本發(fā)明屬于核電，具體涉及一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法及裝置。

背景技術(shù)：

1、隨著現(xiàn)代信息技術(shù)的迅猛發(fā)展，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)變得至關(guān)重要。為滿足工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)要求，需要研發(fā)與之相對應(yīng)的技術(shù)和體系，尤其是在復(fù)雜業(yè)務(wù)流程和大量數(shù)據(jù)處理的場景下，工業(yè)控制系統(tǒng)的復(fù)雜連接方式使得傳統(tǒng)基于人工判斷的網(wǎng)絡(luò)安全防護(hù)工作難以開展，如何處理復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)，并提高決策的效率和準(zhǔn)確性成為亟待解決的問題。

技術(shù)實現(xiàn)思路

1、為克服相關(guān)技術(shù)中存在的問題，提供了一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法及裝置。

2、根據(jù)本公開實施例的一方面，提供一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法，所述方法包括：

3、步驟1，獲取工業(yè)控制系統(tǒng)的資產(chǎn)信息、網(wǎng)絡(luò)安全設(shè)備信息以及工業(yè)控制系統(tǒng)中資產(chǎn)與網(wǎng)絡(luò)安全設(shè)備之間的網(wǎng)絡(luò)連接關(guān)系；

4、步驟2，對每個資產(chǎn)進(jìn)行漏洞掃描，形成資產(chǎn)和漏洞的對應(yīng)關(guān)系；

5、步驟3，在每個網(wǎng)絡(luò)安全設(shè)備的信息中關(guān)聯(lián)該網(wǎng)絡(luò)安全設(shè)備能夠覆蓋的漏洞或網(wǎng)絡(luò)連接路徑；

6、步驟4，針對被選擇的多個資產(chǎn)，生成用于表示該多個資產(chǎn)網(wǎng)絡(luò)連接關(guān)系的拓?fù)鋱D；

7、步驟5，從被選擇的多個資產(chǎn)中確定需要進(jìn)行攻擊面計算的目標(biāo)資產(chǎn)，并針對該目標(biāo)資產(chǎn)，從被選擇的其他多個資產(chǎn)中確定能夠成為外部網(wǎng)絡(luò)安全攻擊入口的一個或多個網(wǎng)絡(luò)邊界資產(chǎn)；

8、步驟6，確定從一個或多個網(wǎng)絡(luò)邊界資產(chǎn)到目標(biāo)資產(chǎn)的所有攻擊路徑；

9、步驟7，可視化展示確定的多個攻擊路徑。

10、在一種可能的實現(xiàn)方式中，在步驟2中，在判斷新獲取的資產(chǎn)信息與已進(jìn)行漏洞掃描并存儲的歷史資產(chǎn)信息相同時，則將該歷史資產(chǎn)信息對應(yīng)的漏洞作為新獲取的資產(chǎn)信息的漏洞。

11、在一種可能的實現(xiàn)方式中，步驟6還包括步驟61至步驟63：

12、步驟61，根據(jù)每個網(wǎng)絡(luò)邊界資產(chǎn)的漏洞與端口，確定該網(wǎng)絡(luò)邊界資產(chǎn)能夠被獲取的權(quán)限；

13、步驟62，根據(jù)每個網(wǎng)絡(luò)邊界資產(chǎn)能夠被獲取的權(quán)限以及網(wǎng)絡(luò)連接關(guān)系，遍歷得到與該網(wǎng)絡(luò)邊界資產(chǎn)存在網(wǎng)絡(luò)互聯(lián)關(guān)系的資產(chǎn)；

14、步驟63，將步驟62遍歷得到的各資產(chǎn)作為新的網(wǎng)絡(luò)邊界資產(chǎn)，并針對每個新的網(wǎng)絡(luò)邊界資產(chǎn)，重復(fù)步驟61和步驟62，直到目標(biāo)資產(chǎn)的權(quán)限被獲取，并記錄一個或多個網(wǎng)絡(luò)邊界資產(chǎn)到目標(biāo)資產(chǎn)的所有攻擊路徑；

15、在一種可能的實現(xiàn)方式中，在步驟7中，基于被選擇的多個資產(chǎn)的拓?fù)鋱D，展示以下任意一項或多項信息：

16、各被選擇資產(chǎn)的節(jié)點(diǎn)信息；突出顯示每個攻擊路徑；顯示每個攻擊路徑的詳情。

17、在一種可能的實現(xiàn)方式中，在步驟6之前，所述方法還包括：步驟8，選擇設(shè)置考慮任意一個或多個網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，若選擇考慮任意一個或多個網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，則將該任意一個或多個網(wǎng)絡(luò)安全設(shè)備對工業(yè)控制系統(tǒng)的影響納入計算；若選擇不考慮網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，則不將網(wǎng)絡(luò)安全設(shè)備對工業(yè)控制系統(tǒng)的影響納入計算。

18、在一種可能的實現(xiàn)方式中，所述方法還包括：步驟9，針對相同的多個資產(chǎn)，不同的網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響下生成的攻擊路徑進(jìn)行對比展示。

19、根據(jù)本公開實施例的另一方面，提供一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化裝置，所述裝置包括：

