工业控制系统的漏洞风险评估方法

顾兆军 彭辉

关键词： 工业控制系统; 漏洞风险评估; 攻击图; 层次分析法; 风险值计算; 综合损失计算

中图分类号： TN082?34; TP393.08              文献标识码： A                    文章编号： 1004?373X（2019）14?0112?05

Method of vulnerability risk assessment for industrial control systems

GU Zhaojun1，2， PENG Hui1，2

（1. College of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Information Security Assessment Center， Civil Aviation University of China， Tianjin 300300， China）

Abstract： In allusion to the current situation that the current vulnerability risk analysis of the ICS ignores the correlations between vulnerabilities， a method of new vulnerability risk assessment for the ICSs is proposed. In the method， the ICS attack graph model is established. Two indexes of vulnerability value and vulnerability utilization probability are put forward. The calculation formulas of the indexes are given combining the security attributes and defensive characteristics of the ICSs. The index quantification is completed by adopting the analytic hierarchy process and considering the component features and attacker′s purposes. The actual utilization probability and comprehensive loss of the vulnerabilities are calculated according to the correlations between vulnerabilities in the attack graph， so as to complete the calculation of vulnerability risk values. An experimental analysis was conducted taking a certain ICS of the civil aviation as an example. The results show that the method can comprehensively assess the vulnerability risk of the ICS.

Keywords： industrial control system; vulnerability risk assessment; attack graph; analytic hierarchy process;  value?at?risk calculation; comprehensive loss calculation

0  引  言

随着工业技术和信息技术的深度融合，网络攻击不再局限于信息域，攻击范围从虚拟空间扩展到工业控制系统（Industrial Control System，ICS）。2010—2015年爆发的Stuxnet[1?2]，HaveX等病毒事件对社会造成了极大的危害。由这些事件可看出ICS安全的严峻性和重要性。风险评估是保障控制系统安全、稳定运行的一个有效手段。

武文博等人对信息物理系统中的跨域攻击进行分析，提出攻击成功概率和攻击后果两个度量指标，较为准确地完成系统的风险评估[3]。黄家辉等人在系统地研究工控系统中存在的各类脆弱性后，提出漏洞利用难度和漏洞危害性两个度量指标，较为科学地对系统进行了脆弱性评估[4]。王作广等人提出一种基于攻击树和CVSS（Common Vulnerability Scoring System）的ICS风险量化评估方法，结合CVSS 3.0描述组件脆弱性可利用概率等，较为客观地完成了系统的风险评估[5]。但上述文章提出的ICS漏洞指標的量化方法均未考虑漏洞间的关联性，没有对漏洞危害的传播性进行分析。

针对上述问题，本文提出一种ICS漏洞风险评估方法。该方法以ICS攻击图为基础，综合漏洞价值和漏洞利用概率两种指标，根据漏洞间的关联性完成漏洞的风险评估，评估结果能较为准确地反映出漏洞对整个ICS的影响程度。

1  攻击图模型

由于ICS采取纵深防御的策略进行防御，攻击者往往不能直接对目的主机发起攻击，因此需要在ICS的网络边界寻找漏洞作为攻击起点，并利用漏洞间的关联关系对目的主机发起攻击。若只是关注单个漏洞的风险，就不能分析出漏洞在整个网络中的严重程度。因此，在对ICS中的漏洞进行评估时，需要识别漏洞间的利用关系。攻击图[6]能从攻击者视角出发，在全面分析系统脆弱性信息的基础上，列举所有可能的攻击路径，进而向防御者展示脆弱点之间的利用关系。因此，攻击图是解决此问题的良好模型之一。

为了便于分析，本文对属性攻击图进行简化，得到ICS漏洞攻击图。该图以漏洞作为图的节点，攻击路径作为边，可被描述为[AG=N，L]，其中，[N]代表系统的漏洞集合，[L]代表漏洞间的渗透关系。[AG]满足以下约束关系：[?n∈N]，令[pren]是[n]的父节点集合，则父节点之间存在两种基本逻辑关系和一种混合关系，分别是“与”关系、“或”关系和“MIX”关系，如图1所示。

2  基于攻击图的ICS漏洞风险评估

参考IEC61508标准中ICS风险的计算方法，ICS漏洞风险[Ri]等于漏洞的实际利用概率[Pi]与漏洞造成的综合损失[CLi]的乘积，即

[Ri=Pi·CLi]  （1）

式中：[Pi]表示漏洞[i]在整个网络中被攻击成功的概率，与漏洞在网络中的逻辑位置和漏洞利用概率有关;[CLi]代表漏洞[i]对整个系统造成的总损失，等于自身损失和传播损失之和，与漏洞价值有关。自身损失代表漏洞自身对系统造成的损失，传播损失代表攻击者通过此漏洞攻击与之直接关联的漏洞而导致的损失。

本文所提出的基于攻击图的ICS漏洞风险评估的具体步骤如下：

1） 提取ICS漏洞信息，并参考文献[7]建立系统的攻击图模型;

2） 提出漏洞价值[vi]和漏洞利用概率[pi]两个指标，并结合ICS中的功能损失和防御强度等方面来给出这两个指标的计算公式;

3） 采用层次分析法并结合组件特征和攻击者目的，完成指标的量化;

4） 以攻击图作为分析工具，并结合[vi]和 [pi]计算漏洞的实际利用概率[Pi]和综合损失[CLi]，最后利用式（1）完成漏洞风险的计算。

2.1  漏洞价值

漏洞价值是指漏洞被攻击成功后对系统造成的损害程度，结合ICS的安全属性[8]，它可用漏洞对ICS的功能性、信息性和物理性三个方面造成的损失来衡量。

功能损失（[FLi]）：功能的完整性能够确保ICS组件功能的正确执行，功能性被损害后，会对健康、安全、环境（HSE）造成影响，因此可通过HSE事件的影响程度来衡量功能损失。

信息损失（[ILi]）：信息的正确性对ICS的稳定运行起着重要的作用，因此利用漏洞获取系统的关键信息是攻击者的重要目标。信息损失可参考CVSS标准，从机密性、完整性和可用性（CIA）三个方面来衡量。

物理损失（[PLi]）：物理损失与组件的软硬件成本相关，成本越高，漏洞造成的物理损失可能就越大。

根据上述分析，漏洞价值的公式为：

[vi=δFLi+εILi+θPLi] （2）

式中：[vi]表示漏洞[i]的价值;[FLi]，[ILi]和[PLi]分别为漏洞[i]造成的功能损失、信息损失和物理损失的等级评分，均由专家评估给出;[δ]，[ε]，[θ]表示不同因素对漏洞价值的影响权重，这3个权重之和为1。结合ICS的特征，本文采用的等级评分标准如表1、表2所示。

2.2  漏洞利用概率

漏洞利用概率指漏洞被单步攻击成功的可能性，该指标受多种因素的影响，包括防御强度、攻击被发现可能性和攻击成本。

防御强度（[DSi]）：ICS采用纵深防御的体系架构进行防御，因此防御强度与纵深防御策略下安全机制的设计有关。安全机制的设计主要有入侵检测、工业防火墙[9]部署、认证等。入侵检测和工业防火墙是ICS边界防御的关键技术，认证是组件鉴别数据安全性的关键措施。防御强度越高，则攻击难度越大，漏洞被攻击成功的概率就越小。

攻击被发现可能性（[DPi]）：可参考行业或测评单位的等级划分标准给出。攻击被发现的可能性越高，攻击成功的概率就越低。

攻击成本（[ACi]）：表示攻击者在攻击漏洞的过程中所花费的成本。攻击成本越高，攻击成功概率也就越低。

计算漏洞利用概率的公式为：

[pi=α1DSi+β1DPi+γ1ACi]  （3）

式中：[pi]表示漏洞[i]的利用概率;[DSi]，[DPi]和[ACi]分别表示漏洞[i]所处网络环境的防御强度、攻击漏洞[i]被发现可能性和攻击成本的等级评分，由专家评估给出;[α]，[β]和[γ]为影响权重，权重之和为1。结合ICS的防御特征和安全属性，本文采用的等级评分标准如表3、表4所示。

2.3  基于AHP的权值量化

漏洞风险值的确定是以漏洞价值和利用概率作为基础数据进行衡量，因此式（2）、式（3）中权值的确定会对风险结果产生很大影响。

由于式（2）中漏洞所处组件的特征不同，权值分配会不同。若漏洞位于数据库，则攻击者更倾向于获取更多的机密数据，而不会损害组件的功能性。如果漏洞位于PLC等控制组件，那么攻擊者更愿意对PLC进行功能性破坏，以达到攻击目的。如果漏洞位于软硬件成本较高的组件，那么攻击者可能更倾向于破坏组件的物理特性。

由于式（3）中攻击者利用漏洞的目的不同，权值分配就会有所不同。若攻击者目的是对组件造成破坏，则攻击者着重考虑防御强度;若攻击者是为了在组件中留下后门，以便长期进行信息的收集，那么考虑更多的是被发现可能性;若攻击者是为了获取组件中的商业数据，则可能优先考虑攻击成本。

针对上述分析，本文采用层次分析法（Analytic Hierarchy Process，AHP），并兼顾组件特性和攻击者目的对属性权值进行定量分析。本文以ICS中工业数据库的某漏洞为例进行漏洞价值分析，那么信息损失、功能损失和物理损失的重要性依次降低。基于此经验判断，引入9级分制标度法来构造漏洞价值的比较等级表，如表5所示。

根据比较等级表以及功能损失、信息损失和物理损失3个因素对漏洞价值的影响程度，构造判断矩阵[C]：

[C=113331513151]

定义一致性比率[CR]为[CI]和[RI]之比。当满足式（4）时，矩阵[C]可通过一致性检验。

[CR=CIRI<0.1] （4）

一致性指标[CI=γmax-n（n-1）]，其中，[n]是矩阵维数，[γmax]是矩阵的最大特征值。[RI]为随机一致性指标，值取自AHP中的随机性指标取值表。经计算得：[γmax=3.034，][CI=0.019  5，][RI=0.58，][CR=0.033  6]。[CR<0.1]，矩阵[C]通过一致性检验。

采用和积法求解出[γmax]对应的特征向量，即为各属性对应的权值。由此，可以得出[δ=0.260]，[ε=0.634]，[θ=0.106]。将上述参数代入式（2），可得出漏洞价值。同理计算漏洞利用概率。

2.4  计算实际利用概率[Pi]和综合损失[CLi]

基于攻击图，以漏洞利用概率[pi]和漏洞价值[vi]作为基础数据，采用广度优先搜索[10]的策略计算[pi]和[CLi]，算法步骤为：

1） 将攻击图中的初始漏洞加入队列Q;

2） 当Q不为空时，则从Q中取出一个节点作为当前节点，遍历找出它的所有子节点，若子节点不在Q中，则将其子节点加入Q中。

当前节点[scur]的综合损失为：

① 若[scur]的无子节点，则[CLscur=vscur]

② 若[scur]有子节点[si（1≤i≤k，k≥1）]，则[CLscur=vscur+i=1kpsivsi]。

当前节点[scur]的实际利用概率[Pscur]为：

① 若[scur]的无父节点，则[Pscur=pscur]。

②若[scur]的父节点[tj（1≤j≤l，l≥1）]均为“与”关系，则[Pscur=pscurj=1lPtj]。

③ 若父节点[tj（1≤j≤l，l≥1）]均为“或”关系，则[Pscur=pscurj=1lPtj-j=1lPtj]。

④ 若父节点[tj（1≤j≤l，l≥1）]为“MIX”关系，参考图2的分解及计算方法计算[Pscur]。

3） 重复执行步骤2），直至Q为空。

此算法输入为ICS攻击图、漏洞利用概率和漏洞价值，输出则为所有漏洞的[Pi]和[CLi]。根据式（1）可得出每个漏洞的风险值。

3  实验结果与分析

以民航某工业控制系统为例进行实验分析，实验拓扑结构如图3所示。系统共包含6个组件，漏洞信息如表6所示。

3.1  攻击圖生成及指标量化

由文献[7]的算法生成攻击图。通过对漏洞的逻辑关系分析得到ICS漏洞攻击图，如图4所示。利用表1～表4所示的等级评分方法，由专家对漏洞价值和漏洞利用概率的影响因素打分，评分结果如表7所示。

将上述各值代入式（2）、式（3），并利用AHP确定权重，得到各漏洞的漏洞价值和漏洞利用概率，结果为：

[Vvi=1，2，1.63，2.74，2.53，2.79]

[Vpi=0.52，0.5，0.34，0.35，0.48，0.60]

3.2  漏洞风险计算及分析

根据第2.4节的算法，并结合第3.1节计算出的漏洞价值和漏洞利用概率，计算出漏洞的实际利用概率[Pi]和综合损失[CLi]，结果向量分别为：

[VPi=0.52，0.26，0.18，0.14，0.14，0.08]

[VCLi=2.55，2.96，3.80，5.63，2.53，2.79]

由式（1）得：

[VRi=1.326，0.769，0.684，0.788，0.354，0.223]

由漏洞风险值[VRi]可知，漏洞1和漏洞4的风险较大。漏洞1位于与互联网相连的客户机，往往呈现较大的攻击面，因此实际利用概率较高，风险值也就越大。漏洞4位于SCADA服务器，虽然实际利用概率较低，但由于和底层控制组件中的漏洞存在关联关系，所以综合损失较大，风险值也就较大。一旦被渗透成功，再加上ICS的集中管理、分布控制的特点，则可以向多个底层的控制组件发送错误的数据或指令以引起组件的爆炸，进而造成更大的损失。

对于漏洞5和漏洞6，虽然漏洞利用概率较大，但由于攻击者需要以多个漏洞为跳板才能将其渗透成功，所以实际利用概率较小;而且两者位于控制组件PLC中，一旦被渗透成功，只会对自身所在控件造成影响，整体风险值也就较小。

4  结  语

本文研究一种基于攻击图的ICS漏洞风险评估方法。该方法的主要创新点有：

1） 提出漏洞价值[vi]和漏洞利用概率[pi]两个评价指标，并结合ICS的工业特征完成指标的量化，结果更贴近ICS的工业环境。

2） 利用攻击图中漏洞间的关联关系，并结合漏洞价值和漏洞利用概率，计算漏洞的实际利用概率和综合损失，进而完成漏洞的风险评估，结果能够反映漏洞在整个系统中具有的风险。

实验结果表明，该方法能够有效地评估漏洞风险，结果与实际情况相符。

注：本文通讯作者为彭辉。

参考文献

[1] CHEMINOD M， DURANTE L， VALENZANO A. Review of security issues in industrial networks [J]. IEEE transactions on industrial informatics， 2013， 9（1）： 277?293.

[2] LANGNER R. Stuxnet： dissecting a cyberwarfare weapon [J]. IEEE security & privacy， 2011， 9（3）： 49?51.

[3] 武文博，康锐，李梓.基于攻击图的信息物理系统信息安全风险评估方法[J].计算机应用，2016，36（1）：203?206.

WU Wenbo， KANG Rui， LI Zi. Attack graph based risk assessment method for cyber security of cyber?physical system [J]. Journal of computer applications， 2016， 36 （1）： 203?206.

[4] 黄家辉，冯冬芹，王虹鉴.基于攻击图的工控系统脆弱性量化方法[J].自动化学报，2016，42（5）：792?798.

HUANG Jiahui， FENG Dongqin， WANG Hongjian. A method for quantifying vulnerability of industrial control system based on attack graph [J]. Acta automatica sinica， 2016， 42（5）： 792?798.

[5] 王作广，魏强，刘雯雯.基于攻击树与CVSS的工业控制系统风险量化评估[J].计算机应用研究，2016，33（12）：3785?3790.

WANG Zuoguang， WEI Qiang， LIU Wenwen. Quantitative risk assessment of industrial control systems based on attack?tree and CVSS [J]. Application research of computers， 2016， 33（12）： 3785?3790.

[6] HOMER J， ZHANG S， OU X， et al. Aggregating vulnerability metrics in enterprise networks using attack graphs [J]. Journal of computer security， 2013， 21（4）： 561?597.

[7] NOEL S， JAJODIA S. Understanding complex network attack graphs through clustered adjacency matrices [C]// Proceedings of the 21th Annual Computer Security Applications Conference. Tucson： IEEE， 2005： 160?169.

[8] 蒋宁，林浒，尹震宇，等.工业控制网络的信息安全及纵深防御体系结构研究[J].小型微型计算机系统，2017，38（4）：830?833.

JIANG Ning， LIN Hu， YIN Zhenyu， et al. Research of security and defense?in?depth architecture of industrial control network [J]. Journal of Chinese computer systems， 2017， 38（4）： 830?833.

[9] SHAKSHUKI E M， KANG N， SHELTAMI T R. EAACK： a secure intrusion?detection system for MANETs [J]. IEEE transactions on industrial electronics， 2013， 60（3）： 1089?1098.

[10] BEAMER S， ASANOVI? K， PATTERSON D. Direction?optimizing breadth?first search [J]. Scientific programming， 2013， 21（3）： 137?148.