煤矿企业工业控制系统入侵检测算法

吴开兴1,2, 王文鼎1,2, 李丽宏1

(1.河北工程大学 信息与电气工程学院, 河北 邯郸 056000;2.煤矿综合信息化河北省工程实验室, 河北 邯郸 056000)

摘要针对现有煤矿企业工业控制系统入侵检测算法未考虑防御因素影响、实现复杂等问题,从攻击进程和防御体系2个方面,提出了一种基于攻防树模型的煤矿企业工业控制系统入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。实例结果表明,该算法能有效检测煤矿企业工业控制系统入侵概率,提高入侵检测的准确性。

关键词煤矿网络安全; 工业控制系统; 入侵检测; 攻防树模型; 攻击进程; 防御体系

中图分类号:TD67

文献标志码:A

网络出版地址:http://kns.cnki.net/kcms/detail/32.1627.TP.20181026.1500.009.html

Intrusion detection algorithm for industrial control system of coal mine enterprise

WU Kaixing1,2, WANG Wending1,2, LI Lihong1

(1.School of Information and Electrical Engineering, Hebei University of Engineering, Handan 056000, China; 2.Hebei Engineering Laboratory of Coal Mine Comprehensive Informatization, Handan 056000, China)

Abstract:In view of problems that existing intrusion detection algorithms for industrial control system(ICS) of coal mine enterprise failed to consider impact of defense factors and complexity of implementation, from two aspects of attack process and defense system, an intrusion detection algorithm for ICS of coal mine enterprise based on attack-defense tree model was proposed. Firstly, probability of attack leaf node being attacked is obtained by quantifying attack attribute of the attack leaf node and constructing index system, then intrusion success rate of attack path can be obtained, and intrusion probability of the attack path is obtained by combining the intrusion success rate and intrusion return rate of the attack path. Then, intrusion alarm rate based on false negative rate and false positive rate is introduced to obtain passive defense probability. Active defense probability is obtained through bug discovery rate and bug repair rate. Finally, final intrusion probability of the attack path is obtained according to the intrusion probability of the attack path, the passive defense probability and the active defense probability. The example results show that the algorithm can effectively detect ICS intrusion probability of coal mine enterprise with higher accuracy of intrusion detection.

Key words:coal mine network security; industrial control system; intrusion detection; attack-defense tree model; attack process; defense system

收稿日期2018-05-11;

修回日期:2018-10-08;

责任编辑:盛男。

基金项目河北省自然科学基金资助项目(F2015402150)。

作者简介吴开兴(1962-),男,陕西渭南人,教授,硕士,主要研究方向为信息安全、煤矿综合信息化,E-mail:1527110726@qq.com。通信作者:王文鼎(1992-),男,河北邯郸人,硕士研究生,主要研究方向为工业信息安全,E-mail:920176189@qq.com。

引用格式吴开兴,王文鼎,李丽宏.煤矿企业工业控制系统入侵检测算法[J].工矿自动化,2018,44(11):75-79.

WU Kaixing, WANG Wending, LI Lihong. Intrusion detection algorithm for industrial control system of coal mine enterprise[J].Industry and Mine Automation,2018,44(11):75-79.

文章编号1671-251X(2018)11-0075-05

DOI:10.13272/j.issn.1671-251x.2018050036

0 引言

煤矿企业工业控制系统(Industrial Control System,ICS)发生的入侵事件逐年增加,准确地检测入侵是煤矿企业ICS安全运行的重要前提和保障[1-3]。Ru Yeqi等[4]通过攻击树模型模拟攻击进程,得出攻击进程中的入侵概率,但未考虑防御因素的影响;Chen Ying等[5]提出了一种基于马尔科夫决策过程模型的ICS入侵检测算法,但存在模型构建复杂的缺点。攻防树模型由攻击树模型和防御树模型改进而来[6-7],具有实现简单的特点。因此,本文提出了一种基于攻防树模型的煤矿企业ICS入侵检测算法,该算法从攻击进程和防御体系2个方面来考虑,能提高入侵检测的准确性。

