CN116208416A - 一种工业互联网的攻击链路挖掘方法及系统 - Google Patents

一种工业互联网的攻击链路挖掘方法及系统 Download PDF

Info

Publication number
CN116208416A
CN116208416A CN202310212895.4A CN202310212895A CN116208416A CN 116208416 A CN116208416 A CN 116208416A CN 202310212895 A CN202310212895 A CN 202310212895A CN 116208416 A CN116208416 A CN 116208416A
Authority
CN
China
Prior art keywords
industrial internet
attack
risk
graph
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310212895.4A
Other languages
English (en)
Inventor
刘鹏飞
杨东
崔逸群
毕玉冰
燕前
刘超飞
朱博迪
刘迪
刘骁
肖力炀
王文庆
邓楠轶
董夏昕
王艺杰
崔鑫
朱召鹏
介银娟
南瑾
李凯
刘鹏举
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Thermal Power Research Institute Co Ltd
Huaneng Power International Inc
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Huaneng Power International Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd, Huaneng Power International Inc filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202310212895.4A priority Critical patent/CN116208416A/zh
Publication of CN116208416A publication Critical patent/CN116208416A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种工业互联网的攻击链路挖掘方法及系统,方法包括:基于工业互联网的设备信息建立漏洞集合;基于漏洞集合对工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建风险关联图;按照预设节点等级将风险关联图的节点集进行划分,并根据划分结果从关联风险图中挖掘可达攻击链路,生成备选攻击链路集合;计算各条备选攻击链路的实施成本,筛选出实施成本超过预设阈值的备选攻击链路,生成工业互联网系统的可实现攻击链路。本发明能够准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。

