CN113656273A - 一种工控系统在检测时产生扰动的评估方法及装置 - Google Patents
一种工控系统在检测时产生扰动的评估方法及装置 Download PDFInfo
- Publication number
- CN113656273A CN113656273A CN202110953694.0A CN202110953694A CN113656273A CN 113656273 A CN113656273 A CN 113656273A CN 202110953694 A CN202110953694 A CN 202110953694A CN 113656273 A CN113656273 A CN 113656273A
- Authority
- CN
- China
- Prior art keywords
- detection
- evaluation
- disturbance
- control system
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 311
- 238000011156 evaluation Methods 0.000 title claims abstract description 161
- 238000000034 method Methods 0.000 claims abstract description 55
- 230000004044 response Effects 0.000 claims abstract description 50
- 230000005284 excitation Effects 0.000 claims abstract description 42
- 238000002347 injection Methods 0.000 claims abstract description 29
- 239000007924 injection Substances 0.000 claims abstract description 29
- 230000008569 process Effects 0.000 claims abstract description 27
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 238000000605 extraction Methods 0.000 claims abstract description 10
- 239000000523 sample Substances 0.000 claims description 36
- 230000006399 behavior Effects 0.000 claims description 22
- 230000015654 memory Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 12
- 238000011217 control strategy Methods 0.000 claims description 10
- 238000013507 mapping Methods 0.000 claims description 10
- 230000001629 suppression Effects 0.000 claims description 9
- 239000007943 implant Substances 0.000 claims description 8
- 238000002513 implantation Methods 0.000 claims description 5
- 238000005457 optimization Methods 0.000 claims description 5
- 238000007619 statistical method Methods 0.000 claims description 5
- 241001494479 Pecora Species 0.000 claims description 4
- 241000287219 Serinus canaria Species 0.000 claims description 4
- 230000000981 bystander Effects 0.000 claims description 4
- 238000012360 testing method Methods 0.000 description 24
- 230000007246 mechanism Effects 0.000 description 15
- 238000012545 processing Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 8
- 239000000243 solution Substances 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000009825 accumulation Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 5
