工業控制系統影響著各行各業的生產運
行,被廣泛的應用于水利系統、電力系統、化
工生產系統、制造行業和大型的制造企業的自
動化控制領域中,在實際的使用過程中,主要
是依靠工業控制系統來實現自動化運轉,在各
個領域中占據重要位置。工業控制系統與辦公
管理系統實現了一體化集成,為數據交流提供
了便利,通過與辦公網絡互聯,共同組成了工
業控制系統網絡。本文對攻擊圖的工業控制網
絡的安全隱患進行分析。
1 基于攻擊圖的工業控制網絡整體系統
結構設計
1.1 整體系統結構設計
在對攻擊圖的工業控制網絡安全隱患進
行分析時,需要充分開發工控系統攻擊圖隱患
分析工具,主要包括原子攻擊規則生成模塊、
工控系統主機連接信息采集模塊和工控系統圖
生成模塊等。該項工具在使用過程中主要是運
用人工手動輸入來實現,通過對各模塊進行分
析,進而得出清晰直觀的主機攻擊圖。攻擊圖
生成模塊需要輸入相關的攻擊圖腳本,對攻擊
圖模塊進行可視化展示,確保展示效果具有清
晰直觀性特點。工控系統攻擊圖分析工具系統
中主要包括工控系統隱患分析、原子攻擊規則
生成、工控系統攻擊圖生成、攻擊圖可視化展
示等方面的模塊。在運用工控系統攻擊圖對安
全隱患進行分析時,主要分為挖掘系統漏洞,
(挖掘系統漏洞包括緩沖區溢出、程序不按計
劃運行、插入惡意代碼)、系統配置掃描、仿
真平臺配置輸入、攻擊圖隱患分析、安全分析
與加固建議和系統隱患消除六個流程狀況,在
基于攻擊圖的工業控制網絡安全隱患分析
文/吳承剛
隨著科學技術的發展,計算
機技術水平得到了較大的提高。
傳統的工業控制系統已經無法滿
足控制管理一體化的需求,工業
控制系統為了能夠適應當前的發
展趨勢,逐漸向工業信息化方向
邁進,加大了對計算機軟件硬件
及通用計算機通訊協議的使用。
但是,由于沒有將網絡防病毒措
施融入到工業控制網絡系統中,
導致互聯網容易遭受病毒侵擾,
影響著工業控制系統網絡的運行
效果。
摘
要
實際的運用過程中存在密切的邏輯關系。
1.2 基于層的攻擊圖生成模塊設計
為了給人們展示出直觀清晰的網絡拓撲
生成模塊,將其分成不同的區域,對網絡的網
絡模塊進行簡化,增加繪制網絡區域的功能。
該種做法能夠給用戶提供清晰和直觀的網絡拓
撲管理,為基于層的攻擊圖提供信息配置功能,
為了方便人們的使用,在用戶界面設置了網絡
區域功能按鈕,對不同的網絡區域使用不同的
顏色進行填充,并用不同的區域名稱進行標記。
如果設備從一個區域轉移到另外一個區域時,
設備的區域屬性也會隨之發生相應的改變。
基于層的攻擊圖生成模塊主要設計方法
為,攻擊圖的正向生成算法主要是由攻擊源發
起的,主要用于分析已知攻擊源所在的位置,
明確哪些主機會對攻擊源的正常工作造成威
脅,能夠實現對網絡設備的保護。基于層的攻
擊圖生成算法在實際的使用過程中主要是利用
工控網絡的層次結構來實現的,需要對復雜的
工控網絡進行按層計算,進而生成攻擊圖網絡。
攻擊圖網絡圖的生成主要以 MulVAL 為
工具,MulVAL是“多主機、多階段漏洞分析”,
是堪薩斯州大學的一個開源項目,主要是運用
邏輯編程語言 Datalog 來描述網絡元素和安全
聯動情況,MulVAL 的分析工具輸入主要包括
主機配置、漏洞通告、網絡配置等,輸出為
PDF 或 TXT 格式描述的攻擊圖。但是該攻擊
圖的節點不是主機,節點的類型主要包括:棱
形的權限節點、圓形的攻擊步驟節點和矩形的
配置信息節點。MulVAL 作為命令行工具,能
夠實現對漏洞庫文件的優化配置,轉換 OVAL/
Nessus 漏洞報告,生成攻擊圖。MulVAL 工具
生成的攻擊圖例子如圖 1 所示。
1.3 網絡狀態采集模塊設計
網絡狀態采集模塊主要是對攻擊圖生成
算法進行服務的模塊,在使用前需要明確網絡
系統的信息狀態,按照合理的方法對網絡拓撲
進行有效連接,對網絡層次信息進行合理劃分,
明確網絡拓撲設備上存在的漏洞信息,例如,
設計網絡狀態信息輸入格式文件,設計網絡層
次劃分方式,網絡設備基本信息輸入方式和網
