一种多层次的节点共用攻击树建模方法与系统与流程

1.本发明涉及工业网络安全领域，具体涉及一种多层次的节点共用攻击树建模方法与系统。


背景技术：

2.首先，针对工业控制系统的攻击是一类复杂攻击。复杂攻击的过程是一个动态过程，它是多个入侵事件和普通网络事件的有机组合，这些事件间可能存在着各种各样的关系。
3.对攻击者的攻击目的进行分析，从战略攻击者的角度可以看出其针对工业控制系统的攻击目标是多重的，同时实现最终攻击目标的条件也存在相互关联关系。因此对于普通的攻击树而言存在不少缺点，一是不能准确地体现出达到攻击目标所应具备的条件间的关联性，二是对于多目标的系统分析，只能由多棵攻击树组成的森林角度去分析，无法避免节点和路径的重复问题。
4.另外，工业控制系统的网络结构具有层次化的特点，为了使不同品牌、不同型号的控制系统间实现集成，在工业控制系统中通常采用标准化的结构和通信协议。因此若安全模拟构建模型采用层次化的模型结构，一方面能够与工业控制系统的网络层次相契合，易于直观的图形化分析；另一方面，对于安全模拟按步骤和阶段实施，能提供了更为便捷的划分方法。


技术实现要素：

5.为了实现攻击树的层次化，以及传统多目标森林的单一攻击树合并，同时实现重复节点共用的攻击树模型，本发明提出了一种多层次的节点共用攻击树建模方法，包括步骤：
6.s1：获取安全模拟对象的系统结构和组件信息，所述系统结构包括网络入口和网络层次结构，所述组件信息包括主机、关键组件以及它们的层次位置和通信关系；
7.s2：根据网络层次结构进行攻击树的层次构建，并根据网络入口的层次位置划分网络入口至对应层次实现叶节点的构建；
8.s3：根据组件的层次位置划分组件至对应层次，并根据组件的版本标识在获取其脆弱性后实现中间节点的构建；
9.s4：根据各层次的预设攻击目标分别进行根节点的构建；
10.s5：根据各层次组件间的通信关系和各组件间的脆弱性关系，判断组件是否可以利用，若是，在可利用组件之间建立节点间连接并生成攻击树模型。
11.进一步地，所述攻击树的层次中，最顶层为根节点。
12.进一步地，一次建模中仅包含一个安全模拟对象。
13.进一步地，所述脆弱性包括以下状态：脆弱性不存在；脆弱性存在但不可利用；脆弱性存在并可利用。
14.进一步地，所述步骤s5中，可利用的组件存在至少一个脆弱性，各组件由多个单一脆弱性或不同脆弱性之间的组合决定该组件是否可以利用。
15.本发明还提出了一种多层次的节点共用攻击树建模系统，包括：
16.信息获取模块，用于获取安全模拟对象的系统结构和组件信息，所述系统结构包括网络入口和网络层次结构，所述组件信息包括主机、关键组件以及它们的层次位置和通信关系；
17.层次构建模块，用于根据网络层次结构进行攻击树的层次构建；
18.节点构建模块，用于根据网络入口的层次位置划分网络入口至对应层次实现叶节点的构建；还用于根据组件的层次位置划分组件至对应层次，并根据组件的版本标识在获取其脆弱性后实现中间节点的构建；还用于根据各层次的预设攻击目标分别进行根节点的构建；
19.通路搭建模块，用于根据各层次组件间的通信关系和各组件间的脆弱性关系，在可利用组件之间建立节点间连接并生成攻击树模型。
20.进一步地，所述攻击树的层次中，最顶层为根节点。
21.进一步地，一次建模中仅包含一个安全模拟对象。
22.进一步地，所述脆弱性包括以下状态：脆弱性不存在；脆弱性存在但不可利用；脆弱性存在并可利用。
23.进一步地，所述通路搭建模块中，可利用的组件存在至少一个脆弱性，各组件由多个单一脆弱性或不同脆弱性之间的组合决定该组件是否可以利用。
24.与现有技术相比，本发明至少含有以下有益效果：
