基于云模型和組合權(quán)重的SCADA系統(tǒng)安全風(fēng)險評估研究

楊力，秦紅梅，蘇華文

（西南石油大學(xué) 計算機科學(xué)學(xué)院，四川 成都 610500）

數(shù)據(jù)采集與監(jiān)控系統(tǒng)(supervisory control and data acquisition, SCADA)系統(tǒng)是一個綜合利用計算機技術(shù)、控制技術(shù)和通信網(wǎng)絡(luò)技術(shù)的數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)[1]，包含了上位機、下位機和數(shù)據(jù)通信網(wǎng)絡(luò)3個部分，主要負(fù)責(zé)完成各種設(shè)備過程的自動控制、實時監(jiān)控和數(shù)據(jù)采集，為安全生產(chǎn)、調(diào)度、管理、優(yōu)化和故障診斷提供了必要和完整的數(shù)據(jù)及技術(shù)手段，在電力、冶金、石油、化工、鐵路等領(lǐng)域應(yīng)用十分廣泛。

近年來，隨著全球信息化和工業(yè)化融合進程的不斷加深，通用的軟件、硬件、協(xié)議和技術(shù)越來越多地應(yīng)用到工業(yè)生產(chǎn)領(lǐng)域[2]中，也將更多的漏洞和威脅帶入到SCADA系統(tǒng)中，使SCADA系統(tǒng)面臨著巨大的安全挑戰(zhàn)。因此如何保障SCADA系統(tǒng)的安全已經(jīng)成為當(dāng)前國內(nèi)外研究的熱點問題，其中的一個重點就是如何對SCADA系統(tǒng)進行安全評估，分析其安全現(xiàn)狀。

目前，國內(nèi)外研究人員通常從定性、定量、定性與定量相結(jié)合三方面來對SCADA系統(tǒng)的安全狀況進行評估。定性評估方法具有較大的主觀性，無法給出量化的結(jié)論，系統(tǒng)安全狀況之間的差異很難區(qū)分。定量評估方法無法將所有的數(shù)據(jù)信息完全量化，簡化其過程又可能會導(dǎo)致評估結(jié)果產(chǎn)生誤差[3]。因此融合了二者優(yōu)點的定性與定量相結(jié)合的評估方法得到了更加廣泛的應(yīng)用，也取得了一定的成果，相關(guān)的研究方法包括了層次分析法、模糊綜合評估法、灰色評估等。例如姜瑩瑩等[4]通過層次分析法(AHP)，結(jié)合模糊綜合評估法對油氣SCADA系統(tǒng)進行綜合評估，得到了系統(tǒng)的整體安全狀況。Bian等[5]通過改進的層次分析法和模糊綜合評估法，從風(fēng)險、公共、服務(wù)三方面進行網(wǎng)絡(luò)安全態(tài)勢的評估。Markovic-Petrovic等[6]提出了一種新的綜合考慮了主客觀因素的模糊層次分析法，減少了主觀性。Li等[7]提出了一種基于熵權(quán)和灰色預(yù)測的SCADA系統(tǒng)通信網(wǎng)絡(luò)風(fēng)險預(yù)測模型。萬書亭等[8]將變權(quán)模糊綜合評估和灰色理論相結(jié)合構(gòu)建出評估模型，實現(xiàn)了風(fēng)電機組的性能評估。楊力等[9]在綜合分析油氣SCADA系統(tǒng)的結(jié)構(gòu)和安全威脅的基礎(chǔ)上，提出了一種基于因素狀態(tài)空間和模糊綜合評估的新型風(fēng)險評估方法，以及將因素空間理論與MATLAB模糊邏輯工具結(jié)合得到Mamdani推理模型，實現(xiàn)了SCADA系統(tǒng)的風(fēng)險評估[10]。

上述方法在評估過程中，大多采用單一權(quán)重和隸屬函數(shù)，主觀因素較強，且隸屬函數(shù)在處理模糊現(xiàn)象時將模糊問題精確化，無法完整體現(xiàn)出評估過程中的不確定性，導(dǎo)致結(jié)果不夠科學(xué)準(zhǔn)確。云模型能夠?qū)⒍ㄐ愿拍畹哪：院碗S機性有效集成，實現(xiàn)定性概念與其定量表示之間的轉(zhuǎn)換，比隸屬函數(shù)具備更強的普適性和描述不確定性的能力[11]。因此，本文提出了一種基于云模型和組合權(quán)重的SCADA系統(tǒng)安全風(fēng)險評估模型，通過最小二乘法求出組合權(quán)重，使權(quán)重的確定更加科學(xué)合理，再通過云模型的云發(fā)生器和相似度計算得出綜合風(fēng)險評估結(jié)果，為SCADA系統(tǒng)的安全風(fēng)險評估研究提供一個新的途徑。

