廖元媛，王劍,2,3，田開元，王旭煜，蔡伯根,3

(1. 北京交通大學 電子信息工程學院，北京 100044；2. 北京交通大學 軌道交通控制與安全國家重點實驗室，北京 100044；3. 北京市軌道交通電磁兼容與衛(wèi)星導航工程技術(shù)研究中心，北京 100044；4. 北京華鐵信息技術(shù)有限公司，北京 100081)

鐵路信號系統(tǒng)是集計算機技術(shù)、通信技術(shù)和控制技術(shù)于一體的行車指揮、列車運行控制和管理自動化系統(tǒng)，是列車在高速度、高密度條件下安全運行的重要保障。鐵路信號安全數(shù)據(jù)網(wǎng)是鐵路信號系統(tǒng)的重要組成部分，其可靠性和安全性與行車安全直接相關(guān)。

近年來，軌道交通系統(tǒng)面臨的信息安全威脅日益增加，2008年波蘭羅茲市有軌電車運營調(diào)度系統(tǒng)被黑客入侵，導致車廂脫軌，12名乘客受傷；2012年上海申通地鐵車站信息發(fā)布系統(tǒng)和運行調(diào)度系統(tǒng)無線網(wǎng)絡遭到攻擊[1]；2016年美國舊金山輕軌售票系統(tǒng)遭遇黑客攻擊勒索。軌道交通面臨的信息安全問題愈發(fā)嚴峻且后果嚴重，針對信號安全數(shù)據(jù)網(wǎng)的信息安全風險分析具有重要意義。

圖1 鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)

軌道交通領域的信息安全風險評估引起了國內(nèi)外研究人員的廣泛關(guān)注，Smith等[2]以澳大利亞鐵路為例，分析安全關(guān)鍵系統(tǒng)中的信息安全和數(shù)據(jù)保護；Bloomfield等[3]從攻擊方式、攻擊場景、后果等方面，對歐洲鐵路運輸系統(tǒng)(European Railway Traffic Management System, ERTMS)進行了風險評估；羅珍珍[4]基于D-S證據(jù)理論及層次分析法，融合多方面信息安全因素進行了鐵路信號系統(tǒng)信息安全態(tài)勢感知研究；董慧宇等[1，5]針對基于通信的列車運行控制(Communication-Based Train Control, CBTC) 系統(tǒng)完成了基于攻擊樹的脆弱性評估，并采用二維結(jié)構(gòu)熵對攻擊成功后影響傳播過程中的系統(tǒng)狀態(tài)進行了動態(tài)評估；付淳川等[6]基于組件的信息安全屬性模型 (Component Model Based on Security Attributes, CMOSA)對列控中心信息安全風險進行了評估；鄺香琦[7]、馬洋洋等[8]利用貝葉斯攻擊圖模型評估CBTC系統(tǒng)信息安全風險；王洪偉等[9]基于彈性理論描述信息安全攻擊下CBTC系統(tǒng)的魯棒性及恢復能力，從而完成系統(tǒng)信息安全評估。上述研究分析了軌道交通信息安全威脅并完成了系統(tǒng)靜態(tài)風險評估，但多集中在城市軌道交通領域，對鐵路信號安全數(shù)據(jù)網(wǎng)分析較少。同時，鐵路信號系統(tǒng)持續(xù)運行過程中，網(wǎng)絡狀態(tài)及風險隨著設備偶然故障或惡意攻擊變化，上述研究無法很好地完成網(wǎng)絡攻擊過程中的動態(tài)風險評估工作。

風險評估是識別系統(tǒng)信息安全威脅及脆弱性，并進行定性或定量分析確定風險大小的過程[10]。動態(tài)風險評估是在風險評估基礎上考慮實時攻擊對系統(tǒng)狀態(tài)的動態(tài)調(diào)節(jié)。貝葉斯攻擊圖模型在動態(tài)風險評估領域應用廣泛，在互聯(lián)網(wǎng)[11-12]及工業(yè)控制系統(tǒng)[13-14]信息安全動態(tài)風險評估中有著廣泛應用，其在攻擊圖的基礎上考慮攻擊不確定性，并根據(jù)實時攻擊信息更新模型參數(shù)完成系統(tǒng)風險動態(tài)評估[15]。互聯(lián)網(wǎng)領域貝葉斯攻擊圖主要關(guān)注信息安全域影響，以獲得主機權(quán)限、中斷通信等作為攻擊目標。針對鐵路信號系統(tǒng)的攻擊大多以損害功能安全為目的，如設備運行故障、列車安全事故等。同時，信號安全數(shù)據(jù)網(wǎng)設備采用故障-安全的設計原則，關(guān)鍵設備冗余配置，建模分析存在特殊性，需要對其風險分析方法進行針對性研究。

