CN116016198A - 一种工控网络拓扑安全评估方法、装置及计算机设备 - Google Patents

一种工控网络拓扑安全评估方法、装置及计算机设备 Download PDF

Info

Publication number
CN116016198A
CN116016198A CN202211678454.5A CN202211678454A CN116016198A CN 116016198 A CN116016198 A CN 116016198A CN 202211678454 A CN202211678454 A CN 202211678454A CN 116016198 A CN116016198 A CN 116016198A
Authority
CN
China
Prior art keywords
industrial control
control network
network topology
topology
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211678454.5A
Other languages
English (en)
Other versions
CN116016198B (zh
Inventor
霍朝宾
贺敏超
杨继
柯皓仁
王晔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
6th Research Institute of China Electronics Corp
Original Assignee
6th Research Institute of China Electronics Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 6th Research Institute of China Electronics Corp filed Critical 6th Research Institute of China Electronics Corp
Priority to CN202211678454.5A priority Critical patent/CN116016198B/zh
Publication of CN116016198A publication Critical patent/CN116016198A/zh
Application granted granted Critical
Publication of CN116016198B publication Critical patent/CN116016198B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种工控网络拓扑安全评估方法、装置及计算机设备,包括:首先对获取的第一工控网络拓扑进行第一本地安全性评估,得到第一安全评估反馈信息;进而根据第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一仿真反馈信息;再得到预设安全环境下修复经过的第二工控网络拓扑;然后对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;最终根据安全评估反馈信息和仿真反馈信息实现对第一工控网络拓的风险评估,如此设计,相较于现有技术中仅利用单一防护手段,通过多个验证方式交叉使用,提高了工控网络的安全性。

