A Method for Quantifying Vulnerability of Industrial Control System Based on Attack Graph
-
摘要: 提出了一种基于攻击图的工控系统脆弱性量化研究方法. 从工控系统中存在的漏洞利用难度和漏洞危害性两个维度出发, 同时结合具体的工业系统中有关防御强度、攻击强度、物理损失、信息损失等方面, 提出了一系列的脆弱性量化指标, 制定了比较全面的等级划分标准. 之后将量化指标与攻击图相结合, 利用攻击过程中每一步的原子攻击期望来对可能存在的所有攻击路径进行脆弱性分析. 最后以典型的锅炉控制系统作为实验背景进行了案例分析. 实验结果表明, 该方法能够较全面地分析工控系统中潜在的隐患威胁, 科学合理地评估各条攻击路径的脆弱性, 由此得到总攻击期望最大的攻击路径.Abstract: A method for quantifying the vulnerability of industrial control system based on attack graph is proposed. First, the two dimensions of vulnerability existing in industrial control systems are analyzed, which are exploitation difficulty of vulnerability and vulnerability hazard. Some quantitative indexes of vulnerability are proposed by combining these dimensions with some concrete industrial aspects, such as defense strength, attack strength, physical loss, and information loss. Then, a specific grade division standard is formulated. By means of attack graph, the vulnerability of each attack path in industrial control system can be obtained by calculating each atomic attack expectation. Finally, a case of boiler control system is analyzed and simulated to verify the rationality of this method. Experimental results show that this method can analyze the potential threats in industrial control systems more comprehensively and evaluate the vulnerability of each attack path more reasonably. The attack path that has the largest attack expectation can be obtained through simulation.
-
表 1 攻击者知识水平
Table 1 Knowledge of attackers
标识 定义 低 攻击者对工控系统的运行方式、安全策略和网络拓扑不太熟悉 中 攻击者对工控系统的运行方式、安全策略和网络拓扑比较熟悉 高 攻击者对工控系统的运行方式、安全策略和网络拓扑非常熟悉 表 2 威胁分级
Table 2 Classification of threats
标识 定义 低 威胁几乎不可能发生 中 出现的频率中等 (或${\geq}$ 1次/半年) 高 出现的频率较高 (或${\geq}$ 1次/月) 很高 出现的频率很高 (或${\geq}$ 1次/周) 表 3 组件价值量分级
Table 3 Classification of component value
标识 定义 小 如果被利用, 对工控系统产生较小影响 中 如果被利用, 对工控系统产生一般影响 大 如果被利用, 对工控系统产生严重影响 表 4 三种属性影响分级
Table 4 Classification of three properties
标识 定义 小 漏洞被利用后最多一种属性被破坏 中 漏洞被利用后两种属性被破坏 大 漏洞被利用全部属性都被破坏 表 5 漏洞利用难度打分
Table 5 Scoring of ${Vul_{\exp}}$
影响因素 等价细分 打分 说明 加密 无/DES/AES 1/2/3 AES密钥更长且破解更困难,因此安全性最高 认证 数字摘要/数字证书/数字签名/数字信封 1/2/3/4 数字签名采用双重加密技术,安全性最高; 数字摘要实现最简单, 安全性最低 防火墙 商业防火墙/工业防火墙 1/2 工业防火墙设置的过滤规则更多更复杂, 故安全性更高 入侵检测技术 模式匹配/神经网络/数据挖掘/数据融合 1/2/3/4 模式匹配只能检测已知攻击,而数据融合不仅可以检测已知攻击,还可以预估未知攻击 访问控制 DAC/MAC/RBAC 1/2/3 RBAC 在灵活性和控制细节上更有优势 对外接口数量 >5 个/< 5 个 1/2 接口数量越多, 为攻击者提供的攻击入口就越多 防静电、防火、防雷 最多采用一种/采用两种/采用三种 1/2/3 采用的物理防护措施越多, 攻击者越难进行攻击 攻击者数量 > 300=100»300= < 100 1/2/3 攻击者数量越多, 系统安全性越低 攻击者知识水平 高/中/低 1/2/3 见表 1 威胁频率 很高/高/中/低 1/2/3/4 见表 2 表 6 漏洞危害性打分