本文綜合考慮上述問題，提出一種基于擴展貝葉斯攻擊圖的動態(tài)風險評估方法。首先基于信息安全域的多步攻擊流程及不確定性建立擴展貝葉斯攻擊圖模型，再結(jié)合功能安全域事故影響量化系統(tǒng)風險，最后根據(jù)檢測設備告警數(shù)據(jù)更新網(wǎng)絡節(jié)點置信度完成動態(tài)風險評估，并通過仿真實驗驗證了該方法的有效性。

1 鐵路信號安全數(shù)據(jù)網(wǎng)信息安全現(xiàn)狀

1.1 網(wǎng)絡結(jié)構(gòu)

鐵路信號安全數(shù)據(jù)網(wǎng)總體結(jié)構(gòu)見圖1[15]。它包括網(wǎng)管系統(tǒng)、網(wǎng)絡設備，以及通過網(wǎng)絡設備連接的列控中心(Train Control System, TCC)、計算機聯(lián)鎖系統(tǒng)(Computer based Interlocking System, CBI)、臨時限速服務器(Temporary Speed Restriction Server, TSRS)、無線閉塞中心(Radio Block Center, RBC)等。采用故障-安全設計原則，關(guān)鍵設備冗余配置，一系故障時觸發(fā)控制單元切換至另一系運行。

信號安全數(shù)據(jù)網(wǎng)采用赫茲曼或東土等公司工業(yè)級以太網(wǎng)交換機通過專用單模光纖連接構(gòu)成冗余環(huán)網(wǎng)，并分別采用獨有的HIPER-Ring及DT-Ring等環(huán)網(wǎng)冗余技術(shù)，保證環(huán)網(wǎng)自愈恢復時間不超過50 ms。根據(jù)通信業(yè)務類型不同，信號安全數(shù)據(jù)網(wǎng)劃分為“管理”和“業(yè)務”兩個VLAN，分別對應網(wǎng)管數(shù)據(jù)及信號設備信息傳輸，兩個VLAN區(qū)域間設備不能直接通信。

1.2 安全威脅

鐵路信號安全數(shù)據(jù)網(wǎng)屬于物理封閉網(wǎng)絡，然而移動設備接入、維護人員的工作計算機接入以及內(nèi)部人員攻擊等都可能對其形成威脅。信號設備通用架構(gòu)見圖2，主要包含邏輯處理單元、對外通信模塊、維護終端、上位機及輸入輸出單元等，其中存在部分專用或定制化部件，邏輯處理單元采用二乘二取二或三取二架構(gòu)，網(wǎng)絡連接冗余組網(wǎng)。

經(jīng)現(xiàn)場調(diào)研發(fā)現(xiàn)，信號安全數(shù)據(jù)網(wǎng)存在以下風險及威脅。

(1) 主機設備問題

① 信號安全數(shù)據(jù)網(wǎng)中存在著部分通用軟硬件，維護終端和上位機多采用Windows XP及Windows 7系統(tǒng)，存在通用的高危漏洞，且Windows XP系統(tǒng)的安全更新已經(jīng)停止，后期升級維護難度較大。

② 系統(tǒng)安全補丁及殺毒軟件病毒庫無法及時更新，缺乏有效的病毒防護措施及工具。

美國標準與技術(shù)研究院通過通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, CVSS)提供一種描述漏洞主要特征、規(guī)范各種軟硬件平臺評分體系的評分方法[16]。使用該方法進行信號安全數(shù)據(jù)網(wǎng)設備的脆弱性描述，部分主機節(jié)點脆弱性信息見表1，包括設備漏洞 (Common Vulnerabilities and Exposures，CVE)編號或危險端口開放信息、CVSS中的漏洞主要特征向量及脆弱性利用后果。

圖2 信號設備通用架構(gòu)

表 1 主機節(jié)點脆弱性信息

(2) 網(wǎng)絡問題

① 信號安全數(shù)據(jù)網(wǎng)中環(huán)網(wǎng)協(xié)議配置不當或交換機故障時可能發(fā)生網(wǎng)絡風暴，導致通信中斷。

