一种工业控制系统的漏洞关联挖掘方法技术方案

本发明专利技术涉及一种工业控制系统的漏洞关联挖掘方法，属于网络安全技术领域。本发明专利技术包括获取网络漏洞；将漏洞分类；采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。本发明专利技术在分析工控漏洞之间的逻辑关系时，提出使用多维属性进行综合描述，对工控漏洞进行有效分类，除基本描述指标外，还使用了权限集合的概念，利用漏洞攻击的提权性质将漏洞联系起来，本发明专利技术还提出了将机器学习算法与规则处理相结合的方式，自动化生成提取权限集合标签全过程，综合高效的分析利用安全漏洞可对工业控制系统造成直接或间接的攻击威胁。

【技术实现步骤摘要】
一种工业控制系统的漏洞关联挖掘方法
本专利技术涉及一种工业控制系统的漏洞关联挖掘方法，属于网络安全

技术介绍
随着互联网的高速发展，两化融合的理论逐渐成熟，工业控制系统逐步采用开放网络互联技术、商业IT标准产品。在数字化、智能化发展推进工业生产发展的同时，也带来了诸多的安全隐患。例如，工业生产中以PLC为代表的一些核心嵌入式设备，其安全防范能力较弱，网络化的结果无疑使得工控设备遭受恶意攻击的风险加大。近年针对工业控制系统的各种攻击事件日益增多，暴露出其在安全防护方面上的严重不足，因此加快工业控制系统的信息安全建设尤为紧迫。工业控制系统受到攻击的原因在于其网络、设备、流程中存在的安全性漏洞，漏洞的存在是导致安全事件发生的内因，一旦漏洞被发掘利用则会对工业控制系统造成重大安全威胁。攻击者在并未获取授权的情况下访问控制系统，对系统的机密性、可鉴别性和可用性都有严重影响。因此，漏洞挖掘是解决工业控制系统安全防护的根本方式，提前发现安全防护的问题，尽早采取防护措施，防止漏洞被利用而造成的重大损失。针对工业控制系统的攻击多为多层级连续攻击，而现有的研究和工作大多沿用传统的独立性漏洞分析，并没有考虑到漏洞之间的关联性会对系统整体造成的影响，导致对工业控制系统的漏洞威胁风险评估不够准确、深入。因而，深入有效地挖掘安全漏洞之间的潜在逻辑关联关系，对于加深了解工业控制系统的攻击多步性等性质，提高对攻击检测与评估的准确性和完善性都具有深刻意义。同时便于针对多个不同来源的工控漏洞信息进行综合分析，以应对利用一些现有的工控漏洞而展开的新型攻击情况。
技术实现思路
针对现有技术的不足，本专利技术提供一种工业控制系统的漏洞关联挖掘方法，在分析工控漏洞之间的逻辑关系时，提出使用多维属性进行综合描述，对工控漏洞进行有效分类，除基本描述指标外，还使用了权限集合的概念，利用漏洞攻击的提权性质将漏洞联系起来，本专利技术还提出了将机器学习算法与规则处理相结合的方式，自动化生成提取权限集合标签全过程，综合高效的分析利用安全漏洞可对工业控制系统造成直接或间接的攻击威胁。本专利技术采用以下技术方案：一种工业控制系统的漏洞关联挖掘方法，包括以下步骤：(1)获取网络漏洞；(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。本专利技术通过将漏洞分类，对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系，综合分析各个漏洞导致的安全威胁。优选的，步骤(1)中，从国家信息安全漏洞共享平台(CNVD)和工业互联网安全应急响应中心(ICS-CERT)获取工业控制系统行业漏洞信息。优选的，步骤(2)进一步为：对所获得的漏洞数据进行筛选后，保留如下关键信息，即漏洞特征量数据，包括：通用漏洞(CVE)编号、通用漏洞评分系统(CVSS)评分、攻击向量(AV)、身份认证情况、通用平台(CPE)、机密性影响、完整性影响、可用性影响和漏洞危害描述；相关字段的描述及取值如下：通用漏洞编号：可快速地在CVE兼容的数据库中找到相应信息，不同漏洞其编号取值不同，例如：CVE-2018-4858；通用漏洞评分系统评分：评测漏洞的严重程度，帮助确定所需反应的紧急度和重要度，取值为0-10；攻击向量：判断攻击是否需要网络访问支持，取值为Physical,Local,AdjacentNetwork,Network；身份认证情况：判断漏洞是否需要在认证情况下才可被攻击利用，即是否需要具备一定的前提权限集合，取值为None,Single,Multiple；通用平台(CPE)：将通用平台数据与认证情况和权限集合进行关联可得到进一步的分析，取值为Operatingsystems,Firmwares,Applications。机密性影响、完整性影响、可用性影响：其安全属性取值均为None,Partial,andComplete。漏洞危害描述：使用自然语言描述工控漏洞的特征，如使用前提和造成后果等，利用NLTK将其划分提取为词汇格式如’obtainpassword’、’obtaincredential’或’gainroot’等。分析工业控制系统存在漏洞情况时，对于攻击者而言，实施侵入等攻击手段的目的在于利用系统中的漏洞来获得权限，以此进行例如篡改数据等异常操作达到攻击目的。并且，漏洞之间具有一定的相关性联系，分析利用漏洞之间的逻辑关系时发现，攻击者可进行多层级连续攻击，由此不断地提升自己所具有的权限范围(即提权性质)，以获得更高级甚至系统管理员级别的权限，从而严重危害到工业控制系统的安全性，造成巨大的安全隐患；在攻击过程中，攻击者一般具有某些用户特性，并具有在授权情况下与其对应的用户权限资源，例如，工控系统管理员(ICS-ROOT)为最高权限级别，具有对工业控制系统的设备、文件、进程等资源进行统筹管理的权限能力。对于工业控制系统来说，用户与访问权限是互相映射的，系统中某特定用户，其所具有的全部对可访问客体的访问权限是一个权限集合，因此将权限集合按照用户身份角色来进行分类，采用决策树自上而下进行判断，将符合多种情况的用户分配到权限级别更高级的类别中，满足互斥分类，权限集合取值包括：工控系统管理员权限集合(ICS-ROOT)、高级用户权限集合(ICS-ADUSER)、普通用户权限集合(ICS-USER)、信任远程用户权限集合(ICS-ACCESS)、非信任远程用户权限集合(ICS-UNACCESS)。优选的，按照对工业控制系统采取动作的影响程度对权限集合施以量化，其中，ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS的权值分别为1.0，0.8，0.5，0.2和0.0。进一步优选的，在将漏洞分类时，在描述漏洞属性时除了采用漏洞对机密性、完整性、可用性的影响，攻击复杂性、攻击危害性描述、攻击向量、身份验证等指标外，还需加入利用某漏洞时所需的前提权限集合和成功利用漏洞能达到的结果权限集合来进行描述，其取值分别属于ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS五种用户权限之一。优选的，步骤(3)为：将工控漏洞的数据描述字段输入到深度神经网络(DeepNeuralNetworks，DNN)模型中进行训练学习，得到权限集合标签作为输出，再对感知器模型无法覆盖的情况下采用规则模型来进行补充，得到完整的自动化生成提取权限集合标签过程。进一步优选的，步骤(3)具体包括以下步骤：a、从国家信息安全漏洞共享平台和工业互联网安全应急响应中心提取工业控制系统行业漏洞中的数据本文档来自技高网...