Table 6 Scoring of ${Vul_{\rm haz}}$
影响因素 等价细分 打分 说明 SCADA 服务器 大 3 使整个控制系统和管理者的台式机能随时使用来自SCADA 远程终端的重要信息 工程师站 中 2 既安装STEP 7 编程组态软件, 又安装WinCC 监控操作组态软件 操作员站 小 1 仅需安装WinCC 监控操作组态软件 用户机 小 1 存放传输给管理层的数据 WEB 服务站 小 1 提供WEB 服务的功能, 在某些工控系统中不是必需的 MES 服务器/数据库 大 3 存放制造执行层的重要数据 OPC 服务器/数据库 大 3 存放下位机采集的原始现场数据和上位机传来的指令 RTU 大 3 主要进行数据采集和本地控制, 与传输可靠性、主机负担等相关 PLC 大 3 主要进行过程控制、信息控制和远程控制, 是重要的下位机 PAC 小 1 作为开放型的自动化控制设备, 其应用在工控系统中并不常见 信息属性 小/中/大 1/2/3 见表 4 表 7 组件漏洞信息
Table 7 Information of component vulnerability
编号 组件 漏洞 IP0 用户机 CVE-1999-0917 IP1 工程师站 CVE-2013-5056 IP2 SCADA服务器 CVE-2013-3175 IP3 操作员站 CVE-2013-3957 IP4 某品牌PLC CVE-2013-0659 IP5 某品牌PLC CVE-2013-0675 表 8 漏洞利用难度量化值
Table 8 Values of ${Vul_{\exp}}$
编号 漏洞 加密 认证 防火墙 入侵检测 访问控制 接口数量 防静电、雷、火 攻击者数量 知识水平 威胁频率 1 CVE-1999-0917 1 2 1 1 2 2 1 1 1 1 2 CVE-2013-5056 1 3 2 3 2 1 2 1 1 1 3 CVE-2013-3175 3 4 2 4 3 1 3 2 2 2 4 CVE-2013-3957 1 3 2 4 3 2 2 1 2 1 5 CVE-2013-0659 2 2 2 3 3 1 2 2 3 3 6 CVE-2013-0675 2 3 2 2 2 2 3 2 3 4 表 9 各个漏洞的利用难度关联度
Table 9 Degree of ${Vul_{\exp}}$ for various vulnerabilities
编号 1 2 3 4 5 6 $\Upsilon $ 0.053 0.052 0.041 0.046 0.043 0.039 表 10 漏洞危害性量化值
Table 10 Values of ${Vul_{\rm haz}}$
漏洞 物理损失 信息损失 CVE-1999-0917 1 1 CVE-2013-5056 2 2 CVE-2013-3175 3 3 CVE-2013-3957 1 2 CVE-2013-0659 3 2 CVE-2013-0675 3 3 表 11 漏洞危害性关联度
Table 11 Degree of ${Vul_{\rm haz}}$ for various vulnerabilities
编号 1 2 3 4 5 6 $\Upsilon $ 0.25 0.165 0.125 0.225 0.137 0.125 表 12 漏洞攻击期望
Table 12 ${Att_{\exp}}$ for various vulnerabilities
编号 1 2 3 4 5 6 ${Att_{\exp}}$ 0.013 0.009 0.005 0.010 0.006 0.005 表 13 各条路径的总攻击期望
Table 13 ${Att_{\rm exp}}$ for various paths
序号 路径 总攻击期望 1 IP0 ${\rightarrow}$ IP1 ${\rightarrow}$ IP2 ${\rightarrow}$ IP4 0.033 2 IP0 ${\rightarrow}$ IP1 ${\rightarrow}$ IP2 ${\rightarrow}$ IP5 0.032 3 IP0 ${\rightarrow}$ IP3 ${\rightarrow}$ IP2 ${\rightarrow}$ IP4 0.034 4 IP0 ${\rightarrow}$ IP3 ${\rightarrow}$ IP2 ${\rightarrow}$ IP5 0.033 -
[1] Garcia J, Palomo F R, Luque A, Aracil C, Quero J M, Carrion D, Gamiz F, Revilla P, Perez-Tinao J, Moreno M, Robles P, Franquelo L G. Reconfigurable distributed network control system for industrial plant automation. IEEE Transactions on Industrial Electronics, 2004, 51(6): 1168-1180 [2] Munro K. Deconstructing flame: the limitations of traditional defences. Computer Fraud and Security, 2012, 2012(10): 8-11 [3] Langner R. Stuxnet: dissecting a cyberwarfare weapon. IEEE Security and Privacy, 2011, 9(3): 49-51 [4] 刘芳. 信息系统安全评估理论及其关键技术研究 [博士学位论文], 国防科技大学, 中国, 2005.Liu Fang. Research on the Theories and Key Technologies of Information System Security Evaluation [Ph.D. dissertation], National University of Defense Technology, China, 2005. [5] 周小锋, 陈秀真. 面向工业控制系统的灰色层次信息安全评估模型. 信息网络安全, 2014, (1): 15-20Zhou Xiao-Feng, Chen Xiu-Zhen. Gray analytical hierarchical assessment model for industry control system security. Netinfo Security, 2014, (1): 15-20 [6] Vintr Z, Valis D, Malach J. Attack tree-based evaluation of physical protection systems vulnerability. In: Proceedings of the 2012 IEEE International Carnahan Conference on IEEE Security Technology (ICCST). Boston, MA: IEEE, 2012. 59-65 [7] Jha S, Sheyner O, Wing J. Two formal analyses of attack graphs. In: Proceedings of the 15th IEEE Computer Security Foundations Workshop. Cape, Breton, NS, Canada: IEEE, 2002. 49-63 [8] Sener E, Davraz A. Assessment of groundwater vulnerability based on a modified DRASTIC model, GIS and an analytic hierarchy process (AHP) method: the case of Egirdir Lake basin (Isparta, Turkey). Hydrogeology Journal, 2013, 21(3): 701-714 [9] Stewart S, Ivy M A, Anslyn E V. The use of principal component analysis and discriminant analysis in differential sensing routines. Chemical Society Reviews, 2014, 43(1): 70-84 [10] Scace G E, Miller W W. Reducing the uncertainty of industrial trace humidity generators through NIST permeation-tube calibration. International Journal of Thermophysics, 2008, 29(29): 1544-1554 [11] Byres E, Eng P, Fellow I S A. Using ANSI/ISA-99 Standards to Improve Control System Security. White paper, Tofino Security, 2012. [12] Talha S K, Barry B I A. Evaluating the impact of AES encryption algorithm on voice over internet protocol (VoIP) systems. In: Proceedings of the 2013 International Conference on Computing, Electrical and Electronics Engineering (ICCEEE). Khartoum: IEEE, 2013. 686-691 [13] Shakshuki E M, Kang N, Sheltami T R. EAACK——a secure intrusion-detection system for MANETs. IEEE Transactions on Industrial Electronics, 2013, 60(3): 1089-1098 [14] Hur J, Noh D K. Attribute-based access control with efficient revocation in data outsourcing systems. IEEE Transactions on Parallel and Distributed Systems, 2011, 22(7): 1214- 1221 [15] Scarfone K, Mell P. An analysis of CVSS version 2 vulnerability scoring. In: Proceedings of the 3rd IEEE International Symposium on Empirical Software Engineering and Measurement. Lake Buena Vista, FL: IEEE, 2009. 516-525 [16] Opricovic S, Tzeng G H. Compromise solution by MCDM methods: a comparative analysis of VIKOR and TOPSIS. European Journal of Operational Research, 2004, 156(2): 445-455 [17] 周涛, 胡海宁, 周力行. 基于因子分析和灰色关联度分析法的变压器故障诊断. 电力科学与技术学报, 2013, 28(1): 86-91Zhou Tao, Hu Hai-Ning, Zhou Li-Xing. Transformer fault diagnosis method based on factor analysis and grey relation degree analysis. Journal of Electric Power Science and Technology, 2013, 28(1): 86-91 [18] Beamer S, Asanović K, Patterson D. Direction-optimizing breadth-first search. Scientific Programming, 2013, 21(3-4): 137-148 [19] Morilla F. Benchmark for PID control based on the boiler control problem. Advances in Pid Control, 2011, 2(1): 346- 351 期刊类型引用(26)
1. 张倩,黄大荣,王晶,周萌,赵宁,张宇. 基于博弈组合赋权的有源相控阵雷达收发组件脆弱性评估. 控制与决策. 2024(06): 1995-2004 . 百度学术
2. 宋宇,张春杰,程超. 基于不完全信息静态博弈的工控系统风险评估方法. 计算机应用与软件. 2024(06): 329-335 . 百度学术
3. 孙子文,周翔荣. 基于攻击树的ICPS混合博弈风险评估. 小型微型计算机系统. 2024(08): 2034-2040 . 百度学术
4. 胡向东,吕高飞,白银. 基于优化支持向量回归的工业互联网安全态势预测方法. 电子学报. 2023(02): 446-454 . 百度学术
5. 浦珺妍,李亚辉,周纯杰. 基于概率攻击图的工控系统跨域动态安全风险分析方法. 信息网络安全. 2023(09): 85-94 . 百度学术
6. 孙彦斌,汪弘毅,田志宏,方滨兴. 工业控制系统安全防护技术发展研究. 中国工程科学. 2023(06): 126-136 . 百度学术
7. 唐士杰,袁方,李俊,丁勇,王会勇. 工业控制系统关键组件安全风险综述. 网络与信息安全学报. 2022(03): 1-17 . 百度学术
8. 杨一未. 多因素漏洞评价方法研究. 计算机技术与发展. 2022(12): 88-94 . 百度学术
9. 孔德鹏,常天庆,郝娜,张雷,郭理彬. 地面作战目标威胁评估多属性指标处理方法. 自动化学报. 2021(01): 161-172 . 本站查看
10. 张耀方,张哲宇,曲海阔,张格,王子博,王佰玲. 面向大规模工控网络的关键路径分析方法. 网络与信息安全学报. 2021(06): 31-43 . 百度学术
11. 陶耀东,贾新桐,吴云坤. 一种工业控制系统漏洞风险评估方法. 小型微型计算机系统. 2020(03): 603-609 . 百度学术
12. 沈国良. 网络系统资源数据的脆弱性漏洞防御控制仿真. 计算机仿真. 2020(04): 308-311 . 百度学术
13. 赖英旭,刘静,刘增辉,张靖雯. 工业控制系统脆弱性分析及漏洞挖掘技术研究综述. 北京工业大学学报. 2020(06): 571-582 . 百度学术
14. 李艳,王纯子,黄光球,赵旭,张斌,李盈超. 网络安全态势感知分析框架与实现方法比较. 电子学报. 2019(04): 927-945 . 百度学术
15. 王琦,李梦雅,汤奕,倪明. 电力信息物理系统网络攻击与防御研究综述(一)建模与评估. 电力系统自动化. 2019(09): 9-21 . 百度学术
16. 顾兆军,彭辉. 工业控制系统的漏洞风险评估方法. 现代电子技术. 2019(14): 112-116+120 . 百度学术
17. 段旭晨,彭道刚,姚峻,赵慧荣,夏飞. 基于SA-PSO-AHP的火电厂控制系统信息安全威胁评估. 中国电力. 2019(05): 29-35 . 百度学术
18. 杨改贞. 基于置信度的网络攻击图节点回流建模仿真. 计算机仿真. 2019(09): 338-341+401 . 百度学术
19. 吕宗平,丁磊,隋翯,顾兆军. 基于时间自动机的工业控制系统网络安全风险分析. 信息网络安全. 2019(11): 71-81 . 百度学术
20. 阮福,万宝. 关于网络数据传输防止攻击安全保护评估仿真. 计算机仿真. 2018(07): 351-354+413 . 百度学术
21. 陆耿虹,冯冬芹. 基于粒子滤波的工业控制网络态势感知建模. 自动化学报. 2018(08): 1405-1412 . 本站查看
22. 张书钦,李凯江,张露,杨峻峰. 基于Q-learning机制的攻击图生成技术研究. 电子科技. 2018(10): 6-10 . 百度学术
23. 吴开兴,王文鼎,李丽宏. 煤矿企业工业控制系统入侵检测算法. 工矿自动化. 2018(11): 75-79 . 百度学术
24. 龚斯谛,王磊. 基于AHP与信息熵的工控系统信息安全风险评估研究. 工业控制计算机. 2017(04): 11-12+15 . 百度学术
25. 叶子维,郭渊博,王宸东,琚安康. 攻击图技术应用研究综述. 通信学报. 2017(11): 121-132 . 百度学术
26. 张书钦,李凯江,郭倩倩,孙利民,石志强. 工业控制网络安全脆弱性分析技术研究. 中原工学院学报. 2017(06): 63-69 . 百度学术
其他类型引用(24)
-