Description

一种工控网络拓扑安全评估方法、装置及计算机设备
技术领域
本发明涉及工业控制网络安全领域,具体而言,涉及一种工控网络拓扑安全评估方法、装置及计算机设备。
背景技术
现有技术中,随着工业化的高度发展,需要使用工控网络实现对数量庞大的工控设备进行控制。而随着设备数量的增加,伴随而来的风险以随之增加,由于任意工控设备均可能接入了整个工控网络中的某一个网络拓扑或者几个网络拓扑,而该拓扑中的其他工控设备又会涉及其他网络拓扑,这导致了一旦某个网络拓扑收到攻击,攻击者可能就能够对整个工控网络造成影响。
发明内容
本发明的目的在于提供一种工控网络拓扑安全评估方法、装置及计算机设备。
第一方面,本发明实施例提供一种工控网络拓扑安全评估方法,所述方法包括:
获取第一工控网络拓扑;
对所述第一工控网络拓扑进行第一本地安全性评估,得到所述第一工控网络拓扑对应的第一安全评估反馈信息;
根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息;
基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑;
对所述第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;
当所述第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、所述第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定所述第一工控网络拓扑为风险工控网络拓扑。
第二方面,本发明实施例提供一种工控网络拓扑安全评估装置,所述装置包括:
获取模块,用于获取第一工控网络拓扑;
测试模块,用于对所述第一工控网络拓扑进行第一本地安全性评估,得到所述第一工控网络拓扑对应的第一安全评估反馈信息;根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息;基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑;对所述第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;
评估模块,用于当所述第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、所述第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定所述第一工控网络拓扑为风险工控网络拓扑。
第三方面,本发明实施例提供一种计算机设备,所述计算机设备包括处理器及存储有计算机指令的非易失性存储器,所述计算机指令被所述处理器执行时,所述计算机设备执行第一方面所述的工控网络拓扑安全评估方法。
相比现有技术,本发明提供的有益效果包括:采用本发明公开了一种工控网络拓扑安全评估方法、装置及计算机设备,通过对获取的第一工控网络拓扑进行第一本地安全性评估,得到第一安全评估反馈信息;进而根据第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一仿真反馈信息;再得到预设安全环境下修复经过的第二工控网络拓扑;然后对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;最终根据安全评估反馈信息和仿真反馈信息实现对第一工控网络拓的风险评估,如此设计,相较于现有技术中仅利用单一防护手段,通过多个验证方式交叉使用,提高了工控网络的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的工控网络拓扑安全评估方法的步骤流程示意图;
图2为本发明实施例提供的工控网络拓扑安全评估装置的结构示意框图;
图3为本发明实施例提供的计算机设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在本发明实施例中,可以由服务器在工控网络获取第一工控网络拓扑,服务器对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑,对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定第一工控网络拓扑为风险工控网络拓扑。
终端在工控网络获取第一工控网络拓扑,终端对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑,对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定第一工控网络拓扑为风险工控网络拓扑。当确定第一工控网络拓扑存在安全风险时,终端可以生成包含第一工控网络拓扑对应的拓扑序号的风险提示,并展示。
服务器从终端获取第一工控网络拓扑,服务器对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑,对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定第一工控网络拓扑为风险工控网络拓扑。当确定第一工控网络拓扑存在安全风险时,服务器可以生成包含第一工控网络拓扑对应的拓扑序号的风险提示发送至终端,终端将风险提示进行展示。
在一个实施例中,如图1所示,提供了一种工控网络拓扑安全评估方法的步骤流程示意图,以该方法应用于计算机设备为例进行说明,计算机设备可以是上述中的终端或服务器。参考图1,工控网络拓扑安全评估方法包括以下步骤:
步骤S202,获取第一工控网络拓扑。
其中,工控网络拓扑是指在工控网络中,由多个工控设备按照一定规则组成的网络拓扑结构。第一工控网络拓扑是指待检测是否为风险工控网络拓扑的网络拓扑。
在一个实施例中,计算机设备可以自行执行获取第一工控网络拓扑,对第一工控网络拓扑进行风险评估。例如,计算机设备可以每隔预置周期自行执行对当前为了执行对应任务构建的工控网络拓扑的风险评估。或者,计算机设备每接收到产生新的工控网络拓扑的指令时,自行执行对该工控网拓扑的风险评估。
在一个实施例中,计算机设备可以是响应于风险评估指示触发对工控网络拓扑的风险评估。例如,用户在计算机设备上防火墙界面中触发生成风险评估指示,计算机设备根据该风险评估指示对当前为了执行对应任务构建的工控网络拓扑进行风险评估,识别出工控网络的风险工控网络拓扑。计算机设备也可以接收其他设备发送过来的风险评估指示,根据该风险评估指示对当前为了执行对应任务构建的工控网络拓扑进行风险评估。
步骤S204,对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息。
其中,本地安全评估是指在不对第一工控网络拓扑进行任何操作的前提下,通过分析第一工控网络拓扑的现有安全指标,来确定第一工控网络拓扑潜在的风险。第一本地安全性评估是指针对第一工控网络拓扑的首次本地安全评估。
具体地,由于本地安全评估的检测速度快且适用于任意网络拓扑结构,所以计算机设备在获取到第一工控网络拓扑后,可以优先对第一工控网络拓扑进行第一本地安全性评估,对第一工控网络拓扑的节点信息进行初始安全分析,判断第一工控网络拓扑中是否存在异常节点信息,从而得到第一工控网络拓扑对应的第一安全评估反馈信息。
在一个实施例中,可以通过网络参量比对的方式进行安全评估。具体可以是从第一工控网络拓扑中提取网络参量,将提取到的网络参量和预设风险数据库中的网络参量进行比对,一旦比对成功,则表明第一工控网络拓扑存在安全风险。其中,在进行网络参量比对时,可以直接将第一工控网络拓扑对应的网络参量和预设风险数据库中的网络参量比对,也可以对第一工控网络拓扑对应的网络参量进行统计,将统计结果和预设风险数据库中的网络参量比对。例如,从第一工控网络拓扑中提取流量特征,可以将提取到的流量特征和预设风险数据库中的风险工控网络拓扑流量特征进行比对,也可以对提取到的流量特征进行信息摘要计算,将计算结果和预设风险数据库中的风险工控网络拓扑信息摘要进行比对。
在一个实施例中,可以通过机器学习模型进行安全评估。可以是将预设无风险的工控网络拓扑作为正工控网络拓扑样本和预设存在安全风险的工控网络拓扑作为负工控网络拓扑样本,将正工控网络拓扑样本和负工控网络拓扑样本作为训练工控网络拓扑,将训练工控网络拓扑输入待训练的工控网络拓扑检测模型,将训练工控网络拓扑对应的标签作为工控网络拓扑检测模型的预期输出,对工控网络拓扑检测模型进行有监督训练,得到已训练的工控网络拓扑检测模型。计算机设备可以将第一工控网络拓扑输入已训练的工控网络拓扑检测模型,工控网络拓扑检测模型输出第一工控网络拓扑对应的第一安全评估反馈信息。可以理解,可以针对不同的工控场景训练不同的工控网络拓扑检测模型,提高不同工控场景对应的工控网络拓扑的检测准确性。
步骤S206,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息。
其中,网络攻击仿真操作是指在不对第一工控网络拓扑进行任何操作的前提下,通过模拟攻击并解析对工控网络拓扑分析,来寻找工控网络拓扑中的意外风险关联关系。第一网络攻击仿真操作是指针对第一工控网络拓扑的首次网络攻击仿真操作。
具体地,在得到第一安全评估反馈信息后,计算机设备可以根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息。计算机设备可以是当第一安全评估反馈信息为表征工控拓扑无风险时,才对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息。当第一安全评估反馈信息表征拓扑存在风险时,计算机设备可以迅速确定第一工控网络拓扑为风险工控网络拓扑,不再修复操作。计算机设备也可以是当第一安全评估反馈信息表征拓扑存在风险时,继续对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息。可以理解,第一本地安全性评估和第一网络攻击仿真操作是不同的检测处理,可以检测出工控网络拓扑中不同的异常问题,因此,在已知第一工控网络拓扑为风险工控网络拓扑时,继续对第一工控网络拓扑进行后续检测处理可以最大限度地查找出第一工控网络拓扑中所存在安全风险信息,全方位挖掘第一工控网络拓扑的风险信息,进而有助于相关人员进行数据分析和加强防护。
在一个实施例中,在进行第一网络攻击仿真操作时,计算机设备可以对第一工控网络拓扑的节点信息进行模拟攻击并解析,生成第一工控网络拓扑对应的攻击反馈图结构,攻击反馈图结构上的每个节点都表示节点信息中的一种结构。计算机设备根据攻击反馈图结构上节点的属性和风险综合节点、风险设备节点的特性,可以从中确定风险综合参考实体和风险设备参考实体,对节点与节点之间的操作关系进行分析,判断是否存在从风险综合节点到风险设备节点的意外风险关联关系,当存在意外风险关联关系并且意外风险关联关系满足预设条件时,计算机设备可以确定第一仿真反馈信息为第一工控网络拓扑存在安全风险。进一步的,第一仿真反馈信息还可以包括第一工控网络拓扑对应的第一攻击反馈图结构,从而后续在基于预设安全环境下修复第一工控网络拓扑时,可以直接基于预设安全环境下修复第一攻击反馈图结构,从而简化检测步骤,提高检测效率。
步骤S208,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑。
其中,预设安全环境是用于对第一工控网络拓扑进行模拟修复测试,从而对经过风险隐藏的工控网络拓扑进行深度分析。预设安全环境中集成了预置虚拟漏洞修复策略,通过预置虚拟漏洞修复策略可以对第一工控网络拓扑进行模拟修复测试,检测工控网络拓扑是否能够直接完成漏洞修复,从而识别出风险隐藏型工控网络拓扑,并且,当第一工控网络拓扑为经过风险隐藏的工控网络拓扑时,还可以对第一工控网络拓扑进行深度漏洞挖掘,输出深度漏洞挖掘后的第一工控网络拓扑。第二工控网络拓扑为深度漏洞挖掘后的第一工控网络拓扑。
具体地,若工控网络拓扑是风险隐藏型风险工控网络拓扑时,能被网络攻击方隐藏,通过第一本地安全性评估和第一网络攻击仿真操作是无法轻易识别出风险隐藏型风险工控网络拓扑。因此,当第一本地安全性评估和第一网络攻击仿真操作均未检测出异常时,计算机设备可以进一步在预设安全环境下修复第一工控网络拓扑,根据是否能够自行修复成功,来判断第一工控网络拓扑是否经过风险隐藏,并对隐藏的第一工控网络拓扑进行深度漏洞挖掘还原,得到第一工控网络拓扑对应的第二工控网络拓扑。计算机设备再对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,从而最终判断第一工控网络拓扑是否为风险工控网络拓扑。当然,当基于第一本地安全性评估和第一网络攻击仿真操作检测出第一工控网络拓扑存在安全风险时,计算机设备也可以在预设安全环境下修复第一工控网络拓扑,得到第一工控网络拓扑对应的第二工控网络拓扑,再进一步对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,查找出第一工控网络拓扑中更多的风险信息。
在一个实施例中,预设安全环境还可以集成有预置知识图谱构建算法,因此基于预置虚拟漏洞修复策略修复第一工控网络拓扑输出第一工控网络拓扑对应的第二工控网络拓扑后,还可以进一步输出第二工控网络拓扑对应的第二攻击反馈图结构,从而后续在对第二工控网络拓扑进行第二网络攻击仿真操作时,计算机设备可以直接对第二工控网络拓扑对应的第二攻击反馈图结构进行分析得到第二仿真反馈信息,从而可以提高检测效率。
步骤S210,对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息。
其中,第二本地安全性评估是指针对第一工控网络拓扑的二次本地安全评估,具体是对第一工控网络拓扑对应的第二工控网络拓扑的本地安全评估。第二网络攻击仿真操作是指针对第一工控网络拓扑的二次网络攻击仿真操作,具体是对第一工控网络拓扑对应的第二工控网络拓扑的网络攻击仿真操作。
具体地,在得到第二工控网络拓扑后,计算机设备可以对第二工控网络拓扑进行第二本地安全性评估得到第二工控网络拓扑对应的第二安全评估反馈信息,对第二工控网络拓扑进行第二网络攻击仿真操作得到第二仿真反馈信息。可以理解,若第一工控网络拓扑经过风险隐藏,直接对第一工控网络拓扑进行本地安全评估和网络攻击仿真操作是无法轻易识别出被隐藏起来的异常网络参量和意外风险关联关系。因此,在得到第一工控网络拓扑对应的第二工控网络拓扑后,计算机设备可以进一步对第一工控网络拓扑对应的第二工控网络拓扑进行第二本地安全性评估以及第二网络攻击仿真操作,基于第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息最终确定第一工控网络拓扑是否为风险工控网络拓扑。
步骤S212,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定第一工控网络拓扑为风险工控网络拓扑。
具体地,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,计算机设备可以确定第一工控网络拓扑为风险工控网络拓扑。若第一工控网络拓扑存在安全风险,计算机设备可以及时生成风险提示来提醒相关人员该表征工控拓扑存在风险,及时进行防护。
在一个实施例中,计算机设备可以按照第一本地安全性评估、第一网络攻击仿真操作、漏洞修复、第二本地安全性评估、第二网络攻击仿真操作的顺序对第一工控网络拓扑进行风险评估。一旦首次出现反馈信息表征拓扑存在风险时,计算机设备可以停止后续处理,直接确定第一工控网络拓扑为风险工控网络拓扑,从而节约计算机资源。并且,第一本地安全性评估和第一网络攻击仿真操作都是对节点信息进行初始安全分析,而在预设安全环境下修复工控网络拓扑是对工控网络拓扑的节点信息进行模拟修复测试,模拟修复测试的资源消耗会大于初始安全分析。因此,优先对第一工控网络拓扑进行第一本地安全性评估、第一网络攻击仿真操作,当第一安全评估反馈信息和第一仿真反馈信息为表征工控拓扑无风险时,再基于预置虚拟漏洞修复策略修复第一工控网络拓扑并进行第二本地安全性评估、第二网络攻击仿真操作,这样不仅可以减少计算机资源消耗,还可以提高风险工控网络拓扑的检测效率。
在一个实施例中,计算机设备可以按照第一本地安全性评估、第一网络攻击仿真操作、漏洞修复、第二本地安全性评估、第二网络攻击仿真操作的顺序对第一工控网络拓扑进行全套的风险评估。由于本地安全评估和网络攻击仿真操作是不同的检测处理,可以检测出工控网络拓扑中不同的异常问题,第一本地安全性评估和第一网络攻击仿真操作是针对第一工控网络拓扑,第二本地安全性评估和第二网络攻击仿真操作是针对第一工控网络拓扑对应的第二工控网络拓扑,因此进行全套的风险评估可以全方位检测出第一工控网络拓扑中多种风险信息,例如,不仅检测出风险隐藏工控网络拓扑中的异常网络参量和异常意外风险关联关系,还检测出第二工控网络拓扑中的异常网络参量和异常意外风险关联关系。计算机设备可以将第一工控网络拓扑对应的所存在安全风险信息发送至相关人员对应的终端或在工控网络展示第一工控网络拓扑对应的所存在安全风险信息,风险信息可以辅助正常用户进行数据防护,抵御非法攻击者攻击。计算机设备也可以根据第一工控网络拓扑对应的风险信息的数量生成第一工控网络拓扑对应的风险系数,基于第一工控网络拓扑的风险系数对第一工控网络拓扑进行展示。例如,当第一工控网络拓扑对应的风险系数越高,第一工控网络拓扑的展示位置越靠前,并同时展示第一工控网络拓扑对应的风险系数。可以理解,第一工控网络拓扑对应的风险信息的数量越多,第一工控网络拓扑对应的风险系数越高。
