工業(yè)控制系統(tǒng)應用與安全防護技術（微課版）課件 第4章 工業(yè)控制系統(tǒng)漏洞分析

工業(yè)控制系統(tǒng)應用與安全防護技術第4章

工業(yè)控制系統(tǒng)漏洞分析4.1工業(yè)控制系統(tǒng)安全威脅與攻擊技術工控安全威脅的表現(xiàn)形式可分為人為失誤（設置錯誤、配置錯誤、操作失誤等），管理缺失（策略和制度不完善、操作規(guī)程不明晰、職責不明確等），越權或濫用（未授權連接訪問、濫用權限非正常修改或破壞重要信息等），信息泄密（內部或外部的信息泄露等），安全漏洞（軟硬件漏洞、通信協(xié)議漏洞、網絡漏洞等），軟硬件故障（工業(yè)控制系統(tǒng)自身缺陷、應用軟件故障、設備故障等），惡意代碼（病毒、蠕蟲、木馬、后門、邏輯炸彈等），入侵攻擊（數(shù)據(jù)和應用的竊取和破壞、拒絕服務攻擊、敵對勢力或工業(yè)間諜的攻擊摧毀等），自然災害（地震、洪災、其他不可預知事件等），物理影響（停電、靜電、電磁干擾、斷網等）。4.1.1工業(yè)控制系統(tǒng)的威脅源控制系統(tǒng)面臨的威脅具有多種來源，包括對抗性來源如敵對政府、恐怖組織、工業(yè)間諜、惡意入侵者、心懷不滿的員工，自然來源如從系統(tǒng)的復雜性、人為錯誤和意外事故、設備故障和自然災害。為了防止對抗性的威脅以及已知的自然威脅，需要為ICS創(chuàng)建一個縱深的防御策略。4.1.2工業(yè)控制系統(tǒng)攻擊技術系統(tǒng)攻擊是指某人非法使用或破壞某一信息系統(tǒng)中的資源，以及非授權使系統(tǒng)喪失部分或全部服務功能的行為。通常可以把攻擊活動大致分為內部攻擊和遠程攻擊兩種?，F(xiàn)在隨著互聯(lián)網絡的進步，其中的遠程攻擊技術得到很大發(fā)展，威脅也越來越大。常見攻擊手手段包括口令攻擊、拒絕服務攻擊、數(shù)據(jù)驅動攻擊等。4.1.3 APT攻擊技術1.APT攻擊基本概念APT（AdvancedPersistentThreat）攻擊是以先進的攻擊方式、高水平的手段，以竊取特定目標的核心數(shù)據(jù)為目的，具有持續(xù)性、高隱蔽性的網絡攻擊行為。相對于普通網絡攻擊行為，APT攻擊有以下典型特點。1）目標針對性強APT攻擊主要目的是竊取指定目標的核心信息。2）攻擊偽裝性強APT攻擊者為了這到對指定目標的長期攻擊，必須要在滲透成功后較好的偽裝自己。在不同的攻擊階段采用不同的偽裝方式。3）時間持續(xù)久APT攻擊是針對某個目標的長時間滲透，因此APT攻擊展開實施也會有多個階段，一般會優(yōu)先攻擊安全性較低的網絡系統(tǒng)。4）間接訪問為主APT攻擊者為了能達到隱藏自己、長時間控制的目的，會對入侵目標以間接的方式進行訪問。4.2工業(yè)控制系統(tǒng)漏洞概述系統(tǒng)安全漏洞是在系統(tǒng)具體實現(xiàn)和使用中產生的錯誤，但并不是系統(tǒng)中存在的錯誤都是安全漏洞，只有能威脅到系統(tǒng)安全的錯誤才是漏洞。在通常情況下許多錯誤并不會對系統(tǒng)安全造成危害，只有在某些條件下被人故意使用時才會影響系統(tǒng)安全。漏洞雖然可能最初就存在于系統(tǒng)當中，但這個漏洞必須要有人發(fā)現(xiàn)。系統(tǒng)攻擊者往往是安全漏洞的發(fā)現(xiàn)者和使用者，要對一個系統(tǒng)進行攻擊，假如不能發(fā)現(xiàn)和使用系統(tǒng)中存在的安全漏洞是絕對不可能成功的，對于安全級別較高的系統(tǒng)尤其如此。系統(tǒng)安全漏洞與系統(tǒng)攻擊活動之間密切相關，不能脫離系統(tǒng)攻擊活動來談論安全漏洞問題。因此，了解常見的系統(tǒng)攻擊方法對正確理解系統(tǒng)漏洞問題和找到相應的補救手段是十分必要的。