自动规划攻击路径发现方法从网络

文摘

与它的收敛和OT网络,可以找到更多的机会摧毁网络攻击的物理过程。发现攻击路径起着至关重要的作用在描述可能的序列的剥削。自动规划是人工智能(AI)的一个重要分支引入攻击图模型。然而,尽管采用大规模的建模方法和OT网络,很难满足紧急需求,如分散数据管理、可伸缩性和自动化。为此,一个自动规划进行攻击路径发现方法在本文提出。起初,攻击知识和网络拓扑的信息正式代表以标准化规划领域定义语言(PDDL),集成到一个图表的数据模型。随后,设备可达性图划分算法介绍获得足够小和有限大小的子图,便于发现攻击路径通过人工智能计划尽快。为了进一步解决可伸缩性问题,使用多线程的方式来执行攻击路径枚举每个子图。最后,一个自动工作流的协助下构建PDDL问题提供了一个图形数据库文件为每个子图和遍历查询以互动的方式。提出了一个案例研究演示效果的攻击路径发现与数量的增加设备和效率。

1。介绍

由于信息技术(IT)被引入各行各业,黑客和病毒攻击的威胁从未摆脱。然而,它并不阻止工业企业采用商用现货软件和硬件和一般网络连接到操作技术(OT)网络,如工业控制网络(1]。它/不收敛攻击者提供了更多的机会,其后果可能是灾难性的推出有针对性的攻击真正的物理世界。工业控制安全事故在过去的十年是最好的证明网络攻击从IT网络逐渐渗透到OT网络(2]。

除了从它迁移到网络攻击的网络,不能网络中存在一些固有的问题,如设计缺陷工业控制网络协议(3)和漏洞的专有设备(4]。由于频繁的设备和OT组件之间的交互,之间没有清晰的界限,不分区在当前的工业环境。换句话说,任何妥协,发生在设备或网络在它或不具有不良影响的整体安全。因此,它和OT方面应考虑同时进行网络安全分析在综合评价(5]。

一般来说,安全评估主要依赖于一个独立的漏洞扫描服务或设备在IT和网络。虽然可以通过扫描获得更具体的漏洞信息,它们很难被用来理解复杂攻击的手段和目的,更不用说对综合评估。为此,提出了攻击路径的概念来描述另一种剥削的步骤序列,可能会导致一个成功的攻击(6]。直接、间接、和潜意识的攻击路径担心安全从业人员和研究人员。这些路径的生成过程可视为模拟特定攻击行为(7]。

专注于寻找所有可能的攻击路径,依赖关系的拓扑结构,漏洞,开发,和目标整合到一个图表,被称为攻击图(8]。自攻击图模型最初建于1997年,大量的生成方法,已经广泛应用在各种场景中发现攻击路径(6]。其中,自动规划、人工智能(AI)的一个分支,是采用的攻击图生成,将寻找有效路径转换为给定的攻击场景的解决问题的计划(9]。它有两个明显的特点与其他攻击图生成方法。首先,图上的各种成熟的特定领域规划者规划算法可以用来完成路径发现任务。另一方面,一个标准化的规划领域定义语言(PDDL)有利的数据表示与rich-level语义和数值逻辑推理支持计划,由编码适合多变的攻击场景建模领域知识和变量条件(10,11]。

然而,当执行到它和OT网络,规划方法也存在一些问题主要集中在三个方面:(1)尽管PDDL描述在建模的优势,它失去了一些异构和分布信息的抽象攻击知识和网络拓扑结构,这是多没有益处的攻击路径。(2)大多数攻击图生成方法的可伸缩性限制增加网络拓扑的规模。不幸的是,没有例外的规划方法中存在瓶颈限制解析复杂的PDDL问题文件编码一个完整的和更大的攻击场景和攻击路径枚举规划师。(3)提高自动化在每个阶段是一个长期的话题攻击图模型。面对频繁的袭击场景的变化,相应的挑战来自于如何重建PDDL描述。

应对上述问题,我们提出了一个自动规划攻击路径发现方法的基础上,文献[9]。我们的目标是扩展规划进行大规模的攻击图生成方法。这项工作的主要贡献总结如下:(1)我们提出一个正式的攻击知识和网络拓扑的数据描述方法。在描述建模通过PDDL仍然具有优势。结合图表数据模型并支持全球理解攻击路径的集成分散的信息形式的实体和关系。(2)我们改善传统的规划进行大规模的网络攻击图生成方法。设备可达性图划分算法介绍获得足够小和有限大小的子图,促进解决方案的探索计划,减少解析PDDL文件的负担。(3)我们提供一个自动工作流图形数据库的协助下。为了应对袭击场景变化,自动建设PDDL文件为每个子图实现。图形数据库与模型使后续可视化和评估以互动的方式。

剩下的纸是组织如下:一个相关的工作总结2。我们建议的方法的概述部分3。部分4提供了一个正式的表示方法包括PDDL和图表数据模型。节54算法阐述了完成一系列任务的攻击路径发现。一个案例研究演示了我们建议的方法的功能和性能6。最后,我们得出结论的研究部分7。

在本节中,我们简单的评估方法和技术来生成各种类型的攻击图,如模型检查、演绎推理,自动规划、并行计算、图形数据建模。我们主要关注以下两个观点,即,可伸缩性和正式的数据表示。

一般来说,模型检测技术确定是否一个正式的模型满足给定的属性。通过在攻击序列,发现反例路径,违反安全属性表示状态攻击图(12];然而,它也面临指数甚至用于中小规模网络状态问题。不同状态攻击图,逻辑攻击图是由演绎推理来证明其先决条件攻击步骤和每个操作(13- - - - - -16]。著名的推理和开源框架,称为MulVAL (Multihost多级脆弱性分析),是用来推断攻击路径在攻击目标和配置信息15,16),适合在大型企业环境风险评估。