上述工控网络拓扑安全评估方法中,通过获取第一工控网络拓扑,对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑,对第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息,当第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定第一工控网络拓扑为风险工控网络拓扑。这样,先对第一工控网络拓扑进行资源消耗较少的第一本地安全性评估和第一网络攻击仿真操作,可以快速得到初步反馈信息,基于初步反馈信息可以快速直观确定第一工控网络拓扑是否为风险工控网络拓扑,再进一步基于预设安全环境下修复第一工控网络拓扑,对第一工控网络拓扑进行深度漏洞挖掘,得到第二工控网络拓扑,最后再对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,得到目标反馈信息,基于目标反馈信息可以确定经过风险隐藏的第一工控网络拓扑是否为风险工控网络拓扑,通过安全评估、网络攻击仿真操作、工控网络拓扑修复的配合,可以扩大检测范围,从而提高风险工控网络拓扑的检测准确性。
在一个实施例中,测试工控网络拓扑为第一工控网络拓扑或第二工控网络拓扑,对测试工控网络拓扑进行测试本地安全性评估,得到测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息,包括:
步骤S302,从测试工控网络拓扑中提取网络参量,得到至少一个候选验证网络参量。
具体地,以测试工控网络拓扑为例说明本地安全评估过程,测试工控网络拓扑可以是第一工控网络拓扑,也可以是第二工控网络拓扑,本地安全评估主要是针对工控网络拓扑在节点信息层级上的比对检测。若测试工控网络拓扑为第一工控网络拓扑,则是对测试工控网络拓扑进行初始安全评估,得到测试工控网络拓扑对应的第一安全评估反馈信息。若测试工控网络拓扑为第二工控网络拓扑,则是对测试工控网络拓扑进行进阶安全评估,得到测试工控网络拓扑对应的第二安全评估反馈信息。计算机设备可以对测试工控网络拓扑进行特征提取,从测试工控网络拓扑中提取网络参量,基于提取到的网络参量得到至少一个候选验证网络参量。计算机设备可以将工控网络拓扑中的一个工控网络流量作为一个候选验证网络参量,也可以基于工控网络拓扑中的各个安全指标和指标内容生成一个候选验证网络参量。计算机设备也可以基于分割标识符对工控网络拓扑进行切分,将切分得到的工控网络拓扑片段作为候选验证网络参量。
步骤S304,将各个候选验证网络参量和风险工控网络拓扑网络参量进行比对;风险工控网络拓扑网络参量包括风险工控网络拓扑流量特征和风险工控网络拓扑安全向量中的至少一种。
其中,风险工控网络拓扑网络参量是指风险工控网络拓扑的网络参量。风险工控网络拓扑网络参量是对大量的风险工控网络拓扑进行数据分析得到的。风险工控网络拓扑流量特征是指风险工控网络拓扑对应的流量特征类型的网络参量,即用流量特征描述的网络参量。风险工控网络拓扑安全向量是指风险工控网络拓扑对应的向量化数据类型的网络参量,是基于风险工控网络拓扑的特征向量化模型生成的向量化数据信息。
具体地,计算机设备上设置有预设风险数据库,预设风险数据库中存储有风险工控网络拓扑网络参量,风险工控网络拓扑网络参量包括流量特征、向量化数据等多种类型的异常网络参量,风险工控网络拓扑网络参量用于与测试工控网络拓扑进行相应的比对查询来鉴定测试工控网络拓扑是否为风险工控网络拓扑。风险工控网络拓扑网络参量是对大量的风险工控网络拓扑进行数据分析得到的,可以表征风险工控网络拓扑的普遍性特征。在进行本地安全评估时,计算机设备可以将各个候选验证网络参量分别和风险工控网络拓扑网络参量进行比对,一旦比对成功,就可以确定测试工控网络拓扑存在安全风险。
步骤S306,当至少一个候选验证网络参量比对成功时,确定测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息为表征工控拓扑存在风险。
具体地,当至少一个候选验证网络参量比对成功时,计算机设备可以确定测试工控网络拓扑包括异常的数据,测试工控网络拓扑存在安全风险。
在一个实施例中,计算机设备可以针对不同的工控场景建立不同的风险工控网络拓扑网络参量,即为不同工控网络拓扑作业类型的工控网络拓扑建立对应的风险工控网络拓扑网络参量。因此,计算机设备在进行网络参量比对时,可以先判断测试工控网络拓扑的工控网络拓扑作业类型,即测试工控网络拓扑中使用的目标工控场景,再获取该目标工控场景对应的目标风险工控网络拓扑网络参量,将测试工控网络拓扑对应的候选验证网络参量和目标风险工控网络拓扑网络参量进行比对,从而快速确定测试本地安全性评估测试安全评估反馈信息。
本实施例中,通过将测试工控网络拓扑的各个候选验证网络参量和风险工控网络拓扑网络参量进行比对能够快速得到测试本地安全性评估测试安全评估反馈信息,并且在比对的时候,支持流量网络参量比对、正则比对等多种比对规则,检测方式灵活高效。
在一个实施例中,风险工控网络拓扑安全向量的生成方法包括以下步骤:
获取多个风险工控网络拓扑;分别从各个风险工控网络拓扑中提取安全指标,得到各个风险工控网络拓扑对应的安全指标组,安全指标组包括多个安全指标和各个安全指标对应的指标内容;基于同一风险工控网络拓扑对应的安全指标组生成对应的风险安全向量,得到各个风险工控网络拓扑分别对应的风险安全向量;基于各个风险安全向量生成风险工控网络拓扑安全向量。
其中,安全指标是指工控网络拓扑节点信息中的能够反映该节点的安全信息的指标,例如预设安全等级、操作人员安全等级等。风险安全向量是指基于一个风险工控网络拓扑对应的安全指标生成的向量化数据。
具体地,针对工控网络拓扑存在的风险可以有传染性,计算机设备可以对大量风险工控网络拓扑的安全指标进行分析,提取出大量风险工控网络拓扑之间的共性信息,得到风险工控网络拓扑安全向量。计算机设备具体可以获取多个已知异常的风险工控网络拓扑,分别从各个风险工控网络拓扑中提取安全指标,得到各个风险工控网络拓扑对应的安全指标组。安全指标组中不仅包括多个安全指标,还包括各个安全指标分别对应的指标内容,基于安全指标和对应的指标内容可以确定工控流量的整体安全信息。计算机设备可以对一个风险工控网络拓扑对应的安全指标组进行信息摘要计算,生成该风险工控网络拓扑对应的风险安全向量,从而各个风险工控网络拓扑可以得到各自对应的风险安全向量。最后,计算机设备可以基于各个风险安全向量生成风险工控网络拓扑安全向量,例如,对各个风险安全向量进行统计分析,可以将重复次数较多的若干个风险安全向量作为风险工控网络拓扑安全向量,也可以将每个风险安全向量都作为风险工控网络拓扑安全向量。也可以对各个风险安全向量进行K-Means操作,从而对各个风险安全向量进行分组,得到至少一个中间安全向量,一个中间安全向量可以表征同一非法攻击者或同一非法攻击者群体对应的风险工控网络拓扑的风险安全向量,将各个中间安全向量分别作为风险工控网络拓扑安全向量。K-Means操作是用于对风险安全向量进行分组,使得不同的中间安全向量之间具有一定区分度。进一步的,计算机设备可以为不同的风险工控网络拓扑安全向量分配不同的风险类型标识,从而若测试工控网络拓扑对应的当前安全向量和某一风险工控网络拓扑安全向量比对成功,则测试本地安全性评估测试安全评估反馈信息还可以包括该风险工控网络拓扑安全向量对应的风险类型标识。
本实施例中,基于风险工控网络拓扑对应的安全指标组生成风险工控网络拓扑对应的风险安全向量,基于多个风险工控网络拓扑对应的风险安全向量生成风险工控网络拓扑安全向量,能够提高风险工控网络拓扑安全向量的可靠性。
在一个实施例中,根据第一工控网络拓扑对应的第一安全评估反馈信息对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,包括:
当第一安全评估反馈信息为表征工控拓扑无风险时,对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息。
具体地,为了减少计算机资源消耗,在对第一工控网络拓扑进行第一本地安全性评估,得到第一工控网络拓扑对应的第一安全评估反馈信息后,若第一安全评估反馈信息为表征工控拓扑无风险,计算机设备才会对第一工控网络拓扑进行第一网络攻击仿真操作,得到第一工控网络拓扑对应的第一仿真反馈信息,若第一安全评估反馈信息表征拓扑存在风险,计算机设备就无需修复操作。
在一个实施例中,如所示,测试工控网络拓扑为第一工控网络拓扑或第二工控网络拓扑,对测试工控网络拓扑进行网络攻击仿真操作,得到测试工控网络拓扑对应的网络攻击仿真操作结果,包括:
步骤S402,对测试工控网络拓扑进行模拟攻击并解析,得到测试工控网络拓扑对应的测试攻击反馈图结构。
其中,攻击反馈图结构是以知识图谱的形式表现工控场景的工控节点状态,是工控网络拓扑节点信息工控节点状态的一种抽象表示。
具体地,以测试工控网络拓扑为例说明网络攻击仿真操作过程,测试工控网络拓扑可以是第一工控网络拓扑,也可以是第二工控网络拓扑,网络攻击仿真操作主要是针对工控网络拓扑在节点信息层级上的关联关系检测。若测试工控网络拓扑是第一工控网络拓扑,则是对测试工控网络拓扑进行第一网络攻击仿真操作。得到测试工控网络拓扑对应的第一仿真反馈信息。若测试工控网络拓扑是第二工控网络拓扑,则是对测试工控网络拓扑进行第二网络攻击仿真操作。得到测试工控网络拓扑对应的第二网络攻击仿真操作。在进行测试网络攻击仿真操作时,计算机设备先对测试工控网络拓扑进行模拟攻击并解析,得到测试工控网络拓扑对应的测试攻击反馈图结构。计算机设备具体可以对测试工控网络拓扑进行拆分、实体标注、实体抽取等操作,从而得到测试工控网络拓扑对应的测试攻击反馈图结构。
步骤S404,将测试攻击反馈图结构中的实体属性为故障属性的故障实体、设备属性的设备实体分别和预设风险关系数据库进行比对,将比对成功的故障实体和设备实体作为第一风险综合参考实体,将测试攻击反馈图结构中实体关系表征为流量特征且关系权重大于预置权重阈值的故障实体作为第二风险综合参考实体,基于第一风险综合参考实体和第二风险综合参考实体得到目标风险综合参考实体。
其中,风险综合节点是风险相对较大的节点。风险工控网络拓扑的关键作用是让攻击者可以在计算机设备的外部让计算机设备执行自己的命令,因此能够对整个网络造成较大影响的节点均可以称为风险综合节点。预设风险关系数据库是指已知风险关系。进一步的,在实际生产场景中,风险工控网络拓扑为了防止被网络安全防卫机制检测出来,攻击者通常会对工控网络拓扑的工控流量做一定的风险隐藏处理,部分风险隐藏处理后的工控流量通常包括关系权重较长的流量特征变量。因此,风险综合节点还可以是关系权重大于预置权重阈值的流量特征变量。流量特征变量是指存放流量特征常量的变量,其取值是流量特征常量。实体关系表征是指故障实体的初始实体关系表征数据。当故障实体的初始实体关系表征数据为流量特征,则该故障实体为流量特征变量。当故障实体的初始实体关系表征数据为流量特征,且关系权重大于预置权重阈值,则该故障实体为关系权重大于预置权重阈值的流量特征变量。
具体地,攻击反馈图结构包括变量、操作等多种类型的节点。基于风险综合节点的特性,计算机设备可以将测试攻击反馈图结构中实体属性为故障属性的故障实体、设备属性的设备实体和预设风险关系数据库进行比对,将比对成功的故障实体和设备实体作为第一风险综合参考实体。计算机设备还可以将测试攻击反馈图结构中实体关系表征为流量特征且关系权重大于预置权重阈值的故障实体作为第二风险综合参考实体,也就是将关系权重大于预置权重阈值的流量特征变量也作为风险综合节点。计算机设备将第一风险综合参考实体和第二风险综合参考实体分别作为目标风险综合参考实体。
例如,在测试工控网络拓扑B中,对工控流量进行了流量恶意加密的风险隐藏处理,单纯基于预设风险关系数据库无法检测到测试工控网络拓扑中预设流量安全指标的异常。因此,若因为没有检测到与预设风险关系数据库比对的故障实体和设备实体,就直接将测试工控网络拓扑B对应的网络攻击仿真操作结果确定为表征工控拓扑无风险,容易忽略潜在的安全问题。因此,虽然没有检测到与预设风险关系数据库比对的故障实体和设备实体,但是预设流量安全指标的实体关系表征作为流量特征,且关系权重超过了预置权重阈值,计算机设备可以将预设流量安全指标也标记为风险综合节点,持续跟踪该风险综合节点,执行网络攻击仿真操作的后续步骤。这样,无需修复测试工控网络拓扑,也可以在一定程度上检测出部分经过风险隐藏的风险工控网络拓扑,从而能够有效减少计算机设备的资源消耗。
步骤S406,将测试攻击反馈图结构中实体属性为设备属性的设备实体和预设风险设备实体进行比对,将比对成功的设备实体作为风险设备参考实体。
具体地,基于风险设备节点的特性,计算机设备可以将测试攻击反馈图结构中实体属性为设备属性的设备实体和预设风险设备实体进行比对,将比对成功的设备实体作为风险设备参考实体。
在一个实施例中,计算机设备可以针对不同的工控场景建立不同的预设风险关系数据库集合和预设风险设备实体集合,即为不同工控网络拓扑作业类型的工控网络拓扑建立对应的预设风险关系数据库集合和预设风险设备实体集合。因此,计算机设备在确定风险综合参考实体和风险设备参考实体时,可以先判断测试工控网络拓扑的工控网络拓扑作业类型,即测试工控网络拓扑中使用的目标工控场景,再获取该目标工控场景对应的目标预设风险关系数据库集合和目标预设风险设备实体集合,将测试工控网络拓扑对应的测试攻击反馈图结构中的节点和目标预设风险关系数据库集合中的预设风险关系数据库、目标预设风险设备实体集合中的预设风险设备实体进行比对,从而快速确定风险综合参考实体和风险设备参考实体。
步骤S408,在测试攻击反馈图结构中,基于目标风险综合参考实体和风险设备参考实体的关联信息得到测试工控网络拓扑对应的测试仿真反馈信息。
具体地,意外风险关联关系由三类节点组成:风险综合节点,风险中间节点和风险设备节点。风险中间节点是用于产生流量传递,生成新的关联关系。攻击者为了防止风险工控网络拓扑被简单地检测出来,会将风险综合节点进行一系列处理后再使用,这一系列的过程中生成的变量均为风险中间节点。当风险综合节点经过一系列风险中间节点进入风险设备节点,则可以确定存在意外风险关联关系。若存在意外风险关联关系,计算机设备可以确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑存在风险。进一步的,为了提高检测准确性,减少误报,计算机设备还可以进一步对该意外风险关联关系进行核实,当意外风险关联关系满足预设条件时,计算机设备才确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑存在风险。
本实施例中,通过对测试工控网络拓扑进行模拟攻击并解析,得到测试工控网络拓扑对应的测试攻击反馈图结构,将测试攻击反馈图结构中的实体属性为故障属性的故障实体、设备属性的设备实体分别和预设风险关系数据库进行比对,将比对成功的故障实体和设备实体作为第一风险综合参考实体,将测试攻击反馈图结构中实体关系表征为流量特征且关系权重大于预置权重阈值的故障实体作为第二风险综合参考实体,基于第一风险综合参考实体和第二风险综合参考实体得到目标风险综合参考实体,将测试攻击反馈图结构中实体属性为设备属性的设备实体和预设风险设备实体进行比对,将比对成功的设备实体作为风险设备参考实体,在测试攻击反馈图结构中,基于目标风险综合参考实体和风险设备参考实体的关联信息得到测试工控网络拓扑对应的测试仿真反馈信息。这样,目标风险综合节点不仅包括普通风险综合节点,还包括特殊风险综合节点,扩大了风险综合节点的搜索范围,进而不仅能够搜索到普通工控网络拓扑中的意外风险关联关系,还能够搜索到部分风险隐藏工控网络拓扑中的意外风险关联关系,从而无需修复风险隐藏工控网络拓扑也可以查找出一部分风险工控网络拓扑,有效节约了计算机设备的资源消耗。
在一个实施例中,在测试攻击反馈图结构中,基于目标风险综合参考实体和风险设备参考实体的关联信息得到测试工控网络拓扑对应的测试仿真反馈信息,包括:
对测试攻击反馈图结构进行查询统计,查询目标风险综合参考实体和风险设备参考实体之间的实体关联关系;基于查询反馈确定测试工控网络拓扑对应的测试仿真反馈信息。
具体地,计算机设备对测试攻击反馈图结构进行查询统计,查询目标风险综合参考实体和风险设备参考实体之间是否存在实体关联关系。计算机设备可以根据查询反馈确定测试工控网络拓扑对应的测试仿真反馈信息。若目标风险综合参考实体和风险设备参考实体之间存在实体关联关系、且实体关联关系为意外风险关联关系,计算机设备可以确定测试工控网络拓扑对应的网络攻击仿真操作结果为测试工控网络拓扑存在安全风险。进一步的,为了提高检测准确性,减少误报,计算机设备还可以进一步对该意外风险关联关系进行核实,当意外风险关联关系满足预设条件时,计算机设备才确定测试工控网络拓扑对应的网络攻击仿真操作结果为表征工控拓扑存在风险。
计算机设备对测试攻击反馈图结构进行查询统计,查询到风险综合参考实体和风险设备参考实体之间的实体关联关系。风险综合参考实体和风险设备参考实体之间的实体关联关系中存在风险中间节点,因此测试工控网络拓扑存在意外风险关联关系。
本实施例中,通过对测试攻击反馈图结构进行查询统计,能够准确查找到目标风险综合参考实体和风险设备参考实体之间的实体关联关系。
在一个实施例中,基于查询反馈确定测试工控网络拓扑对应的测试仿真反馈信息,包括:
当目标风险综合参考实体和风险设备参考实体之间存在实体关联关系、且实体关联关系涉及有除目标风险综合参考实体和风险设备参考实体之外的其他故障实体时,确定测试工控网络拓扑中存在意外风险关联关系;当测试工控网络拓扑中存在意外风险关联关系时,基于意外风险关联关系确定测试工控网络拓扑对应的测试仿真反馈信息;当测试工控网络拓扑中不存在意外风险关联关系时,确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险。