1 攻防树模型

攻防树模型中包含根节点、中间节点、攻击叶节点和防御叶节点4类节点[8]。该模型分为攻击进程和防御体系2个部分:攻击进程是利用逻辑门的“或”门和“与”门进行连接,“与”表示同层攻击叶节点或中间节点必须全部被攻破才能向根节点移动1层,“或”表示同层攻击叶节点或中间节点中只要有1个攻击叶节点或中间节点被攻破,便可向根节点移动1层;防御体系是指当攻击叶节点被攻击时,对应的防御叶节点采取相应的解决对策。

2 基于攻防树模型的ICS入侵检测算法

基于攻防树模型的ICS入侵检测算法流程如图1所示。

2.1 攻击进程

2.1.1 攻击叶节点攻击属性指标体系

常见的攻击属性[9]主要分为攻击者水平、攻击被检测到的概率和攻击频率。

(1) 攻击者水平。攻击者水平的高低取决于攻击者窃取ICS权限的大小,被窃取的权限越大,说明攻击者水平越高。参考文献[10]中的评判标准,被窃取的权限从小到大依次为无权限、非授权访问权限、普通用户权限、管理员权限和超级管理员权限5个级别,分别对应攻击者水平很低、低、一般、高、很高5个等级。

图1 基于攻防树模型的ICS入侵检测算法流程
Fig.1 Flow of ICS intrusion detection algorithm
based on attack-defense tree model

(2) 攻击被检测到的概率。攻击被检测到的概率与ICS中部署的防护措施(如防火墙等)有关。工业防火墙技术由数据包过滤技术、状态包检测技术、代理服务技术和应用网管技术组成。当攻击分别被4,3,2,1种技术检测出来或没有被任何一种技术检测出来时,攻击被检测到的概率分别设定为很容易、容易、一般、难、很难。

(3) 攻击频率。参考文献[11]中的评判标准,当攻击者对ICS发动攻击次数分别为平均每周、每月、每半年、每年至少1次或攻击者1 a都未对ICS发动攻击,攻击频率分别设定为很高、高、一般、低、很低。

依据3种常见的攻击属性并结合德尔菲法[12],得出量化的攻击叶节点攻击属性。其指标体系见表1。

2.1.2 攻击叶节点被攻击概率

采用多属性效用理论将攻击叶节点攻击属性转换为效用值,则攻击叶节点N被攻击概率为

P(N)=wzU(z)+wdU(d)+wrU(r)

(1)

式中:wzwdwr分别为攻击者水平、攻击被检测到的概率和攻击频率3种攻击属性的加权系数,wz+wd+wr=1[4]U(z),U(d),U(r)分别为3种攻击属性的效用值;z为攻击攻击叶节点N的攻击者水>平;d为攻击攻击叶节点N被检测到的概率;r为攻击叶节点N被攻击次数。

表1 攻击叶节点攻击属性指标体系
Table 1 Attack attribute index system of attack leaf node

攻击者水平攻击被检测到的概率攻击频率选项等级选项等级选项等级很高5很容易5很高5高4容易4高4一般3一般3一般3低2难2低2很低1很难1很低1

2.1.3 攻击路径的入侵成功率

攻击路径是指向根节点攻击进程中一系列攻击叶节点N1,N2,…,Nn的有序集合,攻击路径的入侵成功率为

Psuc=P(N1)P(N2)…P(Nn)

(2)

式中P(N1),P(N2),P(Nn)分别为攻击叶节点N1,N2,…,Nn被攻击的概率。

2.1.4 攻击路径的入侵回报率

入侵回报率可表示为

(3)

式中:Rq(q=1,2,…,mm为攻击路径数量)为入侵收益,即攻击者通过攻击ICS获得的收益,本文设定每条攻击路径的入侵收益为1;Cq为入侵成本,即发动1次入侵所需成本,不同入侵类型[10]的入侵成本见表2。

表2 不同入侵类型的入侵成本
Table 2 Intrusion cost of different intrusion types

入侵类型描述入侵成本Root获取管理员权限1.00User获取普通用户权限0.50Data非授权访问或读写数据0.30Dos拒绝服务攻击0.20Probe扫描0.05

2.1.5 攻击路径的入侵概率

根据式(2)和式(3),可得攻击路径的入侵概率为

Patt=PsucPret

(4)

