CN111107108B - 一种工业控制系统网络安全分析的方法 - Google Patents

一种工业控制系统网络安全分析的方法 Download PDF

Info

Publication number
CN111107108B
CN111107108B CN202010000301.XA CN202010000301A CN111107108B CN 111107108 B CN111107108 B CN 111107108B CN 202010000301 A CN202010000301 A CN 202010000301A CN 111107108 B CN111107108 B CN 111107108B
Authority
CN
China
Prior art keywords
attack
security
ics
control system
test
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010000301.XA
Other languages
English (en)
Other versions
CN111107108A (zh
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Liancheng Technology Development Co ltd
Original Assignee
Nanjing Liancheng Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Liancheng Technology Development Co ltd filed Critical Nanjing Liancheng Technology Development Co ltd
Priority to CN202010000301.XA priority Critical patent/CN111107108B/zh
Publication of CN111107108A publication Critical patent/CN111107108A/zh
Application granted granted Critical
Publication of CN111107108B publication Critical patent/CN111107108B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种工业控制系统网络安全分析的方法,其特征在于,所述方法,包括步骤:(1)建立攻击行为模型,(2)部署架构检查,(3)确定被攻击目标,(4)预测攻击,(5)安全测试,并补救安全漏洞,(6)部署安全监控,(7)构建事件响应计划。通过本发明,能够对工业控制系统实现积极的安全防御。