4.2.1系統(tǒng)漏洞問題漏洞的產生大致有三個原因，具體如下所述：（1）編程人員的人為因素，在程序編寫過程，為實現(xiàn)非法的目的，在程序代碼的隱蔽處保留后門。（2）受編程人員的能力、經驗和當時安全技術所限，在程序設計中并不完善，輕則影響程序效率，重則導致非授權用戶的權限提升。（3）由于硬件原因，使編程人員無法彌補硬件的漏洞，從而經由軟件表現(xiàn)出硬件的問題。由于漏洞與具體系統(tǒng)環(huán)境之間的關系及其時間相關特性，漏洞會影響到很大范圍的軟硬件設備，包括系統(tǒng)本身及其支撐軟件，網絡客戶和服務器軟件，網絡路由器和安全防火墻等。4.2.2工業(yè)控制系統(tǒng)漏洞現(xiàn)狀分析1.工業(yè)控制系統(tǒng)漏洞分類與傳統(tǒng)信息系統(tǒng)相比，工業(yè)控制系統(tǒng)采用了很多專用的工控設備、工控網絡協(xié)議、操作系統(tǒng)和應用軟件，工業(yè)控制系統(tǒng)的安全漏洞也具有工控系統(tǒng)獨有的特性。1）通信協(xié)議漏洞2）操作系統(tǒng)漏洞3）安全策略和管理流程漏洞4）殺毒軟件漏洞5）應用軟件漏洞2.當前工控漏洞統(tǒng)計分析工控漏洞數(shù)量呈現(xiàn)逐年增長的明顯趨勢，在產業(yè)標準、政策尚不成熟的情況下，技術融合加速工控產業(yè)發(fā)展的同時破壞了傳統(tǒng)工控系統(tǒng)的體系結構，攻擊者可能會采取更加豐富的攻擊手段攻擊工控系統(tǒng)，導致工控漏洞危害發(fā)生的數(shù)量逐年上升。根據(jù)中國國家信息安全漏洞共享平臺（CNVD）統(tǒng)計，近年工控新增漏洞年度分布下圖所示。3.工業(yè)控制網絡安全漏洞發(fā)展態(tài)勢工業(yè)控制網絡安全漏洞發(fā)展態(tài)勢包括以下幾點：

1）工控漏洞的價值被高度重視工控網絡已經成為信息安全人員關注的新焦點，一些惡意的攻擊者不斷掃描工控系統(tǒng)的漏洞，并使用針對工控系統(tǒng)的專用黑客工具發(fā)動網絡攻擊。2）中高危漏洞比例居高不下在工控系統(tǒng)當中，跟工控相關的應用系統(tǒng)和應用軟件的安全健壯性不足。無論是應用軟件漏洞還是設備固件漏洞，均來自于目標系統(tǒng)在開發(fā)過程中遺留的安全設計和實現(xiàn)缺陷，1個高危漏洞就意味著目標系統(tǒng)中存在1個甚至多個致命的安全性缺陷。3）漏洞類型復雜，危害嚴重信息泄露相關的漏洞居高不下，對工控系統(tǒng)的影響主要體現(xiàn)在兩個方面：一方面，企業(yè)內部的工藝流程、圖紙、排產計劃等關鍵數(shù)據(jù)容易成為攻擊者竊取的對象；另一方面，攻擊者利用間諜工具收集的各種涉密信息，為后續(xù)具有破壞性的網絡攻擊提供安全情報。4.2.3PLC設備漏洞分析工控PLC設備主要的漏洞類型為：任意代碼執(zhí)行（CodeExecution）、拒絕服務（Denial-of-Service）、關鍵信息獲?。℅ainInformation）、緩沖區(qū)溢出（BufferOverflow）。以下對4種類型進行說明：（1）任意代碼執(zhí)行。（2）拒絕服務漏洞。（3）關鍵信息獲取漏洞。（4）緩沖區(qū)溢出漏洞。

通過分析現(xiàn)有PLC設備存在的漏洞，可以發(fā)現(xiàn)工控設備功能越來越復雜，網絡環(huán)境逐漸開放，攻擊者可以借此直接對工業(yè)控制環(huán)境進行入侵破壞。針對工控設備PLC漏洞頻發(fā)的問題，使用漏洞挖掘的方法提前發(fā)現(xiàn)PLC設備缺陷并加以解決，能夠有效降低攻擊造成的損失。4.2.4DCS系統(tǒng)漏洞分析DCS系統(tǒng)的漏洞設計之初即存在，其中的系統(tǒng)漏洞數(shù)量幾乎每年都在大幅增長，下面從現(xiàn)場總線控制網絡、過程控制與監(jiān)控網絡和企業(yè)辦公網絡三個方面進行分析。1.現(xiàn)場總線控制網絡漏洞分析

