一种工控网络的软件升级方法、装置及存储介质与流程

1.本发明属于工控网络安全领域，尤其涉及一种工控网络的软件升级方法、装置及存储介质。


背景技术：

2.随着互联网和软件工程技术的发展，软件已经深入到我们工作和生活的方方面面，成为社会正常运转不可或缺的元素。在工控系统中，操作系统、监控软件、工具软件等是保证工控系统能够正常运作的基础，软件的升级对bug的修复、性能的优化、安全性的提高都具有重要意义。
3.然而，工控系统中相关软件的升级，使得工控网络与互联网的相互融合，暴露了工控系统的脆弱性，目前在软件的升级过程中，不法分子可通过较为隐蔽的方式，利用一系列的安全漏洞谋取利益，导致工控系统在软件升级过程中存在较高的网络安全风险，易造成因软件升级导致工控网络受到攻击而造成损失。


技术实现要素：

4.本发明的目的在于提供一种工控网络的软件升级方法、装置及存储介质，以克服现有工控网络在软件升级过程中安全性低，因软件升级易导致工控网络受到攻击而造成损失。
5.一种工控网络的软件升级方法，包括：
6.在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量；
7.根据所述升级流量，构建升级画像；
8.根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果；
9.对所述漏洞检测结果进行验证，得到验证结果；
10.在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。
11.优选的，所述根据所述升级流量，构建升级画像包括：
12.对所述升级流量中的数据包进行解析，得到解析信息；
13.根据所述解析信息，确定http协议的目标数据包；并，
14.确定所述目标数据包中对应不同升级阶段的数据包；
15.根据所述不同升级阶段的数据包，构建升级画像。
16.优选的，所述确定所述目标数据包中对应不同升级阶段的数据包包括：
17.基于所述目标软件的升级包名称，确定所述目标数据包中下载阶段的数据包；或，基于所述目标软件的升级包文件类型，确定所述目标数据包中下载阶段的数据包；
18.根据所述下载阶段的数据包，确定所述目标数据包中的发起阶段的数据包。
19.优选的，所述基于所述目标软件的升级包名称，确定所述目标数据包中下载阶段
的数据包包括：
20.对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；
21.根据所述升级包名称，确定所述url地址中的第一url地址，并确定所述第一url地址对应的数据包为所述目标数据包中的下载阶段的数据包。
22.优选的，所述基于所述目标软件的升级包文件类型，确定所述目标数据包中下载阶段的数据包包括：
23.对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；
24.根据所述目标软件的升级包文件类型，确定所述url地址中的第二url地址；
25.确定所述第二url地址对应的文件名，与所述升级包名称的相似度；
26.根据所述相似度，确定第三url地址为所述目标数据包中的下载阶段的数据包。
27.优选的，所述根据所述下载阶段的数据包，确定所述目标数据包中的发起阶段的数据包包括：
28.根据对所述下载阶段的数据包对应的url地址进行字符串拆分，得到检索字典；
29.基于所述检索字典，对所述目标数据包中的每一数据包进行检索，得到每一数据包的字典统计向量；
30.根据所述字典统计向量，确定所述目标数据包中的发起阶段的数据包。
31.优选的，根据所述升级画像，构建升级流程向量；
32.所述根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果包括：
33.根据所述升级流程向量以及所述漏洞检测规则集对应的目标流程向量进行漏洞检测，得到漏洞检测结果。
34.一种工控网络的软件升级装置，包括：
35.截取模块，用于在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量；
36.画像模块，用于根据所述升级流量，构建升级画像；
37.检测模块，用于根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果；
38.验证模块，用于对所述漏洞检测结果进行验证，得到验证结果；
39.升级模块，用于在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。
40.一种工控网络的软件升级装置，包括：
41.处理器；
42.用于存储处理器可执行指令的存储器；
43.其中，所述处理器被配置为：
44.在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量；
45.根据所述升级流量，构建升级画像；
46.根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果；
47.对所述漏洞检测结果进行验证，得到验证结果；
