CN114117337B - 一种面向工业控制终端设备的单向安全检测与多因子加权评估系统 - Google Patents

Abstract

本发明公开了一种面向工业控制终端设备的单向安全检测与多因子加权评估系统，包括指标评估体系构建模块、设置于工业控制终端设备的工控安全数据采集模块和安全单向通信模块、设置于工控交换机的安全数据单向通信硬件、设置于安全评估平台的多因子加权评估模块；通过安全单向通信模块和安全数据单向通信硬件之间的单向通信方式以实现的单向安全监测，可以防止攻击者利用安全检测评估系统自身对工控设备实施反向攻击，通过多因子加权评估模块实现结合时效因子，检测时间因子，用户安全需求因子来全方位评估设备的安全性，以达到为工业控制终端设备提供更加全面和准确的风险评估的目标。

Description

一种面向工业控制终端设备的单向安全检测与多因子加权评 估系统

技术领域

本发明属于工业控制终端设备的安全评估领域，具体涉及一种面向工业控制终端设备的单向安全检测与多因子加权评估系统。

背景技术

随着计算机技术的飞速发展，原本处于隔离状态下的工控系统接入到复杂的外部网络环境中，造成攻击事件层出不穷。工业控制终端设备作为在工控系统中实施具体业务控制的核心设备，一旦遭受恶意攻击，会严重威胁正常工业生产，甚至国家安全。而工控系统中的工业控制终端设备尤为注重业务持续无故障时长和实时性，无法采取需要经常更新或性能损耗较大的终端安全防护措施(如防病毒、驱动过滤等)，且增加安全检测系统可能会引入新攻击。因此，通过直接读取工控终端设备安全状态信息进行安全检测及风险评估能够有效分析工控设备的安全性且对工控设备性能消耗较少，可为后续实施安全控制手段提供重要判断依据。

现有安全风险评估方法存在如下问题：1)现有的安全检测评估系统可能引入新的攻击面，导致攻击者通过检测系统侵入工控设备；2)对于时效性强的工控检测数据评估结果不准确，例如系统补丁、需要定期升级的工控服务、工控应用等；3)静态评估无法持续检测和分析工控设备安全性的问题，例如高级持续性威胁长期潜伏，有些组合攻击对安全性具有长期性的影响；4)现有的风险评估方案通常是固化的，难以适应不同工控应用场景，无法根据用户安全需求进行灵活调整。如工控设备可能处于正常工作或维护模式中，不同的生产线工控设备的配置可能不同，风险评估方法应能根据应用场景的用户安全需求进行灵活调整等。

专利文献CN106920022 A公开了一种卷烟工业控制系统的安全脆弱性评估方法，包括：识别数据流，标记出数据流的数据流路径和流向；根据数据流的属性对其进行分类；攻击面分析；判断数据流在卷烟工业控制系统中是否具有与之相应的技术控制措施；若是，判断数据流路径上的各设备节点是否具有与之相应的安全管理措施；若是，对数据流路径上的关键节点进行安全脆弱性测试和分析，并统计数据流路径上的关键节点上的安全脆弱点，以预定文档格式编制存在于卷烟工业控制系统上的安全脆弱点；若否，为数据流路径上的各设备节点配置与之相应的安全管理措施，若否，为数据流配置与之相应的技术控制措施。该评估方法是基于数据流的判断安全脆弱节点，并给予相应的安全管理措施和技术控制措施。但是由于仅仅基于数据流进行判断，不够全面，评价不准确。

发明内容

鉴于以上所有现有技术的缺点，本发明的目的在于提供一种面向工业控制终端设备的单向安全检测与多因子加权评估系统，通过设计的单向安全通信方式，并结合时效因子，检测时间因子，用户安全需求因子来全方位评估设备的安全性，以达到为工业控制终端设备提供更加全面和准确的风险评估的目标。

为实现上述发明目的，本发明提供以下技术方案：

一种面向工业控制终端设备的单向安全检测与多因子加权评估系统，

包括指标评估体系构建模块、设置于工业控制终端设备的工控安全数据采集模块和安全单向通信模块、设置于工控交换机的安全数据单向通信硬件、设置于安全评估平台的多因子加权评估模块；

