CN114884694A - 一种基于分层建模的工控网络安全风险评估方法 - Google Patents

Abstract

本发明公开一种基于分层建模的工控网络安全风险评估方法，包括如下步骤：步骤1，将工控系统分层为信息层和物理层；步骤2，在信息层，构建模糊概率贝叶斯网络，通过模糊概率贝叶斯网络(FPBN)推理算法，计算物理层中设备遭受攻击的概率来估算网络攻击入侵成功的概率P；步骤3，在物理层，在攻击成功入侵的前提下，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响L；步骤4，计算工控网络风险值R＝P╳L。此种方法将信息层风险与物理层风险结合进行评估，且能够从有限的历史数据中估算出精确的条件概率表。

Description

一种基于分层建模的工控网络安全风险评估方法

技术领域

本发明属于网络安全技术领域，特别涉及一种基于分层建模的工控网络安全风险评估方法。

背景技术

工业控制系统信息安全标准对风险评估概念、流程以及指南进行了描述和规范，为风险评估的研究奠定了共性基础。风险评估方法概括起来主要分为定性、定量、定性和定量相结合三类。定性的风险评估方法主要对系统的风险进行定性分析，具有操作简单和易掌握等优点，但其评价结果过于依赖评估者的经验，很难给出定量结果。定量风险评估方法主要通过量化安全事件的发生概率和影响后果，定量描述评估对象的风险水平，但对客观数据的收集需要花费大量时间和精力。定性和定量相结合的综合评估方法是对定性、定量的有机结合，兼顾两者的优点，是工业控制系统风险评估的主要研究方向。

