一种工控系统漏洞扫描工具综合评价方法技术方案

一种工控系统漏洞扫描工具综合评价方法，该方法包括以下步骤：先评估漏洞扫描工具支持的扫描对象、知识库及漏洞库等基本属性得到基础属性评分，再选定工控系统，确定扫描范围及策略后开始漏洞扫描，对扫描结果利用漏洞POC进行验证后得到的相关漏洞集，再计算有效率、误报率、漏报率评分，由评分标准方差计算数据稳定度，再计算漏洞可信度评分，记录在扫描过程中被扫对象的CPU、内存等性能参数和消耗时间，计算影响分析及扫描效率评分，最后根据四个指标的权重计算综合评分。本方法以基本属性及实际效果为依据，在考虑知识库完备性、工控系统个体差异、扫描过程影响可控等多重约束条件下，实现了对漏洞扫描工具科学评价。

【技术实现步骤摘要】
一种工控系统漏洞扫描工具综合评价方法
本专利技术涉及工控安全检测
，具体涉及一种工控系统漏洞扫描工具综合评价方法。
技术介绍
要准确查找工控系统中存在的安全漏洞，对工控系统进行漏洞扫描是常见自动化检查方式，及时发现漏洞并进行修复可有效降低网络安全风险。漏洞扫描工具是运营单位对工控系统自身进行脆性检查、安全评估、安全运维的必备工具，漏洞可信度主要依赖于完备知识库及扫描策略。目前大多数漏扫技术是面向互联网的，缺少针对工控系统进行优化调整，扫描效果不佳且效率低下，同时由于工控系统的脆弱性，无法经受常规的扫描，很多扫描工具影响工控系统的运行。面对众多的扫描工具，指导运营单位挑选适合的产品，需要提供一种科学的评价方法。好的扫描工具需要在保证工控系统正常运行的前提下，发现更多真实存在安全漏洞，减少误报率及漏报率，同时提高扫描的效率。漏洞扫描工具的知识库完备性、工控系统个体差异、对被扫对象的影响程度都是进行评价需要考虑的因素，多种因素造成了扫描效果的不稳定性，也影响了评价结果的准确性。
技术实现思路
为了克服上述现有技术存在的问题，本专利技术提出了一种工控系统漏洞扫描工具综合评价方法。目的是基于工控系统漏洞扫描工具的基础属性和实际使用效果，实现对漏洞扫描工具的科学评估。该方法可用于指导运营单位挑选适合的产品，帮助厂家进行工具的改进和升级。为达到上述目的，本专利技术采用如下技术方案：一种工控系统漏洞扫描工具综合评价方法，包括以下步骤：步骤(1)：根据漏洞扫描工具支持的扫描对象、知识库及漏洞库、扫描报告三个基本属性的完备性进行评估，计算基本属性评分，评估要素如下：按照高、中、低三级进行评分，评分对应3、2、1，漏洞扫描工具Ti的基本属性评分pi为三级评分之和；步骤(2)：对参与评估的m个漏洞扫描工具，选定n个工控系统，确定资产扫描范围，确定扫描频率、发包速率等扫描策略，避免给工控系统造成异常，关闭扫描对象节点上的主机卫士、防火墙等影响结果的程序，可并行对设定范围内的资产进行漏洞扫描，扫描结束后汇总扫描漏洞，则漏洞扫描工具Ti对n工控系统的漏洞扫描结果对应的漏洞数量集合表示为Si＝{si1，si2…sin}，si1表示漏洞扫描工具Ti对第1个工控系统扫描的漏洞总数；步骤(3)：根据漏洞扫描工具Ti的扫描结果漏洞集，利用漏洞POC进行验证，将确实存在的可利用的漏洞形成工具有效漏洞集，属于工具扫描结果漏洞集但不在工具有效漏洞集中的漏洞形成工具误报漏洞集，将m个漏洞扫描工具对每个工控系统的有效漏洞集进行集合相并，得到每个工控系统对应的总体有效漏洞数量集，n个工控系统对应的总体有效漏洞数量集Z＝{z1，z2…zn}，属于工控系统总体有效漏洞集但不属于某个漏洞扫描工具有效漏洞集的漏洞形成该漏洞扫描工具漏报漏洞集，再由漏洞扫描工具Ti的有效漏洞集、误报漏洞集、漏报漏洞集得到对应的有效漏洞数量集Yi＝{yi1，yi2…yin}、误报漏洞数量集Wi＝{wi1，wi2…win}、漏报漏洞数量集Xi＝{