Description

一种工业控制系统网络安全分析的方法
技术领域
本发明涉及计算机、网络安全、自动控制系统的技术领域,尤其涉及到一种面向工业控制系统的网络安全的设计方法。
背景技术
安全生产历来是保障各项工作有序开展的前提,也是考核各级领导干部的否决指标。网络及信息安全集中运维体系是各类企业安全生产工作的重要组成部分。保障网络高效稳定地运行,是企业一切市场经营活动的基础。
随着企业的信息系统建设和完善,有效的提高了劳动生产率,降低了运营成本。一旦企业各业务系统出现安全事件、或发生故障、或形成性能瓶颈,不能及时发现、及时处理和及时恢复,势必直接导致承载在其上所有业务的运行,影响企业的正常运营秩序,企业的业务不能正常开展。因此,对于企业的IT基础实施的安全保障就显得格外重要。
随着企业的信息化程度不断提高,各业务系统之间联系越来越密切,数据交换越来越频繁,各系统有着复杂网络或逻辑连接,存在大量数据交换,甚至一个故障可以引发成为企业的全网故障,一点或一种业务系统出现漏洞感染病毒或受到攻击,将迅速波及其它业务系统及网络,甚至导致企业的全网瘫痪。
尽管目前企业的信息安全技术体系已初步形成,但是信息安全集中运维管理体系还需要进一步健全提高和完善,安全集中运维管理存在隐患,安全性不高。
为此,如何利用信息化手段提高各类企业安全集中运维管理效益,特别是工业企业的现代工控系统ICS的安全集中运维。ICS(Industrial Control Systems工业控制系统)是从早期的没有外部连接的孤立环境发展到今天能够与外界互联互通,但在此发展过程中ICS并不是为了防御未经授权访问或恶意威胁与攻击而设计的。典型的ICS架构包括现场测量仪表、现场执行与控制设备、DCS(Distributed Control System集散控制系统)、PLC(Programmable Logic Controller,可编程控制器)等;这样的ICS架构通常采用专有的硬件和私有的通信协议等,且是确定性实时系统。ICS一旦安装并通过安全合规性认证,就很少更新,因为在线修改ICS而导致意外风险被认为是很高的,而且在专用离线设施上进行测试ICS的成本也是非常昂贵的。因此,所部署的ICS通常运行了10~20年也很少进行升级和更新。现有的常规的IT信息安全方法或功能更新通常不会使用在ICS基础设施中,例如在ICS上停机进行软件安装与升级、打补丁或添加安全功能都是不常见的。
为了解决工业企业ICS所存在的安全集中运维管理隐患,以及设计出一款ICS信息安全集中运维管理平台产品,优化ICS的信息安全管理和积极的集中维护工作,使得它能够为各类工业企业现代工控系统ICS提供专业的和高效率的信息安全集中运维管理服务,即成为尤其是信息安全集中运维管理设计上必须要解决的一个重要课题。
发明内容
本申请所要解决的技术问题在于针对已有ICS的所存在的安全隐患和缺陷,提出了一种工业控制系统网络安全分析的方法,以进一步提高工业领域信息安全的防护与运维的能力。
为达到上述目的, 本申请提供了一种工业控制系统网络安全分析的方法,其特征在于,所述方法,包括如下步骤:
(1)建立攻击行为模型;
(2)部署架构检查;
(3)确定被攻击目标;
(4)预测攻击;
(5)安全测试,并补救安全漏洞;
(6)部署安全监控;
(7)构建事件响应计划;
进一步地,所述建立攻击行为模型,采用Diamond模型与Mandiant攻击生命周期的集成进行建模;
进一步地,所述部署架构检查,采用Purdue模型作为ICS的部署架构;
进一步地,所述被攻击目标确定,包括ICS的自动控制算法的参数和关键基础设施的漏洞,采用CARVER评估方法确定被攻击的基础设施的关键性和脆弱性;
进一步地,所述可能的攻击分析,采用攻击图与ICS部署架构相结合的安全分析方法;
进一步地,所述安全测试和补救,采用模拟测试、隔离测试和综合测试的方法,发现关键基础设施的漏洞和脆弱性,并反馈到所述部署架构检查、所述被攻击目标确定和所述可能的攻击分析的步骤中进行补救;
进一步地,所述安全监控,包括COA(course of action 动作过程)矩阵,能够协助分析传感器或安全监控软件的部署位置以识别攻击者的行为,采集这些传感器或安全监控软件产生的日志和SNMP信息并采用大数据技术进行深度分析,挖掘ICS安全隐患;
进一步地,所述构建事件响应计划,包括事件响应行动手册,以及基于大数据、人工智能、活动攻击图和COA矩阵开发的事件响应,是确定拒绝攻击者访问关键系统资产的最有效方式,实现积极的安全防御。
本申请的一种工业控制系统网络安全分析的方法,其特征在于,所述方法,包括步骤:(1)建立攻击行为模型,(2)部署架构检查,(3)确定被攻击目标,(4)预测攻击,(5)安全测试,并补救安全漏洞,(6)部署安全监控,(7)构建事件响应计划。通过本发明,能够对工业控制系统实现积极的安全防御。
附图说明
图1是一种工业控制系统网络安全分析的方法的工业环境和硬件基础示意图;
图2是一种工业控制系统网络安全分析的方法的过程步骤示意图;
图3是一种工业控制系统网络安全分析的方法的Diamond模型示意图;
图4是一种工业控制系统网络安全分析的方法的部署架构示意图;
图5是一种工业控制系统网络安全分析的方法的嵌入部署架构的活动攻击图的示意图;
图6是一种工业控制系统网络安全分析的方法的基于Diamond模型和Mandiant攻击生命周期的COA矩阵的示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
典型的工业控制系统的实施环境和硬件基础如图1所示,由人机接口、工程师站、远程诊断、控制器和一些传感器及执行器组成。这些组件之间的通信依赖于工业协议。人机接口用于监控受控过程,并能显示历史状态信息。工程师站用于配置控制算法和调整控制参数。远程诊断工具用于预防、识别和恢复异常情况,或诊断和修复故障。控制器通常是一个PLC,用来控制工业过程。传感器(如温度和压力传感器)可以实时监测和收集相关的温度和压力数据,执行机构(如阀门、电机和开关)执行控制器命令。工业控制系统的网络协议是一种网络协议,控制器通过它与子控制器、工程师站、人机接口、执行器或传感器进行通信。
