一种工业互联网的攻击链路挖掘方法及系统技术方案

本发明专利技术提供了一种工业互联网的攻击链路挖掘方法及系统，方法包括：基于工业互联网的设备信息建立漏洞集合；基于漏洞集合对工业互联网系统的设备之间的风险相关性进行评估，并根据评估结果构建风险关联图；按照预设节点等级将风险关联图的节点集进行划分，并根据划分结果从关联风险图中挖掘可达攻击链路，生成备选攻击链路集合；计算各条备选攻击链路的实施成本，筛选出实施成本超过预设阈值的备选攻击链路，生成工业互联网系统的可实现攻击链路。本发明专利技术能够准确挖掘和评估工业互联网系统中存在的高威胁攻击链路，帮助技术人员对工业互联网系统进行信息防护，提高网络安全防护水平。平。平。

【技术实现步骤摘要】
一种工业互联网的攻击链路挖掘方法及系统


[0001]本专利技术涉及工业控制
，具体涉及一种工业互联网的攻击链路挖掘方法及系统。

技术介绍

[0002]随着信息技术的大力推进，工业互联网成为了诸多工业控制系统未来发展方向和目标。工业互联网是指通过将具有感知能力的智能终端和泛在互联的通信网络应用到工业生产的各个环节，充分融合传感器、计算机网络、大数据分析处理等现代化技术，以低成本、低投资及高度适用性等优势，实现对工业生产程更便捷、更高效的过程感知与自动化管理，优化生产水平，提高生产效率，实现智能工业。
[0003]工业互联网与传统工控系统的差别在于：工业互联网使用了更多智能传感来获取传统工控系统无法采集的现场数据，同时采用了高度互联融合的多种通信模式来提供大数据的传输、交互，从而实现“泛在感知”。传感器网络在工业互联网应用过程中起到了枢纽的作用，而包含以太网、现场总线在内的有线通信和包含wifi、蓝牙在内的无线通信则是工业互联网的技术关键。面对更多类型的通信协议、更加开放的通信接口、更大交互规模的通信网络，如何保障工业互联网的设备安全成为了工控系统未来发展需要克服的主要难题。为了给工业互联网技术提供更强有力的安全保障，需要在工业网联网系统的通信交互网络上，对攻击者可能或优选的攻击手段、攻击链路开展深入挖掘与评估，以便于对工业互联网的安全防御提供预案支持。

