張書欽, 李凱江, 郭倩倩, 孫利民, 石志強(qiáng)

(1.中國科學(xué)院 信息工程研究所, 北京 100093；2. 中原工學(xué)院 鄭州 450007)

伴隨著互聯(lián)網(wǎng)的迅猛發(fā)展，網(wǎng)絡(luò)安全成了備受關(guān)注的問題。工業(yè)控制網(wǎng)絡(luò)作為國家至關(guān)重要的基礎(chǔ)設(shè)施，其安全問題成為了政府的關(guān)注焦點(diǎn)。一般來說，網(wǎng)絡(luò)安全問題的內(nèi)在原因主要在于網(wǎng)絡(luò)系統(tǒng)本身存在的脆弱性，網(wǎng)絡(luò)的脆弱性是指網(wǎng)絡(luò)中的任何能夠被用來作為攻擊前提的特性。在網(wǎng)絡(luò)安全防御中，通過脆弱性分析及相應(yīng)的安全加固能夠有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

利用攻擊樹和攻擊圖能夠建立模型用來模擬網(wǎng)絡(luò)系統(tǒng)可能遭受的攻擊和系統(tǒng)安全狀態(tài)的變化，其中攻擊樹的結(jié)構(gòu)過于簡單，攻擊圖能夠描述龐大復(fù)雜的攻擊邏輯。Phillips C等提出了狀態(tài)攻擊圖，這種攻擊圖適合人工分析[1]。Ammann P等提出了屬性攻擊圖，這種攻擊圖可方便地進(jìn)行自動(dòng)化分析[2]；Ou X等利用屬性攻擊圖的特點(diǎn)開發(fā)了建模與分析工具軟件MulVAL[3]；在屬性攻擊圖模型的基礎(chǔ)上，Aguessy F X等基于MulVAL生成的屬性攻擊圖提出了一種用于評(píng)估信息系統(tǒng)安全級(jí)別的安全評(píng)估模型[4]。高妮等利用貝葉斯攻擊圖描述攻擊行為的不確定性，并依據(jù)攻擊成本和攻擊收益提出了一種基于粒子群的最優(yōu)安全防護(hù)策略選擇算法[5]。攻擊圖模型不僅可用于常規(guī)的網(wǎng)絡(luò)環(huán)境，也可用于工業(yè)控制網(wǎng)絡(luò)中。黃家輝等提出了一種基于攻擊圖的工業(yè)控制系統(tǒng)脆弱性量化評(píng)估模型，給出了一套工控網(wǎng)絡(luò)系統(tǒng)脆弱性量化指標(biāo)等級(jí)劃分標(biāo)準(zhǔn)，并對(duì)攻擊圖上所有可能的攻擊路徑進(jìn)行脆弱性分析[6]。黃惠萍等提出了一種基于攻擊樹的工業(yè)控制系統(tǒng)安全評(píng)估方案[7]。

與常規(guī)計(jì)算機(jī)網(wǎng)絡(luò)相比，工控網(wǎng)絡(luò)中不同區(qū)域的資產(chǎn)有不同的重要程度，對(duì)核心資產(chǎn)的攻擊可能導(dǎo)致極嚴(yán)重的后果，且不同的漏洞會(huì)有不同程度的安全威脅?；诖耍疚睦霉魣D技術(shù)對(duì)工業(yè)控制網(wǎng)絡(luò)的脆弱性進(jìn)行分析，給出了一種安全修復(fù)選擇策略。該策略基于工業(yè)控制網(wǎng)絡(luò)中主機(jī)資產(chǎn)的分層特點(diǎn)和漏洞威脅來評(píng)估所有可能攻擊路徑的安全風(fēng)險(xiǎn)，進(jìn)而選擇安全風(fēng)險(xiǎn)最高的攻擊路徑，并修復(fù)該攻擊路徑上的漏洞。最后在模擬的網(wǎng)絡(luò)環(huán)境下通過實(shí)驗(yàn)驗(yàn)證，該方案能為工業(yè)控制網(wǎng)絡(luò)提供有效防護(hù)。