② 信號安全數(shù)據(jù)網(wǎng)采用的安全通信協(xié)議數(shù)據(jù)明文傳輸，保密性不強，且研究表明該協(xié)議在特定條件下有攻擊成功可能[17]。

③ 實際情況中存在防火墻直通或配置不當?shù)那闆r，網(wǎng)管服務器到環(huán)網(wǎng)交換機成為可能的攻擊路徑。

(3) 接入控制問題

① 信號安全數(shù)據(jù)網(wǎng)中包含大量的終端設備，存在U盤傳播病毒感染系統(tǒng)的威脅。

② 信號安全數(shù)據(jù)網(wǎng)中部分設備開啟Telnet、Ftp端口且沒有登錄錯誤次數(shù)限制，容易被遠程暴力破解。

③ 維護人員升級維護時存在直接將自己的工作計算機利用網(wǎng)線與設備連接的情況，其工作計算機可能攜帶病毒對信號安全數(shù)據(jù)網(wǎng)信息安全產(chǎn)生威脅。

④ 內(nèi)部人員的誤操作或惡意攻擊可能成為信號安全數(shù)據(jù)網(wǎng)的信息安全威脅。

2 擴展貝葉斯攻擊圖模型

2.1 擴展貝葉斯攻擊圖

本文在貝葉斯攻擊圖的基礎上，考慮信息安全攻擊對功能安全的影響，對網(wǎng)絡狀態(tài)、攻擊行為及轉(zhuǎn)換邏輯進行建模，研究攻擊檢測告警及信息安全防護措施下的系統(tǒng)風險評估，形成擴展貝葉斯攻擊圖模型。

圖3為一個擴展貝葉斯攻擊圖示例，用六元組〈S,A,O,M,E,P〉表示。

圖3 擴展貝葉斯攻擊圖示例

(1)S=Sr∪Sf，是狀態(tài)節(jié)點集合。其中：Sr為信息安全攻擊階段的狀態(tài)節(jié)點集合，包括資產(chǎn)的脆弱性信息、攻擊者獲得的權(quán)限信息、網(wǎng)絡連接狀態(tài)等；Sf為功能安全影響傳播階段的狀態(tài)節(jié)點集合，包含各設備在功能安全域的正常/異常狀態(tài)及可能導致的后果。

(2)A={a=spre→sport|spre,sport∈S}，為原子攻擊集合。其中：spre為a的條件狀態(tài)節(jié)點；sport為目標狀態(tài)節(jié)點。

(3)O為網(wǎng)絡中攻擊事件是否發(fā)生的觀測節(jié)點集合，主要包括入侵檢測系統(tǒng)及防火墻告警。

(4)M為網(wǎng)絡中針對攻擊事件的防護措施集合，防護節(jié)點，取值為T或1表示該防護措施啟用。

(5)E為連接節(jié)點的有向邊的集合，表示各狀態(tài)節(jié)點及攻擊節(jié)點間的邏輯因果關(guān)系。

(6)P為各節(jié)點的局部條件概率分布 (Local Conditional Probability Distribution, LCPD) 表，表示與父節(jié)點集合間的邏輯依賴關(guān)系和轉(zhuǎn)移概率。

2.2 擴展貝葉斯攻擊圖概率計算2.2.1 原子攻擊概率

(1)原子攻擊成功概率P(sk|ai)描述攻擊ai導致狀態(tài)sk為真的概率，與原子攻擊的難度相關(guān)。若原子攻擊的類型為漏洞利用，則根據(jù)CVSS中的訪問向量AV、訪問復雜度AC、訪問認證Au三個子項計算原子攻擊成功的概率。

P(sk|ai)=2×PAV×PAC×PAu

(1)

式中：PAV、PAC、PAu分別為該漏洞在CVSS中AV、AC、Au三項的評分值。

針對信號安全數(shù)據(jù)網(wǎng)攻擊中存在大量的非漏洞攻擊，攻擊成功概率與攻擊類型、攻擊場景、口令復雜度、協(xié)議類型等條件相關(guān)，根據(jù)專家知識設置。

