基于攻擊圖的工業(yè)控制網(wǎng)絡(luò)安全隱患分析

摘 要 隨著科學(xué)技術(shù)的發(fā)展，計算機技術(shù)水平得到了較大的提高。傳統(tǒng)的工業(yè)控制系統(tǒng)已經(jīng)無法滿足控制管理一體化的需求，工業(yè)控制系統(tǒng)為了能夠適應(yīng)當(dāng)前的發(fā)展趨勢，逐漸向工業(yè)信息化方向邁進，加大了對計算機軟件硬件及通用計算機通訊協(xié)議的使用。但是，由于沒有將網(wǎng)絡(luò)防病毒措施融入到工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中，導(dǎo)致互聯(lián)網(wǎng)容易遭受病毒侵?jǐn)_，影響著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的運行效果。

【關(guān)鍵詞】攻擊圖 工業(yè)控制網(wǎng)絡(luò) 安全隱患 實現(xiàn)

工業(yè)控制系統(tǒng)影響著各行各業(yè)的生產(chǎn)運行，被廣泛的應(yīng)用于水利系統(tǒng)、電力系統(tǒng)、化工生產(chǎn)系統(tǒng)、制造行業(yè)和大型的制造企業(yè)的自動化控制領(lǐng)域中，在實際的使用過程中，主要是依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化運轉(zhuǎn)，在各個領(lǐng)域中占據(jù)重要位置。工業(yè)控制系統(tǒng)與辦公管理系統(tǒng)實現(xiàn)了一體化集成，為數(shù)據(jù)交流提供了便利，通過與辦公網(wǎng)絡(luò)互聯(lián)，共同組成了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。本文對攻擊圖的工業(yè)控制網(wǎng)絡(luò)的安全隱患進行分析。

1 基于攻擊圖的工業(yè)控制網(wǎng)絡(luò)整體系統(tǒng)結(jié)構(gòu)設(shè)計

1.1 整體系統(tǒng)結(jié)構(gòu)設(shè)計

在對攻擊圖的工業(yè)控制網(wǎng)絡(luò)安全隱患進行分析時，需要充分開發(fā)工控系統(tǒng)攻擊圖隱患分析工具，主要包括原子攻擊規(guī)則生成模塊、工控系統(tǒng)主機連接信息采集模塊和工控系統(tǒng)圖生成模塊等。該項工具在使用過程中主要是運用人工手動輸入來實現(xiàn)，通過對各模塊進行分析，進而得出清晰直觀的主機攻擊圖。攻擊圖生成模塊需要輸入相關(guān)的攻擊圖腳本，對攻擊圖模塊進行可視化展示，確保展示效果具有清晰直觀性特點。工控系統(tǒng)攻擊圖分析工具系統(tǒng)中主要包括工控系統(tǒng)隱患分析、原子攻擊規(guī)則生成、工控系統(tǒng)攻擊圖生成、攻擊圖可視化展示等方面的模塊。在運用工控系統(tǒng)攻擊圖對安全隱患進行分析時，主要分為挖掘系統(tǒng)漏洞，（挖掘系統(tǒng)漏洞包括緩沖區(qū)溢出、程序不按計劃運行、插入惡意代碼）、系統(tǒng)配置掃描、仿真平臺配置輸入、攻擊圖隱患分析、安全分析與加固建議和系統(tǒng)隱患消除六個流程狀況，在實際的運用過程中存在密切的邏輯關(guān)系。

1.2 基于層的攻擊圖生成模塊設(shè)計

為了給人們展示出直觀清晰的網(wǎng)絡(luò)拓?fù)渖赡K，將其分成不同的區(qū)域，對網(wǎng)絡(luò)的網(wǎng)絡(luò)模塊進行簡化，增加繪制網(wǎng)絡(luò)區(qū)域的功能。該種做法能夠給用戶提供清晰和直觀的網(wǎng)絡(luò)拓?fù)涔芾恚瑸榛趯拥墓魣D提供信息配置功能，為了方便人們的使用，在用戶界面設(shè)置了網(wǎng)絡(luò)區(qū)域功能按鈕，對不同的網(wǎng)絡(luò)區(qū)域使用不同的顏色進行填充，并用不同的區(qū)域名稱進行標(biāo)記。如果設(shè)備從一個區(qū)域轉(zhuǎn)移到另外一個區(qū)域時，設(shè)備的區(qū)域?qū)傩砸矔S之發(fā)生相應(yīng)的改變。

基于層的攻擊圖生成模塊主要設(shè)計方法為，攻擊圖的正向生成算法主要是由攻擊源發(fā)起的，主要用于分析已知攻擊源所在的位置，明確哪些主機會對攻擊源的正常工作造成威脅，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)設(shè)備的保護。基于層的攻擊圖生成算法在實際的使用過程中主要是利用工控網(wǎng)絡(luò)的層次結(jié)構(gòu)來實現(xiàn)的，需要對復(fù)雜的工控網(wǎng)絡(luò)進行按層計算，進而生成攻擊圖網(wǎng)絡(luò)。

