付淳川

(北京城建設(shè)計(jì)發(fā)展集團(tuán)股份有限公司　北京 100032)

0　引　言

在高速鐵路系統(tǒng)中，信號(hào)系統(tǒng)是整個(gè)交通系統(tǒng)的神經(jīng)中樞，保證系統(tǒng)安全、有序、高效的運(yùn)行。基于高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的封閉性，能較好地防止外界入侵及網(wǎng)絡(luò)病毒傳播問題[1]，因此以往對(duì)該系統(tǒng)的研究大多圍繞安全可靠性，如：唐濤等[2]基于有色Petri網(wǎng)對(duì)列車運(yùn)行控制系統(tǒng)中的安全通信協(xié)議進(jìn)行研究以保證通信系統(tǒng)的可靠性。隨著系統(tǒng)網(wǎng)絡(luò)信息化發(fā)展[3]，傳統(tǒng)IT設(shè)備、GSM-R網(wǎng)絡(luò)的接入，高速鐵路信號(hào)系統(tǒng)對(duì)外界具有更高的開放性，面臨更加嚴(yán)峻的網(wǎng)絡(luò)信息安全問題[4-6]。

網(wǎng)絡(luò)空間下的信息安全風(fēng)險(xiǎn)評(píng)估，需要管理員從攻擊者的角度識(shí)別網(wǎng)絡(luò)的脆弱性，分析網(wǎng)絡(luò)可能遭受的安全威脅，預(yù)測(cè)攻擊者利用脆弱性可能發(fā)起的攻擊，從而找出網(wǎng)絡(luò)中的薄弱環(huán)節(jié)并進(jìn)行針對(duì)性的修復(fù)[7-9]。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估使用的模型主要有：攻擊樹、攻擊圖、攻擊網(wǎng)等[10-11]。Swiler等[12]利用攻擊圖模型分析網(wǎng)絡(luò)脆弱性，從目標(biāo)狀態(tài)開始利用深度優(yōu)先算法生成網(wǎng)絡(luò)攻擊圖。Ammann等[13]首次提出攻擊者攻擊行為的單調(diào)性，優(yōu)化了攻擊模型，但狀態(tài)組合爆炸問題仍然不能得到有效控制。

為解決以上問題，筆者基于高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)的層次性，提出網(wǎng)絡(luò)安全域和主機(jī)概念，對(duì)不同安全等級(jí)的子網(wǎng)進(jìn)行網(wǎng)絡(luò)安全域劃分，在各安全域間利用攻擊模式降低攻擊圖生成復(fù)雜度，網(wǎng)絡(luò)安全域間使用最小攻擊收益約束閾約束攻擊者的攻擊行為。為驗(yàn)證該方法的有效性，模擬攻擊者從CTC車站滲透至信號(hào)安全數(shù)據(jù)網(wǎng)的攻擊行為。實(shí)驗(yàn)結(jié)果顯示，生成的無約束攻擊圖中有143個(gè)狀態(tài)節(jié)點(diǎn)，142條有向邊及20條攻擊路徑，基于最小攻擊收益約束閾的狀態(tài)攻擊圖生成了51個(gè)狀態(tài)節(jié)點(diǎn)，50條有向邊及8條攻擊路徑，簡(jiǎn)化了攻擊圖規(guī)模，找出了相應(yīng)的攻擊路徑，該方法便于管理員制定更具針對(duì)性的安全防護(hù)措施，降低安全風(fēng)險(xiǎn)。

1　高速鐵路信號(hào)系統(tǒng)架構(gòu)分析

高速鐵路信號(hào)系統(tǒng)(見圖1)不是各種信號(hào)設(shè)備的簡(jiǎn)單組合，而是功能完善、層次分明的控制系統(tǒng)，系統(tǒng)內(nèi)部各單元之間獨(dú)立工作，同時(shí)又相互聯(lián)系，交換信息，構(gòu)成復(fù)雜的網(wǎng)絡(luò)化結(jié)構(gòu)。包括列控系統(tǒng)、行車調(diào)度指揮系統(tǒng)、聯(lián)鎖系統(tǒng)和信號(hào)集中監(jiān)測(cè)系統(tǒng)，4個(gè)子系統(tǒng)組成信號(hào)安全數(shù)據(jù)通信以太網(wǎng)、調(diào)度集中數(shù)據(jù)通信以太網(wǎng)、信號(hào)集中監(jiān)測(cè)數(shù)據(jù)通信以太網(wǎng)[14]，而系統(tǒng)涉及的各子網(wǎng)及相關(guān)設(shè)備安全等級(jí)要求不同，各子網(wǎng)絡(luò)之間雖然存在邊界，但邏輯上互通，有可能從各網(wǎng)絡(luò)邊界相互滲透，將低安全等級(jí)網(wǎng)絡(luò)中的安全隱患帶到高安全等級(jí)的網(wǎng)絡(luò)中[15]。

圖1　高速鐵路信號(hào)系統(tǒng)組成架構(gòu)Fig.1　Composition of high-speed railway signal system

2　攻擊圖建模方法

2.1　相關(guān)定義

定義1。主機(jī)安全域。高速鐵路信號(hào)系統(tǒng)中的每一臺(tái)主機(jī)為一個(gè)主機(jī)安全域。

定義2。網(wǎng)絡(luò)安全域。高速鐵路信號(hào)系統(tǒng)中擁有同樣安全級(jí)別、具有相同安全策略的一個(gè)子網(wǎng)。

定義3。狀態(tài)攻擊圖。狀態(tài)攻擊圖AG定義為AG=(S,T)，式中：S為攻擊圖中的狀態(tài)節(jié)點(diǎn)；T為節(jié)點(diǎn)間的有向邊，表示攻擊者利用弱點(diǎn)的一次滲透性為，即原子攻擊。

定義4。狀態(tài)節(jié)點(diǎn)。狀態(tài)節(jié)點(diǎn)S定義為S=(ip,privil,VUL,netlevel)，privil為當(dāng)前用戶的控制權(quán)限，netlevel為網(wǎng)絡(luò)級(jí)別。

定義5。漏洞信息。漏洞信息VUL定義為VUL=(cve_id,PRE,POST,type)，type為攻擊模式，分Remote和Local 2種形式。

定義6。漏洞利用前提。PRE定義為PRE=(pre_privil,conn,trust)，pre_privil為漏洞利用前提權(quán)限，即想利用該漏洞，攻擊主機(jī)必須具備的控制權(quán)限條件，conn為連接關(guān)系，trust為信任關(guān)系。

定義7。漏洞利用后果。POST定義為POST=(post_privil,conn,trust)，post_privil為漏洞利用后果權(quán)限，即利用該漏洞后可達(dá)成的在模板攻擊主機(jī)上的權(quán)限。

利用主機(jī)上的脆弱性可以實(shí)現(xiàn)對(duì)主機(jī)的攻擊，攻擊成功后便獲得相應(yīng)的漏洞利用后果[16]。在原子攻擊的作用下，從前提狀態(tài)Si躍遷到結(jié)果狀態(tài)Si+1的過程為狀態(tài)轉(zhuǎn)移過程，連續(xù)的狀態(tài)轉(zhuǎn)移為1條攻擊路徑[17]。

定義8。網(wǎng)絡(luò)安全域間原子攻擊收益。在高速鐵路信號(hào)系統(tǒng)中，不同網(wǎng)絡(luò)安全域A，B之間的一次原子攻擊i的原子攻擊收益為

Gi=Valuei×privili×αi

(1)

式中：Valuei為該攻擊所在的主機(jī)對(duì)應(yīng)的資產(chǎn)價(jià)值；privili為此次攻擊成功后，對(duì)該主機(jī)的控制權(quán)；αi為脆弱性利用方式對(duì)攻擊者收益的影響系數(shù)。

2.2　攻擊收益的量化

網(wǎng)絡(luò)中主機(jī)的資產(chǎn)價(jià)值一般由財(cái)產(chǎn)影響(Asset，A)、人員影響(Person，P)、環(huán)境影響(Environment，E)、社會(huì)影響(Social，S)等后果屬性度量，資產(chǎn)價(jià)值的計(jì)算公式如下[18]。