1 基于攻擊圖的工業(yè)控制網(wǎng)絡(luò)安全脆弱性分析

攻擊圖作為一種基于模型的脆弱性分析技術(shù)，能夠建立模型并模擬網(wǎng)絡(luò)中存在的脆弱性和它們之間的相互關(guān)系，分析可能的攻擊路徑和潛在威脅。已有的攻擊圖生成方法存在狀態(tài)爆炸的問題，導(dǎo)致生成效率低，生成的攻擊圖規(guī)模龐大。為了解決這個(gè)問題, 本節(jié)在形式化描述攻擊圖及攻擊路徑的基礎(chǔ)上，通過反向、廣度優(yōu)先的遍歷算法搜索網(wǎng)絡(luò)中存在的可能攻擊路徑，降低攻擊圖規(guī)模，提高攻擊圖生成效率。

1.1 攻擊圖與攻擊路徑

攻擊圖能夠根據(jù)攻擊動(dòng)作間的因果關(guān)系呈現(xiàn)網(wǎng)絡(luò)中潛在的滲透式攻擊序列，其中包含了所有可被攻擊者利用的漏洞實(shí)體節(jié)點(diǎn)、前提集合和后果集合。如果一個(gè)漏洞的前提恰好是另一個(gè)漏洞的攻擊后果，那么這兩個(gè)漏洞就產(chǎn)生了關(guān)聯(lián)。通過對(duì)當(dāng)前網(wǎng)絡(luò)中的漏洞進(jìn)行關(guān)聯(lián)分析就可以發(fā)現(xiàn)網(wǎng)絡(luò)中所有可能的攻擊路徑。這種包含所有可能攻擊路徑的描述稱為攻擊圖。

(1)攻擊圖G(V,A,P,I)是一種與或圖，其中，V為攻擊圖中的實(shí)體節(jié)點(diǎn)集合，這些實(shí)體節(jié)點(diǎn)有兩種，分別為漏洞實(shí)體和狀態(tài)實(shí)體。漏洞實(shí)體代表在工業(yè)控制網(wǎng)絡(luò)中存在的漏洞信息，狀態(tài)實(shí)體代表當(dāng)前主機(jī)的攻擊條件或者攻擊后果；A代表一次原子攻擊中實(shí)體節(jié)點(diǎn)間的依賴關(guān)系，該依賴關(guān)系由攻擊規(guī)則生成。攻擊規(guī)則是指漏洞組cves在狀態(tài)實(shí)體pre滿足的情況下可以進(jìn)行原子攻擊，到達(dá)post狀態(tài)實(shí)體；P表示漏洞實(shí)體節(jié)點(diǎn)間依賴關(guān)系的類型，主要有AND型和OR型；I代表了漏洞的修復(fù)信息。

攻擊圖中，有向弧表示漏洞的先后利用關(guān)系，存在AND和OR 兩種邏輯約束關(guān)系：

AND型依賴關(guān)系是指一次攻擊過程必須同時(shí)利用多個(gè)漏洞才能滿足攻擊條件。

OR型依賴關(guān)系是指在一個(gè)攻擊過程中只需要利用任意一個(gè)漏洞實(shí)體就能滿足攻擊條件。

(2)攻擊路徑S是攻擊圖G的一個(gè)子圖，即S?G。在S中，只有一個(gè)出度為0的節(jié)點(diǎn)，即該攻擊路徑的攻擊目標(biāo)。攻擊路徑是針對(duì)特定攻擊目標(biāo)的攻擊序列，其中入度為0的節(jié)點(diǎn)就是該攻擊路徑的先決條件。

1.2 攻擊圖生成算法

本文采用反向、廣度優(yōu)先節(jié)點(diǎn)遍歷算法來生成攻擊圖。因?yàn)榉聪蛩阉骺梢员苊鈱?duì)非攻擊目標(biāo)中實(shí)體節(jié)點(diǎn)進(jìn)行遍歷。因此，通過反向廣度優(yōu)先的節(jié)點(diǎn)遍歷算法可以提高攻擊圖的構(gòu)造效率。

