一种核电厂安全级数字化仪控系统脆弱性分析方法与流程

本发明涉及核电站安全级系统网络安全技术领域，尤其涉及一种核电厂安全级数字化仪控系统脆弱性分析方法。

背景技术：

随着信息电子和网络技术的不断发展，传统工业正朝着自动化、信息化方向发展，工业控制网络在加快生产速度、管理生产过程、提高加工效率以及保证生产安全等多方面发挥着越来越重要的作用。传统工控企业在享受信息、管理便捷的同时也不同程度遭受到了不良网络攻击的困扰。核电厂信息安全作为工业信息安全的一部分，其安全隐患随着数字化技术的深度应用也越发明显，核电厂信息安全已经成为核安全的重要组成部分。

核电厂的数字化仪控系统是一种典型的工业控制系统，在整个系统设计、研发、测试、运行、维护的的生命周期中，一直以来都在注重于丰富功能并提高可靠性，缺乏对于网络安全角度的优化。绝大多数核电厂对于网络安全的重视程度严重不足，在防御方面还停留在利用物理方法进行被动防护的阶段，这种防御网络攻击的方法已经远远不能满足当下的安全防护需求，尤其是随着工业化和信息化的融合，核电厂将面临更多的网络安全威胁。

近年来，ics安全事件频发包括核设施领域，说明ics领域存在安全脆弱性，只有了解这些潜在的安全隐患，才能更有针对性地实施安全防护措施。脆弱性分析是核电厂信息安全防范计划制定和实施过程中的重要一环，能针对性地发现问题，为信息安全防范计划的制定提出要求和依据。处于纵深防御和分等级保护的角度，对于整个核电厂所有设备，通过对系统中设备的信息资产、重要程度结合攻击难度进行综合考量，找出系统的脆弱性设备。

技术实现要素：

本发明的实施例提供了一种核电厂安全级数字化仪控系统脆弱性分析方法，用于解决发明人发现的如下技术问题：核电厂在应对网络安全的措施方面存在很大的不足，传统的网络安全防御方法不足以维护核电厂的设备的安全运行，对于系统的脆弱性分析方面还需要提供更加有效的分析手段，丰富核电厂应对网络安全防御的防御策略。

为了实现上述目的，本发明采取了如下技术方案。

一种核电厂安全级数字化仪控系统脆弱性分析方法，包括：

基于核电站数字化仪控系统获得系统拓扑图；

基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性；

通过对系统脆弱性进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

优选地，基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性包括：

基于攻击图理论，获取攻击模型的变量的种类；

通过计算获得攻击模型的变量的取值；

基于攻击模型的变量的取值，计算获得系统脆弱性。

优选地，攻击模型的变量包括：网络的结点、结点攻击价值、结点之间的连接关系和结点的脆弱性；

通过计算获得攻击模型的变量的取值包括：

通过node＝{ip,pro,conpri}(1)计算网络结点的取值，式中，node为结点，ip为地址属性，pro为结点攻击价值属性，conpri为结点权限属性；

通过pro＝a1wa+a2wh+a3we+a4ws+a5wp(2)计算结点攻击价值的取值，式中，wa为资产价值，wh为人身安全价值，we为社会影响价值，ws为环境价值，wp为攻击代价；

通过连接矩阵(3)计算获得结点之间的连接关系，式中，aij表示ip地址对应为编号i的结点与结点j的连接；

通过(4)计算每个结点的脆弱性。

优选地，通过公式(2)计算结点攻击价值还包括：

对同一属性的结点的重要程度进行比较，建立模糊判断矩阵；

通过计算检验模糊判断矩阵是否满足一致性条件；

对不满足一致性条件的模糊判断矩阵进行一致性转换；

对满足一致性条件的模糊判断矩阵进行权重求解。

优选地，通过公式(2)计算结点攻击价值还包括：

模糊判断矩阵为

通过条件式rij＝rik-rjk+0.5(8)检验模糊判断矩阵是否满足一致性；

对不满足一致性条件的模糊判断矩阵通过(9)和(10)进行一致性转换；

对满足一致性条件的模糊判断矩阵通过(11)进行权重求解。

优选地，通过对系统脆弱性进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径包括：

基于系统脆弱性，获得可视化攻击图；

基于可视化攻击图，对核电站数字化仪控系统的组件路径的脆弱性进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

优选地，基于系统脆弱性，获得可视化攻击图包括：

s1获得结点个数n，对连接矩阵进行1：n-1次幂，获得两结点间存在的路径个数和与每条路径相对应的结点，进一步获得结点中与起始结点相对应的所有路径；

s2对该所有路径进行验证，去除重复路径，获得有效路径；

s3基于该有效路径，并进行可视化输出，获得可视化攻击图。

优选地，基于可视化攻击图，对核电站数字化仪控系统的组件路径的脆弱性进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径包括：