具体地,如果测试工控网络拓扑中只包括风险综合节点或风险设备节点,没有形成有效的意外风险关联关系,则测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险。只有当风险综合节点经过一系列风险中间节点进入风险设备节点,即存在意外风险关联关系时,才需要对意外风险关联关系进行更细致的判断来确定测试工控网络拓扑是否为风险工控网络拓扑。因此,当目标风险综合参考实体和风险设备参考实体之间存在实体关联关系、且实体关联关系涉及有除目标风险综合参考实体和风险设备参考实体之外的其他故障实体时,计算机设备可以确定测试工控网络拓扑中存在意外风险关联关系。
在一个实施例中,当存在意外风险关联关系时,计算机设备可以直接确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑存在风险。当然,计算机设备也可以进一步对意外风险关联关系进行更细致的核实,来确定测试工控网络拓扑对应的测试仿真反馈信息,从而减少误报,提高网络攻击仿真操作准确性。
本实施例中,当测试工控网络拓扑中不存在意外风险关联关系时,直接确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险,当测试工控网络拓扑中存在意外风险关联关系时,不是直接确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑存在风险,而是进一步基于意外风险关联关系确定测试工控网络拓扑对应的测试仿真反馈信息,能够提高网络攻击仿真操作的准确性。
在一个实施例中,当测试工控网络拓扑中存在意外风险关联关系时,基于意外风险关联关系确定测试工控网络拓扑对应的测试仿真反馈信息,包括:
当目标风险综合参考实体通过意外风险关联关系以预设安全传输协议将流量发送至风险设备参考实体、且目标风险综合参考实体为第二风险综合参考实体时,确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险。
具体地,若存在意外风险关联关系,就直接判断第一工控网络拓扑为风险工控网络拓扑,会存在一些误报情况。而正常用户通常不会对工控流量变量使用流量特征拼接、流量特征替换、流量恶意加密等技术进行处理。因此,为了减少网络攻击仿真操作的误报,在确定存在意外风险关联关系后,计算机设备可以进行更细致的核实,对意外风险关联关系进行进一步分析来确定测试仿真反馈信息。当目标风险综合参考实体通过意外风险关联关系以预设安全传输协议将流量发送至风险设备参考实体、且目标风险综合参考实体为第二风险综合参考实体时,计算机设备可以确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险,而其他情况下则确定测试工控网络拓扑对应的测试仿真反馈信息表征拓扑存在风险。可以理解,若工控流量是风险综合节点未经过任何处理,只是通过预设安全协议传输这样的简单方式经过意外风险关联关系传递到风险设备节点,则测试工控网络拓扑为安全工控网络拓扑,不会引发安全问题。若风险设备节点的工控流量是风险综合节点未经过任何处理,只是通过预设安全协议传输的方式传递到风险设备节点的,则极大可能是正常用户在操作过程中正常使用风险设备节点,而非恶意使用。而攻击者为了避免被网络安全防卫机制查杀,一般不会直接使用具备攻击性的流量,而是会使用一系列的拼接、替换、风险隐藏等方法对具备攻击性的流量进行处理。
本实施例中,当目标风险综合参考实体通过意外风险关联关系以预设安全传输协议将流量发送至风险设备参考实体、且目标风险综合参考实体为第二风险综合参考实体时,确定测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险,这样能够有效减少网络攻击仿真操作的误报,提高网络攻击仿真操作的准确性。
在一个实施例中,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑,包括:
步骤S702,从第一工控网络拓扑对应的第一仿真反馈信息中获取第一工控网络拓扑对应的第一攻击反馈图结构,基于第一攻击反馈图结构提取出待修复漏洞清单。
其中,第一攻击反馈图结构是指第一工控网络拓扑对应的攻击反馈图结构。待修复漏洞是指第一工控网络拓扑收到网络仿真攻击对应产生的漏洞。待修复漏洞清单包括多个待修复漏洞。
具体地,为了防止被网络安全防卫机制检测出来,攻击者通常会对工控网络拓扑的工控流量做一定的风险隐藏。第一本地安全性评估和第一网络攻击仿真操作通常难以发现经过风险隐藏的风险工控网络拓扑。此时,计算机设备可以基于预设安全环境下修复第一工控网络拓扑,得到深度漏洞挖掘后的工控网络拓扑,从而基于第二工控网络拓扑最终确定第一工控网络拓扑是否存在安全风险。计算机设备可以从第一工控网络拓扑对应的第一仿真反馈信息中获取第一工控网络拓扑对应的第一攻击反馈图结构,对第一攻击反馈图结构进行编译,从而基于第一攻击反馈图结构提取出待修复漏洞清单。
步骤S704,在预设安全环境中获取待修复漏洞清单中各个待修复漏洞对应的修复补丁,基于修复补丁修复待修复漏洞清单,得到修复后的工控网络拓扑。
具体地,在修复第一工控网络拓扑时,计算机设备先基于第一攻击反馈图结构提取出待修复漏洞清单,确定要执行的待修复漏洞清单,然后调用各个待修复漏洞分别对应的修复补丁并执行,从而来完成工控网络拓扑修复操作,得到修复后的工控网络拓扑。如果第一工控网络拓扑的工控流量中使用了流量特征拼接、流量特征替换、流量恶意加密等方法,在执行待修复漏洞清单时,计算机设备会调用这些方法所对应的修复补丁,执行修复补丁中所实现的处理方法,从而对第一工控网络拓扑进行深度漏洞挖掘,得到深度漏洞挖掘后的工控网络拓扑。
步骤S706,当第一工控网络拓扑和修复后的工控网络拓扑构成修复版本差异时,将修复后的工控网络拓扑作为第二工控网络拓扑,并输出。
具体地,如果第一工控网络拓扑的工控流量中没有使用流量特征拼接、流量特征替换、流量恶意加密等混淆方法,计算机设备基于修复补丁执行待修复漏洞清单得到的修复后的工控网络拓扑仍然是第一工控网络拓扑。如果第一工控网络拓扑的工控流量中使用了流量特征拼接、流量特征替换、流量恶意加密等混淆方法,计算机设备基于修复补丁修复待修复漏洞清单得到的修复后的工控网络拓扑是第一工控网络拓扑对应的第二工控网络拓扑。因此,当第一工控网络拓扑和修复后的工控网络拓扑构成修复版本差异时,计算机设备可以将修复后的工控网络拓扑作为第二工控网络拓扑并输出,对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,从而最终确定第一工控网络拓扑是否为风险工控网络拓扑。当第一工控网络拓扑和修复后的工控网络拓扑相同时,计算机设备可以不进行工控网络拓扑输出。
在一个实施例中,可以针对不同的工控场景建立不同的预置虚拟漏洞修复策略。针对不同的工控场景设计相适应的处理流程和修复补丁,从而有助于提高预置虚拟漏洞修复策略的准确性和适应性。
本实施例中,基于修复补丁可以对风险隐藏工控网络拓扑进行深度漏洞挖掘,得到第二工控网络拓扑,后续进一步对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,这样能够检测出经过风险隐藏的风险工控网络拓扑,提高工控网络拓扑检测的准确性。
在一个实施例中,基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出第一工控网络拓扑在预设安全环境修复后对应的第二工控网络拓扑之后,所述方法还包括:基于预设安全环境下生成第二工控网络拓扑对应的第二攻击反馈图结构。对第二工控网络拓扑进行第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二仿真反馈信息,包括:基于第二攻击反馈图结构对第二工控网络拓扑进行第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二仿真反馈信息。
具体地,计算机设备还可以在预设安全环境中集成预置虚拟漏洞修复策略和预置知识图谱构建算法。这样,计算机设备基于预置虚拟漏洞修复策略修复第一工控网络拓扑,输出第一工控网络拓扑对应的第二工控网络拓扑后,还可以进一步基于预置知识图谱构建算法生成第二工控网络拓扑对应的第二攻击反馈图结构,并输出。进而,计算机设备在对第二工控网络拓扑进行第二网络攻击仿真操作时,无需重新生成第二工控网络拓扑对应的第二攻击反馈图结构,可以直接获取预设安全环境输出的第二工控网络拓扑对应的第二攻击反馈图结构,对第二攻击反馈图结构进行第二网络攻击仿真操作,得到第二工控网络拓扑对应的第二仿真反馈信息。
本实施例中,在对第二工控网络拓扑进行第二网络攻击仿真操作时,可以获取预设安全环境输出的第二工控网络拓扑对应的第二攻击反馈图结构,直接对第二攻击反馈图结构进行分析得到第二工控网络拓扑对应的第二仿真反馈信息,从而能够提高第二工控网络拓扑的进阶网络攻击仿真操作效率。
在一个实施例中,获取第一工控网络拓扑,包括:获取风险评估指示;根据风险评估指示从工控网络中获取任一网络拓扑作为第一工控网络拓扑;所述方法还包括:当确定第一工控网络拓扑存在安全风险时,生成包含第一工控网络拓扑对应的拓扑序号的风险提示;展示风险提示。
其中,风险评估指示是用于请求对工控网络的任一网络拓扑进行风险评估。任一网络拓扑是指用于实现工业控制命令的工控网络拓扑,任一网络拓扑主要为查询拓扑、命令执行拓扑等工控网络拓扑形式。拓扑序号是一种标识,用于唯一标识工控网络拓扑,具体可以包括字母、数字和符号中至少一种字符的流量特征。例如,工控网络拓扑的名称、工控网络拓扑的存储关联关系。
具体地,攻击者会基于恶意的任一网络拓扑入侵工控网络,基于恶意的任一网络拓扑获取对工控网络的部分控制操作权限,进而执行恶意操作。为了预防恶意攻击行为,计算机设备需要及时对工控网络的任一网络拓扑进行查杀,查找出异常的任一网络拓扑,及时采取相应措施。计算机设备上可以安装有网络安全防卫机制,计算机设备可以运行网络安全防卫机制并展示处理界面,处理界面中展示有用于触发风险评估指示的控件。当检测到作用于该控件的触发操作时,计算机设备可以生成风险评估指示,根据风险评估指示从工控网络中获取任一网络拓扑作为第一工控网络拓扑。然后,计算机设备对第一工控网络拓扑进行有序的第一本地安全性评估、第一网络攻击仿真操作、工控网络拓扑修复、第二本地安全性评估、第二网络攻击仿真操作来确定第一工控网络拓扑是否为风险工控网络拓扑。当基于各种反馈信息确定第一工控网络拓扑存在安全风险时,计算机设备可以生成包含第一工控网络拓扑对应的拓扑序号的风险提示,向用户展示该风险提示。其中,触发操作具体可以是单击操作、双击操作、长按操作或语音操作等。风险提示还可以进一步包括第一工控网络拓扑对应的各种风险信息。
可以理解,计算机设备也可以接收其他设备发送过来的风险评估指示,根据该风险评估指示对工控网络的任一网络拓扑进行风险评估,当风险评估结果表明工控网络的任一网络拓扑表征工控拓扑存在风险时,计算机设备可以生成包含异常任一网络拓扑对应的拓扑序号的风险提示,向风险评估指示的发送方返回该风险提示,在风险评估指示的发送方进行风险提示的展示,以及时通过警告消息通知相关人员。
本实施例中,根据风险评估指示触发工控网络拓扑的风险评估,能够根据实际需要触发工控网络拓扑检测,而不是盲目检测。当第一工控网络拓扑存在安全风险时,生成包含第一工控网络拓扑对应的拓扑序号的风险提示并展示,能够及时提醒相关人员提高警惕。
本申请还提供一种应用场景,该应用场景应用上述的工控网络拓扑安全评估方法。具体地,该风工控网络拓扑安全评估方法在该应用场景的应用如下:
假设工控网络拓扑A是一种可以在工控网络上运行的恶意工控网络拓扑,主要为查询、作业、记录等工控网络拓扑形式。入侵者将恶意工控网络拓扑A上传至工控网络,利用工控网络拓扑A获取对工控网络的某些控制操作权限,进而执行恶意操作,例如执行系统命令、窃取用户数据、查看或删除数据库等,对企业造成极大的危害。工控网络拓扑A可以存储在终端,也可以存储在服务器上。
计算机设备上包括安全评估模块、网络攻击仿真操作模块和漏洞模拟修复模块。安全评估模块用于对工控网络拓扑进行安全评估,网络攻击仿真操作模块用于对工控网络拓扑进行网络攻击仿真操作,漏洞模拟修复模块用于漏洞修复,输出深度漏洞挖掘后的工控流量和深度漏洞挖掘后的工控流量对应的攻击反馈图结构。
计算机设备首先通过安全评估模块对第一工控网络拓扑进行安全评估,若安全评估模块没有报毒,再通过网络攻击仿真操作模块对第一工控网络拓扑进行网络攻击仿真操作,若网络攻击仿真操作模块也未报毒,则将第一工控网络拓扑输入漏洞模拟修复模块进行执行,若漏洞模拟修复模块没有输出新的攻击反馈图结构和工控流量,则将第一工控网络拓扑最终确定为非工控网络拓扑A,结束本次检测;否则,则将漏洞模拟修复模块输出的新的攻击反馈图结构和工控流量(第二工控网络拓扑和第二工控网络拓扑对应的第二攻击反馈图结构),分别输入网络攻击仿真操作模块和安全评估模块进行二次检测,若判定为工控网络拓扑A则输出风险评估结果并结束本次检测,若这两个检测模块均未报毒也结束本次检测。
本方案所提供的方法包括如下几个步骤:
步骤1、第一本地安全性评估
计算机设备对第一工控网络拓扑进行第一本地安全性评估,判断第一工控网络拓扑是否存在安全风险。本地安全评估主要是对第一工控网络拓扑在节点信息层级上的比对检测,服务器中包括预设风险数据库,预设风险数据库中内置了一些恶意网络参量,包括流量特征、向量化数据等多种类型的网络参量,用于与第一工控网络拓扑进行相应的比对查询来判断第一工控网络拓扑是否为工控网络拓扑A。
计算机设备读取第一工控网络拓扑后,将第一工控网络拓扑的节点信息内容与预设风险数据库中的网络参量进行比对。若符合比对规则(例如流量特征完全比对、正则比对等多种比对规则),则为比对到预设风险数据库,则将第一工控网络拓扑确定为工控网络拓扑A,输出风险评估结果并结束本次检测,若未比对到预设风险数据库,则执行步骤2。
步骤2、第一网络攻击仿真操作
计算机设备基于开源的攻击反馈图结构构建工具,提取生成出第一工控网络拓扑的第一攻击反馈图结构,并将第一攻击反馈图结构作为网络攻击仿真操作模块的输入,使得网络攻击仿真操作模块可以方便地遍历第一工控网络拓扑的相关信息。计算机设备获取到第一工控网络拓扑的第一攻击反馈图结构后,通过网络攻击仿真操作模块对第一攻击反馈图结构进行分析,判断第一工控网络拓扑是否为工控网络拓扑A。首先对第一工控网络拓扑的第一攻击反馈图结构进行查询统计,查找其是否存在风险综合节点、风险中间节点和风险设备节点,若存在,则记录从风险综合节点到风险设备节点的关联关系,判断是否为意外风险关联关系,若存在意外风险关联关系,则进一步判断该意外风险关联关系是否需要进行核实,若不需要进行核实,则确定第一工控网络拓扑为工控网络拓扑A,若根据核实结果确定第一工控网络拓扑为工控网络拓扑A,网络攻击仿真操作模块输出风险评估结果并结束本次检测,否则执行步骤3。
意外风险关联关系由三类节点组成:风险综合节点,风险中间节点和风险设备节点。
风险综合节点:能被外界控制的变量或读取外界数据的节点,也是最初始的污点。工控网络拓扑A的目的是攻击者从服务器外部让服务器执行自己的命令,因此能被外界控制的变量或能读取外界数据的节点都被视为风险综合节点。此外,为了提高检测效率,应对经过风险隐藏的工控网络拓扑,可以进一步将关系权重超过权重阈值的流量特征变量作为特殊的风险综合节点。若一个流量特征变量的关系权重超过了预置权重阈值,则将此流量特征变量标记为风险综合节点,持续跟踪该风险综合节点,执行网络攻击仿真操作的后续步骤。
计算机设备在网络攻击仿真操作模块中内置了预设风险关系数据库集合,预设风险关系数据库集合包含了工控网络中能接收外部流量的一些常用变量和节点,并且这个预设风险关系数据库集合所包含的数据可以随时进行更新,以不断地扩充网络攻击仿真操作模块的能力。在遍历第一攻击反馈图结构的过程中,若第一攻击反馈图结构的节点比对到预设风险关系数据库集合中的预设风险关系数据库,则将该节点判定为风险综合参考实体。
风险中间节点:产生流量传递,并生成新的关联关系。攻击者为了防止工控网络拓扑A被网络安全防卫机制简单地检测出来,会将风险综合节点进行一系列处理、传递后再使用,这一系列的过程中生成的变量均为风险中间节点。
风险设备节点:最终执行恶意行为的节点。
计算机设备在网络攻击仿真操作模块中内置了预设风险设备实体集合,预设风险设备实体集合包含了工控流量中具有执行功能的一些节点,并且这个预设风险设备实体集合可以随时进行更新,不断扩充,以不断地扩充网络攻击仿真操作模块的能力。
如果第一工控网络拓扑工控流量中只包含风险综合节点或风险设备节点,没有形成意外风险关联关系,则不存在安全隐患,不是工控网络拓扑A,只有当风险综合节点经过一系列风险中间节点,进入风险设备节点,即存在意外风险关联关系,才需要进一步判断是否为工控网络拓扑A。网络攻击仿真操作模块通过对第一工控网络拓扑的第一攻击反馈图结构进行查询统计,获取风险综合节点和风险设备节点,并判断是否存在从风险综合节点经过风险中间节点到风险设备节点的关联关系,即是否存在意外风险关联关系。若存在意外风险关联关系,并且风险综合节点不是关系权重超过权重阈值的流量特征变量,则将第一工控网络拓扑鉴定为工控网络拓扑A,输出风险评估结果并结束本次检测;若存在意外风险关联关系,并且风险综合节点是关系权重超过权重阈值的流量特征变量,则需要对意外风险关联关系进行核实,若根据核实结果将第一工控网络拓扑确定为工控网络拓扑A,则输出风险评估结果并结束本次检测;若不存在意外风险关联关系,则执行步骤3。
