CN113014602A - 一种基于最优通信路径的工业网络防御方法和系统 - Google Patents

Abstract

本发明公开了一种基于最优通信路径的工业网络防御方法，其首先获取当前工业控制网络所处局域网的网络拓扑图和开机状态的设备信息；从网络拓扑图提取终端设备节点，使用PIEU法评估终端设备的关键程度，并按照统一的标准给节点的关键程度配上对应的指标值，将终端节点两两组合，按两节点的指标值之和降序排列；按排列顺序，使用SPFA算法对关键程度高的两个终端节点先寻找最优通信路径，找到后将最优通信路径存入网络，最终得到整个工业网络的最优通信路径；终端节点只接收网络数据包源IP从最优通信路径发来的包，其他路径发来的包均视为异常网络数据包。本发明能够充分利用工控系统自身较好的稳定性，结合网络的最优通信路径，保证网络良好的通信链路。

Description

一种基于最优通信路径的工业网络防御方法和系统

技术领域

本发明属于工业网络安全技术领域，更具体地，涉及一种基于最优通信路径的工业网络防御方法和系统。

背景技术

近年来，工控系统逐渐向信息化发展，其不断引入互联网中多样化方法，然而许多工控系统在设计之初并未充分考虑可能面临的信息安全问题，导致其存在许多潜在的信息安全漏洞，在满足各种工控系统更丰富的应用需求的同时，伴随着多方面的运作风险。随着黑客攻击工控系统的事件频繁发生，许多厂家都开始重视工业网络安全性问题，促使市面上许多技术人员针对工控环境进行多样的工控通信安全保护产品的投入和研发。

当前针对工业网络的安全维护方式，除了使用网络防火墙系统和入侵检测系统，还会使用应用在接口等处的异常流量检测系统。

异常流量检测模型相比网络防火墙系统、入侵检测系统有着更高更准确的识别率，然而，其在实际应用中存在一些不可忽略的缺陷：第一，其模型建立的工作量大、成本高,需要对大量的网络数据包进行特征提取；第二、其模型复杂，检测时运算量大，面对网络中实时大量的网络数据包，检测负担重；第三、其后期的更新需要继续对大量新的网络数据包进行特征提取，更新速度慢，灵活性低；而实际上，许多工业环境(如纺织、物料、服化等工厂)对安全性要求并非十分严格，且可以承受一定程度的异常干扰并最终恢复原来的稳定生产。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于最优通信路径的工业网络防御方法和系统，其目的在于，使具备较好稳定性的工控系统，在不使用高成本的异常流量检测系统时，通信仍能具有较高的综合防御性，避免为网络安全承担过高的成本、过重的检测负担，并保障工厂生产的高效。

为实现上述目的，按照本发明的一个方面，提供了一种基于最优通信路径的工业网络防御方法，包括如下步骤：

步骤S1：获取当前工控系统的网络拓扑图；

步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；

步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。

优选地，步骤S1包括以下子步骤：

S101：获取工业网络所处局域网的网段号，并向该网段号内的所有设备节点发送状态确认请求，并根据所有设备节点收到该状态确认请求后返回的响应信息，确定该网段号内所有处于开机状态的设备节点，并获取所有处于开机状态的设备节点的IP地址；

S102：获取步骤S101中确定的所有处于开机状态的设备节点的基本信息；

S103：根据步骤S101得到的所有处于开机状态的设备节点的IP地址对每个设备节点进行路由追踪操作，以获得到达所有处于开机状态的设备节点的完整路径信息；

S104：根据步骤S102获得的所有处于开机状态的设备节点的设备类型，在预先设置的、可缩放的矢量图形格式SVG的设备图标库中获取所有处于开机状态的设备节点的图标，并利用获取的这些图标、步骤S102获得的所有处于开机状态的设备节点的基本信息、以及步骤S103获得的完整路径信息，使用Pythonpyecharts工具库的关系图功能模块生成工控系统的网络拓扑图。