2.2 防御体系

当ICS受到攻击或存在潜在威胁时,ICS会做出相应的防御措施,分为被动防御和主动防御。

2.2.1 被动防御概率

被动防御是指当攻击者破解ICS中漏洞时,根据防御者收集的信息进行及时修补。被动防御概率为

Ppass=αDP(IA)

(5)

式中:αD为防御者动作,αD=0时未采取动作,αD=1时采取动作;P(IA)为入侵报警率。

P(IA)=

(6)

式中:IA分别为入侵事件和报警事件;P(I)为发生入侵事件的概率;P(AI)为发生入侵事件时发生报警事件的条件概率;为未发生入侵事件的概率,为误报率,即未发生入侵事件时发生报警事件的概率;为漏报率,即发生入侵事件时未发生报警事件的概率。

2.2.2 主动防御概率

主动防御就是在入侵行为对ICS发生影响之前,能够及时精准预警。主动防御概率为

Pact=PIPII

(7)

式中PΙ,PΙΙ分别为漏洞发现率和漏洞修复率。

(8)

PΙΙ=αDexp(PΔt)

(9)

式中:Hv为ICS中存在的漏洞数;Hj为攻击者发现的漏洞数;Hcv为公共漏洞数;PΔt为防御者在Δt时间内修复漏洞的概率。

2.3 攻击路径最终入侵概率

攻击路径最终入侵概率[13]

Pfin=Patt+Pact+Ppass

(10)

3 案例分析

根据某煤矿企业ICS构建攻防树模型,如图2所示,其中节点属性见表3。

对攻击叶节点的攻击属性进行量化和归一化处理(设加权系数wz=0.6,wd=0.3,wr=0.1),得出攻击叶节点攻击属性指标体系和被攻击概率,见表4。

依据表4和式(2)—式(4)可计算出攻击路径的入侵成功率、入侵回报率、入侵概率,见表5。

煤矿企业ICS近3 000条报警事件中,误报事件54件,漏报事件421件,通过式(5)、式(6)得出被动防御概率,见表6。

图2 煤矿企业ICS攻防树模型

Fig.2 Attack-defense tree model of coal mine enterprise ICS

表3 节点属性
Table 3 Node attribute

节点属性节点属性G通过攻击发送错误信息,使ICS瘫痪N8截取测量或状态数据包M1通过前端发送信号N9在网络中窃听信息M2在ICS中可以访问人机界面N10破解消息的加密算法M3获得身份信息认证C1传统IT防火墙M4影响状态估计模块C2专业的工业防火墙M5连接数据库服务器C3部署严密的网络监控M6注入虚假数据C4隔离工程师站、先控站N1扫描控制中心历史服务器C5隔离工程师站、先控站N2获得控制中心应用服务器C6隔离工程师站、先控站N3ICS共享服务器C7隔离工程师站、先控站N4本地ICS访问权限C8部署严密的网络监控N5Web服务器访问权限C9部署严密的网络监控N6FTP服务器访问权限C10系统安全测试N7数据库服务器访问权限

依据煤矿企业ICS实际情况,设定Hv=200,Hj=30,Hcv=6 787,PΔt=0.004。将数据代入式(7)—式(9),可得主动防御概率Pact≈0.044。

根据式(10),得出攻击路径最终入侵概率,见表7。

将表7数据用曲线形式表示,并与文献[4]中基于攻击树模型的入侵检测算法得到的入侵概率和实际的入侵概率进行对比,如图3所示。可看出本文算法更接近实际的入侵概率,与文献[4]算法相比,提高了入侵检测准确性。

表4 攻击叶节点攻击属性指标体系和被攻击概率
Table 4 Attack attribute index system and being attacked
probability of attack leaf node

攻击叶节点攻击者水平攻击被检测到的概率攻击频率被攻击概率/%N145321.30N255318.00N333529.50N443427.50N522447.50N632437.50N742432.50N834232.50N922348.30N1023150.00

表5 攻击路径的入侵成功率、入侵回报率和入侵概率
Table 5 Intrusion success rate, intrusion return rate and
intrusion probability of attack path

序号攻击路径入侵成功率/%入侵成本入侵收益入侵回报率/%入侵概率/%1N1N26.00.351653.902N332.70.3017022.903N428.80.5015014.404N5N715.90.801203.185N6N714.70.801202.906N8N9N108.10.901100.81