这两种类型的攻击图属于完全图,可能涉及攻击路径不能到达攻击目标,而最小攻击图的定义是所有攻击路径终止的具体目标(9]。规划方法可以采用生成最小攻击图(17- - - - - -20.]。一组特定领域规划者可以用来构建攻击图,如GraphPlan、FF, Metric-FF, LPG-td, SGPlan [11]。然而,普遍承认,可伸缩性的规划方法有一定的局限性。因此,介绍了图形还原法来简化搜索的任务在不牺牲质量的攻击路径(17]。专注于渗透测试目标的信息,一个紧凑的计划图算法(20.]修剪多余的攻击路径分支的改善可伸缩性。

与上述串行方法相比,另一个攻击图生成依赖并行计算(21- - - - - -23]。其核心思想是利用分区算法把一个大型复杂的网络拓扑结构和加工由多个代理在同一时间,每个子图强调负载均衡提高攻击图生成的效率。

除了方法和技术,一个适当的正式数据表示的专家知识和网络配置是重要的攻击图生成。不仅仅是有意义的描述多源信息在每个相应的建模方法,也有助于促进理解可读性的攻击路径。有研究方向修改生成的攻击图。例如,process-mining算法被用来提取时间顺序和逻辑关系的网络攻击行为,生成攻击图在大规模的安全警报24]。然后,复杂图像分割是基于一些分支机构在不改变原有结构,这使得它更容易理解。在[25议员),本体构造(多个前提)图表尺度近线性随着网络规模的增长。它使网络管理员能够理解的语义知识推理的攻击路径。为了建立一个简化的攻击图,抽象可视化的概念是由聚合实现原始攻击步骤的一部分根据资产(26]。

因为输入和输出信息的攻击图表现为连接数据,它可以自然地作为图像数据存储在节点和边的形式。最近流行的图形数据库、图形数据模型是由研究人员更加关注代表数据,如拓扑和漏洞27- - - - - -30.]。除了考虑到数据存储形式,获得有效信息的大规模和孤立的数据仍然是一个迫在眉睫的需求构建攻击图。图遍历查询的效率和可伸缩的解决方案可以提供困难。在[28],cyberattack-oriented图数据模型给出了在攻击路径获取实体之间的关系在图的划分安全域允许模型连接成层,这是方便支持其他协作评估任务。

灵感来自于研究列在本节中,我们试图解决的问题三个方面介绍中所描述的部分。我们建议的方法创新结合了两种方法的图像分割和图像数据建模主要促进自动化和可伸缩性,网络环境。

3所示。该方法

我们的方法旨在找到攻击路径网络快速、自动的方式。我们应用PDDL正式表示模型的网络拓扑和攻击知识作为输入一个独立的人工智能路径规划。进一步提高可伸缩性的攻击路径枚举使用计划,设备可达性图分区介绍之前攻击路径规划阶段。随后,调用枚举算法以多线程的方式对于每个子图,可以发现所有的攻击路径。作为一个核心组件的方法,图形数据库的优势方面的存储和查询遍历。它管理实体和维护关系阶段的信息收集、提取、关键要素和攻击路径规划。此外,自动构建PDDL文件实现获取属性字段躺在实体。特别是对大规模网络,起着至关重要的作用在多源信息的交互式查询攻击路径,和图形数据库可以攻击路径可视化或评估在一个有限的时间。

如图1,拟议的攻击路径发现框架由信息收集、关键要素提取、拓扑分析、图形数据结构,正式表示,攻击路径规划,及其应用。我们完成攻击路径探索任务的不同阶段生成和交换数据的工作流。提供的主要功能模块描述如下:(我)拓扑分析如下:从信息收集分析基本数据解析网络设备之间的可达性,计算整体网络的复杂性。根据预设值子图规模,大规模的网络拓扑是分成多个部分为后续攻击路径规划以多线程方式。(2)图数据结构如下:从信息收集的数据,提取关键元素和拓扑分析的形式存储图形数据。通过快速遍历图数据库中查询api,可以获得必要的信息对正式表示应用程序使用PDDL和攻击路径。此外,漏洞之间的依赖关系,源于攻击路径,可以添加到图表数据关系。(3)正式的表示如下:使用图形数据库查询的结果,两个PDDL文件域和人工智能规划问题可以自动生成。域是一组动作,侧重于对攻击的状态转换,问题包含初始状态的设备,漏洞,拓扑,以及目标状态。(iv)攻击路径规划:AI规划生成一个基于特定PDDL文件最短攻击路径。为了找到所有攻击路径,枚举算法对于每个子图,需要修改的问题文件重新规划路径。当一组攻击路径可用,一个全球性的攻击图生成的进一步分析开发依赖关系。

在下面几节中,我们详细讨论该方法的主要部分。

4所示。正式的数据表示

在本节中,我们正式定义一个网络模型,设备可达性,攻击路径和攻击图。之后,在PDDL域的定义和问题,以及人工智能规划。考虑攻击路径的要求代正如上面提到的,一个图表的数据模型来表示网络中实体和关系。

4.1。预赛

给一个正式的网络模型,构建攻击图和核心的第一步是确定其可达性。攻击图的抽象代表所有路径,攻击者可以利用现有的漏洞之间的相互依赖关系:(我)定义1。被定义为一个网络模型 ,在那里是一组设备吗 , 是一组可获得的条件 ,和是一组漏洞 (2)定义2。设备可达性是指某些港口是否在设备上可以通过访问网络中TCP或UDP连接其他设备,可以从防火墙规则分析和网络拓扑结构。布尔表示,到达通过一个开放的端口。(3)定义3。攻击路径(美联社)是一种有限的非循环路径序列的设备和漏洞 ,在哪里。(iv)定义4。攻击图(AG)是一种数据结构,代表所有攻击路径的交集。

4.2。在PDDL域和问题

PDDL及其变体通常用于编码领域知识。鉴于域的信息已经被代表成PDDL文件操作语句模型和问题,有各种各样的古典和启发式规划者可以生成攻击计划:(我)定义5。PDDL域是一个抽象的描述上的一系列问题,包括需求、功能、谓词和可操作的前置条件和后置条件。这模型各种攻击对应漏洞,战术和技巧。(2)定义6。PDDL问题是一个具体的实例一定PDDL领域,包括对象,与数值谓词,初始状态和目标状态。模型设备可达性、服务的设备上运行,并攻击者的能力,如特权,凭证,甚至破坏网络的一个入口点。(3)定义7。AI规划师是一个搜索算法设计为一个特定的目的,找出计划满足PDDL问题。在本文中,我们选择一个特定领域的计划,称为SGPlan (https://wah.cse.cuhk.edu.hk/wah/programs/SGPlan/sgplan5.html),PDDL解决规划问题,这一次生成攻击路径最短。

