2.845

2023影响因子

(CJCR)

  • 中文核心
  • EI
  • 中国科技核心
  • Scopus
  • CSCD
  • 英国科学文摘

留言板

尊敬的读者、作者、审稿人, 关于本刊的投稿、审稿、编辑和出版的任何问题, 您可以本页添加留言。我们将尽快给您答复。谢谢您的支持!

姓名
邮箱
手机号码
标题
留言内容
验证码

一种基于分类回归树的无人车汇流决策方法

苏锑 杨明 王春香 唐卫 王冰

黄家辉, 冯冬芹, 王虹鉴. 基于攻击图的工控系统脆弱性量化方法. 自动化学报, 2016, 42(5): 792-798. doi: 10.16383/j.aas.2016.c150517
引用本文: 苏锑, 杨明, 王春香, 唐卫, 王冰. 一种基于分类回归树的无人车汇流决策方法. 自动化学报, 2018, 44(1): 35-43. doi: 10.16383/j.aas.2018.c160457
HUANG Jia-Hui, FENG Dong-Qin, WANG Hong-Jian. A Method for Quantifying Vulnerability of Industrial Control System Based on Attack Graph. ACTA AUTOMATICA SINICA, 2016, 42(5): 792-798. doi: 10.16383/j.aas.2016.c150517
Citation: SU Ti, YANG Ming, WANG Chun-Xiang, TANG Wei, WANG Bing. Classification and Regression Tree Based Traffic Merging for Method Self-driving Vehicles. ACTA AUTOMATICA SINICA, 2018, 44(1): 35-43. doi: 10.16383/j.aas.2018.c160457

一种基于分类回归树的无人车汇流决策方法

doi: 10.16383/j.aas.2018.c160457
基金项目: 

国家磁约束核聚变能研究专项 2012GB102002

国家自然科学基金 91420101

详细信息
    作者简介:

    苏锑上海交通大学智能车实验室硕士研究生.2014年获得河海大学学士学位.主要研究方向为协作驾驶算法和无人车队.E-mail:teenie_su@139.com

    王春香上海交通大学机械与动力工程学院副教授.1999年在哈尔滨工业大学获得博士学位.主要研究方向为移动机器人, 自动驾驶及高级驾驶辅助.E-mail:wangcx@sjtu.edu.cn

    唐卫上海交通大学自动化系博士研究生.2008年在南京理工大学获得学士学位, 2011年在上海航天技术研究院获得硕士学位.主要研究方向为协作驾驶和多智能体.E-mail:tangwei_327@163.com

    王冰上海交通大学自动化系高级工程师.1997年在上海交通大学获得工学博士学位.主要研究方向为嵌入式控制, 工业自动化, 自动导引车.E-mail:bingwang@sjtu.edu.cn

    通讯作者:

    杨明上海交通大学智能车研究所主任, 自动化系教授.1999年和2003年在清华大学获得计算机科学硕士和博士学位.主要研究方向为自动驾驶, 协作驾驶, 移动机器人, 机器视觉和高精细地图.本文通信作者.E-mail:mingyang@sjtu.edu.cn

Classification and Regression Tree Based Traffic Merging for Method Self-driving Vehicles

Funds: 

National Magnetic Conflnement Fusion Energy Research Project 2012GB102002

National Natural Science Foundation of China 91420101

More Information
    Author Bio:

    Master student at Shanghai Jiao Tong University. She received her bachelor degree from HoHai University in 2014. Her research interest covers cooperative driving and autonomous platooning

    Associate professor at the School of Mechanical Engineering, Shanghai Jiao Tong University. She received her Ph. D. degree in mechanical engineering from Harbin Institute of Technology in 1999. Her research interest covers mobile robots, autonomous driving, and assistant driving

    Ph. D. candidate in the Department of Automation, Shanghai Jiao Tong University. He received his bachelor degree in automation from Nanjing University of Science and Technology in 2008 and master degree in navigation guidance and control from Shanghai Academy of Spaceflight Technology in 2011. His research interest covers cooperative driving and multi-agents system

    Senior engineer in the Department of Automation, Shanghai Jiao Tong University. He received his Ph. D. degree in mechanical engineering from Shanghai Jiao Tong University in 1997. His research interest covers embedded control, industrial automation, and automated guided vehicles