1 組合權(quán)重

評估指標(biāo)的權(quán)重確定方法主要分為主觀賦權(quán)和客觀賦權(quán)兩種。主觀賦權(quán)依靠專家經(jīng)驗確定權(quán)重，方法簡單，在一定的程度上可以反映出實際情況，但人為主觀性太強；客觀賦權(quán)根據(jù)樣本數(shù)據(jù)來確定權(quán)重，忽視了不同指標(biāo)的重要程度，從而可能導(dǎo)致權(quán)重結(jié)果與實際指標(biāo)重要性相反。因此本文采用主客觀組合賦權(quán)方法來克服單一賦權(quán)方法的局限性，消除主客觀偏差，降低信息損失，使權(quán)重結(jié)果更加接近于實際結(jié)果。

1.1 主觀權(quán)重

采用層次分析法確定主觀權(quán)重。層次分析法是將與決策相關(guān)的元素分解為目標(biāo)、準(zhǔn)則、指標(biāo)等層次，在此基礎(chǔ)上進行定量和定性分析的方法。

層次分析法的具體運算步驟如下[4]：

1) 確定評估目標(biāo)，建立層次分析模型。仔細(xì)分析問題，逐層分解，確定問題的評估目標(biāo)，建立起目標(biāo)、準(zhǔn)則、指標(biāo)三層評估模型。

2) 構(gòu)造判斷矩陣。在指定上層某一元素的條件下，根據(jù)比較標(biāo)度對本層的各元素進行兩兩比較，建立起相應(yīng)的判斷矩陣。

3) 單層次計算并進行安全性判斷，即層次單排序。

4) 對判斷矩陣進行一致性檢驗，計算出目標(biāo)總排序。若一致性指標(biāo)CR＜0.1，則判斷矩陣的一致性可以接受，否則修正判斷矩陣。

1.2 客觀權(quán)重

采用熵權(quán)法確定客觀權(quán)重。熵權(quán)法主要是根據(jù)指標(biāo)信息熵的大小計算出相應(yīng)指標(biāo)的權(quán)重，某個指標(biāo)的信息熵越小，表示其所含的信息量越大，在評估中所起到的作用也就越大，所占權(quán)重也越大；反之，指標(biāo)信息熵越大，所占權(quán)重越小。具體運算步驟如下[7]：

1) 確定評估矩陣X。假設(shè)SCADA系統(tǒng)的評估指標(biāo)有m個 ，每個指標(biāo)有n個專家評估,xij表示第i個專家第j個指標(biāo)的評估值。

2) 對評估矩陣X進行標(biāo)準(zhǔn)化處理，得到矩陣Y。

3) 計算指標(biāo)的信息熵。

4) 計算出指標(biāo)客觀權(quán)重。

1.3 組合權(quán)重優(yōu)化模型

利用一定的數(shù)學(xué)優(yōu)化模型對主客觀權(quán)重進行有機組合得到的最優(yōu)權(quán)重值，就是組合權(quán)重。本文充分考慮影響SCADA系統(tǒng)風(fēng)險大小的多種因素，選擇最小二乘法優(yōu)化模型計算出最優(yōu)組合權(quán)重值。

假設(shè)主觀權(quán)重值為 w c=[wc1wc2···wcm]T，客觀權(quán)重值為 w s=[ws1ws2···wsm]T,組合權(quán)重值為w=[w1w2···wm]T，評估矩陣X標(biāo)準(zhǔn)化處理之后得到的矩陣Y=[yij]n×m，其中n表示評估數(shù)據(jù)條數(shù)，m表示評估指標(biāo)個數(shù)，根據(jù)最小二乘法構(gòu)造出最優(yōu)組合權(quán)重的目標(biāo)函數(shù)和約束條件如下：