发明内容

本发明的目的，在于提供一种基于分层建模的工控网络安全风险评估方法，将信息层风险与物理层风险结合进行评估，且能够从有限的历史数据中估算出精确的条件概率表。

为了达成上述目的，本发明的解决方案是：

一种基于分层建模的工控网络安全风险评估方法，包括如下步骤：

步骤1，将工控系统分层为信息层和物理层；

步骤2，在信息层，构建模糊概率贝叶斯网络，通过FPBN推理算法，计算物理层中设备遭受攻击的概率来估算网络攻击入侵成功的概率P；

步骤3，在物理层，在攻击成功入侵的前提下，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响L；

步骤4，计算工控网络风险值R＝P╳L。

上述步骤2中，构建模糊概率贝叶斯网络具体包括如下步骤：

步骤A1，将信息层的节点分为漏洞节点、权限节点、目标节点三种类型；

步骤A2，定义模糊概率贝叶斯网络如下：

式中，x＝(x₁,x₂,...,x_l(x))是模糊概率贝叶斯网络FPBN中的l(x)个节点，x_i代表信息层中的节点；

是一个l(x)×l(x)的关联矩阵，描述FPBN中节点间的关联关系；

是一组条件概率表，

是节点x_i的条件概率表；

将确定的贝叶斯网络节点根据它们之间的相互关系用有向边进行连接，将不同节点和有向边形成一个有向无环图。

上述步骤2中，通过FPBN推理算法计算物理层中设备遭受攻击的概率，包括如下步骤：

步骤B1，采用三角模糊数F＝(a,b,c)建立评判等级，模糊数的获取通过专家打分；

步骤B2，根据专家评判结果得到模糊数；

步骤B3，从约束优化中获取条件概率；

步骤B4，解模糊，得到概率。

上述步骤B3的具体内容是，假设存在l(p)个语言概率

和一组专家，如果有k_i个专家选择模糊概率

来描述条件概率

则

的计算公式如下：

式中，sup(·)表示集合的最小上界，模糊概率

表示为u_i的函数。

上述步骤B4的具体步骤是：

步骤B41，三角模糊数F＝(a,b,c)的隶属度函数表达如下：

步骤B42，采用均值面积法进行解模糊，同时进行归一化，得到证据节点的概率

上述步骤2中，估算网络攻击入侵成功的概率的具体步骤是：

步骤C1，使用公共漏洞评分系统提供的漏洞可利用性指标来评估攻击者利用漏洞成功的概率：

其中，

表示贝叶斯网络的漏洞节点；AV表示访问向量，AC表示访问复杂度，AU表示认证指标；

步骤C2，根据利用漏洞成功的概率和条件概率推算出各节点的先验概率，即节点

被攻击者掌握的先验概率为：

式中，G表示节点类型，值分别为V、P、T，分别表示漏洞节点、权限节点和目标节点；

表示节点的父节点集合；n表示节点的个数；

步骤C3，利用贝叶斯定理计算后验概率，即节点

被攻击者掌握的概率为：

其中，集合

为观测到的攻击事件集合，

表示第j个属性节点

已被攻击者掌握；

表示在属性节点

被攻击者掌握的前提下,攻击事件集合E发生的条件概率；P(E)表示攻击事件集合E发生的概率。

上述步骤3中，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响，其中，被控对象模型如下：

其中，k表示时刻，X_k、U_k和Z_k分别表示k时刻被控对象的状态、控制信号和传感器的测量信号；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵，假设为定值；W_k和V_k分别表示对象的过程噪声和测量噪声，均为高斯分布；

卡尔曼状态观测器包括用于预测的时间更新方程和用于修正的测量更新方程，表示如下：

其中，

表示k时刻被控对象的的状态预测值，称为后验状态；

分别表示k、k-1时刻被控对象的状态估计值，称为先验状态；Z_k为k时刻被控对象的状态观测值；

为k时刻状态预测误差的协方差矩阵；P_k、P_k-1分别为k，k-1时刻估计误差协方差矩阵；K_k是滤波增益阵；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵；Q是过程噪声的协方差矩阵，R是测量噪声协方差矩阵；设初始状态

P₀＝1；

根据残差r(k)的大小，判断系统是否存在攻击，判断规则为：

其中，σ表示阈值，选取与系统要求的虚警率和漏警率有关，H₀表示攻击未发生，H₁表示攻击发生；

其中，k时刻传感器测量值的残差r_k表示为：

其中，Z(k)是k时刻状态观测器接收到的传感器的测量值，

是k-1时刻对k时刻的预测值。

上述步骤3中，系统总损失FL_i代表攻击者i造成的总的经济损失，用表现损失PL_i和设备维护花费

来表示：

其中，α、β分别表示表现损失和设备维护花费对系统造成损失的权重。

上述表现损失PL_i代表由于攻击导致的系统表现下降所造成的经济损失：

其中，表现损失时间T_i ^PL代表系统的表现低于正常表现的时间，表示如下：

E_i(t)＝λP(t)Q(t)

其中，E_i(t)表示系统在t时刻攻击者i下的动态表现；λ表示系统效益的转化率；P(t)表示产出；Q(t)表示质量。

上述步骤4中，计算工控网络风险值时，假设某个目标节点

被攻击者i掌握时的安全风险值为R_i，则R_ij表示为：

其中，

代表目标节点

被攻击者i掌握的概率，FL_i代表攻击者i对系统造成的总的经济损失；

整个工控系统网络风险值R表示为：

其中，n代表被攻击者i掌握的目标节点的个数，w_j表示目标节点

在物理层的重要度，

采用上述方案后，本发明考虑到工控网络风险是由信息层的攻击对物理系统产生的影响，因此将信息层风险评估与物理层风险评估两种思路结合起来，在信息层利用模糊概率贝叶斯网络分析和预测网络安全风险的传播，计算物理层中设备(主要是传感器、执行器等)遭受攻击的概率；在物理层，利用状态估计器估计被控对象在攻击情况下物理状态的变化趋势以获得被控对象的宕机时间或降级时间等可用性指标，最后利用可用性指标评估物理层的安全风险；并且在信息层建模时，为解决历史数据有限的困难，提出用模糊理论来计算条件概率表，从而得到精确的结果。

本发明具有以下有益效果：

(1)本发明结合工业控制系统的特点，采用分层建模的方法来进行风险评估，更加客观反映工控网络入侵过程情况；

(2)本发明用模糊概率替换贝叶斯网络中的精确概率，解决了从有限的历史数据中很难估算出精确的条件概率表的问题。

附图说明

图1是本发明的流程图；

图2是贝叶斯网络攻击传播结构示意图；

图3是系统在攻击下的动态表现图；

其中，E₀表示系统正常时的表现；

E_i表示系统在攻击i下的最低表现(当E_i＝0时，系统进程中断)；

表示攻击i发生的时刻；

表示系统表现开始下降的时刻；

表示系统的表现下降到最低的时刻；

表示攻击被系统检测到的时刻；

表示系统表现开始恢复的时刻；

表示系统完全恢复到正常表现的时刻；

T_c表示系统工作周期。

具体实施方式

以下将结合附图，对本发明的技术方案及有益效果进行详细说明。

如图1所示，本发明提供一种基于分层建模的工控网络安全风险评估方法，包括如下步骤：

步骤1，根据工控系统网络入侵的特点，对工控系统进行分层，分为信息层和物理层；

步骤2，在信息层，构建模糊概率贝叶斯网络，通过FPBN推理算法计算物理层中设备(主要是传感器、执行器等)遭受攻击的概率来估算网络攻击入侵成功的概率P；

步骤3，在物理层，在攻击成功入侵的前提下，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响L；

步骤4，基于步骤2和步骤3，计算工控网络风险值R＝PxL。

所述步骤2中，模糊概率贝叶斯网络定义如下：

首先，贝叶斯网络可以定义如下：

式中，x＝(x₁,x₂,...,x_l(x))是贝叶斯网络BN中的l(x)个节点；p＝(p₁,p₂,...,p_l(x))是一组条件概率表，p_i是节点x_i的条件概率表；

是一个l(x)×l(x)的关联矩阵，描述BN中节点间的关联关系：

其中，g_i,j是关联矩阵

的元素，公式如下：

为了解决从有限的历史数据中很难估算出精确的条件概率表的问题，使用模糊概率来替代标准贝叶斯网络模型中所需的精确概率，FPBN模型定义如下：

式中，x＝(x₁,x₂,…,x_l(x))是模糊概率贝叶斯网络FPBN中的l(x)个节点，x_i代表信息层中的节点；

是一个l(x)×l(x)的关联矩阵，描述FPBN中节点间的关联关系；

是一组条件概率表，

是节点x_i的条件概率表。

那么，信息层模糊概率贝叶斯网络结构图的构建步骤如下：

(1)确立基本因素集合

在工控系统中攻击者的目标一般是想通过恶意操作传感器和执行器等以达到干扰、破坏物理对象的目的。通常将信息层的节点分为三种类型，漏洞节点(Vulnerabilitynode，VUL)代表工控系统中可以被攻击者利用的漏洞；权限节点(Privilege node，PRI)代表主机权限，攻击者想要进行攻击操作必须获得主机权限；目标节点(Target node，TAR)代表工控系统中的传感器、执行器等现场设备。当目标节点被攻击者掌握时，即表示网络攻击入侵成功。信息层漏洞有很多，本发明只考虑有权限访问下层网络的主机和相关漏洞。

(2)根据因果关系建立模糊概率贝叶斯网络结构

按照模糊概率贝叶斯网络的定义，将确定的贝叶斯网络节点根据它们之间的相互关系用有向边进行连接，将不同节点和有向边形成一个有向无环图。

图2给出了一个攻击传播分析的贝叶斯网举例，包括4个漏洞节点V1～V4，4个权限节点P1～P4，5个目标节点T1～T5。根据利用漏洞和获取权限难度的不同，可以估算出每个目标节点被攻击者掌握的后验概率。

利用FPBN模型估算条件概率的具体步骤如下：

(1)建立评判等级，采用三角模糊数。模糊数的获取通过专家打分，按照程度分为“低、较低、中等、较高、高”共5种语言变量，具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。为了方便计算，将三角模糊数统一用F＝(a,b,c)表示，例如事件发生概率较高，模糊数为(0.6,0.7,0.8)。

(2)专家评判获取模糊语言。为了更准确地利用模糊数来量化事件的概率，有必要邀请多位来自网络安全或控制工程领域的权威专家对各个事件进行打分，综合各个专家的评判结果得出各个事件的模糊数。

(3)从约束优化中获取条件概率，方法如下：

假设存在l(p)个语言概率

和一组专家，如果有k_i个专家选择模糊概率

来描述条件概率

则

的计算公式如下：

式中，sup(·)表示集合的最小上界，模糊概率

表示为u_i的函数，如果u是确定的，

可以从优化问题中获取，如果u∈[0,1]，

也不同。

(4)解模糊，具体步骤如下：

1)本发明采用的三角模糊数F＝(a,b,c)，则其隶属度函数表达如下：

2)采用均值面积法进行解模糊，同时进行归一化，可得到证据节点的概率，设为p′，则表达式如下：

所述步骤2中，在本实施例中，使用公共漏洞评分系统(common vulnerabilityscoring system,CVSS)提供的漏洞可利用性指标来评估攻击者利用漏洞成功的概率。该指标包括访问向量(access vector,AV)、访问复杂度(access complexity,AC)、认证指标(authentiation,AU)，它们的评分范围设置为0～1，且具体值可在开源的数据库中找到，故可以用此计算利用漏洞成功的概率为：

式中，

表示贝叶斯网络的漏洞节点。

然后由贝叶斯推理算法得到目标节点(主要是传感器、执行器等物理层中的设备)被攻击的后验概率，具体步骤如下：

(1)根据利用漏洞成功的概率和条件概率推算出各节点的先验概率，即节点

被攻击者掌握的先验概率为：

式中，G表示节点类型，值分别为V、P、T，分别表示漏洞节点、权限节点和目标节点；

表示节点的父节点集合；n表示节点的个数。

(2)利用贝叶斯定理计算后验概率，即节点

被攻击者掌握的概率为：

其中，集合

为观测到的攻击事件集合，

表示第j个属性节点

已被攻击者掌握；

表示在属性节点

被攻击者掌握的前提下,攻击事件集合E发生的条件概率；P(E)表示攻击事件集合E发生的概率。

所述步骤3中，在攻击成功入侵的前提下，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响，具体步骤如下：

(1)被控对象模型

采用卡尔曼状态观测器观测被控对象的状态，模型如下：

其中，k表示时刻，X_k、U_k和Z_k分别表示k时刻被控对象的状态、控制信号和传感器的测量信号；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵，假设他们为定值；W_k和V_k分别表示对象的过程噪声和测量噪声，均为高斯分布。

(2)状态观测

卡尔曼状态观测器分为时间更新方程(用于预测)和测量更新方程(用于修正)，这两个方程组在滤波器运行的每个状态下都会执行。时间更新方程根据前一时刻的状态估计值推算当前时刻的状态变量先验估计值和误差协方差先验估计值。测量更新方程负责将先验估计和新的测量变量结合起来构造改进的后验估计。两个方程组表示如下：

其中，

表示k时刻被控对象的的状态预测值，可称为后验状态；

分别表示k、k-1时刻被控对象的状态估计值，可称为先验状态；Z_k为k时刻被控对象的状态观测值；

为k时刻状态预测误差协方差矩阵；P_k、P_k-1分别为k，k-1时刻估计误差协方差矩阵；K_k是滤波增益阵；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵，均可为定值；Q是过程噪声的协方差矩阵，R是测量噪声协方差矩阵；可以设初始状态

P₀＝1。

在获得了卡尔曼状态观测器运行所需的所有信息后，可以估值迭代。前一状态的估值将成为当前状态的输入，即k-1时刻的输出将是k时刻的输入。

1)计算残差值

k时刻传感器测量值的残差r_k表示为：

其中，Z(k)是k时刻状态观测器接收到的传感器的测量值，

是k-1时刻对k时刻的估计值。

2)判断是否有攻击

根据残差r(k)的大小，判断系统是否存在攻击，判断规则为：

其中，σ表示阈值，选取与系统要求的虚警率和漏警率有关，H₀表示攻击未发生，H₁表示攻击发生。

(3)系统动态表现分析

通过状态观测器，实时监测被控对象的运行状态，以此来评估整个系统的动态表现。

1)效益函数

本实施例通过一个关于产出和质量的效益函数来表示系统的动态表现：

E_i(t)＝λP(t)Q(t)

其中，E_i(t)表示系统在t时刻攻击者i下的动态表现；λ表示系统效益的转化率；P(t)表示产出，通常指t时刻系统的产量；Q(t)表示质量，通常指t时刻产出产品的质量。

2)系统在攻击下的动态表现图具体如图3所示；

3)系统表现损失量化

表现损失时间T_i ^PL代表系统的表现低于正常表现的时间，表示如下：

表现损失PL_i代表由于攻击者i导致的系统表现下降所造成的经济损失：

(4)系统经济总损失

系统总损失FL_i代表攻击者i造成的总的经济损失，可以用表现损失PL_i和设备维护花费

来表示：

其中，α、β分别表示表现损失和设备维护花费对系统造成损失的权重。

所述步骤4中，计算工控网络风险值时，假设某个目标节点

被攻击者i掌握时的安全风险值为R_i，则R_ij可表示为：

其中，

代表目标节点

被攻击者i掌握的概率，FL_i代表攻击者i对系统造成的总的经济损失。

整个工控系统网络风险值R可表示为：

其中，n代表被攻击者i掌握的目标节点的个数，w_j表示目标节点

在物理层的重要度，

w_j可由专家根据该节点在物理层中的重要性评估给出。

以上实施例仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明保护范围之内。

Claims (10)

1.一种基于分层建模的工控网络安全风险评估方法，其特征在于包括如下步骤：

步骤1，将工控系统分层为信息层和物理层；

步骤2，在信息层，构建模糊概率贝叶斯网络，通过FPBN推理算法，计算物理层中设备遭受攻击的概率来估算网络攻击入侵成功的概率P；

步骤3，在物理层，在攻击成功入侵的前提下，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响L；

步骤4，计算工控网络风险值R＝P╳L。

2.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤2中，构建模糊概率贝叶斯网络具体包括如下步骤：

步骤A1，将信息层的节点分为漏洞节点、权限节点、目标节点三种类型；

步骤A2，定义模糊概率贝叶斯网络如下：

式中，x＝(x₁,x₂,...,x_l(x))是模糊概率贝叶斯网络FPBN中的l(x)个节点，x_i代表信息层中的节点；

是一个l(x)×l(x)的关联矩阵，描述FPBN中节点间的关联关系；

是一组条件概率表，

是节点x_i的条件概率表；

将确定的贝叶斯网络节点根据它们之间的相互关系用有向边进行连接，将不同节点和有向边形成一个有向无环图。

3.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤2中，通过FPBN推理算法计算物理层中设备遭受攻击的概率，包括如下步骤：

步骤B1，采用三角模糊数F＝(a,b,c)建立评判等级，模糊数的获取通过专家打分；

步骤B2，根据专家评判结果得到模糊数；

步骤B3，从约束优化中获取条件概率；

步骤B4，解模糊，得到概率。

4.如权利要求3所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤B3的具体内容是，假设存在l(p)个语言概率

和一组专家，如果有k_i个专家选择模糊概率

来描述条件概率

则

的计算公式如下：

式中，sup(·)表示集合的最小上界，模糊概率

表示为u_i的函数。

5.如权利要求4所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤B4的具体步骤是：

步骤B41，三角模糊数F＝(a,b,c)的隶属度函数表达如下：

步骤B42，采用均值面积法进行解模糊，同时进行归一化，得到证据节点的概率

6.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤2中，估算网络攻击入侵成功的概率的具体步骤是：

步骤C1，使用公共漏洞评分系统提供的漏洞可利用性指标来评估攻击者利用漏洞成功的概率：

其中，

表示贝叶斯网络的漏洞节点；AV表示访问向量，AC表示访问复杂度，AU表示认证指标；

步骤C2，根据利用漏洞成功的概率和条件概率推算出各节点的先验概率，即节点

被攻击者掌握的先验概率为：

式中，G表示节点类型，值分别为V、P、T，分别表示漏洞节点、权限节点和目标节点；

表示节点的父节点集合；n表示节点的个数；

步骤C3，利用贝叶斯定理计算后验概率，即节点

被攻击者掌握的概率为：

其中，集合

为观测到的攻击事件集合，

表示第j个属性节点

已被攻击者掌握；

表示在属性节点

被攻击者掌握的前提下,攻击事件集合E发生的条件概率；P(E)表示攻击事件集合E发生的概率。

7.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤3中，采用卡尔曼状态观测器实时观测被控对象的状态，量化攻击对系统造成的影响，其中，被控对象模型如下：

其中，k表示时刻，X_k、U_k和Z_k分别表示k时刻被控对象的状态、控制信号和传感器的测量信号；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵，假设为定值；W_k和V_k分别表示对象的过程噪声和测量噪声，均为高斯分布；

卡尔曼状态观测器包括用于预测的时间更新方程和用于修正的测量更新方程，表示如下：

其中，

表示k时刻被控对象的的状态预测值，称为后验状态；

分别表示k、k-1时刻被控对象的状态估计值，称为先验状态；Z_k为k时刻被控对象的状态观测值；

为k时刻状态预测误差的协方差矩阵；P_k、P_k-1分别为k，k-1时刻估计误差协方差矩阵；K_k是滤波增益阵；A是状态转移矩阵，B是输入控制矩阵，H是测量矩阵；Q是过程噪声的协方差矩阵，R是测量噪声协方差矩阵；设初始状态

P₀＝1；

根据残差r(k)的大小，判断系统是否存在攻击，判断规则为：

其中，σ表示阈值，选取与系统要求的虚警率和漏警率有关，H₀表示攻击未发生，H₁表示攻击发生；

其中，k时刻传感器测量值的残差r_k表示为：

其中，Z(k)是k时刻状态观测器接收到的传感器的测量值，

是k-1时刻对k时刻的预测值。

8.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤3中，系统总损失FL_i代表攻击者i造成的总的经济损失，用表现损失PL_i和设备维护花费

来表示：

其中，α、β分别表示表现损失和设备维护花费对系统造成损失的权重。

9.如权利要求8所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述表现损失PL_i代表由于攻击导致的系统表现下降所造成的经济损失：

其中，表现损失时间

代表系统的表现低于正常表现的时间，表示如下：

Ei(t)＝λP(t)Q(t)

其中，E_i(t)表示系统在t时刻攻击者i下的动态表现；λ表示系统效益的转化率；P(t)表示产出；Q(t)表示质量。

10.如权利要求1所述的基于分层建模的工控网络安全风险评估方法，其特征在于：所述步骤4中，计算工控网络风险值时，假设某个目标节点

被攻击者i掌握时的安全风险值为R_i，则R_ij表示为：

其中，

代表目标节点

被攻击者i掌握的概率，FL_i代表攻击者i对系统造成的总的经济损失；

整个工控系统网络风险值R表示为：

其中，n代表被攻击者i掌握的目标节点的个数，w_j表示目标节点

在物理层的重要度，

Images