面向大規模工控網絡的關鍵路徑分析方法

張耀方，張哲宇，曲海闊，張格，王子博，王佰玲

（1. 哈爾濱工業大學（威海）計算機科學與技術學院，山東 威海 264209；2. 國家工業信息安全發展研究中心，北京 100040；3. 哈爾濱工業大學網絡空間安全研究院，黑龍江 哈爾濱 150006）

1 引言

隨著傳統工業網絡與互聯網的融合發展，工業網絡被攻擊的風險大大增加。尤其在工業控制（下文簡稱為工控）系統中，各種潛在風險導致系統安全性難以維護，造成巨大財產損失，甚至危害生命。近10年，工控事件頻發，如Stuxnet事件[1]、烏克蘭電網事件[2]以及WannaCry勒索病毒事件[3]。越來越多的工控攻擊事件引起人們的關注[4]，提高大眾對工控網絡安全的整體認知能夠對安全防御起到積極作用，因此對工控網絡的風險分析迫在眉睫。

由于工控攻擊呈現多步攻擊趨勢，常見的基于模糊測試、層次分析法、博弈論思想的風險評估方法無法全面分析多步攻擊[5]。Swiler等[6]提出攻擊圖這一概念，并將攻擊圖應用于網絡威脅分析中。攻擊圖通過枚舉可能攻擊路徑來預判攻擊者對目標網絡的攻擊過程，定性地指導防御方加強網絡中脆弱節點的防御。同時，將攻擊圖結合定量計算，可精準分析薄弱節點，以對其采取針對性防御措施，提高網絡安全性[7]。因此，對攻擊圖的量化計算及安全分析成為研究熱點。

攻擊圖中關鍵路徑的量化分析，是攻擊者與防御者共同關心的問題。關鍵路徑指在攻擊圖中對于成功到達某一節點完成攻擊目標的概率最大的路徑。受工控網絡操作流程帶來的級聯效應的影響，滿足工控網絡的安全性需求要求攻擊圖中關鍵路徑的分析有著更高的效率。同時，關鍵路徑分析速度的提升意味著防御的提前。在實際工控環境中，底層數據采集、中樞邏輯控制以及頂層系統管理等工控網絡的多種功能要求，導致攻擊圖中節點數較多且關系復雜。尤其是包含更多信息的動態更新的大規模攻擊圖，其量化計算中存在耗時長、占用資源多、動態更新效率低的問題。

在關鍵攻擊路徑的分析中，其計算效率取決于路徑中節點概率、更新概率、累計概率的計算效率。而對于關鍵節點的分析可以在動態更新時提前削減更新節點數量。目前對于節點關鍵性的量化多從圖論方面考慮，但在工控環境中，節點關鍵性還受多種環境因素影響，不同漏洞節點的利用價值均不相等，因此還需結合工控環境因素對節點關鍵性進行度量。

針對以上問題，本文提出了一種利用計算貝葉斯攻擊圖關鍵節點集合進行部分節點概率更新，以計算關鍵攻擊路徑的方法。該方法考慮多種工控環境影響因素計算攻擊圖關鍵節點割集，并對割集中節點的概率進行更新計算，量化當前攻擊圖路徑的被攻擊概率。本文的主要貢獻有以下兩方面。

1) 在考慮圖結構的節點關鍵性的基礎上，為節點附加攻擊收益指標，提出一種計算攻擊圖關鍵節點集合的算法。

2) 提出針對攻擊圖中關鍵節點進行攻擊概率動態更新的策略，并在不同規模的工控網絡下進行驗證。

實驗結果表明本文的方法能夠高效計算工控網絡攻擊圖的關鍵路徑攻擊概率，并可用于大規模工控網絡的量化計算，為攻擊圖實時分析提供依據，為工控網絡提前防御策略的制定提供直觀的數據支撐。

2 相關研究

攻擊圖以圖的形式將目標網絡中的原子攻擊關聯起來，展示多步驟攻擊路徑，是進行定性安全分析的有效技術。攻擊圖安全分析領域中的研究熱點包括基于攻擊圖的量化計算，將攻擊圖與貝葉斯網絡等技術結合，在定性分析的基礎上實現圖節點以及攻擊路徑定量的準確分析。

