[0001] 本发明属于工业控制系统信息安全技术领域，尤其涉及一种工业未知威胁构建方法与威胁生成系统。

[0002] 互联网与工业不断融合和发展的过程中，工业控制系统已经逐渐成为一种新的网络攻击目标，由于工业控制系统所承载的业务关系到重要基础设施的稳定运行，因此其安全至关重要，目前国内外也已经形成了很多安全防护产品和解决方案。

[0003] 当前所存在的问题在于，对于安全攻守双方而言，攻方永远处于主动地位，使得守方的防护手段只能被动发展，尤其是面对工业未知威胁，显得无能为力。另外，已经爆发的工业未知威胁少之又少，也使得防护手段的开发缺乏攻击参考样本，对于防护产品的测试，同样无法做到测试完备，相对彻底地验证防护的有效性。

[0004] 因此，对于工控防护产品的开发者首先要能够站在攻击方的角度思考问题，通过对工控系统所承载的业务流程功能及其安全影响进行充分熟知，同时掌握工控系统各实体所存在的漏洞及其功能影响，从而能够自行构造工业未知威胁，验证并提升自身的防护开发能力。

[0026] 为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施方式进行详细的阐述。

[0027] 参考图1，一种工业未知威胁构建方法，对工业控制系统潜在安全威胁进行构建，包括：

[0028] S1、将工业控制系统的各业务流程进行功能分解，并根据各业务流程建立已分解的各个功能之间的关联关系，按业务流程形成功能链，每一条链代表一个完整的业务流程。

[0029] 根据工业控制系统所应用的行业对业务流程进行分类，行业分为石油化工、煤化工、发电、输配电、冶金、交通、水处理等，其中，各行业应用工业控制系统所需实现的通用业务流程包括系统的软硬件组态、监控点采集、控制指令下发、系统与固件升级、设备集中管理、生产策略制定、安全策略制定、历史数据提取追溯等，专有业务流程包括互锁机制、安全保护机制、特定制造工艺等。

[0030] 对每一个业务流程进行分解后的功能包括操作员身份认证、设备合法接入认证、通信会话连接与断开过程、特定目录与文件访问、关键操作字下发、指定数据与地址查询、控制程序上传下载、实时及历史数据库读写等。

[0031] 根据各业务流程建立已分解的各个功能之间的关联关系包括覆盖关系、顺序依赖关系、与关系、或关系、条件分支关系。覆盖关系为一个功能能够完整的包括或替代另一个功能；顺序依赖关系为一个功能需要另一个功能执行完后才能执行；与关系为两个或多个功能需要同时完成，才能执行后续功能；或关系为两个或多个功能任意完成一个，才能执行后续功能；条件分支关系为执行完成一个功能后，根据执行结果或后续功能执行条件，有两个或多个依赖于该功能的后续功能可供执行。将每一个业务流程中的各功能间的关联关系按照上述分类进行标注。

[0032] 对各业务流程中所分解的所有功能均建立以上所述的关联关系，每一个业务流程对应一个完整的存在关联关系的功能链，也即每一条功能链能够表示一个业务流程。

[0033] S2、将工业控制系统按所分解的功能分解成各个实体，并建立实体与功能之间的映射关系。

[0034] 将工业控制系统分解成的各个实体包括工控工程师站、工控操作员站、工控交换机、工控实时数据服务器、工控历史数据服务器、工控接口机、工控防火墙、工控网闸、工控安全边界网关、控制器、智能仪表、智能执行器等。其中，工控工程师站可进一步分解为工程师站操作系统、组态应用软件、工程师站数据库等，工控操作员站可进一步分解为操作员站操作系统、监控应用软件、操作员数据库等。

[0035] 建立工业控制系统分解成的各个实体与对每一个业务流程进行分解后的功能之间的映射关系，其中一个实体可能与多个功能存在映射关系。

[0036] S3、将各个实体的已知漏洞所影响的功能和已建立的功能关联关系建立实体漏洞关联关系，形成漏洞关联链，每一条漏洞关联链可以作为一条威胁渗透进入工业控制系统的路径，即完成构建一个工业未知威胁。

[0037] 对工业控制系统分解成的每一个已经与业务流程进行分解后的功能建立了映射关系的实体，获取该实体所有已知漏洞以及漏洞被利用所能被操纵或受到影响的功能，根据各功能间的关联关系建立漏洞关联关系，漏洞关联关系类型同各功能间的关联关系类型；工业控制系统中的所有实体漏洞间的关联关系建立完成后，能够形成多条漏洞关联链，漏洞关联链上的漏洞间可能存在各功能间的关联关系，每一条漏洞关联链可以作为一条威胁渗透进入工业控制系统的路径，可以相应构建一个工业未知威胁。

[0038] 参考图1，一种工业未知威胁生成系统，包括业务分解模块、实体分解模块和漏洞分解模块。

[0039] 业务分解模块，用于将工业控制系统的各业务流程进行功能分解，并根据各业务流程建立已分解的各个功能之间的关联关系，按业务流程形成功能链，每一条链代表一个完整的业务流程。

[0040] 工业控制系统的各业务流程所应用的行业包括石油化工、煤化工、发电、输配电、冶金、交通、水处理等行业。工业控制系统的各业务流程包括通用业务流程和专有业务流程，通用业务流程包括系统的软硬件组态、监控点采集、控制指令下发、系统与固件升级、设备集中管理、生产策略制定、安全策略制定、历史数据提取追溯等，专有业务流程包括互锁机制、安全保护机制、特定制造工艺等。

[0041] 每一个业务流程进行分解后的功能包括操作员身份认证、设备合法接入认证、通信会话连接与断开过程、特定目录与文件访问、关键操作字下发、指定数据与地址查询、控制程序上传下载、实时及历史数据库读写等。

[0042] 根据各业务流程建立已分解的各个功能之间的关联关系包括覆盖关系、顺序依赖关系、与关系、或关系、条件分支关系。覆盖关系为一个功能能够完整的包括或替代另一个功能；顺序依赖关系为一个功能需要另一个功能执行完后才能执行；与关系为两个或多个功能需要同时完成，才能执行后续功能；或关系为两个或多个功能任意完成一个，才能执行后续功能；条件分支关系为执行完成一个功能后，根据执行结果或后续功能执行条件，有两个或多个依赖于该功能的后续功能可供执行。将每一个业务流程中的各功能间的关联关系按照上述分类进行标注。

[0043] 实体分解模块，用于将工业控制系统按分解的功能分解成各个实体，并建立与功能之间的映射关系。工业控制系统分解成的各个实体包括工控工程师站、工控操作员站、工控交换机、工控实时数据服务器、工控历史数据服务器、工控接口机、工控防火墙、工控网闸、工控安全边界网关、控制器、智能仪表、智能执行器等。进一步地，工控工程师站包括工程师站操作系统、组态应用软件、工程师站数据库等，工控操作员站包括操作员站操作系统、监控应用软件、操作员数据库等。

[0044] 漏洞分解模块，用于将各个实体的已知漏洞所影响的功能和已建立的功能关联关系建立实体漏洞关系，形成漏洞关联链，每一条漏洞关联链可以作为一条威胁渗透进入工业控制系统的路径。

[0045] 对工业控制系统分解成的每一个已经与业务流程进行分解后的功能建立了映射关系的实体，获取该实体所有已知漏洞以及漏洞被利用所能被操纵或受到影响的功能，根据各功能间的关联关系建立漏洞关联关系，漏洞关联关系类型同各功能间的关联关系类型；工业控制系统中的所有实体漏洞间的关联关系建立完成后，能够形成多条漏洞关联链，漏洞关联链上的漏洞间可能存在各功能间的关联关系，每一条漏洞关联链可以作为一条威胁渗透进入工业控制系统的路径，可以相应构建一个工业未知威胁。

[0046] 本发明主要针对目前工控安全威胁样本少的问题，通过分析工控实体和功能的关联关系，以及能够对功能产生影响的漏洞关联，自行构建针对工控系统的未知威胁，可以更有效地开展并验证工控安全防护技术和产品的有效性。

[0047] 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。