一种面向典型冶金工艺控制系统的信息安全风险评估方法

摘要

一种面向典型冶金工艺控制系统的信息安全风险评估方法，属于工业控制系统信息安全技术领域。通过建立冶金工艺流程典型场景下的攻击模型，分析不同攻击模式和策略下的系统鲁棒性，进而实现典型冶金工艺流程控制系统在不同攻击模式和失效模式下安全风险评估。该方法从风险理论出发，将冶金工艺流程控制系统定义为一个信息物理融合系统，用随机概率方法进行安全风险评估，从攻击源或失效源发生的概率和造成的影响两个方面入手，提出基于风险指标的安全评估方法。定量估计基于风险指标进行，根据建立的信息物理融合模型和攻击模型，构建安全事件集，结合计算的鲁棒性评价指标，进行量化评估，从而有助于定位控制系统中安全薄弱环节。

说明书

技术领域

本发明属于工业控制系统信息安全技术领域,特别是涉及一种面向典型冶金工艺控制系统的信息安全风险评估方法。

背景技术

冶金行业是我国国民经济的支柱性产业，是关系国计民生的基础性行业。自动化和信息化的高度融合成为冶金行业的发展趋势，以以太网为主的控制网络系统得到普遍应用。随着黑客攻击手段和技术的日益复杂、高级，以工业控制系统作为目标的攻击层出不穷，作为复杂的混合流程工业，冶金行业的安全形势比较严峻，主要表现在以下几个方面：

(1)工艺和控制网络比较复杂。冶金企业是典型的混合流程型企业，冶金企业具有工业领域生产流程的典型特点，包括连续和离散混合、物理变化和化学变化混合的过程；其自动化程度比较高，流程长，环节多，工序之间相互耦合，涉及到的自动化设备、子系统众多，促使控制系统网络拓扑比较庞大，复杂程度高，安全风险比较大。

(2)单体设备成本高。冶金企业典型工艺流程涉及到大宗单体设备，如高炉、转炉、轧机机组等，设备成本高，一旦受到攻击，直接危及到物理世界，造成的损失甚至难以估量，因此冶金企业控制网络安全形势比较严重。

(3)信息安全管理复杂。冶金行业由于控制网络规模大，工艺耦合比较强，安全边界难以界定；由于其与物理世界紧密相连，网络实时性、可用性、业务连续性要求较高[7]；冶金企业是污染大户，能源环保对网络的要求也增加了系统信息安全管理的复杂性。

(4)攻击手段越来越高级、隐蔽。传统冶金行业控制系统，早期设计早于互联网，它需要采用专门的硬件、软件和通信协议，设计上以可用性、可靠性为主，基本没有考虑互联互通所必须考虑的通信安全问题；利用工控设备漏洞、以太网协议缺陷、工业应用漏洞等，攻击者可以针对性的构建更加隐蔽的攻击通道，以Stuxnet蠕虫为例，其充分利用了伊朗布什尔核电站工控网络中工业PC与控制系统存在的安全漏洞，为攻击者入侵提供了七条隐蔽的通道。

上述因素造成冶金工艺流程控制系统面临的安全风险比较高。冶金工艺流程控制系统及其安全性研究算是信息安全研究领域的一个新领域，首先需要熟悉冶金工艺流程控制系统，其次重点研究冶金工艺流程控制系统自身的风险及脆弱性情况，并在此基础上基于模拟攻击场景进行攻防推演分析，进而对控制系统风险进行评估。只有在充分了解冶金工艺流程控制系统风险分布和构成的前提下，才能逐步完善系统的安全性保障措施。

研究方法上，目前控制系统安全问题的研究基本沿用IT信息安全研究的思路，采用边界防御的理论与方法，把焦点放在工业控制网络本身的安全防御上，如工业防火墙、安全隔离系统、流量入侵检测系统等，或者采用事后报警方式。但是流程行业业务连续性和高实时性，要求能够一旦有风险，及时发现并预防或者及时发现攻击，采用补救措施，使系统能够安全“弹性”运行，这需要对控制系统安全风险进行评估才能够实现。单纯从信息技术的角度来研究控制系统的网络安全，无法解决工业环境下恶意攻击的决策模型、行为描述、安全风险评估等一系列理论和实践问题。

