08 电力工控系统漏洞检测技术

电力工控系统

漏洞检测技术01工控系统漏洞简介02工控系统漏洞扫描技术03工控系统漏洞检测技术目录CONTENTS什么是工控系统漏洞工控系统漏洞（Vulnerability）是指工业控制系统中存在的一些功能性或安全性的逻辑缺陷，包括一切导致威胁、损坏智能控制系统安全性的所有因素。在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。点击此处添加文字内容点击此处添加文字内容点击此处添加文字内容工控系统漏洞来源工控设备工控系统01固件系统02软硬件设计/实现03工控协议工控系统漏洞现状公开漏洞的年度变化趋势2014年新增工控系统漏洞的威胁分类2014年新增工控系统漏洞所属设备系统工控系统漏洞涉及行业公开工控系统漏洞的工控设备厂商02工控系统漏洞简介01工控系统漏洞扫描技术03工控系统漏洞检测技术目录CONTENTS什么是漏洞扫描通过跟已知漏洞库进行比对来确定目标系统存在漏洞的方式叫做漏洞扫描。漏洞扫描分类及特点主动的、非破坏性的特定脚本进行模拟

攻击被动的、非破坏性的系统的内核、文件的属性、操作系统的

补丁基于主机的漏洞扫描基于网络的漏洞扫描漏洞扫描的优点与局限性漏扫缺点漏扫优点检查速度快非破坏性对系统影响小局限于漏洞库中漏洞的数量无法发现高危的未知漏洞无法验证漏洞是否

真实存在在被测系统上03工控系统漏洞简介01工控系统漏洞扫描技术02工控系统漏洞检测技术目录CONTENTS什么是漏洞检测技术漏洞检测是多种漏洞检测分析技术相互结合，通过对目标系统的攻击，尽可能地找出目标中的潜在漏洞的技术。点击此处添加文字内容点击此处添加文字内容点击此处添加文字内容工控网络安全亟需有效检测手段目前检测手段局限性01现有检测手段仅针对外围服务器，

无法触及亟待保护的核心工控设备02端口服务扫描、漏洞特征扫描等技术无法进行深入、全面的检测03基于公开漏洞库的扫描机制在时间上永远滞后于攻击者工控系统检测对象分类工业网络控制类设备工业网络控制系统工业网络安全类设备工控系统检测手段检测内容：兼容性测试、稳定性测试、功能性测试、漏洞扫描、攻击测试等持续更新的公开漏洞库持续更新的自主挖掘工控零日漏洞库海量工控设备信息库自主研发的产品硬件可支持工控设备脆弱性检测的全面性已知脆弱性检测功能未知脆弱性挖掘功能基于大量实际案例积累的高效测试用例先进的模糊测试算法集自学习型漏洞定位能力方便的测试用例自定义功能工控系统基本检测方法兼容性测试稳定性测试漏洞扫描及验证攻击测试风暴测试端口/服务扫描工控系统检测方法-黑白盒测试输入输入输出输出模糊测试固件分析动态分析技术静态分析技术二进制比对技术模糊测试技术手工测试技术漏洞检测分析技术基于缺陷注入的自动软件测试技术，利用黑盒测试的思想，使用大量半有效的数据作为应用程序的输入。以程序是否出现异常为标志，来发现应用程序中可能存在的漏洞。漏洞检测分析技术-模糊测试技术构造半有效的数据发送到需要

测试的程序保存使得程序出错的数据程序崩溃？NY模糊测试技术概念模糊测试的工作原理协议模板调用异常用例生成协议状态机协商异常报文发送被测对象监控

被测对象

模糊器监控信息发送异常协议报文对异常协议报文的响应基于协议分析的模糊测试工具框架初始化选择协议调整状态机发送异常报文检测异常生成测试报告记录日志主控模块-负责整个流程的执行，调用其他模块所提供的接口完成异常报文读取、分析。实现模糊测试报文的生成，通过对正常协议报文的特定字段设置选择策略，由模糊报文构造算法自动生成大量测试用例，在主控模块的驱动下，自动发送连续的模糊测试报文。基于协议分析的模糊测试工具框架报文构造模块监控并检验异常报文攻击的有效性，通过测试中定时地检测设备相关状态分析异常报文对设备的影响。基于协议分析的模糊测试工具框架异常监控模块在无人值守的情况下运行，支持事后让测试人员复现工具发现的问题“此记录过程贯穿整个报文发送程序，通过提供统一的接口供其他模块调用执行。基于协议分析的模糊测试工具框架日志记录模块工控系统漏洞检测的功能需求漏洞发现根源分析衍生开发漏洞验证功能拓展测试报告生成工控系统漏洞检测的功能需求-漏洞发现设备配置调整设备间的拓扑连接方式，对被测设备端口进行自动扫描和配置测试脚本编辑进行漏洞测试或漏洞检测的运行脚本，提供多种快速灵活的方式测试结果显示测试结果的具体细节，并可快读对结果进行漏洞标识，关联所有相关内容漏洞编辑对漏洞特征、触发因素等进行检查和再次编辑，并能够保存至本机漏洞库测试时能够监视测试用例执行情况和结果，并能根据需要实时增加或减少未运行测试用例测试运行工控系统漏洞检测的功能需求-根源分析触发定位测试重放抓包重放重新攻击抓包分析分析报告010203050604工控系统漏洞检测的功能需求-漏洞验证验证测试重现漏洞发生环境进行验证漏洞发布审阅无误后将

漏洞发布到本机漏洞库漏洞详情查看漏洞记录的详细信息工控系统漏洞检测的功能需求-项目管理任务历史回顾，可视化任务流程设置任务建立与分配，全程跟踪管理多种任务多类型任务管理，独立流程项目内可以任意组合多个不同类型的任务开发过程与需求整合，持续提升研发效率支持任务与邮件通知集成电网工控系统安全检测特殊性工控系统的威胁识别与安全监测技术具有如下的特性：(1)局部规律性很强；(2)正常工控业务数据具有明显的分布特性。特定的控制报文有特定的、相对稳定的结构，因此将确定性方法(短序列建库)建立模型；(3)利用时间序列分析技术提取特征，采用基于线性预测的深度审计检测方法。从提取特权确认的数据报文的行为特征入手，引入时间序列分析技术——用线性预测技术对特权数据报文产生的系统调用序列提取特征向量来建立正常特征库；(4)基于半监督异常检测方法。半监督方法的学习样本包括已标示类别的样本和未标示样本，并且通过对已标示的样本在整个数据流智能审计体系中。工控系统检测环境-点对点测试测试平台监视器被测设备监视数据测试数据监视数据工控系统检测环境-桥接测试被测设备控制系统正常数据包测试平台监视器被测设备监视数据测试数据监视数据电力工控系统安全检测案例被测设备：施耐德TM218系列测试方式：挖掘检测产品-被测设备点对点测试发现漏洞和问题：发现有两个严重的拒绝服务型漏洞，对其进行攻击可直接导致系统停止服务大多数施耐德产品无认证机制，可绕过上位机直接关停设备的运行某水电厂设备检测案例被测设备：西门子