一种电力工控系统静态和动态漏洞分析与挖掘方法
专利汇可以提供一种电力工控系统静态和动态漏洞分析与挖掘方法专利检索,专利查询,专利分析的服务。并且本 发明 属于 电网 防护技术领域,尤其是一种电 力 工控系统静态和动态漏洞分析与挖掘方法,针对电力工控系统的开放性、复杂性以及系统本身的漏洞的技术问题,现提出以下方案,包括如下步骤,结合信息安全事件特征的电力工控系统典型漏洞分析;分析漏洞挖掘技术,信息安全事件特征的电力工控系统典型漏洞分析包括典型事件漏洞分析,典型事件漏洞分析包括:数字证书伪造。本发明分析事件中存在的典型漏洞,从漏洞的机理上结合漏洞的分类对国内电力工控系统中可能存在的典型漏洞开展了分析研究,形成了含电力工控系统典型漏洞特征的动态模糊测试中测试 用例 生成规则,根据不同的协议分析结果,匹配不同的生成规则,使得测试用例有效性得到提升。,下面是一种电力工控系统静态和动态漏洞分析与挖掘方法专利的具体信息内容。
1.一种电力工控系统静态和动态漏洞分析与挖掘方法,其特征在于,包括以下步骤:
S1:结合信息安全事件特征的电力工控系统典型漏洞分析;
S2:分析漏洞挖掘技术。
2.根据权利要求1所述的一种电力工控系统静态和动态漏洞分析与挖掘方法,其特征在于,所述S1中,信息安全事件特征的电力工控系统典型漏洞分析包括典型事件漏洞分析,所述典型事件漏洞分析包括:
(1)数字证书伪造,数字证书是一个经证书授权中心数字签名的在特定的时间段内有效的包含公开密钥拥有者信息以及公开密钥的文件,通过伪造数字证书,执行相关的恶意代码和程序,利用旧密码算法安全强度不高的漏洞,更改病毒的签名证书,使其适应各种不同的系统版本,保存和提升自身在不同环境下的存活率与破坏力;
(2)信息泄露与数据盗取,可以导致劫持程序访问预期外的资源并泄露给攻击者,影响系统的机密性,泄露的系统信息或者调试信息可以帮助攻击者了解系统,对于实施精准的攻击做必要的准备,盗取被攻击系统数据库中的相应数据,用于间谍行为,或利用相关数据执行其他恶意操作,造成破坏;
(3)拒绝服务攻击,目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用,目标应用或系统暂时或永远性地失去响应正常服务的能力,影响系统的可用性,通过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的;
(4)认证绕过,通过绕过合法性检查,非法获取权限,对系统安全构成威胁;
(5)任意文件删除,针对系统硬盘或者数据库中的数据文件进行删除,造成数据丢失和在造成严重后果后,系统自身也受到严重破坏,无法重启运行,造成故障排查认定带来巨大困难,也给系统恢复带来困难;
(6)权限许可与访问控制,病毒或者漏洞能够提供权限许可和访问控制权限时,系统的安全性受到威胁,系统暴露在攻击者面前,通过恶意操作,攻击者达成攻击操作,实施破坏行为;
(7)嵌入恶意代码,恶意代码可以对系统造成巨大的危害,如下达错误的命令,使系统瘫痪,恶意代码也可以为攻击者提供进入系统的后门,下载攻击性程序或者远程实施攻击步骤,实现对系统的破坏;
(8)内容欺骗,利用漏洞,实现对数据内容的修改与捏造,从而实现对系统的破坏;
(9)代码/命令执行,利用漏洞或者病毒程序,在完成系统的某些权限的获取之后,按照攻击者的需求,执行相应的命令或代码,命令的执行则包括下达错误指令和正确指令的错误组合来实现破坏的目的;
(10)后门,绕过安全性控制获取对程序或系统访问权的程序方法,通过安装后门,避免每次登录到目标主机都要重新实施攻击才能完成。
3.根据权利要求1所述的一种电力工控系统静态和动态漏洞分析与挖掘方法,其特征在于,所述S1中,信息安全事件特征的电力工控系统典型漏洞分析包括电力工控系统典型漏洞分析,所述电力工控系统典型漏洞分析包括:
