陳翊璐，孫 軍，程晟滔，張哲宇，王子博，王佰玲*

(1.哈爾濱工業(yè)大學(威海)計算機科學與技術(shù)學院，威海 264209；2.哈爾濱工業(yè)大學網(wǎng)絡空間安全研究院,哈爾濱 150001；3.國家工業(yè)信息安全發(fā)展研究中心,北京 100040)

工業(yè)控制系統(tǒng)(industrial control system,ICS)是電力、制造、石油、化工、交通運行等國家關鍵基礎設施行業(yè)中的基礎信息物理系統(tǒng)，其重要性不言而喻。近年來，ICS與互聯(lián)網(wǎng)融合程度逐漸加深，導致ICS中大量網(wǎng)絡安全漏洞暴露于互聯(lián)網(wǎng)中，ICS網(wǎng)絡安全事件頻發(fā)[1]。ICS在設計之初缺乏網(wǎng)絡安全層面的考慮，專有設備和軟件有諸多漏洞，同時系統(tǒng)設置也存在固有缺陷[2-3]。安全管理包括聯(lián)網(wǎng)設備探測、設備類型識別、漏洞掃描和漏洞管理等過程，能夠獲取工業(yè)控制系統(tǒng)聯(lián)網(wǎng)設備(以下簡稱工控聯(lián)網(wǎng)設備)的漏洞信息，提高ICS安全性，因此對工控聯(lián)網(wǎng)設備進行有效安全管理研究有重要意義。

漏洞掃描技術(shù)是常用的網(wǎng)絡安全檢測技術(shù)，主要分為基于主機的漏洞掃描和基于網(wǎng)絡的漏洞掃描?；谥鳈C的漏洞掃描技術(shù)通常借助代理軟件對目標進行掃描。工控環(huán)境中存在大量的可編程邏輯控制器(programmable logic controller,PLC)、遠程測控終端單元(remote terminal unit,RTU)，但這類設備的計算和運行資源不豐富，不適用安裝代理軟件的方式完成掃描任務，同時代理軟件本身也可能引入漏洞，因此基于主機的漏洞掃描技術(shù)不適用于ICS。

基于網(wǎng)絡的漏洞掃描技術(shù)首先對系統(tǒng)進行探測，盡可能識別出網(wǎng)絡中的所有設備。探測方式可分為主動探測、被動探測以及基于搜索引擎的非入侵式探測[4]?；谒阉饕娴姆侨肭质教綔y是一種間接探測方式，不適用于ICS。主動探測通?；诰W(wǎng)絡協(xié)議向網(wǎng)絡設備發(fā)送探測數(shù)據(jù)包[5]，然后根據(jù)設備的返回數(shù)據(jù)包，分析設備詳細信息，例如系統(tǒng)、固件等[6]。ICS具有多種工控協(xié)議，于新銘等[7]針對Modbus、S7、DNP3和BACnet 這4種工控協(xié)議，提出了一種并發(fā)進行資產(chǎn)探測的通用方法，有效優(yōu)化了資產(chǎn)探測的高效性和通用性。但該方法在探測工控聯(lián)網(wǎng)設備時，將在短時間內(nèi)向設備發(fā)送大量探測包，這會影響對實時性要求較高的工控聯(lián)網(wǎng)設備的運行，甚至導致設備運行錯誤[8]，所以該方法在工控網(wǎng)絡中需謹慎使用。被動探測則不需要發(fā)送探測數(shù)據(jù)包，而是通過解析已得到的流量數(shù)據(jù)包，獲得網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡中存在的設備及設備的一些信息。

對系統(tǒng)進行網(wǎng)絡探測后，利用探測得到的信息進行漏洞掃描。漏洞掃描器主要分為基于插件和基于漏洞數(shù)據(jù)庫兩類?；诓寮膾呙璺椒ㄍㄟ^調(diào)用插件來實現(xiàn)漏洞掃描，插件便于管理、更新和維護，也具有良好的擴展性?；诼┒磾?shù)據(jù)庫的掃描方法將探測及識別到的設備信息在漏洞數(shù)據(jù)庫中進行匹配，檢索出該設備可能存在的漏洞[9]。根據(jù)類似思路，Gawron等[10]利用系統(tǒng)日志以及網(wǎng)絡服務網(wǎng)日志信息來獲取設備和應用，再進一步通過通用平臺枚舉項(common platform enumeration,CPE)編號檢索漏洞。該方法的關鍵是探測識別到的設備信息以及漏洞數(shù)據(jù)庫，探測得到的設備信息越詳細，匹配到的漏洞越準確，漏洞數(shù)據(jù)庫的完整性以及準確性直接影響漏洞掃描結(jié)果的準確性。這種掃描方式是靜態(tài)的，得到漏洞掃描結(jié)果后可以根據(jù)漏洞優(yōu)先級排序，或者采用其他漏洞管理方法。例如，F(xiàn)arris等[11]提出的一種漏洞優(yōu)先排序管理系統(tǒng) (vulnerability control,VULCON)，可以篩選出一些易被利用或高危害的漏洞來進行進一步的漏洞利用驗證。通過漏洞分析和利用研究，可以更深入地掌握漏洞的詳細成因[12]。這種靜態(tài)漏洞掃描方式對工控網(wǎng)絡影響較小，更適用于ICS。

