技术特征:
1.一种漏洞扫描方法,其特征在于,包括:获取经过交换机的镜像数据,所述镜像数据内包含多个连接设备的协议携带信息;对所述协议携带信息进行协议识别,并判断所述协议携带信息是否为工控协议或私有协议;当判断所述协议携带信息为工控协议时,将所述连接设备识别为工控设备,获取所述协议携带信息内预设的功能码值,并判断所述功能码值是否高于预设功能码值范围;若是,则判断所述工控设备存在系统漏洞。2.如权利要求1所述的漏洞扫描方法,其特征在于,所述对所述协议携带信息进行协议识别,并判断所述协议携带信息是否为工控协议或私有协议的步骤之后,还包括:当判断所述协议携带信息为私有协议时,将所述连接设备识别为私有设备,获取所述私有协议信息的偏移信息数据,并判断所述偏移信息数据长度是否长于预设阈值;若是,则判断所述私有设备存在系统漏洞。3.如权利要求1所述的漏洞扫描方法,其特征在于,所述对所述协议携带信息进行协议识别,并判断所述协议携带信息是否为工控协议或私有协议的步骤,具体包括:判断所述协议携带信息是否符合预设的工控协议类型;若是,则判断所述协议携带信息为所述工控协议,反之则判断所述协议携带信息为所述私有协议。4.如权利要求1所述的漏洞扫描方法,其特征在于,所述镜像数据还包括多个连接设备网络位置信息;则所述获取经过交换机的镜像数据,所述镜像数据内包含多个连接设备的协议携带信息的步骤之后,具体包括:根据所述网络位置信息判断所述连接设备是否预先储存在连接设备库中;若是,则获取所述连接设备的第一邻居设备信息以及第一拓扑位置信息,所述第一邻居设备信息用于识别所述连接设备在预设拓扑图中的邻居设备,所述第一拓扑位置信息用于识别所述连接设备在预设拓扑图当中的节点位置;根据所述第一拓扑位置信息以及所述第一邻居设备信息将所述连接设备添加到所述预设拓扑图中,从而更新所述预设拓扑图。5.如权利要求4所述的漏洞扫描方法,其特征在于,所述根据所述网络位置信息判断所述连接设备是否预先储存在连接设备库中的步骤之后,还包括:若否,则将所述连接设备定为新连接设备;获取所述新连接设备的第二邻居设备信息以及第二拓扑位置信息,所述第二邻居设备信息用于识别所述新连接设备在预设拓扑图中的邻居设备,所述第二拓扑位置信息用于识别所述新连接设备在预设拓扑图当中的节点位置;根据所述第二拓扑位置信息以及所述第二邻居设备信息将所述新连接设备添加到所述预设拓扑图中;通过预设工控设备指纹库来识别所述的新连接设备的产品信息;将所述新连接设备以及对应的所述产品信息添加到所述预设拓扑图内,从而更新所述预设拓扑图。
6.如权利要求1所述的漏洞扫描方法,其特征在于,所述对所述协议携带信息进行协议识别,并判断所述协议携带信息是否为工控协议或私有协议的步骤,具体包括:获取所述协议携带信息内包含的五元组信息以及厂商信息;将所述五元组信息以及所述厂商信息输入到预设的卷积神经网络中进行特征提取,从而生成匹配协议特征;根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议。7.如权利要求6所述的漏洞扫描方法,其特征在于,所述工控协议包括工控协议匹配特征,所述私有协议包括私有协议匹配特征,所述工控协议匹配特征以及所述私有协议匹配特征储存在所述工控设备指纹库内;则所述根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议的步骤,具体包括:判断所述匹配协议特征是否与所述工控协议匹配特征匹配;若是,则判断所述匹配协议特征与所述工控协议匹配,若否,则判断所述匹配协议特征是否与所述私有协议匹配特征匹配;若是,则判断所述匹配协议特征与所述私有协议匹配。8.一种漏洞扫描系统,其特征在于,包括:获取单元,用于获取经过交换机的镜像数据,所述镜像数据内包含多个连接设备的协议携带信息;识别单元,用于对所述协议携带信息进行协议识别,并判断所述协议携带信息是否为工控协议或私有协议;协议识别单元,用于当判断所述协议携带信息为工控协议时,将所述连接设备识别为工控设备;防御单元,用于获取所述协议携带信息内预设的功能码值,并判断所述功能码值是否高于预设功能码值范围;判断单元,用于判断若是,则判断所述工控设备存在系统漏洞。9.一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的漏洞扫描方法。10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的漏洞扫描方法的步骤。
技术总结
本发明提供了一种漏洞扫描方法、系统、计算机设备及介质,通过被动获取经过交换机的镜像数据内包含的协议携带信息,并根据所述协议携带信息的具体状态判断连接设备是否遭受网络攻击,从而实现漏洞扫描功能的方式实现了无需在进行漏洞扫描时主动对所有连接设备进行扫描,解决了现有技术当中在进行漏洞扫描时需要主动发送大量报文去检测需要进行漏洞检测的连接设备,导致对设备网络造成较大影响,容易造成设备网络抖动的问题,减少了对设备网络的影响。的影响。的影响。
技术研发人员:杨家全 冯勇 李踔 李孟阳 张旭东 谢青洋 李响 何婕 栾思平 高境
受保护的技术使用者:云南电网有限责任公司电力科学研究院
技术研发日:2022.07.15
技术公布日:2022/11/1