xi1，xi2…xin}；根据上述的4个漏洞数量集，计算漏洞扫描工具Ti对第j个工控系统的漏洞扫描结果的有效率评分aij、误报率评分bij、漏报率评分cij：aij＝yij/zj(1)bij＝1-wij/sij(2)cij＝1-xij/sij(3)将漏洞扫描工具Ti对n个工控系统的漏洞扫描结果的有效率评分、漏报率评分、误报率评分形成集合Di＝{di1，di2…div}，其中v＝3n，由样本标准偏差计算集合Di的数据稳定度oi，再由数据稳定度oi计算漏洞可信度评分fi；步骤(4)：在漏洞扫描工具Ti对第j个工控系统进行漏洞扫描过程中，记录被扫时间段内对象的CPU的利用率为eij、内存的利用率为gij、硬盘的利用率为hij、网络的利用率为kij的平均利用率计算影响分析指标，如扫描对象为多个资产，则利用率数据取多个资产的平均值；先计算漏洞扫描工具Ti对第j个工控系统进行漏洞扫描过程中的影响分析评分rij，再对n个工控系统的评分进行算数平均得到漏洞扫描工具Ti的影响分析评分ri；rij＝((1-eij)+(1-gij)+(1-hij)+(1-kij))*10/4(6)步骤(5)：漏洞扫描工具Ti对第j个工控系统扫描的消耗时间为tij，如扫描对象为多个资产，则消耗时间取多个资产的累计值，将漏洞扫描工具Ti对n个工控系统的扫描时间进行累加得到总消耗时间ti，根据ti计算漏洞扫描工具对应的漏洞扫描效率评分ui；ui＝(1-ti/MAX(t1,t2...tn))*10(8)步骤(6)：由基本属性评分pi、漏洞可信度评分fi、影响分析评分ri、扫描效率评分ui根据权重系数计算漏洞扫描工具Ti的汇总评分；vi＝ri*0.1+pi*0.6+ti*0.2+ui*0.1(9)优选地，在扫描策略中设置性能阈值，确保对工控系统运行的影响可控，在对工控系统影响可控的前提下计算效率。优选地，对工控系统的扫描及后续评分的计算，在工控系统中选择1到2个具有代表性的资产进行。优选地，漏洞误报率评分及漏洞漏报率评分的计算，漏洞误报率、漏报率越低，漏洞误报率评分及漏洞漏报率评分越高。本专利技术具有以下有益的技术效果：综合了扫描工具的基本属性及实际使用效果，考虑到工控系统个体差异引起的漏洞扫描工具在有效率、漏报率、误报率多个指标的评分高低差异，引入了数据稳定度计算，在知识库完备性、工控系统个体差异、对被扫对象影响等多重约束条件下，实现了对漏洞扫描工具的科学评估。附图说明图1为本专利技术工控系统漏洞扫描工具综合评价方法示意图。具体实施方式以下结合附图和实施例对本专利技术做进一步详细描述：如图1所示，一种工控系统漏洞扫描工具综合评价方法，包括以下步骤：步骤(1)：根据漏洞扫描工具支持的扫描对象、知识库及漏洞库、扫描报告三个基本属性的完备性进行评估，计算基本属性评分，评估要素如下：按照高、中、低三级进行评分，评分对应3、2、1，漏洞扫描工具Ti的基本属性评分pi为三级评分之和；在评估过程中，可查阅技术资料或厂家咨询，针对特定行业可适当提高评分；步骤(2)：对参与评估的威努特、绿盟、安恒3个漏洞扫描工具，选定和利时火电DCS、艾默生火电DCS、华锐风机SCADA系统、四方水电监控系统共4个工控系统，确定资产扫描范围为工程师站、操作员站、PLC、DCS控制器，确定扫描频率、发包速率等扫描策略，避免给工控系统造成异常，关闭扫描对象节点上的主机卫士、防火墙等影响结果的程序，可并行对设定范围内的资产进行漏洞扫描，扫描结束后汇总扫描漏洞，则漏洞扫描工具Ti对4个工控系统的漏洞扫描结果对应的漏洞数量集合表示为Si＝{si1，si2，si3，si4}，si1表示工具Ti对第1个工控系统扫描的漏洞总数；步骤(3)：对漏洞扫描工具Ti的扫描结果漏洞集，本文档来自技高网...