(2)攻擊發(fā)生概率P(ak|si)表示在狀態(tài)節(jié)點si下發(fā)起攻擊ak的概率。攻擊發(fā)起概率與攻擊成功概率相關(guān)，但又不完全相同，例如密碼爆破發(fā)起容易但是成功概率低[18]。攻擊發(fā)生概率不再重復考慮攻擊難度，而是考慮發(fā)起攻擊所需資源的準備復雜度，利用是否有公開的漏洞信息、攻擊方法與攻擊工具來評估。

2.2.2 節(jié)點LCPD函數(shù)

(1)針對攻擊節(jié)點ak∈A，條件概率P(ak|Si)描述狀態(tài)節(jié)點集合Si下發(fā)起攻擊ak的可能性，根據(jù)父子節(jié)點間的邏輯依賴關(guān)系分兩種情況計算，對應的LCPD見表2和表3。

表2 邏輯依賴關(guān)系為AND時攻擊節(jié)點的LCPD

表3 邏輯依賴關(guān)系為OR時攻擊節(jié)點的LCPD

(2)針對狀態(tài)節(jié)點sk∈S，父節(jié)點at∈Ai沒有對應的防護節(jié)點時，使用條件概率P(sk|Ai)描述攻擊節(jié)點集合Ai導致該狀態(tài)節(jié)點sk為真的概率，其LCPD函數(shù)計算同攻擊節(jié)點一致。當狀態(tài)節(jié)點sk∈S，父節(jié)點at∈Ai存在對應的防護節(jié)點時，使用Pmr表示防護措施mr防護成功的概率。當某一個攻擊節(jié)點有多個防護節(jié)點對應時，攻擊成功概率為

P(sk|ai,Mi)=P(sk|ai)P(ai|mi1,mi2,…,min)=

P(sk|ai)(1-Pm1)(1-Pm2)…×(1-Pmn)

(2)

考慮防護節(jié)點影響時，狀態(tài)節(jié)點與攻擊節(jié)點間不同邏輯依賴關(guān)系對應不同的條件概率，分為以下兩種情況討論：

當父子節(jié)點間的邏輯依賴關(guān)系為AND時，狀態(tài)節(jié)點LCPD函數(shù)表示為

(3)

當父子節(jié)點間的邏輯依賴關(guān)系為OR時，狀態(tài)節(jié)點LCPD函數(shù)表示為

(4)

(3)針對觀測節(jié)點，其條件概率描述攻擊發(fā)生時對應觀測節(jié)點正確給出告警的概率，其LCPD表同入侵檢測設備的誤報率和漏報率相關(guān)。

3 信息安全動態(tài)風險評估方法

鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風險評估主要包括3個步驟，見圖4。

圖4 鐵路信號安全數(shù)據(jù)網(wǎng)動態(tài)風險評估步驟

Step1系統(tǒng)風險識別：對信號安全數(shù)據(jù)網(wǎng)進行資產(chǎn)識別及脆弱性分析，考慮攻擊可能導致的功能安全事故及可部署實施的檢測設備與防護措施。

Step2評估模型建立：結(jié)合網(wǎng)絡拓撲、網(wǎng)絡配置關(guān)系及漏洞間關(guān)聯(lián)關(guān)系，建立拓展貝葉斯攻擊圖結(jié)構(gòu)，確定節(jié)點LCPD表，完成擴展貝葉斯攻擊圖的建立。

Step3動態(tài)風險計算：計算各節(jié)點先驗概率及事故影響，結(jié)合觀測節(jié)點告警及防護方案進行貝葉斯推理得到動態(tài)風險值。

① 先驗概率計算

計算節(jié)點邊緣概率作為先驗概率，非脆弱性狀態(tài)節(jié)點x的先驗概率為

(5)

式中：pari(x)為其父節(jié)點狀態(tài)組合；N為父節(jié)點狀態(tài)組合總數(shù)。

② 概率推理

結(jié)合觀測節(jié)點告警信息及不同防護策略對系統(tǒng)風險進行推理，檢測設備告警前各觀測節(jié)點概率根據(jù)先驗概率求解，檢測設備告警后設置對應觀測節(jié)點取值為T，即P′(o)=1，以此為證據(jù)進行動態(tài)風險推理。

貝葉斯網(wǎng)絡推理算法分為精確推理及近似推理兩種。精確推理算法包括多樹傳播推理、團樹傳播推理、基于組合優(yōu)化的推理方法等，適用于規(guī)模較小、結(jié)果精確度要求高的網(wǎng)絡；近似推理算法包括基于搜索的推理算法和馬爾可夫鏈蒙特卡洛(MCMC)算法[19]等，適用于網(wǎng)絡規(guī)模大、結(jié)構(gòu)復雜、精度要求不是很高的網(wǎng)絡。