Description

一种工业互联网的攻击链路挖掘方法及系统
技术领域
本发明涉及工业控制技术领域,具体涉及一种工业互联网的攻击链路挖掘方法及系统。
背景技术
随着信息技术的大力推进,工业互联网成为了诸多工业控制系统未来发展方向和目标。工业互联网是指通过将具有感知能力的智能终端和泛在互联的通信网络应用到工业生产的各个环节,充分融合传感器、计算机网络、大数据分析处理等现代化技术,以低成本、低投资及高度适用性等优势,实现对工业生产程更便捷、更高效的过程感知与自动化管理,优化生产水平,提高生产效率,实现智能工业。
工业互联网与传统工控系统的差别在于:工业互联网使用了更多智能传感来获取传统工控系统无法采集的现场数据,同时采用了高度互联融合的多种通信模式来提供大数据的传输、交互,从而实现“泛在感知”。传感器网络在工业互联网应用过程中起到了枢纽的作用,而包含以太网、现场总线在内的有线通信和包含wifi、蓝牙在内的无线通信则是工业互联网的技术关键。面对更多类型的通信协议、更加开放的通信接口、更大交互规模的通信网络,如何保障工业互联网的设备安全成为了工控系统未来发展需要克服的主要难题。为了给工业互联网技术提供更强有力的安全保障,需要在工业网联网系统的通信交互网络上,对攻击者可能或优选的攻击手段、攻击链路开展深入挖掘与评估,以便于对工业互联网的安全防御提供预案支持。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中攻击链路挖掘的缺陷,从而提供一种工业互联网的攻击链路挖掘方法及系统,能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性,准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。
本发明解决上述技术问题的技术方案如下:
第一方面,本发明提供了一种工业互联网的攻击链路挖掘方法,包括以下步骤:
基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合;
基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图;
按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合;
计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。
本发明实施例提供的工业互联网的攻击链路挖掘方法,通过建立漏洞集合,基于漏洞集合评估设备之间的风险相关性并构建风险关联图,对关联图的节点集进行划分并根据划分结果挖掘可达攻击链路作为备选攻击链路集合,通过评估备选攻击链路的实施成本挖掘工业互联网系统的可实现攻击链路。本发明能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性,准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。
可选地,所述漏洞集合,包括:高危漏洞及潜在漏洞;所述高危漏洞,表征已经公开漏洞利用方式和威胁影响、但因工业环境需求难以更新补丁进行修复的漏洞,根据所述工业互联网系统所包含设备的系统版本号、软件版本号及固件型号,在国内外公开的漏洞库平台中查询CVE信息中CVSS分数筛选获取所述高危漏洞,包括:软件设计漏洞及硬件配置漏洞;所述潜在漏洞,表征工业环境下利用主动式漏洞挖掘技术探测得到的未知类型漏洞,以及已知存在于所述工业互联网设备但不能查询到详细公开信息的私密属性漏洞,通过对未查询到所述CVE信息的设备进行漏洞探测,并将探测结果与CVE信息进行对比获取所述潜在漏洞。
本发明通过在国内外公开的漏洞库平台中查询CVE信息,并根据CVE信息评估漏洞的CVSS分数,通过分数筛选获取高危漏洞,通过主动式Fuzzing挖掘技术对未查询到设备进行漏洞探测获取潜在漏洞,并对潜在漏洞的可利用性、可修复性、威胁程度进行评估。本发明收集已经公开的高危漏洞以及未知或私密的潜在漏洞,充分考虑工业互联网设备可能存在的威胁,因此基于漏洞集合挖掘出的攻击链路在真实场景下具有较高威胁,而且实现性更高,也能根据攻击链路挖掘结果完善现有技术中的安全防护措施。
可选地,所述基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图的过程,包括:根据所述漏洞集合分析不同漏洞利用的前置条件,并基于所述前置条件评估各设备在利用漏洞实施入侵攻击环节上的风险相关性;将所述工业互联网系统所包含的设备作为图节点,并根据所述风险相关性建立所述图节点之间的有向边;基于所述图节点与有向边构建所述工业互联网系统的风险关联图。
本发明通过判断工业互联网系统设备的漏洞之间是否存在必要的前置条件,来评估设备之间在利用漏洞实施入侵攻击环节上的风险相关性,将各设备作为图节点,根据风险相关性建立有向边,由有向边连接对应图节点构建系统的风险关联图,能够更直观地展现出设备之间的关联关系,通过关联图能够判断出各条路径的可达性,方便攻击链路的挖掘。
可选地,所述预设节点等级,包括:边缘层节点、中间层节点及核心层节点。
可选地,所述按照预设节点等级将所述风险关联图的节点集进行划分的过程,包括:根据所述风险关联图统计与设备相关的漏洞数量及漏洞分数,并根据所述漏洞数量及漏洞分数计算所述图节点的安全风险等级;根据所述风险关联图中图节点的安全风险等级、入度统计值及出度统计值构建图节点的特征向量;利用层次聚类算法在所述特征向量组成的特征空间上将所述图节点按照预设节点等级进行划分;将所述特征空间内距离空间坐标原点最近的簇中心所在节点集作为边缘层节点,将距离空间坐标原点最远的簇中心所在节点集作为核心层节点,其余节点集作为中间层节点。
