工业控制系统网络资产探测技术研究

计算机与现代化 ›› 2023, Vol. 0 ›› Issue (02): 89-95.

工业控制系统网络资产探测技术研究

（1. 网络空间安全四川省重点实验室,四川成都 610041； 2. 中国电子科技集团公司第三十研究所,四川成都 610041）

出版日期:2023-04-10 发布日期:2023-04-10
作者简介:蒋星宇（1997—），男，四川绵阳人，硕士，研究方向：网络空间测绘，E-mail: iamzedking@163.com；徐锐（1977－），女，研究员，硕士，研究方向：网络空间测绘，网络态势感知，E-mail: jasmine_x@163.com；张若愚（1992—），男，工程师，硕士，研究方向：网络空间测绘，E-mail: zryxzry@163.com；张志勇（1985—），男，高级工程师，博士，研究方向：网络空间测绘，统计学习，知识图谱，E-mail: zhiyong_zhang1013@163.com

Research on Network Asset Detection Technology of Industrial Control System

（1. Cyberspace Security Key Laboratory of Sichuan Province， Chengdu 610041， China；
2. No.30 Institute of CETC， Chengdu 610041， China）

Online:2023-04-10 Published:2023-04-10

摘要/Abstract

摘要： 工业控制系统的安全关系到国计民生，是国家安全的重要组成部分。随着物联网技术不断发展，工业控制系统网络已经深入到各行业，但由于设计的缺陷或安全手段的缺乏，工业控制系统相关资产极易受到黑客的攻击和利用。探测、知晓暴露在互联网环境下的工控资产是实现工业控制系统信息监测、发现安全漏洞和把握网络空间安全态势的重要步骤。本文介绍工业控制系统网络资产探测常用的探测方法，利用端口探测技术扫描目标主机上的端口，根据端口开放情况使用工控协议和通用协议的网络资产探测技术发现工控设备和收集资产信息。通过互联网实验，对探测结果数据进行全面分析，总结工业控制系统网络资产探测技术特点，并指出目前技术存在的问题，对未来的发展进行展望。

关键词: 工业控制系统, 网络资产探测, 资产指纹, 协议探测

Abstract: The security of the industrial control system is related to the national economy and people’s livelihood， and is an important part of national security. With the continuous development of the Internet of Things technology， the industrial control system network has penetrated into various industries. However， due to design defects or lack of security means， the relevant assets of the industrial control system are extremely vulnerable to hackers and exploits. Detecting and knowing the industrial control assets exposed to the Internet environment is an important step to realize the information monitoring of the industrial control system， find security loopholes and grasp the security situation of cyberspace. This paper introduces the commonly used detection methods for industrial control system network asset detection. The port detection technology is used to scan the ports on the target host， and then the industrial control protocol and general protocol network asset detection technology is used to discover industrial control equipment and collect asset information according to the port opening. Through the Internet experiment， the data of the detection results are comprehensively analyzed， the characteristics of the network asset detection technology of the industrial control system are summarized， the problems existing in the current technology are pointed out， and the future development is prospected.

Key words: industrial control system, network asset detection, asset fingerprint, protocol detection

蒋星宇, 徐锐, 张若愚, 张志勇, . 工业控制系统网络资产探测技术研究[J]. 计算机与现代化, 2023, 0(02): 89-95.

JIANG Xing-yu, XU Rui, ZHANG Ruo-yu, ZHANG Zhi-yong, . Research on Network Asset Detection Technology of Industrial Control System[J]. Computer and Modernization, 2023, 0(02): 89-95.