工业控制系统的控制回路的控制过程包括从传感器向控制器传输测量数据,以及从控制器向执行器收集和传输控制数据。随后,传感器根据控制过程收集新的测量数据,并再次将测量数据传输给控制器。在工业区内,受控过程通常在几毫秒到几天的周期时间连续运行。
ICS往往使网络安全分析的过程复杂化,因为在复杂的工控环境中,对所有系统进行同等的保护并不划算。考虑到ICS安装与部署的设备数量,需要优先保护那些支持关键功能的设备。
有能力的攻击者倾向于对目标的攻击采用APT(Advanced Persistent Threat 高级持续性威胁)。2018年,ICS-CERT调查的50%的事件涉及到APT。为了保持对这些攻击者的关注,必须首先决定采用何种模型来表示攻击者的行为。如图2所示的步骤201,确定适合的攻击者行为模型。然后,在步骤202中收集有关ICS部署架构的信息。所述部署架构被用作为后续步骤203~207中所有分析的基础。在步骤203中,评估控制过程对攻击者的吸引力及其相关ICS设备受到攻击时的影响,然后审查步骤204中允许访问ICS设备的那些攻击线路。这些攻击者的COA受到ICS部署架构的限制。因此,将部署的基础设施作为安全分析范围内以提高分析的规范性。通过结合关键设备、攻击者行为和ICS部署架构的分析,对攻击者可用的选项或可能发生的攻击行为进行分类和分析。这将驱动在步骤205中对关键设备进行详细的安全分析,从而修复漏洞;另外,步骤206中的安全监控,基于网络入侵检测(NIDS)和基于主机入侵检测(HIDS)还能够指示被遭受攻击的位置。步骤205和步骤206都融入到了步骤207的构建事件响应计划,以支持高效的网络防御,抵御恶意攻击。
现在,将更详细地说明每一个安全分析步骤的内容,并提供它们的应用示例,注意,这里所述的步骤201相当于本申请前述的和权利要求书中的(1),即步骤1;同理,步骤202相当于本申请前述的和权利要求书中的(2),即步骤2;…,步骤207相当于本申请前述的和权利要求书中的(7),即步骤7。
步骤201:建立攻击行为建模
所述攻击行为,是针对工业控制系统的一系列进攻动作,对攻击行为建模,目的是如何描述这一系列进攻动作,来作为后续分析的基础。本申请采用Diamond模型与Mandiant攻击生命周期的集成来建立攻击行为模型,Diamond模型是一个分析框架,如图3所示,它定义了原子入侵事件和攻击行为的四个核心特征,这些特征分别是攻击者或对手(Adversary)使用工业基础设施(Infrastructure)上提供的能力(Capability)来瞄准受害者(Victim)并产生破坏结果。这些核心特征由定义在每个特征之间关系的边相互连接。节点和边被连接成一个准菱形(Diamond)。入侵事件还具有许多元特性,这就允许对入侵事件的细节进行深度建模。所有属性都有一个相关的置信水平(Confidence),以允许将权重应用于对感知到的数据准确性做决策。该模型的优点在于能够在菱形(Diamond)上的连接点之间进行分析旋转,从而到达其它连接点。这意味着在不同的入侵事件中使用的一般性功能均可以关联和识别。
Diamond模型被定义为一个可扩展的框架,以适应ICS环境中的架构和技术。因此,该模型中的事件是一个可变大小的N元组,它允许根据需求扩展基本元组。
上面只是直观地解释了入侵事件和受害者(Victim),对它们建立攻击行为模型,则可以通过本申请所述的Diamond模型来描述。
E =<<Adversary,
Figure 499062DEST_PATH_IMAGE001
>
<Capability,
Figure 358433DEST_PATH_IMAGE002
>
<Infrastructure,
Figure 780318DEST_PATH_IMAGE003
>
<Victim,
Figure 16128DEST_PATH_IMAGE004
<Timestamp-Start,
Figure 839858DEST_PATH_IMAGE005
>
<Timestamp-End,
Figure 807814DEST_PATH_IMAGE006
>
<Phase,
Figure 966263DEST_PATH_IMAGE007
>
<Result,
Figure 225337DEST_PATH_IMAGE008
>
<Direction,
Figure 228541DEST_PATH_IMAGE009
>
<Methodology,
Figure 429715DEST_PATH_IMAGE010
>
<Resources,
Figure 826192DEST_PATH_IMAGE011
>>
<Victim,
Figure 138225DEST_PATH_IMAGE012
> =
<Organisation,
Figure 936548DEST_PATH_IMAGE013
>
<HostIPAddress,
Figure 308623DEST_PATH_IMAGE014
>
<Hostname,
Figure 192397DEST_PATH_IMAGE015
>
<Application,
Figure 308120DEST_PATH_IMAGE016
>
<TCPPort,
Figure 43775DEST_PATH_IMAGE017
>>
攻击行为有多种表达方式。在分析过程中,考虑了两种方法:洛克希德马丁公司(Lockheed Martin)的“杀伤链(Kill-Chain)”和Mandiant攻击生命周期。这两种技术都适用于这一安全分析过程,但在本申请中,使用了Mandiant方法,因为洛克希德马丁模型的“Weaponisation”阶段对防守者来说是不透明的。Mandiant生命周期包括八个阶段,来完成一系列的进攻动作:
1、外部侦查(External Reconnaissance):对目标组织和系统进行网络扫描和相关研究;
2、初始攻击(Initial Compromise):攻击者通过目标网络安全边界;
3、建立立足点(Establish Foothold):与植入的恶意软件建立双向通信的技术和能力;
4、升级权限(Escalate Privileges):攻击者将其权限扩大;
5、内部侦查(Internal Reconnaissance):目标网络内的扫描和设备发现;
6、旁路移动(Move Laterally):在合法设备上遍历目标网络;
7、保持存在(Maintain Presence):确保对关键系统、节点和设备的持续控制;
8、完成任务(Complete Mission):执行攻击意图。
Mandiant生命周期提供了统一的方式对敌方攻击方式建模的能力,以能够对ICS设备的攻击行为进行评估。为了考虑这些攻击者选项的可行性,还必须考虑到ICS的部署架构。
步骤202:部署架构检查
部署架构是指工业控制系统,工业控制系统(ICS)也就是集散控制系统(DCS),包括设备和工业网络(如图1所示),一般采用分层架构,下层被称谓过程控制系统,而上层则是管理与监督系统,上层向下层发号施令,实现对工业生产过程的控制。
检查部署架构中安全薄弱的环节,特别是工业控制系统中的重要资产的安全薄弱的环节,因为与不安全的系统集成或对通信的控制不足,会降低安全性,会给生产带来隐患。因此,不能将ICS设备与部署它们的网络隔离开来。无论在ICS操作中以何种方式定义部署架构,是否通过分层、分组或功能分离,它都必须具有一些特征,以便能够审查其影响并确定由于设计而产生的常见漏洞。本申请使用Purdue模型作为部署架构,如图4所示。
图4的第0级、第1级、第2级和第3级为过程控制系统,包括PLC,用来控制工业过程;传感器(如温度和压力传感器),实时监测和收集相关的温度和压力数据;执行机构(如阀门、电机和开关),执行控制器命令,而第4级和第5级为管理与监督系统,由人机接口、工程师站和远程诊断所组成,人机接口用于监控受控过程,并能显示历史状态信息,工程师站用于配置控制算法和调整控制参数,远程诊断工具用于预防、识别和恢复异常情况,或诊断和修复故障。这些组件之间的通信依赖于工业协议。
图4的Purdue模型是控制层级的参考架构,它描述了管理工业控制系统的组织内的六个层次。与传统IT系统相比,ICS通常存在一些显著的差异。通常,ICS比典型的IT企业具有更深层的体系结构,这是Purdue模型的特点。
为了适应ICS的特性,本申请必须在Diamond模型中扩展事件的定义,再增加一些必须的属性,以便更深入地检查部署架构、支持步骤204的详细分析和更加适应所采用的Purdue模型。虽然所述模型中没有规定强制元素,但基础设施(infrastructure)和受害者(victim)节点应包括以下所给出的粒度级别,以支持步骤204对攻击选项的详细分析。
如下是所述的Victim和Infrastructure节点的定义扩展。
<Victim, Confidencevictim> =
<<TargetDevice,
Figure 337484DEST_PATH_IMAGE018
>
<TargetDeviceAddress,
Figure 692242DEST_PATH_IMAGE019
>
<TargetDevicePort/Identifier,
Figure 549339DEST_PATH_IMAGE020
>
<HardwareRevision,
Figure 56675DEST_PATH_IMAGE021
>
<FirmwareRevision,
Figure 645919DEST_PATH_IMAGE022
>
<OSRevision,
Figure 501355DEST_PATH_IMAGE023
>
<Process,
Figure 958882DEST_PATH_IMAGE024
>
<ProcessStep,
Figure 320724DEST_PATH_IMAGE025
>
<ProcessImpact,
Figure 471083DEST_PATH_IMAGE026
>
<Loss,
Figure 551165DEST_PATH_IMAGE027
>>
<Infrastructure,
Figure 546803DEST_PATH_IMAGE028
> =
<<InputProtocol,
Figure 215682DEST_PATH_IMAGE029
>
<InputBearer,
Figure 287674DEST_PATH_IMAGE030
>
<OutputProtocol,
Figure 838741DEST_PATH_IMAGE031
>
<OutputBearer,
Figure 713769DEST_PATH_IMAGE032
>
<NetworkSegment/Identifier,
Figure 237154DEST_PATH_IMAGE033
>
<ArchitectureLayer,
Figure 214468DEST_PATH_IMAGE034
>>
Victim和Infrastructure节点的定义扩展的各个字段描述如下:
输入协议(InputProtocol):用于访问设备的协议;
输入承载网(InputBearer):输入协议运行的承载器,用于确定是否共享;
输出协议(OutputProtocol):退出设备的协议,以适应协议转换;
输出承载网(OutputBearer):输出协议运行的承载器,用于确定是否共享;
