一种适用于工业控制系统的风险评估方法技术方案

本发明专利技术涉及一种适用于工业控制系统的风险评估方法。该方法首先采用基于安全属性的层次化建模方法对目标网络进行建模，并采用攻击模式知识库对攻击者攻击过程中的能力进行建模；然后根据目标网络和攻击者的安全模型构建层次化的攻击图，并将攻击图转化为攻击树；然后采用分层指标分析法构建递阶层次化风险评价指标体系，并用逐层加权法进行综合评判，得到工业控制系统的风险评估结果。本发明专利技术是无需系统或设备离线的分析方法，是基于模型的定性与定量分析相结合的风险评估与管理工具，能够发现工业控制系统中的安全隐患，提高工业控制系统的安全评估水平。

A risk assessment method for industrial control systems

The invention relates to a risk assessment method applicable to an industrial control system. The method firstly adopts a hierarchical modeling method based on the security attributes of the target network modeling, and the modeling of the attack pattern knowledge ability in the process of attack; then according to the attack graph construction of hierarchical security model of target network and attackers, and the attack graph into the attack tree; then using hierarchical index analysis methods to construct the order of risk evaluation index system, and use the weighted comprehensive evaluation method, get the results of risk assessment of industrial control system. The present invention is the analysis method without a system or device is offline, risk assessment and management tool for qualitative and quantitative analysis model based on the combination of security risks can be found in industrial control system, improve the level of safety assessment of the industrial control system.

