一種工控安全保護設備檢測方法及裝置與流程

文檔序號：12493044閱讀：356來源：國知局

本發(fā)明涉及工業(yè)控制技術領域，具體涉及一種工控安全保護設備檢測方法及裝置。

背景技術：

工業(yè)控制系統(tǒng)在過程生產(chǎn)、電力設施、水力油氣和運輸?shù)阮I域有著廣泛的應用。工業(yè)控制系統(tǒng)越來越多地采用互聯(lián)網(wǎng)技術實現(xiàn)與企業(yè)網(wǎng)的互連。目前，大多數(shù)工業(yè)通信系統(tǒng)在商用操作系統(tǒng)的基礎上開發(fā)協(xié)議，通信應用中存在很多漏洞。在工業(yè)控制系統(tǒng)與Internet或其他公共網(wǎng)絡互連時，這些漏洞將會暴露給潛在攻擊者。此外，工業(yè)控制系統(tǒng)多用于控制關鍵基礎設施，攻擊者出于政治目的或經(jīng)濟目的會主動向其發(fā)起攻擊。

為了增強工業(yè)控制系統(tǒng)的安全性，在工控網(wǎng)絡中加入工控安全保護設備。工控安全保護設備用于提升工控網(wǎng)絡的整體安全性，包括了工控防火墻，網(wǎng)關等設備。在選擇此類安全設備時，用戶最關心的是保護設備自身的功能性、安全性等方面能否有效，以及增加了保護設備后的被保護設備和系統(tǒng)是否穩(wěn)定工作，因此對工控安全保護設備進行全面檢測是非常必要的。

然而，現(xiàn)有技術中缺乏針對工控安全保護設備的檢測方法，無法檢測工控安全保護設備的性能以及是否存在漏洞。

技術實現(xiàn)要素：

針對現(xiàn)有技術的問題，本發(fā)明實施例提供了一種工控安全保護設備檢測方法及裝置。

本發(fā)明實施例提供了一種工控安全保護設備檢測方法，包括：

配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；

建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端。

可選地，根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行兼容性檢測；

數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送符合工控協(xié)議規(guī)約的正常的檢測數(shù)據(jù)包，數(shù)據(jù)接收端口接收到所述檢測數(shù)據(jù)包；同時，數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送不符合工控協(xié)議規(guī)約的檢測數(shù)據(jù)包，數(shù)據(jù)接收端口不會接收到所述檢測數(shù)據(jù)包，所述待測工控安全保護設備通過兼容性檢測。

可選地，根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行功能性檢測；

根據(jù)所述測試用例對所述待測工控安全保護設備設置保護規(guī)則；

可選地，根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行性能檢測，獲取所述待測工控安全保護設備的吞吐量和延遲。

可選地，根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行安全性檢測。

本發(fā)明實施例提供了一種工控安全保護設備檢測裝置，包括：

第一連接建立單元，用于配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；

第二連接建立單元，用于建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；

檢測單元，用于根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端。

可選地，所述檢測單元進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行兼容性檢測；

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行功能性檢測；

根據(jù)所述測試用例對所述待測工控安全保護設備設置保護規(guī)則；

可選地，所述檢測單元進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行性能檢測，獲取所述待測工控安全保護設備的吞吐量和延遲。

可選地，所述檢測單元進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行安全性檢測。

本發(fā)明實施例提供的工控安全保護設備檢測方法及裝置，配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端。本發(fā)明實施例通過調用保存在漏洞挖掘檢測平臺上的測試用例，提供了對待測工控安全保護設備進行檢測的有效方法。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一個實施例的工控安全保護設備檢測方法的流程示意圖；

圖2是本發(fā)明一個實施例的工控安全保護設備檢測方法的原理圖；

圖3是本發(fā)明一個實施例的工控安全保護設備檢測裝置的結構示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整的描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

圖1是本發(fā)明一個實施例的工控安全保護設備檢測方法的流程示意圖。如圖1所示，該實施例的方法包括：

S11：配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；

在實際應用中(如圖2所示)，漏洞挖掘檢測平臺22與待測工控安全保護設備23連接的一端具有兩個數(shù)據(jù)端口：數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口；其中，數(shù)據(jù)發(fā)送端口用于向待測工控安全保護設備23發(fā)送測試數(shù)據(jù)，數(shù)據(jù)接收端口用于接收待測工控安全保護設備23反饋的測試結果。

S12：建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；

需要說明的是，用戶可通過客戶端21向漏洞挖掘檢測平臺22發(fā)送操作指令，操作指令中包括被測安全保護設備23的廠商、型號等設備信息。

S13：根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端；

需要說明的是，漏洞挖掘檢測平臺22中保存了兼容性檢測、功能性檢測、性能檢測和安全性檢測等多種類型的測試用例，用戶可通過客戶端21向漏洞挖掘檢測平臺22發(fā)送操作指令，操作指令中還包括檢測類型，漏洞挖掘檢測平臺22根據(jù)操作指令調用相應的測試類型的測試用例對待測工控安全保護設備23進行檢測，并將檢測結果發(fā)送至客戶端21。在實際應用中，漏洞挖掘檢測平臺22會在測試用例運行完成后自動生成測試報告，并將測試報告發(fā)送至客戶端21，用戶可通過客戶端21下載測試報告。

本發(fā)明實施例提供的工控安全保護設備檢測方法，配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端。本發(fā)明實施例通過調用保存在漏洞挖掘檢測平臺上的測試用例，提供了對待測工控安全保護設備進行檢測的有效方法。

在本發(fā)明實施例的一種可選的實施方式中，步驟S13包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行兼容性檢測；

