一种工控系统漏洞趋势分析与预警方法及系统技术方案

本发明专利技术公开了一种工控系统漏洞趋势分析与预警方法及系统，包括：仿真建立若干带有工业控制系统中核心协议的探针，将探针部署在公网和内网中；探针以交互的方式收集攻击信息；仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中，数据分析模块负责对数据分析和漏洞挖掘；数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库；数据分析模块利用已生成的攻击利用规则库和漏洞库，分析匹配探针发送回的攻击信息，将攻击信息分析结果上报至安全设备和预警展示平台。本发明专利技术仿真工业控制系统，诱导其向仿真的工业控制系统发出攻击，收集其攻击手段、分析漏洞，提前向用户预警生产环境内存在或将被利用的严重漏洞信息。

A method and system for vulnerability trend analysis and early warning of industrial control system

The invention discloses a vulnerability trend analysis and early warning method and system for industrial control system, which includes: establishing several probes with core protocols in industrial control system, deploying probes in public network and intranet; collecting attack information by probes in an interactive manner; sending the collected attack information to data analysis module by simulation industrial control system probes, and data analysis model. Block is responsible for data analysis and vulnerability mining; data analysis module generates attack utilization rule base and vulnerability base based on the results of data analysis and vulnerability mining; data analysis module uses generated attack utilization rule base and vulnerability base to analyze the attack information sent back by matching probes, and reports the analysis results of attack information to security equipment and early warning display platform. The invention simulates the industrial control system, induces it to attack the simulated industrial control system, collects its attack means, analyses vulnerabilities, and early warns users of the serious vulnerabilities existing in or to be exploited in the production environment.

