一种面向电力监控系统的漏洞扫描方法及系统与流程

1.本发明涉及电力监控系统漏洞扫描领域，具体涉及一种面向电力监控系统的漏洞扫描方法及系统。


背景技术：

2.工业控制系统是电力、冶金、交通、能源等工业基础设施的核心组成部分，也是国民经济、社会运行和国家安全重要基础。随着工业控制系统与互联网技术深度融合，导致工控系统的安全问题更加突显。电力监控系统作为关乎国计民生的重要基础设施，一直以来都是网络安全攻击的重点目标，极易成为网络战的首要目标。因此开展电力监控系统漏洞排查，及时消除安全问题隐患，是保障电力监控系统安全的一项基础性工作。电力监控系统对实时性、可靠性有着极高的要求，现有的漏洞扫描工具主要采用端口扫描方式工作，对电力监控系统的运行安全性和稳定性影响不可控。


技术实现要素：

3.因此，本发明要解决的技术问题在于克服现有技术中的采用端口扫描方式工作，对电力监控系统的运行安全性和稳定性影响不可控的缺陷，从而提供一种面向电力监控系统的漏洞扫描方法及系统。
4.为达到上述目的，本发明提供如下技术方案：
5.第一方面，本发明实施例提供一种面向电力监控系统的漏洞扫描方法，包括：对电力监控系统的所有软件进行分类；针对每类软件，均建立对应的漏洞库；基于漏洞库，对每个软件进行同步漏洞识别，得到每类软件的漏洞扫描报告；将每类软件的漏洞扫描报告进行合并，得到完整的漏洞报告。
6.在一实施例中，对电力监控系统的所有软件进行分类的过程，包括：将电力监控系统的所有软件分成系统软件及电力专用软件。
7.在一实施例中，建立系统软件的漏洞库的过程，包括：访问专门公开漏洞的网站，获取漏洞信息；根据漏洞信息，建立系统软件的漏洞库。
8.在一实施例中，专门公开漏洞的网站包括：cve网站、cnnvd网站，根据cnnvd网站所公开的漏洞信息，建立系统软件的漏洞库的过程，包括：读取cnnvd网站公开的每年的漏洞清单；根据每年的漏洞清单的xml 标签，分别将漏洞清单的各个字段存入数据库；通过解析vuln-software-list 标签，识别包含漏洞信息的系统软件及版本；根据包含漏洞信息的系统软件及版本，建立系统软件的漏洞库。
9.在一实施例中，建立电力专用软件的漏洞库的过程，包括：通过漏洞检测机构及公司红队搜集每种电力专用软件的漏洞检测方法；基于每种电力专用软件的漏洞检测方法，建立电力专用软件的漏洞库。
10.在一实施例中，基于系统软件的漏洞库，对每个系统软件进行漏洞识别，得到系统软件的漏洞扫描报告的过程，包括：通过操作系统命令，采集所有电力监控系统中已安装的
系统软件的详细信息；将系统软件的漏洞库中所存储的包含漏洞信息的系统软件及版本，与电力监控系统的每个系统软件进行对比，识别每个系统软件的漏洞信息；基于每个系统软件的漏洞信息，得到系统软件的漏洞扫描报告。
11.在一实施例中，基于电力专用软件的漏洞库，对每个电力专用软件进行漏洞识别，得到电力专用软件的漏洞扫描报告的过程，包括：基于电力软件的漏洞库的漏洞检测方法，对电力监控系统的对应的电力专用软件进行漏洞识别，识别该电力专用软件的漏洞信息；基于每个电力专用软件的漏洞信息，得到电力专用软件的漏洞扫描报告。
12.第二方面，本发明实施例提供一种面向电力监控系统的漏洞扫描系统，包括：分类模块，用于对电力监控系统的所有软件进行分类；建立漏洞库模块，用于针对每类软件，均建立对应的漏洞库；扫描模块，用于基于漏洞库，对每个软件进行漏洞识别，得到每类软件的漏洞扫描报告；合并模块，用于将每类软件的漏洞扫描报告进行合并，得到完整的漏洞报告。
13.第三方面，本发明实施例提供一种计算机设备，包括：至少一个处理器，以及与至少一个处理器通信连接的存储器，其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行本发明实施例第一方面的面向电力监控系统的漏洞扫描方法。
14.第四方面，本发明实施例提供一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行本发明实施例第一方面的面向电力监控系统的漏洞扫描方法。
15.本发明技术方案，具有如下优点：
16.1.本发明提供的面向电力监控系统的漏洞扫描方法及系统，对所述电力监控系统的所有软件进行分类，分成系统软件和电力专用软件；针对每类软件，均建立对应的漏洞库；基于漏洞库，对每个软件进行漏洞识别，得到每类软件的漏洞扫描报告；将每类软件的漏洞扫描报告进行合并，得到完整的漏洞报告。通用软件漏洞识别和电力专用软件识别的可同时进行，显著提升电力监控系统漏洞检测效率。
17.2.本发明提供的面向电力监控系统的漏洞扫描方法，对系统软件采用信息比对方法进行漏洞识别，避免了基于端口扫描方法带来的网络拥塞等问题，满足了电力监控系统高实时性、高可用性的要求；通过通过电科院等检测机构、公司红队搜集电力专有软件的漏洞检测方法，实现了对电力专有软件的漏洞检测，提升了漏洞检测的准确性。
附图说明
18.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1为本发明实施例提供的漏洞扫描方法的一个具体示例的流程图；
20.图2为本发明实施例提供的漏洞扫描方法的另一个具体示例的流程图；
