CN111881451A - 一种工业控制系统的漏洞关联挖掘方法 - Google Patents

Abstract

本发明涉及一种工业控制系统的漏洞关联挖掘方法，属于网络安全技术领域。本发明包括获取网络漏洞；将漏洞分类；采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。本发明在分析工控漏洞之间的逻辑关系时，提出使用多维属性进行综合描述，对工控漏洞进行有效分类，除基本描述指标外，还使用了权限集合的概念，利用漏洞攻击的提权性质将漏洞联系起来，本发明还提出了将机器学习算法与规则处理相结合的方式，自动化生成提取权限集合标签全过程，综合高效的分析利用安全漏洞可对工业控制系统造成直接或间接的攻击威胁。

Description

一种工业控制系统的漏洞关联挖掘方法

技术领域

本发明涉及一种工业控制系统的漏洞关联挖掘方法，属于网络安全技术领域。

背景技术

随着互联网的高速发展，两化融合的理论逐渐成熟，工业控制系统逐步采用开放网络互联技术、商业IT标准产品。在数字化、智能化发展推进工业生产发展的同时，也带来了诸多的安全隐患。例如，工业生产中以PLC为代表的一些核心嵌入式设备，其安全防范能力较弱，网络化的结果无疑使得工控设备遭受恶意攻击的风险加大。近年针对工业控制系统的各种攻击事件日益增多，暴露出其在安全防护方面上的严重不足，因此加快工业控制系统的信息安全建设尤为紧迫。

工业控制系统受到攻击的原因在于其网络、设备、流程中存在的安全性漏洞，漏洞的存在是导致安全事件发生的内因，一旦漏洞被发掘利用则会对工业控制系统造成重大安全威胁。攻击者在并未获取授权的情况下访问控制系统，对系统的机密性、可鉴别性和可用性都有严重影响。因此，漏洞挖掘是解决工业控制系统安全防护的根本方式，提前发现安全防护的问题，尽早采取防护措施，防止漏洞被利用而造成的重大损失。

针对工业控制系统的攻击多为多层级连续攻击，而现有的研究和工作大多沿用传统的独立性漏洞分析，并没有考虑到漏洞之间的关联性会对系统整体造成的影响，导致对工业控制系统的漏洞威胁风险评估不够准确、深入。因而，深入有效地挖掘安全漏洞之间的潜在逻辑关联关系，对于加深了解工业控制系统的攻击多步性等性质，提高对攻击检测与评估的准确性和完善性都具有深刻意义。同时便于针对多个不同来源的工控漏洞信息进行综合分析，以应对利用一些现有的工控漏洞而展开的新型攻击情况。

发明内容

针对现有技术的不足，本发明提供一种工业控制系统的漏洞关联挖掘方法，在分析工控漏洞之间的逻辑关系时，提出使用多维属性进行综合描述，对工控漏洞进行有效分类，除基本描述指标外，还使用了权限集合的概念，利用漏洞攻击的提权性质将漏洞联系起来，本发明还提出了将机器学习算法与规则处理相结合的方式，自动化生成提取权限集合标签全过程，综合高效的分析利用安全漏洞可对工业控制系统造成直接或间接的攻击威胁。

本发明采用以下技术方案：

一种工业控制系统的漏洞关联挖掘方法，包括以下步骤：

(1)获取网络漏洞；

(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；

(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；

(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。

本发明通过将漏洞分类，对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系，综合分析各个漏洞导致的安全威胁。

优选的，步骤(1)中，从国家信息安全漏洞共享平台(CNVD)和工业互联网安全应急响应中心(ICS-CERT)获取工业控制系统行业漏洞信息。

优选的，步骤(2)进一步为：对所获得的漏洞数据进行筛选后，保留如下关键信息，即漏洞特征量数据，包括：通用漏洞(CVE)编号、通用漏洞评分系统(CVSS)评分、攻击向量(AV)、身份认证情况、通用平台(CPE)、机密性影响、完整性影响、可用性影响和漏洞危害描述；相关字段的描述及取值如下：

通用漏洞编号：可快速地在CVE兼容的数据库中找到相应信息，不同漏洞其编号取值不同，例如：CVE-2018-4858；

通用漏洞评分系统评分：评测漏洞的严重程度，帮助确定所需反应的紧急度和重要度，取值为0-10；

攻击向量：判断攻击是否需要网络访问支持，取值为Physical,Local,AdjacentNetwork,Network；

身份认证情况：判断漏洞是否需要在认证情况下才可被攻击利用，即是否需要具备一定的前提权限集合，取值为None,Single,Multiple；

通用平台(CPE)：将通用平台数据与认证情况和权限集合进行关联可得到进一步的分析，取值为Operating systems,Firmwares,Applications。

机密性影响、完整性影响、可用性影响：其安全属性取值均为None,Partial,andComplete。

漏洞危害描述：使用自然语言描述工控漏洞的特征，如使用前提和造成后果等，利用NLTK将其划分提取为词汇格式如’obtain password’、’obtain credential’或’gainroot’等。

分析工业控制系统存在漏洞情况时，对于攻击者而言，实施侵入等攻击手段的目的在于利用系统中的漏洞来获得权限，以此进行例如篡改数据等异常操作达到攻击目的。并且，漏洞之间具有一定的相关性联系，分析利用漏洞之间的逻辑关系时发现，攻击者可进行多层级连续攻击，由此不断地提升自己所具有的权限范围(即提权性质)，以获得更高级甚至系统管理员级别的权限，从而严重危害到工业控制系统的安全性，造成巨大的安全隐患；

在攻击过程中，攻击者一般具有某些用户特性，并具有在授权情况下与其对应的用户权限资源，例如，工控系统管理员(ICS-ROOT)为最高权限级别，具有对工业控制系统的设备、文件、进程等资源进行统筹管理的权限能力。

对于工业控制系统来说，用户与访问权限是互相映射的，系统中某特定用户，其所具有的全部对可访问客体的访问权限是一个权限集合，因此将权限集合按照用户身份角色来进行分类，采用决策树自上而下进行判断，将符合多种情况的用户分配到权限级别更高级的类别中，满足互斥分类，权限集合取值包括：工控系统管理员权限集合(ICS-ROOT)、高级用户权限集合(ICS-ADUSER)、普通用户权限集合(ICS-USER)、信任远程用户权限集合(ICS-ACCESS)、非信任远程用户权限集合(ICS-UNACCESS)。

优选的，按照对工业控制系统采取动作的影响程度对权限集合施以量化，其中，ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS的权值分别为1.0，0.8，0.5，0.2和0.0。

进一步优选的，在将漏洞分类时，在描述漏洞属性时除了采用漏洞对机密性、完整性、可用性的影响，攻击复杂性、攻击危害性描述、攻击向量、身份验证等指标外，还需加入利用某漏洞时所需的前提权限集合和成功利用漏洞能达到的结果权限集合来进行描述，其取值分别属于ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS五种用户权限之一。

优选的，步骤(3)为：将工控漏洞的数据描述字段输入到深度神经网络(DeepNeural Networks，DNN)模型中进行训练学习，得到权限集合标签作为输出，再对感知器模型无法覆盖的情况下采用规则模型来进行补充，得到完整的自动化生成提取权限集合标签过程。

进一步优选的，步骤(3)具体包括以下步骤：

a、从国家信息安全漏洞共享平台和工业互联网安全应急响应中心提取工业控制系统行业漏洞中的数据，依据编码规则对漏洞特征量数据和前提权限集合、结果权限集合进行多分类编码，形成漏洞数据样本，存入样本表中；

b、采用多层结构DDN算法，对感知器层数进行设置，隐藏层输出使用Sigmoid函数，输出层采用多分类Softmax函数逻辑回归，随机选取工控漏洞数据样本总数的70％组成训练样本集，15％样本组成验证样本集，15％样本组成测试样本集，使用训练样本集的数据对模型进行训练，将各层的权重、偏置系数的时间点信息、训练结果、感知器层数、训练样本个数存入到参数表中，唯一索引认定为训练时间点，在训练过程中使用5倍交叉验证，确保训练处理得出权限集合结果准确有效；

c、使用验证样本对算法参数的训练结果进行检验，统计训练结果正确率，存入到对应参数的参数表中，分析参数表中每一项参数的正确率，标记正确率最高的记录所对应的唯一索引，后续对漏洞前提权限、结果权限集合进行输出判断时，将使用此索引所对应的算法模型的权重和偏置参数下的DDN算法；

d、使用DNN模型进行概率计算，输出最大概率值所对应的工控权限集合标签，组合漏洞数据、前提权限集合标签和结果权限集合结果标签形成漏洞数据样本，存入工控漏洞数据样本表中，对于权限集合判断输出不正确，漏洞不能完全覆盖、或者新型漏洞数据特征不够完善的情况采用基于规则模型推理的情况进行补充；

e、对于前提权限集合结合的规则使用机密性影响、完整性影响、可用性影响、通用平台(CPE)、漏洞危害描述划分提取的词汇、利用漏洞攻击后得到的结果权限集合；

对于结果权限结合的规则使用攻击向量、身份认证情况、通用平台(CPE)、漏洞危害描述划分提取的词汇、使用漏洞攻击前必备的前提权限集合。

优选的，步骤(4)进一步为：

根据自动提取的工控漏洞所具有的权限集合属性特征，将漏洞关联起来，形成关联逻辑结构，假设Vi为单一工控漏洞，ViPpre和ViPcon为漏洞具备的前提权限集合、结果权限集合标签属性的量化权值；

针对利用安全漏洞发动攻击可使权限集合提升的目的，对于每个工控安全漏洞都应具备结果权限集合高于前提权限合集的性质，即VPcon>VPpre，当利用漏洞Vn后获得的结果权限集合为VnPcon，若要继续针对而另一漏洞Vm进行攻击，则Vm的前提权限集合必须是当前所获结果权限集合的子集，即VnPcon>＝VmPpre，才可继续针对漏洞Vm进行攻击，否则两者之间无法关联；若要使得高级漏洞Vm和低级漏洞Vn形成关联，必有VmPcon>VnPcon；同时，高级漏洞Vm的前提权限集合范围必然要大于低级漏洞Vn的前提权限集合，即VmPpre>VnPpre，否则若Vm的前提权限集合更低，直接利用Vm的即可提升到更高权限，无需利用漏洞Vn，此时关联无意义。

由此，当满足条件VmPcon>VnPcon>＝VmPpre>Vn Ppre时，认为工控安全漏洞Vn和Vm具有关联性质。

本发明针对漏洞之间潜在逻辑关系，提出自动化生成攻击者的权限集合字段方法，有效提高工控漏洞挖掘覆盖全面性。

本发明中，未详尽之处，均可采用现有技术进行。

本发明的有益效果为：

1)本发明对单一漏洞进行有效分类，合理进行漏洞描述。

2)本发明提出的基于工业控制系统漏洞分类属性描述的特权前后置关联办法，将规则方法与机器学习算法结合起来，全面覆盖工控漏洞查找，自动化生成权限集合字段，具有高效率和高准确性的特点。

3)本发明通过分析漏洞间的前后置权限集合逻辑关系，深入挖掘工控漏洞造成直接或间接的安全威胁，避免分析不够深入合理而忽略的攻击后果。

4)该漏洞关联挖掘方法适用于工业控制系统的攻击模板生成等前期辅助必备环节，从信息安全要求的角度研究工业控制系统漏洞在受到多层连续攻击时的行为及影响，对深入研究与开发针对工业控制系统的信息安全技术，建立高效完善的安全防护体系具有重要意义。

附图说明

图1为本发明漏洞关联挖掘的整体流程图；

图2为本发明的权限集合与用户角色映射分类决策树结构示意图；

图3为本发明自动获取工控漏洞前后置权限集合字段流程示意图；

图4为本发明某一实施例的漏洞关联结构示意图；

具体实施方式：

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述，但不仅限于此，本发明未详尽说明的，均按本领域常规技术。

实施例1：

一种工业控制系统的漏洞关联挖掘方法，如图1-4所示，包括以下步骤：

(1)从国家信息安全漏洞共享平台(CNVD)和工业互联网安全应急响应中心(ICS-CERT)，获取网络漏洞；

(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；

(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；

(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系；

本发明通过将漏洞分类，对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系，综合分析各个漏洞导致的安全威胁。

实施例2：

一种工业控制系统的漏洞关联挖掘方法，与实施例1所述，所不同的是，步骤(2)进一步为：

对所获得的漏洞数据进行筛选后，保留如下关键信息，即漏洞特征量数据，包括：通用漏洞(CVE)编号、通用漏洞评分系统(CVSS)评分、攻击向量(AV)、身份认证情况、通用平台(CPE)、机密性影响、完整性影响、可用性影响和漏洞危害描述；相关字段的描述及取值如下：

通用漏洞编号：可快速地在CVE兼容的数据库中找到相应信息，不用漏洞其编号取值不同，例如：CVE-2018-4858；

通用漏洞评分系统评分：评测漏洞的严重程度，帮助确定所需反应的紧急度和重要度，取值为0-10；

攻击向量：判断攻击是否需要网络访问支持，取值为Physical,Local,AdjacentNetwork,Network；

身份认证情况：判断漏洞是否需要在认证情况下才可被攻击利用，即是否需要具备一定的前提权限集合，取值为None,Single,Multiple；

通用平台(CPE)：将通用平台数据与认证情况和权限集合进行关联可得到进一步的分析，取值为Operating systems,Firmwares,Applications。

机密性影响、完整性影响、可用性影响：其安全属性取值均为None,Partial,andComplete。

漏洞危害描述：使用自然语言描述工控漏洞的特征，如使用前提和造成后果等，将其划分提取为词汇格式如’obtain password’、’obtain credential’或’gain root’等。

分析工业控制系统存在漏洞情况时，对于攻击者而言，实施侵入等攻击手段的目的在于利用系统中的漏洞来获得权限，以此进行例如篡改数据等异常操作达到攻击目的。并且，漏洞之间具有一定的相关性联系，分析利用漏洞之间的逻辑关系时发现，攻击者可进行多层级连续攻击，由此不断地提升自己所具有的权限范围(即提权性质)，以获得更高级甚至系统管理员级别的权限，从而严重危害到工业控制系统的安全性，造成巨大的安全隐患；

在攻击过程中，攻击者一般具有某些用户特性，并具有在授权情况下与其对应的用户权限资源，例如，工控系统管理员(ICS-ROOT)为最高权限级别，具有对工业控制系统的设备、文件、进程等资源进行统筹管理的权限能力。

对于工业控制系统来说，用户与访问权限是互相映射的，系统中某特定用户，其所具有的全部对可访问客体的访问权限是一个权限集合，因此将权限集合按照用户身份角色来进行分类，采用决策树自上而下进行判断，将符合多种情况的用户分配到权限级别更高级的类别中，满足互斥分类，权限集合取值包括：工控系统管理员权限集合(ICS-ROOT)、高级用户权限集合(ICS-ADUSER)、普通用户权限集合(ICS-USER)、信任远程用户权限集合(ICS-ACCESS)、非信任远程用户权限集合(ICS-UNACCESS)，如图2所示。

由于权限集合的范围不同、对工业控制系统采取动作的影响能力不同，因此将按照影响程度对权限集合施以量化，以便于后续对权限集合提升过程分析，进行漏洞关联性挖掘，如表1所示：

表1：工控权限集合的分级量化表

为了挖掘出工控漏洞之间的逻辑关系，更好地分析其可能造成的安全威胁，在将漏洞分类时，在描述漏洞属性时除了采用漏洞对机密性、完整性、可用性的影响，攻击复杂性、攻击危害性描述、攻击向量、身份验证等指标外，还需加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述，其取值分别属于以上ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS五种用户权限之一，前提权限集合到结果权限集合的提升过程将漏洞联系起来，因此，通过这两个属性可以挖掘出漏洞间的关联逻辑。

实施例3：

一种工业控制系统的漏洞关联挖掘方法，与实施例1所述，所不同的是，由于手动对漏洞进行权限集合的标记提取效率低且易发生数据丢失，因此采取了机器学习算法与规则处理结合的方式，步骤(3)为：将工控漏洞的数据描述字段输入到深度神经网络(DeepNeural Networks，DNN)模型中进行训练学习，得到权限集合标签作为输出，再对感知器模型无法覆盖的情况下采用规则模型来进行补充，得到完整的自动化生成提取权限集合标签过程，最后对于已经具有前提权限集合、结果权限集合取值的漏洞进行关联结构分析，得到漏洞间的逻辑关系，深入分析漏洞关联可能直接或间接的对工业控制系统造成安全威胁。

为自动获取前提权限集合和结果权限集合的数据内容，确定漏洞特征量，特征包含漏洞(CVE)编号、通用漏洞评分系统(CVSS)评分、攻击向量(AV)、身份认证情况、通用平台(CPE)、机密性影响、完整性影响、可用性影响、漏洞危害描述划分提取的词汇。

具体包括以下步骤：

a、从国家信息安全漏洞共享平台和工业互联网安全应急响应中心提取工业控制系统行业漏洞中的数据，依据编码规则对漏洞特征量数据和前提权限集合、结果权限集合进行多分类编码，形成漏洞数据样本，存入样本表中；

b、采用多层结构DDN算法，对感知器层数进行设置，隐藏层输出使用Sigmoid函数，输出层采用多分类Softmax函数逻辑回归，随机选取工控漏洞数据样本总数的70％组成训练样本集，15％样本组成验证样本集，15％样本组成测试样本集，使用训练样本集的数据对模型进行训练，将各层的权重、偏置系数的时间点信息、训练结果、感知器层数、训练样本个数存入到参数表中，唯一索引认定为训练时间点，在训练过程中使用5倍交叉验证，确保训练处理得出权限集合结果准确有效；

c、使用验证样本对算法参数的训练结果进行检验，统计训练结果正确率，存入到对应参数的参数表中，分析参数表中每一项参数的正确率，标记正确率最高的记录所对应的唯一索引，后续对漏洞前提权限、结果权限集合进行输出判断时，将使用此索引所对应的算法模型的权重和偏置参数下的DDN算法；

d、使用DNN模型进行概率计算，输出最大概率值所对应的工控权限集合标签，组合漏洞数据、前提权限集合标签和结果权限集合结果标签形成漏洞数据样本，存入工控漏洞数据样本表中，对于权限集合判断输出不正确，漏洞不能完全覆盖、或者新型漏洞数据特征不够完善的情况采用基于规则模型推理的情况进行补充；

e、对于前提权限集合结合的规则使用机密性影响、完整性影响、可用性影响、通用平台(CPE)、漏洞危害描述划分提取的词汇、利用漏洞攻击后得到的结果权限集合；

对于结果权限结合的规则使用攻击向量、身份认证情况、通用平台(CPE)、漏洞危害描述划分提取的词汇、使用漏洞攻击前必备的前提权限集合；

自动获取工控漏洞前后置集合字段流程如图3所示，前后置集合字段分别是指前提权限和结果权限集合。

实施例4：

一种工业控制系统的漏洞关联挖掘方法，与实施例1所述，所不同的是，步骤(4)进一步为：

根据自动提取的工控漏洞所具有的权限集合属性特征，将漏洞关联起来，形成关联逻辑结构，假设Vi为单一工控漏洞，ViPpre和ViPcon为漏洞具备的前提权限集合、结果权限集合标签属性的量化权值，如表1中的权值；

针对利用安全漏洞发动攻击可使权限集合提升的目的，对于每个工控安全漏洞都应具备结果权限集合高于前提权限合集的性质，即VPcon>VPpre，当利用漏洞Vn后获得的结果权限集合为VnPcon，若要继续针对而另一漏洞Vm进行攻击，则Vm的前提权限集合必须是当前所获结果权限集合的子集，即VnPcon>＝VmPpre，才可继续针对漏洞Vm进行攻击，否则两者之间无法关联；若要使得高级漏洞Vm和低级漏洞Vn形成关联，必有VmPcon>VnPcon；同时，高级漏洞Vm的前提权限集合范围必然要大于低级漏洞Vn的前提权限集合，即VmPpre>VnPpre，否则若Vm的前提权限集合更低，直接利用Vm的即可提升到更高权限，无需利用漏洞Vn，此时关联无意义。

由此，当满足条件VmPcon>VnPcon>＝VmPpre>Vn Ppre时，认为工控安全漏洞Vn和Vm具有关联性质。

如图4所示，以工业控制系统行业漏洞V1、V2、V3、V4为例，进行OR结构的关联分析：

V1为防火墙存在SSH认证后门漏洞，攻击者通过分析破解用户密码后可直接获得认证的管理员权限，进而控制防火墙设备，后续攻击者可通过防火墙作为跳板，渗透内部区域网络，进行信息嗅探、数据拦截等操作。V2允许远程攻击者通过针对ActiveX控件中未指定方法的特制参数来发现用户名和密码，由此获得普通用户权限。V3可使对Tcp22端口具备网络访问权限，享有目标设备的有效低级特权以及用户凭据的攻击者获得最高管理员权限。V4经过身份验证的攻击者，通过SSH访问高特权的用户可以规避限制并执行任意操作系统命令。

为验证以上自动获取工控漏洞前后置权限集合字段并沿用其逻辑关系进行关联分析的有效性，对仿真模拟工业控制系统进行攻击验证，经分析合理利用V2、V3、V4安全漏洞后，达到攻击目的，成功更改部分操作系统命令(格式化系统文件)，因此可知提出的自动获取工控漏洞前后置权限集合字段的方法具备有效性。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种工业控制系统的漏洞关联挖掘方法，其特征在于，包括以下步骤：

(1)获取网络漏洞；

(2)将漏洞分类，在描述漏洞属性时，加入利用某漏洞时所需的权限集合前提和成功利用漏洞能达到的权限集合结果来进行描述；

(3)采用机器学习算法与规则处理相结合的方式，自动化生成提取权限集合全过程；

(4)对描述属性中包含的自动获取的权限集合字段进行关联分析，挖掘出工业控制系统漏洞之间的前后置逻辑关系。

2.根据权利要求1所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(1)中，从国家信息安全漏洞共享平台和工业互联网安全应急响应中心获取工业控制系统行业漏洞信息。

3.根据权利要求2所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(2)进一步为：对所获得的漏洞数据进行筛选后，保留如下关键信息，即漏洞特征量数据，包括：通用漏洞编号、通用漏洞评分系统评分、攻击向量、身份认证情况、通用平台、机密性影响、完整性影响、可用性影响和漏洞危害描述，字段的描述及取值如下：

通用漏洞编号：快速地在CVE兼容的数据库中找到相应信息，不同漏洞其编号取值不同，例如：CVE-2018-4858；

通用漏洞评分系统评分：评测漏洞的严重程度，帮助确定所需反应的紧急度和重要度，取值为0-10；

攻击向量：判断攻击是否需要网络访问支持，取值为Physical,Local,AdjacentNetwork,Network；

身份认证情况：判断漏洞是否需要在认证情况下才可被攻击利用，即是否需要具备一定的前提权限集合，取值为None,Single,Multiple；

通用平台：将通用平台数据与认证情况和权限集合进行关联可得到进一步的分析，取值为Operating systems,Firmwares,Applications；

机密性影响、完整性影响、可用性影响：其安全属性取值均为None,Partial,andComplete；

漏洞危害描述：使用自然语言描述工控漏洞的特征，如使用前提和造成后果，利用NLTK将其划分提取为词汇格式如’obtain password’、’obtain credential’或’gain root’；

对于工业控制系统来说，用户与访问权限是互相映射的，系统中某特定用户，其所具有的全部对可访问客体的访问权限是一个权限集合，因此将权限集合按照用户身份角色来进行分类，采用决策树自上而下进行判断，将符合多种情况的用户分配到权限级别更高级的类别中，满足互斥分类，权限集合取值包括：工控系统管理员权限集合，即ICS-ROOT；高级用户权限集合，即ICS-ADUSER；普通用户权限集合，即ICS-USER；信任远程用户权限集合，即ICS-ACCESS；非信任远程用户权限集合，即ICS-UNACCESS。

4.根据权利要求3所述的工业控制系统的漏洞关联挖掘方法，其特征在于，按照对工业控制系统采取动作的影响程度对权限集合施以量化，其中，ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS的权值分别为1.0，0.8，0.5，0.2和0.0。