所述指标评估体系构建模块用于构建终端设备的风险评估指标体系，包括风险评估指标，以及指标之间的相关性；

所述工控安全数据采集模块用于根据风险评估指标体系中的风险评估指标采用指标数据；

所述安全单向通信模块用于实现与安全数据单向通信硬件的单向通信，通过二层数据的地址修改和二层数据的校验重构后，将采集的指标数据包装后单向传输至安全数据单向通信硬件；

所述安全数据单向通信硬件用于对接收的数据包进行外网数据过滤后，转发终端设备的指标数据包至多因子加权评估模块；

所述多因子加权评估模块用于对每类指标数据进行评分后，结合时效因子、检测时间因子、用户安全需求因子以及指标之间的相关性综合加权评估每个终端设备的安全评分，依据安全评分确定终端设备的安全性。

在一个实施例中，所述风险评估指标体系包括目标层，准则层，指标层，其中，目标层是工控系统的安全评估结果；准则层包括硬件安全和软件安全，软件安全又分为行为安全和状态安全，行为安全分为进程安全和用户登录安全，状态安全分为系统配置安全、工控数据安全和用户状态安全；指标层包括CPU、内存、磁盘、电源、外设、IO模块、工控进程、除工控进程外的其他进程、用户登录、系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用、工控编程文件、工控系统文件、用户列表，其中，CPU、内存、磁盘、电源、外设以及IO模块对应于硬件安全，工控进程和除工控进程外的其他进程对应进程安全，用户登录对应用户登录安全，系统服务、系统补丁、工控服务、工控应用、除工控服务外的其他服务以及除工控应用外的其他应用对应系统配置安全，工控编程文件和工控系统文件对应工控数据安全，用户列表对应用户状态安全。

在一个实施例中，所述安全单向通信模块中，二层数据的地址修改包括：对于包含终端设备的ip地址s_ip和mac地址s_mac，安全评估平台的ip地址d_ip和mac地址d_mac的数据包，将目的地安全评估平台的mac地址d_mac重构为全f，即d_mac＝{f_t,t＝1,2,3,…,T，T表示d_mac的位数}，基于该重构的d_mac，安全评估平台能够顾跨网段接收数据。

在一个实施例中，所述安全单向通信模块中，二层数据的校验重构包括：

二层数据结构为：前导PR、目的地址DA、源地址SA、类型TY、数据DT、帧校验序列FCS；在校验和重构时，用G表示r+1比特的生成多项式，则FCS为r比特的0，数据段D为二层数据结构中FCS之前的部分，则用D连接原FCS₀除以G得到的余数作为新FCS′，即FCS′＝(D+FCS₀)％G。

在一个实施例中，所述安全数据单向通信硬件中，通过构建以下过滤规则实现外网数据的过滤：

if s_ip∈S_ip:data(1,2,3,…,n→X)

其中，为s_ip为源ip地址，S_ip为终端设备1～n的ip地址集合，data(1,2,3,…,n→X)表示单向安全检测硬件允许数据从终端设备的端口1,2,3,…,n转发到安全评估平台的端口X。

在一个实施例中，所述多因子加权评估模块中，将每类指标数据归类为离散数据或连续数据；

针对离散数据采用白名单对比评分，即将指标数据与对应白名单中数据的名称、路径或哈希值进行对比，记缺少项为A_i个，多出项为B_i个，名称路径相同但哈希值不同的项为C_i个，则指标i的评分S_i为：

S_i＝max(100-A_i*a_i-B_i*b_i-C_i*c_i,0)

其中，a_i为缺少项的扣分，b_i为多出项的扣分，c_i为不匹配项的扣分，设定最低得分为0，其中A_i,B_i,C_i≥0；a_i,b_i,c_i≥0；

针对连续数据采用基准评分，即设定指标数据的数值P_i的基准范围{L_i，T_i}，当P_i处于范基准围{L_i，T_i}内，则评分S_i为满分，否则，评分按照每增加1％,评分相应减少Y_i，设定最低得分为0，具体公式为：

