基于属性攻击图的工控系统脆弱性量化方法

提出了一种基于攻击图的工控系统脆弱性量化研究方法。从工控系统中存在的漏洞利用难度和漏洞危害性两个维度出发，同时结合具体的工业系统中有关防御强度、攻击强度、物理损失、信息损失等方面，提出了一系列的脆弱性量化指标，制定了比较全面的等级划分标准。之后将量化指标与攻击图相结合，利用攻击过程中每一步的原子攻击期望来对可能存在的所有攻击路径进行脆弱性分析。最后以典型的锅炉控制系统作为实验背景进行了案例分析。实验结果表明，该方法能够较全面地分析工控系统中潜在的隐患威胁，科学合理地评估各条攻击路径的脆弱性，由此得到总攻击期望最大的攻击路径。

随着工业技术的发展和工控系统应用的普及，工业生产控制正逐步改变着社会生产方式。工控系统的普及必然带来更高标准的工业安全需求，而对工控系统进行科学合理的脆弱性评估是工控系统安全运行的重要前提保障[1]。近年来相继出现的毒区病毒、火焰病毒和震网事件等，充分暴露了工控系统安全性差的缺点，对其进行安全评估已经成为国际性难题。工控系统一般划分为三层架构：计划管理层、制造执行层和工业控制层[2] [3]。

计划管理层主要用于底层信息的汇总和分析，其与制造执行层之间主要进行的安全防护包括身份鉴别、访问控制、检测审计、链路冗余和内容检测等；制造执行层主要包括MES (Manufacturing execution system)服务器或MES 数据库等， 其与工业控制层之间的防护主要是避免管理层直接对工控层的访问， 保证制造执行层对工业控制层的操作唯一性；工业控制层主要由OPC (OLE for process control)服务器、管理终端、PLC (Programmable logic controller)、监控终端等组成。

目前国内外针对工控系统安全的脆弱性评估研究还处于起步阶段，由于工业系统具有复杂度高、灵活性差等特点，使得目前仍然缺少一种成熟的工控系统安全评估方法。从数学建模的角度，刘芳[4]提出了一种ISSUE (Information system security evaluation)安全评估方法， 并结合安全风险概率预测技术， 基于模糊多属性群体决策，将模糊数学、多属性决策和群体决策的理论运用在安全评估中。但该方法需要大量的历史数据作为理论支撑，且评估结果存在不合理的情况；周小锋[5]等提出针对ICS (Industrial control system)安全指标的分层计算模型，使用灰色数学模糊聚类方法，增加了评估准确性。但是模糊聚类方法在样本量比较大时，得到聚类结果有一定困难；从网络模型的角度，Vintr 等[6]基于攻击树模型来评估防