在攻擊圖量化計算方面，Poolsappasit等[8]使用貝葉斯攻擊圖（BAG）量化網絡遭到不同等級損害的風險。BAG模型考慮常用的網絡狀態之間因果關系及其被利用的可能性，采用貝葉斯信念網絡的概念，對不同安全條件下的損害進行評估。此模型適用于對環境動態分析的網絡部署階段，在單目標分析的基礎上，增加了多目標優化的決策權衡，但該方法的可擴展性和效率仍需提高。Gonzalez等[9]針對貝葉斯攻擊圖的靜態和動態分析提出了一種有效的精確推斷技術。經大量實驗評估，該方法顯示出在時間復雜度和空間復雜度方面的優勢。楊英杰等[10]對于屬性攻擊圖模型中的轉移概率度量問題，給出了單步威脅轉移概率和綜合威脅轉移概率的度量算法，并解決了攻擊圖傳遞環路問題。

王輝等[11]在攻擊路徑預測的研究中，改進了基于貝葉斯推理的似然加權法，并對子路徑進行成本收益分析。該方法給出了攻擊收益的數學模型，但其參數只能憑專家經驗獲得。張少俊等[12]同樣對似然加權法進行改進，并提出一種支持攻擊證據之間時間偏序關系的攻擊圖節點置信度計算方法。該方法可有效提高置信度的準確性，同時算法復雜度低，適用于處理大規模攻擊圖量化分析問題。其與陳小軍等[13]提出的思想不同之處在于在攻擊圖模型中引入轉移概率表來刻畫單步攻擊的不確定性，利用節點置信度推斷攻擊概率，計算最大攻擊概率路徑。該方法在小規模網絡攻擊圖中可有效減少不可信報警，但由于其模型構建依賴專家知識庫，不適用于大規模網絡攻擊圖的意圖推斷和最大概率路徑計算。

在量化計算指標方面，黃家輝等[14]對工控系統脆弱性量化進行研究，考慮攻防強度、物理損失、信息損失因素，對漏洞等級進行劃分。量化攻擊過程中原子攻擊的脆弱性，得到總攻擊期望最大的路徑。羅志勇等[15]在計算原子攻擊概率時，結合漏洞價值、攻擊成本以及攻擊收益等因素，對貝葉斯攻擊圖進行量化，并引入入侵意圖更新評估模型，實現攻擊圖風險的動態評估。

但目前關于攻擊圖量化計算的研究中，大部分指標仍依靠專家經驗獲得。馬春光等[16]針對攻擊圖評估過于依賴專家知識庫，無法考慮攻擊者意愿的問題，提出了一個動態評估模型。其將攻擊者意愿與原子攻擊性質融入貝葉斯攻擊圖的動態推理中，提升了風險評估中攻擊估算的合理性，適用于實際網絡環境下的動態風險評估。高夢州等[17]建立了基于專家知識庫、脆弱性庫的脆弱性利用規則庫。利用參數的初級量化和矩陣判斷法計算攻擊收益，對工控網絡安全風險進行評估。

葉云等[18]對于大規模攻擊圖的節點概率計算的耗時問題，提出了節點概率的近似計算方法，以犧牲概率精確度的策略提升計算效率，該方法適用于復雜的大規模攻擊圖。本文方法與其提升計算效率的目的相同，但葉云等的方法是針對攻擊圖全局節點進行近似計算，而本文針對耗時問題的優化思想在于利用節點概率計算方法，只針對部分節點概率進行動態更新。

在攻擊圖割集計算方面，劉貞宇等[19]基于攻擊圖的幾何性質，在保留攻擊圖基本網絡結構的基礎上對其進行分割，將大型攻擊圖劃分成多個子攻擊圖進行分析。吳金宇等[20]將最優原子攻擊修復集問題歸結于攻擊圖中的最小S-T割集問題。利用原子攻擊拆分加權重構攻擊圖，并采用最大流算法，對攻擊圖的最優原子集進行求解。其利用最優集思想解決問題的思路與本文類似，該方法計算效率高、可擴展性較好，但該方法僅對攻擊圖進行最優節點集合層面的分析，沒有進行量化計算。彭武等[21]利用最小割集思想對入侵意圖進行阻斷。該方法計算可達到攻擊意圖的所有攻擊路徑及其攻擊概率，結合最小頂點割集思想，實現防護最小數目節點來達到阻斷攻擊意圖的目的。與彭武等計算出路徑概率，再利用最小割算法進行防御的思想相反，本文利用關鍵節點割集對攻擊路徑概率進行計算以實現風險量化。并且，彭武等提出的方法中最小頂點割集僅在圖結構方面實現最小數目，沒有考慮節點附加價值。