网络段/标识符(NetworkSegment/Identifier):在承载网上使用的网络或总线段或串行标识符。
体系结构层(ArchitectureLaye):段所在的层或区域;
目标设备(TargetDevice):设备的品牌和型号。
目标设备地址(TargetDeviceAddress):其地址,无论是IP、MAC还是其它地址;
目标设备端口/标识符(TargetDevicePort/Identifier):用于与设备通信的端口或其他标识符;
硬件版本(HardwareRevision):设备的硬件版本;
固件版本(FirmwareRevision):设备的固件版本;
操作系统版本(OSRevision):设备的操作系统版本。
过程(Process):设备使用的过程;
过程步骤(ProcessStep):流程的具体步骤;
过程影响(ProcessImpact):操作设备的潜在或真实影响;
损失(Loss):通过操纵而评估的相关财务损失;
最后,Diamond模型需要与选定的攻击生命周期(或“杀死链”)集成,本申请是选择了Mandiant攻击生命周期。
步骤203:确定被攻击目标
ICS的攻击目标确定,强调攻击目标不仅针对正在使用的控制系统的漏洞,还针对控制过程的工艺参数。分析表明,与已有的IT系统的确定网络攻击目标的不同之处,在于工业网络攻击涉及使用IT系统传播恶意软件和操作ICS以影响控制下的过程,从而导致工业设备损坏甚至发生爆炸。
大多数模拟集中在过程控制策略的模型上,并确保整个工厂过程控制的一致性;但是,如果引入了超出预期系统状态的条件,则可能会观察到未曾预料到的后果。例如,进入控制回路的输入的变化可能导致“雪球效应”的输出,其输出增加到如此显著的水平,或者说使得过程不可控制,从而导致整个工厂可能不得不关闭以纠正这种情况。这表明,如果对负责输入的控制设备被恶意操作,那么对设备的影响将是明显的。因此,控制设备成为安全防御的关键资产,因为了解所控制的工业过程的攻击者也可以确定该设备作为被攻击目标。鉴别对攻击者有吸引力的脆弱区域的一种方法就是CARVER矩阵。
CARVER评估方法用来确定被攻击的基础设施的关键性和存在的脆弱性。它的输出是一个关键资产清单,它定义了对其有价值的一组优先资产,因此资产的能力丧失或遭到破坏将对ICS操作运维或设施产生严重影响。
CARVER评估方法,具体说明如下:
C表示关键性,描述了目标的重要性及其对攻击者的相对价值,以达到预期的结果。设备的关键性取决于它与关键过程的关系;
A表示可访问性,是对攻击者如何到达资产以及到达目标的复杂性的评估;
R表示可恢复性,考虑修复或替换目标所需的时间和资源;
V表示漏洞,是攻击者破坏目标资产的能力的度量;
E指效果,表示目标丢失或降级的影响;
R表示可识别性,是指攻击者能够识别关键资产的程度。
CARVER有一套基于物理资产的标准,本申请对其进行了修改,这是为了用于和适配ICS的安全分析。对标准的修改仍然接近于CARVER过程的原始思想,但已经进行了扩展以适应ICS体系结构的特点。CARVER的修改和扩展允对攻击者具有吸引力的ICS目标进行识别、比较和排序,以集中安全防御资源和安全运维人力。
通过这种方式,安全分析的范围立即被限制在那些支持关键操作过程和设备的系统上。CARVER评估方法允许将现有的、经过验证的安全分析方法整合到一个的框架中。通过分析设备内的控制逻辑,以确定哪个单独的控制元件或元件之间的相互作用负责控制过程的关键方面。
步骤204:预测攻击
攻击就是对工业控制系统的进攻动作,攻击选项,顾名思义,也就是可能发生的的攻击的范围,图5给出了一个可能的攻击分析/攻击选项分析的方法及步骤。本步骤对于每一个确定的COA,并作进一步地分解。该分析必须考虑在步骤202中所提出的部署架构。图5以图形方式显示了一个单一的活动线路(Thread)图。该线路图源自一个活动攻击图(如图5箭头或红色箭头所示),它采用了一种新的可视化方式,并结合了部署架构。活动线路的二维表示,通常由第三个轴来增强;该轴显示了分布在部署架构各层次上的相同的攻击。原始模型的这种扩展的优势在于,它允许在部署架构的各个层次上考虑常见的漏洞,识别安全弱点区域,或潜在攻击行为集中在部署架构的哪一个层次上。标准的Diamond模型方法仅是一个二维模型,但这对于ICS来说是远远不够的,为了适应ICS部署架构的特性,增加了第三个轴来适配部署架构层。如图5所示,考虑到在Diamond模型里事件的Infrastructure和Victim节点的扩展中定义的其它属性,这就允许防御规划者审查如何在部署架构的每一层次上检测、拒绝、瓦解、贬低或误导攻击者,实现积极的安全防御。
图5所示的攻击行为,具体描述如下,且下面的1-16序号对应于图4中菱形框内的1-16:
1、确定在企业网络中面向互联网的第三方接入服务器;
2、一个开放的、未受保护的端口被定位并用于将初始恶意软件植入到站点上的未受保护的文件服务器上;
3、该恶意软件与外部攻击者的服务器通信,并植入了一个恶意软件;
4、恶意软件使用操作系统的已知漏洞升级其权限;
5、网络内部侦察在现场中识别了企业资源规划(ERP)系统;
6、恶意软件利用本地网络基础设施浏览制造执行系统(MES);
7、将MES打上信标;
8、信标通过先前Internet第三方服务器,与外部攻击者的服务器通信;
9、恶意软件对操作网络进行侦察,并识别管理工厂过程的DCS;
10、恶意软件利用网络基础设施到达DCS;
11、在DCS上部署了植入装置,该装置向外部攻击者服务器通信;
12、外部攻击者的服务器通过被攻击的设备链路进行通信;
13、恶意软件利用DCS操作系统中的漏洞来提升其权限;
14、该恶意软件修改了DCS的配置,以保持其进程持续有效;
15、恶意软件对连接到DCS的PLC进行侦察;
16、恶意软件接收来自外部攻击者的服务器的指令,并强制关闭目标PLC,以停止工厂过程控制中的关键节点。
