CN111212067A

CN111212067A - 一种基于威胁预测的工业网络安全风险评估系统

Info

Publication number: CN111212067A
Application number: CN201911422821.3A
Authority: CN
Inventors: 不公告发明人
Original assignee: Nanjing Liancheng Technology Development Co ltd
Current assignee: Nanjing Liancheng Technology Development Co ltd
Priority date: 2019-12-31
Filing date: 2019-12-31
Publication date: 2020-05-29

Abstract

本发明公开了一种基于威胁发生概率预测的工业网络安全风险评估系统，其特征在于，所述系统，包括数据采集层、概率预测层和风险评估层；所述数据采集层，包括资产模块、威胁模块、漏洞模块和依赖关系模块；所述概率预测层，包括威胁发生概率预测模块；所述风险评估层，包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块。通过本发明，能够提升安全风险评估系统的准确性。

Description

一种基于威胁预测的工业网络安全风险评估系统

技术领域

本发明涉及计算机、网络安全、网络管理和自动控制的技术领域，尤其涉及到一种基于威胁预测的工业网络安全风险评估系统。

背景技术

信息和通信技术（information and communication technologies ICT）是当今社会必不可少的资源，随着每天大量的数据通过工业互联网存储或发送，保护成为优先考虑。这个问题涉及到所有类型的工业企业，也包括家庭和工作环境，其中的信息对于商业活动和工业企业安全生产的正确发展至关重要。包含工业控制系统（Industry ControlSysyem ICS）中的诸如控制器等的机密信息的文件以及存储或发送这些信息的媒体是保护这些信息资产的关键点。

已经开发了各种不同的信息安全风险分析系统，以研究和评估用于保护数据的安全措施以及不同事件如何影响信息保证。传统系统以历史数据为基础，以威胁发生频率为输入参数。然而，随着新的保障措施的实施和脆弱性潜在变化，以前频繁出现的威胁可能不再如此这样了。因此，一个好的风险评估系统是探索使用预测算法来预测将来威胁发生的频率，即关注未来可能发生的事情，而不是回顾过去发生的事情。

本申请是在风险分析过程中包含一个威胁发生预测模块，该模块考虑到工业网络的当前状态，特别是影响工业网络的漏洞的当前状态，以便改进工业网络安全风险计算，从而识别最关键的风险。其目的是制定更好、更有效的保障措施，一旦发现风险最大的资产，就可以通过提高信息安全来减少工业企业的损失。

发明内容

为了解决上述技术问题，本发明提供了一种基于威胁预测的工业网络安全风险评估系统，引入了威胁发生概率预测模块，以应对传统的安全解决方案已不再适合工业网络安全风险评估。

一种基于威胁预测的工业网络安全风险评估系统，其特征在于，所述系统，包括数据采集层、概率预测层和风险评估层；

所述数据采集层，包括资产模块、威胁模块、漏洞模块和依赖关系模块；

所述概率预测层，包括威胁发生概率预测模块；

所述风险评估层，包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块；

进一步地，所述依赖关系模块，表示资产或关键资产漏洞之间的关联关系；

进一步地，威胁发生概率预测模块，采用logistic回归进行威胁发生概率预测，logistic回归公式如下：p=

，其中，p为威胁发生预测概率，

为一组具有依赖关系的资产的每一个漏洞的描述；

进一步地，所述概率与频率换算模块，采用公式

=

或概率值和频率值之间等价性之直线方程换算成

频率；

进一步地，风险评估模块，包括加固前风险评估评估模块和加固后风险评估评估模块；

进一步地，所述加固前风险评估评估模块，评估工业网络安全加固之前的风险，加固前风险=

频率×加固前影响；

进一步地，所述加固后风险评估评估模块，评估工业网络安全加固之后的风险，加固后风险=

频率×加固后影响；

进一步地，所述加固前影响，加固前影响=价值×劣化；

进一步地，所述加固后影响，加固后影响=价值×（劣化×缓解）。

本发明的技术效果在于：

在本发明中，提供了一种基于威胁发生概率预测的工业网络安全风险评估系统，其特征在于，所述系统，包括数据采集层、概率预测层和风险评估层；所述数据采集层，包括资产模块、威胁模块、漏洞模块和依赖关系模块；所述概率预测层，包括威胁发生概率预测模块；所述风险评估层，包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块。通过本发明，能够提升安全风险评估系统的准确性。

附图说明

图1是一种基于威胁预测的工业网络安全风险评估系统的资产漏洞依赖关系示意图;

图2是一种基于威胁预测的工业网络安全风险评估系统的威胁LC_046样本采集的示意图;

图3是一种基于威胁预测的工业网络安全风险评估系统的架构的示意图。

具体实施方式

下面是根据附图和实例对本发明的进一步详细说明：

本申请在安全风险分析过程中包含了一个威胁预测模块，该模块考虑到工业网络的当前状态，特别是影响工业网络的漏洞的当前状态，以便改进安全风险计算，从而识别最关键的安全风险。其目的是制定更好、更有效的安全保障措施；而且，一旦发现风险最大的资产，还可以通过提高信息安全来减少工业企业的损失。

本申请提供了一种在工业网络安全风险评估系统中的威胁预测模块，包括两种类型的安全风险（1）加固前风险，（2）加固后风险。加固前风险是一种理论风险，适用于尚未部署安全保障措施的情况，而加固后是实施安全保障措施后的风险。

如何在安全风险计算中包含和应用威胁预测模块，用于定量地评估工业网络的安全风险。计算加固前风险（未部署安全措施时）和加固后风险（已部署安全措施时）。面临威胁的资产的加固前风险和加固后风险计算如下：

加固前风险=频率×加固前影响（1）

加固前影响=价值×劣化（2）

其中：

1、频率表示威胁出现的频率（根据历史数据计算，并考虑威胁在评估期间（通常是一年）出现的次数）；

2、价值代表资产对工业企业的重要性；如果资产遭受网络安全攻击而导致不可用使得工业企业所产生的损失，由信息安全风险分析师，基于他们的专业知识、对SME资产、脆弱性、威胁，以及资产对管理者的重要性的了解，按0（不显著）到10（非常显著）的比例分配。

3、劣化是表示威胁可能对资产造成损害的百分比（0%表示资产没有降级，100%表示资产不再可用）。

加固后风险=频率×加固后影响（3）

加固后影响=价值×（劣化×缓解）（4）

其中，缓解是指在实施安全保障措施后，衡量资产劣化减少程度的百分比。

要计算特定资产的最终风险值，首先将这些公式应用于该资产面临的每个威胁，然后将最终风险值计算为所有考虑的威胁的最高风险值。如（1）和（3），直接决定风险的一个值是威胁发生的频率，安全团队（从安全运维服务人员的记录的事件中）获取频率。由于它反映了一年来发生的事情，它在一定程度上受到过去事件的影响。

正如下面将看到的，本申请的威胁预测模型也使用过去的威胁样本来计算风险，但回归模型不是直接计算频率，而是计算未来威胁发生的概率。根据这个未来威胁发生的概率值，计算出反映工业网络当前状态的频率。因此，回归模型考虑了安全风险分析师计算出的当前漏洞状态。

为了计算安全风险，将（1）和（3）分别被替换成（5）和（7），其中根据未来发生威胁的可能性，将原始频率替换为一个新的频率（

频率）：

加固前风险=

频率×加固前影响（5）

加固前影响=价值×劣化（6）

加固后风险=

频率×加固后影响（7）

加固后影响=价值×（劣化×缓解）（8）

因此，首先计算每个威胁发生的概率，然后将计算出的概率与

频率联系起来，以计算出安全风险。

为了计算所述概率，可以使用基于logistic回归的机器学习解决方案，Logistic回归能够对问题进行快速的近似，而且logistic回归也符合本申请的目标（即从一组独立值中来模型变量发生的概率）。在这种情况下，依赖变量将是威胁，而独立变量将是漏洞。因此，每个模型都将表示特定威胁的行为。

本申请也能够定性地建立频率和概率之间的等价关系，它代表了威胁的潜在性，从“非常高的潜力”到“非常低的潜力”。然后，每个级别的等级都与一个频率范围和一个概率范围相关联，使它们相互关联。例如，“非常高的潜在”级别与非常频繁的威胁（在分析期间发生5到10次的威胁）和非常高的威胁发生概率（在0.7到1之间的威胁）相关。表1描述了整个等效性。

表1：频率与概率之值的等价性

频率范围由安全分析员在系统分析期间定义，定义概率范围的步骤如下：

1、对于每个威胁，收集一组样本（下面将有更加详细的描述）。这些实施例包括一个名为HAPPEN的功能，该功能指示威胁是否处于活动状态。

2、对于每个威胁，根据该数据集中的 “HAPPEN=1”事件的相对频率来估计概率（

）。也就是说，

与相对频率之间的关系将由以下公式给出：

=

（9）

其中：

1、

是事件“HAPPEN=1=1”的相对频率；

2、1—α是置信区间；

3、

是在α/2处正态分布的值；

4、N是样本数，置信区间设为1-α=0.96；

5、概率范围是从频率范围定义的，从频率在“非常高的潜在”范围内的威胁集合开始，集合的最低概率确定了“非常高的潜在”概率范围的下限。

本申请考虑了可用的所有威胁数据。根据前面的信息，可以得到与频率和概率相关的方程，如表2所示。这些公式是表1中所述的基于点和斜率的直线方程。

表2：计算概率值和频率值之间等价性的公式，x表示威胁的概率，y表示等效频率

利用这些数据和公式，可以计算新的等效频率值，并使用新方法计算风险。

有了这些信息（隐式地包括了发生威胁的概率），工业企业将能够有效地关注最重要的风险，因为：

1、工业企业将掌握资产状况和可能损害资产的潜在威胁的可靠信息;

2、工业企业将能够预测可能发生的事件，因为企业将根据自身的真实状态知道哪些威胁更可能发生。

在一个实施例中，对一家中小企业（Small and Medium Enterprises SME）进行了使用本申请所述系统进行风险分析的评估。表3总结了SME的主要特点（提供了最低限度的细节以保持机密性和匿名性）。为了定义场景识别资产及其依赖关系、威胁和漏洞，以及相应的关系，以及现有的保护措施，首先与系统管理员和经理进行了个人访谈，并审查了设施和系统文档。使用包含威胁历史数据的数据库进一步描述了该场景。数据库样本包括有关威胁的信息、与该特定威胁相关的脆弱性评估值，以及在采样时威胁是否处于活动状态。漏洞评估则代表了每个漏洞的状态，如果一旦系统风险分析师进行评估。

表3：SME的概况

表4中列出了高关联风险的关键资产子集。加固前和加固后风险（1）和（3）被使用为计算公式，还包括反映资产之间依赖关系的模块。

图1是一种基于威胁预测的工业网络安全风险评估系统的资产漏洞依赖关系示意图。在图1中反映的关键资产（表4）漏洞之间存在的依赖关系是由风险分析者，基于他们自己的专业知识，在工业网络风险评估系统中绘制的。注意到加固后风险取决于实施的安全保障措施，这意味着，如果安全保障措施证明不合适，例如，在资产7（Internet连接）和198（客户端数据）中发生的情况，那么它将减少或增加潜在风险。

表4：主要资产列表

一旦确定了这组资产，资产就必须被确定存在的脆弱性和每一个脆弱性所产生的威胁。从对这个实施例进行的分析中，提取了表5中列出的一组漏洞。在选择一组漏洞时，需要额外的努力来独立地测量每一个漏洞；因此，本申请并没有将“缺乏安全指南”作为一个整体来考虑，而是将其分为七种不同的脆弱性（vul 57、vul 58、vuln 68、vuln 71、vuln 74、vuln 77、vuln 78和vuln 81），它们反映了初始脆弱性的特定方面。尽管漏洞被定义为独立的（因为它们之间没有依赖关系），但重要的是要强调一个事实，即漏洞仍然可以相互关联，无论是根据评估它们的上下文还是根据中小企业SME的内部过程。评估参数以0到10的比例描述每个漏洞的状态，其中0表示漏洞已被解决，10表示漏洞仍然可以完全被利用。至于依赖关系，这些值是由风险分析师根据他们的专业知识计算的。脆弱性被视为风险触发因素，因为它们是根据其真实状态单独评估的。这样就可以反映出，例如，加固方案已经正确地被实施（对应于一个0脆弱性值），加固方案已经很好地实施但需改进（一个3-4脆弱性值），加固方案已经很好地实施但有缺陷（一个7-8脆弱性值），或者加固方案还没有实施或被部署（一个10脆弱性值）。

关于威胁，本实施例发现了资产漏洞产生的20种不同的严重威胁：

1、LC_004 窃听线路（Line eavesdropping）；

2、LC_005 未经授权使用IT系统（Unauthorized use of IT systems）；

3、LC_006 未经授权使用远程维护连接（Unauthorized use of remote maintenanceconnections）；

4、LC_013不正确使用管理员权限（Improper use of administrator privileges）；

5、LC_015恶意软件（Malware）；

6、LC_016 冒名顶替（Impersonation）；

7、LC_023 使用视频捕获信息（Capturing information using video）；

8、LC_024 引入恶意代码（Introduction of malicious code）；

9、LC_025 由于黑客攻击而拒绝服务（Denial of service due to a hackerattack）；

10、LC_026 故意更改系统配置数据（Deliberate alteration of systemconfiguration data）；

11、LC_029 后门可进入（Backdoor access）；

12、LC_044 未经授权使用访问权限：未经事先授权使用凭据访问SME数据（Unauthorized use of access rights: use of credentials without priorauthorization to access SME data）；

