WO2021237739A1

WO2021237739A1 - 工业控制系统安全性分析方法、装置和计算机可读介质

Info

Publication number: WO2021237739A1
Application number: PCT/CN2020/093522
Authority: WO
Inventors: 郭代飞
Original assignee: 西门子（中国）有限公司
Priority date: 2020-05-29
Filing date: 2020-05-29
Publication date: 2021-12-02
Also published as: EP4135281A1; US20230199029A1; US11843639B2; CN115428397A; EP4135281A4

Abstract

本发明提供了工业控制系统安全性分析方法、装置和计算机可读介质，该工业控制系统安全性分析方法包括：从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括相连接的第一工业控制系统和至少一个第二工业控制系统，通信数据包为第一工业控制系统中控制设备之间传输的交互数据；从通信数据包中提取网络可识别信息；判断网络可识别信息是否位于预先创建的事件数据库中；如果网络可识别信息位于事件数据库中，则确定通信数据包为恶意数据包，获取第一工业控制系统和每个第二工业控制系统的安全策略，根据网络可识别信息和各安全策略确定通信数据包对各个第二工业控制系统的威胁系数。本方案能够更加准确地对工业控制系统的安全性进行分析。

Description

工业控制系统安全性分析方法、装置和计算机可读介质

技术领域

本发明涉及通信技术领域，尤其涉及工业网络行为分析方法、装置和计算机可读介质。

背景技术

随着物联网(The Internet of Things，IOT)技术和运营技术(Operational Technology，OT)的不断发展与进步，大型生产型企业要求在同一个安全监控系统内监控所有工业控制系统，因此不同的工业控制系统会接入到同一安全监控系统构成OT网络，但由于工业控制系统的安全防御能力较弱，进而导致OT网络被恶意攻击的风险较高。

目前在对工业控制系统的安全性进行分析时，采集待分析工业控制系统内各控制设备之间传输的通信数据包，进而根据采集到的通信数据包对待分析工业控制系统进行安全性分析，以确定待分析工业控制系统是否存在被恶意攻击的风险。

针对目前对工业控制系统进行安全性分析的方法，根据从待分析工业控制系统内采集到的通信数据包对待分析工业控制系统的安全性进行分析，并不考虑同一OT网络中不同工业控制系统之间的影响，而一个工业控制系统受到恶意攻击时可能会影响位于同一OT网络中的另一个工业控制系统的安全性，因此无法准确地对工业控制系统的安全性进行分析。

发明内容

有鉴于此，本发明提供的工业控制系统安全性分析方法、装置和计算机可读介质，能够更加准确地对工业控制系统的安全性进行分析。

第一方面，本发明实施例提供了一种工业控制系统安全性分析方法包括：

从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括所述第一工业控制系统以及与所述第一工控控制系统相连接的至少一个第二工业控制系统，所述通信数据包为所述第一工业控制系统中控制设备之间传输的交互数据；

从所述通信数据包中提取网络可识别信息，其中，所述网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

判断所述网络可识别信息是否位于预先创建的事件数据库中；

如果所述网络可识别信息位于所述事件数据库中，则执行：

确定所述通信数据包为恶意数据包；

获取所述OT网络内所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，其中，所述安全策略用于表征对恶意数据包进行处理的规则；

根据所述网络可识别信息和各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，其中，所述威胁系统用于表征所述通信数据包对相应所述第二工业控制系统的威胁程度。

在第一种可能的实现方式中，结合上述第一方面，所述判断所述网络可识别信息是否位于预先创建的事件数据库中，包括：

获取所述网络可识别信息包括的至少一个识别参数，其中，所述识别参数包括收发所述通信数据包的控制设备的设备资产信息、收发所述通信数据包的控制设备的网际互联协议IP地址、传输所述通信数据包所使用的端口和协议、收发所述通信数据包的应用程序的应用信息和传输所述通信数据包所使用协议的标识中的至少一个；

判断所述事件数据库中是否存在至少一个所述识别参数；

如果所述事件数据库中存在至少一个所述识别参数，则确定所述网络可识别信息位于所述事件数据库中；

如果所述事件数据库中不存在任何一个所述识别参数，则确定所述网络可识别信息未位于所述事件数据库中。

在第二种可能的实现方式中，结合上述第一方面，所述分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，包括：

针对每一个所述第二工业控制系统，从该第二工业控制系统与所述第一工业控制系统之间的防火墙获取所述安全策略；

针对所述第一工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略；

针对所述第二工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略。

在第三种可能的实现方式中，结合上述第二种可能的实现方式，所述根据所述网络可识别信息和各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，包括：

针对位于一个所述第二工业控制系统中的一个所述控制设备，均执行：

根据所述网络可识别信息和第一安全策略，确定所述通信数据包通过该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙的第一概率，其中，所述第一安全策略为该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙所使用的安全策略；

根据所述网络可识别信息和第二安全策略，确定所述通信数据包通过所述第一工业控制系统与该控制设备所在的所述第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，所述第二安全策略为该控制设备的防火墙所使用的安全策略；

根据所述第一概率、所述第二概率和该控制设备的重要度权值，确定该控制设备的威胁系数分量，其中，所述重要度权值与该控制设备在所述第二工业控制系统中的重要系数正相关；

针对每一个所述第二工业控制系统，根据该第二工业控制系统中各个控制设备的所述威胁系数分量，确定所述通信数据包对各个所述第二工业控制系统的威胁系数。

在第四种可能的实现方式中，结合上述第一方面以及第一方面的第一种可能的实现方式、第二种可能的实现方式和第三种可能的实现方式中的任意一个，在所述分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略之后，进一步包括：

