一种工控漏洞扫描方法及系统与流程

1.本发明属于电数字数据处理技术领域，尤其涉及一种工控漏洞扫描方法及系统。


背景技术：

2.工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，又催生了当前在商业领域风靡的以太网与控制网络的结合。
3.工业控制系统网将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来，拓展了工业控制领域的发展空间。
4.当前的工控系统已经逐步由集中控制发展为分层控制，到现在的基于现场总线的网络控制，其控制网络逐渐复杂，通过人工进行漏洞识别，效率低，且识别率低。


技术实现要素：

5.本发明实施例的目的在于提供一种工控漏洞扫描方法，旨在解决通过人工进行漏洞识别，效率低，且识别率低的问题。
6.本发明实施例是这样实现的，一种工控漏洞扫描方法，所述方法包括：获取工控系统架构图，所述工控系统架构图由工控单元和数据传输关系组成，一组数据传输关系连接两个工控单元；统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元；以末端单元作为起点，构建数据传输路径网络，所述数据传输路径网络中，单条传输路径仅具有一个数据传递方向；计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果。
7.优选的，所述统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元的步骤，具体包括：统计工控单元的数量，为每一个工控单元进行编号；统计每一个工控单元的数据传输关系的连接数量；根据连接数量对工控单元进行分类，将连接数量小于三的工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
8.优选的，所述以末端单元作为起点，构建数据传输路径网络的步骤，具体包括：遍历末端单元，确定末端单元选择顺序；按照顺序以末端单元为起点单元，除去起点单元后，以任意一个末端单元作为终点单元，得到所有单条传输路径，一个起点单元和一个末端单元之间具有至少一个单条传输路径，且单条传输路径中数据传输关系不重复使用；遍历所有末端单元后，根据单条传输路径生成数据传输路径网络。
9.优选的，所述计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果的步骤，具体包括：
对数据传输路径网络中的各个单条传输路径进行分析，统计每个工控单元对应的单条传输路径的数量；结合数据传输路径网络中的单条传输路径的总数量，计算各个工控单元的使用率；根据使用率确定工控单元中的重点单元，对重点单元进行数据传输漏洞测试，得到测试结果。
10.优选的，统计起点单元与终点单元之间的单条传输路径的数量，对单条传输路径进行存储。
11.优选的，若起点单元与终点单元之间单条传输路径仅有一条，则将其包含的所有工控单元视为重点单元。
12.本发明实施例的另一目的在于提供一种工控漏洞扫描系统，所述系统包括：系统架构获取模块，用于获取工控系统架构图，所述工控系统架构图由工控单元和数据传输关系组成，一组数据传输关系连接两个工控单元；单元分类模块，用于统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元；传输路径分析模块，用于以末端单元作为起点，构建数据传输路径网络，所述数据传输路径网络中，单条传输路径仅具有一个数据传递方向；漏洞测试模块，用于计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果。
13.优选的，所述单元分类模块包括：设备编号单元，用于统计工控单元的数量，为每一个工控单元进行编号；数量统计单元，用于统计每一个工控单元的数据传输关系的连接数量；设备划分单元，用于根据连接数量对工控单元进行分类，将连接数量小于三的工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
14.优选的，所述传输路径分析模块包括：单元顺序确定单元，用于遍历末端单元，确定末端单元选择顺序；路径构建单元，用于按照顺序以末端单元为起点单元，除去起点单元后，以任意一个末端单元作为终点单元，得到所有单条传输路径，一个起点单元和一个末端单元之间具有至少一个单条传输路径，且单条传输路径中数据传输关系不重复使用；网络构建单元，用于遍历所有末端单元后，根据单条传输路径生成数据传输路径网络。
15.优选的，所述漏洞测试模块包括：路径统计单元，用于对数据传输路径网络中的各个单条传输路径进行分析，统计每个工控单元对应的单条传输路径的数量；使用率计算单元，用于结合数据传输路径网络中的单条传输路径的总数量，计算各个工控单元的使用率；传输测试单元，用于根据使用率确定工控单元中的重点单元，对重点单元进行数据传输漏洞测试，得到测试结果。
16.本发明实施例提供的一种工控漏洞扫描方法，根据整个工控系统架构图，识别其
中的各个工控单元，以工控单元为分析基础，确定工控单元之间的数据传输关系，从而根据数据传输关系对工控单元进行分析，计算其使用率，根据使用率对工控单元进行漏洞扫描，使用率越高，其扫描深度越大，保证了重要工控单元的安全性，也降低了整个工控系统漏洞扫描的工作量。
附图说明
17.图1为本发明实施例提供的一种工控漏洞扫描方法的流程图；图2为本发明实施例提供的统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元的步骤的流程图；图3为本发明实施例提供的以末端单元作为起点，构建数据传输路径网络的步骤的流程图；图4为本发明实施例提供的计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果的步骤的流程图；图5为本发明实施例提供的一种工控漏洞扫描系统的架构图；图6为本发明实施例提供的一种单元分类模块的架构图；图7为本发明实施例提供的一种传输路径分析模块的架构图；图8为本发明实施例提供的一种漏洞测试模块的架构图。
具体实施方式
18.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
19.工业控制系统网将诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种当今流行技术融合进来，拓展了工业控制领域的发展空间。当前的工控系统已经逐步由集中控制发展为分层控制，到现在的基于现场总线的网络控制，其控制网络逐渐复杂，通过人工进行漏洞识别，效率低，且识别率低。
20.本发明根据整个工控系统架构图，识别其中的各个工控单元，以工控单元为分析基础，确定工控单元之间的数据传输关系，从而根据数据传输关系对工控单元进行分析，计算其使用率，根据使用率对工控单元进行漏洞扫描，使用率越高，其扫描深度越大，保证了重要工控单元的安全性，也降低了整个工控系统漏洞扫描的工作量。
21.如图1所示，为本发明实施例提供的一种工控漏洞扫描方法的流程图，所述方法包括：s100，获取工控系统架构图，所述工控系统架构图由工控单元和数据传输关系组成，一组数据传输关系连接两个工控单元。
22.在本步骤中，获取工控系统架构图，在工控系统实施之后，根据各个工控系统的设备连接关系构建工控系统架构图，工控单元为具有独立数据传输能力的设备，如网关、数据采集装置等，数据传输关系则是用于表明两组工控单元之间数据传输关系，因此，在两个工控单元之间，只有一组数据传输关系。
23.s200，统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元。
24.在本步骤中，统计工控单元的数量，在工控系统架构图中，对每一个工控单元都进行了标识，部分工控单元是相同设备，但是其应用位置不同，因此通过进行编号的方式确定工控单元的身份，对于工控单元而言，其可能连接有多个工控单元，当其仅连接有两个工控单元或者仅连接有一个工控单元的时候，则说明当与其连接的数据传输关系中断时，将会造成该工控单元产生的数据无法传输出去，因此会对系统造成稳定性影响，据此划分枢纽单元和末端单元，末端单元即为仅连接有两个工控单元或者仅连接有一个工控单元的工控单元，剩余部分即为枢纽单元。
25.s300，以末端单元作为起点，构建数据传输路径网络，所述数据传输路径网络中，单条传输路径仅具有一个数据传递方向。
26.在本步骤中，以末端单元作为起点，构建数据传输路径网络，以末端单元为起点，并确定终点单元，确定数据由末端单元产生，直至传递到终点单元的所有路径，在此过程中，需保证路径中的数据传输关系不重复使用，从而在一个末端单元以及一个终点单元之间可能存在多个传输路径，例如存在n个传输路径，则说明该末端单元产生的数据可以通过n个传输路径传递至终点单元，在选择一个末端单元之后，终点单元遍历其他所有末端单元，进而切换一个末端单元，重复上述步骤，直至所有末端单元均选取到，从而得到多组单条传输路径，从而形成了数据传输路径网络。
27.s400，计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果。
28.在本步骤中，计算各个工控单元的使用率，同一个工控单元将会在不同的单条传输路径中出现，因此当一个工控单元被使用到的次数越多时，则说明该工控单元出现故障时会造成的影响越大，相反的，一个工控单元涉及到的单条传输路径越少，其出现故障时对整个工控系统造成的影响越小，那么在进行测试时，按照使用率的高低对各个工控单元进行漏洞检测，使用率即为工控单元在所有单条传输路径中出现的比例，如存在100条传输路径，存在50条传输路径包含了同一个工控单元，则使用率为50%，因此根据使用率，对不同工控单元进行不同级别的漏洞测试，越是使用率高的工控单元，其进行漏洞测试越严格，最终得到测试结果，根据测试结果对工控单元进行修复或者调节。
29.如图2所示，作为本发明的一个优选实施例，所述统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元的步骤，具体包括：s201，统计工控单元的数量，为每一个工控单元进行编号。
30.在本步骤中，统计工控单元的数量，在进行编号时，可以根据工控单元的型号进行编号，如工控单元分为数据采集端和数据收发端，以a0表示数据采集端，以b0表示数据收发端，那么为数据采集端进行连续编号，为数据收发端进行连续编号，此时所有的工控单元均具有了唯一编号。
31.s202，统计每一个工控单元的数据传输关系的连接数量。
32.s203，根据连接数量对工控单元进行分类，将连接数量小于三的工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
33.在本步骤中，统计每一个工控单元的数据传输关系的连接数量，按照工控单元的编号进行统计，如先统计数据采集端的数据传输关系的连接数量，随后统计数据收发端的数据传输关系的连接数量，根据连接数量对工控单元进行分类，具体的，设置一个阈值，当
连接数量超过阈值时，则将其划分为枢纽单元，具体的，阈值设置为三，连接数量小于三的工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
34.如图3所示，作为本发明的一个优选实施例，所述以末端单元作为起点，构建数据传输路径网络的步骤，具体包括：s301，遍历末端单元，确定末端单元选择顺序。
35.s302，按照顺序以末端单元为起点单元，除去起点单元后，以任意一个末端单元作为终点单元，得到所有单条传输路径，一个起点单元和一个末端单元之间具有至少一个单条传输路径，且单条传输路径中数据传输关系不重复使用。
36.在本步骤中，遍历末端单元，即每次选择一个末端单元，将其作为起点单元，进而在剩余的所有末端单元中随机选择一个作为终点单元，然后统计从末端单元为起点，在不重复使用数据传输关系的情况下，数据能够传输到终点单元的所有路径，即得到所有单条传输路径。
37.s303，遍历所有末端单元后，根据单条传输路径生成数据传输路径网络。
38.在本步骤中，在完成以一个末端单元为起点进行单条传输路径生成之后，切换末端单元作为起点，以重复上述步骤，得到该末端单元对应的所有的单条传输路径，此时所有工控单元均处于单条传输路径当中，从而形成数据传输路径网络。
39.如图4所示，作为本发明的一个优选实施例，所述计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果的步骤，具体包括：s401，对数据传输路径网络中的各个单条传输路径进行分析，统计每个工控单元对应的单条传输路径的数量。
40.s402，结合数据传输路径网络中的单条传输路径的总数量，计算各个工控单元的使用率。
41.在本步骤中，对数据传输路径网络中的各个单条传输路径进行分析，具体的，统计所有单条传输路径的总数量，并且，统计单个工控单元所涉及的单条传输路径的数量，一个工控单元涉及到的单条传输路径的数量越多，则说明该工控单元的稳定性需求越大，否则当其出现故障时，更容易造成系统瘫痪，进而计算各个工控单元的使用率。
42.s403，根据使用率确定工控单元中的重点单元，对重点单元进行数据传输漏洞测试，得到测试结果。