S_i＝100， L_i≤P_i≤T_i

S_i＝max(100-|T_i-P_i|*Y_i,0)， P_i>T_i

S_i＝max(100-|L_i-P_i|*Y_i,0)， P_i<L_i。

在一个实施例中，所述多因子加权评估模块中，结合时效因子加权评估过程包括：

定义时间窗口期为tw，上一次数据发生变动的时间为t0，对应的评分为S_t0，当前时间为t，临界值为P，当前时刻t取得的评分为S_i，m为衰减系数，通过调整m的大小控制衰减程度，通过以下公式计算指标i的评分S_i：

在一个实施例中，所述多因子加权评估模块中，采用以下定义的检测时间因子评估方式进行加权评估：

其中，S_i表示指标i的评分，S_ij表示前j-1次的评分，n代表包括当前系统评分的前n次评分，j代表前j-1次，δ_ij代表第j-1次评分在系统中的占比，即第j-1次评分的系数。若当前只有m次评分，m<n，此时取n＝m；

其中，表示越接近当前评分的时间，第j-1次评分所所占比越重。

在一个实施例中，所述多因子加权评估模块中，结合用户安全需求因子和指标之间的相关性加权评估过程包括：

根据专家指定每项指标的相对重要关系得到专家权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的专家权重矩阵认为合理；

根据用户指定每项指标的相对重要关系得到用户权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的用户权重矩阵认为合理；

对合理的专家权重矩阵和合理的用户权重矩阵进行融合，得到融合权重矩阵，根据融合权重矩阵对各指标评分进行加权求和以得到终端设备的安全评分结果；

优选地，各指标评分为通过结合时效因子、检测时间因子中的至少一种方式得到的指标评分；

优选地，采用以下公式对合理的专家权重矩阵和合理的用户权重矩阵进行融合：

A_c＝α*A_e+β*A_u

其中，A_c为融合权重矩阵，α、β为系数，α+β＝1，α>0，A_c为专家权重矩阵，β>0,A_u为用户权重矩阵。

在一个实施例中，所述依据安全评分确定终端设备的安全性，包括：

当安全评分P>＝85时，系统状态为安全；70<＝P<85时，系统安全性较差；P<70时，系统存在巨大安全隐患，需要及时修复。

与现有技术相比，本发明具有的有益效果至少包括：

(a)通过安全单向通信模块和安全数据单向通信硬件之间的单向通信方式以实现的单向安全监测，可以防止攻击者利用安全检测评估系统自身对工控设备实施反向攻击。

(b)通过多因子加权评估模块实现的时效因子加权评估方式，基于更新频率对需要定期更新的工控数据进行衰减评估，防止时效性强的检测数据降低评估准确性。

(c)通过多因子加权评估模块实现的时间因子加权评估方式，综合评估工控设备的长期安全状态，防止未知、长期、复杂攻击(如高级持续性威胁等)导致评估准确性降低。

(d)通过多因子加权评估模块实现的用户安全因子加权方式，克服传统安全评估方法无法根据工控应用场景中的实际安全需求定制调整的问题，提高评估结果的可信性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动前提下，还可以根据这些附图获得其他附图。

图1是实施例提供的单向安全检测与多因子加权评估系统的应用场景示意图；

图2是实施例提供的单向安全检测与多因子加权评估系统的结构示意图；

图3是实施例提供的风险评估指标体系图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例对本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

为了实现对工业控制系统中的控制设备提供更加全面和准确的风险评估的目标，实施例提供了一种面向工业控制终端设备的单向安全检测与多因子加权评估系统。图1是实施例提供的单向安全检测与多因子加权评估系统的应用场景示意图。如图1所示，该单向安全检测与多因子加权评估系统主要应用于由多个工控终端设备、工控交换机、人机界面、编程器、管理机以及安全评估平台等的场景中，其中，工控终端设备、人机界面和编程器等现场设备设于现场网部分，管理机处于管理网中，主要负责管理网络。

图2是实施例提供的单向安全检测与多因子加权评估系统的结构示意图。如图2所示，包括指标评估体系构建模块、设置于工业控制终端设备的工控安全数据采集模块和安全单向通信模块、设置于工控交换机的安全数据单向通信硬件、设置于安全评估平台的多因子加权评估模块。