在实际生产环境中会有正常操作员在正常操作过程中可能也会存在关系权重超过权重阈值的流量特征变量产生,这种是正常操作员正常使用。因此,为了避免对这种正常操作员基于操作习惯的误报,若存在意外风险关联关系,并且风险综合节点是关系权重超过权重阈值的流量特征变量,则会对意外风险关联关系进行核实。核实方法具体为分析意外风险关联关系中风险综合节点的传播方式,若整个传播过程中风险综合节点只是通过预设安全传输协议传递到风险设备节点,未进行其他任何操作,则认为是正常操作员在操作过程中正常使用这些风险设备节点,而非恶意使用,则将第一工控网络拓扑鉴定为非工控网络拓扑A,输出风险评估结果并结束本次检测,否则执行步骤3。而攻击者为了避免被网络安全防卫机制查杀,一般不会直接使用具备攻击性的流量,一般不会将风险综合节点只是通过预设安全传输协议传递到风险设备节点,而是首先将具备攻击性的流量隐藏或者混淆为较长的流量特征,然后在风险设备节点使用时再将具备攻击性的流量进行流量特征替换等操作,还原出真正的具备攻击性的流量再进行使用。
步骤3、工控网络拓扑修复
计算机设备通过漏洞模拟修复模块修复第一工控网络拓扑,执行完毕后判断是否有新的数据流输出,若有新的数据流输出,即输出第二工控网络拓扑和第二工控网络拓扑对应的第二攻击反馈图结构,则执行步骤4,否则判为非工控网络拓扑A,输出风险评估结果并结束本次检测。
若经过漏洞修复后的工控网络拓扑和第一工控网络拓扑构成修复版本差异,则经过漏洞修复后的工控网络拓扑为第二工控网络拓扑,将第二工控网络拓扑进行输出。漏洞模拟修复模块还可以进一步生成第二工控网络拓扑对应的第二攻击反馈图结构,并输出。若漏洞模拟修复模块执行完毕后输出了深度漏洞挖掘后的数据流,包括第二工控网络拓扑和第二工控网络拓扑对应的攻击反馈图结构,则将深度漏洞挖掘后的数据流输出给步骤4、步骤5进行进一步的检测;若未输出新的数据流,则将第一工控网络拓扑判为非工控网络拓扑A,输出风险评估结果并结束本次检测。
步骤4、第二网络攻击仿真操作
计算机设备获取到步骤3所生成的第二攻击反馈图结构,将其重新输入网络攻击仿真操作模块进行检测,具体检测步骤与步骤2一样。若网络攻击仿真操作模块基于第二攻击反馈图结构确定第二工控网络拓扑为工控网络拓扑A,则将第一工控网络拓扑确定为工控网络拓扑A,输出风险评估结果并结束本次检测;若未判为工控网络拓扑A,则执行步骤5。
步骤5、第二本地安全性评估
计算机设备获取到步骤3所生成的第二工控网络拓扑,将其重新输入安全评估模块进行检测,具体检测步骤与步骤1一样。此时,计算机设备获取安全评估模块对第二工控网络拓扑的第二安全评估反馈信息,将其作为最终的风险评估结果,输出对第一工控网络拓扑的风险评估结果并结束本次检测。
本实施例中,通过安全评估、网络攻击仿真操作和工控网络拓扑修复的配合,实现了对工控网络拓扑的快速准确查杀。此外,通过技术创新改进了网络攻击仿真操作技术,并实现了漏洞模拟修复技术,对于风险隐藏类工控网络拓扑A工控网络拓扑具有快速、高效的查杀特点。其中,引入了漏洞模拟修复技术,实现了对流量特征替换、流量特征拼接、流量恶意加密等风险隐藏方法的深度漏洞挖掘,输出真正执行的工控网络拓扑A,因此提高了对于风险隐藏类工控网络拓扑A工控网络拓扑的识别率。并且改进了网络攻击仿真操作方法,增加了对意外风险关联关系的核实,提高了检测准确性,极大地降低了误报率。应当理解的是,在本发明实施例中,通过对仿真网络攻击造成的影响进行自动修复,以便在能够完成自我修复的情况下确定网络拓扑为正常。
为了能够更加清楚的描述本申请实施例提供的方案,前述步骤S202还可以通过以下步骤执行实施。
步骤S501,获取第一工控网络拓扑获取指示。
基于该指示,用于触发获取第一工控网络拓扑的流程。
步骤S502,根据第一工控网络拓扑获取指示对应的第一发起方身份等级对第一工控网络拓扑获取指示提取特征,生成对应的第一拓扑获取指示摘要集合;第一拓扑获取指示摘要集合包括至少一个第一拓扑获取指示摘要。
其中,第一发起方身份等级是指第一工控网络拓扑获取指示对应的发起者身份等级。发起者身份等级是指发起该第一工控网络拓扑获取指示的发起者身份等级。发起者身份等级包括对外身份等级和对内身份等级中的至少一种。对外身份等级是指发起方在发起方所在安全环境下的发起者身份等级,对内身份等级是发起方在工控网络侧预置的发起者身份等级。
第一拓扑获取指示摘要是指第一工控网络拓扑获取指示对应的拓扑获取指示摘要。拓扑获取指示摘要是根据发起者身份等级从工控网络拓扑获取指示中提取对应的特征信息。一个工控网络拓扑获取指示可以对应至少一个拓扑获取指示摘要。一种发起者身份等级可以对应至少一个拓扑获取指示摘要。一个工控网络拓扑获取指示对应的不同拓扑获取指示摘要可以从不同的维度表征工控网络拓扑获取指示的特征信息。不同的工控网络拓扑获取指示对应不同的拓扑获取指示摘要集合,但是不同的拓扑获取指示摘要集合可以包括至少一个不同的拓扑获取指示摘要,例如,从同一发起者发送的工控网络拓扑获取指示A和工控网络拓扑获取指示B,由于工控网络拓扑获取指示A和工控网络拓扑获取指示B对应的发送方相同,工控网络拓扑获取指示A和工控网络拓扑获取指示B可以存在相同的拓扑获取指示摘要,该相同的拓扑获取指示摘要可以是根据特征信息中发送方的相关信息生成。
具体地,可以从第一工控网络拓扑获取指示中获取第一工控网络拓扑获取指示对应的第一发起方身份等级,根据第一发起方身份等级从第一工控网络拓扑获取指示中提取特征信息,根据提取的特征信息生成对应的至少一个第一拓扑获取指示摘要,各个第一拓扑获取指示摘要组成第一拓扑获取指示摘要集合。可以根据第一工控网络拓扑获取指示对应的对外身份等级对第一工控网络拓扑获取指示提取特征生成对应的第一拓扑获取指示摘要集合,也可以根据第一工控网络拓扑获取指示对应的对内身份等级对第一工控网络拓扑获取指示提取特征生成对应的第一拓扑获取指示摘要集合,还可以根据第一工控网络拓扑获取指示对应的对外身份等级和对内身份等级对第一工控网络拓扑获取指示提取特征生成对应的第一拓扑获取指示摘要集合。
在一个实施例中,可以从第一工控网络拓扑获取指示中获取第一工控网络拓扑获取指示对应的对外身份等级,在本地或从其他终端、服务器获取对外身份等级对应的预置信息摘要策略,基于预置信息摘要策略从第一工控网络拓扑获取指示中提取与该预置信息摘要策略比对的特征字段,根据提取到的特征字段得到由对外身份等级对应的预置信息摘要策略生成的第一拓扑获取指示摘要。对外身份等级对应的预置信息摘要策略可以为至少一个。若对外身份等级对应的预置信息摘要策略为多个,可以生成对外身份等级对应的多个第一拓扑获取指示摘要。同理,可以从第一工控网络拓扑获取指示中获取第一工控网络拓扑获取指示对应的对内身份等级,在本地或从其他终端、服务器获取对内身份等级对应的预置信息摘要策略,基于预置信息摘要策略从第一工控网络拓扑获取指示中提取与该预置信息摘要策略比对的特征字段,根据提取到的特征字段得到由对内身份等级对应的预置信息摘要策略生成的第一拓扑获取指示摘要。对内身份等级对应的预置信息摘要策略可以为至少一个。当对内身份等级对应的预置信息摘要策略为多个时,可以生成对内身份等级对应的多个第一拓扑获取指示摘要。可以是对外身份等级对应的各个第一拓扑获取指示摘要组合得到第一拓扑获取指示摘要集合,也可以是对内身份等级对应的各个第一拓扑获取指示摘要组合得到第一拓扑获取指示摘要集合,还可以是对外身份等级对应的各个第一拓扑获取指示摘要和对内身份等级对应的各个第一拓扑获取指示摘要组合得到第一拓扑获取指示摘要集合。
步骤S503,将第一拓扑获取指示摘要和标准拓扑获取指示摘要库中的标准拓扑获取指示摘要进行比对。
其中,标准拓扑获取指示摘要库包括多个标准拓扑获取指示摘要。标准拓扑获取指示摘要库是对多个历史拓扑获取指示对应的拓扑获取指示摘要进行K-Means操作后生成的。各个历史拓扑获取指示是指设定历史时间段内的工控网络拓扑获取指示,例如获取在当前时刻之前的5分钟内采集到的工控网络拓扑获取指示作为历史拓扑获取指示。在进行K-Means操作时,若同一拓扑获取指示摘要的数量大于阈值时,可以认为该拓扑获取指示摘要为异常的拓扑获取指示摘要,将该拓扑获取指示摘要作为标准拓扑获取指示摘要加入标准拓扑获取指示摘要库。
具体地,在计算得到第一工控网络拓扑获取指示对应的第一拓扑获取指示摘要后,可以将第一拓扑获取指示摘要和标准拓扑获取指示摘要库中的标准拓扑获取指示摘要进行比对,根据比对结果进一步确定第一工控网络拓扑获取指示的拓扑获取指示验证结果。当第一拓扑获取指示摘要和标准拓扑获取指示摘要相同,并且第一拓扑获取指示摘要和标准拓扑获取指示摘要对应的摘要信息也相同时,可以确定该第一拓扑获取指示摘要和标准拓扑获取指示摘要比对成功。摘要信息包括拓扑获取指示摘要对应的发起者身份等级和预置信息摘要策略中的至少一种。可以理解,一个第一工控网络拓扑获取指示可以对应多个第一拓扑获取指示摘要,各个第一拓扑获取指示摘要可以分别与标准拓扑获取指示摘要库中的各个标准拓扑获取指示摘要进行比对,各个第一拓扑获取指示摘要可以均比对成功,也可以均比对失败,还可以是有至少一个比对成功。
步骤S504,基于比对成功的第一拓扑获取指示摘要对应的安全评分参考因子,计算得到第一工控网络拓扑获取指示对应的目标安全评分。
其中,安全评分参考因子是指用于计算工控网络拓扑获取指示对应的安全评分的关联信息。拓扑获取指示摘要的安全评分参考因子包括拓扑获取指示摘要对应的发起者身份等级的算法安全评分、在该发起者身份等级下拓扑获取指示摘要对应的预置信息摘要策略的算法安全评分中的至少一种。
具体地,根据比对结果可以筛选出比对成功的第一拓扑获取指示摘要,获取比对成功的第一拓扑获取指示摘要对应的安全评分参考因子,根据该安全评分参考因子计算得到第一工控网络拓扑获取指示对应的目标安全评分。
在一个实施例中,可以将各个比对成功的第一拓扑获取指示摘要对应的算法安全评分和算法安全评分进行加权求和得到目标安全评分。也可以将各个算法安全评分和各个算法安全评分进行加权平均得到目标安全评分。当比对成功的第一拓扑获取指示摘要包括不同发起者身份等级对应的第一拓扑获取指示摘要时,可以先分别计算各个发起者身份等级对应的平均安全评分,将各个平均安全评分进行加权求和得到目标安全评分。在计算各个发起者身份等级对应的平均安全评分时,可以将同一发起者身份等级对应的各个算法安全评分进行加权求和得到算法安全评分投票系数,将算法安全评分投票系数和对应的算法安全评分进行加权平均得到对应的平均安全评分。也可以将各个发起者身份等级对应的平均安全评分分别作为第一工控网络拓扑获取指示对应的目标安全评分。
步骤S505,获取标准安全评分,基于标准安全评分和目标安全评分确定第一工控网络拓扑获取指示的拓扑获取指示验证结果。
其中,标准安全评分可以是根据实际情况确定的,例如,根据安全经验人工设置的,根据自定义公式计算得到。
具体地,可以获取标准安全评分,将标准安全评分和目标安全评分进行匹配,根据匹配结果确定第一工控网络拓扑获取指示的拓扑获取指示验证结果。拓扑获取指示验证结果包括所述拓扑获取指示验证结果表征为不安全和所述拓扑获取指示验证结果表征为安全。当第一工控网络拓扑获取指示的拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为不安全时,可以向运维人员发送告警信息,以便运维人员及时进行安全维护。当第一工控网络拓扑获取指示的拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为不安全时,还可以直接阻断第一工控网络拓扑获取指示。
在一个实施例中,可以是所有第一工控网络拓扑获取指示都使用同一个标准安全评分,也就是,只有一个标准安全评分。也可以是一个发起者身份等级对应一个标准安全评分,例如,比对成功的第一拓扑获取指示摘要对应的发起者身份等级包括第一安全等级和第二安全等级,第一安全等级议对应标准安全评分1,第二安全等级对应标准安全评分2,那么当基于第一安全等级对应的第一拓扑获取指示摘要的安全评分参考因子计算得到的安全评分投票系数大于标准安全评分1,并且基于第二安全等级对应的第一拓扑获取指示摘要的安全评分参考因子计算得到的安全评分投票系数大于标准安全评分2时,确定第一工控网络拓扑获取指示的拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为不安全。
通过获取第一工控网络拓扑获取指示,根据第一工控网络拓扑获取指示对应的第一发起方身份等级对第一工控网络拓扑获取指示提取特征,生成对应的第一拓扑获取指示摘要集合,第一拓扑获取指示摘要集合包括至少一个第一拓扑获取指示摘要。这样,生成的第一拓扑获取指示摘要可以表征第一工控网络拓扑获取指示的特征信息,多个第一拓扑获取指示摘要可以从不同维度表征第一工控网络拓扑获取指示的特征信息,从而丰富了异常工控网络拓扑获取指示的检测维度,提高了异常工控网络拓扑获取指示的检测准确性。将第一拓扑获取指示摘要和标准拓扑获取指示摘要库中的标准拓扑获取指示摘要进行比对,基于比对成功的第一拓扑获取指示摘要对应的安全评分参考因子,计算得到第一工控网络拓扑获取指示对应的目标安全评分,获取标准安全评分,基于标准安全评分和目标安全评分确定第一工控网络拓扑获取指示的拓扑获取指示验证结果。这样,标准拓扑获取指示摘要库集成了多个异常的标准拓扑获取指示摘要,因此比对成功的第一拓扑获取指示摘要可以表征第一工控网络拓扑获取指示异常的特征信息,基于比对成功的第一拓扑获取指示摘要对应的安全评分参考因子计算得到的目标安全评分可以表征第一工控网络拓扑获取指示的异常程度,基于标准安全评分和目标安全评分可以快速确定第一工控网络拓扑获取指示的拓扑获取指示验证结果,提高了异常工控网络拓扑获取指示的检测准确性和检测效率。
在本申请实施例中,获取第一工控网络拓扑获取指示之前,所述方法还包括:
步骤S510,获取历史拓扑获取指示集合;历史拓扑获取指示集合包括在同一验证周期内的多个历史拓扑获取指示。
步骤S512,根据历史拓扑获取指示对应的历史发起方身份等级对历史拓扑获取指示提取特征,生成对应的历史拓扑获取指示摘要集合,历史拓扑获取指示摘要集合包括各个历史拓扑获取指示对应的历史拓扑获取指示摘要。
具体地,可以在一个验证周期内获取多个历史拓扑获取指示,各个历史拓扑获取指示组成历史拓扑获取指示集合。可以根据历史拓扑获取指示对应的历史发起方身份等级对历史拓扑获取指示提取特征,生成各个历史拓扑获取指示对应的至少一个历史拓扑获取指示摘要,各个历史拓扑获取指示对应的历史拓扑获取指示摘要组成历史拓扑获取指示摘要集合。
在一个实施例中,可以从历史拓扑获取指示中获取历史拓扑获取指示对应的对外身份等级,在本地或从其他终端、服务器获取对外身份等级对应的预置信息摘要策略,基于预置信息摘要策略从历史拓扑获取指示中提取与该预置信息摘要策略比对的特征字段,根据提取到的特征字段得到由对外身份等级对应的预置信息摘要策略生成的历史拓扑获取指示摘要。对外身份等级对应的预置信息摘要策略可以为至少一个。若对外身份等级对应的预置信息摘要策略为多个,可以生成对外身份等级对应的多个历史拓扑获取指示摘要。同理,可以从历史拓扑获取指示中获取历史拓扑获取指示对应的对内身份等级,在本地或从其他终端、服务器获取对内身份等级对应的预置信息摘要策略,基于预置信息摘要策略从历史拓扑获取指示中提取与该预置信息摘要策略比对的特征字段,根据提取到的特征字段得到由对内身份等级对应的预置信息摘要策略生成的历史拓扑获取指示摘要。对内身份等级对应的预置信息摘要策略可以为至少一个。当对内身份等级对应的预置信息摘要策略为多个时,可以生成对内身份等级对应的多个历史拓扑获取指示摘要。可以是各个历史拓扑获取指示的对外身份等级对应的各个历史拓扑获取指示摘要组合得到历史拓扑获取指示摘要集合,也可以是各个历史拓扑获取指示的对内身份等级对应的各个历史拓扑获取指示摘要组合得到历史拓扑获取指示摘要集合,还可以是各个历史拓扑获取指示的对外身份等级对应的各个历史拓扑获取指示摘要和对内身份等级对应的各个历史拓扑获取指示摘要组合得到历史拓扑获取指示摘要集合。
步骤S514,基于摘要信息对历史拓扑获取指示摘要集合中的历史拓扑获取指示摘要进行K-Means操作,得到K-Means操作结果。
其中,摘要信息是指拓扑获取指示摘要的关联信息。拓扑获取指示摘要的摘要信息包括用于生成拓扑获取指示摘要的发起者身份等级和预置信息摘要策略。
具体地,可以基于摘要信息对历史拓扑获取指示摘要集合中的历史拓扑获取指示摘要进行K-Means操作,具体可以将基于同一摘要信息生成的相同历史拓扑获取指示摘要K-Means操作在一起,得到各个不同的向量集合。
在一个实施例中,基于摘要信息对历史拓扑获取指示摘要集合中的历史拓扑获取指示摘要进行K-Means操作,得到K-Means操作结果,包括:将基于同一发起者身份等级对应的同一预置信息摘要策略生成的相同历史拓扑获取指示摘要进行K-Means操作得到多个不同的向量集合,统计同一向量集合内的历史拓扑获取指示摘要的数量,得到各个向量集合对应的投票系数。
步骤S516,根据K-Means操作结果从历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到标准拓扑获取指示摘要库。
具体地,可以根据K-Means操作结果从历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,具体可以是当向量集合对应的投票系数大于统计阈值时,将该向量集合对应的历史拓扑获取指示摘要作为标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到标准拓扑获取指示摘要库。标准拓扑获取指示摘要库还可以包括各个标准拓扑获取指示摘要对应的摘要信息和投票系数。