現(xiàn)場總線控制網絡所處的現(xiàn)場環(huán)境通常惡劣復雜，因此很難進行布線，一些控制系統(tǒng)網絡采用無線、微波等接入技術將現(xiàn)有網絡進行延伸，這無疑增加了控制系統(tǒng)被攻擊的風險。2.過程控制與監(jiān)控網絡漏洞分析

過程控制與監(jiān)控網絡在設計時主要部署服務器、數(shù)據(jù)庫和人機界面HMI等關鍵控制系統(tǒng)組件，操作人員通過HMI等遠程控制設備監(jiān)控、評估、分析現(xiàn)場控制和采集設備的運行狀態(tài)，并據(jù)此進行調整及控制。3.企業(yè)辦公網絡漏洞分析

隨著國家兩化融合的不斷推進，工業(yè)生產過程的各個環(huán)節(jié)都有傳統(tǒng)信息技術的應用，信息化已經成為工業(yè)企業(yè)經營管理必不可少的技術手段。在石油、化工等工業(yè)企業(yè)中，隨著企業(yè)資源計劃（ERP）、客戶關系管理（CRM）、辦公自動化（OA）等信息系統(tǒng)的使用，控制網絡和企業(yè)辦公網絡之間的聯(lián)系日益密切。信息化進程和工業(yè)化進程越來越不獨立，各個層面相互滲透，傳統(tǒng)信息技術在DCS中的廣泛應用導致控制系統(tǒng)被攻擊的風險大大增加，工業(yè)用戶傳統(tǒng)的“物理隔離即絕對安全”的理念逐漸被顛覆。4.2.5SCADA系統(tǒng)漏洞分析SCADA系統(tǒng)存在的漏洞多種多樣，以下列舉幾種常見的SCADA系統(tǒng)漏洞形式。1）通信協(xié)議的漏洞大多數(shù)SCADA通信協(xié)議都是不同企業(yè)開發(fā)的專有標準。近年來，業(yè)界已普遍接受通用的開放標準協(xié)議。2）SCADA硬件的漏洞SCADA硬件設備包括RTUs、IEDs、SCADA服務器等，它們與常規(guī)的計算機系統(tǒng)的脆弱性相同，如中斷、竊聽和攔截等。硬件設備間的通信鏈路的脆弱性也與常規(guī)的計算化網絡相似，極易受到攻擊。SCADA信息通常無加密傳輸，無論使用什么樣的通信協(xié)議，數(shù)據(jù)和密碼都容易被攔截。3）SCADA軟件的漏洞SCADA軟件包括系統(tǒng)軟件和應用軟件，如操作系統(tǒng)、應用軟件等。SCADA軟件常見的脆弱性有中斷、竊聽和修改。軟件可能被攻擊者故意刪除導致潛在的嚴重故障。軟件最致命的攻擊往往是由于軟件被修改引起的。4）數(shù)據(jù)完整性的漏洞對于攻擊者來說，SCADA數(shù)據(jù)具有更高的價值。4.2.6工業(yè)控制網絡安全漏洞標準化工作漏洞標準化工作在傳統(tǒng)信息系統(tǒng)中已經比較完善，需要對發(fā)現(xiàn)的漏洞進行標準化管理的主要原因如下：（1）規(guī)范漏洞的描述體系，為漏洞的多種屬性提供規(guī)則。（2）有利于信息安全產品的研發(fā)和自動化。（3）為信息安全測評和風險評估創(chuàng)造條件。（4）標準化工作是對漏洞進行有效管控的重要手段，有利于指導漏洞的預防、收集、削減和發(fā)布等活動。以下是國際和國內在工業(yè)控制漏洞管理領域比較有代表性的平臺：1）通用漏洞披露庫2）美國工控系統(tǒng)網絡應急響應小組3）中國國家信息安全漏洞庫4）國家信息安全漏洞共享平臺4.3漏洞掃描技術漏洞掃描技術是指利用掃描等手段檢測目標主機或網絡的安全脆弱性，并發(fā)現(xiàn)可利用的漏洞的一種安全檢測技術。防火墻、入侵檢測技術和漏洞掃描技術都是安全檢測的主流技術。其中，防火墻和入侵檢測技術屬于被動防御措施，而漏洞掃描技術則屬于一種主動的防范方法。將這三種技術結合起來，能夠有效地保證網絡的安全性。網絡管理員通常利用漏洞掃描技術來更好地了解當前網絡正在運行的服務和應用以及網絡的安全設置，并將其作為網絡風險評估的主要依據(jù)。同時，也能夠及時地發(fā)現(xiàn)網絡中存在的安全問題，并對網絡安全系統(tǒng)中的設置進一步修正和完善，從而加強對入侵者攻擊的防御，提高網絡的安全性。4.3.1漏洞掃描分類按照部署方式來說，漏洞掃描可以分為基于主機的漏洞掃描和基于網絡的漏洞掃描兩大類。1.基于主機的漏洞掃描

基于主機的漏洞掃描采用被動的、非破壞性的方法對系統(tǒng)進行檢測。通常，這種掃描方式涉及到系統(tǒng)的內核、文件的屬性、操作系統(tǒng)的補丁等內容。1）基于主機的漏洞掃描器（EMS）的體系結構基于主機的漏洞掃描器一般采用客戶端/服務器模式，由三部分組成，分別是EMS管理器、EMS代理和EMS控制臺。2）基于主機的漏洞掃描器的掃描流程EMS管理器直接安裝在網絡中，負責管理整個漏洞掃描流程；EMS控制臺安裝在指定的計算機中，負責展示漏洞掃描報告；EMS代理則安裝在目標系統(tǒng)中，負責執(zhí)行漏洞掃描任務。其具體流程如下：（1）EMS管理器向EMS代理發(fā)送掃描任務；（2）EMS代理分別執(zhí)行各自的掃描任務；（3）EMS代理將漏洞掃描結果發(fā)送給EMS管理器；（4）EMS控制臺展示漏洞掃描報告。3）基于主機的漏洞掃描器的優(yōu)缺點基于主機的漏洞掃描器的主要優(yōu)點如下：（1）實現(xiàn)了掃描管理的集中化。利用一個集中的服務器統(tǒng)一控制掃描任務，當服務器的代理程序升級時，會給各個代理自動發(fā)送，從而實現(xiàn)集中化的掃描管理。（2）實現(xiàn)了網絡負載最優(yōu)化。掃描任務基本都是由代理獨立完成，只有在發(fā)送掃描任務和接收掃描結果時才涉及到管理器和代理之間的通信，這樣大大減少了網絡中的流量，實現(xiàn)了網絡負載的最優(yōu)化。（3）實現(xiàn)了數(shù)據(jù)的安全可靠傳輸。為了保證數(shù)據(jù)能夠安全可靠的傳輸，在網絡中設置了防火墻，由于只有在發(fā)送掃描任務和接收掃描結果時才涉及到管理器和代理之間的通信，因此，非指定的端口可以關閉。（4）實現(xiàn)了掃描范圍的擴展性。掃描任務基本都代理獨立完成，因此，如果要擴展掃描范圍，只需增加代理，再進行相應的設置?；谥鳈C的漏洞掃描器的主要缺點如下：

（1）設計和實現(xiàn)的周期較長。由于掃描器需要在目標系統(tǒng)中的每一個目標主機上安裝代理，因此掃描器的設計和實現(xiàn)過程中需要和相關人員進行溝通，如果掃描的范圍較大，則需要花費很長的時間才能完成。（2）增加了額外的風險。一般來說，管理員需要考慮兼容性和安全性等因素，不希望在主機上安裝一些不確定的軟件，但掃描器需要在每個目標主機上安裝代理，因此增加了額外的風險。（3）價格因素不確定。目標系統(tǒng)中的每個目標主機都需要安裝代理。因此，當目標系統(tǒng)中的目標主機數(shù)量較多時，代理的數(shù)量也會隨之增多，從而導致掃描器價格的增加。2.基于網絡的漏洞掃描

基于網絡的漏洞掃描釆用主動的、非破壞性的方法對系統(tǒng)進行檢測。這種掃描方式利用特定的腳本對系統(tǒng)進行模擬攻擊，并分析攻擊的結果，從而判斷系統(tǒng)是否存在崩潰的可能性。同時，這種掃描方式還針對己知的網絡漏洞進行檢驗。因此，這種掃描方式通常用于進行穿透實驗和安全審計。1）基于網絡的漏洞掃描器（EMS）的體系結構基于網絡的漏洞掃描器一般由漏洞數(shù)據(jù)庫、用戶配置控制臺、掃描引擎、當前活動的掃描知識庫、掃描結果存儲和報告生成工具組成。2）基于網絡的漏洞掃描器的掃描流程掃描引擎負責控制和管理整個掃描過程，是漏洞掃描器的關鍵模塊。其具體流程如下：（1）用戶配置控制臺向掃描引擎發(fā)送掃描請求；（2）掃描引擎啟動相應的子功能模塊來掃描目標主機；（3）掃描引擎接收目標主機的回復信息并將其與存儲在當前活動的掃描知識庫中的掃描結果進行比對；（4）報告生成工具自動生成掃描報告；（5）用戶配置控制臺展示掃描結果。