[发明专利]一种用于工业物联网的智能防御示意图的生成方法和系统

说明书

本发明公开了一种用于工业物联网的智能防御示意图的生成方法，其首先获取工业控制系统所处网络环境的网段信息，通过扫描所处网段的网段号得到该工业控制系统网络中所有处于存活状态的设备，并对存活设备进行路由追踪，并根据路由追踪的结果生成该工业控制系统网络的完整网络拓扑结构示意图，之后再对这一工业控制系统网络内所有处于存活状态的设备利用SNMP以及ARP等协议获取设备的基本信息，同时运用TCP等相关协议进行端口漏洞检测，最后结合各存活设备存在的漏洞信息、相邻设备间漏洞关联关系和可能存在的不同网络间的依赖关系以及网络拓扑结构类型等因素评估分析可能被攻击者利用的控制路径，并将分析结果标识在先前生成的网络拓扑结构示意图上。

技术领域

本发明属于信息安全领域，更具体地，涉及一种用于工业物联网的智能防御示意图的生成方法和系统。

背景技术

由于现有工业物联网的网络环境日趋复杂，针对工业物联网的恶意攻击事件频繁发生，其造成的影响十分恶劣，导致的损失更是相当巨大。因此，针对工业物联网信息安全这一问题的研究显得非常重要。

如今，国内外对于维护工业物联网信息安全的主流策略都是基于被动防御机制，即在恶意攻击发生之后再采取相应的防御措施去应对。然而，这种方法存在一些不可忽略的缺陷：首先，其耗时长，成本高；其次，随着恶意攻击手段的不断变化，这种防御机制的防护作用也在被逐渐削弱，进而导致工业物联网的安全性面临严峻挑战。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种用于工业物联网的智能防御示意图的生成方法和系统，其目的在于，从攻击者角度出发去思考从何处着手对工业物联网实施攻击，从而帮助工控系统的操作人员提前做出预判，修复或者封堵可能存在漏洞的控制路径，降低工业物联网被恶意攻击的风险，从而提高工业物联网运行环境的安全性，并解决现有防御策略中存在的耗时长、成本高、防护效果差的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种用于工业物联网的智能防御示意图的生成方法，包括以下步骤：

(1)获取工控系统所处网络环境的网段号，并向该网段号内的所有设备发送状态确认请求，并根据所有设备收到该状态确认请求后返回的响应信息确定该网段号内所有处于开机状态的设备，并获取所有处于开机状态的设备的IP地址；

(2)获取步骤(1)中确定的所有处于开机状态的设备的基本信息；

(3)根据步骤(1)得到的所有处于开机状态的设备的IP地址对每台设备进行路由追踪操作，以获得到达所有处于开机状态的设备的完整路径信息，并从完整路径信息中获取所有以客户端为起点、工控设备为终点的控制路径；

(4)根据设备类型在预先设置的、SVG格式的设备图标库中获取所有处于开机状态的设备的图标，并利用所有处于开机状态的设备的图标、基本信息、以及完整路径信息，使用Python pyecharts工具库的关系图功能模块生成工控系统的网络拓扑结构示意图；

(5)采用基于规则匹配的漏洞检测方法获取所有处于开机状态的设备中每一台设备存在的所有漏洞，并将所有漏洞依次与预设的漏洞数据库中的漏洞类型进行匹配，如果二者匹配则将对应的设备和该漏洞记录在该设备的漏洞列表中，如果二者不匹配则转入下一个漏洞的匹配过程；

(6)针对步骤(3)中得到的每一条控制路径而言，根据该控制路径上每台设备在漏洞列表中对应的漏洞的类型、该控制路径上相邻两台设备拥有相同类型漏洞的数量、以及该工控系统所处网络拓扑结构类型(例如星型结构、总线型结构、以及环型结构等)，并使用基于攻击图的评估算法获取该控制路径对应的安全指数；

(7)将步骤(6)得到的所有控制路径对应的安全指数在步骤(4)得到的网络拓扑结构示意图中标示出来，从而得到最终的工业物联网智能防御示意图。

优选地，工控系统中的设备包括服务器、客户端、工控设备、路由器、交换机。