3 基于關鍵節點更新的關鍵路徑分析

3.1 攻擊圖定義

攻擊圖是一種利用可獲取資源進行多步攻擊過程展示的建模方法。對于從初始節點開始，到達某一目的節點的攻擊路徑，可拆分為多步攻擊行為。每一步攻擊作為原子動作，完成攻擊動作后可獲得相應權限，以此條件進行下一步攻擊動作，多步攻擊行為級聯達到最終攻擊目標。攻擊圖通過定性分析，展示了目標網絡中的多種威脅途徑，結合量化計算可對威脅程度進行精確評估。

定義1攻擊圖為一個有向無環圖，可表示為AG= {S,E,Pr}，其中，S表示攻擊圖中節點集合，S= {A,D}，A表示原子攻擊，D表示設備路徑二元組，表示為D={src,dst}。其中，src表示動作起始設備，dst表示動作目標設備。N表示漏洞利用節點，每進行一次攻擊動作后，可獲取的設備權限。對于漏洞利用節點，其包含3種類型，即N=Nb∪Nm∪Nt。其中，N b為初始節點集合，定 義 為Nb={nb?Nb|■n j?N,nj?Pa(nb)}。Pa(nb)表示nb的父節點集合, 定義某節點的父節點為指向該點的所有節點集合。Nm為中間節點集合，定義為Nm= {nm?Nm|?nm?Nm,Pa(nm)?N? Ch(nm) ?N}。其中，Ch(nm)表示nm的子節點集合，定義其子節點為該點指向的所有節點集合。Nt為目標設備資源節點集合，定義為Nt={nt?N t|■n j?N,nj?Ch(nt)}。E表示連接節點的有向邊集合，其含義是只有達到攻擊行為前置條件后，才可觸發某一攻擊行為；同時，某一攻擊行為發生后，導致的設備權限的改變（稱為后置條件），滿足下一步原子攻擊的條件的狀態后，可執行下一步攻擊。Pr為攻擊行為發生的概率，Pr∈[0,1]。

3.2 貝葉斯攻擊圖概率計算

本文貝葉斯攻擊圖中每個節點對應一個漏洞利用，取值為0或1。取值為0表示對應的漏洞未被利用，取值為1表示對應的漏洞被利用。該節點被利用的概率為其中，xi是貝葉斯攻擊圖節點對應的漏洞，Pr(xi=1)表示該節點被利用的概率，p是概率值，取值范圍為0到1。

定義在已知節點的父節點的狀態下，節點被利用的條件概率為p(xi|Pa(xi))。如果該節點被利用的前提條件是其所有父節點都被利用，則條件概率計算如式(2)所示。

其中，pij是從父節點xj利用子節點ix的概率。

當存在一個父節點沒有被利用，則該節點就不可能被利用，因此條件概率為0。否則，條件概率為從所有父節點利用該節點的概率乘積。

如果該節點被利用的前提條件是至少有一個父節點被利用，則條件概率的計算公式如下：

當該節點的所有父節點都沒有被利用，該節點才不可能被利用，條件概率為0。否則，條件概率為父節點未能利用該節點的概率乘積的補。

貝葉斯攻擊圖中多個漏洞利用同時發生的概率為該攻擊的漏洞利用組合的聯合概率。被定義為在節點的父節點被攻擊者利用后，該節點被利用的條件概率的乘積：

其中，X= {x1,x2,…,xn}對應貝葉斯攻擊圖中一組漏洞利用。

利用貝葉斯攻擊圖的條件概率以及全概率公式推導出節點的邊概率，即攻擊者成功攻擊節點的概率，如式(5)所示。其中，X表示攻擊圖中所有節點對應的漏洞利用的集合，X-xi表示除去漏洞利用xi的集合。

本文假設所有漏洞節點獨立利用，即只要存在成功利用的父節點，子節點即滿足利用條件。在實際情況中，對于同一設備，其利用某一漏洞取得權限后，權限不會丟失。因此，當某一漏洞成功利用后，攻擊者即可獲得該設備相應的權限，而不需要其余漏洞作為輔助；當多個漏洞均可利用時，選取該設備所有漏洞中攻擊影響最大的漏洞，即攻擊者在該設備上獲取的權限。

3.3 基于割集的攻擊圖關鍵節點選取算法

對于靜態攻擊圖概率的計算，無法考慮到網絡環境的更新以及確定意向攻擊對攻擊圖概率的影響。因此，目前有針對此問題提出的動態貝葉斯攻擊圖的解決辦法，但其存在計算效率較低的問題。

經研究分析發現，工控環境中并非所有節點都屬于關鍵節點。實際情況中，無論是攻擊者還是防御者，都主要關注幾個關鍵節點，對其進行攻擊或重點防護。因此，本文利用動態更新思想結合關鍵節點集計算，改進靜態攻擊圖的一次性計算問題。一般攻擊圖靜態概率計算根據節點概率來單向計算節點關鍵性，本文考慮到全局網絡對單一節點的影響，利用原始節點概率計算節點關鍵性，獲得攻擊圖關鍵節點集合，并根據節點關鍵性反向更新原始節點概率。同時，針對確定意向的攻擊行為，重新量化意向可達節點的節點概率。攻擊圖關鍵節點選取算法如算法1所示。

算法1攻擊圖關鍵節點選取算法

輸入貝葉斯攻擊圖的點和邊、初始節點、目標節點、漏洞利用節點概率

輸出攻擊圖關鍵節點集合

算法1的2)~3)為初始化變量，首先遍歷貝葉斯攻擊圖獲得所有路徑和每個節點在路徑中出現的頻率（4)），然后去除攻擊圖的開始和目標節點（5)）。對所有節點進行統計，創建字典freqDict，其鍵為頻率，值為所有具有相同頻率的節點（6)～9)）。接下來10)～20)對具有相同頻率的節點計算攻擊收益（14)）替換頻率（15)），根據攻擊收益進行排序（17)～18)），確定要選取的順序。節點出現頻率不同，則選取頻率較大節點，最后變量nodesSorted的每個元素是根據原始的頻率進行排序，每個元素又是一組頻率相同的節點，其根據攻擊收益進行排序。21)～31)是根據之前的排序從高到低選取節點，刪除具有該節點的路徑并將其添加到關鍵節點集（27)～31)），直到所有路徑被刪除（24)～25)）最后更新關鍵節點的概率（32)）。

利用頻率相同的節點在路徑覆蓋度層面關鍵程度相同，需要進一步判斷節點本身的重要性。本文參考最小頂點割集思想，對關鍵節點進行選取。攻擊圖的最小頂點割集是指將一個連通圖變成兩個連通分量所需刪除的最少的點的集合。該思想僅在圖的路徑層面對割集進行選取，其假設所有點的權重價值均相等。

本文采取比較攻擊收益方式進行割集節點選取。攻擊收益的定義如下。

定義2攻擊收益指攻擊者在利用漏洞完成對某一節點的攻擊后，所能獲得的收益。可表示為：Inc(xi)= Pr(xi)? Sc(xi)。其中，Inc(xi)表示節點xi的攻擊收益，Pr(xi)表示該節點的漏洞攻擊概率，Sc(xi)表示漏洞危害得分。對于攻擊收益的量化，本文采用貝葉斯攻擊圖的原始漏洞攻擊概率與通用漏洞評分系統（CVSS）漏洞危害最終評分進行計算。在漏洞危害相同的情況下，漏洞攻擊概率增大，其攻擊收益隨之增加；在漏洞攻擊概率相同情況下，漏洞危害越大，其攻擊收益越大。

3.4 基于灰色關聯度分析法的關鍵節點概率計算

CVSS漏洞評分的基礎評分為普適性評分，然而環境對漏洞危害性的影響不可忽略。尤其在安全程度越來越高的工控網絡中，其漏洞的利用環境以及影響程度不同于傳統網絡。本文對3.3節算法計算出的攻擊圖關鍵節點集合，參考文獻[14]中使用的量化方法，對影響指標的選取以及客觀性進行優化。利用灰色關聯度分析法對關鍵漏洞節點的概率進行重新計算，考慮工控關鍵影響因素之間的聯系，以及各種因素對漏洞利用節點的影響，精確量化關鍵漏洞節點在工控環境下的概率變化。

3.4.1計算指標

文獻[14]中防御強度、攻擊強度等量化指標需要參考大量專家經驗作為計算依據，本文采用CVSS中各項漏洞指標對關鍵漏洞節點的概率進行更新計算，漏洞攻擊概率定義如下。