13、LC_045 不受控制的资源使用：未经授权或控制使用中小企业资源（Uncontrolledresources usage: use of SME resources without authorization or control）；

14、LC_046 网络连接保护不足：中小企业通信网络保护不力（Insufficientprotection of network connection: poor protection of SME communicationnetworks）；

15、LC_047 不受控制地使用电讯：使用中小企业通讯线路，而不控制通讯（Uncontrolled use of telecommunications: use of SME communication lineswithout any control over the communications）；

16、LC_048 访问权限管理不当：以不适当的方式处理SME系统的凭据和访问标识（Inappropriate management of access permissions: handling of credentials andaccess identifications to the SME systems in an inappropriate manner）；

17、LC_145 不适当的远程身份验证系统：访问SME系统时的错误远程用户身份验证（Inappropriate remote authentication system: wrong remote user authenticationin access to the SME systems）；

18、LC_146 黑客攻击：攻击SME的IT基础设施，攻击者试图同时访问系统和存储的数据（Hacking: occurrence of an attack against the IT infrastructures of the SME,with the attacker trying to access both systems and stored data）；

19、LC_147 Wi-Fi漏洞：错误的Wi-Fi配置或易受攻击的Wi-Fi协议允许未经授权访问SME的IT系统（Wi-Fi vulnerability: wrong Wi-Fi configuration or vulnerable Wi-Fi protocols allowing access to the IT systems of the SME withoutauthorization）；

20、LC_148 未经授权访问通讯组列表：未经授权访问SME的通讯组列表（Unauthorizedaccess to distribution lists: unauthorized access to the distribution listsof the SME）。

表5：SME的漏洞列表

漏洞	名称	评估值
			VULN_05	缺乏有效的配置更改控制（Absence of an efficient configuration change control）	5
VULN_08	无保护存储（Unprotected storage）	6
			VULN_09	未部署访问控制（Access Control not deployed）	10
VULN_10	非受控副本（Uncontrolled copies）	7
			VULN_12	已知软件漏洞（Known software vulnerabilities）	9
VULN_13	用户离开工作场所时没注销（Users do not logout when they leave their workplace）	7
			VULN_15	缺少审计标志（Absence of audit signs）	5
VULN_16	访问权限分配不当（Poor assignation of access permissions）	7
			VULN_17	广泛分布的软件（Widely distributed software）	6
VULN_23	缺乏适当的标识和用户授权机制（Absence of adequate identification and user authorization mechanisms）	6
			VULN_24	没有保护的密码表（Password tables without protection）	5
VULN_25	密码管理不到位（Inadequate management of passwords）	6
			VULN_27	不成熟或非常新的软件（Immature or very new software）	4
VULN_29	缺乏有效的变更控制（Absence of effective change control）	4
			VULN_30	下载和安装非受控软件（Download and installation of uncontrolled software）	3
VULN_34	对发送和接收信息缺乏保证（Absence of assurance on sending and receiving messages）	4
			ULN_35	通信线路未受保护（Communication lines unprotected）	4
VULN_36	不受保护的敏感网络流量（Sensitive network traffic unprotected）	3
			VULN_38	单点故障（Single points of failure）	1
VULN_39	发送者和接收者身份和授权的缺失（Absence of identification and authorization of sender and receiver）	8
			VULN_40	网络架构不安全（Network architecture unsecured）	8
VULN_41	明文密码传输（Password transmissions in clear text）	3
			VULN_42	明文敏感信息传输（Sensitive information transmission in clear text）	3
VULN_43	网络管理不当（Inappropriate network management）	8
			VULN_44	与公共网络的连接不受保护（Connections with public network unprotected）	8
VULN_46	招聘程序不完善（Inadequate recruitment procedures）	2
			VULN_47	安全培训不足（Insufficient security training）	7
VULN_48	硬件或软件误用（Hardware or software misuse）	6
			VULN_52	缺乏正确使用电信的准则（Absence of guidelines for the correct use of telecommunications）	6
VULN_57	缺少添加新用户的指南（Absence of guidelines for the addition of new users）	4
			VULN_58	缺乏监督权限指南（Absence of guidelines for supervising rights access）	7
VULN_61	缺乏审计和定期监督（Absence of audit and regular supervision）	6
			VULN_62	缺乏风险识别程序（Absence of risk identification procedures）	6
VULN_63	操作员和管理员的日志中没有事件或故障报告（Absence of incident or failure reports in the logs of operators andadministrators）	9
			VULN_65	缺乏变更管理程序（Absence of change management procedures）	6
VULN_68	缺乏允许用户访问信息的准则（Absence of guidelines to allow users access to information）	7
			VULN_71	缺乏有关使用公司电子邮件的指南（Absence of guidelines related to the use of corporate e-mails）	4
VULN_72	在不同操作系统中缺少软件安装过程（Absence of software installation procedures in different OS）	5
			VULN_73	缺少操作员和管理员记录（Absence of operator and administrator records）	7
VULN_74	缺乏与机密信息管理指南（Absence of guidelines related to classified information management）	5
			VULN_77	在发生安全事件的情况下，缺乏有关纪律程序指南（Absence of guidelines related to disciplinary procedures in case of securityincidents）	2
VULN_78	缺乏与移动设备管理相关的指南（Absence of guidelines related to mobile device management）	6
			VULN_80	缺少清洁屏幕和表策略（Absence of clean screens and tables policies）	6
VULN_81	未经授权访问信息处理设备（Absence of authorization to access information processing devices）	9
			VULN_82	缺乏防止盗窃或事故的监测机制（Absence of monitoring mechanisms to avoid theft or incidents）	10
VULN_86	缺少安全策略（Absence of a security policy）	7
			VULN_87	缺乏安全法规（Absence of developed safety regulations）	7
VULN_88	大楼里没有监视（Absence of surveillance in the building）	3