【技术实现步骤摘要】
一种适用于工业控制系统的风险评估方法
本专利技术涉及工业控制
，尤其涉及一种适用于工业控制系统的风险评估方法。
技术介绍
工业控制中的安全隐患往往不但存在于工业控制设备中，更潜伏在工业控制系统(或工业控制网络，以下统一用“工业控制系统”代替)里。工业控制系统利用各种配置功能和元件执行要求的任务，该特征决定了难以仅通过评定每一个单独功能和元件的安全特征来综合评估一个系统的信息安全能力。对工业控制系统而言，安全威胁通常是不易察觉的。如果将所有因素集中起来全盘考虑，一些看似无害的小隐患可能会导致可不恢复的灾难性后果，而不仅仅是暂时性的经济损失。因此，需要对系统所有的软硬部件有一个清晰的、系统的认识，在技术上先发制人保护系统免受恶意行为破坏。一个好的工业控制系统应该同时满足操作性和安全性两个要求，但目前的现状是，大部分系统充分考虑操作性，而忽略了安全性。为了提升工业控制系统的安全能力，需要先对其隐患进行充分分析，然后针对性地提出解决方案。由于工业控制系统及设备一旦上线则需长期运行的特殊性，应小心确保隐患分析不会干扰由工业控制系统及设备提供的控制功能。因此，在评估实施前，可能需要使系统离线。而上线系统再离线，必定会对生产产生较大影响。为了规避这种影响，针对在用工业自动化控制系统(评估)，应考虑现场测试和引入安全技术措施对正常生产过程的影响。
技术实现思路
为了提高工业控制系统的安全评估水平，发现工业控制系统中的安全隐患，本专利技术提供一种适用于工业控制系统的风险评估方法。本专利技术的适用于工业控制系统的风险评估方法，包括如下步骤：步骤a，层次化的攻击图自动构建。首先，是对目标网络进行建模，采用基于属性的层次化建模方法。其次，是对攻击者进行建模。主要以攻击模式知识库对攻击者攻击过程中的能力建模。为了构建攻击模式知识库，首先从网络攻击成功的因果条件的角度，抽象攻击者的攻击模式，然后通过分析开放脆弱点数据库中各个脆弱点的描述规范将该脆弱点映射至可被其利用的攻击模式。为了减少计算复杂度，提出属性压缩技术：利用IP地址的CIDR记法，将目标网络内主机间相互关系压缩成虚拟子网间相互关系。步骤b，图树转化算法，可以统一处理3类含环情况。主要包括三类。第一类：环内没有属性节点或攻击节点能够被攻击者到达，可以完全删除。第二类：环内部分节点可以到达，可以打破。第三类：整体而言既不能删除也不能打破，可用基于逆向搜索的目标最优攻击树生成算法分解。本专利技术采用基于深度彻底搜索的攻击树生成算法和基于逻辑分析的无解结点标记算法来完成图树分解。攻击图模型中的脆弱性之间的联系复杂，攻击路径难以有效提取，也给量化分析增加了难度；而攻击树模型简单，与复杂的脆弱性之间的联系不能很好对应，难以自动构建。用该攻击图转攻击森林的方案后，能够自动对系统脆弱性进行建模，又能够提取出清晰的攻击路径，便于分析。该攻击图转攻击树算法能够有效处理攻击图中复杂的环，且不丢失有价值的攻击路径。该攻击图转攻击树算法能够分析与或逻辑，去除攻击图分解得到的攻击树中无解的结点。该攻击图转攻击树算法能够对图中多入度的结点进行处理。算法适宜用高效的数据结构实现，如图使用邻接表数据结构，能够有效降低空间和时间复杂度。步骤c，安全风险估算。采用分层指标分析法。工控系统的递阶层次化风险评价指标体系如图6，包括目标层、准则层和指标层。目标层定义了隐患评测的最终目的——计算工控系统隐患评估值。准则层是评价安全隐患所需的综合指标，包括发生概率、影响程度及不可控性。指标层是评价准则层所依赖的基本指标，如威胁动机、攻击能力等。指标层中，需要综合各种不同性质的指标，各类指标权重的赋值是需要丰富的实践经验积累。经过上面步骤，本专利技术完成了工业控制系统的风险评估。针对这些风险，本专利技术还能够提供防护建议，并且能够构建测试环境，以对前面的评估结果进行验证和反馈。下面具体说明。步骤d，防护建议。采用基于实时性保护的最小代价防护算法，获得符合工控系统实时性要求的最优防护集。在攻击图和攻击树中，不同的安全防护措施，需要不同的安全成本，且会对系统实时性造成一定影响；符合实时性约束条件的最优防护集的安全成本最低，且不会干扰工控系统的正常工作。步骤e，构建测试环境。为了验证工控安全隐患分析系统的评估指标，本专利技术构建了工控测试环境。该环境主要基于虚拟机进行构建，描述了一个工业控制网络中的所有主机、设备、及其它节点的情况。整个测试环境由若干(比如10台)服务器(可以采用普通PC服务器)组成，每台服务器上部署若干(比如20个)虚拟主机。每个虚拟主机上随机配置各种操作系统和相关的web服务。为了建立动态的网络拓扑，需要提供配置参数来动态调整各虚拟主机之间的连通度。同时，各虚拟主机可以模拟主流型号的PLC设备。各PLC设备的漏洞信息由配置文件随机进行分发部署。根据建立的测试环境，可以自动生成相应的网络拓扑结构，漏洞文件及其它配置信息。把这些信息输入到工控安全隐患分析系统，进行网络建模，并生成攻击图。然后，根据攻击图，运行图转树算法，生成需要的攻击树。经过对测评指标的配置，自动生成各种测评指标参数值。然后，根据内部攻击实验和外部攻击捕获结果，对攻击概率做进一步的修正。经过建立这样的测试环境，就可以对前面的评估结果进行验证和反馈。从而，整个系统形成一个闭环，有助于测评结果更加趋于真实情况。本专利技术是一种无需系统或设备离线的分析方法(可称为离线分析法)。该方法以中华人民共和国国家标准《GB/T30976.1—2014工业控制系统信息安全第1部分：评估规范》为指导，从系统(网络)和设备两个层面对安全隐患进行分析。该方案是一种基于模型的定性与定量分析相结合的风险评估与管理工具，在对系统各组成部分、安全要素充分研究的基础上，对典型系统、威胁、脆弱性建立量化或半量化的模型，根据采集信息的输入，得到评价的结果，从而实现离线的安全测试。本专利技术能够发现工业控制系统中的安全隐患，提高工业控制系统的安全评估水平。附图说明图1为风险评估机制业务流程图；图2为基于属性的层次化网络构建示意图；图3为攻击图中三种类型的环示意图；图4为攻击图转化成的攻击森林示意图；图5为解决去除回向边和复制多入度结点问题的示意图；图6为递阶层次化风险评价指标体系示意图；图7为风险评估计算机制示意图；图8为基于转换的最优弥补集算法流程图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例和附图，对本专利技术做进一步说明。本专利技术提出的适用于工业控制的风险评估机制和工具，其业务流程如图1所示，主要包括潜在威胁识别、风险估算、防护建议三部分内容。对各部分具体说明如下。1.目标网络建模和攻击者建模潜在威胁识别主要是通过攻击图和攻击树技术，来对安全攻击路径进行识别。首先，本专利技术采用基于属性的层次化目标网络建模方法，其特征之一是采用基于安全属性的建模方法，对工控系统涉及的安全属性进行提取和汇总；其特征之二是构建层次化模型，增加了子域层，可有效降低风险评估的复杂度。本专利技术提出了如图2所示的四层网络模型。AI表示工控系统级的属性描述集合，它包括目标网络内业务子域之间逻辑连接关系，子域之间信任关系等。Ad是对工控业务子域的属性描述集合，它包括目标网络内主机之间本文档来自技高网...