48.在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。
49.一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现所述工控网络的软件升级方法的步骤。
50.与现有技术相比，本发明具有以下有益的技术效果：
51.本发明公开了一种工控网络的软件升级方法，通过对升级流量进行截取，并根据截取到的升级流量构建升级画像与预先存储的漏洞检测规则集进行漏洞检测，能够有效地检测到工控网络中的设备在升级过程中是否存在漏洞，并且基于漏洞验证，能够保证在升级流量不存在漏洞的情况下，再进行升级包的安装，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
附图说明
52.图1是本发明实施例示出的一种工控网络的软件升级方法的流程图。
53.图2是本发明实施例1示出的一种工控网络的软件升级装置的框图。
54.图3是本发明实施例2示出的一种工控网络的软件升级装置的框图。
55.图4是本发明实施例3示出的一种工控网络的软件升级装置的框图。
具体实施方式
56.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
57.随着互联网和软件工程技术的发展，软件已经深入到我们工作和生活的方方面面，成为社会正常运转不可或缺的元素。在工控系统中，各种各样的软件也是保证工控系统能够正常运作的基础，软件升级对软件的版本更迭、功能完善等具有重要意义。然而，工控系统网络与互联网的相互融合中完全暴露了其脆弱性，在软件在线升级过程中可能存在一系列安全漏洞，导致工控网络在软件升级过程中存在被攻击的高风险。
58.软件升级漏洞是指软件在线升级过程中，由于缺乏对通信过程或升级包的认证或加密保护，从而导致升级通信可能被劫持植入恶意程序的一种安全缺陷。基于软件更新的攻击流程攻击主要包括以下步骤：触发旧版软件更新；截获其旧版软件更新请求相关的服务器响应数据；解析服务器响应数据，修改并进行重放攻击；诱导最新版软件继续提示更新，使其请求更新数据包；替换软件更新数据包为其捆绑了其他恶意软件的伪造数据包；客户端校验、安装；恶意软件运行。
59.为了解决相关技术中存在的问题，本技术提供一种工控网络的软件升级方法、装置及存储介质，以保证工控网络中的设备升级时的网络安全。
60.如图1所示，一种工控网络的软件升级方法，该方法的执行主体是工控网络中的任意一个具备信息处理能力的电子设备，或者，与工控网络通信连接的具备信息处理能力的电子设备，例如可以是计算机终端、服务器，如图1所示，具体包括以下步骤：
61.s101、在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量。
62.其中，目标软件可以是工控网络中的任意一个电子设备上的任意一个软件。另外，上述升级流量可以是通过工控网络中的交换机镜像口采集的，并且，该升级流量可以是在工控网络中的目标软件升级过程中经过该交换机的所有流量，可以理解的是，流量是由数据包构成的。
63.在截取升级流量的同时，还可以通过文件监控，获取升级包文件名，并计算该文件对应的各种可能校验值。该校验值例如可以包括hash校验，即散列文件校验信息，例如md5、sha-1；循环冗余文件校验信息，例如crc32；以及文件大小校验信息。
64.s102、根据所述升级流量，构建升级画像。
65.其中，升级画像可以包括发起阶段的升级画像以及下载阶段的升级画像，该升级画像包括软件升级流量中的关键信息要素。例如，针对发起阶段包括，发起阶段的协议类型、发起升级请求的内容、是否使用重定向、是否通过重定向进行协议升级、升级配置信息服务器ip地址、升级配置信息服务器端口号、本地通信端口号、升级程序文件名或配置信息文件的文件名、升级程序下载链接等等。
66.工控网络中软件升级过程包括三个不同阶段，即发起阶段、下载阶段与以及安装阶段。在发起阶段，工控设备与服务器交互，获取相关配置信息与升级包url地址；在下载阶段，工控设备根据升级包url地址下载升级包；安装阶段，安装升级包。涉及网络数据的主要为前两个阶段，即发起阶段以及下载阶段。
67.s103、根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果。
68.其中，漏洞检测规则集例如可以包括无防护漏洞、校验误用、https下载阶段保护缺失、https发起阶段保护缺失、下载阶段重定向误用、发起阶段重定向误用等漏洞对应的规则。
69.针对下载阶段的重定向误用漏洞可以包括以下规则：下载阶段协议类型为http协议；文件下载的请求数据包名称无法提取；未使用重定向；未通过重定向进行协议升级；升级文件下载服务器ip地址可以提取；升级文件下载服务器端口号可以提取；本地通信端口号可以提取。则在升级画像表征的信息与上述规则对应的情况下，则可以初步确定该升级画像对应的升级流量存在下载阶段的重定向误用漏洞。
70.s104、对所述漏洞检测结果进行验证，得到验证结果。
71.为提高检测结果的准确性，防止漏报、误报导致关键软件无法更新，构建模拟验证环境，对漏洞检测结果进行验证是很必要的。