Value=f(A,P,E,S)=wALA+

wPLP+wELE+wSLS

式中：wA，wP，wE，wS為各后果屬性在資產(chǎn)價(jià)值中所占的權(quán)重；LA，LP,LE，LS為各后果屬性等級(jí)。采用專家評(píng)分法確定各后果屬性在資產(chǎn)價(jià)值中所占的權(quán)值w，后果屬性的等級(jí)量化見表1。

表1　后果屬性等級(jí)量化Tab.1　The quantification level of Consequence attributes

對(duì)主機(jī)的控制權(quán)privil及脆弱性利用方式影響系數(shù)α量化見表2～3。

表2　控制權(quán)privil的等級(jí)量化Tab.2　The quantification level of privil

表3　脆弱性利用方式影響系數(shù)α的等級(jí)量化Tab.3　The quantification level of α

3　基于安全域的攻擊圖生成

定理1。狀態(tài)A與狀態(tài)B在同一主機(jī)安全域內(nèi)，狀態(tài)A能到達(dá)狀態(tài)B，且A狀態(tài)所在主機(jī)的當(dāng)前權(quán)限為mA，則該主機(jī)安全域內(nèi)擁有mA權(quán)限的所有狀態(tài)都可以轉(zhuǎn)移到狀態(tài)B。

證明。狀態(tài)B的當(dāng)前權(quán)限mB，狀態(tài)A的當(dāng)前權(quán)限為mA，狀態(tài)A能到達(dá)狀態(tài)B，則mA>mB，因此該主機(jī)安全域內(nèi)擁有mA權(quán)限的所有狀態(tài)都可以轉(zhuǎn)移到狀態(tài)B。

3.1　主機(jī)安全域內(nèi)狀態(tài)轉(zhuǎn)移

主機(jī)安全域內(nèi)的各狀態(tài)節(jié)點(diǎn)構(gòu)成一個(gè)狀態(tài)矩陣H，狀態(tài)轉(zhuǎn)移圖見圖2。其中hij為該主機(jī)安全域中擁有i級(jí)別權(quán)限和j號(hào)漏洞的狀態(tài)節(jié)點(diǎn)。

圖2　主機(jī)安全域內(nèi)狀態(tài)轉(zhuǎn)移圖Fig.2　The state transition diagram in the host security domain

在主機(jī)安全域內(nèi)，狀態(tài)A能否轉(zhuǎn)移到狀態(tài)B的判斷條件為：A.S.privil是否大于等于B.S.VUL.PRE.pre_privil；物理連接是否可達(dá)；數(shù)據(jù)鏈路是否可達(dá)三者同時(shí)滿足。

其算法流程圖見圖3，選取當(dāng)前主機(jī)權(quán)限不同的2個(gè)狀態(tài)集合Ai，Aj，判斷Ai能否轉(zhuǎn)移到Aj，則從Ai中選擇未比較過的狀態(tài)Aik與Aj中的狀態(tài)Ajx進(jìn)行比較。

3.2　網(wǎng)絡(luò)安全域內(nèi)的主機(jī)安全域間狀態(tài)轉(zhuǎn)移

網(wǎng)絡(luò)安全域內(nèi)的主機(jī)安全域間狀態(tài)轉(zhuǎn)移見圖4。同一網(wǎng)絡(luò)安全域內(nèi)的不同主機(jī)安全域間狀態(tài)A能否轉(zhuǎn)移到狀態(tài)B的判斷條件為：狀態(tài)B中漏洞的攻擊模式是否為Remote；A.S.privil是否大于等于B.S.VUL.PRE.pre_privil；物理連接是否可達(dá)；數(shù)據(jù)鏈路是否可達(dá)。