【技术保护点】
一种适用于工业控制系统的风险评估方法，其特征在于，包括如下步骤：1)采用基于安全属性的层次化建模方法对目标网络进行建模；2)采用攻击模式知识库对攻击者攻击过程中的能力进行建模，该攻击模式知识库中的攻击模板以各个脆弱点被利用的前提和产生的后果来描述；3)根据步骤1)和步骤2)的建模结果构建层次化的攻击图；4)将攻击图转化为攻击树，在转化过程中消除攻击图中的环路和多入度结点，并去除攻击图分解得到的攻击树中无解的结点；5)采用分层指标分析法构建递阶层次化风险评价指标体系，然后用逐层加权法进行综合评判，得到工业控制系统的风险评估结果。

【技术特征摘要】
1.一种适用于工业控制系统的风险评估方法，其特征在于，包括如下步骤：1)采用基于安全属性的层次化建模方法对目标网络进行建模；2)采用攻击模式知识库对攻击者攻击过程中的能力进行建模，该攻击模式知识库中的攻击模板以各个脆弱点被利用的前提和产生的后果来描述；3)根据步骤1)和步骤2)的建模结果构建层次化的攻击图；4)将攻击图转化为攻击树，在转化过程中消除攻击图中的环路和多入度结点，并去除攻击图分解得到的攻击树中无解的结点；5)采用分层指标分析法构建递阶层次化风险评价指标体系，然后用逐层加权法进行综合评判，得到工业控制系统的风险评估结果。2.如权利要求1所述的方法，其特征在于，步骤1)采用四层的目标网络模型，包括：AI，表示工控系统级的属性描述集合，包括目标网络内业务子域之间逻辑连接关系，以及子域之间信任关系；Ad，是对工控业务子域的属性描述集合，包括目标网络内主机之间逻辑连接关系，以及主机之间信任关；Ah，是主机级的属性描述集合，其中属性集合Ahi描述攻击者在主机hi上拥有哪些权限，能否运行任意程序，以及能否窃取数据以及篡数据；As，是服务级的属性描述集合，其中属性集合Asi描述服务si在哪些主机上运行，是否会被拒绝服务攻击，以及是否存在脆弱点。3.如权利要求1所述的方法，其特征在于：步骤2)所述攻击模式知识库的构建方法是，首先从网络攻击成功的因果条件的角度，抽象攻击者的攻击模式，然后通过分析开放脆弱点数据库中各个脆弱点的描述规范将该脆弱点映射至可被其利用的攻击模式。4.如权利要求1所述的方法，其特征在于：步骤3)构建攻击图时，采用属性压缩技术，利用IP地址的CIDR记法，将目标网络内主机间相互关系压缩成虚拟子网间相互关系。5.如权利要求1所述的方法，其特征在于：步骤4)所述将攻击图转化为攻击树的方法包括：a)采用基于深度彻底搜索的攻击树生成算法，不考虑攻击图的与或逻辑，将攻击图进行分解，直到分解到攻击图的叶子结点或一个分支中出现重复结点；b)采用基于逻辑分析的无解结点标记算法，遍历新生成的树，对所有无解结点进行标记：对于树中叶子结点，如果来自攻击图中的与/或结点，那么它是无解的结点；对于树中非叶子结点，如果来自图中的与结点，当子结点存在无解结点时，它就是无解结点；如果来自图中的或结点，那么当结点的所有子结点都是无效结点时，它才是无解结点...

【专利技术属性】
技术研发人员：石志强，金永明，胡晴，孙利民，王中杰，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11