工业控制系统影响着各行各业的生产运
行,被广泛的应用于水利系统、电力系统、化
工生产系统、制造行业和大型的制造企业的自
动化控制领域中,在实际的使用过程中,主要
是依靠工业控制系统来实现自动化运转,在各
个领域中占据重要位置。工业控制系统与办公
管理系统实现了一体化集成,为数据交流提供
了便利,通过与办公网络互联,共同组成了工
业控制系统网络。本文对攻击图的工业控制网
络的安全隐患进行分析。
1 基于攻击图的工业控制网络整体系统
结构设计
1.1 整体系统结构设计
在对攻击图的工业控制网络安全隐患进
行分析时,需要充分开发工控系统攻击图隐患
分析工具,主要包括原子攻击规则生成模块、
工控系统主机连接信息采集模块和工控系统图
生成模块等。该项工具在使用过程中主要是运
用人工手动输入来实现,通过对各模块进行分
析,进而得出清晰直观的主机攻击图。攻击图
生成模块需要输入相关的攻击图脚本,对攻击
图模块进行可视化展示,确保展示效果具有清
晰直观性特点。工控系统攻击图分析工具系统
中主要包括工控系统隐患分析、原子攻击规则
生成、工控系统攻击图生成、攻击图可视化展
示等方面的模块。在运用工控系统攻击图对安
全隐患进行分析时,主要分为挖掘系统漏洞,
(挖掘系统漏洞包括缓冲区溢出、程序不按计
划运行、插入恶意代码)、系统配置扫描、仿
真平台配置输入、攻击图隐患分析、安全分析
与加固建议和系统隐患消除六个流程状况,在
基于攻击图的工业控制网络安全隐患分析
文/吴承刚
随着科学技术的发展,计算
机技术水平得到了较大的提高。
传统的工业控制系统已经无法满
足控制管理一体化的需求,工业
控制系统为了能够适应当前的发
展趋势,逐渐向工业信息化方向
迈进,加大了对计算机软件硬件
及通用计算机通讯协议的使用。
但是,由于没有将网络防病毒措
施融入到工业控制网络系统中,
导致互联网容易遭受病毒侵扰,
影响着工业控制系统网络的运行
效果。
摘
要
实际的运用过程中存在密切的逻辑关系。
1.2 基于层的攻击图生成模块设计
为了给人们展示出直观清晰的网络拓扑
生成模块,将其分成不同的区域,对网络的网
络模块进行简化,增加绘制网络区域的功能。
该种做法能够给用户提供清晰和直观的网络拓
扑管理,为基于层的攻击图提供信息配置功能,
为了方便人们的使用,在用户界面设置了网络
区域功能按钮,对不同的网络区域使用不同的
颜色进行填充,并用不同的区域名称进行标记。
如果设备从一个区域转移到另外一个区域时,
设备的区域属性也会随之发生相应的改变。
基于层的攻击图生成模块主要设计方法
为,攻击图的正向生成算法主要是由攻击源发
起的,主要用于分析已知攻击源所在的位置,
明确哪些主机会对攻击源的正常工作造成威
胁,能够实现对网络设备的保护。基于层的攻
击图生成算法在实际的使用过程中主要是利用
工控网络的层次结构来实现的,需要对复杂的
工控网络进行按层计算,进而生成攻击图网络。
攻击图网络图的生成主要以 MulVAL 为
工具,MulVAL是“多主机、多阶段漏洞分析”,
是堪萨斯州大学的一个开源项目,主要是运用
逻辑编程语言 Datalog 来描述网络元素和安全
联动情况,MulVAL 的分析工具输入主要包括
主机配置、漏洞通告、网络配置等,输出为
PDF 或 TXT 格式描述的攻击图。但是该攻击
图的节点不是主机,节点的类型主要包括:棱
形的权限节点、圆形的攻击步骤节点和矩形的
配置信息节点。MulVAL 作为命令行工具,能
够实现对漏洞库文件的优化配置,转换 OVAL/
Nessus 漏洞报告,生成攻击图。MulVAL 工具
生成的攻击图例子如图 1 所示。
1.3 网络状态采集模块设计
网络状态采集模块主要是对攻击图生成
算法进行服务的模块,在使用前需要明确网络
系统的信息状态,按照合理的方法对网络拓扑
进行有效连接,对网络层次信息进行合理划分,
明确网络拓扑设备上存在的漏洞信息,例如,
设计网络状态信息输入格式文件,设计网络层
次划分方式,网络设备基本信息输入方式和网
