一种工控安全保护设备检测方法及装置与流程
本发明涉及工业控制技术领域,具体涉及一种工控安全保护设备检测方法及装置。
背景技术:
工业控制系统在过程生产、电力设施、水力油气和运输等领域有着广泛的应用。工业控制系统越来越多地采用互联网技术实现与企业网的互连。目前,大多数工业通信系统在商用操作系统的基础上开发协议,通信应用中存在很多漏洞。在工业控制系统与Internet或其他公共网络互连时,这些漏洞将会暴露给潜在攻击者。此外,工业控制系统多用于控制关键基础设施,攻击者出于政治目的或经济目的会主动向其发起攻击。
为了增强工业控制系统的安全性,在工控网络中加入工控安全保护设备。工控安全保护设备用于提升工控网络的整体安全性,包括了工控防火墙,网关等设备。在选择此类安全设备时,用户最关心的是保护设备自身的功能性、安全性等方面能否有效,以及增加了保护设备后的被保护设备和系统是否稳定工作,因此对工控安全保护设备进行全面检测是非常必要的。
然而,现有技术中缺乏针对工控安全保护设备的检测方法,无法检测工控安全保护设备的性能以及是否存在漏洞。
技术实现要素:
针对现有技术的问题,本发明实施例提供了一种工控安全保护设备检测方法及装置。
本发明实施例提供了一种工控安全保护设备检测方法,包括:
配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;
建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。
可选地,根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行兼容性检测;
数据发送端口向所述待测工控安全保护设备发送符合工控协议规约的正常的检测数据包,数据接收端口接收到所述检测数据包;同时,数据发送端口向所述待测工控安全保护设备发送不符合工控协议规约的检测数据包,数据接收端口不会接收到所述检测数据包,所述待测工控安全保护设备通过兼容性检测。
可选地,根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行功能性检测;
根据所述测试用例对所述待测工控安全保护设备设置保护规则;
数据发送端口向所述待测工控安全保护设备发送符合所述保护规则的检测数据包,若数据接收端口接收到所述检测数据包;数据发送端口向所述待测工控安全保护设备发送不符合所述保护规则的检测数据包,若数据接收端口接不会收到所述检测数据包,所述待测工控安全保护设备通过功能性检测。
可选地,根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行性能检测,获取所述待测工控安全保护设备的吞吐量和延迟。
可选地,根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行安全性检测。
本发明实施例提供了一种工控安全保护设备检测装置,包括:
第一连接建立单元,用于配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;
第二连接建立单元,用于建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;
检测单元,用于根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。
可选地,所述检测单元进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行兼容性检测;
数据发送端口向所述待测工控安全保护设备发送符合工控协议规约的正常的检测数据包,数据接收端口接收到所述检测数据包;同时,数据发送端口向所述待测工控安全保护设备发送不符合工控协议规约的检测数据包,数据接收端口不会接收到所述检测数据包,所述待测工控安全保护设备通过兼容性检测。可选地,所述检测单元进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行功能性检测;
根据所述测试用例对所述待测工控安全保护设备设置保护规则;
数据发送端口向所述待测工控安全保护设备发送符合所述保护规则的检测数据包,若数据接收端口接收到所述检测数据包;数据发送端口向所述待测工控安全保护设备发送不符合所述保护规则的检测数据包,若数据接收端口接不会收到所述检测数据包,所述待测工控安全保护设备通过功能性检测。
可选地,所述检测单元进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行性能检测,获取所述待测工控安全保护设备的吞吐量和延迟。
可选地,所述检测单元进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行安全性检测。
本发明实施例提供的工控安全保护设备检测方法及装置,配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。本发明实施例通过调用保存在漏洞挖掘检测平台上的测试用例,提供了对待测工控安全保护设备进行检测的有效方法。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的工控安全保护设备检测方法的流程示意图;
图2是本发明一个实施例的工控安全保护设备检测方法的原理图;
图3是本发明一个实施例的工控安全保护设备检测装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明一个实施例的工控安全保护设备检测方法的流程示意图。如图1所示,该实施例的方法包括:
S11:配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;
在实际应用中(如图2所示),漏洞挖掘检测平台22与待测工控安全保护设备23连接的一端具有两个数据端口:数据发送端口和数据接收端口;其中,数据发送端口用于向待测工控安全保护设备23发送测试数据,数据接收端口用于接收待测工控安全保护设备23反馈的测试结果。
S12:建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;
需要说明的是,用户可通过客户端21向漏洞挖掘检测平台22发送操作指令,操作指令中包括被测安全保护设备23的厂商、型号等设备信息。
S13:根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端;
需要说明的是,漏洞挖掘检测平台22中保存了兼容性检测、功能性检测、性能检测和安全性检测等多种类型的测试用例,用户可通过客户端21向漏洞挖掘检测平台22发送操作指令,操作指令中还包括检测类型,漏洞挖掘检测平台22根据操作指令调用相应的测试类型的测试用例对待测工控安全保护设备23进行检测,并将检测结果发送至客户端21。在实际应用中,漏洞挖掘检测平台22会在测试用例运行完成后自动生成测试报告,并将测试报告发送至客户端21,用户可通过客户端21下载测试报告。