【技术保护点】
1.一种工业控制系统的漏洞关联挖掘方法，其特征在于，包括以下步骤：/n(1)获取网络漏洞；/n(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；/n(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；/n(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。/n

【技术特征摘要】
1.一种工业控制系统的漏洞关联挖掘方法，其特征在于，包括以下步骤：
(1)获取网络漏洞；
(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；
(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；
(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。


2.根据权利要求1所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(1)中，从国家信息安全漏洞共享平台和工业互联网安全应急响应中心获取工业控制系统行业漏洞信息。


3.根据权利要求2所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(2)进一步为：对所获得的漏洞数据进行筛选后，保留如下关键信息，即漏洞特征量数据，包括：通用漏洞编号、通用漏洞评分系统评分、攻击向量、身份认证情况、通用平台、机密性影响、完整性影响、可用性影响和漏洞危害描述，字段的描述及取值如下：
通用漏洞编号：快速地在CVE兼容的数据库中找到相应信息，不同漏洞其编号取值不同，例如：CVE-2018-4858；
通用漏洞评分系统评分：评测漏洞的严重程度，帮助确定所需反应的紧急度和重要度，取值为0-10；
攻击向量：判断攻击是否需要网络访问支持，取值为Physical,Local,AdjacentNetwork,Network；
身份认证情况：判断漏洞是否需要在认证情况下才可被攻击利用，即是否需要具备一定的前提权限集合，取值为None,Single,Multiple；
通用平台：将通用平台数据与认证情况和权限集合进行关联可得到进一步的分析，取值为Operatingsystems,Firmwares,Applications；
机密性影响、完整性影响、可用性影响：其安全属性取值均为None,Partial,andComplete；
漏洞危害描述：使用自然语言描述工控漏洞的特征，如使用前提和造成后果，利用NLTK将其划分提取为词汇格式如’obtainpassword’、’obtaincredential’或’gainroot’；
对于工业控制系统来说，用户与访问权限是互相映射的，系统中某特定用户，其所具有的全部对可访问客体的访问权限是一个权限集合，因此将权限集合按照用户身份角色来进行分类，采用决策树自上而下进行判断，将符合多种情况的用户分配到权限级别更高级的类别中，满足互斥分类，权限集合取值包括：工控系统管理员权限集合，即ICS-ROOT；高级用户权限集合，即ICS-ADUSER；普通用户权限集合，即ICS-USER；信任远程用户权限集合，即ICS-ACCESS；非信任远程用户权限集合，即ICS-UNACCESS。


4.根据权利要求3所述的工业控制系统的漏洞关联挖掘方法，其特征在于，按照对工业控制系统采取动作的影响程度对权限集合施以量化，其中，ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS的权值分别为1.0，0.8，0.5，0.2和0.0。


5.根据权利要求4所述的工业控制系统的漏洞关联挖掘方法，其特征在于，在将漏洞分类时，在描述漏洞属性时除了采用漏洞对机密性、完整性、可用性的影响，攻击复杂性、攻击危害性描述、攻击向量、身份验证等指标外，还加入了利用某漏洞时所需的前提权限集合和成功利用漏洞能达到的结果权限集合来进行描述，其取值分别属于ICS-ROOT、ICS-ADUSER、ICS-USER、...

【专利技术属性】
技术研发人员：曲海阔，王子博，刘志尧，王佰玲，张格，刘扬，
申请(专利权)人：哈尔滨工业大学威海，国家工业信息安全发展研究中心，
类型：发明
国别省市：山东;37