本发明涉及计算机、网络安全、网络管理和自动控制的
技术领域:
:,尤其涉及到一种基于威胁预测的工业网络安全风险评估系统。
背景技术:
::信息和通信技术(informationandcommunicationtechnologiesict)是当今社会必不可少的资源,随着每天大量的数据通过工业互联网存储或发送,保护成为优先考虑。这个问题涉及到所有类型的工业企业,也包括家庭和工作环境,其中的信息对于商业活动和工业企业安全生产的正确发展至关重要。包含工业控制系统(industrycontrolsysyemics)中的诸如控制器等的机密信息的文件以及存储或发送这些信息的媒体是保护这些信息资产的关键点。已经开发了各种不同的信息安全风险分析系统,以研究和评估用于保护数据的安全措施以及不同事件如何影响信息保证。传统系统以历史数据为基础,以威胁发生频率为输入参数。然而,随着新的保障措施的实施和脆弱性潜在变化,以前频繁出现的威胁可能不再如此这样了。因此,一个好的风险评估系统是探索使用预测算法来预测将来威胁发生的频率,即关注未来可能发生的事情,而不是回顾过去发生的事情。本申请是在风险分析过程中包含一个威胁发生预测模块,该模块考虑到工业网络的当前状态,特别是影响工业网络的漏洞的当前状态,以便改进工业网络安全风险计算,从而识别最关键的风险。其目的是制定更好、更有效的保障措施,一旦发现风险最大的资产,就可以通过提高信息安全来减少工业企业的损失。技术实现要素:为了解决上述技术问题,本发明提供了一种基于威胁预测的工业网络安全风险评估系统,引入了威胁发生概率预测模块,以应对传统的安全解决方案已不再适合工业网络安全风险评估。一种基于威胁预测的工业网络安全风险评估系统,其特征在于,所述系统,包括数据采集层、概率预测层和风险评估层;所述数据采集层,包括资产模块、威胁模块、漏洞模块和依赖关系模块;所述概率预测层,包括威胁发生概率预测模块;所述风险评估层,包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块;进一步地,所述依赖关系模块,表示资产或关键资产漏洞之间的关联关系;进一步地,威胁发生概率预测模块,采用logistic回归进行威胁发生概率预测,logistic回归公式如下:p=,其中,p为威胁发生预测概率,为一组具有依赖关系的资产的每一个漏洞的描述;进一步地,所述概率与频率换算模块,采用公式=或概率值和频率值之间等价性之直线方程换算成频率;进一步地,风险评估模块,包括加固前风险评估评估模块和加固后风险评估评估模块;进一步地,所述加固前风险评估评估模块,评估工业网络安全加固之前的风险,加固前风险=频率×加固前影响;进一步地,所述加固后风险评估评估模块,评估工业网络安全加固之后的风险,加固后风险=频率×加固后影响;进一步地,所述加固前影响,加固前影响=价值×劣化;进一步地,所述加固后影响,加固后影响=价值×(劣化×缓解)。本发明的技术效果在于:在本发明中,提供了一种基于威胁发生概率预测的工业网络安全风险评估系统,其特征在于,所述系统,包括数据采集层、概率预测层和风险评估层;所述数据采集层,包括资产模块、威胁模块、漏洞模块和依赖关系模块;所述概率预测层,包括威胁发生概率预测模块;所述风险评估层,包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块。通过本发明,能够提升安全风险评估系统的准确性。附图说明图1是一种基于威胁预测的工业网络安全风险评估系统的资产漏洞依赖关系示意图;图2是一种基于威胁预测的工业网络安全风险评估系统的威胁lc_046样本采集的示意图;图3是一种基于威胁预测的工业网络安全风险评估系统的架构的示意图。具体实施方式下面是根据附图和实例对本发明的进一步详细说明:本申请在安全风险分析过程中包含了一个威胁预测模块,该模块考虑到工业网络的当前状态,特别是影响工业网络的漏洞的当前状态,以便改进安全风险计算,从而识别最关键的安全风险。其目的是制定更好、更有效的安全保障措施;而且,一旦发现风险最大的资产,还可以通过提高信息安全来减少工业企业的损失。本申请提供了一种在工业网络安全风险评估系统中的威胁预测模块,包括两种类型的安全风险(1)加固前风险,(2)加固后风险。加固前风险是一种理论风险,适用于尚未部署安全保障措施的情况,而加固后是实施安全保障措施后的风险。如何在安全风险计算中包含和应用威胁预测模块,用于定量地评估工业网络的安全风险。计算加固前风险(未部署安全措施时)和加固后风险(已部署安全措施时)。面临威胁的资产的加固前风险和加固后风险计算如下:加固前风险=频率×加固前影响(1)加固前影响=价值×劣化(2)其中:1、频率表示威胁出现的频率(根据历史数据计算,并考虑威胁在评估期间(通常是一年)出现的次数);2、价值代表资产对工业企业的重要性;如果资产遭受网络安全攻击而导致不可用使得工业企业所产生的损失,由信息安全风险分析师,基于他们的专业知识、对sme资产、脆弱性、威胁,以及资产对管理者的重要性的了解,按0(不显著)到10(非常显著)的比例分配。