基于属性和区块链的工业控制系统访问控制方法研究
这是一篇关于工业控制系统,属性加密,多属性决策,跨域访问,微服务的论文, 主要内容为近年来,工业控制系统(Industrial Control System,ICS)呈现层次化、异构化、分布式的特点,开放的分布式环境中关于ICS的安全问题不断发生。传统的访问控制技术在互联网安全防护领域已经取得了广泛的应用,但是在ICS多任务协作场景下存在细粒度访问控制力度不足、跨域访问控制安全性不强等问题。论文对工业控制系统访问控制相关属性进行研究,通过对传统访问控制模型进行改进,结合多属性决策、区块链等技术主要对ICS环境下多任务协作过程和跨域数据共享过程中的访问控制方法开展了研究。主要研究工作如下:1.针对ICS在协作环境中存在各种权限转接、权限频繁变动而导致的无法进行细粒度的访问控制等问题,提出了一种基于多属性决策的ICS访问控制模型(Multi Attribute Task-Based Access Control Model,MATRBAC)。该模型首先通过引入多属性决策算法熵权TOPSIS算法对访问控制中环境、资源、任务等多属性因素进行评估分析,动态反应协作过程中任务权限变更的风险值;然后通过分析用户的历史访问记录,提出了一种计算用户信任值的算法来动态调整用户的访问权限;最后实验结果表明,该模型可满足ICS多任务协作环境下的动态授权和细粒度访问控制需求,相较于现有模型具有更好的权限描述能力。2.针对传统ICS跨域访问需要在可信第三方的中心化服务器上进行而导致的信息泄露、存在性能上限、容易遭受攻击等问题,提出了一种基于区块链的ICS跨域访问控制模型。该模型首先利用区块链在安全和去中心化方面的优势,将区块链集成在基于属性的访问控制架构中,并利用区块链进行授权决策,使得跨域访问控制更加公平可信、可验证和去中心化;然后提出了一种通用属性库映射策略,避免了不同域之间的属性直接映射而造成的属性信息泄露;最后利用区块链技术设计了一种去中心化的CP-ABE授权架构(BDCP-ABE),并将其与XACML标准相结合,有效保护了ICS跨域访问过程中信息的隐私性。实验结果表明,所提方案具有较高的效率和安全性。3.为了证明论文所提出方案的可行性,并减轻管理员的监管负担,基于微服务架构,设计实现了一个面向ICS的权限授权与监管系统。首先将系统进行模块拆分为基于多属性决策的访问控制服务、基于区块链的跨域访问控制服务两个服务;然后使用Spring Cloud来构建微服务系统架构,并对每个服务进行独立部署;最后基于微服务的设计原则,将论文第3、4章所提出的MATRBAC模型和DABAC模型集成到微服务系统架构,对每个服务单独开发测试。测试结果表明,该系统能够实现ICS安全稳定的权限授权与监管,并具有良好的可扩展性。
基于Suricata的工业控制协议的研究与实现
这是一篇关于工业控制系统,工业网络安全,协议分析,工业控制协议的论文, 主要内容为近年来,针对工业网络的攻击事件越来越频繁,工业网络安全研究重要性日益提高。工业网络安全的重点在于工业控制协议,工业控制协议的研究核心在于对种类繁多的协议进行解析,获取工业生产过程中产生的大量参数。为了解析当前常用的通用协议和具备协议格式文档的私有协议,本文设计并实现了工业控制协议解析系统IPAS(Industrial Protocol Analysis System)。本文首先介绍了工业控制系统的相关背景、发展现状和安全概述,并对工业控制协议进行简单介绍和分类。接下来本文研究并分析了国内外相关软件产品,分析了 IPAS的应用前景。其次介绍了入侵检测引擎Suricata,负责网络报文的检测、解析和结果输出工作,列举了系统开发环境和相关web开发技术,为具体实现做好准备。此外,本文针对IPAS进行了需求分析。针对系统设计实现目标,分析了系统用户、功能性需求与非功能性需求。对系统进行总体设计,设计系统总体架构,将系统功能模块划分为协议解析模块与数据管理模块,设计了系统数据库、界面展示和后台接口。最后本文针对各个功能模块做了详细设计与实现。针对系统不同模块的技术环境进行不同配置,分别配置了 Suricata环境与SSM框架。完成系统开发工作后针对各模块进行了功能测试,测试结果显示该系统可解析常见工业控制协议并具备数据维护能力。
基于Suricata的工业控制协议的研究与实现
这是一篇关于工业控制系统,工业网络安全,协议分析,工业控制协议的论文, 主要内容为近年来,针对工业网络的攻击事件越来越频繁,工业网络安全研究重要性日益提高。工业网络安全的重点在于工业控制协议,工业控制协议的研究核心在于对种类繁多的协议进行解析,获取工业生产过程中产生的大量参数。为了解析当前常用的通用协议和具备协议格式文档的私有协议,本文设计并实现了工业控制协议解析系统IPAS(Industrial Protocol Analysis System)。本文首先介绍了工业控制系统的相关背景、发展现状和安全概述,并对工业控制协议进行简单介绍和分类。接下来本文研究并分析了国内外相关软件产品,分析了 IPAS的应用前景。其次介绍了入侵检测引擎Suricata,负责网络报文的检测、解析和结果输出工作,列举了系统开发环境和相关web开发技术,为具体实现做好准备。此外,本文针对IPAS进行了需求分析。针对系统设计实现目标,分析了系统用户、功能性需求与非功能性需求。对系统进行总体设计,设计系统总体架构,将系统功能模块划分为协议解析模块与数据管理模块,设计了系统数据库、界面展示和后台接口。最后本文针对各个功能模块做了详细设计与实现。针对系统不同模块的技术环境进行不同配置,分别配置了 Suricata环境与SSM框架。完成系统开发工作后针对各模块进行了功能测试,测试结果显示该系统可解析常见工业控制协议并具备数据维护能力。
基于属性和区块链的工业控制系统访问控制方法研究
这是一篇关于工业控制系统,属性加密,多属性决策,跨域访问,微服务的论文, 主要内容为近年来,工业控制系统(Industrial Control System,ICS)呈现层次化、异构化、分布式的特点,开放的分布式环境中关于ICS的安全问题不断发生。传统的访问控制技术在互联网安全防护领域已经取得了广泛的应用,但是在ICS多任务协作场景下存在细粒度访问控制力度不足、跨域访问控制安全性不强等问题。论文对工业控制系统访问控制相关属性进行研究,通过对传统访问控制模型进行改进,结合多属性决策、区块链等技术主要对ICS环境下多任务协作过程和跨域数据共享过程中的访问控制方法开展了研究。主要研究工作如下:1.针对ICS在协作环境中存在各种权限转接、权限频繁变动而导致的无法进行细粒度的访问控制等问题,提出了一种基于多属性决策的ICS访问控制模型(Multi Attribute Task-Based Access Control Model,MATRBAC)。该模型首先通过引入多属性决策算法熵权TOPSIS算法对访问控制中环境、资源、任务等多属性因素进行评估分析,动态反应协作过程中任务权限变更的风险值;然后通过分析用户的历史访问记录,提出了一种计算用户信任值的算法来动态调整用户的访问权限;最后实验结果表明,该模型可满足ICS多任务协作环境下的动态授权和细粒度访问控制需求,相较于现有模型具有更好的权限描述能力。2.针对传统ICS跨域访问需要在可信第三方的中心化服务器上进行而导致的信息泄露、存在性能上限、容易遭受攻击等问题,提出了一种基于区块链的ICS跨域访问控制模型。该模型首先利用区块链在安全和去中心化方面的优势,将区块链集成在基于属性的访问控制架构中,并利用区块链进行授权决策,使得跨域访问控制更加公平可信、可验证和去中心化;然后提出了一种通用属性库映射策略,避免了不同域之间的属性直接映射而造成的属性信息泄露;最后利用区块链技术设计了一种去中心化的CP-ABE授权架构(BDCP-ABE),并将其与XACML标准相结合,有效保护了ICS跨域访问过程中信息的隐私性。实验结果表明,所提方案具有较高的效率和安全性。3.为了证明论文所提出方案的可行性,并减轻管理员的监管负担,基于微服务架构,设计实现了一个面向ICS的权限授权与监管系统。首先将系统进行模块拆分为基于多属性决策的访问控制服务、基于区块链的跨域访问控制服务两个服务;然后使用Spring Cloud来构建微服务系统架构,并对每个服务进行独立部署;最后基于微服务的设计原则,将论文第3、4章所提出的MATRBAC模型和DABAC模型集成到微服务系统架构,对每个服务单独开发测试。测试结果表明,该系统能够实现ICS安全稳定的权限授权与监管,并具有良好的可扩展性。
面向工业控制系统的攻击图生成系统设计与实现
这是一篇关于攻击图生成,工业控制系统,网络等价表示,三维可视化的论文, 主要内容为攻击图生成是通过建模获取目标网络潜在攻击路径的技术。攻击图主要用于分析目标网络的安全威胁,从而采取针对性的安全防护措施,节约安全防护成本。攻击图生成技术作为基于攻击图的网络安全评估的基础,具有十分重要的研究意义。本文主要研究将攻击图技术应用于工业控制系统(Industrial Control System,ICS)场景的方法。通过分析工控病毒攻击机理与工控网络的形式化表示方法,提出并实现了基于漏洞关联的攻击图生成算法,提高了攻击图生成的效率。根据攻击图的结构特点,设计并实现了攻击图的三维可视化系统,优化了攻击图的可视化效果。首先,分析了常见工业病毒的攻击机理,研究了漏洞数据收集方法,并生成了漏洞数据集,为攻击图生成提供了理论与数据基础。具体而言,对比分析了常见工业病毒的攻击特点、攻击目标和攻击路径,作为漏洞关联分析和攻击路径生成的理论基础;采用分布式爬虫技术收集漏洞数据,形成了离线的漏洞数据集,作为攻击图生成的数据基础;在爬取的两千多条漏洞数据中提取关键词,结合各个漏洞的攻击特点和漏洞利用产生的影响进行漏洞的预分类处理,作为攻击路径生成的必要前提。其次,提出了ICS网络的等价表示策略和基于等价表示的网络生成方法,将攻击图生成所需要的网络信息用等价表示的方法转化为数字信息。实验表明,该方法能够满足基于漏洞关联的攻击图生成,同时,等价的ICS网络也是攻击图可视化的载体。再次,提出了基于设备内漏洞关联的全局攻击图生成方法和基于攻击过程的局部攻击图生成方法。前者实现了设备级和漏洞级攻击路径的结合,为攻击图复杂度的管理提供了新的思路;后者实现了基于确定起点和攻击目标的攻击路径生成,解决了全局攻击图攻击目标不明确的问题。最后,设计并实现了面向工业控制系统的攻击图生成系统和分布式网络爬虫系统。其中,分布式爬虫系统主要为攻击图生成提供数据基础。攻击图生成系统集成了ICS网络等价生成、全局攻击图生成、局部攻击图生成等功能,实现了基于Web GL的三维可视化,为攻击图生成与可视化提供了新的思路。
面向工业控制系统的标识密码认证技术研究
这是一篇关于工业控制系统,信息安全,可编程逻辑控制器,SSL/TLS握手协议,身份认证的论文, 主要内容为随着智能制造技术的不断发展,传统的工业控制系统和互联网的融合度越来越高,让工业控制系统的信息安全问题也越来越严重。在工业控制系统的结构体系中,现场设备层中的数据最为重要,PLC(Programmable Logic Controller,可编程逻辑控制器)作为该层次的核心设备面临的安全形势更加严峻。但是在传统的控制系统中PLC控制器处于整个系统的最底层,在应用场景中几乎没有任何安全防护措施,很容易遭到外来人员的攻击,进而泄露系统的数据信息,因此迫切地需要研究和完善工业场景中的身份认证技术,提高工业控制系统的安全防护能力。针对上述问题,本文首先利用OpenSSL中的引擎机制向SSL密码库中添加基于身份标识的数字签名算法,并根据该标识密码算法对SSL/TLS握手协议进行改进。利用改进后的握手协议和工业控制系统的结构体系设计了适用于工业控制系统的身份认证方案。并对认证方案中关键功能进行了分块设计与实现,包括密钥生成模块、数字签名生成模块和数字签名验签模块。然后,根据自主研制的可信PLC设备的整体设计,实现了可信PLC设备的功能调用。结合可信PLC设备对整个身份认证系统进行了设计,包括整体的结构模型设计和各个功能的分块模型设计。最后基于改进后的握手协议和认证系统的硬件设备实现了认证系统的安全通信过程。最后,建立测试环境,对改进后的安全协议进行实现,测试并分析了身份认证系统的可行性和安全性。本文以实验室自主研发的安全设备为背景,对传统的SSL/TLS握手协议进行了改进,并基于改进后的安全协议设计了适用于工业控制系统的身份认证方案,实现了系统中设备间的身份认证过程,可以防止非法外来人员入侵控制系统,保护系统的敏感资源,为工业控制系统的提供一定的安全防护功能。同时改进后的安全协议简化了认证步骤,省去了数字证书的认证部分,减少了系统的维护量,提高了系统的认证效率。
基于Suricata的工业控制协议的研究与实现
这是一篇关于工业控制系统,工业网络安全,协议分析,工业控制协议的论文, 主要内容为近年来,针对工业网络的攻击事件越来越频繁,工业网络安全研究重要性日益提高。工业网络安全的重点在于工业控制协议,工业控制协议的研究核心在于对种类繁多的协议进行解析,获取工业生产过程中产生的大量参数。为了解析当前常用的通用协议和具备协议格式文档的私有协议,本文设计并实现了工业控制协议解析系统IPAS(Industrial Protocol Analysis System)。本文首先介绍了工业控制系统的相关背景、发展现状和安全概述,并对工业控制协议进行简单介绍和分类。接下来本文研究并分析了国内外相关软件产品,分析了 IPAS的应用前景。其次介绍了入侵检测引擎Suricata,负责网络报文的检测、解析和结果输出工作,列举了系统开发环境和相关web开发技术,为具体实现做好准备。此外,本文针对IPAS进行了需求分析。针对系统设计实现目标,分析了系统用户、功能性需求与非功能性需求。对系统进行总体设计,设计系统总体架构,将系统功能模块划分为协议解析模块与数据管理模块,设计了系统数据库、界面展示和后台接口。最后本文针对各个功能模块做了详细设计与实现。针对系统不同模块的技术环境进行不同配置,分别配置了 Suricata环境与SSM框架。完成系统开发工作后针对各模块进行了功能测试,测试结果显示该系统可解析常见工业控制协议并具备数据维护能力。
面向工业控制系统安全的分层评估系统设计与实现
这是一篇关于工业控制系统,攻击图扩展,关键攻击步骤,分层安全评估的论文, 主要内容为随着工业智能化时代的到来以及攻击技术的快速发展,工业控制系统正面临着严重的安全问题。工业控制系统暴漏的漏洞数量逐年上升,同时针对工业控制系统的攻击事件层出不穷,因此针对工业控制系统的安全研究迫在眉睫。针对工业控制系统的安全评估能够帮助用户了解系统的安全性,掌握系统的脆弱点以及威胁性。本文针对工业控制系统安全的分层评估技术进行研究,并完成了分层评估系统的设计。基于攻击图对系统威胁性建模,动态评估系统威胁性。通过计算攻击图中的关键攻击步骤获取漏洞修复优先级。在此基础上分层次评估系统的脆弱性与威胁性。主要研究内容如下:针对传统攻击图无法反映系统实时威胁信息的问题,本文利用漏洞与警报的实时威胁信息分别对攻击图进行扩展。利用漏洞的可利用性得分构建吸收马尔可夫攻击图,刻画系统面临的威胁。利用警报的实时威胁信息构建警报关联攻击图,并提出预测算法获取警报相关的威胁信息,利用隐含马尔可夫模型感知系统威胁。针对目前关键攻击步骤求解无法适配工业控制系统的问题,本文融入工业控制系统特性定义攻击步骤的关键性得分。首先,基于割集求解最小的可阻断攻击的攻击步骤集合。其次融入工业控制系统中设备的服务影响对割集评分,并选取最优的攻击步骤集合。最后综合攻击者选择攻击步骤的可能性以及攻击步骤成功的概率对攻击步骤进行关键性评分,选取关键攻击步骤。针对安全评估指标过少的问题,本文提出一种针对工业控制系统的分层评估模型。该模型从系统的脆弱性以及威胁性出发,分层评估系统的安全性。在系统脆弱性评估方面,利用攻击步骤的关键性得分获取排序因子,结合漏洞修复收益定义攻击防御评分,完成系统脆弱性的量化。在系统威胁性评估方面,对系统安全状态、目前攻击阶段、攻击类别等威胁性信息量化,利用量化后的信息计算系统威胁性评估得分。在上述研究内容的支持下,实现了面向工业控制系统安全的分层评估系统,并对系统进行功能测试。测试表明该系统能够准确的预测系统面临的威胁性信息,以及为漏洞修复提供建议,完成系统的威胁性与脆弱性评估。
基于属性和区块链的工业控制系统访问控制方法研究
这是一篇关于工业控制系统,属性加密,多属性决策,跨域访问,微服务的论文, 主要内容为近年来,工业控制系统(Industrial Control System,ICS)呈现层次化、异构化、分布式的特点,开放的分布式环境中关于ICS的安全问题不断发生。传统的访问控制技术在互联网安全防护领域已经取得了广泛的应用,但是在ICS多任务协作场景下存在细粒度访问控制力度不足、跨域访问控制安全性不强等问题。论文对工业控制系统访问控制相关属性进行研究,通过对传统访问控制模型进行改进,结合多属性决策、区块链等技术主要对ICS环境下多任务协作过程和跨域数据共享过程中的访问控制方法开展了研究。主要研究工作如下:1.针对ICS在协作环境中存在各种权限转接、权限频繁变动而导致的无法进行细粒度的访问控制等问题,提出了一种基于多属性决策的ICS访问控制模型(Multi Attribute Task-Based Access Control Model,MATRBAC)。该模型首先通过引入多属性决策算法熵权TOPSIS算法对访问控制中环境、资源、任务等多属性因素进行评估分析,动态反应协作过程中任务权限变更的风险值;然后通过分析用户的历史访问记录,提出了一种计算用户信任值的算法来动态调整用户的访问权限;最后实验结果表明,该模型可满足ICS多任务协作环境下的动态授权和细粒度访问控制需求,相较于现有模型具有更好的权限描述能力。2.针对传统ICS跨域访问需要在可信第三方的中心化服务器上进行而导致的信息泄露、存在性能上限、容易遭受攻击等问题,提出了一种基于区块链的ICS跨域访问控制模型。该模型首先利用区块链在安全和去中心化方面的优势,将区块链集成在基于属性的访问控制架构中,并利用区块链进行授权决策,使得跨域访问控制更加公平可信、可验证和去中心化;然后提出了一种通用属性库映射策略,避免了不同域之间的属性直接映射而造成的属性信息泄露;最后利用区块链技术设计了一种去中心化的CP-ABE授权架构(BDCP-ABE),并将其与XACML标准相结合,有效保护了ICS跨域访问过程中信息的隐私性。实验结果表明,所提方案具有较高的效率和安全性。3.为了证明论文所提出方案的可行性,并减轻管理员的监管负担,基于微服务架构,设计实现了一个面向ICS的权限授权与监管系统。首先将系统进行模块拆分为基于多属性决策的访问控制服务、基于区块链的跨域访问控制服务两个服务;然后使用Spring Cloud来构建微服务系统架构,并对每个服务进行独立部署;最后基于微服务的设计原则,将论文第3、4章所提出的MATRBAC模型和DABAC模型集成到微服务系统架构,对每个服务单独开发测试。测试结果表明,该系统能够实现ICS安全稳定的权限授权与监管,并具有良好的可扩展性。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:源码客栈 ,原文地址:https://bishedaima.com/lunwen/53263.html
