一种基于工业控制系统数据源的网络威胁分析办法

技术领域

本发明涉及网络安全威胁分析技术领域，具体为一种基于工业控制系统数据源的网络威胁分析办法，可应用于电力、石化、航空、汽车、轨交等关键工业领域。

背景技术

工业控制系统(ICS)的处理过程主要由现场设备、现场控制器、人机界面加上通信媒介共同完成。现场设备包括作为输入的测量设备比如传感器、仪表和作为输出设备的阀门开关等；现场控制器完成数据采集和处理输入输出，典型的现场控制器包括RTU、IED和PLC等等。人机界面(HMI)可以是集中式的控制中心或分布式的控制中心，操作员可以查看实时或准实时的过程运行情况，人机界面既可以是触摸屏也可以是工程师工作站；在工业控制系统的网络上还有一些应用服务器，比如历史数据服务器和其它应用服务器。工业控制系统网络上的设备包括大量的联网设备，例如服务器、工作站、交换机、路由器、防火墙、生产安全系统、专有的实时控制器和大量的工业现场设备，而这些设备通常来自很多不同的供货商，在这样的工业环境下，工业控制系统网络面临不断增长的安全隐患和大量未被解决的安全漏洞，其中任何一个设备被攻击者利用的话，都会造成运营瘫痪或致使工业设施处于不安全的状态。

而针对这些安全隐患漏洞，需要对其进行一系列的分析，才能确定是否影响到系统的安全运行，才能针对这些安全隐患漏洞做出相对应的措施，因此提出一种基于工业控制系统数据源的网络威胁分析办法，解决上述问题。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种基于工业控制系统数据源的网络威胁分析办法。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：一种基于工业控制系统数据源的网络威胁分析办法，包括如下步骤：

S100，对工业控制系统进行资产整理，通过对工业控制系统的系统架构图、网络拓扑图、控制流图、数据流图等系统性原理图作为基础数据，分析工业控制系统网络中包含的各类与网络安全相关的资产；

S200，根据S100步骤中整理的资产，按照数据的生命形式，包括产生的数据、传输的数据、存储的数据确定系统中包含的数据源；

S300，依据基础数据库，包括攻击普通攻击枚举及分类数据库(CAPEC)、漏洞库(NVD、CNVD)、工控漏洞子库(ICS-CNVD)、车联网漏洞库(CAVD)等，安全测试自建数据库，提取其中对相关数据源攻击的形式；

S400，基于步骤S300提取的对数据源的攻击形式，带入到工业控制系统中，分析攻击对工业控制系统安全属性的破坏，整理系统的危害条件；

S500，基于S400生产的危害条件及对工业控制系统业务逻辑的影响，形成工业控制系统的威胁序列；

S600，对威胁序列进行分类整理，形成基于数据源攻击的工业控制系统威胁模型。

优选的，数据是工业控制系统实施业务运行的基础，通过对设备底层数据源的客观攻击方式，去演算上层工业控制系统业务运行上的威胁情况，形成对工业控制系统威胁建模的方式。

优选的，所述步骤S100包括：

步骤S101，对工业控制系统各个层级的进行资产整理，包括了现场设备层、现场控制层、过程控制层以及生产控制层等；在此阶段采用常用的资产分类方法，如硬件、软件、人员、服务等；

步骤S102，根据S101的资产整理，通过业务过程对数据及信息的处理模型筛选出与信息安全相关的资产，即安全相关资产；

步骤S103，根据S102的整理，确定工业控制系统各个层次的数据源。

优选的，分层确定工业控制系统的安全资产，安全资产包括相关的安全属性，所述安全属性包括真实属性、鉴权属性、授权属性、不可否认属性、机密属性、完整属性、可用属性。

优选的，在步骤S300中根据所需分析的数据源，进行攻击行为枚举，形成攻击与数据源对应，数据源与资产对应，资产与业务对应。

优选的，步骤S300中所描述的数据源，包括了数据源不同表现形式的规定，数据源包括了数据库、活动目录、通信接口、通信协议、固件、日志、镜像文件、内存地址、存储空间、证书、配置文件、注册表、备份等。

优选的，采用对不同形式数据源进行全量攻击方式的枚举。

优选的，步骤S600中对威胁序列进行分类整理还包括对威胁序列的等级划分，其威胁序列的等级可根据步骤S400中的攻击对工业控制系统安全属性的破坏程度进行划分。

(三)有益效果

与现有技术相比，本发明提供了一种基于工业控制系统数据源的网络威胁分析办法，具备以下有益效果：

该一种基于工业控制系统数据源的网络威胁分析办法，通过采用对工业控制系统的资产分析，整理工业控制系统的关键数据资产，即数据源，数据源在工业控制系统具有一定的通用性，如控制器的固件、控制器配置文件、系统运行RAM等，通过基于对数据源的攻击方式研究，结合CAPEC数据库，以及对公开漏洞库，如NVD、CNVD中漏洞POC信息中对有关数据源的攻击方法的提取，从而分析得到对数据源攻击危害场景，通过攻击危害场景的分析，确定对系统安全属性的破坏，进而得到对工业控制系统网络的安全威胁；进而对威胁分类整理，整理得到工业控制系统的威胁模型，从而方便根据威胁模型采取对安全漏洞的处理措施，本系统不仅适用于传统工业控制系统，也适用于具有复杂网络系统的大型集成设备，如智能汽车、轨道车辆、飞机、船舶网络系统的安全威胁分析。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