25.(1)本发明所述的一种多层次的节点共用攻击树建模方法与系统，将不同的节点根据其在网络攻击中的功能进行划分，实现了节点指标的量化；
26.(2)根据工业系统的网络结构将攻击树层次化划分，能够直观反映安全模拟对象的结构和网络层次，层次化的攻击树也更能够展现出安全模拟的路径，有利于多颗攻击树之间同一层次的节点共用；
27.(3)通过多层次的设置，将不同功能的节点分别放置于不同层次中，从而能够通过同一攻击树实现多攻击目标下的整体分析；
28.(4)层次化的设置可以将节点进行共用，从而实现组合型攻击目标的安全模拟策略分析，而无需重建攻击树以对不同攻击目标逐个分析；
29.(5)通过实现多目标的同步分析，能够从安全模拟对象系统的角度出发，而不是用于某一单一类型的安全模拟方式进行研究，从系统整体的角度对系统的安全性能进行评估。
附图说明
30.图1为一种多层次的节点共用攻击树建模方法与系统的方法步骤图；
31.图2为一种多层次的节点共用攻击树建模方法与系统的系统结构图；
32.图3为攻击树结构示意图。
具体实施方式
33.以下是本发明的具体实施例并结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。
34.实施例一
35.为解决现有网络安全工程攻击树模拟攻击目标单一，要实现多目标分析需建立攻击树森林(节点复用率低)，同时无法很好适应工业控制系统多层次化系统架构的问题，如图1所示，本发明提出了一种多层次的节点共用攻击树建模方法，包括步骤：
36.s1：获取安全模拟对象的系统结构和组件信息，所述系统结构包括网络入口和网络层次结构，所述组件信息包括主机、关键组件以及它们的层次位置和通信关系；
37.s2：根据网络层次结构进行攻击树的层次构建，并根据网络入口的层次位置划分网络入口至对应层次实现叶节点的构建；
38.s3：根据组件的层次位置划分组件至对应层次，并根据组件的版本标识在获取其脆弱性后实现中间节点的构建；
39.s4：根据各层次的预设攻击目标分别进行根节点的构建；
40.s5：根据各层次组件间的通信关系和各组件间的脆弱性关系，判断组件是否可以利用，若是，在可利用组件之间建立节点间连接并生成攻击树模型。
41.针对上述步骤，本实施例通过以下文字说明对其进行详细解释：
42.考虑到本发明是用于工业控制系统的，出于工业控制系统层次化、攻击目标多样化、路径多样化的特点，对攻击树的建模就有一定的构造要求以适应工业控制系统的网络结构。因此在攻击树建模之前需要获取安全模拟对象(工业控制系统)的系统结构和组件信息，其中系统结构包括网络入口和网络层次结构，组件信息包括主机、关键组件以及它们的层次位置和通信关系。对于信息的搜集可能存在多种方式，针对封闭环境一般通过抵近式的信息摆渡方式，也就是利用非网络的信息载体窃取或社会工程学直接从目标处获取，而对于联网环境，则可以通过扫描、侦听等主动探测方式，利用现有对目标系统特征的掌握进一步分析系统的构成。
43.而后根据这些搜集到的系统结构和组件信息，按照安全模拟对象的网络层次结构特征进行攻击树的层次构建。需要说明的是，因为网络结构的不确定性，每个攻击树层次中均可能包含叶节点(即网络入口)、中间节点(即组件)以及根节点(即攻击目标，可选择的)。攻击树的层次结构确定后，在后续的攻击树生长或裁剪过程中基本不会出现较大变化，因此对攻击树的更新影响较小。通过将不同的节点根据其在网络攻击中的功能进行划分，实现节点指标的量化。
44.上述对于工业系统网络结构的攻击树层次化划分，能够直观反映安全模拟对象的结构和网络层次，层次化的攻击树也更能够展现出安全模拟的路径，有利于多颗攻击树之间同一层次的节点共用。