基于所述子步骤s1至s3，令n个结点的任意一个结点为起始结点，获得n组路径以及相应的有效路径，进一步获得可视化攻击图；

基于可视化攻击图和公式(4)，通过计算获得每条路径的攻击价值；

基于可视化攻击图和路径的攻击价值，获得每个结点的设备路径脆弱性贡献值；

基于结点的设备路径脆弱性贡献值和可视化攻击图，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

优选地，基于结点的设备路径脆弱性贡献值和可视化攻击图，获得核电站数字化仪控系统的脆弱设备和脆弱路径包括：

基于全部结点的设备路径脆弱性贡献值，进行降序排列；

基于设备路径脆弱性贡献值的排序，取前置20％-50％的结点及对应的有效路径，进一步获得核电站数字化仪控系统的脆弱设备和脆弱路径。

优选地，基于可视化攻击图和路径的攻击价值，获得每个结点的设备路径脆弱性贡献值包括：

基于每个结点的全部有效路径和相对应的路径的攻击价值，计算路径的攻击价值的总和，获得每个结点的设备路径脆弱性贡献值。

由上述本发明的实施例提供的技术方案可以看出，本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法，利用工控系统领域中常用的攻击图理论对核电数字化仪控系统的信息安全脆弱性进行了初步研究。立足于系统设计人员的角度建立攻击图的分析方法，对于每一个潜在的攻击起始结点进行分析，分别得到对于整个系统所有攻击路径，并通过运算寻找对系统脆弱性贡献值最大的设备。确定的最佳攻击目标可作为系统安全防护的重点排查对象，从而为安全人员评估网络安全风险以及应对措施提供参考依据。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法的处理流程图；

图2为本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法的可视化攻击图的计算流程图；

图3为本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法的仿真网络拓扑结构；

图4为本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法的攻击图的结果示意；

图5为本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法的另一种实施例的处理流程图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

参见图1和5，本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法，主要应用于核电站的数字化仪控系统，包括：

基于核电站数字化仪控系统获得系统拓扑图；

基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性指标；

通过对系统脆弱性指标进行分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

进一步的，上述获得系统拓扑图的方式，是根据实际dcs系统连接方式以及设备的特点，构建对应的系统拓扑图，对系统内的所有设备进行脆弱性分析；

进一步的，在一些优选实施例中，上述基于系统拓扑图，通过攻击图理论建立攻击模型，并利用该攻击模型获得系统脆弱性指标包括如下子步骤：

基于攻击图理论，获取攻击模型的变量的种类；

通过计算获得攻击模型的变量的取值；

基于攻击模型的变量的取值，计算获得系统脆弱性。

攻击图法是描述攻击者从攻击起始点到达其攻击目标的所有路径的简洁方法,并能够将整个攻击过程利用有向图的方式进行可视化展示。通常攻击模型变量包括：网络的结点、结点攻击价值、结点之间的连接关系和结点的脆弱性。

网络结点node是指具体网络中的某个位置的设备，结点应包含地址属性、结点对应攻击概率属性以及结点的权限属性，通过node＝{ip,pro,conpri}(1)计算网络结点的取值，式中，node为结点，ip为地址属性，pro为结点攻击价值属性，conpri为结点权限属性；结点的地址用于标记此结点所代表设备位于具体网络中的具体位置；结点攻击价值属性表示这个结点被攻击者攻击的可能性的大小；结点的权限属性用来标记此结点的操作权限是否被攻击者获取；

结点攻击价值属性pro用于计算攻击整条路径的脆弱性，用以体现不同结点所包含的价值的不同。结点资产价值通常由财产价值、人身安全价值、社会影响价值、环境价值以及攻击付出的攻击代价组成，攻击概率通过对结点的各个因素的加减运算求得，而wa、wp、we、ws和wpay则均通过模糊层次分析法获得；在本实施例中，通过pro＝a1wa+a2wh+a3we+a4ws+a5wp(2)计算结点攻击价值的取值，式中，wa为资产价值，wh为人身安全价值，we为社会影响价值，ws为环境价值，wp为攻击代价，a1～a5为系数，其可以依据已知数据，例如经验数据或专家数据；

结点之间的连接关系用于描述各个结点在网络中相互连接的关系，通过连接矩阵(3)计算结点之间的连接关系，式中，aij表示ip地址对应为编号i的结点与结点j的连接；

路径的脆弱性指标g是指在攻击完成经过的每个节点的收益与其影响系数的和，在本实施例中通过(4)计算每个结点的脆弱性。

对结点所代表的设备进行脆弱性分析，通过根据设备与设备之间的连接关系以及设备的特点，分析出设备的脆弱性指标，找出适合做为攻击者对系统进行攻击的攻击起点，另外还可以判断设备的连接方式是否能够被攻击者利用，从而获取对应设备的控制权限，那些能够被攻击者利用的路径成为脆弱性路径。

