攻擊圖與HMM工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

崔雯迪，段鵬飛，朱紅強(qiáng)，劉 娜

(1.中國(guó)石油大學(xué)(華東)海洋與空間信息學(xué)院，山東 青島 266580； 2.中國(guó)石油大學(xué)(華東)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 青島 266580)

0 引 言

近年來(lái)，隨著網(wǎng)絡(luò)技術(shù)和世界形勢(shì)的發(fā)展，網(wǎng)絡(luò)攻擊逐漸從傳統(tǒng)的IT互聯(lián)網(wǎng)擴(kuò)展到工業(yè)控制網(wǎng)絡(luò)[1]。計(jì)算機(jī)系統(tǒng)的脆弱性導(dǎo)致了網(wǎng)絡(luò)安全事件頻發(fā)，公開的漏洞數(shù)的逐年攀升[2]使得網(wǎng)絡(luò)安全問(wèn)題愈發(fā)嚴(yán)重。IT數(shù)據(jù)網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)(ICS)中融合的比例日益增多，針對(duì)IT網(wǎng)絡(luò)的攻擊現(xiàn)已逐漸蔓延到了工業(yè)控制網(wǎng)絡(luò)。因此對(duì)ICS的網(wǎng)絡(luò)進(jìn)行安全狀況情景分析和網(wǎng)絡(luò)安全保護(hù)已成為如今需要迫切進(jìn)行的工作。對(duì)工業(yè)控制網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊和保護(hù)已成為我們國(guó)家乃至世界關(guān)注的熱點(diǎn)問(wèn)題。

工業(yè)控制系統(tǒng)是包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布控制系統(tǒng)(DCS)等多種類型控制系統(tǒng)的總稱[3]。對(duì)ICS的網(wǎng)絡(luò)攻擊嚴(yán)重時(shí)會(huì)導(dǎo)致控制系統(tǒng)與PLC的毀壞與癱瘓[4]。人員傷亡、資產(chǎn)損失、環(huán)境污染和功能破壞都屬于工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。應(yīng)通過(guò)實(shí)施各種保護(hù)手段和策略來(lái)提高ICS中的網(wǎng)絡(luò)安全保障，以盡可能地避免安全風(fēng)險(xiǎn)。因此，對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估及安全保護(hù)[5]能夠有力地保護(hù)網(wǎng)絡(luò)安全。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估能夠?yàn)榫W(wǎng)絡(luò)安全保護(hù)提供可靠的評(píng)估信息，可在ICS網(wǎng)絡(luò)安全防護(hù)中發(fā)揮著重要作用。

1 國(guó)內(nèi)外研究現(xiàn)狀

目前工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法主要包含攻擊樹、攻擊圖、Petri網(wǎng)、貝葉斯網(wǎng)絡(luò)和層次分析法等。美國(guó)SANS網(wǎng)絡(luò)安全實(shí)驗(yàn)室提出了構(gòu)建信息安全中的一般攻擊模型[6]攻擊樹理論。文獻(xiàn)[7]利用漏洞的利用難度和后果對(duì)系統(tǒng)的安全性進(jìn)行了分析，采用的是攻擊圖技術(shù)分析系統(tǒng)漏洞。文獻(xiàn)[8]能夠使系統(tǒng)管理員量化各級(jí)網(wǎng)絡(luò)受損的可能性，提出了一種風(fēng)險(xiǎn)管理框架，使用貝葉斯網(wǎng)絡(luò)。文獻(xiàn)[9]提出了經(jīng)過(guò)優(yōu)化的Markov理論與博弈理論結(jié)合網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法，能夠提高評(píng)估效率，將漏洞信息與受到的網(wǎng)絡(luò)攻擊威脅進(jìn)行分類處理。該方法能夠得到資產(chǎn)的具體風(fēng)險(xiǎn)情況描述攻擊威脅與修復(fù)漏洞之間的博弈關(guān)系。文獻(xiàn)[10]提出了一種結(jié)合D-S證據(jù)理論和層次分析法的工業(yè)控制系統(tǒng)信息安全靜態(tài)的風(fēng)險(xiǎn)評(píng)估方法，并對(duì)相關(guān)網(wǎng)絡(luò)安全提供防護(hù)對(duì)策。文獻(xiàn)[11]將攻擊圖與貝葉斯理論結(jié)合，提出了一種基于貝葉斯攻擊圖的工業(yè)控制系統(tǒng)信息安全動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型。通過(guò)先驗(yàn)分布和入侵檢測(cè)系統(tǒng)獲得的實(shí)時(shí)攻擊樣本數(shù)據(jù)，通過(guò)貝葉斯與攻擊圖，動(dòng)態(tài)調(diào)節(jié)節(jié)點(diǎn)條件概率表，通過(guò)運(yùn)用貝葉斯參數(shù)學(xué)習(xí)，可以為工業(yè)控制系統(tǒng)安全防護(hù)提供重要的安全保障。文獻(xiàn)[12]是一種改進(jìn)的HMM對(duì)IT網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估研究方法，可有效地檢測(cè)網(wǎng)絡(luò)受到的威脅。文獻(xiàn)[12]是以入侵檢測(cè)系統(tǒng)的告警作為輸入，來(lái)計(jì)算網(wǎng)絡(luò)的風(fēng)險(xiǎn)值。本文是通過(guò)系統(tǒng)的固有漏洞，從工業(yè)控制系統(tǒng)的本身進(jìn)行分析，最后得到分析的每條攻擊路徑的風(fēng)險(xiǎn)值。工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性與業(yè)務(wù)連續(xù)性有苛刻的要求。IT網(wǎng)絡(luò)遵循CIA安全原則(C：機(jī)密性、I：完整性、A：可用性)，工業(yè)控制網(wǎng)絡(luò)遵循的是AIC(A：可用性、I：完整性、C：機(jī)密性)，因此系統(tǒng)強(qiáng)調(diào)的安全目標(biāo)不同，本文攻擊圖與HMM的有機(jī)結(jié)合更適合工業(yè)控制網(wǎng)絡(luò)。文獻(xiàn)[13]提出了以攻擊樹理論為核心的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法。針對(duì)如何量化評(píng)估系統(tǒng)的信息安全狀況，通過(guò)該理論對(duì)收集到的信息進(jìn)行攻擊建模。攻擊樹與攻擊圖都屬于基于網(wǎng)絡(luò)建模的圖形化風(fēng)險(xiǎn)評(píng)估方法，其中文獻(xiàn)[13]是基于攻擊樹的工控安全風(fēng)險(xiǎn)評(píng)估，是根據(jù)針對(duì)系統(tǒng)的各種攻擊事件來(lái)構(gòu)建的攻擊圖，樹的根節(jié)點(diǎn)作為最終的攻擊目標(biāo)。本文的攻擊圖方法是從工控系統(tǒng)的固有漏洞進(jìn)行分析，衡量通過(guò)漏洞的攻擊路徑、攻擊復(fù)雜度、身份認(rèn)證這3個(gè)指標(biāo)來(lái)計(jì)算系統(tǒng)被攻擊的原子攻擊期望，并利用原子攻擊期望值來(lái)計(jì)算所有可能的攻擊路徑的總風(fēng)險(xiǎn)值，從而進(jìn)行一系列評(píng)估安全性分析。

本文針對(duì)互聯(lián)網(wǎng)與工業(yè)控制網(wǎng)絡(luò)相互融合，攻擊事件與日俱增，對(duì)工業(yè)控制系統(tǒng)，從攻擊者的角度提出一種基于攻擊圖的風(fēng)險(xiǎn)評(píng)估方法。運(yùn)用網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)聯(lián)性(NNC)，有助于細(xì)化分析系統(tǒng)中各個(gè)主機(jī)安全風(fēng)險(xiǎn)。引入CVSS評(píng)價(jià)系統(tǒng)，不會(huì)過(guò)于依賴專家經(jīng)驗(yàn)主觀評(píng)估。通過(guò)使用隱馬爾科夫模型(HMM)來(lái)對(duì)那些可觀察狀態(tài)和攻擊狀態(tài)建立聯(lián)系，并結(jié)合各個(gè)系統(tǒng)內(nèi)主機(jī)重要性對(duì)系統(tǒng)的安全狀態(tài)進(jìn)行評(píng)估。

2 工控網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型描述

工業(yè)控制網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型描述如圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估模型

工業(yè)控制網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型M=(主機(jī)H，連接關(guān)系C，攻擊圖，攻擊路徑，NNC)。通過(guò)工業(yè)控制網(wǎng)絡(luò)中的主機(jī)信息，從攻擊者的角度得到主機(jī)間的連接關(guān)系，生成攻擊圖，辨別攻擊路徑，結(jié)合NNC，分析各個(gè)主機(jī)的重要性程度對(duì)系統(tǒng)安全狀態(tài)的影響，進(jìn)行全方位的評(píng)估。

1)主機(jī)H。

把工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)中的所有設(shè)備統(tǒng)一稱為主機(jī)，包括工程師站、服務(wù)器和各種PLC等。用一個(gè)三元組表示(h-id, Vuls, Services),h-id表示網(wǎng)絡(luò)結(jié)構(gòu)中的主機(jī)名稱，用所在IP地址編號(hào)表示，Vuls表示主機(jī)上所有的安全漏洞集合，Services表示該主機(jī)上運(yùn)行的服務(wù)集合。安全漏洞為Vuls(v-id,type,service,port),v-id表示安全漏洞編號(hào)，根據(jù)CVSS數(shù)據(jù)庫(kù)的編號(hào)進(jìn)行標(biāo)識(shí)，type表示安全漏洞的類型，service表示該安全漏洞所在的主機(jī)服務(wù)名稱，port表示安全漏洞所在服務(wù)的主機(jī)的連接端口號(hào)。

2)主機(jī)連接關(guān)系C。

連接關(guān)系C?H×H×P描述了主機(jī)間邏輯的連接性。若在工控網(wǎng)絡(luò)中存在主機(jī)h1,h2∈H，主機(jī)間的連接關(guān)系表示為C(h1,h2,p)，表示h1和h2之間通過(guò)端口p訪問(wèn)。

3)攻擊圖。

用一個(gè)四元組表示AG=(S,τ,S0,Sf),S是整個(gè)狀態(tài)的集合，τ?S×S是狀態(tài)互相轉(zhuǎn)換的集合，S0?S是最初始的狀態(tài)集合，Sf?S是攻擊者攻擊成功后的狀態(tài)集合。

4)攻擊路徑。

對(duì)于一個(gè)攻擊者想要達(dá)到的狀態(tài)Sn∈Sf,從初始狀態(tài)S0開始，存在一組狀態(tài)序列S1,S2,…,Sn-1，使得(Si,Si+1)∈τ，i=1,2，…，n-1,這就是一條攻擊路徑。

5)NNC。

將網(wǎng)絡(luò)信息系統(tǒng)中的一臺(tái)計(jì)算機(jī)設(shè)備稱為一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),網(wǎng)絡(luò)節(jié)點(diǎn)上的主體由節(jié)點(diǎn)上的用戶、操作系統(tǒng)、應(yīng)用程序組成，將網(wǎng)絡(luò)節(jié)點(diǎn)n及其上的主體s記為Cns。如果一個(gè)攻擊者在成功入侵網(wǎng)絡(luò)節(jié)點(diǎn)A之后,利用A上的某部件CAi對(duì)節(jié)點(diǎn)B上的某部件CBj的訪問(wèn)關(guān)系，從而繼續(xù)攻擊節(jié)點(diǎn)B，那么這種可被利用的訪問(wèn)關(guān)系被稱為部件CAi到CBj的NNC，書寫為NNCAi:Bj，可簡(jiǎn)寫為節(jié)點(diǎn)A到B的一個(gè)NNCAB[14]。NNCAB的風(fēng)險(xiǎn)信息可用一個(gè)有序五元組〈A,Src_priv,B,Dst_priv,P〉來(lái)描述。其中Src_priv表示用戶在A主機(jī)上的權(quán)限，Dst_priv表示用戶在B主機(jī)上的權(quán)限；P表示利用該訪問(wèn)關(guān)系進(jìn)行攻擊的成功的概率，P∈[0, 1]。

3 關(guān)鍵策略

3.1 攻擊圖生成與概率計(jì)算

攻擊圖是網(wǎng)絡(luò)安全評(píng)估的有效方法之一，能夠直觀地描述攻擊過(guò)程，列舉所有可能的攻擊路徑，具備優(yōu)越的可視化展示能力[15]。

攻擊圖一般可分為狀態(tài)攻擊圖和屬性攻擊圖。狀態(tài)攻擊圖也可稱為特權(quán)圖，各個(gè)節(jié)點(diǎn)代表攻擊者獲取的權(quán)限，節(jié)點(diǎn)往下延伸，代表攻擊者在攻擊過(guò)程中的權(quán)限提升，連接節(jié)點(diǎn)的邊代表網(wǎng)絡(luò)系統(tǒng)中存在漏洞，且可能被利用而發(fā)起攻擊[16]。狀態(tài)攻擊圖由于可包含重復(fù)的狀態(tài)節(jié)點(diǎn)，攻擊圖規(guī)模會(huì)呈現(xiàn)指數(shù)級(jí)遞增，不太適合大型網(wǎng)絡(luò)。屬性攻擊圖中存在2類頂點(diǎn)和連接邊，2類頂點(diǎn)分別是條件和脆弱性，攻擊者具備的基礎(chǔ)權(quán)限表示條件頂點(diǎn)，脆弱性頂點(diǎn)表示主機(jī)配置錯(cuò)誤和軟件漏洞等。

3.1.1 攻擊圖生成算法

生成攻擊圖主要依據(jù)廣度優(yōu)先搜索算法遍歷所有可能的攻擊路徑，通過(guò)對(duì)安全漏洞集合、主機(jī)集合和連接關(guān)系集合進(jìn)行遍歷。生成算法的流程圖[17]如圖2所示，可在Graphviz軟件[18]中實(shí)現(xiàn)攻擊圖的輸出。

圖2 算法流程圖

3.1.2 獲取原子攻擊概率

本文采用一種科學(xué)合理的賦值方式CVSS進(jìn)行漏洞評(píng)價(jià)，由美國(guó)國(guó)家漏洞庫(kù)(NVD)發(fā)布，是一套公開的評(píng)測(cè)標(biāo)準(zhǔn)，本文列出的得分是CVSS的基本分?jǐn)?shù),是由Rapid7、Qualys、Tenable等專業(yè)公司設(shè)定的，能使結(jié)果更加科學(xué)客觀，避免評(píng)估結(jié)果過(guò)于人為主觀。

用3個(gè)指標(biāo)衡量漏洞被利用的可能性，分別為攻擊途徑(Access Vector， AV)、攻擊復(fù)雜度(Access Complexity， AC)、身份認(rèn)證(Authentication， AU)。原子攻擊發(fā)生概率是攻擊者成功實(shí)施一次攻擊的風(fēng)險(xiǎn)發(fā)生概率，通過(guò)利用系統(tǒng)的安全漏洞來(lái)實(shí)施攻擊。綜合上述3個(gè)指標(biāo)，原子攻擊發(fā)生概率P的計(jì)算公式如式(1)所示，各個(gè)指標(biāo)取值詳情如表1所示。

P=AV·AC·AU

(1)

表1 CVSS中AV、AC、AU取值詳情

3.2 HMM生成與計(jì)算

3.2.1 相關(guān)定義

狀態(tài)之間的轉(zhuǎn)換由隱馬爾科夫模型(HMM)狀態(tài)轉(zhuǎn)換矩陣和觀察矩陣決定，主機(jī)可以處在不同的安全狀態(tài)，存在的安全風(fēng)險(xiǎn)由每種安全狀態(tài)的概率決定[19]。隱馬爾科夫的狀態(tài)轉(zhuǎn)換矩陣和觀察矩陣決定[20]狀態(tài)與狀態(tài)之間的轉(zhuǎn)換。

定義1設(shè)主機(jī)系統(tǒng)狀態(tài)空間為S={S1,…,Sn}。S0代表主機(jī)處于安全狀態(tài),沒(méi)有被侵入;S1,S2,…，Sn表示主機(jī)處于被攻擊狀態(tài)，由于攻擊者利用的漏洞或者攻擊的主機(jī)不同，所以狀態(tài)也會(huì)不同。例如S1狀態(tài)是攻擊者成功利用主機(jī)IP1的漏洞V1，因此從安全狀態(tài)S0狀態(tài)轉(zhuǎn)換為S1狀態(tài)。S2狀態(tài)為攻擊者成功利用主機(jī)IP2的一個(gè)漏洞從某個(gè)狀態(tài)轉(zhuǎn)換到S2狀態(tài)。

定義2V={V1，V2，…,Vm}是被觀測(cè)序列，V表示可以被攻擊者利用的漏洞，m表示漏洞的序列號(hào)。

定義3A={aij}是狀態(tài)轉(zhuǎn)換概率分布矩陣，公式如下：

aij=P(Zt+1=Sj|Zt=Si)

(2)

B={bj(Vt)}是觀察概率分布矩陣，公式如下：

bj(Vt)=P(Vt|Zt=Sj)

(3)

π={πi}，πi=P(Z1=Si)是原始的狀態(tài)分布。HMM可被定義為λ={A,B,π}。

定義4Pi是攻擊者利用漏洞Vi攻擊成功的概率。

Pi=AV·AC·AU

(4)

定義5Ii=Pi是通過(guò)利用漏洞Vi，由另一種狀態(tài)轉(zhuǎn)換到Si狀態(tài)的權(quán)重。

3.2.2 確定模型參數(shù)

運(yùn)用相關(guān)理論，自動(dòng)生成狀態(tài)轉(zhuǎn)換矩陣和觀察矩陣。狀態(tài)轉(zhuǎn)換矩陣算法如算法1所示。

算法1狀態(tài)轉(zhuǎn)換矩陣算法。

Step1 輸入：V1、V2、V3、V4、V5、V6、V7

Step2 輸出：狀態(tài)轉(zhuǎn)換矩陣A

Step3 IfSi→Sj(i≠j,1≤i≤7，j≤1≤7)

Step4 Else {aij}=0

Step5 End

3.2.3 計(jì)算隱馬爾科夫模型

本文運(yùn)用前后向算法來(lái)計(jì)算攻擊者的每條攻擊路徑的概率。前向馬爾科夫算法如算法2所示。

算法2前向馬爾科夫算法。

Step1 輸入：O，a，b，T，N

Step2 輸出：Result

Step3 Result=0

Step4 Fortin range(T):

Step5 Foriin range(N):

Step6 Ift==0:

Step7 初始化a1(i)=πibi(o1)

Step8 Else:

Step10 End for

Step11 End for

Step13 Return Result

4 案例分析

圖3 實(shí)驗(yàn)場(chǎng)景圖

當(dāng)今工業(yè)控制領(lǐng)域中，廣泛應(yīng)用的是一種開放的、標(biāo)準(zhǔn)的網(wǎng)絡(luò)通信協(xié)議——Modbus協(xié)議。由于以前的工業(yè)控制系統(tǒng)是隔離封閉的，因此該協(xié)議并未考慮安全問(wèn)題。在基于Modbus的工業(yè)控制SCADA系統(tǒng)中，各個(gè)控制器之間或者控制器與其他設(shè)備之間都通過(guò)該協(xié)議進(jìn)行通信。由于工控網(wǎng)絡(luò)現(xiàn)在與互聯(lián)網(wǎng)融合，網(wǎng)絡(luò)攻擊增加，但卻沒(méi)有相應(yīng)的安全機(jī)制來(lái)保護(hù)系統(tǒng)的安全，工業(yè)控制網(wǎng)絡(luò)安全遭到嚴(yán)重威脅。下面以火力發(fā)電廠的輔助車間集中控制系統(tǒng)為例[17],構(gòu)建系統(tǒng)的攻擊圖，并利用本文所提方法來(lái)對(duì)該攻擊圖進(jìn)行量化風(fēng)險(xiǎn)評(píng)估，實(shí)驗(yàn)場(chǎng)景如圖3所示。

根據(jù)圖3，實(shí)驗(yàn)場(chǎng)景包括工程師站IP1、SCADA服務(wù)器IP2、數(shù)據(jù)庫(kù)服務(wù)器IP3以及2個(gè)PLC。工程師站與企業(yè)互聯(lián)網(wǎng)相互連接，攻擊者在外部通過(guò)企業(yè)互聯(lián)網(wǎng)對(duì)工業(yè)控制系統(tǒng)進(jìn)行攻擊。因此將攻擊者的攻擊起點(diǎn)確定為工程師站IP1，攻擊者已成功侵入企業(yè)互聯(lián)網(wǎng)，攻擊者想要對(duì)系統(tǒng)造成最大破壞，PLC的破壞會(huì)使整個(gè)系統(tǒng)停止運(yùn)行，攻擊者的最終攻擊目標(biāo)確定為PLC。由實(shí)驗(yàn)場(chǎng)景圖生成的攻擊圖如圖4所示。

圖4 攻擊圖

實(shí)驗(yàn)場(chǎng)景中各主機(jī)的安全漏洞信息如表2所示。

表2 安全漏洞信息表

根據(jù)表1和式(1)計(jì)算得出每個(gè)漏洞的原子攻擊發(fā)生概率如表3所示。根據(jù)圖4攻擊圖生成的HMM狀態(tài)轉(zhuǎn)換圖如圖5所示。

表3 原子攻擊發(fā)生概率

圖5 狀態(tài)轉(zhuǎn)換圖

當(dāng)整個(gè)網(wǎng)絡(luò)沒(méi)有被攻擊時(shí)，為S0狀態(tài)。IP1被攻擊時(shí)，從狀態(tài)S0轉(zhuǎn)化為狀態(tài)S1，攻擊者從攻擊工程師站IP1開始，之后對(duì)SCADA服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等發(fā)起攻擊。攻擊者通過(guò)利用系統(tǒng)不同的漏洞以及攻擊不同的主機(jī)，狀態(tài)從S1轉(zhuǎn)化成圖中各種狀態(tài)。

根據(jù)計(jì)算方法，生成的狀態(tài)轉(zhuǎn)換矩陣與觀察矩陣歸一化后如圖6所示。

圖6 狀態(tài)轉(zhuǎn)換矩陣與觀察矩陣

本文默認(rèn)攻擊者從工程師站發(fā)起攻擊，令π=(1,0,0,0,0,0,0)，用Python實(shí)現(xiàn)前后向算法，計(jì)算每條攻擊路徑的概率。攻擊路徑概率如表4所示。

表4 攻擊路徑概率

為了進(jìn)一步分析工業(yè)控制網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，攻擊者尋求攻擊路徑上的最大破壞，獲取root權(quán)限，把PLC作為攻擊者的最終攻擊目標(biāo)。根據(jù)圖3實(shí)驗(yàn)場(chǎng)景，定義IP1為A，IP2為B，IP3為C，IP4為D，IP5為E。為了重點(diǎn)突出，表達(dá)清晰，省略部分NNC關(guān)系。如圖7所示。

N0

N1

N2

N3

圖7 NNC關(guān)系

根據(jù)表4相關(guān)數(shù)據(jù)所示，PLC IP4與IP5受到攻擊的可能性最高，工程師站IP1與企業(yè)互聯(lián)網(wǎng)相連，作為攻擊的起始點(diǎn)遭受攻擊的風(fēng)險(xiǎn)發(fā)生概率是最大的，攻擊者可以通過(guò)攻擊IP1后直接作用于IP4與IP5，導(dǎo)致癱瘓，造成最大范圍的破壞。因此IP1在工控系統(tǒng)中發(fā)揮著非常重要的作用，對(duì)IP1的相關(guān)漏洞應(yīng)及時(shí)修復(fù)并建立相應(yīng)的安全機(jī)制。

在分析NNC關(guān)系中，由于攻擊者尋求的是攻擊路徑最大的破壞且同是PLC的IP4與IP5，通過(guò)進(jìn)一步分析NNC關(guān)系與提供的服務(wù)，攻擊者通過(guò)A N0B N1C N2的可能性大，也就是說(shuō)IP4的安全風(fēng)險(xiǎn)值比IP5要高，下位機(jī)IP4比IP5更重要，攻擊IP4對(duì)系統(tǒng)的物理資產(chǎn)與信息資產(chǎn)造成的危害更大。

本文攻擊圖與HMM以及NNC結(jié)合的方法評(píng)估的結(jié)果與文獻(xiàn)[17]最后的評(píng)估結(jié)果相符，而且本文的HMM能夠較快速地根據(jù)系統(tǒng)的變化動(dòng)態(tài)評(píng)估系統(tǒng)的風(fēng)險(xiǎn)，從而制定更有效的安全策略。

5 結(jié)束語(yǔ)

本文簡(jiǎn)要分析當(dāng)今信息安全風(fēng)險(xiǎn)評(píng)估的主要技術(shù)，針對(duì)工業(yè)控制系統(tǒng)本身特殊的安全目標(biāo)問(wèn)題，本文提出一種基于攻擊圖與HMM相結(jié)合的風(fēng)險(xiǎn)評(píng)估模型。從系統(tǒng)本身出發(fā)，應(yīng)用攻擊圖，通過(guò)分析系統(tǒng)的固有漏洞，有效地結(jié)合HMM將網(wǎng)絡(luò)攻擊問(wèn)題轉(zhuǎn)換為狀態(tài)轉(zhuǎn)換問(wèn)題，并計(jì)算所有可能路徑的狀態(tài)轉(zhuǎn)換風(fēng)險(xiǎn)值，能夠有效地預(yù)測(cè)最大可能的攻擊路徑，為工業(yè)控制系統(tǒng)安全防護(hù)提供強(qiáng)有力的決策依據(jù)與保障。引入NNC理論，通過(guò)對(duì)系統(tǒng)中的主機(jī)資產(chǎn)分析，進(jìn)一步分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。下一步將最大程度識(shí)別攻擊類型，而且要提出一種新的工業(yè)控制系統(tǒng)防御方法；通過(guò)評(píng)估出各種攻擊路徑，能夠?qū)Ω黝愱P(guān)鍵漏洞及攻擊事件進(jìn)行量化分類，幫助工業(yè)控制系統(tǒng)建立更加完善、更加有針對(duì)性的安全機(jī)制。