0 引言
煤矿企业工业控制系统(Industrial Control System,ICS)发生的入侵事件逐年增加,准确地检测入侵是煤矿企业ICS安全运行的重要前提和保障[1-3]。Ru Yeqi等[4]通过攻击树模型模拟攻击进程,得出攻击进程中的入侵概率,但未考虑防御因素的影响;Chen Ying等[5]提出了一种基于马尔科夫决策过程模型的ICS入侵检测算法,但存在模型构建复杂的缺点。攻防树模型由攻击树模型和防御树模型改进而来[6-7],具有实现简单的特点。因此,本文提出了一种基于攻防树模型的煤矿企业ICS入侵检测算法,该算法从攻击进程和防御体系2个方面来考虑,能提高入侵检测的准确性。
1 攻防树模型
攻防树模型中包含根节点、中间节点、攻击叶节点和防御叶节点4类节点[8]。该模型分为攻击进程和防御体系2个部分:攻击进程是利用逻辑门的“或”门和“与”门进行连接,“与”表示同层攻击叶节点或中间节点必须全部被攻破才能向根节点移动1层,“或”表示同层攻击叶节点或中间节点中只要有1个攻击叶节点或中间节点被攻破,便可向根节点移动1层;防御体系是指当攻击叶节点被攻击时,对应的防御叶节点采取相应的解决对策。
2 基于攻防树模型的ICS入侵检测算法
基于攻防树模型的ICS入侵检测算法流程如图1所示。
2.1 攻击进程
2.1.1 攻击叶节点攻击属性指标体系
常见的攻击属性[9]主要分为攻击者水平、攻击被检测到的概率和攻击频率。
(1) 攻击者水平。攻击者水平的高低取决于攻击者窃取ICS权限的大小,被窃取的权限越大,说明攻击者水平越高。参考文献[10]中的评判标准,被窃取的权限从小到大依次为无权限、非授权访问权限、普通用户权限、管理员权限和超级管理员权限5个级别,分别对应攻击者水平很低、低、一般、高、很高5个等级。
图1 基于攻防树模型的ICS入侵检测算法流程
Fig.1 Flow of ICS intrusion detection algorithm
based on attack-defense tree model
(2) 攻击被检测到的概率。攻击被检测到的概率与ICS中部署的防护措施(如防火墙等)有关。工业防火墙技术由数据包过滤技术、状态包检测技术、代理服务技术和应用网管技术组成。当攻击分别被4,3,2,1种技术检测出来或没有被任何一种技术检测出来时,攻击被检测到的概率分别设定为很容易、容易、一般、难、很难。
(3) 攻击频率。参考文献[11]中的评判标准,当攻击者对ICS发动攻击次数分别为平均每周、每月、每半年、每年至少1次或攻击者1 a都未对ICS发动攻击,攻击频率分别设定为很高、高、一般、低、很低。
依据3种常见的攻击属性并结合德尔菲法[12],得出量化的攻击叶节点攻击属性。其指标体系见表1。
2.1.2 攻击叶节点被攻击概率
采用多属性效用理论将攻击叶节点攻击属性转换为效用值,则攻击叶节点N被攻击概率为
P(N)=wzU(z)+wdU(d)+wrU(r)
(1)
式中:wz,wd,wr分别为攻击者水平、攻击被检测到的概率和攻击频率3种攻击属性的加权系数,wz+wd+wr=1[4];U(z),U(d),U(r)分别为3种攻击属性的效用值;z为攻击攻击叶节点N的攻击者水>平;d为攻击攻击叶节点N被检测到的概率;r为攻击叶节点N被攻击次数。
表1 攻击叶节点攻击属性指标体系
Table 1 Attack attribute index system of attack leaf node
2.1.3 攻击路径的入侵成功率
攻击路径是指向根节点攻击进程中一系列攻击叶节点N1,N2,…,Nn的有序集合,攻击路径的入侵成功率为
Psuc=P(N1)P(N2)…P(Nn)
(2)
式中P(N1),P(N2),P(Nn)分别为攻击叶节点N1,N2,…,Nn被攻击的概率。
2.1.4 攻击路径的入侵回报率
入侵回报率可表示为
(3)
式中:Rq(q=1,2,…,m,m为攻击路径数量)为入侵收益,即攻击者通过攻击ICS获得的收益,本文设定每条攻击路径的入侵收益为1;Cq为入侵成本,即发动1次入侵所需成本,不同入侵类型[10]的入侵成本见表2。
表2 不同入侵类型的入侵成本
Table 2 Intrusion cost of different intrusion types
2.1.5 攻击路径的入侵概率
根据式(2)和式(3),可得攻击路径的入侵概率为
Patt=PsucPret
(4)
2.2 防御体系
当ICS受到攻击或存在潜在威胁时,ICS会做出相应的防御措施,分为被动防御和主动防御。
2.2.1 被动防御概率
被动防御是指当攻击者破解ICS中漏洞时,根据防御者收集的信息进行及时修补。被动防御概率为
Ppass=αDP(IA)
(5)
式中:αD为防御者动作,αD=0时未采取动作,αD=1时采取动作;P(IA)为入侵报警率。
P(IA)=
(6)
式中:I,A分别为入侵事件和报警事件;P(I)为发生入侵事件的概率;P(AI)为发生入侵事件时发生报警事件的条件概率;
为未发生入侵事件的概率,
为误报率,即未发生入侵事件时发生报警事件的概率;
为漏报率,即发生入侵事件时未发生报警事件的概率。
2.2.2 主动防御概率
主动防御就是在入侵行为对ICS发生影响之前,能够及时精准预警。主动防御概率为
Pact=PIPII
(7)
式中PΙ,PΙΙ分别为漏洞发现率和漏洞修复率。
(8)
PΙΙ=αDexp(PΔt)
(9)
式中:Hv为ICS中存在的漏洞数;Hj为攻击者发现的漏洞数;Hcv为公共漏洞数;PΔt为防御者在Δt时间内修复漏洞的概率。
2.3 攻击路径最终入侵概率
攻击路径最终入侵概率[13]为
Pfin=Patt+Pact+Ppass
(10)
3 案例分析
根据某煤矿企业ICS构建攻防树模型,如图2所示,其中节点属性见表3。
对攻击叶节点的攻击属性进行量化和归一化处理(设加权系数wz=0.6,wd=0.3,wr=0.1),得出攻击叶节点攻击属性指标体系和被攻击概率,见表4。
依据表4和式(2)—式(4)可计算出攻击路径的入侵成功率、入侵回报率、入侵概率,见表5。
煤矿企业ICS近3 000条报警事件中,误报事件54件,漏报事件421件,通过式(5)、式(6)得出被动防御概率,见表6。
图2 煤矿企业ICS攻防树模型
Fig.2 Attack-defense tree model of coal mine enterprise ICS
表3 节点属性
Table 3 Node attribute
依据煤矿企业ICS实际情况,设定Hv=200,Hj=30,Hcv=6 787,PΔt=0.004。将数据代入式(7)—式(9),可得主动防御概率Pact≈0.044。
根据式(10),得出攻击路径最终入侵概率,见表7。
将表7数据用曲线形式表示,并与文献[4]中基于攻击树模型的入侵检测算法得到的入侵概率和实际的入侵概率进行对比,如图3所示。可看出本文算法更接近实际的入侵概率,与文献[4]算法相比,提高了入侵检测准确性。