圖3　主機(jī)安全域內(nèi)算法流程圖Fig.3　The algorithm flowchart in the host security domain

3.3　網(wǎng)絡(luò)安全域間狀態(tài)轉(zhuǎn)移

為滿足高速鐵路信號(hào)系統(tǒng)中安全等級(jí)不同的子網(wǎng)攻擊建模要求，本文提出最小攻擊收益約束閾min_gain的概念。網(wǎng)絡(luò)安全域間的狀態(tài)轉(zhuǎn)移判斷見圖5，判斷來自不同安全等級(jí)網(wǎng)絡(luò)的狀態(tài)節(jié)點(diǎn)A能否轉(zhuǎn)移到狀態(tài)節(jié)點(diǎn)B，首先需判斷：A.S.netlevel與B.S.netlevel的大小關(guān)系，此時(shí)分兩種情況，若A.S.netlevel>B.S.netlevel，則再判斷B.S.VUL.type是否為Remote，A.S.privil是否大于等于B.S.VUL.PRE.pre_privil；若A.S.netlevel

圖4　網(wǎng)絡(luò)安全域內(nèi)的主機(jī)安全域間狀態(tài)轉(zhuǎn)移圖Fig.4　The state transition diagram in the network security domain

3.4　復(fù)雜度分析

圖5　網(wǎng)絡(luò)安全域間狀態(tài)轉(zhuǎn)移圖Fig.5　The state transition diagram between the network security domain

3) 網(wǎng)絡(luò)安全域間。需要(niv′m)(njv′m)次，復(fù)雜度為O(ni·nj)。

4　仿真實(shí)驗(yàn)結(jié)果及分析

4.1　實(shí)驗(yàn)環(huán)境及配置

高速鐵路信號(hào)系統(tǒng)總體結(jié)構(gòu)及接口關(guān)系見圖6，筆者模擬攻擊者從車站局域網(wǎng)入侵至信號(hào)安全數(shù)據(jù)網(wǎng)，路徑見圖7，大意的車站值班人員可能將帶有病毒的U盤接入電務(wù)維護(hù)終端，使系統(tǒng)網(wǎng)絡(luò)引入病毒，設(shè)定病毒攻擊的起始點(diǎn)為CTC車站的電務(wù)維護(hù)終端，病毒從CTC車站子系統(tǒng)入侵到CTC中心系統(tǒng)中，之后通過信號(hào)安全數(shù)據(jù)網(wǎng)一側(cè)的接口服務(wù)器VIA入侵到信號(hào)安全數(shù)據(jù)網(wǎng)子系統(tǒng)。

實(shí)驗(yàn)測(cè)試環(huán)境具體配置見表4，漏洞信息見表5，漏洞利用規(guī)則見表6。

4.2　實(shí)驗(yàn)仿真結(jié)果

4.2.1約束狀態(tài)攻擊圖

利用廣度優(yōu)先算法生成無約束狀態(tài)攻擊圖見圖8，攻擊圖中一共生成了143個(gè)狀態(tài)節(jié)點(diǎn)，142條有向邊，20條攻擊路徑。

1) 基于最小攻擊收益約束閾的狀態(tài)攻擊圖生成過程如下。

步驟1。設(shè)定各網(wǎng)絡(luò)安全域間的min_gain值。

步驟2。利用式(1)，計(jì)算網(wǎng)絡(luò)安全域間各原子攻擊收益，見表7。

步驟3。根據(jù)約束條件，刪除無用的攻擊路徑，生成簡(jiǎn)約狀態(tài)攻擊圖。

圖6　高鐵信號(hào)系統(tǒng)總體結(jié)構(gòu)框圖Fig.6　The structure block diagram of High-speed railway signal system

主機(jī)安裝的軟件/固件版本漏洞資產(chǎn)價(jià)值電務(wù)維護(hù)終端(IP0)WindowsXP32位Sp3CVE-2008-10832自律機(jī)(IP1)WindowsXPSiemensWinCC32位Sp27.2以下CVE-2011-4537CVE-2008-10833通信服務(wù)器(IP2)Windows200032位Sp2CVE-2008-54165應(yīng)用服務(wù)器(IP3)Redhat,RPC8.0CVE-2001-1030CVE-2002-00043CTC-RBC接口服務(wù)器(IP4)Windows200032位Sp3CVE-2002-03644接口服務(wù)器VIA(IP5)Redhat,LICQ8.0CVE-2001-0439CVE-2001-10304