③ 系統(tǒng)風險計算

根據(jù)事故導致的傷亡人數(shù)、延誤時間、財產(chǎn)損失、社會影響等對事故影響嚴重性進行分析[3]，將事故后果分為列車安全事故、緊急停車、減速、系統(tǒng)非安全功能部分失效、保密信息泄露等五類進行度量。

(6)

式中：NΑ為列車安全事故、緊急停車、減速運行等事件類型數(shù)量；iα為不同類型事件對單列車的影響；nα為發(fā)生該類事件的列車總數(shù)；NΒ為系統(tǒng)非安全功能部分失效、保密信息泄露事件；iβ為單個設備發(fā)生該類事件時的影響；nβ為發(fā)生該事件的設備總數(shù)。

使用各事故節(jié)點s∈Sfe的發(fā)生概率P(s)與事故影響度量值I(s)的乘積之和作為系統(tǒng)風險。

(7)

4 仿真實驗與分析

4.1 仿真環(huán)境

根據(jù)鐵路信號安全數(shù)據(jù)網(wǎng)結(jié)構(gòu)搭建仿真環(huán)境進行風險分析，仿真環(huán)境拓撲見圖5。

圖5 仿真環(huán)境拓撲

本次仿真主要分析由網(wǎng)管系統(tǒng)、信號安全數(shù)據(jù)網(wǎng)網(wǎng)絡設備與單站聯(lián)鎖系統(tǒng)組成的網(wǎng)絡環(huán)境，同線路其他車站的CBI、TCC和TSRS等作為并列的子系統(tǒng)進行分析，該部分擴展貝葉斯攻擊圖及分析結(jié)果不在本文中給出，本文分析結(jié)果為單站CBI環(huán)境的風險值。

4.2 仿真網(wǎng)絡擴展貝葉斯攻擊圖模型

仿真實驗中攻擊者通過社會工程學侵入，獲取網(wǎng)管服務器、交換機、聯(lián)鎖通信板卡、上位機、維修機等設備管理員權(quán)限或?qū)е缕渚芙^服務。功能安全域后果主要包括部分功能失效、信息泄露、CBI故障及列車安全事故。

4.2.1 仿真網(wǎng)絡擴展貝葉斯攻擊圖結(jié)構(gòu)

根據(jù)網(wǎng)絡拓撲和設備漏洞信息，建立網(wǎng)管系統(tǒng)及環(huán)網(wǎng)交換機模塊擴展貝葉斯攻擊圖，見圖6。

圖6 網(wǎng)管及交換機模塊擴展貝葉斯攻擊圖

攻擊者利用社會工程學通過U盤接入或直接惡意接入的方式侵入網(wǎng)管系統(tǒng)遠程終端，利用漏洞取得網(wǎng)管服務器管理員權(quán)限并破解信號安全數(shù)據(jù)網(wǎng)交換機登錄密碼，修改其所接交換機端口所在VLAN，從而獲得本環(huán)網(wǎng)信號設備訪問權(quán)限，或者直接修改環(huán)網(wǎng)協(xié)議配置等信息造成網(wǎng)絡拒絕服務。

圖7 仿真環(huán)境擴展貝葉斯攻擊圖

仿真環(huán)境的整體擴展貝葉斯攻擊圖見圖7。圖7中：s1為攻擊者；s3,s5,s7,s18,s20,s26,s28,s34,s36,s45,s58為脆弱性狀態(tài)節(jié)點，表明網(wǎng)絡或主機存在的漏洞及弱密碼等脆弱性；其余狀態(tài)節(jié)點表示攻擊過程中導致的各主機及網(wǎng)絡的狀態(tài)變化；a1,a2,a3,…,a12為對網(wǎng)管系統(tǒng)及交換機進行的原子攻擊；a13,a14,…,a32為針對上位機及維護終端的原子攻擊；a34,a35,…,a48為聯(lián)鎖通信板卡相關(guān)的原子攻擊；o1,o2,o3,…,o8為檢測設備可觀測到的不同階段不同對象的原子攻擊告警信息；m1,m2,m3,m4為針對具體攻擊可實施的防護措施。

