• 欢迎来到论文发表网(www.lunwenchina.cn),我们为您提供专业的论文发表咨询和论文发表辅导!
受“清朗”行动影响,原网站QQ被封,新老作者请联系通过新的QQ:189308598。或者电话微信:15295038855

你的位置:论文发表网 >> 论文库 >> 工学论文 >> 详细内容 在线投稿

基于攻击图的工业控制网络安全隐患分析

热度0票  浏览215次 时间:2017年5月06日 10:20

摘要:随着科学技术的发展,计算
机技术水平得到了较大的提高。
传统的工业控制系统已经无法满
足控制管理一体化的需求,工业
控制系统为了能够适应当前的发
展趋势,逐渐向工业信息化方向
迈进,加大了对计算机软件硬件
及通用计算机通讯协议的使用。
但是,由于没有将网络防病毒措
施融入到工业控制网络系统中,
导致互联网容易遭受病毒侵扰,
影响着工业控制系统网络的运行
效果。

【关键词】攻击图 工业控制网络 安全隐患
实现

工业控制系统影响着各行各业的生产运
行,被广泛的应用于水利系统、电力系统、化
工生产系统、制造行业和大型的制造企业的自
动化控制领域中,在实际的使用过程中,主要
是依靠工业控制系统来实现自动化运转,在各
个领域中占据重要位置。工业控制系统与办公
管理系统实现了一体化集成,为数据交流提供
了便利,通过与办公网络互联,共同组成了工
业控制系统网络。本文对攻击图的工业控制网
络的安全隐患进行分析。
1 基于攻击图的工业控制网络整体系统
结构设计
1.1 整体系统结构设计
在对攻击图的工业控制网络安全隐患进
行分析时,需要充分开发工控系统攻击图隐患
分析工具,主要包括原子攻击规则生成模块、
工控系统主机连接信息采集模块和工控系统图
生成模块等。该项工具在使用过程中主要是运
用人工手动输入来实现,通过对各模块进行分
析,进而得出清晰直观的主机攻击图。攻击图
生成模块需要输入相关的攻击图脚本,对攻击
图模块进行可视化展示,确保展示效果具有清
晰直观性特点。工控系统攻击图分析工具系统
中主要包括工控系统隐患分析、原子攻击规则
生成、工控系统攻击图生成、攻击图可视化展
示等方面的模块。在运用工控系统攻击图对安
全隐患进行分析时,主要分为挖掘系统漏洞,
(挖掘系统漏洞包括缓冲区溢出、程序不按计
划运行、插入恶意代码)、系统配置扫描、仿
真平台配置输入、攻击图隐患分析、安全分析
与加固建议和系统隐患消除六个流程状况,在
基于攻击图的工业控制网络安全隐患分析
文/吴承刚
随着科学技术的发展,计算
机技术水平得到了较大的提高。
传统的工业控制系统已经无法满
足控制管理一体化的需求,工业
控制系统为了能够适应当前的发
展趋势,逐渐向工业信息化方向
迈进,加大了对计算机软件硬件
及通用计算机通讯协议的使用。
但是,由于没有将网络防病毒措
施融入到工业控制网络系统中,
导致互联网容易遭受病毒侵扰,
影响着工业控制系统网络的运行
效果。
实际的运用过程中存在密切的逻辑关系。
1.2 基于层的攻击图生成模块设计
为了给人们展示出直观清晰的网络拓扑
生成模块,将其分成不同的区域,对网络的网
络模块进行简化,增加绘制网络区域的功能。
该种做法能够给用户提供清晰和直观的网络拓
扑管理,为基于层的攻击图提供信息配置功能,
为了方便人们的使用,在用户界面设置了网络
区域功能按钮,对不同的网络区域使用不同的
颜色进行填充,并用不同的区域名称进行标记。
如果设备从一个区域转移到另外一个区域时,
设备的区域属性也会随之发生相应的改变。
基于层的攻击图生成模块主要设计方法
为,攻击图的正向生成算法主要是由攻击源发
起的,主要用于分析已知攻击源所在的位置,
明确哪些主机会对攻击源的正常工作造成威
胁,能够实现对网络设备的保护。基于层的攻
击图生成算法在实际的使用过程中主要是利用
工控网络的层次结构来实现的,需要对复杂的
工控网络进行按层计算,进而生成攻击图网络。
攻击图网络图的生成主要以 MulVAL 为
工具,MulVAL是“多主机、多阶段漏洞分析”,
是堪萨斯州大学的一个开源项目,主要是运用
逻辑编程语言 Datalog 来描述网络元素和安全
联动情况,MulVAL 的分析工具输入主要包括
主机配置、漏洞通告、网络配置等,输出为
PDF 或 TXT 格式描述的攻击图。但是该攻击
图的节点不是主机,节点的类型主要包括:棱
形的权限节点、圆形的攻击步骤节点和矩形的
配置信息节点。MulVAL 作为命令行工具,能
够实现对漏洞库文件的优化配置,转换 OVAL/
Nessus 漏洞报告,生成攻击图。MulVAL 工具
生成的攻击图例子如图 1 所示。
1.3 网络状态采集模块设计
网络状态采集模块主要是对攻击图生成
算法进行服务的模块,在使用前需要明确网络
系统的信息状态,按照合理的方法对网络拓扑
进行有效连接,对网络层次信息进行合理划分,
明确网络拓扑设备上存在的漏洞信息,例如,
设计网络状态信息输入格式文件,设计网络层
次划分方式,网络设备基本信息输入方式和网
络威胁信息输入方式等。明确攻击主机的所在
位置,对网络状态信息采集模块进行合理设计。
首先,在对网络连接输入方式进行设计时,主
要的连接信息包括服务器、交换机、防火墙、
PC 机、集线器和现场设备等。需要明确设备
间链路的具体连接情况,结合实际的网络拓扑
需要自行选择网络设备,在已有模块的基础上
对工业控制网络拓扑图进行合理设计,确保路
由器和防火墙配置的合理性。其次,在对网络
的层次进行划分时,需要采用矩形框来对网络
拓扑进行分层,通过双击矩形对话框,对话框
中的设备进行合理配置。最后,对网络设备的
信息进行配置时,需要明确设备操作系统的版
本、设备上的具体服务信息和设备在运行过程
中可能产生的漏洞信息,防止漏洞程序和作用
对漏洞造成的威胁。
2 工业控制系统安全隐患分析系统的实
2.1 攻击图生成算法的实现
为了实现对工业控制系统安全隐患的分
析,主要找到 IT 工控网层中的可攻击到的所
有主机,由列表头对主机发起攻击,列表尾可
以攻击到最后的主机。在对节点进行计算时,
需要防止攻击路径出现重复性,对所有攻击路
径列表中的节点进行删除,防止出现无效攻击
路径。在办公层生成时,需要将办公层节点分
为办公层与 IT 层的边界主机、办公层内主机
和办公层与工控层边界主机三种。
2.2 网络状态采集模块的实现
2.2.1 网络连接信息配置技术的实现
集线器、交换机和路由都是网络拓扑设
备中的重要连接信息,需要将信息格式保存为:
hacl,将 src 作为源节点,dst 作为目标节点,
port 作为数据使用的传输端口,Apply 是保存
配置信息,OK 是关闭对话框。
2.2.2 主机信息配置技术的实现在攻击图工业控制网络中,主要包括主
机、服务器和 PLC 等设备,需要严格按照设
备配置方法在配置界面上进行配置,对主机上
存在的漏洞信息进行优化配置。合理选择主机
服务类型,确保信息配置的合理性和正确性。
“开放服务”栏目在表格中的信息内容是不可
修改的,在运用删除按钮进行信息删除时,首
先需要先选中所要删除的内容,点击“服务名
称”的前一列数字符号进行删除。需要对出现
的网络漏洞信息进行优化配置,需要配置的信
息主要包括漏洞所在的程序、漏洞 ID、漏洞
作用范围和漏洞威胁程度等方面的内容。
2.2.3 攻击源信息配置技术的实现
在对攻击源信息进行配置时,需要选择
网络中的所有设备,明确网络拓扑的所有设备
节点,点击“》”按钮,将左侧列表中选择好
的设备添加到右侧列表中,再次点击“》”能
够撤消右侧的选择,点击“重置”按钮,能够
清除已选择的信息,点击“apply”是保存信息。
需要将树形结构按照设备种类进行分类,明
确树枝设备的名称。可以对攻击源进行添加删
除重置。添加攻击源功能主要包括按照设备的
hostname 进行准确添加,支持 ctrl 多选,但不
支持树枝选择。删除功能包括电机攻击源设备
属性列表的树头,需要删除树头下的设备节点,
支持多选删除节点。重置功能主要是指需要清
空所选攻击源信息,对攻击源信息是否为空进
行检查,如果不是空,需要询问是否确认清空
攻击源配置信息。
2.2.4 攻击目标配置技术的实现
攻击目标配置技术主要是由攻击信息和
攻击类型组成的,需要运用攻击目标表格对配
置好的信息进行展示,不可对信息进行修改,
结合实际的使用需要,对攻击类型进行合理设
置,合理选择配置信息选项,待配置信息选择
好后,选择增加按钮将攻击信息添加到攻击目
标表格中来。需要将设备 id 作为网络设备的
唯一标记,能够实现对perlog文件设备的识别,
为了方便用户使用,需要将设备名称标记在攻
击目标的信息配置界面进行展示,将模块中的
设备名称转化为设备 id,之后在进行信息的保
存和配置。
3 结论
本文主要是基于攻击图工业控制网络安
全隐患进行分析,由于攻击图系统具有复杂性
和庞大性,不适宜在大型的工业控制网络中应
用。本文对基于攻击图的工业控制网络整体系
统结构设计进行分析,主要分析整体系统结构
设计、攻击图生成模块设计和网络状态采集模
<< 上接 224 页
块设计三方面的内容。可知攻击图对控制网络
安全隐患具有重要作用,在对工业控制系统安
全隐患分析系统的实现进行分析时,主要是对
层的攻击图生成算法实现和网络状态采集模块
实现两方面的内容进行分析,明确了攻击图工
业控制网络安全隐患的实现过程和实现方法,
通过增加防火墙,强化了对工业控制网络安全
隐患的分析力度。
参考文献
[1] 高梦州 , 冯冬芹 , 凌从礼 , 褚健 . 基于攻
击图的工业控制系统脆弱性分析 [J]. 浙
江大学学报 ( 工学版 ),2014(12):2123-
2131.
[2] 徐丽娟 , 许静 , 唐刚 . 工业控制系统网络
安全隐患分析方法研究 [J]. 电子科学技
术 ,2015(06):679-684.
作者简介
吴承刚 (1968-),男,辽宁省盘锦市人。身份
证号:211102196810251019。学士学位。主要
工作范围,工控网网络维护。过程控制程序组
态。



中国论文网(www.lunwenchina.cn),是一个专门从事期刊推广、论文发表、论文写作指导的机构。本站提供一体化论文发表解决方案:省级论文/国家级论文/核心论文/CN论文。

投稿邮箱:lunwenchina@126.com

在线咨询:189308598(QQ) 

联系电话:15295038855(徐编辑)  

 

TAG: 计算机技术 计算机软件 科学技术 控制系统 网络安全
上一篇 下一篇
0

联系我们