攻擊圖網(wǎng)絡(luò)圖的生成主要以MulVAL為工具，MulVAL是“多主機、多階段漏洞分析”，是堪薩斯州大學(xué)的一個開源項目，主要是運用邏輯編程語言Datalog來描述網(wǎng)絡(luò)元素和安全聯(lián)動情況，MulVAL的分析工具輸入主要包括主機配置、漏洞通告、網(wǎng)絡(luò)配置等，輸出為PDF或TXT格式描述的攻擊圖。但是該攻擊圖的節(jié)點不是主機，節(jié)點的類型主要包括：棱形的權(quán)限節(jié)點、圓形的攻擊步驟節(jié)點和矩形的配置信息節(jié)點。MulVAL作為命令行工具，能夠?qū)崿F(xiàn)對漏洞庫文件的優(yōu)化配置，轉(zhuǎn)換OVAL/Nessus漏洞報告，生成攻擊圖。MulVAL工具生成的攻擊圖例子如圖1所示。

1.3 網(wǎng)絡(luò)狀態(tài)采集模塊設(shè)計

網(wǎng)絡(luò)狀態(tài)采集模塊主要是對攻擊圖生成算法進行服務(wù)的模塊，在使用前需要明確網(wǎng)絡(luò)系統(tǒng)的信息狀態(tài)，按照合理的方法對網(wǎng)絡(luò)拓?fù)溥M行有效連接，對網(wǎng)絡(luò)層次信息進行合理劃分，明確網(wǎng)絡(luò)拓?fù)湓O(shè)備上存在的漏洞信息，例如，設(shè)計網(wǎng)絡(luò)狀態(tài)信息輸入格式文件，設(shè)計網(wǎng)絡(luò)層次劃分方式，網(wǎng)絡(luò)設(shè)備基本信息輸入方式和網(wǎng)絡(luò)威脅信息輸入方式等。明確攻擊主機的所在位置，對網(wǎng)絡(luò)狀態(tài)信息采集模塊進行合理設(shè)計。首先，在對網(wǎng)絡(luò)連接輸入方式進行設(shè)計時，主要的連接信息包括服務(wù)器、交換機、防火墻、PC機、集線器和現(xiàn)場設(shè)備等。需要明確設(shè)備間鏈路的具體連接情況，結(jié)合實際的網(wǎng)絡(luò)拓?fù)湫枰孕羞x擇網(wǎng)絡(luò)設(shè)備，在已有模塊的基礎(chǔ)上對工業(yè)控制網(wǎng)絡(luò)拓?fù)鋱D進行合理設(shè)計，確保路由器和防火墻配置的合理性。其次，在對網(wǎng)絡(luò)的層次進行劃分時，需要采用矩形框來對網(wǎng)絡(luò)拓?fù)溥M行分層，通過雙擊矩形對話框，對話框中的設(shè)備進行合理配置。最后，對網(wǎng)絡(luò)設(shè)備的信息進行配置時，需要明確設(shè)備操作系統(tǒng)的版本、設(shè)備上的具體服務(wù)信息和設(shè)備在運行過程中可能產(chǎn)生的漏洞信息，防止漏洞程序和作用對漏洞造成的威脅。

2 工業(yè)控制系統(tǒng)安全隱患分析系統(tǒng)的實現(xiàn)

2.1 攻擊圖生成算法的實現(xiàn)

為了實現(xiàn)對工業(yè)控制系統(tǒng)安全隱患的分析，主要找到IT工控網(wǎng)層中的可攻擊到的所有主機，由列表頭對主機發(fā)起攻擊，列表尾可以攻擊到最后的主機。在對節(jié)點進行計算時，需要防止攻擊路徑出現(xiàn)重復(fù)性，對所有攻擊路徑列表中的節(jié)點進行刪除，防止出現(xiàn)無效攻擊路徑。在辦公層生成時，需要將辦公層節(jié)點分為辦公層與IT層的邊界主機、辦公層內(nèi)主機和辦公層與工控層邊界主機三種。

2.2 網(wǎng)絡(luò)狀態(tài)采集模塊的實現(xiàn)

2.2.1 網(wǎng)絡(luò)連接信息配置技術(shù)的實現(xiàn)

集線器、交換機和路由都是網(wǎng)絡(luò)拓?fù)湓O(shè)備中的重要連接信息，需要將信息格式保存為：hacl，將src作為源節(jié)點，dst作為目標(biāo)節(jié)點，port作為數(shù)據(jù)使用的傳輸端口，Apply是保存配置信息，OK是關(guān)閉對話框。

2.2.2 主機信息配置技術(shù)的實現(xiàn)