络威胁信息输入方式等。明确攻击主机的所在
位置,对网络状态信息采集模块进行合理设计。
首先,在对网络连接输入方式进行设计时,主
要的连接信息包括服务器、交换机、防火墙、
PC 机、集线器和现场设备等。需要明确设备
间链路的具体连接情况,结合实际的网络拓扑
需要自行选择网络设备,在已有模块的基础上
对工业控制网络拓扑图进行合理设计,确保路
由器和防火墙配置的合理性。其次,在对网络
的层次进行划分时,需要采用矩形框来对网络
拓扑进行分层,通过双击矩形对话框,对话框
中的设备进行合理配置。最后,对网络设备的
信息进行配置时,需要明确设备操作系统的版
本、设备上的具体服务信息和设备在运行过程
中可能产生的漏洞信息,防止漏洞程序和作用
对漏洞造成的威胁。
2 工业控制系统安全隐患分析系统的实
现
2.1 攻击图生成算法的实现
为了实现对工业控制系统安全隐患的分
析,主要找到 IT 工控网层中的可攻击到的所
有主机,由列表头对主机发起攻击,列表尾可
以攻击到最后的主机。在对节点进行计算时,
需要防止攻击路径出现重复性,对所有攻击路
径列表中的节点进行删除,防止出现无效攻击
路径。在办公层生成时,需要将办公层节点分
为办公层与 IT 层的边界主机、办公层内主机
和办公层与工控层边界主机三种。
2.2 网络状态采集模块的实现
2.2.1 网络连接信息配置技术的实现
集线器、交换机和路由都是网络拓扑设
备中的重要连接信息,需要将信息格式保存为:
hacl,将 src 作为源节点,dst 作为目标节点,
port 作为数据使用的传输端口,Apply 是保存
配置信息,OK 是关闭对话框。
2.2.2 主机信息配置技术的实现
<
行,被广泛的应用于水利系统、电力系统、化
工生产系统、制造行业和大型的制造企业的自
动化控制领域中,在实际的使用过程中,主要
是依靠工业控制系统来实现自动化运转,在各
个领域中占据重要位置。工业控制系统与办公
管理系统实现了一体化集成,为数据交流提供
了便利,通过与办公网络互联,共同组成了工
业控制系统网络。本文对攻击图的工业控制网
络的安全隐患进行分析。
1 基于攻击图的工业控制网络整体系统
结构设计
1.1 整体系统结构设计
在对攻击图的工业控制网络安全隐患进
行分析时,需要充分开发工控系统攻击图隐患
分析工具,主要包括原子攻击规则生成模块、
工控系统主机连接信息采集模块和工控系统图
生成模块等。该项工具在使用过程中主要是运
用人工手动输入来实现,通过对各模块进行分
析,进而得出清晰直观的主机攻击图。攻击图
生成模块需要输入相关的攻击图脚本,对攻击
图模块进行可视化展示,确保展示效果具有清
晰直观性特点。工控系统攻击图分析工具系统
中主要包括工控系统隐患分析、原子攻击规则
生成、工控系统攻击图生成、攻击图可视化展
示等方面的模块。在运用工控系统攻击图对安
全隐患进行分析时,主要分为挖掘系统漏洞,
(挖掘系统漏洞包括缓冲区溢出、程序不按计
划运行、插入恶意代码)、系统配置扫描、仿
真平台配置输入、攻击图隐患分析、安全分析
与加固建议和系统隐患消除六个流程状况,在
基于攻击图的工业控制网络安全隐患分析
文/吴承刚
随着科学技术的发展,计算
机技术水平得到了较大的提高。
传统的工业控制系统已经无法满
足控制管理一体化的需求,工业
控制系统为了能够适应当前的发
展趋势,逐渐向工业信息化方向
迈进,加大了对计算机软件硬件
及通用计算机通讯协议的使用。
但是,由于没有将网络防病毒措
施融入到工业控制网络系统中,
导致互联网容易遭受病毒侵扰,
影响着工业控制系统网络的运行
效果。
摘
要
实际的运用过程中存在密切的逻辑关系。
1.2 基于层的攻击图生成模块设计
为了给人们展示出直观清晰的网络拓扑
生成模块,将其分成不同的区域,对网络的网
络模块进行简化,增加绘制网络区域的功能。
该种做法能够给用户提供清晰和直观的网络拓
扑管理,为基于层的攻击图提供信息配置功能,
为了方便人们的使用,在用户界面设置了网络