(1)SQL注入,通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;
(2)跨站请求伪造,一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法;
(3)弱口令,容易被别人猜测到或被破解工具破解的密码均为弱密码;
(4)拒绝服务,使目标的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用;
(5)信息泄漏,泄露的系统信息或者调试信息可以帮助攻击者了解系统和制定攻击计划;
(6)远程文件包含,服务利用程序文件包含函数包含远程文件,过滤不严导致可以包含服务器外的文件而导致问题产生;
(7)远程溢出,由于程序中的某个或某些输入函数对所接收数据的边界验证不严密而造成问题;
(8)目录穿越,通过浏览应用,攻击者可以寻找存储在Web服务器上的其他文件的相对路径;
(9)开发重定向漏洞,攻击者可利用该漏洞重定向用户到恶意页面;
(10)缓冲区溢出漏洞,在程序试图将数据放到及其内存中的某一个位置的时候,由于没有足够的空间会发生缓冲区溢出;
(11)暴力破解,该漏洞源于程序未能限制身份验证尝试次数,攻击者可利用该漏洞实施暴力破解攻击;
(12)认证绕过,部分管理接口在身份认证时存在验证逻辑问题,导致攻击者可以绕过身份认证,实现未授权操作;
(13)远程代码执行,攻击者可以利用该漏洞在受影响的应用程序的上下文中执行任意代码;
(14)权限提升,允许通过身份验证的系统用户在特定条件下提升特权;
(15)任意文件上传,由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。
4.根据权利要求1所述的一种电力工控系统静态和动态漏洞分析与挖掘方法,其特征在于,所述S2中,漏洞挖掘技术包括静态挖掘方法,所述静态挖掘方法包括:
(1)静态手工测试技术,由测试人员手工构造测试用例,并逐个将其输入到被测目标,观察目标的响应,是最原始的漏洞挖掘方法;
(2)静态补丁比对技术,通过对比修改前后的补丁之间的差异来挖掘漏洞;
(3)静态协议分析技术,首先捕获变电站网络通信实体两端的协议会话;然后对捕获到的会话数据进行序列比对分析;最后提取协议消息的格式信息;
(4)静态二进制审核,包括压力测试、手工审核、识别可疑结构等,并针对C/C++语言提出扫描strcpy、strcat、strncat、strncpy等特殊的格式化字符串函数来寻找二进制代码中的漏洞。
5.根据权利要求1所述的一种电力工控系统静态和动态漏洞分析与挖掘方法,其特征在于,所述S2中,漏洞挖掘技术包括动态挖掘方法,所述动态挖掘方法包括:
(1)动态模糊测试技术,模糊测试是一种自动化软件测试技术,通过向被测目标输入大量的畸形数据并监测其异常来发现漏洞,模糊测试的步骤为:
识别目标,确定被测试的目标程序,包括识别目标应用程序中具体的文件、库、使用的协议等;
识别输入变量,确定输入变量,包括数据包、文件、环境变量、端口号等所有发送到目标程序的数据;
生成测试用例,测试用例,根据确定的输入变量生成的输入数据;
对测试用例进行变异,测试用例生成之后,需要对测试用例进行变异;
模糊器,数据变异之后,通过模糊器将变异后的测试用例发送到目标上,要确保日标处理这些测试用例;
监视异常,通过异常监控,避免安全漏洞的漏报;
确定可利用性,针对发现的异常,确定异常是否可以利用;
(2)动态污点分析技术,一种动态信息流分析方法,其跟踪程序运行时对数据的处理,并记录处理过程中数据的传播,污点分析的目的是找出目的数据结果与源数据之间的依赖关系,实现方式有:
通过对源代码插桩,编译运行插桩后的程序,在程序运行时动态跟踪信息流传播,检测漏洞攻击;
基于二进制文件的插桩,在程序运行时动态跟踪污点信息传播,检测漏洞攻击;
在硬件级跟踪信息流的传播。
一种电力工控系统静态和动态漏洞分析与挖掘方法
技术领域