其中，指标评估体系构建模块用于构建终端设备的风险评估指标体系，包括风险评估指标，以及指标之间的相关性。如图3所示，实施例构建的工业控制终端设备风险评估指标体系包括目标层，准则层，指标层。其中，目标层是工控系统的安全评估结果；准则层包括硬件安全和软件安全，软件安全又分为行为安全和状态安全，行为安全分为进程安全和用户登录安全，状态安全分为系统配置安全、工控数据安全和用户状态安全；指标层包括CPU、内存、磁盘、电源、外设、IO模块、工控进程、除工控进程外的其他进程、用户登录、系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用、工控编程文件、工控系统文件、用户列表。指标层与准则层的对应关系为：CPU、内存、磁盘、电源、外设、IO模块之上的准则层为硬件安全；指标工控进程和其他进程之上的准则层为进程安全；指标用户登录之上的准则层为用户登录安全；指标系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用之上的准则层为系统配置安全；指标工控编程文件、工控系统文件之上的准则层为工控数据安全；用户列表之上的准则层为用户状态安全。

工控安全数据采集模块用于根据风险评估指标体系中的风险评估指标采用指标数据。具体地，构建的风险评估指标体系中包含18项指标，则根据图3所示，从上到下顺序，分别设为X₁～X₁₈，即CPU、内存、磁盘、电源、外设、IO模块、工控进程、其他进程、用户登录、系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用、工控编程文件、工控系统文件、用户列表。工控安全数据采集模块分别采集上述指标数据并保存。工控安全数据采集模块可采用任意工控终端设备数据采集方式实现，仅要求采集模块只读取工控设备安全数据，不干扰设备运行，即不进行数据拦截、写操作。

安全单向通信模块用于实现与安全数据单向通信硬件的单向通信以实现安全单向检测，通过二层数据的地址修改和二层数据的校验重构后，将采集的指标数据包装后单向传输至安全数据单向通信硬件。此处的单向通信是指现场网可以向管理网发送数据，但管理网不可向现场网发送数据，从而避免管理网向现场网发起攻击。

安全单向通信模块中，发送的检测数据包含终端设备的ip地址s_ip(源ip地址)和mac地址s_mac(源mac地址)，安全评估平台的ip地址d_ip(目的ip地址)和mac地址d_mac(目的mac地址)，二层数据的地址修改的目的就是将安全评估平台的mac地址d_mac重构为全f，即d_mac＝{f_t,t＝1,2,3,…,T，T表示d_mac的位数}，当T取16时，则重构的d_mac为16位的f，基于该重构的d_mac，安全评估平台能够顾跨网段接收数据。

安全单向通信模块中，为了将现场网中的数据借助转发硬件传给处于管理网之外的安全评估平台，需要对二层数据进行修改和校验重构。其中，二层数据的校验重构包括：二层数据结构为：前导PR(8字节)、目的地址DA(6字节)、源地址SA(6字节)、类型TY(2字节)、数据DT(ip数据包)、帧校验序列FCS；在校验和重构时，用G表示r+1比特的生成多项式，则FCS为r比特的0，数据段D为二层数据结构中FCS之前的部分，则用D连接原FCS₀除以G得到的余数作为新FCS′，即FCS′＝(D+FCS₀)％G。通过对二层数据进行修改和校验重构，目的mac地址修改为全f后，数据将广播给安全检测评估网，位于管理网之外的安全评估平台可以收到来自现场网中的数据，并对其进行下一步的检测操作。由于转发硬件过滤发送给现场网的数据，仅转发从现场网向外发送的数据，保证了现场网中工控设备的安全。

安全数据单向通信硬件过滤外网数据，仅转发工控终端设备ip/mac对外数据。这样，内网的数据可以传到外网进行评估，外网则不能通过向内网发送数据进行攻击。为了实现对外网数据的过滤，通过构建以下过滤规则：

if s_ip∈S_ip:data(1,2,3,…,n→X)