- 230000007547 defect Effects 0.000 description 5
- 238000005070 sampling Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000015556 catabolic process Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000006731 degradation reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 241000287828 Gallus gallus Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000019771 cognition Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007257 malfunction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3452—Performance evaluation by statistical analysis
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Probability & Statistics with Applications (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Quality & Reliability (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明提供了一种工控系统在检测时产生扰动的评估方法及装置,其中,该工控系统在检测时产生扰动的评估方法包括:依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。可以评估检测时对工控系统的扰动。
Description
技术领域
本发明涉及检测技术领域,具体而言,涉及一种工控系统在检测时产生扰动的评估方法及装置。
背景技术
工业控制系统(工控系统)广泛应用于能源、交通、电力、化工、医药、军工等领域,与国民经济和社会发展的重大装备直接相关联,工控系统中配置有许多工业软件,工业软件在接入工业控制系统以及运行中,需要保障工控系统的安全性,并尽可能减少运行过程中对工控系统造成的扰动。因而,需要在线对运行工业软件的工控系统进行检测,例如,通过将检测工具接入工控系统,并通过检测工具对工控系统施加激励,然后,通过检测工具获取工控系统的响应,依据响应进行工控系统中工业软件的安全评估。但该方法,在检测过程中,利用检测工具,针对输入工控系统的输入激励以及工控系统对输入激励的响应,进行安全性评估,没有考虑检测工具以及输入激励对工控系统产生的扰动,例如,在进行工控系统检测时,可能需要降低工控系统的安全防护能力,从而给攻击者攻击工控系统提供可能,进而影响工控系统的正常运行,使得在对工控系统进行检测时,影响工控系统的正常运行,或对工控系统的后续运行带来潜在安全隐患。
发明内容
有鉴于此,本发明的目的在于提供工控系统在检测时产生扰动的评估方法及装置,以评估检测时对工控系统的扰动。
第一方面,本发明实施例提供了工控系统在检测时产生扰动的评估方法,包括:
依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;
针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,还包括:
分别构建检测工具、输入激励、检测方式与评价维度以及评价子维度的映射关系;
获取用于对检测对象进行检测输入的检测参数,所述检测参数包括:目标检测工具、输入目标激励以及目标检测方式;
从所述映射关系中,分别获取所述目标检测工具、输入目标激励以及目标检测方式映射的评价子维度;
依据获取的评价子维度对应的扰动强度,生成所述检测参数的扰动评估。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第二种可能的实施方式,其中,还包括:
若扰动评估不满足预先设置的扰动抑制策略,发送告警信息并依据所述检测信息,匹配预先设置的扰动控制策略,展示所述检测信息相匹配的扰动控制策略。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第一方面的第三种可能的实施方式,其中,还包括:
若扰动评估不满足预先设置的扰动抑制策略,对扰动强度大对应的检测参数进行调整,依据调整的检测参数生成扰动优化评估。
结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,包括:
基于检测工具与外部网络的连接、检测工具被攻击以及检测工具成为摆渡攻击的载体,确定通过检测工具构建的攻击通道;
基于检测实施过程,确定影响安全防护能力的检测行为;
基于检测工具以及输入激励,确定影响运行的运行行为;
对攻击通道、检测行为、运行行为进行统计分析,确定评价维度以及每一评价维度下的评价子维度。
结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述网络信号注入包括:黑信号注入、白信号注入以及无信号注入,其中,