在攻擊圖工業(yè)控制網(wǎng)絡(luò)中，主要包括主機、服務(wù)器和PLC等設(shè)備，需要嚴(yán)格按照設(shè)備配置方法在配置界面上進行配置，對主機上存在的漏洞信息進行優(yōu)化配置。合理選擇主機服務(wù)類型，確保信息配置的合理性和正確性。“開放服務(wù)”欄目在表格中的信息內(nèi)容是不可修改的，在運用刪除按鈕進行信息刪除時，首先需要先選中所要刪除的內(nèi)容，點擊“服務(wù)名稱”的前一列數(shù)字符號進行刪除。需要對出現(xiàn)的網(wǎng)絡(luò)漏洞信息進行優(yōu)化配置，需要配置的信息主要包括漏洞所在的程序、漏洞ID、漏洞作用范圍和漏洞威脅程度等方面的內(nèi)容。

2.2.3 攻擊源信息配置技術(shù)的實現(xiàn)

在對攻擊源信息進行配置時，需要選擇網(wǎng)絡(luò)中的所有設(shè)備，明確網(wǎng)絡(luò)拓?fù)涞乃性O(shè)備節(jié)點，點擊“》”按鈕，將左側(cè)列表中選擇好的設(shè)備添加到右側(cè)列表中，再次點擊“》”能夠撤消右側(cè)的選擇，點擊“重置”按鈕，能夠清除已選擇的信息，點擊“apply”是保存信息。需要將樹形結(jié)構(gòu)按照設(shè)備種類進行分類，明確樹枝設(shè)備的名稱。可以對攻擊源進行添加刪除重置。添加攻擊源功能主要包括按照設(shè)備的hostname進行準(zhǔn)確添加，支持ctrl多選，但不支持樹枝選擇。刪除功能包括電機攻擊源設(shè)備屬性列表的樹頭，需要刪除樹頭下的設(shè)備節(jié)點，支持多選刪除節(jié)點。重置功能主要是指需要清空所選攻擊源信息，對攻擊源信息是否為空進行檢查，如果不是空，需要詢問是否確認(rèn)清空攻擊源配置信息。

2.2.4 攻擊目標(biāo)配置技術(shù)的實現(xiàn)

攻擊目標(biāo)配置技術(shù)主要是由攻擊信息和攻擊類型組成的，需要運用攻擊目標(biāo)表格對配置好的信息進行展示，不可對信息進行修改，結(jié)合實際的使用需要，對攻擊類型進行合理設(shè)置，合理選擇配置信息選項，待配置信息選擇好后，選擇增加按鈕將攻擊信息添加到攻擊目標(biāo)表格中來。需要將設(shè)備id作為網(wǎng)絡(luò)設(shè)備的唯一標(biāo)記，能夠?qū)崿F(xiàn)對perlog文件設(shè)備的識別，為了方便用戶使用，需要將設(shè)備名稱標(biāo)記在攻擊目標(biāo)的信息配置界面進行展示，將模塊中的設(shè)備名稱轉(zhuǎn)化為設(shè)備id，之后在進行信息的保存和配置。

3 結(jié)論

本文主要是基于攻擊圖工業(yè)控制網(wǎng)絡(luò)安全隱患進行分析，由于攻擊圖系統(tǒng)具有復(fù)雜性和龐大性，不適宜在大型的工業(yè)控制網(wǎng)絡(luò)中應(yīng)用。本文對基于攻擊圖的工業(yè)控制網(wǎng)絡(luò)整體系統(tǒng)結(jié)構(gòu)設(shè)計進行分析，主要分析整體系統(tǒng)結(jié)構(gòu)設(shè)計、攻擊圖生成模塊設(shè)計和網(wǎng)絡(luò)狀態(tài)采集模塊設(shè)計三方面的內(nèi)容。可知攻擊圖對控制網(wǎng)絡(luò)安全隱患具有重要作用，在對工業(yè)控制系統(tǒng)安全隱患分析系統(tǒng)的實現(xiàn)進行分析時，主要是對層的攻擊圖生成算法實現(xiàn)和網(wǎng)絡(luò)狀態(tài)采集模塊實現(xiàn)兩方面的內(nèi)容進行分析，明確了攻擊圖工業(yè)控制網(wǎng)絡(luò)安全隱患的實現(xiàn)過程和實現(xiàn)方法，通過增加防火墻，強化了對工業(yè)控制網(wǎng)絡(luò)安全隱患的分析力度。

參考文獻

[1]高夢州，馮冬芹，凌從禮，褚健.基于攻擊圖的工業(yè)控制系統(tǒng)脆弱性分析[J].浙江大學(xué)學(xué)報（工學(xué)版），2014（12）：2123-2131.

[2]徐麗娟，許靜，唐剛.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全隱患分析方法研究[J].電子科學(xué)技術(shù)，2015（06）：679-684.

作者簡介

吳承剛 （1968-），男，遼寧省盤錦市人。身份證號：211102196810251019。學(xué)士學(xué)位。主要工作范圍，工控網(wǎng)網(wǎng)絡(luò)維護。過程控制程序組態(tài)。