基于組合權(quán)重的工控系統(tǒng)安全形式化分析方法

顧兆軍，李懷民，丁 磊，隋 翯

(1. 中國民航大學(xué)信息安全評測中心，天津 300300；2. 中國民航大學(xué)中歐航空工程師學(xué)院，天津 300300；3. 中國民航大學(xué)航空工程師學(xué)院，天津 300300；)

1 引言

工業(yè)控制系統(tǒng)是能源電力、石油化工、交通運輸?shù)葒谊P(guān)鍵基礎(chǔ)設(shè)施的核心系統(tǒng)，其功能安全(safety)和網(wǎng)絡(luò)安全(security)對于關(guān)鍵基礎(chǔ)設(shè)施的平穩(wěn)運行具有決定性作用[1]。工業(yè)控制系統(tǒng)構(gòu)成比較復(fù)雜，從網(wǎng)絡(luò)結(jié)構(gòu)角度可以分為采集執(zhí)行層，現(xiàn)場控制層，集中監(jiān)控層，制造執(zhí)行層和管理調(diào)度層[2]，如圖1所示。過去，工業(yè)控制系統(tǒng)安全防護主要關(guān)注其功能安全，但隨著“兩化融合”[3]和“中國制造2025”[4]概念的提出，智慧工廠、云制造、智能生產(chǎn)系統(tǒng)等信息化理念一方面提升了工業(yè)產(chǎn)業(yè)智能化程度，另一方面也帶來了新的風(fēng)險隱患，網(wǎng)絡(luò)安全問題逐漸成為工業(yè)控制系統(tǒng)安全防護研究的熱點[5]。

2010年“震網(wǎng)”病毒(Stuxnet)通過篡改PLC的程序，導(dǎo)致伊朗核電站離心機過速運轉(zhuǎn)，造成核電站1/5的離心機損壞、直接經(jīng)濟損失上億美元[6]。自“震網(wǎng)”事件開始，黑客組織利用Havex，火焰，毒區(qū)等針對工業(yè)控制系統(tǒng)的病毒分別成功實現(xiàn)了對俄羅斯，美國，韓國，烏克蘭等國家的關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊。截至 2020年2月18日，上報到漏洞庫的工業(yè)控制系統(tǒng)漏洞數(shù)達到2362個，2010 年以后，工控漏洞發(fā)現(xiàn)數(shù)逐年遞增[7]。與傳統(tǒng)網(wǎng)絡(luò)安全的CIA(保密性，完整性，可用性)原則不同，工業(yè)控制系統(tǒng)遵循AIC原則[8]，優(yōu)先保證系統(tǒng)的可用性。所以，工業(yè)控制系統(tǒng)不便于采用大范圍、大縱深的傳統(tǒng)網(wǎng)絡(luò)安全防護策略?？茖W(xué)評估系統(tǒng)風(fēng)險、有針對性的部署防護措施顯得更為重要。因此在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全研究領(lǐng)域，網(wǎng)絡(luò)安全風(fēng)險評估已經(jīng)成為企業(yè)和學(xué)界共同關(guān)注的焦點。

圖1 典型工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)

形式化分析方法是網(wǎng)絡(luò)安全風(fēng)險評估中常用的方法，形式化分析方法[9]是用數(shù)學(xué)方法研究計算機科學(xué)中相關(guān)問題的前沿技術(shù)，可以在工業(yè)控制系統(tǒng)設(shè)計和開發(fā)階段發(fā)現(xiàn)系統(tǒng)中潛在的網(wǎng)絡(luò)安全風(fēng)險，避免后期部署安全設(shè)備的盲目性?；谛问交治龅木W(wǎng)絡(luò)安全風(fēng)險評估方法可以分為定性分析方法和定量分析方法兩類[10]。定性分析方法主要依靠從業(yè)人員經(jīng)驗對系統(tǒng)的安全等級和風(fēng)險程度給予“高”“中”“低”的評價。對于攻擊事件發(fā)生的可能性以及系統(tǒng)本身的脆弱性無法做出定量的評估。定量分析方法是對系統(tǒng)的脆弱性和安全程度給出量化的評估結(jié)果，并據(jù)此制定相應(yīng)的防御措施和手段。本文提出的就是一種定量的風(fēng)險評估方法。

2 相關(guān)研究

比較常用的形式化分析方法包括攻擊樹、攻擊圖和時間自動機。Schneier[11]提出了一種基于攻擊樹的安全威脅建模方法，利用層次化表達，實現(xiàn)了通過自下而上的單參數(shù)擴散進行定量安全評估；Phillips和Swiler[12]提出了攻擊圖的概念，描述了攻擊行為對系統(tǒng)狀態(tài)的影響； Alur R[13]提出了時間自動機模型，并針對特定攻防行為刻畫了各種輸入序列(包含非正常情況的極端輸入序列)下系統(tǒng)的狀態(tài)轉(zhuǎn)換，從而模擬了系統(tǒng)的動態(tài)遷移過程，并給出了系統(tǒng)狀態(tài)的轉(zhuǎn)移條件。

這些研究結(jié)果表明在形式化分析的方法中，采用樹、圖這類圖形化分析的方式可以取得很好的定量評估效果。Park等[14]利用攻擊樹模型分析了反應(yīng)器保護系統(tǒng)的信息安全狀態(tài)，并給出了相應(yīng)的防御措施。Byres等[15]使用攻擊樹建模方法對基于MODBUS 協(xié)議棧的工業(yè)控制 SCADA 通信系統(tǒng)進行了漏洞分析。蔣健雷[16]應(yīng)用攻擊樹建模分析了某泵站SCADA 系統(tǒng)的安全性問題及相應(yīng)策略。Hawrylak等[17]使用混合攻擊圖對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊進行建模，并建立了全局攻擊圖，評估了該系統(tǒng)面臨的主要風(fēng)險和威脅。黃慧萍[18]等人提出了一種基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估方法，運用攻擊樹對針對SCADA系統(tǒng)主站的攻擊進行建模，然后基于多效應(yīng)理論計算了葉節(jié)點、根節(jié)點和各攻擊序列發(fā)生的概率，從而提出了更有效的防御手段。

但以上成果還可以圍繞以下兩點進行更深入研究：①上述研究沒有將系統(tǒng)的防御措施考慮在內(nèi)。②在進行攻擊樹建模并進行葉節(jié)點相關(guān)指標計算時，各影響因素權(quán)重的獲得往往是通過經(jīng)驗進行設(shè)定，或僅通過主觀賦權(quán)法的方式獲取，這導(dǎo)致個人的主觀因素對最終賦權(quán)結(jié)果的影響過大，缺少客觀性的評判。基于以上兩點，本文在傳統(tǒng)攻擊樹的基礎(chǔ)上，使用攻擊防御樹的方式對工業(yè)控制系統(tǒng)進行建模，從而得到一種相對完善的形式化分析建模方法；然后結(jié)合主觀賦權(quán)和客觀賦權(quán)法，對各葉節(jié)點影響因素進行權(quán)值分配，最終得到相對客觀的賦權(quán)值，以獲得更準確的評估結(jié)果。最后以某機場供油自控系統(tǒng)為例，驗證了本文所提出方法的有效性。

3 攻擊防御樹模型

攻擊防御樹(Attack-Defense Tree，ADT)模型是 KORDY B在2010年提出的一種通過在攻擊樹葉結(jié)點上添加防御手段，從而對系統(tǒng)進行形式化分析的建模方法[19]。ADT模型是多層的樹形結(jié)構(gòu)，包括了葉節(jié)點，根節(jié)點，中間節(jié)點以及防御節(jié)點。其中根節(jié)點為最終的攻擊目標；葉節(jié)點為達到最終目標的攻擊手段；中間節(jié)點表示要實現(xiàn)最終攻擊目標必須完成的中間步驟。每一條最終指向根節(jié)點的路徑則為一條攻擊路徑；防御節(jié)點針對具體的攻擊方式采用有效防御手段。圖2所示為一個簡單的攻擊防御樹示例。

圖2 攻擊防御樹示例

各節(jié)點之間存在三種邏輯關(guān)系：“或”(OR)關(guān)系，“與”(AND)關(guān)系，“順序與(SAND)關(guān)系”。AND節(jié)點表示所有子節(jié)點的攻擊目標實現(xiàn)，則父節(jié)點的目標也會實現(xiàn)；OR節(jié)點表示任意子節(jié)點的攻擊目標實現(xiàn)，則父節(jié)點的目標也會實現(xiàn)；SAND節(jié)點表示所有子節(jié)點的目標按順序?qū)崿F(xiàn)，則父節(jié)點的目標即可實現(xiàn)[20]。圖3所示為攻擊防御樹各節(jié)點之間存在的三種關(guān)系。

圖3 攻擊防御樹節(jié)點關(guān)系

攻擊防御樹的建立需要從安全事件反向推理，首先由專家確定最終攻擊目標，并將最終的攻擊目標作為攻擊防御樹的根節(jié)點，其次將根節(jié)點利用圖3所示的節(jié)點關(guān)系將所需完成的中間步驟作為其子節(jié)點。然后使用相同的方法對子節(jié)點進行擴展，直到具體的攻擊方式不能再進行分解則成為該模型中的葉節(jié)點。最后針對葉節(jié)點部署防御措施，形成防御節(jié)點。

4 權(quán)值分配

根據(jù)多效應(yīng)理論，在對攻擊防御樹的葉節(jié)點進行脆弱性定量評估的時候，需要獲得影響葉節(jié)點脆弱性的各因素的權(quán)重值，即需要對各因素進行權(quán)值分配。當(dāng)前的賦權(quán)方法主要分為主觀賦權(quán)法和客觀賦權(quán)法[21]。常用的主觀賦權(quán)法主要有Delphi法[22]，層次分析法(AHP)[23]，權(quán)的最小平方法[24]等?？陀^賦權(quán)法主要有主成分分析法[25]，熵權(quán)法[26]和多目標規(guī)劃法[27]等。本文結(jié)合主觀賦權(quán)法和客觀賦權(quán)法的優(yōu)點，采用了層次分析法和熵權(quán)法相結(jié)合的組合權(quán)重法來獲取最終各影響因素的權(quán)重分配值。

4.1 層次分析法

層次分析法是上世紀七十年代美國匹茲堡大學(xué)Saaty教授提出的通過專家打分的方式獲取權(quán)值分配的方法[28]。專家通過影響因素重要程度對比進行打分，構(gòu)造判斷矩陣，最終對矩陣進行數(shù)學(xué)運算獲得屬性權(quán)值。本文使用0.1-0.9比較尺度表對各因素進行兩兩比較，見表1。

表1 0.1-0.9 比較尺度表

專家根據(jù)尺度表(表1)對各影響因素重要程度對比進行兩兩打分，構(gòu)造判斷矩陣。假設(shè)共有n個影響因素，即可得到n×n階判斷矩陣C。

(1)

(2)

(3)

根據(jù)以上計算流程可得到各影響因素的權(quán)值向量Ni=(N1，N2，…，Nn)T。

4.2 熵權(quán)法

在信息論中，熵是對不確定性的一種度量[26]。不確定性越大，熵值越大，包含的信息量也越大。根據(jù)熵的特性，可以通過計算熵值來判斷一個事件的隨機性及無序程度，也可以用熵值來判斷某個指標的離散程度，指標的離散程度越大，該指標對綜合評價的影響(權(quán)重)越大。因此，熵權(quán)法是通過各影響因素取值的離散程度，定量某一因素權(quán)重的客觀賦權(quán)法。其具體計算方法如下：

1)假設(shè)有a個葉節(jié)點，每個葉節(jié)點有b個影響因素，據(jù)此構(gòu)建判斷矩陣X：X=|xij| (i=1，2，…，a；j=1，2，…，b)。

2)由于各項影響因素的計量單位并不統(tǒng)一，因此在計算前先要對判斷矩陣X進行歸一化處理，即把矩陣中元素的絕對值轉(zhuǎn)化為相對值，從而解決各項不同影響因素取值的同質(zhì)化問題。其中，正向指標和負向指標數(shù)值代表的含義不同(正向因素數(shù)值越高越符合期待，負向因素數(shù)值越低越符合期待)。因此，對于正向影響因素和負向影響因素需要采用不同的歸一化方法處理，獲得歸一化矩陣B，具體的處理方法如下：

正向影響因素

(4)

負向影響因素

(5)

其中，xmax，xmin分別為同一影響因素下的最大取值和最小取值。

3)根據(jù)熵的概念，可通過下式計算各影響因素的熵值

(6)

4.3 組合權(quán)重法

通過層次分析法和熵權(quán)法可以獲得兩組影響因素的權(quán)重向量，其中通過層次分析法得到主觀權(quán)重向量為μ=(μ1，μ2，…，μn)T，由熵權(quán)法得到客觀權(quán)重向量ν=(ν1，ν2，…，νn)T。組合賦權(quán)法是將主客觀賦權(quán)法得到的權(quán)值相結(jié)合，這樣既可以反應(yīng)主觀的判斷也可以反映客觀評價的結(jié)果。通常情況下使用加法組合法或乘法組合法，為了盡量凸顯各因素間的重要性差異，本文使用乘法組合法來獲取最終的權(quán)重ωj，即

(7)

5 基于攻擊防御樹的工控系統(tǒng)安全風(fēng)險評估方法

5.1 安全風(fēng)險評估流程

本文使用安全脆弱性指標來定量評估系統(tǒng)的安全風(fēng)險。安全脆弱性指標的取值范圍為從0到1，代表系統(tǒng)遭受攻擊的容易程度遞增。評估脆弱性指標的具體步驟與方法為：

1)確定最終攻擊目標；

2)逆向推理獲得最底層攻擊事件，即葉節(jié)點；

3)添加防御節(jié)點，構(gòu)造系統(tǒng)的攻擊防御樹；

4)分析影響各葉節(jié)點脆弱性的因素，使用基于層次分析法和熵權(quán)法的組合賦權(quán)法獲取各影響因素的權(quán)重；

5)根據(jù)多效用理論計算葉結(jié)點的脆弱性指數(shù)；

6)根據(jù)葉節(jié)點脆弱性指數(shù)獲得各條攻擊路徑及整個系統(tǒng)的脆弱性指數(shù)；

7)根據(jù)添加防御手段前后的葉節(jié)點脆弱性指數(shù)差值和系統(tǒng)脆弱性指數(shù)差值評估葉節(jié)點脆弱性靈敏度，據(jù)此提出新的更有效的防御手段。

5.2 葉節(jié)點的脆弱性計算

美國工業(yè)控制系統(tǒng)安全指南中指出[29]，在工業(yè)控制系統(tǒng)的信息安全評估中，系統(tǒng)脆弱性受到三個主要因素的影響，分別是攻擊的成本，實現(xiàn)難度，以及攻擊被發(fā)現(xiàn)的可能性大小。因此在計算葉節(jié)點脆弱性指數(shù)時，對每一個葉節(jié)點的攻擊成本，實現(xiàn)難度，攻擊被發(fā)現(xiàn)的可能性三個屬性賦值。應(yīng)用多效應(yīng)理論可以獲得計算葉節(jié)點脆弱性指數(shù)的式(8)和式(9)如下

S(Ek)=Wcos t*U(costk)+Wdiff*U(diffk)+

Wdet*U(detk)

(8)

S′(Ek)=[Wcos t*U(costk)+Wdiff*U(diffk)+

(9)

其中，k為任意葉節(jié)點，S(Ek)為該葉節(jié)點的脆弱性指數(shù)，S′(Ek)為考慮防御措施后該葉節(jié)點的脆弱性指數(shù)，costk為實現(xiàn)攻擊該節(jié)點需要付出的攻擊成本；diffk為該葉節(jié)點實現(xiàn)的難易程度；detk為該葉節(jié)點攻擊被發(fā)現(xiàn)的可能性。Wcost，Wdiff，Wdet則分別為這三個影響因素在各葉節(jié)點所占的權(quán)重系數(shù)，且三個權(quán)重系數(shù)之和為1。U(costk)，U(diffk)，U(detk)則分別為三個影響因素在各葉節(jié)點的效用值?？梢园l(fā)現(xiàn)效用值與各影響因素成反比關(guān)系，因此本文取U(x)=1/x。nk為針對該葉節(jié)點攻擊事件所采取的防御措施的個數(shù)，m為防御措施最多的葉節(jié)點的措施數(shù)量加一。

式(8)和式(9)中的權(quán)重指數(shù)通過組合權(quán)重法獲得。Wcost，Wdiff，Wdet的值則需要建立評價表，請專業(yè)的評估人士依據(jù)此標準給出各葉節(jié)點相應(yīng)屬性的得分，再通過倒數(shù)運算獲得各自的效應(yīng)值。本文采用的等級評分標準如表2所示。

表2 等級評分標準

5.3 攻擊序列的脆弱性計算

任何一條從葉節(jié)點到根節(jié)點的路徑可稱為攻擊路徑，即可通過該路徑上的行為完成最終攻擊的根節(jié)點目的。假設(shè)S1，S2，…，Sk∈S，S為構(gòu)成某個攻擊序列的所有節(jié)點的集合。V(S1)，V(S2)，…，V(Sk)為各節(jié)點對應(yīng)的脆弱性指標，則可以得到該條攻擊路徑的脆弱性指數(shù)N為：N=V(S1)×V(S2)×…×V(Sk)。

5.4 系統(tǒng)的整體脆弱性計算

根據(jù)上述分析，任意一條攻擊序列均可以達成最終的根節(jié)點攻擊目的。因此系統(tǒng)的整體脆弱性指數(shù)為所有攻擊途徑脆弱性指數(shù)中的最大值。假設(shè)系統(tǒng)的整體脆弱性指數(shù)為Vs，各攻擊路徑的脆弱性指數(shù)分別為V(i1)，V(i2)，…，V(ik)，則可以得到系統(tǒng)的整體脆弱性指數(shù)為

Vs=max(V(i1)，V(i2)，…，V(ik))

(10)

其中k為整個系統(tǒng)中存在的攻擊路徑的總數(shù)。

5.5 葉節(jié)點靈敏度評估

通過增加和改善每一個葉節(jié)點處的防御措施可以降低葉結(jié)點的脆弱性指數(shù)，從而降低系統(tǒng)的脆弱性指數(shù)。但往往由于預(yù)算的限制，需要更加合理的利用資金來增加和改善防御措施。因此本文對葉節(jié)點脆弱性的靈敏度進行評估，從而找出通過盡量少的改動就可以最大程度提高安全系數(shù)的關(guān)鍵節(jié)點。定義如式(11)所示的葉節(jié)點靈敏度計算公式。

(11)

通過計算各葉節(jié)點的靈敏度取值并進行比較，找到靈敏度較高的幾個葉節(jié)點，針對關(guān)鍵節(jié)點進行相應(yīng)的防御措施改善可以更加高效的提高系統(tǒng)的信息安全水平。

6 實例分析

本文以某機場供油自控系統(tǒng)為例，對其進行風(fēng)險評估與分析。供油自控系統(tǒng)是保證機場正常運行的關(guān)鍵配套設(shè)施，主要控制油料運入與輸出，檢測環(huán)境溫度與油罐液位。

SCADA系統(tǒng)位于整個機場供油自控系統(tǒng)網(wǎng)絡(luò)中的集中控制層。向上連接著MES(執(zhí)行制造層)層和管理調(diào)度層，向下連接著現(xiàn)場控制層和采集執(zhí)行層。攻擊者一旦侵入了SCADA系統(tǒng)即可通過工控系統(tǒng)的內(nèi)部網(wǎng)絡(luò)對上層的決策環(huán)節(jié)進行干預(yù)，并可能改變現(xiàn)場控制層的參數(shù)設(shè)置，從而造成嚴重的生產(chǎn)事故。圖4為某機場供油自控系統(tǒng)的拓撲圖。

圖4 某機場供油自控系統(tǒng)拓撲圖

6.1 攻擊防御樹構(gòu)建

通過實地調(diào)研，可以通過物理攻擊或者網(wǎng)絡(luò)攻擊兩種手段達到最終攻擊SCADA系統(tǒng)主站的目的。在網(wǎng)絡(luò)攻擊的方式中，既可以通過外部網(wǎng)絡(luò)直接入侵SCADA系統(tǒng)主站，也可以通過攻擊從站并接入SCADA系統(tǒng)內(nèi)部通信網(wǎng)絡(luò)鏈路達到攻擊系統(tǒng)主站的目的。根據(jù)第二節(jié)介紹的內(nèi)容進行反向推理，先確定了機場供油自控系統(tǒng)SCADA主站為根節(jié)點，再逐層獲得中間節(jié)點和葉節(jié)點。最終獲得了以機場供油自控系統(tǒng)SCADA主站為根節(jié)點的攻擊樹。在攻擊樹的基礎(chǔ)上針對各葉節(jié)點考慮相應(yīng)的防御手段，從而在葉節(jié)點上附加防御節(jié)點，最終得到機場供油自控系統(tǒng)的攻擊防御樹模型，如圖5所示。

圖5 攻擊防御樹

該攻擊防御樹中根節(jié)點，葉節(jié)點，中間節(jié)點及防御節(jié)點的具體含義如表3所示。

表3 節(jié)點含義

6.2 脆弱性計算

根據(jù)前面章節(jié)的介紹，需要利用表2所示的評分標準對各葉節(jié)點的影響因素進行專家打分，評分結(jié)果如表4所示。

表4 各節(jié)點評分結(jié)果表

根據(jù)表4可以分別獲得Ek節(jié)點costk，diffk，detk的值。然后根據(jù)各影響因素效用值與各影響因素的倒數(shù)關(guān)系計算得到影響因素的效用值U(costk)，U(diffk)，U(detk)。

1)根據(jù)0.1-0.9 比較尺度表(表1)，利用專家打分法得到權(quán)重判斷矩陣D：

2)利用式(1)將矩陣D轉(zhuǎn)化為符合一致性的判斷矩陣，然后利用式(2)計算得到三個影響因素的權(quán)重向量P=[0.1，0.333，0.567]T。

3)使用3.2節(jié)中介紹的熵權(quán)法對三個影響因素的熵值進行計算，從而得到客觀賦權(quán)法下三個影響因素的權(quán)重向量

4)利用3.3節(jié)中的式(7)以及主觀賦權(quán)法和客觀賦權(quán)法的權(quán)值分配的結(jié)果進行組合權(quán)重的計算，計算得出最終影響因素的權(quán)值向量，即M=[0.15，0.04，0.81]T。

5)將4)中的權(quán)值向量M用于式(8)和式(9)中，計算得出考慮防御手段和不考慮防御手段兩種情況下各葉節(jié)點的脆弱性指數(shù)如表5所示。

表5 葉節(jié)點脆弱性指數(shù)

6)根據(jù)本文構(gòu)建的攻擊防御樹模型可知，總共有六條攻擊路徑可以達到最終的根節(jié)點，分別為：i1={E1，E2}；i2={E3}；i3={E4}；i4={E5}；i5={E6}；i6={E7}。根據(jù)(5)中葉節(jié)點脆弱性指數(shù)計算得到添加防御手段前后的攻擊路徑脆弱性指數(shù)結(jié)果如表6所示。

表6 各攻擊路徑脆弱性指數(shù)

7)由系統(tǒng)脆弱性指數(shù)計算結(jié)果分析可知，系統(tǒng)脆弱性指數(shù)為各攻擊路徑脆弱性指數(shù)中的最大值。即添加防御措施前為0.49，添加防御措施后為0.37。

8)應(yīng)用葉節(jié)點敏感度式(11)對各葉節(jié)點敏感度進行計算，結(jié)果如表7所示

表7 各葉節(jié)點敏感性指數(shù)

由表3可知各葉結(jié)點的脆弱性E2，E3，E4為本文構(gòu)建的攻擊防御樹模型中三個最敏感的葉節(jié)點。

6.3 實驗結(jié)果分析

從該案例得到的評估結(jié)果來看，三個影響因素的權(quán)重分別為0.15，0.84，0.81。其中權(quán)值最高的影響因素為攻擊被發(fā)現(xiàn)的可能性大小。因此，對于攻擊者而言攻擊被發(fā)現(xiàn)的可能性是選擇攻擊路徑和方法時最優(yōu)先考慮的事項，這可以決定它們的攻擊是否可以足夠長時間的潛伏，以最大程度的破壞它們的目標系統(tǒng)；采用適當(dāng)?shù)姆烙侄蝿t可以有效的減小系統(tǒng)的脆弱性指數(shù)。

通過各攻擊路徑脆弱性指數(shù)可以看出，通過從站對主站進行攻擊的方式最容易達成攻擊主站的目的。其中i4，i5攻擊路徑在添加防御措施前的脆弱性指數(shù)更是高達0.47和0.49。這是由于從站相對于主站而言防御措施更少，防御強度更低，但從站作為主站選擇用以接收數(shù)據(jù)的數(shù)據(jù)站存放著大量關(guān)鍵數(shù)據(jù)。攻擊者攻擊從站可以用相對小的代價獲取相對大的攻擊利益。對于機場供油自控系統(tǒng)而言，一旦篡改了從站的數(shù)據(jù)或者通過從站侵入主站對主站下達錯誤指令，可能會導(dǎo)致油存儲量超過閾值等一系列直接危害供油系統(tǒng)安全的重大事故。這就提醒相關(guān)工業(yè)控制系統(tǒng)在進行防御措施構(gòu)建和日常檢測時應(yīng)當(dāng)加大對從站的防護力度，從而減少通過從站攻擊主站的風(fēng)險。

通過葉節(jié)點敏感度的評估可知E2，E3，E4葉節(jié)點敏感指數(shù)都達到了3，是最為敏感的三個關(guān)鍵節(jié)點。因此在制定相應(yīng)的防御措施時，應(yīng)采用更多的手段來加強針對E2，E3，E4這三個關(guān)鍵節(jié)點的防御措施，以增加系統(tǒng)的信息安全程度。比如防火墻的配置，異常檢測，流量監(jiān)控，生物密碼識別等一系列方法。

7 結(jié)束語

本文主要結(jié)合層次分析法與熵權(quán)法，提出了一種基于攻擊防御樹的工業(yè)控制系統(tǒng)安全評估模型。該模型可以有效的對工業(yè)控制系統(tǒng)的安全進行評估，計算得出系統(tǒng)的脆弱性指數(shù)以及各關(guān)鍵節(jié)點的脆弱性指數(shù)。該方法主要用于輔助技術(shù)人員制定防御手段，優(yōu)化防御措施方案。