黑信号注入包括:确定性尝试以及随机尝试,确定性尝试包括:违规流量尝试、恶意流量尝试、小信号尝试;随机尝试包括:模糊信号尝试;
白信号包括:探测扫描信号以及替罪羊信号。
结合第一方面、第一方面的第一种可能的实施方式至第三种可能的实施方式中的任一种可能的实施方式,本发明实施例提供了第一方面的第六种可能的实施方式,其中,所述主机检测方式包括:并智探针、植入探针以及旁观检测,其中,
并置探针包括:一体化并置探针以及分布式并置探针;
植入探针包括:植入状态观测探针以及金丝雀探针。
第二方面,本发明实施例还提供了一种工控系统在检测时产生扰动的评估装置,包括:
评价维度获取模块,用于依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;
历史数据获取模块,用于针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
分析模块,用于分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述的方法的步骤。
本发明实施例提供的工控系统在检测时产生扰动的评估方法及装置,通过依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。可以评估检测时对工控系统的扰动。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的工控系统在检测时产生扰动的评估方法流程示意图;
图2示出了本发明实施例所提供的工控系统在检测时产生扰动的评估装置结构示意图;
图3为本申请实施例提供的一种计算机设备300的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种工控系统在检测时产生扰动的评估方法及装置,下面通过实施例进行描述。
图1示出了本发明实施例所提供的工控系统在检测时产生扰动的评估方法流程示意图。如图1所示,该方法包括:
步骤101,依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度;
本申请实施例中,扰动是利用检测工具,依据检测方式输入激励对工控系统中的工控软件进行检测时,对工控系统造成的负面影响,例如,加剧工控系统的访问控制漏洞,工控系统响应速度变慢,功能紊乱甚至丧失等。因而,作为一可选实施例,依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,包括:
A11,基于检测工具与外部网络的连接、检测工具被攻击以及检测工具成为摆渡攻击的载体,确定通过检测工具构建的攻击通道;
本申请实施例中,在通过检测工具进行工控系统检测时,攻击者可以通过检测工具构建攻击通道,从而危害工控系统安全。
本申请实施例中,通过分析总结,攻击通道包括但不限于:非法外联、肉鸡工具以及摆渡工具。其中,
非法外联是检测工具在检测期间连接至外部网络,形成“工控系统-检测工具-外部网络”的外联通道;
肉鸡工具是检测工具被攻击者控制,在检测过程中给出误导性信息,从而影响检测结果,或者,攻击者利用检测工具对工控系统发动攻击;
摆渡工具是检测工具在接入工控系统的工控网或外部网络的过程中,成为摆渡攻击的载体。工控系统向外提供数据交互的工控网是工控系统与外界环境(外部网络)隔离的网络,但由于检测工具在检测过程中,有时接入工控网,有时接入外部网络,从而可能成为摆渡攻击的载体。
A12,基于检测实施过程,确定影响安全防护能力的检测行为;
本申请实施例中,在通过检测工具进行工控系统检测前或检测过程中,基于检测需要,可能需要抑制工控系统的安全防护设施能力,降低了工控系统的防护能力,从而使得攻击者有可乘之机,包括下述影响安全防护能力的检测行为:
1)在测试工控系统安全防护设施时,临时性将安全防护设施的工作模式切换到低发现能力模式,使得攻击者在该测试期间,渗透到工控网。
2)在工控系统的在线检测期间,攻击者利用测试激励,对工控系统发动攻击,从而将恶意流量和代码混入工控系统。
3)在线检测期间,由于测试激励与响应的真实业务信息混合在一起,若混合的数据未及时进行处理,可对基于机器学习的异常检测设备起到干扰作用,造成防护设施漏判或误判真实攻击。
4)测试期间,若修改安全配置,例如,在合法用户组中增加测试人员,如果在测试后未做彻底清理,可能留下攻击渠道。
A13,基于检测工具以及输入激励,确定影响运行的运行行为;
本申请实施例中,在使用检测工具以及输入激励进行检测时,如果检测工具以及输入激励设计不当,或未及时清除测试信息的运行行为,也容易影响到工控系统运行。其中,
输入激励引起的工控系统扰动包括:
1)检测前未预料到特定输入激励会触发工控缺陷。例如,信息层面可控的脆弱性尝试,可能会连带引发工控系统的潜在缺陷;模糊激励也可以触发工控系统的潜在缺陷。
2)检测前未预料特定输入激励与特定业务信息进行混合后,会触发工控系统误动或操作员误判。
3)输入激励本身可能也会有残留,例如,检测期间由于修改某些设备的配置(如切换工作模式),而检测后未能够复原。
检测工具引起的工控系统扰动包括:
1)嵌入型探针直接刺入工控系统内部、或修改工控系统底层功能,触发潜在工控系统缺陷、或产生功能冲突。
2)并置或嵌入型与工控系统共享CPU、内存资源,从而消耗工控系统资源,影响工控系统在线运行性能,或在长期运行过程中,累计消耗内存、硬盘等存储资源。