表6 被动防御概率
Table 6 Passive defense probability

序号攻击路径被动防御概率/%1N1N22.302N318.503N411.404N5N71.785N6N72.306N8N9N100.06

4 结语

提出了一种基于攻防树模型的煤矿企业ICS入侵检测算法。首先,通过对攻击叶节点的攻击属性进行量化并构建指标体系得到攻击叶节点被攻击的概率,进而得出攻击路径的入侵成功率,并结合攻击路径的入侵回报率得到攻击路径的入侵概率;然后,引入基于漏报率和误报率的入侵报警率,得到被动防御概率,通过漏洞发现率和漏洞修复率得到主动防御概率;最后,根据攻击路径的入侵概率、被动防御概率和主动防御概率,得出攻击路径最终入侵概率。结果表明,该算法能有效检测煤矿企业ICS入侵概率,具有较高的准确性。

表7 攻击路径最终入侵概率
Table 7 Final intrusion probability of attack path

序号攻击路径最终入侵概率/%1N1N210.602N345.803N430.204N5N79.365N6N79.606N8N9N101.31

图3 不同算法下入侵概率对比
Fig.3 Comparison of intrusion probability under different algorithms

参考文献

[1] 潘瑜.基于网络的煤矿信息系统安全研究[J].工矿自动化,2005,31(4):28-31.

PAN Yu.The security study of coal mine information system based on computer network[J].Industry and Mine Automation,2005,31(4):28-31.

[2] 彭勇,江常青,谢丰,等.工业控制系统信息安全研究进展[J].清华大学学报(自然科学版),2012,52(10):1396-1408.

PENG Yong,JIANG Changqing,XIE Feng,et al.Industrial control system cybersecurity research[J].Journal of Tsinghua University(Science and Technology),2012,52(10):1396-1408.

[3] CHERDANTSEVA Y,BURNAP P,BLYTH A,et al.A review of cyber security risk assessment methods for SCADA systems[J].Computers & Security,2016,56:1-27.

[4] RU Yeqi,WANG Yufei,LI June,et al.Risk assessment of cyber attacks in ECPS based on attack tree and AHP[C]//The 12th International Conference on Natural Computation,Fuzzy Systems and Knowledge Discovery,Changsha,2016:465-470.

[5] CHEN Ying,HONG J,LIU C C.Modeling of intrusion and defense for assessment of cyber security at power substations[J].IEEE Transactions on Smart Grid,2018,9(4):2541-2552.

[6] KORDY B,PIETRE L,SCHWEITZER P.DAG-based attack and defense modeling:don't miss the forest for the attack trees[J].Computer Science Review,2014,13/14:1-38.

[7] ARGHAVANI A,ARGHAVANI M,AHMADI M,et al.Attacker-manager game tree (AMGT):a new framework for visualizing and analysing the interactions between attacker and network security manager[J].Computer Networks,2018,133:42-58.

[8] 付钰,俞艺涵,陈永强,等.基于攻防行为树的网络安全态势分析[J].工程科学与技术,2017,49(2):115-120.

FU Yu,YU Yihan,CHEN Yongqiang,et al.Network security analysis situation on attack-defense behavior tree[J].Advanced Engineering Science,2017,49(2):115-120.

[9] 黄家辉,冯冬芹,王虹鉴.基于攻击图的工控系统脆弱性量化方法[J].自动化学报,2016,42(5):792-798.

HUANG Jiahui,FENG Dongqin,WANG Hongjian.A method for quantifying vulnerability of industrial control system based on attack graph[J].Acta Automatica Sinica,2016,42(5):792-798.

[10] 姜伟,方滨兴,田志宏,等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(4):817-827.

JIANG Wei,FANG Binxing,TIAN Zhihong,et al.Evaluating network security and optimal activedefense based on attack-defense game model[J].Chinese Journal of Computers,2009,32(4):817-827.

[11] GB/T 33009.3—2016工业自动化和控制系统网络安全集散控制系统(DCS) 第3部分:评估指南[S].

[12] OKOLI C,PAWLOWSKI S D.The Delphi method as a research tool:an example,design considerations and applications[J].Information & Management,2004,42(1):15-29.

[13] 刘菲菲.流程工业数据驱动报警分析[D].北京:北京化工大学,2015.