根据提取到的网络可识别信息和各个所述安全策略，确定所述OT网络中存在被所述通信数据包攻击风险的目标控制设备；

根据所述网络可识别信息分别确定所述通信数据包对每个所述目标控制设备的威胁系数；

将各个所述目标控制设备的威胁系数发送给管理员；

在接收到所述管理员根据各个所述目标控制设备的威胁系数而发出的确认指令后，根据所述网络可识别信息生成用于对至少一个获取到的所述安全策略进行优化的优化建议。

第二方面，本发明实施例还提供了一种工业控制系统安全性分析装置，包括：

一个数据采集模块，用于从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括所述第一工业控制系统以及与所述第一工控控制系统相连接的至少一个第二工业控制系统，所述通信数据包为所述第一工业控制系统中控制设备之间传输的交互数据；

一个信息提取模块，用于从所述数据采集模块采集到的所述通信数据包中提取网络可识别信息，其中，所述网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

一个判断模块，用于判断所述信息提取模块提取到的所述网络可识别信息是否位于预先创建的事件数据库中；

一个第一分析模块，用于在所述判断模块确定所述网络可识别信息位于所述事件数据库中时，确定所述通信数据包为恶意数据包；

一个策略获取模块，用于在所述判断模块确定所述网络可识别信息位于所述事件数据库中时，分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，其中，所述安全策略用于表征对恶意数据包进行处理的规则；

一个第二分析模块，用于根据所述信息提取模块提取到的所述网络可识别信息和所述策略获取模块获取到的各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，其中，所述威胁系统用于表征所述通信数据包对相应所述第二工业控制系统的威胁程度。

在第一种可能的实现方式中，结合上述第二方面，所述判断模块包括：

一个参数识别单元，用于获取所述网络可识别信息包括的至少一个识别参数，其中，所述识别参数包括收发所述通信数据包的控制设备的设备资产信息、收发所述通信数据包的控制设备的网际互联协议IP地址、传输所述通信数据包所使用的端口和协议、收发所述通信数据包的应用程序的应用信息和传输所述通信数据包所使用协议的标识中的至少一个；

一个参数查找单元，用于判断所述事件数据库中是否存在至少一个由所述参数识别单元获取到的所述识别参数；

一个第一判断单元，用于在所述参数查找单元确定所述事件数据库中存在至少一个所述识别参数，则确定所述网络可识别信息位于所述事件数据库中；

一个第二判断单元，用于在所述参数查找单元确定所述事件数据库中不存在任何一个所述识别参数，则确定所述网络可识别信息未位于所述事件数据库中。

在第二种可能的实现方式中，结合上述第二方面，所述策略获取模块包括：

一个第一策略获取单元，用于针对每一个所述第二工业控制系统，从该第二工业控制系统与所述第一工业控制系统之间的防火墙获取所述安全策略；

一个第二策略获取单元，用于针对所述第一工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略；

一个第三策略获取单元，用于针对所述第二工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略。

在第三种可能的实现方式中，结合上述第二种可能的实现方式，所述第二分析模块包括：

一个第一计算单元，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据所述网络可识别信息和第一安全策略，确定所述通信数据包通过该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙的第一概率，其中，所述第一安全策略为该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙所使用的安全策略；

一个第二计算单元，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据所述网络可识别信息和第二安全策略，确定所述通信数据包通过所述第一工业控制系统与该控制设备所在的所述第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，所述第二安全策略为该控制设备的防火墙所使用的安全策略；

一个第三计算单元，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据该控制设备的重要度权值以及所述第一计算单元确定出的所述第一概率和所述第二计算单元确定出的所述第二概率，确定该控制设备的威胁系数分量，其中，所述重要度权值与该控制设备在所述第二工业控制系统中的重要系数正相关；

一个第四计算单元，用于针对每一个所述第二工业控制系统，根据所述第三计算单元确定出的该第二工业控制系统中各个控制设备的所述威胁系数分量，确定所述通信数据包对各个所述第二工业控制系统的威胁系数。

在第四种可能的实现方式中，结合上述第二方面以及第二方面的第一种可能的实现方式、第二种可能的实现方式和第三种可能的实现方式中的任意一个，该工业控制系统安全性分析装置进一步包括：

一个设备筛选模块，用于根据所述信息提取模块获取到的所述网络可识别信息和所述策略获取模块获取到的各个所述安全策略，确定所述OT网络中存在被所述通信数据包攻击风险的目标控制设备；

一个系数计算模块，用于根据所述信息提取模块获取到的所述网络可识别信息，分别确定所述通信数据包对所述设备筛选模块确定出的每一个所述目标控制设备的威胁系数；

一个信息发送模块，用于将所述系数计算模块确定出的各个所述目标控制设备的威胁系数发送给管理员；

一个策略优化模块，用于在接收到所述管理员根据所述信息发送模块所发送的各个所述目标控制设备的威胁系数而发出的确认指令后，根据所述网络可识别信息生成用于对至少一个由所述策略获取模块获取到的所述安全策略进行优化的优化建议。

第三方面，本发明实施例还提供了另一种工业控制系统安全性分析装置，包括：至少一个存储器和至少一个处理器；

所述至少一个存储器，用于存储机器可读程序；

所述至少一个处理器，用于调用所述机器可读程序，执行上述第一方面以及第一方面的任一可能的实现方式所提供的方法。

第四方面，本发明实施例还提供了一种计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行上述第一方面以及第一方面的任一可能的实现方式所提供的方法。

由上述技术方案可知，OT网络包括由至少两个工业控制系统所构成，在从OT网络中的第一工业控制系统采集到通信数据包后，从所采集到的通信数据包中提取网络可识别信息，进而根据所提取到的网络可识别信息和预先创建的事件数据库确定采集到的通信数据包是否为恶意数据包，如果确定所采集到的通信数据包为可能对第一工业控制系统进行恶意攻击的恶意数据包，则进一步获取OT网络内各个工业控制系统的安全策略，并根据获取到的各个安全策略和已经提取到的网络可识别信息，确定该恶意数据包对OT网络中除第一工业控制系统之外的各个第二工业控制系统的威胁系数。由此可见，针对OT网络中的任意一个工业控制系统，不仅会分析该工业控制系统内控制设备之间传输的通信数据包是否为恶意数据包，还会根据OT网络中各工业控制系统的安全策略分析其他工业控制系统内传输的恶意数据包对该工业控制系统的威胁，因此能够更加全面的分析工业控制系统存在的安全问题，从而能够更加准确地对工业控制系统的安全性进行分析。