    Corresponding author: YANG Ming Director of the Research Institute of Intelligent Vehicle Technology, professor in the Department of Automation, Shanghai Jiao Tong University. He received his master and Ph. D. degrees in computer sciences from Tsinghua University in 1999 and 2003, respectively. His research interest covers autonomous driving, cooperative driving, mobile robots, machine vision, and high deflnition map. Corresponding author of this paper
  • 摘要: 决策规划是无人驾驶技术中的重要环节.由于道路结构变化或障碍物引起的车辆被动换道多采用基于逻辑规则或优化算法的决策方式.本文以通行量为优化目标,提出一种基于分类回归树(Classification and regression tree,CART)的汇流决策方法.依据交通流参数,选择大量具有代表性的车辆汇流场景.对场景中车辆的汇流决策序列进行编码,采用遗传算法搜索使得通行量最大的决策方案.将寻优获得的大量汇流决策序列作为样本,训练分类回归树.选取车辆自身信息及与周围车辆的关系等以描述环境特征,运用分类回归树描述环境特征与决策结果的映射关系,获得一种通行量最优的汇流决策方法.在软件中进行仿真实验,对比既有方法,基于分类回归树的汇流方法能够有效减少汇流行为对车流的扰动,在大流量情形下依旧能保持较高的通行效率.此外,该方法对实际实施中可能存在的环境感知误差,如定位误差,有一定的鲁棒性.
  • 随着工业技术的发展和工控系统应用的普及,工业生产控制正逐步改变着社会生产方式.工控系统的普及必然带来更高标准的工业安全需求[1],而对工控系统进行科学合理的脆弱性评估是工控系统安全运行的重要前提保障.近年来相继出现的毒区病毒、火焰病毒[2]和震网事件[3]等,充分暴露了工控系统安全性差的缺点,对其进行安全评估已经成为国际性难题.工控系统一般划分为三层架构:计划管理层、制造执行层和工业控制层,图 1显示了一个简单的工控系统图.

    图 1  工控系统图
    Fig. 1  Industrial control system

    计划管理层主要用于底层信息的汇总和分析,其与制造执行层之间主要进行的安全防护包括身份鉴别、访问控制、检测审计、链路冗余和内容检测等;制造执行层主要包括MES (Manufacturing execution system)服务器或MES数据库等,其与工业控制层之间的防护主要是避免管理层直接对工控层的访问,保证制造执行层对工业控制层的操作唯一性;工业控制层主要由OPC (OLE for process control)服务器、管理终端、PLC (Programmable logic controller)、监控终端等组成.

    目前国内外针对工控系统安全的脆弱性评估研究还处于起步阶段,由于工业系统具有复杂度高、灵活性差等特点,使得目前仍然缺少一种成熟的工控系统安全评估方法.从数学建模的角度,刘芳[4]提出了一种ISSUE (Information system security evaluation)安全评估方法,并结合安全风险概率预测技术,基于模糊多属性群体决策,将模糊数学、多属性决策和群体决策的理论运用在安全评估中.但该方法需要大量的历史数据作为理论支撑,且评估结果存在不合理的情况;周小锋等[5]提出针对ICS (Industrial control system)安全指标的分层计算模型,使用灰色数学模糊聚类方法,增加了评估准确性.但是模糊聚类方法在样本量比较大时,得到聚类结果有一定困难;从网络模型的角度,Vintr等[6]基于攻击树模型来评估防护系统的脆弱性,分析了工控系统的网络攻击空间,使用FTA (Fault tree analysis)和ATA (Accident tree analysis)来识别潜在的攻击场景,但该方法不能独立用于识别全部攻击目标; Jha等[7]对工控系统进行攻击图建模,为每个原子攻击指派成功发生的概率,利用马尔科夫模型计算攻击者达到攻击目标的可能性.但这个概率值容易受到人为因素的干扰,且该方式实现起来较复杂,使得评估结果缺乏科学性和合理性.从脆弱性指标的评价方法的角度,Sener等[8]采用层次分析法来进行地下水系统的脆弱性评估,但该方法的缺点就是评估指标过多时权重无法确定,并且使用特征值和特征向量的计算相对复杂; Stewart等[9]采用主成分分析法对多个脆弱性指标进行综合决策,但需要大量样本的支持;从国际标准的角度,美国国家标准与技术研究院 (National Institute of Standards and Technology,NIST)[10]发布了一系列指南,重点研究带有复杂网络类型的大型控制系统的深度防御架构及配置方法,包括SP800-82、NIST 7176等.美国国家标准学会 (American National Standards Institute,ANSI)制定了ISA99标准[11],从工业自动化控制系统的安全要求、编程要求、系统级技术要求和组件级技术要求四方面进行安全评估.但这些标准和指南只是提出了一些理论性的概念和知识,缺乏实际的现场可操作性.

    结合工控系统的特征和上述脆弱性研究方法的不足,本文提出了一种基于攻击图的工控系统脆弱性量化评估方法.首先,提出了两个量化评估指标:漏洞利用难度和漏洞危害性,结合实际工控系统的安全属性,如防御强度、攻击强度、物理损失、信息损失等,制定出一套比较全面的工控系统脆弱性量化指标等级划分标准.其次,利用攻击图来对工控系统的拓扑结构进行建模分析,以研究每条攻击路径的脆弱性为目标,计算攻击过程中每一步的原子攻击期望 (该值与漏洞利用难度和漏洞危害性相关) ,从而得到每条路径的总攻击期望.最后,以锅炉控制系统作为实验对象进行仿真来验证该方法的可行性.相比于刘芳[4]的评估方法,本方法更贴近实际的工业环境,将工艺方面考虑进去,而不是只分析信息安全;相比于周小锋等[5]的模糊聚类,本方法对原始数据的依赖性低,且无需大量样本数据的支撑;相比于国内外标准[10-11],本方法具有一定的可操作性;相比于Jha等[7]的方法,本方法与脆弱性标准相结合,因此得到的结果更加科学合理.