21.图3为本发明实施例提供的漏洞扫描方法的另一个具体示例的流程图；
22.图4为本发明实施例提供的漏洞扫描方法的另一个具体示例的流程图；
23.图5为本发明实施例提供的漏洞扫描方法的另一个具体示例的流程图；
24.图6为本发明实施例提供的漏洞扫描方法的另一个具体示例的流程图；
25.图7为本发明实施例提供的漏洞扫描系统的一个具体示例的组成图；
26.图8为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
27.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
29.此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
30.实施例1
31.本发明实施例提供一种面向电力监控系统的漏洞扫描方法，如图1所示，包括：
32.步骤s11：对电力监控系统的所有软件进行分类。
33.具体地，本发明实施例根据每个软件的检测方法的差异首先对电力监控系统的所有软件进行分类，现分成两类：系统软件及电力专用软件，但仅以此举例，不以此为限制。
34.步骤s12：针对每类软件，均建立对应的漏洞库。
35.具体地，由于每类软件所使用的漏洞识别方法不同，因此本发明实施例对于每类软件均设置与其对应的漏洞库，漏洞库中可以包含对应类别软件的漏洞检测方法，或者包含漏洞信息的软件及版本，在此不作限制。
36.步骤s13：基于漏洞库，对每个软件进行同步漏洞识别，得到每类软件的漏洞扫描报告。
37.具体地，本发明实施例对软件进行漏洞识别时，通过调用对应的漏洞库即可，从而避免了网络拥塞等问题，并提升了漏洞检测的准确性及检测效率。
38.步骤s14：将每类软件的漏洞扫描报告进行合并，得到完整的漏洞报告。
39.在一具体实施例中，如图2所示，建立系统软件的漏洞库的过程，包括：
40.步骤s21：访问专门公开漏洞的网站，获取漏洞信息。
41.步骤s22：根据漏洞信息，建立系统软件的漏洞库。
42.具体地，本发明实施例的专门公开漏洞的网站可以包括：cve网站、 cnnvd网站等，通过访问这些网站，获取漏洞信息，并利用标签识别的方法，识别包含漏洞信息的系统软件及版本，并将包含漏洞信息的系统软件及版本一一对应存储至漏洞库中。
43.在一具体实施例中，如图3所示，专门公开漏洞的网站包括：根据 cnnvd网站所公开的漏洞信息，建立系统软件的漏洞库的过程，包括：
44.步骤s31：读取cnnvd网站公开的每年的漏洞清单。
45.步骤s32：根据每年的漏洞清单的xml标签，分别将漏洞清单的各个字段存入数据库。
46.步骤s33：通过解析vuln-software-list标签，识别包含漏洞信息的系统软件及版本。
47.步骤s34：根据包含漏洞信息的系统软件及版本，建立系统软件的漏洞库。
48.具体地，本发明实施例基于步骤s31～步骤s34的方法，执行表1的步骤，可以识别出samba软件涉及的版本包括4.5.1至4.5.4。
49.表1
50.51.[0052][0053]
在一具体实施例中，如图4所示，建立电力专用软件的漏洞库的过程，包括：
[0054]
步骤s41：通过漏洞检测机构及公司红队搜集每种电力专用软件的漏洞检测方法。
[0055]
具体地，本发明实施例时面向电力监控系统的漏洞扫描方法，因此漏洞检测机构可以但不限于电科院等，此外，本发明实施例还可以适用于其他系统，在此不作限制。
[0056]
步骤s42：基于每种电力专用软件的漏洞检测方法，建立电力专用软件的漏洞库。
[0057]
具体地，例如：某个电力专用软件存在任意脚本执行漏洞，其特征为可执行文件的hash值，则该电力专用软件的检测方法为检测其hash值的方法，识别是否存在漏洞。
[0058]
在一具体实施例中，如图5所示，基于系统软件的漏洞库，对每个系统软件进行漏洞识别，得到系统软件的漏洞扫描报告的过程，包括：
[0059]
步骤s51：通过操作系统命令，采集所有电力监控系统中已安装的系统软件的详细信息。
[0060]
具体地，例如：电力监控系统为debin系统，则操作系统命令为dpkg 命令，则系统软件的详细信息可以包括名称、版本、体系结构和描述，如表2所示。
[0061]
表2
[0062][0063]
步骤s52：将系统软件的漏洞库中所存储的包含漏洞信息的系统软件及版本，与电力监控系统的每个系统软件进行对比，识别每个系统软件的漏洞信息。
[0064]
具体地，本发明实施例可以根据电力监控系统中已安装的系统软件的详细信息与漏洞库中所存储的包含漏洞信息的系统软件及版本进行对比，识别系统软件漏洞，如表2所示，samba软件的版本为4.5.2.16，“samba smbd 安全漏洞”涉及的samba版本包括4.5.1至4.5.4，则该主机存在编号为 cnnvd-201706-178的漏洞。
[0065]
步骤s53：基于每个系统软件的漏洞信息，得到系统软件的漏洞扫描报告。
[0066]
在一具体实施例中，如图6所示，基于电力专用软件的漏洞库，对每个电力专用软件进行漏洞识别，得到电力专用软件的漏洞扫描报告的过程，包括：
[0067]
步骤s61：基于电力软件的漏洞库的漏洞检测方法，对电力监控系统的对应的电力专用软件进行漏洞识别，识别该电力专用软件的漏洞信息。