3）基于網絡的漏洞掃描器的優(yōu)缺點基于網絡的漏洞掃描器的主要優(yōu)點如下：（1）操作簡便。整個操作的過程中，無需與目標系統(tǒng)的管理員溝通，簡便且高效。（2）安全可靠。完成掃描任務的過程中不需要將不確定的服務或代理安裝在目標系統(tǒng)中，從而保證了系統(tǒng)的安全可靠運行。（3）價格合理。影響基于網絡的漏洞掃描器價格的因素相對來說不會發(fā)生顯著變化，價格也比較合理。（4）維護簡便。如果網絡情況發(fā)生任何變化，通過掃描網絡中的特定節(jié)點，即可實現(xiàn)對整個目標系統(tǒng)的掃描?；诰W絡的漏洞掃描器存在的主要缺點如下：（1）掃描范圍受限制。由于權限的限制，掃描器無法直接訪問目標系統(tǒng)的文件，因此，無法掃描到相關的漏洞。（2）防火墻限制問題。掃描器無法直接穿過防火墻進行掃描。（3）加密機制的缺陷。掃描服務器與用戶配置控制臺之間的數(shù)據(jù)是通過密文進行傳輸?shù)?，而掃描服務器與目標主機之間沒有對傳輸?shù)臄?shù)據(jù)進行加密，基于這個問題，攻擊者利用捕獲網絡流量的工具就可以實現(xiàn)對網絡的監(jiān)聽和截獲，從而獲得目標系統(tǒng)的詳細信息。4.3.2常見漏洞掃描技術漏洞掃描分為主動掃描和模擬攻擊兩大類。主動掃描是指先通過發(fā)送報文給目標主機或網絡建立連接，再通過文件傳輸協(xié)議請求網絡服務，漏洞掃描系統(tǒng)在主動掃描的過程中針對目標主機或網絡的端口分配、軟硬件配置、匿名登錄和提供的服務等信息進行掃描，并根據(jù)收到的回復信息提取跟目標系統(tǒng)漏洞相關的具體信息。模擬攻擊是指通過某種虛擬攻擊方式對目標主機或網絡進行掃描，掃描目標系統(tǒng)漏洞相關的具體信息。常見的漏洞掃描技術主要有Ping掃描、端口掃描、操作系統(tǒng)掃描、脆弱點掃描、防火墻規(guī)則掃描等。1.Ping掃描Ping掃描通常基于ICMP協(xié)議，其主要思想是構造一個基于ICMP的數(shù)據(jù)包，發(fā)送給目標主機，并根據(jù)回復的響應數(shù)據(jù)包來進行判斷。Ping掃描主要用于探測主機的IP地址，通過探測目標主機的TCP/IP網絡是否聯(lián)通來判斷探測的IP地址是否分配了主機。根據(jù)構造的ICMP數(shù)據(jù)包的不同，Ping掃描分為ECH0掃描和non-ECH0掃描兩種。1）ECH0掃描ECH0掃描通過向目標IP地址發(fā)送一個ICMP類型為8的ICMPECH0請求包，并等待是否收到ICMP類型為0的ICMPECH0響應包。假如可以收到就說明目標IP地址上存在主機，否則就說明目標IP地址上不存在主機。2）non-ECH0掃描non-ECH0通過向目標IP地址發(fā)送一個ICMP類型為13的ICMPTIMESTAMP請求包，或ICMP類型為13的ICMPADDRESSMASK請求包，等待是否收到響應包。如果可以收到說明目標主機存在，如果沒有收到則說明目標主機不存在。當將目標網絡的防火墻配置為阻止ICMPECH0流量時，non-ECH0能夠探測出目標IP地址上是否存在主機。1.端口掃描端口掃描主要用于對目標主機開放的端口進行探測。一般來說，端口掃描只對目標端口進行簡單的聯(lián)通性探測，因此，端口比較適用于掃描范圍較大的網絡。端口掃描支持直接對指定IP地址掃描端口段和指定端口掃描IP段的模式。根據(jù)使用協(xié)議的不同，端口掃描可以分為TCP掃描和UDP掃描兩種方式。1）TCP掃描主機間建立TCP連接分三步，即三次握手的過程：（1）請求端向目的端口發(fā)送一個SYN包。