《工业控制系统信息安全》课件-第十一节 工业控制系统安全控制：漏扫与靶场 -p4

11.5.3工控靶场的基本组成A.高性能工业流量仿真工控中的网络流量大多由工控设备按照生产工艺自动产生，与大部分由人为产生的互联网流量有极大的区别：工业控制网络流量分布整体较规律,数据包时间间隔既不服从泊松分布又不服从重尾分布,小时间尺度上具有周期性,没有表现出自相似的特性,大时间尺度上则较为平稳。工控靶场可发出混合有协议、安全攻击、大规模的数据流来测试网络架构对抗网络攻击与高压力负载的弹性。11.5.3工控靶场的基本组成B.应用场景仿真工控靶场内置多种真实应用仿真，并紧随工控行业的发展，及时更新应用仿真库。目前支持的协议有：Modbus、OPC、HTTP、FTP等。工业基础设施如SCADA、DCS和PLC模型提供相应实物操作相关的界面、协议、特性，被称为表达模型，可以通过仿真实现。11.5.3工控靶场的基本组成C.业务执行仿真工控靶场内置了不同的网络流量与行业场景，包括不同行业模型，企业网流量，常用安全模型。也可以自行定义业务场景。工控靶场不仅可以模拟典型的工控业务，而且可以精确的按照比例产生特定时期的工控流量。在工控靶场中，可以通过上位机的网络端口发动正常流量和攻击报文。攻击报文可以和正常流量同网段，也可以不同的网段。通过调整不同的流量比例，来反映一个网络受到不同程度的攻击。在工控靶场中，也可以通过下位机的基础设施接口等直接植入攻击。在两种不同的攻击情况下，工控靶场可以演示工控业务执行情况。11.5.3工控靶场的基本组成D.DDoS测试工控靶场内置了多种DDoS测试模版。用户可以产生GE或者10GE的线速DDOS攻击，如PingFlood，SynFlood，ACKFlood，Syn-AckFlood,UDPFlood，DNSFlood等。系统也内置了2个僵尸网络模型，DNS反射攻击，HTTPGet／Postflood，Slowloris，TCP0receive窗口，RUDY，HTTP分片攻击等模型。用户既可以配置使用真实IP，也可以使用虚假IP。11.5.3工控靶场的基本组成E.攻击和恶意软件库工控靶场可以帮助企业评估工控系统的安全。它包括了多种系统漏洞攻击和真实的恶意程序，多种协议fuzzing测试。提供多种实时安全攻击，定期添加新的安全攻击。支持复杂的攻击模拟以及多种网络逃避技术、在线恶意软件、僵尸网络、分布式拒绝服务(DDoS)攻击、完全协议模糊等。提供可选的定制应用工具包和定制攻击工具包，用于创建定制应用和攻击。11.5.3工控靶场的基本组成F.系统漏洞仿真系统漏洞包括操作系统本身的安全漏洞，以及运行在操作系统之上的应用程序（例如Apache、Nginx、MySQL，Flash，IE）的安全漏洞。工控靶场包含多种系统漏洞攻击，并且按照危害程度划分等级。用户可以根据不同等级的通过率来评估系统的安全风险。11.5.3工控靶场的基本组成G.病毒工控靶场也支持病毒仿真，病毒的承载协议包括:HTTP,SMTP,POP,IMAP，FTP等。在这些协议里面，病毒可以独立存在，也可以作为压缩包方式出现。另外也支持不同种类的文件如.doc,.pdf,.ppt,.xls,.exe等。对于私有病毒样本，用户也可以自行导入到工控靶场系统中进行测试。11.5.3工控靶场的基本组成H.其它主要攻击类型SQL注入SQL注入攻击（SQLInjection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。比如先前的CSDN密码泄露就是被利用SQL注入漏洞攻破并拖库．跨站脚本攻击（XSS）跨站脚本攻击（Cross-sitescripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。XSS攻击使用到的技术主要为HTML和Javascript，也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站也产生了较严重的危害。11.5.3工控靶场的基本组成I.流量捕捉回放测试（监视器与流表）

工控靶场可以实现对捕捉PCAP报文的回放能力。回放的方式有2种:基于PCAP包内的flow的基于状态基协议回放，和按照PCAP包顺序的严格顺序和时间戳间隔回放。工控靶场也可以实现现场总线通信的回放的能力。回放的方式通常通过通信流表展示的方式。通过强大的回放能力，工控靶场可以帮助用户进行网络定位（抓取现场PCAP在实验室复现问题）；同时也可以帮助用户实现自己的私有协议在测试仪表上的完全模拟（高速地）。可以帮助用户通过监视器的方式分析定位工控信息安全问题。11.5.3工控靶场的基本组成K.预防信息泄漏与故障维修测试工控靶场可以提供独特的预防信息泄漏（DLP）引擎。在工控界面上可以配置关键字出现的频率，并有按照时间出现的关键字报告。通过比对工控靶场的报告和网络设备的识别情况来判断设备识别准确率。故障维修也可以对工控系统尤其是基础设施安全带来威胁。工控靶场应该提供相应的故障维修仪器接口，分析故障维修仪器可能带来的安全风险，评估维修设备的安全以及数据窃取的风险。另外，通常测试设备产生的报文内容是固定的，递增，递减，随机或者自定义，必须是可以识别的。工控靶场需要通过技术手段识别、仿真、检测与判断测试设备的报文内容的信息安全风险。11.5.3工控靶场的基本组成报表系统