【技术实现步骤摘要】
一种工控系统漏洞趋势分析与预警方法及系统
本专利技术涉及工控系统安全领域，具体涉及一种工控系统漏洞趋势分析与预警方法及系统。
技术介绍
传统信息安全防御体系包括：防火墙、UTM、IPS、IDS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、DB-AUDIT以及安全监控平台等，从网络结构分层方面看，产品体系已经健全，然而，在实际功能方面，不足之处也比较明显，主要表现在以下三个方面：1、这些传统的安全产品都只能抵御来自某个方面的安全威胁，形成了一个个的“安全防御孤岛”。2、缺乏对海量多维度的信息安全数据进行有效的融合关联分析，无法产生协同效应。3、不能使这些安全监测数据成为上层安全决策的有效资源。这些传统的安全防御设施大多数都通过分析网络七层中安全设备的日志对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，当检测到网络攻击事件之后再采取相应的应急措施，往往为时已晚，因为此时网络攻击已经发生过去了，攻击已经造成了不可挽回的损失。
技术实现思路
本专利技术要解决的技术问题是提供一种工控系统漏洞趋势分析与预警方法及系统，仿真生产环境关键控制部分，通过模拟黑客攻击关注的核心：工业控制系统，诱导其向仿真的工业控制系统发出攻击，收集其攻击手段，分析漏洞，提前向用户预警生产环境内存在或将被利用的严重漏洞信息。为了解决上述技术问题，本专利技术提供了一种工控系统漏洞趋势分析与预警方法，其特征在于，包括：仿真建立若干带有工业控制系统中核心协议的探针，将探针部署在公网和工业互联网完成度较高的内网中；仿真的工业控制系统探针以交互的方式收集攻击信息；仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中，数据分析模块负责对数据分析和漏洞挖掘；数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库；数据分析模块利用已生成的攻击利用规则库和漏洞库，分析匹配探针发送回的攻击信息，将攻击信息分析结果上报至安全设备和预警展示平台。本专利技术一个较佳实施例中，进一步包括将仿真的工业控制系统探针以分布式的方式部署在公网中，诱导公网中的攻击信息主动攻击探针，探针用于收集攻击信息，探针将公网中收集的攻击信息发送到数据分析模块中，数据分析模块针对公网部署探针返回的海量数据基于大数据技术，进行数据分析和漏洞挖掘，首先统计海量数据中实际对于工控生产环境造成威胁的关键字符，生成攻击利用规则库，从海量数据中挖掘其中符合攻击利用规则库的行为，将该种行为定义为漏洞利用并生成漏洞库。本专利技术一个较佳实施例中，进一步包括将仿真的工业控制系统探针部署在内网中，利用数据分析模块已生成的攻击利用规则库和漏洞库，结合内网中的探针发回的数据进行分析匹配，首先基于攻击利用规则库，与攻击利用规则库快速匹配，查找出造成威胁的关键字符，之后，从关键字符中挖掘符合攻击利用规则的行为，与漏洞库数据匹配，分析出具体的漏洞信息，并将结果和警告上报给安全设备和预警展示平台，起到预警和阻断双重作用。本专利技术一个较佳实施例中，进一步包括探针上设置的核心协议包括：Modbus、OPC、S7common、IEC04、EtherNet/IP、kamstrup、bacnet。本专利技术一个较佳实施例中，进一步包括探针交互过程包括：模拟上位机与工业控制系统的通信流程，包括readver、wirte读写指令，start、stop功能码，寄存器值修改交互操作，其中深度交互有功能码利用、寄存器值修改，探针能对这些操作做出实际的应变反应，使用流量抓捕工具监控并捕获各种不同网络请求方式的流量数据包，将其存储至大数据中间件中，探针使用了镜像技术进行封装，统一在预警展示平台上进行上下线部署。本专利技术一个较佳实施例中，进一步包括也可以将探针部署到内网的工程师站或scada服务器上。本专利技术一个较佳实施例中，进一步包括建立预警展示平台和补丁转发平台，预警展示平台集中展示监控范围内的攻击趋势以及监控范围内工控环境建设完成度；补丁转发平台针对用户所在的企业，向其推送预警信息和补丁修复信息。本专利技术一个较佳实施例中，进一步包括将数据分析模块获取的攻击信息分析结果与安全设备联动，将攻击信息提交给安全设备并记录保存，同时也将攻击信息与整个生产环境的异常日志联通，达到异常呈现一致性，打破“信息孤岛”式安防体系。为了解决上述技术问题，本专利技术还提供了一种工控系统漏洞趋势分析与预警系统，包括数据收集单元、数据存储介质、数据分析模块、预警展示平台和补丁转发平台；所述数据收集单元包括分布式部署的带有工业控制系统中核心协议的探针，所述探针部署在公网和工业互联网完成度较高的内网中，用于收集公网或者内网中的攻击信息；所述数据存储介质用于存储所述数据收集单元收集的攻击信息，并将攻击信息转发至数据分析模块；所述数据分析模块包括数据库生成单元和数据分析匹配单元，数据库生成单元用于生成攻击利用规则库和漏洞库，数据库匹配单元利用已生成的攻击利用规则库和漏洞库，分析匹配探针发送回的攻击信息，将攻击信息分析结果上报至安全设备、预警展示平台和补丁转发平台。所述预警展示平台用于集中展示监控范围内的攻击趋势以及监控范围内工控环境建设完成度；所述补丁转发平台针对用户所在的企业，向其推送预警信息和补丁修复信息。本专利技术的有益效果：本专利技术仿真模拟工业控制系统，诱导攻击信息向仿真的工业控制系统发出攻击，根据收集的攻击信息，建立攻击利用规则库和漏洞库，分析主流攻击趋势，实时向用户提供威胁预警，用户就可以防患于未然，及时修复生产环境隐含的漏洞，同时，也避免生产环境因接受检测导致的生产意外事故发生。相较于传统工控防御体系：对已经发生的攻击行为进行分析和监测，基本都是被动防御的思路，缺乏网络安全态势感知与联动预警的能力，当检测到网络攻击事件之后再采取相应的应急措施，往往为时已晚，因为此时网络攻击已经发生过去了，攻击已经造成了不可挽回的损失。本专利技术不再单纯以具体漏洞信息为指纹库，不需要实时的收集权威网站发布的漏洞信息，以保证自身指纹库的权威性，黑客攻击手段多变且丰富，等到权威发布，时效性大大降低。本专利技术能够在与生产环境相同的条件下，为工业控制系统提供一个完全针对生产核心的解决方案；本专利技术的探针部分是仿真了各类PLC控制器的核心协议，能够自由部署在公网或者工业互联网完成度较高的内网；当探针部署在公网中时，作为诱导攻击的目标，实时收集时下流行的工控漏洞利用方式，为用户推送最新的漏洞威胁趋势并且建立数据库，当探针部署在内网中，能够和真实工控设备并联部署，在内网遭到攻击时，给予安全人员一定的缓冲时间，根据已建立的数据库提前捕捉到漏洞攻击并向用户发出预警，与此同时将攻击信息提交给安全设备，将其阻断，达到不影响生产环境的防御目的。附图说明图1是本专利技术的一种工控系统漏洞趋势分析与预警方法的流程图；图2是本专利技术的一种工控系统漏洞趋势分析与预警系统的框架图；图3是本专利技术的将探针部署在公网中的技术框架图；图4是本专利技术的将探针部署在内网中的技术框架图。图中标号说明：10、数据收集单元；20、数据存储介质；30、数据分析模块；301、数据库生成单元；302、数据分析匹配单元；40、预警展示平台和补丁转发平台；50、安全设备。具体实施方式下面结合附图和具体实施例对本专利技术作本文档来自技高网...