表4 攻击叶节点攻击属性指标体系和被攻击概率
Table 4 Attack attribute index system and being attacked
probability of attack leaf node
表5 攻击路径的入侵成功率、入侵回报率和入侵概率
Table 5 Intrusion success rate, intrusion return rate and
intrusion probability of attack path
表6 被动防御概率
Table 6 Passive defense probability
4 结语
提出了一种基于攻防树模型的煤矿企业ICS入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击的概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。结果表明,该算法能有效检测煤矿企业ICS入侵概率,具有较高的准确性。
表7 攻击路径最终入侵概率
Table 7 Final intrusion probability of attack path
图3 不同算法下入侵概率对比
Fig.3 Comparison of intrusion probability under different algorithms
参考文献:
[1] 潘瑜.基于网络的煤矿信息系统安全研究[J].工矿自动化,2005,31(4):28-31.
PAN Yu.The security study of coal mine information system based on computer network[J].Industry and Mine Automation,2005,31(4):28-31.
[2] 彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012,52(10):1396-1408.
PENG Yong,JIANG Changqing,XIE Feng,et al.Industrial control system cybersecurity research[J].Journal of Tsinghua University(Science and Technology),2012,52(10):1396-1408.
[3] CHERDANTSEVA Y,BURNAP P,BLYTH A,et al.A review of cyber security risk assessment methods for SCADA systems[J].Computers & Security,2016,56:1-27.
[4] RU Yeqi,WANG Yufei,LI June,et al.Risk assessment of cyber attacks in ECPS based on attack tree and AHP[C]//The 12th International Conference on Natural Computation,Fuzzy Systems and Knowledge Discovery,Changsha,2016:465-470.
[5] CHEN Ying,HONG J,LIU C C.Modeling of intrusion and defense for assessment of cyber security at power substations[J].IEEE Transactions on Smart Grid,2018,9(4):2541-2552.
[6] KORDY B,PIETRE L,SCHWEITZER P.DAG-based attack and defense modeling:don't miss the forest for the attack trees[J].Computer Science Review,2014,13/14:1-38.
[7] ARGHAVANI A,ARGHAVANI M,AHMADI M,et al.Attacker-manager game tree (AMGT):a new framework for visualizing and analysing the interactions between attacker and network security manager[J].Computer Networks,2018,133:42-58.
[8] 付钰,俞艺涵,陈永强,等.基于攻防行为树的网络安全态势分析[J].工程科学与技术,2017,49(2):115-120.
FU Yu,YU Yihan,CHEN Yongqiang,et al.Network security analysis situation on attack-defense behavior tree[J].Advanced Engineering Science,2017,49(2):115-120.
[9] 黄家辉,冯冬芹,王虹鉴.基于攻击图的工控系统脆弱性量化方法[J].自动化学报,2016,42(5):792-798.
HUANG Jiahui,FENG Dongqin,WANG Hongjian.A method for quantifying vulnerability of industrial control system based on attack graph[J].Acta Automatica Sinica,2016,42(5):792-798.
[10] 姜伟,方滨兴,田志宏,等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(4):817-827.
JIANG Wei,FANG Binxing,TIAN Zhihong,et al.Evaluating network security and optimal activedefense based on attack-defense game model[J].Chinese Journal of Computers,2009,32(4):817-827.
[11] GB/T 33009.3—2016工业自动化和控制系统网络安全集散控制系统(DCS) 第3部分:评估指南[S].
[12] OKOLI C,PAWLOWSKI S D.The Delphi method as a research tool:an example,design considerations and applications[J].Information & Management,2004,42(1):15-29.
[13] 刘菲菲.流程工业数据驱动报警分析[D].北京:北京化工大学,2015.