基于FAHP和博弈論的工控系統風險評估

宋 宇,張春杰,王 艷

(長春工業大學 計算機科學與工程學院，吉林 長春 130012)

0 引 言

傳統的工業控制系統通常與互聯網(公用網絡)隔離，但隨著工業化與信息化的深度融合，工業控制系統逐漸擺脫傳統的封閉性，轉型為互聯性系統。網絡攻擊不再僅限于網絡信息領域，逐漸蔓延到工控信息領域。工業控制系統信息安全問題成為國內外的熱點研究方向之一。其中，風險評估研究可以判斷工控系統風險等級，提高工控系統安全防御能力，對工控系統安全研究具有深刻意義[1-2]。

目前，針對工業控制系統信息安全風險評估已經有了基于攻擊圖、攻擊樹、層次分析法、DS證據理論等方法的研究[3]。近幾年人們開始關注層次分析法(Analytic Hierarchy Process, AHP),可以根據具體工業系統建立層次化分析模型,將各種攻擊要素作為評價層,并將最終的風險評價結果作為目標層[4]。文獻[5-6]采用對安全風險要素的量化評估,將資產、威脅、脆弱性和安全措施等風險要素與相應的標準結合進行分別量化,得到了系統的風險值。這種方法較為清晰地求得了系統的整體安全屬性,但是并沒有考慮每一種具體攻擊方式所造成的影響，也沒有兼顧到各種攻擊方式的相互影響。文獻[4]和文獻[7]將各種攻擊要素作為評價層, 并將最終的風險評價結果作為目標層，提出了一種模糊層次分析，克服了層次分析法判斷矩陣的一致性檢驗問題，但在每種攻擊方式造成的風險上僅考慮專家判斷和攻擊難易程度，未考慮到防御者的影響,考慮因素不夠全面。

文中在已有方法的基礎上,將模糊層次分析與博弈理論結合，針對模糊層次分析法不能準確分析每一種攻擊因素的發生概率及其對要素層影響的問題，將博弈模型融入模糊層次分析法，從攻擊者和防御者兩方面思考，兼顧攻防策略選擇和攻防對抗結構，計算每種攻擊方式安全風險值和系統設備的安全風險值。

1 層次化模型

在基于層次分析法的工控系統信息安全風險評估中，構建合理的系統層次化模型是解決問題的關鍵。信息安全風險分析由資產、脆弱性和威脅3個要素決定[8]。資產與脆弱性結合得出威脅可能造成的系統損失,脆弱性與威脅結合得到威脅發生的可能性，綜合以上兩點得出最終的風險分析結果。

根據層次分析法的原理和信息安全風險評估的內容，類比信息安全風險分析中的資產、威脅和脆弱性層次結構，將整個系統構建成由目標層、要素層和評價層組成的一個層次化模型。其中評價層為最低層，表示對系統造成威脅的攻擊方式；要素層為中間層，表示組成系統的設備；目標層為最高層，表示系統的安全風險值。

在實際應用中，工業控制系統有較高的復雜性,構建層次化模型之前要先確定系統的網絡結構。依據國家標準 GB/T26333-201[9]中提出的工控現場層次結構，將系統劃分為企業管理層、過程監控層和現場設備層 3 個層次，如圖 1 所示。

圖1 工控系統層次結構圖

由于過程監控層和現場設備層與工業控制領域密切相關，因此將過程監控層和現場設備層作為系統的風險分析對象。

2 博弈論基本概念

2.1 建立攻防博弈模型

一個最基本的博弈模型包括三個基本要素：博弈參與者、參與者的策略(行動)、參與者收益函數(支付函數)。對系統的攻擊方式和防御措施建立博弈模型可以定義一個三元組(P,S,U) ,其中P為參與者集合,S為策略集合,U為收益函數集合[10]。

攻擊者和防御者作為參與人，參與人集合

P=(PA，PD),

式中：PA----攻擊者;