定義3漏洞攻擊概率通常受漏洞可利用性以及漏洞影響程度兩個指標影響（詳細指標度量如表1所示），可表示為Prnew(xi)=Ex(xi)?Im(xi)。其中，Prnew(xi)表示節點xi的更新攻擊概率，Ex(xi)表示該節點的漏洞可利用性，Im(xi)表示漏洞影響程度（Impact）。

（1）漏洞可利用性

漏洞可利用性指某一漏洞被攻擊者利用從而進行攻擊的可能性，是漏洞的固有屬性。當漏洞可利用性增大時，該漏洞的攻擊概率也會增大，漏洞可利用性與漏洞攻擊概率呈正相關。

漏洞可利用性根據CVSS中的基本指標進行量化計算。CVSS中對漏洞可利用性的評分分為3個方面：訪問向量（AV）、訪問復雜度（AC）、身份認證（AU）[22]。

（2）漏洞影響程度

漏洞影響程度指當某一漏洞被成功利用后，其對漏洞所在環境造成的破壞或影響。當漏洞影響程度增大時，該漏洞的攻擊概率同樣也會增大，漏洞影響程度與漏洞攻擊概率成正相關。

漏洞影響程度由系統性能影響與工控設備資產價值兩方面進行量化。系統性能影響分為3個方面：機密性影響（C）、完整性影響（I）、可用性影響（E）（如表1所示）[22]。資產價值（DV）則根據設備所在的不同層次，以及每種設備的執行功能、控制范圍、與其余設備關聯程度的不同情況所決定。設備對系統影響程度越大，該設備價值越高。本文列出了常見工控設備的影響程度，如表2所示。

表1 漏洞概率影響因素Table 1 Vulnerability probability influencing factors

表2 工控設備的影響程度Table 2 Industrial control equipment impact

3.4.2灰色關聯度分析法

兩個因素隨時間或不同對象而變化的關聯性大小的量度，被稱為關聯度。灰色關聯度分析法作為衡量因素間關聯程度的一種方法，可對上述多種影響工控環境的因素進行關聯度量化，以此作為考慮多方面因素對關鍵漏洞節點進行概率更新計算的依據。灰色關聯度分析法計算過程如下。

首先，設有n個被評價目標，每個被評價目標有p個評價指標。則第i個對象描述為

在各項指標中選出最優值組成參考序列0x：

關聯系數iζ表示第i個評價目標與參考序列間的關系：

其中，ρ為分辨系數。

然后計算關聯度γ0i，γ0i表示各指標與參考序列間的關聯關系，計算如下：

其中，Wk為權重，Wk? (0,1)。

最后，利用定義3計算出更新后節點的漏洞利用概率。

3.5 針對部分更新攻擊圖的關鍵路徑選取算法

動態貝葉斯攻擊圖考慮全局節點環境的實時變化情況，并對其進行概率更新。由于工控網絡節點較多，且節點間關聯關系較為復雜，全局節點動態更新效率較低。

本文針對3.3節算法獲得的關鍵節點集合，利用3.4節的概率計算方法，只更新關鍵節點的漏洞利用概率。遍歷攻擊圖中全部攻擊路徑，重新計算得出每條攻擊路徑概率，比較得出最大攻擊概率的路徑，并將其作為攻擊圖的關鍵路徑。

部分更新的貝葉斯攻擊圖關鍵路徑概率計算如算法2所示。

算法2部分更新的貝葉斯攻擊圖關鍵路徑概率計算算法

輸入所有漏洞利用節點、初始節點、目標節點、漏洞利用節點概率

輸出貝葉斯攻擊圖、所有路徑概率

算法的2)~3)為初始化變量，4)將開始節點加入隊列，5)~15)為正向廣度優先遍歷生成漏洞利用的向前依賴圖，6)出隊列，遍歷從開始節點的所有可達節點，對于當前節點，遍歷所有可能的漏洞利用（9)），然后通過判斷當前節點的后置條件（8)）是否能滿足遍歷的漏洞利用的前置條件（11)），如果滿足則加邊（12)），如果該漏洞沒有利用過，則將其加入隊列，并標記訪問（13)~15)）。獲得向前依賴圖后，需要進行去環，去除重復訪問的邊（16)）。然后再從目標節點開始逆向廣度優先遍歷之前生成的向前依賴圖（行17)~30)）生成攻擊圖，這樣能保證圖中所有節點從開始和目標節點都可達。獲得原始攻擊圖后，根據漏洞利用概率計算貝葉斯攻擊圖（32)），然后利用關鍵節點算法更新漏洞利用的概率（33)）后，再計算更新概率后的貝葉斯攻擊圖（34)），最后遍歷貝葉斯攻擊圖，根據節點貝葉斯概率獲得攻擊圖路徑概率（35)）。

4 實驗和分析

4.1 實驗拓撲環境

本文采用文獻[23]的拓撲結構來舉例說明本文所提方法的工作原理，并對該方法進行驗證。實驗采用的拓撲結構源于實際工控網絡中的架構，增加了結構的合理性以及真實性，但對規模進行了限制。此外，該拓撲結構增加了不同類型的工控設備，并為不同設備設置了常見的漏洞，以使實驗結果更加全面，設備漏洞情況如表3所示。

表3 設備漏洞情況Table 3 Device vulnerability

實驗拓撲圖如圖1所示。實驗室采用的拓撲結構由4個區域組成：外部區域、DMZ區、監視控制區、流程操作區。外部區域設置了一個遠程節點i，通過該節點攻擊者可以登錄并開始指定目標的攻擊。DMZ區與外部區域的連接由防火墻fw1進行保護。DMZ區中包含兩個服務器，其允許訪問公司內部網絡。監視控制區由防火墻fw2連接到DMZ區，包括服務器和工作站，用于控制流程操作區的現場設備，完成數據收集統計及傳輸[23]。其中，ew1和ew2作為兩個工作站，分別配置了西門子工作臺與羅克韋爾工作臺。流程操作區由3個執行單元（cell）構成，包括可編程邏輯控制器（PLC）以及現場設備。本拓撲的3個執行單元分別來自不同供應商：西門子、羅克韋爾、施耐德。具體設備訪問關系如表4所示。

圖1 實驗拓撲圖Figure 1 Experimental topology graph

4.2 實驗結果展示及分析

本文依照實驗拓撲結構以及設備漏洞關系，利用廣度優先搜索算法，以PLC為攻擊者目標節點，生成帶有貝葉斯原始概率的攻擊圖，如圖2所示。節點“MS Windows(Web，ew1)(0.697 5)”的含義是攻擊者在獲取到Web權限后，利用ew1上MS Windows所包含的漏洞，獲取ew1上的權限。0.697 5表示該漏洞利用的發生概率，即從Web利用MS Windows成功到達ew1的概率。

圖2 貝葉斯原始攻擊概率攻擊圖Figure 2 Bayes primitive probability attack graph

4.2.1關鍵節點選取算法有效性分析

兩種算法下的關鍵頂點集如圖3所示。其中，圖3(a)是利用文獻[21]中的算法計算出的割集，包含3個漏洞利用節點：{CCW（Web，ew2）（0.66），

WinCC（ew1，scada）（0.673 9），WinCC（PLC1，scada）(0.667 9)}；圖3(b)是利用本文提出的算法計算出的割集，包含4個漏洞利用節點：{CCW（Web，ew2）（0.66），WinCC（ew1，scada）（0.673 9），WinCC（PLC1，scada）（0.667 9），Scheneider Web（scada, PLC3）（0.735 4）}。利用本文提出的算法計算出的關鍵節點集包含了利用文獻[21]算法計算出的集合中的所有節點，并且多了一個漏洞利用節點Scheneider Web(scada, PLC3)(0.735 4)。在實際環境中分析，該漏洞利用節點的目標權限獲取設備為PLC3，PLC為工控網絡中較為重要的設備，一旦PLC被攻擊者攻擊，會直接對控制邏輯以及底層現場設備產生直接影響。同時，該漏洞利用的概率為0.735 4，相比于一般節點，其有較高的被利用概率。本次利用的漏洞為PLC3上Scheneider Web包含的漏洞CVE-2014-0754，其CVSS2.0評分（由于CVSS2.0覆蓋較多漏洞的詳細評分，因此本文選用CVSS2.0標準為參考量化指標）為滿分10分，意味著該漏洞極其危險。一旦遠程攻擊者成功利用漏洞，其可通過發送特制的HTTP請求利用訪問任意資源。因此，從攻擊概率、攻擊影響方面考慮，該點的攻擊收益很高，將該點設置為關鍵節點。而文獻[21]以及文獻[24]中算法計算出的3個節點，只從圖結構方面考慮，僅計算最小頂點割集，但在節點價值各不相同的工控環境下，其可能漏掉非最小割集中的關鍵節點。