可能的攻击分析的结果反馈到相关的步骤中,支持所述安全测试和补救、所述安全监控和所述构建事件响应计划。
步骤205:安全测试,并补救安全漏洞
对ICS基础实施进行安全测试,发现ICS不安全的地方,特别是工业控制系统的关键基础实施设备的不安全的地方和是否符合相应的安全级别(如等保2.0),并对安全漏洞进行补救,来降低工业控制系统的安全风险。补救手段之一就是下一步(步骤206)的部署安全监控装置。
对于大多数ICS来说,为测试而变更整个ICS设备保持一个准生产环境是不划算的。当需要对一个具有代表性的ICS系统进行测试时,这是一个挑战,因为任何对现场环境的使用都可能导致不可预见的后果。
为了评估CARVER矩阵分析所强调的关键基础实施设备可用的安全级别,有必要定义一种方法,通过该方法可以在不危及操作运维环境的情况下进行测试。本申请介绍的第205步提出了一种三阶段的安全测试方法:(1)模拟,(2)隔离,(3)综合。
(1)模拟:一种以过程为中心的安全测试方法,使用对控制装置的模拟,对其逻辑进行建模,以便在控制策略的测量值、过程变量、设定值或传感器数据被操作时评估其行为。其目的是为了超过正常操作参数来测试边界条件,并观察其对控制过程的影响。本测试的目的不是测试设备的安全性,而是测试设备对异常数据的恢复能力,并评估逻辑本身的错误和边界检查;
(2)隔离:以设备为中心,它隔离被认为对攻击者至关重要或具有吸引力的设备,并评估其固有的漏洞。隔离测试的准备工作包括询问CVE数据库以识别在其他地方执行的安全测试。隔离测试评估被测设备中是否存在记录的漏洞。但是,并不是所有的漏洞都在ICS设备被识别或记录,因此隔离测试应该系统地测试设备以评估其安全性;
(3)综合:以集成为中心的一组测试场景,用于评估集成关键或具有吸引力的ICS设备和组件所携带的任何漏洞。创建一个综合环境作为网络试验台,以评估设备或相关设备从模拟和隔离阶段获取输出,以产生在综合阶段进行试验的要求。这允许考虑控制系统的人为方面,因为试验台允许引入操作运维流程来评估运维操作员对各种情况和工业过程条件的响应。
随着测试的实施,测试结果将被反馈到所述部署架构检查、被攻击目标确定和可能的攻击分析的步骤中,从而允许补救手段解决它们的安全漏洞。它还推动安全监控和构建事件响应计划的开展。
步骤206:部署安全监控
根据步骤202的部署架构检查、步骤203的被攻击目标确定和步骤205的安全测试等所发现的工业控制系统的安全薄弱地方,并通过部署安全监控装置进行补救,以降低工业控制系统遭受网络攻击的风险。
许多旧的ICS设备本质上是不安全的,而加固可能是不可行的。在这一点上,防御分析必须从被动保护转向积极防御。
根据活动线路和活动攻击图,建立一个行动过程矩阵,即COA矩阵(Course ofAction Matrix),基于COA矩阵实现对安全监控装置进行部署。安全监控装置部署的情况如图6所示,COA矩阵能够决定如何检测、拒绝、瓦解、贬低或误导攻击者,并能够协助分析这些传感器或安全监控软件等应部署在何处以识别攻击行为。
所述检测、拒绝、瓦解、贬低或误导攻击者,表示实现安全监控功能的强弱,从左到右越来越强。检测表示仅实现检测攻击者的功能而已,功能最弱;而误导攻击者,例如蜜罐技术,其功能最强。
所述传感器或安全监控软件,包括工业防火墙、工业IDS(Intrusion DetectionSystems 入侵检测系统)与审计、工控脆弱性扫描、工业SOC(Security Operation Center安全管理中心)、工业网闸、安全检查工具箱和网络流秩序分析等,这些传感器或安全监控软件或是自主研发或是第三方产品。
工业安全运维云服务平台通过采集部署在工业环境中的所述设备的日志、SNMPTRAP等数据,并经过预处理和标准化之后,可以进一步地实现如下功能:
(1)采用大数据分析技术,深度挖掘ICS安全隐患;
(2)基于人工智能技术,充分利用高级安全运维人员的经验,实现安全集中运维服务的智能化、自动化和可视化,或在此基础上开发安全运维服务机器人bot,实现自动化的安全运维;
(3)自主研发所述传感器或安全监控软件,改变现有ICS安全运维故障定位和分析工具少的现象;
(4)基于活动攻击图、COA矩阵、大数据和人工智能,开发防御计划/事件响应计划,实现积极的安全集中运维服务或积极的安全防御;
所述设备,包括服务器、路由器、交换机、存储设备、工业防火墙、工业IDS与审计、工控脆弱性扫描、工业SOC、工业网闸和网络流秩序分析等。
另外,所述传感器或安全监控软件,包括如图6所示的HIDS、NIDS、NIPS、IPS(Intrusion Prevention System 入侵防御系统)、防火墙(Firewalls)和杀毒软件(Anti-virius)等。
步骤207:构建事件响应计划
加固设备和加强联网系统的周界是保护ICS不受恶意活动影响的重要步骤。然而,保护措施只能减少攻击的可能性。在处理有能力和适应性强的攻击者时,有必要考虑防御计划,以支持任何入侵都能够使得事件响应者能够预测到攻击者的下一步行动。大数据、人工智能、活动攻击图和COA矩阵的使用充分考虑了攻击者可用的攻击选项,并使用Diamond模型描述了每个攻击事件的特征;根据步骤204所获得的可能的攻击/攻击选项,发挥集体智慧、进行头脑风暴,开发一组“竞争假设”,这为构建事件响应行动手册、及时修复工控系统故障和恢复企业正常的经营秩序提供了基础;该行动手册作为ICS的防御计划或事件响应计划,可以通过安全运维平台的工单系统在修复故障的实践中不断积累成功经验进行反复迭代改进。总之,构建事件响应计划,包括事件响应行动手册,以及基于大数据、人工智能、活动攻击图和COA矩阵开发的事件响应,是确定拒绝攻击者访问关键系统资产的最有效方式,实现积极的安全防御。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。