冶金行业典型工艺流程控制系统的本质是信息物理融合系统(CPS)，多维异构的计算单元和物理对象在网络环境中高度集成与交互，构成了一类新型的智能复杂系统。其安全风险评估技术研究需要从信息物理融合的角度切入，从控制的角度分析黑客的攻击策略，建立理性黑客的攻击行为模型和攻击目标模型，进而发现系统薄弱环节，采用合适的技术进行风险评估，虽然在工业控制领域和信息安全领域都分别有大量关于风险评估的研究和讨论，但从信息物理融合角度进行的工业控制系统信息安全风险评估仍然处于起步阶段，针对冶金行业控制系统风险评估技术的研究还未见报道。

发明内容

本发明的目的在于，提供一种面向典型冶金工艺流程控制系统的信息安全风险评估方法，它基于信息物理融合的控制系统数学模型，通过建立冶金工艺流程典型场景下的攻击模型，分析不同攻击模式和策略下的系统鲁棒性，进而实现典型冶金工艺流程控制系统在不同攻击模式和失效模式下安全风险评估。该方法从风险理论出发，将冶金工艺流程控制系统定义为一个信息物理融合系统，用随机概率方法进行安全风险评估，从攻击源或失效源发生的概率和造成的影响两个方面入手，提出基于风险指标的安全评估方法。定量估计基于风险指标进行，根据建立的信息物理融合模型和攻击模型，构建安全事件集，结合计算的鲁棒性评价指标，进行量化估算，从而有助于定位控制系统中安全薄弱环节。

为解决上述技术问题，本发明通过如下的技术方案实现，具体工艺步骤如下：

(1)针对典型冶金工艺流程控制系统，进行基于信息物理融合的控制系统数学建模，所述的基于信息物理融合的控制系统数学建模，即基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用Matlab Simulink工具箱进行实现；离散事件采用Petri Net(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petri Net模型同步状态转移主要依赖外部事件的触发。同时扩展Petri Net模型，对通信网络组件进行建模，通过信息模型时间延迟时间约束来扩展模型，加入状态同步机制；

(2)风险识别，所述的风险识别，即对典型攻击策略和手段进行建模，引入信息攻击模型，通过设置不同的攻击条件和路径，进行系统鲁棒性分析，并计算鲁棒性评价指标，从实现风险识别；所述的信息攻击模型，主要指欺骗攻击和拒绝服务攻击这两类常见攻击模式，主要包括注入、篡改、重播、封锁、窃听、延时、DoS攻击形式；

(3)根据风险识别结果，定义安全事件，生成安全事件集；

(4)对安全事件进行风险评估，所述的安全事件风险评估，即用随机概率方法，从攻击源或失效源发生的概率和造成的后果两个方面入手，基于风险指标对安全事件进行定量信息安全评估。

(5)若所有安全事件集中的事件都评估完成，则对所有的安全事件风险指标进行综合，得到一个综合的系统信息安全风险指标，用于评价系统信息安全整体状况；如果安全事件集中的事件还没有评估完毕，则直接转至(4)。

本发明的典型的冶金工艺流程控制系统，主要有高炉、转炉、连铸、轧钢等关键流程工艺的控制系统，由于冶金工艺流程这些典型的控制系统都是比较庞大的，涉及到众多的工序、设备，生产过程连续且复杂，都属于大规模信息物理融合系统，这种既有连续过程又有离散事件和信息网络组件的混合系统建模问题是建模领域的难题之一。本发明提出基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用Matlab Simulink工具箱进行实现；离散事件采用Petri Net(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petri Net模型同步状态转移主要依赖外部事件的触发。同时扩展Petri Net模型，将信息网络模型，即将网络中信息组件的模型引入，加入状态同步机制，分析由于网络通信引起的时间延迟、数据丢失以及服务质量等因素对控制模型的影响。

本发明步骤(2)中所述的信息攻击建模，主要从欺骗攻击和拒绝服务攻击这两类攻击模式出发，对典型攻击策略和手段进行建模，主要包括注入、篡改、重播、封锁、窃听、延时、DoS等攻击形式；所述的鲁棒性分析主要是基于鲁棒性评价指标进行的，鲁棒性评价指标的计算从攻击目标出发，针对攻击目标的数学描述，分析攻击造成目标的损害程度来量化该指标；如果攻击目标对象是输出测量，鲁棒性评价指标就是在不同攻击策略和条件下的输出相对于预期输出损失，计算方法采用“最坏情况”原则，即采用最坏情况下损失程度来度量，同时考虑一些实现策略、物理容错等约束条件。系统的综合鲁棒性评价指标，采用对各种攻击条件或失效条件下指标的加权方式进行计算，其计算公式如下：

$>R_{i\max }=\max \underset{j=1}{\overset{M}{F}}(s_i,a_j,r_i)---\left(1\right)$>

$>\bar{R}=\underset{i=1}{\overset{N}{\Sigma }}{k}_i{R}_{i\max }---\left(2\right)$>

其中，s_i代表攻击目标或失效目标，a_j代表特定状态下的攻击条件或失效条件，r_i代表在特定状态的攻击条件或失效条件a_j下，攻击目标或失效目标s_i的控制参数损失程度，i∈[1,N]，j∈[1,M]；R_imax代表攻击目标或失效目标s_i最坏情况下的鲁棒性评价指标。

k_i代表每个攻击目标s_i的加权系数，k_i根据该攻击发生概率来估算；表示系统综合鲁棒性评价指标。

系统鲁棒性能与鲁棒性评价指标成反比，即攻击目标在最坏情况下损失程度越大，其鲁棒性越弱。

前述的面向典型冶金工艺流程控制系统的信息安全风险评估方法中，步骤(4)所述的风险指标，需定量把握安全事件发生的概率和后果(严重程度)这两个风险的决定因素。系统按照攻击目标或失效目标来分类计算，因此将系统风险指标定义为安全事件发生的概率与事件产生后果的乘积：

$>R(S_i,E,C)=\underset{j}{\Sigma }P\left(E_j\right)\times P(E_j,C_j)---\left(3\right)$>

式中，S_i是攻击目标或失效目标；E_j是未来时刻t发生的安全事件；P(E_j)是安全事件E_j发生的概率；P(E_j,C_j)是在环境条件(即攻击或失效条件)C_j下安全事件E_j发生时产生的后果；R(S_i,E,C)是风险指标值。

其中，安全事件发生概率的估算采用概率统计模型来估算。安全事件发生次数的条件概率：假设目标系统在[0,T]时间段内遭受安全事件的次数为n，安全事件的平均发生率为λ，满足n＝λT，而且当T→∞时，n→∞。为了确定在时间t内安全事件发生次数的分布函数：如果在[0,T]内仅发生一次安全事件，那么此安全事件发生在t内的概率p依赖于t与T的相对大小。令满足当T→∞时，p→0。此时，在给定时间段t的情况下，np为常数。如果t内发生一次安全事件记为“成功”，而发生在t外记为“失败”。因此，在t内发生k次安全事件的概率服从二项式概率分布，分布函数为：

$>p_n\left(k\right)=\frac{n!}{(n-k)!k!}{p}^k{(1-p)}^{n-k}---\left(4\right)$>

如果对安全事件进行分类(m种)，类型为i的安全事件平均发生概率为λ_i，那么在t时间段内类型i的危险事件发生k_i次的概率可表示为：

$>p\left(k_i\right|{\lambda }_i)=\frac{{\left({\lambda }_{i}t\right)}^{k_i}}{k_i!}{e}^{-{\lambda }_{i}t}(k_i=0,...,\infty )---\left(5\right)$>

攻击或失效产生的后果与系统鲁棒性紧密联系。不同类型的风险对系统鲁棒性影响也不同，攻击或失效产生的后果可以定义为鲁棒性评价指标的函数，即：

P(E_j,C_j)＝f(R_ij)    (6)

式中，R_ij是攻击目标或失效目标s_i在特定状态的攻击条件或失效条件a_j下以及控制参数损失程度r_i的情况下的鲁棒性指标。

前述的面向典型冶金工艺流程控制系统的信息安全风险评估方法中，步骤(5)中所述的综合的系统信息安全风险指标，是所有安全事件风险指标的加权平均后的结果，权值的确定根据安全事件的严重程度来分配的。

现有的信息安全评估方案，多数根据相对简单的因果传递关系而设计，未体现信息安全领域的一些基本原则，未体现信息物理融合控制系统的内部结构关系，所设计的计算方法，在计算模型和计算式中无法反映现实世界的具体情况，在应用中存在一定偏差。

与现有技术相比，本发明从信息安全和物理安全相融合的角度，引入状态同步机制，构建基于信息物理融合的控制系统数学模型；通过分析计算控制系统网络信息攻击场景下的鲁棒性及安全事件的鲁棒性评价指标，并用随机概率方法进行信息安全风险评估，从攻击源或失效源发生的概率和造成的影响两个方面入手，提出基于风险指标的定量信息安全风险评估方法，该发明能够定位系统安全薄弱环节，将物理冗余和安全措施放在网络薄弱环节，可以在降低系统成本的基础上，保障控制系统安全运行。

附图说明

图1是典型冶金工艺流程控制系统信息安全风险评估流程图。

图2是典型高炉自动化控制系统结构图。

图3是冶金工艺流程控制系统的攻击模型。

图4是静态隐身攻击的方框图。

图5是重播攻击的方框图。

图6是隐蔽攻击的方框图。

图7是动态虚假注入攻击的方框图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步的说明。如图1所示，包括以下步骤：

(1)针对典型冶金工艺流程控制系统，进行基于信息物理融合的控制系统数学建模，所述的基于信息物理融合的控制系统数学建模，即基于MatlabSimulink&Petri-Net-Simulink-Block的混合建模方法，其中，涉及到冶金工艺流程的连续动态模型采用一组传统的线性或非线性微分方程/状态方程表示，并用Matlab Simulink工具箱进行实现；离散事件采用Petri Net(PN)模型来表示，并用一个Simulink工具箱PNL进行实现，PN离散模型可以集成到Simulink框图中，其中petri Net模型同步状态转移主要依赖外部事件的触发。同时扩展Petri Net模型，对通信网络组件进行建模，通过信息模型时间延迟时间约束来扩展模型，加入状态同步机制；

(2)风险识别，所述的风险识别，即对典型攻击策略和手段进行建模，引入信息攻击模型，通过设置不同的攻击条件和路径，进行系统鲁棒性分析，并计算鲁棒性评价指标，从实现风险识别；所述的信息攻击模型，主要指欺骗攻击和拒绝服务攻击这两类常见攻击模式，主要包括注入、篡改、重播、封锁、窃听、延时、DoS攻击形式；

(3)根据风险识别结果，定义安全事件，生成安全事件集；

(4)对安全事件进行风险评估，所述的安全事件风险评估，即用随机概率方法，从攻击源或失效源发生的概率和造成的后果两个方面入手，基于风险指标对安全事件进行定量信息安全评估。

(5)若所有安全事件集中的事件都评估完成，则对所有的安全事件风险指标进行综合，得到一个综合的系统信息安全风险指标，用于评价系统信息安全整体状况；如果安全事件集中的事件还没有评估完毕，则直接转至(4)。

上述方法中，典型的冶金工艺流程控制系统，主要有高炉、转炉、连铸、轧钢等关键流程工艺的控制系统，由于冶金工艺流程这些典型的控制系统都是比较庞大的，涉及到众多的工序、设备，生产过程连续且复杂，都属于大规模信息物理融合系统，这种既有连续过程又有离散事件和信息网络组件的混合系统建模问题是建模领域的难题之一。高炉自动化控制系统是典型的冶金工艺流程控制系统，也是是典型的信息物理融合混合系统，以该系统为例对本发明的方法进行说明。

如图2所示，高炉控制系统主要包括热风炉控制系统、高炉本体控制系统、炉顶及卷扬控制系统、布袋除尘控制系统、高炉上料控制系统等子系统，由上位机、监控站等组成的监控层，通过以太网与各个子控制系统相连，共同构成高炉控制系统，主要包括设备层(主要是传感器、执行器、仪器、仪表等)、过程控制层(主要是DCS控制器、可编程逻辑控制器PLC、远程终端控制器RTU等)、监测控制层(主要是数据采集、监测控制、人机接口等)；每一个子系统主要涉及到2层，即设备层、过程层。建模过程采用自底向上的分层的模块化建模思想，即在设备层，按照模块化思想，将各个子控制系统分别建模，根据各子系统关键设备、连接关系、控制参数等特征建立物理控制模型，采用Matlab Simulink实现，封装成子系统；在过程层，主要是控制器、现场总线组成的控制网络，这个层次涉及到控制算法、触发事件等，采用Simulink工具箱PNL进行；最后监控层主要监测和发送控制命令，一般生成外部事件来触发petri Net状态转移，同时对通信网络组件进行建模，包括路由器、交换机、现场总线等，通过信息模型时间延迟等时间约束来扩展Petri Net模型，加入状态同步机制。

前述的面向典型冶金工艺流程控制系统的信息安全风险评估方法中，步骤b中所述的信息攻击建模，主要从欺骗攻击和拒绝服务攻击这两类攻击模式出发，对典型攻击策略和手段进行建模，主要包括注入、篡改、重播、封锁、窃听、延时、DoS等攻击形式；基于冶金工艺流程控制系统的信息物理抽象模型，可以把黑客对控制系统的攻击用图3来表示。图中清楚地表现了黑客发动攻击的位置(物理对象)和攻击的目标(信息对象)。

A1：对传感器的攻击，导致传感器的传输错误的结果；对执行器攻击，导致执行器的执行结果异常，通过传感器可以监测这种异常(如用流量计监测阀门的开度)；

A2、A4：对网络攻击，使通讯不正常；

A3：对控制器攻击，输出错误命令；

A5：对生产过程攻击(不通过网络攻击)，导致生产目标偏离。

根据控制系统物理建模理论，一般为了简化建模难度，通常对控制系统物理过程进行合理简化和近似，在一定条件下，一组近似线性模型可以代表系统的物理过程。连续过程物理建模一般采用微分方程或状态方程来实现。根据自动控制理论可知，如果系统是可观测的，系统的状态就可以用一组实时的测量值来表达，传感器的设置就是为了实现对系统状态的观测，动态线性模型可以很好地描述上述思想。其系统方程如下所示：

$>E\stackrel{·}{x}\left(t\right)=\mathrm{Ax}\left(t\right)+\mathrm{Bu}\left(t\right)$>

y(t)＝Cx(t)+Du(t)    (8)

式中，矩阵E可能是奇异的，输入Bu和Du是描述扰动的未知信号，可以影响物理过程。除了影响系统部件的真实失效过程，这些扰动模型可以影响对信息物理系统的攻击过程。

攻击(Bu,Du)＝(u_x,u_y)如果影响系统动态过程，我们可以称之为状态攻击，如果破坏系统测量矢量，我们可以称之为输出攻击。

我们可以根据不同的攻击策略、系统结构、参数E,A,C以及全状态x，采用攻击对(Bu,Du)来设计不同的攻击行为。此外，假设不考虑黑客攻击行为计算能力的限制，攻击目标是在攻击行为不被发现的情况下破坏物理状态或测量值。如图4、5、6、7所示，就是典型攻击的方框图。其中，图4攻击者采用攻击信号Du破坏了测量值y，在这个攻击策略中没有考虑系统的动态；图5攻击者破坏了输出，使得图6攻击者采用反馈的方式实现一种重播攻击；图7攻击者采用前馈策略使得不稳定的极点p处于不可观测状态。

所述的鲁棒性分析主要是基于鲁棒性评价指标进行的，鲁棒性评价指标的计算从攻击目标出发，针对攻击目标的数学描述，分析攻击造成目标的损害程度来量化该指标；如果攻击目标对象是输出测量，鲁棒性评价指标就是在不同攻击策略和条件下的输出相对于预期输出损失，计算方法采用“最坏情况”原则，即采用最坏情况下损失程度来度量，同时考虑一些实现策略、物理容错等约束条件。系统的综合鲁棒性评价指标，采用对各种攻击条件或失效条件下指标的加权方式进行计算，其计算公式如下：

$>R_{i\max }=\max \underset{j=1}{\overset{M}{F}}(s_i,a_j,r_i)---\left(1\right)$>

$>\bar{R}=\underset{i=1}{\overset{N}{\Sigma }}{k}_i{R}_{i\max }---\left(2\right)$>

其中，s_i代表攻击目标或失效目标，a_j代表特定状态下的攻击条件或失效条件，r_i代表在特定状态的攻击条件或失效条件a_j下，攻击目标或失效目标s_i的控制参数损失程度，i∈[1,N]，j∈[1,M]；R_imax代表攻击目标或失效目标s_i最坏情况下的鲁棒性评价指标。

k_i代表每个攻击目标s_i的加权系数，k_i根据该攻击发生概率来估算；表示系统综合鲁棒性评价指标。

系统鲁棒性能与鲁棒性评价指标成反比，即攻击目标在最坏情况下损失程度越大，其鲁棒性越弱。

前述的面向典型冶金工艺流程控制系统的信息安全风险评估方法中，步骤d所述的风险指标，需定量把握安全事件发生的概率和后果(严重程度)这两个风险的决定因素。系统按照攻击目标或失效目标来分类计算，因此将系统风险指标定义为安全事件发生的概率与事件产生后果的乘积：

$>R(S_i,E,C)=\underset{j}{\Sigma }P\left(E_j\right)\times P(E_j,C_j)---\left(3\right)$>

式中，S_i是攻击目标或失效目标；E_j是未来时刻t发生的安全事件；P(E_j)是安全事件E_j发生的概率；P(E_j,C_j)是在环境条件(即攻击或失效条件)C_j下安全事件E_j发生时产生的后果；R(S_i,E,C)是风险指标值。

其中，安全事件发生概率的估算采用概率统计模型来估算。安全事件发生次数的条件概率：假设目标系统在[0,T]时间段内遭受安全事件的次数为n，安全事件的平均发生率为λ，满足n＝λT，而且当T→∞时，n→∞。为了确定在时间t内安全事件发生次数的分布函数：如果在[0,T]内仅发生一次安全事件，那么此安全事件发生在t内的概率p依赖于t与T的相对大小。令满足当T→∞时，p→0。此时，在给定时间段t的情况下，np为常数。如果t内发生一次安全事件记为“成功”，而发生在t外记为“失败”。因此，在t内发生k次安全事件的概率服从二项式概率分布，分布函数为：

$>p_n\left(k\right)=\frac{n!}{(n-k)!k!}{p}^k{(1-p)}^{n-k}---\left(4\right)$>

如果对安全事件进行分类(m种)，类型为i的安全事件平均发生概率为λ_i，那么在t时间段内类型i的危险事件发生k_i次的概率可表示为：

$>p\left(k_i\right|{\lambda }_i)=\frac{{\left({\lambda }_{i}t\right)}^{k_i}}{k_i!}{e}^{-{\lambda }_{i}t}(k_i=0,...,\infty )---\left(5\right)$>

攻击或失效产生的后果与系统鲁棒性紧密联系。不同类型的风险对系统鲁棒性影响也不同，攻击或失效产生的后果可以定义为鲁棒性评价指标的函数，即：

P(E_j,C_j)＝f(R_ij)    (6)

式中，R_ij是攻击目标或失效目标s_i在特定状态的攻击条件或失效条件a_j下以及控制参数损失程度r_i的情况下的鲁棒性指标。

前述的面向典型冶金工艺流程控制系统的信息安全风险评估方法中，步骤e中所述的综合的系统信息安全风险指标，是所有安全事件风险指标的加权平均后的结果，权值的确定根据安全事件的严重程度来分配的。