本實用新型涉及工業(yè)信息安全領(lǐng)域，尤其涉及一種面向工控系統(tǒng)的主動式漏洞檢測系統(tǒng)。

背景技術(shù)：

工業(yè)控制系統(tǒng)的信息安全關(guān)系到國家能源和基礎(chǔ)設(shè)施行業(yè)的安全及穩(wěn)定運行，是企業(yè)及國家安全面臨的嚴峻挑戰(zhàn)。系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，系統(tǒng)信息安全問題日益突出。過程控制系統(tǒng)已經(jīng)從單機、分布式朝網(wǎng)絡(luò)化方向發(fā)展，在網(wǎng)絡(luò)設(shè)計過程中引入了不同類型的信息和通訊技術(shù)(ICT)，包括Internet和無線技術(shù)。這些新技術(shù)的引入也給基礎(chǔ)行業(yè)的安全帶來了新的挑戰(zhàn)，包括電力、水利、交通運輸以及大型制造行業(yè)。

工業(yè)控制系統(tǒng)的協(xié)議和設(shè)計，偏重于功能實現(xiàn)的實時性和可靠性。對安全攻擊缺乏前期的設(shè)計和有效的抵御方法。由于系統(tǒng)兼容性問題，工業(yè)控制系統(tǒng)通常不升級、不打補丁，甚至有的工作站供應(yīng)商明確要求用戶不得自行升級系統(tǒng)。因此，系統(tǒng)長期運行后會積累大量的安全漏洞，這些缺陷使工控系統(tǒng)面對網(wǎng)絡(luò)安全攻擊時極其脆弱，給安全生產(chǎn)帶來極大隱患。工控安全的現(xiàn)狀處于“先天不足，后天失養(yǎng)，未來堪憂”的狀態(tài)：系統(tǒng)無法及時更新，自身漏洞隱蔽，不能被及時探測與修復(fù)，系統(tǒng)本身的安全隱患不容忽視；系統(tǒng)協(xié)議本身欠缺安全因素，安全政策和管理制度并不完善，易被攻擊者利用；不能良好地審計系統(tǒng)中的違規(guī)操作行為，對于系統(tǒng)用戶訪問權(quán)限的管理機制不完善；系統(tǒng)操作人員缺乏必要的安全意識，操作過程不規(guī)范。

近年來，工控信息安全事故頻發(fā)，工控漏洞數(shù)量呈現(xiàn)爆炸式增長。工業(yè)控制系統(tǒng)之所以會面臨拒絕服務(wù)、控制命令篡改、高級持續(xù)性威脅(APT)等攻擊，最根本的原因是系統(tǒng)存在可以被滲透的漏洞。漏洞是安全問題的根源，漏洞檢測是解決安全問題的基礎(chǔ)。只有了解系統(tǒng)存在的安全隱患，才能做到有針對性的防護。

因此，本領(lǐng)域的技術(shù)人員致力于開發(fā)一種面向工控系統(tǒng)的主動式漏洞檢測系統(tǒng)，加強工控系統(tǒng)的漏洞檢測，從根本上解決工控系統(tǒng)的安全問題。

技術(shù)實現(xiàn)要素：

有鑒于現(xiàn)有技術(shù)的上述缺陷，本實用新型所要解決的技術(shù)問題是如何實現(xiàn)工業(yè)控制系統(tǒng)的主動安全檢測。

為實現(xiàn)上述目的，本實用新型提供了一種面向工控系統(tǒng)的主動式漏洞檢測系統(tǒng)，包括控制器、客戶端、服務(wù)器、評估報告模塊和數(shù)據(jù)中心，其中，所述控制器與所述服務(wù)器相連，所述服務(wù)器與不同的所述客戶端相連，所述客戶端通過防火墻和/或路由器連接互聯(lián)網(wǎng)，并與所述數(shù)據(jù)中心連接進行數(shù)據(jù)交互，所述服務(wù)器與所述數(shù)據(jù)中心相連進行數(shù)據(jù)交互；所述漏洞檢測系統(tǒng)被配置為采集工控系統(tǒng)的軟件、用戶、進程及應(yīng)用配置信息，然后進行邏輯判斷以發(fā)現(xiàn)所述工控系統(tǒng)中存在的安全漏洞，并根據(jù)所述數(shù)據(jù)中心提供的數(shù)據(jù)由所述評估報告模塊生成評估報告。