3)在网络串接检测时,检测工具一旦故障,就会阻断工控系统的处理,从而限制和拉低工控系统的性能。
未及时清除测试信息(测试信息在线残留)引起的工控系统扰动包括:
1)在线检测执行后,工控系统的内存中存在信息残留,使得工控软件处于不确定变化。
2)在线检测执行后,工控系统的日志发生永久变化,甚至文件系统也可能有变化,给长期历史数据分析带来干扰。
A14,对攻击通道、检测行为、运行行为进行统计分析,确定评价维度以及每一评价维度下的评价子维度。
本申请实施例中,扰动量的大小与扰动的具体成因以及不同检测方式相关,因而,可以考虑扰动的具体成因以及不同检测方式,对攻击通道、检测行为、运行行为进行统计分析,从中确定出用于评价扰动的评价维度。
本申请实施例中,作为一可选实施例,评价维度包括但不限于:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程,其中,
对于网络信号注入,包括的评价子维度为:黑信号注入、白信号注入以及无信号注入,其中,
黑信号注入包括:确定性尝试以及随机尝试,确定性尝试包括:违规流量尝试、恶意流量尝试、小信号尝试;随机尝试包括:模糊信号尝试;
白信号包括:探测扫描信号以及替罪羊信号。
网络信号提取包括:主流量采集以及复制镜像流量采集,其中,
主流量采集包括:全流量采集以及按规则或随机抽样采集。
主机检测方式包括:并智探针、植入探针以及旁观检测,其中,
并置探针包括:一体化并置探针以及分布式并置探针,其中,一体化并置探针用于主机防火墙、防病毒软件等,分布式并置探针用于采样与分析异步分离;
植入探针包括:植入状态观测探针以及金丝雀探针,其中,植入状态观测探针用于VC++/TestBed等调试工具。
检测工具外联包括:在线网络外联、离线网络外联以及离线导出数据。
检测实施过程主要针对检测过程中的修改对象配置,包括:降低防护能力以及测试配置残留,其中,
测试配置残留包括:残留工控系统配置以及残留安全防护配置。
步骤102,针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
本申请实施例中,作为一可选实施例,针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据,包括:
针对每条历史检测响应数据,确定所属的评价子维度;
针对每一评价子维度,构建子维度历史检测响应数据集,将该评价子维度对应的历史检测响应数据置于构建的子维度历史检测响应数据集中。
本申请实施例中,对于一条历史检测响应数据,可能会属于不同的评价子维度,则将该条历史检测响应数据分别置于不同评价子维度的子维度历史检测响应数据集中。
步骤103,分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
本申请实施例中,依据对工控系统造成的负面影响进行分析,作为一可选实施例,子维度历史检测响应数据对工控系统的扰动包括但不限于:加剧工控系统的访问控制漏洞、工控系统响应速度变慢、工控软件运行效率下降。其中,
对于加剧工控系统的访问控制漏洞,可能造成后续访问控制方面出现新缺陷,从如下方面进行分析:
1)修改权限体系后没有复原,从而导致用户权限出现交叉、冲突等非正常情况的影响程度;
2)增加多余通道的影响:检测中设置了临时网络入口接入测试设备或制造临时场景,分配了临时用户权限,在检测后没有及时清除;
3)敏感信息泄露的影响:当将企业的工控系统交由外来人员进行检测时,必然存在关键资产信息(如防火墙、核心交换机、工程师站的配置)和用户的敏感信息(如用户清单、系统管理员口令)泄漏风险。
对于工控系统响应速度变慢引起的扰动程度,由于检测或测试存在“极限施压,信息残留”的特点,从而导致工控系统性能下降,从如下方面进行分析:
1)服务器性能下降:
检测期间在工控系统中生成大量检测记录,导致后续记录插入、检索操作变得缓慢。
2)控制器性能下降:
检测期间,可能对工控系统中的控制器执行多连接,从而分散控制器的业务处理能力。
3)交换机性能下降:
进行网络旁路检测时,需要利用工控系统中的交换机来复制流量,以供检测工具使用,复制流量影响交换机的性能。
4)通信业务性能下降:
检测期间,通过强制主从等手段,将工控网络通信的信息传输路径调整到一些极端的、勉强可用的状态,如将SCADA控制命令通道强制为“HMI->备服务器->主服务器->备RTU->主RTU->现场控制器”,使控制响应时间大幅延迟。
5)工控软件性能下降:
在线检测时,检测工具会与工控软件争抢系统资源,还可能会挂钩API执行额外处理,使工控软件运行效率下降。
由于工控系统正常运行需要基于一系列内部处理机制,包括但不限于:1)条件联动机制、2)时间和时序机制、3)信息累计机制、4)实时诊断机制、5)持久化机制、6)信息物理机制、7)容量限制机制等,因而,可从上述方面进行分析:
1)条件联动机制,在检测前或检测中修改工控系统参数,而在检测后未进行恢复,包括:
失去控制:在线检测时修改了控制的先决条件,如远方/就地标志、设备操作权限等,导致检测后控制功能丧失。
失去报警:在线检测时修改了报警条件,例如,修改模拟量报警限值,导致检测后工控系统不再发出相关报警。
失去保护:在线检测时关闭了闭锁逻辑,导致检测后工控系统操作没有闭锁保护,操作控制无安全保证。
意外动作:在线检测时修改了自动执行动作的条件,或针对关联自动处理功能的报警,修改了报警条件,导致检测后工控系统运行期间产生意外误动。
