一种网络空间工控资产的威胁检测方法与流程

本发明涉及一种网络空间工控资产的威胁检测方法。

背景技术：

包括工业控制系统在内的国家关键信息基础设施关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全和公共利益。电力、轨道交通、供水、燃气等关键基础设施和石油石化、钢铁、煤化工和智能制造等重点制造企业所采用的自动控制系统，是国家关键信息基础设施的重要组成部分。目前超过80％的涉及国计民生的关键基础设施都依赖工业控制系统来实现相关工作作业，工业控制系统是水电气等国家关键基础实施工业行业正常运行和国民经济健康发展的“大脑”和“中枢神经”。因此，重要工业控制系统一旦遭到破坏、丧失功能或者信息泄露，可能严重危害国家安全和公共利益。

随着信息技术和现代城市的高速发展，“互联网+”、智能制造等创新战略的快速推进，城市水、电、气等关键基础设施和制造企业的工业控制系统逐渐联网化和智能化。来自网络空间的信息安全风险已经可以通过对工业控制系统、网络和设备的破坏，进而对关键基础设施和制造实体形成致命安全威胁，一旦发生安全事件，不仅严重影响生产安全和经济发展，更直接影响社会稳定和国家安全。同时，针对工业控制系统等关键信息基础设施的攻击呈现组织化、集团化、国家化和政治目的的趋势。网络空间工控资产的威胁识别，可以为网络空间工控资产信息安全防御工作提供技术支持，为国家安全部门提供综合安全态势感知分析。

现有技术存在如下缺点：

(1)现有的网络空间工控资产探测方法，只能识别出网络空间工控资产的厂商、型号等基本信息，不能检测出漏洞风险等安全威胁；

(2)现有的网络空间工控资产探测方法，只针对特定的tcp和udp端口进行探测，未做全端口检测，并且udp端口探测存在效率低和误报率高等问题；

(3)传统的fuzzing技术可能会造成工控系统业务异常中断，无法适用于网络空间工控资产威胁检测。

技术实现要素：

为了克服现有技术的上述缺点，本发明提供了一种网络空间工控资产的威胁检测方法。

本发明解决其技术问题所采用的技术方案是：一种网络空间工控资产的威胁检测方法，首先通过tcp和udp两种预扫描方式对ipv4网络空间进行分布式全端口检测和深度扫描，筛选出存活端口并缓存到精确扫描任务池；然后对精确扫描任务池中所有存活端口进行精确扫描，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息；最后结合工控安全知识库，利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。

与现有技术相比，本发明的积极效果是：

(1)采用了tcp和udp全端口预扫描技术，可以探测到更多的网络空间工控资产；

(2)能够大规模快速检测整个互联网空间工控资产的安全威胁；

(3)结合工业安全知识库实现威胁检测，避免了传统的fuzzing技术可能造成工控系统业务异常中断的问题。

附图说明

本发明将通过例子并参照附图的方式说明，其中：

图1为网络空间工控资产的威胁检测流程图。

具体实施方式

针对目前的网络空间工控资产探测方法存在的问题，本发明在识别网络空间资产时，首先通过tcp和udp两种预扫描方式对ipv4网络空间进行分布式全端口检测和深度扫描，初步筛选出存活端口并缓存到精确扫描任务池；然后针对精确扫描任务池中所有存活端口，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本。最后结合工控安全知识库，利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞，实现网络空间工控安全资产威胁的无损检测。

如图1所示，本发明的网络空间工控资产威胁检测方法包括如下步骤：

步骤一、tcp预扫描：

(1)利用分布式算法将ip段拆分给tcp预扫节点；

(2)tcp预扫节点收到ip子段后，利用随机算法打乱目标ip并存放至ip池；

(3)向ip池中的所有ip的全端口发送syn报文，发送方法为从0至65535端口中随机挑选一个端口并发送syn报文，如果该端口能够收到目标ip的ack报文，说明该端口存活，则将该ip及端口加入到精确扫描任务池；

(4)重复第(3)步，直到遍历完所有ip和全端口。

步骤二、udp预扫描：

(1)分析工业协议通信流程并构造udp预扫描报文；

(2)利用分布式算法将ip段拆分给udp预扫节点；

(3)udp预扫节点收到ip子段后，利用随机算法打乱目标ip并存放至ip池；

(4)向ip池中的所有ip的全端口发送udp预扫描报文，如果能够收到目标ip的正确应答报文，说明端口存活，则将该ip及端口加入到精确扫描任务池；

(5)重复第(4)步，直到遍历完所有ip和全端口。

步骤三、精确扫描：

(1)利用分布式算法将精确扫描任务池中的所有ip及其存活端口，发送给精确扫描节点；

(2)精确扫描节点收到ip和存活端口后，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息；如果能够读取到设备厂商、设备硬件型号、设备软件版本信息，则将ip和端口存储到威胁检测缓存池；

(3)重复第(2)步，直到遍历完所有ip及其存活端口。

步骤四、漏洞关联匹配：

(1)通过自主漏洞挖掘及对cnvd、cnnvd、cve等公开漏洞库的数据采集，形成工控安全知识库；

(2)结合精确扫描探测出的厂商、型号、版本信息，关联匹配出漏洞信息；

(3)重复第(2)步直到遍历完威胁检测缓存池中的所有ip。

技术特征：

技术总结
本发明公开了一种网络空间工控资产的威胁检测方法，首先通过TCP和UDP两种预扫描方式对IPv4网络空间进行分布式全端口检测，筛选出存活端口并缓存到精确扫描任务池；然后对精确扫描任务池中所有存活端口进行精确扫描，发送工业协议探测报文读取设备厂商、设备硬件型号、设备软件版本信息；最后结合工控安全知识库，利用版本、型号、厂商信息关联匹配出网络空间工控资产存在的漏洞。与现有技术相比，本发明的积极效果是：可以探测到更多的网络空间工控资产；能够大规模快速检测整个互联网空间工控资产的安全威胁；避免了传统的Fuzzing技术可能造成工控系统业务异常中断的问题。

技术研发人员：马强;羊依银;唐林;殷顺尧
受保护的技术使用者：中国电子科技网络信息安全有限公司
技术研发日：2018.01.29
技术公布日：2018.08.10