技术实现思路

[0004]因此，本专利技术要解决的技术问题在于克服现有技术中攻击链路挖掘的缺陷，从而提供一种工业互联网的攻击链路挖掘方法及系统，能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性，准确挖掘和评估工业互联网系统中存在的高威胁攻击链路，帮助技术人员对工业互联网系统进行信息防护，提高网络安全防护水平。
[0005]本专利技术解决上述技术问题的技术方案如下：
[0006]第一方面，本专利技术提供了一种工业互联网的攻击链路挖掘方法，包括以下步骤：
[0007]基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合；
[0008]基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估，并根据评估结果构建所述工业互联网系统的风险关联图；
[0009]按照预设节点等级将所述风险关联图的节点集进行划分，并根据划分结果从所述关联风险图中挖掘可达攻击链路，生成所述工业互联网系统的备选攻击链路集合；
[0010]计算各条备选攻击链路的实施成本，筛选出所述实施成本超过预设阈值的备选攻击链路，生成所述工业互联网系统的可实现攻击链路。
[0011]本专利技术实施例提供的工业互联网的攻击链路挖掘方法，通过建立漏洞集合，基于漏洞集合评估设备之间的风险相关性并构建风险关联图，对关联图的节点集进行划分并根
据划分结果挖掘可达攻击链路作为备选攻击链路集合，通过评估备选攻击链路的实施成本挖掘工业互联网系统的可实现攻击链路。本专利技术能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性，准确挖掘和评估工业互联网系统中存在的高威胁攻击链路，帮助技术人员对工业互联网系统进行信息防护，提高网络安全防护水平。
[0012]可选地，所述漏洞集合，包括：高危漏洞及潜在漏洞；所述高危漏洞，表征已经公开漏洞利用方式和威胁影响、但因工业环境需求难以更新补丁进行修复的漏洞，根据所述工业互联网系统所包含设备的系统版本号、软件版本号及固件型号，在国内外公开的漏洞库平台中查询CVE信息中CVSS分数筛选获取所述高危漏洞，包括：软件设计漏洞及硬件配置漏洞；所述潜在漏洞，表征工业环境下利用主动式漏洞挖掘技术探测得到的未知类型漏洞，以及已知存在于所述工业互联网设备但不能查询到详细公开信息的私密属性漏洞，通过对未查询到所述CVE信息的设备进行漏洞探测，并将探测结果与CVE信息进行对比获取所述潜在漏洞。
[0013]本专利技术通过在国内外公开的漏洞库平台中查询CVE信息，并根据CVE信息评估漏洞的CVSS分数，通过分数筛选获取高危漏洞，通过主动式Fuzzing挖掘技术对未查询到设备进行漏洞探测获取潜在漏洞，并对潜在漏洞的可利用性、可修复性、威胁程度进行评估。本专利技术收集已经公开的高危漏洞以及未知或私密的潜在漏洞，充分考虑工业互联网设备可能存在的威胁，因此基于漏洞集合挖掘出的攻击链路在真实场景下具有较高威胁，而且实现性更高，也能根据攻击链路挖掘结果完善现有技术中的安全防护措施。
[0014]可选地，所述基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估，并根据评估结果构建所述工业互联网系统的风险关联图的过程，包括：根据所述漏洞集合分析不同漏洞利用的前置条件，并基于所述前置条件评估各设备在利用漏洞实施入侵攻击环节上的风险相关性；将所述工业互联网系统所包含的设备作为图节点，并根据所述风险相关性建立所述图节点之间的有向边；基于所述图节点与有向边构建所述工业互联网系统的风险关联图。
[0015]本专利技术通过判断工业互联网系统设备的漏洞之间是否存在必要的前置条件，来评估设备之间在利用漏洞实施入侵攻击环节上的风险相关性，将各设备作为图节点，根据风险相关性建立有向边，由有向边连接对应图节点构建系统的风险关联图，能够更直观地展现出设备之间的关联关系，通过关联图能够判断出各条路径的可达性，方便攻击链路的挖掘。
[0016]可选地，所述预设节点等级，包括：边缘层节点、中间层节点及核心层节点。
[0017]可选地，所述按照预设节点等级将所述风险关联图的节点集进行划分的过程，包括：根据所述风险关联图统计与设备相关的漏洞数量及漏洞分数，并根据所述漏洞数量及漏洞分数计算所述图节点的安全风险等级；根据所述风险关联图中图节点的安全风险等级、入度统计值及出度统计值构建图节点的特征向量；利用层次聚类算法在所述特征向量组成的特征空间上将所述图节点按照预设节点等级进行划分；将所述特征空间内距离空间坐标原点最近的簇中心所在节点集作为边缘层节点，将距离空间坐标原点最远的簇中心所在节点集作为核心层节点，其余节点集作为中间层节点。
[0018]本专利技术根据设备的漏洞数量及漏洞分数计算图节点的安全风险等级，其中漏洞数量及漏洞分数是在构建漏洞集合时获取：漏洞数量是高危漏洞数量和潜在漏洞数量之和，
高危漏洞的漏洞分数是在获取高危漏洞过程中根据CVE信息评估的CVSS分数，潜在漏洞的分数是在获取潜在漏洞后参照相似类型的高危漏洞进行评分。依据安全风险等级构建的特征向量并通过层次聚类算法，将风险关联图中的节点集在特征向量组成的特征空间上划分为边缘层节点、中间层节点及核心层节点，相当于找到了攻击链路的起点与终点，起点是边缘层节点，终点是核心层节点，攻击链路由起点经过中间层节点到达终点，这样划分能够更清晰展示出设备之间的关联关系。
[0019]可选地，所述根据所述节点集的划分结果从所述关联风险图中挖掘可达攻击链路，生成所述工业互联网系统的备选攻击链路集合的过程，包括：结合所述工业互联网系统在应用场景下配置的黑名单机制、白名单机制及通信规则，对所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工业互联网的攻击链路挖掘方法，其特征在于，包括如下步骤：基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合；基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估，并根据评估结果构建所述工业互联网系统的风险关联图；按照预设节点等级将所述风险关联图的节点集进行划分，并根据划分结果从所述关联风险图中挖掘可达攻击链路，生成所述工业互联网系统的备选攻击链路集合；计算各条备选攻击链路的实施成本，筛选出所述实施成本超过预设阈值的备选攻击链路，生成所述工业互联网系统的可实现攻击链路。2.根据权利要求1所述的工业互联网的攻击链路挖掘方法，其特征在于，所述漏洞集合，包括：高危漏洞及潜在漏洞；所述高危漏洞，表征已经公开漏洞利用方式和威胁影响、但因工业环境需求难以更新补丁进行修复的漏洞，根据所述工业互联网系统所包含设备的系统版本号、软件版本号及固件型号，在国内外公开的漏洞库平台中查询CVE信息，并根据CVE信息评估漏洞的CVSS分数，通过分数筛选获取所述高危漏洞，包括：软件设计漏洞及硬件配置漏洞；所述潜在漏洞，表征工业环境下利用主动式漏洞挖掘技术探测得到的未知类型漏洞，以及已知存在于所述工业互联网设备但不能查询到详细公开信息的私密属性漏洞，通过对未查询到所述CVE信息的设备进行漏洞探测，并将探测结果与CVE信息进行对比获取所述潜在漏洞。3.根据权利要求1所述的工业互联网的攻击链路挖掘方法，其特征在于，所述基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估，并根据评估结果构建所述工业互联网系统的风险关联图的过程，包括：根据所述漏洞集合分析不同漏洞利用的前置条件，并基于所述前置条件评估各设备在利用漏洞实施入侵攻击环节上的风险相关性；将所述工业互联网系统所包含的设备作为图节点，并根据所述风险相关性建立所述图节点之间的有向边；基于所述图节点与有向边构建所述工业互联网系统的风险关联图。4.根据权利要求3所述的工业互联网的攻击链路挖掘方法，其特征在于，所述预设节点等级，包括：边缘层节点、中间层节点及核心层节点。5.根据权利要求4所述的工业互联网的攻击链路挖掘方法，其特征在于，所述按照预设节点等级将所述风险关联图的节点集进行划分的过程，包括：根据所述风险关联图统计与设备相关的漏洞数量及漏洞分数，并根据所述漏洞数量及漏洞分数计算所述图节点的安全风险等级；根据所述风险关联图中图节点的安全风险等级、入度统计值及出度...

【专利技术属性】
技术研发人员：刘鹏飞，杨东，崔逸群，毕玉冰，燕前，刘超飞，朱博迪，刘迪，刘骁，肖力炀，王文庆，邓楠轶，董夏昕，王艺杰，崔鑫，朱召鹏，介银娟，南瑾，李凯，刘鹏举，
申请(专利权)人：西安热工研究院有限公司，
类型：发明
国别省市：