意外破坏:在线检测时生成的测试数据,测试后将这些数据清除,可能破坏业务数据完整性,进而引起业务功能异常,甚至无法重启。
2)时间和时序机制,包括:
事件乱序:在线检测时修改系统时标,或在分布式系统中人为控制多通道通信的传输路径,或在主机应用中插入端点干扰实时执行,导致工控系统对事件处理的顺序发生错误,日志的接收顺序与时标顺序不一致。
时钟错误:在线检测时修改工控系统时钟,导致检测期间与定时调度有关的动作出现遗漏、重复、延迟或提早。
3)信息累计机制,包括:
计数器错误:工控系统中大量使用计数器,如开关动作次数、动作失败次数等计数器。在线检测引发计数器累加,检测后出现功能紊乱和系统错误。
触发器错误:控制系统中使用RS触发器等具有状态累计效应的状态机,检测中若触发这些触发器,由于触发的状态变化不可逆,导致检测后功能紊乱。
4)实时诊断机制,包括:
看门狗误动:若在线检测时,工控系统的性能下降超出看门狗动作的时间限,触发看门狗动作,引起主机重启。
主备误切换:由于性能下降,造成热备冗余主机发生主备切换。
5)持久化机制,包括:
污染日志:在线检测时执行的操作记入系统操作日志,会影响分析判断。
污染定值:在线检测时,修改工控系统的参数和定值,检测后这些信息一直驻留内存,影响生产过程。
6)信息物理机制,包括:
超现实数值:检测中绕过数值处理逻辑、直接在数据库中修改数值,从而触发处理缺陷,使工控系统陷入瘫痪。
7)容量限制机制,包括:
连接数限制:在线检测中,针对工控系统的服务器、控制器等服务端所建立的临时连接,需占用有线连接资源,从而导致真正的业务终端无法连接和获取在线服务。
本申请实施例中,作为一可选实施例,扰动强度以分值进行表征,对照检测扰动的成因和后果及分析,并结合对用户可接受程度的经验性认知,设置分值为10,表征扰动强度最强,分值为0,表征不导致扰动。
表1为本申请实施例确定的各子维度对应的扰动强度示意表。
表1
本申请实施例中,作为一可选实施例,该方法还包括:
分别构建检测工具、输入激励、检测方式与评价维度以及评价子维度的映射关系;
获取用于对检测对象进行检测输入的检测参数,所述检测参数包括:目标检测工具、输入目标激励以及目标检测方式;
从所述映射关系中,分别获取所述目标检测工具、输入目标激励以及目标检测方式映射的评价子维度;
依据获取的评价子维度对应的扰动强度,生成所述检测参数的扰动评估。
本申请实施例中,可以通过客户端输入用于对检测对象进行检测的检测参数。
本申请实施例中,每一评价子维度映射检测工具、输入激励或检测方式。作为一可选实施例,对各评价子维度对应的扰动强度进行加权平均或求和,得到扰动评估。
本申请实施例中,作为另一可选实施例,该方法还包括:
若扰动评估不满足预先设置的扰动抑制策略,发送告警信息并依据所述检测信息,匹配预先设置的扰动控制策略,展示所述检测信息相匹配的扰动控制策略。
本申请实施例中,作为再一可选实施例,该方法还包括:
若扰动评估不满足预先设置的扰动抑制策略,对扰动强度大对应的检测参数进行调整,依据调整的检测参数生成扰动优化评估。
本申请实施例中,根据在实施工控系统在线安全检测的经验积累,提出8大扰动控制策略,以在扰动评估不满足预先设置的扰动抑制策略时,能够降低检测扰动。其中,8大扰动控制策略如下:
(1)选择适测时机
(2)预先隔离加固
(3)使用安全工具
(4)接入次要部位
(5)注入安全激励
(6)远距观察信息
(7)实施现场应急
(8)恢复还原系统。
其中,对于(1)选择适测时机,应用于检测前,包括:活动低频小型、择机迅速完成;
(2)预先隔离加固,应用于工控系统;
(3)使用安全工具,应用于检测工具,包括:保障检测工具安全、主机浅层检测工具、网络浅层检测工具、工具在线部最小化;
(4)接入次要部位,应用于检测工具接入的接入点,包括:检测环境优先、维护环境优先、既有设施优先、备用设施优先、外部接口优先、基于网络优先、避免强行串核;
(5)注入安全激励,应用于输入激励,包括:自然激励优先、轻量激励可行、禁用攻击性激励、禁止变更对象;
(6)远距观察信息,应用于获取检测响应数据,包括:文件复件优先、内存快照优先、镜像流量优先、禁止进程干预、减少信息采样;
(7)实施现场应急,应用于检测过程中,包括:工况异常处理、恶意代码处理、后门功能处理;
(8)恢复还原系统,应用于检测结束后,包括:还原系统配置、回复篡改信息、原始文件归位、清除派生记录、禁止额外程序、清理临时用户、防止信息泄露、即刻验证功能。
本申请实施例中,通过分析检测工具、输入激励、检测方式,获取在线检测扰动的成因及后果,并根据对用户可接受程度的经验性认知,对各种检测方法的扰动强度做出定量评价,从而为设计检测扰动控制措施、加深安全检测程度、提升工控系统健壮性提供评价方法。并通过自动生成扰动控制方案,指导用户以最小扰动完成安全检测。
图2示出了本发明实施例所提供的工控系统在检测时产生扰动的评估装置结构示意图。如图2所示,该装置包括:
评价维度获取模块201,用于依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;
本申请实施例中,作为一可选实施例,评价维度获取模块201包括:
攻击通道确定单元(图中未示出),用于基于检测工具与外部网络的连接、检测工具被攻击以及检测工具成为摆渡攻击的载体,确定通过检测工具构建的攻击通道;
检测行为确定单元,用于基于检测实施过程,确定影响安全防护能力的检测行为;