【技术保护点】
1.一种工控系统漏洞扫描工具综合评价方法，其特征在于：包括以下步骤：/n步骤(1)：根据漏洞扫描工具支持的扫描对象、知识库及漏洞库、扫描报告三个基本属性的完备性进行评估，计算基本属性评分，评估要素如下：/n

【技术特征摘要】
1.一种工控系统漏洞扫描工具综合评价方法，其特征在于：包括以下步骤：
步骤(1)：根据漏洞扫描工具支持的扫描对象、知识库及漏洞库、扫描报告三个基本属性的完备性进行评估，计算基本属性评分，评估要素如下：



按照高、中、低三级进行评分，评分对应3、2、1，漏洞扫描工具Ti的基本属性评分pi为三级评分之和；
步骤(2)：对参与评估的m个漏洞扫描工具，选定n个工控系统，确定资产扫描范围，确定扫描频率、发包速率扫描策略，避免给工控系统造成异常，关闭扫描对象节点上的主机卫士、防火墙类影响结果的程序，并行对设定范围内的资产进行漏洞扫描，扫描结束后汇总扫描漏洞，则漏洞扫描工具Ti对n工控系统的漏洞扫描结果对应的漏洞数量集合表示为Si＝{si1，si2…sin}，si1表示漏洞扫描工具Ti对第1个工控系统扫描的漏洞总数；
步骤(3)：根据漏洞扫描工具Ti的扫描结果漏洞集，利用漏洞POC进行验证，将确实存在的可利用的漏洞形成工具有效漏洞集，属于工具扫描结果漏洞集但不在工具有效漏洞集中的漏洞形成工具误报漏洞集，将m个漏洞扫描工具对每个工控系统的有效漏洞集进行集合相并，得到每个工控系统对应的总体有效漏洞数量集，n个工控系统对应的总体有效漏洞数量集Z＝{z1，z2…zn}，属于工控系统总体有效漏洞集但不属于某个漏洞扫描工具有效漏洞集的漏洞形成该漏洞扫描工具漏报漏洞集，再由漏洞扫描工具Ti的有效漏洞集、误报漏洞集、漏报漏洞集得到对应的有效漏洞数量集Yi＝{yi1，yi2…yin}、误报漏洞数量集Wi＝{wi1，wi2…win}、漏报漏洞数量集Xi＝{xi1，xi2…xin}；
根据上述的4个漏洞数量集，计算漏洞扫描工具Ti对第j个工控系统的漏洞扫描结果的有效率评分aij、误报率评分bij、漏报率评分cij：
aij＝yij/zj(1)
bij＝1-wij/sij(2)
cij＝1-xij/sij(3)
将漏洞扫描工具Ti对n个工控系统的漏洞扫描结果的有效率评分、漏报率评分、误报率评分形成集合Di＝{di1，di2…di...

【专利技术属性】
技术研发人员：刘超飞，毕玉冰，崔逸群，曾荣汉，胥冠军，吕珍珍，朱博迪，邓楠轶，
申请(专利权)人：西安热工研究院有限公司，
类型：发明
国别省市：陕西;61