進一步地，所述控制器被配置為由管理員控制所述漏洞檢測系統(tǒng)的啟停及根據(jù)需要設(shè)置檢測參數(shù)和檢測目標。

進一步地，所述服務(wù)器被配置為通知客戶端進行數(shù)據(jù)收集及檢測邏輯條件判斷，當收到所有客戶端檢測完畢的消息后，通知所述評估報告模塊生成評估報告。

進一步地，所述客戶端被配置為接收到所述服務(wù)器發(fā)來的消息后，讀取本機的系統(tǒng)和配置信息，進一步判斷漏洞存在的邏輯條件是否成立，最后把檢測判斷結(jié)果發(fā)往所述數(shù)據(jù)中心，同時通知所述服務(wù)器檢測完成。

進一步地，所述數(shù)據(jù)中心被配置為所述客戶端和所述評估報告模塊的公共接口，存放系統(tǒng)所有信息，包括漏洞數(shù)據(jù)庫、漏洞存在的邏輯條件和客戶端檢測的CVE列表。

進一步地，所述評估報告模塊被配置為向系統(tǒng)管理員提供評估目標的漏洞信息，所述漏洞信息包括漏洞名稱、漏洞發(fā)布日期、漏洞內(nèi)容簡述、漏洞危險等級、損失類型、漏洞類型、暴露的系統(tǒng)組件、相關(guān)參考信息、脆弱的軟件及其版本和補救措施。

本實用新型的優(yōu)點在于提出的漏洞檢測系統(tǒng)不需要開發(fā)攻擊代碼，與微軟開發(fā)的MBSA漏洞檢測系統(tǒng)相比，檢測速度快，準確度高，能很好地滿足工業(yè)控制系統(tǒng)的高穩(wěn)定性、高實時性要求，適合于管理員評估整個工業(yè)控制系統(tǒng)的安全狀況，且對控制系統(tǒng)的穩(wěn)定運行無影響。

以下將結(jié)合附圖對本實用新型的構(gòu)思、具體結(jié)構(gòu)及產(chǎn)生的技術(shù)效果作進一步說明，以充分地了解本實用新型的目的、特征和效果。

附圖說明

圖1是本實用新型的一個較佳實施例的主動式漏洞檢測系統(tǒng)結(jié)構(gòu)圖；

圖2是本實用新型的一個較佳實施例的漏洞檢測信息圖；

圖3是本實用新型的一個較佳實施例的漏洞檢測實現(xiàn)流程圖；

圖4是本實用新型的一個較佳實施例的實驗測試環(huán)境圖。

具體實施方式

下面結(jié)合附圖和具體實施例對本實用新型作進一步說明。

本實用新型所述的一種面向工控系統(tǒng)的主動式安全漏洞檢測系統(tǒng)，采用客戶機/服務(wù)器C/S模式，主要包括如下模塊：控制器、客戶端(client)、服務(wù)器(server)、評估報告和數(shù)據(jù)中心，其體系結(jié)構(gòu)如圖1所示，其中虛線表示控制信號，箭頭指向信號的流動方向；實線表示數(shù)據(jù)信息，箭頭指向數(shù)據(jù)的流動方向，其中控制器與服務(wù)器相連，服務(wù)器與不同客戶端相連，客戶端可通過防火墻、路由器連接互聯(lián)網(wǎng)，也可與數(shù)據(jù)中心連接進行數(shù)據(jù)交互，同時服務(wù)器與數(shù)據(jù)中心相連進行數(shù)據(jù)交互，根據(jù)數(shù)據(jù)中心提供的數(shù)據(jù)生成評估報告。安全漏洞檢測系統(tǒng)首先采集系統(tǒng)的軟件、用戶、進程及應(yīng)用配置信息，然后進行邏輯判斷以發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞。