PD----防御者。

策略集合

S=(SA，SD),

表1 攻防收益函數矩陣

2.2 求解博弈均衡

在攻防博弈模型中，考慮攻防兩者最優策略要求和行動的不確定性,攻擊者和防御者的行動就是一個概率分布，被稱作混合策略。作為理性參與者，當參與者達到最佳收益時，選擇維持一個行動概率不變，此時這個行動概率稱為混合策略納什均衡，就是對參與者策略的概率預測。

2.2.1 混合策略

攻防博弈模型[10]G={(PA,PD),(SA,SD),(UA,UD)}中,攻防雙方的混合策略如下：

2.2.2 混合策略納什均衡[11]

如果對任意PA、PD都有下面兩式成立:

3 實例應用

根據對層次分析法和工控系統層次化分析的介紹，文中以一個電力控制系統為例，針對現場監控層和過程控制層構建系統的層次化模型，如圖2所示。

由圖2可知，模型中的評價層元素包括拒絕服務(DOS)攻擊、竊聽攻擊、數據篡改、蠕蟲、木馬；評價層元素包括工程師站、操作員站、OPC服務器、PLC、動力閥、壓力傳感器、電磁流量計、路由器、無線設備等系統設備；目標層是安全風險值F。

圖2 電力系統層次化模型

3.1 建立判斷矩陣

在完成系統層次化建模后，分別分析評價層元素和要素層元素對上層元素的影響，因此需要建立各層元素之間的優先關系判斷矩陣。給出的元素優先關系數值標度見表2。

表2 元素優先關系數值標度表

對評價層和要素層的元素進行重要性賦值，構建判斷矩陣。

根據不同要素之間的差異性和獨特性，評價層和要素層中元素對上一層的安全風險值的影響都不同。因此，需要根據評價層中攻擊方式對要素層中系統設備可能造成的影響進行重要性賦值，構建判斷矩陣。文中以壓力傳感器為例，數據篡改能夠修改壓力傳感器的閾值,使得攻擊難以被發覺，導致無法及時發現異常,造成嚴重危害；拒絕服務攻擊使得壓力傳感器失去控制能力,傳感器靈敏性降低，易造成威脅，但可以及時采取補救措施；竊聽攻擊可以竊取生產數據,造成一定程度上的數據泄密；蠕蟲與木馬主要對壓力傳感器程序進行修改,威脅較大。

依據上述分析，邀請工控風險分析專家根據表2對評價層的攻擊方式分別進行量化賦值，見表3。

構建與表3對應的判斷矩陣,得到壓力傳感器的判斷矩陣RA6。

同理可以得到要素層其他設備的判斷矩陣，分別為RA1，RA2，RA3，RA4，RA5，RA7，RA8，RA9。根據要素層設備受到攻擊后對目標層的影響大小,同樣可以建立要素層對目標層的判斷矩陣。工程師站受到攻擊后對目標層的影響明顯大于操作員站；PLC 對系統造成的損失很難被發現，且 PLC 是系統的下行可控制單元，相比工程師站來說更加重要。根據同樣的思路,請專家進行評分，建立表4所表示的重要性賦值，并構建安全風險值F的判斷矩陣RF。

表3 壓力傳感器重要性賦值表

表4 要素層元素重要性賦值表

判斷矩陣RF為

3.2 計算各層元素權重值

根據層次分析法的一致性原則，計算元素權重值前要對判斷矩陣進行一致性轉換

(1)

(2)

依據式(1)、式(2)將判斷矩陣轉換為模糊一致判斷矩陣

R=(fij)n×n。

將判斷矩陣轉換成模糊一致判斷矩陣之后，依據下式計算評價層(要素層)中各元素對上一層的權重值。

(3)