    为了对工控系统的脆弱性进行全面的量化评估,本文提出两个脆弱性量化指标:漏洞利用难度和漏洞危害性,并进行以下定义.

    定义 1. 攻击期望 (${Att_{\exp}}$):漏洞利用难度 (${Vul_{\exp}}$)和漏洞危害性 (${Vul_{\rm haz}}$)的乘积,记为

    $ Att_{\exp}=Vul_{\exp}\times Vul_{\rm haz} $

    (1)

    基于此,对不同攻击路径的攻击期望损失进行综合评价,并用最大的期望损失作为衡量整个工控系统的脆弱性参考指标.

    漏洞利用难度${Vul_{\exp}}$指利用某一漏洞来实现一次成功攻击的可能性.该指标不仅与防御强度有关,也与攻击强度相关.防御越弱,攻击越强,则漏洞被利用的难度越小.基于工控系统的层次性特点以及其中组件的特点,防御强度主要包括加密、认证、信息屏障、物理屏障,攻击强度主要包括攻击者数量、攻击者的知识水平和威胁频率.

    1.1.1   防御强度

    1) 加密:工控系统中传输数据的方式主要有明文传输和密文传输,其中密文传输又包括AES (Advanced encryption standard)加密[12]和DES (Data encryption standard)加密.加密的强度主要可以由密钥长度、破解难度和加减密时间来确定.

    2) 认证:工控系统中的组件需要经过认证来鉴别数据的安全性,主要包括数字摘要、数字签名、数字信封和数字证书四种认证方式,若在某个组件中部署的认证方式越多,则其越安全.其中数字信封由于采用双重加密技术来保证只有规定的接受者才能阅读数据,其安全性最高.

    3) 信息屏障:主要的防护技术包括防火墙、入侵检测技术和访问控制.其中防火墙又可根据防御能力分为工业防火墙和商业防火墙;入侵检测技术[13]的关键是如何从已知的数据中获得系统的正常行为或有关入侵行为的知识,可以分成模式匹配、神经网络、数据挖掘和数据融合;访问控制[14]根据管理性质和安全级别又可分为基于授权规则的自主管理访问控制 (Discretionary access control,DAC)、基于安全级的集中管理强制访问控制 (Mandatory access control,MAC)和基于授权规则的集中管理角色访问控制 (Role-based access control,RBAC).

    4) 物理屏障:主要指采取的物理防御手段,包括对外接口数量、组件所处位置、防静电、防火、防雷等.

    1.1.2   攻击强度

    1) 攻击者数量:对某一漏洞利用的人越多,则脆弱性越高.本文参考NIST 7176标准,将攻击者数量分为三个等级:小于100、100~300和大于300.

    2) 攻击者知识水平:经验丰富的攻击者显然比首次参与攻击的初学者具有更高的攻击成功概率,据此将知识水平按表 1进行分级.

    表 1  攻击者知识水平
    Table 1  Knowledge of attackers
    标识 定义
    攻击者对工控系统的运行方式、安全策略和网络拓扑不太熟悉
    攻击者对工控系统的运行方式、安全策略和网络拓扑比较熟悉
    攻击者对工控系统的运行方式、安全策略和网络拓扑非常熟悉
    下载: 导出CSV 
    | 显示表格

    3) 威胁频率:参考《集散控制系统安全评估指南》中对威胁频率的赋值,如表 2所示.

    表 2  威胁分级
    Table 2  Classification of threats
    标识 定义
    威胁几乎不可能发生
    出现的频率中等 (或${\geq}$ 1次/半年)
    出现的频率较高 (或${\geq}$ 1次/月)
    很高 出现的频率很高 (或${\geq}$ 1次/周)
    下载: 导出CSV 
    | 显示表格

    漏洞危害性${Vul_{\rm haz}}$指攻击者利用漏洞对工控系统造成的损失,包括物理损失和信息损失两方面.物理损失与组件相关,组件在整个工控系统中所占的比例或者重要度越大,则可能的物理损失越高;信息损失参考CVSS (Common vulnerability scoring system)标准[15],从信息机密性、信息完整性和信息可用性来衡量一个漏洞的危害性.

    1.2.1   物理损失

    工控系统中每个组件根据其扮演的角色不同,具有不同的价值量.例如,一台数据库服务器具有的价值量要比一般的主机具有的价值量高,因为一旦数据库服务器被攻击者控制,许多重要信息将会被泄露、修改或删除.在工控系统中根据组件所处的位置分为上位机和下位机,其中上位机包括用户机、SCADA (Supervisory control and data acquisition)服务器、工程师站、操作员站、WWW (World wide web)服务站、 MES服务器/数据库和OPC服务器/数据库;下位机分为远程终端单元RTU (Remote terminal unit)、可编程逻辑控制器PLC和可编程自动化控制器PAC (Programmable automation controller).各个组件价值量的分级参考《集散控制系统安全评估指南》,如表 3所示.

