基于攻擊圖的工業控制網絡安全隱患分析

劉海川，花蕾

（1.太原市軌道交通發展有限公司，山西 太原 030002；2.山西晉中理工學院，山西 晉中 030600）

0 引言

現階段來看，工業控制系統已經在我國有廣泛應用，無論是在水利系統、電力系統。還是化工系統中的應用都發揮出了理想效果，其在實際應用的過程中往往是依靠著系統的自動化運轉來實現的。目前，工業控制系統與辦公管理系統已經初步實現了一體化集成，這也在很大程度上增加了數據互通的便捷性，可以通過與辦公網絡進行互聯組成工業控制系統網絡，這樣可以有效降低工業控制網絡運行過程中出現安全隱患的可能性。

1 工業控制系統的特點

1.1 工控系統的網絡特點

對于工業控制系統來說，其可以利用ICS進行表示，是由一系列自動化控制器件以及檢測現場數據的控制器件所組成，其在實際應用的過程中可以有效保證系統的整體自動化運行，同時也實現了對工業基礎設備運行過程的有效監督。因此，對于工控系統網絡來說，其與其他的IT網絡往往存在較大差異性，其屬于一個半封閉網絡，這一網絡系統在實際運行的過程中其特點體現在以下幾個方面：第一，其有很強的實時性通信能力；第二，設備更換操作相對復雜；第三，系統運行過程中不能重啟；第四，通信協議具有多樣性[1]。

1.2 工控系統網絡層次性

對于工控系統網絡來說，其結構性較為明顯，可以將其分為三層，分別是IT層、板工程以及工控層。首先，IT層。對于這一層來說，其屬于全開放式的網絡，同時也是我們在日常生活以及工作中經常會應用到的網絡系統，可以將其直接連接到Internet。其次，辦公層。對于辦公層這一結構來說，相對復雜，主機上需要安裝相應的辦公管理軟件，例如OA、SCADA客戶端、歷史數據庫客戶端等等，這樣才能使這一層的各項功能得到有效發揮。其中，SCADA客戶端主要是為用戶提供其感興趣的工控系統運行數據，將這些運行過程中所產生的數據更為精準地傳遞給用戶。而歷史數據庫客戶端主要是為了方便用戶查看系統運行過程中所產生的歷史數據，從而使得用戶對接下來的系統運行情況有一定把握，這也有利于辦公操作的開展[2]。最后，工控層。對于工控層來說，其主要包括工控現場設備的管理，例如PLC、RTU等等。工控層主要是對現場設備的工作狀態進行控制，從而實現對現場數據的有效采集。

2 基于攻擊圖的工業控制網絡系統結構設計分析

2.1 整體系統結構設計

在進行攻擊圖的工業控制網絡安全隱患情況分析的時候，應該注意對其運行過程中的要點進行準確把握，這就需要開發出具有針對性的工業控制系統攻擊圖隱患分析工具，其主要包括生成模塊、工控系統主機連接信息采集模塊以及工控系統圖生成模塊，不同的模塊有自身獨特的用途。運用工控系統攻擊圖隱患分析工具可以實現對各種模塊的有效分析，從而得出更為直觀的主機攻擊圖。當前的工控系統攻擊圖分析工具系統主要包括原子攻擊規則生成、工控系統攻擊圖生成以及攻擊圖可視化展示等等模塊，這也使得其整體分析效果較為理想，最終所得出的安全隱患信息也較為具體。在運用工控系統攻擊圖對安全隱患問題進行深入分析的時候，應該注意，在進行系統漏洞挖掘的時候，對插入惡意代碼以及不按計劃運行等情況進行確定，要為系統配置掃描裝置，從而實現對攻擊圖隱患的深入分析[3]。

2.2 攻擊性生成模塊設計

為了可以向人們更為直觀清晰地展示出網絡拓撲生成模塊，應該注意對網絡模塊進行適當簡化，通過這種方式將其分為不同的區域，這樣可以使其功能特性得到更為具體的展示。為基于層的攻擊圖提供信息配置功能可以使人們對于控制系統的操作更為簡便，同時也在很大程度上提升了工業控制系統的整體運行穩定性。通過在用戶界面設置網絡區域功能按鈕的方式可以實現對不同顏色的填充，從而使得區域名稱標記的開展更為方便。對于攻擊圖的正向生成算法來說，其主要是由攻擊源發起的，在這一過程中需要對已知的攻擊源所在位置進行確定，明確哪些主機會對攻擊源的正常運轉產生負面影響，這樣也更加方便相關保護工作的開展，從而實現了對網絡設備運行狀態的有效保護。當前來看，攻擊圖網絡圖的生成主要是以MulVAL為基本工具，運用邏輯編程語言來對網絡元素進行描述，此種方式的應用較為廣泛，使得MulVAL作為命令執行工具的實際價值得到了有效發揮，可以生成相應的漏洞報告，同時也可以生成攻擊圖。

3 工業控制系統安全隱患分析的實現

3.1 攻擊圖生成算法

想要實現對工業控制系統安全隱患的深入分析，應該注意找到IT工業控制網絡層級中可以攻擊到的所有主機，由列表的第一位開始對主機進行攻擊。在進行節點計算操作的時候，應該注意對操作方法進行合理選擇，一定要嚴格避免攻擊路徑出現重復性，同時還要注意對所有攻擊路徑列表中的節點進行刪除處理，從而避免大量的多余數據存在而致使無效攻擊路徑出現[4]。對于辦公層來說，在生成這一層級的時候，應該注意對辦公層節點進行劃分，將其分為辦公層與IT層的邊界主機、辦公層與工控層的邊界主機，這也使得這一層級在實際運行的過程中可以對當前系統存在的安全隱患有更為清晰具體的認知。

3.2 網絡狀態采集模塊的實現

（1）網絡連接信息配置技術的實現。對于網絡連接信息配置技術來說，其主要是依靠集線器、交換機以及路由等裝置來實現的，在實際運行過程中需要對信息儲存格式進行合理選擇，通常會將信息格式保存為hacl，并且將其中的src作為源節點，這樣一來，系統在實際運行的過程中對于傳輸端口的選擇會更為精準。Apply是保存配置信息的關鍵模塊，在實際應用的過程中還應該對其功能進行不斷完善，使其關鍵作用得到有效發揮，這也是實現網絡連接信息配置技術的基礎前提。

（2）主機信息配置技術的實現。對于主機信息配置技術來說，其在現階段的工控網絡系統中已經有了初步應用，其在實際應用的過程中發揮出了理想效果。對于攻擊圖工業控制網絡系統來說，其組成較為復雜，主要包括服務器、主機以及PLC等設備，系統在實際運轉的過程中需要嚴格按照相應的規定在配置界面進行配置操作，從而實現對當前主機漏洞的有效優化，從而使得配置系統在實際運行的過程中發揮出理想效果。在進行主機服務類型選擇的時候，應該保證其系統配置的合理性[5]。同時，還應該注意對服務欄目進行開放，通過這種方式來實現對表格中內容的修改，可以運用刪除按鈕來對選中的信息進行刪除處理，通過這種方式來保證信息處理效果。

3.3 攻擊目標配置技術的實現

對于現階段的工控系統攻擊目標配置技術來說，其主要是由攻擊信息以及攻擊類型所組成，在實際運用的過程中需要制作出與之相對應的攻擊目標表格，通過這種方式來對配置完成的信息進行展示，并且在這一過程中不能對信息進行修改，要注意結合實際需求對攻擊類型進行合理設置。當配置信息選擇完成之后，應該注意通過增加按鈕的方式來進行信息配置，并且將其添加到攻擊目標表格中[6]?？梢岳肐D來實現對網絡設備的準確標記，這也使得文件設備的識別效果更為理想，也在很大程度上方便了用戶使用。同時，想要實現攻擊目標配置技術的有效運用，應該注意將設備名稱所標記的攻擊目標展示在配置界面中，并且要對模塊中的設備名稱進行轉化，將其轉化為設備ID，這樣也可以實現對信息的有效保存以及配置[7]。

4 結語

綜上所述，通過對基于攻擊圖工業控制網絡安全隱患的深入分析之后可以看出，由于攻擊圖系統自身具有復雜性，并且體量較為龐大，一般情況下，不適合在大型的工業控制網絡中進行應用。經過對工業控制網絡體系進行深入分析之后，對整體系統結構設計、攻擊圖生成模塊以及網絡狀態采集模板有了較為深入的了解，可以實現對控制網絡安全隱患的有效檢測以及排查，使得安全隱患分析工作的開展更為順利[8-9]。在對工業控制系統的安全隱患分析系統進行確定的時候，主要是對各個層級的攻擊圖及生成算法實現以及網絡狀態采集模塊進行確定，從而使得安全隱患得到有效控制，同時也明確了攻擊圖工控系統安全隱患分析的實現方法，進一步強化了對工控系統運行過程中安全隱患的分析能力。