本发明根据设备的漏洞数量及漏洞分数计算图节点的安全风险等级,其中漏洞数量及漏洞分数是在构建漏洞集合时获取:漏洞数量是高危漏洞数量和潜在漏洞数量之和,高危漏洞的漏洞分数是在获取高危漏洞过程中根据CVE信息评估的CVSS分数,潜在漏洞的分数是在获取潜在漏洞后参照相似类型的高危漏洞进行评分。依据安全风险等级构建的特征向量并通过层次聚类算法,将风险关联图中的节点集在特征向量组成的特征空间上划分为边缘层节点、中间层节点及核心层节点,相当于找到了攻击链路的起点与终点,起点是边缘层节点,终点是核心层节点,攻击链路由起点经过中间层节点到达终点,这样划分能够更清晰展示出设备之间的关联关系。
可选地,所述根据所述节点集的划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合的过程,包括:结合所述工业互联网系统在应用场景下配置的黑名单机制、白名单机制及通信规则,对所述风险关联图的有向边做剪切处理;在所述风险关联图中遍历搜索从所述边缘层节点到核心层节点的可达攻击路径;通过抽取所述可达攻击路径的图节点及有向边的相关信息来生成备选链路集合。
本发明根据节点集的划分结果挖掘可达攻击链路,边缘层节点作为起点,核心层节点作为终点,按照有向边进行路径搜索,路径会经过多个中间层节点汇聚至核心层节点,这是在考虑了设备之间风险相关性基础上挖掘出的可达攻击链路,存在实现的可能性。通过应用场景下配置的黑名单机制、白名单机制及通信规则对风险关联图做剪切处理,能够根据实际应用场景确定路径是否允许或禁止运行、路径是否能够进行通信,进一步保证路径的可达性。
可选地,所述计算各条备选攻击链路的实施成本的过程,包括:选取代价因子作为实施成本,并根据所述图节点的安全风险等级计算对应设备之间有向边的代价因子;将各条备选攻击链路中有向边的代价因子进行叠加,所得代价因子之和作为备选攻击链路的实施成本。
本发明通过选取代价因子作为实施成本的一种量化指标,根据图节点的安全风险等级计算每条有向边的代价因此,将备选攻击链路中所涉及有向边的代价因子进行叠加,由此获得备选攻击链路的实施成本。其中有向边的代价因子与有向边两端图节点的安全风险等级的乘积成反比,安全等级越低,代价因子越高,备选攻击链路的实施成本越高,代表此条攻击链路的在真实场景下的实现性越高且威胁性越高。
第二方面,本发明实施例提供了工业互联网的攻击链路挖掘系统,所述系统包括:
漏洞获取模块,用于基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合;
关联图构建模块,用于基于所述漏洞集合通过对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图;
第一链路挖掘模块,用于按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合;
第二链路挖掘模块,用于计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。
本发明实施例提供的工业互联网的攻击链路挖掘系统,通过建立漏洞集合,基于漏洞集合评估设备之间的风险相关性并构建风险关联图,对关联图的节点集进行划分并根据划分结果挖掘可达攻击链路作为备选攻击链路集合,通过评估备选攻击链路的实施成本挖掘工业互联网系统的可实现攻击链路。本发明能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性,准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。
第三方面,本发明实施例提供了一种计算机设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面,或者第一方面任意一种可选实施方式中所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行第一方面,或者第一方面任意一种可选实施方式中所述的方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种工业互联网的攻击链路挖掘方法的流程示意图;
图2为本发明实施例提供的一种工业互联网的攻击链路挖掘方法的风险关联图;
图3为本发明实施例提供的一种工业互联网的攻击链路挖掘系统的结构示意图;
图4为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供了一种工业互联网的攻击链路挖掘方法,如图1所示,该方法具体包括如下步骤:
步骤S1:基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合。
具体地,在本发明实施例中,建立的漏洞集合包括高危漏洞及潜在漏洞。高危漏洞指已经公开漏洞利用方式和威胁影响、但因工业环境需求难以更新补丁进行修复的漏洞,根据工业互联网系统所包含设备信息,例如设备的系统版本号、软件版本号及固件型号,但不以此为限,在国内外公开的漏洞库平台中查询CVE信息,根据CVE信息评估高危漏洞的CVSS分数并筛选出高危漏洞,统计高危漏洞的漏洞数量,并将CVSS分数作为高危漏洞的漏洞分数。CVE(Common Vulnerabilities&Exposures)相当于一个字典,为每个漏洞和暴露确定了唯一的名称,因此根据设备的相关信息快速查询到CVE信息。潜在漏洞包括工业环境下利用主动式漏洞挖掘技术探测得到的未知类型漏洞,以及已知存在于所述工业互联网设备但不能查询到详细公开信息的私密属性漏洞,根据设备信息,例如设备的操作系统类型、支持网络协议种类、应用系统及开放端口,但不以此为限,通过主动式的Fuzzing挖掘技术对未查询到所述CVE信息的设备进行漏洞探测,将探测结果与CVE信息进行对比获取潜在漏洞,统计潜在漏洞的漏洞数量,并参照与潜在漏洞相似类型的高危漏洞对潜在漏洞进行评分,获取潜在漏洞的漏洞分数。将高危漏洞与潜在漏洞合并,建立工业互联网系统的漏洞集合。其中设置第i个工业互联网设备的漏洞集合为Ei