【技术保护点】
1.一种工控系统漏洞趋势分析与预警方法，其特征在于，包括：仿真建立若干带有工业控制系统中核心协议的探针，将探针部署在公网和工业互联网完成度较高的内网中；仿真的工业控制系统探针以交互的方式收集攻击信息；仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中，数据分析模块负责对数据分析和漏洞挖掘；数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库；数据分析模块利用已生成的攻击利用规则库和漏洞库，分析匹配探针发送回的攻击信息，将攻击信息分析结果上报至安全设备和预警展示平台。

【技术特征摘要】
1.一种工控系统漏洞趋势分析与预警方法，其特征在于，包括：仿真建立若干带有工业控制系统中核心协议的探针，将探针部署在公网和工业互联网完成度较高的内网中；仿真的工业控制系统探针以交互的方式收集攻击信息；仿真的工业控制系统探针将收集的攻击信息发送到数据分析模块中，数据分析模块负责对数据分析和漏洞挖掘；数据分析模块根据数据分析和漏洞挖掘的结果生成攻击利用规则库和漏洞库；数据分析模块利用已生成的攻击利用规则库和漏洞库，分析匹配探针发送回的攻击信息，将攻击信息分析结果上报至安全设备和预警展示平台。2.如权利要求1所述的工控系统漏洞趋势分析与预警方法，其特征在于，将仿真的工业控制系统探针以分布式的方式部署在公网中，诱导公网中的攻击信息主动攻击探针，探针用于收集攻击信息，探针将公网中收集的攻击信息发送到数据分析模块中，数据分析模块针对公网部署探针返回的海量数据基于大数据技术，进行数据分析和漏洞挖掘，首先统计海量数据中实际对于工控生产环境造成威胁的关键字符，生成攻击利用规则库，从海量数据中挖掘出符合攻击利用规则库的行为，将该种行为定义为漏洞利用并生成漏洞库。3.如权利要求2所述的工控系统漏洞趋势分析与预警方法，其特征在于，将仿真的工业控制系统探针部署在内网中，利用数据分析模块已生成的攻击利用规则库和漏洞库，结合内网中的探针发回的数据进行分析匹配，首先基于攻击利用规则库，与攻击利用规则库快速匹配，查找出造成威胁的关键字符，之后，从关键字符中发掘符合攻击利用规则的行为，与漏洞库数据匹配，分析出具体的漏洞信息，并将结果和警告上报给安全设备和预警展示平台，起到预警和阻断双重作用。4.如权利要求1任意一项所述的工控系统漏洞趋势分析与预警方法，其特征在于，探针上设置的核心协议包括：Modbus、OPC、S7common、IEC04、EtherNet/IP、kamstrup、bacnet。5.如权利要求4所述的工控系统漏洞趋势分析与预警方法，其特征在于，探针交互过程包括：模拟上位机与工业控制...

【专利技术属性】
技术研发人员：吴志华，袁键，董超，施靖萱，杨枭，
申请(专利权)人：江苏亨通工控安全研究院有限公司，
类型：发明
国别省市：江苏,32