区域功能按钮,对不同的网络区域使用不同的
颜色进行填充,并用不同的区域名称进行标记。
如果设备从一个区域转移到另外一个区域时,
设备的区域属性也会随之发生相应的改变。
基于层的攻击图生成模块主要设计方法
为,攻击图的正向生成算法主要是由攻击源发
起的,主要用于分析已知攻击源所在的位置,
明确哪些主机会对攻击源的正常工作造成威
胁,能够实现对网络设备的保护。基于层的攻
击图生成算法在实际的使用过程中主要是利用
工控网络的层次结构来实现的,需要对复杂的
工控网络进行按层计算,进而生成攻击图网络。
攻击图网络图的生成主要以 MulVAL 为
工具,MulVAL是“多主机、多阶段漏洞分析”,
是堪萨斯州大学的一个开源项目,主要是运用
逻辑编程语言 Datalog 来描述网络元素和安全
联动情况,MulVAL 的分析工具输入主要包括
主机配置、漏洞通告、网络配置等,输出为
PDF 或 TXT 格式描述的攻击图。但是该攻击
图的节点不是主机,节点的类型主要包括:棱
形的权限节点、圆形的攻击步骤节点和矩形的
配置信息节点。MulVAL 作为命令行工具,能
够实现对漏洞库文件的优化配置,转换 OVAL/
Nessus 漏洞报告,生成攻击图。MulVAL 工具
生成的攻击图例子如图 1 所示。
1.3 网络状态采集模块设计
网络状态采集模块主要是对攻击图生成
算法进行服务的模块,在使用前需要明确网络
系统的信息状态,按照合理的方法对网络拓扑
进行有效连接,对网络层次信息进行合理划分,
明确网络拓扑设备上存在的漏洞信息,例如,
设计网络状态信息输入格式文件,设计网络层
次划分方式,网络设备基本信息输入方式和网
络威胁信息输入方式等。明确攻击主机的所在
位置,对网络状态信息采集模块进行合理设计。
首先,在对网络连接输入方式进行设计时,主
要的连接信息包括服务器、交换机、防火墙、
PC 机、集线器和现场设备等。需要明确设备
间链路的具体连接情况,结合实际的网络拓扑
需要自行选择网络设备,在已有模块的基础上
对工业控制网络拓扑图进行合理设计,确保路
由器和防火墙配置的合理性。其次,在对网络
的层次进行划分时,需要采用矩形框来对网络
拓扑进行分层,通过双击矩形对话框,对话框
中的设备进行合理配置。最后,对网络设备的
信息进行配置时,需要明确设备操作系统的版
本、设备上的具体服务信息和设备在运行过程
中可能产生的漏洞信息,防止漏洞程序和作用
对漏洞造成的威胁。
2 工业控制系统安全隐患分析系统的实
现
2.1 攻击图生成算法的实现
为了实现对工业控制系统安全隐患的分
析,主要找到 IT 工控网层中的可攻击到的所
有主机,由列表头对主机发起攻击,列表尾可
以攻击到最后的主机。在对节点进行计算时,
需要防止攻击路径出现重复性,对所有攻击路
径列表中的节点进行删除,防止出现无效攻击
路径。在办公层生成时,需要将办公层节点分
为办公层与 IT 层的边界主机、办公层内主机
和办公层与工控层边界主机三种。
2.2 网络状态采集模块的实现
2.2.1 网络连接信息配置技术的实现
集线器、交换机和路由都是网络拓扑设
备中的重要连接信息,需要将信息格式保存为:
hacl,将 src 作为源节点,dst 作为目标节点,
port 作为数据使用的传输端口,Apply 是保存
配置信息,OK 是关闭对话框。
2.2.2 主机信息配置技术的实现
<
本站论文资源均为来自网络转载,免费提供给广大作者参考,不进行任何赢利,如有版权问题,请联系管理员删除! 快速论文发表网(www.ksfbw.com)本中心和国内数百家期刊杂志社有良好的合作关系,可以帮客户代发论文投稿.
投稿邮箱:ksfbw@126.com
客服Q Q:
82702382
联系电话:15295038833
本站论文资源均为来自网络转载,免费提供给广大作者参考,不进行任何赢利,如有版权问题,请联系管理员删除!
上一篇:电力企业中云安全技术的应用
下一篇:工程建设项目信息化建设
文章评论
共有 0 位网友发表了评论