步骤S2:基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图。
具体地,在本发明实施例中,根据漏洞集合分析不同漏洞利用的前置条件,评估工业互联网设备在利用漏洞实施入侵攻击环节上的关联关系,当第i个设备与第j个设备拓扑联通,且漏洞x∈Ei是漏洞y∈Ej利用的必要前置条件时,则表明第i个设备与第j个设备具有风险相关性。将工业互联网系统所包含的设备作为图节点,并根据风险相关性建立图节点之间的有向边,基于图节点与有向边构建所述工业互联网系统的风险关联图,如图2所示。
步骤S3:按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合。
具体地,在本发明实施例中,根据风险关联图统计与第i个工业互联网设备相关的漏洞数量Ni及漏洞分数Si,则第i个设备的漏洞集合可以标记为Ei→{Ni,Si},计算对应图节点的安全风险等级,公式如下所示:
Ri=Ni×Si
根据图节点的安全风险等级Ri、入度统计值Ii及出度统计值Oi,构建图节点的特征向量Fi=[Ri,Ii,Oi]。其中,入度代表有向图中某点的入边条数,出度代表有向图中某点的出边条数。利用层次聚类算法在特征向量组成的特征空间上将图2中的图节点划分为边缘层节点、中间层节点及核心层节点。其中,将距离空间坐标原点最近的簇中心所在节点集作为边缘层节点,将距离空间坐标原点最远的簇中心所在节点集作为核心层节点,其余节点集均作为中间层节点,如图2所示设备1、设备2为边缘层设备,设备6为核心层设备,设备3、设备4及设备5均为中间层设备。
本发明实施例中,结合工业互联网系统在应用场景下配置的黑名单机制、白名单机制、通信规则,对风险关联图的部分有向边做剪切处理,删除禁止运行的路径或无法进行通信的路径。剪切处理后在风险关联图中遍历搜索从边缘节点到核心节点的可达攻击路径,边缘层节点作为起点,核心层节点作为终点,按照有向边进行路径搜索,路径会经过多个中间层节点汇聚至核心层节点。路径搜索过程中如遇到回环节点和非所述核心节点的末端节点,则执行路径回退、更新方向重新搜索的规则处理。
抽取攻击路径上包含的图节点、有向边的相关信息,形成备选攻击链路集合,如图2所示,以设备1为入侵节点进行攻击路径抽取,则备选攻击链路包括:L1={R1,c13,R3,c34,R4,c46,R6}、L2={R1,c13,R3,c35,R5,c56,R6}和L3={R1,c14,R4,c46,R6}。
步骤S4:计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。
具体地,在本发明实施例中,选取代价因子作为本发明攻击链路实施成本的一种量化指标,仅作为示例,但不以此为限。根据图节点的安全风险等级计算对应设备之间有向边的代价因子,例如第i个设备与第j个设备具有风险相关性,第i个设备与第j个设备之间有向边的代价因子的计算公式如下所示:
Figure BDA0004113961540000101
将各条备选攻击链路中有向边的代价因子进行叠加,获得备选攻击链路的实施成本。在上述备选攻击链路L1、L2和L3中,统计有向边的代价因子总和作为其实施成本,对应:
c1=c13+c34+c46
c2=c13+c35+c56
c3=c14+c46
根据代价因子阈值cmax去除真实场景下攻击者难以执行的攻击链路,假设c1>cmax、c3>cmax,则具有真实攻击威胁的可实现攻击链路为L3
本发明实施例提供的工业互联网的攻击链路挖掘方法,能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性,准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。
本发明实施例提供了一种工业互联网的攻击链路挖掘系统,如图3所示,系统包括:
漏洞获取模块1,用于基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合。详细内容参见上述方法实施例中步骤S1的相关描述,在此不再进行赘述。
关联图构建模块2,用于基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图。详细内容参见上述方法实施例中步骤S2的相关描述,在此不再进行赘述。
第一链路挖掘模块3,用于按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合。详细内容参见上述方法实施例中步骤S3的相关描述,在此不再进行赘述。
第二链路挖掘模块4,用于计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。详细内容参见上述方法实施例中步骤S4的相关描述,在此不再进行赘述。
本发明实施例提供的工业互联网的攻击链路挖掘系统,能够根据工业互联网设备的漏洞信息分析工业互联网设备间的风险关联性,准确挖掘和评估工业互联网系统中存在的高威胁攻击链路,帮助技术人员对工业互联网系统进行信息防护,提高网络安全防护水平。
图4示出了本发明实施例中计算机设备的结构示意图,包括:处理器901和存储器902,其中,处理器901和存储器902可以通过总线或者其他方式连接,图4中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态服务器程序、非暂态计算机可执行程序以及模块,如上述方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态服务器程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述计算机设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,实现的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种工业互联网的攻击链路挖掘方法,其特征在于,包括如下步骤:
