技术领域
本发明属于工控网络安全风险评估技术领域,特别涉及一种基于多层模糊系统的工控网络安全风险评估方法。
背景技术
随着工业自动化的不断发展,通用信息系统与工业控制系统通过网络连接在一起,进行数据交互,实现工业数据采集、远程监控和集中管理。这种做法在提高企业生产效率、降低管理成本的同时,也改变工业控制系统“安全孤岛”的状态,使原本相对封闭而缺乏网络安全防护措施的工业控制系统网络,面临着来自外部网络的威胁。近年来发生多起造成严重后果和恶劣影响的工业控制系统安全问题,引起国家各部门和学术界的共同关注,针对工业控制系统的科学、系统化的安全行为分析方法成为了亟待解决的问题。风险评估是保障工控网络信息安全的一个有效手段,对其进行风险评估能够发现系统的脆弱点,以便及时采取防御手段,降低系统的风险水平。
风险评估是指在风险事件发生之前或之后,该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即,风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。常见的工控网络风险评估方法有层次分析法、攻击树、攻击图、灰色理论和BP神经网络等,多种方法通常相互结合来完成系统的工控网络风险评估。
工业控制系统是由各种生产和监控过程所必需的计算机、控制器及网络连接设备集成的控制系统的统称,它能够为工业生产提供自动化作业,主要由监控与数据采集系统(SCADA)、分布控制系统(DCS)及一些小型控制系统组成。通常,这类集成的控制系统根据网络结构分为三层,顶层是企业信息网络,中间层是过程监控网络,底层是现场控制网络,可配合图1所示。
其中,企业信息网络是以传统的IT技术为基础进行架构的,所以企业信息网络具有IT信息网络的所有属性,可通过ERP(网络公关)系统为企业资源应用的所有业务提供需求,并通过MES(制造执行系统)为企业提供包括制造数据管理、生产调度管理等模块。
过程控制网络承担着对上下两层网络之间的调度与反馈任务,由分布式SCADA服务器采集和监控生产过程的参数,并利用HMI(人机界面)实现人机交互。它可以根据上层的生产控制指令调度下层的现场控制设备,也可以对工业现场的生产情况进行实时监测和数据统计,为上层调控提供信息反馈。
现场控制网络是自动化系统与现场设备相连的唯一网络,被大量用于连接现场检测传感器、行器与工业控制器,主要通过PLC(可编程控制器)、DCS控制单元和RTU(远程终端单元)等进行生产过程的控制。近年来,虽然已有部分支持工业以太网通信接口的现场设备,但仍有大量的现场设备依旧采用电气硬接线直连控制器的方式连接。在现场级,无线通信只是部分特殊场合被使用,存量很低。这种现状造成工业系统在设计、集成和运维的各个阶段的效率,都受到极大制约,进而阻碍着精细化控制和高等级工艺流程管理的实现。
发明内容
本发明的目的,在于提供一种基于多层模糊系统的工控网络安全风险评估方法,其可客观反映工控系统网络安全风险值,大大降低模糊推理方法的计算复杂度。
为了达成上述目的,本发明的解决方案是:
一种基于多层模糊系统的工控网络安全风险评估方法,包括如下步骤:
步骤1,对工控系统的资产、脆弱性、威胁进行分析,构建工控系统信息安全的风险评析图;
步骤2,基于步骤1构建的风险评析图,划分现场控制层、过程监控层、企业管理层的安全风险等级,以及威胁频度、脆弱性和资产价值等级;
步骤3,构建第一层模糊推理模型,具体包括,首先通过感知网络结构中的基础数据,获得现场控制层、过程监控层和企业管理层的风险等级,然后通过定义三角模糊隶属函数、模糊推理规则,并利用Mamdani模糊推理获得威胁频度、脆弱性和资产影响的三角模糊隶属函数;
步骤4,构建第二层模糊推理模型,具体包括,由第一层模糊推理模型所得到的威胁频度和脆弱性,通过定义模糊推理规则,并利用Mamdani模糊推理获得威胁发生可能性的三角模糊隶属函数;
步骤5,构建第三层模糊推理模型具体包括,由第一层模糊推理模型所得到的资产价值和第二层模糊推理模型所得到的威胁发生可能性,通过定义模糊推理规则,并利用Mamdani模糊推理获得总体风险的三角模糊隶属函数;
步骤6,利用“面积中心法”的解模糊方法获得工控系统网络安全风险值。
上述步骤1中,对工控系统的资产进行分析,包括将工控系统的资产按照网络结构的层次划分为现场控制层资产、过程监控层资产和企业管理层资产;或者将工控系统的资产按照属性的不同划分为资产可用性、资产完整性和资产机密性。
上述步骤1中,对工控系统的脆弱性进行分析,包括按照属性分为技术脆弱性和管理脆弱性,或者按照网络结构分为现场总线控制网络脆弱性、过程控制与监控网络脆弱性和企业办公网络脆弱性。
上述企业办公网络脆弱性在信息管理层面上分为:信息资产自身漏洞的脆弱性、网络互连给系统带来的脆弱性、内部管理机制缺失的脆弱性、安全意识缺乏和操作流程不明确的脆弱性。
上述步骤1中,对工控系统的威胁进行分析,包括分别分析现场控制层、过程监控层和企业信息层的威胁。
上述步骤3的具体实现过程是:
采用MATLAB中的Fuzzy工具箱,设置输入量名为:现场控制层、过程监控层、企业管理层,其参数划分均为“低、较低、中等、较高、高”,;输出量名为威胁频度、脆弱性、资产影响,参数划分均为“低、较低、中等、较高、高”;设置的Type为trimf,Defuzzification为centroid。
上述步骤4的具体实现过程是:
采用MATLAB中的Fuzzy工具箱,设置输入量为:威胁频度、脆弱性,其参数划分均为“低、较低、中等、较高、高”;输出量为威胁发生的可能性,其参数划分为“低、较低、中等、较高、高”;设置的Type为trimf,Defuzzification为centroid。
上述步骤5的具体实现过程是:
采用MATLAB中的Fuzzy工具箱,设置输入量为:威胁发生的可能性、资产影响其参数划分均为“低、较低、中等、较高、高”;输出量为整体风险值,其参数划分为“低、较低、中等、较高、高”;设置的Type为trimf,Defuzzification为centroid。
上述步骤6的具体实现过程是:
模糊控制器首先计算输出变量范围内换算后隶属函数的面积,然后模糊控制器使用下列等式计算该面积的几何中心:
其中,CoA为面积中心,x是语言变量的值,X
采用上述方案后,本发明融合层次分析法和模糊推理方法,以资产、脆弱性、威胁为关键评价指标,综合考虑工控系统中的现场控制层、过程监控层和企业信息层中的风险因素,建立工控系统网络安全风险影响因素层次分析模型;通过因素识别、威胁概率分析和总体风险分析,结合Mamdani模糊推理构建基于多层模糊系统的工控网络安全风险评估模型,由面积中心法解模糊化,得出工控系统网络安全风险值。本发明综合考虑了工控系统中的现场控制层、过程监控层和企业信息层中的风险因素,采用多层模糊系统的方法,大大降低模糊推理方法的计算复杂度,且可以客观反映工控系统网络安全风险值。
附图说明
图1是工控系统的网络结构示意图;
图2是工控系统信息安全的风险评析图;
图3是本发明基于多层模糊系统的工控系统风险评估流程图;
图4是Mamdani法推理示意图;
图5是面积中心法的示意图;
图6是一层模型的参数和设置;
图7是一层模型的输入输出量的隶属函数;
图8是一层模型的规则库;
图9是一层模型规则库的可视化;
图10是一层模型的表面输出;
图11是二层模型的参数和设置;
图12是二层模型的隶属函数;
图13是二层模型的规则库;
图14是二层模型规则库的可视化;
图15是二层模型的表面输出;
图16是三层模型的参数和设置;
图17是三层模型的隶属函数;
图18是三层模型的规则库;
图19是三层模型规则库的可视化;
图20是三层模型的表面输出。
具体实施方式
以下将结合附图,对本发明的技术方案及有益效果进行详细说明。
首先,对工业控制系统中的风险因素进行分析,具体如下:
工业控制系统资产存在形式多种多样,按照网络结构的层次划分,归为3大类:“现场控制层资产”,主要包括控制器、采集执行设备、数据存储设备等;“过程监控层资产”,主要包括操作员站、工程师站、数据库服务器等;“企业管理层资产”,主要包括管理办公设备、服务器等。相关资产的重要性主要体现在硬件、软件、数据上,按照属性的不同可将资产重要性分为资产可用性、资产完整性、资产机密性。
工业控制系统的脆弱性按照不同的属性可以分为技术脆弱性和管理脆弱性。在工控系统三层网络结构中,工控系统脆弱性又可分为:现场总线控制网络脆弱性、过程控制与监控网络脆弱性、企业办公网络脆弱性三部分。其中企业办公网络脆弱性在信息管理层面上又可以分为:信息资产自身漏洞的脆弱性、网络互连给系统带来的脆弱性、内部管理机制缺失的脆弱性、安全意识缺乏和操作流程不明确的脆弱性。
在网络结构中,工业控制系统的威胁主要来自几个方面。现场控制层:非法设备物理接入、控制数据被篡改等;过程监控层:拒绝服务攻击、DOS攻击等;企业信息层:未授权网络连接、病毒和木马植入等。
第一步,结合以上对工控系统的资产、脆弱性、威胁的分析,在现实网络风险的基础上构建工控系统信息安全的风险评析图,如图2所示。结合风险评估原理,以资产、脆弱性、威胁为评价的关键指标,将网络结构的三层架构作为二类指标基础,构建基于多层模糊系统的工控网络安全风险评估结构图,如图3所示。
第二步,划分因素等级,根据第一步所构建的风险评析图,划分现场控制层、过程监控层、企业管理层的安全风险等级,以及威胁频度、脆弱性和资产价值等级。如表1-4所示:
表1现场控制层、过程监控层、企业管理层的风险等级划分表
表2威胁频度等级划分表
表3脆弱性等级划分表
表4资产价值等级划分表
第三步,构建第一层模糊推理模型。
本层首先通过感知网络结构中的基础数据,利用模糊综合评价等方法获得现场控制层、过程监控层和企业管理层的风险等级。通过定义三角模糊隶属函数、模糊推理规则,并利用Mamdani模糊推理获得威胁频度、脆弱性和资产影响的三角模糊隶属函数。
Mamdani型模糊推理方法是1975年由Ebrahin Mamdani为了控制蒸汽发动机提出来的,它是模糊推理中最常见的算法,是最先将模糊集合的理论用来控制系统。这种方法采用综合一系列有经验的操作者提供的线性控制规律来控制锅炉,这种方法源于Zadeh关于模糊算法在复杂系统和决策处理中应用的思想。
Mamdani型模糊推理模型通过非常小的模糊规则来定义模糊蕴含中所存在的模糊关系,如:R:If x is A,then y is B。
由此构建的模糊关系为:
R=A×B=∫
其中,R为模糊关系,A是推理前件的模糊集合,B是模糊规则的后件,x为输入语言变量,y为输出的语言变量,μ
对于肯定前件式,如图4,对于给定的模糊集合A′,采用“∨-∧”(合取-析取)合成规则的Mamdani模糊逻辑推理,得到B′,其计算公式为:
具体实现过程直接采用MATLAB中的Fuzzy工具箱,设置输入量名为:现场控制层、过程监控层、企业管理层,其参数划分均为(低、较低、中等、较高、高),这些参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。输出量名为威胁频度、脆弱性、资产影响。同样的,参数划分均为(低、较低、中等、较高、高),这些参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。设置的Type(参数类型)为trimf(三角函数),Defuzzification(解模糊)为centroid(面积中心法)。具体设置和部分模糊推理规则见图5-图9。
第四步,构建第二层模糊推理模型。由第一层模糊推理所得到的威胁频度和脆弱性,通过定义模糊推理规则,并利用Mamdani模糊推理获得威胁发生可能性的三角模糊隶属函数。
具体实现过程直接采用MATLAB中的Fuzzy工具箱,设置输入量为:威胁频度、脆弱性,其参数划分均为(低、较低、中等、较高、高),这些参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。输出量为威胁发生的可能性,其参数划分为(低、较低、中等、较高、高),参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。设置的Type(参数类型)为trimf(三角函数),Defuzzification(解模糊)为centroid(面积中心法)。具体设置见图10-图14。
第五步,构建第三层模糊推理模型。由第一层模糊推理所得到的资产价值和第二层模糊推理所得到的威胁发生可能性,通过定义模糊推理规则,并利用Mamdani模糊推理获得总体风险的三角模糊隶属函数。
具体实现过程直接采用MATLAB中的Fuzzy工具箱,设置输入量为:威胁发生的可能性、资产影响其参数划分均为(低、较低、中等、较高、高),这些参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。输出量为整体风险值,其参数划分为(低、较低、中等、较高、高),参数具有的值为(0.00-0.20,0.21-0.40,0.41-0.60,0.61-0.8,0.81-1.00)。设置的Type(参数类型)为trimf(三角函数),Defuzzification(解模糊)为centroid(面积中心法)。具体设置见图15-图19。
第六步,利用“面积中心法”的解模糊方法获得工控系统网络安全风险值。
如图20所示,面积中心(CoA)去模糊化方法(也称重心法)中,模糊控制器首先计算输出变量范围内换算后隶属函数的面积,然后模糊控制器使用下列等式计算该面积的几何中心:
其中,CoA为面积中心,x是语言变量的值,X
以上实施例仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明保护范围之内。
机译: 基于过程的安全风险评估方法
机译: 基于危害矩阵和装置的航空安全风险评估方法
机译: 基于危害矩阵的航空安全风险评估方法及装置
