基于模糊层次分析法的工控系统安全评估

贾驰千, 冯冬芹

(浙江大学 工业控制技术国家重点实验室,浙江 杭州 310027)



基于模糊层次分析法的工控系统安全评估

贾驰千, 冯冬芹

(浙江大学 工业控制技术国家重点实验室,浙江 杭州 310027)

提出基于模糊层次分析法(FAHP)的工业控制系统(ICS)安全评估方法,对工控系统设备与具体攻击方式进行分析,建立层次分析化安全评估模型,以期对工控系统的安全状况有更全面的评估,对工控系统中的易受攻击设备能够采取有针对性的防范措施.以典型化工控制系统为例,从信息安全评估原理到工控系统安全评估原理进行迁移,完善了工控系统层次化建模的合理性与逻辑性；建立层次化分析模型,引入模糊一致矩阵,给出模糊层次法的评估步骤；根据攻击方式,采用统一评语集,利用模糊综合评价计算各个子目标安全值,判断系统脆弱性所在,即工控系统中的易受攻击设备,得到系统的整体安全状态值.评估结果显示,该工控系统中最脆弱的部分为工程师站和PLC,需要重点加强安全防护措施,而整个工控系统处于“基本安全”偏向“比较危险”的状态.

模糊层次分析法；工控系统；安全风险评估

工业以太网的广泛应用使得工业控制系统与信息系统充分结合,也使得工控系统面临更多的安全威胁.工业控制系统安全评估可以反映工控系统的安全状态,判断工控系统的脆弱性所在,属于对安全威胁的主动防御,所以工控系统安全评估已经成为工控系统安全研究的热点课题.目前,不断有专家与学者对工控系统安全评估进行研究,从方法论到具体的评估方法进行了全方位的探索与尝试,如文献[1～4].

较典型的是采用故障树分析法,如Ralston等[2-3]讨论基于故障树的攻击概率定量分析方法对SCADA系统进行安全评估,该方法较清楚地显示了攻击过程与机理.不足之处在于实际中故障机理大多较模糊,并非简单的0-1关系,使用精确故障原因数据进行分析,容易误诊.

基于概率论与图论相融合的贝叶斯网络被用于安全评估.Wang等[3]以贝叶斯网络为模型,对影响风险等级的各种因素采用概率方法结合专家知识进行描述.该方法不仅可以评估网络的总体风险,还可以分别评估各个局部要素可能引起风险的程度.贝叶斯网络模型条件概率的确定一般比较复杂,往往要根据具体问题,由专家经验确定或由统计实验确定.

最近几年,研究人员开始使用层次分析法(analytic hierarchy process,AHP)对工业控制系统进行安全风险评估,如Bian等[4]使用AHP_FCE综合的方法,从风险因素、服务因素、公共因素三方面对信息安全态势进行评估；卢慧康等[5]使用模糊层次分析法,从资产、威胁、脆弱性和已采取安全措施4个方面对工业控制系统安全进行安全评估.AHP方法的特点是通过深入分析复杂目标问题的本质,明确影响问题实现的各个要素,并建立层次结构.该方法是一种可以实现复杂目标的定性与定量相结合的决策方法,但分析结果的主观性较强,而模糊综合分析法能够量化不确定的因素,考虑了客观事物内部关系的复杂性和价值系统的模糊性.能够一定程度上弥补AHP方法的缺点,如秦晨等[6-7]使用模糊层次分析法对不同领域进行的安全评估.

本文对AHP进行改进,提出基于模糊层次分析法(FAHP)的工业控制系统信息安全风险评估方法.本文从信息安全评估原理到工控系统安全评估原理进行迁移,完善了工控系统层次化建模的合理性与逻辑性；将工控系统安全目标划分为工程师站、操作员站、PLC、电动调节阀、压力传感器和电磁流量计等安全子目标,各层要素相对权重计算过程中引入模糊一致矩阵,克服了层次分析法判断矩阵不一致而导致的多次、重复一致性检验问题,给出模糊层次法的评估步骤；根据攻击方式,采用统一评语集,利用模糊综合评价计算各个子目标安全值,使得评价结果更具有可比较性；通过各个子目标的安全评价值,可以判断系统的脆弱性所在,能够最终得到系统的整体安全状态值.

1 工控系统层次化建模

在基于模糊层次分析法的工控系统安全评估方法中,建立合理的层次分析模型至关重要.根据国标GB/T 20984-2007中说明的信息安全风险分析原理[8],将风险分析分为资产、脆弱性和威胁3个要素.风险分析的主要内容是将资产与脆弱性相结合、脆弱性与威胁相结合,综合得出最终的风险值.

针对工控系统安全进行评估,原理与信息安全评估相似.本文对目标层,即工控系统安全评估值的评估划分为2个层次：要素层,即系统设备(类比“资产”)；评价层,即攻击方法(类比“脆弱性”).

本文认为,虽然信息安全评估原理中将风险分析分为资产、脆弱性和威胁3个分析因素,但是根据分析原理可知,风险是由资产与脆弱性、脆弱性与威胁相结合后产生的,3个因素不能单独并直接对风险造成影响.这3个分析因素在层次分析中不应该划分在同一层次.工控系统中的攻击方法与系统设备需要在层次分析中划分为目标层、要素层和评价层.目标层,即工控系统安全评估值F；针对安全目标,划分要素层要素,即系统设备；针对系统设备进行评价层的划分为攻击方法.

因为工控系统十分复杂,在建立工控系统安全评估模型前,必须先确定工控系统的网络结构,明确所需评估的对象和评估的范围.本文根据国家标准GB/T 26333-2010中提出的工控网络安全评估范围[9],在系统结构上,将工控系统分为3个逻辑层次：企业管理层、过程监控层和现场设备层,如图1所示.

工业控制系统是一个复杂的系统,对整个系统进行研究十分困难,而整个ICS中与控制领域密切相关的是过程监控层和现场设备层,因此选取图1中工控系统网络结构的过程监控层和现场设备层作为系统安全评估的研究对象进行分析.

图1 工控系统网络结构Fig.1 ICS network structure

在确定研究对象后,以某化工厂为例,针对过程监控层和现场设备层,基于FAHP建立工控系统安全评估层次分析模型,如图2所示.层次分析模型的目标层是图1中的工控系统安全评估值,标记为F；第二层要素层是图1中工控系统的典型设备,标记为A.A层包含过程监控层和现场设备层的9种典型设备,分别为工程师站、操作员站、OPC服务器、PLC、电动调节阀(执行器)、压力传感器、LD电磁流量计、路由器和无线设备.过程监控层的各个设备存在系统软件以及和工控系统相关的应用软件,选取设备中与工控系统相关的软件或服务来进行考察,分为组态软件、监控软件、OPC客户端、网络服务和OPC服务端.在评价层使用常见攻击方式作为评价指标,分别为拒绝服务(DOS)攻击、窃听攻击、数据篡改、蠕虫、木马.

过程监控层的设备主要是工程师站、操作员站和OPC服务器,这些设备中与工控系统安全相关的主要是工控系统软件与服务,不同的设备有不同的软件和服务,具体的划分如图2所示.图中,箭头从软件或服务指向某一设备,代表该设备具有箭头起点对应的软件或服务.以工程师站为例,它被4个箭头所指,说明它具有组态软件、监控软件、OPC客户端和网络服务4项.评价层的攻击方法用箭头指向软件或服务,说明箭头终点对应的软件或服务可以被该攻击方法所攻击.PLC、电动调节阀、压力传感器和LD电磁流量计所受的攻击方法相同,包括拒绝服务、窃听攻击、数据篡改、蠕虫和木马,因此使用一个汇聚节点表示.同理,可以得到路由器和无线设备的箭头指示.

图2 基于FAHP的层次化安全评估模型Fig.2 Hierarchical security assessment model based on FAHP

2 基于FAHP工控系统安全评估方法

2.1 各要素重要性判断赋值

在完成层次分析建模后,根据该层各因素受攻击后对上一层因素造成的相对危害程度,来确定本层次各因素的相对重要性.为了使相对重要性得到定量描述,采用0.1～0.9标度给予数量标度,见表1.根据表1所示的优先关系数量标度法对各因素指标的相对重要性予以打分,并构造判断矩阵.

表1 优先关系判断矩阵数量标度方法

各个要素的特殊性使得各要素对应的指标受攻击后造成的危害不同.首先,根据评价层的5种常见攻击方式对要素层对应要素攻击后可能造成的影响,对5种攻击方式的相对重要性进行判断赋值,构造判断矩阵.以PLC为例,根据攻击后果对重要性进行赋值.数据篡改能够修改PLC控制器的设定值,使得攻击难以被发觉,导致无法及时发现异常,采取补救措施,造成严重危害；拒绝服务攻击使得PLC失去控制能力,使得生产过程不可控,易造成威胁,但可以及时采取补救措施；窃听攻击可以窃取生产数据,造成一定程度上的数据泄密；蠕虫与木马主要通过组态软件对PLC程序进行修改,威胁较大.拒绝服务攻击对窃听攻击的重要性赋值为0.8,对数据篡改的重要性为0.3,对蠕虫的重要性为0.2,对木马的重要性为0.3,其余如表2所示.

表2 PLC评价指标重要性赋值表

Tab.2 Precedence relation between assessment index of PLC

PLC拒绝服务窃听攻击数据篡改蠕虫木马拒绝服务0．50．80．30．20．3窃听攻击0．20．50．40．10．2数据篡改0．70．60．50．20．3蠕虫0．80．90．80．50．6木马0．70．80．70．40．5

相同的攻击方式在不同的设备中可能造成的影响不完全相同.比如,对比PLC中的攻击重要性赋值,在电动调节阀中,由于拒绝服务攻击使得调节阀在一定时间内无法根据PLC的输出来正常调整阀门开度,造成系统不可控.如果时机准确,则危害加大,从而导致工控系统严重后果.在电动调节阀中,拒绝服务攻击对窃听攻击的重要性赋值为0.8,对数据篡改的重要性为0.4,对蠕虫的重要性为0.3,对木马的重要性为0.4,其余如表3所示.

表3 电动调节阀评价指标重要性赋值表

Tab.3 Precedence relation between assessment index of electric control valve

电动调节阀拒绝服务窃听攻击数据篡改蠕虫木马拒绝服务0．50．80．40．30．4窃听攻击0．20．50．30．10．2数据篡改0．60．70．50．20．2蠕虫0．70．90．80．50．6木马0．60．80．80．40．5

根据表2、3,可得判断矩阵RA21和RA22为

同理可得工程师站、操作员站、OPC服务器、压力传感器、LD电磁流量计、路由器和无线设备的判断矩阵为RA11、RA12、RA13、RA23、RA24、RA31、RA32.同时,要对工程师站、操作员站和OPC服务器相应软件或服务进行相对重要性赋值,作为计算这3个设备的模糊综合评价的条件.

根据要素层各设备Ai受攻击后对目标层系统整体安全F可能造成的影响,对要素层的各要素Ai的相对重要性进行判断赋值,并构造判断矩阵.例如,比较工程师站和操作员站,由于工程师站除了监控功能外,还能对系统设备进行组态、控制,因此,工程师站受攻击后造成的危害更大,工程师站比操作员站明显重要,工程师站对操作员站的重要性赋值为0.7.比较工程师站与PLC可知,若PLC被攻击成功,则难以发现异常,对工控系统下游设备直接进行控制,造成巨大损失,因此PLC比工程师站稍微重要,PLC对工程师站的重要性赋值为0.6.比较PLC与电动调节阀,由于PLC是控制部分,接收传感器数据,并对执行器进行控制,是生产过程非常重要的一部分,而电动调节阀接收PLC的指令,对某一变量进行调整,不如PLC重要,因此PLC对电动调节阀的重要性赋值为0.8.对其他设备两两比较后,得到重要性赋值,如表4所示.

表4 要素层各设备重要性赋值表

判断矩阵RF为

2.2 一致性转换与各层次权重值计算

根据式(2)进行一致性转换后,得到模糊一致判断矩阵R=(fij)n×n.

(1)

(2)

根据式(2)将判断矩阵RA21转化为模糊一致矩阵RCA21后,根据式(3)计算出评价层中第一项评价指标拒绝服务B1对PLC A21的权重,公式证明见文献[10].

(3)

同理,计算出A21下层5种攻击方法对A21的权重,分别如下：

wB2=0.145,wB3=0.19,wB4=0.255,

wB5=0.23.

因此得出PLC A21的5个评价指标的权重向量为

WA21=[0.18,0.145,0.19,0.255,0.23].

按照同样的步骤,可以求出A11、A12、A13、A22、A23、A24、A31、A32和F的权重向量,分别如下：

WA11=[0.39,0.22,0.19,0.20],

WA12=[0.385,0.315,0.3],

WA13=[0.42,0.58],

WA22=[0.18,0.15,0.205,0.245,0.22],

WA23=[0.185,0.155,0.195,0.245,0.22],

WA24=[0.185,0.155,0.195,0.245,0.22],

WA31=[0.322,0.293,0.385],

WA32=[0.32,0.29,0.39],

WF=[0.131 9,0.125 0,0.112 5,0.136 1,

0.100 0,0.105 6,0.105 6,0.090 3,0.093 1].

2.3 对攻击方法建立模糊评价矩阵

对各个要素采用统一的评语集进行评判,使得结果更具有可比较性.根据图2所示的工控系统安全评估模型,对层次模型底层的5个攻击评价指标进行模糊评价.设立模糊评语集,将评语集分为5级,即评语集

E={非常安全,比较安全,基本安全,

比较危险,非常危险}.

邀请专家针对各个设备的攻击方法进行评判后,根据式(4)求出各个攻击方法对不同设备的模糊评级结果Vi.

Vi=WiEi.

(4)

以PLC A21为例,专家先对评价指标“拒绝服务”进行评判,有20%的专家认为PLC在遭受拒绝服务攻击后,使得控制变量在一定时间内维持上一状态不变,无法对生产过程进行控制,在一定的时机下会造成重大损失,因此认为“非常危险”.有50%的专家认为PLC在遭受拒绝服务攻击后,无法控制生产,会造成损失,但是上位机可以较快地发现异常,采取补救措施,因此不会造成无法挽回的后果,认为“比较危险”.有25%的专家认为PLC在遭受攻击后,控制变量在一定时间内维持上一状态不变,虽然无法对生产过程进行控制,但仍然属于正常数值,且易发现并补救.除非是在一些特定时机,如压力即将超过最大容忍值,急需降压控制的情况下,但是这种时机概率较小,且需要配合其他攻击行为,较难实现,因此认为“基本安全”.有5%的专家认为对PLC进行拒绝攻击不会对生产过程造成重大损失,因此认为“比较安全”,没有专家认为“非常安全”.得到“拒绝服务”的评价隶属度向量EB1为

EB1=[0,0.05,0.25,0.5,0.2] .

同理,得到PLC A21另外4种攻击方式“窃听攻击”、“数据篡改”、“蠕虫”和“木马”的评价隶属度向量EB2、EB3、EB4和EB5，然后得到PLC A21的安全评价隶属度矩阵EA21为

根据式(4),可得PLC模糊评价向量为

VA21=WA21EA21=

[0,0.067 4,0.428 8,0.415 4,0.088 4].

依次进行工程师站、操作员站、OPC服务器的相关软件与服务的单因素评判,将评判结果综合作为工程师站、操作员站和OPC服务器的评判结果.依次进行PLC、电动调节阀、压力传感器、电磁流量计、路由器和无线设备的单因素评判,得到要素子层各个要素的模糊评价结果如下.

VA11=WA11EA11=

[0,0.067 6,0.423 2,0.417 4,0.091 8],

VA12=WA12EA12=

[0,0.079 1,0.521 2,0.324 4,0.075 3],

VA13=WA13EA13=

[0.031,0.132 6,0.439 2,0.375 6,0.021 6],

VA22=WA22EA22=

[0.025,0.114 2,0.377 7,0.399 1,0.084],

VA23=WA23EA23=

[0.114 5,0.154 9,0.331 7,0.300 9,0.098],

VA24=WA24EA24=

[0.114 5,0.154 9,0.331 7,0.300 9,0.098],

VA31=WA31EA31=

[0.012,0.101 2,0.395 6,0.411 6,0.079 6]，

VA32=WA32EA32=

[0.021,0.112 9,0.410 1,0.381 9,0.074 1].

各个攻击方法的评级结果Vi组合成对应的不同设备Ai总的模糊评级矩阵E,即

将向量VA11、VA12、VA13、VA21、VA22、VA23、VA24、VA31、VA32作为总系统安全评估F的安全评价隶属度矩阵EF,由2.2节得到的各设备权重的向量为WF=[W1,W2,…,Wn].根据式(4)可得总的系统安全评估模糊评价结果VF为

VF=WFEF=

[0.033 2,0.106 7,0.410 5,0.370 6,0.079 2].

2.4 反模糊转化

利用模糊综合评判所得到的评价结果Fv是一个模糊向量.为了使系统安全评估的结果更加明显,将所得的综合评价结果的模糊向量进行反模糊化处理.设评语集

E={非常安全,比较安全,基本安全,

比较危险,非常危险}={v1,v2,v3,v4,v5}.利用下式对最终的模糊向量进行反模糊化处理：

(5)

对建立的安全评估评语集进行赋值,即

E={非常安全,比较安全,基本安全,

比较危险,非常危险}={1,2,3,4,5}.

对提出的层次分析中的9种系统设备,工程师站、操作员站、OPC服务器、PLC、电动调节阀、压力传感器、电磁流量计、路由器和无线设备的模糊评价向量进行反模糊化,得到

由以上数据可得9种系统设备最终的安全评估值,如图3所示.图中，Fi为各设备的安全评估值.

图3 系统设备安全评估值直方图Fig.3 Histogram of device security assessed value

从图3可以看出,系统设备中风险最大的部分为工程师站,其次是PLC,都需要着重加强安全防护措施与安全管理技术.

3 结 语

本文针对工控系统安全评估问题,提出基于模糊层次分析法的工控系统安全评估方法.从信息安全评估原理到工控系统安全评估原理进行迁移,完善了层次分析法层次建模的合理性；构造模糊一致矩阵,克服传统AHP评估方法的不足；根据专家经验,对各项指标进行相对权重赋值与计算,对各项攻击方法的风险进行模糊综合评价,完成了对工控系统的安全评估,得到工控系统安全评估向量.通过重心法进行反模糊化,不仅得到工控系统总的安全评估值,也确认了工控系统设备中风险最大的设备,对工控系统的安全部署提供参考建议.

提出的方法存在需要进一步研究的地方.

1) 对工控系统的建模需要根据实际情况进一步细化,包括更全面的工控设备的划分、更全面的针对工控系统的攻击划分等.

2) 在各个要素相对重要性的赋值与评价层各要素的综合模糊评判中,受主观不确定性的影响,如何设计更好的评判标准、如何更好地对评判数据进行处理减少主观不确定性是未来研究的重点之一.

[1] HRISTOVA A, SCHLEGEL R, OBERMEIER S.Security assessment methodology for industrial control system products [C]∥The 4th Annual IEEE International Conference on Cyber Technology in Automation, Control and Intelligent Systems. [S.l.]: IEEE, 2014: 264-269.

[2] RALSTON P A S, GRAHAM J H, HIEB J L. Cyber security risk assessment for SCADA and DCS networks [J]. ISA Transaction, 2007, 46(4): 583-594.

[3] WANG L J, WANG B, PENG Y J. Research the information security risk assessment technique based on Bayesian network [C]∥2010 3rd International Conference on Advanced Computer Theory and Engineering. Chengdu: [s.n.], 2010: V3-600-V3-604.

[4] BIAN N Y, WANG X Y, MAO L. Network security situational assessment model based on improved AHP_FCE [C]∥2013 6th International Conference on Advanced Computational Intelligence. Hangzhou: [s.n.], 2013: 200-205.

[5] 卢慧康，陈冬青，彭勇.工业控制系统信息安全风险评估量化研究[J].自动化仪表，2014，35(10)： 21-25. LU Hui-kang, CHEN Dong-qing, PENG Yong. Quantitative research on risk assessment for information security of industrial control system [J]. Process Automation Instrumentation，2014，35(10): 21-25.

[6] 秦晨，陈晓方，杨玉婷.基于FAHP-IE算法的尾矿库安全性三级评估研究及应用[J].控制工程，2014，21(6)： 995-1000. QIN Chen, CHEN Xiao-fang, YANG Yu-ting. Research on safety three-level evaluation of tailings reservoir based on FAHP-IE method [J]. Control Engineering of China, 2014, 21(6): 995-1000.

[7] 元云丽.基于模糊层次分析法(FAHP)的建设工程项目风险管理研究[D].重庆：重庆大学，2013. YUAN Yun-li. The research on the construction engineering project risk management based on fuzzy analytic hierarchy process [D]. Chongqing: Chongqing University, 2013.

[8] GB/T 20984-2007,信息安全风险评估规范[S].北京：中国标准出版社，2007.

[9] GB/T 26333-2010,工业控制网络安全评估规范[S].北京：中国标准出版社，2010.

[10] 张吉军.模糊一致判断矩阵3种排序方法的比较研究[J].系统工程与电子技术，2003，25(11)： 1370-1372. ZHANG Ji-jun. Comparison of three ranking methods for the fuzzy consistent judgement matrix [J]. Journal of System Engineering and Electronics， 2003，25(11)： 1370-1372.

[11] 吕跃进.基于模糊一致矩阵的模糊层次分析法的排序[J].模糊系统与数学，2002，16(2)： 79-85. LV Yue-jin. Weight calculation method of fuzzy analytical hierarchy process [J]. Fuzzy Systems and Mathematics，2002，16(2)： 79-85.

Security assessment for industrial control systems based on fuzzy analytic hierarchy process

JIA Chi-qian, FENG Dong-qin

(StateKeyLaboratoryofIndustrialControlTechnology,ZhejiangUniversity,Hangzhou310027,China)

A security assessment for industrial control systems (ICS) based on fuzzy analytic hierarchy process (FAHP) was proposed in order to comprehensively assess the ICS security condition and provide targeted measurement for the equipment which is vulnerable in ICS. The analytic hierarchy model of security assessment was established with the analysis of equipment in ICS and specific attacks. The FAHP method was implemented taking a typical chemical industrial control system for example. The principle of information security assessment was transferred to the principle of security assessment for ICS, and the rationality and logicality of the hierarchical modeling for ICS was improved. The proposed assessment established an analytic hierarchy model, introducing fuzzy consistent matrix and making the step of FAHP. According to the attack method, the sub goal security value was calculated with fuzzy comprehensive evaluation using unified assessment set in order to determine the vulnerability of ICS. The vulnerability of ICS refers to the vulnerable equipment in ICS. Then the overall security situation for ICS was obtained. The assessment results show that the vulnerable equipment in this ICS is engineer station and PLC, which need highly protective measures in particular. The security level of the control system is ‘basically secure’.

fuzzy analytic hierarchy process; industrial control system; security assessment

2015-01-30. 浙江大学学报(工学版)网址： www.journals.zju.edu.cn/eng

国家自然科学基金资助项目(61433006).

贾驰千(1992—)，男，硕士生，从事工业控制系统安全的研究. ORCID: 0000-0001-8944-182X. E-mail: cqjay2010@163.com 通信联系人：冯冬芹，男，教授，博导. ORCID: 0000-0002-3034-0933. E-mail: dqfeng@iipc.zju.edu.cn

10.3785/j.issn.1008-973X.2016.04.022

TP 273

A

1008-973X(2016)04-0759-07