72.步骤s104可以包括：根据漏洞检测结果，构建恶意荷载；将恶意荷载上传至目标服务器，以使得测试设备根据恶意荷载对漏洞检测结果进行验证得到验证结果；接收测试设备发送的验证结果。
73.s105、在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。
74.具体地，步骤s105可以将截取到的升级流量发送至发起目标软件升级请求的设备，以使得该设备能够基于该升级流量进行软件升级。
75.通过对升级流量进行截取，并根据截取到的升级流量构建升级画像与预先存储的漏洞检测规则集进行漏洞检测，能够有效地检测到工控网络中的设备在升级过程中是否存在漏洞，并且基于漏洞验证，能够保证在升级流量不存在漏洞的情况下，再进行升级包的安装，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
76.所述根据所述升级流量，构建升级画像包括：
77.对所述升级流量中的数据包进行解析，得到解析信息；根据所述解析信息，确定http协议的目标数据包；并，确定所述目标数据包中对应不同升级阶段的数据包；根据所述不同升级阶段的数据包，构建升级画像。
78.根据不同升级阶段的数据包，构建升级画像具体可以是根据不同升级阶段的数据包的解析信息，构建升级画像的。
79.具体地，解析信息可以包括数据包编号、数据包类型、数据包中的原始数据以及通信五元组，可以理解的是，该通信五元组包括源ip地址，源端口，目的ip地址，目的端口和传输层协议。基于协议类型，即可以确定http协议的目标数据包。其中，目标数据包可以包括http协议以及https协议的数据包。不同升级阶段的数据包包括发起阶段的数据包以及下载阶段的数据包，其中，发起阶段的数据包至少包括用于下载升级包的url连接，下载阶段的数据包至少包括升级包的文件，以及各个文件对应的下载url连接。在一示例中，该解析信息可以是以json格式保存的。
80.通过对升级流量中的数据包进行解析，能够得到各个数据包对应的信息，并根据解析得到的解析信息确定升级流量中对应各个升级阶段的数据包，进而能够根据不同升级阶段的数据包更为全面地构建升级画像，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
81.所述确定所述目标数据包中对应不同升级阶段的数据包包括：
82.基于所述目标软件的升级包名称，确定所述目标数据包中下载阶段的数据包；或，基于所述目标软件的升级包文件类型，确定所述目标数据包中下载阶段的数据包；根据所述下载阶段的数据包，确定所述目标数据包中的发起阶段的数据包。
83.具体地，确定目标数据包中的发起阶段、下载阶段的数据包的同时，还可以确定发起阶段、下载阶段的数据包对应的通信五元组。
84.其中，基于目标软件的升级包名称确定目标数据包中下载阶段的数据包为较为精确的下载阶段的数据包定位方式，基于目标软件的升级包文件类型确定目标数据包中下载阶段的数据包为较为模糊的下载阶段的数据包定位方式，相关工作人员可以根据其实际需求，或者计算机的信息处理能力进行选择。
85.通过升级包的名称或者升级包的文件类型，确定升级流量中的下载阶段的数据包，并且进一步基于下载阶段的数据包确定发起阶段的数据包，能够准确地从升级流量中完成下载阶段的数据包以及发起阶段数据包的定位，进而基于该不同升级阶段的数据包对应的信息实现升级画像的构建，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
86.进一步，基于发起阶段的数据包、下载阶段的数据包对应的解析信息，进行“301/302/303found”匹配，得到重定向请求数据包以及重定向回应数据包。并，基于重定向请求数据包以及重定向回应数据包、发起阶段的数据包、下载阶段的数据包，构建升级画像。以使得升级画像进一步包括重定向信息。
87.所述基于所述目标软件的升级包名称，确定所述目标数据包中下载阶段的数据包包括：
88.对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；根据所述升级包名称，确定所述url地址中的第一url地址，并确定所述第一url地址对应的数据包为所述目标数据包中的下载阶段的数据包。
89.具体地，对目标数据包的解析信息进行关键词匹配可以是进行“get”关键词匹配，进而得到http协议的数据包中的下载请求及其对应的url地址，在确定下载请求及其对应的url地址之后，可以基于通过文件监控获取到的升级包文件名，对这些url地址进行筛选，进而得到上述第一url地址以及第一url地址对应的数据包，并将该第一url地址对应的数据包为下载阶段的数据包。
90.通过关键词匹配进行初步筛选后，再根据升级包的名称进行进一步筛选得到下载请求对应的url地址，能够准确地对升级流量中的下载阶段的数据包进行精准定位，进而可以更加准确地对下载阶段对应的升级画像进行构建，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
