基于貝葉斯推理的鐵路信號安全數(shù)據(jù)網(wǎng)信息安全動態(tài)風(fēng)險(xiǎn)評估

廖元媛，王劍,2,3，田開元，王旭煜，蔡伯根,3

(1. 北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；2. 北京交通大學(xué) 軌道交通控制與安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100044；3. 北京市軌道交通電磁兼容與衛(wèi)星導(dǎo)航工程技術(shù)研究中心，北京 100044；4. 北京華鐵信息技術(shù)有限公司，北京 100081)

鐵路信號系統(tǒng)是集計(jì)算機(jī)技術(shù)、通信技術(shù)和控制技術(shù)于一體的行車指揮、列車運(yùn)行控制和管理自動化系統(tǒng)，是列車在高速度、高密度條件下安全運(yùn)行的重要保障。鐵路信號安全數(shù)據(jù)網(wǎng)是鐵路信號系統(tǒng)的重要組成部分，其可靠性和安全性與行車安全直接相關(guān)。

近年來，軌道交通系統(tǒng)面臨的信息安全威脅日益增加，2008年波蘭羅茲市有軌電車運(yùn)營調(diào)度系統(tǒng)被黑客入侵，導(dǎo)致車廂脫軌，12名乘客受傷；2012年上海申通地鐵車站信息發(fā)布系統(tǒng)和運(yùn)行調(diào)度系統(tǒng)無線網(wǎng)絡(luò)遭到攻擊[1]；2016年美國舊金山輕軌售票系統(tǒng)遭遇黑客攻擊勒索。軌道交通面臨的信息安全問題愈發(fā)嚴(yán)峻且后果嚴(yán)重，針對信號安全數(shù)據(jù)網(wǎng)的信息安全風(fēng)險(xiǎn)分析具有重要意義。

圖1 鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)

軌道交通領(lǐng)域的信息安全風(fēng)險(xiǎn)評估引起了國內(nèi)外研究人員的廣泛關(guān)注，Smith等[2]以澳大利亞鐵路為例，分析安全關(guān)鍵系統(tǒng)中的信息安全和數(shù)據(jù)保護(hù)；Bloomfield等[3]從攻擊方式、攻擊場景、后果等方面，對歐洲鐵路運(yùn)輸系統(tǒng)(European Railway Traffic Management System, ERTMS)進(jìn)行了風(fēng)險(xiǎn)評估；羅珍珍[4]基于D-S證據(jù)理論及層次分析法，融合多方面信息安全因素進(jìn)行了鐵路信號系統(tǒng)信息安全態(tài)勢感知研究；董慧宇等[1，5]針對基于通信的列車運(yùn)行控制(Communication-Based Train Control, CBTC) 系統(tǒng)完成了基于攻擊樹的脆弱性評估，并采用二維結(jié)構(gòu)熵對攻擊成功后影響傳播過程中的系統(tǒng)狀態(tài)進(jìn)行了動態(tài)評估；付淳川等[6]基于組件的信息安全屬性模型 (Component Model Based on Security Attributes, CMOSA)對列控中心信息安全風(fēng)險(xiǎn)進(jìn)行了評估；鄺香琦[7]、馬洋洋等[8]利用貝葉斯攻擊圖模型評估CBTC系統(tǒng)信息安全風(fēng)險(xiǎn)；王洪偉等[9]基于彈性理論描述信息安全攻擊下CBTC系統(tǒng)的魯棒性及恢復(fù)能力，從而完成系統(tǒng)信息安全評估。上述研究分析了軌道交通信息安全威脅并完成了系統(tǒng)靜態(tài)風(fēng)險(xiǎn)評估，但多集中在城市軌道交通領(lǐng)域，對鐵路信號安全數(shù)據(jù)網(wǎng)分析較少。同時(shí)，鐵路信號系統(tǒng)持續(xù)運(yùn)行過程中，網(wǎng)絡(luò)狀態(tài)及風(fēng)險(xiǎn)隨著設(shè)備偶然故障或惡意攻擊變化，上述研究無法很好地完成網(wǎng)絡(luò)攻擊過程中的動態(tài)風(fēng)險(xiǎn)評估工作。

風(fēng)險(xiǎn)評估是識別系統(tǒng)信息安全威脅及脆弱性，并進(jìn)行定性或定量分析確定風(fēng)險(xiǎn)大小的過程[10]。動態(tài)風(fēng)險(xiǎn)評估是在風(fēng)險(xiǎn)評估基礎(chǔ)上考慮實(shí)時(shí)攻擊對系統(tǒng)狀態(tài)的動態(tài)調(diào)節(jié)。貝葉斯攻擊圖模型在動態(tài)風(fēng)險(xiǎn)評估領(lǐng)域應(yīng)用廣泛，在互聯(lián)網(wǎng)[11-12]及工業(yè)控制系統(tǒng)[13-14]信息安全動態(tài)風(fēng)險(xiǎn)評估中有著廣泛應(yīng)用，其在攻擊圖的基礎(chǔ)上考慮攻擊不確定性，并根據(jù)實(shí)時(shí)攻擊信息更新模型參數(shù)完成系統(tǒng)風(fēng)險(xiǎn)動態(tài)評估[15]。互聯(lián)網(wǎng)領(lǐng)域貝葉斯攻擊圖主要關(guān)注信息安全域影響，以獲得主機(jī)權(quán)限、中斷通信等作為攻擊目標(biāo)。針對鐵路信號系統(tǒng)的攻擊大多以損害功能安全為目的，如設(shè)備運(yùn)行故障、列車安全事故等。同時(shí)，信號安全數(shù)據(jù)網(wǎng)設(shè)備采用故障-安全的設(shè)計(jì)原則，關(guān)鍵設(shè)備冗余配置，建模分析存在特殊性，需要對其風(fēng)險(xiǎn)分析方法進(jìn)行針對性研究。

本文綜合考慮上述問題，提出一種基于擴(kuò)展貝葉斯攻擊圖的動態(tài)風(fēng)險(xiǎn)評估方法。首先基于信息安全域的多步攻擊流程及不確定性建立擴(kuò)展貝葉斯攻擊圖模型，再結(jié)合功能安全域事故影響量化系統(tǒng)風(fēng)險(xiǎn)，最后根據(jù)檢測設(shè)備告警數(shù)據(jù)更新網(wǎng)絡(luò)節(jié)點(diǎn)置信度完成動態(tài)風(fēng)險(xiǎn)評估，并通過仿真實(shí)驗(yàn)驗(yàn)證了該方法的有效性。

1 鐵路信號安全數(shù)據(jù)網(wǎng)信息安全現(xiàn)狀

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)見圖1[15]。它包括網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)設(shè)備，以及通過網(wǎng)絡(luò)設(shè)備連接的列控中心(Train Control System, TCC)、計(jì)算機(jī)聯(lián)鎖系統(tǒng)(Computer based Interlocking System, CBI)、臨時(shí)限速服務(wù)器(Temporary Speed Restriction Server, TSRS)、無線閉塞中心(Radio Block Center, RBC)等。采用故障-安全設(shè)計(jì)原則，關(guān)鍵設(shè)備冗余配置，一系故障時(shí)觸發(fā)控制單元切換至另一系運(yùn)行。

信號安全數(shù)據(jù)網(wǎng)采用赫茲曼或東土等公司工業(yè)級以太網(wǎng)交換機(jī)通過專用單模光纖連接構(gòu)成冗余環(huán)網(wǎng)，并分別采用獨(dú)有的HIPER-Ring及DT-Ring等環(huán)網(wǎng)冗余技術(shù)，保證環(huán)網(wǎng)自愈恢復(fù)時(shí)間不超過50 ms。根據(jù)通信業(yè)務(wù)類型不同，信號安全數(shù)據(jù)網(wǎng)劃分為“管理”和“業(yè)務(wù)”兩個VLAN，分別對應(yīng)網(wǎng)管數(shù)據(jù)及信號設(shè)備信息傳輸，兩個VLAN區(qū)域間設(shè)備不能直接通信。

1.2 安全威脅

鐵路信號安全數(shù)據(jù)網(wǎng)屬于物理封閉網(wǎng)絡(luò)，然而移動設(shè)備接入、維護(hù)人員的工作計(jì)算機(jī)接入以及內(nèi)部人員攻擊等都可能對其形成威脅。信號設(shè)備通用架構(gòu)見圖2，主要包含邏輯處理單元、對外通信模塊、維護(hù)終端、上位機(jī)及輸入輸出單元等，其中存在部分專用或定制化部件，邏輯處理單元采用二乘二取二或三取二架構(gòu)，網(wǎng)絡(luò)連接冗余組網(wǎng)。

經(jīng)現(xiàn)場調(diào)研發(fā)現(xiàn)，信號安全數(shù)據(jù)網(wǎng)存在以下風(fēng)險(xiǎn)及威脅。

(1) 主機(jī)設(shè)備問題

① 信號安全數(shù)據(jù)網(wǎng)中存在著部分通用軟硬件，維護(hù)終端和上位機(jī)多采用Windows XP及Windows 7系統(tǒng)，存在通用的高危漏洞，且Windows XP系統(tǒng)的安全更新已經(jīng)停止，后期升級維護(hù)難度較大。

② 系統(tǒng)安全補(bǔ)丁及殺毒軟件病毒庫無法及時(shí)更新，缺乏有效的病毒防護(hù)措施及工具。

美國標(biāo)準(zhǔn)與技術(shù)研究院通過通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, CVSS)提供一種描述漏洞主要特征、規(guī)范各種軟硬件平臺評分體系的評分方法[16]。使用該方法進(jìn)行信號安全數(shù)據(jù)網(wǎng)設(shè)備的脆弱性描述，部分主機(jī)節(jié)點(diǎn)脆弱性信息見表1，包括設(shè)備漏洞 (Common Vulnerabilities and Exposures，CVE)編號或危險(xiǎn)端口開放信息、CVSS中的漏洞主要特征向量及脆弱性利用后果。

圖2 信號設(shè)備通用架構(gòu)

表 1 主機(jī)節(jié)點(diǎn)脆弱性信息

(2) 網(wǎng)絡(luò)問題

① 信號安全數(shù)據(jù)網(wǎng)中環(huán)網(wǎng)協(xié)議配置不當(dāng)或交換機(jī)故障時(shí)可能發(fā)生網(wǎng)絡(luò)風(fēng)暴，導(dǎo)致通信中斷。

② 信號安全數(shù)據(jù)網(wǎng)采用的安全通信協(xié)議數(shù)據(jù)明文傳輸，保密性不強(qiáng)，且研究表明該協(xié)議在特定條件下有攻擊成功可能[17]。

③ 實(shí)際情況中存在防火墻直通或配置不當(dāng)?shù)那闆r，網(wǎng)管服務(wù)器到環(huán)網(wǎng)交換機(jī)成為可能的攻擊路徑。

(3) 接入控制問題

① 信號安全數(shù)據(jù)網(wǎng)中包含大量的終端設(shè)備，存在U盤傳播病毒感染系統(tǒng)的威脅。

② 信號安全數(shù)據(jù)網(wǎng)中部分設(shè)備開啟Telnet、Ftp端口且沒有登錄錯誤次數(shù)限制，容易被遠(yuǎn)程暴力破解。

③ 維護(hù)人員升級維護(hù)時(shí)存在直接將自己的工作計(jì)算機(jī)利用網(wǎng)線與設(shè)備連接的情況，其工作計(jì)算機(jī)可能攜帶病毒對信號安全數(shù)據(jù)網(wǎng)信息安全產(chǎn)生威脅。

④ 內(nèi)部人員的誤操作或惡意攻擊可能成為信號安全數(shù)據(jù)網(wǎng)的信息安全威脅。

2 擴(kuò)展貝葉斯攻擊圖模型

2.1 擴(kuò)展貝葉斯攻擊圖

本文在貝葉斯攻擊圖的基礎(chǔ)上，考慮信息安全攻擊對功能安全的影響，對網(wǎng)絡(luò)狀態(tài)、攻擊行為及轉(zhuǎn)換邏輯進(jìn)行建模，研究攻擊檢測告警及信息安全防護(hù)措施下的系統(tǒng)風(fēng)險(xiǎn)評估，形成擴(kuò)展貝葉斯攻擊圖模型。

圖3為一個擴(kuò)展貝葉斯攻擊圖示例，用六元組〈S,A,O,M,E,P〉表示。

圖3 擴(kuò)展貝葉斯攻擊圖示例

(1)S=Sr∪Sf，是狀態(tài)節(jié)點(diǎn)集合。其中：Sr為信息安全攻擊階段的狀態(tài)節(jié)點(diǎn)集合，包括資產(chǎn)的脆弱性信息、攻擊者獲得的權(quán)限信息、網(wǎng)絡(luò)連接狀態(tài)等；Sf為功能安全影響傳播階段的狀態(tài)節(jié)點(diǎn)集合，包含各設(shè)備在功能安全域的正常/異常狀態(tài)及可能導(dǎo)致的后果。

(2)A={a=spre→sport|spre,sport∈S}，為原子攻擊集合。其中：spre為a的條件狀態(tài)節(jié)點(diǎn)；sport為目標(biāo)狀態(tài)節(jié)點(diǎn)。

(3)O為網(wǎng)絡(luò)中攻擊事件是否發(fā)生的觀測節(jié)點(diǎn)集合，主要包括入侵檢測系統(tǒng)及防火墻告警。

(4)M為網(wǎng)絡(luò)中針對攻擊事件的防護(hù)措施集合，防護(hù)節(jié)點(diǎn)，取值為T或1表示該防護(hù)措施啟用。

(5)E為連接節(jié)點(diǎn)的有向邊的集合，表示各狀態(tài)節(jié)點(diǎn)及攻擊節(jié)點(diǎn)間的邏輯因果關(guān)系。

(6)P為各節(jié)點(diǎn)的局部條件概率分布 (Local Conditional Probability Distribution, LCPD) 表，表示與父節(jié)點(diǎn)集合間的邏輯依賴關(guān)系和轉(zhuǎn)移概率。

2.2 擴(kuò)展貝葉斯攻擊圖概率計(jì)算2.2.1 原子攻擊概率

(1)原子攻擊成功概率P(sk|ai)描述攻擊ai導(dǎo)致狀態(tài)sk為真的概率，與原子攻擊的難度相關(guān)。若原子攻擊的類型為漏洞利用，則根據(jù)CVSS中的訪問向量AV、訪問復(fù)雜度AC、訪問認(rèn)證Au三個子項(xiàng)計(jì)算原子攻擊成功的概率。

P(sk|ai)=2×PAV×PAC×PAu

(1)

式中：PAV、PAC、PAu分別為該漏洞在CVSS中AV、AC、Au三項(xiàng)的評分值。

針對信號安全數(shù)據(jù)網(wǎng)攻擊中存在大量的非漏洞攻擊，攻擊成功概率與攻擊類型、攻擊場景、口令復(fù)雜度、協(xié)議類型等條件相關(guān)，根據(jù)專家知識設(shè)置。

(2)攻擊發(fā)生概率P(ak|si)表示在狀態(tài)節(jié)點(diǎn)si下發(fā)起攻擊ak的概率。攻擊發(fā)起概率與攻擊成功概率相關(guān)，但又不完全相同，例如密碼爆破發(fā)起容易但是成功概率低[18]。攻擊發(fā)生概率不再重復(fù)考慮攻擊難度，而是考慮發(fā)起攻擊所需資源的準(zhǔn)備復(fù)雜度，利用是否有公開的漏洞信息、攻擊方法與攻擊工具來評估。

2.2.2 節(jié)點(diǎn)LCPD函數(shù)

(1)針對攻擊節(jié)點(diǎn)ak∈A，條件概率P(ak|Si)描述狀態(tài)節(jié)點(diǎn)集合Si下發(fā)起攻擊ak的可能性，根據(jù)父子節(jié)點(diǎn)間的邏輯依賴關(guān)系分兩種情況計(jì)算，對應(yīng)的LCPD見表2和表3。

表2 邏輯依賴關(guān)系為AND時(shí)攻擊節(jié)點(diǎn)的LCPD

表3 邏輯依賴關(guān)系為OR時(shí)攻擊節(jié)點(diǎn)的LCPD

(2)針對狀態(tài)節(jié)點(diǎn)sk∈S，父節(jié)點(diǎn)at∈Ai沒有對應(yīng)的防護(hù)節(jié)點(diǎn)時(shí)，使用條件概率P(sk|Ai)描述攻擊節(jié)點(diǎn)集合Ai導(dǎo)致該狀態(tài)節(jié)點(diǎn)sk為真的概率，其LCPD函數(shù)計(jì)算同攻擊節(jié)點(diǎn)一致。當(dāng)狀態(tài)節(jié)點(diǎn)sk∈S，父節(jié)點(diǎn)at∈Ai存在對應(yīng)的防護(hù)節(jié)點(diǎn)時(shí)，使用Pmr表示防護(hù)措施mr防護(hù)成功的概率。當(dāng)某一個攻擊節(jié)點(diǎn)有多個防護(hù)節(jié)點(diǎn)對應(yīng)時(shí)，攻擊成功概率為

P(sk|ai,Mi)=P(sk|ai)P(ai|mi1,mi2,…,min)=

P(sk|ai)(1-Pm1)(1-Pm2)…×(1-Pmn)

(2)

考慮防護(hù)節(jié)點(diǎn)影響時(shí)，狀態(tài)節(jié)點(diǎn)與攻擊節(jié)點(diǎn)間不同邏輯依賴關(guān)系對應(yīng)不同的條件概率，分為以下兩種情況討論：

當(dāng)父子節(jié)點(diǎn)間的邏輯依賴關(guān)系為AND時(shí)，狀態(tài)節(jié)點(diǎn)LCPD函數(shù)表示為

(3)

當(dāng)父子節(jié)點(diǎn)間的邏輯依賴關(guān)系為OR時(shí)，狀態(tài)節(jié)點(diǎn)LCPD函數(shù)表示為

(4)

(3)針對觀測節(jié)點(diǎn)，其條件概率描述攻擊發(fā)生時(shí)對應(yīng)觀測節(jié)點(diǎn)正確給出告警的概率，其LCPD表同入侵檢測設(shè)備的誤報(bào)率和漏報(bào)率相關(guān)。

3 信息安全動態(tài)風(fēng)險(xiǎn)評估方法

鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風(fēng)險(xiǎn)評估主要包括3個步驟，見圖4。

圖4 鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風(fēng)險(xiǎn)評估步驟

Step1系統(tǒng)風(fēng)險(xiǎn)識別：對信號安全數(shù)據(jù)網(wǎng)進(jìn)行資產(chǎn)識別及脆弱性分析，考慮攻擊可能導(dǎo)致的功能安全事故及可部署實(shí)施的檢測設(shè)備與防護(hù)措施。

Step2評估模型建立：結(jié)合網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)絡(luò)配置關(guān)系及漏洞間關(guān)聯(lián)關(guān)系，建立拓展貝葉斯攻擊圖結(jié)構(gòu)，確定節(jié)點(diǎn)LCPD表，完成擴(kuò)展貝葉斯攻擊圖的建立。

Step3動態(tài)風(fēng)險(xiǎn)計(jì)算：計(jì)算各節(jié)點(diǎn)先驗(yàn)概率及事故影響，結(jié)合觀測節(jié)點(diǎn)告警及防護(hù)方案進(jìn)行貝葉斯推理得到動態(tài)風(fēng)險(xiǎn)值。

① 先驗(yàn)概率計(jì)算

計(jì)算節(jié)點(diǎn)邊緣概率作為先驗(yàn)概率，非脆弱性狀態(tài)節(jié)點(diǎn)x的先驗(yàn)概率為

(5)

式中：pari(x)為其父節(jié)點(diǎn)狀態(tài)組合；N為父節(jié)點(diǎn)狀態(tài)組合總數(shù)。

② 概率推理

結(jié)合觀測節(jié)點(diǎn)告警信息及不同防護(hù)策略對系統(tǒng)風(fēng)險(xiǎn)進(jìn)行推理，檢測設(shè)備告警前各觀測節(jié)點(diǎn)概率根據(jù)先驗(yàn)概率求解，檢測設(shè)備告警后設(shè)置對應(yīng)觀測節(jié)點(diǎn)取值為T，即P′(o)=1，以此為證據(jù)進(jìn)行動態(tài)風(fēng)險(xiǎn)推理。

貝葉斯網(wǎng)絡(luò)推理算法分為精確推理及近似推理兩種。精確推理算法包括多樹傳播推理、團(tuán)樹傳播推理、基于組合優(yōu)化的推理方法等，適用于規(guī)模較小、結(jié)果精確度要求高的網(wǎng)絡(luò)；近似推理算法包括基于搜索的推理算法和馬爾可夫鏈蒙特卡洛(MCMC)算法[19]等，適用于網(wǎng)絡(luò)規(guī)模大、結(jié)構(gòu)復(fù)雜、精度要求不是很高的網(wǎng)絡(luò)。

③ 系統(tǒng)風(fēng)險(xiǎn)計(jì)算

根據(jù)事故導(dǎo)致的傷亡人數(shù)、延誤時(shí)間、財(cái)產(chǎn)損失、社會影響等對事故影響嚴(yán)重性進(jìn)行分析[3]，將事故后果分為列車安全事故、緊急停車、減速、系統(tǒng)非安全功能部分失效、保密信息泄露等五類進(jìn)行度量。

(6)

式中：NΑ為列車安全事故、緊急停車、減速運(yùn)行等事件類型數(shù)量；iα為不同類型事件對單列車的影響；nα為發(fā)生該類事件的列車總數(shù)；NΒ為系統(tǒng)非安全功能部分失效、保密信息泄露事件；iβ為單個設(shè)備發(fā)生該類事件時(shí)的影響；nβ為發(fā)生該事件的設(shè)備總數(shù)。

使用各事故節(jié)點(diǎn)s∈Sfe的發(fā)生概率P(s)與事故影響度量值I(s)的乘積之和作為系統(tǒng)風(fēng)險(xiǎn)。

(7)

4 仿真實(shí)驗(yàn)與分析

4.1 仿真環(huán)境

根據(jù)鐵路信號安全數(shù)據(jù)網(wǎng)結(jié)構(gòu)搭建仿真環(huán)境進(jìn)行風(fēng)險(xiǎn)分析，仿真環(huán)境拓?fù)湟妶D5。

圖5 仿真環(huán)境拓?fù)?/p>

本次仿真主要分析由網(wǎng)管系統(tǒng)、信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備與單站聯(lián)鎖系統(tǒng)組成的網(wǎng)絡(luò)環(huán)境，同線路其他車站的CBI、TCC和TSRS等作為并列的子系統(tǒng)進(jìn)行分析，該部分?jǐn)U展貝葉斯攻擊圖及分析結(jié)果不在本文中給出，本文分析結(jié)果為單站CBI環(huán)境的風(fēng)險(xiǎn)值。

4.2 仿真網(wǎng)絡(luò)擴(kuò)展貝葉斯攻擊圖模型

仿真實(shí)驗(yàn)中攻擊者通過社會工程學(xué)侵入，獲取網(wǎng)管服務(wù)器、交換機(jī)、聯(lián)鎖通信板卡、上位機(jī)、維修機(jī)等設(shè)備管理員權(quán)限或?qū)е缕渚芙^服務(wù)。功能安全域后果主要包括部分功能失效、信息泄露、CBI故障及列車安全事故。

4.2.1 仿真網(wǎng)絡(luò)擴(kuò)展貝葉斯攻擊圖結(jié)構(gòu)

根據(jù)網(wǎng)絡(luò)拓?fù)浜驮O(shè)備漏洞信息，建立網(wǎng)管系統(tǒng)及環(huán)網(wǎng)交換機(jī)模塊擴(kuò)展貝葉斯攻擊圖，見圖6。

圖6 網(wǎng)管及交換機(jī)模塊擴(kuò)展貝葉斯攻擊圖

攻擊者利用社會工程學(xué)通過U盤接入或直接惡意接入的方式侵入網(wǎng)管系統(tǒng)遠(yuǎn)程終端，利用漏洞取得網(wǎng)管服務(wù)器管理員權(quán)限并破解信號安全數(shù)據(jù)網(wǎng)交換機(jī)登錄密碼，修改其所接交換機(jī)端口所在VLAN，從而獲得本環(huán)網(wǎng)信號設(shè)備訪問權(quán)限，或者直接修改環(huán)網(wǎng)協(xié)議配置等信息造成網(wǎng)絡(luò)拒絕服務(wù)。

圖7 仿真環(huán)境擴(kuò)展貝葉斯攻擊圖

仿真環(huán)境的整體擴(kuò)展貝葉斯攻擊圖見圖7。圖7中：s1為攻擊者；s3,s5,s7,s18,s20,s26,s28,s34,s36,s45,s58為脆弱性狀態(tài)節(jié)點(diǎn)，表明網(wǎng)絡(luò)或主機(jī)存在的漏洞及弱密碼等脆弱性；其余狀態(tài)節(jié)點(diǎn)表示攻擊過程中導(dǎo)致的各主機(jī)及網(wǎng)絡(luò)的狀態(tài)變化；a1,a2,a3,…,a12為對網(wǎng)管系統(tǒng)及交換機(jī)進(jìn)行的原子攻擊；a13,a14,…,a32為針對上位機(jī)及維護(hù)終端的原子攻擊；a34,a35,…,a48為聯(lián)鎖通信板卡相關(guān)的原子攻擊；o1,o2,o3,…,o8為檢測設(shè)備可觀測到的不同階段不同對象的原子攻擊告警信息；m1,m2,m3,m4為針對具體攻擊可實(shí)施的防護(hù)措施。

將同一設(shè)備造成同樣后果的漏洞節(jié)點(diǎn)合并分析，合并后的LCPD表按照分別攻擊情況的或運(yùn)算得到，造成同樣后果的事故節(jié)點(diǎn)也進(jìn)行合并。信號安全數(shù)據(jù)網(wǎng)中存在大量冗余設(shè)備，部分攻擊的后果與當(dāng)前攻擊的系統(tǒng)是主系還是備系相關(guān)，這部分節(jié)點(diǎn)進(jìn)行合并時(shí)需要考慮受影響系統(tǒng)的主備關(guān)系。此外，進(jìn)行防護(hù)分析時(shí)，默認(rèn)會對冗余設(shè)備采用相同的防護(hù)措施。

4.2.2 仿真網(wǎng)絡(luò)概率計(jì)算

根據(jù)第2節(jié)中的方法設(shè)置條件概率分布表。仿真網(wǎng)絡(luò)擴(kuò)展貝葉斯攻擊圖中的脆弱性均存在于真實(shí)網(wǎng)絡(luò)中，設(shè)置脆弱性狀態(tài)節(jié)點(diǎn)的先驗(yàn)概率為P(srv)=1。參考文獻(xiàn)[20]，攻擊發(fā)起概率利用表4確定。

表 4 攻擊發(fā)起概率P(aj|si)取值

考慮兩系發(fā)出危險(xiǎn)側(cè)指令時(shí)的主備情況，將成功攻擊一系后導(dǎo)致事故的概率設(shè)置為0.5，對兩系的攻擊都成功時(shí)導(dǎo)致事故的概率設(shè)置為1。結(jié)合第2節(jié)中的概率計(jì)算方法得到擴(kuò)展貝葉斯攻擊圖各節(jié)點(diǎn)的先驗(yàn)概率。計(jì)算各事故節(jié)點(diǎn)的影響大小并求解系統(tǒng)中所有事故發(fā)生時(shí)的總體風(fēng)險(xiǎn)作為最大風(fēng)險(xiǎn)值，計(jì)算當(dāng)前風(fēng)險(xiǎn)與最大風(fēng)險(xiǎn)值的比值作為本次仿真中的風(fēng)險(xiǎn)量化值。

4.3 仿真結(jié)果及分析4.3.1 動態(tài)風(fēng)險(xiǎn)評估

圖7中的攻擊均為已知攻擊，可以被檢測設(shè)備檢測。使用觀測節(jié)點(diǎn)序列(表5)模擬多步攻擊。

表 5 觀測節(jié)點(diǎn)序列

隨著時(shí)間推移攻擊依次發(fā)生，網(wǎng)絡(luò)中節(jié)點(diǎn)狀態(tài)及系統(tǒng)風(fēng)險(xiǎn)隨之變化。考慮到本文涉及的網(wǎng)絡(luò)規(guī)模，選擇精確推理算法，利用聯(lián)合樹推理[22]方法對整個擴(kuò)展貝葉斯攻擊圖中的節(jié)點(diǎn)概率進(jìn)行更新，得到當(dāng)前時(shí)間段的網(wǎng)絡(luò)風(fēng)險(xiǎn)。觀測節(jié)點(diǎn)序列中，對應(yīng)攻擊a2的o1節(jié)點(diǎn)告警前后擴(kuò)展貝葉斯攻擊圖狀態(tài)節(jié)點(diǎn)的先驗(yàn)概率和后驗(yàn)概率對比，見圖8。

圖8 節(jié)點(diǎn)o1告警前后狀態(tài)節(jié)點(diǎn)概率

圖8中：節(jié)點(diǎn)s3、s5、s7、s18、s26等是脆弱性節(jié)點(diǎn)，概率取值恒為P(srv)=1；節(jié)點(diǎn)s1、s2、s4位于攻擊節(jié)點(diǎn)a2的前驅(qū)方向，檢測到o1后其后驗(yàn)概率為1；節(jié)點(diǎn)s6、s8、s9及其所在分支位于a2的后繼方向，概率與a2同幅度增大；同時(shí)，s19、s35所在分支狀態(tài)節(jié)點(diǎn)為真的概率隨初始狀態(tài)節(jié)點(diǎn)s1的概率增加而升高。由圖8可以看出，檢測到a2后各狀態(tài)節(jié)點(diǎn)的概率均有所增加，符合實(shí)際風(fēng)險(xiǎn)變化情況。

各觀測節(jié)點(diǎn)狀態(tài)按照表5的觀測節(jié)點(diǎn)時(shí)間序列設(shè)置，將其作為證據(jù)進(jìn)行貝葉斯推理求解各節(jié)點(diǎn)后驗(yàn)概率并計(jì)算網(wǎng)絡(luò)動態(tài)風(fēng)險(xiǎn)。參考文獻(xiàn)[7]中的驗(yàn)證方法，綜合鐵路信號設(shè)備行業(yè)、信息安全行業(yè)以及研究機(jī)構(gòu)專家提供的打分?jǐn)?shù)據(jù)，進(jìn)行了基于層次分析法(AHP)的信號安全數(shù)據(jù)網(wǎng)信息安全風(fēng)險(xiǎn)評估。基于AHP的評估方法，依靠評估指標(biāo)要素間的相對重要性進(jìn)行分析，評估結(jié)果體現(xiàn)風(fēng)險(xiǎn)的相對值，故將其評估結(jié)果映射到本文方法所得結(jié)果的區(qū)間進(jìn)行對比分析。仿真持續(xù)400 min，各事故節(jié)點(diǎn)發(fā)生概率、本文方法分析結(jié)果以及基于AHP的風(fēng)險(xiǎn)評估結(jié)果見圖9。

圖9 事故節(jié)點(diǎn)概率及系統(tǒng)動態(tài)風(fēng)險(xiǎn)

圖9中各事故節(jié)點(diǎn)發(fā)生概率對應(yīng)主坐標(biāo)軸，系統(tǒng)風(fēng)險(xiǎn)對應(yīng)次坐標(biāo)軸。可以看出，隨著攻擊的持續(xù)及深入，CBI故障及信息泄露概率不斷上升，列車安全事故概率處于上升狀態(tài)，但一直很小，部分功能失效概率只在第一次告警時(shí)變化。從圖7可知部分功能失效由來自CBI上位機(jī)和維護(hù)終端的攻擊導(dǎo)致，本次告警序列對應(yīng)網(wǎng)管系統(tǒng)至交換機(jī)然后到CBI通信板卡的攻擊，處于另一分支，所以部分功能失效的概率只在第一次告警時(shí)隨根節(jié)點(diǎn)概率而升高。

系統(tǒng)風(fēng)險(xiǎn)隨各事件的陸續(xù)發(fā)生而升高，其中基于AHP的評估結(jié)果各步驟風(fēng)險(xiǎn)增長較為平均，o5告警時(shí)增長稍小。相對而言，本文方法o3告警時(shí)增長較小，o7告警時(shí)增長較大。分析可知，AHP基于當(dāng)前信息安全事件發(fā)生后造成的信息安全以及功能安全影響進(jìn)行評估。o5對應(yīng)的攻擊在已經(jīng)取得管理員權(quán)限的基礎(chǔ)上進(jìn)行配置修改，對設(shè)備自身及攻擊面的影響變化相對于取得操作員權(quán)限或者直接攻擊等步驟要小，故風(fēng)險(xiǎn)增長相對較慢。而本文方法從攻擊成功概率及事故影響角度考慮，o3階段的權(quán)限獲取影響部分事故概率，從整體看對系統(tǒng)風(fēng)險(xiǎn)影響相對較小；o7對應(yīng)的聯(lián)鎖板卡作為關(guān)鍵信號設(shè)備組件，權(quán)限獲取后多種事故發(fā)生概率大幅提升，整體風(fēng)險(xiǎn)有較大增長。本文所述方法分析結(jié)果與AHP及實(shí)際認(rèn)知一致，所提出的擴(kuò)展貝葉斯攻擊圖模型可以對網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行有效評估。

4.3.2 風(fēng)險(xiǎn)評估影響因素分析

(1) 檢測設(shè)備性能影響分析

檢測設(shè)備告警作為證據(jù)用于推理事故后驗(yàn)概率。假設(shè)表5中告警o5或o9被漏報(bào)，使用存在漏報(bào)的告警序列進(jìn)行系統(tǒng)動態(tài)風(fēng)險(xiǎn)分析，得到圖10所示結(jié)果。

圖10 檢測設(shè)備漏報(bào)對風(fēng)險(xiǎn)評估的影響

從圖10中可以看出，若多步攻擊中某階段告警出現(xiàn)漏報(bào)，對系統(tǒng)風(fēng)險(xiǎn)分析的影響只持續(xù)到下一攻擊階段告警時(shí)。最后一階段告警出現(xiàn)漏報(bào)時(shí)可以通過此前風(fēng)險(xiǎn)的連續(xù)升高給出預(yù)警。本文所述方法對漏報(bào)事件有一定的容忍度，可以通過其他攻擊階段的告警來彌補(bǔ)。

檢測設(shè)備的誤報(bào)率影響告警的可信程度，假設(shè)仿真網(wǎng)絡(luò)使用的檢測設(shè)備誤報(bào)率相同，改變該誤報(bào)率大小利用表5序列分析得到系統(tǒng)風(fēng)險(xiǎn)變化，見圖11。

圖11 檢測設(shè)備誤報(bào)率對風(fēng)險(xiǎn)評估的影響

將誤報(bào)率為0時(shí)的風(fēng)險(xiǎn)評估結(jié)果作為真實(shí)值，從圖11中可以看出誤報(bào)率越低評估結(jié)果越接近真實(shí)值。多次告警可增加可信程度，隨著檢測設(shè)備的不斷告警，風(fēng)險(xiǎn)值逐漸接近真實(shí)值，誤報(bào)率越小誤差減少越快。考慮設(shè)置風(fēng)險(xiǎn)基線值提醒人為干預(yù)的情況，誤報(bào)率越小能夠越早地觸發(fā)人為干預(yù)對系統(tǒng)進(jìn)行防護(hù)。

(2) 防護(hù)措施影響分析

根據(jù)狀態(tài)及攻擊節(jié)點(diǎn)間的邏輯關(guān)系，擴(kuò)展貝葉斯攻擊圖中各防護(hù)措施對系統(tǒng)整體風(fēng)險(xiǎn)的影響不相互獨(dú)立，設(shè)置防護(hù)節(jié)點(diǎn)狀態(tài)分析不同防護(hù)措施組合下系統(tǒng)的風(fēng)險(xiǎn)變化。根據(jù)防護(hù)節(jié)點(diǎn)的分布，設(shè)置表6所示防護(hù)場景進(jìn)行風(fēng)險(xiǎn)分析。

表 6 防護(hù)場景設(shè)計(jì)

設(shè)置仿真環(huán)境中攻擊者發(fā)起攻擊的概率為1，根據(jù)各防護(hù)場景設(shè)置擴(kuò)展貝葉斯攻擊圖中相應(yīng)防護(hù)節(jié)點(diǎn)狀態(tài)，各事故節(jié)點(diǎn)概率變化及系統(tǒng)風(fēng)險(xiǎn)見圖12。

圖12 防護(hù)方案實(shí)施時(shí)事件概率及系統(tǒng)風(fēng)險(xiǎn)

由圖12可以看出，各防護(hù)措施實(shí)施后其所在攻擊路徑事故發(fā)生可能性降低。各防護(hù)措施單獨(dú)實(shí)施時(shí)，m3的防護(hù)效果最佳。結(jié)合圖7中節(jié)點(diǎn)先驗(yàn)概率進(jìn)行分析，防護(hù)措施m3所在的攻擊路徑集合累積風(fēng)險(xiǎn)較大，故當(dāng)防護(hù)資源有限時(shí)應(yīng)首先對風(fēng)險(xiǎn)較大的路徑集合進(jìn)行防護(hù)。通過方案{m1, m2}, {m2, m3}, {m1, m3}的實(shí)施結(jié)果對比分析可以看出，不同攻擊分支的防護(hù)措施組合能獲得較好的防護(hù)結(jié)果，實(shí)踐中應(yīng)盡量對更多的攻擊路徑進(jìn)行覆蓋。同時(shí)，方案{m1, m3}實(shí)施時(shí)使用m2與單獨(dú)使用m2相比，防護(hù)措施m2的成本不變，但得到的收益大大降低。故防護(hù)方案的防護(hù)效果與當(dāng)前網(wǎng)絡(luò)狀態(tài)相關(guān)，進(jìn)行防護(hù)方案設(shè)計(jì)時(shí)，需要綜合各防護(hù)措施相互作用以及當(dāng)前網(wǎng)絡(luò)狀態(tài)實(shí)現(xiàn)適度防護(hù)。

4.3.3 最大累積概率攻擊路徑分析

最大累積概率攻擊路徑，是指從初始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的攻擊路徑中累積攻擊成功概率最大的一條。攻擊者選擇是否發(fā)起攻擊來決定攻擊路徑，使用攻擊節(jié)點(diǎn)序列描述攻擊路徑。以CBI故障為目標(biāo)攻擊節(jié)點(diǎn)為例，通過文獻(xiàn)[18]求解最大累積概率攻擊路徑。網(wǎng)絡(luò)中觀測節(jié)點(diǎn)均未產(chǎn)生告警時(shí)，其最大累積概率攻擊路徑為{a1,a2,a3,a5}和{a1,a2,a4,a9}，這兩條路徑為通過互為冗余的信號安全數(shù)據(jù)網(wǎng)左右環(huán)網(wǎng)配置更改進(jìn)行攻擊，是攻擊造成CBI故障的薄弱環(huán)節(jié)。

4.4 與已有方法比較

本文提出的基于擴(kuò)展貝葉斯攻擊圖的動態(tài)風(fēng)險(xiǎn)評估方法，在互聯(lián)網(wǎng)及工業(yè)控制系統(tǒng)動態(tài)風(fēng)險(xiǎn)評估[11-14]的基礎(chǔ)上，考慮了鐵路信號系統(tǒng)自身雙機(jī)熱備及冗余的防護(hù)作用，并且引入了防護(hù)節(jié)點(diǎn)描述防護(hù)措施的能力，可用于防護(hù)方案效果分析。與軌道交通領(lǐng)域當(dāng)前已有的評估方法[1-9]相比，實(shí)現(xiàn)了網(wǎng)絡(luò)攻擊過程中風(fēng)險(xiǎn)動態(tài)感知及脆弱路徑分析。其中，AHP方法各評估階段均需進(jìn)行專家評分，人力和時(shí)間耗費(fèi)大，而本文方法僅在模型建立時(shí)需要專家評分；二維結(jié)構(gòu)熵方法[1]基于攻擊后果進(jìn)行動態(tài)風(fēng)險(xiǎn)評估，而本文方法能夠感知造成物理及網(wǎng)絡(luò)性能受損等后果之前的系統(tǒng)風(fēng)險(xiǎn)變化，包括前期非法訪問、非法權(quán)限獲取、非法數(shù)據(jù)傳輸?shù)入A段。

5 結(jié)論

本文針對鐵路信號安全數(shù)據(jù)網(wǎng)信息安全風(fēng)險(xiǎn)狀態(tài)的動態(tài)評估開展研究，提出了一種擴(kuò)展貝葉斯攻擊圖模型。該模型在基于傳統(tǒng)貝葉斯攻擊圖得到的事故發(fā)生概率的基礎(chǔ)上，融入了檢測設(shè)備實(shí)時(shí)告警數(shù)據(jù)，通過貝葉斯推理更新節(jié)點(diǎn)概率信息，并結(jié)合功能安全域事故影響得到系統(tǒng)動態(tài)風(fēng)險(xiǎn)評估結(jié)果。經(jīng)過仿真實(shí)驗(yàn)及分析，得到如下結(jié)論：

(1)與AHP方法仿真結(jié)果對比，本文所述方法能夠有效地為鐵路信號安全數(shù)據(jù)網(wǎng)進(jìn)行定量、動態(tài)的風(fēng)險(xiǎn)評估。

(2)本文方法可以動態(tài)模擬攻擊及防護(hù)措施組合，為系統(tǒng)提供不同信息安全狀態(tài)的風(fēng)險(xiǎn)分析，同時(shí)不同防護(hù)場景的風(fēng)險(xiǎn)分析結(jié)果可以為信號安全數(shù)據(jù)網(wǎng)的防護(hù)方案設(shè)置提供參考。

當(dāng)前鐵路信號安全數(shù)據(jù)網(wǎng)缺乏基于攻防靶場的攻防數(shù)據(jù)庫以及公認(rèn)權(quán)威的實(shí)際風(fēng)險(xiǎn)數(shù)據(jù)，故本文的擴(kuò)展貝葉斯攻擊圖模型大部分依據(jù)專家經(jīng)驗(yàn)構(gòu)建完成，針對信號安全數(shù)據(jù)網(wǎng)這種較為封閉且結(jié)構(gòu)不輕易改變的網(wǎng)絡(luò)來說較為適用，對其他網(wǎng)絡(luò)拓?fù)浼霸O(shè)備易變的系統(tǒng)拓展性較差。未來考慮建立攻防及評估數(shù)據(jù)庫，利用攻防數(shù)據(jù)進(jìn)行結(jié)構(gòu)和參數(shù)學(xué)習(xí)的方式建立貝葉斯攻擊圖，形成更加通用的風(fēng)險(xiǎn)分析模型。