为了全面定义场景，本申请将威胁与可能的漏洞关联起来，如表6所示。建立威胁和漏洞之间的关系是一个昂贵而复杂的过程，因为在每个场景中都需要考虑大量的信息。目前，像iso 27005这样的一些法规已经在高可靠性水平上完成了这项工作。例如，多年来，安全专家一直认为，漏洞“单点故障”（VULN_38）、“不适当的网络管理”（VUL_43）和“与公共网络的无保护连接”（VULN_44）是处理拒绝服务（LC_025）所需面对的一些主要漏洞。

注意到资产、威胁和漏洞的识别，以及依赖关系的确定和关系的发现是本申请的任务。

最后，为了应用本申请的风险评估系统，需要两种评估期（一年）的额外数据：每个威胁的频率，以及每个威胁的一组样本。

样本收集，根据每个工业网络的周期性，获取每个漏洞的评估值。同时记录采样时间。之后，当安全分析师、安全审计员或第三方检测到安全事件时，事件中涉及的所有威胁样本都会在工业网络和资产受损的时间段内标记为活动。

威胁数据集中的每个样本应包含以下信息：

1、适用于特定威胁的所有漏洞的列表；

2、风险分析师，基于其知识和专业知识，获得的每个列出的漏洞的评估值。评估值反映了系统在特定时刻的状态，除其他事项外，还应考虑实施的安全保障措施；

3、一种称为HAPPENED的特征，指示在采样时威胁是否处于活动状态，并考虑系统的当前状态（漏洞及其评估值）。

图2是一种基于威胁预测的工业网络安全风险评估系统的威胁LC_046样本采集的示意图，示出了对应于威胁LC_046的样本子集。

为了收集足够的样本来建立一个有效的模型，在多个地点复制场景，并为每个威胁收集500到3200个样本（取决于其性质和评估时间段内的相关事件）。

logistic回归确定了描述一个依赖变量和一组独立变量之间关系的最佳模型。因此，logistic回归得到依赖变量出现的概率，计算如下：

p=

式中m为整数，每一个

表示是独立变量，

，i=0, 1, 2,…,m。将此算法应用于本申请的场景中，可以将

作为一组具有依赖关系的资产的每一个漏洞的描述，将模型视为表示特定威胁的行为。当p高于某一个给定的阈值，则认为会发生威胁。

表6：SME威胁与有关漏洞

图3是一种基于威胁预测的工业网络安全风险评估系统的架构的示意图。一种基于威胁预测的工业网络安全风险评估系统，其特征在于，所述系统，包括数据采集层、概率预测层和风险评估层；