利用拉格朗日乘子法求解上述目標(biāo)函數(shù)，偏導(dǎo)方程組轉(zhuǎn)化為矩陣形式如下：

其中：

對式(6)、(7)進行推導(dǎo)，得到最優(yōu)組合權(quán)重為

2 云模型

云模型是由李德毅等[11]在概率論和模糊數(shù)學(xué)理論的基礎(chǔ)上提出的用于處理某個定性概念與其定量表示的不確定性轉(zhuǎn)換模型。它利用3個數(shù)字特征來描述定性概念，主要反映出概念的模糊性和隨機性，并將二者完全集成在一起，構(gòu)成概念內(nèi)涵和概念外延之間的轉(zhuǎn)換。目前云模型已經(jīng)廣泛應(yīng)用于眾多領(lǐng)域行業(yè)中，例如陳圓超等[12]將云模型與級差最大化組合賦權(quán)相結(jié)合用以綜合評估礦井通風(fēng)系統(tǒng)。張仕斌等[13]針對復(fù)雜網(wǎng)絡(luò)交易環(huán)境中的信任問題，引入云模型進行可信度評估。受此啟發(fā)，將云模型應(yīng)用于SCADA系統(tǒng)的安全風(fēng)險評估中，能夠有效克服過程中的不確定性，使評估結(jié)果更加科學(xué)可信。

2.1 云模型數(shù)字特征

云模型用期望 E x 、熵 E n 和超熵 H e 3個數(shù)字特征來整體表征一個概念[11]。

期望 E x 是云滴在論域空間中分布的數(shù)學(xué)期望，是最能代表定性概念的點。距離期望越近，云滴就越集中，對概念的認(rèn)知就越統(tǒng)一。

熵 E n 是對定性概念不確定性的度量，定性概念的隨機性和模糊性共同決定，既反映了云滴的離散程度，也反映了云滴的取值范圍。

超熵 H e 是熵的不確定性度量，是熵的熵，表示為云的厚度。

2.2 云發(fā)生器

云發(fā)生器是用來實現(xiàn)不確定性概念中定性與定量之間轉(zhuǎn)換的算法，是云模型中最關(guān)鍵的部分，主要分為正向云發(fā)生器和逆向云發(fā)生器，本文主要利用二階正態(tài)云發(fā)生器。

正向云發(fā)生器是由云的數(shù)字特征 E x、 E n、 H e 產(chǎn)生定量的數(shù)值，即云滴，其算法過程如算法1所示。

算法1正向云發(fā)生器算法

輸入(E x,En,He)和要生成的云滴個數(shù)N

輸出(xi,ui),i=1,2,···,N

1) 生成以 E n為 期望， H e2為方差的一個正態(tài)隨機數(shù)yi=RN(En,He)；

2) 生成以 E x為期望，y2i為方差的一個正態(tài)隨機數(shù)xi=RN(Ex,yi)；

3) 計算確定度ui：

4) 具有確定度ui的xi成為云的一個云滴；

5) 重復(fù)步驟1)到4)，直到生成N個云滴組成云。

逆向云發(fā)生器是將一定數(shù)量的精確數(shù)據(jù)轉(zhuǎn)換為以數(shù)字特征表示的定性概念。現(xiàn)有的逆向云發(fā)生器算法可分為有確定度和無確定度兩種。劉常昱等[14]于2004年根據(jù)一階樣本絕對中心距和樣本方差提出了一種經(jīng)典的無確定度逆向云算法，然而該方法在SCADA系統(tǒng)安全風(fēng)險評估計算過程中可能會出現(xiàn)樣本方差過小或者熵的估計值過大的情況，導(dǎo)致計算出的超熵估計值會出現(xiàn)虛數(shù)。