α與權重的差異度成反比，即α越大，權重的差異度越??；α越小，權重的差異度越大。當α=(n-1)/2時,權重的差異度最大[11]。文中以計算評價層中拒絕服務元素E1對要素層中的壓力傳感器A6的權重為例。依據判斷矩陣階數得到n=5，則α=2，計算得到wb1=0.183。同理，計算其他攻擊方式對傳感器A6權重分別為wb2=0.206、wb3=0.283、wb4=0.235、wb5=0.103。由此可以得到評價層5個元素對傳感器A6的權重WA6=(wb1=0.183，wb2=0.206，wb3=0.283，wb4=0.235，wb5=0.103)。

使用同樣的計算步驟可以得到評價層的攻擊方式對其他要素層設備的權重，以及要素層設備對目標層安全風險值的權重。

WA1=(wb1=0.217，wb2=0.179，wb3=0.199，

wb4=0.180，wb5=0.246)，

WA2=(wb1=0.255，wb2=0.259，wb3=0.128，

wb4=0.141，wb5=0.219)，

WA3=(wb1=0.193，wb2=0.171，wb3=0.218，

wb4=0.234，wb5=0.214)，

WA4=(wb1=0.201，wb2=0.139，wb3=0.208，

wb4=0.230，wb5=0.212)，

WA5=(wb1=0.285，wb2=0.156，wb3=0.258，

wb4=0.152，wb5=0.146)，

WA7=(wb1=0.215，wb2=0.219，wb3=0.128，

wb4=0.203，wb5=0.235)，

WA8=(wb1=0.220，wb2=0.189，wb3=0.208，

wb4=0.220，wb5=0.163)，

WA9=(wb1=0.235，wb2=0.209，wb3=0.248，

wb4=0.179，wb5=0.148)，

WF=(wa1=0.269，wa2=0.173，wa3=0.073，

wa4=0.348，wa5=0.023，wa6=0.044，

wa7=0.044，wa8=0.013，wa9=0.016)。

計算得到每個元素對上一層元素的權重后，

(4)

3.3 博弈模型分析

圖3 博弈模型圖

依據文獻[10]的攻防收益函數公式計算攻擊、防御收益，得到攻防收益矩陣，見表5。

表5 攻防收益矩陣

得到收益矩陣后，根據混合策略納什均衡公式,求解混合策略納什均衡。為方便求解將公式進一步推演，得到兩個聯合公式，

(5)

變成求解式(5)最優解的問題。

通過計算得到混合策略納什均衡

(6)

要素層中各設備的風險值FAn，

(7)

得到各個評價層攻擊方式安全風險值FB1=0.469，FB2=0.507，FB3=0.578，FB4=0.428，FB5=0.466，設備安全風險值FA1=0.634，FA2=0.400，FA3=0.175，FA4=1.003，FA5=0.055，FA6=0.098，FA7=0.100，FA8=0.028，FA9=0.362。

攻擊方式及系統設備安全風險值分別如圖4和圖5所示。

圖4 攻擊方式安全風險值

圖5 系統設備安全風險值

由圖4可以看出，評價層中安全風險最高的攻擊方式是竊聽攻擊和數據篡改，因此這兩種攻擊方式對系統安全的威脅最大，在部署防御措施時應著重加強對竊聽攻擊和數據篡改的防御。由圖5可以看出，要素層中系統設備安全風險較高的是PLC、工程師站、操作員站和無線設備，因此,管理員進行系統安全管理時,需要著重加強安全防護措施與安全管理技術。

4 結 語

提出基于模糊層次分析法和博弈理論的風險評估方法。從信息安全風險評估方法思考，利用模糊層次分析法構建層次化工控系統模型，依據專家經驗完成各層元素的重要性賦值，得到模糊判斷矩陣和各元素的權重值公式；根據攻擊方式和防御策略建立攻防博弈模型，計算攻擊造成的損失和攻擊發生的可能性。最后，以各元素權重值、攻擊造成的損失和攻擊發生的可能性為基礎得到每種攻擊方式對系統風險的影響和系統設備的安全風險值，為系統安全防護提供建議。