Claims (4)

1.一种工业控制系统网络安全分析的方法,其特征在于,所述方法,包括如下步骤:
(1)建立攻击行为模型;
(2)部署架构检查;
(3)确定被攻击目标;
(4)预测攻击;
(5)安全测试并补救安全漏洞;
(6)部署安全监控;
(7)构建事件响应计划;
所述建立攻击行为模型,是针对工业控制系统的一系列进攻动作,采用Diamond模型与Mandiant攻击生命周期的集成进行建模,攻击行为有多种表达方式,在分析过程中,使用两种方法:Lockheed Martin的“Kill-Chain”和Mandiant攻击生命周期;
所述部署架构检查,是指工业控制系统,采用Purdue模型作为ICS的部署架构,包括设备和工业网络,采用分层架构,下层被称谓过程控制系统,而上层则是管理与监督系统,上层向下层发号施令,实现对工业生产过程的控制;
所述确定被攻击目标,包括:ICS的自动控制算法的参数和关键基础设施的漏洞,采用CARVER评估方法确定被攻击的基础设施的关键性和脆弱性;
所述预测攻击,攻击就是对工业控制系统的进攻动作,攻击选项,也就是可能发生的攻击的范围,采用攻击图与ICS部署架构相结合的分析方法进行预测;
所述安全测试并补救安全漏洞,采用模拟测试、隔离测试和综合测试的方法,发现关键基础设施的漏洞和脆弱性,并反馈到所述部署架构检查、所述确定被攻击目标和所述预测攻击的步骤中进行补救;
所述模拟测试,一种以过程为中心的安全测试方法,使用对控制装置的模拟,对其逻辑进行建模,以便在控制策略的测量值、过程变量、设定值或传感器数据被操作时评估其行为,其目的是为了超过正常操作参数来测试边界条件,并观察其对控制过程的影响,本测试的目的不是测试设备的安全性,而是测试设备对异常数据的恢复能力,并评估逻辑本身的错误和边界检查;
所述隔离测试,以设备为中心,它隔离被认为对攻击者至关重要或具有吸引力的设备,并评估其固有的漏洞,隔离测试的准备工作包括询问CVE数据库以识别在其他地方执行的安全测试,隔离测试评估被测设备中是否存在记录的漏洞,但是,并不是所有的漏洞都在ICS设备被识别或记录,因此隔离测试将系统地测试设备以评估其安全性;
所述综合测试,以集成为中心的一组测试场景,用于评估集成关键或具有吸引力的ICS设备和组件所携带的任何漏洞,创建一个综合环境作为网络试验台,以评估设备或相关设备从模拟和隔离阶段获取输出,以产生在综合阶段进行试验的要求,包括控制系统的人为方面,因为试验台允许引入操作运维流程来评估运维操作员对各种情况和工业过程条件的响应;
所述部署安全监控,通过部署安全监控装置进行补救,以降低工业控制系统遭受网络攻击的风险,包括部署COA(Course of Action动作过程)矩阵,所述COA矩阵,协助分析传感器或安全监控软件的部署位置以识别攻击者的行为,采集这些传感器或安全监控软件产生的日志和SNMP信息并采用大数据技术进行深度分析,挖掘ICS安全隐患;
所述构建事件响应计划,在处理有能力和适应性强的攻击者时,需要事件响应行动手册,以及基于大数据、人工智能、活动攻击图和COA矩阵开发的事件响应。
2.如权利要求1所述一种工业控制系统网络安全分析的方法,其特征在于,所述Diamond模型,它定义了诸如入侵事件和攻击行为的四个核心特征,这些特征分别是攻击者或对手Adversary使用工业基础设施Infrastructure上提供的能力Capability来瞄准受害者Victim并产生破坏结果,这些核心特征由定义在每个特征之间关系的边相互连接,节点和边被连接成一个菱形,入侵事件还具有许多元特性,这就允许对入侵事件的细节进行深度建模,所有属性都有一个相关的置信水平Confidence,以允许将权重应用于对感知到的数据准确性做决策,该模型能够在菱形上的连接点之间进行分析旋转,从而到达其它连接点,在不同的入侵事件中使用的一般性功能均能够关联和识别。
3.如权利要求1所述一种工业控制系统网络安全分析的方法,其特征在于,所述Mandiant攻击生命周期,包括如下8个阶段,来完成一系列的进攻动作:
(1)外部侦查:对目标组织和系统进行网络扫描和相关研究;
(2)初始攻击:攻击者通过目标网络安全边界;
(3)建立立足点:与植入的恶意软件建立双向通信的技术和能力;
(4)升级权限:攻击者将其权限扩大;
(5)内部侦查:目标网络内的扫描和设备发现;
(6)旁路移动:在合法设备上遍历目标网络;
(7)保持存在:确保对关键系统、节点和设备的持续控制;
(8)完成任务:执行攻击意图。
4.如权利要求1所述一种工业控制系统网络安全分析的方法,其特征在于,所述CARVER评估方法,用来确定被攻击的基础设施的关键性和存在的脆弱性,它的输出是一个关键资产清单,它定义了对其有价值的一组优先资产,因此资产的能力丧失或遭到破坏将对ICS操作运维或设施产生严重影响,具体说明如下:
C表示关键性,描述了目标的重要性及其对攻击者的相对价值,以达到预期的结果,设备的关键性取决于它与关键过程的关系;
A表示可访问性,是对攻击者如何到达资产以及到达目标的复杂性的评估;
R表示可恢复性,根据修复或替换目标所需的时间和资源;
V表示漏洞,是攻击者破坏目标资产的能力的度量;
E指效果,表示目标丢失或降级的影响;
R表示可识别性,是指攻击者能够识别关键资产的程度;
CARVER有一套基于物理资产的标准,对其进行了修改,CARVER的修改和扩展允许对攻击者具有吸引力的ICS目标进行识别、比较和排序,以集中安全防御资源和安全运维人力。
CN202010000301.XA 2020-01-02 2020-01-02 一种工业控制系统网络安全分析的方法 Active CN111107108B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010000301.XA CN111107108B (zh) 2020-01-02 2020-01-02 一种工业控制系统网络安全分析的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010000301.XA CN111107108B (zh) 2020-01-02 2020-01-02 一种工业控制系统网络安全分析的方法