將同一設備造成同樣后果的漏洞節(jié)點合并分析，合并后的LCPD表按照分別攻擊情況的或運算得到，造成同樣后果的事故節(jié)點也進行合并。信號安全數(shù)據(jù)網(wǎng)中存在大量冗余設備，部分攻擊的后果與當前攻擊的系統(tǒng)是主系還是備系相關(guān)，這部分節(jié)點進行合并時需要考慮受影響系統(tǒng)的主備關(guān)系。此外，進行防護分析時，默認會對冗余設備采用相同的防護措施。

4.2.2 仿真網(wǎng)絡概率計算

根據(jù)第2節(jié)中的方法設置條件概率分布表。仿真網(wǎng)絡擴展貝葉斯攻擊圖中的脆弱性均存在于真實網(wǎng)絡中，設置脆弱性狀態(tài)節(jié)點的先驗概率為P(srv)=1。參考文獻[20]，攻擊發(fā)起概率利用表4確定。

表 4 攻擊發(fā)起概率P(aj|si)取值

考慮兩系發(fā)出危險側(cè)指令時的主備情況，將成功攻擊一系后導致事故的概率設置為0.5，對兩系的攻擊都成功時導致事故的概率設置為1。結(jié)合第2節(jié)中的概率計算方法得到擴展貝葉斯攻擊圖各節(jié)點的先驗概率。計算各事故節(jié)點的影響大小并求解系統(tǒng)中所有事故發(fā)生時的總體風險作為最大風險值，計算當前風險與最大風險值的比值作為本次仿真中的風險量化值。

4.3 仿真結(jié)果及分析4.3.1 動態(tài)風險評估

圖7中的攻擊均為已知攻擊，可以被檢測設備檢測。使用觀測節(jié)點序列(表5)模擬多步攻擊。

表 5 觀測節(jié)點序列

隨著時間推移攻擊依次發(fā)生，網(wǎng)絡中節(jié)點狀態(tài)及系統(tǒng)風險隨之變化?？紤]到本文涉及的網(wǎng)絡規(guī)模，選擇精確推理算法，利用聯(lián)合樹推理[22]方法對整個擴展貝葉斯攻擊圖中的節(jié)點概率進行更新，得到當前時間段的網(wǎng)絡風險。觀測節(jié)點序列中，對應攻擊a2的o1節(jié)點告警前后擴展貝葉斯攻擊圖狀態(tài)節(jié)點的先驗概率和后驗概率對比，見圖8。

圖8 節(jié)點o1告警前后狀態(tài)節(jié)點概率

圖8中：節(jié)點s3、s5、s7、s18、s26等是脆弱性節(jié)點，概率取值恒為P(srv)=1；節(jié)點s1、s2、s4位于攻擊節(jié)點a2的前驅(qū)方向，檢測到o1后其后驗概率為1；節(jié)點s6、s8、s9及其所在分支位于a2的后繼方向，概率與a2同幅度增大；同時，s19、s35所在分支狀態(tài)節(jié)點為真的概率隨初始狀態(tài)節(jié)點s1的概率增加而升高。由圖8可以看出，檢測到a2后各狀態(tài)節(jié)點的概率均有所增加，符合實際風險變化情況。

各觀測節(jié)點狀態(tài)按照表5的觀測節(jié)點時間序列設置，將其作為證據(jù)進行貝葉斯推理求解各節(jié)點后驗概率并計算網(wǎng)絡動態(tài)風險。參考文獻[7]中的驗證方法，綜合鐵路信號設備行業(yè)、信息安全行業(yè)以及研究機構(gòu)專家提供的打分數(shù)據(jù)，進行了基于層次分析法(AHP)的信號安全數(shù)據(jù)網(wǎng)信息安全風險評估?；贏HP的評估方法，依靠評估指標要素間的相對重要性進行分析，評估結(jié)果體現(xiàn)風險的相對值，故將其評估結(jié)果映射到本文方法所得結(jié)果的區(qū)間進行對比分析。仿真持續(xù)400 min，各事故節(jié)點發(fā)生概率、本文方法分析結(jié)果以及基于AHP的風險評估結(jié)果見圖9。

圖9 事故節(jié)點概率及系統(tǒng)動態(tài)風險

圖9中各事故節(jié)點發(fā)生概率對應主坐標軸，系統(tǒng)風險對應次坐標軸。可以看出，隨著攻擊的持續(xù)及深入，CBI故障及信息泄露概率不斷上升，列車安全事故概率處于上升狀態(tài)，但一直很小，部分功能失效概率只在第一次告警時變化。從圖7可知部分功能失效由來自CBI上位機和維護終端的攻擊導致，本次告警序列對應網(wǎng)管系統(tǒng)至交換機然后到CBI通信板卡的攻擊，處于另一分支，所以部分功能失效的概率只在第一次告警時隨根節(jié)點概率而升高。

系統(tǒng)風險隨各事件的陸續(xù)發(fā)生而升高，其中基于AHP的評估結(jié)果各步驟風險增長較為平均，o5告警時增長稍小。相對而言，本文方法o3告警時增長較小，o7告警時增長較大。分析可知，AHP基于當前信息安全事件發(fā)生后造成的信息安全以及功能安全影響進行評估。o5對應的攻擊在已經(jīng)取得管理員權(quán)限的基礎上進行配置修改，對設備自身及攻擊面的影響變化相對于取得操作員權(quán)限或者直接攻擊等步驟要小，故風險增長相對較慢。而本文方法從攻擊成功概率及事故影響角度考慮，o3階段的權(quán)限獲取影響部分事故概率，從整體看對系統(tǒng)風險影響相對較?。籵7對應的聯(lián)鎖板卡作為關(guān)鍵信號設備組件，權(quán)限獲取后多種事故發(fā)生概率大幅提升，整體風險有較大增長。本文所述方法分析結(jié)果與AHP及實際認知一致，所提出的擴展貝葉斯攻擊圖模型可以對網(wǎng)絡風險進行有效評估。

4.3.2 風險評估影響因素分析

(1) 檢測設備性能影響分析

檢測設備告警作為證據(jù)用于推理事故后驗概率。假設表5中告警o5或o9被漏報，使用存在漏報的告警序列進行系統(tǒng)動態(tài)風險分析，得到圖10所示結(jié)果。

圖10 檢測設備漏報對風險評估的影響

從圖10中可以看出，若多步攻擊中某階段告警出現(xiàn)漏報，對系統(tǒng)風險分析的影響只持續(xù)到下一攻擊階段告警時。最后一階段告警出現(xiàn)漏報時可以通過此前風險的連續(xù)升高給出預警。本文所述方法對漏報事件有一定的容忍度，可以通過其他攻擊階段的告警來彌補。

檢測設備的誤報率影響告警的可信程度，假設仿真網(wǎng)絡使用的檢測設備誤報率相同，改變該誤報率大小利用表5序列分析得到系統(tǒng)風險變化，見圖11。

圖11 檢測設備誤報率對風險評估的影響

將誤報率為0時的風險評估結(jié)果作為真實值，從圖11中可以看出誤報率越低評估結(jié)果越接近真實值。多次告警可增加可信程度，隨著檢測設備的不斷告警，風險值逐漸接近真實值，誤報率越小誤差減少越快?？紤]設置風險基線值提醒人為干預的情況，誤報率越小能夠越早地觸發(fā)人為干預對系統(tǒng)進行防護。

(2) 防護措施影響分析

根據(jù)狀態(tài)及攻擊節(jié)點間的邏輯關(guān)系，擴展貝葉斯攻擊圖中各防護措施對系統(tǒng)整體風險的影響不相互獨立，設置防護節(jié)點狀態(tài)分析不同防護措施組合下系統(tǒng)的風險變化。根據(jù)防護節(jié)點的分布，設置表6所示防護場景進行風險分析。

表 6 防護場景設計

設置仿真環(huán)境中攻擊者發(fā)起攻擊的概率為1，根據(jù)各防護場景設置擴展貝葉斯攻擊圖中相應防護節(jié)點狀態(tài)，各事故節(jié)點概率變化及系統(tǒng)風險見圖12。

圖12 防護方案實施時事件概率及系統(tǒng)風險

由圖12可以看出，各防護措施實施后其所在攻擊路徑事故發(fā)生可能性降低。各防護措施單獨實施時，m3的防護效果最佳。結(jié)合圖7中節(jié)點先驗概率進行分析，防護措施m3所在的攻擊路徑集合累積風險較大，故當防護資源有限時應首先對風險較大的路徑集合進行防護。通過方案{m1, m2}, {m2, m3}, {m1, m3}的實施結(jié)果對比分析可以看出，不同攻擊分支的防護措施組合能獲得較好的防護結(jié)果，實踐中應盡量對更多的攻擊路徑進行覆蓋。同時，方案{m1, m3}實施時使用m2與單獨使用m2相比，防護措施m2的成本不變，但得到的收益大大降低。故防護方案的防護效果與當前網(wǎng)絡狀態(tài)相關(guān)，進行防護方案設計時，需要綜合各防護措施相互作用以及當前網(wǎng)絡狀態(tài)實現(xiàn)適度防護。