91.所述基于所述目标软件的升级包文件类型，确定所述目标数据包中下载阶段的数据包包括：
92.对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；根据所述目标软件的升级包文件类型，确定所述url地址中的第二url地址；确定所述第二url地址对应的文件名，与所述升级包名称的相似度；根据所述相似度，确定第三url地址为所述目标数据包中的下载阶段的数据包。
93.其中，对目标数据包的解析信息进行关键词匹配可以是进行“get”关键词匹配，进而得到http协议的数据包中的下载请求及其对应的url地址，在确定下载请求及其对应的url地址之后，可以进一步对url地址进行文件类型筛选，例如exe、msi、rar、zip等类型的可执行类型的文件对应的第二url地址，进一步，根据这些url地址对应的文件名，计算与升级包名称的相似度，并选取相似度最高的或相似度高于预设阈值的url地址，即第三url地址，为目标数据包中的下载阶段的数据包。其中，url地址中的文件名与升级包名称的相似度可以是基于两个文件名之间的莱文斯坦距离确定的。
94.通过关键词匹配进行初步筛选后，再根据升级包的文件类型进行进一步筛选得到下载请求对应的url地址，能够准确地对升级流量中的下载阶段的数据包进行精准定位，进而可以更加准确地对下载阶段对应的升级画像进行构建，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
95.所述根据所述下载阶段的数据包，确定所述目标数据包中的发起阶段的数据包包括：
96.根据对所述下载阶段的数据包对应的url地址进行字符串拆分，得到检索字典；基于所述检索字典，对所述目标数据包中的每一数据包进行检索，得到每一数据包的字典统计向量；根据所述字典统计向量，确定所述目标数据包中的发起阶段的数据包。
97.其中，根据对下载阶段的数据包对应的url地址进行字符串拆分，得到检索字典例如可以是将url地址按照：“协议名称：//服务器名称(或，ip地址)/路径/文件名”的方式进行拆分，得到包括ip地址字段、路径字段、文件名字段的检索字典。基于检索字典，对目标数据包的每一数据包的http_file_data数据段内容中进行搜索匹配，统计检索字典中各个字符串在该数据段中出现的次数，形成各个数据包相应的字典统计向量。该字典统计向量例如可以表示为[a,b,c]，a表示检索字典中的ip地址在该数据包中出现a次，b表示检索字典中的路径在该数据包中出现b次，c表示检索字典中的文件名在该数据包中出现c次。进而根据该向量确定目标数据包中的发起阶段的数据包。
[0098]
进一步，还可以按照加权信息，对该字典统计向量进行加权处理，并根据加权处理后的加权向量和值，确定目标数据包中的发起阶段的数据包。例如，对应ip地址的权重可以是0.2，对应路径的权重可以是0.2，对应文件名的权重可以是0.6，针对字典统计向量[a,b,c]，可以根据算式c*(0.2*a 0.2*b 0.6*c)得到加权向量和值，其中，当c为零时该加权向量和值也为零。基于上述算式，可以确定目标数据包中加权向量和值最大的值对应的数据包，或大于零的值对应的数据包为发起阶段的数据包。
[0099]
通过对下载阶段的数据包对应的url地址进行字符串拆分得到检索字典，并基于该检索字典对目标数据包中的各个数据包进行检索，得到字典统计向量，并基于该字典统计向量确定目标数据包中的发起阶段的数据包，能够准确地对升级流量中的发起阶段的数据包进行精准定位，进而可以更加准确地对发起阶段对应的升级画像进行构建，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
[0100]
根据所述升级画像，构建升级流程向量；所述根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果包括：根据所述升级流程向量以及所述漏洞检测规则集对应的目标流程向量进行漏洞检测，得到漏洞检测结果。
[0101]
若升级画像表征在下载阶段，下载阶段协议类型为http协议；文件下载的请求数据包名称无法提取；未使用重定向；未通过重定向进行协议升级；升级文件下载服务器ip地址可以提取；升级文件下载服务器端口号可以提取；本地通信端口号可以提取。即可以得到下载阶段对应的升级流程向量[0，1，1，1，1，1，1，1]。可以理解的是，该升级流程向量还包括发起阶段对应的升级流程向量，构建发起阶段对应的升级流程向量的方式与下载阶段对应的升级流程向量的方式相似，本技术不再赘述，目标流程向量同理。
[0102]
通过基于升级画像构建升级流程向量，并基于该向量与预先存储的漏洞检测规则集对应的目标流程向量进行对比，进而得到漏洞检测结果，能够有效地降低计算量，并且使得确定得到的漏洞检测结果更加准确，使得可以更加准确地对升级流量中可能存在的漏洞进行检测，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
[0103]
实施例1
[0104]
如图2所示，一种工控网络的软件升级装置20，包括：
[0105]