因此引入文獻[15]改進的算法，具體過程如算法2所示。

算法2逆向云發(fā)生器算法

輸入樣本點xi,i=1,2,···,n

輸出數(shù)字特征 (E x,En,He)估計值

1) 根據(jù)樣本點xi計算出相應(yīng)的樣本均值Xˉ ：

2) 計算期望 E x=ˉ；

3) 計算熵 E n：

4) 計算樣本方差S2，如果S2-En2＜0，轉(zhuǎn)步驟5)，反之轉(zhuǎn)步驟 6)；

5) 刪除當(dāng)前樣本中距離期望 E x最近的一個云滴樣本后轉(zhuǎn)步驟4)；■

6) 計算超熵 H e=。

3 SCADA系統(tǒng)安全風(fēng)險評估模型

3.1 SCADA系統(tǒng)安全風(fēng)險評估指標(biāo)體系

對SCADA系統(tǒng)進行安全風(fēng)險評估，首先要分析建立起科學(xué)全面的評估指標(biāo)體系。本文依據(jù)GB/T 29084-2007等標(biāo)準(zhǔn)規(guī)范、相關(guān)單位風(fēng)險評估報告和前人的研究，詳細(xì)分析了SCADA系統(tǒng)的基本結(jié)構(gòu)以及系統(tǒng)所存在的薄弱點和問題，初步構(gòu)建出評估指標(biāo)體系，再采用delphi法和實地調(diào)研對指標(biāo)進行合理性驗證，最終從可能受影響的資產(chǎn)、威脅、脆弱性、安全措施4個方面構(gòu)建出包含4個一級評估指標(biāo)(準(zhǔn)則層)和22個二級指標(biāo)(指標(biāo)層)的SCADA系統(tǒng)安全風(fēng)險指標(biāo)體系，如圖1所示。與現(xiàn)有的指標(biāo)體系相比，本文所構(gòu)建的指標(biāo)體系更加全面和客觀，綜合考慮了SCADA系統(tǒng)中影響安全的各種重要因素，安全事件發(fā)生的不同階段下保護措施配置情況，通用性更強。

圖1 SCADA系統(tǒng)安全風(fēng)險評估指標(biāo)體系Fig.1 SCADA system safety risk assessment index system

自然環(huán)境威脅包括斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、 火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害。內(nèi)部有意威脅包括不滿的或有預(yù)謀的內(nèi)部人員對系統(tǒng)重要信息進行惡意竊取、泄露和破壞。內(nèi)部無意威脅包括內(nèi)部人員由于不注意或不遵循規(guī)章制度和操作流程而導(dǎo)致故障、信息泄露和權(quán)限濫用等，以及內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、規(guī)章制度和職責(zé)不明確等問題而導(dǎo)致的失誤和系統(tǒng)被攻擊。外部攻擊包括黑客、恐怖分子、敵對勢力和敵對國家等外部人員利用系統(tǒng)的脆弱性對系統(tǒng)進行破壞以獲取利益。第三方威脅包括承包商或第三方平臺存在的漏洞或后門被惡意利用等。

數(shù)據(jù)資產(chǎn)包括源代碼、控制臺實時數(shù)據(jù)、應(yīng)用程序數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)、操作/產(chǎn)品/用戶手冊等電子文檔、生產(chǎn)運行計劃和報告、各類紙質(zhì)文檔等。硬件資產(chǎn)包括PLC、DCS、RTU等現(xiàn)場控制設(shè)備，路由器、網(wǎng)關(guān)、交換機等網(wǎng)絡(luò)設(shè)備，防火墻、入侵檢測系統(tǒng)等安全設(shè)備，服務(wù)器、工作站、小型機等計算機設(shè)備，磁盤陣列、移動硬盤、光盤等存儲設(shè)備，光纖、雙絞線等傳輸線路，空調(diào)、文件柜、門禁等保障設(shè)備，以及打印機、傳真等其他設(shè)備。軟件資產(chǎn)包括數(shù)據(jù)庫系統(tǒng)、上位組態(tài)和監(jiān)控軟件、操作系統(tǒng)等系統(tǒng)軟件，遠(yuǎn)程控制軟件、數(shù)據(jù)庫軟件、工具軟件、OPC等應(yīng)用軟件，各種源程序。人員資產(chǎn)包括運維人員、系統(tǒng)調(diào)試人員、安全管理人員等。服務(wù)資產(chǎn)包括對外開展的各類信息服務(wù)、各種網(wǎng)絡(luò)設(shè)備等提供的網(wǎng)絡(luò)服務(wù)、各類管理信息系統(tǒng)提供的辦公服務(wù)。其他資產(chǎn)包括客戶關(guān)系、企業(yè)公眾形象等。