系統(tǒng)結(jié)構(gòu)中每個模塊的功能及其之間的關(guān)系如下：控制器是漏洞檢測體系的用戶接口，主要是管理員控制系統(tǒng)的啟停及根據(jù)需要設(shè)置檢測參數(shù)和檢測目標；服務(wù)器負責(zé)系統(tǒng)的協(xié)調(diào)，通知客戶端進行數(shù)據(jù)收集及檢測邏輯條件判斷，當收到所有客戶端檢測完畢的消息后，通知漏洞評估報告模塊，輸出評估報告；客戶端接收到服務(wù)器發(fā)來的消息后，讀取本機的系統(tǒng)和配置信息，進一步判斷漏洞存在的邏輯條件是否成立，最后把檢測判斷結(jié)果發(fā)往數(shù)據(jù)中心，同時通知服務(wù)器模塊檢測完成；數(shù)據(jù)中心是客戶端模塊和評估報告模塊的公共接口，系統(tǒng)中所有的信息都存放在這里，包括漏洞數(shù)據(jù)庫、漏洞存在的邏輯條件和客戶端模塊檢測的CVE列表(Common Vulnerabilities&Exposures,公共漏洞和暴露)等；漏洞評估報告為系統(tǒng)管理員提供評估目標的漏洞信息，主要包括漏洞名稱、漏洞發(fā)布日期、漏洞內(nèi)容簡述、漏洞危險等級、損失類型、漏洞類型、暴露的系統(tǒng)組件、相關(guān)參考信息、脆弱的軟件及其版本和補救措施。

所述無損式漏洞檢測的核心是對系統(tǒng)的配置信息進行邏輯判斷，進而得到系統(tǒng)中存在的漏洞信息。首先需要讀取操作系統(tǒng)版本、具有漏洞的文件名字、應(yīng)用版本和補丁狀態(tài)，以判斷脆弱的軟件是否存在。接著獲取相應(yīng)的服務(wù)是否運行、具體配置設(shè)置和其它工作區(qū)，判斷脆弱的配置是否存在。下面給出其具體原理。

首先，定義一些集合：(1)文件名稱FN＝{fn1，fn2，……，fnn},(2)應(yīng)用軟件版本AV＝{av1，av2，……，avm},(3)軟件補丁PS＝{ps1，ps2，……，psk},(4)運行服務(wù)RS＝{rs1，rs2，……，rst},(5)配置設(shè)置CS＝{cs1，cs2，……，csi}。以上這五個集合中所有元素為三態(tài)變量，其值域為{0,1,Φ}。當漏洞的判斷不使用某一變量時，其取值為Φ，當系統(tǒng)存在相應(yīng)信息時變量取值為1，否則取值為0。

其次，定義三個函數(shù)：

(1)判斷系統(tǒng)存在脆弱軟件的判別函數(shù)

其中，fn∈FN,av∈AV,ps∈PS，其函數(shù)的輸出結(jié)果表示漏洞寄存的脆弱軟件存在與否。

(2)判斷系統(tǒng)存在脆弱配置的判別函數(shù)

其中，rs∈RS_,cs∈CS，其函數(shù)的輸出結(jié)果表示與漏洞相關(guān)的脆弱配置是否存在。

(3)判斷系統(tǒng)對漏洞脆弱的判別函數(shù)

f(g,h)＝g(fn,av,ps)∩h(rs,cs) (3)

式(3)的輸出結(jié)果為漏洞是否存在的結(jié)論，取值為1表示存在漏洞，取值為0表示漏洞不存在。判斷系統(tǒng)是否存在某一漏洞時，首先利用式(1)判斷漏洞所寄存的脆弱軟件是否存在，接著利用式(2)判斷系統(tǒng)是否存在漏洞所依附的脆弱配置，最后利用式(3)可得到系統(tǒng)是否脆弱的判斷結(jié)果。

這里以檢測Windows操作系統(tǒng)上遠程數(shù)據(jù)協(xié)議(RDP)純文本會話校驗和不加密漏洞為例進行介紹，這里fn＝Terminal Server 5.0∈FN，cs＝Φ∈CS,av＝rdpwd.sys versions∈AV,rs＝RDP service∈RS，ps＝Patch Q324380_W2K_SP4_X86_EN.exe∈PS，由此得到以下2個判別函數(shù)：

g＝Terminal Server 5.0∩(rdpwd.sys versions＜5.0.2195.5880)∩！Patch Q324380_W2K_SP4_X86_EN.exe(4)

f＝RDP service∩Φ (5)

通過讀取系統(tǒng)的注冊表值和文件系統(tǒng)屬性，就可得到函數(shù)g和f的值，最后利用式(3)就可判斷出系統(tǒng)是否存在名為遠程數(shù)據(jù)協(xié)議(RDP)純文本會話校驗和不加密的漏洞(CAN-2002-0863)。