截取模块21，用于在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量；
[0106]
画像模块22，用于根据所述升级流量，构建升级画像；
[0107]
检测模块23，用于根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果；
[0108]
验证模块24，用于对所述漏洞检测结果进行验证，得到验证结果；
[0109]
升级模块25，用于在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。
[0110]
可选地，所述画像模块22用于：
[0111]
对所述升级流量中的数据包进行解析，得到解析信息；
[0112]
根据所述解析信息，确定http协议的目标数据包；并，
[0113]
确定所述目标数据包中对应不同升级阶段的数据包；
[0114]
根据所述不同升级阶段的数据包，构建升级画像。
[0115]
可选地，所述画像模块22具体用于：
[0116]
基于所述目标软件的升级包名称，确定所述目标数据包中下载阶段的数据包；或，基于所述目标软件的升级包文件类型，确定所述目标数据包中下载阶段的数据包；
[0117]
根据所述下载阶段的数据包，确定所述目标数据包中的发起阶段的数据包。
[0118]
可选地，所述画像模块22还具体用于：
[0119]
对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；
[0120]
根据所述升级包名称，确定所述url地址中的第一url地址，并确定所述第一url地址对应的数据包为所述目标数据包中的下载阶段的数据包。
[0121]
可选地，所述画像模块22还具体用于：
[0122]
对所述目标数据包的解析信息进行关键词匹配，确定对应下载请求的url地址；
[0123]
根据所述目标软件的升级包文件类型，确定所述url地址中的第二url地址；
[0124]
确定所述第二url地址对应的文件名，与所述升级包名称的相似度；
[0125]
根据所述相似度，确定第三url地址为所述目标数据包中的下载阶段的数据包。
[0126]
可选地，所述画像模块22还具体用于：
[0127]
根据对所述下载阶段的数据包对应的url地址进行字符串拆分，得到检索字典；
[0128]
基于所述检索字典，对所述目标数据包中的每一数据包进行检索，得到每一数据包的字典统计向量；
[0129]
根据所述字典统计向量，确定所述目标数据包中的发起阶段的数据包。
[0130]
可选地，所述装置20还用于：
[0131]
根据所述升级画像，构建升级流程向量；
[0132]
所述根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果包括：
[0133]
根据所述升级流程向量以及所述漏洞检测规则集对应的目标流程向量进行漏洞检测，得到漏洞检测结果。
[0134]
关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
[0135]
本技术还提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本技术提供的工控网络的软件升级方法的步骤。
[0136]
实施例2
[0137]
如图3所示，一种工控网络的软件升级装置300，装置300可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。
[0138]
参照图3，装置300可以包括：处理组件302，存储器304，电力组件306，多媒体组件308，音频组件310，输入/输出(i/o)的接口312，传感器组件314，以及通信组件316。
[0139]
处理组件302通常控制装置300的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件302可以包括一个或多个处理器320来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件302可以包括一个或多个模块，便于处理组件302和其他组件之间的交互。例如，处理组件302可以包括多媒体模块，以方便多媒体组件308和处理组件302之间的交互。
[0140]
存储器304被配置为存储各种类型的数据以支持在装置300的操作。这些数据的示例包括用于在装置300上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
[0141]
电力组件306为装置300的各种组件提供电力。电力组件306可以包括电源管理系统，一个或多个电源，及其他与为装置300生成、管理和分配电力相关联的组件。
[0142]
多媒体组件308包括在所述装置300和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件308包括一个前置摄像头和/或后置摄像头。当装置300处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