脆弱性分析中物理環(huán)境主要從防盜、防火、防靜電、電磁防護等方面進行識別；應(yīng)用、主機、網(wǎng)絡(luò)和數(shù)據(jù)安全除了從安全審計、訪問控制、身份鑒別等方面進行識別，還需要分別從應(yīng)用健壯性、通信的完整性和保密性、入侵防范、惡意代碼防范、數(shù)據(jù)傳輸完整性和保密性、網(wǎng)絡(luò)邊界隔離等方面進行識別。應(yīng)用中間件需要識別交易完整性、協(xié)議安全、數(shù)據(jù)完整性等。管理安全需要從安全策略、資產(chǎn)分類與控制、人員安全、系統(tǒng)開發(fā)與維護等方面進行識別，運維安全需要從配置管理、密碼管理、變更管理、外包運維管理等方面進行識別。

3.2 標(biāo)準(zhǔn)評估云

安全風(fēng)險評估結(jié)果的確定與評語的劃分等級密切相關(guān)。根據(jù)實際情況，首先將SCADA系統(tǒng)的安全風(fēng)險評估結(jié)果劃分為低風(fēng)險、較低風(fēng)險、中風(fēng)險、較高風(fēng)險、高風(fēng)險5個等級，對應(yīng)的評分值取值范圍設(shè)定為[0, 1]，數(shù)值越高，說明風(fēng)險越高，安全性就越差，然后基于黃金分割率的定性變量云化方法[16]和算法1計算不同等級的云滴群的確定度，構(gòu)建出標(biāo)準(zhǔn)評估云。

基于黃金分割率的變量云化方法的計算規(guī)則如表1所示，其中Bmin和Bmax對應(yīng)于評分取值范圍，He3為常數(shù)，視具體情況取值，本文中 H e3=0.008，根據(jù)此計算規(guī)則計算得出具體各等級的數(shù)字特征值如表2所示，同時根據(jù)表2構(gòu)建出相應(yīng)的標(biāo)準(zhǔn)評估云，如圖2所示。

表1 標(biāo)準(zhǔn)評估云計算規(guī)則Table 1 Standard Evaluation Cloud Computing Rules

表2 各風(fēng)險評估等級云數(shù)字特征Table 2 Cloud digital characteristics at different risk assessment levels

圖2 標(biāo)準(zhǔn)評估云Fig.2 Standard evaluation cloud

3.3 云相似度計算及其改進

在對比綜合評估云和標(biāo)準(zhǔn)評估云時，傳統(tǒng)的方法是以期望值 E x為 基準(zhǔn)，但當(dāng) E x處于兩個等級之間時，這種界定方法有很強的主觀隨意性。因此受相關(guān)文獻[17]的啟發(fā)，本文采用正態(tài)云之間的相似度來比較云圖，進而提出了一種基于修正期望曲線和KL散度的云相似度計算方法(impoved Kullback Leibler divergence based on cloud model，IKLCM)。

正態(tài)云是最基本的云模型，其期望曲線反映了正態(tài)云的重要幾何特征，是貫穿于云滴群的骨架，所有的云滴都是在其周圍波動，波動的程度由超熵控制。龔艷冰等[18]在此基礎(chǔ)上定義了正態(tài)云的修正期望曲線：

若云滴x滿足x～N(Ex,En′2)， E n≠0，En′～N(En,He2)，則

稱為正態(tài)云的修正期望曲線。

KL散度是兩個概率分布之間差異的非對稱性度量，常用來度量兩個概率分布之間的差異性，KL散度越大，兩個概率分布的差異性越大[19-20]，因此本文通過KL散度來度量兩個正態(tài)云的修正期望曲線的差異性，從而度量兩個正態(tài)云的相似度。對于連續(xù)型隨機變量P和Q，其概率密度函數(shù)分別為p(x)和q(x)，KL散度的定義為

由此，許昌林等[21]提出了KL散度的一種對稱形式，即D(P‖Q)=DKL(P‖Q)+DKL(Q‖P)，結(jié)合修正期望曲線，可以推導(dǎo)出兩個正態(tài)云的差異度計算公式為

因為兩個正態(tài)云的差異度越大，其相似度卻越小，為了更加方便地與其他相似度計算方法進行對比，引入了指數(shù)函數(shù)將兩個正態(tài)云的差異性與相似度進行融合，即相似度 si m(Si,Sj)為

由指數(shù)函數(shù)和KL散度的性質(zhì)可知，式(16)是單調(diào)遞減函數(shù)，且KL散度為非負(fù)值，因此相似度的計算結(jié)果必然在[0, 1]之間。

