一种工业控制系统的漏洞扫描方法、装置及设备与流程

技术特征：

1.一种工业控制系统的漏洞扫描方法，其特征在于，包括：

获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；

根据所述目标工控资产的网络通讯参数，生成探测数据包；

周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；

若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；

接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；

通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

2.如权利要求1所述的方法，其特征在于，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：

通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和ip地址。

3.如权利要求2所述的方法，其特征在于，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：

根据当前扫描任务，确定工业控制系统中待扫描的目标工控资产，所述当前扫描任务包括ip地址的范围区间。

4.如权利要求1-3任意一项所述的方法，其特征在于，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：

在开始扫描的第n个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，动态调整发包速率，并按照调整后的发包速率向所述目标工控资产发送所述探测数据包，其中n大于等于2。

5.如权利要求4所述的方法，其特征在于，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：

在开始扫描的第一个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，按照发包速率的初始值向所述目标工控资产发送所述探测数据包。

6.如权利要求5所述的方法，其特征在于，在所述若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包之后，还包括：

将发包速率重置为初始值。

7.一种工业控制系统的漏洞扫描装置，其特征在于，包括：

通讯参数获取模块：用于获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；

数据包生成模块：用于根据所述目标工控资产的网络通讯参数，生成探测数据包；

判断模块：用于周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；

数据包发送模块：用于若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；

数据包接收模块：用于接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；

匹配模块：用于通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

8.如权利要求7所述的装置，其特征在于，还包括：

流量数据获取模块：用于通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

流量数据分析模块：用于通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和ip地址。

9.一种工业控制系统的漏洞扫描设备，其特征在于，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序，以实现如权利要求1-6任意一项所述的工业控制系统的漏洞扫描方法的步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现如权利要求1-6任意一项所述的工业控制系统的漏洞扫描方法的步骤。

技术总结
本申请公开了一种工业控制系统的漏洞扫描方法，该方法结合主动探测扫描和被动流量解析扫描的特点，一方面，通过分析工业控制系统的网络流量数据得到目标工控资产的网络通讯参数，避免端口扫描结果不准确的问题；另一方面，在扫描过程中实时监测目标工控资产的实时流量、扫描基准值和正常生产基准值之间的大小关系，若实时流量超过扫描基准值，则暂停扫描，最大化的减少对系统网络的影响，避免造成系统网络阻塞。此外，本申请还提供了一种工业控制系统的漏洞扫描装置、设备及可读存储介质，其技术效果与上述方法的技术效果相对应。

技术研发人员：李显松;范渊
受保护的技术使用者：杭州安恒信息技术股份有限公司
技术研发日：2020.05.08
技术公布日：2020.07.17