圖7　攻擊路徑Fig.7 Attack path

漏洞編號(hào)漏洞描述攻擊方式CVE-2008-1083 WindowsXP(SP2),Windows2003(SP1、SP2)內(nèi)核存在漏洞,允許攻擊者發(fā)送特制的數(shù)據(jù)包,達(dá)成特權(quán)提升攻擊遠(yuǎn)程攻擊CVE-2011-4537 SiemensWinCC7.2之前版本的RegReaderActiveX控件存在緩沖區(qū)溢出漏洞,例如會(huì)適用在SI-MATICPCS78.0SP1之前版本上,將允許遠(yuǎn)程攻擊者通過超長(zhǎng)參數(shù)執(zhí)行任意代碼遠(yuǎn)程攻擊CVE-2008-5416 SQLServer的sp_replwriteto-varbin擴(kuò)展存儲(chǔ)過程中存在堆溢出漏洞,遠(yuǎn)程攻擊者利用這個(gè)脆弱性可以系統(tǒng)權(quán)限執(zhí)行任意代碼遠(yuǎn)程攻擊CVE-2001-1030 SquidHTTP的加速器模式非法活動(dòng)漏洞,遠(yuǎn)程攻擊者繞過ACLs和進(jìn)行非法活動(dòng),例如端口掃描。遠(yuǎn)程攻擊CVE-2002-0004本地緩沖區(qū)溢出漏洞本地攻擊CVE-2002-0364 MicrosoftIIS4.0/5.0.HTRISAPI擴(kuò)展分塊傳輸模式遠(yuǎn)程堆溢出漏洞,遠(yuǎn)程攻擊者可以利用此漏洞得到主機(jī)本地用戶訪問權(quán)限遠(yuǎn)程攻擊CVE-2001-0439 LICQ1.0.3之前版本存在漏洞。遠(yuǎn)程攻擊者可以借助URL中的shell元字符執(zhí)行任意代碼遠(yuǎn)程攻擊

表6　漏洞利用規(guī)則Tab.6　The vulnerability rules

設(shè)定CTC車站網(wǎng)絡(luò)域-CTC中心網(wǎng)絡(luò)域的min_gainCTC車站-CTC中心值為3.2，CTC中心網(wǎng)絡(luò)域-信號(hào)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)域的min_gainCTC中心-安全數(shù)據(jù)網(wǎng)值為4，約簡(jiǎn)后得到的簡(jiǎn)約攻擊圖如圖9a)所示，簡(jiǎn)約攻擊圖一共生成了93個(gè)狀態(tài)節(jié)點(diǎn)，92條有向邊，12條攻擊路徑。

圖8　無約束狀態(tài)攻擊圖Fig.8　Unbound state attack graph

原子攻擊路徑IP1-IP2IP1-IP3IP1-IP4IP4-IP5IP4-IP5利用的漏洞 CVE-2008-5416CVE-2001-1030CVE-2002-0364CVE-2001-0439CVE-2001-1030原子攻擊收益533.244

若設(shè)定CTC車站網(wǎng)絡(luò)域-CTC中心網(wǎng)絡(luò)域的min_gainCTC車站-CTC中心值為3.5，CTC中心網(wǎng)絡(luò)域-信號(hào)安全數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)域的min_gainCTC中心-安全數(shù)據(jù)網(wǎng)值為4，約簡(jiǎn)后得到的簡(jiǎn)約攻擊圖如圖9b)所示，此時(shí)，簡(jiǎn)約攻擊圖生成了51個(gè)狀態(tài)節(jié)點(diǎn)，50條有向邊，8條攻擊路徑。

根據(jù)上述仿真結(jié)果可知，該方法有效地降低攻擊圖的生成規(guī)模，找出了相應(yīng)的攻擊路徑。同時(shí)，根據(jù)高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)各子網(wǎng)的安全等級(jí)要求，系統(tǒng)安全管理員可以分析各個(gè)脆弱性的重要程度，針對(duì)性的制定合理的安全防護(hù)措施。