优选地，工控系统中的设备节点可以是服务器、客户端、工控设备、路由器、交换机等设备；

终端设备节点可以是客户端、服务器、或工控设备等终端设备；

设备节点的基本信息包括设备节点的MAC地址、操作系统信息、设备名称、工作组信息、以及设备类型；

优选地，步骤S101具体是根据互联网控制报文协议ICMP并利用Python Scapy工具库构造状态确认请求报文并发送给设备节点，并从设备节点返回的响应信息中获取设备节点的IP地址；

步骤S102具体是通过地址解析协议ARP获取设备节点的MAC地址；通过简单网络管理协议SNMP获取开通SNMP服务的设备节点的设备类型、操作系统信息等，通过网上基本输入输出系统NETBIOS协议获取设备名称和工作组信息；

步骤S103具体是根据网际互连协议IP构造数据报文并将其发送给该设备节点，从该设备节点回应的答复报文中截取出路由信息，所有设备节点对应的路由信息构成完整路径信息。

优选地，步骤S3包括以下子步骤：

S301：对步骤S1获得的网络拓扑图上的设备节点进行漏洞扫描，根据扫描发现的已知漏洞，采用线性加权的方式确定每个设备节点的已知漏洞指数值；

S302：对步骤S1获得的网络拓扑图上的设备节点进行漏洞挖掘，根据挖掘过程发现的未知漏洞的通用漏洞评分系统CVSS值确定每个设备节点的未知漏洞指数值；

S303：对步骤S1获得的网络拓扑图上的设备节点进行安全功能测试，并根据测试结果确定每个设备节点的安全功能指数值；

S304：根据设备节点在步骤S301确定的已知漏洞指数值、步骤S302确定的未知漏洞指数值和步骤S303确定的安全功能指数值，最终确定每个设备节点的安全性系数；

S305：从步骤S1获得的网络拓扑图中提取图数据结构；

S306：按步骤S2排列的节点对顺序，重复使用SPFA算法在步骤S305提取的图数据结构上进行节点对间通信路径的搜索，以获取每个节点对的最优通信路径；

优选地，已知漏洞指数值mDAY具体等于：

mDAY＝min[(α1×Cm+α2×Hm+α3×Mm+α4×Lm)，10]

其中α1、α2、α3、α4为预设漏洞加权系数，预设漏洞加权系数的配置需根据实际应用配置，如经验值、专家打分等方式；Cm为紧急漏洞数，Hm为高危漏洞数，Mm为中危漏洞数，Lm为低危漏洞数，漏洞数通过对实际扫描出的已知漏洞进行分类统计而得；

未知漏洞指数值0DAY具体等于：

其中，A为漏洞挖掘过程的总测试用例数，V为漏洞挖掘过程中导致安全问题的测试用例数，CVSSs为漏洞挖掘过程发现的第s个未知漏洞的CVSS值，CVSS值取值范围是[0，10]，漏洞的危害越严重，CVSS值越高，其中s∈[1，t]，t为漏洞挖掘过程发现的未知漏洞总数；

安全功能指数值fVtl具体等于：

fVal＝(NF/F)×10

其中，NF为不通过功能数，F为支持的安全功能测试项数；在具体测试时，安全功能分为支持的安全功能和不支持的安全功能；针对支持的安全功能在测试时，测试的结果包括通过和不通过。

优选地，设备节点的安全性系数Snd具体等于：

优选地，在基于图数据结构搜索通信路径的过程中，搜索标尺是使得为当前搜索路径的第一标尺值最小、第二标尺值最小、以及第三标尺值最小；

当前搜索路径的第一标尺值是该搜索路径的平均安全性系数，其是指该搜索路径中间经过的所有设备节点通过步骤S304获得的安全性系数之和除以中间经过的所有设备节点的个数，搜索路径中间经过的设备节点不包括通信路径的起始和终止设备节点；

当前搜索路径的第二标尺值是该搜索路径的转发压力，其是指该搜索路径中间经过的所有设备节点中转发压力的最大值，设备节点的转发压力是指已经找到的最优通信路径中要通过该设备节点转发的条数；

当前搜索路径的第三标尺值是该搜索路径中间经过的设备节点数量。

优选地，三个标尺值的优先级为：第一标尺值＞第二标尺值＞第三标尺值；即在搜索过程中，比较两条通信路径时，先比较它们优先级高的标尺值，若能决出最优，将不再比较低优先级的标尺值，若高优先级的标尺相等，再比较低一级的标尺值。

按照本发明的另一方面，提供了一种基于最优通信路径的工业网络防御系统，包括：

第一模块，用于获取当前工控系统的网络拓扑图；

第二模块，用于从第一模块获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；

第三模块，用于按第二模块得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

1、本发明由于采用了步骤S1和步骤S3，通过网络管理和工具库方便快捷获取到工业网络的网络拓扑图，使用SPFA算法搜索工业网络中两两终端设备节点间的最优通信路径，其工作量相对较小且成本低，因此能够解决现有异常流量监测模型中存在模型建立工作量大、成本高的缺陷。

2、本发明由于采用了步骤S3，其获取了工业网络的最优通信路径，其使终端设备节点将只会解析源IP来自该最优通信路径的网络数据包，即可保证工业网络的高防御性，因此能够解决现有异常流量监测模型中存在检测负担重的缺陷；

3、本发明由于采用了步骤S1、步骤S2和步骤S3，其获取工业网络的网络拓扑图、设备节点的关键程度和安全性系数，短期这些参数不会有较大变动，因此本发明方法能保持良好的适用性；

4、本发明方法相比现有异常流量检测模型的工作量更小、建立更方便，且面对易变的环境灵活性更高。

附图说明

图1是本发明实施例中工业网络的最优通信路径的生成方法的流程图；

图2是本发明实施例中工控系统的网络拓扑图；

图3是本发明实施例中使用SPFA查找两个终端设备节点的最优通信路径的示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明的基本思路在于，提供一种基于最优通信路径的工业网络防御方法，其通过建立工业网络的最优通信路径，提升工控系统网络通信的防御性，再利用工控系统自身的稳定性，在承担小的成本和小的风险代价下动态稳定地应对外界恶意站点的攻击和干扰，从而动态稳定地维护工业网络的安全，保障系统的高效生产。

如图1所示，本发明提供了一种基于最优通信路径的工业网络防御方法，包括如下步骤：

步骤S1：获取当前工控系统的网络拓扑图(如图2所示)。

步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法(Problem Importance Equipment Usage，简称PIEU)获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；

步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法(Shortest PathFaster Algorithm，简称SPFA)获取每个节点对通信时的最优通信路径；

在本步骤得到最优通信路径之后，终端设备节点将只会解析源IP来自该最优通信路径的网络数据包，而其他路径发来的包均被视为异常网络数据包不予处理。

上述步骤S2到步骤S3的优点在于，按步骤S2的顺序搜索路径，可以优先为关键程度高的节点对寻找最优通信路径，将防御能力强的通信链路资源充分使用在更关键的地方。

上述步骤S1包括以下子步骤：

S101：获取工业网络所处局域网的网段号，并向该网段号内的所有设备节点发送状态确认请求，并根据所有设备节点收到该状态确认请求后返回的响应信息，确定该网段号内所有处于开机状态的设备节点，并获取所有处于开机状态的设备节点的IP地址；

具体而言，工控系统中的设备节点包括但不局限于服务器、客户端、工控设备、路由器、交换机等设备；终端设备节点局限在客户端、服务器、工控设备等终端设备。

本步骤中是具体根据互联网控制报文协议(Internet Control MessageProtocol，简称ICMP)并利用Python Scapy工具库构造状态确认请求报文并发送给设备节点，并从设备节点返回的响应信息中获取设备节点的IP地址。

当设备节点处于关机状态时，其不会返回响应信息。

S102：获取步骤S101中确定的所有处于开机状态的设备节点的基本信息；

具体而言，设备节点的基本信息包括但不局限于设备节点的MAC地址、操作系统信息、设备名称、工作组信息、以及设备类型(例如该设备节点是工控设备、服务器、客户端、路由器等)；