图2描述我们的运行示例,一个简单的网络场景建模的领域和问题使用PDDL和规划师发现一个有效的攻击路径。简单的网络场景包含两个设备都运行服务与漏洞。存在一个漏洞TIA门户用于工程工作站(EWS)由于不适当的输入验证。其他漏洞影响西门子s7 - 300 plc的CPU,它可以任意切换到一个缺陷模式。规划攻击路径 >。

注意,我们希望表达,攻击者可能发送特别制作的包来获得特权EWS然后利用PLC的CPU的脆弱性不当控制它。然而,策划的输出往往错过一些关键信息,用于描述攻击路径。出于这个原因,我们下一个设计实体和关系图数据来弥补缺失的语义。

4.3。图数据模型

在我们的方法中,我们建立一个图表的数据模型来表示设备、网络和漏洞。它是由一组节点和边,边缘节点代表实体和表示实体之间的关系。有五个实体在该模型中包括设备、脆弱性、组件、域,策略和技巧。每个实体的属性如表所示1。事实对应的实体的阶段信息收集和提取关键元素。特别是,组件是一个通用术语,指的是服务,操作系统,甚至是硬件,使用类型字段属性来区分。“策略与技术”一词来源于ATT & CK ICS (https://collaborate.mitre.org/attackics/index.php/Main_Page)来描述个人技术在战术上一些特定的漏洞。


不。	实体名称	属性

1	设备	ID、名称、类型、供应商、版本、固件/ OS, fubgraph_ID
2	脆弱性	ID、名称、类型、ATT_vector CVE_ID, precon, postcon brief_info
3	组件	ID、名称、类型、供应商、版本
4	域	ID、名称、网络access_rules (service_port)
5	策略与技巧	ID、名称、brief_info data_source

此外,七个关系表进行了总结2。在建设初期,五大关系表中描述的节点中可以提供的事实。然而,攻击和利用之间的关系被添加到图表数据模型生成攻击路径,该枚举的方法。


不。	名字的关系	描述

1	康涅狄格州	两个设备之间的可达性的存在。
2	由	设备属于一个域除以一个网络。
3	提供	一个组件提供的设备。
4	有	一个组件都有一个弱点。
5	依赖	战术和技术依赖于一个漏洞。
6	攻击	设备影响的脆弱性,导致攻击。
7	利用	在另一个设备受损设备利用漏洞。

如图3,我们进一步扩大的语义上一节中提到的攻击路径。以简单的网络场景中的PLC为例子。在过程控制领域,CPU的股价可能会影响到一个漏洞,这样股价从运行模式转换到缺陷模式。为此,攻击者获得特权的EWS连接到PLC的漏洞并利用不当控制,启动使PLC拒绝服务攻击(DoS)。结果,股价可能会抑制响应函数(irf)信息反馈传感器或执行器的字段。在某种程度上,结合图的数据模型与原来的发现方法是一种理想的方式来提高可读性的攻击路径。

5。攻击路径发现方法

摘要自动,多线程,AI规划进行枚举方法为核心提出了攻击路径发现算法。基于部分中定义的设备可达性4.1图分区方法介绍了生成子图内的预设数量的节点。每个子图是分配给一个线程,然后规划师叫做分别完成枚举的攻击路径。使用图表数据模型中提到的部分4.3、文件的问题域和PDDL可以自动组合的帮助下遍历查询属性,它遵循的原则PDDL语法。

一双域的具体情况和问题,一个固定的最短攻击路径可以解决。通过修改PDDL的问题,可以生成所有的攻击路径。结束,攻击路径枚举有待开发。我们改善了枚举算法中提到9),它可以适应更大的发现网络规模的攻击路径。一旦获得所有攻击路径,攻击图可以分析攻击的关系和开发,需要添加的设备节点和脆弱性节点在上述图表数据模型。在下面几节中,我们将图像分区(算法的实现1),(PDDL文件组合算法2枚举(图),攻击路径4和多线程执行算法3)。

5.1。设备可达性分区图

可达性决定了可访问性条件在目标设备上运行的服务。增加数量的设备在大型和OT网络,发现攻击路径在一个有限的时间是一个巨大的负担。正如我们所知,原计划和列举攻击路径也不适合大规模网络,由于耗时的过程解析大型PDDL文件和重复路径遍历。自然,这是一个紧急的需求攻击路径发现设备可达性图划分为小规模的子图。随后,我们使用多线程的方法找到每个子图的攻击路径。

复杂的图像分割算法在24),这是最初用于提高攻击图的可读性。算法的思想是,它搜索分支节点分裂整个图和完整的子图基于它们的结构。然而,我们简化上述算法对设备可达性分区图。输入包含设备可达性图和子图的大小。输出所有的子图。更多细节算法的伪代码所示1。

	输入:设备可达性图Gr,子图的大小subg_size
	输出:所有的子图
(1)	函数生成子图(Grsubg_size)
(2)	如果nodes_num的Gr超过subg_size然后
(3)	推Gr来Qp
(4)	而Qp不是空的做
(5)	流行的子图G从Qp
(6)	找到分支节点Ns从G
(7)	得到的边缘Ns并将他们推进量化宽松政策
(8)	而量化宽松政策不是空的做
(9)	流行的优势量化宽松政策从量化宽松政策
(10)	找到继任者子图Gs从边缘量化宽松政策在G
(11)	如果节点Gs不到subg_size然后
(12)	推Gs成Qp
(13)	其他的
(14)	推Gs成问:
(15)	输出所有子图问:
(16)	其他的
(17)	输出Gr
(18)	结束函数

