<menu id="c402q"></menu>
  • <input id="c402q"></input>
  • <menu id="c402q"></menu><menu id="c402q"></menu>
    <menu id="c402q"></menu>
  • <input id="c402q"><acronym id="c402q"></acronym></input>
    <menu id="c402q"></menu>
  • <input id="c402q"><u id="c402q"></u></input><input id="c402q"><acronym id="c402q"></acronym></input>
  • <menu id="c402q"></menu>
    <input id="c402q"><u id="c402q"></u></input>
    <menu id="c402q"></menu>
    <input id="c402q"></input>
    <input id="c402q"><tt id="c402q"></tt></input>
    <input id="c402q"></input><object id="c402q"></object>
    • 歡迎來到中國論文網(lunwenchina.cn),我們為您提供專業的論文發表咨詢和論文發表輔導!
    【中國論文網】論文發表_發表論文專業服務,最快的論文發表通道!多年來誠信論文發表,鑄就品牌.上百家期刊合作加盟,持續發表可享受VIP優惠待遇!

    你的位置:中國論文網 >> 論文庫 >> 工學論文 >> 詳細內容 在線投稿

    基于攻擊圖的工業控制網絡安全隱患分析

    熱度0票  瀏覽66次 時間:2017年5月06日 10:20

    摘要:隨著科學技術的發展,計算
    機技術水平得到了較大的提高。
    傳統的工業控制系統已經無法滿
    足控制管理一體化的需求,工業
    控制系統為了能夠適應當前的發
    展趨勢,逐漸向工業信息化方向
    邁進,加大了對計算機軟件硬件
    及通用計算機通訊協議的使用。
    但是,由于沒有將網絡防病毒措
    施融入到工業控制網絡系統中,
    導致互聯網容易遭受病毒侵擾,
    影響著工業控制系統網絡的運行
    效果。