进而言之，本步骤是通过地址解析协议(Address Resolution Protocol，简称ARP)获取设备节点的MAC地址；通过简单网络管理协议(Simple Network ManagementProtocol，简称SNMP)获取开通SNMP服务的设备节点的设备类型、操作系统信息等；通过网上基本输入输出系统(Network Basic Input/Output System，简称NETBIOS)协议获取设备名称和工作组信息。

S103：根据步骤S101得到的所有处于开机状态的设备节点的IP地址对每个设备节点进行路由追踪操作，以获得到达所有处于开机状态的设备节点的完整路径信息；

具体而言，本步骤是根据设备节点的IP地址对设备节点进行路由追踪操作，具体是根据网际互连协议(Internet Protocol，简称IP)构造数据报文并将其发送给该设备节点，从该设备节点回应的答复报文中截取出路由信息，所有设备节点对应的路由信息构成完整路径信息。

S104：根据步骤S102获得的所有处于开机状态的设备节点的设备类型，在预先设置的、可缩放的矢量图形格式(Scalable Vector Graphics，简称SVG)的设备图标库中获取所有处于开机状态的设备节点的图标，并利用获取的这些图标、步骤S102获得的所有处于开机状态的设备节点的基本信息、以及步骤S103获得的完整路径信息，使用Pythonpyecharts工具库的关系图功能模块生成工控系统的网络拓扑图。

图3是本发明实施例中使用SPFA查找两个终端设备节点的最优通信路径的示意图。

上述步骤S3包括以下子步骤：

S301：对步骤S1获得的网络拓扑图上的设备节点进行漏洞扫描，根据扫描发现的已知漏洞，采用线性加权的方式确定每个设备节点的已知漏洞指数值；

具体而言，已知漏洞指数值mDAY具体等于：

mDAY＝min[(α1×Cm+α2×Hm+α3×Mm+α4×Lm)，10]

其中α1、α2、α3、α4为预设漏洞加权系数，预设漏洞加权系数的配置需根据实际应用配置，如经验值、专家打分等方式；Cm为紧急漏洞数，Hm为高危漏洞数，Mm为中危漏洞数，Lm为低危漏洞数，漏洞数通过对实际扫描出的已知漏洞进行分类统计而得；

已知漏洞指数值的取值范围是[0，10]，值越大表明设备节点存在已知漏洞越多，攻击者通过已知漏洞攻击该设备节点的可能性越大；

S302：对步骤S1获得的网络拓扑图上的设备节点进行漏洞挖掘，根据挖掘过程发现的未知漏洞的通用漏洞评分系统(Common Vulnerability Scoring System，简称CVSS)值确定每个设备节点的未知漏洞指数值；

具体而言，本步骤是使用模糊测试(Fuzz Testing，简称Fuzzing)技术进行漏洞挖掘，漏洞挖掘主要是对各种协议进行Fuzzing测试，包括管理协议、转发协议以及控制协议，如安全外壳协议(Security Shell，简称SSH)、边界网关协议(Border Gateway Protocol，简称BGP)、地址解析协议(Address Resolution Protocol，简称ARP)等。对于每一个协议，构造相对应的测试用例，进行Fuzzing测试。根据协议的复杂程度不同，测试用例的数量也不同；在大量的测试用例中，能够导致设备异常，即导致安全问题的可能只占到其中一部分，同一个漏洞，可能可以由多个测试用例导致，这些需要人工进行分析。

根据漏洞挖掘发现的未知漏洞的CVSS值确定未知漏洞指数值0DAY，具体为：

其中，A为漏洞挖掘过程的总测试用例数，V为漏洞挖掘过程中导致安全问题的测试用例数，CVSSs为漏洞挖掘过程发现的第s个未知漏洞的CVSS值，CVSS值取值范围是[0，10]，漏洞的危害越严重，CVSS值越高，其中s∈[1，t]，t为漏洞挖掘过程发现的未知漏洞总数；