45.基于已建立的攻击树层次，根据网络入口的调查结果(层次位置)，分别将它们划分到对应的层次中，完成叶节点的构建。通过多层次的设置，将不同功能的节点分别放置于不同层次中，从而能够通过同一攻击树实现多攻击目标下的整体分析。
46.在叶节点构建完成后，进行中间节点和根节点的构建，我们先根据组件的层次位置划分组件至对应的攻击树层次，而后获取各组件的版本标识，根据版本标识确认组件中
存在的脆弱性并在各层次组件中标识出，完成中间节点的构建。而根节点则是每个层次预期达到的潜在攻击目标。
47.最后，根据根据各层次组件间的通信关系和各组件间的脆弱性关系，判断组件是否可以利用，若是，在可利用组件之间建立节点间连接并生成攻击树模型。
48.上述对攻击树模型的构建过程进行了说明，接下来对攻击树本身的结构参考附图进行说明，如图3所示：
49.整棵节点共用攻击树表示一个安全模拟对象，用t
λ
(λ∈n)表示，其中λ表示攻击树的层次数量，根据攻击树的结构，从最底层开始为第1层，最顶层为第λ层，通常最底层的节点均为叶节点；第2层到第λ
‑
1层均可能存在叶节点、中间节点以及根节点；最顶层则均为根节点。g表示安全模拟对象。在一次建模过程中，仅包含一个安全模拟对象，即一个安全模拟对象在模型中表现为一个节点共用攻击树。
50.一个安全模拟对象包含多个安全模拟入口(用于安全模拟的工业控制系统所存在的与外界信息系统相关联的通道，可以抽象为进入攻击树的通道)，每个安全模拟入口表现为攻击树的叶节点，用e
φ,γ
表示，其中φ(φ∈n,φ≤λ)表示安全模拟入口所处攻击树的层次，γ(∈n)表示安全模拟入口所在攻击树层次的入口序号。
51.一个安全模拟对象还可以包含多个预设攻击目标(一次完整的安全模拟过程预期达到(攻击)的目标)，每个预设攻击目标表现为攻击树的根节点。不同的预设攻击目标可以分别处于攻击树的不同层次。预设攻击目标用表示，其中φ(φ∈n,φ≤λ)表示预设攻击目标所处攻击树的层次，表示预设攻击目标所在攻击树层次的目标序号。
52.在针对一个工业控制系统的完成安全模拟过程中，即从网络入口开始，最终到达预设攻击目标的过程中，需要利用其一项或多项功能或使其一项或多项功能失效的关键组件，每个安全模拟过程中可利用的组件表现为攻击树的中间节点，用m
φ,η
表示，其中φ(φ∈n,φ≤λ)表示安全模拟利用组件所处攻击树的层次，η(η∈n)表示安全模拟利用组件所在攻击树层次的组件序号。
53.在完成一次安全模拟过程中所需要利用的存在于安全模拟所利用组件中的脆弱性，该脆弱性可以是存在的，也可以是不存在的；可以是可利用的，也可以是不可利用的；因此组件脆弱性不作为攻击树的主体存在，而仅作为攻击树节点的属性存在。一个安全模拟过程中可利用的组件可以存在多个脆弱性，单一组件是否能够导致功能被利用或失效可能由于存在多个单一脆弱性或不同脆弱性的组合，因此对于多个脆弱性间的关系可能为“and”或“or”的关系。组件脆弱性用表示，其中m
φ,η
表示其所存在于的安全模拟利用组件，θ(θ∈n)表示其为所存在于的安全模拟利用组件的脆弱性序号。组件脆弱性的取值包括：脆弱性不存在；脆弱性存在但不可利用；脆弱性存在并可利用。
54.利用一个或多个组件的脆弱性，通过安全模拟从一个组件到达下一个组件的过程即为安全模拟通路。在攻击树模型中表现为树枝。安全模拟通路可以是实通路，表示存在可利用的脆弱性能够通过安全模拟从一个节点到达下一个节点；也可以是虚通路，也就是潜在通路，表示目前不存在可利用的脆弱性。安全模拟通路由其所经过的节点类型不同，存在以下情况：
55.①
从叶结点到中间节点的通路，表示为
56.②
从叶结点到根节点的通路，表示为
57.③