背景技术
发明内容
S2:分析漏洞挖掘技术。
(2)信息泄露与数据盗取,可以导致劫持程序访问预期外的资源并泄露给攻击者,影响系统的机密性,泄露的系统信息或者调试信息可以帮助攻击者了解系统,对于实施精准的攻击做必要的准备,盗取被攻击系统数据库中的相应数据,用于间谍行为,或利用相关数据执行其他恶意操作,造成破坏;
(3)拒绝服务攻击,目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用,目标应用或系统暂时或永远性地失去响应正常服务的能力,影响系统的可用性,通过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的;
(4)认证绕过,通过绕过合法性检查,非法获取权限,对系统安全构成威胁;
(5)任意文件删除,针对系统硬盘或者数据库中的数据文件进行删除,造成数据丢失和在造成严重后果后,系统自身也受到严重破坏,无法重启运行,造成故障排查认定带来巨大困难,也给系统恢复带来困难;
(6)权限许可与访问控制,病毒或者漏洞能够提供权限许可和访问控制权限时,系统的安全性受到威胁,系统暴露在攻击者面前,通过恶意操作,攻击者达成攻击操作,实施破坏行为;
(7)嵌入恶意代码,恶意代码可以对系统造成巨大的危害,如下达错误的命令,使系统瘫痪,恶意代码也可以为攻击者提供进入系统的后门,下载攻击性程序或者远程实施攻击步骤,实现对系统的破坏;
(8)内容欺骗,利用漏洞,实现对数据内容的修改与捏造,从而实现对系统的破坏;
(9)代码/命令执行,利用漏洞或者病毒程序,在完成系统的某些权限的获取之后,按照攻击者的需求,执行相应的命令或代码,命令的执行则包括下达错误指令和正确指令的错误组合来实现破坏的目的;
(10)后门,绕过安全性控制获取对程序或系统访问权的程序方法,通过安装后门,避免每次登录到目标主机都要重新实施攻击才能完成。
(2)跨站请求伪造,一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法;
(3)弱口令,容易被别人猜测到或被破解工具破解的密码均为弱密码;
(4)拒绝服务,使目标的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用;
(5)信息泄漏,泄露的系统信息或者调试信息可以帮助攻击者了解系统和制定攻击计划;
(6)远程文件包含,服务利用程序文件包含函数包含远程文件,过滤不严导致可以包含服务器外的文件而导致问题产生;
(7)远程溢出,由于程序中的某个或某些输入函数对所接收数据的边界验证不严密而造成问题;
(8)目录穿越,通过浏览应用,攻击者可以寻找存储在Web服务器上的其他文件的相对路径;
(9)开发重定向漏洞,攻击者可利用该漏洞重定向用户到恶意页面;
(10)缓冲区溢出漏洞,在程序试图将数据放到及其内存中的某一个位置的时候,由于没有足够的空间会发生缓冲区溢出;
(11)暴力破解,该漏洞源于程序未能限制身份验证尝试次数,攻击者可利用该漏洞实施暴力破解攻击;
(12)认证绕过,部分管理接口在身份认证时存在验证逻辑问题,导致攻击者可以绕过身份认证,实现未授权操作;
(13)远程代码执行,攻击者可以利用该漏洞在受影响的应用程序的上下文中执行任意代码;
(14)权限提升,允许通过身份验证的系统用户在特定条件下提升特权;
(15)任意文件上传,由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。
(2)静态补丁比对技术,通过对比修改前后的补丁之间的差异来挖掘漏洞;
(3)静态协议分析技术,首先捕获变电站网络通信实体两端的协议会话;然后对捕获到的会话数据进行序列比对分析;最后提取协议消息的格式信息;
(4)静态二进制审核,包括压力测试、手工审核、识别可疑结构等,并针对C/C++语言提出扫描strcpy、strcat、strncat、strncpy等特殊的格式化字符串函数来寻找二进制代码中的漏洞。