如图1所示，本发明提供了一种基于工业控制系统数据源的网络威胁分析办法，包括如下步骤：

S100，对工业控制系统进行资产整理，通过对工业控制系统的系统架构图、网络拓扑图、控制流图、数据流图等系统性原理图作为基础数据，分析工业控制系统网络中包含的各类与网络安全相关的资产；

S200，根据S100步骤中整理的资产，按照数据的生命形式，包括产生的数据、传输的数据、存储的数据确定系统中包含的数据源；

S300，依据基础数据库，包括攻击普通攻击枚举及分类数据库(CAPEC)、漏洞库(NVD、CNVD)、工控漏洞子库(ICS-CNVD)车联网漏洞库(CAVD)等，安全测试自建数据库，提取其中对相关数据源攻击的形式；

S400，基于步骤S300提取的对数据源的攻击形式，带入到工业控制系统中，分析攻击对工业控制系统安全属性的破坏，整理系统的危害条件；

S500，基于S400生产的危害条件及对工业控制系统业务逻辑的影响，形成工业控制系统的威胁序列；

S600，对威胁序列进行分类整理，形成基于数据源攻击的工业控制系统威胁模型。

数据是工业控制系统实施业务运行的基础，通过对设备底层数据源的客观攻击方式，去演算上层工业控制系统业务运行上的威胁情况，形成对工业控制系统威胁建模的方式。

步骤S100包括：

步骤S101，对工业控制系统各个层级的进行资产整理，包括了现场设备层、现场控制层、过程控制层以及生产控制层等；在此阶段采用常用的资产分类方法，如硬件、软件、人员、服务等；

步骤S102，根据S101的资产整理，通过业务过程对数据及信息的处理模型筛选出与信息安全相关的资产，即安全相关资产；

步骤S103，根据S102的整理，确定工业控制系统各个层次的数据源。

分层确定工业控制系统的安全资产，安全资产包括相关的安全属性，安全属性包括真实属性、鉴权属性、授权属性、不可否认属性、机密属性、完整属性、可用属性。

在步骤S300中根据所需分析的数据源，进行攻击行为枚举，形成攻击与数据源对应，数据源与资产对应，资产与业务对应。

步骤S300中所描述的数据源，包括了数据源不同表现形式的规定，数据源包括了数据库、活动目录、通信接口、通信协议、固件、日志、镜像文件、内存地址、存储空间、证书、配置文件、注册表、备份等。

采用对不同形式数据源进行全量攻击方式的枚举。

步骤S600中对威胁序列进行分类整理还包括对威胁序列的等级划分，其威胁序列的等级可根据步骤S400中的攻击对工业控制系统安全属性的破坏程度进行划分。

在本实施例中，通过采用对工业控制系统的资产分析，整理工业控制系统的关键数据资产，即数据源，数据源在工业控制系统具有一定的通用性，如控制器的固件、控制器配置文件、系统运行RAM等，通过基于对数据源的攻击方式研究，结合CAPEC数据库，以及对公开漏洞库，如NVD、CNVD中漏洞POC信息中对有关数据源的攻击方法的提取，从而分析得到对数据源攻击危害场景，通过攻击危害场景的分析，确定对系统安全属性的破坏，进而得到对工业控制系统网络的安全威胁；进而对威胁分类整理，整理得到工业控制系统的威胁模型，从而方便根据威胁模型采取对安全漏洞的处理措施，本系统不仅适用于传统工业控制系统，也适用于具有复杂网络系统的大型集成设备，如智能汽车、轨道车辆、飞机、船舶网络系统的安全威胁分析。

下面具体说一下该一种基于工业控制系统数据源的网络威胁分析办法的工作原理。

如图1所示，使用时通过采用对工业控制系统的资产分析，整理工业控制系统的关键数据资产，即数据源，数据源在工业控制系统具有一定的通用性，如控制器的固件、控制器配置文件、系统运行RAM等，通过基于对数据源的攻击方式研究，结合CAPEC数据库，以及对公开漏洞库，如NVD、CNVD中漏洞POC信息中对有关数据源的攻击方法的提取，从而分析得到对数据源攻击危害场景，通过攻击危害场景的分析，确定对系统安全属性的破坏，进而得到对工业控制系统网络的安全威胁；进而对威胁分类整理，整理得到工业控制系统的威胁模型，从而方便根据威胁模型采取对安全漏洞的处理措施，本系统不仅适用于传统工业控制系统，也适用于具有复杂网络系统的大型集成设备，如智能汽车、轨道车辆、飞机、船舶网络系统的安全威胁分析。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个引用结构”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。