20、獲取模塊，用于獲取工業(yè)控制系統(tǒng)的資產(chǎn)信息、網(wǎng)絡(luò)安全設(shè)備信息以及工業(yè)控制系統(tǒng)中資產(chǎn)與網(wǎng)絡(luò)安全設(shè)備之間的網(wǎng)絡(luò)連接關(guān)系；

21、掃描模塊，用于對每個資產(chǎn)進(jìn)行漏洞掃描，形成資產(chǎn)和漏洞的對應(yīng)關(guān)系；

22、關(guān)聯(lián)模塊，用于在每個網(wǎng)絡(luò)安全設(shè)備的信息中關(guān)聯(lián)該網(wǎng)絡(luò)安全設(shè)備能夠覆蓋的漏洞或網(wǎng)絡(luò)連接路徑；

23、生成模塊，用于針對被選擇的多個資產(chǎn)，生成用于表示該多個資產(chǎn)網(wǎng)絡(luò)連接關(guān)系的拓?fù)鋱D；

24、選擇模塊，用于從被選擇的多個資產(chǎn)中確定需要進(jìn)行攻擊面計算的目標(biāo)資產(chǎn)，并針對該目標(biāo)資產(chǎn)，從被選擇的其他多個資產(chǎn)中確定能夠成為外部網(wǎng)絡(luò)安全攻擊入口的一個或多個網(wǎng)絡(luò)邊界資產(chǎn)；

25、確定模塊，用于確定從一個或多個網(wǎng)絡(luò)邊界資產(chǎn)到目標(biāo)資產(chǎn)的所有攻擊路徑；

26、展示模塊，用于可視化展示確定的多個攻擊路徑。

27、根據(jù)本公開實施例的另一方面，提供一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化裝置，所述裝置包括：

28、處理器；

29、用于存儲處理器可執(zhí)行指令的存儲器；

30、其中，所述處理器被配置為執(zhí)行上述的方法。

31、根據(jù)本公開實施例的另一方面，提供一種非易失性計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序指令，所述計算機(jī)程序指令被處理器執(zhí)行時實現(xiàn)上述方法。

32、本公開的有益效果在于：本公開提供的工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法，通過對各個資產(chǎn)存在的漏洞以及資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系對核心資產(chǎn)可能受到攻擊的攻擊面進(jìn)行分析與計算，從攻擊入口到攻擊目標(biāo)的鏈路中進(jìn)行分析，并在拓?fù)鋱D中以直觀的形式進(jìn)行展示，使用戶能夠更加直觀且全面的了解工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅。由此精準(zhǔn)快速的判斷其中的核心資產(chǎn)可能面臨來自哪些方面的網(wǎng)絡(luò)安全威脅，更有效地通過網(wǎng)絡(luò)安全設(shè)備來實現(xiàn)攻擊路徑的阻斷。

技術(shù)特征：

1.一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，在步驟2中，在判斷新獲取的資產(chǎn)信息與已進(jìn)行漏洞掃描并存儲的歷史資產(chǎn)信息相同時，則將該歷史資產(chǎn)信息對應(yīng)的漏洞作為新獲取的資產(chǎn)信息的漏洞。

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，步驟6還包括步驟61至步驟63：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，在步驟7中，基于被選擇的多個資產(chǎn)的拓?fù)鋱D，展示以下任意一項或多項信息：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，在步驟6之前，所述方法還包括：步驟8，選擇設(shè)置考慮任意一個或多個網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，若選擇考慮任意一個或多個網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，則將該任意一個或多個網(wǎng)絡(luò)安全設(shè)備對工業(yè)控制系統(tǒng)的影響納入計算；若選擇不考慮網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響，則不將網(wǎng)絡(luò)安全設(shè)備對工業(yè)控制系統(tǒng)的影響納入計算。

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：步驟9，針對相同的多個資產(chǎn)，不同的網(wǎng)絡(luò)安全設(shè)備對系統(tǒng)的影響下生成的攻擊路徑進(jìn)行對比展示。

7.一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化裝置，其特征在于，所述裝置包括：

8.一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化裝置，其特征在于，所述裝置包括：

9.一種非易失性計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序指令，其特征在于，所述計算機(jī)程序指令被處理器執(zhí)行時實現(xiàn)權(quán)利要求1至6中任意一項所述的方法。

技術(shù)總結(jié)
本公開屬于核電技術(shù)領(lǐng)域，具體涉及一種工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法及裝置。本公開提供的一工業(yè)控制系統(tǒng)資產(chǎn)攻擊面可視化方法，通過對各個資產(chǎn)存在的漏洞以及資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系對核心資產(chǎn)可能受到攻擊的攻擊面進(jìn)行分析與計算，從攻擊入口到攻擊目標(biāo)的鏈路中進(jìn)行分析，并在拓?fù)鋱D中以直觀的形式進(jìn)行展示，使用戶能夠更加直觀且全面的了解工業(yè)控制系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅。由此更有效地通過網(wǎng)絡(luò)安全設(shè)備來實現(xiàn)攻擊路徑的阻斷。

技術(shù)研發(fā)人員：梁景煊,王五妹,馮蔚,潘文靜,陳偉,唐松明,季誠,吳楠,羅安滿,許克珂,馮宇堯,胡有勤,吳海燕
受保護(hù)的技術(shù)使用者：中核武漢核電運(yùn)行技術(shù)股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/10