识别目标,确定被测试的目标程序,包括识别目标应用程序中具体的文件、库、使用的协议等;
识别输入变量,确定输入变量,包括数据包、文件、环境变量、端口号等所有发送到目标程序的数据;
生成测试用例,测试用例,根据确定的输入变量生成的输入数据;
对测试用例进行变异,测试用例生成之后,需要对测试用例进行变异;
模糊器,数据变异之后,通过模糊器将变异后的测试用例发送到目标上,要确保日标处理这些测试用例;
监视异常,通过异常监控,避免安全漏洞的漏报;
确定可利用性,针对发现的异常,确定异常是否可以利用;
(2)动态污点分析技术,一种动态信息流分析方法,其跟踪程序运行时对数据的处理,并记录处理过程中数据的传播,污点分析的目的是找出目的数据结果与源数据之间的依赖关系,实现方式有:
通过对源代码插桩,编译运行插桩后的程序,在程序运行时动态跟踪信息流传播,检测漏洞攻击;
基于二进制文件的插桩,在程序运行时动态跟踪污点信息传播,检测漏洞攻击;
在硬件级跟踪信息流的传播。
附图说明
图3为本发明提出的一种电力工控系统静态和动态漏洞分析与挖掘方法的协议分析技术流程图;
图4为本发明提出的一种电力工控系统静态和动态漏洞分析与挖掘方法的二进制审核方法示意图;
图5为本发明提出的一种电力工控系统静态和动态漏洞分析与挖掘方法的模糊测试过程图。
具体实施方式
S2:分析漏洞挖掘技术。
(2)信息泄露与数据盗取,可以导致劫持程序访问预期外的资源并泄露给攻击者,影响系统的机密性,泄露的系统信息或者调试信息可以帮助攻击者了解系统,对于实施精准的攻击做必要的准备,盗取被攻击系统数据库中的相应数据,用于间谍行为,或利用相关数据执行其他恶意操作,造成破坏;
(3)拒绝服务攻击,目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用,目标应用或系统暂时或永远性地失去响应正常服务的能力,影响系统的可用性,通过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的;
(4)认证绕过,通过绕过合法性检查,非法获取权限,对系统安全构成威胁;
(5)任意文件删除,针对系统硬盘或者数据库中的数据文件进行删除,造成数据丢失和在造成严重后果后,系统自身也受到严重破坏,无法重启运行,造成故障排查认定带来巨大困难,也给系统恢复带来困难;
(6)权限许可与访问控制,病毒或者漏洞能够提供权限许可和访问控制权限时,系统的安全性受到威胁,系统暴露在攻击者面前,通过恶意操作,攻击者达成攻击操作,实施破坏行为;
(7)嵌入恶意代码,恶意代码可以对系统造成巨大的危害,如下达错误的命令,使系统瘫痪,恶意代码也可以为攻击者提供进入系统的后门,下载攻击性程序或者远程实施攻击步骤,实现对系统的破坏;
(8)内容欺骗,利用漏洞,实现对数据内容的修改与捏造,从而实现对系统的破坏;
(9)代码/命令执行,利用漏洞或者病毒程序,在完成系统的某些权限的获取之后,按照攻击者的需求,执行相应的命令或代码,命令的执行则包括下达错误指令和正确指令的错误组合来实现破坏的目的;
(10)后门,绕过安全性控制获取对程序或系统访问权的程序方法,通过安装后门,避免每次登录到目标主机都要重新实施攻击才能完成。
(2)跨站请求伪造,一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法;
(3)弱口令,容易被别人猜测到或被破解工具破解的密码均为弱密码;
(4)拒绝服务,使目标的网络或系统资源耗尽,使服务暂时中断或停止,导致其对目标客户不可用;
(5)信息泄漏,泄露的系统信息或者调试信息可以帮助攻击者了解系统和制定攻击计划;
(6)远程文件包含,服务利用程序文件包含函数包含远程文件,过滤不严导致可以包含服务器外的文件而导致问题产生;