絡威脅信息輸入方式等。明確攻擊主機的所在
位置,對網絡狀態信息采集模塊進行合理設計。
首先,在對網絡連接輸入方式進行設計時,主
要的連接信息包括服務器、交換機、防火墻、
PC 機、集線器和現場設備等。需要明確設備
間鏈路的具體連接情況,結合實際的網絡拓撲
需要自行選擇網絡設備,在已有模塊的基礎上
對工業控制網絡拓撲圖進行合理設計,確保路
由器和防火墻配置的合理性。其次,在對網絡
的層次進行劃分時,需要采用矩形框來對網絡
拓撲進行分層,通過雙擊矩形對話框,對話框
中的設備進行合理配置。最后,對網絡設備的
信息進行配置時,需要明確設備操作系統的版
本、設備上的具體服務信息和設備在運行過程
中可能產生的漏洞信息,防止漏洞程序和作用
對漏洞造成的威脅。
2 工業控制系統安全隱患分析系統的實
現
2.1 攻擊圖生成算法的實現
為了實現對工業控制系統安全隱患的分
析,主要找到 IT 工控網層中的可攻擊到的所
有主機,由列表頭對主機發起攻擊,列表尾可
以攻擊到最后的主機。在對節點進行計算時,
需要防止攻擊路徑出現重復性,對所有攻擊路
徑列表中的節點進行刪除,防止出現無效攻擊
路徑。在辦公層生成時,需要將辦公層節點分
為辦公層與 IT 層的邊界主機、辦公層內主機
和辦公層與工控層邊界主機三種。
2.2 網絡狀態采集模塊的實現
2.2.1 網絡連接信息配置技術的實現
集線器、交換機和路由都是網絡拓撲設
備中的重要連接信息,需要將信息格式保存為:
hacl,將 src 作為源節點,dst 作為目標節點,
port 作為數據使用的傳輸端口,Apply 是保存
配置信息,OK 是關閉對話框。
2.2.2 主機信息配置技術的實現
<
行,被廣泛的應用于水利系統、電力系統、化
工生產系統、制造行業和大型的制造企業的自
動化控制領域中,在實際的使用過程中,主要
是依靠工業控制系統來實現自動化運轉,在各
個領域中占據重要位置。工業控制系統與辦公
管理系統實現了一體化集成,為數據交流提供
了便利,通過與辦公網絡互聯,共同組成了工
業控制系統網絡。本文對攻擊圖的工業控制網
絡的安全隱患進行分析。
1 基于攻擊圖的工業控制網絡整體系統
結構設計
1.1 整體系統結構設計
在對攻擊圖的工業控制網絡安全隱患進
行分析時,需要充分開發工控系統攻擊圖隱患
分析工具,主要包括原子攻擊規則生成模塊、
工控系統主機連接信息采集模塊和工控系統圖
生成模塊等。該項工具在使用過程中主要是運
用人工手動輸入來實現,通過對各模塊進行分
析,進而得出清晰直觀的主機攻擊圖。攻擊圖
生成模塊需要輸入相關的攻擊圖腳本,對攻擊
圖模塊進行可視化展示,確保展示效果具有清
晰直觀性特點。工控系統攻擊圖分析工具系統
中主要包括工控系統隱患分析、原子攻擊規則
生成、工控系統攻擊圖生成、攻擊圖可視化展
示等方面的模塊。在運用工控系統攻擊圖對安
全隱患進行分析時,主要分為挖掘系統漏洞,
(挖掘系統漏洞包括緩沖區溢出、程序不按計
劃運行、插入惡意代碼)、系統配置掃描、仿
真平臺配置輸入、攻擊圖隱患分析、安全分析
與加固建議和系統隱患消除六個流程狀況,在
基于攻擊圖的工業控制網絡安全隱患分析
文/吳承剛
隨著科學技術的發展,計算
機技術水平得到了較大的提高。
傳統的工業控制系統已經無法滿
足控制管理一體化的需求,工業
控制系統為了能夠適應當前的發
展趨勢,逐漸向工業信息化方向
邁進,加大了對計算機軟件硬件
及通用計算機通訊協議的使用。
但是,由于沒有將網絡防病毒措
施融入到工業控制網絡系統中,
導致互聯網容易遭受病毒侵擾,
影響著工業控制系統網絡的運行
效果。
摘
要
實際的運用過程中存在密切的邏輯關系。
1.2 基于層的攻擊圖生成模塊設計
為了給人們展示出直觀清晰的網絡拓撲
生成模塊,將其分成不同的區域,對網絡的網
絡模塊進行簡化,增加繪制網絡區域的功能。
該種做法能夠給用戶提供清晰和直觀的網絡拓
撲管理,為基于層的攻擊圖提供信息配置功能,
為了方便人們的使用,在用戶界面設置了網絡