聯(lián)網(wǎng)設備類型識別是后續(xù)獲取設備詳細信息和漏洞管理的關鍵。識別工控聯(lián)網(wǎng)設備需借助普渡模型，明確ICS的各個設備所屬層次，即管理層、過程層和控制層。Al Ghazo等[13]基于通信模式識別設備層次，利用從數(shù)據(jù)包提取的緩存時間(time to live，TTL)以及局域網(wǎng)地址(media access control，MAC)地址等信息識別各類設備的廠商和型號。而Shen等[14]驗證了利用層次間響應時間可區(qū)分不同類型的工控聯(lián)網(wǎng)設備。在設備類型識別方面，PLC、工控上位機以及數(shù)據(jù)庫服務器的識別較成熟，但對ICS中同樣常見的人機接口(human machine interface,HMI)設備的識別存在著不足。

現(xiàn)以獲悉工控聯(lián)網(wǎng)設備存在的漏洞信息為目的，研究工控聯(lián)網(wǎng)設備安全管理中聯(lián)網(wǎng)設備探測、設備類型識別、漏洞掃描和漏洞管理過程中的關鍵技術(shù)。首先，在對設備類型研究的基礎上[15]，針對HMI無法準確識別的問題，通過對其通信流量長度及周期性特征分析，實現(xiàn)在MAC地址信息不完備的情況下對HMI的識別。其次，考慮工控聯(lián)網(wǎng)設備的漏洞掃描需盡可能避免網(wǎng)絡波動，從而避免對業(yè)務連續(xù)性和實時性的影響，改進工控聯(lián)網(wǎng)設備掃描的靜態(tài)信息匹配，即利用設備信息優(yōu)先在漏洞庫內(nèi)進行查詢，根據(jù)漏洞等級，實現(xiàn)設定優(yōu)先級的動態(tài)漏洞掃描。為達到上述目的，同時針對工控漏洞庫規(guī)模逐步擴大問題，提出一種多級索引信息匹配的漏洞檢索方法。最后，設計一套面向工控聯(lián)網(wǎng)設備的安全管理系統(tǒng)。

1 面向工控設備的漏洞掃描系統(tǒng)

1.1 漏洞掃描系統(tǒng)整體架構(gòu)

根據(jù)ICS的脆弱性特點和分層結(jié)構(gòu)，采用主被動結(jié)合的漏洞掃描模型進行分層掃描。該漏洞掃描模型的輸入為捕獲的工控流量，并將該流量輸入到層次識別模塊。

層次識別模塊能根據(jù)輸入的流量分析網(wǎng)絡中的存活設備，并通過設備層次識別算法獲得存活設備所在層次，即控制層、過程層和管理層?？刂茖釉O備多為PLC等工控網(wǎng)絡特有的掃描敏感性設備；管理層設備多為主機；過程層中的設備雖本質(zhì)上屬于主機，但其中的HMI設備、數(shù)據(jù)采集與監(jiān)視控制(supervisory control and data acquisition，SCADA)服務器、工程師站等都是工控網(wǎng)絡特有設備，其設備類型的確定將有利于進行漏洞掃描。重點研究HMI識別方法。

工控漏洞掃描主要分兩個部分，一是主動探測，二是漏洞庫匹配。主動探測利用流量信息分析設備使用的協(xié)議，再根據(jù)協(xié)議構(gòu)造相應的探測包，來獲得設備的詳細信息，例如，設備廠商、設備類型、設備型號、固件版本等。漏洞庫匹配主要將探測得到的設備信息與工控漏洞庫匹配以獲得漏洞信息。漏洞掃描系統(tǒng)的整體架構(gòu)由3個部分組成，分別是數(shù)據(jù)采集模塊、設備探測模塊和漏洞掃描模塊，如圖1所示。