5.根据权利要求4所述的工业控制系统的漏洞关联挖掘方法，其特征在于，在将漏洞分类时，在描述漏洞属性时除了采用漏洞对机密性、完整性、可用性的影响，攻击复杂性、攻击危害性描述、攻击向量、身份验证等指标外，还加入了利用某漏洞时所需的前提权限集合和成功利用漏洞能达到的结果权限集合来进行描述，其取值分别属于ICS-ROOT、ICS-ADUSER、ICS-USER、ICS-ACCESS和ICS-UNACCESS五种用户权限之一。

6.根据权利要求5所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(3)为：将工控漏洞的数据描述字段输入到深度神经网络模型中进行训练学习，得到权限集合标签作为输出，再对感知器模型无法覆盖的情况下采用规则模型来进行补充，得到完整的自动化生成提取权限集合标签过程。

7.根据权利要求6所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(3)具体包括以下步骤：

a、从国家信息安全漏洞共享平台和工业互联网安全应急响应中心提取工业控制系统行业漏洞中的数据，依据编码规则对漏洞特征量数据和前提权限集合、结果权限集合进行多分类编码，形成漏洞数据样本，存入样本表中；

b、采用多层结构DDN算法，对感知器层数进行设置，隐藏层输出使用Sigmoid函数，输出层采用多分类Softmax函数逻辑回归，随机选取工控漏洞数据样本总数的70％组成训练样本集，15％样本组成验证样本集，15％样本组成测试样本集，使用训练样本集的数据对模型进行训练，将各层的权重、偏置系数的时间点信息、训练结果、感知器层数、训练样本个数存入到参数表中，唯一索引认定为训练时间点，在训练过程中使用5倍交叉验证，确保训练处理得出权限集合结果准确有效；

c、使用验证样本对算法参数的训练结果进行检验，统计训练结果正确率，存入到对应参数的参数表中，分析参数表中每一项参数的正确率，标记正确率最高的记录所对应的唯一索引，后续对漏洞前提权限、结果权限集合进行输出判断时，将使用此索引所对应的算法模型的权重和偏置参数下的DDN算法；

d、使用DNN模型进行概率计算，输出最大概率值所对应的工控权限集合标签，组合漏洞数据、前提权限集合标签和结果权限集合结果标签形成漏洞数据样本，存入工控漏洞数据样本表中，对于权限集合判断输出不正确，漏洞不能完全覆盖、或者新型漏洞数据特征不够完善的情况采用基于规则模型推理的情况进行补充；

e、对于前提权限集合结合的规则使用机密性影响、完整性影响、可用性影响、通用平台、漏洞危害描述划分提取的词汇、利用漏洞攻击后得到的结果权限集合；

对于结果权限结合的规则使用攻击向量、身份认证情况、通用平台、漏洞危害描述划分提取的词汇、使用漏洞攻击前必备的前提权限集合。

8.根据权利要求7所述的工业控制系统的漏洞关联挖掘方法，其特征在于，步骤(4)进一步为：

根据自动提取的工控漏洞所具有的权限集合属性特征，将漏洞关联起来，形成关联逻辑结构，假设Vi为单一工控漏洞，ViPpre和ViPcon为漏洞具备的前提权限集合、结果权限集合标签属性的量化权值；

针对利用安全漏洞发动攻击可使权限集合提升的目的，对于每个工控安全漏洞都应具备结果权限集合高于前提权限合集的性质，即VPcon>VPpre，当利用漏洞Vn后获得的结果权限集合为VnPcon，若要继续针对而另一漏洞Vm进行攻击，则Vm的前提权限集合必须是当前所获结果权限集合的子集，即VnPcon>＝VmPpre，才能够继续针对漏洞Vm进行攻击，否则两者之间无法关联；若要使得高级漏洞Vm和低级漏洞Vn形成关联，必有VmPcon>VnPcon；同时，高级漏洞Vm的前提权限集合范围必然要大于低级漏洞Vn的前提权限集合，即VmPpre>VnPpre，否则若Vm的前提权限集合更低，直接利用Vm的即可提升到更高权限，无需利用漏洞Vn，此时关联无意义；

由此，当满足条件VmPcon>VnPcon>＝VmPpre>Vn Ppre时，认为工控安全漏洞Vn和Vm具有关联性质。

Images