其中，为s_ip为源ip地址，S_ip为终端设备1～n的ip地址集合，data(1,2,3,…,n→X)表示单向安全检测硬件允许数据从终端设备的端口1,2,3,…,n转发到安全评估平台的端口X。

通过安全数据单向通信硬件过滤保证数据只能从现场网流向安全检测评估网，安全检测评估网数据无法传入现场网，保证了检测过程的安全。

如图2所示，采集的数据通过单向通信的方式转发给多因子加权评估模块进行后续评分。首先进行基础评分，即将每类指标数据归类为离散数据或连续数据。

针对离散数据采用白名单对比评分，即将指标数据与对应白名单中数据的名称、路径或哈希值进行对比，记缺少项为A_i个，多出项为B_i个，名称路径相同但哈希值不同的项为C_i个，则指标i的评分S_i为：

S_i＝max(100-A_i*a_i-B_i*b_i-C_i*c_i,0)

其中，a_i为缺少项的扣分，b_i为多出项的扣分，c_i为不匹配项的扣分，设定最低得分为0，其中A_i,B_i,C_i≥0；a_i,b_i,c_i≥0。

针对实施例构建的指标体系，白名单对比评分适用于：外设、IO模块、工控进程、其他进程、用户登录、系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用、工控编程文件、工控系统文件、用户列表，即X₅～X₁₈。例如，在计算其他应用X₁₃得分时，通过对比白名单发现缺少2个应用，多出1个应用，有2个应用的哈希值不匹配，取a₁₃＝2,b₁₃＝3,c₁₃＝5，有S₁₃＝max(100-2*2-1*3-2*5,0)＝83。

针对连续数据采用基准评分，即设定指标数据的数值P_i的基准范围{L_i，T_i}，当P_i处于范基准围{L_i，T_i}内，则评分S_i为满分，否则，评分按照每增加1％,评分相应减少Y_i，设定最低得分为0，具体公式为：

S_i＝100， L_i≤P_i≤T_i

S_i＝max(100-|T_i-P_i|*Y_i,0)， P_i>T_i

S_i＝max(100-|L_i-P_i|*Y_i,0)， P_i<L_i。

针对实施例构建的指标体系，基准评分适用于：CPU、内存、磁盘、电源，即X₁～X₄。例如本例对CPU即X₁的评分中，得到P₁＝24％,取L₁＝0％，T₁＝10％,Y₁＝200，则S₁＝max(100-|10％-24％|*200,0)＝72。

在工控系统中，时效性强的数据是指一些需要定期进行更新的数据项。例如，对于系统补丁数据，补丁超过窗口时间后仍不更新将无法保证系统安全。因此，此类数据的评分应该在超过窗口时间之后衰减。针对这些数据时效性较强的数据，一段时间内未更新可能降低系统安全性，因此对其进行衰减评估，防止时效性强的检测数据长期未更新降低评估准确性。多因子加权评估模块中，结合时效因子加权评估过程包括：

定义时间窗口期为tw，上一次数据发生变动的时间为t0，对应的评分为S_t0，当前时间为t，临界值为P，当前时刻t取得的评分为S_i，m为衰减系数，通过调整m的大小控制衰减程度，通过以下公式计算指标i的评分S_i：

针对实施例构建的指标体系，时效因子加权评估方法适用于系统补丁、需要定期升级的工控服务、工控应用等。在本例中，以系统补丁X₁₁为例，设置tw＝10天，P＝70，m＝1，S_t0＝85，t-t0＝12天，则S₁₁＝70+(85-70)*e^-(12-10)*1＝72。

在安全系统中，某些数据的安全状态可能会和前一刻这些数据的安全状态有关，比如在网络安全中，在前一刻遭受攻击的系统在接下来的一段时间内更可能受到攻击。这类数据的评分和时间关联，即这类数据的评分应取决于当前系统对它们的评分和最近一段时间内系统对它们的评分，即通过对当前评分与历史评分加权的方式进行评估，达到综合评估的效果。多因子加权评估模块中，采用以下定义的检测时间因子评估方式进行加权评估：

其中，S_i表示指标i的评分，S_ij表示前j-1次的评分，n代表包括当前系统评分的前n次评分，j代表前j-1次，δ_ij代表第j-1次评分在系统中的占比，即第j-1次评分的系数。若当前只有m次评分，m<n，此时取n＝m；