1.1.1 數(shù)據(jù)采集模塊

在該模塊中，為了盡可能完整描述層次間的通信關系，流量鏡像交換機將部署于控制層，過程層和管理層之間，負責實時收集流量數(shù)據(jù)。

1.1.2 設備探測模塊

該模塊部署于服務器上，用于探測目標網(wǎng)絡中設備的具體信息，包括過程層設備和管理層設備的端口、服務及操作系統(tǒng)信息，以及工控聯(lián)網(wǎng)設備的設備類型、設備廠商、設備型號等信息。設備探測模塊結(jié)構(gòu)圖如圖2所示。

圖2 設備探測模塊結(jié)構(gòu)圖Fig.2 The structure of device detection module

設備探測模塊主要包括被動探測和主動探測。離線識別采集到的工控網(wǎng)絡流量后，對得到的傳統(tǒng)網(wǎng)絡設備使用常用的資產(chǎn)探測工具，例如Nmap、Masscan等，進行端口掃描、服務識別和操作系統(tǒng)識別。對工控聯(lián)網(wǎng)設備，構(gòu)造設備探測數(shù)據(jù)包，并對設備的返回數(shù)據(jù)包進行解析以及匹配工控指紋庫獲得工控聯(lián)網(wǎng)設備的詳細信息。這種主被動結(jié)合的方法旨在更全面準確地識別資產(chǎn)。

1.1.3 漏洞掃描模塊

漏洞掃描模塊利用探測到的設備信息，包括工控聯(lián)網(wǎng)設備的設備類型、設備廠商、設備型號信息，以及傳統(tǒng)網(wǎng)絡設備的開放端口、操作系統(tǒng)等信息進行漏洞掃描，獲得設備上可能存在的漏洞信息。該模塊與資產(chǎn)探測模塊共同部署，在資產(chǎn)探測獲得的信息分類處理后，將傳統(tǒng)網(wǎng)絡設備信息傳入傳統(tǒng)漏洞掃描工具進行漏洞掃描，將工控聯(lián)網(wǎng)設備信息傳入工控漏洞庫進行漏洞匹配。

1.2 基于周期性及通信長度的HMI識別

1.2.1 HMI介紹

HMI指人機交互界面，包含HMI硬件和相應的專用畫面組態(tài)軟件。HMI屬于ICS特有設備，并且使用工控協(xié)議與PLC通信，傳統(tǒng)的漏洞掃描工具無法完全探測出所有HMI的漏洞信息，因此需要先進行HMI識別。識別HMI的關鍵在于過程層設備的區(qū)分。過程控制層中的歷史數(shù)據(jù)庫、工程師站和HMI等設備的功能不同造成了其通信特性的諸多不同。HMI設備可以顯示當前的控制狀態(tài)、過程變量，包括數(shù)字量(開關量)和數(shù)值等數(shù)據(jù)；可以顯示報警信息；可以通過硬件或可視化圖形按鍵輸入數(shù)字量、數(shù)值等控制參數(shù)；可以通過內(nèi)置功能對PLC內(nèi)部進行簡單的監(jiān)控、設置等。

HMI的交互具有周期性。大量實驗發(fā)現(xiàn)，其與歷史的通信長度最長，但與工程師站的交互特點并不明顯。因此，利用此特性，對HMI的通信長度和周期性展開研究。

(1)HMI的通信長度特征。HMI與SCADA服務器進行連接時，在SCADA服務器與上層設備的交互過程中，同等時間內(nèi)與HMI之間的通信長度最長[16]?；谶@一結(jié)論開展研究，探索HMI與其他工控聯(lián)網(wǎng)設備之間是否也擁有最長通信長度。故統(tǒng)計HMI與PLC之間的通信長度，以及其他控制層設備與PLC設備的通信長度。由于根據(jù)通信長度識別HMI并不可靠，因此為實現(xiàn)HMI識別，還需考慮設備通信的周期性。

(2)HMI的通信周期性特征。HMI每隔固定時間向PLC設備發(fā)起一次數(shù)據(jù)讀取請求，其通信周期性高于工程師站和歷史數(shù)據(jù)庫。為測量HMI的通信周期性，對通信數(shù)據(jù)包的分組間隔intg進行了統(tǒng)計實驗與深入分析。