43.在本步骤中，根据使用率确定工控单元中的重点单元，设置使用率阈值，将使用率超过该使用率阈值的工控单元作为重点单元，那么进行漏洞测试时，按照已知漏洞对应的检测方式，对该重点单元进行全面测试，而其他非重点单元则可以仅检测部分项目，以数据传输漏洞为例，在对重点单元进行测试时，以全部类型数据进行传输测试，则其他工控单元则，选择最常用的数据类型进行传输测试，以得到测试结果；若起点单元与终点单元之间单条传输路径仅有一条，则将其包含的所有工控单元视为重点单元；统计起点单元与终点单元之间的单条传输路径的数量，对单条传输路径进行存储。
44.如图5所示，为本发明实施例提供的一种工控漏洞扫描系统，所述系统包括：系统架构获取模块100，用于获取工控系统架构图，所述工控系统架构图由工控单元和数据传输关系组成，一组数据传输关系连接两个工控单元。
45.在本模块中，系统架构获取模块100获取工控系统架构图，在工控系统实施之后，
根据各个工控系统的设备连接关系构建工控系统架构图，工控单元为具有独立数据传输能力的设备，如网关、数据采集装置等，数据传输关系则是用于表明两组工控单元之间数据传输关系，因此，在两个工控单元之间，只有一组数据传输关系。
46.单元分类模块200，用于统计工控单元的数量，对工控单元进行分类，划分为枢纽单元和末端单元。
47.在本模块中，单元分类模块200统计工控单元的数量，在工控系统架构图中，对每一个工控单元都进行了标识，部分工控单元是相同设备，但是其应用位置不同，因此通过进行编号的方式确定工控单元的身份，对于工控单元而言，其可能连接有多个工控单元，当其仅连接有两个工控单元或者仅连接有一个工控单元的时候，则说明当与其连接的数据传输关系中断时，将会造成该工控单元产生的数据无法传输出去，因此会对系统造成稳定性影响，据此划分枢纽单元和末端单元，末端单元即为仅连接有两个工控单元或者仅连接有一个工控单元的工控单元，剩余部分即为枢纽单元。
48.传输路径分析模块300，用于以末端单元作为起点，构建数据传输路径网络，所述数据传输路径网络中，单条传输路径仅具有一个数据传递方向。
49.在本模块中，传输路径分析模块300以末端单元作为起点，构建数据传输路径网络，以末端单元为起点，并确定终点单元，确定数据由末端单元产生，直至传递到终点单元的所有路径，在此过程中，需保证路径中的数据传输关系不重复使用，从而在一个末端单元以及一个终点单元之间可能存在多个传输路径，例如存在n个传输路径，则说明该末端单元产生的数据可以通过n个传输路径传递至终点单元，在选择一个末端单元之后，终点单元遍历其他所有末端单元，进而切换一个末端单元，重复上述步骤，直至所有末端单元均选取到，从而得到多组单条传输路径，从而形成了数据传输路径网络。
50.漏洞测试模块400，用于计算各个工控单元的使用率，基于使用率对于工控单元的传输路径进行漏洞测试，得到测试结果。
51.在本模块中，漏洞测试模块400计算各个工控单元的使用率，同一个工控单元将会在不同的单条传输路径中出现，因此当一个工控单元被使用到的次数越多时，则说明该工控单元出现故障时会造成的影响越大，相反的，一个工控单元涉及到的单条传输路径越少，其出现故障时对整个工控系统造成的影响越小，那么在进行测试时，按照使用率的高低对各个工控单元进行漏洞检测，使用率即为工控单元在所有单条传输路径中出现的比例，如存在100条传输路径，存在50条传输路径包含了同一个工控单元，则使用率为50%，因此根据使用率，对不同工控单元进行不同级别的漏洞测试，越是使用率高的工控单元，其进行漏洞测试越严格，最终得到测试结果，根据测试结果对工控单元进行修复或者调节。
52.如图6所示，作为本发明的一个优选实施例，所述单元分类模块200包括：设备编号单元201，用于统计工控单元的数量，为每一个工控单元进行编号。
53.在本模块中，设备编号单元201统计工控单元的数量，在进行编号时，可以根据工控单元的型号进行编号，如工控单元分为数据采集端和数据收发端，以a0表示数据采集端，以b0表示数据收发端，那么为数据采集端进行连续编号，为数据收发端进行连续编号，此时所有的工控单元均具有了唯一编号。
54.数量统计单元202，用于统计每一个工控单元的数据传输关系的连接数量。
55.设备划分单元203，用于根据连接数量对工控单元进行分类，将连接数量小于三的
工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