未知漏洞指数值的取值范围是[0，10]，值越大表明设备节点存在未知漏洞越多，攻击者通过未知漏洞攻击该设备节点的可能性越大；

S303：对步骤S1获得的网络拓扑图上的设备节点进行安全功能测试，并根据测试结果确定每个设备节点的安全功能指数值；

具体而言，设备节点的安全功能包括各个方面，如设备的默认配置是否安全、设备的口令安全等。这些测试项，可以根据设备节点所处环境的安全特性或者用户对于设备安全的期望以及相关标准的要求来制定。测试人员可根据具体的测试项采取适当的测试方法。每一个测试项的测试结果是通过、不通过或者不支持。当对同一批设备节点进行横向比较时，应当采用相同的测试项，即统一的要求。

根据安全测试结果确定安全功能指数值fVal，具体等于：

fVal＝(NF/F)×10

其中，NF为不通过功能数，F为支持的安全功能测试项数；在具体测试时，安全功能分为支持的安全功能和不支持的安全功能；针对支持的安全功能在测试时，测试的结果包括通过和不通过。

安全功能指数值的取值范围是[0,10]，越大表明设备节点的安全功能缺失的越多。

S304：根据设备节点在步骤S301确定的已知漏洞指数值、步骤S302确定的未知漏洞指数值和步骤S303确定的安全功能指数值，最终确定每个设备节点的安全性系数；

设备节点的安全性系数Snd具体等于：

Snd的值越大，表明设备节点的安全性越低，防御能力差，反之，则安全性较高，防御能力更强；

步骤S301到S304的优点在于，能够充分全面地量化设备节点的安全性能。

S305：从步骤S1获得的网络拓扑图中提取图数据结构；

具体而言，本步骤用编号唯一对应网络拓扑图上的设备节点，用直线对应网络拓扑图上设备节点之间的链路连接，从而提取出网络拓扑图的图结构，并用邻接表或邻接矩阵表示图，从而最终得到图数据结构。

S306：按步骤S2排列的节点对顺序，重复使用SPFA算法在步骤S305提取的图数据结构上进行节点对间通信路径的搜索，以获取每个节点对的最优通信路径；

具体而言，在基于图数据结构搜索通信路径的过程中，搜索标尺是使得为当前搜索路径的第一标尺值最小、第二标尺值最小、以及第三标尺值最小；

当前搜索路径的第一标尺值是该搜索路径的平均安全性系数，其是指该搜索路径中间经过的所有设备节点通过步骤S304获得的安全性系数之和除以中间经过的所有设备节点的个数，搜索路径中间经过的设备节点不包括通信路径的起始和终止设备节点；

当前搜索路径的第二标尺值是该搜索路径的转发压力，其是指该搜索路径中间经过的所有设备节点中转发压力的最大值，设备节点的转发压力是指已经找到的最优通信路径中要通过该设备节点转发的条数；

当前搜索路径的第三标尺值是该搜索路径中间经过的设备节点数量。

三个标尺值的优先级为：第一标尺值＞第二标尺值＞第三标尺值；即在搜索过程中，比较两条通信路径时，先比较它们优先级高的标尺值，若能决出最优，将不再比较低优先级的标尺值，若高优先级的标尺相等，再比较低一级的标尺值；

本步骤是从当前节点对中选择一个终端设备节点，其对应在图数据结构上就是起始节点；

SPFA算法是一种图的单源最短路径搜索算法，会搜索该起始节点到图数据结构上其余所有节点的路径并全部保存，当搜索过程中的当前搜索路径满足SPFA的搜索标尺时，当前新路径会覆盖原来保存的路径；

待SPFA结束搜索，算法保存下来的起始节点与终止节点对应当前节点对的路径即为该节点对通信时的最优通信路径。

图3表示有两条从主机U1到达主机U2的搜索路径，“实线”指向的搜索路径其平均安全性系数为7，转发压力为2，中间经过的设备节点数量为2；“虚线”指向的搜索路径其平均安全性系数为5，转发压力为2，中间经过的设备节点数量为1；按照SPFA以搜索路径的第一标尺值最小、第二标尺值最小、以及第三标尺值最小的搜索原则，得到“虚线”的路径是主机U1与主机U2通信时的最优通信路径。

本发明实施例通过扫描工控网络所处网段，从而得到工控网络中所有设备节点的信息以及各设备节点之间的连接关系，生成工控网络拓扑关系示意图，根据网络拓扑图找出两两终端设备节点间安全性最强的通信路径，最后保证网络良好的通信链路，使整个网络的防御性能得到提升；此方法依靠系统自身的稳定性，仅用小的成本和小的风险代价，明显降低整个工控网络的防护成本和负担，因此更科学合理维护大多工控系统，保障工业生产的高效。本发明方法的配置和实现简单，便于用户随时生成和更新最优通信路径，提高了工业网络维护的灵活性。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于最优通信路径的工业网络防御方法，其特征在于，包括如下步骤：

步骤S1：获取当前工控系统的网络拓扑图；

步骤S2：从步骤S1获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；

步骤S3：按步骤S2得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。

2.根据权利要求1所述的基于最优通信路径的工业网络防御方法，其特征在于，步骤S1包括以下子步骤：

S101：获取工业网络所处局域网的网段号，并向该网段号内的所有设备节点发送状态确认请求，并根据所有设备节点收到该状态确认请求后返回的响应信息，确定该网段号内所有处于开机状态的设备节点，并获取所有处于开机状态的设备节点的IP地址；

S102：获取步骤S101中确定的所有处于开机状态的设备节点的基本信息；

S103：根据步骤S101得到的所有处于开机状态的设备节点的IP地址对每个设备节点进行路由追踪操作，以获得到达所有处于开机状态的设备节点的完整路径信息；

S104：根据步骤S102获得的所有处于开机状态的设备节点的设备类型，在预先设置的、可缩放的矢量图形格式SVG的设备图标库中获取所有处于开机状态的设备节点的图标，并利用获取的这些图标、步骤S102获得的所有处于开机状态的设备节点的基本信息、以及步骤S103获得的完整路径信息，使用Python pyecharts工具库的关系图功能模块生成工控系统的网络拓扑图。

3.根据权利要求1或2所述的基于最优通信路径的工业网络防御方法，其特征在于，

工控系统中的设备节点可以是服务器、客户端、工控设备、路由器、交换机等设备；

终端设备节点可以是客户端、服务器、或工控设备等终端设备；

设备节点的基本信息包括设备节点的MAC地址、操作系统信息、设备名称、工作组信息、以及设备类型。

4.根据权利要求1至3中任意一项所述的基于最优通信路径的工业网络防御方法，其特征在于，

步骤S101具体是根据互联网控制报文协议ICMP并利用Python Scapy工具库构造状态确认请求报文并发送给设备节点，并从设备节点返回的响应信息中获取设备节点的IP地址；

步骤S102具体是通过地址解析协议ARP获取设备节点的MAC地址；通过简单网络管理协议SNMP获取开通SNMP服务的设备节点的设备类型、操作系统信息等，通过网上基本输入输出系统NETBIOS协议获取设备名称和工作组信息；

步骤S103具体是根据网际互连协议IP构造数据报文并将其发送给该设备节点，从该设备节点回应的答复报文中截取出路由信息，所有设备节点对应的路由信息构成完整路径信息。