4.3.3 最大累積概率攻擊路徑分析

最大累積概率攻擊路徑，是指從初始節(jié)點到目標節(jié)點的攻擊路徑中累積攻擊成功概率最大的一條。攻擊者選擇是否發(fā)起攻擊來決定攻擊路徑，使用攻擊節(jié)點序列描述攻擊路徑。以CBI故障為目標攻擊節(jié)點為例，通過文獻[18]求解最大累積概率攻擊路徑。網(wǎng)絡中觀測節(jié)點均未產(chǎn)生告警時，其最大累積概率攻擊路徑為{a1,a2,a3,a5}和{a1,a2,a4,a9}，這兩條路徑為通過互為冗余的信號安全數(shù)據(jù)網(wǎng)左右環(huán)網(wǎng)配置更改進行攻擊，是攻擊造成CBI故障的薄弱環(huán)節(jié)。

4.4 與已有方法比較

本文提出的基于擴展貝葉斯攻擊圖的動態(tài)風險評估方法，在互聯(lián)網(wǎng)及工業(yè)控制系統(tǒng)動態(tài)風險評估[11-14]的基礎上，考慮了鐵路信號系統(tǒng)自身雙機熱備及冗余的防護作用，并且引入了防護節(jié)點描述防護措施的能力，可用于防護方案效果分析。與軌道交通領域當前已有的評估方法[1-9]相比，實現(xiàn)了網(wǎng)絡攻擊過程中風險動態(tài)感知及脆弱路徑分析。其中，AHP方法各評估階段均需進行專家評分，人力和時間耗費大，而本文方法僅在模型建立時需要專家評分；二維結(jié)構(gòu)熵方法[1]基于攻擊后果進行動態(tài)風險評估，而本文方法能夠感知造成物理及網(wǎng)絡性能受損等后果之前的系統(tǒng)風險變化，包括前期非法訪問、非法權(quán)限獲取、非法數(shù)據(jù)傳輸?shù)入A段。

5 結(jié)論

本文針對鐵路信號安全數(shù)據(jù)網(wǎng)信息安全風險狀態(tài)的動態(tài)評估開展研究，提出了一種擴展貝葉斯攻擊圖模型。該模型在基于傳統(tǒng)貝葉斯攻擊圖得到的事故發(fā)生概率的基礎上，融入了檢測設備實時告警數(shù)據(jù)，通過貝葉斯推理更新節(jié)點概率信息，并結(jié)合功能安全域事故影響得到系統(tǒng)動態(tài)風險評估結(jié)果。經(jīng)過仿真實驗及分析，得到如下結(jié)論：

(1)與AHP方法仿真結(jié)果對比，本文所述方法能夠有效地為鐵路信號安全數(shù)據(jù)網(wǎng)進行定量、動態(tài)的風險評估。

(2)本文方法可以動態(tài)模擬攻擊及防護措施組合，為系統(tǒng)提供不同信息安全狀態(tài)的風險分析，同時不同防護場景的風險分析結(jié)果可以為信號安全數(shù)據(jù)網(wǎng)的防護方案設置提供參考。

當前鐵路信號安全數(shù)據(jù)網(wǎng)缺乏基于攻防靶場的攻防數(shù)據(jù)庫以及公認權(quán)威的實際風險數(shù)據(jù)，故本文的擴展貝葉斯攻擊圖模型大部分依據(jù)專家經(jīng)驗構(gòu)建完成，針對信號安全數(shù)據(jù)網(wǎng)這種較為封閉且結(jié)構(gòu)不輕易改變的網(wǎng)絡來說較為適用，對其他網(wǎng)絡拓撲及設備易變的系統(tǒng)拓展性較差。未來考慮建立攻防及評估數(shù)據(jù)庫，利用攻防數(shù)據(jù)進行結(jié)構(gòu)和參數(shù)學習的方式建立貝葉斯攻擊圖，形成更加通用的風險分析模型。