[0068]
步骤s62：基于每个电力专用软件的漏洞信息，得到电力专用软件的漏洞扫描报告。
[0069]
具体地，例如某电力专用软件存在任意脚本执行漏洞，其特征为库文件的hash值，则通过检测特定库文件的hash值，可识别某电力系统软件是否存在漏洞。
[0070]
实施例2
[0071]
本发明实施例提供一种面向电力监控系统的漏洞扫描系统，如图7所示，包括：
[0072]
分类模块1，用于对电力监控系统的所有软件进行分类；此模块执行实施例1中的步骤s11所描述的方法，在此不再赘述。
[0073]
建立漏洞库模块2，用于针对每类软件，均建立对应的漏洞库；此模块执行实施例1中的步骤s21所描述的方法，在此不再赘述。
[0074]
扫描模块3，用于基于漏洞库，对每个软件进行漏洞识别，得到每类软件的漏洞扫描报告；此模块执行实施例1中的步骤s13所描述的方法，在此不再赘述。
[0075]
合并模块4，用于将每类软件的漏洞扫描报告进行合并，得到完整的漏洞报告；此模块执行实施例1中的步骤s14所描述的方法，在此不再赘述。
[0076]
实施例3
[0077]
本发明实施例提供一种计算机设备，如图8所示，包括：至少一个处理器401，例如cpu(central processing unit，中央处理器)，至少一个通信接口403，存储器404，至少一个通信总线402。其中，通信总线402用于实现这些组件之间的连接通信。其中，通信接口403可以包括显示屏 (display)、键盘(keyboard)，可选通信接口403还可以包括标准的有线接口、无线接口。存储器404可以是高速ram存储器(ramdom accessmemory，易挥发性随机存取存储器)，也可以是非不稳定的存储器 (non-volatile memory)，例如至少一个磁盘存储器。存储器404可选的还可以是至少一个位于远离前述处理器401的存储装置。其中处理器401可以执行实施例1的面向电力监控系统的漏洞扫描方法。存储器404中存储一组程序代码，且处理器401调用存储器404中存储的程序代码，以用于执行实施例1的面向电力监控系统的漏洞扫描方法。
[0078]
其中，通信总线402可以是外设部件互连标准(peripheral componentinterconnect，简称pci)总线或扩展工业标准结构(extended industry standardarchitecture，简称eisa)总线等。通信总线402可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条线表示，但并不表示仅有一根总线或一种类型的总线。
[0079]
其中，存储器404可以包括易失性存储器(英文：volatile memory)，例如随机存取
存储器(英文：random-access memory，缩写：ram)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：hdd) 或固降硬盘(英文：solid-state drive，缩写：ssd)；存储器404还可以包括上述种类的存储器的组合。
[0080]
其中，处理器401可以是中央处理器(英文：central processing unit，缩写：cpu)，网络处理器(英文：network processor，缩写：np)或者cpu 和np的组合。
[0081]
其中，处理器401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文：application-specific integrated circuit，缩写：asic)，可编程逻辑器件(英文：programmable logic device，缩写：pld)或其组合。上述pld可以是复杂可编程逻辑器件(英文：complex programmable logicdevice，缩写：cpld)，现场可编程逻辑门阵列(英文：field-programmablegate array，缩写：fpga)，通用阵列逻辑(英文：generic array logic,缩写： gal)或其任意组合。
[0082]
可选地，存储器404还用于存储程序指令。处理器401可以调用程序指令，实现如本技术执行实施例1中的面向电力监控系统的漏洞扫描方法。
[0083]
本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机可执行指令，该计算机可执行指令可执行实施例1的面向电力监控系统的漏洞扫描方法。其中，存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)、随机存储记忆体(random access
ꢀꢀ
memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固降硬盘(solid-state drive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
[0084]
显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。