算法思想：在攻擊目標(biāo)為target的攻擊圖生成中，從target開始進(jìn)行逆向推導(dǎo)。在攻擊規(guī)則中搜索target作為攻擊后果的所有規(guī)則，通過該規(guī)則創(chuàng)建target的前驅(qū)漏洞實(shí)體節(jié)點(diǎn)和狀態(tài)實(shí)體節(jié)點(diǎn)(攻擊前提)。然后將這些狀態(tài)實(shí)體節(jié)點(diǎn)作為攻擊后果進(jìn)行下一次迭代。一般來說，一條攻擊路徑上需要利用的漏洞數(shù)量越多，則認(rèn)為攻擊難度越大?？赏ㄟ^廣度優(yōu)先遍歷過程中的迭代次數(shù)對(duì)攻擊難度進(jìn)行限制。該算法的偽代碼如下：

算法1：攻擊圖生成算法

Input:target,deep,attackRules//分別代表攻擊目標(biāo)，最大攻擊次數(shù)，攻擊規(guī)則

Output:attackGraph

attackGraphBuild (target,deep,attackRules){

attackGraph=target

foreach(rule:attackRules){

i=1

if(rule.post==target&&rule.cves∈target.cves){

target.childrens.setList(i,rule.cves)

target.childrens.get(i).setPre(rule.pre)

}

//在不滿足深度的情況下，攻擊圖全部狀態(tài)已經(jīng)構(gòu)建完畢

if(i=1){

returnattackGraph

}

}// end of foreach

deep=deep-1

if(deep>0){

foreachnode:target.childrens{

attackPathBuild(node,deep,attackRules)

}

}else{

returnattackGraph

}

}

2 工業(yè)控制網(wǎng)絡(luò)安全脆弱性修復(fù)選擇策略

在工業(yè)控制網(wǎng)絡(luò)安全脆弱性的修復(fù)選擇中，以攻擊路徑中漏洞節(jié)點(diǎn)的總風(fēng)險(xiǎn)值作為修復(fù)依據(jù)。為了對(duì)單個(gè)漏洞的風(fēng)險(xiǎn)值進(jìn)行評(píng)估，本文結(jié)合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，提出了一種基于主機(jī)分層資產(chǎn)和漏洞威脅相結(jié)合的工業(yè)控制系統(tǒng)修復(fù)選擇策略。首先，將工業(yè)控制網(wǎng)絡(luò)中不同層次的設(shè)備進(jìn)行資產(chǎn)重要性的評(píng)估；然后，利用漏洞周期性的特點(diǎn)對(duì)不同時(shí)期的漏洞進(jìn)行評(píng)估；最后，對(duì)不同網(wǎng)絡(luò)層次的不同漏洞給出風(fēng)險(xiǎn)值的計(jì)算公式。

2.1 工業(yè)控制網(wǎng)絡(luò)分層和資產(chǎn)重要性評(píng)估

根據(jù)工業(yè)控制網(wǎng)絡(luò)中各類設(shè)備的功能，工業(yè)控制網(wǎng)絡(luò)設(shè)備按區(qū)域可劃分三層，即設(shè)備層、監(jiān)控層、辦公層。其中在設(shè)備層和監(jiān)控層中，主機(jī)分配的任務(wù)相對(duì)較明確，具有相同任務(wù)的主機(jī)一般在同一工業(yè)控制網(wǎng)絡(luò)中，所安裝的應(yīng)用基本相同，這些主機(jī)具有相同的漏洞，因此經(jīng)過這樣的分層劃分更符合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)。設(shè)備層主要包括工業(yè)控制設(shè)備以及工業(yè)控制輔助設(shè)備，如PLC、RTU、IDE、AGV等終端設(shè)備；監(jiān)控層是辦公層與設(shè)備層的中間層，這一層主要包括工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的控制服務(wù)器，如歷史信息數(shù)據(jù)庫服務(wù)器、實(shí)時(shí)數(shù)據(jù)庫服務(wù)器、Batch服務(wù)器、SCADA服務(wù)器、工程師站、域控制器；辦公層主要包括企業(yè)內(nèi)部的Web、OA、郵件服務(wù)器以及EMS系統(tǒng)等內(nèi)網(wǎng)管理服務(wù)器和主機(jī)，辦公層一般直接連接到Internet，會(huì)直接面臨著外部威脅。

資產(chǎn)評(píng)估影響因子Ak(i)表示位于網(wǎng)絡(luò)分層k中漏洞i被攻擊后的損失代價(jià)。k為1、2、3，分別代表設(shè)備層、監(jiān)控層和辦公層，則資產(chǎn)評(píng)估影響因子表達(dá)式為：

(1)

其中：wk表示分層k在系統(tǒng)中的資產(chǎn)重要性權(quán)重系數(shù)；mk為分層k中網(wǎng)絡(luò)設(shè)備的數(shù)量。

2.2 工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的漏洞影響值構(gòu)建

(2)

2.3 基于資產(chǎn)重要性和漏洞影響值的修復(fù)選擇策略

(3)

通過式(3)可以計(jì)算所有漏洞實(shí)體節(jié)點(diǎn)的安全風(fēng)險(xiǎn)值。一條攻擊路徑中包含了許多漏洞實(shí)體節(jié)點(diǎn)，這里將攻擊路徑上漏洞實(shí)體節(jié)點(diǎn)的風(fēng)險(xiǎn)值之和作為該攻擊路徑的總風(fēng)險(xiǎn)值(算法3)。在獲得攻擊圖中所有可能攻擊路徑的安全風(fēng)險(xiǎn)之后，就可以選擇安全風(fēng)險(xiǎn)最高的攻擊路徑，并修復(fù)該路徑上的漏洞。這里通過兩個(gè)算法來實(shí)現(xiàn)對(duì)攻擊圖中攻擊路徑風(fēng)險(xiǎn)的評(píng)估，分別是攻擊路徑生成算法(算法2)和攻擊路徑總風(fēng)險(xiǎn)值評(píng)估算法(算法3)。

算法思想：在評(píng)估前，按照式(3)計(jì)算出所有主機(jī)上的漏洞的風(fēng)險(xiǎn)值，將這些漏洞風(fēng)險(xiǎn)值作為漏洞主機(jī)庫cveHostlib。攻擊路徑算法中采用數(shù)組容器作為攻擊路徑集合的容器。將所有入度為0的節(jié)點(diǎn)作為攻擊路徑集合的第一個(gè)狀態(tài)實(shí)體節(jié)點(diǎn)，然后在攻擊圖中查找下一個(gè)狀態(tài)實(shí)體或漏洞實(shí)體，依次加入到攻擊路徑中，直到到達(dá)攻擊目標(biāo)target。在攻擊路徑總風(fēng)險(xiǎn)值算法中，通過對(duì)攻擊路徑中的漏洞實(shí)體進(jìn)行遍歷，在漏洞主機(jī)庫中查找出遍歷結(jié)果對(duì)應(yīng)的風(fēng)險(xiǎn)值。通過對(duì)攻擊路徑中的漏洞實(shí)體風(fēng)險(xiǎn)值求和得出該攻擊路徑的總風(fēng)險(xiǎn)值。

算法2：攻擊路徑生成算法

Input:attackGraph,target,preinits//分別為攻擊圖，攻擊目標(biāo)，攻擊圖入度為0的初始實(shí)體集合

Output:attackPaths//攻擊路徑集合

attackPathBuild(attackGraph,target,preinits,attackPaths){

i=0

foreach(preinit:preinits){

i=i+1

j=0

attackPaths[i][j]=preinit

do{

//根據(jù)攻擊圖獲取當(dāng)前實(shí)體的前驅(qū)實(shí)體

preNode=getPre(preinit,attackGraph)

j=j+1

attackPaths[i][j]=preNode

} while(preNode!=target)

} // end of foreach

ReturnattackPaths

}

算法3：攻擊路徑總風(fēng)險(xiǎn)值算法

Input:attackPaths,cveHostlib//分別代表攻擊路徑集合，主機(jī)風(fēng)險(xiǎn)值庫。

Output:risk//攻擊路徑集合風(fēng)險(xiǎn)值。

attackPathRisk(attackPaths,cveHostlib){

i=0

foreach(attackPath:attackPaths){

i=i+1

risk[i]=0

for(j=1;j

//判斷攻擊路徑當(dāng)前節(jié)點(diǎn)類型是否為漏洞實(shí)體類型

if(iscveType(attackPath[j])){

risk[i]=risk[i]+getRiskByNode(cveHostlib,attackPath[j])

}

}

}

Returnrisk

}

3 實(shí)驗(yàn)分析

3.1 工業(yè)控制網(wǎng)絡(luò)模擬場景

本文以真實(shí)的工業(yè)控制系統(tǒng)作為實(shí)驗(yàn)背景，模擬攻擊者從外網(wǎng)逐步入侵工業(yè)控制網(wǎng)絡(luò)的過程，來驗(yàn)證本文所提出的脆弱性分析技術(shù)及漏洞修復(fù)策略。實(shí)驗(yàn)中配置了兩個(gè)子網(wǎng)：辦公網(wǎng)和工業(yè)控制網(wǎng)。辦公網(wǎng)有1臺(tái)服務(wù)器(10.0.202.3/10)，工業(yè)控制網(wǎng)有1臺(tái)H3C SR8805路由器、1臺(tái)SCADA服務(wù)器(10.128.1.3/10)和3臺(tái)嵌入式Linux工業(yè)控制設(shè)備(10.128.58.251/10-10.128.58.253/10)，實(shí)驗(yàn)網(wǎng)絡(luò)部署如圖1所示。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)置示意

3.2 攻擊圖生成與攻擊路徑分析

攻擊圖的生成主要分為兩個(gè)步驟：獲取網(wǎng)絡(luò)脆弱性信息和攻擊圖的構(gòu)建。通過漏洞掃描工具對(duì)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描，此時(shí)掃描結(jié)果已經(jīng)具有了該系統(tǒng)中的所有漏洞信息。在漏洞信息的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)配置以及漏洞依賴關(guān)系，通過算法1進(jìn)行攻擊圖的生成，生成結(jié)果如圖2所示。

由圖2可知，該攻擊圖中共有8個(gè)漏洞實(shí)體節(jié)點(diǎn)和9個(gè)狀態(tài)實(shí)體節(jié)點(diǎn)。為方便描述，對(duì)其各個(gè)實(shí)體節(jié)點(diǎn)進(jìn)行了1-17的編號(hào)。該攻擊圖主要將攻擊目標(biāo)設(shè)置為工業(yè)控制系統(tǒng)中的服務(wù)器和3個(gè)工控設(shè)備。通過算法2可以實(shí)現(xiàn)攻擊圖中攻擊路徑的生成。攻擊者如果對(duì)工業(yè)控制系統(tǒng)中控制層的服務(wù)器進(jìn)行攻擊，共有兩條攻擊路徑：1-2-4-10-16和1-3-5-10-16，通過這兩條攻擊路徑最終獲取在控制層的服務(wù)器上執(zhí)行任意代碼的權(quán)限。當(dāng)對(duì)工業(yè)控制系統(tǒng)中的3個(gè)工控設(shè)備進(jìn)行攻擊時(shí)，也可以通過類似的步驟進(jìn)行分析。

3.3 漏洞主機(jī)庫的構(gòu)建

在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全維護(hù)人員針對(duì)攻擊圖中所有的漏洞進(jìn)行逐個(gè)修復(fù)顯然是不現(xiàn)實(shí)的。因此，需要對(duì)其中的攻擊路徑進(jìn)行評(píng)估，選取最具有價(jià)值的攻擊路徑，以選擇修復(fù)策略。算法3描述了對(duì)攻擊路徑總體風(fēng)險(xiǎn)值的計(jì)算過程，該計(jì)算過程的核心是漏洞主機(jī)庫的建立。根據(jù)式(3)可知，漏洞主機(jī)庫的構(gòu)建需要考慮漏洞本身的影響值和主機(jī)的資產(chǎn)評(píng)估影響因子。

漏洞本身的影響值是由歷史漏洞情況和當(dāng)前周期的具體情況決定的。使用脆弱性掃描工具Nessus對(duì)網(wǎng)絡(luò)進(jìn)行掃描統(tǒng)計(jì)，根據(jù)掃描結(jié)果計(jì)算出的漏洞影響值見表1(僅給出漏洞影響值的top10)。在第一次掃描后，計(jì)算出各個(gè)漏洞出現(xiàn)的概率，作為漏洞影響值(第1列)；此后每4個(gè)月進(jìn)行一次掃描，依次計(jì)算出各個(gè)漏洞出現(xiàn)的概率(第2列)，根據(jù)式(2)(衰減因子取值α=0.2)可計(jì)算出當(dāng)前周期各個(gè)漏洞對(duì)應(yīng)的影響值(第3列)。因?yàn)楣I(yè)控制網(wǎng)絡(luò)中，新暴露出來的漏洞更容易被攻擊者利用，因此當(dāng)前周期的權(quán)重因子系數(shù)選為0.8。

圖2 實(shí)驗(yàn)生成的攻擊圖

表1 漏洞影響值表

主機(jī)的資產(chǎn)評(píng)估影響因子如表2所示。目前由于工業(yè)控制網(wǎng)絡(luò)系統(tǒng)的應(yīng)用比較廣泛，對(duì)于監(jiān)控層、設(shè)備層和辦公層的重視程度均不同。本文擬設(shè)監(jiān)控層損失代價(jià)為7、設(shè)備層損失代價(jià)為4、辦公層損失代價(jià)為2(第3列)。這里損失代價(jià)指的是該層被攻破后的總體損失。根據(jù)式(1)計(jì)算出該層中各個(gè)設(shè)備主機(jī)平均承擔(dān)的損失值，并將該層中各個(gè)設(shè)備被攻破后的損失值作為該主機(jī)的資產(chǎn)評(píng)估影響因子(第4列)。

根據(jù)式(3)，可以在漏洞本身的影響值(見表1)和主機(jī)的資產(chǎn)評(píng)估影響因子(見表2)的基礎(chǔ)上構(gòu)建主機(jī)漏洞庫。主機(jī)漏洞庫的建立過程其實(shí)是對(duì)不同主機(jī)(見表3第1列)的不同漏洞(見表3第2列)進(jìn)行安全風(fēng)險(xiǎn)值的計(jì)算過程。利用式(3)得出安全風(fēng)險(xiǎn)值(見表3第5列)。主機(jī)漏洞庫作為攻擊路徑評(píng)估過程的動(dòng)態(tài)庫，需要隨著漏洞影響值的周期性變化而進(jìn)行周期性地計(jì)算更新。

表2 工業(yè)控制網(wǎng)絡(luò)中的分層資產(chǎn)評(píng)估影響因子指標(biāo)

表3 與攻擊圖節(jié)點(diǎn)中相關(guān)的主機(jī)漏洞庫

3.4 攻擊路徑的評(píng)估和修復(fù)選擇策略

利用算法2可以得出攻擊圖中針對(duì)特定目標(biāo)的所有的攻擊路徑。這里將監(jiān)控主機(jī)10.128.1.3設(shè)置為攻擊目標(biāo)，則生成的攻擊路徑集合為[{1-2-4-10-16}和{1-3-5-10-16}]，相應(yīng)地有兩種修復(fù)策略：(1)攻擊路徑{1-2-4-10-16}對(duì)應(yīng)修復(fù)的漏洞實(shí)體節(jié)點(diǎn)(路由器上的漏洞CVE-2013-2340和主機(jī)10.128.1.3上的漏洞CVE-2002-1645)；(2)攻擊路徑{1-3-5-10-16}對(duì)應(yīng)修復(fù)主機(jī)10.0.202.3上的漏洞CVE2008-4932和主機(jī)10.128.1.3上的漏洞CVE-2002-1645。利用算法3求得兩條攻擊路徑的總體漏洞風(fēng)險(xiǎn)值分別為0.312 90和0.348 68。因此，對(duì)攻擊路徑{1-3-5-10-16}對(duì)應(yīng)的漏洞實(shí)體進(jìn)行修復(fù)可作為修復(fù)策略的首選。

4 結(jié) 語

由于工業(yè)控制網(wǎng)絡(luò)的安全問題日益嚴(yán)峻，迫切需要對(duì)安全脆弱性分析、安全加固等安全防護(hù)技術(shù)進(jìn)行研究，因此本文利用攻擊圖技術(shù)對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行脆弱性分析，并基于反向、廣度優(yōu)先節(jié)點(diǎn)遍歷算法生成攻擊圖。并提出了一種安全修復(fù)選擇策略，利用工業(yè)控制網(wǎng)絡(luò)主機(jī)資產(chǎn)的分層特點(diǎn)和漏洞的威脅程度來評(píng)估所有可能攻擊路徑的安全風(fēng)險(xiǎn)，進(jìn)而選擇安全風(fēng)險(xiǎn)最高的攻擊路徑進(jìn)行修復(fù)，并在模擬網(wǎng)絡(luò)環(huán)境中對(duì)所提出的算法及策略進(jìn)行了可行性和合理性的驗(yàn)證。

[1] Phillips C, Swiler L P. A Graph-based System for Network-vulnerability Analysis[C]//Proceedings of the Workshop on New Security Paradigms. Virginia, USA: ACM, 1998:71-79.

[2] Ammann P, Wijesekera D, Kaushik S. Scalable, Graph-based Network Vulnerability Analysis[C]//ACM Conference on Computer & Communications Security. Washington, DC：ACM, 2002: 217-224.

[3] Ou X, Govindavajhala S, Appel A W. MulVAL: A Logic-based Network Security Analyzer[C]//Proceedings of the 14th Usenix Security Symposium. Baltimore: USENIX Association, 2005: 113-128.

[4] Aguessy F X, Gaspard L, Bettan O, et al. Remediating Logical Attack Paths Using Information System Simulated Topologies[C]//Proceedings of C&ESAR 2014. Rennes. France:Hal.Archives-ouvertes.Fr, 2014:187-203 .

[5] 高妮, 高嶺, 賀毅岳,等. 基于貝葉斯攻擊圖的最優(yōu)安全防護(hù)策略選擇模型[J]. 計(jì)算機(jī)工程與應(yīng)用, 2016, 52(11): 125-130.

[6] 黃家輝, 馮冬芹, 王虹鑒. 基于攻擊圖的工控系統(tǒng)脆弱性量化方法[J]. 自動(dòng)化學(xué)報(bào), 2016(5): 792-798.

[7] 黃慧萍, 肖世德, 孟祥印. 基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J]. 計(jì)算機(jī)應(yīng)用研究, 2015, 32(10):3022-3025.

[8] 萬雪蓮, 張京河. 基于攻、防的信息系統(tǒng)安全綜合評(píng)估方法的研究[J]. 計(jì)算機(jī)科學(xué), 2016, 43(s1):322-327.

[9] 徐鑫, 張松年, 胡建偉. 基于任意函數(shù)地址的ASLR繞過技術(shù)研究[J]. 信息網(wǎng)絡(luò)安全, 2016(7):47-52.