其中，表示越接近当前评分的时间，第j-1次评分所所占比越重。

针对实施例构建的指标体系，检测时间因子加权评估方法适用于X₁～X₁₈。在本例中，系统服务，即X₁₀，采用了检测时间因子加权评估方法，取n＝4,δ_i1、δ_i2、δ_i3、δ_i4取值分别为2/5、3/10、1/5、1/10，s_10,1,s_10,2,s_10,3,s_10,4分别为80，76，78，83，则有S₁₀＝80*2/5+76*3/10+78*1/5+83*1/10＝81。

评估对象的重要性根据应用场景安全需求不同会有不同。通过综合工控行业专家权重及应用场景特有的用户权重融合得到适应不同应用场景的加权矩阵，并基于融合矩阵进行工业控制终端设备安全评估，达到兼顾专业权重和用户权重的效果。即多因子加权评估模块中，还要结合用户安全需求因子和指标之间的相关性加权评估过程包括：

根据专家指定每项指标的相对重要关系得到专家权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的专家权重矩阵认为合理；根据用户指定每项指标的相对重要关系得到用户权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的用户权重矩阵认为合理；对合理的专家权重矩阵和合理的用户权重矩阵进行融合，得到融合权重矩阵，根据融合权重矩阵对各指标评分进行加权求和以得到终端设备的安全评分结果。优选地，各指标评分为通过基础评分、结合时效因子、检测时间因子中的至少一种方式得到的指标评分。

具体而言，根据专家制定的指标相对重要关系，借助表1比较指标X₁、X₂、…、X_n，得到专家权重矩阵

表1因素比较的判断

W	含义
		1	表示两个元素相比，具有同样的重要性
3	表示两个元素相比，一个元素比另一个元素稍微重要
		5	表示两个元素相比，一个元素比另一个元素明显重要
…	重要性依次递增
		2n+1	表示两个元素相比，一个元素比另一个元素极端重要
2、4、…、2n	上述两相邻判断的中值
		倒数	因素i与j比较的判断Aij，则因素j与i比较的判断Aji＝1/Aij

以专家制定的典型工控应用环境中的指标相对重要关系为例，设专家设置的X₁-X₁₈的相对重要关系为：

X6<X5<X4<X3<X11<X18<X13<X12<X8<X10<X16<X17<X7＝X14＝X15<X2<X1<X9，根据表1，得到的专家权重矩阵A的结果是：

在获得专家权重矩阵A的基础上，对专家判断矩阵进行列向量归一化，得：

在实例中，列向量归一化，得到：

行求和归一化，得到：

在实例中，有：

归一化后进行专家权重矩阵一致性验证，首先计算最大特征值λ：

在实例中，有：

当CR＝CI/RI≤0.1时通过一致性验证，其中n为向量ω的阶，RI的取值查表2可得。

表2一致性检验RI值

在实例中，n＝18，查表可知RI＝1.6133，一致性验证通过，即构造的专家判断权重矩阵A中各项权重协调，专家判断权重矩阵A较为合理。

针对用户权重矩阵，用户权重判断由用户输入，按照与用户权重矩阵相同的步骤，依次构建用户权重矩阵、层次单排序、计算最大特征值、一致性验证即可得用户权重判断的归一化结果，实例计算过程与以上实例演示类似，只是初始判断矩阵不同。

具体地，专家权重矩阵和用户权重矩阵分别为A_e、A_u，设用户安全需求因子加权后的融合矩阵为A_c，在A_c中的每一项都等于A_e中对应位置项乘以权重与A_u中对应位置项乘以权重β之和，即：

A_c＝α*A_e+β*A_u

其中，A_c为融合权重矩阵，α、β为系数，α+β＝1，α>0，A_c为专家权重矩阵，β>0,A_u为用户权重矩阵。

在终端设备安全评估时，计算终端设备的各项评分，计算方式为图3所示所有底层节点的评分乘以与它相连的边的权值之和得到上层节点的评分，一层一层的自下而上计算即可得到系统的评分。S_i*W_i为各类数据中的单项得分和单项权重的乘积。得到最终安全评分为：