3、劣化是表示威胁可能对资产造成损害的百分比(0%表示资产没有降级,100%表示资产不再可用)。加固后风险=频率×加固后影响(3)加固后影响=价值×(劣化×缓解)(4)其中,缓解是指在实施安全保障措施后,衡量资产劣化减少程度的百分比。要计算特定资产的最终风险值,首先将这些公式应用于该资产面临的每个威胁,然后将最终风险值计算为所有考虑的威胁的最高风险值。如(1)和(3),直接决定风险的一个值是威胁发生的频率,安全团队(从安全运维服务人员的记录的事件中)获取频率。由于它反映了一年来发生的事情,它在一定程度上受到过去事件的影响。正如下面将看到的,本申请的威胁预测模型也使用过去的威胁样本来计算风险,但回归模型不是直接计算频率,而是计算未来威胁发生的概率。根据这个未来威胁发生的概率值,计算出反映工业网络当前状态的频率。因此,回归模型考虑了安全风险分析师计算出的当前漏洞状态。为了计算安全风险,将(1)和(3)分别被替换成(5)和(7),其中根据未来发生威胁的可能性,将原始频率替换为一个新的频率(频率):加固前风险=频率×加固前影响(5)加固前影响=价值×劣化(6)加固后风险=频率×加固后影响(7)加固后影响=价值×(劣化×缓解)(8)因此,首先计算每个威胁发生的概率,然后将计算出的概率与频率联系起来,以计算出安全风险。为了计算所述概率,可以使用基于logistic回归的机器学习解决方案,logistic回归能够对问题进行快速的近似,而且logistic回归也符合本申请的目标(即从一组独立值中来模型变量发生的概率)。在这种情况下,依赖变量将是威胁,而独立变量将是漏洞。因此,每个模型都将表示特定威胁的行为。本申请也能够定性地建立频率和概率之间的等价关系,它代表了威胁的潜在性,从“非常高的潜力”到“非常低的潜力”。然后,每个级别的等级都与一个频率范围和一个概率范围相关联,使它们相互关联。例如,“非常高的潜在”级别与非常频繁的威胁(在分析期间发生5到10次的威胁)和非常高的威胁发生概率(在0.7到1之间的威胁)相关。表1描述了整个等效性。表1:频率与概率之值的等价性频率范围由安全分析员在系统分析期间定义,定义概率范围的步骤如下:1、对于每个威胁,收集一组样本(下面将有更加详细的描述)。这些实施例包括一个名为happen的功能,该功能指示威胁是否处于活动状态。2、对于每个威胁,根据该数据集中的“happen=1”事件的相对频率来估计概率()。也就是说,与相对频率之间的关系将由以下公式给出:=(9)其中:1、是事件“happen=1=1”的相对频率;2、1—α是置信区间;3、是在α/2处正态分布的值;4、n是样本数,置信区间设为1-α=0.96;5、概率范围是从频率范围定义的,从频率在“非常高的潜在”范围内的威胁集合开始,集合的最低概率确定了“非常高的潜在”概率范围的下限。本申请考虑了可用的所有威胁数据。根据前面的信息,可以得到与频率和概率相关的方程,如表2所示。这些公式是表1中所述的基于点和斜率的直线方程。表2:计算概率值和频率值之间等价性的公式,x表示威胁的概率,y表示等效频率利用这些数据和公式,可以计算新的等效频率值,并使用新方法计算风险。有了这些信息(隐式地包括了发生威胁的概率),工业企业将能够有效地关注最重要的风险,因为:1、工业企业将掌握资产状况和可能损害资产的潜在威胁的可靠信息;2、工业企业将能够预测可能发生的事件,因为企业将根据自身的真实状态知道哪些威胁更可能发生。在一个实施例中,对一家中小企业(smallandmediumenterprisessme)进行了使用本申请所述系统进行风险分析的评估。表3总结了sme的主要特点(提供了最低限度的细节以保持机密性和匿名性)。为了定义场景识别资产及其依赖关系、威胁和漏洞,以及相应的关系,以及现有的保护措施,首先与系统管理员和经理进行了个人访谈,并审查了设施和系统文档。使用包含威胁历史数据的数据库进一步描述了该场景。数据库样本包括有关威胁的信息、与该特定威胁相关的脆弱性评估值,以及在采样时威胁是否处于活动状态。漏洞评估则代表了每个漏洞的状态,如果一旦系统风险分析师进行评估。表3:sme的概况表4中列出了高关联风险的关键资产子集。加固前和加固后风险(1)和(3)被使用为计算公式,还包括反映资产之间依赖关系的模块。图1是一种基于威胁预测的工业网络安全风险评估系统的资产漏洞依赖关系示意图。在图1中反映的关键资产(表4)漏洞之间存在的依赖关系是由风险分析者,基于他们自己的专业知识,在工业网络风险评估系统中绘制的。注意到加固后风险取决于实施的安全保障措施,这意味着,如果安全保障措施证明不合适,例如,在资产7(internet连接)和198(客户端数据)中发生的情况,那么它将减少或增加潜在风险。表4:主要资产列表一旦确定了这组资产,资产就必须被确定存在的脆弱性和每一个脆弱性所产生的威胁。从对这个实施例进行的分析中,提取了表5中列出的一组漏洞。在选择一组漏洞时,需要额外的努力来独立地测量每一个漏洞;因此,本申请并没有将“缺乏安全指南”作为一个整体来考虑,而是将其分为七种不同的脆弱性(vul57、vul58、vuln68、vuln71、vuln74、vuln77、vuln78和vuln81),它们反映了初始脆弱性的特定方面。尽管漏洞被定义为独立的(因为它们之间没有依赖关系),但重要的是要强调一个事实,即漏洞仍然可以相互关联,无论是根据评估它们的上下文还是根据中小企业sme的内部过程。评估参数以0到10的比例描述每个漏洞的状态,其中0表示漏洞已被解决,10表示漏洞仍然可以完全被利用。至于依赖关系,这些值是由风险分析师根据他们的专业知识计算的。脆弱性被视为风险触发因素,因为它们是根据其真实状态单独评估的。这样就可以反映出,例如,加固方案已经正确地被实施(对应于一个0脆弱性值),加固方案已经很好地实施但需改进(一个3-4脆弱性值),加固方案已经很好地实施但有缺陷(一个7-8脆弱性值),或者加固方案还没有实施或被部署(一个10脆弱性值)。关于威胁,本实施例发现了资产漏洞产生的20种不同的严重威胁:1、lc_004窃听线路(lineeavesdropping);2、lc_005未经授权使用it系统(unauthorizeduseofitsystems);3、lc_006未经授权使用远程维护连接(unauthorizeduseofremotemaintenanceconnections);4、lc_013不正确使用管理员权限(improperuseofadministratorprivileges);5、lc_015恶意软件(malware);6、lc_016冒名顶替(impersonation);7、lc_023使用视频捕获信息(capturinginformationusingvideo);8、lc_024引入恶意代码(introductionofmaliciouscode);9、lc_025由于黑客攻击而拒绝服务(denialofserviceduetoahackerattack);10、lc_026故意更改系统配置数据(deliberatealterationofsystemconfigurationdata);11、lc_029后门可进入(backdooraccess);12、lc_044未经授权使用访问权限:未经事先授权使用凭据访问sme数据(unauthorizeduseofaccessrights:useofcredentialswithoutpriorauthorizationtoaccesssmedata);13、lc_045不受控制的资源使用:未经授权或控制使用中小企业资源(uncontrolledresourcesusage:useofsmeresourceswithoutauthorizationorcontrol);14、lc_046网络连接保护不足:中小企业通信网络保护不力(insufficientprotectionofnetworkconnection:poorprotectionofsmecommunicationnetworks);15、lc_047不受控制地使用电讯:使用中小企业通讯线路,而不控制通讯(uncontrolleduseoftelecommunications:useofsmecommunicationlineswithoutanycontroloverthecommunications);16、lc_048访问权限管理不当:以不适当的方式处理sme系统的凭据和访问标识(inappropriatemanagementofaccesspermissions:handlingofcredentialsandaccessidentificationstothesmesystemsinaninappropriatemanner);17、lc_145不适当的远程身份验证系统:访问sme系统时的错误远程用户身份验证(inappropriateremoteauthenticationsystem:wrongremoteuserauthenticationinaccesstothesmesystems);18、lc_146黑客攻击:攻击sme的it基础设施,攻击者试图同时访问系统和存储的数据(hacking:occurrenceofanattackagainsttheitinfrastructuresofthesme,withtheattackertryingtoaccessbothsystemsandstoreddata);19、lc_147wi-fi漏洞:错误的wi-fi配置或易受攻击的wi-fi协议允许未经授权访问sme的it系统(wi-fivulnerability:wrongwi-ficonfigurationorvulnerablewi-fiprotocolsallowingaccesstotheitsystemsofthesmewithoutauthorization);20、lc_148未经授权访问通讯组列表:未经授权访问sme的通讯组列表(unauthorizedaccesstodistributionlists:unauthorizedaccesstothedistributionlistsofthesme)。表5:sme的漏洞列表漏洞名称评估值vuln_05缺乏有效的配置更改控制(absenceofanefficientconfigurationchangecontrol)5vuln_08无保护存储(unprotectedstorage)6vuln_09未部署访问控制(accesscontrolnotdeployed)10vuln_10非受控副本(uncontrolledcopies)7vuln_12已知软件漏洞(knownsoftwarevulnerabilities)9vuln_13用户离开工作场所时没注销(usersdonotlogoutwhentheyleavetheirworkplace)7vuln_15缺少审计标志(absenceofauditsigns)5vuln_16访问权限分配不当(poorassignationofaccesspermissions)7vuln_17广泛分布的软件(widelydistributedsoftware)6vuln_23缺乏适当的标识和用户授权机制(absenceofadequateidentificationanduserauthorizationmechanisms)6vuln_24没有保护的密码表(passwordtableswithoutprotection)5vuln_25密码管理不到位(inadequatemanagementofpasswords)6vuln_27不成熟或非常新的软件(immatureorverynewsoftware)4vuln_29缺乏有效的变更控制(absenceofeffectivechangecontrol)4vuln_30下载和安装非受控软件(downloadandinstallationofuncontrolledsoftware)3vuln_34对发送和接收信息缺乏保证(absenceofassuranceonsendingandreceivingmessages)4uln_35通信线路未受保护(communicationlinesunprotected)4vuln_36不受保护的敏感网络流量(sensitivenetworktrafficunprotected)3vuln_38单点故障(singlepointsoffailure)1vuln_39发送者和接收者身份和授权的缺失(absenceofidentificationandauthorizationofsenderandreceiver)8vuln_40网络架构不安全(networkarchitectureunsecured)8vuln_41明文密码传输(passwordtransmissionsincleartext)3vuln_42明文敏感信息传输(sensitiveinformationtransmissionincleartext)3vuln_43网络管理不当(inappropriatenetworkmanagement)8vuln_44与公共网络的连接不受保护(connectionswithpublicnetworkunprotected)8vuln_46招聘程序不完善(inadequaterecruitmentprocedures)2vuln_47安全培训不足(insufficientsecuritytraining)7vuln_48硬件或软件误用(hardwareorsoftwaremisuse)6vuln_52缺乏正确使用电信的准则(absenceofguidelinesforthecorrectuseoftelecommunications)6vuln_57缺少添加新用户的指南(absenceofguidelinesfortheadditionofnewusers)4vuln_58缺乏监督权限指南(absenceofguidelinesforsupervisingrightsaccess)7vuln_61缺乏审计和定期监督(absenceofauditandregularsupervision)6vuln_62缺乏风险识别程序(absenceofriskidentificationprocedures)6vuln_63操作员和管理员的日志中没有事件或故障报告(absenceofincidentorfailurereportsinthelogsofoperatorsandadministrators)9vuln_65缺乏变更管理程序(absenceofchangemanagementprocedures)6vuln_68缺乏允许用户访问信息的准则(absenceofguidelinestoallowusersaccesstoinformation)7vuln_71缺乏有关使用公司电子邮件的指南(absenceofguidelinesrelatedtotheuseofcorporatee-mails)4vuln_72在不同操作系统中缺少软件安装过程(absenceofsoftwareinstallationproceduresindifferentos)5vuln_73缺少操作员和管理员记录(absenceofoperatorandadministratorrecords)7vuln_74缺乏与机密信息管理指南(absenceofguidelinesrelatedtoclassifiedinformationmanagement)5vuln_77在发生安全事件的情况下,缺乏有关纪律程序指南(absenceofguidelinesrelatedtodisciplinaryproceduresincaseofsecurityincidents)2vuln_78缺乏与移动设备管理相关的指南(absenceofguidelinesrelatedtomobiledevicemanagement)6vuln_80缺少清洁屏幕和表策略(absenceofcleanscreensandtablespolicies)6vuln_81未经授权访问信息处理设备(absenceofauthorizationtoaccessinformationprocessingdevices)9vuln_82缺乏防止盗窃或事故的监测机制(absenceofmonitoringmechanismstoavoidtheftorincidents)10vuln_86缺少安全策略(absenceofasecuritypolicy)7vuln_87缺乏安全法规(absenceofdevelopedsafetyregulations)7vuln_88大楼里没有监视(absenceofsurveillanceinthebuilding)3为了全面定义场景,本申请将威胁与可能的漏洞关联起来,如表6所示。建立威胁和漏洞之间的关系是一个昂贵而复杂的过程,因为在每个场景中都需要考虑大量的信息。目前,像iso27005这样的一些法规已经在高可靠性水平上完成了这项工作。例如,多年来,安全专家一直认为,漏洞“单点故障”(vuln_38)、“不适当的网络管理”(vul_43)和“与公共网络的无保护连接”(vuln_44)是处理拒绝服务(lc_025)所需面对的一些主要漏洞。注意到资产、威胁和漏洞的识别,以及依赖关系的确定和关系的发现是本申请的任务。最后,为了应用本申请的风险评估系统,需要两种评估期(一年)的额外数据:每个威胁的频率,以及每个威胁的一组样本。样本收集,根据每个工业网络的周期性,获取每个漏洞的评估值。同时记录采样时间。之后,当安全分析师、安全审计员或第三方检测到安全事件时,事件中涉及的所有威胁样本都会在工业网络和资产受损的时间段内标记为活动。威胁数据集中的每个样本应包含以下信息:1、适用于特定威胁的所有漏洞的列表;2、风险分析师,基于其知识和专业知识,获得的每个列出的漏洞的评估值。评估值反映了系统在特定时刻的状态,除其他事项外,还应考虑实施的安全保障措施;3、一种称为happened的特征,指示在采样时威胁是否处于活动状态,并考虑系统的当前状态(漏洞及其评估值)。图2是一种基于威胁预测的工业网络安全风险评估系统的威胁lc_046样本采集的示意图,示出了对应于威胁lc_046的样本子集。为了收集足够的样本来建立一个有效的模型,在多个地点复制场景,并为每个威胁收集500到3200个样本(取决于其性质和评估时间段内的相关事件)。logistic回归确定了描述一个依赖变量和一组独立变量之间关系的最佳模型。因此,logistic回归得到依赖变量出现的概率,计算如下:p=式中m为整数,每一个表示是独立变量,,i=0,1,2,…,m。将此算法应用于本申请的场景中,可以将作为一组具有依赖关系的资产的每一个漏洞的描述,将模型视为表示特定威胁的行为。当p高于某一个给定的阈值,则认为会发生威胁。表6:sme威胁与有关漏洞图3是一种基于威胁预测的工业网络安全风险评估系统的架构的示意图。一种基于威胁预测的工业网络安全风险评估系统,其特征在于,所述系统,包括数据采集层、概率预测层和风险评估层;所述数据采集层,包括资产模块、威胁模块、漏洞模块和依赖关系模块;所述概率预测层,包括威胁发生概率预测模块;所述风险评估层,包括威胁发生预测概率数据库、概率与频率换算模块和风险评估模块;进一步地,所述依赖关系模块,表示资产或关键资产漏洞之间的关联关系;进一步地,威胁发生概率预测模块,采用logistic回归进行威胁发生概率预测,logistic回归公式如下:p=,其中,p为威胁发生预测概率,为一组具有依赖关系的资产的每一个漏洞的描述;进一步地,所述概率与频率换算模块,采用公式=或概率值和频率值之间等价性之直线方程换算成频率;进一步地,风险评估模块,包括加固前风险评估评估模块和加固后风险评估评估模块;进一步地,所述加固前风险评估评估模块,评估工业网络安全加固之前的风险,加固前风险=频率×加固前影响;进一步地,所述加固后风险评估评估模块,评估工业网络安全加固之后的风险,加固后风险=频率×加固后影响;进一步地,所述加固前影响,加固前影响=价值×劣化;进一步地,所述加固后影响,加固后影响=价值×(劣化×缓解)。以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。当前第1页12当前第1页12