一种基于攻击图的工业控制系统安全度量方法技术方案

本发明专利技术涉及一种基于攻击图的工业控制系统安全度量方法，该方法包括：获取工控网络拓扑结构信息，对特定工控系统的设备进行探测，掌握工控网络内的设备信息，并且对设备关联情况进行分析；针对工控网络内设备的探测结果，对设备漏洞信息进行收集；根据拓扑结构和设备漏洞信息，基于图数据库的方法以图形化格式存储格式，采用节点和关系表示图结构，生成系统攻击图；根据生成的系统攻击图，按照漏洞节点度量、设备节点度量、系统安全度量三个层次，对特定工控系统进行网络安全度量，并对攻击路径进行分析。本方法最大程度的发现潜在威胁，极大缩短工控系统安全度量的分析周期，提高度量的效率，为工控系统的防护工作打下基础。

【技术实现步骤摘要】
一种基于攻击图的工业控制系统安全度量方法
本专利技术涉及一种基于攻击图的工业控制系统安全度量方法，属于网络安全

技术介绍
近年来，工业控制系统逐渐向信息化发展，不仅引入了互联网中多样化方法，同时也给工控系统带来了多方面的攻击威胁。高度信息化的工业控制系统需要面对网络环境的变化，以及网络组件对系统的潜在影响。针对工业控制系统运行环境复杂化，攻击方式多样化的问题，提出一种基于攻击图的工业控制系统安全度量方法，通过整合漏洞与拓扑信息，展示工控系统的潜在攻击路径，可视化安全度量过程，为后续系统安全分析提供数据支撑，保护关键任务资产免受潜在威胁源的侵害。例如，中国专利文献CN110533754A提供了一种基于大规模工控网络的交互式攻击图展示系统及展示方法，展示系统包括json文件构造模块、网络拓扑生成模块、场景漫游处理模块、攻击图生成模块和交互事件处理模块；该方法从攻击目标出发，逆向生成攻击图，极大地降低了攻击图的复杂性和可用性。攻击图展示系统中采用交互形式，允许用户通过点击切换攻击目标，生成基于确定目标的实时关键攻击路径，极大地提高了本文档来自技高网...

【技术保护点】
1.一种基于攻击图的工业控制系统安全度量方法，其特征在于，包括以下步骤：/n步骤一，获取工控网络拓扑结构信息，对特定工控系统的设备进行探测，掌握工控网络内的设备信息，并且对设备关联情况进行分析；/n步骤二，针对工控网络内设备的探测结果，对设备漏洞信息进行收集；/n步骤三，根据拓扑结构和设备漏洞信息，基于图数据库的方法以图形化格式存储格式，采用节点和关系表示图结构，生成系统攻击图；/n步骤四，根据生成的系统攻击图，按照漏洞节点度量、设备节点度量、系统安全度量三个层次，对特定工控系统进行网络安全度量，并对攻击路径进行分析。/n

【技术特征摘要】
1.一种基于攻击图的工业控制系统安全度量方法，其特征在于，包括以下步骤：
步骤一，获取工控网络拓扑结构信息，对特定工控系统的设备进行探测，掌握工控网络内的设备信息，并且对设备关联情况进行分析；
步骤二，针对工控网络内设备的探测结果，对设备漏洞信息进行收集；
步骤三，根据拓扑结构和设备漏洞信息，基于图数据库的方法以图形化格式存储格式，采用节点和关系表示图结构，生成系统攻击图；
步骤四，根据生成的系统攻击图，按照漏洞节点度量、设备节点度量、系统安全度量三个层次，对特定工控系统进行网络安全度量，并对攻击路径进行分析。


2.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤一中，获取工控网络拓扑结构信息包括系统设计文档中的拓扑规划、系统配置以及安全设备的访问控制规则；根据系统设计文档以及安全设备的访问控制规则，读取系统设备间的连接关系并进行提取，以还原系统拓扑结构。


3.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤二中，对设备漏洞信息进行收集包括漏洞信息库构建及设备漏洞获取；
漏洞信息库构建包括漏洞信息采集及漏洞信息处理；漏洞信息采集以CVE-NVD漏洞库为主体，CNNVD、ICSVulnerabilityDatabase为拓展安全库，CWE、CAPEC为漏洞关联信息库，来构建安全知识库，将采集的漏洞信息存储至MySQL数据库中；漏洞信息处理以CNNVD和CVE漏洞知识库为主体，对导入MySQL数据库中的所有漏洞信息进行匹配、关联，引入CWE作为弱点描述和弱点分类以及利用性判别的依据，并结合CAPEC，描述利用漏洞进行攻击的前提、技术储备、方式和造成后果；
设备漏洞获取采用扫描工具对系统设备进行漏洞扫描，根据已获取的系统设备信息，对扫描工具进行配置，完成设备漏洞信息的扫描；然后根据扫描获取到的设备漏洞信息，将设备与漏洞进行关联表示，一个设备可关联一个或多个漏洞，定义设备与漏洞的连接关系为has_vul_at，DEVICE1has_vul_atVUL1表示该设备1存在编号为VUL1的漏洞；将设备漏洞信息与漏洞信息库中信息进行匹配，每一个漏洞都可获得“CNNVD描述-CVE漏洞编号-CWE弱点报告-CAPEC攻击方法-CVSS评分”的原子攻击模板，为后续攻击图的生成提供输入数据。


4.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤三中，攻击图中的节点包括设备节点以及漏洞节点；
设备节点信息包含了设备漏洞所在的服务信息、开放端口信息和IP信息，设备节点信息作为设备节点的属性，设备节点信息采用五元组即设备IP、设备名称、存在漏洞的服务、服务协议、服务端口进行描述；
漏洞节点信息包含原子攻击规则中的CVE\CNNVD编号、CWE分类、提权能力标识和CVSS评分，漏洞节点信息作为节点属性集成在以漏洞ID为标识的漏洞节点上，漏洞节点信息采用四元组即漏洞ID、漏洞编号、漏洞类型、漏洞评分进行描述；
根据网络拓扑分析以及漏洞信息收集的结果，对数据进行预处理，总结为设备信息表、漏洞信息表、设备关系表，作为攻击图生成算法的输入。


5.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤四中，漏洞节点度量根据扫描的设备漏洞信息对漏洞节点的可利用率以及漏洞危害进行量化；漏洞节点可利用性由CAPEC库中“攻击可能性”字段定义，将攻击可能性的{低，中，高}量化表示为{0.3，0.6，0.9}，分数低表示被攻击可能性低，分数高表示被攻击可能性高；漏洞节点的危害分数采用通用安全漏洞评分系统CVSS的漏洞评估分数，满分为10分，分数越高，漏洞危害越大，分数越低，漏洞危害越小。


6.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤四中，设备节点度量根据设备节点被攻击概率以及设备节点危险分数进行量化；
a.设备节点被攻击概率
针对每个设备节点相连的漏洞节点，根据其可利用率计算设备节点的被攻击概率，如式Ⅰ：



其中，Uself表示本设备节点的被攻击概率，ui表示与该设备节点相连的第i个漏洞节点的可利用率，k表示与该设备节点相连的所有漏洞节点数，与设备节点相连的漏洞节点数量越多，该设备节点的被攻击概率越高；
b.设备节点危险分数
以相连漏洞节点的可利用率为依据，对漏洞节点进行加权...

【专利技术属性】
技术研发人员：张耀方，王佰玲，孙云霄，王巍，黄俊恒，辛国栋，
申请(专利权)人：哈尔滨工业大学威海，
类型：发明
国别省市：山东;37