更进一步的，对于wa、wp、we、ws和wpay，采取模糊层次分析法进行量化。层次分析法可以很好地适用于具有不确定性和主观信息的情况下，以合乎逻辑的方式进行考量，得出最佳选择。但是对于衡量指标数目较大时，很难满足思维的一致性，为了解决这个问题将模糊法和层次分析法结合起来形成模糊层次分析法计算属性的权重。

模糊层次分析法具体步骤是：

对同一属性的结点的重要程度进行两两比较，建立模糊判断矩阵，矩阵的赋值依据模糊判断矩阵标度表进行赋值；

通过计算检验模糊判断矩阵是否满足一致性条件；

对不满足一致性条件的模糊判断矩阵进行一致性转换；

对满足一致性条件的模糊判断矩阵进行权重求解。

在本实施例中，模糊判断矩阵的标度表如表1所示：

表1模糊判断矩阵标度表

根据判断要素对于每一个设备两两进行比较，比较出对于此要素设备之间的重要程度，依据模糊判断矩阵标度表构造模糊判断矩阵：

需注意的是，在生成模糊判断矩阵时要求满足以下条件：

rij+rji＝1,i,j＝1,2…n.(6)

rii＝0.5,i＝1,2…n.(7)；

式中，r为模糊矩阵中元素，用rij表示，k、i、j均为常数，用于按照一定规则进行遍历，没有特殊意义。

在本实施例中，通过条件式rij＝rik-rjk+0.5(8)检验模糊判断矩阵是否满足一致性；

对不满足一致性条件的模糊判断矩阵通过(9)和(10)进行一致性转换；

对原本满足一致条件或经修改后满足一致条件的矩阵，可利用下式进行权值计算：(11)，式中，参数β用于说明权重w与矩阵仅仅存在一种函数映射关系，其取值大小能够改变方案分辨率的优劣，此处β取值为e²⁰能够合理地增大方案的分辨率。

在本发明提供的实施例中，攻击图模型以攻击起点做为初始结点，由于现实中难以准备预测攻击能力，出于保守性假设，这里默认攻击者能获取操作权限并且具备利用系统通信协议漏洞进行攻击的能力。攻击图生成算法采用图论方式，即首先输入系统对应的脆弱矩阵，表示其脆弱连接关系。具体的计算流程如图2所示。通过对邻接矩阵进行幂运算，其具体做法为：

假设结点的个数为n，依次对连接矩阵con进行1:n-1次幂；通过上述运算可以求出两结点间存在的路径个数及对应结点，然后求取对应端点顶点的所有路径；由于本方法求取的路径可能为其他路径的子路径，在本实施例中，还需验该证路径是否为其他路径的子路径，如果此路径为其他路径的子路径则将其判定为重复路径，并删除此路径；最后获得有效路径并对这些路径求取收益。对于生成的攻击路径可以使用graphviz插件，利用dot语言进行可视化输出。

更进一步的，上述的基于可视化攻击图，对核电站数字化仪控系统的每一个设备进行脆弱性分析，获得核电站数字化仪控系统的脆弱设备和脆弱路径包括：

基于上述的获得可视化攻击图的基本过程，令n个结点的任意一个结点为起始结点，获得n组路径以及相应的有效路径，进一步获得可视化攻击图；

基于可视化攻击图和公式(4)，通过计算获得每条路径的攻击价值；

基于可视化攻击图和路径的攻击价值，获得每个结点的设备路径脆弱性贡献值；

基于结点的设备路径脆弱性贡献值和可视化攻击图，获得核电站数字化仪控系统的脆弱设备和脆弱路径。

上述过程阐述了对于攻击起点的其中一个作的分析，由于对于dcs系统来说，攻击者可能从不同设备运用不同方式对系统发起攻击，对于剩余的攻击起点，将其分别作为攻击起始结点的情况，仍依照上述对于其余的攻击起点进行处理，通过分析能够得到整个系统所有潜在的攻击路径以及每条路径对应的脆弱性指标；为了分析出系统的重要设备，定义设备(组件)路径脆弱贡献值的概念，组件间连通路径的脆弱性的贡献值表示此组件及其连接关系对于整个系统脆弱性所做的贡献大小，对于上述的每条路径都会经过许多组件及组件间的连通路径，脆弱性贡献值通过将经过该设备(组件)间路径的上述路径脆弱性求和来获得。对于分析所得的结果，得到具体生产过程中的表中路径间脆弱性贡献值顺序，例如在一些优选实施例中，基于该脆弱性贡献值，对每个结点进行降序排列，并结合前述模型变量进行分析，取排列中靠前的结点，得到对系统脆弱性影响较大的路径对应的设备；

基于可视化攻击图和公式(4)，计算获得多个路径的攻击价值，对该多个路径的攻击价值进行分析，获得对核电站数字化仪控系统的脆弱性影响较大的脆弱路径；

获得脆弱设备和脆弱路径后即可进行安全加固或制定相应的防御策略。

本发明还提供一个实施例，用于示例性地显示应用本发明提供的方法进行核电站数字化仪控系统脆弱性分析过程。

根据实际dcs系统连接方式以及设备的特点，构建对应的系统拓扑图，对系统内的所有设备进行脆弱性分析。在本实施例中，构造一个简化的安全级dcs系统模型，包括工程师站(ip1)，安全显示站(ip2)，实时数据库(ip3)，现场控制站(ip4)，现场执行设备(ip5)，现场检测设备(ip6)以及网关站(ip7)等组件，系统连接关系如图3所示。

由于实际系统中可能存在着多个不同的信息安全隐患被攻击者利用，因此在用攻击图分析之前需要找到仪控系统的潜在攻击起点。如表2所示，由于组件ip1，ip2、ip4和ip7在硬、软件方面存在潜在漏洞，在网络攻击中容易成为切入点。利用前述内容得到系统后果属性的模糊判断矩阵和连接矩阵，表3给出了wa后果属性的模糊判断矩阵作为示例。将权重系数设为0.2，根据模糊层次分析法得到各组件的攻击价值，计算结果—设备/组件后果属性值和攻击价值如表4和5所示，对应的连接矩阵见表6。

表2攻击起点及安全威胁

表3组件资产价值的模糊判断矩阵

表4组件后果属性值

表5组件的攻击价值

表6连接矩阵

将表6中的数据带入攻击图生成算法，对上述4个攻击起点，此处以ip7作为攻击起点为例，生成攻击图结果，如图4所示。

根据攻击图结果和公式(4)进行计算，获得多个路径的攻击价值并进行攻击路径分析，结果如表7所示，表中给出了每条攻击路径对应的路径攻击价值。可以看出，编号为s3的攻击路径攻击价值最大，其对应于图4中虚线所代表的攻击路线。

表7生成路径列表

上述过程针对的是ip7作为攻击起点的情况，对于剩余攻击起点ip1、ip2和ip4，可按照相同过程处理，从而得到系统所有潜在的攻击路径以及对应的脆弱性指标。

为找出系统中的网络安全重要设备，本发明的实施例中定义了“脆弱性贡献值”指标，用于定量表征某个组件及其连接关系对整个系统脆弱性的贡献大小。表7给出的5条路径均有经过多个组件及组件间的连通路径(简称组件路径)，例如有三条攻击路径都经过ip4-ip5组件路径，而其中只有一条经过ip3-ip2组件路径，脆弱性贡献值可通过将经过该组件路径的上述路径脆弱性指标求和来获得，由此可知ip4-ip5组件路径对整个系统的脆弱性影响更大。

经过处理对所有攻击起点引起的可能攻击路径，表8给出了组件路径在上述攻击路径下的脆弱性贡献值。由表8可知，对仿真系统脆弱性影响最大的组件路径为ip4-ip5，如果对ip4-ip5组件线路和对应设备的安全隐患进行重点排查可以很大程度增加系统的安全性。通过对以往的攻击事件进行分析，攻击者的目的往往是通过对执行设备进行控制，通过控制执行设备使设备产生生产中断甚至损坏，所以对应的组件路径对系统产生安全具有重大影响，这也与现场运行实际情况相吻合。

表8路径脆弱性贡献表

此外，由表8可以看出ip1-ip4之间的路径对整个系统脆弱性也有较大贡献，在实际工程应用中可以根据表中组件路径脆弱性贡献值的大小顺序，根据核电站发展的实际情况，对于前20％-50％的脆弱性贡献值较大的组件路径以及对应的设备进行安全加固或制定相应的防御策略。通过对设备的重要性进行排序，可以有选择地采取措施，用更有效的方式降低整个系统的脆弱性。

综上所述，本发明提供的一种核电厂安全级数字化仪控系统脆弱性分析方法，利用工控系统领域中常用的攻击图理论对核电数字化仪控系统的信息安全脆弱性进行了初步研究。立足于系统设计人员的角度建立攻击图的分析方法，对于每一个潜在的攻击起始结点进行分析，分别得到对于整个系统所有攻击路径，并通过运算寻找对系统脆弱性贡献值较大的设备。确定的最佳攻击目标可作为系统安全防护的重点排查对象，从而为安全人员评估网络安全风险以及应对措施提供参考依据。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。