最终得分P介于0～100。当安全评分P>＝85时，系统状态为安全；70<＝P<85时，系统安全性较差；P<70时，系统存在巨大安全隐患，需要及时修复。

仍然以图3实例举例，对处于不同安全状态下的工控设备分别进行3次检测，专家权重序列为X₆<X₅<X₁₁<X₁₃<X₈<X₁₂<X₁₀<X₁₈<X₃<X₂<X₁<X₁₇＝X₁₆<X₁₄<X₁₅<X₇<X₉<X₄，用户输入的权重序列为：X₆<X₅<X₁₃<X₈<X₁₁<X₁₂<X₁₈<X₁₀<X₃<X₂<X₁<X₁₇<X₁₆<X₁₄<X₁₅<X₇<X₉<X₄。其它参数和步骤如上所述，得到如下结果：

状态1：电源断电3次、工控进程5项缺失和3项不匹配、存在非法用户登录和CPU占用为87％。检测结果：最终得分P＝63,指示系统被严重篡改，性能消耗过大，存在巨大安全隐患，需要修复，符合状态1实际情况。

状态2：其他应用比白名单中多出一项，为用户新安装的正常应用，CPU占用率60％。检测结果：最终得分P＝82,指示系统有一些可疑的问题，需要关注，但对工控影响不大。

状态3：CPU占用率30％。检测结果：最终得分P＝97，系统正常业务时，CPU占用率会有一定波动，检测结果中波动较小，对系统影响不大。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，包括指标评估体系构建模块、设置于工业控制终端设备的工控安全数据采集模块和安全单向通信模块、设置于工控交换机的安全数据单向通信硬件、设置于安全评估平台的多因子加权评估模块；

所述指标评估体系构建模块用于构建终端设备的风险评估指标体系，包括风险评估指标，以及指标之间的相关性；

所述工控安全数据采集模块用于根据风险评估指标体系中的风险评估指标采用指标数据；

所述安全单向通信模块用于实现与安全数据单向通信硬件的单向通信，通过二层数据的地址修改和二层数据的校验重构后，将采集的指标数据包装后单向传输至安全数据单向通信硬件；

所述安全数据单向通信硬件用于对接收的数据包进行外网数据过滤后，转发终端设备的指标数据包至多因子加权评估模块；

所述多因子加权评估模块用于对每类指标数据进行评分后，结合时效因子、检测时间因子、用户安全需求因子以及指标之间的相关性综合加权评估每个终端设备的安全评分，依据安全评分确定终端设备的安全性。

2.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述风险评估指标体系包括目标层，准则层，指标层，其中，目标层是工控系统的安全评估结果；准则层包括硬件安全和软件安全，软件安全又分为行为安全和状态安全，行为安全分为进程安全和用户登录安全，状态安全分为系统配置安全、工控数据安全和用户状态安全；指标层包括CPU、内存、磁盘、电源、外设、IO模块、工控进程、除工控进程外的其他进程、用户登录、系统服务、系统补丁、其他服务、其他应用、工控服务、工控应用、工控编程文件、工控系统文件、用户列表，其中，CPU、内存、磁盘、电源、外设以及IO模块对应于硬件安全，工控进程和除工控进程外的其他进程对应进程安全，用户登录对应用户登录安全，系统服务、系统补丁、工控服务、工控应用、除工控服务外的其他服务以及除工控应用外的其他应用对应系统配置安全，工控编程文件和工控系统文件对应工控数据安全，用户列表对应用户状态安全。

3.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述安全单向通信模块中，二层数据的地址修改包括：对于包含终端设备的ip地址s_ip和mac地址s_mac，安全评估平台的ip地址d_ip和mac地址d_mac的数据包，将目的地安全评估平台的mac地址d_mac重构为全f，即d_mac＝{f_t,t＝1,2,3,…,T，T表示d_mac的位数}，基于该重构的d_mac，安全评估平台能够顾跨网段接收数据。