附图说明

图1是本发明一个实施例提供的一种工业控制系统安全性分析方法的流程图；

图2是本发明一个实施例提供的一种工业控制系统威胁系数确定方法的流程图；

图3是本发明一个实施例提供的一种安全策略优化建议生成方法的流程图；

图4是本发明一个实施例提供的一种工业控制系统安全性分析装置的示意图；

图5是本发明一个实施例提供的另一种工业控制系统安全性分析装置的示意图；

图6是本发明一个实施例提供的又一种工业控制系统安全性分析装置的示意图；

图7是本发明一个实施例提供的再一种工业控制系统安全性分析装置的示意图；

图8是本发明一个实施例提供的一种包括策略优化模块的工业控制系统安全性分析装置的示意图；

图9是本发明一个实施例提供的一种包括存储器和处理器的工业控制系统安全性分析装置的示意图。

附图标记列表：

101：从第一工业控制系统采集通信数据包

102：从通信数据包中提取网络可识别信息

103：判断网络可识别信息是否位于预先创建的事件数据库中

104：如果网络可识别信息位于事件数据库中，则确定通信数据包为恶意数据包

105：获取OT网络内第一工业控制系统和每一个第二工业控制系统的安全策略

106：根据网络可识别信息和安全策略，确定通信数据包对第二工业控制系统的威胁系数

201：根据网络可识别信息和第一安全策略，确定第一概率

202：根据网络可识别信息和第二安全策略，确定第二概率

203：根据第一概率、第二概率和控制设备的重要度权值，确定该控制设备的威胁系数分量

204：根据第二工业控制系统中各控制设备的威胁系数分量，确定威胁系数

301：根据网络可识别信息和各安全策略，确定存在被通信数据包攻击风险的目标控制设备

302：根据网络可识别信息分别确定通信数据包对每个目标控制设备的威胁系数

303：将各个目标控制设备的威胁系数发送给管理员

304：在接收到确认指令后，根据网络可识别信息生成优化建议

41：数据采集模块 42：信息提取模块 43：判断模块

44：第一分析模块 45：策略获取模块 46：第二分析模块

47：设备筛选模块 48：系数计算模块 49：信息发送模块

410：策略优化模块 411：存储器 412：处理器

431：参数识别单元 432：参数查找单元 433：第一判断单元

434：第二判断单元 451：第一策略获取单元 452：第二策略获取单元

453：第三策略获取单元 461：第一计算单元 462：第二计算单元

463：第三计算单元 464：第四计算单元

具体实施方式

如前所述，在由多个工业控制系统所构成的OT网络中，可以采集工业控制系统内控制设备之间所传输的通信数据包，进而根据采集到的通信数据包对工业控制系统的安全性进行分析，其中通信数据包可以是控制指令、设备状态信息等。目前在对工业控制系统的安全性进行分析时，分别采集每一个工业控制系统内控制设备之间传输的通信数据包，进而根据所采集到的通信数据包对相应工业控制系统的安全性进行分析，然而位于同一OT网络中的工业控制系统之间会相互影响，当一个工业控制系统受到恶意攻击时可能会影响同一OT网络中的另一个工业控制系统的安全性，因此根据控制设备之间的通信数据包独立地对各个工业控制系统进行安全性分析时，并不能全面反映工业控制系统可能受到的恶意攻击，导致无法准确地对工业控制系统的安全性进行分析。

本发明实施例中，从一个工业控制系统采集通信数据包，当确定所采集到的通信数据包为恶意数据包后，获取该工业控制系统所在OT网络内各个工业控制系统的安全策略，进而根据获取到的各个安全策略可以分析该恶意数据包对OT网络内其他工业控制系统的威胁系数。由此可见，在对工业控制系统的安全性进行分析时，不仅检测当前工业控制系统内控制设备之间的通信数据包是否为恶意数据包，还会根据同一OT网络内各个工业控制系统的安全策略来确定在其他工业控制系统内采集到的恶意数据对当前工业控制系统的威胁，进而可以更加全面地对工业控制系统的安全性进行分析，以保证对工业控制系统的安全性进行分析的准确性。

下面结合附图对本发明实施例提供的工业控制系统安全性分析方法和装置进行详细说明。

如图1所示，本发明实施例提供了一种工业控制系统安全性分析方法，该方法可以包括如下步骤：

步骤101：从第一工业控制系统采集通信数据包，其中，OT网络包括第一工业控制系统以及与第一工控控制系统相连接的至少一个第二工业控制系统，通信数据包为第一工业控制系统中控制设备之间传输的交互数据；