按照設定的分組間隔對數(shù)據(jù)包進行劃分，對分組進行整理，并設置五元組(源IP，源端口，目的IP，目的端口，分組間隔)。對每個通信四元組(源IP，源端口，目的IP，目的端口)，采用分組間隔的標準差stdintg和分組間隔的平均值meanintg設定通信周期性參數(shù)Pc，即Pc=stdintg/meanintg，使用Pc衡量通信周期性，Pc越大代表通信周期性越差，反之，周期性越好。

1.2.2 HMI設備識別算法

ICS可劃分為3個層次：控制層(0層)、過程層(1層)、企業(yè)層(2層)，各層次設備之間的通信關系如下：2層設備只與1層設備通信，1層可以與2層和0層設備通信，0層設備可以與0層和1層設備通信。通過捕獲網(wǎng)絡中的數(shù)據(jù)包，獲得每個源IP設備的目的IP集，利用目的IP集的關系判斷所有IP設備的所在層次。對過程層設備的流量數(shù)據(jù)進行分析，重點解決過程層中HMI的識別混淆問題。

HMI識別過程主要包含數(shù)據(jù)包分組、通信長度統(tǒng)計及排序。首先，根據(jù)通信周期性按照分組間隔對數(shù)據(jù)包分組，然后計算每個分組內(nèi)的通信長度，最后根據(jù)通信長度進行排序，通信長度最高的為HMI設備。HMI設備的識別過程如算法1所示。HMI算法輸入包括原始PCAP以及IP集合。原始PCAP用于提取通信關系，通信關系由六元組構(gòu)成，包括數(shù)據(jù)包的源IP、源端口、目的IP、目的端口、包長和時間戳。

算法1 HMI設備識別算法輸入 捕獲的工控流量包(PCAP) 控制層IP集合(CIPs) 設備層IP集合(DIPs)輸出 HMI對應的IP1: forpktinpcapdo2: 提取數(shù)據(jù)包中源IP、源端口、目的IP、目的端口、包長、包時間;3: endfor4: 根據(jù)前四元組進行聚合,形成流集合flows=(sip,sport,dip,dport):vul1,vul2,…,vul=(size,time);5: forflowinflowsdo6: forvulinflowdo7: ifvul[i+1].time-vul[i].time≥intgthen8: 計算前面小于0.78的間隔的數(shù)據(jù)包的長度之和,記作segsize;9: 將sigsize加入flowsegs,flowsegs=(sip,sport,dip,dport):segsize1,sigsize2,…;10: endif11: endfor12: endfor13: forflow1,flow2inflowsegsdo14: ifflow1.sip==flow2.sipthen15: 將兩條流中的segsize進行加和,記為len;16: 加入IPlens,IPlens=sip:len,…;17: endif18: endfor19: 對IPlens中的元素按照值進行由大到小排序;20: returnIPlens[0];

在分組時，根據(jù)六元組中的前四元組進行流聚合，將設備層返回給控制層的數(shù)據(jù)包聚合到流中，然后根據(jù)流中數(shù)據(jù)包間的時間間隔進行分組。其中，利用通信周期性，可排除歷史數(shù)據(jù)庫通信數(shù)據(jù)。然后計算每條流的總通信長度，并按照源IP求和，得到控制層IP與設備層IP通信的總通信長度，利用最大的通信長度這一特性識別HMI設備。由于PLC層和過程層設備與控制層設備交互周期性較弱，因此，在分組階段對誤判的IP具有一定的容錯性。

1.3 基于漏洞分析的多級索引匹配方法

由于工控網(wǎng)絡對實時性要求較高，直接應用主動掃描方法可能影響工控聯(lián)網(wǎng)設備運行，甚至導致設備異常，所以ICS的漏洞掃描以靜態(tài)匹配方式為主。靜態(tài)匹配的漏洞掃描方式首先獲取系統(tǒng)的設備信息，例如設備類型、設備固件和固件版本。利用獲取到的設備詳細信息查詢工控漏洞數(shù)據(jù)庫，檢索該設備可能存在的漏洞，再對這些漏洞一一驗證。主動探測獲得設備漏洞信息后，匹配漏洞庫中的設備索引，進而確定設備上可能存在的漏洞信息。因此，構(gòu)建漏洞庫時除考慮漏洞庫全面性外，還需考慮匹配速率。

工控漏洞數(shù)據(jù)庫的規(guī)模不斷增大，對檢索算法提出了較高要求。提出使用廠商、設備類型和影響產(chǎn)品來建立工控漏洞數(shù)據(jù)庫的多級索引，并在此基礎上提出一種基于多級多索引信息匹配的工控漏洞檢索方法。產(chǎn)品記錄的總條數(shù)N遠多于廠商數(shù)V和設備類型數(shù)D，因此直接搜索記錄即一級索引的算法用時顯著高于多級索引。選擇BM(Boyer-Moore)算法和KMP(Knuth-Morris-Pratt)算法作為候選基本算法。實驗發(fā)現(xiàn)BM算法在三級索引條件下效率較高，同時在漏洞庫構(gòu)建中，將廠商作為一級索引，設備類型為二級索引、產(chǎn)品型號為三級索引，能快速有效匹配漏洞。

2 實驗結(jié)果和分析

2.1 HMI識別算法測試與分析

2.1.1 實驗數(shù)據(jù)

HMI識別算法在新加坡的iTrust實驗室的安全水處理測試床(secure water treatment testbed,SWaT testbed)實驗數(shù)據(jù)集[17]上展開驗證。安全水處理測試床網(wǎng)絡架構(gòu)如圖3所示。

圖3 安全水處理測試床網(wǎng)絡架構(gòu)Fig.3 Network architecture of secure water treatment testbed

該測試床有完整的三層網(wǎng)絡架構(gòu)，即控制層、過程層和企業(yè)層，也有多種典型的工控聯(lián)網(wǎng)設備，例如，控制層的PLC，過程層的工程師站、歷史數(shù)據(jù)庫、HMI以及其他設備。通過分析通信數(shù)據(jù)包，可確定該實驗數(shù)據(jù)的系統(tǒng)中HMI設備的IP為192.168.1.100。其中，HMI設備識別算法是在層次識別之后進行的，因此，HMI識別結(jié)果在一定程度上依賴于層次識別結(jié)果。

2.1.2 數(shù)據(jù)處理

(1)HMI的通信長度。為探究HMI與工控聯(lián)網(wǎng)設備的通信長度特征，統(tǒng)計1 min之內(nèi)HMI與PLC的通信長度，以及其他過程層設備與PLC通信長度，結(jié)果如圖4所示。HMI與PLC的通信長度短于歷史數(shù)據(jù)庫，故僅根據(jù)通信長度來識別系統(tǒng)中的HMI設備并不可靠。因此，為實現(xiàn)HMI的識別，還需考慮設備的周期性。首先驗證僅利用周期性是否可以識別HMI，若不能，則結(jié)合周期性以及通信長度來識別HMI，其中，先篩除不具有周期性的歷史數(shù)據(jù)庫，再根據(jù)通信長度進行識別HMI設備。

圖4 1 min通信長度統(tǒng)計Fig.4 Statistics of communication length in 1 min

(2)HMI的周期性。計算設備通信周期性的第一步是對數(shù)據(jù)包進行分組，組內(nèi)相鄰數(shù)據(jù)包通信間隔需小于分組時間間隔。HMI數(shù)據(jù)包間的通信間隔統(tǒng)計結(jié)果如圖5所示。HMI與PLC的通信具有明顯的周期性，且其組間間隔時長在0.6～1 s。基于對捕獲包的分析，將分組時間間隔定為0.78 s。根據(jù)各個設備間的通信數(shù)據(jù)包分組間隔計算不同設備的通信周期性參數(shù)。周期性參數(shù)計算結(jié)果如圖6所示，HMI設備的周期性參數(shù)較高，故其周期性較差，而設備192.168.1.201和192.168.1.207會周期性地發(fā)送保持連接的數(shù)據(jù)包，其定時更為嚴格，故參數(shù)值較低。而歷史數(shù)據(jù)庫192.168.1.200在此次周期性篩選中被排除。因此，只借助周期性來識別HMI設備并不可行，需要將HMI的周期性和通信長度進行結(jié)合，進而實現(xiàn)HMI的精確識別。

圖5 HMI與PLC之間通信數(shù)據(jù)包時間間隔Fig.5 Time interval of communication packets between HMI and PLC

圖6 數(shù)據(jù)流周期性參數(shù)Fig.6 Period parameters of the data flow

2.1.3 算法實驗及其結(jié)果

實驗數(shù)據(jù)輸入至算法1中，測試結(jié)果表明，該算法可以較準確地識別HMI設備。算法主要由兩部分組成，對流進行分組及統(tǒng)計數(shù)據(jù)長度并排序。