漏洞檢測系統(tǒng)的具體實現(xiàn)包括定義收集的信息、漏洞邏輯條件的判斷規(guī)則、系統(tǒng)控制器、服務(wù)器和客戶端之間的協(xié)調(diào)等。以Windows系統(tǒng)為例，其實現(xiàn)過程如下。

(1)系統(tǒng)信息收集

定義需要收集的系統(tǒng)信息是漏洞檢測系統(tǒng)工作的第一步，對于Windows系統(tǒng)，要收集的主要信息為系統(tǒng)文件、注冊表、進程、注冊用戶及IIS服務(wù)器注冊信息等。

(2)規(guī)則檢測

檢測規(guī)則是漏洞檢測系統(tǒng)的核心，其規(guī)定漏洞所依賴的脆弱條件及如何判斷脆弱條件是否成立，檢測信息如圖2所示。圖中漏洞與脆弱條件的對應(yīng)關(guān)系可能是一對一，也可能是一對多。Conditions(i)(i＝1,2,……,n)為漏洞的脆弱條件，RULE為脆弱條件的判斷規(guī)則，其形式為IF…，THEN…。比如，漏洞CAN-2002-0863的一個脆弱條件為：Conditions(1)＝Terminal Server 5.0，其判斷規(guī)則為：

IF RegistryKey＝

'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server'AND EntryName＝'ProductVersion'AND EntryValue＝'5.0'in TABLE Win2K_RegistryKeys，THEN Terminal Server 5.0。

(3)數(shù)據(jù)中心

數(shù)據(jù)中心保存評估過程使用的所有數(shù)據(jù)，包括系統(tǒng)配置信息、漏洞信息、檢測結(jié)果以及評估過程中漏洞檢測系統(tǒng)采集的系統(tǒng)信息。其中漏洞檢測系統(tǒng)收集的系統(tǒng)信息直接決定了評估結(jié)果，這些數(shù)據(jù)由與平臺相關(guān)的模式(Schema)確定。

(4)實現(xiàn)流程

如圖3所示，該體系實現(xiàn)包括信息表建立、系統(tǒng)信息獲取、檢測邏輯判斷和評估結(jié)果輸出：

步驟1、：信息表建立

首先，根據(jù)Mitre網(wǎng)站提供的信息建立漏洞信息表VUL_LIST及相應(yīng)的查詢信息表Detail_LIST，并手工添加相應(yīng)的信息；

其次，建立:

a.系統(tǒng)注冊信息表Win2K_RegistryKeys及其配置表Win2K_RegistryKeys_Conf；

b.文件屬性表Win2K_FileAttributes及其配置表Win2K_FileAttributes_Conf、MetabaseKeys；

c.屬性表Win2K_MetabaseKeys及其配置表Win2K_MetabaseKeys_Conf。

步驟2：系統(tǒng)信息獲取

首先，利用數(shù)據(jù)庫模式的INSERT語句填充配置表Win2K_RegistryKeys_Conf、Win2K_FileAttributes_Conf和Win2K_MetabaseKeys_Conf的值；

其次，按照配置表Win2K_RegistryKeys_Conf的RegistryKey，讀取系統(tǒng)中與其對應(yīng)的EntryName、EntryType和EntryValue值，并填到Win2K_RegistryKeys表中；

再次，按照配置表Win2K_FileAttributes_Conf的FilePath，讀取系統(tǒng)中與其對應(yīng)的Owner、Filesize、Modified、MSChecksum、MD5和Version值，并填到Win2K_FileAttributes表中；

最后，按照配置表Win2K_MetabaseKeys_Conf的MetabaseKey，讀取系統(tǒng)中與其對應(yīng)的Id、Name等，并填到Win2K_MetabaseKeys表中。

步驟3：檢測邏輯判斷

依次讀取VUL_LIST中的CVE_ID，根據(jù)其對應(yīng)的脆弱條件Conditions(i)到Detail_LIST表中查詢其對應(yīng)的RULE，到對應(yīng)表中讀取相應(yīng)信息進行規(guī)則匹配，得出漏洞是否存在的判斷。