本发明实施例提供的工控安全保护设备检测方法,配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。本发明实施例通过调用保存在漏洞挖掘检测平台上的测试用例,提供了对待测工控安全保护设备进行检测的有效方法。
在本发明实施例的一种可选的实施方式中,步骤S13包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行兼容性检测;
数据发送端口向所述待测工控安全保护设备发送符合工控协议规约的正常的检测数据包,数据接收端口接收到所述检测数据包;同时,数据发送端口向所述待测工控安全保护设备发送不符合工控协议规约的检测数据包,数据接收端口不会接收到所述检测数据包,所述待测工控安全保护设备通过兼容性检测。
需要说明的是,在根据操作指令调用对应的测试用例对待测工控安全保护设备进行兼容性检测的过程中,数据发送端口向所述待测工控安全保护设备发送正常的检测数据包通过待测工控安全保护设备至数据接收端口,说明规范合法性的检测数据可正常通过待测工控安全保护设备;而当数据发送端口向待测工控安全保护设备发送非正常的检测数据包时,数据接收端口无法接收该非正常的检测数据包,说明待测工控安全保护设备对非正常的检测数据包进行了阻断,待测工控安全保护设备通过兼容性检测。
在本发明实施例的另一种可选的实施方式中,步骤S13包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行功能性检测;
根据所述测试用例对所述待测工控安全保护设备设置保护规则;
数据发送端口向所述待测工控安全保护设备发送符合所述保护规则的检测数据包,若数据接收端口接收到所述检测数据包;数据发送端口向所述待测工控安全保护设备发送不符合所述保护规则的检测数据包,若数据接收端口接不会收到所述检测数据包,所述待测工控安全保护设备通过功能性检测。需要说明的是,在对待测工控安全保护设备进行功能性检测的过程中,需要根据测试用例设置待测工控安全保护设备的保护规则,符合保护规则的检测数据包正常通过待测工控安全保护设备且不符合保护规则的检测数据包被待测工控安全保护设备阻断,则待测工控安全保护设备通过功能性检测。举例来说,漏洞挖掘检测平台中保存有Modbus协议白名单测试用例,需要根据该测试用例对待测工控安全保护设备设置对应的保护规则,然后调用Modbus协议白名单测试用例对待测工控安全保护设备进行功能性检测。
在本发明实施例的另一种可选的实施方式中,步骤S13包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行性能检测,获取所述待测工控安全保护设备的吞吐量和延迟。
举例来说,漏洞挖掘检测平台可同时向待测工控安全保护设备发送预设个数(比如500个)的检测数据包,获取待测工控安全保护设备能处理的最大检测数据包的数量(吞吐量)以及检测数据包经数据发送端口发出到数据接收端口接收的时间间隔(时延)。
在本发明实施例的另一种可选的实施方式中,步骤S13包括:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行安全性检测。
举例来说,漏洞挖掘检测平台可根据操作指令调用对应的测试用例对待测工控安全保护设备进行拒绝服务攻击,模拟不同的IP地址同时向待测工控安全保护设备发送预设个数(比如1000个)的检测数据包,并向待测工控安全保护设备发送正常的检测数据包,若漏洞挖掘检测平台的数据接收端口能接收到该正常的检测数据包,则说明待测工控安全保护设备通过了安全性检测。
图3是本发明一个实施例的工控安全保护设备检测装置的结构示意图。如图3所示,本发明实施例的装置包括第一连接建立单元31、第二连接建立单元32和检测单元33,具体地:
第一连接建立单元31,用于配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;
第二连接建立单元32,用于建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;
检测单元33,用于根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。
检测单元33进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行兼容性检测;
数据发送端口向所述待测工控安全保护设备发送符合工控协议规约的正常的检测数据包,数据接收端口接收到所述检测数据包;同时,数据发送端口向所述待测工控安全保护设备发送不符合工控协议规约的正常的检测数据包,数据接收端口不会接收到所述检测数据包。所述待测工控安全保护设备通过兼容性检测。
检测单元33进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行功能性检测;
根据所述测试用例对所述待测工控安全保护设备设置保护规则;
数据发送端口向所述待测工控安全保护设备发送符合所述保护规则的检测数据包,若数据接收端口接收到所述检测数据包;数据发送端口向所述待测工控安全保护设备发送不符合所述保护规则的检测数据包,若数据接收端口接不会收到所述检测数据包。所述待测工控安全保护设备通过功能性检测。
检测单元33进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行性能检测,获取所述待测工控安全保护设备的吞吐量和延迟。
检测单元33进一步用于:
根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行安全性检测。
本发明实施例的装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
本发明实施例提供的工控安全保护设备检测方法及装置,配置漏洞挖掘检测平台的数据发送端口和数据接收端口,建立所述漏洞挖掘检测平台与待测工控安全保护设备的连接;建立所述漏洞挖掘检测平台与客户端的连接,接收客户端发送的操作指令;根据所述操作指令调用对应的测试用例对所述待测工控安全保护设备进行检测,并将检测结果发送至所述客户端。本发明实施例通过调用保存在漏洞挖掘检测平台上的测试用例,提供了对待测工控安全保护设备进行检测的有效方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
需要说明的是术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
以上实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!