在流分組后，對長度不為零的流進行分組長度加，結(jié)果如圖7所示。其中，數(shù)據(jù)流(192.168.1.100,49 163,192.168.1.20,44 818)的通信長度最長。

圖7 數(shù)據(jù)流通信長度Fig.7 Communication length of the data flow

獲取流長度之后，對源IP相同的流通信長度進行進一步加和，得到過程層設備中每個設備與下層設備的通信總量，計算結(jié)果如圖8所示，HMI設備192.168.1.100的通信長度最大，由此可以證明算法的有效性。

圖8 過程層設備數(shù)據(jù)長度Fig.8 Data length of the process-level devices

HMI識別模塊選取了1 min的通信數(shù)據(jù)實驗結(jié)果，如表1所示，HMI設備的IP為192.168.1.100，其通信長度最長，這也可證明該算法能達到準確識別HMI的目的。HMI識別在一定程度上依賴于層次識別，經(jīng)多次實驗證明，在層次識別準確率為92.86%時，該算法仍能準確識別HMI設備。

表1 1 min通信數(shù)據(jù)實驗結(jié)果Table 1 Experimental results of communication in 1 min

2.2 漏洞數(shù)據(jù)的多級索引匹配測試與分析

2.2.1 實驗數(shù)據(jù)

工控漏洞庫來自國家信息安全漏洞庫(China National Vulnerability Database of Information Security,CNNVD)的工控行業(yè)漏洞庫。獲取的漏洞庫中廠商數(shù)量為293，設備類型共213種，產(chǎn)品總記錄條數(shù)為5 732。獲取的信息包括url、標題、CNVD ID、公開日期、危害級別、影響產(chǎn)品、BUGTRAQ ID、CVE ID、漏洞描述、漏洞類型、參考鏈接、漏洞解決方案、廠商補丁、驗證信息、報送時間、收錄時間、更新時間、漏洞附件等字段的信息。此外，為了拓展漏洞庫的字段索引，提取每條設備信息的廠商和設備類型，以輔助后續(xù)的漏洞匹配。用于實驗的資產(chǎn)信息如表2所示。

表2 資產(chǎn)信息Table 2 Assets information

2.2.2 算法實驗及其結(jié)果

在一級索引方面，直接以產(chǎn)品型號作為索引，對BM算法和KMP算法進行了比較，算法結(jié)果如圖9所示。經(jīng)實驗發(fā)現(xiàn)，相比于KMP算法，BM算法的匹配速率更高。

圖9 KMP與BM算法比較Fig.9 Comparison of the KMP and BM algorithms

如圖10所示，對BM算法的一級和二級索引進行了比較分析，分別進行了以廠商作為一級索引、以產(chǎn)品作為二級索引和以類型作為一級索引以及以產(chǎn)品作為二級索引的實驗。實驗結(jié)果表明，對于同一種產(chǎn)品，二級索引顯著提高了漏洞匹配速率。在索引順序方面，無論是廠商作為一級索引還是產(chǎn)品類型作為一級索引并無顯著差別。因此針對二級索引和三級索引進行了研究，實驗結(jié)果如圖11所示。

圖10 BM算法一級和二級索引對比Fig.10 Comparison of the first and second indexes in the BM algorithm

圖11 BM算法二級和三級索引對比Fig.11 Comparison of the second and third indexes in BM algorithm

經(jīng)實驗分析發(fā)現(xiàn)，在三級索引條件下，先進行廠商匹配，再進行類型和產(chǎn)品匹配的效率較高，且更為穩(wěn)定。因此，針在漏洞庫的索引構(gòu)建，提出將廠商作為一級索引、設備類型作為二級索引、產(chǎn)品型號作為三級索引的多級索引信息匹配的漏洞檢索方法。

3 結(jié)論

結(jié)合工控聯(lián)網(wǎng)設備的網(wǎng)絡特性、業(yè)務特點及安全需求，提出了一種結(jié)合通信長度和周期性特征的HMI設備識別算法以及一種基于多級索引信息匹配的漏洞檢索方法，同時結(jié)合團隊前期研究設計了一個面向工控聯(lián)網(wǎng)設備的安全管理系統(tǒng)。實驗證明該系統(tǒng)可準確識別工控系統(tǒng)中的聯(lián)網(wǎng)設備，并能根據(jù)識別到的工控聯(lián)網(wǎng)設備信息快速檢索到其可能存在的漏洞。