步驟4：評估結(jié)果輸出

對于發(fā)現(xiàn)的系統(tǒng)漏洞，根據(jù)其CVE名稱到漏洞數(shù)據(jù)庫中查找與其有關(guān)的相應(yīng)信息，按照主機IP和漏洞嚴重級別進行分類顯示。

對設(shè)計的漏洞檢測系統(tǒng)進行試驗環(huán)境測試，其試驗環(huán)境如圖4所示。實驗環(huán)境為內(nèi)部10M局域網(wǎng)網(wǎng)段192.168.1.0/24，共享一個C類地址202.117.14.189聯(lián)入Internet。在192.168.1.19主機上安裝漏洞檢測系統(tǒng)的控制器和服務(wù)器端，192.168.1.231作為數(shù)據(jù)庫服務(wù)器，三個主站：192.168.1.226、192.168.1.218和192.168.1.18作為檢測目標，并在其上安裝漏洞檢測系統(tǒng)的客戶端。3個主站的操作系統(tǒng)均為Windows 2K，192.168.1.226服務(wù)器安裝了除IE瀏覽器補丁外的所有安全補丁。

為了對比試驗結(jié)果，選取了微軟的漏洞掃描器Microsoft Baseline Security Analyzer(MBSA)，它為目前Microsoft Windows平臺功能最強大的漏洞檢測系統(tǒng)。給出本系統(tǒng)ICS-VS和MBSA兩個檢測系統(tǒng)對主站192.168.1.226的掃描結(jié)果：

1)針對同樣的單一目標主機，MBSA用時40秒，ICS-VS用時21秒，幾乎只是MBSA的一半，這充分顯示了ICS-VS的快速性。這主要是由于ICS-VS利用系統(tǒng)配置信息，采用內(nèi)部查詢方式得到系統(tǒng)的漏洞。因此，與采用外部掃描方式工作的漏洞評估系統(tǒng)相比，ICS-VS檢測速度快。

2)安裝IE6.0SP1前發(fā)現(xiàn)的漏洞從數(shù)量上看，MBSA發(fā)現(xiàn)了3個，而ICS-VS發(fā)現(xiàn)了7個。仔細檢查發(fā)現(xiàn)的漏洞，結(jié)合微軟網(wǎng)站的資料，發(fā)現(xiàn)ICS-VS發(fā)現(xiàn)的漏洞修補程序已經(jīng)全部納入IE6.0SP1。從這一點看出，本系統(tǒng)是非常精確的。

為了進一步測試ICS-VS的檢測速度，對3臺主站進行3次漏洞掃描，ICS-VS所用的最小時間是30秒，MBSA的最小時間是150s。這個試驗進一步突出了本系統(tǒng)的最大優(yōu)點：快速。這進一步說明本系統(tǒng)可以應(yīng)用在大型工業(yè)控制系統(tǒng)環(huán)境中，這充分體現(xiàn)了利用系統(tǒng)配置信息、采用內(nèi)部查詢方式的漏洞評估方式帶來的好處。

本實用新型提出的面向工業(yè)控制系統(tǒng)的主動無損式漏洞檢測系統(tǒng)ICS-VS，能很好地滿足了工控系統(tǒng)高穩(wěn)定性和高實時性的要求。從對主站和工控網(wǎng)絡(luò)系統(tǒng)的實驗中可以看出，所提出的網(wǎng)絡(luò)系統(tǒng)漏洞檢測評估體系ICS-VS具有檢測精度高、速度快的優(yōu)點，且其不需要開發(fā)攻擊代碼，對檢測目標的運行性能零影響。該檢測系統(tǒng)適用于網(wǎng)絡(luò)管理員分析工控系統(tǒng)的安全狀況，具有較好的應(yīng)用前景。

以上詳細描述了本實用新型的較佳具體實施例。應(yīng)當理解，本領(lǐng)域的普通技術(shù)無需創(chuàng)造性勞動就可以根據(jù)本實用新型的構(gòu)思作出諸多修改和變化。因此，凡本技術(shù)領(lǐng)域中技術(shù)人員依本實用新型的構(gòu)思在現(xiàn)有技術(shù)的基礎(chǔ)上通過邏輯分析、推理或者有限的實驗可以得到的技術(shù)方案，皆應(yīng)在由權(quán)利要求書所確定的保護范圍內(nèi)。