區域功能按鈕,對不同的網絡區域使用不同的
顏色進行填充,并用不同的區域名稱進行標記。
如果設備從一個區域轉移到另外一個區域時,
設備的區域屬性也會隨之發生相應的改變。
基于層的攻擊圖生成模塊主要設計方法
為,攻擊圖的正向生成算法主要是由攻擊源發
起的,主要用于分析已知攻擊源所在的位置,
明確哪些主機會對攻擊源的正常工作造成威
脅,能夠實現對網絡設備的保護。基于層的攻
擊圖生成算法在實際的使用過程中主要是利用
工控網絡的層次結構來實現的,需要對復雜的
工控網絡進行按層計算,進而生成攻擊圖網絡。
攻擊圖網絡圖的生成主要以 MulVAL 為
工具,MulVAL是“多主機、多階段漏洞分析”,
是堪薩斯州大學的一個開源項目,主要是運用
邏輯編程語言 Datalog 來描述網絡元素和安全
聯動情況,MulVAL 的分析工具輸入主要包括
主機配置、漏洞通告、網絡配置等,輸出為
PDF 或 TXT 格式描述的攻擊圖。但是該攻擊
圖的節點不是主機,節點的類型主要包括:棱
形的權限節點、圓形的攻擊步驟節點和矩形的
配置信息節點。MulVAL 作為命令行工具,能
夠實現對漏洞庫文件的優化配置,轉換 OVAL/
Nessus 漏洞報告,生成攻擊圖。MulVAL 工具
生成的攻擊圖例子如圖 1 所示。
1.3 網絡狀態采集模塊設計
網絡狀態采集模塊主要是對攻擊圖生成
算法進行服務的模塊,在使用前需要明確網絡
系統的信息狀態,按照合理的方法對網絡拓撲
進行有效連接,對網絡層次信息進行合理劃分,
明確網絡拓撲設備上存在的漏洞信息,例如,
設計網絡狀態信息輸入格式文件,設計網絡層
次劃分方式,網絡設備基本信息輸入方式和網
絡威脅信息輸入方式等。明確攻擊主機的所在
位置,對網絡狀態信息采集模塊進行合理設計。
首先,在對網絡連接輸入方式進行設計時,主
要的連接信息包括服務器、交換機、防火墻、
PC 機、集線器和現場設備等。需要明確設備
間鏈路的具體連接情況,結合實際的網絡拓撲
需要自行選擇網絡設備,在已有模塊的基礎上
對工業控制網絡拓撲圖進行合理設計,確保路
由器和防火墻配置的合理性。其次,在對網絡
的層次進行劃分時,需要采用矩形框來對網絡
拓撲進行分層,通過雙擊矩形對話框,對話框
中的設備進行合理配置。最后,對網絡設備的
信息進行配置時,需要明確設備操作系統的版
本、設備上的具體服務信息和設備在運行過程
中可能產生的漏洞信息,防止漏洞程序和作用
對漏洞造成的威脅。
2 工業控制系統安全隱患分析系統的實
現
2.1 攻擊圖生成算法的實現
為了實現對工業控制系統安全隱患的分
析,主要找到 IT 工控網層中的可攻擊到的所
有主機,由列表頭對主機發起攻擊,列表尾可
以攻擊到最后的主機。在對節點進行計算時,
需要防止攻擊路徑出現重復性,對所有攻擊路
徑列表中的節點進行刪除,防止出現無效攻擊
路徑。在辦公層生成時,需要將辦公層節點分
為辦公層與 IT 層的邊界主機、辦公層內主機
和辦公層與工控層邊界主機三種。
2.2 網絡狀態采集模塊的實現
2.2.1 網絡連接信息配置技術的實現
集線器、交換機和路由都是網絡拓撲設
備中的重要連接信息,需要將信息格式保存為:
hacl,將 src 作為源節點,dst 作為目標節點,
port 作為數據使用的傳輸端口,Apply 是保存
配置信息,OK 是關閉對話框。
2.2.2 主機信息配置技術的實現
<
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除! 快速論文發表網(www.6scc.cn)本中心和國內數百家期刊雜志社有良好的合作關系,可以幫客戶代發論文投稿.
投稿郵箱:ksfbw@126.com
客服Q Q:
82702382
聯系電話:15295038833
本站論文資源均為來自網絡轉載,免費提供給廣大作者參考,不進行任何贏利,如有版權問題,請聯系管理員刪除!
上一篇:電力企業中云安全技術的應用
下一篇:工程建設項目信息化建設