运行行为确定单元,用于基于检测工具以及输入激励,确定影响运行的运行行为;
分析单元,用于对攻击通道、检测行为、运行行为进行统计分析,确定评价维度以及每一评价维度下的评价子维度。
本申请实施例中,网络信号注入包括:黑信号注入、白信号注入以及无信号注入,其中,
黑信号注入包括:确定性尝试以及随机尝试,确定性尝试包括:违规流量尝试、恶意流量尝试、小信号尝试;随机尝试包括:模糊信号尝试;
白信号包括:探测扫描信号以及替罪羊信号。
本申请实施例中,主机检测方式包括:并智探针、植入探针以及旁观检测,其中,
并置探针包括:一体化并置探针以及分布式并置探针;
植入探针包括:植入状态观测探针以及金丝雀探针。
网络信号提取包括:主流量采集以及复制镜像流量采集,其中,
主流量采集包括:全流量采集以及按规则或随机抽样采集。
检测工具外联包括:在线网络外联、离线网络外联以及离线导出数据。
检测实施过程主要针对检测过程中的修改对象配置,包括:降低防护能力以及测试配置残留,其中,
测试配置残留包括:残留工控系统配置以及残留安全防护配置。
历史数据获取模块202,用于针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
本申请实施例中,作为一可选实施例,历史数据获取模块202包括:
评价子维度确定单元,用于针对每条历史检测响应数据,确定所属的评价子维度;
数据集构建单元,用于针对每一评价子维度,构建子维度历史检测响应数据集,将该评价子维度对应的历史检测响应数据置于构建的子维度历史检测响应数据集中。
分析模块203,用于分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
本申请实施例中,作为一可选实施例,子维度历史检测响应数据对工控系统的扰动包括但不限于:加剧工控系统的访问控制漏洞、工控系统响应速度变慢、工控软件运行效率下降。
本申请实施例中,作为一可选实施例,该装置还包括:
映射关系构建模块(图中未示出),用于分别构建检测工具、输入激励、检测方式与评价维度以及评价子维度的映射关系;
检测参数输入模块,用于获取用于对检测对象进行检测输入的检测参数,所述检测参数包括:目标检测工具、输入目标激励以及目标检测方式;
映射查询模块,用于从所述映射关系中,分别获取所述目标检测工具、输入目标激励以及目标检测方式映射的评价子维度;
评估模块,用于依据获取的评价子维度对应的扰动强度,生成所述检测参数的扰动评估。
本申请实施例中,作为另一可选实施例,该装置还包括:
扰动控制模块,若扰动评估不满足预先设置的扰动抑制策略,发送告警信息并依据所述检测信息,匹配预先设置的扰动控制策略,展示所述检测信息相匹配的扰动控制策略。
本申请实施例中,作为再一可选实施例,该装置还包括:
检测参数优化模块,若扰动评估不满足预先设置的扰动抑制策略,对扰动强度大对应的检测参数进行调整,依据调整的检测参数生成扰动优化评估。
如图3所示,本申请一实施例提供了一种计算机设备300,用于执行图1中的工控系统在检测时产生扰动的评估方法,该设备包括存储器301、处理器302及存储在该存储器301上并可在该处理器302上运行的计算机程序,其中,上述处理器302执行上述计算机程序时实现上述工控系统在检测时产生扰动的评估方法的步骤。
具体地,上述存储器301和处理器302能够为通用的存储器和处理器,这里不做具体限定,当处理器302运行存储器301存储的计算机程序时,能够执行上述工控系统在检测时产生扰动的评估方法。
对应于图1中的工控系统在检测时产生扰动的评估方法,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述工控系统在检测时产生扰动的评估方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述工控系统在检测时产生扰动的评估方法。
在本申请所提供的实施例中,应该理解到,所揭露系统和方法,可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种工控系统在检测时产生扰动的评估方法,其特征在于,包括:
依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;
针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
2.根据权利要求1所述的方法,其特征在于,还包括:
分别构建检测工具、输入激励、检测方式与评价维度以及评价子维度的映射关系;
获取用于对检测对象进行检测输入的检测参数,所述检测参数包括:目标检测工具、输入目标激励以及目标检测方式;
从所述映射关系中,分别获取所述目标检测工具、输入目标激励以及目标检测方式映射的评价子维度;
依据获取的评价子维度对应的扰动强度,生成所述检测参数的扰动评估。
3.根据权利要求2所述的方法,其特征在于,还包括:
若扰动评估不满足预先设置的扰动抑制策略,发送告警信息并依据所述检测信息,匹配预先设置的扰动控制策略,展示所述检测信息相匹配的扰动控制策略。
4.根据权利要求2所述的方法,其特征在于,还包括:
若扰动评估不满足预先设置的扰动抑制策略,对扰动强度大对应的检测参数进行调整,依据调整的检测参数生成扰动优化评估。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,包括:
