工業控制系統的漏洞風險評估方法

顧兆軍 彭輝

關鍵詞： 工業控制系統; 漏洞風險評估; 攻擊圖; 層次分析法; 風險值計算; 綜合損失計算

中圖分類號： TN082?34; TP393.08 ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2019）14?0112?05

Method of vulnerability risk assessment for industrial control systems

GU Zhaojun1，2， PENG Hui1，2

（1. College of Computer Science and Technology， Civil Aviation University of China， Tianjin 300300， China;

2. Information Security Assessment Center， Civil Aviation University of China， Tianjin 300300， China）

Abstract： In allusion to the current situation that the current vulnerability risk analysis of the ICS ignores the correlations between vulnerabilities， a method of new vulnerability risk assessment for the ICSs is proposed. In the method， the ICS attack graph model is established. Two indexes of vulnerability value and vulnerability utilization probability are put forward. The calculation formulas of the indexes are given combining the security attributes and defensive characteristics of the ICSs. The index quantification is completed by adopting the analytic hierarchy process and considering the component features and attacker′s purposes. The actual utilization probability and comprehensive loss of the vulnerabilities are calculated according to the correlations between vulnerabilities in the attack graph， so as to complete the calculation of vulnerability risk values. An experimental analysis was conducted taking a certain ICS of the civil aviation as an example. The results show that the method can comprehensively assess the vulnerability risk of the ICS.

Keywords： industrial control system; vulnerability risk assessment; attack graph; analytic hierarchy process; ?value?at?risk calculation; comprehensive loss calculation

0 ?引 ?言

隨著工業技術和信息技術的深度融合，網絡攻擊不再局限于信息域，攻擊范圍從虛擬空間擴展到工業控制系統（Industrial Control System，ICS）。2010—2015年爆發的Stuxnet[1?2]，HaveX等病毒事件對社會造成了極大的危害。由這些事件可看出ICS安全的嚴峻性和重要性。風險評估是保障控制系統安全、穩定運行的一個有效手段。

武文博等人對信息物理系統中的跨域攻擊進行分析，提出攻擊成功概率和攻擊后果兩個度量指標，較為準確地完成系統的風險評估[3]。黃家輝等人在系統地研究工控系統中存在的各類脆弱性后，提出漏洞利用難度和漏洞危害性兩個度量指標，較為科學地對系統進行了脆弱性評估[4]。王作廣等人提出一種基于攻擊樹和CVSS（Common Vulnerability Scoring System）的ICS風險量化評估方法，結合CVSS 3.0描述組件脆弱性可利用概率等，較為客觀地完成了系統的風險評估[5]。但上述文章提出的ICS漏洞指標的量化方法均未考慮漏洞間的關聯性，沒有對漏洞危害的傳播性進行分析。

針對上述問題，本文提出一種ICS漏洞風險評估方法。該方法以ICS攻擊圖為基礎，綜合漏洞價值和漏洞利用概率兩種指標，根據漏洞間的關聯性完成漏洞的風險評估，評估結果能較為準確地反映出漏洞對整個ICS的影響程度。

1 ?攻擊圖模型

由于ICS采取縱深防御的策略進行防御，攻擊者往往不能直接對目的主機發起攻擊，因此需要在ICS的網絡邊界尋找漏洞作為攻擊起點，并利用漏洞間的關聯關系對目的主機發起攻擊。若只是關注單個漏洞的風險，就不能分析出漏洞在整個網絡中的嚴重程度。因此，在對ICS中的漏洞進行評估時，需要識別漏洞間的利用關系。攻擊圖[6]能從攻擊者視角出發，在全面分析系統脆弱性信息的基礎上，列舉所有可能的攻擊路徑，進而向防御者展示脆弱點之間的利用關系。因此，攻擊圖是解決此問題的良好模型之一。

為了便于分析，本文對屬性攻擊圖進行簡化，得到ICS漏洞攻擊圖。該圖以漏洞作為圖的節點，攻擊路徑作為邊，可被描述為[AG=N，L]，其中，[N]代表系統的漏洞集合，[L]代表漏洞間的滲透關系。[AG]滿足以下約束關系：[?n∈N]，令[pren]是[n]的父節點集合，則父節點之間存在兩種基本邏輯關系和一種混合關系，分別是“與”關系、“或”關系和“MIX”關系，如圖1所示。

2 ?基于攻擊圖的ICS漏洞風險評估

參考IEC61508標準中ICS風險的計算方法，ICS漏洞風險[Ri]等于漏洞的實際利用概率[Pi]與漏洞造成的綜合損失[CLi]的乘積，即

[Ri=Pi·CLi] ?（1）

式中：[Pi]表示漏洞[i]在整個網絡中被攻擊成功的概率，與漏洞在網絡中的邏輯位置和漏洞利用概率有關;[CLi]代表漏洞[i]對整個系統造成的總損失，等于自身損失和傳播損失之和，與漏洞價值有關。自身損失代表漏洞自身對系統造成的損失，傳播損失代表攻擊者通過此漏洞攻擊與之直接關聯的漏洞而導致的損失。

本文所提出的基于攻擊圖的ICS漏洞風險評估的具體步驟如下：

1） 提取ICS漏洞信息，并參考文獻[7]建立系統的攻擊圖模型;

2） 提出漏洞價值[vi]和漏洞利用概率[pi]兩個指標，并結合ICS中的功能損失和防御強度等方面來給出這兩個指標的計算公式;

3） 采用層次分析法并結合組件特征和攻擊者目的，完成指標的量化;

4） 以攻擊圖作為分析工具，并結合[vi]和 [pi]計算漏洞的實際利用概率[Pi]和綜合損失[CLi]，最后利用式（1）完成漏洞風險的計算。

2.1 ?漏洞價值

漏洞價值是指漏洞被攻擊成功后對系統造成的損害程度，結合ICS的安全屬性[8]，它可用漏洞對ICS的功能性、信息性和物理性三個方面造成的損失來衡量。

功能損失（[FLi]）：功能的完整性能夠確保ICS組件功能的正確執行，功能性被損害后，會對健康、安全、環境（HSE）造成影響，因此可通過HSE事件的影響程度來衡量功能損失。

信息損失（[ILi]）：信息的正確性對ICS的穩定運行起著重要的作用，因此利用漏洞獲取系統的關鍵信息是攻擊者的重要目標。信息損失可參考CVSS標準，從機密性、完整性和可用性（CIA）三個方面來衡量。

物理損失（[PLi]）：物理損失與組件的軟硬件成本相關，成本越高，漏洞造成的物理損失可能就越大。

根據上述分析，漏洞價值的公式為：

[vi=δFLi+εILi+θPLi] （2）

式中：[vi]表示漏洞[i]的價值;[FLi]，[ILi]和[PLi]分別為漏洞[i]造成的功能損失、信息損失和物理損失的等級評分，均由專家評估給出;[δ]，[ε]，[θ]表示不同因素對漏洞價值的影響權重，這3個權重之和為1。結合ICS的特征，本文采用的等級評分標準如表1、表2所示。

2.2 ?漏洞利用概率

漏洞利用概率指漏洞被單步攻擊成功的可能性，該指標受多種因素的影響，包括防御強度、攻擊被發現可能性和攻擊成本。

防御強度（[DSi]）：ICS采用縱深防御的體系架構進行防御，因此防御強度與縱深防御策略下安全機制的設計有關。安全機制的設計主要有入侵檢測、工業防火墻[9]部署、認證等。入侵檢測和工業防火墻是ICS邊界防御的關鍵技術，認證是組件鑒別數據安全性的關鍵措施。防御強度越高，則攻擊難度越大，漏洞被攻擊成功的概率就越小。

攻擊被發現可能性（[DPi]）：可參考行業或測評單位的等級劃分標準給出。攻擊被發現的可能性越高，攻擊成功的概率就越低。

攻擊成本（[ACi]）：表示攻擊者在攻擊漏洞的過程中所花費的成本。攻擊成本越高，攻擊成功概率也就越低。

計算漏洞利用概率的公式為：

[pi=α1DSi+β1DPi+γ1ACi] ?（3）

式中：[pi]表示漏洞[i]的利用概率;[DSi]，[DPi]和[ACi]分別表示漏洞[i]所處網絡環境的防御強度、攻擊漏洞[i]被發現可能性和攻擊成本的等級評分，由專家評估給出;[α]，[β]和[γ]為影響權重，權重之和為1。結合ICS的防御特征和安全屬性，本文采用的等級評分標準如表3、表4所示。

2.3 ?基于AHP的權值量化

漏洞風險值的確定是以漏洞價值和利用概率作為基礎數據進行衡量，因此式（2）、式（3）中權值的確定會對風險結果產生很大影響。

由于式（2）中漏洞所處組件的特征不同，權值分配會不同。若漏洞位于數據庫，則攻擊者更傾向于獲取更多的機密數據，而不會損害組件的功能性。如果漏洞位于PLC等控制組件，那么攻擊者更愿意對PLC進行功能性破壞，以達到攻擊目的。如果漏洞位于軟硬件成本較高的組件，那么攻擊者可能更傾向于破壞組件的物理特性。

由于式（3）中攻擊者利用漏洞的目的不同，權值分配就會有所不同。若攻擊者目的是對組件造成破壞，則攻擊者著重考慮防御強度;若攻擊者是為了在組件中留下后門，以便長期進行信息的收集，那么考慮更多的是被發現可能性;若攻擊者是為了獲取組件中的商業數據，則可能優先考慮攻擊成本。

針對上述分析，本文采用層次分析法（Analytic Hierarchy Process，AHP），并兼顧組件特性和攻擊者目的對屬性權值進行定量分析。本文以ICS中工業數據庫的某漏洞為例進行漏洞價值分析，那么信息損失、功能損失和物理損失的重要性依次降低?；诖私涷炁袛?，引入9級分制標度法來構造漏洞價值的比較等級表，如表5所示。

根據比較等級表以及功能損失、信息損失和物理損失3個因素對漏洞價值的影響程度，構造判斷矩陣[C]：

[C=113331513151]

定義一致性比率[CR]為[CI]和[RI]之比。當滿足式（4）時，矩陣[C]可通過一致性檢驗。

[CR=CIRI<0.1] （4）

一致性指標[CI=γmax-n（n-1）]，其中，[n]是矩陣維數，[γmax]是矩陣的最大特征值。[RI]為隨機一致性指標，值取自AHP中的隨機性指標取值表。經計算得：[γmax=3.034，][CI=0.019 ?5，][RI=0.58，][CR=0.033 ?6]。[CR<0.1]，矩陣[C]通過一致性檢驗。

采用和積法求解出[γmax]對應的特征向量，即為各屬性對應的權值。由此，可以得出[δ=0.260]，[ε=0.634]，[θ=0.106]。將上述參數代入式（2），可得出漏洞價值。同理計算漏洞利用概率。

2.4 ?計算實際利用概率[Pi]和綜合損失[CLi]

基于攻擊圖，以漏洞利用概率[pi]和漏洞價值[vi]作為基礎數據，采用廣度優先搜索[10]的策略計算[pi]和[CLi]，算法步驟為：

1） 將攻擊圖中的初始漏洞加入隊列Q;

2） 當Q不為空時，則從Q中取出一個節點作為當前節點，遍歷找出它的所有子節點，若子節點不在Q中，則將其子節點加入Q中。

當前節點[scur]的綜合損失為：

① 若[scur]的無子節點，則[CLscur=vscur]

② 若[scur]有子節點[si（1≤i≤k，k≥1）]，則[CLscur=vscur+i=1kpsivsi]。

當前節點[scur]的實際利用概率[Pscur]為：

① 若[scur]的無父節點，則[Pscur=pscur]。

②若[scur]的父節點[tj（1≤j≤l，l≥1）]均為“與”關系，則[Pscur=pscurj=1lPtj]。

③ 若父節點[tj（1≤j≤l，l≥1）]均為“或”關系，則[Pscur=pscurj=1lPtj-j=1lPtj]。

④ 若父節點[tj（1≤j≤l，l≥1）]為“MIX”關系，參考圖2的分解及計算方法計算[Pscur]。

3） 重復執行步驟2），直至Q為空。

此算法輸入為ICS攻擊圖、漏洞利用概率和漏洞價值，輸出則為所有漏洞的[Pi]和[CLi]。根據式（1）可得出每個漏洞的風險值。

3 ?實驗結果與分析

以民航某工業控制系統為例進行實驗分析，實驗拓撲結構如圖3所示。系統共包含6個組件，漏洞信息如表6所示。

3.1 ?攻擊圖生成及指標量化

由文獻[7]的算法生成攻擊圖。通過對漏洞的邏輯關系分析得到ICS漏洞攻擊圖，如圖4所示。利用表1～表4所示的等級評分方法，由專家對漏洞價值和漏洞利用概率的影響因素打分，評分結果如表7所示。

將上述各值代入式（2）、式（3），并利用AHP確定權重，得到各漏洞的漏洞價值和漏洞利用概率，結果為：

[Vvi=1，2，1.63，2.74，2.53，2.79]

[Vpi=0.52，0.5，0.34，0.35，0.48，0.60]

3.2 ?漏洞風險計算及分析

根據第2.4節的算法，并結合第3.1節計算出的漏洞價值和漏洞利用概率，計算出漏洞的實際利用概率[Pi]和綜合損失[CLi]，結果向量分別為：

[VPi=0.52，0.26，0.18，0.14，0.14，0.08]

[VCLi=2.55，2.96，3.80，5.63，2.53，2.79]

由式（1）得：

[VRi=1.326，0.769，0.684，0.788，0.354，0.223]

由漏洞風險值[VRi]可知，漏洞1和漏洞4的風險較大。漏洞1位于與互聯網相連的客戶機，往往呈現較大的攻擊面，因此實際利用概率較高，風險值也就越大。漏洞4位于SCADA服務器，雖然實際利用概率較低，但由于和底層控制組件中的漏洞存在關聯關系，所以綜合損失較大，風險值也就較大。一旦被滲透成功，再加上ICS的集中管理、分布控制的特點，則可以向多個底層的控制組件發送錯誤的數據或指令以引起組件的爆炸，進而造成更大的損失。

對于漏洞5和漏洞6，雖然漏洞利用概率較大，但由于攻擊者需要以多個漏洞為跳板才能將其滲透成功，所以實際利用概率較小;而且兩者位于控制組件PLC中，一旦被滲透成功，只會對自身所在控件造成影響，整體風險值也就較小。

4 ?結 ?語

本文研究一種基于攻擊圖的ICS漏洞風險評估方法。該方法的主要創新點有：

1） 提出漏洞價值[vi]和漏洞利用概率[pi]兩個評價指標，并結合ICS的工業特征完成指標的量化，結果更貼近ICS的工業環境。

2） 利用攻擊圖中漏洞間的關聯關系，并結合漏洞價值和漏洞利用概率，計算漏洞的實際利用概率和綜合損失，進而完成漏洞的風險評估，結果能夠反映漏洞在整個系統中具有的風險。

實驗結果表明，該方法能夠有效地評估漏洞風險，結果與實際情況相符。

注：本文通訊作者為彭輝。

參考文獻

[1] CHEMINOD M， DURANTE L， VALENZANO A. Review of security issues in industrial networks [J]. IEEE transactions on industrial informatics， 2013， 9（1）： 277?293.

[2] LANGNER R. Stuxnet： dissecting a cyberwarfare weapon [J]. IEEE security & privacy， 2011， 9（3）： 49?51.

[3] 武文博，康銳，李梓.基于攻擊圖的信息物理系統信息安全風險評估方法[J].計算機應用，2016，36（1）：203?206.

WU Wenbo， KANG Rui， LI Zi. Attack graph based risk assessment method for cyber security of cyber?physical system [J]. Journal of computer applications， 2016， 36 （1）： 203?206.

[4] 黃家輝，馮冬芹，王虹鑒.基于攻擊圖的工控系統脆弱性量化方法[J].自動化學報，2016，42（5）：792?798.

HUANG Jiahui， FENG Dongqin， WANG Hongjian. A method for quantifying vulnerability of industrial control system based on attack graph [J]. Acta automatica sinica， 2016， 42（5）： 792?798.

[5] 王作廣，魏強，劉雯雯.基于攻擊樹與CVSS的工業控制系統風險量化評估[J].計算機應用研究，2016，33（12）：3785?3790.

WANG Zuoguang， WEI Qiang， LIU Wenwen. Quantitative risk assessment of industrial control systems based on attack?tree and CVSS [J]. Application research of computers， 2016， 33（12）： 3785?3790.

[6] HOMER J， ZHANG S， OU X， et al. Aggregating vulnerability metrics in enterprise networks using attack graphs [J]. Journal of computer security， 2013， 21（4）： 561?597.

[7] NOEL S， JAJODIA S. Understanding complex network attack graphs through clustered adjacency matrices [C]// Proceedings of the 21th Annual Computer Security Applications Conference. Tucson： IEEE， 2005： 160?169.

[8] 蔣寧，林滸，尹震宇，等.工業控制網絡的信息安全及縱深防御體系結構研究[J].小型微型計算機系統，2017，38（4）：830?833.

JIANG Ning， LIN Hu， YIN Zhenyu， et al. Research of security and defense?in?depth architecture of industrial control network [J]. Journal of Chinese computer systems， 2017， 38（4）： 830?833.

[9] SHAKSHUKI E M， KANG N， SHELTAMI T R. EAACK： a secure intrusion?detection system for MANETs [J]. IEEE transactions on industrial electronics， 2013， 60（3）： 1089?1098.

[10] BEAMER S， ASANOVI? K， PATTERSON D. Direction?optimizing breadth?first search [J]. Scientific programming， 2013， 21（3）： 137?148.