需要說明的是，在根據(jù)操作指令調用對應的測試用例對待測工控安全保護設備進行兼容性檢測的過程中，數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送正常的檢測數(shù)據(jù)包通過待測工控安全保護設備至數(shù)據(jù)接收端口，說明規(guī)范合法性的檢測數(shù)據(jù)可正常通過待測工控安全保護設備；而當數(shù)據(jù)發(fā)送端口向待測工控安全保護設備發(fā)送非正常的檢測數(shù)據(jù)包時，數(shù)據(jù)接收端口無法接收該非正常的檢測數(shù)據(jù)包，說明待測工控安全保護設備對非正常的檢測數(shù)據(jù)包進行了阻斷，待測工控安全保護設備通過兼容性檢測。

在本發(fā)明實施例的另一種可選的實施方式中，步驟S13包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行功能性檢測；

根據(jù)所述測試用例對所述待測工控安全保護設備設置保護規(guī)則；

數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送符合所述保護規(guī)則的檢測數(shù)據(jù)包，若數(shù)據(jù)接收端口接收到所述檢測數(shù)據(jù)包；數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送不符合所述保護規(guī)則的檢測數(shù)據(jù)包，若數(shù)據(jù)接收端口接不會收到所述檢測數(shù)據(jù)包，所述待測工控安全保護設備通過功能性檢測。需要說明的是，在對待測工控安全保護設備進行功能性檢測的過程中，需要根據(jù)測試用例設置待測工控安全保護設備的保護規(guī)則，符合保護規(guī)則的檢測數(shù)據(jù)包正常通過待測工控安全保護設備且不符合保護規(guī)則的檢測數(shù)據(jù)包被待測工控安全保護設備阻斷，則待測工控安全保護設備通過功能性檢測。舉例來說，漏洞挖掘檢測平臺中保存有Modbus協(xié)議白名單測試用例，需要根據(jù)該測試用例對待測工控安全保護設備設置對應的保護規(guī)則，然后調用Modbus協(xié)議白名單測試用例對待測工控安全保護設備進行功能性檢測。

在本發(fā)明實施例的另一種可選的實施方式中，步驟S13包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行性能檢測，獲取所述待測工控安全保護設備的吞吐量和延遲。

舉例來說，漏洞挖掘檢測平臺可同時向待測工控安全保護設備發(fā)送預設個數(shù)(比如500個)的檢測數(shù)據(jù)包，獲取待測工控安全保護設備能處理的最大檢測數(shù)據(jù)包的數(shù)量(吞吐量)以及檢測數(shù)據(jù)包經(jīng)數(shù)據(jù)發(fā)送端口發(fā)出到數(shù)據(jù)接收端口接收的時間間隔(時延)。

在本發(fā)明實施例的另一種可選的實施方式中，步驟S13包括：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行安全性檢測。

舉例來說，漏洞挖掘檢測平臺可根據(jù)操作指令調用對應的測試用例對待測工控安全保護設備進行拒絕服務攻擊，模擬不同的IP地址同時向待測工控安全保護設備發(fā)送預設個數(shù)(比如1000個)的檢測數(shù)據(jù)包，并向待測工控安全保護設備發(fā)送正常的檢測數(shù)據(jù)包，若漏洞挖掘檢測平臺的數(shù)據(jù)接收端口能接收到該正常的檢測數(shù)據(jù)包，則說明待測工控安全保護設備通過了安全性檢測。

圖3是本發(fā)明一個實施例的工控安全保護設備檢測裝置的結構示意圖。如圖3所示，本發(fā)明實施例的裝置包括第一連接建立單元31、第二連接建立單元32和檢測單元33，具體地：

第一連接建立單元31，用于配置漏洞挖掘檢測平臺的數(shù)據(jù)發(fā)送端口和數(shù)據(jù)接收端口，建立所述漏洞挖掘檢測平臺與待測工控安全保護設備的連接；

第二連接建立單元32，用于建立所述漏洞挖掘檢測平臺與客戶端的連接，接收客戶端發(fā)送的操作指令；

檢測單元33，用于根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行檢測，并將檢測結果發(fā)送至所述客戶端。

檢測單元33進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行兼容性檢測；

數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送符合工控協(xié)議規(guī)約的正常的檢測數(shù)據(jù)包，數(shù)據(jù)接收端口接收到所述檢測數(shù)據(jù)包；同時，數(shù)據(jù)發(fā)送端口向所述待測工控安全保護設備發(fā)送不符合工控協(xié)議規(guī)約的正常的檢測數(shù)據(jù)包，數(shù)據(jù)接收端口不會接收到所述檢測數(shù)據(jù)包。所述待測工控安全保護設備通過兼容性檢測。

檢測單元33進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行功能性檢測；

根據(jù)所述測試用例對所述待測工控安全保護設備設置保護規(guī)則；

檢測單元33進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行性能檢測，獲取所述待測工控安全保護設備的吞吐量和延遲。

檢測單元33進一步用于：

根據(jù)所述操作指令調用對應的測試用例對所述待測工控安全保護設備進行安全性檢測。

本發(fā)明實施例的裝置可以用于執(zhí)行上述方法實施例，其原理和技術效果類似，此處不再贅述。

本領域內的技術人員應明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

需要說明的是術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。

本發(fā)明的說明書中，說明了大量具體細節(jié)。然而能夠理解的是，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結構和技術，以便不模糊對本說明書的理解。類似地，應當理解，為了精簡本發(fā)明公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應將該公開的方法解釋呈反映如下意圖：即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說，如權利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權利要求書由此明確地并入該具體實施方式，其中每個權利要求本身都作為本發(fā)明的單獨實施例。

以上實施例僅用于說明本發(fā)明的技術方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特征進行等同替換；而這些修改或替換，并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍。

完整全部詳細技術資料下載

當前第1頁1 2 3