CN109117637A - 基于攻击树的智能网联车辆信息安全事件发生概率评估方法与系统 - Google Patents

Abstract

本发明公开了一种基于攻击树的智能网联车辆信息安全事件发生概率评估方法，该方法中对智能网联车辆信息系统采用攻击树分析法实现信息系统安全事件发生概率的计算，分析攻击树的攻击序列，采用多属性效用理论，计算根节点和各攻击序列遭受信息攻击风险的概率大小，揭示系统攻击树中风险最大的攻击路径，以确定对系统制定保护措施时，最应该防止的攻击方式。本发明采用的信息安全事件发生概率评估方法适合于智能网联车辆业务用例的安全事件发生概率的评估。

Description

基于攻击树的智能网联车辆信息安全事件发生概率评估方法 与系统

技术领域

本发明涉及一种安全事件发生概率评估方法与系统，具体为智能网联车辆业务用例中一种基于攻击树的安全事件发生概率评估方法和系统。

背景技术

在信息安全风险管理领域中，由于信息安全事件的不确定性、动态性等复杂特性，其发生概率的评价比较困难。这方面的研究内容很多，但风险矩阵法、模糊评判法、层次分析法，以及以相关信息安全评估标准为依据的评估方法，大多数只是定性的评估，主观因素很强；专家系统评估法需要依赖大量的历史数据，投入周期较长，且系统移植性不好；还有例如故障树、事故树等演绎分析法仅适用于分析系统内部故障，通过分析造成树顶事件各种可能的原因及彼此关系画出逻辑关系图，确定树顶事件发生的原因和概率，但并不适用于智能网联车辆业务用例的攻击建模。

发明内容

为了解决现有评估方法中的问题，本发明提供了一种基于攻击树的智能网联车辆信息安全事件发生概率评估系统。

本发明提供了一种基于攻击树的智能网联车辆信息安全事件发生概率评估方法，该方法中对智能网联车辆业务用例采用攻击树分析法实现信息系统安全事件发生概率的计算，分析攻击树的攻击序列，采用多属性效用理论，计算根节点和各攻击序列遭受信息攻击风险的概率大小，揭示系统攻击树中风险最大的攻击路径，以确定对系统制定保护措施时，最应该防止的攻击方式。

在上述技术方案中，所述安全事件发生概率的计算评估步骤如下：

步骤1：确定智能网联车辆业务用例的攻击目标，建立用例系统的攻击树模型；

步骤2：选择合适的评判指标，并对攻击树叶子节点的指标进行量化；

步骤3：计算叶子节点(安全事件)发生的概率P_i；

步骤4：计算攻击树根节点(即攻击者的攻击目标)发生的概率P_G；

步骤5：分析攻击序列，并计算各攻击序列发生的概率P_si；

步骤6：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法。

在上述技术方案中，所述攻击树采用树型结构来表示针对系统的各种攻击行为，在攻击树中，树的根节点表示攻击者的最终攻击目标，叶节点表示具体的攻击事件，即攻击者可能采取的各种攻击手段，各中间节点表示要达到最终目标所必须要完成的一些中间步骤或一些概念性的目标，攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列，任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程，遍历整个攻击树可以生成实现以根节点为攻击目标的所有攻击路径。

在上述技术方案中，所述节点之间的关系包括：或(or)、与(and)两种，或(or)关系表示任一子节点的完成都将导致父节点的完成；与(and)关系表示只有所有子节点的完成才能导致父节点的完成。

在上述技术方案中，所述步骤3中叶子节点安全事件发生的概率计算公式如下：

P_i＝W_cost×U(cost_i)+W_diff×U(diff_i)+W_det×U(det_i)

式中，i为任意一个叶子节点，P_i为该叶子节点所代表的攻击事件发生的概率，W_cost为攻击成本参数的权重；W_diff为攻击难度参数的权重，W_det为攻击被发现的可能性参数的权重，且这三个权重系数之和为1；U(cost_i)表示攻击成本参数的效用值，U(diff_i)表示攻击难度参数的效用值，U(det_i)表示攻击被发现可能性参数的效用值。

在上述技术方案中，所述攻击树自底向上由叶节点求根节点概率的过程中，有以下两种计算情况：

(1)and关系的子节点，其父节点的发生概率等于各子结点发生概率的乘积：

P(v)＝P(v₁)×P(v₂)×…×P(v_n)

(2)or关系的子节点，其父结点的发生概率等于各子结点发生概的最大值：

P(v)＝max{P(v₁)，P(v₂)，…，P(v_n)}

其中，v代表父节点；v₁，v₂，…，v_n代表子节点；P(v_i)代表子节点v_i的发生概率。

在上述技术方案中，所述攻击序列发生概率的计算公式为：

假设S_i＝{v₁，v₂，…，v_n}，则P_si＝P_V1×P_V2×…×P_Vn。

在上述技术方案中，所述基于攻击树的智能网联车辆信息安全事件发生概率评估系统，包括以下方面：

(1)攻击树模型构建单元：了解系统总的安全状况，从攻击者的角度考虑攻击者要实现的最终目标，构造攻击链，然后由攻击链构造攻击树；

(2)攻击树叶子节点指标量化单元：采用多属性效应理论，将叶子节点的攻击成本、攻击难度和攻击被发现的可能性三个属性转换成其实现目标的效用值；

(3)攻击树叶子节点发生概率计算单元：攻击树叶子节点的攻击成本、攻击难度和攻击被发现的可能性的效用值与其相应权重乘积之和；

(4)攻击树根节点发生概率计算单元：在攻击树自底向上由叶节点求根节点概率的过程中，有两种计算情况：and关系的子节点，or关系的子节点，其具体计算过程见上述概率计算公式；

(5)攻击序列分析与发生概率计算单元：遍历整个攻击树生成实现以根节点为攻击目标的所有攻击序列，计算攻击序列的发生概率；

(6)攻击路径与方法分析单元：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法，最大概率的即为攻击者最有可能采取的攻击方式，在对系统制定保护措施时，最应该防止的也是这些攻击方式。

本发明的有益效果是：

1、本发明采用的安全事件发生概率评估方法适合于智能网联车辆业务用例系统的攻击概率评估。

2、本发明采用的攻击树的分析方法，采用多属性效用理论量化攻击树叶子节点评估指标，利用and关系的子节点、or关系的子节点概率计算公式计算根节点安全事件发生的概率，对其安全事件发生概率进行了定量评估。

3、本发明遍历整个攻击树生成实现以根节点为攻击目标的所有攻击序列，并计算各攻击序列发生的概率，确定攻击者最有可能采取的攻击方式，有利于有针对性地采取保护措施。

附图说明

图1为本发明提供的一种基于攻击树的智能网联车辆信息安全事件发生概率评估系统示意图；

图2为本发明实施例中车辆加速攻击模型示意图。

具体实施方式

以下结合附图和具体实施例对本发明作进一步的详细描述。

如图1所示，本发明实施例提供一种基于攻击树的智能网联车辆信息安全事件发生概率评估方法，该方法中对智能网联车辆业务用例采用攻击树分析法实现信息系统安全事件发生概率的计算，分析攻击树的攻击序列，采用多属性效用理论，计算根节点和各攻击序列遭受信息攻击风险的概率大小，揭示系统攻击树中风险最大的攻击路径，以确定对系统制定保护措施时，最应该防止的攻击方式。其安全事件发生概率评估步骤如下：

步骤1：确定智能网联车辆业务用例的攻击目标，建立用例系统的攻击树模型；

步骤2：选择合适的评判指标，并对攻击树叶子节点的指标进行量化；

步骤3：计算叶子节点(安全事件)发生的概率P_i；

步骤4：计算攻击树根节点(即攻击者的攻击目标)发生的概率P_G；

步骤5：分析攻击序列，并计算各攻击序列发生的概率P_si；

步骤6：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法。

其中，攻击树采用树型结构来表示针对系统的各种攻击行为，在攻击树中，树的根节点表示攻击者的最终攻击目标，叶节点表示具体的攻击事件，即攻击者可能采取的各种攻击手段，各中间节点表示要达到最终目标所必须要完成的一些中间步骤或一些概念性的目标。攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列。任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程，遍历整个攻击树可以生成实现以根节点为攻击目标的所有攻击路径。

此外，节点之间的关系包括：或(or)、与(and)两种，或(or)关系表示任一子节点的完成都将导致父节点的完成；与(and)关系表示只有所有子节点的完成才能导致父节点的完成。

其中，步骤1中智能网联车辆业务用例攻击树模型构建内容如下：

了解系统总的安全状况，从攻击者的角度考虑攻击者要实现的最终目标，构造攻击链，然后由攻击链构造攻击树。本实施例构建了利用车辆信息系统的潜在漏洞实现车辆加速的攻击树模型，攻击树模型如图2所示。

其中，步骤2中攻击树叶子节点的指标量化内容如下：

信息系统发生风险的概率受到攻击成本、攻击难度和攻击被发现的可能性等多种因素的影响，本发明采用多属性效应理论，将叶子节点的攻击成本、攻击难度和攻击被发现的可能性三个属性转换成其实现目标的效用值。在图2的攻击树模型中，攻击树叶子节点分别为：恶意软件传播(社会工程)、逆向工程收集发动机控制器代码数据、在发动机控制器固件中插入恶意软件、shell注入攻击、发送有效荷载、绕过车辆识别码、下载携带特洛伊木马的恶意软件、移动设备中的软件执行、恶意软件注入，激活蓝牙功能、含有恶意软件的USB传播(社会工程)、OBD(蓝牙)有线/无线连接、通过用户在移动设备中下载恶意软件、通过OBD分析CAN报文、获取ECU控制CAN报文(车辆加速报文)。在本发明中，设cost_i为实现该叶子节点攻击事件的成本，diff_i为实现该叶子节点攻击事件的难易程度，det_i为该叶子结点的攻击事件被发现的等级；U(cost_i)表示攻击成本参数的效用值；U(diff_i)表示攻击难度参数的效用值；U(det_i)表示攻击被发现可能性参数的效用值。其中，cost_i、diff_i、det_i与U(cost_i)、U(diff_i)、U(det_i)成反比例关系，三者之间的对应关系均取为：

U(x)＝1/x (1)

其中，步骤2中所述的叶子节点安全事件发生的概率计算公式如下：

P_i＝W_cost×U(cost_i)+W_diff×U(diff_i)+W_det×U(det_i) (2)

式中，i为任意一个叶子节点，P_i为该叶子节点所代表的攻击事件发生的概率，W_cost为攻击成本参数的权重；W_diff为攻击难度参数的权重，W_det为攻击被发现的可能性参数的权重，且这三个权重系数之和为1。

计算出上述攻击树叶子节点的安全事件的发生概率后，步骤4在攻击树自底向上由叶节点求根节点概率的过程中，有以下两种计算情况：

(1)and关系的子节点，其父节点的发生概率等于各子结点发生概率的乘积：

P(v)＝P(v₁)×P(v₂)×…×P(v_n) (3)

(2)or关系的子节点，其父结点的发生概率等于各子结点发生概的最大值：

P(v)＝max{P(v₁)，P(v₂)，…，P(v_n)} (4)

其中，v代表父节点；v₁，v₂，…，v_n代表子节点；P(v_i)代表子节点v_i的发生概率。

步骤5中确定攻击序列，图2攻击树模型中的所有攻击序列如下：

利用固件升级漏洞的攻击场景：

S₁＝{V₃，V₄，V₅}

利用蓝牙漏洞的攻击场景：

S₂＝{V₂，V₅，V₁₀，V₁₁}

S₃＝{V₂，V₅，V₉，V₁₂，V₁₄，V₁₅}

利用CAN网络漏洞的攻击场景

S₄＝{V₂，V₅，V₆，V₇}

设Si＝{V₁，V₂，…，V_n}，其发生概率计算公式为：

P_si＝P_V1×P_V2×…×P_Vn (5)

其中，攻击序列是指一组攻击行为链，即攻击树中的一系列叶子节点，发生了这些叶子节点所代表的攻击事件，就会达到攻击树的根节点，即实现了攻击者的最终目标。

最后根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法。

本发明还提供了一种利用上述方法的安全事件发生概率评估系统，包括：

(1)攻击树模型构建单元：了解系统总的安全状况，从攻击者的角度考虑攻击者要实现的最终目标，构造攻击链，然后由攻击链构造攻击树；

(2)攻击树叶子节点的指标量化单元：采用多属性效应理论，将叶子节点的攻击成本、攻击难度和攻击被发现的可能性三个属性转换成其实现目标的效用值；

(3)攻击树叶子节点(安全事件)发生概率计算单元：攻击树叶子节点的攻击成本、攻击难度和攻击被发现的可能性的效用值与其相应权重乘积之和；

(4)攻击树根节点发生概率计算单元：在攻击树自底向上由叶节点求根节点概率的过程中，有两种计算情况：and关系的子节点，or关系的子节点，其具体计算过程见上述概率计算公式；

(5)攻击序列分析与发生概率计算单元：遍历整个攻击树生成实现以根节点为攻击目标的所有攻击序列，计算攻击序列的发生概率；

(6)攻击路径与方法分析单元：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法，最大概率的即为攻击者最有可能采取的攻击方式，在对系统制定保护措施时，最应该防止的也是这些攻击方式。

需要强调的是，本实施例仅用于说明本发明而不限于本发明的范围，在阅读了本发明之后，该领域研究人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定，同样属于本发明的保护范围。

Claims (8)

1.基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：采用攻击树分析法实现信息系统安全事件发生概率的计算，分析攻击树的攻击序列，采用多属性效用理论，计算根节点和各攻击序列遭受信息攻击风险的概率大小，揭示系统攻击树中风险最大的攻击路径，以确定对系统制定保护措施时，最应该防止的攻击方式。

2.根据权利要求1所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：所述安全事件发生概率的计算评估步骤如下：

步骤1：确定智能网联车辆业务用例的攻击目标，建立用例系统的攻击树模型；

步骤2：选择合适的评判指标，并对攻击树叶子节点的指标进行量化；

步骤3：计算叶子节点(安全事件)发生的概率P_i；

步骤4：计算攻击树根节点(即攻击者的攻击目标)发生的概率P_G；

步骤5：分析攻击序列，并计算各攻击序列发生的概率P_si；

步骤6：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法。

3.根据权利要求1所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：攻击树采用树型结构来表示针对系统的各种攻击行为，在攻击树中，树的根节点表示攻击者的最终攻击目标，叶节点表示具体的攻击事件，即攻击者可能采取的各种攻击手段，各中间节点表示要达到最终目标所必须要完成的一些中间步骤或一些概念性的目标，攻击树的各个分支表示为达到最终攻击目标可能采取的各种攻击序列，任何一条从叶节点到根节点的路径表示实现这个攻击目标而进行的一次完整的攻击过程，遍历整个攻击树可以生成实现以根节点为攻击目标的所有攻击路径。

4.根据权利要求2所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：节点之间的关系包括：或(or)、与(and)两种，或(or)关系表示任一子节点的完成都将导致父节点的完成；与(and)关系表示只有所有子节点的完成才能导致父节点的完成。

5.根据权利要求2所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：所述步骤3中叶子节点安全事件发生的概率计算公式如下：

P_i＝W_cost×U(cost_i)+W_diff×U(diff_i)+W_det×U(det_i)

式中，i为任意一个叶子节点，P_i为该叶子节点所代表的攻击事件发生的概率，W_cost为攻击成本参数的权重；W_diff为攻击难度参数的权重，W_det为攻击被发现的可能性参数的权重，且这三个权重系数之和为1；U(cost_i)表示攻击成本参数的效用值，U(diff_i)表示攻击难度参数的效用值，U(det_i)表示攻击被发现可能性参数的效用值。

6.根据权利要求2和4所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：在攻击树自底向上由叶节点求根节点概率的过程中，有以下两种计算情况：

(1)and关系的子节点，其父节点的发生概率等于各子结点发生概率的乘积：

P(v)＝P(v₁)×P(v₂)×···×P(v_n)

(2)or关系的子节点，其父结点的发生概率等于各子结点发生概的最大值：

P(v)＝max{P(v₁)，P(v₂)，···，P(v_n)}

其中，v代表父节点；v₁，v₂，···，v_n代表子节点；P(v_i)代表子节点v_i的发生概率。

7.根据权利要求2所述的基于攻击树的智能网联车辆信息安全事件发生概率评估方法，其特征在于：攻击序列发生概率的计算公式为：假设S_i＝{v₁，v₂，···，v_n}，则

P_si＝P_V1×P_V2×···×P_Vn

8.根据权利要求1-7所述的基于攻击树的智能网联车辆信息安全事件发生概率评估系统，其特征在于，包括以下方面：

(1)攻击树模型构建单元：了解系统总的安全状况，从攻击者的角度考虑攻击者要实现的最终目标，构造攻击链，然后由攻击链构造攻击树；

(2)攻击树叶子节点指标量化单元：采用多属性效应理论，将叶子节点的攻击成本、攻击难度和攻击被发现的可能性三个属性转换成其实现目标的效用值；

(3)攻击树叶子节点发生概率计算单元：攻击树叶子节点的攻击成本、攻击难度和攻击被发现的可能性的效用值与其相应权重乘积之和；

(4)攻击树根节点发生概率计算单元：在攻击树自底向上由叶节点求根节点概率的过程中，有两种计算情况：and关系的子节点，or关系的子节点，其具体计算过程见上述概率计算公式；

(5)攻击序列分析与发生概率计算单元：遍历整个攻击树生成实现以根节点为攻击目标的所有攻击序列，计算攻击序列的发生概率；

攻击路径与方法分析单元：根据攻击序列发生概率的计算结果分析最有可能被攻击者利用的攻击路径和方法，最大概率的即为攻击者最有可能采取的攻击方式，在对系统制定保护措施时，最应该防止的也是这些攻击方式。