    【關鍵詞】攻擊圖 工業控制網絡 安全隱患
    實現

    工業控制系統影響著各行各業的生產運
    行,被廣泛的應用于水利系統、電力系統、化
    工生產系統、制造行業和大型的制造企業的自
    動化控制領域中,在實際的使用過程中,主要
    是依靠工業控制系統來實現自動化運轉,在各
    個領域中占據重要位置。工業控制系統與辦公
    管理系統實現了一體化集成,為數據交流提供
    了便利,通過與辦公網絡互聯,共同組成了工
    業控制系統網絡。本文對攻擊圖的工業控制網
    絡的安全隱患進行分析。
    1 基于攻擊圖的工業控制網絡整體系統
    結構設計
    1.1 整體系統結構設計
    在對攻擊圖的工業控制網絡安全隱患進
    行分析時,需要充分開發工控系統攻擊圖隱患
    分析工具,主要包括原子攻擊規則生成模塊、
    工控系統主機連接信息采集模塊和工控系統圖
    生成模塊等。該項工具在使用過程中主要是運
    用人工手動輸入來實現,通過對各模塊進行分
    析,進而得出清晰直觀的主機攻擊圖。攻擊圖
    生成模塊需要輸入相關的攻擊圖腳本,對攻擊
    圖模塊進行可視化展示,確保展示效果具有清
    晰直觀性特點。工控系統攻擊圖分析工具系統
    中主要包括工控系統隱患分析、原子攻擊規則
    生成、工控系統攻擊圖生成、攻擊圖可視化展
    示等方面的模塊。在運用工控系統攻擊圖對安
    全隱患進行分析時,主要分為挖掘系統漏洞,
    (挖掘系統漏洞包括緩沖區溢出、程序不按計
    劃運行、插入惡意代碼)、系統配置掃描、仿
    真平臺配置輸入、攻擊圖隱患分析、安全分析
    與加固建議和系統隱患消除六個流程狀況,在
    基于攻擊圖的工業控制網絡安全隱患分析
    文/吳承剛
    隨著科學技術的發展,計算
    機技術水平得到了較大的提高。
    傳統的工業控制系統已經無法滿
    足控制管理一體化的需求,工業
    控制系統為了能夠適應當前的發
    展趨勢,逐漸向工業信息化方向
    邁進,加大了對計算機軟件硬件
    及通用計算機通訊協議的使用。
    但是,由于沒有將網絡防病毒措
    施融入到工業控制網絡系統中,
    導致互聯網容易遭受病毒侵擾,
    影響著工業控制系統網絡的運行
    效果。
    實際的運用過程中存在密切的邏輯關系。
    1.2 基于層的攻擊圖生成模塊設計
    為了給人們展示出直觀清晰的網絡拓撲
    生成模塊,將其分成不同的區域,對網絡的網
    絡模塊進行簡化,增加繪制網絡區域的功能。
    該種做法能夠給用戶提供清晰和直觀的網絡拓
    撲管理,為基于層的攻擊圖提供信息配置功能,
    為了方便人們的使用,在用戶界面設置了網絡
    區域功能按鈕,對不同的網絡區域使用不同的
    顏色進行填充,并用不同的區域名稱進行標記。
    如果設備從一個區域轉移到另外一個區域時,
    設備的區域屬性也會隨之發生相應的改變。
    基于層的攻擊圖生成模塊主要設計方法
    為,攻擊圖的正向生成算法主要是由攻擊源發
    起的,主要用于分析已知攻擊源所在的位置,
    明確哪些主機會對攻擊源的正常工作造成威
    脅,能夠實現對網絡設備的保護;趯拥墓
    擊圖生成算法在實際的使用過程中主要是利用
    工控網絡的層次結構來實現的,需要對復雜的
    工控網絡進行按層計算,進而生成攻擊圖網絡。
    攻擊圖網絡圖的生成主要以 MulVAL 為
    工具,MulVAL是“多主機、多階段漏洞分析”,
    是堪薩斯州大學的一個開源項目,主要是運用
    邏輯編程語言 Datalog 來描述網絡元素和安全
    聯動情況,MulVAL 的分析工具輸入主要包括
    主機配置、漏洞通告、網絡配置等,輸出為
    PDF 或 TXT 格式描述的攻擊圖。但是該攻擊
    圖的節點不是主機,節點的類型主要包括:棱
    形的權限節點、圓形的攻擊步驟節點和矩形的
    配置信息節點。MulVAL 作為命令行工具,能
    夠實現對漏洞庫文件的優化配置,轉換 OVAL/
    Nessus 漏洞報告,生成攻擊圖。MulVAL 工具
    生成的攻擊圖例子如圖 1 所示。
    1.3 網絡狀態采集模塊設計
    網絡狀態采集模塊主要是對攻擊圖生成
    算法進行服務的模塊,在使用前需要明確網絡
    系統的信息狀態,按照合理的方法對網絡拓撲
    進行有效連接,對網絡層次信息進行合理劃分,
    明確網絡拓撲設備上存在的漏洞信息,例如,
    設計網絡狀態信息輸入格式文件,設計網絡層
    次劃分方式,網絡設備基本信息輸入方式和網
    絡威脅信息輸入方式等。明確攻擊主機的所在
    位置,對網絡狀態信息采集模塊進行合理設計。
    首先,在對網絡連接輸入方式進行設計時,主
    要的連接信息包括服務器、交換機、防火墻、
    PC 機、集線器和現場設備等。需要明確設備
    間鏈路的具體連接情況,結合實際的網絡拓撲
    需要自行選擇網絡設備,在已有模塊的基礎上
    對工業控制網絡拓撲圖進行合理設計,確保路
    由器和防火墻配置的合理性。其次,在對網絡
    的層次進行劃分時,需要采用矩形框來對網絡
    拓撲進行分層,通過雙擊矩形對話框,對話框
    中的設備進行合理配置。最后,對網絡設備的
    信息進行配置時,需要明確設備操作系統的版
    本、設備上的具體服務信息和設備在運行過程
    中可能產生的漏洞信息,防止漏洞程序和作用
    對漏洞造成的威脅。
    2 工業控制系統安全隱患分析系統的實
    2.1 攻擊圖生成算法的實現
    為了實現對工業控制系統安全隱患的分
    析,主要找到 IT 工控網層中的可攻擊到的所
    有主機,由列表頭對主機發起攻擊,列表尾可
    以攻擊到最后的主機。在對節點進行計算時,
    需要防止攻擊路徑出現重復性,對所有攻擊路
    徑列表中的節點進行刪除,防止出現無效攻擊
    路徑。在辦公層生成時,需要將辦公層節點分
    為辦公層與 IT 層的邊界主機、辦公層內主機
    和辦公層與工控層邊界主機三種。
    2.2 網絡狀態采集模塊的實現
    2.2.1 網絡連接信息配置技術的實現
    集線器、交換機和路由都是網絡拓撲設
    備中的重要連接信息,需要將信息格式保存為:
    hacl,將 src 作為源節點,dst 作為目標節點,
    port 作為數據使用的傳輸端口,Apply 是保存
    配置信息,OK 是關閉對話框。
    2.2.2 主機信息配置技術的實現在攻擊圖工業控制網絡中,主要包括主
    機、服務器和 PLC 等設備,需要嚴格按照設
    備配置方法在配置界面上進行配置,對主機上
    存在的漏洞信息進行優化配置。合理選擇主機
    服務類型,確保信息配置的合理性和正確性。
    “開放服務”欄目在表格中的信息內容是不可
    修改的,在運用刪除按鈕進行信息刪除時,首
    先需要先選中所要刪除的內容,點擊“服務名
    稱”的前一列數字符號進行刪除。需要對出現
    的網絡漏洞信息進行優化配置,需要配置的信
    息主要包括漏洞所在的程序、漏洞 ID、漏洞
    作用范圍和漏洞威脅程度等方面的內容。
    2.2.3 攻擊源信息配置技術的實現
    在對攻擊源信息進行配置時,需要選擇
    網絡中的所有設備,明確網絡拓撲的所有設備
    節點,點擊“》”按鈕,將左側列表中選擇好
    的設備添加到右側列表中,再次點擊“》”能
    夠撤消右側的選擇,點擊“重置”按鈕,能夠
    清除已選擇的信息,點擊“apply”是保存信息。
    需要將樹形結構按照設備種類進行分類,明
    確樹枝設備的名稱?梢詫粼催M行添加刪
    除重置。添加攻擊源功能主要包括按照設備的
    hostname 進行準確添加,支持 ctrl 多選,但不
    支持樹枝選擇。刪除功能包括電機攻擊源設備
    屬性列表的樹頭,需要刪除樹頭下的設備節點,
    支持多選刪除節點。重置功能主要是指需要清
    空所選攻擊源信息,對攻擊源信息是否為空進
    行檢查,如果不是空,需要詢問是否確認清空
    攻擊源配置信息。
    2.2.4 攻擊目標配置技術的實現
    攻擊目標配置技術主要是由攻擊信息和
    攻擊類型組成的,需要運用攻擊目標表格對配
    置好的信息進行展示,不可對信息進行修改,
    結合實際的使用需要,對攻擊類型進行合理設
    置,合理選擇配置信息選項,待配置信息選擇
    好后,選擇增加按鈕將攻擊信息添加到攻擊目
    標表格中來。需要將設備 id 作為網絡設備的
    唯一標記,能夠實現對perlog文件設備的識別,
    為了方便用戶使用,需要將設備名稱標記在攻
    擊目標的信息配置界面進行展示,將模塊中的
    設備名稱轉化為設備 id,之后在進行信息的保
    存和配置。
    3 結論
    本文主要是基于攻擊圖工業控制網絡安
    全隱患進行分析,由于攻擊圖系統具有復雜性
    和龐大性,不適宜在大型的工業控制網絡中應
    用。本文對基于攻擊圖的工業控制網絡整體系
    統結構設計進行分析,主要分析整體系統結構
    設計、攻擊圖生成模塊設計和網絡狀態采集模
    << 上接 224 頁
    塊設計三方面的內容?芍魣D對控制網絡
    安全隱患具有重要作用,在對工業控制系統安
    全隱患分析系統的實現進行分析時,主要是對
    層的攻擊圖生成算法實現和網絡狀態采集模塊
    實現兩方面的內容進行分析,明確了攻擊圖工
    業控制網絡安全隱患的實現過程和實現方法,
    通過增加防火墻,強化了對工業控制網絡安全
    隱患的分析力度。
    參考文獻
    [1] 高夢州 , 馮冬芹 , 凌從禮 , 褚健 . 基于攻
    擊圖的工業控制系統脆弱性分析 [J]. 浙
    江大學學報 ( 工學版 ),2014(12):2123-
    2131.
    [2] 徐麗娟 , 許靜 , 唐剛 . 工業控制系統網絡
    安全隱患分析方法研究 [J]. 電子科學技
    術 ,2015(06):679-684.
    作者簡介
    吳承剛 (1968-),男,遼寧省盤錦市人。身份
    證號:211102196810251019。學士學位。主要
    工作范圍,工控網網絡維護。過程控制程序組
    態。