3.4 綜合評估

首先由算法2計算出指標(biāo)層各指標(biāo)的云數(shù)字特征，然后根據(jù)式(17)～(19)計算出相應(yīng)準(zhǔn)則層和目標(biāo)層各指標(biāo)的云模型數(shù)字特征，代入算法1得到了SCADA系統(tǒng)的安全風(fēng)險綜合評估云，最后通過文中的IKLCM云相似度計算方法，比較綜合評估云與標(biāo)準(zhǔn)評估云的相似度，得出整個SCADA系統(tǒng)的安全風(fēng)險評估結(jié)果。

式中：wi為相應(yīng)指標(biāo)層或準(zhǔn)則層各指標(biāo)的組合權(quán)重； ( Exi,Eni,Hei)為相應(yīng)指標(biāo)層或準(zhǔn)則層的云數(shù)字特征；n為相應(yīng)層次的指標(biāo)個數(shù)。

4 實例分析

4.1 SCADA系統(tǒng)安全風(fēng)險綜合評估

本文采用某西南油氣SCADA系統(tǒng)作為研究對象進行可行性驗證，該研究對象是典型的工控網(wǎng)絡(luò)結(jié)構(gòu)，如圖3所示。整個系統(tǒng)中通信網(wǎng)絡(luò)使用工業(yè)以太網(wǎng)，核心部件分上位機和下位機，上位機主要包含Web服務(wù)器、工程師站、操作員站、歷史數(shù)據(jù)服務(wù)器等設(shè)備，下位機主要包含遠(yuǎn)程終端單元和可編輯邏輯控制器等設(shè)備。其中，現(xiàn)場測控點與下位機通過現(xiàn)場總線和平行接線兩種方式進行通信，實現(xiàn)數(shù)據(jù)采集和設(shè)備過程的直接控制，下位機通過衛(wèi)星、有限光纜、無線數(shù)傳電臺和GPRS等方式與上位機通信，實現(xiàn)控制信號和各種數(shù)據(jù)信息的傳遞，在上位機各計算機和服務(wù)器之間采用工業(yè)以太網(wǎng)進行數(shù)據(jù)交互和資源共享，從而實現(xiàn)數(shù)據(jù)的分析和處理，各設(shè)備狀態(tài)、生產(chǎn)參數(shù)、環(huán)境參數(shù)等的顯示，遠(yuǎn)程監(jiān)控，故障預(yù)警處理等功能。

圖3 SCADA網(wǎng)絡(luò)結(jié)構(gòu)圖Fig.3 SCADA network structure figure

依據(jù)前文構(gòu)建的SCADA系統(tǒng)安全風(fēng)險評估模型，邀請相關(guān)領(lǐng)域的專家組成評估小組，分別對指標(biāo)層的所有指標(biāo)進行打分和重要性判斷，根據(jù)層次分析法，分別構(gòu)造出準(zhǔn)則層指標(biāo)之間的判斷矩陣和每個準(zhǔn)則層指標(biāo)下所有的二級指標(biāo)之間的判斷矩陣，計算出各判斷矩陣的特征值和特征向量，一致性檢驗通過后對特征向量歸一化后即可得到SCADA系統(tǒng)各層評估指標(biāo)的主觀權(quán)重。根據(jù)打分結(jié)果，利用熵權(quán)法得到指標(biāo)層各評估指標(biāo)的客觀權(quán)重，再對每個準(zhǔn)則層指標(biāo)下所有二級指標(biāo)的客觀權(quán)重求和即可得到準(zhǔn)則層各指標(biāo)的客觀權(quán)重。結(jié)合上述所得結(jié)果，根據(jù)式(7)和式(8)，計算得到各層指標(biāo)的組合權(quán)重，結(jié)果如表3和表4所示。

表3 指標(biāo)層各指標(biāo)權(quán)重Table 3 Each index weight in index layer

續(xù)表3

表4 準(zhǔn)則層各指標(biāo)權(quán)重Table 4 Each index weight in criterion layer

將專家對22個指標(biāo)的打分結(jié)果轉(zhuǎn)化為定量數(shù)據(jù)作為算法2的輸入，計算出指標(biāo)層各指標(biāo)的云模型數(shù)字特征，然后將指標(biāo)層各指標(biāo)的組合權(quán)重與云數(shù)字特征值相結(jié)合，利用式(17)～(19)計算出準(zhǔn)則層的云模型數(shù)字特征，結(jié)果如表5所示。再結(jié)合準(zhǔn)則層的指標(biāo)權(quán)重經(jīng)式(17)～(19)計算得到目標(biāo)層云數(shù)字特征為(0.410, 0.230, 0.055)。