（2）等待目的端回復的數(shù)據(jù)包：如果回復SYN/ACK包，則說明目的端口正在進行監(jiān)聽；如果回復RST/ACK包，則說明目的端口沒有進行監(jiān)聽，重置連接。（3）當回復是SYN/ACK包時，為了完成三次握手，請求端會再次向目的端口發(fā)送ACK包，從而建立TCP連接。根據(jù)建立TCP連接的情況，TCP掃描主要分為兩種方式：TCP全連接與半連接掃描，TCP隱蔽掃描。2）UDP端口掃描UDP端口掃描通常構造一個NULL的UDP包并發(fā)送到目的端口，當目的端口正在關閉時，則目的主機會直接回復端口不可達的消息，當目的端口正在等待服務時，則目的主機會直接回復錯誤的消息。UDP端口掃描過程中需要統(tǒng)計丟包率，這將造成UDP端口掃描時間的延遲。3.操作系統(tǒng)掃描操作系統(tǒng)探測的主要目的是實現(xiàn)對目標主機的操作系統(tǒng)以及提供服務的程序的具體信息的探測，包括二進制信息探測、HTTP響應分析、棧指紋分析等。1）二進制信息探測這是最簡單的OS探測技術，主要通過登錄目標主機，并從主機回復的banner中得知操作系統(tǒng)的類型、軟件的版本等。2）HTTP響應分析通過與目標主機建立HTTP連接，并將服務器回復響應進行分析獲得操作系統(tǒng)的類型。3）棧指紋分析網絡中主機之間的通信主要基于TCP/IP協(xié)議。不同的操作系統(tǒng)和軟件開發(fā)商造成了操作系統(tǒng)的架構和軟件版本的差異，從而導致了協(xié)議棧實現(xiàn)的多樣性。典型的棧指紋分析技術分別是主動棧指紋探測和被動棧指紋探測。4.脆弱點掃描脆弱點掃描主要針對目標主機的指定端口，其中，大多數(shù)的脆弱點掃描都是基于操作系統(tǒng)中指定的網絡服務來實現(xiàn)的。脆弱點掃描使用的技術主要分為兩類，分別是基于插件的掃描和基于脆弱點數(shù)據(jù)庫的掃描。1）基于插件的掃描基于插件的掃描是通過調用插件來實現(xiàn)脆弱點掃描，其中，插件是一個子程序模塊，由專用的腳本語言編寫而成。插件的升級和維護都非常方便，有利于脆弱點特征信息的更新，從而保證掃描結果的準確性。基于插件的掃描具有較好的擴展性，當需要添加新功能或新類型時，只需對插件進行相應的調整就可以實現(xiàn)。2）基于脆弱點數(shù)據(jù)庫的掃描基于脆弱點數(shù)據(jù)庫的掃描的關鍵是脆弱點數(shù)據(jù)庫，脆弱點數(shù)據(jù)庫是否有效且完整直接決定了脆弱點掃描的準確性。其掃描流程如下：（1）構造掃描的環(huán)境，收集并整理系統(tǒng)的脆弱點、相關攻擊案例及網絡中的安全配置；（2）生成標準且全面的脆弱點匹配規(guī)則和數(shù)據(jù)庫；（3）利用脆弱點數(shù)據(jù)庫和匹配規(guī)則進行掃描。5.防火墻規(guī)則掃描釆用類似于traceroute的IP數(shù)據(jù)包的分析方法，探測是否能夠通過防火墻向目標主機發(fā)送特定的數(shù)據(jù)包，為更深層次的探測提供基本信息。通過這種掃描方式，能夠探測到防火墻允許通過的端口，并探測到防火墻的基本規(guī)則。例如，是否能允許攜帶了控制信息的數(shù)據(jù)包通過等，甚至能夠通過防火墻探測到網絡的具體信息。4.3.3漏洞掃描工具傳統(tǒng)的漏洞掃描工具主要有端口掃描工具、通用漏洞掃描工具、Web應用掃描工具和數(shù)據(jù)庫漏洞掃描工具等。1.Nmap端口掃描工具

端口掃描的典型工具是Nmap。Nmap功能非常強大，常用于對大型的網絡進行掃描并對其進行安全評估。Nmap是一種滲透測試的掃描工具，用于發(fā)現(xiàn)網絡上的設備以及設備的類型、操作系統(tǒng)、端口開放及端口服務等信息。在默認情況下，Nmap會掃描常用協(xié)議的端口，攻擊者也可以設置參數(shù)為1到65535的全端口掃描方式，并且Nmap有一個基于TCP標志位特征的指紋庫，根據(jù)這個指紋庫，Nmap能夠推測出目標設備的類型和操作系統(tǒng)類型的概率。此外，Nmap可作用于局域網，在端口的掃描方式和范圍的選擇上比較靈活，且能做到實時掃描。Nmap還支持隱匿性掃描，該功能可繞過大多數(shù)的入侵檢測系統(tǒng)。利用集成的NSE腳本可以復現(xiàn)諸多網絡攻擊，例如：暴力破解、拒絕服務攻擊、模糊測試等。因此，對于IP地址暴露的工控設備，Nmap的掃描會造成很大威脅。2.通用漏洞掃描工具通用漏洞掃描的典型工具是Nessus，主要用于對目標系統(tǒng)的配置信息和常見的漏洞進行掃描。能夠提供完整的計算機漏洞掃描服務,并隨時更新其漏洞數(shù)據(jù)庫。不同于傳統(tǒng)的漏洞掃描軟件，Nessus可同時在本機控制或遠端上遙控，進行系統(tǒng)的漏洞分析掃描。其運作效能能隨著系統(tǒng)的資源而自行調整。如果將主機加入更多的資源，例如提高CPU處理速度或增加內存容量，其效率可以進一步提高。3.Web應用掃描工具Web應用掃描的典型工具是Appscan，通常用于網絡安全的評估，總體來說，Web應用掃描工具比較有針對性，針對Web應用的信息的泄露和數(shù)據(jù)的交互等問題，而不關注目標系統(tǒng)的一些基礎信息。4.數(shù)據(jù)庫漏洞掃描工具數(shù)據(jù)庫漏洞掃描的典型工具是AppDetective，主要用于Oracle、DB2、MSSQL、Sybase等數(shù)據(jù)庫的漏洞掃描。5.工控系統(tǒng)漏洞掃描工具工控系統(tǒng)漏洞掃描的典型工具是ICSScan，主要用于針對工控系統(tǒng)的漏洞掃描，支持典型的工控協(xié)議。6.Shodan掃描工具Shodan是一個全球化的在線網絡設備搜索引擎，搜索的對象可包括服務器、工控設備、家用電器、攝像頭等。Shodan會定期地對IPv4的全網段進行掃描，獲取每個IP地址的地理和公司信息，以及端口開放和服務的部署情況，主機服務存在的CVE漏洞信息，甚至能識別大部分中低交互性蜜罐，其會定期將掃描結果進行緩存，因此每次搜索得到結果的時間非?？?。4.4漏洞挖掘技術漏洞挖掘技術有多種，如果只采用一種漏洞挖掘技術，是很難完成分析工作的，一般是將幾種漏洞挖掘技術優(yōu)化組合，尋求效率和質量的最優(yōu)化。4.4.1漏洞挖掘分類漏洞挖掘的方式多種多樣，可以根據(jù)漏洞挖掘執(zhí)行過程中的側重點，將漏洞挖掘技術分為不同的類別。根據(jù)程序是否需要運行才可以調試，將漏洞挖掘技術分為靜態(tài)分析技術和動態(tài)檢測技術；根據(jù)在測試過程中人工參與程度，將漏洞挖掘技術分為手動、半自動和自動測試技術；根據(jù)漏洞挖掘過程中能夠分析得到源代碼的程度，漏洞挖掘技術又可以被分為白盒、灰盒和黑盒測試。下面是常見的白盒、黑盒和灰盒測試說明。4.4.2漏洞挖掘分析技術漏洞挖掘技術的研究是信息安全研究的核心內容之一，面對安全漏洞帶來的嚴峻挑戰(zhàn)，如何實現(xiàn)自動化、高效的漏洞挖掘是亟待解決的問題。因此迫切需要采取新的措施來研究高性能的漏洞挖掘模型，或者對當前工控網絡協(xié)議的漏洞挖掘技術做進一步的優(yōu)化。學術界和工業(yè)界目前提出了多種漏洞挖掘分析技術，下面分別進行介紹。1.人工測試人工測試是完成人工測試軟件缺陷的過程，是一種灰盒的漏洞挖掘技術。它是一種需要測試人員代入終端用戶的角色，使用人工構造的各種輸入在測試過程中觀察獲取到的目標反饋，并根據(jù)結果來直觀地推導發(fā)現(xiàn)問題的漏洞檢測技術。在人工測試過程中，測試人員無需額外的手動測試輔助工具，不遵循任何嚴格的測試過程，而是使用盡可能多的特性來探索被分析的應用程序。測試者可獨立進行測試完成整個測試流程，實現(xiàn)簡單。但人工探索性測試的成功在很大程度上依賴于測試人員的專業(yè)知識和對測試目標的了解程度，如果缺乏對目標的了解可能會造成測試的不完整性。2.模糊測試模糊測試技術是指導入大批無效或意外的數(shù)據(jù)到指定系統(tǒng)用于挖掘系統(tǒng)漏洞和測試系統(tǒng)異常，如目標系統(tǒng)程序拋出異常、內存泄漏或執(zhí)行異常操作。一般情況下模糊測試模型適用接受具有特定規(guī)則的輸入的應用軟件的測試。這個結構已被設定好，比如說在協(xié)議或文件格式中，并區(qū)別有效輸入和無效輸入。測試人員想要的模糊測試模型并不需要一直生成完全合法的測試用例，而是需要生成一種部分合法的測試輸入。這種測試輸入，因為其部分的合法性，服務器不會直接拒絕它們；但是又由于并非完全的合法，為其在程序中觸發(fā)更深層的異常乃至是漏洞提供了可能性。3.二進制比對技術該技術的主要思想是對照兩組機器碼補丁文件以判定它們是否完全相同。當編程人員創(chuàng)建或修改應用程序并需要確保新生成的文件與舊文件相同時，通常需要通過可執(zhí)行程序進行二進制比較來判斷。二進制比對技術可以用于查明未明確指出漏洞的成因和確切位置的補丁所影響的二進制文件的區(qū)域。相較于其他的漏洞挖掘技術而言，該技術重點是被用來判斷已經被利用的漏洞的位置。在此基礎上，其他相關的漏洞挖掘技術會被結合使用，用以確認漏洞的細節(jié)之后可編碼對應的攻擊代碼。因此在某種程度上而言，二進制比對技術也是一種漏洞分析技術。4.靜態(tài)分析技術靜態(tài)分析技術是在目標程序沒有編譯的狀態(tài)下對目標程序進行研究檢測，從而發(fā)現(xiàn)目標程序中潛在安全缺陷的一種漏洞檢測技術。其主要特點就是能夠在很短的時間內完成對程序代碼的檢查，具有代碼覆蓋率高，漏報少的優(yōu)點。但是，由于靜態(tài)分析是一種簡化的漏洞檢測分析技術，只考慮即時更改的影響，而不考慮系統(tǒng)對該更改的長期響應，并且缺少對運行過程中隨程序變化而變化的數(shù)據(jù)、非靜態(tài)測試流程以及細粒度的安全評估等檢測，因此靜態(tài)分析技術的漏洞挖掘精確度較低，具有較高的漏洞誤報率。5.動態(tài)分析技術動態(tài)分析技術通過監(jiān)測發(fā)現(xiàn)程序運行過程中狀態(tài)的變化和寄存器的非正常狀況以挖掘潛在的漏洞。相對于靜態(tài)分析技術而言，該技術具備較高的檢測漏洞精確度，可是其對檢測的代碼的覆蓋程度要差一些。而且當代碼不能運行時，就無法使用該技術進行漏洞挖掘了。不同的漏洞挖掘技術面向不同的應用場景，有著各自的優(yōu)勢和不足，僅采用一種漏洞挖掘技術去完成漏洞分析工作是十分困難的。因此，面臨不斷產生的新的威脅，一般在進行漏洞挖掘的過程中，不同的漏洞挖掘技術會被優(yōu)化結合起來使用，以期找到漏洞挖掘有效性和效率之間的平衡。而在上述五大類的漏洞挖掘分析技術中，模糊測試是當下最常用的軟件漏洞主動檢測挖掘技術，它結合了覆蓋引導、污點分析、調度算法、符號執(zhí)行等多種實用技術。雖然基于模糊測試的漏洞挖掘分析技術還有著很多的不足，但是與目前已有的主要漏洞挖掘技術相較而言，其在利用深度學習算法的優(yōu)勢上還是非常明顯的。4.4.3Fuzzing測試技術Fuzzing測試技術即模糊測試技術，不依賴測試目標源代碼，測試原理簡單，測試范圍較廣，同時Fuzzing的自動化程度較高，不需要大量的人工參與，是一種效果良好的測試方法。此外，因為Fuzzing測試執(zhí)行的過程是動態(tài)的，通常不會出現(xiàn)沒有問題而報告異常的情況，誤報的發(fā)生概率很低。

1.Fuzzing的概念Fuzzing測試是將大量經過構造的數(shù)據(jù)輸入到被測目標中，同時監(jiān)視被測目標，一旦有異常和錯誤產生就立即進行分析、定位、記錄觸發(fā)漏洞的用例，以此來發(fā)現(xiàn)漏洞的過程。提供的數(shù)據(jù)輸入通