5.根据权利要求1至4中任意一项所述的基于最优通信路径的工业网络防御方法，其特征在于，步骤S3包括以下子步骤：

S301：对步骤S1获得的网络拓扑图上的设备节点进行漏洞扫描，根据扫描发现的已知漏洞，采用线性加权的方式确定每个设备节点的已知漏洞指数值；

S302：对步骤S1获得的网络拓扑图上的设备节点进行漏洞挖掘，根据挖掘过程发现的未知漏洞的通用漏洞评分系统CVSS值确定每个设备节点的未知漏洞指数值；

S303：对步骤S1获得的网络拓扑图上的设备节点进行安全功能测试，并根据测试结果确定每个设备节点的安全功能指数值；

S304：根据设备节点在步骤S301确定的已知漏洞指数值、步骤S302确定的未知漏洞指数值和步骤S303确定的安全功能指数值，最终确定每个设备节点的安全性系数；

S305：从步骤S1获得的网络拓扑图中提取图数据结构；

S306：按步骤S2排列的节点对顺序，重复使用SPFA算法在步骤S305提取的图数据结构上进行节点对间通信路径的搜索，以获取每个节点对的最优通信路径。

6.根据权利要求5所述的基于最优通信路径的工业网络防御方法，其特征在于，

已知漏洞指数值mDAY具体等于：

mDAY＝min[(α1×Cm+α2×Hm+α3×Mm+α4×Lm)，10]

其中α1、α2、α3、α4为预设漏洞加权系数，预设漏洞加权系数的配置需根据实际应用配置，如经验值、专家打分等方式；Cm为紧急漏洞数，Hm为高危漏洞数，Mm为中危漏洞数，Lm为低危漏洞数，漏洞数通过对实际扫描出的已知漏洞进行分类统计而得；

未知漏洞指数值0DAY具体等于：

其中，A为漏洞挖掘过程的总测试用例数，V为漏洞挖掘过程中导致安全问题的测试用例数，CVSSs为漏洞挖掘过程发现的第s个未知漏洞的CVSS值，CVSS值取值范围是[0，10]，漏洞的危害越严重，CVSS值越高，其中s∈[1，t]，t为漏洞挖掘过程发现的未知漏洞总数；

安全功能指数值fVal具体等于：

fVal＝(NF/F)×10

其中，NF为不通过功能数，F为支持的安全功能测试项数；在具体测试时，安全功能分为支持的安全功能和不支持的安全功能；针对支持的安全功能在测试时，测试的结果包括通过和不通过。

7.根据权利要求6所述的基于最优通信路径的工业网络防御方法，其特征在于，设备节点的安全性系数Snd具体等于：

8.根据权利要求7所述的基于最优通信路径的工业网络防御方法，其特征在于，在基于图数据结构搜索通信路径的过程中，搜索标尺是使得为当前搜索路径的第一标尺值最小、第二标尺值最小、以及第三标尺值最小；

当前搜索路径的第一标尺值是该搜索路径的平均安全性系数，其是指该搜索路径中间经过的所有设备节点通过步骤S304获得的安全性系数之和除以中间经过的所有设备节点的个数，搜索路径中间经过的设备节点不包括通信路径的起始和终止设备节点；

当前搜索路径的第二标尺值是该搜索路径的转发压力，其是指该搜索路径中间经过的所有设备节点中转发压力的最大值，设备节点的转发压力是指已经找到的最优通信路径中要通过该设备节点转发的条数；

当前搜索路径的第三标尺值是该搜索路径中间经过的设备节点数量。

9.根据权利要求8所述的基于最优通信路径的工业网络防御方法，其特征在于，三个标尺值的优先级为：第一标尺值＞第二标尺值＞第三标尺值；即在搜索过程中，比较两条通信路径时，先比较它们优先级高的标尺值，若能决出最优，将不再比较低优先级的标尺值，若高优先级的标尺相等，再比较低一级的标尺值。

10.一种基于最优通信路径的工业网络防御系统，其特征在于，包括：

第一模块，用于获取当前工控系统的网络拓扑图；

第二模块，用于从第一模块获取的网络拓扑图中提取所有的终端设备节点，使用设备关键性评估方法PIEU获取所提取的终端设备节点的关键程度，并为终端设备节点的关键程度分配对应的指标值，将所有终端设备节点两两组合成节点对，并按节点对中两个终端设备节点的指标值之和大小，对节点对进行降序排列；

第三模块，用于按第二模块得到的排列顺序，重复使用最短路径查找算法SPFA获取每个节点对通信时的最优通信路径。

Images