基于組合權重的工控系統安全形式化分析方法

顧兆軍，李懷民，丁 磊，隋 翯

(1. 中國民航大學信息安全評測中心，天津 300300；2. 中國民航大學中歐航空工程師學院，天津 300300；3. 中國民航大學航空工程師學院，天津 300300；)

1 引言

工業控制系統是能源電力、石油化工、交通運輸等國家關鍵基礎設施的核心系統，其功能安全(safety)和網絡安全(security)對于關鍵基礎設施的平穩運行具有決定性作用[1]。工業控制系統構成比較復雜，從網絡結構角度可以分為采集執行層，現場控制層，集中監控層，制造執行層和管理調度層[2]，如圖1所示。過去，工業控制系統安全防護主要關注其功能安全，但隨著“兩化融合”[3]和“中國制造2025”[4]概念的提出，智慧工廠、云制造、智能生產系統等信息化理念一方面提升了工業產業智能化程度，另一方面也帶來了新的風險隱患，網絡安全問題逐漸成為工業控制系統安全防護研究的熱點[5]。

2010年“震網”病毒(Stuxnet)通過篡改PLC的程序，導致伊朗核電站離心機過速運轉，造成核電站1/5的離心機損壞、直接經濟損失上億美元[6]。自“震網”事件開始，黑客組織利用Havex，火焰，毒區等針對工業控制系統的病毒分別成功實現了對俄羅斯，美國，韓國，烏克蘭等國家的關鍵基礎設施工業控制系統網絡攻擊。截至 2020年2月18日，上報到漏洞庫的工業控制系統漏洞數達到2362個，2010 年以后，工控漏洞發現數逐年遞增[7]。與傳統網絡安全的CIA(保密性，完整性，可用性)原則不同，工業控制系統遵循AIC原則[8]，優先保證系統的可用性。所以，工業控制系統不便于采用大范圍、大縱深的傳統網絡安全防護策略?？茖W評估系統風險、有針對性的部署防護措施顯得更為重要。因此在工業控制系統網絡安全研究領域，網絡安全風險評估已經成為企業和學界共同關注的焦點。

圖1 典型工業控制系統網絡架構

形式化分析方法是網絡安全風險評估中常用的方法，形式化分析方法[9]是用數學方法研究計算機科學中相關問題的前沿技術，可以在工業控制系統設計和開發階段發現系統中潛在的網絡安全風險，避免后期部署安全設備的盲目性?；谛问交治龅木W絡安全風險評估方法可以分為定性分析方法和定量分析方法兩類[10]。定性分析方法主要依靠從業人員經驗對系統的安全等級和風險程度給予“高”“中”“低”的評價。對于攻擊事件發生的可能性以及系統本身的脆弱性無法做出定量的評估。定量分析方法是對系統的脆弱性和安全程度給出量化的評估結果，并據此制定相應的防御措施和手段。本文提出的就是一種定量的風險評估方法。

2 相關研究

比較常用的形式化分析方法包括攻擊樹、攻擊圖和時間自動機。Schneier[11]提出了一種基于攻擊樹的安全威脅建模方法，利用層次化表達，實現了通過自下而上的單參數擴散進行定量安全評估；Phillips和Swiler[12]提出了攻擊圖的概念，描述了攻擊行為對系統狀態的影響； Alur R[13]提出了時間自動機模型，并針對特定攻防行為刻畫了各種輸入序列(包含非正常情況的極端輸入序列)下系統的狀態轉換，從而模擬了系統的動態遷移過程，并給出了系統狀態的轉移條件。

這些研究結果表明在形式化分析的方法中，采用樹、圖這類圖形化分析的方式可以取得很好的定量評估效果。Park等[14]利用攻擊樹模型分析了反應器保護系統的信息安全狀態，并給出了相應的防御措施。Byres等[15]使用攻擊樹建模方法對基于MODBUS 協議棧的工業控制 SCADA 通信系統進行了漏洞分析。蔣健雷[16]應用攻擊樹建模分析了某泵站SCADA 系統的安全性問題及相應策略。Hawrylak等[17]使用混合攻擊圖對工業控制系統網絡攻擊進行建模，并建立了全局攻擊圖，評估了該系統面臨的主要風險和威脅。黃慧萍[18]等人提出了一種基于攻擊樹的工業控制系統信息安全風險評估方法，運用攻擊樹對針對SCADA系統主站的攻擊進行建模，然后基于多效應理論計算了葉節點、根節點和各攻擊序列發生的概率，從而提出了更有效的防御手段。

但以上成果還可以圍繞以下兩點進行更深入研究：①上述研究沒有將系統的防御措施考慮在內。②在進行攻擊樹建模并進行葉節點相關指標計算時，各影響因素權重的獲得往往是通過經驗進行設定，或僅通過主觀賦權法的方式獲取，這導致個人的主觀因素對最終賦權結果的影響過大，缺少客觀性的評判。基于以上兩點，本文在傳統攻擊樹的基礎上，使用攻擊防御樹的方式對工業控制系統進行建模，從而得到一種相對完善的形式化分析建模方法；然后結合主觀賦權和客觀賦權法，對各葉節點影響因素進行權值分配，最終得到相對客觀的賦權值，以獲得更準確的評估結果。最后以某機場供油自控系統為例，驗證了本文所提出方法的有效性。

3 攻擊防御樹模型

攻擊防御樹(Attack-Defense Tree，ADT)模型是 KORDY B在2010年提出的一種通過在攻擊樹葉結點上添加防御手段，從而對系統進行形式化分析的建模方法[19]。ADT模型是多層的樹形結構，包括了葉節點，根節點，中間節點以及防御節點。其中根節點為最終的攻擊目標；葉節點為達到最終目標的攻擊手段；中間節點表示要實現最終攻擊目標必須完成的中間步驟。每一條最終指向根節點的路徑則為一條攻擊路徑；防御節點針對具體的攻擊方式采用有效防御手段。圖2所示為一個簡單的攻擊防御樹示例。

圖2 攻擊防御樹示例

各節點之間存在三種邏輯關系：“或”(OR)關系，“與”(AND)關系，“順序與(SAND)關系”。AND節點表示所有子節點的攻擊目標實現，則父節點的目標也會實現；OR節點表示任意子節點的攻擊目標實現，則父節點的目標也會實現；SAND節點表示所有子節點的目標按順序實現，則父節點的目標即可實現[20]。圖3所示為攻擊防御樹各節點之間存在的三種關系。

圖3 攻擊防御樹節點關系

攻擊防御樹的建立需要從安全事件反向推理，首先由專家確定最終攻擊目標，并將最終的攻擊目標作為攻擊防御樹的根節點，其次將根節點利用圖3所示的節點關系將所需完成的中間步驟作為其子節點。然后使用相同的方法對子節點進行擴展，直到具體的攻擊方式不能再進行分解則成為該模型中的葉節點。最后針對葉節點部署防御措施，形成防御節點。

4 權值分配

根據多效應理論，在對攻擊防御樹的葉節點進行脆弱性定量評估的時候，需要獲得影響葉節點脆弱性的各因素的權重值，即需要對各因素進行權值分配。當前的賦權方法主要分為主觀賦權法和客觀賦權法[21]。常用的主觀賦權法主要有Delphi法[22]，層次分析法(AHP)[23]，權的最小平方法[24]等?？陀^賦權法主要有主成分分析法[25]，熵權法[26]和多目標規劃法[27]等。本文結合主觀賦權法和客觀賦權法的優點，采用了層次分析法和熵權法相結合的組合權重法來獲取最終各影響因素的權重分配值。

4.1 層次分析法

層次分析法是上世紀七十年代美國匹茲堡大學Saaty教授提出的通過專家打分的方式獲取權值分配的方法[28]。專家通過影響因素重要程度對比進行打分，構造判斷矩陣，最終對矩陣進行數學運算獲得屬性權值。本文使用0.1-0.9比較尺度表對各因素進行兩兩比較，見表1。

表1 0.1-0.9 比較尺度表

專家根據尺度表(表1)對各影響因素重要程度對比進行兩兩打分，構造判斷矩陣。假設共有n個影響因素，即可得到n×n階判斷矩陣C。

(1)

(2)

(3)

根據以上計算流程可得到各影響因素的權值向量Ni=(N1，N2，…，Nn)T。

4.2 熵權法

在信息論中，熵是對不確定性的一種度量[26]。不確定性越大，熵值越大，包含的信息量也越大。根據熵的特性，可以通過計算熵值來判斷一個事件的隨機性及無序程度，也可以用熵值來判斷某個指標的離散程度，指標的離散程度越大，該指標對綜合評價的影響(權重)越大。因此，熵權法是通過各影響因素取值的離散程度，定量某一因素權重的客觀賦權法。其具體計算方法如下：

1)假設有a個葉節點，每個葉節點有b個影響因素，據此構建判斷矩陣X：X=|xij| (i=1，2，…，a；j=1，2，…，b)。

2)由于各項影響因素的計量單位并不統一，因此在計算前先要對判斷矩陣X進行歸一化處理，即把矩陣中元素的絕對值轉化為相對值，從而解決各項不同影響因素取值的同質化問題。其中，正向指標和負向指標數值代表的含義不同(正向因素數值越高越符合期待，負向因素數值越低越符合期待)。因此，對于正向影響因素和負向影響因素需要采用不同的歸一化方法處理，獲得歸一化矩陣B，具體的處理方法如下：

正向影響因素

(4)

負向影響因素

(5)

其中，xmax，xmin分別為同一影響因素下的最大取值和最小取值。

3)根據熵的概念，可通過下式計算各影響因素的熵值

(6)

4.3 組合權重法

通過層次分析法和熵權法可以獲得兩組影響因素的權重向量，其中通過層次分析法得到主觀權重向量為μ=(μ1，μ2，…，μn)T，由熵權法得到客觀權重向量ν=(ν1，ν2，…，νn)T。組合賦權法是將主客觀賦權法得到的權值相結合，這樣既可以反應主觀的判斷也可以反映客觀評價的結果。通常情況下使用加法組合法或乘法組合法，為了盡量凸顯各因素間的重要性差異，本文使用乘法組合法來獲取最終的權重ωj，即

(7)

5 基于攻擊防御樹的工控系統安全風險評估方法

5.1 安全風險評估流程

本文使用安全脆弱性指標來定量評估系統的安全風險。安全脆弱性指標的取值范圍為從0到1，代表系統遭受攻擊的容易程度遞增。評估脆弱性指標的具體步驟與方法為：

1)確定最終攻擊目標；

2)逆向推理獲得最底層攻擊事件，即葉節點；

3)添加防御節點，構造系統的攻擊防御樹；

4)分析影響各葉節點脆弱性的因素，使用基于層次分析法和熵權法的組合賦權法獲取各影響因素的權重；

5)根據多效用理論計算葉結點的脆弱性指數；

6)根據葉節點脆弱性指數獲得各條攻擊路徑及整個系統的脆弱性指數；

7)根據添加防御手段前后的葉節點脆弱性指數差值和系統脆弱性指數差值評估葉節點脆弱性靈敏度，據此提出新的更有效的防御手段。

5.2 葉節點的脆弱性計算

美國工業控制系統安全指南中指出[29]，在工業控制系統的信息安全評估中，系統脆弱性受到三個主要因素的影響，分別是攻擊的成本，實現難度，以及攻擊被發現的可能性大小。因此在計算葉節點脆弱性指數時，對每一個葉節點的攻擊成本，實現難度，攻擊被發現的可能性三個屬性賦值。應用多效應理論可以獲得計算葉節點脆弱性指數的式(8)和式(9)如下

S(Ek)=Wcos t*U(costk)+Wdiff*U(diffk)+

Wdet*U(detk)

(8)

S′(Ek)=[Wcos t*U(costk)+Wdiff*U(diffk)+

(9)

其中，k為任意葉節點，S(Ek)為該葉節點的脆弱性指數，S′(Ek)為考慮防御措施后該葉節點的脆弱性指數，costk為實現攻擊該節點需要付出的攻擊成本；diffk為該葉節點實現的難易程度；detk為該葉節點攻擊被發現的可能性。Wcost，Wdiff，Wdet則分別為這三個影響因素在各葉節點所占的權重系數，且三個權重系數之和為1。U(costk)，U(diffk)，U(detk)則分別為三個影響因素在各葉節點的效用值?？梢园l現效用值與各影響因素成反比關系，因此本文取U(x)=1/x。nk為針對該葉節點攻擊事件所采取的防御措施的個數，m為防御措施最多的葉節點的措施數量加一。

式(8)和式(9)中的權重指數通過組合權重法獲得。Wcost，Wdiff，Wdet的值則需要建立評價表，請專業的評估人士依據此標準給出各葉節點相應屬性的得分，再通過倒數運算獲得各自的效應值。本文采用的等級評分標準如表2所示。

表2 等級評分標準

5.3 攻擊序列的脆弱性計算

任何一條從葉節點到根節點的路徑可稱為攻擊路徑，即可通過該路徑上的行為完成最終攻擊的根節點目的。假設S1，S2，…，Sk∈S，S為構成某個攻擊序列的所有節點的集合。V(S1)，V(S2)，…，V(Sk)為各節點對應的脆弱性指標，則可以得到該條攻擊路徑的脆弱性指數N為：N=V(S1)×V(S2)×…×V(Sk)。

5.4 系統的整體脆弱性計算

根據上述分析，任意一條攻擊序列均可以達成最終的根節點攻擊目的。因此系統的整體脆弱性指數為所有攻擊途徑脆弱性指數中的最大值。假設系統的整體脆弱性指數為Vs，各攻擊路徑的脆弱性指數分別為V(i1)，V(i2)，…，V(ik)，則可以得到系統的整體脆弱性指數為

Vs=max(V(i1)，V(i2)，…，V(ik))

(10)

其中k為整個系統中存在的攻擊路徑的總數。

5.5 葉節點靈敏度評估

通過增加和改善每一個葉節點處的防御措施可以降低葉結點的脆弱性指數，從而降低系統的脆弱性指數。但往往由于預算的限制，需要更加合理的利用資金來增加和改善防御措施。因此本文對葉節點脆弱性的靈敏度進行評估，從而找出通過盡量少的改動就可以最大程度提高安全系數的關鍵節點。定義如式(11)所示的葉節點靈敏度計算公式。

(11)

通過計算各葉節點的靈敏度取值并進行比較，找到靈敏度較高的幾個葉節點，針對關鍵節點進行相應的防御措施改善可以更加高效的提高系統的信息安全水平。

6 實例分析

本文以某機場供油自控系統為例，對其進行風險評估與分析。供油自控系統是保證機場正常運行的關鍵配套設施，主要控制油料運入與輸出，檢測環境溫度與油罐液位。

SCADA系統位于整個機場供油自控系統網絡中的集中控制層。向上連接著MES(執行制造層)層和管理調度層，向下連接著現場控制層和采集執行層。攻擊者一旦侵入了SCADA系統即可通過工控系統的內部網絡對上層的決策環節進行干預，并可能改變現場控制層的參數設置，從而造成嚴重的生產事故。圖4為某機場供油自控系統的拓撲圖。

圖4 某機場供油自控系統拓撲圖

6.1 攻擊防御樹構建

通過實地調研，可以通過物理攻擊或者網絡攻擊兩種手段達到最終攻擊SCADA系統主站的目的。在網絡攻擊的方式中，既可以通過外部網絡直接入侵SCADA系統主站，也可以通過攻擊從站并接入SCADA系統內部通信網絡鏈路達到攻擊系統主站的目的。根據第二節介紹的內容進行反向推理，先確定了機場供油自控系統SCADA主站為根節點，再逐層獲得中間節點和葉節點。最終獲得了以機場供油自控系統SCADA主站為根節點的攻擊樹。在攻擊樹的基礎上針對各葉節點考慮相應的防御手段，從而在葉節點上附加防御節點，最終得到機場供油自控系統的攻擊防御樹模型，如圖5所示。

圖5 攻擊防御樹

該攻擊防御樹中根節點，葉節點，中間節點及防御節點的具體含義如表3所示。

表3 節點含義

6.2 脆弱性計算

根據前面章節的介紹，需要利用表2所示的評分標準對各葉節點的影響因素進行專家打分，評分結果如表4所示。

表4 各節點評分結果表

根據表4可以分別獲得Ek節點costk，diffk，detk的值。然后根據各影響因素效用值與各影響因素的倒數關系計算得到影響因素的效用值U(costk)，U(diffk)，U(detk)。

1)根據0.1-0.9 比較尺度表(表1)，利用專家打分法得到權重判斷矩陣D：

2)利用式(1)將矩陣D轉化為符合一致性的判斷矩陣，然后利用式(2)計算得到三個影響因素的權重向量P=[0.1，0.333，0.567]T。

3)使用3.2節中介紹的熵權法對三個影響因素的熵值進行計算，從而得到客觀賦權法下三個影響因素的權重向量

4)利用3.3節中的式(7)以及主觀賦權法和客觀賦權法的權值分配的結果進行組合權重的計算，計算得出最終影響因素的權值向量，即M=[0.15，0.04，0.81]T。

5)將4)中的權值向量M用于式(8)和式(9)中，計算得出考慮防御手段和不考慮防御手段兩種情況下各葉節點的脆弱性指數如表5所示。

表5 葉節點脆弱性指數

6)根據本文構建的攻擊防御樹模型可知，總共有六條攻擊路徑可以達到最終的根節點，分別為：i1={E1，E2}；i2={E3}；i3={E4}；i4={E5}；i5={E6}；i6={E7}。根據(5)中葉節點脆弱性指數計算得到添加防御手段前后的攻擊路徑脆弱性指數結果如表6所示。

表6 各攻擊路徑脆弱性指數

7)由系統脆弱性指數計算結果分析可知，系統脆弱性指數為各攻擊路徑脆弱性指數中的最大值。即添加防御措施前為0.49，添加防御措施后為0.37。

8)應用葉節點敏感度式(11)對各葉節點敏感度進行計算，結果如表7所示

表7 各葉節點敏感性指數

由表3可知各葉結點的脆弱性E2，E3，E4為本文構建的攻擊防御樹模型中三個最敏感的葉節點。

6.3 實驗結果分析

從該案例得到的評估結果來看，三個影響因素的權重分別為0.15，0.84，0.81。其中權值最高的影響因素為攻擊被發現的可能性大小。因此，對于攻擊者而言攻擊被發現的可能性是選擇攻擊路徑和方法時最優先考慮的事項，這可以決定它們的攻擊是否可以足夠長時間的潛伏，以最大程度的破壞它們的目標系統；采用適當的防御手段則可以有效的減小系統的脆弱性指數。

通過各攻擊路徑脆弱性指數可以看出，通過從站對主站進行攻擊的方式最容易達成攻擊主站的目的。其中i4，i5攻擊路徑在添加防御措施前的脆弱性指數更是高達0.47和0.49。這是由于從站相對于主站而言防御措施更少，防御強度更低，但從站作為主站選擇用以接收數據的數據站存放著大量關鍵數據。攻擊者攻擊從站可以用相對小的代價獲取相對大的攻擊利益。對于機場供油自控系統而言，一旦篡改了從站的數據或者通過從站侵入主站對主站下達錯誤指令，可能會導致油存儲量超過閾值等一系列直接危害供油系統安全的重大事故。這就提醒相關工業控制系統在進行防御措施構建和日常檢測時應當加大對從站的防護力度，從而減少通過從站攻擊主站的風險。

通過葉節點敏感度的評估可知E2，E3，E4葉節點敏感指數都達到了3，是最為敏感的三個關鍵節點。因此在制定相應的防御措施時，應采用更多的手段來加強針對E2，E3，E4這三個關鍵節點的防御措施，以增加系統的信息安全程度。比如防火墻的配置，異常檢測，流量監控，生物密碼識別等一系列方法。

7 結束語

本文主要結合層次分析法與熵權法，提出了一種基于攻擊防御樹的工業控制系統安全評估模型。該模型可以有效的對工業控制系統的安全進行評估，計算得出系統的脆弱性指數以及各關鍵節點的脆弱性指數。該方法主要用于輔助技術人員制定防御手段，優化防御措施方案。