4.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述安全单向通信模块中，二层数据的校验重构包括：二层数据结构为：前导PR、目的地址DA、源地址SA、类型TY、数据DT、帧校验序列FCS；在校验和重构时，用G表示r+1比特的生成多项式，则FCS为r比特的0，数据段D为二层数据结构中FCS之前的部分，则用D连接原FCS₀除以G得到的余数作为新FCS′，即FCS′＝(D+FCS₀)％G。

5.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述安全数据单向通信硬件中，通过构建以下过滤规则实现外网数据的过滤：

if s_ip∈S_ip:data(1,2,3,…,n→X)

其中，为s_ip为源ip地址，S_ip为终端设备1～n的ip地址集合，data(1,2,3,…,n→X)表示单向安全检测硬件允许数据从终端设备的端口1,2,3,…,n转发到安全评估平台的端口X。

6.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述多因子加权评估模块中，将每类指标数据归类为离散数据或连续数据；

针对离散数据采用白名单对比评分，即将指标数据与对应白名单中数据的名称、路径或哈希值进行对比，记缺少项为A_i个，多出项为B_i个，名称路径相同但哈希值不同的项为C_i个，则指标i的评分S_i为：

S_i＝max(100-A_i*a_i-B_i*b_i-C_i*c_i,0)

其中，a_i为缺少项的扣分，b_i为多出项的扣分，c_i为不匹配项的扣分，设定最低得分为0，其中A_i,B_i,C_i≥0；a_i,b_i,c_i≥0；

针对连续数据采用基准评分，即设定指标数据的数值P_i的基准范围{L_i，T_i}，当P_i处于范基准围{L_i，T_i}内，则评分S_i为满分，否则，评分按照每增加1％,评分相应减少Y_i，设定最低得分为0，具体公式为：

S_i＝100，L_i≤P_i≤T_i

S_i＝max(100-|T_i-P_i|*Y_i,0)，P_i>T_i

S_i＝max(100-|L_i-P_i|*Y_i,0)，P_i<L_i。

7.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述多因子加权评估模块中，结合时效因子加权评估过程包括：

定义时间窗口期为tw，上一次数据发生变动的时间为t0，对应的评分为S_t0，当前时间为t，临界值为P，当前时刻t取得的评分为S_i，m为衰减系数，通过调整m的大小控制衰减程度，通过以下公式计算指标i的评分S_i：

8.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述多因子加权评估模块中，采用以下定义的检测时间因子评估方式进行加权评估：

其中，S_i表示指标i的评分，S_ij表示前j-1次的评分，n代表包括当前系统评分的前n次评分，j代表前j-1次，δ_ij代表第j-1次评分在系统中的占比，即第j-1次评分的系数，若当前只有m次评分，m<n，此时取n＝m；

其中，δ_ij>δ_ik，j<k，表示越接近当前评分的时间，第j-1次评分所所占比越重。

9.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述多因子加权评估模块中，结合用户安全需求因子和指标之间的相关性加权评估过程包括：

根据专家指定每项指标的相对重要关系得到专家权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的专家权重矩阵认为合理；

根据用户指定每项指标的相对重要关系得到用户权重矩阵，并对专家权重矩阵进行归一化和一致性验证，通过一致性验证的用户权重矩阵认为合理；

对合理的专家权重矩阵和合理的用户权重矩阵进行融合，得到融合权重矩阵，根据融合权重矩阵对各指标评分进行加权求和以得到终端设备的安全评分结果；

优选地，各指标评分为通过结合时效因子、检测时间因子中的至少一种方式得到的指标评分；

优选地，采用以下公式对合理的专家权重矩阵和合理的用户权重矩阵进行融合：

A_c＝α*A_e+β*A_u

其中，A_c为融合权重矩阵，α、β为系数，α+β＝1，α>0，A_c为专家权重矩阵，β>0,A_u为用户权重矩阵。

10.根据权利要求1所述的面向工业控制终端设备的单向安全检测与多因子加权评估系统，其特征在于，所述依据安全评分确定终端设备的安全性，包括：

当安全评分P>＝85时，系统状态为安全；70<＝P<85时，系统安全性较差；P<70时，系统存在巨大安全隐患，需要及时修复。