基于检测工具与外部网络的连接、检测工具被攻击以及检测工具成为摆渡攻击的载体,确定通过检测工具构建的攻击通道;
基于检测实施过程,确定影响安全防护能力的检测行为;
基于检测工具以及输入激励,确定影响运行的运行行为;
对攻击通道、检测行为、运行行为进行统计分析,确定评价维度以及每一评价维度下的评价子维度。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述网络信号注入包括:黑信号注入、白信号注入以及无信号注入,其中,
黑信号注入包括:确定性尝试以及随机尝试,确定性尝试包括:违规流量尝试、恶意流量尝试、小信号尝试;随机尝试包括:模糊信号尝试;
白信号包括:探测扫描信号以及替罪羊信号。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述主机检测方式包括:并智探针、植入探针以及旁观检测,其中,
并置探针包括:一体化并置探针以及分布式并置探针;
植入探针包括:植入状态观测探针以及金丝雀探针。
8.一种工控系统在检测时产生扰动的评估装置,其特征在于,包括:
评价维度获取模块,用于依据对工控系统进行检测的各检测工具、输入激励、检测方式,确定评估扰动的评价维度以及每一评价维度下包含的评价子维度,所述评价维度包括:网络信号注入、网络信号提取、主机检测方式、检测工具外联以及检测实施过程;
历史数据获取模块,用于针对每一评价子维度,从工控系统的历史检测响应数据中,收集基于该评价子维度进行检测的子维度历史检测响应数据;
分析模块,用于分析各子维度历史检测响应数据对工控系统的扰动,依据分析结果确定各评价子维度对应的扰动强度。
9.一种计算机设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的工控系统在检测时产生扰动的评估方法的步骤。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的工控系统在检测时产生扰动的评估方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110953694.0A CN113656273A (zh) | 2021-08-19 | 2021-08-19 | 一种工控系统在检测时产生扰动的评估方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110953694.0A CN113656273A (zh) | 2021-08-19 | 2021-08-19 | 一种工控系统在检测时产生扰动的评估方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113656273A true CN113656273A (zh) | 2021-11-16 |
Family
ID=78492322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110953694.0A Pending CN113656273A (zh) | 2021-08-19 | 2021-08-19 | 一种工控系统在检测时产生扰动的评估方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113656273A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116359678A (zh) * | 2021-12-28 | 2023-06-30 | 本德尔有限两合公司 | 自动生成绝缘监控系统的设备特定的测量配置文件的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170091989A (ko) * | 2016-02-02 | 2017-08-10 | 동신대학교산학협력단 | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 |
| CN108646722A (zh) * | 2018-07-18 | 2018-10-12 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息安全仿真模型及终端 |
| CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控系统安全威胁评估方法、装置和系统 |
-
2021
- 2021-08-19 CN CN202110953694.0A patent/CN113656273A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170091989A (ko) * | 2016-02-02 | 2017-08-10 | 동신대학교산학협력단 | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 |
| CN108646722A (zh) * | 2018-07-18 | 2018-10-12 | 杭州安恒信息技术股份有限公司 | 一种工业控制系统信息安全仿真模型及终端 |
| CN112184091A (zh) * | 2020-12-01 | 2021-01-05 | 杭州木链物联网科技有限公司 | 工控系统安全威胁评估方法、装置和系统 |