本实施例中,通过获取同一验证周期内的多个历史拓扑获取指示,计算各个历史拓扑获取指示对应的历史拓扑获取指示摘要,基于摘要信息对历史拓扑获取指示摘要进行K-Means操作,得到各个向量集合,计算各个向量集合对应的投票系数,将投票系数大于统计阈值的向量集合内的历史拓扑获取指示摘要作为标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到标准拓扑获取指示摘要库。这样,因为黑客攻击通常是一个持续性的攻击,所以对同一验证周期内的历史拓扑获取指示对应的历史拓扑获取指示摘要进行K-Means操作,通过将各个向量集合对应的投票系数和统计阈值进行匹配可以快速建立拓扑获取指示摘要风险数据集。
在一个实施例中,将第一拓扑获取指示摘要和标准拓扑获取指示摘要库中的标准拓扑获取指示摘要进行比对,包括:将第一拓扑获取指示摘要和当前标准拓扑获取指示摘要进行匹配,得到拓扑获取指示摘要匹配结果;将第一拓扑获取指示摘要对应的摘要信息和当前标准拓扑获取指示摘要对应的摘要信息进行匹配,得到摘要信息匹配结果;当拓扑获取指示摘要匹配结果和摘要信息匹配结果均为相同时,确定第一拓扑获取指示摘要和当前标准拓扑获取指示摘要比对成功。
具体地,在将第一拓扑获取指示摘要和标准拓扑获取指示摘要库中的标准拓扑获取指示摘要进行比对时,可以将第一拓扑获取指示摘要和当前标准拓扑获取指示摘要进行匹配,得到拓扑获取指示摘要匹配结果,拓扑获取指示摘要匹配结果包括相同和不相同,将第一拓扑获取指示摘要对应的摘要信息和当前标准拓扑获取指示摘要对应的摘要信息进行匹配,得到摘要信息匹配结果,摘要信息匹配结果包括相同和不相同。当拓扑获取指示摘要匹配结果和摘要信息匹配结果均为相同时,可以确定第一拓扑获取指示摘要和当前标准拓扑获取指示摘要比对成功。
本实施例中,通过拓扑获取指示摘要匹配结果和摘要信息可以快速确定第一拓扑获取指示摘要和标准拓扑获取指示摘要的比对结果,从而提高第一工控网络拓扑获取指示的检测效率。
在一个实施例中,基于比对成功的第一拓扑获取指示摘要对应的安全评分参考因子,计算得到第一工控网络拓扑获取指示对应的目标安全评分,包括:
步骤S522,获取第一发起方身份等级对应的第一安全评分。
步骤S524,基于比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略获取对应的预置散列算法安全评分。
步骤S526,基于第一安全评分和预置散列算法安全评分得到目标安全评分。
具体地,可以获取第一发起方身份等级对应的第一安全评分,获取各个比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略所对应的预置散列算法安全评分,根据各个预置散列算法安全评分得到算法安全评分投票系数。具体可以是将各个预置散列算法安全评分相加得到算法安全评分投票系数,也可以是按照预设公式将各个预置散列算法安全评分进行融合得到算法安全评分投票系数。可以根据第一安全评分和预置散列算法安全评分得到目标安全评分。具体可以是将第一安全评分和预置散列算法安全评分相乘得到目标安全评分。
本实施例中,通过获取第一发起方身份等级对应的第一安全评分,基于比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略获取对应的预置散列算法安全评分,基于第一安全评分和预置散列算法安全评分得到目标安全评分。这样,目标安全评分的计算综合考虑了第一发起方身份等级和比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略,计算得到的目标安全评分更准确、更可靠。
在一个实施例中,第一发起方身份等级包括对外身份等级和对内身份等级,基于第一安全评分和预置散列算法安全评分得到目标安全评分,包括:
步骤S532,将相同类型发起者身份等级对应的各个预置散列算法安全评分从大到小进行排序,得到各类型发起者身份等级对应的身份等级表。
步骤S534,根据相同类型发起者身份等级对应的身份等级表中排序第一和排序第二的预置散列算法安全评分得到各类型发起者身份等级对应的第一安全评分。
步骤S536,根据相同类型发起者身份等级对应的身份等级表中剩余的预置散列算法安全评分和对应的第一安全评分得到各类型发起者身份等级对应的第二安全评分。
步骤S538,基于相同类型发起者身份等级对应的第一安全评分和第二安全评分得到各类型发起者身份等级对应的平均安全评分,根据各个平均安全评分得到目标安全评分。
具体地,因为第一发起方身份等级包括对外身份等级和对内身份等级,所以不同层的发起者身份等级需要区分计算。可以将相同类型发起者身份等级对应的各个预置散列算法安全评分从大到小进行排序,得到各类型发起者身份等级对应的身份等级表。获取相同类型发起者身份等级对应的身份等级表中排序第一和排序第二的预置散列算法安全评分,将相同类型发起者身份等级对应的排序第一和排序第二的预置散列算法安全评分进行加权求和得到各类型发起者身份等级对应的第一安全评分。相同类型发起者身份等级对应的身份等级表中剩余的预置散列算法安全评分和对应的第一安全评分从大到小进行排序,得到各类型发起者身份等级对应的更新身份等级表,获取相同类型发起者身份等级对应的更新身份等级表中排序第一和排序第二的预置散列算法安全评分,将相同类型发起者身份等级对应的排序第一和排序第二的预置散列算法安全评分进行加权求和得到各类型发起者身份等级对应的第一更新安全评分,以此类推,直到相同类型发起者身份等级对应的各个预置散列算法安全评分都参与计算后,得到各类型发起者身份等级对应的第二安全评分。将相同类型发起者身份等级对应的第一安全评分和第二安全评分进行相乘得到各类型发起者身份等级对应的平均安全评分。可以将各个平均安全评分进行加权求和得到目标安全评分,也可以将各个平均安全评分分别作为目标安全评分。
请结合参阅图2,本发明实施例提供一种工控网络拓扑安全评估装置110,工控网络拓扑安全评估装置110包括:
获取模块1101,用于获取第一工控网络拓扑;
测试模块1102,用于对所述第一工控网络拓扑进行第一本地安全性评估,得到所述第一工控网络拓扑对应的第一安全评估反馈信息;根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息;基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑;对所述第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;
评估模块1103,用于当所述第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、所述第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定所述第一工控网络拓扑为风险工控网络拓扑。
可选的,测试工控网络拓扑为所述第一工控网络拓扑或所述第二工控网络拓扑,对所述测试工控网络拓扑进行测试本地安全性评估,得到所述测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息,包括:
第一提取单元,用于从所述测试工控网络拓扑中提取网络参量,得到至少一个候选验证网络参量;
第一比对单元,用于将各个候选验证网络参量和风险工控网络拓扑网络参量进行比对;所述风险工控网络拓扑网络参量包括风险工控网络拓扑流量特征和风险工控网络拓扑安全向量中的至少一种;
风险单元,用于当至少一个候选验证网络参量比对成功时,确定所述测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息为表征工控拓扑存在风险;
所述工控网络拓扑安全评估装置还包括以下:
获取模块,用于获取多个风险工控网络拓扑;
提取模块,用于分别从各个风险工控网络拓扑中提取安全指标,得到各个风险工控网络拓扑对应的安全指标组,所述安全指标组包括多个安全指标和各个安全指标对应的指标内容;
第一生成模块,用于基于同一风险工控网络拓扑对应的安全指标组生成对应的风险安全向量,得到各个风险工控网络拓扑分别对应的风险安全向量;
第二生成模块,用于基于各个风险安全向量生成所述风险工控网络拓扑安全向量。
可选的,所述测试模块,包括:
仿真模块,用于当所述第一安全评估反馈信息为表征工控拓扑无风险时,对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息。
可选的,测试工控网络拓扑为所述第一工控网络拓扑或所述第二工控网络拓扑,对所述测试工控网络拓扑进行测试网络攻击仿真操作,得到所述测试工控网络拓扑对应的测试仿真反馈信息,包括:
攻击单元,用于对所述测试工控网络拓扑进行模拟攻击并解析,得到所述测试工控网络拓扑对应的测试攻击反馈图结构;
第二比对单元,用于将所述测试攻击反馈图结构中的实体属性为故障属性的故障实体、设备属性的设备实体分别和预设风险关系数据库进行比对,将比对成功的故障实体和设备实体作为第一风险综合参考实体,将所述测试攻击反馈图结构中实体关系表征为流量特征且关系权重大于预置权重阈值的故障实体作为第二风险综合参考实体,基于所述第一风险综合参考实体和所述第二风险综合参考实体得到目标风险综合参考实体;
第三比对单元,用于将所述测试攻击反馈图结构中实体属性为设备属性的设备实体和预设风险设备实体进行比对,将比对成功的设备实体作为风险设备参考实体;
第一生成单元,用于在所述测试攻击反馈图结构中,基于所述目标风险综合参考实体和所述风险设备参考实体的关联信息得到所述测试工控网络拓扑对应的测试仿真反馈信息。
可选的,所述第一生成单元,包括:
查询子单元,用于对所述测试攻击反馈图结构进行查询统计,查询所述目标风险综合参考实体和所述风险设备参考实体之间的实体关联关系;
第一确定子单元,用于当所述目标风险综合参考实体和所述风险设备参考实体之间存在实体关联关系、且所述实体关联关系涉及有除所述目标风险综合参考实体和所述风险设备参考实体之外的其他故障实体时,确定测试工控网络拓扑中存在意外风险关联关系;
第二确定子单元,用于当所述目标风险综合参考实体通过意外风险关联关系以预设安全传输协议将流量发送至所述风险设备参考实体、且所述目标风险综合参考实体为第二风险综合参考实体时,确定所述测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险;
第三确定子单元,用于当测试工控网络拓扑中不存在意外风险关联关系时,确定所述测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险。
可选的,所述测试模块,包括:
第二提取单元,用于从所述第一工控网络拓扑对应的第一仿真反馈信息中获取所述第一工控网络拓扑对应的第一攻击反馈图结构,基于所述第一攻击反馈图结构提取出待修复漏洞清单;
修复单元,用于在所述预设安全环境中获取所述待修复漏洞清单中各个待修复漏洞对应的修复补丁,基于所述修复补丁修复所述待修复漏洞清单,得到修复后的工控网络拓扑;
输出单元,用于当所述第一工控网络拓扑和所述修复后的工控网络拓扑构成修复版本差异时,将所述修复后的工控网络拓扑作为所述第二工控网络拓扑,并输出;
所述装置还包括:
第二生成单元,用于基于所述预设安全环境下生成所述第二工控网络拓扑对应的第二攻击反馈图结构;
所述对所述第二工控网络拓扑进行第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二仿真反馈信息,包括:
第三生成单元,用于基于所述第二攻击反馈图结构对所述第二工控网络拓扑进行第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二仿真反馈信息。
可选的,所述获取模块,包括:
第一获取单元,用于获取第一工控网络拓扑获取指示;
第二获取单元,用于获取所述第一工控网络拓扑获取指示对应的第一发起方身份等级,根据所述第一发起方身份等级对应的至少一个预置信息摘要策略对所述第一工控网络拓扑获取指示提取特征,生成对应的第一拓扑获取指示摘要集合;所述第一拓扑获取指示摘要集合包括至少一个第一拓扑获取指示摘要;
第一匹配单元,用于将所述第一拓扑获取指示摘要和当前标准拓扑获取指示摘要进行匹配,得到拓扑获取指示摘要匹配结果;
第二匹配单元,用于将所述第一拓扑获取指示摘要对应的摘要信息和所述当前标准拓扑获取指示摘要对应的摘要信息进行匹配,得到摘要信息匹配结果;
第一确定单元,用于当所述拓扑获取指示摘要匹配结果和所述摘要信息匹配结果均为相同时,确定所述第一拓扑获取指示摘要和所述当前标准拓扑获取指示摘要比对成功;所述标准拓扑获取指示摘要库是对历史拓扑获取指示集合对应的历史拓扑获取指示摘要集合进行K-Means操作得到的;
第三获取单元,用于获取所述第一发起方身份等级对应的第一安全评分;
第四获取单元,用于基于比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略获取对应的预置散列算法安全评分;
排序单元,用于将相同类型发起者身份等级对应的各个预置散列算法安全评分从大到小进行排序,得到各类型发起者身份等级对应的身份等级表;
第一评分单元,用于根据相同类型发起者身份等级对应的身份等级表中排序第一和排序第二的预置散列算法安全评分得到各类型发起者身份等级对应的第一安全评分;
第二评分单元,用于根据相同类型发起者身份等级对应的身份等级表中剩余的预置散列算法安全评分和对应的第一安全评分得到各类型发起者身份等级对应的第二安全评分;
第三评分单元,用于基于相同类型发起者身份等级对应的第一安全评分和第二安全评分得到各类型发起者身份等级对应的平均安全评分,根据各个平均安全评分得到目标安全评分;
第二确定单元,用于获取标准安全评分,当所述目标安全评分大于所述标准安全评分时,确定所述拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为不安全;
第三确定单元,用于当所述目标安全评分小于或等于所述标准安全评分时,确定所述拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为安全,并在所述拓扑获取指示验证结果表征为安全时,从工控网络中获取所述第一工控网络拓扑。
可选的,所述装置还包括:
集合获取模块,用于获取历史拓扑获取指示集合;所述历史拓扑获取指示集合包括在同一验证周期内的多个历史拓扑获取指示;
生成模块,用于根据所述历史拓扑获取指示对应的历史发起方身份等级对所述历史拓扑获取指示提取特征,生成对应的历史拓扑获取指示摘要集合,所述历史拓扑获取指示摘要集合包括各个历史拓扑获取指示对应的历史拓扑获取指示摘要;
统计模块,用于将基于同一发起者身份等级对应的同一预置信息摘要策略生成的相同历史拓扑获取指示摘要进行K-Means操作得到多个不同的向量集合,统计同一向量集合内的历史拓扑获取指示摘要的数量,得到各个向量集合对应的投票系数;根据K-Means操作结果从所述历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到所述标准拓扑获取指示摘要库,包括:
摘要获取模块,用于将所述投票系数大于统计阈值的向量集合内的历史拓扑获取指示摘要作为所述标准拓扑获取指示摘要;
组合模块,用于根据所述K-Means操作结果从所述历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到所述标准拓扑获取指示摘要库。
需要说明的是,前述工控网络拓扑安全评估装置的实现原理可以参考前述工控网络拓扑安全评估方法的实现原理,在此不再赘述。
本发明实施例提供一种计算机设备100,计算机设备100包括处理器及存储有计算机指令的非易失性存储器,计算机指令被处理器执行时,计算机设备100执行前述的工控网络拓扑安全评估装置。如图3所示,图3为本发明实施例提供的计算机设备100的结构框图。计算机设备100包括工控网络拓扑安全评估装置、存储器111、处理器112及通信单元113。
本发明实施例提供一种可读存储介质,可读存储介质包括计算机程序,计算机程序运行时控制可读存储介质所在计算机设备执行前述的工控网络拓扑安全评估方法。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述工控网络拓扑安全评估方法,解决了现有技术中工控网络的安全性较低的问题,本申请先对第一工控网络拓扑进行资源消耗较少的第一本地安全性评估和第一网络攻击仿真操作,可以快速得到初步反馈信息,基于初步反馈信息可以快速直观确定第一工控网络拓扑是否为风险工控网络拓扑,再进一步基于预设安全环境下修复第一工控网络拓扑,对第一工控网络拓扑进行深度漏洞挖掘,得到第二工控网络拓扑,最后再对第二工控网络拓扑进行第二本地安全性评估和第二网络攻击仿真操作,得到目标反馈信息,基于目标反馈信息可以确定经过风险隐藏的第一工控网络拓扑是否为风险工控网络拓扑,通过安全评估、网络攻击仿真操作、工控网络拓扑修复的配合,可以扩大检测范围,从而提高风险工控网络拓扑的检测准确性。
出于说明目的,前面的描述是参考具体实施例而进行的。但是,上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导,众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用,从而使本领域技术人员最佳地利用本公开,并利用具有不同修改的各种实施例以适于预期的特定应用。出于说明目的,前面的描述是参考具体实施例而进行的。但是,上述说明性论述并不打算穷举或将本公开局限于所公开的精确形式。根据上述教导,众多修改和变化都是可行的。选择并描述这些实施例是为了最佳地说明本公开的原理及其实际应用,从而使本领域技术人员最佳地利用本公开,并利用具有不同修改的各种实施例以适于预期的特定应用。

Claims (10)

1.一种工控网络拓扑安全评估方法,其特征在于,所述方法包括:
获取第一工控网络拓扑;
对所述第一工控网络拓扑进行第一本地安全性评估,得到所述第一工5控网络拓扑对应的第一安全评估反馈信息;
根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息;
基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络0拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑;
对所述第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;
5当所述第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、所述第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定所述第一工控网络拓扑为风险工控网络拓扑。
2.根据权利要求1所述的方法,其特征在于,测试工控网络拓扑为所述0第一工控网络拓扑或所述第二工控网络拓扑,对所述测试工控网络拓扑进行测试本地安全性评估,得到所述测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息,包括:
从所述测试工控网络拓扑中提取网络参量,得到至少一个候选验证网络参量;
5将各个候选验证网络参量和风险工控网络拓扑网络参量进行比对;所述风险工控网络拓扑网络参量包括风险工控网络拓扑流量特征和风险工控网络拓扑安全向量中的至少一种;
当至少一个候选验证网络参量比对成功时,确定所述测试工控网络拓扑对应的测试本地安全性评估测试安全评估反馈信息为表征工控拓扑存在风险;
所述工控网络拓扑安全评估方法还包括以下步骤:
获取多个风险工控网络拓扑;
分别从各个风险工控网络拓扑中提取安全指标,得到各个风险工控网络拓扑对应的安全指标组,所述安全指标组包括多个安全指标和各个安全指标对应的指标内容;
基于同一风险工控网络拓扑对应的安全指标组生成对应的风险安全向量,得到各个风险工控网络拓扑分别对应的风险安全向量;
基于各个风险安全向量生成所述风险工控网络拓扑安全向量。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息,包括:
当所述第一安全评估反馈信息为表征工控拓扑无风险时,对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息。
4.根据权利要求1所述的方法,其特征在于,测试工控网络拓扑为所述第一工控网络拓扑或所述第二工控网络拓扑,对所述测试工控网络拓扑进行测试网络攻击仿真操作,得到所述测试工控网络拓扑对应的测试仿真反馈信息,包括:
对所述测试工控网络拓扑进行模拟攻击并解析,得到所述测试工控网络拓扑对应的测试攻击反馈图结构;
将所述测试攻击反馈图结构中的实体属性为故障属性的故障实体、设备属性的设备实体分别和预设风险关系数据库进行比对,将比对成功的故障实体和设备实体作为第一风险综合参考实体,将所述测试攻击反馈图结构中实体关系表征为流量特征且关系权重大于预置权重阈值的故障实体作为第二风险综合参考实体,基于所述第一风险综合参考实体和所述第二风险综合参考实体得到目标风险综合参考实体;
将所述测试攻击反馈图结构中实体属性为设备属性的设备实体和预设风险设备实体进行比对,将比对成功的设备实体作为风险设备参考实体;
在所述测试攻击反馈图结构中,基于所述目标风险综合参考实体和所述风险设备参考实体的关联信息得到所述测试工控网络拓扑对应的测试仿真反馈信息。
5.根据权利要求4所述的方法,其特征在于,所述在所述测试攻击反馈图结构中,基于所述目标风险综合参考实体和所述风险设备参考实体的关联信息得到所述测试工控网络拓扑对应的测试仿真反馈信息,包括:
对所述测试攻击反馈图结构进行查询统计,查询所述目标风险综合参考实体和所述风险设备参考实体之间的实体关联关系;
当所述目标风险综合参考实体和所述风险设备参考实体之间存在实体关联关系、且所述实体关联关系涉及有除所述目标风险综合参考实体和所述风险设备参考实体之外的其他故障实体时,确定测试工控网络拓扑中存在意外风险关联关系;
当所述目标风险综合参考实体通过意外风险关联关系以预设安全传输协议将流量发送至所述风险设备参考实体、且所述目标风险综合参考实体为第二风险综合参考实体时,确定所述测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险;
当测试工控网络拓扑中不存在意外风险关联关系时,确定所述测试工控网络拓扑对应的测试仿真反馈信息为表征工控拓扑无风险。
6.根据权利要求1所述的方法,其特征在于,所述基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑,包括:
从所述第一工控网络拓扑对应的第一仿真反馈信息中获取所述第一工控网络拓扑对应的第一攻击反馈图结构,基于所述第一攻击反馈图结构提取出待修复漏洞清单;
在所述预设安全环境中获取所述待修复漏洞清单中各个待修复漏洞对应的修复补丁,基于所述修复补丁修复所述待修复漏洞清单,得到修复后的工控网络拓扑;
当所述第一工控网络拓扑和所述修复后的工控网络拓扑构成修复版本差异时,将所述修复后的工控网络拓扑作为所述第二工控网络拓扑,并输出;
所述基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑之后,所述方法还包括:
基于所述预设安全环境下生成所述第二工控网络拓扑对应的第二攻击反馈图结构;
所述对所述第二工控网络拓扑进行第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二仿真反馈信息,包括:
基于所述第二攻击反馈图结构对所述第二工控网络拓扑进行第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二仿真反馈信息。
7.根据权利要求1所述的方法,其特征在于,所述获取第一工控网络拓扑,包括:
获取第一工控网络拓扑获取指示;
获取所述第一工控网络拓扑获取指示对应的第一发起方身份等级,根据所述第一发起方身份等级对应的至少一个预置信息摘要策略对所述第一工控网络拓扑获取指示提取特征,生成对应的第一拓扑获取指示摘要集合;所述第一拓扑获取指示摘要集合包括至少一个第一拓扑获取指示摘要;
将所述第一拓扑获取指示摘要和当前标准拓扑获取指示摘要进行匹配,得到拓扑获取指示摘要匹配结果;
将所述第一拓扑获取指示摘要对应的摘要信息和所述当前标准拓扑获取指示摘要对应的摘要信息进行匹配,得到摘要信息匹配结果;
当所述拓扑获取指示摘要匹配结果和所述摘要信息匹配结果均为相同时,确定所述第一拓扑获取指示摘要和所述当前标准拓扑获取指示摘要比对成功;所述标准拓扑获取指示摘要库是对历史拓扑获取指示集合对应的历史拓扑获取指示摘要集合进行K-Means操作得到的;
获取所述第一发起方身份等级对应的第一安全评分;
基于比对成功的第一拓扑获取指示摘要对应的预置信息摘要策略获取对应的预置散列算法安全评分;
将相同类型发起者身份等级对应的各个预置散列算法安全评分从大到小进行排序,得到各类型发起者身份等级对应的身份等级表;
根据相同类型发起者身份等级对应的身份等级表中排序第一和排序第二的预置散列算法安全评分得到各类型发起者身份等级对应的第一安全评分;
根据相同类型发起者身份等级对应的身份等级表中剩余的预置散列算法安全评分和对应的第一安全评分得到各类型发起者身份等级对应的第二安全评分;
基于相同类型发起者身份等级对应的第一安全评分和第二安全评分得到各类型发起者身份等级对应的平均安全评分,根据各个平均安全评分得到目标安全评分;
获取标准安全评分,当所述目标安全评分大于所述标准安全评分时,确定所述拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为不安全;
当所述目标安全评分小于或等于所述标准安全评分时,确定所述拓扑获取指示验证结果为所述拓扑获取指示验证结果表征为安全,并在所述拓扑获取指示验证结果表征为安全时,从工控网络中获取所述第一工控网络拓扑。
8.根据权利要求7所述的方法,其特征在于,所述获取第一工控网络拓扑获取指示之前,所述方法还包括:
获取历史拓扑获取指示集合;所述历史拓扑获取指示集合包括在同一验证周期内的多个历史拓扑获取指示;
根据所述历史拓扑获取指示对应的历史发起方身份等级对所述历史拓扑获取指示提取特征,生成对应的历史拓扑获取指示摘要集合,所述历史拓扑获取指示摘要集合包括各个历史拓扑获取指示对应的历史拓扑获取指示摘要;
将基于同一发起者身份等级对应的同一预置信息摘要策略生成的相同历史拓扑获取指示摘要进行K-Means操作得到多个不同的向量集合,统计同一向量集合内的历史拓扑获取指示摘要的数量,得到各个向量集合对应的投票系数;根据K-Means操作结果从所述历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到所述标准拓扑获取指示摘要库,包括:
将所述投票系数大于统计阈值的向量集合内的历史拓扑获取指示摘要作为所述标准拓扑获取指示摘要;
根据所述K-Means操作结果从所述历史拓扑获取指示摘要集合中确定标准拓扑获取指示摘要,各个标准拓扑获取指示摘要组合得到所述标准拓扑获取指示摘要库。
9.一种工控网络拓扑安全评估装置,其特征在于,所述装置包括:
获取模块,用于获取第一工控网络拓扑;
测试模块,用于对所述第一工控网络拓扑进行第一本地安全性评估,得到所述第一工控网络拓扑对应的第一安全评估反馈信息;根据所述第一工控网络拓扑对应的第一安全评估反馈信息对所述第一工控网络拓扑进行第一网络攻击仿真操作,得到所述第一工控网络拓扑对应的第一仿真反馈信息;基于预设安全环境下修复经过第一网络攻击仿真操作的第一工控网络拓扑,输出所述第一工控网络拓扑在所述预设安全环境修复后对应的第二工控网络拓扑;对所述第二工控网络拓扑分别进行第二本地安全性评估以及第二网络攻击仿真操作,得到所述第二工控网络拓扑对应的第二安全评估反馈信息以及第二仿真反馈信息;
评估模块,用于当所述第一工控网络拓扑对应的第一安全评估反馈信息、第一仿真反馈信息、所述第二工控网络拓扑对应的第二安全评估反馈信息和第二仿真反馈信息中至少一个反馈信息表征拓扑存在风险时,确定所述第一工控网络拓扑为风险工控网络拓扑。
10.一种计算机设备,其特征在于,所述计算机设备包括处理器及存储有计算机指令的非易失性存储器,所述计算机指令被所述处理器执行时,所述计算机设备执行权利要求1-7中任意一项所述的工控网络拓扑安全评估方法。
CN202211678454.5A 2022-12-26 2022-12-26 一种工控网络拓扑安全评估方法、装置及计算机设备 Active CN116016198B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211678454.5A CN116016198B (zh) 2022-12-26 2022-12-26 一种工控网络拓扑安全评估方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211678454.5A CN116016198B (zh) 2022-12-26 2022-12-26 一种工控网络拓扑安全评估方法、装置及计算机设备

