[发明专利]一种基于攻击图的工业控制系统安全度量方法

权利要求书

1.一种基于攻击图的工业控制系统安全度量方法，其特征在于，包括以下步骤：

步骤一，获取工控网络拓扑结构信息，对特定工控系统的设备进行探测，掌握工控网络内的设备信息，并且对设备关联情况进行分析；

步骤二，针对工控网络内设备的探测结果，对设备漏洞信息进行收集；

步骤三，根据拓扑结构和设备漏洞信息，基于图数据库的方法以图形化格式存储格式，采用节点和关系表示图结构，生成系统攻击图；

步骤四，根据生成的系统攻击图，按照漏洞节点度量、设备节点度量、系统安全度量三个层次，对特定工控系统进行网络安全度量，并对攻击路径进行分析；其中，设备节点度量根据设备节点被攻击概率以及设备节点危险分数进行量化；

a.设备节点被攻击概率

针对每个设备节点相连的漏洞节点，根据其可利用率计算设备节点的被攻击概率，如式Ⅰ：

其中，U_self表示本设备节点的被攻击概率，u_i表示与该设备节点相连的第i个漏洞节点的可利用率，k表示与该设备节点相连的所有漏洞节点数，与设备节点相连的漏洞节点数量越多，该设备节点的被攻击概率越高；

b.设备节点危险分数

以相连漏洞节点的可利用率为依据，对漏洞节点进行加权危害计算，得到设备节点的危险分数，如式Ⅱ：

其中，R_self表示本设备节点的危险分数，u_i、u_j表示与该设备节点相连的第i、j个漏洞节点的可利用率，r_i表示与该设备节点相连的第i个漏洞节点的漏洞危害。

2.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤一中，获取工控网络拓扑结构信息包括系统设计文档中的拓扑规划、系统配置以及安全设备的访问控制规则；根据系统设计文档以及安全设备的访问控制规则，读取系统设备间的连接关系并进行提取，以还原系统拓扑结构。

3.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤二中，对设备漏洞信息进行收集包括漏洞信息库构建及设备漏洞获取；

漏洞信息库构建包括漏洞信息采集及漏洞信息处理；漏洞信息采集以CVE-NVD漏洞库为主体，CNNVD、ICS Vulnerability Database为拓展安全库，CWE、CAPEC为漏洞关联信息库，来构建安全知识库，将采集的漏洞信息存储至MySQL数据库中；漏洞信息处理以CNNVD和CVE漏洞知识库为主体，对导入MySQL数据库中的所有漏洞信息进行匹配、关联，引入CWE作为弱点描述和弱点分类以及利用性判别的依据，并结合CAPEC，描述利用漏洞进行攻击的前提、技术储备、方式和造成后果；

设备漏洞获取采用扫描工具对系统设备进行漏洞扫描，根据已获取的系统设备信息，对扫描工具进行配置，完成设备漏洞信息的扫描；然后根据扫描获取到的设备漏洞信息，将设备与漏洞进行关联表示，一个设备可关联一个或多个漏洞，定义设备与漏洞的连接关系为has_vul_at，DEVICE1 has_vul_at VUL1表示该设备1存在编号为VUL1的漏洞；将设备漏洞信息与漏洞信息库中信息进行匹配，每一个漏洞都可获得“CNNVD描述-CVE漏洞编号-CWE弱点报告-CAPEC攻击方法-CVSS评分”的原子攻击模板，为后续攻击图的生成提供输入数据。

4.如权利要求1所述的基于攻击图的工业控制系统安全度量方法，其特征在于，步骤三中，攻击图中的节点包括设备节点以及漏洞节点；

设备节点信息包含了设备漏洞所在的服务信息、开放端口信息和IP信息，设备节点信息作为设备节点的属性，设备节点信息采用五元组即设备IP、设备名称、存在漏洞的服务、服务协议、服务端口进行描述；

漏洞节点信息包含原子攻击规则中的CVE\CNNVD编号、CWE分类、提权能力标识和CVSS评分，漏洞节点信息作为节点属性集成在以漏洞ID为标识的漏洞节点上，漏洞节点信息采用四元组即漏洞ID、漏洞编号、漏洞类型、漏洞评分进行描述；

根据网络拓扑分析以及漏洞信息收集的结果，对数据进行预处理，总结为设备信息表、漏洞信息表、设备关系表，作为攻击图生成算法的输入。