Non-Patent Citations (2)
| Title |
|---|
| ABIODUN AYODEJI等: "A new perspective towards the development of robust data-driven intrusion detection for industrial control systems", NUCLEAR ENGINEERING AND TECHNOLOGY, vol. 52, no. 12, 23 October 2020 (2020-10-23), pages 2687 - 2698 * |
| 张宏斌 等: "工控网络安全检测与防护体系研究", 信息技术与网络安全, vol. 38, no. 6, 10 June 2019 (2019-06-10), pages 1 - 5 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116359678A (zh) * | 2021-12-28 | 2023-06-30 | 本德尔有限两合公司 | 自动生成绝缘监控系统的设备特定的测量配置文件的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7594142B1 (en) | Architecture for automated detection and analysis of security issues | |
| US9509554B1 (en) | Methods and apparatus for remediation execution | |
| US20130073715A1 (en) | Methods and apparatus for remediating policy test failures, including correlating changes to remediation processes | |
| CN112540887A (zh) | 故障演练方法、装置、电子设备及存储介质 | |
| CN113656273A (zh) | 一种工控系统在检测时产生扰动的评估方法及装置 | |
| CN114553596A (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
| CN105825130A (zh) | 一种信息安全预警方法及装置 | |
| CN116232768B (zh) | 一种信息安全评估方法、系统、电子设备及存储介质 | |
| CN116414722B (zh) | 模糊测试处理方法、装置、模糊测试系统及存储介质 | |
| Wu et al. | An empirical study on change-induced incidents of online service systems | |
| CN117691733A (zh) | 一种配电自动化系统信息安全防护的评估方法及装置 | |
| CN115204539A (zh) | 主机安全基线管理方法、装置、设备及介质 | |
| EP3134842B1 (de) | Rechenvorrichtung und verfahren zum erkennen von angriffen auf ein technisches system anhand von ereignissen einer ereignisfolge | |
| Authén et al. | Guidelines for reliability analysis of digital systems in PSA context–Final Report | |
| CN115757107A (zh) | 埋点检测方法、装置、服务器及存储介质 | |
| KR20180118869A (ko) | 통합 보안 이상징후 모니터링 시스템 | |
| CN108984397B (zh) | 黑盒故障注入方法和系统及介质设备 | |
| CN113094221A (zh) | 故障注入方法、装置、计算机设备以及可读存储介质 | |
| Lim et al. | Efficient testing of self-adaptive behaviors in collective adaptive systems | |
| Di Penta et al. | The evolution and decay of statically detected source code vulnerabilities | |
| CN115599503B (zh) | 容器安全风险检测方法、装置、电子设备及存储介质 | |
| CN117312174B (zh) | 一种程序错误路径检测方法、装置、设备及可读存储介质 | |
| CN117762884B (zh) | 一种分布式文件智能管理系统及方法 | |
| CN111131248B (zh) | 一种网站应用安全缺陷检测模型建模方法及缺陷检测方法 | |
| CN117453567A (zh) | 混沌测试方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |