工业控制系统低干扰风险评估技术研究

景 峰，张雪芹

（国网山西省电力公司，山西太原 030021）

0 引言

随着工业互联网的深入建设，各类采集设备、自动化系统的数量和种类不断增加，但由于固件更新不及时，缺少统一标准，未进行安全性和可靠性验证，存在各类安全漏洞，导致系统自身的漏洞和系统的暴露面日益增大。对于工业控制设备的漏洞研究以及脆弱性分析成为当前工业控制系统安全风险评估的重点。

1 多协议标语融合的细粒度设备识别模型[1]

借鉴多特征融合的细粒度图像检索算法，通过设备标语信息中含有丰富的与设备属性相关的信息进行设备识别，设备标语信息通常包括设备类型、品牌以及型号信息或者其中一种信息。根据不同的服务协议，通过主动探测技术获得多种协议标语，进而综合考虑设备多协议标语的关联特征，提高识别精度和时间效率。

目前基于标语的设备识别过程大致分为标语数据采集、标语信息处理以及匹配识别，该方法的技术难点在于弥补基于标语进行设备识别的不足，如发送协议探测报文之后，设备未能返回对应的协议标语；协议标语信息所含的设备属性信息量不完整，甚至不包含任何设备信息。若采用设备支持的所有协议标语来进行设备识别，会造成巨大的通信和时间开销，而发送过多探测数据包还可能会被认为是一种入侵行为。

2 层次分析法和模糊理论

层次分析法AHP（analytic hierarchy process）在运筹学的研究中属于比较强大的网络分析法，该方法在解决综合评价、多因素趋势预测、多标准和多用户程序等问题中，表现出良好的适用性和有效性[2]。AHP需要决策者提供每个标准的相对重要性，采用每一个标准制定每个决策优先权。首先分析具体的问题，然后构建影响该问题的因素并构建矩阵。通过比较矩阵元素的重要性，量化矩阵元素的定性权重，根据结果的实际可行性和客观性，实现定性分析与定量分析的结合。

模糊理论（Fuzzy set theory）是古典集合论的扩展。在古典集合论中，集合中的元素属于或者不属于该集合，元素间的关联程度较弱。而在模糊理论中，元素间的关联程度不断地变化。数学上，模糊集（也称为隶属度函数）是从论域到闭区间[0，1]的一个映射。通常，隶属度函数的设计需要考虑问题的需求和约束。基于模糊变量的使用，系统可以理解为一个非专业的系统。通过这种方式，模糊逻辑可以用作一种通用的方法将知识、试探法或理论合并到控制和决策的过程中[3]。

3 低干扰风险评估模型的实现

3.1 模型流程实现

为了实现对工业控制系统低干扰在线风险评估，提出以下技术方案：首先构建工业控制系统识别标语库、漏洞—型号映射库，然后根据设备标语库进行特征提取和识别，在设备工作的情况下，使用细粒度设备识别技术识别该设备的品牌、型号等信息，构建一个设备自动识别模型，最后通过模糊比对构建的漏洞库来进行脆弱性分析，对存在漏洞的设备提供风险评级。

电力工业互联网设备低干扰在线漏洞分析技术研究流程如下：使用工具探测设备，收集标语，构建工业互联网设备识别标语库；爬取“漏洞编号”“危害等级”“漏洞类型”“供应商”“型号”“设备类型”等信息，构建漏洞—型号映射库；爬取工业控制系统的相关信息，获得“厂商”“设备型号”“设备类型”等信息，构建工业控制系统设备指纹库；对工业控制系统设备识别标语库进行自然语言处理，利用机器学习等技术自动提取设备识别标语库的特征和属性，利用提取的特征和属性与设备指纹库进行指纹匹配；在设备工作状态下，利用细粒度设备识别技术实现设备型号信息的自动识别；最后使用模糊比对漏洞—型号映射库，实现免验证的工业互联网设备脆弱性分析，并对存在漏洞的设备提供风险评级。

3.2 多协议标语融合的细粒度设备识别

首先，对大量目标类型的设备发送由协议和端口组合构成的协议探测数据包，获取相应的协议标语信息，并进行基于标语的设备识别，将每种协议标语的识别结果存入数据库。其次，统计计算目标设备类型下每种协议标语的标语获取率（Pbanner1，Pbanner2，…），以及4种识别概率（Pnull，Pbrand，Pmodel，Pall），分别表示标语信息中不包含任何信息（null）、仅品牌（only brand）、仅型号（only model）以及品牌和型号（all）的概率。最后，采用强化学习的方法，将基于标语的设备识别过程建模为马尔科夫决策过程，通过改进价值迭代算法，为已知类型的设备生成最优协议探测序列，然后基于识别精度的增益阈值提取最优的协议探测组合。

针对多协议探测组合难以解决协议探测开销与设备识别精度之间平衡问题的实际情况，引入价值迭代算法，分步骤生成目标设备类型的最优协议探测组合。详情如图1所示。

图1 多协议标语融合的细粒度设备识别模型

技术实现步骤如下：

步骤1：基于Python的Scrapy架构，使用异步网络框架Twisted，以爬虫的技术方式实现对物联网设备品牌和型号属性的自动化收集工作，构建物联网设备指纹库。

步骤2：通过调用Censys提供的API接口，过滤出目标类型的大量真实的物联网设备IP，并保存。

步骤3：扫描步骤1获得的物联网设备IP，如果探测到IP对应的主机处于活跃状态，则将该活跃主机IP地址存入数据库。

步骤4：使用标语抓取工具来抓取每个活跃物联网设备的多种协议标语。

步骤5：结合由步骤1获得的物联网设备指纹库，进行基于标语的物联网设备识别，得到目标物联网设备类型基于不同协议标语的品牌、型号识别结果，分别计算基于每种协议标语的标语获取率、不包含任何设备属性信息的概率、只包含品牌信息的概率、只包含型号信息的概率以及同时包含品牌和型号的概率。

步骤6：基于马尔可夫决策过程对整个设备识别过程进行形式化分析，通过Agent感知识别过程中存在的状态集合、动作集合以及不同识别状态下采取不同动作获得的回报，并计算基于每种协议标语的识别状态转移概率矩阵。

步骤7：采用价值迭代算法，通过迭代，不断计算更新每个识别状态s下每个动作a的动作—价值函数Q（s，a），由此得到状态s下的最优动作a，从而生成一个最优协议探测序列，最后根据设置的增益阈值获得最优协议探测组合。

3.3 风险评估量化计算

采用Delphi法构建电力设备脆弱性风险评估指标集，并采用层次分析法构建指标集的层次结构，采用模糊理论方法计算安全风险值。应用模糊理论解决实际问题的步骤如下。

a）建立模糊一致判断矩阵，并进行排序，确定权重，根据0.1～0.9标度法，比较指标间的相对重要性并给出比较值，所得的矩阵为模糊互补判断矩阵，最后求出各指标的权重系数。

b）确定隶属度矩阵，将工业控制系统设备安全风险的评语等级划分为5级，通过计算即可得到隶属度矩阵。

c）采用加权平均法对不同等级的评语集规定安全等级并赋值。

4 结束语

针对工业控制系统设备固件及协议存在的各类安全漏洞，本文提出了低干扰的脆弱性分析方法；实现了一个多协议标语融合的细粒度设备识别模型，利用该模型自动提取设备多维属性特征并对其识别，提高细粒度设备识别的准确率和时间效率，完成设备细粒度信息的快速自动识别；最终通过设备信息与漏洞库的模糊匹配，实现工业互联网设备的低干扰脆弱性分析原型系统。