参考文献

［1］陶耀东，李宁，曾广圣. 工业控制系统安全综述［J］. 计算机工程与应用， 2016，52（13）:8-18.
［2］蒲石，陈周国，祝世雄. 震网病毒分析与防范［J］. 信息网络安全， 2012（2）:40-43.
［3］ LANGNER R. Stuxnet: Dissecting a cyberwarfare weapon［J］. IEEE Security & Privacy， 2011，9（3）:49-51.
［4］信息安全与通信保密采编部. 乌克兰电网被黑事件［J］. 信息安全与通信保密， 2016（9）:25.
［5］ LIPOVSKY R， CHEREPANOV A. Blackenergy Trojan Strikes Again:Attacks Ukrainian Electric Power Industry［EB/OL］. （2016-01-04）［2022-05-10］. https://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry.
［6］谛听安全分析团队. 工业网络空间安全态势分析报告［EB/OL］. （2016-05-22）［2022-05-10］. http://www.aqniu.com/industry/16076.html.
［7］赵帆，罗向阳，刘粉林. 网络空间测绘技术研究［J］. 网络与信息安全学报， 2016，2（9）:1-11.
［8］王欢欢，张冬梅，于亮. 一种针对工控系统的网络探测方法［C］// 第十九届全国青年通信学术年会论文集. 2014:19-23.
［9］ FENG X， LI Q， WANG H， et al. Characterizing industrial control system devices on the Internet［C］// 2016 IEEE 24th International Conference on Network Protocols （ICNP）. 2016:1-10.
［10］ MIRIAN A， MA Z， ADRIAN D， et al. An Internet-wide view of ICS devices［C］// 2016 14th Annual Conference on Privacy， Security and Trust （PST）. 2016:96-103.
［11］ FENG X， LI Q， WANG H， et al. Acquisitional rule-based engine for discovering internet-of-thing devices［C］// Proceedings of the 27th USENIX Conference on Security Symposium. 2018:327-341.
［12］于新铭. 基于协议分析的工业互联网资产探测系统的设计与实现［D］. 北京:北京邮电大学， 2020.
［13］ SHODAN. SHODAN搜索引擎［EB/OL］. ［2022-05-10］ .https://www.shodan.io/.
［14］ FOFA网络空间测绘. 网络空间资产检索系统［DB/OL］. ［2022-05-10］. https://fofa.info/.
［15］谛听安全分析团队. 2018年工业控制网络安全态势白皮书［R/OL］. ［2022-05-10］. https://www.freebuf.com/articles/paper/262522.html.
［16］ ZDOMEYE. 知道创宇网络空间雷达［EB/OL］. ［2022-05-10］. https://www.zoomeye.org/.
［17］ SEMEVORATME P. Modbus［M］. Building Arduino PLCs. Apress，2017.
［18］ MODICON I. Modicon Modbus Protocol Reference Guide［Z］. Schneider， 1996.
［19］陈卓. 基于无状态连接的工控系统扫描平台的设计与实现［D］. 北京:北京邮电大学， 2018.
［20］ TAMBOLI S， RAWALE M， THORAIET R， et al. Implementation of Modbus RTU and Modbus TCP communication using Siemens S7-1200 PLC for batch process［C］// 2015 International Conference on Smart Technologies and Management for Computing， Communication， Controls， Energy and Materials （ICSTM）. 2015:258-263.
［21］张俊伟，关峰，汪文熙，等. 电力系统IEC104规约典型报文应用解析［J］. 电子测试， 2016（24）:33.
［22］ DNP. A DNP3 protocol primer［EB/OL］. ［2022-05-10］.http://www.dnp.org/portals/O/AboutUs/DNP3%20 Primer%20Rev%20A.pdf.
［23］ MACKIEWICZ R E. Overview of IEC61850 and benefits［C］// 2006 IEEE PES Power Systems Conference and Exposition. 2006:623-630.
［24］李秋锐. 计算机网络安全扫描技术研究［J］. 网络安全技术与应用， 2012（1）:23-25.
［25］沙超，陈云芳. 一种基于TCP/IP协议栈的操作系统识别技术［J］. 计算机技术与发展， 2006，16（10）:125-127.
［26］赵建军. 网络空间终端设备识别技术研究［D］. 兰州:兰州理工大学， 2016.
［27］游建舟，吕世超，孙玉砚，等. 物联网蜜罐综述［J］. 信息安全学报， 2020，5（4）:138-156.

[1]	韩冬松, 沙乐天, 赵创业. 基于蠕虫和代理的工控系统攻击建模[J]. 计算机与现代化, 2023, 0(10): 107-114.
[2]	杨骏, 王劲林, 倪宏, 盛益强, . 工控网络异常检测中基于灵敏度的动态迁移算法[J]. 计算机与现代化, 2023, 0(05): 46-51.
[3]	缪思薇1，余文豪1，姚峰2，高婧3. 针对PLC访问控制的安全分析[J]. 计算机与现代化, 2019, 0(09): 41-.
[4]	魏珊珊，韩庆敏，郭肖旺，张湾，贡春燕. 基于国密算法的PKI在工控系统中的应用研究[J]. 计算机与现代化, 2018, 0(11): 1-.
[5]	马钧1，佘军2. 石化企业工业控制系统非网联接[J]. 计算机与现代化, 2014, 0(2): 205-208+234.