基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合;
基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图;
按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合;
计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。
2.根据权利要求1所述的工业互联网的攻击链路挖掘方法,其特征在于,所述漏洞集合,包括:高危漏洞及潜在漏洞;
所述高危漏洞,表征已经公开漏洞利用方式和威胁影响、但因工业环境需求难以更新补丁进行修复的漏洞,根据所述工业互联网系统所包含设备的系统版本号、软件版本号及固件型号,在国内外公开的漏洞库平台中查询CVE信息,并根据CVE信息评估漏洞的CVSS分数,通过分数筛选获取所述高危漏洞,包括:软件设计漏洞及硬件配置漏洞;
所述潜在漏洞,表征工业环境下利用主动式漏洞挖掘技术探测得到的未知类型漏洞,以及已知存在于所述工业互联网设备但不能查询到详细公开信息的私密属性漏洞,通过对未查询到所述CVE信息的设备进行漏洞探测,并将探测结果与CVE信息进行对比获取所述潜在漏洞。
3.根据权利要求1所述的工业互联网的攻击链路挖掘方法,其特征在于,所述基于所述漏洞集合对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图的过程,包括:
根据所述漏洞集合分析不同漏洞利用的前置条件,并基于所述前置条件评估各设备在利用漏洞实施入侵攻击环节上的风险相关性;
将所述工业互联网系统所包含的设备作为图节点,并根据所述风险相关性建立所述图节点之间的有向边;
基于所述图节点与有向边构建所述工业互联网系统的风险关联图。
4.根据权利要求3所述的工业互联网的攻击链路挖掘方法,其特征在于,所述预设节点等级,包括:边缘层节点、中间层节点及核心层节点。
5.根据权利要求4所述的工业互联网的攻击链路挖掘方法,其特征在于,所述按照预设节点等级将所述风险关联图的节点集进行划分的过程,包括:
根据所述风险关联图统计与设备相关的漏洞数量及漏洞分数,并根据所述漏洞数量及漏洞分数计算所述图节点的安全风险等级;
根据所述风险关联图中图节点的安全风险等级、入度统计值及出度统计值构建图节点的特征向量;
利用层次聚类算法在所述特征向量组成的特征空间上将所述图节点按照预设节点等级进行划分;
将所述特征空间内距离空间坐标原点最近的簇中心所在节点集作为边缘层节点,将距离空间坐标原点最远的簇中心所在节点集作为核心层节点,其余节点集作为中间层节点。
6.根据权利要求5所述的工业互联网的攻击链路挖掘方法,其特征在于,所述根据所述节点集的划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合的过程,包括:
结合所述工业互联网系统在应用场景下配置的黑名单机制、白名单机制及通信规则,对所述风险关联图的有向边做剪切处理;
在所述风险关联图中遍历搜索从所述边缘层节点到核心层节点的可达攻击路径;
通过抽取所述可达攻击路径的图节点及有向边的相关信息来生成备选链路集合。
7.根据权利要求3所述的工业互联网的攻击链路挖掘方法,其特征在于,所述计算各条备选攻击链路的实施成本的过程,包括:
选取代价因子作为实施成本,并根据所述图节点的安全风险等级计算对应设备之间有向边的代价因子;
将各条备选攻击链路中有向边的代价因子进行叠加,所得代价因子之和作为备选攻击链路的实施成本。
8.一种工业互联网的攻击链路挖掘系统,其特征在于,包括:
漏洞获取模块,用于基于工业互联网的设备信息建立所述工业互联网系统的漏洞集合;
关联图构建模块,用于基于所述漏洞集合通过对所述工业互联网系统的设备之间的风险相关性进行评估,并根据评估结果构建所述工业互联网系统的风险关联图;
第一链路挖掘模块,用于按照预设节点等级将所述风险关联图的节点集进行划分,并根据划分结果从所述关联风险图中挖掘可达攻击链路,生成所述工业互联网系统的备选攻击链路集合;
第二链路挖掘模块,用于计算各条备选攻击链路的实施成本,筛选出所述实施成本超过预设阈值的备选攻击链路,生成所述工业互联网系统的可实现攻击链路。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-7中任一项所述的工业互联网的攻击链路挖掘方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行权利要求1-7中任一项所述的工业互联网的攻击链路挖掘方法。
CN202310212895.4A 2023-03-06 2023-03-06 一种工业互联网的攻击链路挖掘方法及系统 Pending CN116208416A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310212895.4A CN116208416A (zh) 2023-03-06 2023-03-06 一种工业互联网的攻击链路挖掘方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310212895.4A CN116208416A (zh) 2023-03-06 2023-03-06 一种工业互联网的攻击链路挖掘方法及系统

Publications (1)

Publication Number Publication Date
CN116208416A true CN116208416A (zh) 2023-06-02

Family

ID=86510987

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310212895.4A Pending CN116208416A (zh) 2023-03-06 2023-03-06 一种工业互联网的攻击链路挖掘方法及系统

Country Status (1)

Country Link
CN (1) CN116208416A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117459328A (zh) * 2023-12-26 2024-01-26 广州森弘信息科技有限公司 基于网络安全异常检测的网络路径分析系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117459328A (zh) * 2023-12-26 2024-01-26 广州森弘信息科技有限公司 基于网络安全异常检测的网络路径分析系统及方法
CN117459328B (zh) * 2023-12-26 2024-03-22 广州森弘信息科技有限公司 基于网络安全异常检测的网络路径分析系统及方法

Similar Documents

Publication Publication Date Title
CN108696473B (zh) 攻击路径还原方法及装置
CN115296924B (zh) 一种基于知识图谱的网络攻击预测方法及装置
US20210352095A1 (en) Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking
US10630726B1 (en) Cybersecurity threat detection and mitigation system
US20150332054A1 (en) Probabilistic cyber threat recognition and prediction
US10003985B1 (en) System and method for determining reliability of nodes in mobile wireless network
US11522902B2 (en) Reliability calculation apparatus, reliability calculation method and program
KR20210074891A (ko) 공격 그래프 기반의 공격 대상 예측 방법 및 그를 위한 장치
CN111818055B (zh) 基于动态反馈的网络攻击路径分析方法
US11595418B2 (en) Graphical connection viewer for discovery of suspect network traffic
CN116208416A (zh) 一种工业互联网的攻击链路挖掘方法及系统
CN116170224A (zh) 渗透测试方法、装置、设备及介质
CN114615066A (zh) 目标路径确定方法以及装置
CN111191230B (zh) 一种基于卷积神经网络的快速网络攻击回溯挖掘方法和应用
CN116094850B (zh) 基于系统状态追踪图引导的网络协议漏洞检测方法及系统
Grottke et al. On the efficiency of sampling and countermeasures to critical-infrastructure-targeted malware campaigns
CN111614659A (zh) 未知网络流量的分布式检测方法
CN114528552B (zh) 基于漏洞的安全事件关联方法及相关设备
CN113709097B (zh) 网络风险感知方法及防御方法
CN113079153A (zh) 网络攻击类型的预测方法、装置及存储介质
CN114765555A (zh) 一种网络威胁的处理方法和通信装置
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN116488941B (zh) 攻击链的检测方法、装置及设备
CN115051833B (zh) 一种基于终端进程的互通网络异常检测方法
CN111586020B (zh) 一种概率模型构建方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination