今日頭條
官方微信
官方抖音
資訊頻道近年來工業(yè)控制系統(tǒng)的安全事件層出不窮,國內(nèi)缺乏有效的安全量化風險評估方法。針對該問題,提出了一種基于模糊層次分析法和攻擊樹模型相結(jié)合的工業(yè)控制系統(tǒng)安全量化評估方法。該方法對典型的工業(yè)控制系統(tǒng)建立層次化分析模型,結(jié)合群決策請多位專家對各層要素進行相對重要性賦值得到判別矩陣,并對判進行模糊化處理。最后,對工業(yè)控制系統(tǒng)的每一種攻擊方式建立攻擊樹模型來定量地分析每一種攻擊發(fā)生的概率,并根據(jù)上述系統(tǒng)脆弱性采取針對的防護措施。實驗結(jié)果表明,該方法是有效的。
隨著信息技術(shù)的不斷普及與發(fā)展,近幾年的網(wǎng)絡(luò)攻擊不僅僅局限在信息系統(tǒng),也逐漸出現(xiàn)在工業(yè)控制系統(tǒng)(Industrial Control System,ICS),嚴重影響到國計民生,造成了巨大的經(jīng)濟損失和社會危害。從工控系統(tǒng)調(diào)查小組(Industrial Control System Investigation Team,ICS-IT)的調(diào)查報告中可以看出,2015年至2019共發(fā)生大約865起安全事件。面對眾多的安全事件,如何建立有效的工業(yè)安全防護技術(shù)顯得尤為迫切。
近幾年,眾多學者在該領(lǐng)域從理論到實踐不斷進行探索,取得了一些成果。較為典型的是楊向東等人采用的對安全風險要素的量化評估,風險要素涉及資產(chǎn)、威脅、脆弱性和安全措施。楊向東對這4個要素結(jié)合相應(yīng)的標準進行分別量化,得到了系統(tǒng)的風險值。該方法較為清晰地求得了系統(tǒng)的整體安全屬性,但是并沒有考慮每一種具體攻擊方式所造成的影響,也沒有兼顧到各種攻擊方式的相互影響。PENG Y J等人將貝葉斯網(wǎng)絡(luò)應(yīng)用到工控安全評估,對影響安全的各種因素建立概率模型來描述,不僅可以分析系統(tǒng)的總體風險,還可以分析系統(tǒng)風險各要素所引起的風險,但是網(wǎng)絡(luò)模型的條件概率確定極其復(fù)雜,不適于應(yīng)用到具體的安全場景。近幾年,人們開始關(guān)注層次分析法(Analytic Hierarchy Process,AHP),可以根據(jù)具體工業(yè)系統(tǒng)建立層次化分析模型,將各種攻擊要素作為評價層,并將最終的風險評價結(jié)果作為目標層,但是該方法在確定判別矩陣時主觀性較強,不能很好地起到量化的作用。
本文在前人的基礎(chǔ)上,提出了一種模糊層次分析(Fuzzy Analytic Hierarchy Process,F(xiàn)APH)與攻擊樹(Attack Tree)相結(jié)合的方法,對系統(tǒng)建立層次化分析模型,讓多位專家對各要素的重要性程度進行打分以建立判別矩陣。針對模糊層次分析法不能準確分析每一種攻擊因素的發(fā)生概率及其對要素層的影響的問題,本文將攻擊樹模型融入模糊層次分析法,定量計算每種攻擊方式的發(fā)生概率。
1 工控系統(tǒng)功能安全與信息安全融合的必要性
工業(yè)控制系統(tǒng)的安全功能失效不僅會由威脅主體通過網(wǎng)絡(luò)攻擊實現(xiàn),也可能由系統(tǒng)內(nèi)部引起,因此工業(yè)控制系統(tǒng)的功能安全和信息安全在一定程度上并不是獨立的,建立一套有效的綜合安全量化評估體系有助于及時了解工業(yè)控制系統(tǒng)的安全指標,并及時預(yù)防安全事故的發(fā)生。
