試用例來自于匡恩安全團隊在實際挖掘漏洞中獲得經驗的積累和總結。同一廠商的產品往往形成漏洞的功能模塊邏輯和配置方式是相似的，因此可以針對某一類型漏洞開發專門的攻擊測試方式，在測試任務中運行攻擊測試用例可以更快速的檢測到該被測設備是否存在同類型的通用漏洞，例如檢測設備是否存在某些配置錯誤，可以被利用形成未授權操作，中間人攻擊等。

(3)基于工控協議的語法模糊測試

語法模糊測試基于工控協議實現(協議規范定義)的報文語法，在給定變量初始化文件的前提下，生成遞歸定義的測試用例語法描述，根據交互語義生成有序的一系列測試用例，有意將畸形的語法注入到測試報文，或者對合法的報文進行變異，從而試圖觸發協議實現中有缺陷的代碼，導致協議規范中定義的正常操作流程遭到干擾或破壞。

(4)基于工控協議的智能模糊測試

創新的智能模糊測試引擎基于各類工控協議的規約來構建模型，在深入理解各個工控協議規約特征的基礎上生成輸入數據和測試用例去遍歷協議實現的各個方面，包括在數據內容，結構，消息，序列中引入各種異常。同時，引入了大數據分析和人工智能算法，將初始的變形范圍主要集中在該廠商設備最容易發生故障的范圍內進行密集測試，測試中動態追蹤被測設備的異常反應，智能選擇更有效的輸入屬性構造新樣本進行測試，在迭代測試中不斷更新模型參數和優化樣本構造，使得同一類設備將來進行測試時能夠自動選擇更有效的樣本優先進行測試，這樣可以大大減少測試數據生成的盲目性和測試用例的無效性，提升關鍵代碼的覆蓋率和設備的異常檢測能力。

(5)用戶自定義測試

根據不同的工控協議需求，或者出于未知協議細節保密等方面的考量，用戶可以有多種自定義測試用例的方式。

(a)基于編輯已有測試用例的自定義測試

針對不同的工控協議，漏洞挖掘檢測平臺內置了大量的測試用例，覆蓋了協議功能碼、邊界值等方面的測試。用戶可以在已有測試用例的基礎上重新設置目標端口，迭代次數，重復次數等關鍵參數。

(b)基于編輯新建測試用例的自定義測試

漏洞挖掘檢測平臺還提供了用戶新建測試用例的功能，允許自定義全新測試用例的數據模型和狀態模型。用戶可以直接在平臺上編輯測試用例，也可以上傳已經編輯好的客戶端XML文件，經過校驗后就可以在平臺上自動運行測試了。

需要說明的是，私有協議自定義測試首先要對被測應用進行研究，理解和解釋協議規約或文件定義。然而這種方法并不基于協議規約或文件定義創建硬編碼的測試用例，而是創建一個描述協議規約如何工作的文法(grammar)。采用這種方式，測試者可以識別出數據包或是文件中的靜態部分和動態部分，動態部分就是可以被模糊化變量替代的部分。隨后，模糊測試器動態分析包含了靜態和動態部分的模板，生成模糊測試數據，將結果數據包或是文件發送給被測應用。這種測試方法對測試者有較高的要求，測試者需要能夠指出規約中最容易導致目標應用在解析時發生故障的部分。

橋接測試也被稱為內聯測試，Inline測試，是一種基于突變的強制性模糊測試方法，這種方法通過在已有數據樣本基礎上插入或修改變異字節來改變正常上位機和被測設備間的交互數據，并同時監視上位機和被測設備的狀態，是一種雙向測試。

橋接測試首先采用智能推論算法，通過從網絡流量中推導出協議的大概相似模型，然后通過啟發式算法來估計邊界值，最后使用變異算法來實現對數據包的突變。因此，橋接測試也可以在無需知道協議細節的情況下，用于對通過未知協議進行交互的設備進行漏洞測試和挖掘，具體包括如下測試方法：

(1)針對下位機(被測設備)的單向橋接測試

如圖3所示，在測試環境部署時采用了中間人的方式，將漏洞挖掘檢測平臺部署在上位機和被測工控設備之間。橋接測試引擎對所有上位機發給被測設備的數據包進行截獲和分析，估計協議幀的有效范圍，并根據用戶的設置參數進行變異，實時生成變異報文發送給被測設備，同時接收返回的應答結果，判斷被測對象的狀態，智能決定下一步變異策略。

(2)針對上位機(控制端)的單向橋接測試

如圖4所示，在連接時將漏洞挖掘檢測平臺單向橋連上位機。橋接測試時，被測設備對上位機的應答數據包也可以進行變異。漏洞挖掘檢測平臺截獲所有的被測設備應答數據包后，根據用戶設置，實時生成變異報文發送給上位機，來觀察上位機的狀態。

(3)針對上位機和下位機的雙向橋接測試

如圖5所示，在連接時將漏洞挖掘檢測平臺雙向橋連上位機和被測工控設備。測試中同時修改上位機的輸入和下位機的輸出，根據用戶的設置雙向變異發包，同時觀察兩個設備的狀況。

本發明實施例提供的基于工控協議的自適應漏洞挖掘框架，依托已知漏洞庫和工業控制協議測試用例庫，能夠檢測出工控網絡中存在的各類已知漏洞和缺陷，還能挖掘潛在的未知漏洞，實現了自下而上的工控自適應漏洞挖掘檢測，底層硬件接口可以進行工控硬件接口自適應，集成了IT網絡中無法適配的工控設備的串口、現場總線接口等接口，同時可以定制非標準的私有協議數據接口，可適應各種復雜的工控網絡環境中各類接口的漏洞挖掘檢測。

雖然結合附圖描述了本發明的實施方式，但是本領域技術人員可以在不脫離本發明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權利要求所限定的范圍之內。