从中间节点到中间节点的通路，表示为
58.④
从中间节点到根节点的通路，表示为
59.上述攻击树，通过层次化的设置将节点实现共用，进而实现组合型攻击目标的安全模拟策略分析，而无需重建攻击树以对不同攻击目标逐个分析。
60.而通过实现多目标的同步分析，更是能够从安全模拟对象系统的角度出发，而不是用于某一单一类型的安全模拟方式进行研究，从系统整体的角度对系统的安全性能进行评估。
61.进一步地，考虑到网络系统的动态性，在对工业控制系统攻击模拟的过程中，还需要对系统进行长期的变更跟踪，以实现对系统结构和组成的及时更新，使模型保持保持实时有效性。
62.实施例二
63.为了更好的对本发明进行理解，本实施例通过系统结构的方式来对本发明的技术内容进行阐述，如图2所示，一种多层次的节点共用攻击树建模系统，包括：
64.信息获取模块，用于获取安全模拟对象的系统结构和组件信息，所述系统结构包括网络入口和网络层次结构，所述组件信息包括主机、关键组件以及它们的层次位置和通信关系；
65.层次构建模块，用于根据网络层次结构进行攻击树的层次构建；
66.节点构建模块，用于根据网络入口的层次位置划分网络入口至对应层次实现叶节点的构建；还用于根据组件的层次位置划分组件至对应层次，并根据组件的版本标识在获取其脆弱性后实现中间节点的构建；还用于根据各层次的预设攻击目标分别进行根节点的构建；
67.通路搭建模块，用于根据各层次组件间的通信关系和各组件间的脆弱性关系，在可利用组件之间建立节点间连接并生成攻击树模型。
68.进一步地，所述攻击树的层次中，最顶层为根节点。
69.进一步地，一次建模中仅包含一个安全模拟对象。
70.进一步地，所述脆弱性包括以下状态：脆弱性不存在；脆弱性存在但不可利用；脆弱性存在并可利用。
71.进一步地，所述通路搭建模块中，可利用的组件存在至少一个脆弱性，各组件由多个单一脆弱性或不同脆弱性之间的组合决定该组件是否可以利用。
72.综上所述，本发明所述的一种多层次的节点共用攻击树建模方法与系统，将不同的节点根据其在网络攻击中的功能进行划分，实现了节点指标的量化。根据工业系统的网络结构将攻击树层次化划分，能够直观反映安全模拟对象的结构和网络层次，层次化的攻击树也更能够展现出安全模拟的路径，有利于多颗攻击树之间同一层次的节点共用。通过多层次的设置，将不同功能的节点分别放置于不同层次中，从而能够通过同一攻击树实现多攻击目标下的整体分析。
73.层次化的设置可以将节点进行共用，从而实现组合型攻击目标的安全模拟策略分析，而无需重建攻击树以对不同攻击目标逐个分析。通过实现多目标的同步分析，能够从安
全模拟对象系统的角度出发，而不是用于某一单一类型的安全模拟方式进行研究，从系统整体的角度对系统的安全性能进行评估。
74.可以通过直接引入或间接方式来激活节点，从而实现新的安全路径的引入，并实现安全模拟的效能提升。
75.需要说明，本发明实施例中所有方向性指示(诸如上、下、左、右、前、后
……
)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。
76.另外，在本发明中如涉及“第一”、“第二”、“一”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。
77.在本发明中，除非另有明确的规定和限定，术语“连接”、“固定”等应做广义理解，例如，“固定”可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
78.另外，本发明各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。