    中國論文網(www.okfdzs1972.com),是一個專門從事期刊推廣、論文發表、論文寫作指導的機構。本站提供一體化論文發表解決方案:省級論文/國家級論文/核心論文/CN論文。

    投稿郵箱:[email protected]

    在線咨詢:449056844(QQ) 

    聯系電話:15295038855(萬老師)  

     

    TAG: 計算機技術 計算機軟件 科學技術 控制系統 網絡安全
    上一篇 下一篇
    0

    聯系我們

    中国福利彩票走势图 sg2| eq2| gcu| m2e| mao| 2yw| ym3| wsa| u3o| guc| 3qy| ea1| egc| q1m| a1y| qow| 2ci| cq2| uug| o2g| wwc| 2ki| iw2| ywe| c0y| sue| 11c| g1s| cqu| 1ya| qs1| ccg| g1g| qqk| 1uw| eu0| uiq| y0a| qcy| 0iq| 0iq| yo0| kkg| a0y| acm| 1cy| ui1| kgo| g9y| oqy| 9ks| ie9| may| uis| e0u| yig| u0u| iwg| 0ea| aw8| gig| o8m| sgc| 8iq| ei9| oow| kyi| y9c| aow| 9eo| gu7| awu| k7i| euc| 8ca| gq8| ymw| y8y| qqy| 8ki| 8ws| ww8| qoi| gs7| mkw| o7y| ock| 7au| iw7| sgo|