步骤102：从通信数据包中提取网络可识别信息，其中，网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

步骤103：判断网络可识别信息是否位于预先创建的事件数据库中；

步骤104：如果网络可识别信息位于事件数据库中，则确定通信数据包为恶意数据包；

步骤105：获取OT网络内第一工业控制系统和每一个第二工业控制系统的安全策略，其中，安全策略用于表征对恶意数据包进行处理的规则；

步骤106：根据网络可识别信息和各个安全策略，确定通信数据包对各个第二工业控制系统的威胁系数，其中，威胁系统用于表征通信数据包对相应第二工业控制系统的威胁程度。

在本发明实施例中，OT网络包括由至少两个工业控制系统所构成，在从OT网络中的第一工业控制系统采集到通信数据包后，从所采集到的通信数据包中提取网络可识别信息，进而根据所提取到的网络可识别信息和预先创建的事件数据库确定采集到的通信数据包是否为恶意数据包，如果确定所采集到的通信数据包为可能对第一工业控制系统进行恶意攻击的恶意数据包，则进一步获取OT网络内各个工业控制系统的安全策略，并根据获取到的各个安全策略和已经提取到的网络可识别信息，确定该恶意数据包对OT网络中除第一工业控制系统之外的各个第二工业控制系统的威胁系数。由此可见，针对OT网络中的任意一个工业控制系统，不仅会分析该工业控制系统内控制设备之间传输的通信数据包是否为恶意数据包，还会根据OT网络中各工业控制系统的安全策略分析其他工业控制系统内传输的恶意数据包对该工业控制系统的威胁，因此能够更加全面的分析工业控制系统存在的安全问题，从而能够更加准确地对工业控制系统的安全性进行分析。

在本发明实施例中，在从第一工业控制系统采集通信数据包时，可以截取第一工业控制系统的流量，从而获得第一工业控制系统内各控制设备之间传输的通信数据包。具体地，可以在第一工业控制系统中设置探针(数据采集传感器)，利用探针从第一工业控制系统中的接入交换机和系统总线截取流量，其中，系统总线用于连接可编程逻辑控制器(Programmable Logic Controller，PLC)与工程师站(Engineer stations)和操作员站(Operator stations)，接入交换机用于连接运营中心与工程师站和操作员站。

可选地，在图1所示工业控制系统安全性分析方法的基础上，所采集到的通信数据包为工业控制系统内控制设备之间所传输的交互数据，比如可以是控制指令、状态反馈信息等，为了便于根据通信数据包对工业控制系统的安全性进行分析，需要从通信数据包中提取网络可识别信息，网络可识别信息用于标识相应通信数据包的通信对象、通信规则以及通信内容等信息，进而可以从通信对象、通信规则、通信内容等多个方面来判断通信数据包是否为恶意数据包，以及在确定通信数据包为恶意数据包的基础上确定通信数据包对其他工业控制系统的威胁。

网络可识别参数可以包括如下识别参数中的任意一个或多个：资产信息、IP地址、通信端口、通信协议、应用程序信息以及协议中的特殊标识。其中，资产信息为收发相应通信数据包的控制设备的设备资产信息，比如可以是设备名称、设备类型、设备的供应商、设备的操作系统/固件的版本号等，IP地址为收到相应通信数据包的控制设备的IP地址，通信端口是收发相应通信数据包时使用的端口，通信协议是收发相应通信数据包时所使用的协议，应用程序信息是收发相应通信数据包的应用程序的应用信息，比如可以是应用程序名称、版本等。

在本发明实施例中，从通信数据包中提取到网络可识别信息后，可以检测预先创建的事件数据库中是否存在网络可识别信息所包括各个识别参数中的至少一个，如果事件数据库中存在网络可识别信息包括的至少一个识别参数，则确定所采集到的通信数据包为恶意数据包，而如果事件数据库中不存在网络可识别信息包括的任何一个识别参数，则确定所采集到的通信数据包为合法数据包。将恶意数据包所具有的各项识别参数存储到事件数据库中，进而将网络可识别信息包括的识别参数与事件数据库中的识别参数进行匹配，可以准确地确定网络可识别信息所对应的通信数据包是否为恶意数据包，进而进一步保证对工业控制系统进行安全性分析的准确性。

可选地，在图1所示工业控制系统安全性分析方法的基础上，在确定一个通信数据包为恶意数据包之后，可以获取OT网络中各个工业控制系统的安全策略，进而根据所获取到的安全策略分析该通信数据包对各个工业控制系统的威胁。具体可以通过如下方式获取OT网络中各个工业控制系统的安全策略：

针对OT网络中的每一个第二工业控制系统，从该第二工业控制系统与第一工业控制系统之间的防火墙获取安全策略；

针对OT网络中第一工业控制系统所包括的每一个控制设备，从该控制设备的防火墙中获取安全策略；

针对OT网络中第二工业控制系统所包括的每一个控制设备，从该控制设备的防火墙中获取安全策略。

在本发明实施例中，在确定从第一工业控制系统中采集到的通信数据包为恶意数据包后，该通信数据包可能会从第一工业控制系统中的一个控制设备传输至另一个控制设备，还可能从第一工业控制系统传输到第二工业控制系统，还可能从第二工业控制系统中的一个控制设备传输至另一个控制设备，而控制设备的防火墙用于对控制设备所接收到恶意数据包进行过滤，工业控制系统之间的防火墙用于对工业控制系统之间传输的恶意数据包进行过滤，且防火墙按照相应的安全策略对恶意数据包进行过滤。因此，通过从各个控制设备的防火墙和工业控制系统之间的防火墙获取安全策略，可以分析恶意数据包通过不同路径传输至相应工业控制系统而造成威胁的威胁系数，还可以分析出可能会受到恶意数据包攻击的控制设备以及具体的受影响程度，从而能够更加全面的对工业控制系统的安全性进行分析。

在本发明实施例中，安全策略是防火墙对恶意数据包进行过滤和处理的依据，安全策略具体可以允许/拒绝的源地址、允许/拒绝的目标地址、允许/拒绝的服务/协议以及允许/拒绝的安全区域等。

可选地，在从OT网络中各控制设备的防火墙和各工业控制系统之间的防火墙获取到安全策略之后，可以根据从通信数据包中提取到的网络可识别信息和获取到的各个安全策略来确定通信数据包对各个第二工业控制系统的威胁系数。如图2所示，可以通过如下方式来确定通信数据包对一个第二工业控制系统的威胁系数：

步骤201：针对该第二工业控制系统中的每一个控制设备，根据网络可识别信息和第一安全策略，确定通信数据包通过该控制设备所在的第二工业控制系统与第一工业控制系统之间防火墙的第一概率，其中，第一安全策略为该控制设备所在的第二工业控制系统与第一工业控制系统之间防火墙所使用的安全策略；

步骤202：针对该第二工业控制系统中的每一个控制设备，根据网络可识别信息和第二安全策略，确定通信数据包通过第一工业控制系统与该控制设备所在的第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，第二安全策略为该控制设备的防火墙所使用的安全策略；

步骤203：针对该第二工业控制系统中的每一个控制设备，根据第一概率、第二概率和该控制设备的重要度权值，确定该控制设备的威胁系数分量，其中，重要度权值与该控制设备在第二工业控制系统中的重要系数正相关；

步骤204：根据该第二工业控制系统中各个控制设备的威胁系数分量，确定通信数据包对各个第二工业控制系统的威胁系数。

在本发明实施例中，第一概率用于表征通信数据包通过第一工业控制系统和第二工业控制系统之间防火墙的概率，第二概率用于表征通信数据包通过第一工业控制系统和第二工业控制系统后对第二工业控制系统中相应控制设备造成威胁的概率，第一安全策略为从第一工业控制系统和第二工业控制系统之间的防火墙获取的安全策略，第二安全策略为第二工业控制系统中相应控制设备的安全策略。根据网络可识别信息与第一安全策略的匹配关系，可以确定第一概率，根据网络可识别信息与第二安全策略的匹配关系，可以确定第二概率。

在本发明实施例中，由于同一工业控制系统通常包括有多个控制设备，不同控制设备在工业控制系统中负责执行不同的任务，因此不同的控制设备对于工业控制系统具有不同的重要程度，根据控制设备对于工业控制系统的重要性可以为不同的控制设备预设相应的重要度权值，使得控制设备的重要度权值与该控制设备在工业控制系统中的重要性相对应。针对位于一个第二工业控制系统中的一个控制设备，根据该控制设备对应的第一概率、第二概率和重要度权值可以确定该控制设备的威胁系数分量，进而对同一第二工业控制系统中各个控制设备的威胁系数分量进行求和，便可以获得通信数据包对该第二工业控制系统的威胁系数。

在本发明实施例中，根据从工业控制系统之间防火墙获取的安全策略和从控制设备的防火墙获取的安全策略，可以确定恶意数据包通过防火墙达到各个控制设备的概率，根据恶意数据包到达控制设备的概率和控制设备对于工业控制系统的重要程度可以确定控制设备的威胁系数分量，根据同一工业控制系统中各个控制设备的威胁系数分量可以确定通信数据包对该工业控制系统的威胁系数。在确定通信数据包对工业控制系统的威胁系数时，综合了工业控制系统内各个控制设备受通信数据包影响的概率和各个控制设备对于工业控制系统的重要程度，使得确定出的威胁系数更加准确，从而能够进一步提高对工业控制系统进行安全性分析的准确性。

可选地，在上述各个实施例所提供工业控制系统安全性分析方法的基础上，在获取到第一工业控制系统和各个第二工业控制系统的安全策略之后，还可以根据获取到的安全策略确定出可能被通信数据包攻击的所有控制设备，并根据所有可能被通信数据包攻击的控制设备生成用于对安全策略进行优化的优化建议。如图3所示，对安全策略进行优化的方法可以包括如下步骤：

步骤301：根据提取到的网络可识别信息和各个安全策略，确定OT网络中存在被通信数据包攻击风险的目标控制设备；

步骤302：根据网络可识别信息分别确定通信数据包对每个目标控制设备的威胁系数；

步骤303：将各个目标控制设备的威胁系数发送给管理员；

步骤304：在接收到管理员根据各个目标控制设备的威胁系数而发出的确认指令后，根据网络可识别信息生成用于对至少一个获取到的安全策略进行优化的优化建议。

在本发明实施例中，对于第一工业控制系统中的控制设备，根据从该控制设备的防火墙获取的安全策略与网络可识别信息的匹配程度，确定该控制设备被通信数据包攻击的概率，对于第二工业控制系统中的控制设备，根据从该控制设备所对应的第一安全策略和第二安全策略与网络可识别信息的匹配程度，确定该控制设备被通信数据包攻击的概率。预先设定攻击概率阈值，当一个控制设备被通信数据包共计的概率大于攻击概率阈值时，将该控制设备确定为目标控制设备。

在本发明实施例中，针对每一个目标控制设备，如果该目标控制设备位于第一工业控制系统中，则通信数据包对该目标控制设备的威胁系数等于该目标控制设备被通信数据包攻击的概率，如果该目标控制设备位于第二工业控制系统中，则通信数据包对该目标控制设备的威胁系数等于该目标控制设备所对应的第一概率与第二概率的乘积。

在本发明实施例中，确定出各个目标控制设备的威胁系数后，将各个目标控制设备以及各个目标控制设备的威胁系数发送给管理员，由管理员根据各个目标控制设备的威胁系数确认通信数据包是否为非法数据包，当用户发出用于指示通信数据包为非法数据包的确认指令后，根据网络可识别信息生成用于对至少一个获取到的安全策略进行优化的优化建议。

在本发明实施例中，在确定出可能会被通信数据包攻击的目标控制设备后，将各个目标控制设备的标识信息和威胁系数发送给管理员，由管理员根据各个目标控制设备的标识信息和威胁系数确认通信数据包是否确实是非法数据包，如果管理员确定通信数据包确实是非法数据包，则自动根据网络可识别信息生成用于对安全策略进行优化的优化建议，并将所生成的优化建议发送给策略优化软件或管理员，以便于对安全策略进行优化，使得优化后的安全策略能够有效处理被确定为非法数据包的通信数据包，从而提高工业控制系统和OT网络的安全性。

在本发明实施例中，在管理员确认通信数据包为非法数据包后，将通信数据包的相关信息以及各个目标控制设备的标识信息发送给报警模块，报警模块发出报警信息，使得网络维护人员及时对通信数据包进行处理，以避免通信数据包对OT网络造成更加严重的攻击。

可选地，在从通信数据包中提取出网络可识别信息后，检测预先创建的不可信资产数据库中是否包括有提取出的网络可识别信息，如果不可信资产数据库中包括有提取出的网络可识别信息，则根据不可信资产数据库中存储的信息确定对应于通信数据包的服务或应用流量统计信息，并将确定出的服务或应用流量统计信息发送给管理员，以便于管理员确定通信数据包是否为非法数据包。另外，如果管理员根据各个目标控制设备的标识和各个目标控制设备的威胁系数确认通信数据包为非法数据包，则将从通信数据包中提取到的网络可识别信息存储到不可信资产数据库中，以便针对后续检测出的恶意数据包进行服务或应用流量统计。

可选地，在确定通信数据包为恶意数据包后，检测通信数据包所对应事件的严重程度，如果通信数据包所对应事件较严重，则检查各个安全策略，以确定防火墙是否允许通信数据包通过，避免通信数据包对工业控制系统和OT网络造成严重的破坏。

如图4所示，本发明一个实施例提供了一种工业控制系统安全性分析装置，包括：

一个数据采集模块41，用于从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括第一工业控制系统以及与第一工控控制系统相连接的至少一个第二工业控制系统，通信数据包为第一工业控制系统中控制设备之间传输的交互数据；

一个信息提取模块42，用于从数据采集模块41采集到的通信数据包中提取网络可识别信息，其中，网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

一个判断模块43，用于判断信息提取模块42提取到的网络可识别信息是否位于预先创建的事件数据库中；

一个第一分析模块44，用于在判断模块43确定网络可识别信息位于事件数据库中时，确定通信数据包为恶意数据包；

一个策略获取模块45，用于在判断模块43确定网络可识别信息位于事件数据库中时，分别获取第一工业控制系统和每一个第二工业控制系统的安全策略，其中，安全策略用于表征对恶意数据包进行处理的规则；

一个第二分析模块46，用于根据信息提取模块42提取到的网络可识别信息和策略获取模块45获取到的各个安全策略，确定通信数据包对各个第二工业控制系统的威胁系数，其中，威胁系统用于表征通信数据包对相应第二工业控制系统的威胁程度。

在本发明实施例中，数据采集模块41可用于执行上述方法实施例中的步骤101，信息提取模块42可用于执行上述方法实施例中的步骤102，判断模块43可用于执行上述方法实施例中的步骤103，第一分析模块44可用于执行上述方法实施例中的步骤104，策略获取模块45可用于执行上述方法实施例中的步骤105，第二分析模块46可用于执行上述方法实施例中的步骤106。

可选地，在图4所示工业控制系统安全性分析装置的基础上，如图5所示，判断模块43包括：

一个参数识别单元431，用于获取网络可识别信息包括的至少一个识别参数，其中，识别参数包括收发通信数据包的控制设备的设备资产信息、收发通信数据包的控制设备的网际互联协议IP地址、传输通信数据包所使用的端口和协议、收发通信数据包的应用程序的应用信息和传输通信数据包所使用协议的标识中的至少一个；

一个参数查找单元432，用于判断事件数据库中是否存在至少一个由参数识别单元431获取到的识别参数；

一个第一判断单元433，用于在参数查找单元432确定事件数据库中存在至少一个识别参数，则确定网络可识别信息位于事件数据库中；

一个第二判断单元434，用于在参数查找单元432确定事件数据库中不存在任何一个识别参数，则确定网络可识别信息未位于事件数据库中。

可选地，在图4所示工业控制系统安全性分析装置的基础上，如图6所示，策略获取模块45包括：

一个第一策略获取单元451，用于针对每一个第二工业控制系统，从该第二工业控制系统与第一工业控制系统之间的防火墙获取安全策略；

一个第二策略获取单元452，用于针对第一工业控制系统中的每一个控制设备，从该控制设备的防火墙中获取安全策略；

一个第三策略获取单元453，用于针对第二工业控制系统中的每一个控制设备，从该控制设备的防火墙中获取安全策略。

可选地，在图6所示工业控制系统安全性分析装置的基础上，如图7所示，第二分析模块46包括：

一个第一计算单元461，用于针对位于一个第二工业控制系统中的一个控制设备，根据网络可识别信息和第一安全策略，确定通信数据包通过该控制设备所在的第二工业控制系统与第一工业控制系统之间防火墙的第一概率，其中，第一安全策略为该控制设备所在的第二工业控制系统与第一工业控制系统之间防火墙所使用的安全策略；

一个第二计算单元462，用于针对位于一个第二工业控制系统中的一个控制设备，根据网络可识别信息和第二安全策略，确定通信数据包通过第一工业控制系统与该控制设备所在的第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，第二安全策略为该控制设备的防火墙所使用的安全策略；

一个第三计算单元463，用于针对位于一个第二工业控制系统中的一个控制设备，根据该控制设备的重要度权值以及第一计算单元461确定出的第一概率和第二计算单元462确定出的第二概率，确定该控制设备的威胁系数分量，其中，重要度权值与该控制设备在第二工业控制系统中的重要系数正相关；

一个第四计算单元464，用于针对每一个第二工业控制系统，根据第三计算单元463确定出的该第二工业控制系统中各个控制设备的威胁系数分量，确定通信数据包对各个第二工业控制系统的威胁系数。

在本发明实施例中，第一计算单元461可用于执行上述方法实施例中的步骤201，第二计算单元462可用于执行上述方法实施例中的步骤202，第三计算单元463可用于执行上述方法实施例中的步骤203，第四计算单元464可用于执行上述方法实施例中的步骤204。

可选地，在图4至图7中任一附图所示工业控制系统安全性分析装置的基础上，如图8所示，该工业控制系统安全性分析装置进一步包括：

一个设备筛选模块47，用于根据信息提取模块42获取到的网络可识别信息和策略获取模块45获取到的各个安全策略，确定OT网络中存在被通信数据包攻击风险的目标控制设备；

一个系数计算模块48，用于根据信息提取模块42获取到的网络可识别信息，分别确定通信数据包对设备筛选模块47确定出的每一个目标控制设备的威胁系数；

一个信息发送模块49，用于将系数计算模块48确定出的各个目标控制设备的威胁系数发送给管理员；

一个策略优化模块410，用于在接收到管理员根据信息发送模块49所发送的各个目标控制设备的威胁系数而发出的确认指令后，根据网络可识别信息生成用于对至少一个由策略获取模块45获取到的安全策略进行优化的优化建议。

在本发明实施例中，设备筛选模块47可用于执行上述方法实施例中的步骤301，系数计算模块48可用于执行上述方法实施例中的步骤302，信息发送模块49可用于执行上述方法实施例中的步骤，策略优化模块410可用于执行上述方法实施例中的步骤410。

如图9所示，本发明一个实施例提供了一种工业控制系统安全性分析装置，包括：至少一个存储器411和至少一个处理器412；

所述至少一个存储器411，用于存储机器可读程序；

所述至少一个处理器412，用于调用所述机器可读程序，执行上述各个实施例所提供的工业控制系统安全性分析方法。

本发明还提供了一种计算机可读介质，存储用于使一计算机执行如本文的工业控制系统安全性分析方法的指令。具体地，可以提供配有存储介质的系统或者装置，在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码，且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。

在这种情况下，从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能，因此程序代码和存储程序代码的存储介质构成了本发明的一部分。

用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地，可以由通信网络从服务器计算机上下载程序代码。

此外，应该清楚的是，不仅可以通过执行计算机所读出的程序代码，而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作，从而实现上述实施例中任意一项实施例的功能。

此外，可以理解的是，将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中，随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作，从而实现上述实施例中任一实施例的功能。

需要说明的是，上述各流程和各系统结构图中不是所有的步骤和模块都是必须的，可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的，可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构，也可以是逻辑结构，即，有些模块可能由同一物理实体实现，或者，有些模块可能分由多个物理实体实现，或者，可以由多个独立设备中的某些部件共同实现。

以上各实施例中，硬件单元可以通过机械方式或电气方式实现。例如，一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器，FPGA或ASIC)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器)，可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。

上文通过附图和优选实施例对本发明进行了详细展示和说明，然而本发明不限于这些已揭示的实施例，基与上述多个实施例本领域技术人员可以知晓，可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例，这些实施例也在本发明的保护范围之内。

Claims

工业控制系统安全性分析方法，包括：

从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括所述第一工业控制系统以及与所述第一工控控制系统相连接的至少一个第二工业控制系统，所述通信数据包为所述第一工业控制系统中控制设备之间传输的交互数据；

从所述通信数据包中提取网络可识别信息，其中，所述网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

判断所述网络可识别信息是否位于预先创建的事件数据库中；

如果所述网络可识别信息位于所述事件数据库中，则执行：

确定所述通信数据包为恶意数据包；

获取所述OT网络内所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，其中，所述安全策略用于表征对恶意数据包进行处理的规则；

根据所述网络可识别信息和各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，其中，所述威胁系统用于表征所述通信数据包对相应所述第二工业控制系统的威胁程度。
根据权利要求1所述的方法，其中，所述判断所述网络可识别信息是否位于预先创建的事件数据库中，包括：

获取所述网络可识别信息包括的至少一个识别参数，其中，所述识别参数包括收发所述通信数据包的控制设备的设备资产信息、收发所述通信数据包的控制设备的网际互联协议IP地址、传输所述通信数据包所使用的端口和协议、收发所述通信数据包的应用程序的应用信息和传输所述通信数据包所使用协议的标识中的至少一个；

判断所述事件数据库中是否存在至少一个所述识别参数；

如果所述事件数据库中存在至少一个所述识别参数，则确定所述网络可识别信息位于所述事件数据库中；

如果所述事件数据库中不存在任何一个所述识别参数，则确定所述网络可识别信息未位于所述事件数据库中。
根据权利要求1所述的方法，其中，所述分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，包括：

针对每一个所述第二工业控制系统，从该第二工业控制系统与所述第一工业控制系统之间的防火墙获取所述安全策略；

针对所述第一工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略；

针对所述第二工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略。
根据权利要求3所述的方法，其中，所述根据所述网络可识别信息和各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，包括：

针对位于一个所述第二工业控制系统中的一个所述控制设备，均执行：

根据所述网络可识别信息和第一安全策略，确定所述通信数据包通过该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙的第一概率，其中，所述第一安全策略为该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙所使用的安全策略；

根据所述网络可识别信息和第二安全策略，确定所述通信数据包通过所述第一工业控制系统与该控制设备所在的所述第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，所述第二安全策略为该控制设备的防火墙所使用的安全策略；

根据所述第一概率、所述第二概率和该控制设备的重要度权值，确定该控制设备的威胁系数分量，其中，所述重要度权值与该控制设备在所述第二工业控制系统中的重要系数正相关；

针对每一个所述第二工业控制系统，根据该第二工业控制系统中各个控制设备的所述威胁系数分量，确定所述通信数据包对各个所述第二工业控制系统的威胁系数。
根据权利要求1至4中任一所述的方法，其中，在所述分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略之后，进一步包括：

根据提取到的网络可识别信息和各个所述安全策略，确定所述OT网络中存在被所述通信数据包攻击风险的目标控制设备；

根据所述网络可识别信息分别确定所述通信数据包对每个所述目标控制设备的威胁系数；

将各个所述目标控制设备的威胁系数发送给管理员；

在接收到所述管理员根据各个所述目标控制设备的威胁系数而发出的确认指令后，根据所述网络可识别信息生成用于对至少一个获取到的所述安全策略进行优化的优化建议。
工业控制系统安全性分析装置，包括：

一个数据采集模块(41)，用于从第一工业控制系统采集通信数据包，其中，运营技术OT网络包括所述第一工业控制系统以及与所述第一工控控制系统相连接的至少一个第二工业控制系统，所述通信数据包为所述第一工业控制系统中控制设备之间传输的交互数据；

一个信息提取模块(42)，用于从所述数据采集模块(41)采集到的所述通信数据包中提取网络可识别信息，其中，所述网络可识别信息用于标识通信对象、通信规则和通信内容中的至少一个；

一个判断模块(43)，用于判断所述信息提取模块(42)提取到的所述网络可识别信息是否位于预先创建的事件数据库中；

一个第一分析模块(44)，用于在所述判断模块(43)确定所述网络可识别信息位于所述事件数据库中时，确定所述通信数据包为恶意数据包；

一个策略获取模块(45)，用于在所述判断模块(43)确定所述网络可识别信息位于所述事件数据库中时，分别获取所述第一工业控制系统和每一个所述第二工业控制系统的安全策略，其中，所述安全策略用于表征对恶意数据包进行处理的规则；

一个第二分析模块(46)，用于根据所述信息提取模块(42)提取到的所述网络可识别信息和所述策略获取模块(45)获取到的各个所述安全策略，确定所述通信数据包对各个所述第二工业控制系统的威胁系数，其中，所述威胁系统用于表征所述通信数据包对相应所述第二工业控制系统的威胁程度。
根据权利要求6所述的装置，其中，所述判断模块(43)包括：

一个参数识别单元(431)，用于获取所述网络可识别信息包括的至少一个识别参数，其中，所述识别参数包括收发所述通信数据包的控制设备的设备资产信息、收发所述通信数据包的控制设备的网际互联协议IP地址、传输所述通信数据包所使用的端口和协议、收发所述通信数据包的应用程序的应用信息和传输所述通信数据包所使用协议的标识中的至少一个；

一个参数查找单元(432)，用于判断所述事件数据库中是否存在至少一个由所述参数识别单元(431)获取到的所述识别参数；

一个第一判断单元(433)，用于在所述参数查找单元(432)确定所述事件数据库中存在至少一个所述识别参数，则确定所述网络可识别信息位于所述事件数据库中；

一个第二判断单元(434)，用于在所述参数查找单元(432)确定所述事件数据库中不存在任何一个所述识别参数，则确定所述网络可识别信息未位于所述事件数据库中。
根据权利要求6所述的装置，其中，所述策略获取模块(45)包括：

一个第一策略获取单元(451)，用于针对每一个所述第二工业控制系统，从该第二工业控制系统与所述第一工业控制系统之间的防火墙获取所述安全策略；

一个第二策略获取单元(452)，用于针对所述第一工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略；

一个第三策略获取单元(453)，用于针对所述第二工业控制系统中的每一个所述控制设备，从该控制设备的防火墙中获取所述安全策略。
根据权利要求8所述的装置，其中，所述第二分析模块(46)包括：

一个第一计算单元(461)，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据所述网络可识别信息和第一安全策略，确定所述通信数据包通过该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙的第一概率，其中，所述第一安全策略为该控制设备所在的所述第二工业控制系统与所述第一工业控制系统之间防火墙所使用的安全策略；

一个第二计算单元(462)，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据所述网络可识别信息和第二安全策略，确定所述通信数据包通过所述第一工业控制系统与该控制设备所在的所述第二工业控制系统之间的防火墙后对该控制设备造成威胁的第二概率，其中，所述第二安全策略为该控制设备的防火墙所使用的安全策略；

一个第三计算单元(463)，用于针对位于一个所述第二工业控制系统中的一个所述控制设备，根据该控制设备的重要度权值以及所述第一计算单元(461)确定出的所述第一概率和所述第二计算单元(462)确定出的所述第二概率，确定该控制设备的威胁系数分量，其中，所述重要度权值与该控制设备在所述第二工业控制系统中的重要系数正相关；

一个第四计算单元(464)，用于针对每一个所述第二工业控制系统，根据所述第三计算单元(463)确定出的该第二工业控制系统中各个控制设备的所述威胁系数分量，确定所述通信数据包对各个所述第二工业控制系统的威胁系数。
根据权利要求6至9中任一所述的装置，其中，进一步包括：

一个设备筛选模块(47)，用于根据所述信息提取模块(42)获取到的所述网络可识别信息和所述策略获取模块(45)获取到的各个所述安全策略，确定所述OT网络中存在被所述通信数据包攻击风险的目标控制设备；

一个系数计算模块(48)，用于根据所述信息提取模块(42)获取到的所述网络可识别信息，分别确定所述通信数据包对所述设备筛选模块(47)确定出的每一个所述目标控制设备的威胁系数；

一个信息发送模块(49)，用于将所述系数计算模块(48)确定出的各个所述目标控制设备的威胁系数发送给管理员；

一个策略优化模块(410)，用于在接收到所述管理员根据所述信息发送模块(49)所发送的各个所述目标控制设备的威胁系数而发出的确认指令后，根据所述网络可识别信息生成用于对至少一个由所述策略获取模块(45)获取到的所述安全策略进行优化的优化建议。
工业控制系统安全性分析装置，包括：至少一个存储器(411)和至少一个处理器(412)；

所述至少一个存储器(411)，用于存储机器可读程序；

所述至少一个处理器(412)，用于调用所述机器可读程序，执行权利要求1至5中任一所述的方法。
计算机可读介质，所述计算机可读介质上存储有计算机指令，所述计算机指令在被处理器执行时，使所述处理器执行权利要求1至5中任一所述的方法。