[0143]
音频组件310被配置为输出和/或输入音频信号。例如，音频组件310包括一个麦克风(mic)，当装置300处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器304或经由通信组件316发送。在一些实施例中，音频组件310还包括一个扬声器，用于输出音频信号。
[0144]
i/o接口312为处理组件302和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
[0145]
传感器组件314包括一个或多个传感器，用于为装置300提供各个方面的状态评估。例如，传感器组件314可以检测到装置300的打开/关闭状态，组件的相对定位，例如所述组件为装置300的显示器和小键盘，传感器组件314还可以检测装置300或装置300一个组件
的位置改变，用户与装置300接触的存在或不存在，装置300方位或加速/减速和装置300的温度变化。传感器组件314可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件314还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件314还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
[0146]
通信组件316被配置为便于装置300和其他设备之间有线或无线方式的通信。装置300可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件316经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件316还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
[0147]
在示例性实施例中，装置300可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述工控网络的软件升级方法。
[0148]
在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器304，上述指令可由装置300的处理器320执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。
[0149]
一种计算机程序产品，该计算机程序产品包含能够由可编程的装置执行的计算机程序，该计算机程序具有当由该可编程的装置执行时用于执行上述的工控网络的软件升级方法的代码部分。
[0150]
实施例3
[0151]
如图4所示，一种工控网络的软件升级装置400，装置400被提供为一服务器。参照图4，装置400包括处理组件422，其进一步包括一个或多个处理器，以及由存储器432所代表的存储器资源，用于存储可由处理组件422的执行的指令，例如应用程序。存储器432中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件422被配置为执行指令，以执行上述工控网络的软件升级方法。
[0152]
装置400还可以包括一个电源组件426被配置为执行装置400的电源管理，一个有线或无线网络接口450被配置为将装置400连接到网络，和一个输入输出(i/o)接口458。装置400可以操作基于存储在存储器432的操作系统，例如windows server
tm
，mac os x
tm
，unix
tm
，linux
tm
，freebsd
tm
或类似。
[0153]
本发明一种工控网络的软件升级方法，属于工控网络安全领域，包括：在检测到所述工控网络中目标软件升级的情况下，截取所述目标软件升级对应的升级流量；根据所述升级流量，构建升级画像；根据所述升级画像以及预先存储的漏洞检测规则集进行漏洞检测，得到漏洞检测结果；对所述漏洞检测结果进行验证，得到验证结果；在所述验证结果表征所述升级流量不存在漏洞的情况下，对所述目标软件升级。能够保证在升级流量不存在漏洞的情况下，再进行升级包的安装，有效地保证了工控网络在软件升级过程中的安全性，避免因软件升级导致工控网络受到攻击而造成损失。
[0154]
以上描述仅为本技术的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本技术中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本技术中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
[0155]
此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本技术的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
[0156]
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。