CN107491694A - 用于量化评估scada***信息安全脆弱性的方法 - Google Patents
用于量化评估scada***信息安全脆弱性的方法 Download PDFInfo
- Publication number
- CN107491694A CN107491694A CN201710755463.2A CN201710755463A CN107491694A CN 107491694 A CN107491694 A CN 107491694A CN 201710755463 A CN201710755463 A CN 201710755463A CN 107491694 A CN107491694 A CN 107491694A
- Authority
- CN
- China
- Prior art keywords
- mrow
- msub
- attack
- fragility
- leaf node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000011158 quantitative evaluation Methods 0.000 title claims abstract description 9
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000035945 sensitivity Effects 0.000 claims abstract description 14
- 239000011159 matrix material Substances 0.000 claims description 36
- 239000004576 sand Substances 0.000 claims 1
- 238000004458 analytical method Methods 0.000 description 20
- 238000012502 risk assessment Methods 0.000 description 15
- 238000011156 evaluation Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 10
- 238000011160 research Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000013139 quantization Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005086 pumping Methods 0.000 description 2
- 241000386115 Coras Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000000205 computational method Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000004451 qualitative analysis Methods 0.000 description 1
- 238000004445 quantitative analysis Methods 0.000 description 1
- 238000004335 scaling law Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000010408 sweeping Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于量化评估SCADA***信息安全脆弱性的方法。本发明提出了一种基于层次分析法赋权和攻击防御树模型的SCADA***信息安全脆弱性评估方法。旨在利用层次分析法为叶节点的各个计算指标科学地赋予权重值,然后计算攻击防御树的叶节点、攻击序列和***整体的脆弱性,以及叶节点的脆弱性灵敏度,进而确定影响SCADA***信息安全脆弱性的关键叶节点,为技术人员针对SCADA***的薄弱环节采取防御措施提供量化的参考依据。
Description
技术领域
本发明涉及一种用于量化评估SCADA***信息安全脆弱性的方法。
背景技术
SCADA(Supervisory Control and Data Acquisition)***是一种综合应用计算机技术、控制技术、通信与网络技术的远程监督控制与数据采集***。被广泛应用于电力、石油石化、轨道交通、矿山作业等领域,是国家关键基础设施的重要组成部分,关系到国家的战略安全。
现代工业SCADA***具有网络化和智能化的特点,但是这些特点将网络的固有脆弱性和攻击威胁引入到了SCADA***中。2012年6月国务院《关于推进信息化发展和切实保障信息安全的若干意见(国发[2012]23号)》明确要求:保障工业控制***安全,定期开展安全检查和风险评估。SCADA***作为工业控制***的核心,其信息安全已经成为一项重要的研究内容,是当前国际信息安全界高度关注的前沿技术之一,引起了学术界、工程技术界与政府机构的广泛关注。国内外学者的研究内容中涉及的一个重要方面就是对SCADA***的信息安全脆弱性进行评估。这对于帮助我们认识SCADA***在信息安全方面的薄弱环节有着重要意义,有利于我们有针对性地对SCADA***的弱点和信息安全漏洞采取相应的防御措施。
SCADA***与互联网的高度互联使得SCADA架构变得和普通计算机网络***在一定程度上相似。但是二者在一些方面存在着差异性。主要区别在于以下几点:首先,相对于普通计算机网络***,SCADA***最突出的缺点就是采用了诸如Modbus这类不安全的通信协议,这是SCADA***产生信息安全问题的关键原因之一。其次,从***信息安全的角度分析,原先计算机网络安全指标遵循传统的CIA原则,即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。而在工业SCADA***中则应该遵循AIC原则,三个指标的优先级顺序发生了改变。第三,在维护升级方面,通常可以对普通计算机网络***频繁的进行维护更新以保证***安全。但是SCADA***的生命周期长,且牵涉到大量生产控制过程的实时运行,由于自身的稳定性需求,一般不能频繁进行相关的升级或者更新维护工作。这些差异使得我们不能完全照搬普通计算机网络安全风险评估的方法和技术,而要做适当改变。例如,传统计算机网络安全分析中多是从信息的机密性、完整性、可用性等角度来进行分析。而在针对工业SCADA***进行信息安全分析时,则可以参考美国工业控制***安全指南,从攻击难度、攻击被发现的可能性、攻击所造成的后果的严重程度以及所采取的防御措施这几方面来予以分析。
近年来,国内外研究人员借鉴通用信息安全风险评估中的一些相关技术和方法,对工业SCADA***的信息安全风险评估展开了研究。总体来说,主要分为两大类,即定性和定量的风险评估技术和方法。
定性风险评估方法简单直观,主要依靠评估者的经验和主观意见来对问题做出定性分析和判断。例如,Chittester C,Haimes YY.Risks of terrorism to informationtechnology and to critical interdependent infrastructures.[J].Homel SecurEmerg Manag 2004;1(4):396-402利用等级全息建模(Hierarchical HolographicModelling,HHM)方法提出了一种风险评估框架,并将其应用于一个铁路SCADA***中。SongJ,Lee J,Lee C,Kwon K,Lee D.A cyber security risk assessment for the design ofI&C Systems in nuclear power plants[J].Nucl Eng Technol 2012;44(8):919–28提出了一种在SCADA***设计阶段执行的信息安全风险评估方法。该方法包括6项工作步骤,符合相关的NIST标准。Francia GA III,Thornton D,Dawson J.Security best practicesand risk assessment of SCADA and industrial control systems[C]运用CORAS这种基于模型的风险评估方法来对一个SCADA***进行信息安全风险分析。姜莹莹,曹谢东,白琳.基于层次分析法的SCADA***安全评价[J].物联网技术,2013,32(12):71-75结合应用层次分析法和模糊评判集来对一个油气田SCADA***的信息安全性进行了综合评价。这些***性的分析方法能对复杂的***进行分解,无需高深的数学工具,所需定量数据信息较少。但是,其评价结果通常在很大程度上依赖于评估专家的经验,更具主观性,对负面事件发生的可能性以及所带来的后果无法给出量化的结果。
定量评估技术和方法能从数值上说明评估对象的危险程度,并给出后果的数字化值,从而得出风险的量化值,能从数量上说明评估对象的危险程度,准确描述***的危险性,因此它是当前工业控制SCADA***信息安全风险评估的一个主要研究方向。例如,PatelS C,Graham J H,Ralston P.Quantitatively assessing the vulnerability ofcritical information systems:A new method for evaluating securityenhancements[J].International Journal of Information Management,2008,28(6):483–491提出了一种用“信息安全程度”指标的数值大小来量化评估***信息安全状态的定量评估方法。该方法在基本漏洞树的基础上增加了“威胁影响”和“信息脆弱性”两项指标,并根据历史数据来计算攻击发生的概率大小。Ten C W,LIU Chenching,GovindarasuM.Vulnerability assessment of cybersecurity for SCADA system using attacktrees[A].In:of Electrical and Electronics Engineers Inc.IEEE Transactions onpower systems[C].The 2007IEEE Conference on Power Engineering Society GeneralMeeting.Tampa,USA:2007,1836-1847基于攻击树模型来计算得到一个信息安全脆弱性指标,从而量化地表示一种特定攻击场景发生的可能性大小。Woo P S,Kim B H.A Study onQuantitative Methodology to Assess Cyber Security Risk of SCADA Systems[J].Advanced Materials Research,2014,960-961:1602-1611针对一个电力SCADA***提出了一种***信息安全风险定量评估方法。该方法为***的每一个组件分配一个信息安全脆弱性指标,同时量化表示***的每一种威胁,最后根据威胁和脆弱性的概率值以及资产成本之积来计算得到金钱量化表示的风险值。王丙东(电网调度操作安全风险量化评估方法研究与工程实践[D].天津大学,2014)针对电网调度操作信息安全风险进行了量化评估方法研究,给出了风险计算的数学表达式,结合风险评估需要,定义了风险评估指标体系并给出了各个指标的计算方法。
综合以上研究成果可以看出,定量风险评估能量化说明评估对象的危险程度,是目前的一个主要研究方向。并且,采用树、图这类图形化方式的定量风险评估方法也得到了广泛的应用,取得了良好的评估效果,这也是目前的一个研究热点。其中基于攻击树建模的分析评估是一种应用普遍成熟的方法。
攻击树建模技术是由Schneier提出的一种图形化的风险建模和分析方法。该方法具有模型结构简单、表达方式易于理解的优点,因而已经被广泛应用在有关风险分析和安全管理的各类技术领域中。目前已经有不少国内外学者利用攻击树建模技术来对SCADA***的信息安全进行分析评估,例如,前面提到的Ten使用攻击树对一个SCADA***的信息安全脆弱性进行了评估。Park G Y,Lee C K,Choi J G,at al.Cyber security analysis byattack trees for a Reactor protection system[A].In:Korean NuclearSociety.Proceedings of the Korean Nuclear Society(KNS)Fall Meeting[C].KoreanNuclear Society(KNS)Fall Meeting.Pyeong Chang,Korea:2008,651-658利用攻击树模型来分析一个反应器保护***的信息安全。Byres E J,Franz M,Miller D.The use ofattack trees in assessing vulnerabilities in SCADA systems[J].IEEEConf.international Infrastructure Survivability Workshop.institute forElectrical&Electronics Engineers,2004使用攻击树建模方法对一个基于MODBUS协议栈的工业控制SCADA通信***进行了漏洞分析。蒋健雷(某泵站放江SCADA***及其安全性研究[D].上海:华东理工大学,2011)应用攻击树建模分析了某泵站放江SCADA***的安全性问题及对策。但是目前这些现有技术还存在如下问题:
第一,目前使用的是攻击树的基本形式,没有考虑防御措施,因此存在未考虑防御措施对于SCADA***脆弱性的影响的问题;第二,上述现有技术在计算攻击树叶节点的相关指标时,对于多个指标的权重分配,是依据经验来设定的,未使用更加客观的数学方法来计算确定指标权重值。
发明内容
本发明的目的,就是针对上述问题,提出了一种基于层次分析法赋权和攻击防御树模型的SCADA***信息安全脆弱性评估方法。旨在利用层次分析法为叶节点的各个计算指标科学地赋予权重值,然后计算攻击防御树的叶节点、攻击序列和***整体的脆弱性,以及叶节点的脆弱性灵敏度,进而确定影响SCADA***信息安全脆弱性的关键叶节点,为技术人员针对SCADA***的薄弱环节采取防御措施提供量化的参考依据。
为了便于理解,现在对本发明所采用的攻击防御树模型的基本概念进行说明:
攻击树(Attack Tree)模型是B.Schneier在1999年提出的一种描述***可能受到的多种攻击的方法。它采用树形结构来表示针对***的各种攻击行为。在一棵攻击树中,树的根结点表示攻击者的最终攻击目标,叶结点表示具体的攻击事件,即攻击者可能采取的各种攻击手段,其他为中间节点。攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列。除了叶结点以外,攻击树的各结点分为与(AND)结点、或(OR)结点两类。And节点表示必须全部完成此节点下的各分支才能到达该节点;OR节点表示只要完成此节点下的一个分支即可到达该节点。任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程。遍历整个攻击树可以生成实现以根结点为攻击目标的所有网络攻击路径。
在基本攻击树模型的基础上,使每个攻击叶节点附有一个或多个防御措施,即可得到攻击防御树,如图1所示。图中标有Cn的标注框即代表针对相应原子攻击事件可以采取的防御措施。
攻击防御树的建立方式为:将攻击者针对SCADA***的最终攻击目标作为根节点,将他们可能采取的具体攻击行为表示为叶节点,针对每种攻击事件分析可以采取哪些防御措施,其他为中间节点,从而得到攻击防御树模型。每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA***的一次具体攻击过程,即一个攻击序列。
本发明的技术方案为:
用于量化评估SCADA***信息安全脆弱性的方法,其特征在于,包括以下步骤:
S1、建立***的攻击防御树模型:
将攻击者针对SCADA***的最终攻击目标作为根节点,攻击者可能采取的具体攻击行为表示为叶节点,其他为中间节点,建立攻击防御树模型,即每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA***的一次具体攻击过程,即一个攻击序列;
S2、根据影响攻击防御树叶节点脆弱性的因素,采用层次分析法确定影响叶节点脆弱性的各个因素的权重:
层次分析法(Analytic Hierarchy Process,AHP)是由美国运筹学家匹兹堡大学教授T.L.Saaty于上世纪70年代初提出的一种层次权重决策分析方法。该方法将定量分析与定性分析结合起来,用决策者的经验判断各标准之间的相对重要程度,并合理地给出每个决策方案的每个标准的权数,利用权数求出各方案的优劣次序。
设定影响攻击防御树叶节点脆弱性的因素为:攻击后果严重程度、攻击难度、被发现的可能性,构造一个m×m的两两判断矩阵D,D的元素dij表示因素Xi相对于因素Xj的重要程度,判断矩阵的特征根和特征向量具有如下关系:
D=ω×λmax
其中,ω的分量即表示相应因素单排序的权值,λmax表示该判断矩阵的最大特征根;
本发明中所述的判断矩阵的基本思想是在发给专家的调查表中,专家并不需要直接给出各个指标的权重系数,而是只需要他们用两两指标间的重要性程度之比的形式,即运用成对比较法来给出两个指标之间的相对重要性程度等级。对于m个评估指标,专家只需要构造一个m×m的两两判断矩阵D即可。D的元素dij表示评估指标Xi相对于评估指标Xj的重要程度,本发明中下标i、j表示不同的因素,可以采用多种形式的标度方法来表示重要程度,本领域中通常采用1-9级标度方法,在实际应用过程中根据具体情况进行设置,由此直接得出各个因素的权重。
得到判断矩阵以后,下一步则需要计算判断矩阵的特征根和特征向量,对于判断矩阵D,算出满足D=ω×λmax的特征根与特征向量;
S3、计算叶节点的脆弱性指标:
采用如下公式获取不考虑防御措施时叶节点脆弱性:
V(Ek)=Wimpact*U(impactk)+Wdiff*U(diffk)+Wdet*U(detk)
采用如下公式获取考虑防御措施时叶节点脆弱性:
其中,k表示任意一个叶子节点,V(Ek)表示该叶子节点的脆弱性指标;impactk表示该叶子节点代表的攻击事件所造成后果的严重程度;diffk表示实现该叶子节点攻击的难易程度;detk表示该叶子节点的攻击事件可能被发现的等级;Wimpact表示后果严重程度参数的权重;Wdiff表示攻击难度参数的权重;Wdet表示攻击被发现的可能性参数的权重,且这三个权重系数之和为1;U(impactk)表示攻击后果严重程度参数的效用值;U(diffk)表示攻击难度参数的效用值;U(detk)表示攻击被发现可能性参数的效用值;nk表示该叶子节点攻击事件所采取的防御措施的个数;m表示防御措施最多的叶子节点的措施数量加1,即m=max{n1,n2,…nk}+1;
求叶子节点的脆弱性值涉及到的三个权重系数Wimpact、Wdiff和Wdet将按照层次分析法(AHP)来确定。此外,还需要制定合适的评分标准来对impactk、diffk和detk这三个属性进行评价。实践工作中,评估人员可以根据实际情况建立相应的评分标准,再依据此标准给出每个叶节点相应属性的得分。
S4、评估各攻击序列的脆弱性:
每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA***的一次具体攻击过程,即一个攻击序列。首先要从攻击防御树中分析出所有可能的攻击序列,每一个攻击序列都是由树中的若干个按照“AND”或者“OR”的逻辑关系组合的攻击叶节点构成。
根据步骤S3获得的每个叶节点的脆弱性指标,根据如下公式获取攻击者针对SCADA***根节点的各攻击序列的脆弱性:
其中,K表示***攻击序列的总数,I={i1,i2,...ik}表示整棵攻击防御树中所有攻击序列的集合;一个攻击序列的脆弱性等于相应叶节点的脆弱性的乘积,其中,S1,S2,...,Sk∈S,Sk表示构成某个攻击序列的若干叶节点的集合,S表示整棵树中所有叶节点的集合;
S5、根据步骤S4的结果获取SCADA***的脆弱性,一个攻击序列代表了从叶节点到根节点穿过整棵攻击防御树的一条路径,是对SCADA***的一次完整的具体攻击过程。因此,***整体脆弱性指标值是所有攻击序列脆弱性指标值中的最大值:
Vs=max{V(i1),V(i2),...,V(ik)}
S6、获取叶节点的脆弱性灵敏度:
通过增加或者改善叶节点的防御措施,能够降低叶节点的脆弱性,从而降低***整体的脆弱性,提高***的信息安全性。为了找到有助于降低***脆弱性的那些关键叶节点,定义一个脆弱性灵敏度指标来反映叶节点对于***整体脆弱性影响的大小,即所述叶节点的脆弱性灵敏度为用于反映叶节点对于***整体脆弱性影响的大小,则通过如下公式获取脆弱性灵敏度:
其中,V(Ek)和V’(Ek)分别是未采取和采取了防御措施时叶节点的脆弱性指标,Vs和V’s是对应两种情况下的***整体脆弱性值。通过比较各个叶节点的脆弱性灵敏度指标的大小,就能够找到其中的关键性叶节点,增强它们的防御措施有助于高效地提高SCADA***的信息安全性。
在上述方案的步骤S2中,由于客观事物的复杂性和人们认知上的多样性等原因,建立的判断矩阵可能无法满足一致性,特别是对于指标因素多规模大的问题。但是,我们可以要求判断具有大体的一致性。例如,在判断中若出现A比B重要,B比C重要,C又比A重要的这种情况显然是违背常识的。因此,为了保证应用层分析法分析得到的结论合情合理,就需要对构造的判断矩阵进行一致性检验。
当判断矩阵无法保证具有完全一致性时,相应的判断矩阵的特征根也将会发生变化,这样就可以通过判断矩阵特征根的变化来检验判断的一致性程度。因此,在层次分析法中引入判断矩阵除最大特征根以外的其余特征根的负平均值来作为度量判断矩阵偏离一致性的指标:
CI值越大,则表示该判断矩阵偏离完全一致性的程度越大;CI值越小(接近于0),则表示该判断矩阵的完全一致性越好。由此可见。当判断矩阵的CI值等于0时,那么这个矩阵具备了完全一致性。因此可以根据CI=0,λ1=λmax=n,来判断矩阵是否具有一致性。
对于不同阶的判断矩阵,人们判断的一致性误差不同,对于CI值的要求也是不同的,要衡量不同阶判断矩阵是否具有满意的一致性,还需要引入判断矩阵的平均随机一致性指标RI值(根据实际情况设定)。对于本发明采用的1~9阶判断矩阵,RI的值在实施例中进行说明(表5)。对于1,2阶判断矩阵,RI值只具有形式上的意义,因为1,2阶判断矩阵永远具有完全一致性。当判断矩阵的阶数大于2时,判断矩阵的一致性指标CI与同阶平均随机一致性指标RI之比称为随机一致性比率,表示为CR,当CR满足关系式:
则可以判定该判断矩阵具有满意的一致性,否则就要对判断矩阵进行调整以使其满足一致性。
本发明的有益效果为,得到了叶节点、攻击序列和***整体的3级脆弱性指标,以及叶节点的脆弱性灵敏度指标,进而确定了影响***脆弱性的关键叶节点,能够帮助技术人员分析出脆弱性较高的攻击事件,进而有重点、有针对性地增强防御措施。
附图说明
图1为攻击防御树模型的逻辑示意图;
图2为SCADA***的一个攻击防御树实例;
图3为各叶节点的脆弱性灵敏度指标示意图。
具体实施方式
下面结合实施例进一步详细描述本发明的技术方案:
实施例
本例中通过构建SCADA***的一棵攻击防御树实例,并应用本发明所述方法来评估其叶节点、攻击序列和***整体的脆弱性。
根据SCADA***的定义和组成结构,它的信息安全威胁可能来自三处,即来自主站、从站和通信网络。通过分析,构建如图2所示的一棵攻击防御树实例。其根节点、中间结点、叶结点和防御节点的含义如表1所示:
表1攻击防御树中各节点的含义
在实际应用中,评估人员可以根据实际情况建立相应的评分标准,再依据此标准给出每个叶节点相应属性的得分,本例中采用如下表2所示的评分标准对该攻击防御树模型中的各个叶节点的属性值打分,
表2等级评分标准
评分结果如下表3所示:
表3各叶子节点的属性得分
信息安全脆弱性指标用于衡量一棵攻击树或者一个叶节点被潜在攻击人员危害的可能性。脆弱性指标的值从0到1,对应表示最不易受攻击危害到最容易受攻击危害。用三级脆弱性指标V(Ek)、V(Ik)和VS分别来表示攻击树中的每个攻击叶节点、每个攻击序列以及整个***的信息安全脆弱性。
为了计算叶节点的脆弱性,需要计算效用值U(impactk)、U(diffk)、U(detk)。通过分析可知,impactk、diffk、detk与U(impactk)、U(diffk)、U(detk)成反比例关系。采用本发明所述的层次分析法算三个权重系数Wimpact、Wdiff和Wdet。根据表4,利用9级分制标度法通过专家打分的方法构造出如下所示的判断矩阵D:
表4九级分制标度法表
计算得D的最大特征值λmax=3.1055416。根据表5所示,3阶矩阵中RI=0.58,代入公式中可得:
表5 1~9阶判断矩阵的RI值
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
0.00 | 0.00 | 0.58 | 0.90 | 1.12 | 1.24 | 1.32 | 1.41 | 1.45 |
由于CR=0.090984137<0.1,所以可知构造的判断矩阵D满足一致性条件。求解判断矩阵D对应于最大特征根λmax的特征向量为
由此可知,攻击后果严重程度、攻击难度、被发现的可能性这三种属性的权重分别为Wimpact=0.4291、Wdiff=0.4280和Wdet=0.1429。将各值代入步骤S3中的公式。这样可以得到基本攻击树和攻击防御树两种情况下各叶子节点的脆弱性指标,结果如表6所示
表6各叶子节点的脆弱性
V(E1) | V(E2) | V(E3) | V(E4) | V(E5) | V(E6) | V(E7) | V(E8) |
0.3927 | 0.3689 | 0.4287 | 0.7145 | 0.3927 | 0.4999 | 0.5715 | 0.6432 |
V’(E1) | V’(E2) | V’(E3) | V’(E4) | V’(E5) | V’(E6) | V’(E7) | V’(E8) |
0.0982 | 0.0922 | 0.3215 | 0.1786 | 0.0982 | 0.375 | 0.4286 | 0.3216 |
分析可知,要实现图2所示攻击防御树的最终攻击目标,共有6种不同的组合,即有6组攻击序列:i1={E1};i2={E2,E3};i3={E2,E4};i4={E5,E6};i5={E5,E7};i6={E5,E8}。
通过计算可得署防御措施前后各攻击序列的脆弱性结果如表7所示:
表7各攻击序列的脆弱性
***整体脆弱性为攻击序列脆弱性中的最大值,未考虑防御措施时***整体脆弱性为Vs=0.3927,采用图2所示的各项防御措施后,***整体脆弱性指标为V’s=0.0982。
计算各叶节点的脆弱性灵敏度指标,结果如图3所示。由图3可知,对于实施例所列举的这个SCADA***攻击防御树实例,其叶节点E1、E2、E4和E5是影响***脆弱性的关键节点。
对实施例的计算结果表明,通过部署防御措施,能够降低叶节点自身的脆弱性,从而减小SCADA***整体的脆弱性指标值,提高***抵御信息攻击的能力。通过分析叶节点的脆弱性灵敏度指标,可以找到影响SCADA***信息安全脆弱性的那些关键节点。在制订防护方案时,应该采取多种手段增强它们的防御措施。例如,安装防火墙、入侵检测***、异常流量分析工具,提高SCADA***主、从站人机接口应用程序自身的安全性等。
Claims (1)
1.用于量化评估SCADA***信息安全脆弱性的方法,其特征在于,包括以下步骤:
S1、建立***的攻击防御树模型:
将攻击者针对SCADA***的最终攻击目标作为根节点,攻击者可能采取的具体攻击行为表示为叶节点,其他为中间节点,建立攻击防御树模型,即每条从叶节点到根节点穿过整棵攻击防御树的路径表示对SCADA***的一次具体攻击过程,即一个攻击序列;
S2、根据影响攻击防御树叶节点脆弱性的因素,采用层次分析法确定影响叶节点脆弱性的各个因素的权重:
设定影响攻击防御树叶节点脆弱性的因素为:攻击后果严重程度、攻击难度、被发现的可能性,构造一个m×m的两两判断矩阵D,D的元素dij表示因素Xi相对于因素Xj的重要程度,判断矩阵的特征根和特征向量具有如下关系:
D=ω×λmax
其中,ω的分量即表示相应因素单排序的权值,λmax表示该判断矩阵的最大特征根;
S3、计算叶节点的脆弱性指标:
采用如下公式获取不考虑防御措施时叶节点脆弱性:
V(Ek)=Wimpact*U(impactk)+Wdiff*U(diffk)+Wdet*U(detk)
采用如下公式获取考虑防御措施时叶节点脆弱性:
<mrow>
<msup>
<mi>V</mi>
<mo>&prime;</mo>
</msup>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mo>&lsqb;</mo>
<msub>
<mi>W</mi>
<mrow>
<mi>i</mi>
<mi>m</mi>
<mi>p</mi>
<mi>a</mi>
<mi>c</mi>
<mi>t</mi>
</mrow>
</msub>
<mo>*</mo>
<mi>U</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>impact</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>+</mo>
<msub>
<mi>W</mi>
<mrow>
<mi>d</mi>
<mi>i</mi>
<mi>f</mi>
<mi>f</mi>
</mrow>
</msub>
<mo>*</mo>
<mi>U</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>diff</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>+</mo>
<msub>
<mi>W</mi>
<mi>det</mi>
</msub>
<mo>*</mo>
<mi>U</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>det</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>&rsqb;</mo>
<mo>*</mo>
<mrow>
<mo>(</mo>
<mn>1</mn>
<mo>-</mo>
<mfrac>
<msub>
<mi>n</mi>
<mi>k</mi>
</msub>
<mi>m</mi>
</mfrac>
<mo>)</mo>
</mrow>
</mrow>
其中,k表示任意一个叶子节点,V(Ek)表示该叶子节点的脆弱性指标;impactk表示该叶子节点代表的攻击事件所造成后果的严重程度;diffk表示实现该叶子节点攻击的难易程度;detk表示该叶子节点的攻击事件可能被发现的等级;Wimpact表示后果严重程度参数的权重;Wdiff表示攻击难度参数的权重;Wdet表示攻击被发现的可能性参数的权重,且这三个权重系数之和为1;U(impactk)表示攻击后果严重程度参数的效用值;U(diffk)表示攻击难度参数的效用值;U(detk)表示攻击被发现可能性参数的效用值;nk表示该叶子节点攻击事件所采取的防御措施的个数;m表示防御措施最多的叶子节点的措施数量加1,即m=max{n1,n2,…nk}+1;
S4、评估各攻击序列的脆弱性:
根据步骤S3获得的每个叶节点的脆弱性指标,根据如下公式获取攻击者针对SCADA***根节点的各攻击序列的脆弱性:
<mrow>
<mi>V</mi>
<mrow>
<mo>(</mo>
<mi>I</mi>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfenced open = "[" close = "]">
<mtable>
<mtr>
<mtd>
<mrow>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>i</mi>
<mn>1</mn>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<munder>
<mo>&Pi;</mo>
<mrow>
<mi>j</mi>
<mo>&Element;</mo>
<msub>
<mi>S</mi>
<mn>1</mn>
</msub>
</mrow>
</munder>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
</mrow>
</mtd>
</mtr>
<mtr>
<mtd>
<mrow>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>i</mi>
<mn>2</mn>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<munder>
<mo>&Pi;</mo>
<mrow>
<mi>j</mi>
<mo>&Element;</mo>
<msub>
<mi>S</mi>
<mn>2</mn>
</msub>
</mrow>
</munder>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
</mrow>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>.</mo>
</mtd>
</mtr>
<mtr>
<mtd>
<mo>.</mo>
</mtd>
</mtr>
<mtr>
<mtd>
<mrow>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>i</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<munder>
<mo>&Pi;</mo>
<mrow>
<mi>j</mi>
<mo>&Element;</mo>
<msub>
<mi>S</mi>
<mi>k</mi>
</msub>
</mrow>
</munder>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>j</mi>
</msub>
<mo>)</mo>
</mrow>
</mrow>
</mtd>
</mtr>
</mtable>
</mfenced>
</mrow>
其中,K表示***攻击序列的总数,I={i1,i2,...ik}表示整棵攻击防御树中所有攻击序列的集合;一个攻击序列的脆弱性等于相应叶节点的脆弱性的乘积,其中,S1,S2,...,Sk∈S,Sk表示构成某个攻击序列的若干叶节点的集合,S表示整棵树中所有叶节点的集合;
S5、根据步骤S4的结果获取SCADA***的脆弱性:
Vs=max{V(i1),V(i2),...,V(ik)}
S6、获取叶节点的脆弱性灵敏度:
所述叶节点的脆弱性灵敏度为用于反映叶节点对于***整体脆弱性影响的大小,则通过如下公式获取脆弱性灵敏度:
<mrow>
<mi>S</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>=</mo>
<mfrac>
<mrow>
<mo>&lsqb;</mo>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>-</mo>
<msup>
<mi>V</mi>
<mo>&prime;</mo>
</msup>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
<mo>&rsqb;</mo>
<mo>/</mo>
<mi>V</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>E</mi>
<mi>k</mi>
</msub>
<mo>)</mo>
</mrow>
</mrow>
<mrow>
<mo>(</mo>
<msub>
<mi>V</mi>
<mi>s</mi>
</msub>
<mo>-</mo>
<msub>
<msup>
<mi>V</mi>
<mo>&prime;</mo>
</msup>
<mi>s</mi>
</msub>
<mo>)</mo>
<mo>/</mo>
<msub>
<mi>V</mi>
<mi>s</mi>
</msub>
</mrow>
</mfrac>
</mrow>
其中,V(Ek)和V’(Ek)分别是未采取和采取了防御措施时叶节点的脆弱性指标,Vs和V’s是对应两种情况下的***整体脆弱性值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710755463.2A CN107491694B (zh) | 2017-08-29 | 2017-08-29 | 用于量化评估scada***信息安全脆弱性的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710755463.2A CN107491694B (zh) | 2017-08-29 | 2017-08-29 | 用于量化评估scada***信息安全脆弱性的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107491694A true CN107491694A (zh) | 2017-12-19 |
CN107491694B CN107491694B (zh) | 2019-10-18 |
Family
ID=60646031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710755463.2A Expired - Fee Related CN107491694B (zh) | 2017-08-29 | 2017-08-29 | 用于量化评估scada***信息安全脆弱性的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107491694B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108804806A (zh) * | 2018-06-05 | 2018-11-13 | 西南交通大学 | Weibull分布综合应力恒加试验中参数的简化MLE方法 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada***信息安全风险评估方法及*** |
CN109117637A (zh) * | 2018-07-03 | 2019-01-01 | 北京航空航天大学 | 基于攻击树的智能网联车辆信息安全事件发生概率评估方法与*** |
CN109446805A (zh) * | 2018-10-19 | 2019-03-08 | 西安电子科技大学 | 一种信息流完整性攻击的度量方法及其计算机装置、可读存储介质 |
CN110298170A (zh) * | 2019-05-31 | 2019-10-01 | 国网浙江省电力有限公司宁波供电公司 | 一种考虑盲目攻击因子的电力scada***安全性评估方法 |
CN111582673A (zh) * | 2020-04-23 | 2020-08-25 | 北京邮电大学 | 一种配电自动化***主站的攻击风险评估方法及装置 |
CN111770111A (zh) * | 2020-01-06 | 2020-10-13 | 南京林业大学 | 一种攻击防御树的定量分析方法 |
CN113645186A (zh) * | 2021-06-24 | 2021-11-12 | 宁波工业互联网研究院有限公司 | 一种用于多层节点共用攻击树的安全模拟评估方法 |
CN116578995A (zh) * | 2023-07-13 | 2023-08-11 | 汉兴同衡科技集团有限公司 | 一种抗攻击的信息安全漏洞分析方法、***、终端及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027550A (zh) * | 2016-06-29 | 2016-10-12 | 北京邮电大学 | 一种防御策略***分析方法及装置 |
-
2017
- 2017-08-29 CN CN201710755463.2A patent/CN107491694B/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106027550A (zh) * | 2016-06-29 | 2016-10-12 | 北京邮电大学 | 一种防御策略***分析方法及装置 |
Non-Patent Citations (5)
Title |
---|
CHEE-WOOI TEN,ET AL: "Vulnerability Assessment of Cybersecurity for SCADA Systems Using Attack Trees", 《MANIMARAN GOVINDARASU 2007 IEEE POWER ENGINEERING SOCIETY GENERAL MEETING》 * |
姜莹莹 等: "基于层次分析法的SCADA***安全评价", 《物联网技术》 * |
黄慧萍 等: "SCADA ***信息安全测试床研究进展", 《计算机应用研究》 * |
黄慧萍 等: "基于攻击树的工业控制***信息安全风险评估", 《计算机应用研究》 * |
黄慧萍 等: "基于攻防博弈的SCADA***信息安全评估方法", 《计算机工程与科学》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108804806B (zh) * | 2018-06-05 | 2022-03-08 | 西南交通大学 | Weibull分布综合应力恒加试验中参数的简化MLE方法 |
CN108804806A (zh) * | 2018-06-05 | 2018-11-13 | 西南交通大学 | Weibull分布综合应力恒加试验中参数的简化MLE方法 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada***信息安全风险评估方法及*** |
CN108833416B (zh) * | 2018-06-21 | 2020-12-15 | 北京市劳动保护科学研究所 | 一种scada***信息安全风险评估方法及*** |
CN109117637A (zh) * | 2018-07-03 | 2019-01-01 | 北京航空航天大学 | 基于攻击树的智能网联车辆信息安全事件发生概率评估方法与*** |
CN109446805B (zh) * | 2018-10-19 | 2021-10-29 | 西安电子科技大学 | 信息流完整性攻击度量方法及其计算机装置、可读存储介质 |
CN109446805A (zh) * | 2018-10-19 | 2019-03-08 | 西安电子科技大学 | 一种信息流完整性攻击的度量方法及其计算机装置、可读存储介质 |
CN110298170A (zh) * | 2019-05-31 | 2019-10-01 | 国网浙江省电力有限公司宁波供电公司 | 一种考虑盲目攻击因子的电力scada***安全性评估方法 |
CN111770111A (zh) * | 2020-01-06 | 2020-10-13 | 南京林业大学 | 一种攻击防御树的定量分析方法 |
CN111582673A (zh) * | 2020-04-23 | 2020-08-25 | 北京邮电大学 | 一种配电自动化***主站的攻击风险评估方法及装置 |
CN111582673B (zh) * | 2020-04-23 | 2023-03-31 | 北京邮电大学 | 一种配电自动化***主站的攻击风险评估方法及装置 |
CN113645186A (zh) * | 2021-06-24 | 2021-11-12 | 宁波工业互联网研究院有限公司 | 一种用于多层节点共用攻击树的安全模拟评估方法 |
CN116578995A (zh) * | 2023-07-13 | 2023-08-11 | 汉兴同衡科技集团有限公司 | 一种抗攻击的信息安全漏洞分析方法、***、终端及介质 |
CN116578995B (zh) * | 2023-07-13 | 2023-09-15 | 汉兴同衡科技集团有限公司 | 一种抗攻击的信息安全漏洞分析方法、***、终端及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107491694B (zh) | 2019-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107491694B (zh) | 用于量化评估scada***信息安全脆弱性的方法 | |
CN102496069B (zh) | 基于模糊层次分析法的电缆多状态安全运行评估方法 | |
CN102799822B (zh) | 基于网络环境软件运行安全性度量与评估方法 | |
CN103793853B (zh) | 基于双向贝叶斯网络的架空输电线路运行状态评估方法 | |
Zhang et al. | Developing a cloud model based risk assessment methodology for tunnel-induced damage to existing pipelines | |
Zhang et al. | A novel model for risk assessment of adjacent buildings in tunneling environments | |
CN102456158B (zh) | 基于ann bp模型的空中交通管理atm信息***安全评估方法 | |
CN104063612B (zh) | 一种隧道工程风险态势模糊评估方法及评估*** | |
Zhou et al. | A hybrid approach for safety assessment in high-risk hydropower-construction-project work systems | |
CN106230773A (zh) | 基于模糊矩阵层次分析法的风险评估*** | |
CN106503807A (zh) | 一种改进型rcm分析方法及基于其的动设备完整性评价*** | |
CN106411854A (zh) | 一种基于模糊贝叶斯的网络安全风险评估方法 | |
CN105303020A (zh) | 一种基于ahp的电网自然灾害风险评估方法 | |
CN104537211A (zh) | 一种基于层次分析法及灰色理论的企业安全风险预警方法 | |
CN107222333A (zh) | 一种基于bp神经网络的网络节点安全态势评估方法 | |
Yang et al. | A new cyber security risk evaluation method for oil and gas SCADA based on factor state space | |
CN108881110A (zh) | 一种安全态势评估与防御策略联合决策方法及*** | |
CN104992266A (zh) | 确定电网节点重要度的方法及*** | |
CN106209829A (zh) | 一种基于告警策略的网络安全管理*** | |
Li et al. | Real‐Time Warning and Risk Assessment of Tailings Dam Disaster Status Based on Dynamic Hierarchy‐Grey Relation Analysis | |
CN106227185A (zh) | 一种电梯风险评估*** | |
CN109615237A (zh) | 一种基于三维风险分析的加油站安全评估方法 | |
Chen et al. | Safety assessment of natural gas purification plant | |
CN107958265A (zh) | 一种基于战时影响因素与ε-SVR的战损备件预测方法 | |
Zhang et al. | An improved failure mode and effect analysis method for group decision-making in utility tunnels construction project risk evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20191018 |