Publications (2)

Publication Number Publication Date
CN116016198A true CN116016198A (zh) 2023-04-25
CN116016198B CN116016198B (zh) 2024-04-26

Family

ID=86026080

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211678454.5A Active CN116016198B (zh) 2022-12-26 2022-12-26 一种工控网络拓扑安全评估方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN116016198B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116382250A (zh) * 2023-05-24 2023-07-04 岭东核电有限公司 一种工控攻击事件监测感知处理方法及系统、存储介质
CN116723052A (zh) * 2023-08-04 2023-09-08 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021049A1 (en) * 2004-07-22 2006-01-26 Cook Chad L Techniques for identifying vulnerabilities in a network
WO2017105383A1 (en) * 2015-12-14 2017-06-22 Siemens Aktiengesellschaft System and method for passive assessment of industrial perimeter security
US11323330B1 (en) * 2019-06-27 2022-05-03 Juniper Networks, Inc. Validating network topologies
CN114726601A (zh) * 2022-03-28 2022-07-08 北京计算机技术及应用研究所 一种基于图结构的信息安全仿真建模与验证评估方法
CN115378744A (zh) * 2022-10-25 2022-11-22 天津丈八网络安全科技有限公司 一种网络安全测试评估系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021049A1 (en) * 2004-07-22 2006-01-26 Cook Chad L Techniques for identifying vulnerabilities in a network
WO2017105383A1 (en) * 2015-12-14 2017-06-22 Siemens Aktiengesellschaft System and method for passive assessment of industrial perimeter security
US11323330B1 (en) * 2019-06-27 2022-05-03 Juniper Networks, Inc. Validating network topologies
CN114726601A (zh) * 2022-03-28 2022-07-08 北京计算机技术及应用研究所 一种基于图结构的信息安全仿真建模与验证评估方法
CN115378744A (zh) * 2022-10-25 2022-11-22 天津丈八网络安全科技有限公司 一种网络安全测试评估系统及方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
X. WANG等: "Enhancing Communication-Based Train Control Systems Through Train-to-Train Communications", 《IEEE TRANSACTIONS ON INTELLIGENT TRANSPORTATION SYSTEMS》, vol. 20, no. 4, 31 December 2019 (2019-12-31), pages 1544 - 1561, XP011717309, DOI: 10.1109/TITS.2018.2856635 *
张宏斌;王晓磊;赵云龙;: "工控网络安全检测与防护体系研究", 信息技术与网络安全, no. 06, 10 June 2019 (2019-06-10) *
霍朝宾等: "基于云的工业信息安全试验平台架构设计", 《信息技术与网络安全》, no. 5, 31 December 2018 (2018-12-31), pages 25 - 27 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116382250A (zh) * 2023-05-24 2023-07-04 岭东核电有限公司 一种工控攻击事件监测感知处理方法及系统、存储介质
CN116382250B (zh) * 2023-05-24 2023-11-28 岭东核电有限公司 一种工控攻击事件监测感知处理方法及系统、存储介质
CN116723052A (zh) * 2023-08-04 2023-09-08 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质
CN116723052B (zh) * 2023-08-04 2023-10-20 北京微步在线科技有限公司 一种网络攻击响应方法、装置、计算机设备及存储介质

Also Published As

Publication number Publication date
CN116016198B (zh) 2024-04-26

Similar Documents

Publication Publication Date Title
CN116016198B (zh) 一种工控网络拓扑安全评估方法、装置及计算机设备
CN112235283B (zh) 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
CN113965404A (zh) 一种网络安全态势自适应主动防御系统及方法
US20090307777A1 (en) Method and device for predicting network attack action
CN105376193B (zh) 安全事件的智能关联分析方法与装置
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
CN110460481B (zh) 一种网络关键资产的识别方法
CN112600800B (zh) 基于图谱的网络风险评估方法
CN108092985B (zh) 网络安全态势分析方法、装置、设备及计算机存储介质
CN107294953A (zh) 攻击操作检测方法及装置
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
Bateni et al. Using Artificial Immune System and Fuzzy Logic for Alert Correlation.
CN113486343A (zh) 一种攻击行为的检测方法、装置、设备和介质
CN115150182B (zh) 基于流量分析的信息系统网络攻击检测方法
CN113704772B (zh) 基于用户行为大数据挖掘的安全防护处理方法及系统
CN116112211A (zh) 一种基于知识图谱的网络攻击链还原方法
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
CN113709097B (zh) 网络风险感知方法及防御方法
CN115022152A (zh) 一种用于判定事件威胁度的方法、装置及电子设备
CN113132414B (zh) 一种多步攻击模式挖掘方法
CN114866338A (zh) 网络安全检测方法、装置及电子设备
Yin et al. A network security situation assessment model based on BP neural network optimized by DS evidence theory
CN113055396B (zh) 一种跨终端溯源分析的方法、装置、系统和存储介质
KR102111136B1 (ko) 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant