本文首先介绍了6个著名的攻击，然后设计了一个评估框架，其复杂性和事件后果ICS威胁水平，并定义相应的评估指标进行评分。

网络攻击过程一般可分为传播、激活、载体、隐藏、攻击发射五个阶段。如下图所示。在传播阶段，首先确定攻击目标，并将恶意文件上传到受害者机器上。所有尝试识别，凭证访问都可以归类到这个阶段。恶意文件传输到目标主机后，进入激活阶段。在这个阶段，恶意软件试图通过卸载/禁用安全软件来逃避安全软件的检测。激活阶段是包括提权和执行操作的。恶意软件一旦成功交付，目标主机上的恶意软件将得到有效负载，恶意软件的执行可以通过用户执行完成，如打开恶意文件或链接。在隐藏阶段，敌人会尽量保持上一阶段获得的连接点，保持连接点的访问和配置。如更换或劫持合法代码或添加启动代码。这个阶段最长，可能持续几天、一周甚至更长。隐藏阶段的恶意软件是无害的，敌人会横向移动受害者主机的网络，以找到合适的攻击位置。在攻击发射阶段，攻击者将发起实际的破坏和网络破坏。为了破坏数据数据的完整性，攻击者将试图操纵或中断工业系统。

stuxnet2010年，震网病毒攻击伊朗核设施。这是一种无需互联网访问即可传播的蠕虫病毒。该病毒的目标是修改工业控制系统PLC运行代码使其偏离预期行为。修改PLC中间的代码使离心机旋转过快，这个过程持续了很长时间，造成设备损坏，同时也向前移动HMI发送虚假信号使系统认为一切正常。 stuxnet利用了windows几个远程代码执行漏洞，其中至少三个是零日漏洞，即MS08-067 RPC，MS10-046 LNK 和MS10-061 Spool Server。当恶意软件首次加载时，他会评估受害者的兼容性（如windows确定反病毒版本。为逃避检测，stuxnet为防止检测，stuxnet改变了受害者系统中的安全检测机制。修改了PLC发送发送数据HMI将修改后的信息显示给操作员，使所有信息看起来正常并安装stuxnet之后，它会s7otbxdx.dll重命名为s7otbxsx.dll。然后用自己版本的文件替换s7otbxdx.dll。这样的操作就实现了stuxnet拦截控制器和PLC通信。

BlackEnergy是恶意软件集。BlackEnergy-1是用于DDoS攻击的基于HTTP僵尸网络，BlackEnergy-由不同块化，由不同的组件组成。本版主要用于数据盗窃。BlackEnergy-3允许使用影响系统资源正常使用的各种插件。例如，在2015年，乌克兰因使用恶意软件访问电力公司的公司网络而停电，然后转移到乌克兰SCADA网络中。恶意软件中有一个感染模块，可以搜索任何与网络相连的文件或移动媒体。这些介质可以帮助恶意软件在网络中横向移动。它有一个远程过程调用模块，在恶意程序被调用后没有立即发送攻击，而是在所需的时间内潜伏、侦察和攻击。在攻击过程中，攻击者使用多个插件，如scan.dll(网络扫描)，kl.dll(密钥记录)， vs.dll(网络发现和远程执行)，ss.dll(屏幕截图)，ps.dll(密码窃取器)，rd.dll(远程桌面)

Triton2017年被发现是沙特石油和天然气厂控制系统的恶意软件。它专门针对安全仪器系统（SIS）。SIS始终检测系统，如果超过定义危险状态的值，SIS试图将过程恢复到安全状态或安全关闭过程。Triton由四个组件组成，即trilog.exe，libraries.zip，inject.bin和imain.bin。triton用来查看Windows OS上运行的工作站日志。libries…zip包括许多编译python文件。inject.bin包括使用零日漏洞的代码。imain.bin用于在安全控制器上读写内存，并在固件中的任何地址执行代码。trilog.exe它是加载到工作站后的核心模块inject.bin和imain.bin并将构建加载程序trition将其传输到包含加载器模块的目标中。

Irongate使用多阶段恶意程序python编写。该程序旨在操纵西门子控制系统环境中运行的特定工业流程。Irongate其核心特征是针对性的IO中间人攻击。和stuxnet类似地，它被替换了dll，在PLC监控模块(如HMI）充当中间人。这个恶意的dll记录了从PLC将不同的数据发送回用户界面5秒内的正常流量PLC重播时，允许攻击者改变不知情的控制过程。

Havex预测访问木马程序。手机敏感信息，盗窃数据上传到C&C服务器。为了感染目标，Havex木马安装程序通过电子邮件或恶意连接注入。Havex将dll将模块添加到受害者网站中，可以收集受害者和本地网络中其他机器的信息、密码等。

将危害权重定义为0.1-0.3。0.战略有效，但不是很复杂。.2和0.3分别表示中和的高影响和危害。下表显示了五个攻击阶段的机器权重策略。第一列表示五个攻击状态，第二列表示每个攻击状态下可执行的操作，第三列表示每个操作的权重，第四项表示所涉及的技术，第五列表示指标TI计算得分结果。 根据不同威胁性网络事件的划分量化，TS(威胁得分)来划分。TS小于0.分为低风险.1<TS<0.2分为中风险，0.2<TS<0.五分为高风险.5<TS<1分为极端危险模型。管理员可以根据TS得分做出不同程度的响应。

这六种攻击的得分如下表所示： TCH列表对每一个ICS处理网络攻击的技术策略数量。比较i这6个网络攻击，stuxnet最复杂的，包括11种策略和37种技术。Crashoverride，Blackenergy和Triton30、29和29种技术分别使用。Havex和IRongate分别用于23和19种技术；

结合攻击的五个阶段，比较这六种网络攻击： 在传播阶段（Propagation），Irongate专注于识别受害者网络，而不是注入。Irongate使用了6种技术取识别受害者网络，没有设计相应的技术去注入。 在激活阶段（Activation），Stuxnet它使用五种技术来避免扫描防护系统，并使用六种技术来执行一些漏洞。Stuxnet和Triton现阶段都使用了零日漏洞，Crashoverride和Triton不使用能提权的漏洞。 在Carrier阶段，Irongate现阶段比较沉默，不会拿主动手机用户数据。Triton和Havex在这个阶段窃取用户数据。 在隐藏阶段（Concealmen），相比其他4种网络攻击，Stuxnet和BLackEnergy性能更好。 在攻击的最后阶段（attack launching），Crashoverride九种不同的技术可以用来影响受害者网络，它可以启动包括但不限于数据擦除，DOS，修改配置文件的操作。