    表 3  组件价值量分级
    Table 3  Classification of component value
    标识 定义
    如果被利用, 对工控系统产生较小影响
    如果被利用, 对工控系统产生一般影响
    如果被利用, 对工控系统产生严重影响
    下载: 导出CSV 
    | 显示表格
    1.2.2   信息损失

    工控系统组件之间传输的数据或指令的正确性对于整个系统的正常运行起着十分重要的作用,因此利用漏洞来对这些重要信息进行攻击便成为攻击者的一大目标.信息的损失主要体现在机密性、完整性和可用性上.

    1) 机密性:要求信息免受非授权的披露,不被泄露和窃取,涉及到对数据和程序文件读取的控制;

    2) 完整性:要求信息必须是正确和完全的,而且能够免受非授权、意料之外或无意的更改,还要求程序的更改要在特定或授权状态下进行;

    3) 可用性:要求信息在需要时能够及时获得以满足需求,确保用户不受干扰的获得相关系统信息和资源.

    漏洞被利用后对信息的三种属性的影响分级,如表 4所示.

    表 4  三种属性影响分级
    Table 4  Classification of three properties
    标识 定义
    漏洞被利用后最多一种属性被破坏
    漏洞被利用后两种属性被破坏
    漏洞被利用全部属性都被破坏
    下载: 导出CSV 
    | 显示表格

    综合漏洞利用难度和漏洞危害性中对各个因素的分级,参考国内外脆弱性标准来对所有因素进行赋值打分,如表 5表 6所示 (假定各影响因素都采用一种等级).

    表 5  漏洞利用难度打分
    Table 5  Scoring of ${Vul_{\exp}}$
    影响因素 等价细分 打分 说明
    加密 无/DES/AES 1/2/3 AES密钥更长且破解更困难,因此安全性最高
    认证 数字摘要/数字证书/数字签名/数字信封 1/2/3/4 数字签名采用双重加密技术,安全性最高; 数字摘要实现最简单, 安全性最低
    防火墙 商业防火墙/工业防火墙 1/2 工业防火墙设置的过滤规则更多更复杂, 故安全性更高
    入侵检测技术 模式匹配/神经网络/数据挖掘/数据融合 1/2/3/4 模式匹配只能检测已知攻击,而数据融合不仅可以检测已知攻击,还可以预估未知攻击
    访问控制 DAC/MAC/RBAC 1/2/3 RBAC 在灵活性和控制细节上更有优势
    对外接口数量 >5 个/< 5 个 1/2 接口数量越多, 为攻击者提供的攻击入口就越多
    防静电、防火、防雷 最多采用一种/采用两种/采用三种 1/2/3 采用的物理防护措施越多, 攻击者越难进行攻击
    攻击者数量 > 300=100»300= < 100 1/2/3 攻击者数量越多, 系统安全性越低
    攻击者知识水平 高/中/低 1/2/3 表 1
    威胁频率 很高/高/中/低 1/2/3/4 表 2
    下载: 导出CSV 
    | 显示表格
    表 6  漏洞危害性打分
    Table 6  Scoring of ${Vul_{\rm haz}}$
    影响因素 等价细分 打分 说明
    SCADA 服务器 3 使整个控制系统和管理者的台式机能随时使用来自SCADA 远程终端的重要信息
    工程师站 2 既安装STEP 7 编程组态软件, 又安装WinCC 监控操作组态软件
    操作员站 1 仅需安装WinCC 监控操作组态软件
    用户机 1 存放传输给管理层的数据
    WEB 服务站 1 提供WEB 服务的功能, 在某些工控系统中不是必需的
    MES 服务器/数据库 3 存放制造执行层的重要数据
    OPC 服务器/数据库 3 存放下位机采集的原始现场数据和上位机传来的指令
    RTU 3 主要进行数据采集和本地控制, 与传输可靠性、主机负担等相关
    PLC 3 主要进行过程控制、信息控制和远程控制, 是重要的下位机
    PAC 1 作为开放型的自动化控制设备, 其应用在工控系统中并不常见
    信息属性 小/中/大 1/2/3 表 4
    下载: 导出CSV 
    | 显示表格

    对某对象进行评价时,如果仅从单一指标的角度,评价结果存在片面性,因此往往需要将反映被评价对象的多项指标加以汇聚,得到一个综合指标来从整体上反映被评价对象的整体情况,即多指标综合评价方法.

    目前存在的综合评价方法包括层次分析法、主成分分析法、TOPSIS (Technique for order preference by similarity to ideal solution)法[16]和灰色关联度分析法[17]等.其中灰色关联度分析法具有计算简单、数据不必进行归一化、无需大量样本和无需经典的分布规律等特点,因此本文采用该方法来对多指标进行综合评价.

    灰色关联度分析法的基本原理为:从样本中确定一个理想化的最优样本,以此为参考数列,通过计算各样本序列与参考序列的关联度,对被评价对象做出综合比较和排序.

    设有$n$个被评价对象,每个被评价对象有$p$个评价指标,则第$i$个对象描述为

    $ {x_i} = {({x_{i1},x_{i2},\cdots,x_{ip}})} $

    具体步骤如下:

    1) 确定参考序列.在$n$个被评价对象中选出各项指标的最优值组成参考序列${x_{0}}$

    $ {x_0} = {({x_{01},x_{02},\cdots,x_{0p}})} $

    2) 计算两极最大差${\triangle _{\rm max}}$和最小差${\triangle _{\rm min}}$.计算被评价对象序列与最优参考序列间的绝对差列${\triangle _{ij}}$

    $ {{\vartriangle }_{ij}}=|{{x}_{ij}}-{{x}_{0j}}|,i=1,2,\cdots ,n,\ j=1,2,\cdots ,p $

    (2)

    在此基础上,根据

    $ {{\vartriangle }_{\max }}=\underset{1\le i\le n}{\mathop{\max }}\,\underset{1\le j\le p}{\mathop{\max }}\,({{\vartriangle }_{ij}}) $

    (3)

    $ {{\vartriangle }_{\min }}=\underset{1\le i\le n}{\mathop{\min }}\,\underset{1\le j\le p}{\mathop{\min }}\,({{\vartriangle }_{ij}}) $

    (4)

    3) 计算关联系数.计算第$i$个评价对象的第$j$个指标与最优参考序列间的关联系数${\delta _{ij}}$

    $ {\delta _{ij}} = \frac{{\triangle _{\min}+\rho\triangle _{\max}}}{{\triangle _{ij}+\rho\triangle _{\max}}} $

    (5)

    其中,${\rho}$为分辨系数,用以削弱${\triangle _{\max}}$过大而使关联系数失真的影响.

    4) 计算关联度.各评价对象与参考序列间的关联关系用关联度${\Upsilon_{0i}}$表示

    $ {\Upsilon_{0i}} = \frac{{1}}{{p}}\sum\limits_{k= 1}^p{\delta _{ij},\quad i = 1,2,\cdots,n} $

    (6)

    若各指标权重不同,则式 (6)表示为

    $ {\Upsilon_{0i}} = \frac{{1}}{{p}}\sum\limits_{k= 1}^p{W_k\times\delta _{ij},\quad i = 1,2,\cdots,n} $

    (7)

    其中,${W_k}$为权重,${W_k}\in (0,1)$.

    关联系数和关联度能够把影响工控系统脆弱性的各个指标进行多属性决策,采用一个综合量化值来替代多个指标量化值,使得量化结果没有片面性,同时能够从整体上反映脆弱性的大小,关联度越大,则对应的系统脆弱性也越大.

    攻击图作为一种描述攻击者从攻击起点到攻击目标的所有可视化路径的方法,已经成为分析系统脆弱性的主流评估模型.攻击图$G$可以表示为$G=\langle V,E\rangle$,其中$V$为图中节点的集合,$E$为节点之间链路的集合.透过攻击图可以很明确的得到从某一节点到目标节点的所有潜在攻击路径.

    本文采用广度优先算法[18]来生成攻击图,并将该算法与量化指标相结合,生成攻击图的同时计算每一步的原子攻击期望.广度优先算法一般用于求解最优值的问题,而且相比于深度优先算法,它可以控制队列的长度,不容易产生堆栈溢出等问题.算法基本步骤为:

    步骤1. 根据工控系统的拓扑和组件相关信息建立参数向量;

    步骤2. 确定工控系统的初始状态,加入状态队列;

    步骤3. 执行循环:当状态队列不为空,则从队列中取出一个节点作为当前节点,并生成该节点可能进行的所有状态转移,得到新的状态节点,如果该节点为新,则加入队列,并计算实现状态转移时的攻击期望,更新攻击图节点和边的信息;

    步骤4. 重复执行步骤3,直到队列为空.

    在生成攻击图前,需要收集系统的拓扑信息以及其中组件的相关脆弱性信息,以此作为该算法的输入,输出为潜在的攻击路径和每条攻击路径的原子攻击期望.

    以真实的锅炉控制系统[19]作为实验背景,参考锅炉工艺流程和SCADA系统的一般架构,模拟攻击者通过外网攻击用户并逐步入侵工控系统的过程.实验拓扑如图 2.

    图 2  实验拓扑图
    Fig. 2  Topology of experiment

    图 2可知,该系统一共包含6个组件,每个组件上的漏洞信息如表 7所示.

    表 7  组件漏洞信息
    Table 7  Information of component vulnerability
    编号 组件 漏洞
    IP0 用户机 CVE-1999-0917
    IP1 工程师站 CVE-2013-5056
    IP2 SCADA服务器 CVE-2013-3175
    IP3 操作员站 CVE-2013-3957
    IP4 某品牌PLC CVE-2013-0659
    IP5 某品牌PLC CVE-2013-0675
    下载: 导出CSV 
    | 显示表格

    参考表 5,对各个漏洞的利用难度进行具体的赋值打分,结果如表 8所示.

    表 8  漏洞利用难度量化值
    Table 8  Values of ${Vul_{\exp}}$
    编号 漏洞 加密 认证 防火墙 入侵检测 访问控制 接口数量 防静电、雷、火 攻击者数量 知识水平 威胁频率
    1 CVE-1999-0917 1 2 1 1 2 2 1 1 1 1
    2 CVE-2013-5056 1 3 2 3 2 1 2 1 1 1
    3 CVE-2013-3175 3 4 2 4 3 1 3 2 2 2
    4 CVE-2013-3957 1 3 2 4 3 2 2 1 2 1
    5 CVE-2013-0659 2 2 2 3 3 1 2 2 3 3
    6 CVE-2013-0675 2 3 2 2 2 2 3 2 3 4
    下载: 导出CSV 
    | 显示表格

    之后根据灰色关联度分析法对上述指标进行综合评价,其中$n$为6,$p$为10.参考序列${x_0}$为

    $ {{x}_{0}}=(3,4,2,4,3,2,3,2,3,4) $

    最大差${\triangle _{\rm max}}$和最小差${\triangle _{\rm min}}$分别为

    $ {\triangle _{\rm max}} = {3} $

    $ {\triangle _{\rm min}} = {0} $

    根据式 (5) ,并取${\rho}=0.5$,则漏洞CVE-1999-0917加密的关联系数为 ${\delta _{1j}} = {0.6}$.

    同理可以得到其他漏洞的关联系数.根据各个指标的不同取不同的权重系数,表 8中的各个指标依次对应权重为(0.2,0.05,0.1,0.05,0.15,0.2,0.05,0.05,0.05,0.1).之后根据式 (7)可以求得各个漏洞的利用难度关联度,如表 9所示.

    表 9  各个漏洞的利用难度关联度
    Table 9  Degree of ${Vul_{\exp}}$ for various vulnerabilities
    编号 1 2 3 4 5 6
    $\Upsilon $ 0.053 0.052 0.041 0.046 0.043 0.039
    下载: 导出CSV 
    | 显示表格

    参考表 6,对漏洞危害的因素进行赋值打分,如表 10所示.

    表 10  漏洞危害性量化值
    Table 10  Values of ${Vul_{\rm haz}}$
    漏洞 物理损失 信息损失
    CVE-1999-0917 1 1
    CVE-2013-5056 2 2
    CVE-2013-3175 3 3
    CVE-2013-3957 1 2
    CVE-2013-0659 3 2
    CVE-2013-0675 3 3
    下载: 导出CSV 
    | 显示表格

    同样采用灰色关联度分析法,取对应权重分别为0.7和0.3,可以得到漏洞危害性的关联度,如表 11所示.

    表 11  漏洞危害性关联度
    Table 11  Degree of ${Vul_{\rm haz}}$ for various vulnerabilities
    编号 1 2 3 4 5 6
    $\Upsilon $ 0.25 0.165 0.125 0.225 0.137 0.125
    下载: 导出CSV 
    | 显示表格

    在计算得到漏洞利用难度和漏洞危害性的量化值后,根据式 (1)可以计算每个漏洞的攻击期望,如表 12所示.

    表 12  漏洞攻击期望
    Table 12  ${Att_{\exp}}$ for various vulnerabilities
    编号 1 2 3 4 5 6
    ${Att_{\exp}}$ 0.013 0.009 0.005 0.010 0.006 0.005
    下载: 导出CSV 
    | 显示表格

    之后结合图 2的拓扑结构和攻击图生成算法,采用Graphviz软件对攻击图进行输出,如图 3所示.

    图 3  攻击图
    Fig. 3  Attack graph

    图 3中,深色椭圆表示攻击者,椭圆内的数字表示漏洞编号,边上的信息包括可利用的漏洞以及对应的漏洞攻击期望.由此可以计算出每条攻击路径的总攻击期望,定义为攻击路径上各个漏洞攻击期望之和,结果如表 13所示.

    表 13  各条路径的总攻击期望
    Table 13  ${Att_{\rm exp}}$ for various paths
    序号 路径 总攻击期望
    1 IP0 ${\rightarrow}$ IP1 ${\rightarrow}$ IP2 ${\rightarrow}$ IP4 0.033
    2 IP0 ${\rightarrow}$ IP1 ${\rightarrow}$ IP2 ${\rightarrow}$ IP5 0.032
    3 IP0 ${\rightarrow}$ IP3 ${\rightarrow}$ IP2 ${\rightarrow}$ IP4 0.034
    4 IP0 ${\rightarrow}$ IP3 ${\rightarrow}$ IP2 ${\rightarrow}$ IP5 0.033
    下载: 导出CSV 
    | 显示表格

    表 13可知,同处于下位机的PLC (IP4)比IP5的重要性更高,攻击IP4能获得更大的收益,虽然IP4的利用难度大于IP5,但其被利用后的危害性更大,这也证明单凭一个指标不能对各个组件的脆弱性进行比较,否则得到的结果正确性不高;操作员站和工程师站的重要性不同,在本案例中操作员站IP3比工程师站IP1重要,主要的影响因素是利用的危害性 (利用难度相差不多);此外漏洞CVE-1999-0917的利用价值最大,为0.013,漏洞CVE-2013-0675和CVE-2013-3175的利用价值最小,为0.005,这表明越上层的组件越重要,因为底层的组件被利用后仅仅这一个组件被控制,造成的损失可能是一台PLC的爆炸或崩溃,但若上层的组件被控制,再加上工控系统的组件采用分布控制、集中管理,则可以通过一台上位机向多个底层组件发送错误指令或数据,导致大量的组件爆炸或崩溃,造成的危害更大.

    工控系统的安全问题正受到越来越多人的关注,对其进行安全评估刻不容缓.本文在系统地研究工控系统存在的各类脆弱性后,提出了漏洞利用难度和漏洞危害性两个量化评估指标.根据实际工控系统中的工艺流程,结合攻防强度、物理损失和信息损失等方面制定出一套较全面的漏洞等级划分标准,使该标准更贴近工业环境.同时,根据广度优先算法生成攻击图来对工控系统进行建模,最后以实际的锅炉控制系统为背景进行了实验模拟和仿真分析,得到了总攻击期望最大的路径.实验结果表明,该方法综合了工控系统中潜在的安全威胁,考虑了影响脆弱性的各个方面,由此得到的评估结果更加科学合理.


  • 本文责任编委 张毅
  • 图  1  汇流场景

    Fig.  1  Merging scenario

    图  2  汇流决策时间序

    Fig.  2  Merging decision sequence

    图  3  环境特征描述示例

    Fig.  3  Environment feature description

    图  4  分类决策树结构

    Fig.  4  Classification and regression tree

    图  5  SUMO仿真环境

    Fig.  5  SUMO simulation environment

    图  6  平均流量1 400 veh/h下游平均流量

    Fig.  6  1 400 veh/h, mean flow

    图  7  平均流量2 600 veh/h下游平均流量

    Fig.  7  600 veh/h, mean flow

    图  8  汇流点上游平均速度

    Fig.  8  Mean velocity of upstream

    图  9  平均流量1 400 veh/h定位误差对汇流效果影响

    Fig.  9  Influence of positioning error on merging efficiency, mean flow 1 400 veh/h

    图  10  平均流量2 600 veh/h定位误差对汇流效果影响

    Fig.  10  Influence of positioning error on merging efficiency, mean flow 2 600 veh/h

    表  1  环境特征变量描述

    Table  1  Environment feature description

    变量(Var) 描述
    ${D(i)}$ 汇流车辆距离瓶颈点的距离
    ${V(i)}$ 汇流车辆车速
    ${X(i-1)}$ 汇流车辆与本车道中前车的纵向距离
    ${TTC(i-1)}$ 汇流车辆与本车道中前车的预估碰撞时间
    ${X(k-1)}$ 汇流车辆与汇入车道中前车的纵向距离
    ${TTC(k-1)}$ 汇流车辆与汇入车道中前车的预估碰撞时间
    ${X(k)}$ 汇入车道中后车与汇流车辆的纵向距离
    ${TTC(k)}$ 汇入车道中后车与汇流车辆的预估碰撞时间
    下载: 导出CSV

    表  2  平均等待时间比较

    Table  2  Mean waiting time comparison

    汇流方案 到达过程 平均流量 最长等待时间 平均等待时间
    (veh/h) (s) (s)
    CART Poisson 1 200 0 0
    CART Poisson 1 800 0 0
    CART Poisson 2 400 1.1 0.02
    CART Constant 1 800 0 0
    CART Constant 2 400 1.4 0.021
    PV Poisson 1 200 88.3 20.5
    PV Poisson 1 800 203.2 119.9
    PV Poisson 2 400 554.8 345.1
    PV Constant 1 800 176.6 60.7
    PV Constant 2 400 198.4 101.3
    OMS Poisson 1 200 0 0
    OMS Poisson 1 800 0 0
    OMS Poisson 2 400 0.63 0.01
    OMS Constant 1 800 0 0
    OMS Constant 2 400 0.84 0.01
    下载: 导出CSV
  • [1] Kerner B S. Experimental features of self-organization in traffic flow. Physical Review Letters, 1998, 81(17):3797-3800 doi: 10.1103/PhysRevLett.81.3797
    [2] Krauß S. Microscopic Modeling of Traffic Flow:Investigation of Collision Free Vehicle Dynamics[Ph.D. dissertation], University of Cologne, Germany, 1998
    [3] Cao W J, Muka M, Kawabe T, Nishira H, Fujiki N. Merging trajectory generation for vehicle on a motor way using receding horizon control framework consideration of its applications. In:Proceedings of the 2014 IEEE Conference on Control Applications (CCA). Juan Les Antibes, France:IEEE, 2014. 2127-2134
    [4] Marinescu D, Čurn J, Bouroche M, Cahill V. On-ramp traffic merging using cooperative intelligent vehicles:a slot-based approach. In:Proceedings of the 15th International IEEE Conference on Intelligent Transportation Systems (ITSC). Anchorage, AK, USA:IEEE, 2012. 900-906
    [5] Rios-Torres J, Malikopoulos A, Pisu P. Online optimal control of connected vehicles for efficient traffic flow at merging roads. In:Proceedings of the 18th International Conference on Intelligent Transportation Systems (ITSC). Las Palmas, Spain:IEEE, 2015. 2432-2437
    [6] Awal T, Kulik L, Ramamohanrao K. Optimal traffic merging strategy for communication-and sensor-enabled vehicles. In:Proceedings of the 16th International IEEE Conference on Published of the Intelligent Transportation Systems-(ITSC). The Hague, Netherlands:IEEE, 2013.
    [7] Wang Z Y, Kulik L, Ramamohanarao K. Proactive traffic merging strategies for sensor-enabled cars. In:Proceedings of the 4th ACM International Workshop on Vehicular Ad Hoc Networks. New York, NY, USA:ACM, 2007. 39-48
    [8] 陈思曼, 孟宪实, 马钧.匝道口智能车合流避撞模型及仿真研究.农业装备与车辆工程, 2016, 54(2):44-50 http://mall.cnki.net/magazine/Article/SDLG201602026.htm

    Chen Si-Man, Meng Xian-Shi, Ma Jun. Study on the model and simulation for confluence avoidance at ramp intersection. Agricultural Equipment and Vehicle Engineering, 2016, 54(2):44-50 http://mall.cnki.net/magazine/Article/SDLG201602026.htm
    [9] Kita H. A merging-giveway interaction model of cars in a merging section:a game theoretic analysis. Transportation Research Part A:Policy and Practice, 1999, 33(3-4):305-312 doi: 10.1016/S0965-8564(98)00039-1
    [10] Li L, Wen D, Yao D Y. A survey of traffic control with vehicular communications. IEEE Transactions on Intelligent Transportation Systems, 2014, 15(1):425-432 doi: 10.1109/TITS.2013.2277737
    [11] Li L, Wang F Y, Zhang Y. Cooperative driving at lane closures. In:Proceedings of the 2007 IEEE Intelligent Vehicles Symposium. Istanbul, Turkey:IEEE, 2007. 1156-1161
    [12] Li L, Wang F Y. Cooperative driving at blind crossings using intervehicle communication. IEEE Transactions on Vehicular Technology, 2006, 55(6):1712-1724 doi: 10.1109/TVT.2006.878730
    [13] Weng J X, Xue S, Yan X D. Modeling vehicle merging behavior in work zone merging areas during the merging implementation period. IEEE Transactions on Intelligent Transportation Systems, 2016, 17(4):917-925 doi: 10.1109/TITS.2015.2477335
    [14] Brindle A. Genetic Algorithms for Function Optimization[Ph.D. dissertation], University of Alberta, Canada, 1981.
    [15] Pei Y L, Dai L L. Study on intelligent lane merge control system for freeway work zones. In:Proceedings of the 2007 Intelligent Transportation Systems Conference. Seattle, WA, USA:IEEE, 2007. 586-591
    [16] Wegener A, Piórkowski M, Raya M, Hellbrück H, Fischer S, Hubaux J P. TraCI:an interface for coupling road traffic and network simulators. In:Proceedings of the 11th Communications and Networking Simulation Symposium. New York, NY, USA:ACM, 2008. 155-163
    [17] Batista G E A P A, Prati R C, Monard M C. A study of the behavior of several methods for balancing machine learning training data. ACM Sigkdd Explorations Newsletter, 2004, 6(1):20-29 doi: 10.1145/1007730
  • 期刊类型引用(6)

    1. 谢玲玲,陆柳,刘斌. 基于改进粒子群算法的并网逆变器分数阶PI~λD~μ控制研究. 电测与仪表. 2022(06): 172-180 . 百度学术
    2. 刘志坚,刘杰,李鹏程,自超,梁宁. 基于虚拟电阻的双馈风机次同步振荡分数阶PI控制. 电力工程技术. 2022(05): 12-20 . 百度学术
    3. 戚壮,张文莲,王美琪,刘鹏飞,刘永强. 分数阶PID扭矩控制在边驱耦合轻轨车辆的应用研究. 自动化学报. 2020(03): 482-494 . 本站查看
    4. 刘勇智,万宸旭,李杰,鄯成龙. 改进FOC的三级式发电机多参数调压策略. 空军工程大学学报(自然科学版). 2020(03): 6-11 . 百度学术
    5. 何宇,漆汉宏,罗琦,邓超,陈洪涛. 基于分数阶滤波器的三相锁相环技术. 电工技术学报. 2019(12): 2572-2583 . 百度学术
    6. 聂卓赟,朱海燕,刘建聪,刘瑞娟,郑义民. 基于理想Bode传递函数的分数阶PID频域设计方法及其应用. 控制与决策. 2019(10): 2198-2202 . 百度学术

    其他类型引用(6)

  • 加载中
  • 图(10) / 表(2)
    计量
    • 文章访问数:  3055
    • HTML全文浏览量:  538
    • PDF下载量:  976
    • 被引次数: 12
    出版历程
    • 收稿日期:  2016-06-12
    • 录用日期:  2016-11-23
    • 刊出日期:  2018-01-01

    目录

    /

    返回文章
    返回