5.2。自动PDDL域和建设问题

作为讨论的部分4.2,它是计划定义的关键领域和问题文件。域文件编码谓词和行动。问题文件编码对象,初始状态和目标。规划师竞选时不同的子图,分别需要一些对问题域和文件在同一时间。因此,有必要构建这两个文件在一个自动的方式,特别是对于大量子图的情况。为了实现上述目的,我们在PDDL建立两个模板领域和问题。结合查询结果从图形数据库和模板、领域和问题文件可以在很短的时间内生成,即使可达性和修改设备配置在前面的阶段。更多细节算法的伪代码所示2。

	输入:domain_temp和problem_temp pddl文件模板
	图形数据库连接对象hg;规划的目标
	输出:pddl构造域和问题文件
(1)	函数生成PDDL文件(domain_temp problem_temp,hg)
(2)	查询设备节点,通过设备可达性、脆弱性和组件hg
(3)	生成域文件:
(4)	产生谓词的弱点,可达性,前和后置条件
(5)	从前置和后置条件生成的行为漏洞的脆弱性
(6)	结束
(7)	生成问题文件:
(8)	从设备节点生成对象
(9)	最初生成满足条件
(10)	根据您的输入生成目标
(11)	结束
(12)	返回生成的领域和问题文件
(13)	结束函数

5.3。攻击路径枚举

根据对问题域和PDDL文件,计划提供了一种解决方案找到最短的攻击路径。然而,攻击路径枚举策略应该是开发寻找所有的攻击路径。他指的是文献[9),一个定制的算法通过修改问题PDDL文件生成新的攻击路径,直到独家路径设置。修改的方法是自动阻止攻击路径的节点,这是由一些评论内容编码实现的文件与服务。

定制算法而言,一系列的数据结构定义用于攻击路径枚举。其中一个,叫做关键节点,表示一个节点是否总是阻止生成一个新的路径。相反,其他数据结构、调用的非关键节点表示节点依赖于一些关键节点,和没有新的路径,如果单独节点阻塞。虽然这两个数据结构是申请指示如何阻止节点,其中存在字段被分析了预定义的服务手册。它不利于列举在大规模网络攻击路径。因此,我们把这两个数据结构的改进方法。修改攻击路径枚举算法的流程图,如图所示4。

在改进算法中,我们引入了两个新的数据结构,命名Nodetmp Path_tmp,分别用于存储枚举期间的信息。Nodetmp定义记录在一个路径,节点的服务和Path_tmp定义记录的路径,这不是完全处理。其余的数据结构是按照定义在文献[9]。

5.4。攻击图生成

在这一部分中,我们将以上三种算法集成到一个多线程程序。每个线程分配一个枚举子图调用子程序的攻击路径,并创建和提交一个线程是由线程池管理。特别是,我们删除一些无关紧要的物品为每个子图问题PDDL文件以减少文件解析时间。它大大缩短了时间在大规模生成攻击图,和讨论的结果是部分6。

输入是线程的数量。输出是一个完整的攻击图,合并一组攻击图的子图。生成的攻击图后,利用设备和漏洞的攻击边中节点和添加图形数据库中所表2。更多细节算法的伪代码所示3。

	输入:thread_num的线程数量
	输出:攻击图AG);添加开发和攻击边缘在图像数据库中
(1)	创建一个空的攻击图AG)
(2)	域。pddl和问题。通过生成pddl文件pddl (domain_temp problem_temp,hg)
(3)	得到所有子图的生成子图(Gsubg_size)
(4)	创建线程池threads_pool并设置对应thread_num格言工人
(5)	foreach子图的子图做
(6)	修改问题。pddl和域。基于pddl子图
(7)	创建一个线程并将其绑定到使用规划师列举攻击路径
(8)	threads_pool提交这个线程
(9)	而真正的做
(10)	在threads_pool检查线程的状态
(11)	如果所有threads_pool的任务已经完成做
(12)	打破
(13)	从路径生成subag从每个线程并将它们合并到回来AG)
(14)	得到ag_edgesAG)
(15)	创建攻击和利用根据ag_edges边缘在图像数据库中

6。案例研究

在本部分中,提出了自动规划攻击路径发现方法是评估。首先,介绍了实验装置的一个假设的网络拓扑不网络部分6.1。然后,攻击路径了,相应的数据存储形式的图表数据部分6.2。最后,我们讨论设备的性能在可达性图分区,攻击路径规划,枚举的部分6.3,它允许我们检查可伸缩性的增加设备和网络。

6.1。实验装置

如图5,一个假设的构造网络拓扑的结构源于现实的实践,但其大小是简化。它分为六个子网根据不同的功能。企业控制网络是一个企业网络对产品生命周期管理、资源计划、业务计划,等等。周长网络管理服务器为用户提供的信息通过各种服务企业控制网络,如网络和邮件。制造业务网络之间信息交流的桥梁,控制系统和企业资源规划系统来支持自上而下的决策。过程控制网络是用来传输指令和数据之间的控制和测量单元和监控和数据采集(SCADA)设备。自动控制网络连接到数字领域的HMIs和plc,负责和控制逻辑计算任务的传感器或执行器操作和管理物理控制网络。其中,网络是由企业控制网络和周边网络,和其他子网属于OT网络(1]。

假设网络拓扑包含20异构设备,推出许多服务和漏洞,如表所示3和4。脆弱性信息提取描述NVD (https://nvd.nist.gov/)和丙氨酸和CK ICS (https://collaborate.mitre.org/attackics/index.php/Main_Page)。考虑到设备类型和应用技术,我们将整个网络拓扑结构划分为两个部分,即区域和b区,更多的设备采用商用现货软件和硬件,更多的漏洞可能被利用为目的的横向运动的网络。由于因素,如时间和连续性,更少的安全保护装置部署在区域b .一旦受损区,有些设备复杂的攻击者可以采取多种措施来发射控制面向流程的攻击影响物理操作。为了突出依赖性的漏洞,我们定义访问控制规则服务中细节,如表所示5。


Dev.ID	设备名称	港口	脆弱性	受影响的组件

Dev1	经理的电脑	- - - - - -	LNK远程代码执行	快捷方式的图标在windows平台
Dev1	经理的电脑	- - - - - -	凭证泄漏	连接设备登录
Dev2	应用程序服务器	22	操作系统命令注入	OpenSSH (SCP)
Dev3	ERP服务器	3389年	位特权管理不当	Windows后台智能传输服务
Dev4	数据服务器	3306年	权限和访问控制	MySQL
Dev5	Web服务器	80年	内存缓冲区溢出	互联网信息服务
Dev6	邮件服务器	80年	访问控制不当	Roundcube
Dev7	DNS服务器	53	DNS服务器远程代码执行	Windows DNS服务器
Dev8	代理服务器	8090年,4900年	路径遍历	Lanproxy服务器
Dev9	代理客户端	12000年	明文凭据	Lanproxy客户
Dev10	MES的客户	445年	SMBv3远程代码执行	微软服务器消息块协议
Dev10	MES的客户	- - - - - -	凭证泄漏	连接设备登录
Dev11	MES服务器	22	内核特权管理不当	Linux内核
Dev12	历史学家	80年	远程代码执行SQL server	Microsoft SQL server报告服务
Dev13	EWS1	445年,139年	代码注入	在SMB MSRPC
Dev14	EWS2	3389年	蛮力	远程桌面服务
Dev15	占领华尔街	445年	SMB远程代码执行	微软服务器消息块协议
Dev16	OPC服务器	8080年	无限制的上传的文件	Apache tomcat
Dev17	HMI1(主)	2308年,1033年	修改配置项目	在WinCC HMI配置项目
Dev18	HMI2(奴隶)	2308年,1034年	修改配置项目	在WinCC HMI配置项目
Dev18	HMI2(奴隶)	2308年,1034年	假的MAC地址	HMI和PLC通信
Dev19	PLC1(主)	102年	修改参数/模式	PLC自动操作/状态
			修改控制逻辑	TIA的PLC程序项目门户
			明文控制命令	遗留S7Comm协议
Dev20	PLC2(奴隶)	102年,502年	假的MAC地址	HMI和PLC通信
			修改参数/模式	PLC自动操作/状态
			修改控制逻辑	TIA的PLC程序项目门户
			明文控制命令	Modbus协议
			不受控制的资源消耗	协议常用端口
			控制不当	CPU缺陷模式


Vul.ID	脆弱性	ATT_Vector	先决条件	后置条件	战术/技术

Vul1	LNK远程代码执行	当地的	USB / LNK起草文件的访问	执行任何代码	IA /复制到可移动媒体
Vul2	凭证泄漏	当地的	明文记录文件	收购凭证	LM /有效的帐户
Vul3	操作系统命令注入	远程	SSH密码	执行任何代码	LM /远程服务
Vul4	位特权管理不当	当地的	用户登录	管理员(windows)	PE /开发特权升级
Vul5	权限和访问控制	远程	用户登录	根(linux)	PE /开发特权升级
Vul6	内存缓冲区溢出	远程	精心制作的URL	执行任何代码	IA /利用面向公众的应用程序
Vul7	访问控制不当	远程	精心设计的电子邮件	执行任何代码	IA /利用面向公众的应用程序
Vul8	DNS服务器远程代码执行	远程	恶意请求	执行任何代码	IA /利用面向公众的应用程序
Vul9	路径遍历	远程	端口扫描	收购凭证	为凭据访问CA /开发
Vul10	明文的凭证	远程	凭证	登录	LM /有效的帐户
Vul11	SMBv3远程代码执行	远程	用户	执行任何代码	LM /开发的远程服务
Vul12	内核特权管理不当	当地的	用户登录	根(linux)	PE /开发特权升级
Vul13	远程代码执行SQL server	远程	不正确的页面请求	执行任何代码	IA /利用面向公众的应用程序
Vul14	代码注入	远程	的RPC请求	执行任何代码	LM /开发的远程服务
Vul15	蛮力	远程	凭证	登录	LM /有效的帐户
Vul16	SMB远程代码执行	远程	用户	执行任何代码	LM /开发的远程服务
Vul17	无限制的上传的文件	远程	JSP文件/ HTTP请求	执行任何代码	IA /利用面向公众的应用程序
Vul18	修改配置项目	远程	恶意的配置项目	损害人机界面控制功能	P /修改程序
Vul19	修改控制逻辑	远程	恶意的控制逻辑	PLC拒绝服务	P /修改程序
Vul20	修改参数/模式	远程	恶意操作	PLC拒绝服务	IPC /修改参数
Vul21	明文控制命令	远程	精心设计的控制命令	PLC拒绝服务	IPC /未经授权的命令消息
Vul22	不受控制的资源消耗	远程	高容量的请求	PLC拒绝服务	IRF /拒绝服务
Vul23	假的MAC地址	远程	扫描设备/交通/修改数据	PLC拒绝服务	C /中间人
Vul24	控制不当	远程	精心制作的包	PLC拒绝服务	E /改变操作模式


Dom.ID	域名	源设备	目标设备

Dom1	互联网	经理的电脑	(应用服务器、22)(ERP服务器,3389)(web服务器,80)(&4900代理服务器,8090)
		应用程序服务器	(数据服务器,3306)
		ERP服务器	(数据服务器,3306)
		数据服务器	(邮件服务器,80)(DNS服务器,53)

用于	非军事区	Web服务器	(历史学家,80)
		邮件服务器	(代理服务器,8090 & 4900)
		DNS服务器	(代理服务器,8090 & 4900)
		代理服务器	(代理客户端,1200)

Dom3	调度	代理客户端	(历史学家,80)(MES的客户,445)
		MES的客户	(MES服务器,22)
		MES服务器	(历史学家,80)
		历史学家	(OPC服务器,8080)

Dom4	监督	OPC服务器	(EWS1 445 & 139) (EWS2, 3389) (OWS, 445)
		EWS1	(2308 & 1033)HMI1 (HMI2 2308 & 1033)
		EWS2	(PLC1, 102) (PLC2 102 & 502)
		占领华尔街	(HMI2 2308 & 1033) (PLC1, 102) (PLC2, 102 & 502)

Dom5	过程	HMI1	(PLC1, 102)
		HMI2	(PLC2, 102)
		PLC1	(PLC2, 502)

6.2。攻击路径探索

基于模型构建部分4.3,我们将实验数据存储在图像数据的形式。本文利用图形数据库,HugeGraph (https://hugegraph.github.io/hugegraph-doc/),是高效、通用和开源的。它是完全兼容小鬼查询语言,并实现了与Apache TinkerPop3框架。存储图像数据的基础后续PDDL文件的自动生成和最后的攻击图生成。验证了该方法的可行性,我们给结果以相反的顺序是描述的部分3。在这个实验中,我们定义的入口点攻击的马槽PC,及其破坏的目标是一个奴隶的PLC2站连接到一组物理设备。

图6是一个完整的攻击图的实验环境,产出的Graphviz (http://www.graphviz.org/)的Python库。有189攻击路径可以到达攻击目标。我们分别展示区域A和B的攻击路径表6和7,因为显示方便。显然,很难找到一个节点的历史学家节点(Dev12)假设的网络拓扑,它可以被视为一个切图论的分区网络拓扑。


不。	攻击路径

1	攻击者⟶Vul1⟶Dev1⟶Vul6⟶Dev5⟶Vul13⟶Dev12
2	攻击者⟶Vul1⟶Dev1⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
3	攻击者⟶Vul1⟶Dev1⟶Vul3⟶Dev2⟶Vul5⟶Dev4⟶Vul7⟶Dev6⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
4	攻击者⟶Vul1⟶Dev1⟶Vul3⟶Dev2⟶Vul5⟶Dev4⟶Vul8⟶Dev7⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
5	攻击者⟶Vul1⟶Dev1⟶Vul2⟶Dev3⟶Vul4⟶Dev3⟶Vul5⟶Dev4⟶Vul7⟶Dev6⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
6	攻击者⟶Vul1⟶Dev1⟶Vul2⟶Dev3⟶Vul4⟶Dev3⟶Vul5⟶Dev4⟶Vul8⟶Dev7⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
7	攻击者⟶Vul1⟶Dev1⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶V11⟶Dev10⟶Vul2⟶Dev11⟶Vul12⟶Dev11⟶Vul13⟶Dev12
8	攻击者⟶Vul1⟶Dev1⟶Vul3⟶Dev2⟶Vul5⟶Dev4⟶Vul7⟶Dev6⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶V11⟶Dev10⟶Vul2⟶Dev11⟶Vul12⟶Dev11⟶Vul13⟶Dev12
9	攻击者⟶Vul1⟶Dev1⟶Vul3⟶Dev2⟶Vul5⟶Dev4⟶Vul8⟶Dev7⟶Vul9⟶V11⟶Dev10⟶Vul2⟶Dev11⟶Vul12⟶Dev11⟶Dev8⟶Vul10⟶Dev9⟶Vul13⟶Dev12
10	攻击者⟶Vul1⟶Dev1⟶Vul2⟶Dev3⟶Vul4⟶Dev3⟶Vul5⟶Dev4⟶Vul7⟶Dev6⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶V11⟶Dev10⟶Vul2⟶Dev11⟶Vul12⟶Dev11⟶Vul13⟶Dev12
11	攻击者⟶Vul1⟶Dev1⟶Vul2⟶Dev3⟶Vul4⟶Dev3⟶Vul5⟶Dev4⟶Vul8⟶Dev7⟶Vul9⟶Dev8⟶Vul10⟶Dev9⟶V11⟶Dev10⟶Vul2⟶Dev11⟶Vul12⟶Dev11⟶Vul13⟶Dev12


不。	攻击路径

1	Dev12⟶Vul17⟶Dev16⟶Vul14⟶Dev13⟶Vul18⟶Dev18⟶Dev20
2	Dev12⟶Vul17⟶Dev16⟶Vul14⟶Dev13⟶Vul18⟶Dev17⟶Dev19⟶Dev20
3	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul19⟶Dev20
4	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul19⟶Dev19⟶Dev20
5	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul22⟶Dev20
6	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul24⟶Dev20
7	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul20⟶Dev20
8	Dev12⟶Vul17⟶Dev16⟶Vul15⟶Dev14⟶Vul20⟶Dev19⟶Dev20
9	Dev12⟶Vul17⟶Dev16⟶Vul16⟶Dev15⟶Vul20⟶Dev20
10	Dev12⟶Vul17⟶Dev16⟶Vul16⟶Dev15⟶Vul20⟶Dev19⟶Dev20
11	Dev12⟶Vul17⟶Dev16⟶Vul16⟶Dev15⟶Vul22⟶Dev20
12	Dev12⟶Vul17⟶Dev16⟶Vul16⟶Dev15⟶Vul18⟶Dev18⟶Dev20
13	Dev12⟶Vul17⟶Dev16⟶Vul16⟶Dev15⟶Vul23⟶Dev18⟶Vul21⟶Dev20

攻击图的路径是一个混合的设备节点和脆弱性节点,代表,攻击者可以达到设备并利用漏洞。作为讨论的部分3,我们建议的方法生成的攻击图是分析开发依赖,和相应的边缘节点中添加图形数据库。之后,方便找到攻击路径任意固定的入口点和小鬼一个攻击目标的查询。这样的话,攻击路径表6从攻击者列出历史学家设备。同样,攻击路径表7列出PLC2从历史学家设备。

6.3。绩效评估

我们建议的方法的性能评估测试在以下环境中进行。假设的问题域和网络拓扑描述在PDDL(2.2版)(https://planning.wiki/ref/pddl22)。上的攻击路径规划执行SGPlan(22版本)。所有节目中提到的四个算法部分5在Python中实现(3.5.2)版本,在Linux服务器上运行在2.1 GHz Intel Xeon银4110 CPU和125 GB RAM。HugeGraph(服务器版本0.11.2)独立运行在一个码头工人(版本19.03.12)容器。

起初,我们实现的方法介绍了文献[9)来验证其可伸缩性。假设之间存在一一对应的漏洞和设备的数量,网络拓扑的变化只是反映在PDDL中的复杂性问题的文件,对规划有很大的影响。结果如表所示8。第2列左边的关注每一个测试网络拓扑结构的大小,而其余列,分别岩藻围绕CPU时间和内存的性能,包括SGPlan总规划时间,解析时间PDDL文件,枚举所有攻击路径的时间和内存消耗。增加的设备(节点)在网络拓扑中,很明显,运行时间和内存消耗成倍扩大。SGPlan提供规划时间和解析时间PDDL文件作为输出,和规划时间涉及到解析时间和纯溶液为每个有效的攻击路径。通过总结规划时间和解析时间,我们发现解析时间占90%以上主导规划时间的复杂性问题文件PDDL增长。此外,值得注意的是,枚举时间更令人不满意的小网络拓扑结构,采取近2小时为网络拓扑生成所有攻击路径大小41的设备。


不。	Topo_nodes	Plan_time (s)	Parse_time (s)	Enum_time (s)	内存(KB)

1	11	2.23	1.66	14.72	39256年
2	21	44	40.96	184.49	164360年
3	31日	363.88	354.19	1398.11	644428年
4	41	1954.15	1928.19	7319.67	1857944
5	51	7033.4	6973.02	26486.55	4524044

克服这两个缺点在攻击路径枚举方法使用规划师在大规模网络应用,介绍了图像分割算法为我们建议的方法。有一个关键参数,即子图尺寸subg_size,设为10的算法1。每个阶段的性能结果如表所示9。从表中的行2到4,结果比表所示821的拓扑节点。规划的耗时的过程和解析的原因大大减少是分区算法分支点的基础上减少在PDDL每个问题文件的复杂性,这有助于方便规划师来解析文件,并为每个子图解决方案。此外,我们进一步提供运行时间图分区与HugeGraph(第6行)和操作,如进口和遍历查询(7和8)行,他们把一小部分在我们建议的方法的运行时间。其余行名单上的信息假设网络拓扑的攻击图部分6.1。


不。	指标	统计数据

1	Topo_nodes	21
2	Plan_time (s)	0.11
3	Parse_time (s)	0.1
4	Enum_time (s)	53.94
5	内存(KB)	19292年
6	partition_time (s)	0.019
7	import_time (s)	0.27
8	tranversal_time (s)	0.007
9	ag_nodes	43
10	ag_edges	63年
11	att_paths	189年

最后,我们验证每个阶段我们建议的方法适用于大规模网络的实验。假设网络拓扑和增加设备的大小和复杂性的考虑和讨论。它只是通过几次整体复制这些设备来实现这一目标包含在不同的网络拓扑构建场景的大小,设备的数量从100年到1000年不等。实验结果显示数据7来10。在图7、运行时间和内存使用的设备可达性图分区所示,考虑不同数量的设备。可以看出运行时间小于0.2秒,即使拓扑规模达到1000多个设备。数据8和9分别显示多线程和单线程模式之间的比较在运行时间和内存使用量。我们设置了线程池的线程数的算法320。显然,多线程的方式消耗的时间小于单线程的方式。同时,其增长比率也缓慢增加的设备。但是我们建议的方法具有更高的内存使用的成本比单线程的方式,几乎是线性增长。多线程的开销存在于解析文件,并列举攻击路径的问题。因此,我们删除无关紧要的内容编码在每个子图的问题文件基于设备减少解析时间和计划在每个线程。它可以避免阻塞或重启无效服务攻击路径枚举算法。更重要的是,操作的效率,如导入数据和遍历查询,确定过程的自动构建PDDL文件和搜索攻击路径。图10显示了两个关键操作的运行时间的HugeGraph算法2和3,考虑到不同数量的设备。

7所示。结论

有一个压倒性的趋势,它和OT网络似乎深深融入当前的行业,而现有的安全问题仍不容忽视。集中攻击路径,与一个独立的漏洞扫描相比,安全评估需要考虑设备之间的依赖关系,漏洞和网络作为一个整体。关注所有攻击路径终止的具体目标,我们提出一个自动规划攻击图生成方法。传统的规划进行攻击路径发现与图形数据管理方法改进,拓扑分区、并行执行,适应大规模和网络。正式的数据表示采用PDDL描述攻击场景,在建模仍具有优势。与此同时,源和分散的数据由图形数据库管理,为用户查询提供机会攻击路径和相应的信息。

实验结果表明,我们建议的方法表现相比,自动化和可伸缩性改进与传统规划方法。设备可达性图划分算法有助于减少解析PDDL的耗时问题文件和规划一个攻击路径。多线程的方式调用攻击路径枚举有更多理想的性能和设备的数量增长。使用图形数据库HugeGraph保证导入数据的效率和遍历查询,支持完成任务,如自动PDDL建设文件和搜索攻击路径。

在未来的工作中,我们试图利用各种特定领域AI规划师发现攻击路径,但它并不局限于在每个迭代中找到最短路径。研究方向将转向定量安全评估分析攻击路径,结合关键节点的概率。进一步预测攻击行为,逻辑推理和不确定性理论引入到图像数据模型。此外,视觉优化的攻击路径值得实现大规模和网络。

数据可用性

使用的数据来支持本研究的发现可以从相应的作者。

的利益冲突

所有作者特此声明没有利益冲突。

确认

这项研究是由中国国家重点研发项目(没有。2018 yfb2004200)。

引用

r . Paes d . c . Mazur b . k . Venne和j . Ostrzenski”指南确保工业控制网络:整合和不系统,”IEEE工业应用杂志,26卷,不。2,47-53,2019页。视图:出版商的网站|谷歌学术搜索
t . Alladi诉Chamola, s . Zeadally“工业控制系统:网络攻击趋势和对策”,计算机通信卷,155年,页1 - 8,2020。视图:出版商的网站|谷歌学术搜索
茱莉亚,m . Niedermeier r . Basmadjian h·d·米尔,“安全挑战在控制网络协议:一项调查,“IEEE通信调查和教程,21卷,不。1,第639 - 619页,2018。视图:出版商的网站|谷歌学术搜索
r·j·托马斯和t . Chothia”从vulnerabilities-categorising学习、理解和探测弱点在工业控制系统中,“电脑与安全,第116 - 100页,2020年。视图:出版商的网站|谷歌学术搜索
d . Cerotti d . Codetta-Raiteri g . Dondossola et al .,”贝叶斯网络方法解释电力系统的网络攻击”《意大利网络安全会议,比萨,意大利,2019年2月。视图:谷歌学术搜索
h . s . Lallie k Debattista, j .落下帷幕,“回顾攻击图和视觉语法网络安全攻击树,”计算机科学评论,35卷,ID 100219条,2020年。视图:出版商的网站|谷歌学术搜索
Stellios, p . Kotzanikolaou m . Psarakis c . Alcaraz和j·洛佩兹,“iot-enabled网络攻击的调查:评估攻击路径的关键基础设施和服务,“IEEE通信调查和教程,20卷,不。4、3453 - 3495年,2018页。视图:出版商的网站|谷歌学术搜索
j .曾庆红,吴,即考察,即瑞曾庆红,i Chengrong吴,”调查的攻击图分析方法从数据和知识处理的角度来看,“安全性和通信网络卷,2019篇文章ID 2031063, 16页,2019年。视图:出版商的网站|谷歌学术搜索
n Ghosh和s . k . Ghosh planner-based方法生成和分析最小攻击图,“应用智能,36卷,不。2、369 - 390年,2012页。视图:出版商的网站|谷歌学术搜索
汗和帕金森,“审核状态的艺术漏洞评估使用人工智能,”计算机网络和系统的脆弱性分析指南施普林格,德国海德堡2018。视图:出版商的网站|谷歌学术搜索
d . r . McKinnel t . Dargahi a . Dehghantanha K.-K。r . Choo”系统文献回顾和荟萃分析人工智能在渗透测试和脆弱性评估,”计算机与电气工程卷,75年,第188 - 175页,2019年。视图:出版商的网站|谷歌学术搜索
t·阿拉”A2G2V:自动攻击图生成和可视化及其应用计算机和SCADA网络,”IEEE系统,人,和控制论:系统,50卷,第3498 - 3488页,2019年。视图:谷歌学术搜索
m . Cheminod l·杜兰特、l . Seno和a . Valenzano”检测的攻击基于工业网络系统已知的漏洞,“《信息安全与应用程序34卷,第165 - 153页,2017年。视图:出版商的网站|谷歌学术搜索
吴,y,和w·曹”网络安全评估使用基于语义推理和图形的方法,”计算机与电气工程卷,64年,第109 - 96页,2017年。视图:出版商的网站|谷歌学术搜索
m .井口y研究员合作,美国木下光男et al .,“设计过程实际的攻击图生成的知识库”学报2019年ACM亚洲计算机和通信安全会议上新西兰,奥克兰,2019年7月。视图:出版商的网站|谷歌学术搜索
o·斯坦,r . Bitton m . Ezrets et al .,“延长攻击图来表示网络攻击在通信协议和现代网络,”IEEE可靠和安全的计算,2020年。视图:出版商的网站|谷歌学术搜索
t . Gonda r . Puzis, b . Shapira“可伸缩的攻击路径寻找增加安全,”学报》国际会议网络安全加密和机器学习施普林格,贝尔谢巴,以色列,2017年7月。视图:出版商的网站|谷歌学术搜索
b . Bezawada即射线,k . Tiwary”AGBuilder:一个AI工具自动攻击图,分析,和细化,”联合会年会的程序数据和应用程序的安全性和隐私美国SC Springer,查尔斯顿,2019年7月。视图:出版商的网站|谷歌学术搜索
r·米尔斯基y .您好,a . Majadly y加,r . Puzis和a . Felner”新目标识别算法使用攻击图”《网络安全国际研讨会密码学和机器学习施普林格,比尔,以色列,2019年6月。视图:出版商的网站|谷歌学术搜索
z z Yichao,天洋、g .小越和w·清闲,“一种改进的攻击路径发现算法通过紧凑的图的规划,“IEEE访问7卷,第59356 - 59346页,2019年。视图:出版商的网站|谷歌学术搜索
k . Kaynar和f . Sivrikaya分布式攻击图的一代。”IEEE可靠和安全的计算,13卷,不。5,519 - 532年,2015页。视图:谷歌学术搜索
曹h·李,王y, y,“向前搜索完整的基于超图划分的攻击图生成算法,”Procedia计算机科学卷。107年,27-38,2017页。视图:出版商的网站|谷歌学术搜索
曹n、k Lv和c·胡”的攻击图生成方法基于并行计算,”《网络安全的国际科学会议2018年8月,施普林格,北京,中国,。视图:出版商的网站|谷歌学术搜索
刘y y, z . Liu, c .侗族“基于过程挖掘的分布式攻击建模方法和图像分割,“熵,22卷,不。9篇文章ID 1026 2020。视图:出版商的网站|谷歌学术搜索
j·李,d .月亮,即金正日,y李,“语义的方法来提高机器大规模攻击图的可读性,”《华尔街日报》的超级计算,卷75,不。6,3028 - 3045年,2019页。视图:出版商的网站|谷歌学术搜索
凌毛x, m . Ekstedt大肠,大肠Ringdahl,和l·罗伯特,”概念的抽象攻击graphs-A securiCAD的用例,”国际研讨会的程序图形化模型的安全美国新泽西,施普林格,霍博肯,2019年6月。视图:出版商的网站|谷歌学术搜索
m . s . Barik和c . Mazumdar”图数据模型的攻击图生成和分析,”国际会议的程序在计算机网络和分布式系统安全施普林格,特里凡得琅印度,2014年3月。视图:出版商的网站|谷歌学术搜索
s . Noel e·哈雷k h . Tam m . Limiero和m .分享“CyGraph。”统计手册35卷,爱思唯尔,阿姆斯特丹,荷兰,2016年。视图:出版商的网站|谷歌学术搜索
n . Polatidis m . Pavlidis, h . Mouratidis”在动态供应链网络攻击路径发现海上风险管理系统,“计算机标准和接口,56个卷,第82 - 74页,2018年。视图:出版商的网站|谷歌学术搜索
b .元,z盘、f·史和z,“攻击路径生成方法基于图形数据库,”学报2020年IEEE 4日信息技术、网络、电子和自动化控制会议(ITNEC)IEEE,卷。1日,重庆,中国,2020年6月。视图:出版商的网站|谷歌学术搜索

安全性和通信网络