Publications (2)

Publication Number Publication Date
CN111107108A CN111107108A (zh) 2020-05-05
CN111107108B true CN111107108B (zh) 2022-04-12

Family

ID=70426567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010000301.XA Active CN111107108B (zh) 2020-01-02 2020-01-02 一种工业控制系统网络安全分析的方法

Country Status (1)

Country Link
CN (1) CN111107108B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11575571B2 (en) * 2020-05-08 2023-02-07 Rockwell Automation Technologies, Inc. Centralized security event generation policy
CN112270136B (zh) * 2020-11-20 2022-04-01 浙江大学 一种基于功能域的终端设备安全威胁模型的构建方法
CN112306777B (zh) * 2020-11-20 2022-05-10 浙江大学 基于陷门脆弱性的终端设备安全检测与分析方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547229A (zh) * 2016-06-29 2018-01-05 南京联成科技发展股份有限公司 一种基于大数据的安全运维管理平台智能控制的实现方法
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US20170237752A1 (en) * 2016-02-11 2017-08-17 Honeywell International Inc. Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics
US10176320B1 (en) * 2017-12-04 2019-01-08 Honeywell International Inc. Using machine learning in an industrial control network to improve cybersecurity operations
CN108809951A (zh) * 2018-05-16 2018-11-13 南京大学 一种适用于工业控制系统的渗透测试框架
CN108712425A (zh) * 2018-05-21 2018-10-26 南京南瑞集团公司 一种面向工业控制系统网络安全威胁事件的分析监管方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107547229A (zh) * 2016-06-29 2018-01-05 南京联成科技发展股份有限公司 一种基于大数据的安全运维管理平台智能控制的实现方法
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
工业控制系统安全综述;陶耀东等;《计算机工程与应用》;20160701(第13期);全文 *
网络威胁情报活动模型建构与解析;陶昱玮;《保密科学技术》;20170820(第08期);第1页第1栏第3段至第5页第1栏第1段 *

Also Published As

Publication number Publication date
CN111107108A (zh) 2020-05-05

Similar Documents

Publication Publication Date Title
Alexander et al. MITRE ATT&CK for industrial control systems: Design and philosophy
US10764319B2 (en) Intelligent automated security vulnerability detection and analysis for industrial internet of things (IIOT) devices
Cook et al. The industrial control system cyber defence triage process
US9130980B2 (en) Integrated unified threat management for a process control system
Stouffer et al. Guide to industrial control systems (ICS) security
Kim et al. Cyber attack taxonomy for digital environment in nuclear power plants
CN111107108B (zh) 一种工业控制系统网络安全分析的方法
CN108055261B (zh) 工业网络安全系统部署方法及安全系统
US20150301515A1 (en) Method, Device and Computer Program for Monitoring an Industrial Control System
US11022949B2 (en) PLC virtual patching and automated distribution of security context
CN103117993B (zh) 用于提供过程控制系统的防火墙的方法、装置及制品
Varuttamaseni et al. Construction of a cyber attack model for nuclear power plants
Kim et al. STRIDE‐based threat modeling and DREAD evaluation for the distributed control system in the oil refinery
Singh et al. Artificial intelligence and security of industrial control systems
Lemaire et al. Extracting vulnerabilities in industrial control systems using a knowledge-based system
Lee et al. The Five ICS Cybersecurity Critical Controls
EP3024192A1 (en) Analysing security risks of an industrial automation and control system
Smidts et al. Next-Generation Architecture and Autonomous Cyber-Defense
Biswas et al. Cybernetic modeling of Industrial Control Systems: Towards threat analysis of critical infrastructure
Sindhwad et al. Exploiting Control Device Vulnerabilities: Attacking Cyber-Physical Water System
Yask et al. A review of model on malware detection and protection for the distributed control systems (Industrial control systems) in oil & gas sectors
Falk et al. Enhancing integrity protection for industrial cyber physical systems
Singh An Analysis of Cybersecurity in Industrial Automation
Stamp et al. Cyber Security Gap Analysis for Critical Energy Systems (CSGACES).
Reza Understanding and Simulation of Attacks in Power Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant