基于貝葉斯推理的鐵路信號安全數(shù)據(jù)網(wǎng)信息安全動態(tài)風(fēng)險評估

廖元媛，王劍,2,3，田開元，王旭煜，蔡伯根,3

(1. 北京交通大學(xué) 電子信息工程學(xué)院，北京 100044；2. 北京交通大學(xué) 軌道交通控制與安全國家重點實驗室，北京 100044；3. 北京市軌道交通電磁兼容與衛(wèi)星導(dǎo)航工程技術(shù)研究中心，北京 100044；4. 北京華鐵信息技術(shù)有限公司，北京 100081)

鐵路信號系統(tǒng)是集計算機技術(shù)、通信技術(shù)和控制技術(shù)于一體的行車指揮、列車運行控制和管理自動化系統(tǒng)，是列車在高速度、高密度條件下安全運行的重要保障。鐵路信號安全數(shù)據(jù)網(wǎng)是鐵路信號系統(tǒng)的重要組成部分，其可靠性和安全性與行車安全直接相關(guān)。

近年來，軌道交通系統(tǒng)面臨的信息安全威脅日益增加，2008年波蘭羅茲市有軌電車運營調(diào)度系統(tǒng)被黑客入侵，導(dǎo)致車廂脫軌，12名乘客受傷；2012年上海申通地鐵車站信息發(fā)布系統(tǒng)和運行調(diào)度系統(tǒng)無線網(wǎng)絡(luò)遭到攻擊[1]；2016年美國舊金山輕軌售票系統(tǒng)遭遇黑客攻擊勒索。軌道交通面臨的信息安全問題愈發(fā)嚴(yán)峻且后果嚴(yán)重，針對信號安全數(shù)據(jù)網(wǎng)的信息安全風(fēng)險分析具有重要意義。

圖1 鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)

軌道交通領(lǐng)域的信息安全風(fēng)險評估引起了國內(nèi)外研究人員的廣泛關(guān)注，Smith等[2]以澳大利亞鐵路為例，分析安全關(guān)鍵系統(tǒng)中的信息安全和數(shù)據(jù)保護；Bloomfield等[3]從攻擊方式、攻擊場景、后果等方面，對歐洲鐵路運輸系統(tǒng)(European Railway Traffic Management System, ERTMS)進行了風(fēng)險評估；羅珍珍[4]基于D-S證據(jù)理論及層次分析法，融合多方面信息安全因素進行了鐵路信號系統(tǒng)信息安全態(tài)勢感知研究；董慧宇等[1，5]針對基于通信的列車運行控制(Communication-Based Train Control, CBTC) 系統(tǒng)完成了基于攻擊樹的脆弱性評估，并采用二維結(jié)構(gòu)熵對攻擊成功后影響傳播過程中的系統(tǒng)狀態(tài)進行了動態(tài)評估；付淳川等[6]基于組件的信息安全屬性模型 (Component Model Based on Security Attributes, CMOSA)對列控中心信息安全風(fēng)險進行了評估；鄺香琦[7]、馬洋洋等[8]利用貝葉斯攻擊圖模型評估CBTC系統(tǒng)信息安全風(fēng)險；王洪偉等[9]基于彈性理論描述信息安全攻擊下CBTC系統(tǒng)的魯棒性及恢復(fù)能力，從而完成系統(tǒng)信息安全評估。上述研究分析了軌道交通信息安全威脅并完成了系統(tǒng)靜態(tài)風(fēng)險評估，但多集中在城市軌道交通領(lǐng)域，對鐵路信號安全數(shù)據(jù)網(wǎng)分析較少。同時，鐵路信號系統(tǒng)持續(xù)運行過程中，網(wǎng)絡(luò)狀態(tài)及風(fēng)險隨著設(shè)備偶然故障或惡意攻擊變化，上述研究無法很好地完成網(wǎng)絡(luò)攻擊過程中的動態(tài)風(fēng)險評估工作。

風(fēng)險評估是識別系統(tǒng)信息安全威脅及脆弱性，并進行定性或定量分析確定風(fēng)險大小的過程[10]。動態(tài)風(fēng)險評估是在風(fēng)險評估基礎(chǔ)上考慮實時攻擊對系統(tǒng)狀態(tài)的動態(tài)調(diào)節(jié)。貝葉斯攻擊圖模型在動態(tài)風(fēng)險評估領(lǐng)域應(yīng)用廣泛，在互聯(lián)網(wǎng)[11-12]及工業(yè)控制系統(tǒng)[13-14]信息安全動態(tài)風(fēng)險評估中有著廣泛應(yīng)用，其在攻擊圖的基礎(chǔ)上考慮攻擊不確定性，并根據(jù)實時攻擊信息更新模型參數(shù)完成系統(tǒng)風(fēng)險動態(tài)評估[15]?；ヂ?lián)網(wǎng)領(lǐng)域貝葉斯攻擊圖主要關(guān)注信息安全域影響，以獲得主機權(quán)限、中斷通信等作為攻擊目標(biāo)。針對鐵路信號系統(tǒng)的攻擊大多以損害功能安全為目的，如設(shè)備運行故障、列車安全事故等。同時，信號安全數(shù)據(jù)網(wǎng)設(shè)備采用故障-安全的設(shè)計原則，關(guān)鍵設(shè)備冗余配置，建模分析存在特殊性，需要對其風(fēng)險分析方法進行針對性研究。

本文綜合考慮上述問題，提出一種基于擴展貝葉斯攻擊圖的動態(tài)風(fēng)險評估方法。首先基于信息安全域的多步攻擊流程及不確定性建立擴展貝葉斯攻擊圖模型，再結(jié)合功能安全域事故影響量化系統(tǒng)風(fēng)險，最后根據(jù)檢測設(shè)備告警數(shù)據(jù)更新網(wǎng)絡(luò)節(jié)點置信度完成動態(tài)風(fēng)險評估，并通過仿真實驗驗證了該方法的有效性。

1 鐵路信號安全數(shù)據(jù)網(wǎng)信息安全現(xiàn)狀

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)見圖1[15]。它包括網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)設(shè)備，以及通過網(wǎng)絡(luò)設(shè)備連接的列控中心(Train Control System, TCC)、計算機聯(lián)鎖系統(tǒng)(Computer based Interlocking System, CBI)、臨時限速服務(wù)器(Temporary Speed Restriction Server, TSRS)、無線閉塞中心(Radio Block Center, RBC)等。采用故障-安全設(shè)計原則，關(guān)鍵設(shè)備冗余配置，一系故障時觸發(fā)控制單元切換至另一系運行。

信號安全數(shù)據(jù)網(wǎng)采用赫茲曼或東土等公司工業(yè)級以太網(wǎng)交換機通過專用單模光纖連接構(gòu)成冗余環(huán)網(wǎng)，并分別采用獨有的HIPER-Ring及DT-Ring等環(huán)網(wǎng)冗余技術(shù)，保證環(huán)網(wǎng)自愈恢復(fù)時間不超過50 ms。根據(jù)通信業(yè)務(wù)類型不同，信號安全數(shù)據(jù)網(wǎng)劃分為“管理”和“業(yè)務(wù)”兩個VLAN，分別對應(yīng)網(wǎng)管數(shù)據(jù)及信號設(shè)備信息傳輸，兩個VLAN區(qū)域間設(shè)備不能直接通信。

1.2 安全威脅

鐵路信號安全數(shù)據(jù)網(wǎng)屬于物理封閉網(wǎng)絡(luò)，然而移動設(shè)備接入、維護人員的工作計算機接入以及內(nèi)部人員攻擊等都可能對其形成威脅。信號設(shè)備通用架構(gòu)見圖2，主要包含邏輯處理單元、對外通信模塊、維護終端、上位機及輸入輸出單元等，其中存在部分專用或定制化部件，邏輯處理單元采用二乘二取二或三取二架構(gòu)，網(wǎng)絡(luò)連接冗余組網(wǎng)。

經(jīng)現(xiàn)場調(diào)研發(fā)現(xiàn)，信號安全數(shù)據(jù)網(wǎng)存在以下風(fēng)險及威脅。

(1) 主機設(shè)備問題

① 信號安全數(shù)據(jù)網(wǎng)中存在著部分通用軟硬件，維護終端和上位機多采用Windows XP及Windows 7系統(tǒng)，存在通用的高危漏洞，且Windows XP系統(tǒng)的安全更新已經(jīng)停止，后期升級維護難度較大。

② 系統(tǒng)安全補丁及殺毒軟件病毒庫無法及時更新，缺乏有效的病毒防護措施及工具。

美國標(biāo)準(zhǔn)與技術(shù)研究院通過通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, CVSS)提供一種描述漏洞主要特征、規(guī)范各種軟硬件平臺評分體系的評分方法[16]。使用該方法進行信號安全數(shù)據(jù)網(wǎng)設(shè)備的脆弱性描述，部分主機節(jié)點脆弱性信息見表1，包括設(shè)備漏洞 (Common Vulnerabilities and Exposures，CVE)編號或危險端口開放信息、CVSS中的漏洞主要特征向量及脆弱性利用后果。

圖2 信號設(shè)備通用架構(gòu)

表 1 主機節(jié)點脆弱性信息

(2) 網(wǎng)絡(luò)問題

① 信號安全數(shù)據(jù)網(wǎng)中環(huán)網(wǎng)協(xié)議配置不當(dāng)或交換機故障時可能發(fā)生網(wǎng)絡(luò)風(fēng)暴，導(dǎo)致通信中斷。

② 信號安全數(shù)據(jù)網(wǎng)采用的安全通信協(xié)議數(shù)據(jù)明文傳輸，保密性不強，且研究表明該協(xié)議在特定條件下有攻擊成功可能[17]。

③ 實際情況中存在防火墻直通或配置不當(dāng)?shù)那闆r，網(wǎng)管服務(wù)器到環(huán)網(wǎng)交換機成為可能的攻擊路徑。

(3) 接入控制問題

① 信號安全數(shù)據(jù)網(wǎng)中包含大量的終端設(shè)備，存在U盤傳播病毒感染系統(tǒng)的威脅。

② 信號安全數(shù)據(jù)網(wǎng)中部分設(shè)備開啟Telnet、Ftp端口且沒有登錄錯誤次數(shù)限制，容易被遠(yuǎn)程暴力破解。

③ 維護人員升級維護時存在直接將自己的工作計算機利用網(wǎng)線與設(shè)備連接的情況，其工作計算機可能攜帶病毒對信號安全數(shù)據(jù)網(wǎng)信息安全產(chǎn)生威脅。

④ 內(nèi)部人員的誤操作或惡意攻擊可能成為信號安全數(shù)據(jù)網(wǎng)的信息安全威脅。

2 擴展貝葉斯攻擊圖模型

2.1 擴展貝葉斯攻擊圖

本文在貝葉斯攻擊圖的基礎(chǔ)上，考慮信息安全攻擊對功能安全的影響，對網(wǎng)絡(luò)狀態(tài)、攻擊行為及轉(zhuǎn)換邏輯進行建模，研究攻擊檢測告警及信息安全防護措施下的系統(tǒng)風(fēng)險評估，形成擴展貝葉斯攻擊圖模型。

圖3為一個擴展貝葉斯攻擊圖示例，用六元組〈S,A,O,M,E,P〉表示。

圖3 擴展貝葉斯攻擊圖示例

(1)S=Sr∪Sf，是狀態(tài)節(jié)點集合。其中：Sr為信息安全攻擊階段的狀態(tài)節(jié)點集合，包括資產(chǎn)的脆弱性信息、攻擊者獲得的權(quán)限信息、網(wǎng)絡(luò)連接狀態(tài)等；Sf為功能安全影響傳播階段的狀態(tài)節(jié)點集合，包含各設(shè)備在功能安全域的正常/異常狀態(tài)及可能導(dǎo)致的后果。

(2)A={a=spre→sport|spre,sport∈S}，為原子攻擊集合。其中：spre為a的條件狀態(tài)節(jié)點；sport為目標(biāo)狀態(tài)節(jié)點。

(3)O為網(wǎng)絡(luò)中攻擊事件是否發(fā)生的觀測節(jié)點集合，主要包括入侵檢測系統(tǒng)及防火墻告警。

(4)M為網(wǎng)絡(luò)中針對攻擊事件的防護措施集合，防護節(jié)點，取值為T或1表示該防護措施啟用。

(5)E為連接節(jié)點的有向邊的集合，表示各狀態(tài)節(jié)點及攻擊節(jié)點間的邏輯因果關(guān)系。

(6)P為各節(jié)點的局部條件概率分布 (Local Conditional Probability Distribution, LCPD) 表，表示與父節(jié)點集合間的邏輯依賴關(guān)系和轉(zhuǎn)移概率。

2.2 擴展貝葉斯攻擊圖概率計算2.2.1 原子攻擊概率

(1)原子攻擊成功概率P(sk|ai)描述攻擊ai導(dǎo)致狀態(tài)sk為真的概率，與原子攻擊的難度相關(guān)。若原子攻擊的類型為漏洞利用，則根據(jù)CVSS中的訪問向量AV、訪問復(fù)雜度AC、訪問認(rèn)證Au三個子項計算原子攻擊成功的概率。

P(sk|ai)=2×PAV×PAC×PAu

(1)

式中：PAV、PAC、PAu分別為該漏洞在CVSS中AV、AC、Au三項的評分值。

針對信號安全數(shù)據(jù)網(wǎng)攻擊中存在大量的非漏洞攻擊，攻擊成功概率與攻擊類型、攻擊場景、口令復(fù)雜度、協(xié)議類型等條件相關(guān)，根據(jù)專家知識設(shè)置。

(2)攻擊發(fā)生概率P(ak|si)表示在狀態(tài)節(jié)點si下發(fā)起攻擊ak的概率。攻擊發(fā)起概率與攻擊成功概率相關(guān)，但又不完全相同，例如密碼爆破發(fā)起容易但是成功概率低[18]。攻擊發(fā)生概率不再重復(fù)考慮攻擊難度，而是考慮發(fā)起攻擊所需資源的準(zhǔn)備復(fù)雜度，利用是否有公開的漏洞信息、攻擊方法與攻擊工具來評估。

2.2.2 節(jié)點LCPD函數(shù)

(1)針對攻擊節(jié)點ak∈A，條件概率P(ak|Si)描述狀態(tài)節(jié)點集合Si下發(fā)起攻擊ak的可能性，根據(jù)父子節(jié)點間的邏輯依賴關(guān)系分兩種情況計算，對應(yīng)的LCPD見表2和表3。

表2 邏輯依賴關(guān)系為AND時攻擊節(jié)點的LCPD

表3 邏輯依賴關(guān)系為OR時攻擊節(jié)點的LCPD

(2)針對狀態(tài)節(jié)點sk∈S，父節(jié)點at∈Ai沒有對應(yīng)的防護節(jié)點時，使用條件概率P(sk|Ai)描述攻擊節(jié)點集合Ai導(dǎo)致該狀態(tài)節(jié)點sk為真的概率，其LCPD函數(shù)計算同攻擊節(jié)點一致。當(dāng)狀態(tài)節(jié)點sk∈S，父節(jié)點at∈Ai存在對應(yīng)的防護節(jié)點時，使用Pmr表示防護措施mr防護成功的概率。當(dāng)某一個攻擊節(jié)點有多個防護節(jié)點對應(yīng)時，攻擊成功概率為

P(sk|ai,Mi)=P(sk|ai)P(ai|mi1,mi2,…,min)=

P(sk|ai)(1-Pm1)(1-Pm2)…×(1-Pmn)

(2)

考慮防護節(jié)點影響時，狀態(tài)節(jié)點與攻擊節(jié)點間不同邏輯依賴關(guān)系對應(yīng)不同的條件概率，分為以下兩種情況討論：

當(dāng)父子節(jié)點間的邏輯依賴關(guān)系為AND時，狀態(tài)節(jié)點LCPD函數(shù)表示為

(3)

當(dāng)父子節(jié)點間的邏輯依賴關(guān)系為OR時，狀態(tài)節(jié)點LCPD函數(shù)表示為

(4)

(3)針對觀測節(jié)點，其條件概率描述攻擊發(fā)生時對應(yīng)觀測節(jié)點正確給出告警的概率，其LCPD表同入侵檢測設(shè)備的誤報率和漏報率相關(guān)。

3 信息安全動態(tài)風(fēng)險評估方法

鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風(fēng)險評估主要包括3個步驟，見圖4。

圖4 鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風(fēng)險評估步驟

Step1系統(tǒng)風(fēng)險識別：對信號安全數(shù)據(jù)網(wǎng)進行資產(chǎn)識別及脆弱性分析，考慮攻擊可能導(dǎo)致的功能安全事故及可部署實施的檢測設(shè)備與防護措施。

Step2評估模型建立：結(jié)合網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)配置關(guān)系及漏洞間關(guān)聯(lián)關(guān)系，建立拓展貝葉斯攻擊圖結(jié)構(gòu)，確定節(jié)點LCPD表，完成擴展貝葉斯攻擊圖的建立。

Step3動態(tài)風(fēng)險計算：計算各節(jié)點先驗概率及事故影響，結(jié)合觀測節(jié)點告警及防護方案進行貝葉斯推理得到動態(tài)風(fēng)險值。

① 先驗概率計算

計算節(jié)點邊緣概率作為先驗概率，非脆弱性狀態(tài)節(jié)點x的先驗概率為

(5)

式中：pari(x)為其父節(jié)點狀態(tài)組合；N為父節(jié)點狀態(tài)組合總數(shù)。

② 概率推理

結(jié)合觀測節(jié)點告警信息及不同防護策略對系統(tǒng)風(fēng)險進行推理，檢測設(shè)備告警前各觀測節(jié)點概率根據(jù)先驗概率求解，檢測設(shè)備告警后設(shè)置對應(yīng)觀測節(jié)點取值為T，即P′(o)=1，以此為證據(jù)進行動態(tài)風(fēng)險推理。

貝葉斯網(wǎng)絡(luò)推理算法分為精確推理及近似推理兩種。精確推理算法包括多樹傳播推理、團樹傳播推理、基于組合優(yōu)化的推理方法等，適用于規(guī)模較小、結(jié)果精確度要求高的網(wǎng)絡(luò)；近似推理算法包括基于搜索的推理算法和馬爾可夫鏈蒙特卡洛(MCMC)算法[19]等，適用于網(wǎng)絡(luò)規(guī)模大、結(jié)構(gòu)復(fù)雜、精度要求不是很高的網(wǎng)絡(luò)。

③ 系統(tǒng)風(fēng)險計算

根據(jù)事故導(dǎo)致的傷亡人數(shù)、延誤時間、財產(chǎn)損失、社會影響等對事故影響嚴(yán)重性進行分析[3]，將事故后果分為列車安全事故、緊急停車、減速、系統(tǒng)非安全功能部分失效、保密信息泄露等五類進行度量。

(6)

式中：NΑ為列車安全事故、緊急停車、減速運行等事件類型數(shù)量；iα為不同類型事件對單列車的影響；nα為發(fā)生該類事件的列車總數(shù)；NΒ為系統(tǒng)非安全功能部分失效、保密信息泄露事件；iβ為單個設(shè)備發(fā)生該類事件時的影響；nβ為發(fā)生該事件的設(shè)備總數(shù)。

使用各事故節(jié)點s∈Sfe的發(fā)生概率P(s)與事故影響度量值I(s)的乘積之和作為系統(tǒng)風(fēng)險。

(7)

4 仿真實驗與分析

4.1 仿真環(huán)境

根據(jù)鐵路信號安全數(shù)據(jù)網(wǎng)結(jié)構(gòu)搭建仿真環(huán)境進行風(fēng)險分析，仿真環(huán)境拓?fù)湟妶D5。

圖5 仿真環(huán)境拓?fù)?/p>

本次仿真主要分析由網(wǎng)管系統(tǒng)、信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備與單站聯(lián)鎖系統(tǒng)組成的網(wǎng)絡(luò)環(huán)境，同線路其他車站的CBI、TCC和TSRS等作為并列的子系統(tǒng)進行分析，該部分?jǐn)U展貝葉斯攻擊圖及分析結(jié)果不在本文中給出，本文分析結(jié)果為單站CBI環(huán)境的風(fēng)險值。

4.2 仿真網(wǎng)絡(luò)擴展貝葉斯攻擊圖模型

仿真實驗中攻擊者通過社會工程學(xué)侵入，獲取網(wǎng)管服務(wù)器、交換機、聯(lián)鎖通信板卡、上位機、維修機等設(shè)備管理員權(quán)限或?qū)е缕渚芙^服務(wù)。功能安全域后果主要包括部分功能失效、信息泄露、CBI故障及列車安全事故。

4.2.1 仿真網(wǎng)絡(luò)擴展貝葉斯攻擊圖結(jié)構(gòu)

根據(jù)網(wǎng)絡(luò)拓?fù)浜驮O(shè)備漏洞信息，建立網(wǎng)管系統(tǒng)及環(huán)網(wǎng)交換機模塊擴展貝葉斯攻擊圖，見圖6。

圖6 網(wǎng)管及交換機模塊擴展貝葉斯攻擊圖

攻擊者利用社會工程學(xué)通過U盤接入或直接惡意接入的方式侵入網(wǎng)管系統(tǒng)遠(yuǎn)程終端，利用漏洞取得網(wǎng)管服務(wù)器管理員權(quán)限并破解信號安全數(shù)據(jù)網(wǎng)交換機登錄密碼，修改其所接交換機端口所在VLAN，從而獲得本環(huán)網(wǎng)信號設(shè)備訪問權(quán)限，或者直接修改環(huán)網(wǎng)協(xié)議配置等信息造成網(wǎng)絡(luò)拒絕服務(wù)。

圖7 仿真環(huán)境擴展貝葉斯攻擊圖

仿真環(huán)境的整體擴展貝葉斯攻擊圖見圖7。圖7中：s1為攻擊者；s3,s5,s7,s18,s20,s26,s28,s34,s36,s45,s58為脆弱性狀態(tài)節(jié)點，表明網(wǎng)絡(luò)或主機存在的漏洞及弱密碼等脆弱性；其余狀態(tài)節(jié)點表示攻擊過程中導(dǎo)致的各主機及網(wǎng)絡(luò)的狀態(tài)變化；a1,a2,a3,…,a12為對網(wǎng)管系統(tǒng)及交換機進行的原子攻擊；a13,a14,…,a32為針對上位機及維護終端的原子攻擊；a34,a35,…,a48為聯(lián)鎖通信板卡相關(guān)的原子攻擊；o1,o2,o3,…,o8為檢測設(shè)備可觀測到的不同階段不同對象的原子攻擊告警信息；m1,m2,m3,m4為針對具體攻擊可實施的防護措施。

將同一設(shè)備造成同樣后果的漏洞節(jié)點合并分析，合并后的LCPD表按照分別攻擊情況的或運算得到，造成同樣后果的事故節(jié)點也進行合并。信號安全數(shù)據(jù)網(wǎng)中存在大量冗余設(shè)備，部分攻擊的后果與當(dāng)前攻擊的系統(tǒng)是主系還是備系相關(guān)，這部分節(jié)點進行合并時需要考慮受影響系統(tǒng)的主備關(guān)系。此外，進行防護分析時，默認(rèn)會對冗余設(shè)備采用相同的防護措施。

4.2.2 仿真網(wǎng)絡(luò)概率計算

根據(jù)第2節(jié)中的方法設(shè)置條件概率分布表。仿真網(wǎng)絡(luò)擴展貝葉斯攻擊圖中的脆弱性均存在于真實網(wǎng)絡(luò)中，設(shè)置脆弱性狀態(tài)節(jié)點的先驗概率為P(srv)=1。參考文獻[20]，攻擊發(fā)起概率利用表4確定。

表 4 攻擊發(fā)起概率P(aj|si)取值

考慮兩系發(fā)出危險側(cè)指令時的主備情況，將成功攻擊一系后導(dǎo)致事故的概率設(shè)置為0.5，對兩系的攻擊都成功時導(dǎo)致事故的概率設(shè)置為1。結(jié)合第2節(jié)中的概率計算方法得到擴展貝葉斯攻擊圖各節(jié)點的先驗概率。計算各事故節(jié)點的影響大小并求解系統(tǒng)中所有事故發(fā)生時的總體風(fēng)險作為最大風(fēng)險值，計算當(dāng)前風(fēng)險與最大風(fēng)險值的比值作為本次仿真中的風(fēng)險量化值。

4.3 仿真結(jié)果及分析4.3.1 動態(tài)風(fēng)險評估

圖7中的攻擊均為已知攻擊，可以被檢測設(shè)備檢測。使用觀測節(jié)點序列(表5)模擬多步攻擊。

表 5 觀測節(jié)點序列

隨著時間推移攻擊依次發(fā)生，網(wǎng)絡(luò)中節(jié)點狀態(tài)及系統(tǒng)風(fēng)險隨之變化。考慮到本文涉及的網(wǎng)絡(luò)規(guī)模，選擇精確推理算法，利用聯(lián)合樹推理[22]方法對整個擴展貝葉斯攻擊圖中的節(jié)點概率進行更新，得到當(dāng)前時間段的網(wǎng)絡(luò)風(fēng)險。觀測節(jié)點序列中，對應(yīng)攻擊a2的o1節(jié)點告警前后擴展貝葉斯攻擊圖狀態(tài)節(jié)點的先驗概率和后驗概率對比，見圖8。

圖8 節(jié)點o1告警前后狀態(tài)節(jié)點概率

圖8中：節(jié)點s3、s5、s7、s18、s26等是脆弱性節(jié)點，概率取值恒為P(srv)=1；節(jié)點s1、s2、s4位于攻擊節(jié)點a2的前驅(qū)方向，檢測到o1后其后驗概率為1；節(jié)點s6、s8、s9及其所在分支位于a2的后繼方向，概率與a2同幅度增大；同時，s19、s35所在分支狀態(tài)節(jié)點為真的概率隨初始狀態(tài)節(jié)點s1的概率增加而升高。由圖8可以看出，檢測到a2后各狀態(tài)節(jié)點的概率均有所增加，符合實際風(fēng)險變化情況。

各觀測節(jié)點狀態(tài)按照表5的觀測節(jié)點時間序列設(shè)置，將其作為證據(jù)進行貝葉斯推理求解各節(jié)點后驗概率并計算網(wǎng)絡(luò)動態(tài)風(fēng)險。參考文獻[7]中的驗證方法，綜合鐵路信號設(shè)備行業(yè)、信息安全行業(yè)以及研究機構(gòu)專家提供的打分?jǐn)?shù)據(jù)，進行了基于層次分析法(AHP)的信號安全數(shù)據(jù)網(wǎng)信息安全風(fēng)險評估?；贏HP的評估方法，依靠評估指標(biāo)要素間的相對重要性進行分析，評估結(jié)果體現(xiàn)風(fēng)險的相對值，故將其評估結(jié)果映射到本文方法所得結(jié)果的區(qū)間進行對比分析。仿真持續(xù)400 min，各事故節(jié)點發(fā)生概率、本文方法分析結(jié)果以及基于AHP的風(fēng)險評估結(jié)果見圖9。

圖9 事故節(jié)點概率及系統(tǒng)動態(tài)風(fēng)險

圖9中各事故節(jié)點發(fā)生概率對應(yīng)主坐標(biāo)軸，系統(tǒng)風(fēng)險對應(yīng)次坐標(biāo)軸。可以看出，隨著攻擊的持續(xù)及深入，CBI故障及信息泄露概率不斷上升，列車安全事故概率處于上升狀態(tài)，但一直很小，部分功能失效概率只在第一次告警時變化。從圖7可知部分功能失效由來自CBI上位機和維護終端的攻擊導(dǎo)致，本次告警序列對應(yīng)網(wǎng)管系統(tǒng)至交換機然后到CBI通信板卡的攻擊，處于另一分支，所以部分功能失效的概率只在第一次告警時隨根節(jié)點概率而升高。

系統(tǒng)風(fēng)險隨各事件的陸續(xù)發(fā)生而升高，其中基于AHP的評估結(jié)果各步驟風(fēng)險增長較為平均，o5告警時增長稍小。相對而言，本文方法o3告警時增長較小，o7告警時增長較大。分析可知，AHP基于當(dāng)前信息安全事件發(fā)生后造成的信息安全以及功能安全影響進行評估。o5對應(yīng)的攻擊在已經(jīng)取得管理員權(quán)限的基礎(chǔ)上進行配置修改，對設(shè)備自身及攻擊面的影響變化相對于取得操作員權(quán)限或者直接攻擊等步驟要小，故風(fēng)險增長相對較慢。而本文方法從攻擊成功概率及事故影響角度考慮，o3階段的權(quán)限獲取影響部分事故概率，從整體看對系統(tǒng)風(fēng)險影響相對較小；o7對應(yīng)的聯(lián)鎖板卡作為關(guān)鍵信號設(shè)備組件，權(quán)限獲取后多種事故發(fā)生概率大幅提升，整體風(fēng)險有較大增長。本文所述方法分析結(jié)果與AHP及實際認(rèn)知一致，所提出的擴展貝葉斯攻擊圖模型可以對網(wǎng)絡(luò)風(fēng)險進行有效評估。

4.3.2 風(fēng)險評估影響因素分析

(1) 檢測設(shè)備性能影響分析

檢測設(shè)備告警作為證據(jù)用于推理事故后驗概率。假設(shè)表5中告警o5或o9被漏報，使用存在漏報的告警序列進行系統(tǒng)動態(tài)風(fēng)險分析，得到圖10所示結(jié)果。

圖10 檢測設(shè)備漏報對風(fēng)險評估的影響

從圖10中可以看出，若多步攻擊中某階段告警出現(xiàn)漏報，對系統(tǒng)風(fēng)險分析的影響只持續(xù)到下一攻擊階段告警時。最后一階段告警出現(xiàn)漏報時可以通過此前風(fēng)險的連續(xù)升高給出預(yù)警。本文所述方法對漏報事件有一定的容忍度，可以通過其他攻擊階段的告警來彌補。

檢測設(shè)備的誤報率影響告警的可信程度，假設(shè)仿真網(wǎng)絡(luò)使用的檢測設(shè)備誤報率相同，改變該誤報率大小利用表5序列分析得到系統(tǒng)風(fēng)險變化，見圖11。

圖11 檢測設(shè)備誤報率對風(fēng)險評估的影響

將誤報率為0時的風(fēng)險評估結(jié)果作為真實值，從圖11中可以看出誤報率越低評估結(jié)果越接近真實值。多次告警可增加可信程度，隨著檢測設(shè)備的不斷告警，風(fēng)險值逐漸接近真實值，誤報率越小誤差減少越快?？紤]設(shè)置風(fēng)險基線值提醒人為干預(yù)的情況，誤報率越小能夠越早地觸發(fā)人為干預(yù)對系統(tǒng)進行防護。

(2) 防護措施影響分析

根據(jù)狀態(tài)及攻擊節(jié)點間的邏輯關(guān)系，擴展貝葉斯攻擊圖中各防護措施對系統(tǒng)整體風(fēng)險的影響不相互獨立，設(shè)置防護節(jié)點狀態(tài)分析不同防護措施組合下系統(tǒng)的風(fēng)險變化。根據(jù)防護節(jié)點的分布，設(shè)置表6所示防護場景進行風(fēng)險分析。

表 6 防護場景設(shè)計

設(shè)置仿真環(huán)境中攻擊者發(fā)起攻擊的概率為1，根據(jù)各防護場景設(shè)置擴展貝葉斯攻擊圖中相應(yīng)防護節(jié)點狀態(tài)，各事故節(jié)點概率變化及系統(tǒng)風(fēng)險見圖12。

圖12 防護方案實施時事件概率及系統(tǒng)風(fēng)險

由圖12可以看出，各防護措施實施后其所在攻擊路徑事故發(fā)生可能性降低。各防護措施單獨實施時，m3的防護效果最佳。結(jié)合圖7中節(jié)點先驗概率進行分析，防護措施m3所在的攻擊路徑集合累積風(fēng)險較大，故當(dāng)防護資源有限時應(yīng)首先對風(fēng)險較大的路徑集合進行防護。通過方案{m1, m2}, {m2, m3}, {m1, m3}的實施結(jié)果對比分析可以看出，不同攻擊分支的防護措施組合能獲得較好的防護結(jié)果，實踐中應(yīng)盡量對更多的攻擊路徑進行覆蓋。同時，方案{m1, m3}實施時使用m2與單獨使用m2相比，防護措施m2的成本不變，但得到的收益大大降低。故防護方案的防護效果與當(dāng)前網(wǎng)絡(luò)狀態(tài)相關(guān)，進行防護方案設(shè)計時，需要綜合各防護措施相互作用以及當(dāng)前網(wǎng)絡(luò)狀態(tài)實現(xiàn)適度防護。

4.3.3 最大累積概率攻擊路徑分析

最大累積概率攻擊路徑，是指從初始節(jié)點到目標(biāo)節(jié)點的攻擊路徑中累積攻擊成功概率最大的一條。攻擊者選擇是否發(fā)起攻擊來決定攻擊路徑，使用攻擊節(jié)點序列描述攻擊路徑。以CBI故障為目標(biāo)攻擊節(jié)點為例，通過文獻[18]求解最大累積概率攻擊路徑。網(wǎng)絡(luò)中觀測節(jié)點均未產(chǎn)生告警時，其最大累積概率攻擊路徑為{a1,a2,a3,a5}和{a1,a2,a4,a9}，這兩條路徑為通過互為冗余的信號安全數(shù)據(jù)網(wǎng)左右環(huán)網(wǎng)配置更改進行攻擊，是攻擊造成CBI故障的薄弱環(huán)節(jié)。

4.4 與已有方法比較

本文提出的基于擴展貝葉斯攻擊圖的動態(tài)風(fēng)險評估方法，在互聯(lián)網(wǎng)及工業(yè)控制系統(tǒng)動態(tài)風(fēng)險評估[11-14]的基礎(chǔ)上，考慮了鐵路信號系統(tǒng)自身雙機熱備及冗余的防護作用，并且引入了防護節(jié)點描述防護措施的能力，可用于防護方案效果分析。與軌道交通領(lǐng)域當(dāng)前已有的評估方法[1-9]相比，實現(xiàn)了網(wǎng)絡(luò)攻擊過程中風(fēng)險動態(tài)感知及脆弱路徑分析。其中，AHP方法各評估階段均需進行專家評分，人力和時間耗費大，而本文方法僅在模型建立時需要專家評分；二維結(jié)構(gòu)熵方法[1]基于攻擊后果進行動態(tài)風(fēng)險評估，而本文方法能夠感知造成物理及網(wǎng)絡(luò)性能受損等后果之前的系統(tǒng)風(fēng)險變化，包括前期非法訪問、非法權(quán)限獲取、非法數(shù)據(jù)傳輸?shù)入A段。

5 結(jié)論

本文針對鐵路信號安全數(shù)據(jù)網(wǎng)信息安全風(fēng)險狀態(tài)的動態(tài)評估開展研究，提出了一種擴展貝葉斯攻擊圖模型。該模型在基于傳統(tǒng)貝葉斯攻擊圖得到的事故發(fā)生概率的基礎(chǔ)上，融入了檢測設(shè)備實時告警數(shù)據(jù)，通過貝葉斯推理更新節(jié)點概率信息，并結(jié)合功能安全域事故影響得到系統(tǒng)動態(tài)風(fēng)險評估結(jié)果。經(jīng)過仿真實驗及分析，得到如下結(jié)論：

(1)與AHP方法仿真結(jié)果對比，本文所述方法能夠有效地為鐵路信號安全數(shù)據(jù)網(wǎng)進行定量、動態(tài)的風(fēng)險評估。

(2)本文方法可以動態(tài)模擬攻擊及防護措施組合，為系統(tǒng)提供不同信息安全狀態(tài)的風(fēng)險分析，同時不同防護場景的風(fēng)險分析結(jié)果可以為信號安全數(shù)據(jù)網(wǎng)的防護方案設(shè)置提供參考。

當(dāng)前鐵路信號安全數(shù)據(jù)網(wǎng)缺乏基于攻防靶場的攻防數(shù)據(jù)庫以及公認(rèn)權(quán)威的實際風(fēng)險數(shù)據(jù)，故本文的擴展貝葉斯攻擊圖模型大部分依據(jù)專家經(jīng)驗構(gòu)建完成，針對信號安全數(shù)據(jù)網(wǎng)這種較為封閉且結(jié)構(gòu)不輕易改變的網(wǎng)絡(luò)來說較為適用，對其他網(wǎng)絡(luò)拓?fù)浼霸O(shè)備易變的系統(tǒng)拓展性較差。未來考慮建立攻防及評估數(shù)據(jù)庫，利用攻防數(shù)據(jù)進行結(jié)構(gòu)和參數(shù)學(xué)習(xí)的方式建立貝葉斯攻擊圖，形成更加通用的風(fēng)險分析模型。