(7)远程溢出,由于程序中的某个或某些输入函数对所接收数据的边界验证不严密而造成问题;
(8)目录穿越,通过浏览应用,攻击者可以寻找存储在Web服务器上的其他文件的相对路径;
(9)开发重定向漏洞,攻击者可利用该漏洞重定向用户到恶意页面;
(10)缓冲区溢出漏洞,在程序试图将数据放到及其内存中的某一个位置的时候,由于没有足够的空间会发生缓冲区溢出;
(11)暴力破解,该漏洞源于程序未能限制身份验证尝试次数,攻击者可利用该漏洞实施暴力破解攻击;
(12)认证绕过,部分管理接口在身份认证时存在验证逻辑问题,导致攻击者可以绕过身份认证,实现未授权操作;
(13)远程代码执行,攻击者可以利用该漏洞在受影响的应用程序的上下文中执行任意代码;
(14)权限提升,允许通过身份验证的系统用户在特定条件下提升特权;
(15)任意文件上传,由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。
(2)静态补丁比对技术,通过对比修改前后的补丁之间的差异来挖掘漏洞;
(3)静态协议分析技术,首先捕获变电站网络通信实体两端的协议会话;然后对捕获到的会话数据进行序列比对分析;最后提取协议消息的格式信息;
(4)静态二进制审核,包括压力测试、手工审核、识别可疑结构等,并针对C/C++语言提出扫描strcpy、strcat、strncat、strncpy等特殊的格式化字符串函数来寻找二进制代码中的漏洞。
识别目标,确定被测试的目标程序,包括识别目标应用程序中具体的文件、库、使用的协议等;
识别输入变量,确定输入变量,包括数据包、文件、环境变量、端口号等所有发送到目标程序的数据;
生成测试用例,测试用例,根据确定的输入变量生成的输入数据;
对测试用例进行变异,测试用例生成之后,需要对测试用例进行变异;
模糊器,数据变异之后,通过模糊器将变异后的测试用例发送到目标上,要确保日标处理这些测试用例;
监视异常,通过异常监控,避免安全漏洞的漏报;
确定可利用性,针对发现的异常,确定异常是否可以利用;
(2)动态污点分析技术,一种动态信息流分析方法,其跟踪程序运行时对数据的处理,并记录处理过程中数据的传播,污点分析的目的是找出目的数据结果与源数据之间的依赖关系,实现方式有:
通过对源代码插桩,编译运行插桩后的程序,在程序运行时动态跟踪信息流传播,检测漏洞攻击;
基于二进制文件的插桩,在程序运行时动态跟踪污点信息传播,检测漏洞攻击;
在硬件级跟踪信息流的传播。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种电力工控系统静态和动态漏洞分析与挖掘方法 | 2020-05-11 | 530 |
| 跨站伪造请求漏洞检测的方法及装置 | 2020-05-16 | 123 |
| 基于漏洞识别技术的插件安全扫描装置及扫描方法 | 2020-05-21 | 840 |
| 一种Web应用漏洞检测规则生成方法、终端及存储介质 | 2020-05-12 | 170 |
| 检测WebSocket跨站请求伪造漏洞的方法和装置 | 2020-05-19 | 489 |
| 一种防御跨站请求伪造CSRF攻击的方法、系统和装置 | 2020-05-21 | 111 |
| 一种物业智慧社区服务系统及方法 | 2020-05-13 | 614 |
| 基于CSRF攻击的防护方法及装置 | 2020-05-20 | 954 |
| 一种Web应用漏洞检测规则引擎实现方法及终端 | 2020-05-11 | 97 |
| Apparatus and methods for preventing cross-site request forgery | 2020-05-27 | 910 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