56.在本模块中，统计每一个工控单元的数据传输关系的连接数量，按照工控单元的编号进行统计，如先统计数据采集端的数据传输关系的连接数量，随后统计数据收发端的数据传输关系的连接数量，根据连接数量对工控单元进行分类，具体的，设置一个阈值，当连接数量超过阈值时，则将其划分为枢纽单元，具体的，阈值设置为三，连接数量小于三的工控单元划分为末端单元，其他工控单元则划分为枢纽单元。
57.如图7所示，作为本发明的一个优选实施例，所述传输路径分析模块300包括：单元顺序确定单元301，用于遍历末端单元，确定末端单元选择顺序。
58.路径构建单元302，用于按照顺序以末端单元为起点单元，除去起点单元后，以任意一个末端单元作为终点单元，得到所有单条传输路径，一个起点单元和一个末端单元之间具有至少一个单条传输路径，且单条传输路径中数据传输关系不重复使用。
59.在本模块中，遍历末端单元，即每次选择一个末端单元，将其作为起点单元，进而在剩余的所有末端单元中随机选择一个作为终点单元，然后统计从末端单元为起点，在不重复使用数据传输关系的情况下，数据能够传输到终点单元的所有路径，即得到所有单条传输路径。
60.网络构建单元303，用于遍历所有末端单元后，根据单条传输路径生成数据传输路径网络。
61.在本模块中，网络构建单元303在完成以一个末端单元为起点进行单条传输路径生成之后，切换末端单元作为起点，以重复上述步骤，得到该末端单元对应的所有的单条传输路径，此时所有工控单元均处于单条传输路径当中，从而形成数据传输路径网络。
62.如图8所示，作为本发明的一个优选实施例，所述漏洞测试模块400包括：路径统计单元401，用于对数据传输路径网络中的各个单条传输路径进行分析，统计每个工控单元对应的单条传输路径的数量。
63.使用率计算单元402，用于结合数据传输路径网络中的单条传输路径的总数量，计算各个工控单元的使用率。
64.在本模块中，对数据传输路径网络中的各个单条传输路径进行分析，具体的，统计所有单条传输路径的总数量，并且，统计单个工控单元所涉及的单条传输路径的数量，一个工控单元涉及到的单条传输路径的数量越多，则说明该工控单元的稳定性需求越大，否则当其出现故障时，更容易造成系统瘫痪，进而计算各个工控单元的使用率。
65.传输测试单元403，用于根据使用率确定工控单元中的重点单元，对重点单元进行数据传输漏洞测试，得到测试结果。
66.在本模块中，传输测试单元403根据使用率确定工控单元中的重点单元，设置使用率阈值，将使用率超过该使用率阈值的工控单元作为重点单元，那么进行漏洞测试时，按照已知漏洞对应的检测方式，对该重点单元进行全面测试，而其他非重点单元则可以仅检测部分项目，以数据传输漏洞为例，在对重点单元进行测试时，以全部类型数据进行传输测试，则其他工控单元则，选择最常用的数据类型进行传输测试，以得到测试结果；若起点单元与终点单元之间单条传输路径仅有一条，则将其包含的所有工控单元视为重点单元；统计起点单元与终点单元之间的单条传输路径的数量，对单条传输路径进行存储。
67.应该理解的是，虽然本发明各实施例的流程图中的各个步骤按照箭头的指示依次
显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，各实施例中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器（rom）、可编程rom（prom）、电可编程rom（eprom）、电可擦除可编程rom（eeprom）或闪存。易失性存储器可包括随机存取存储器（ram）或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram（sram）、动态ram（dram）、同步dram（sdram）、双数据率sdram（ddrsdram）、增强型sdram（esdram）、同步链路（synchlink） dram（sldram）、存储器总线（rambus）直接ram（rdram）、直接存储器总线动态ram（drdram）、以及存储器总线动态ram（rdram）等。
68.以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
69.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
70.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。