圖3 兩種算法下的攻擊圖關鍵節點集合Figure 3 Key node set of the attack graph under the two algorithms

表5 列出了攻擊圖節點數從21~249的5種規模的攻擊圖關鍵節點計算的算法性能。本文選取算法耗時、占用內存兩種性能指標進行對比實驗。從表中數據可知，在173個節點規模之前，本文算法耗時和占用內存略小于文獻[21]提出的算法（頂點割集）。在249個節點前，文獻[24]算法（矩陣割集）消耗內存較小，小規模計算的內存消耗優于本文算法。但在249個節點的規模時，頂點割集算法占用內存從173個節點時的26.5 MB爆炸增長至13.45 GB。而本文算法的內存占用量增長幅度仍較小，整體呈線性增長。

表5 關鍵節點算法性能Table 5 Key node algorithm performance

在算法耗時方面，頂點割集算法在21、59個節點規模時，其耗時表現與本文的算法基本持平。但是在97個節點時，其計算時間是本文算法的兩倍。從97個節點開始的3個規模攻擊圖中，頂點割集算法計算耗時呈指數增長，在173個節點時，耗時高達475 s，而本文算法耗時0.04 s。在249個節點時，其耗時由計算估計約52 h，本文算法計算耗時仍小于0.1 s。矩陣割集算法在21個節點規模下表現出優異的計算耗時，優于本文算法以及頂點割集算法，但隨著節點數的增長，該方法耗時呈爆炸式增長，97個節點時耗時超過2 h，173個節點耗時無法經過實驗計算，不適用于大規模計算。

4.2.2關鍵路徑選取策略有效性分析

根據4.2.1節實驗得到的4個關鍵節點，利用3.4節所提出的算法進行概率計算，并更新節點概率。更新前節點概率如圖2所示，更新后的節點概率如圖4所示。在更新完關鍵節點集合中所有節點概率后，利用式(5)重新計算出每條攻擊路徑的攻擊概率。列出了以PLC2為直接攻擊節點的攻擊路徑如表6所示。

圖4 最大攻擊路徑概率攻擊圖Figure 4 Maximum attack path probability attack graph

表6 攻擊路徑概率Table 6 Attack path probability

如表7所示，本文采用對全局節點更新概率計算關鍵路徑與只更新關鍵節點概率計算關鍵攻擊路徑兩種更新策略進行計算耗時以及占用內存兩方面對比實驗。在21個攻擊圖節點到1 161個攻擊圖節點中設置了9種規模的攻擊圖實驗。在占用內存方面，兩種策略表現基本相同，且對于節點數大幅增長的情況，占用內存數沒有較大幅增長。

表7 更新節點策略性能Table 7 Update node strategy performance

在計算耗時方面，本文用折線圖的方式直觀地展示兩種策略的耗時情況，如圖5所示。從圖5可以看出兩種策略隨著節點數不斷增大，其耗時呈線性增長。但全局節點更新時間增長函數的斜率明顯大于部分節點更新。由于兩種策略的計算耗時相差數值在攻擊圖節點數較小時并不明顯，在21個節點時，全局節點更新耗時0.026 88 s，部分節點更新耗時為0.002 119 s，相差0.024 761 s，但全局更新耗時約為部分節點更新耗時的13倍。在1 161個節點時，全局節點更新耗時1.573 4 s，部分節點更新耗時為0.115 1 s，全局更新耗時仍約為部分節點更新耗時的14倍，但其耗時相差1.458 3 s。經數據分析可知，本文的部分更新策略在攻擊圖規模越大時，效果越好。本文在關鍵路徑計算結果與傳統算法相同的情況下，耗時更低，可應用于大規模工控網絡的關鍵路徑計算中。

圖5 全局/部分更新算法耗時對比Figure 5 Full/partial update algorithm time-consuming comparision

5 結束語

本文主要研究大規模工控網絡下攻擊圖的關鍵路徑選取問題，并提出了一種基于攻擊收益割集選取關鍵節點集合的算法，同時提出了以部分更新關鍵節點攻擊概率代替全局更新節點概率的策略。本文結合實際案例對計算過程進行分析，同時通過實驗對比，驗證了所提方法在大規模工控攻擊圖中的計算效率相比于最小割集算法以及全局節點更新策略有大幅提升，同時保證了方法結果的一致性。未來的研究工作包括：對于全局攻擊圖的小概率攻擊路徑簡化；對于無實際意義的多條重復路徑的優化。