表5 準(zhǔn)則層和指標(biāo)層各指標(biāo)云數(shù)字特征Table 5 Each index cloud digital characteristics in the criterion and index layer

根據(jù)目標(biāo)層的云數(shù)字特征值生成相應(yīng)的綜合評估云，與標(biāo)準(zhǔn)評估云對比，結(jié)果如圖4所示，由IKLCM得出綜合評估云與較低風(fēng)險云的相似度最高，可知該系統(tǒng)的綜合風(fēng)險評估結(jié)果為較低風(fēng)險。同理可以得出指標(biāo)體系中所有指標(biāo)的評估云圖和風(fēng)險狀況，以指標(biāo)C11為例，其結(jié)果如圖5所示，可知該部分為低風(fēng)險，由表6可知，該系統(tǒng)中風(fēng)險最大的部分是安全措施，結(jié)合實際工控環(huán)境，可以發(fā)現(xiàn)SCADA系統(tǒng)中主機、服務(wù)器等設(shè)備缺乏入侵檢測、惡意代碼防范、安全審計等安全措施，從而導(dǎo)致安全措施部分存在較高的安全風(fēng)險，需要及時處理。

圖4 綜合評估云Fig.4 Comprehensive evaluation cloud

圖5 指標(biāo) C 11評估云Fig.5 Index C 11 evaluation cloud

表6 準(zhǔn)則層各指標(biāo)風(fēng)險狀況Table 6 Each index risk status in the criterion layer

4.2 對比實驗分析

4.2.1 不同相似度方法比較

目前，云模型的相似度計算方法主要有基于云模型數(shù)字特征和基于云模型的幾何形態(tài)兩種度量方法。張光衛(wèi)等[22]提出的夾角余弦法(likeness comparing method based on cloud mode, LICM)，將云模型的數(shù)字特征作為向量，通過計算向量的夾角余弦來度量兩個云模型的相似度，在協(xié)同過濾中取得了較好的效果，然而在云模型的期望遠(yuǎn)大于熵和超熵時，這種度量方法容易忽視熵和超熵，導(dǎo)致相似度整體偏大，區(qū)分性差；李海林等[23]提出了通過計算兩個正態(tài)云模型的期望曲線(expectation based on cloud model, ECM)和最大邊界曲線(maximum boundary based on cloud model,MCM)重合部分的面積來度量云模型的相似度，克服了基于特征向量和隨機選取云滴的相似度計算方法帶來的云模型期望過于顯著、時間復(fù)雜度過高和結(jié)果不穩(wěn)定等問題，然而ECM法完全忽視了超熵的作用，而MCM法考慮了超熵的作用，但超熵很大時，相似度結(jié)果誤差較大；許昌林等[21]通過KL散度結(jié)合最大邊界曲線(kullback leibler divergence based on cloud model, KLDCM)來度量云模型的相似度，KL散度能很好地刻畫兩個概率分布的差異，且具有較高的普適性，然而超熵很大時，相似度結(jié)果誤差較大。本文提出的IKLCM法通過修正期望曲線和KL散度相結(jié)合，克服了上述方法的不足，較為全面地考慮到了期望、熵和超熵的作用。

為了更好地驗證上述結(jié)論，說明本文提出的IKLCM法與其他4種方法的差異性，采用文獻[24]和文獻[22]的示例數(shù)據(jù)進行實驗，并分析比較它們的實驗結(jié)果。文獻[24]中給出了3個正態(tài)云S1(3, 3.123, 2.05)、S2(2, 3, 1)和S3(1.585, 3.556,1.358)，分別利用LICM、ECM、MCM、KLDCM和本文提出的IKLCM對其進行相似度計算，結(jié)果如表7所示。

表7 在文獻[24]數(shù)據(jù)集上不同云相似度計算方法的比較Table 7 Comparison of different cloud similarity calculation methods on the data set of literature [24]

由表7可知，IKLCM方法的結(jié)果表明，S2和S3的相似度最大為0.919 3，該結(jié)果與實際直觀結(jié)果一致。可以看出，LICM方法的計算結(jié)果幾乎都接近為1，區(qū)分性差；ECM方法完全忽視了超熵的作用，導(dǎo)致計算結(jié)果不準(zhǔn)確；MCM方法和KLDCM方法采用最大邊界曲線擴大了超熵的作用，導(dǎo)致結(jié)果與實際直觀結(jié)果不一致。

然后再對文獻[22]給出的4個正態(tài)云進行對比，S1(1.5, 0.626 66, 0.3 390)、S2(4.6, 0.601 59, 0.308 62)、S3(4.4,0.751 99,0.276 76)、S4(1.6,0.601 59,0.308 62)，結(jié)果如表8所示。由表8可知，IKLCM法的結(jié)果表明，S1和S4的相似度最大為0.97，S2和S3的相似次之為0.88，其余相似度都為0，該結(jié)果與實際直觀結(jié)果一致。5種方法的計算結(jié)果相同，但LICM方法的相似度幾乎都接近為1，區(qū)分度差，MCM方法和KLDCM方法中(S1,S4)和 (S2,S3)的相似度差0.01，ECM方法中(S1,S4)和 (S2,S3)的相似度差0.08，而IKLCM方法中(S1,S4)和 (S2,S3)的相似度差0.09，因此IKLCM方法能更好地區(qū)分正態(tài)云的相似度。

表8 在文獻[22]數(shù)據(jù)集上不同云相似度計算方法的比較Table 8 Comparison of different cloud similarity calculation methods on the data set of literature [22]

4.2.2 不同評估方法結(jié)果比較

選取AHP-模糊綜合評價[25]、灰色評估[26]、熵權(quán)-云模型[27]3種評估方法與本文基于組合權(quán)重和云模型的評估方法對SCADA系統(tǒng)的風(fēng)險狀況評估結(jié)果進行比較，結(jié)果如表9所示。

表9 不同評估方法結(jié)果的比較Table 9 Comparison of different evaluation methods result

由表9可知，4種評估方法評價結(jié)果基本一致，表明基于云模型和組合權(quán)重的評估方法是合理有效的。結(jié)合實例進行分析，與模糊綜合評估和灰色評估方法相比，本文方法區(qū)分性更大，不僅考慮了過程中存在的隨機性，解決了隸屬度函數(shù)、白化函數(shù)精確化等問題，還將評價結(jié)果制成云圖，實現(xiàn)了評價結(jié)果的可視化，使結(jié)果更加直觀清晰，也能得到每一項指標(biāo)的風(fēng)險狀況，深入分析SCADA系統(tǒng)風(fēng)險產(chǎn)生原因。

圖6給出了熵權(quán)、AHP和組合賦權(quán)3種情況下所得的指標(biāo)層指標(biāo)的權(quán)重對比，可以看出組合賦權(quán)有效地減少了評估過程中的主觀隨意性，中和了熵權(quán)法的不足，在一定程度上提高了評估的準(zhǔn)確性。

圖6 不同賦權(quán)方法的結(jié)果對比Fig.6 Comparison of the results of different weighting methods

5 結(jié)束語

本文首先從資產(chǎn)、威脅、脆弱性等方面構(gòu)建出SCADA系統(tǒng)風(fēng)險評估指標(biāo)體系，接著通過組合權(quán)重優(yōu)化模型確定了指標(biāo)權(quán)重，云模型相關(guān)理論構(gòu)建出風(fēng)險評估模型，并通過實驗驗證了該模型。本文將主客觀權(quán)重相結(jié)合，克服了單一權(quán)重的信息損失問題，引入云模型理論，比傳統(tǒng)的隸屬度函數(shù)、白化函數(shù)在處理不確定性問題上考慮更加全面客觀，改進了云相似度計算方法，更準(zhǔn)確地反映了標(biāo)準(zhǔn)評估云與綜合評估云之間的相似度，提高了評估結(jié)果的可靠性。本文的研究不僅有助于識別和預(yù)測SCADA系統(tǒng)的安全威脅，保障SCADA系統(tǒng)的安全，而且對風(fēng)險評估的進一步研究具有重要意義，但是文中的逆向云算法在樣本量小的情況下，超熵估計值誤差較大，因此，今后的研究工作會對逆向云算法進行改進，提高評價結(jié)果的精度。