[发明专利]基于贝叶斯攻击图的半被动工控网络安全分析工具及方法

说明书

本发明提供了一种基于贝叶斯攻击图的半被动工控网络安全分析工具及方法，涉及网络安全技术领域，该方法包括：半被动信息获取模块：获取主动扫描报告、网络报文数据和管理员修正建议的组合，并将其作为输入文件；建立资产清单模块：搭建资产清单，生成.P文件作为属性攻击图生成模块和贝叶斯攻击图生成模块的输入文件；属性攻击图生成模块：输入模板网络拓扑信息和节点信息，生成攻击路径；贝叶斯攻击图生成模块：基于Datalog语句记录的网络信息和逻辑规则对整个网络的信息进行综合分析，最后生成所有可能的攻击图。本发明能够针对工业控制网络有较强的兼容性，同时综合利用多种图表直观地辅助网络安全分析、且能够做到动态分析与隐患防控。

技术领域

本发明涉及网络安全技术领域，具体地，涉及一种基于贝叶斯攻击图的半被动式工控网络安全分析工具及方法。

背景技术

工业控制系统是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件，共同构成的确保工业技术设施自动化运行、过程控制和监控的业务流程管控系统，其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)。相关术语解释：ICS(Industrial ControlSystem)：工业控制系统；AG(Attack Graph)：攻击图；BAG(Bayesian Attack Graphs)：贝叶斯攻击图；CVSS(Common Vulnerability Scoring System)：通用漏洞评分系统。

工业控制系统广泛应用于电力、石油石化、航空、核能及大型制造等行业中，是关键基础设施运行的中枢。随着工业化和信息化的飞速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，这大大加速了黑客分析挖掘ICS漏洞的速度。同时为了满足当前工业控制提高运作效率的要求，ICS也逐渐与公共网络链接。这就使原本封闭的ICS暴露在网络攻击范围内。当前较为主流的工控网络安全保护方法分为三类：防火墙技术、入侵防范技术和事件关联与态势感知技术。

针对上述现有技术，当下已有的工控网络安全分析工具存在缺少针对工控网络的兼容设计、安全分析效果较差且无法做到隐患防控的问题。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于贝叶斯攻击图的半被动式工控网络安全分析工具及方法，能够针对工业控制网络有较强的兼容性，同时综合利用多种图表直观地辅助网络安全分析、且能够做到动态分析与隐患防控。

根据本发明提供的一种基于贝叶斯攻击图的半被动式工控网络安全分析工具及方法。

第一方面，提供了一种基于贝叶斯攻击图的半被动式工控网络安全分析工具，所述工具包括：

半被动信息获取模块：获取主动扫描报告、网络报文数据和管理员修正建议的组合，并将其作为输入文件；

建立资产清单模块：搭建资产清单，生成.P文件作为属性攻击图生成模块和贝叶斯攻击图生成模块的输入文件；

属性攻击图生成模块：输入模板网络拓扑信息和节点信息，综合分析多种网络配置和脆弱性信息，生成攻击路径，且相关输出作为贝叶斯攻击图生成模块的输入文件；

贝叶斯攻击图生成模块：基于Datalog语句记录的网络信息和逻辑规则对整个网络的信息进行综合分析，最后生成所有可能的攻击图。

优选的，所述半被动信息获取模块包括：

经过网络拓扑分析，获取节点信息和拓扑边缘信息；

主动扫描报告重构，解析报告中的信息并存储在资产清单中；

网络管理员修改，先利用mysql数据库进行修改，操作完成后借助js制作用户友好的可视化界面，实时预览资产清单信息并做指定修改和更新。

优选的，所述获取节点信息和拓扑边缘信息包括：