在網(wǎng)絡(luò)之間設(shè)置不同的最小攻擊約束閾值可有效的限制攻擊者在不同安全等級(jí)網(wǎng)絡(luò)之間的滲透攻擊，對(duì)比不同最小攻擊收益約束閾值的攻擊圖，可以對(duì)實(shí)施了不同防護(hù)措施后的網(wǎng)絡(luò)進(jìn)行比較，判斷安全策略的優(yōu)劣。

圖9　簡(jiǎn)約攻擊圖Fig.9　Simple attack map

5　結(jié)束語

筆者將攻擊圖技術(shù)應(yīng)用于高速鐵路信號(hào)系統(tǒng)中，針對(duì)系統(tǒng)的特點(diǎn)，通過主機(jī)安全域、網(wǎng)絡(luò)安全域劃分，實(shí)現(xiàn)攻擊圖的分區(qū)域并行化生成，降低了攻擊圖的生成復(fù)雜度，同時(shí)，在網(wǎng)絡(luò)安全域間利用最小攻擊收益約束閾限制攻擊者的攻擊行為，不僅降低了攻擊圖的生成規(guī)模，還可以對(duì)不同安全等級(jí)網(wǎng)絡(luò)的安全要求設(shè)定不同的安全策略，通過加強(qiáng)網(wǎng)絡(luò)接口間的安全防護(hù)措施使攻擊約束閾值提高，攻擊者則無法利用該路徑進(jìn)行網(wǎng)絡(luò)攻擊，對(duì)網(wǎng)絡(luò)進(jìn)行了有效的防御。

參考文獻(xiàn)References

[1]張永錚，方濱興，遲 悅，等．用于評(píng)估網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險(xiǎn)傳播模型[J]．軟件學(xué)報(bào)，2007，18(1)：137-145．

ZHANG Yongzheng, FANG Binxing, CHI Yue, et al. Risk propagation model for assessing network information systems [J]. Journal of Software, 2007,18(1):137-145.(in Chinese)

[2]陳黎潔，單振宇，唐 濤．列車運(yùn)行控制系統(tǒng)中安全通信協(xié)議的形式化分析[J]．鐵道學(xué)報(bào)，2012，34(7)：70-76．

CHEN Lijie, SHAN Zhenyu, TANG Tao. Formal analysis on safety communication protocol in train control system[J]. Journal of China Railway Society, 2012,34(7):70-76.(in Chinese)

[3]湯旻安,任恩恩.基于多Agent的城市交通控制建模研究[J].交通信息與安全,2009,27(5):52-56.

TANG Min′an, REN En′en. Multi-agent based urban traffic control modeling [J]. Joural of Transport Information and Safety, 2009,27(5):52-56.(in Chinese)

[4]李賽飛，閆連山，郭 偉，等．高速鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全與統(tǒng)一管控[J]．西南交通大學(xué)學(xué)報(bào)，2015，50(3)：478-484.(in Chinese)

LI Saifei,YAN Lianshan,GUO Wei, et al. Analysis of network security for chinese high-speed railway signal systems and proposal of unified security control[J]．Journal of Southwest Jiaotong University, 2015，50(3)：478-484.(in Chinese)

[5]彭 勇，江常青，謝 豐，等．工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]．清華大學(xué)學(xué)報(bào)(自然科學(xué)版)，2012，52 (10)：1396-1408．

PENG Yong, JIANG Changqing, XIE Feng, et al. Industrial control system cyber security research [J]. Journal of Tsinghua University(Science and Technology Edition), 2012,52(10):1396-1408.(in Chinese)

[6]張友鵬,李遠(yuǎn)遠(yuǎn).基于云模型和證據(jù)理論的鐵路信號(hào)系統(tǒng)風(fēng)險(xiǎn)評(píng)估[J].鐵道學(xué)報(bào),2016,38(1):75-80.

ZHANG Youpeng, LI Yuanyuan. Risk assessment of railway signal system based on cloud model and evidence theory[J]. Journal of China Railway Society, 2016,38(1):75-80.(in Chinese)

[7]CARTER K M, IDIKA N, STREILEIN W W. Probabilistic threat propagation for network security[J]. IEEE Transactions on Information Forensics and Security, 2014,9(9):1394-1405.

[8]RITCHEY R W, AMMANN P. Using model checking to analyze network vulnerabilities[C]. 2000 IEEE Symposium on Security and Privacy, Berkeley, California, USA: IEEE Computer Society, 2000.

[9]SHEYNER O, HAINES J, JHA S, et al. Automated generation and analysis of attack graphs[C]. 2002 IEEE Symposium on Security and Privacy, Berkeley, California, USA: IEEE Computer Society, 2002.

WANG Yongjie, XIAN Ming, LIU Jin, et al. Study of network security evaluation based on attack graph mode[J]. Journal on Communications, 2007(3):29-34.(in Chinese)

[11]張道玉,胡曉偉.基于改進(jìn)貝葉斯網(wǎng)絡(luò)模型的高速公路交通設(shè)施風(fēng)險(xiǎn)評(píng)估[J].交通信息與安全,2016,34(05):102-107.

ZHANG Daoyu, HU Xiaowei. Risk assessment of expressway traffic facilities based on improved Bayesian network model [J]. Joural of Transport Information and Safety, 2016,34(5):102-107.(in Chinese)

[12]PHILLIPS C, SWILER L P. A graph-based system for network vulnerability analysis[C]. 1998 Workshop on New Security Paradigms, Charlottesville, Virginia, USA: NSPW, 1998.

[13]AMMANN P, WIJESEKERA D, KAUSHIK S. Scalabl, graph-based network vulnerability analysis[C]. 9thACM Conference on Computer and Communications Security, Washington, D.C.: ACM, 2002.

[14]張曙光．CTCS-3級(jí)列控系統(tǒng)總體技術(shù)方案[M]．北京：中國鐵道出版，2008．

ZHANG Shuguang. General technical scheme of CTCS-3 level train control system[M]. Beijing: China Railway Publishing House, 2008.(in Chinese)

2018年12月12日，由中國信息通信研究院、上海市經(jīng)濟(jì)和信息化委員會(huì)、上海市信息化專家委員會(huì)指導(dǎo)，上海市物聯(lián)網(wǎng)行業(yè)協(xié)會(huì)主辦的“第二屆全球物聯(lián)網(wǎng)峰會(huì)”在上海召開。

[15]閆連山，陳建譯．鐵路信號(hào)系統(tǒng)網(wǎng)絡(luò)安全與信息安全[M]．北京：中國鐵道出版社，2016．

YAN Lianshan, Chen JianYi. Railway signal system network security and information security[M]. Beijing: China Railway Publishing House, 2016.(in Chinese)

[16]苘大鵬，周 淵，楊 武，等．用于評(píng)估網(wǎng)絡(luò)整體安全性的攻擊圖生成方法[J]．通信學(xué)報(bào)，2009，30(3):1-5．

MAN Dapeng, ZHOU Yuan, YANG Wu, et al. Method to generate attack graphs for assessingthe overall security of networks [J]. Journal on Communications, 2009,30(3):1-5.(in Chinese)

[17] NOEL S, JACOBS M, KALAPA P. Multiple coordinated views for network attack graphs[C]. IEEE Workshop on Visualization for Computer Security 2005 (VizSEC 05), Minneapolis, Minnesota, USA: IEEE, 2005．

[18]高夢(mèng)州，馮東芹，凌從禮，等．基于攻擊圖的工業(yè)控制系統(tǒng)脆弱性分析[J]．浙江大學(xué)學(xué)報(bào)(工學(xué)版)，2014(12)：2123-2131．

GAO Mengzhou, FENG Dongqin, Lin Congli, et al. Vulnerability analysis of industrial control system based on attack graph[J]. Journal of Zhejiang University (Engineering Science Editon), 2014(12):2123-2131.(in Chinese)

[19]DAWKINS J，HALE J．A systematic approach to multistage network attack analysis [C]．Proc of the Second IEEE International Information Assurance Workshop (IWIA′04)．Charlotte，NC，USA，2004:48-54．

[20]LI Wei, VAUGHN R B. An approach to model network exploitations using exploitation graphs[C]. Spring Simulation Multiconference 2005, San Diego, CA, USA: The Society for Modeling and Simulation International (SCS), 2005.