為了建立綜合安全量化評估體系,要先闡述功能安全與信息安全的區(qū)別。各個領(lǐng)域的研究專家對功能安全與信息安全的認識存在誤差,根據(jù)美國國家標準與技術(shù)研究所(National Institute of Standards and Technology,NIST)發(fā)布的NISTSP-80053(聯(lián)邦政府信息和組織的安全控制措施),將ICS信息安全與功能安全的區(qū)別簡要闡述,如表1所示。可以看出,功能安全與信息安全最主要的區(qū)別是功能安全的威脅來自內(nèi)部,由系統(tǒng)硬件失效或人為誤操作造成,而信息安全的威脅來自系統(tǒng)外部的黑客攻擊等行為。
表1 功能安全與信息安全屬性對比
搞清楚功能安全與信息安全的區(qū)別,有助于在建立工業(yè)控制系統(tǒng)模型時綜合考慮兩者的影響,進而給出對工業(yè)控制系統(tǒng)最全面的安全量化。
2 層次化模型與攻擊樹模型的基本概念
2.1 層次化模型
在基于模糊層次分析法的工業(yè)控制系統(tǒng)安全量化評估中,最主要的是建立層次化模型。在國標GB/T20984-2007中明確指出,將信息安全風險分析分為資產(chǎn)、脆弱性和威脅3個方面,攻擊者利用信息系統(tǒng)的脆弱性對系統(tǒng)構(gòu)成安全威脅,并讓系統(tǒng)本身的資產(chǎn)受到損失。
層次分析法(Analytic Hierarchy Process,AHP)是美國運籌學專家SattyTL最先提出的,是一種處理復(fù)雜系統(tǒng)的多準則決策手段。在典型的層次化分析法中,將整個系統(tǒng)分為目標層、要素層和評價層,類比信息安全分析的資產(chǎn)、威脅和脆弱性3要素,將層次分析法中的評價層表示為系統(tǒng)受到的各種安全攻擊,將要素層表示為系統(tǒng)的各種設(shè)備,將目標層表示為系統(tǒng)的最終安全評價值。
應(yīng)用于實際的工業(yè)控制系統(tǒng)時,由于系統(tǒng)的復(fù)雜性,要先確定系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu),從而對要分析的要素和評估對象有更深的認識。根據(jù)國家標準GB/T26333-201中提出的工控現(xiàn)場層次結(jié)構(gòu),將系統(tǒng)劃分成企業(yè)管理層、過程監(jiān)控層和現(xiàn)場設(shè)備層3個層次,如圖1所示。由于過程監(jiān)控層和現(xiàn)場設(shè)備層與工業(yè)控制領(lǐng)域密切相關(guān),因此在實際分析時,將采用過程監(jiān)控層和現(xiàn)場設(shè)備層作為系統(tǒng)的分析重點。
圖1 典型工業(yè)控制系統(tǒng)層次結(jié)構(gòu)
2.2 攻擊樹模型
2.2.1 攻擊樹模型的基本概念
攻擊樹模型是Schneider在20世紀末提出來的一種用于描述系統(tǒng)所受攻擊的形象化方法,采用樹形結(jié)構(gòu)描述整個系統(tǒng),將葉節(jié)點表示為具體的攻擊事件,將根節(jié)點表示為最終被攻擊的目標。除了最下層的葉子節(jié)點外,其余節(jié)點分為AND與OR兩種類型。在AND類型中,只要將根節(jié)點的下一層的所有葉子都完成,才能到達根節(jié)點。相反,在OR類型中,只需完成任何一個葉子節(jié)點,就可以完成對根節(jié)點的攻擊。攻擊樹模型的AND與OR圖形化表示方法如圖2所示。
圖2 攻擊樹模型的AND與OR圖形化表示方法
2.2.2 擊樹模型葉子節(jié)點概率值的計算
在風險評估中,經(jīng)常用攻擊事件所造成的損失
與攻擊事件發(fā)生的概率值
的乘積作為風險的評估值R,即:
在進行根節(jié)點概率值計算時,要對葉子節(jié)點進行指標量化。根據(jù)美國工業(yè)控制系統(tǒng)安全指南中所定義的攻擊事件發(fā)生的概率受到攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性3個因素的影響,。在計算每一個葉子節(jié)點的概率值時,需考慮這3個屬性。根據(jù)多屬性效用原理,將以上3個屬性轉(zhuǎn)化成效用值,便可得到每個葉子節(jié)點的概率值計算公式,即:
式(2)中,
表示發(fā)生概率,
與
分別表示攻擊成本權(quán)重、攻擊難度權(quán)重和被發(fā)現(xiàn)的可能性權(quán)重,3個權(quán)重的和為1。在實例分析中,將采用模糊層次分析法確定這3個權(quán)重的具體值。
分別表示攻擊事件的成本、難度和可能被發(fā)現(xiàn)的等級。
、
和
分別代表攻擊成本
、攻擊難度
和攻擊被發(fā)現(xiàn)可能性
的效用值。進一步分析可以得出
,
、
與與效用值成反比例關(guān)系。為了簡化分析,這里取
。
2.2.3 節(jié)點概率值的計算
在求得每個葉子節(jié)點的概率值后,便可求出根節(jié)點的概率值,下面分成AND與OR兩種情況討論:
(1)AND節(jié)點的概率值是各葉子節(jié)點概率值的乘積,即:
(2)OR節(jié)點是各葉子節(jié)點發(fā)生概率的最大值,即:
3 典型場景案例分析
將FAHP運用到工業(yè)控制系統(tǒng)中解決實際的安全量化問題,一般分為4個步驟:(1)根據(jù)具體問題建立層次化分析模型;(2)構(gòu)建評價層元素對要素層和要素層對目標層的兩兩判別矩陣;(3)由判別矩陣計算被比較元素的相對權(quán)重;(4)計算評價層與要素層的各元素的組合權(quán)重。
3.1 建立典型工控現(xiàn)場的層次化模型
以某電力設(shè)備系統(tǒng)為研究對象,對過程監(jiān)控層和現(xiàn)場設(shè)備層建立如圖3所示的基于FAPH的工控系統(tǒng)層次化分析模型。目標層是工控系統(tǒng)的安全評估值,要素層是圖1中的各種系統(tǒng)設(shè)備,包括工程師站、操作員站、PLC和各種傳感器流量計以及無線設(shè)備。
圖3 基于FAHP的工控系統(tǒng)層次化分析模型
3.2 構(gòu)建兩兩判別矩陣
在完成對系統(tǒng)的層次化建模后,要定量分析每一層元素遭到破壞后對上一層元素的影響,進而建立元素的相對重要性判別矩陣。為此,將采用0.1~0.9共9個標度給兩個元素的相對重要性賦值,如表2所示。
表2 元素優(yōu)先關(guān)系數(shù)值標度表
評價層的5種安全威脅的特殊性,使其對要素層某一設(shè)備的影響存在較大差異。根據(jù)表2可以建立5種攻擊方式對設(shè)備層的影響判別矩陣。以O(shè)PC服務(wù)器為例,受到來自評價層的5種攻擊方式的影響,根據(jù)受到攻擊后所造成的影響進行判別賦值。數(shù)據(jù)篡改能夠讓攻擊者獲取OPC服務(wù)器的核心數(shù)據(jù),且整個攻擊過程不易被發(fā)掘,將造成嚴重危害。拒絕服務(wù)讓OPC服務(wù)器失去對下層系統(tǒng)的控制能力,造成信息混亂等影響,但是這種讓系統(tǒng)失去控制能力的攻擊容易被發(fā)現(xiàn),相應(yīng)可以采取補救措施,影響相對較小。竊聽攻擊將導(dǎo)致OPC系統(tǒng)的數(shù)據(jù)被盜,相比數(shù)據(jù)篡改直接讓系統(tǒng)癱瘓來說影響較小。蠕蟲與木馬可以對OPC的服務(wù)程序進行修改,使其喪失一部分的能力。
根據(jù)上述分析,邀請4位專家分別對這5種攻擊對OPC服務(wù)器的影響根據(jù)表2分別進行賦值,得到判別賦值表如表3所示。表3中,每一個單元格包含4個元素,是4位專家對重要性的判別賦值,取單元格相同位置的元素組成判別矩陣。邀請多位專家是為了避免專家在評判過程中的主觀隨意性,使得評判的結(jié)果更具有說服力。
表3 OPC服務(wù)器評價指標重要性賦值
根據(jù)表3可以得到OPC服務(wù)器的4個判別矩陣
:
同理,可以得到其他要素層各個系統(tǒng)設(shè)備的4個判別矩陣。根據(jù)要素層設(shè)備受到攻擊后對目標層的影響大小,同樣可以建立要素層對目標層的判別矩陣。工程師站受到攻擊后對目標層的影響明顯大于操作員站;PLC對系統(tǒng)造成的損失很難被發(fā)現(xiàn),且PLC是系統(tǒng)的下行可控制單元,相比工程師站來說更加重要。根據(jù)同樣的思路,建立要素層各設(shè)備的重要性賦值表得到判別矩陣
,同樣讓4位專家進行評分,這里僅列出了某一位專家的判別矩陣:
在進行下一步前,要對上述得到的判別矩陣進行一致性檢驗,判斷矩陣是否符合一致性要求。如果不符合,需要進行調(diào)整,步驟如下。
(1)計算矩陣的一致性指標
:
是矩陣的最大特征值,n是矩陣的階數(shù)。
(2)查找隨機一致性指標RI,RI的取值如表4所示。
表4 1~10階一致性指標
(3)計算一致性比率
,當滿足
時,認為判別矩陣滿足要求,否則需要調(diào)整。
本例中的判別矩陣
與
的矩陣最大特征
分別為5.112、5.024、5.403、5.276,矩陣階數(shù)n為5,RI根據(jù)表4得到為1.12,計算得到一致性比率CR分別為0.025、0.005、0.089和0.061,滿足一致性檢驗的要求。按照同樣的方法檢驗其余矩陣,若不滿足要求進行相應(yīng)的調(diào)整,最終得到所有的判別矩陣。
3.3 計算本層各元素對上層元素的權(quán)重
為了進一步減少專家評價的主觀性,這里將判別矩陣進行模糊化處理,得到模糊一致判別矩陣
,利用式(11)和式(12)完成對矩陣的模糊化處理。得到模糊一致矩陣后,利用式(13)可以計算評價層中的指標(如拒絕服務(wù)指標
)對要素層系統(tǒng)設(shè)備(如OPC服務(wù)器
)的權(quán)重。
式(13)中參數(shù)
滿足
,并與權(quán)重的差異度成反比,即當
時,各風險因素相對權(quán)重的差異度達到最大。本例中n=5,得到
=2。將上述得到的判別矩陣、、和進行模糊化處理,得到模糊一直矩陣
。取第一個專家的模糊判別矩陣
,進行分析,利用式(13)計算
對OPC服務(wù)器
的相對權(quán)重,得
。同理,得到另外4種攻擊方式對OPC服務(wù)器的相對權(quán)重,得
,進而得到OPC服務(wù)器5個攻擊指標組合成的權(quán)重向量
=[0.162,0.145,0.234,0.191,0.268]。以此類推,根據(jù)其余3位專家的模糊判別矩陣
,得到OPC服務(wù)器的5個攻擊指標的權(quán)重向量如下所示:
對上述得到的4個權(quán)值向量,按照相同位置取平均的方式得到最終的拒絕服務(wù)攻擊
對OPC服務(wù)器的權(quán)值向量:
按照同樣的步驟,可以求出5種攻擊方式對要素層其余設(shè)施的權(quán)重向量以及要素層對目標層F的權(quán)重向量:
分析完每個要素對上一層的權(quán)重后,根據(jù)式(28)求出評價層各風險元素對目標層F的綜合權(quán)重
,整個計算過程如表5所示。
表5 評價層各風險元素對目標層的綜合權(quán)重
得綜合權(quán)重:
風險權(quán)重較大的是
拒絕服務(wù)與
數(shù)據(jù)篡改。對5種攻擊方式建立攻擊樹模型,定量分析每種攻擊方式所發(fā)生的概率。
4 攻擊樹模型的建立與結(jié)果分析
根據(jù)2.2節(jié)的分析得知,系統(tǒng)發(fā)生風險的概率受到攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性的影響。在上述分析中已經(jīng)得出各種攻擊方式對目標層的綜合權(quán)重,在建立攻擊樹模型時,直接將目標層作為攻擊節(jié)點。建立攻擊樹模型如圖4所示,由于5種攻擊方式都可直接對系統(tǒng)造成影響,采用圖2中的OR節(jié)點建立整個系統(tǒng)攻擊樹模型,并運用模糊層次分析法確定攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性的相對權(quán)重。
圖4 攻擊樹模型
圖4中,
分別代表5種攻擊方式
,、
分別代表攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性。以數(shù)據(jù)篡改
為例,從攻擊者的角度看,他/她更希望這次數(shù)據(jù)篡改的攻擊不易被發(fā)現(xiàn),其權(quán)重大于攻擊成本與攻擊難度。攻擊難度的增加會降低整個攻擊事件的概率,相較于攻擊成本來說權(quán)重略低。
采用模糊層次分析法的思路,建立模糊判別矩陣,并進行一致性檢驗,得到3個影響因素的相對權(quán)重這里僅給出最終的分析結(jié)果。
對于攻擊難度
、攻擊成本
和被發(fā)現(xiàn)的可能性
的等級評分標準,如表6所示。
表6 等級評分標準
在具體應(yīng)用時,評估人員根據(jù)具體情況給出等級得分。在本工業(yè)控制系統(tǒng)中,邀請了多位專家給出等級得分,最后采用取平均值的方式給出具體的得分情況。在5種攻擊方式中,數(shù)據(jù)篡改的難度最大,成本較高,也很難被發(fā)現(xiàn),相應(yīng)的3個等級為5、4、1,其余4種攻擊的等級評分如表7所示。
表7 攻擊方式的等級評分
根據(jù)式(2)可以求得各種攻擊方式的攻擊概率分別為0.269 0、0.439 3、0.396 8、0.3940和0.384 3。由于這幾種攻擊發(fā)生的概率沒有確定的相互獨立關(guān)系,所以它們的和不是1。層次分析法中得到各個攻擊要素的權(quán)重為:
本文將權(quán)重與概率的乘積作為評價層5種攻擊方式的最終風險值,結(jié)果分別為0.0607、0.0825、0.0829、0.0713和0.0753,據(jù)此得出最大可能的威脅攻擊是
竊聽攻擊和
數(shù)據(jù)篡改,因此應(yīng)著重加強對竊聽攻擊和數(shù)據(jù)篡改的防范。
5 結(jié) 語
本文針對工業(yè)控制系統(tǒng)安全量化評估的問題,提出了一種將模糊層次分析法與攻擊樹相結(jié)合的方法。模糊層次分析法通過建立模糊判別矩陣,減小了專家的主觀因素,通過對多位專家所得到的權(quán)值向量取平均的群決策方式,進一步減少了專家評判的主觀性。對工業(yè)控制信息安全與功能安全相結(jié)合的問題,本文將拒絕服務(wù)、竊聽攻擊、數(shù)據(jù)篡改、蠕蟲木馬與系統(tǒng)硬件失效共同作為整個系統(tǒng)的威脅因素,建立層次化分析模型。建立攻擊樹,對系統(tǒng)安全威脅事件所發(fā)生的概率進行量化分析,最終綜合考慮安全事件發(fā)生的概率與權(quán)值來定量分析系統(tǒng)的風險。
后續(xù)可在以下方面繼續(xù)進行深入研究:(1)在定量分析中,專家的評判結(jié)果會受到主觀因素的影響,本文僅僅通過對專家的評判結(jié)果取平均的方式確定了最終的威脅因素權(quán)重,如何建立更加有效量化方式是接下來的研究重點;(2)面對工業(yè)控制系統(tǒng)的復(fù)雜性,如何建立更加全面的層次化分析模型需要進一步思考;(3)本文著重考慮5種威脅因素各自對系統(tǒng)的影響,并未涉及到系統(tǒng)在受到5種威脅下的綜合安全量化值,是下一步研究的重點。
作者簡介 >>>
王智剛(1993—),男,碩士,主要研究方向為工業(yè)控制系統(tǒng)安全量化;
李林森(1968—),男,碩士,教授,主要研究方向為RFID、物聯(lián)網(wǎng)安全。
選自《通信技術(shù)》2019年第十二期 (為便于排版,已省去原文參考文獻)
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號