智能电网是一种典型的信息物理系统(cyber physical system，CPS)^[1]。物理域和信息域之间的交互和依存关系促进了电力CPS的智能化和自动化，同时也提高了跨域的攻击率和威胁传播的概率^[2]。2010年，震网(Stuxnet)病毒攻击伊朗核电站取得成功的信息物理渗透，被认为是CPS中第一个成功的多步跨域类型的高级持续性威胁(advanced persistent threat，APT) ^[3]。

信息物理攻击严重威胁着关键基础设施的安全，因此安全分析越来越重要。目前对于信息物理系统安全评估的主流方法包括Bayes理论^[4]、攻击图^[5]、Petri网^[6]和博弈论^[7]等。其中，攻击图^[8]的优势为基于攻击者的角度，综合分析各种网络拓扑的配置以及漏洞信息，枚举可能的攻击路径，有助于防御者直观地了解网络拓扑内各漏洞之间的关系，以及由此产生的潜在威胁^[9-10]。王宇飞等^[11]对攻击图算法进行改进，提出攻击图顶点的脆弱性因子概念并推导其计算公式，使其适用于量化评估。Liu等^[12-13]将信息域与和物理域抽象为一个整体结构，建立Petri网模型和混合博弈模型，对信息物理攻击进行量化分析。Zonouz^[14-15]等将传统攻击图进行扩展后转换成隐Markov模型，使其能描绘出所有可能的攻击路径。但是都没有考虑到攻击者熟练程度对评估结果的影响。Zhang等^[16]建立Bayes攻击图阐述在已知漏洞和零日漏洞并存情况下的攻击过程，计算网络漏洞的平均攻击时间，对信息物理系统的可靠性进行评估。然而，目前的攻击方法都具有多步性和跨域性，现有的安全评估方法面对此类攻击都各有缺陷，不能准确地反映攻击行为复杂性对后续攻击路径的影响，使得攻击路径预测准确度不高。综合上述研究方法的不足，本文在文[16]的基础上设计路径预测算法对电力CPS攻击进行预测。

1 构造电力CPS概率攻击图

为形式化描述电力CPS中的信息物理攻击，将信息域和物理域中的对象抽象为节点，对象之间的关联抽象成有向边，依赖于概率知识，构建概率攻击图模型。

1.1 基本定义

概率攻击图(probability attack graph，PAG)^[5]为一个七元组有向无环图: PAG=(S, S₀, S_k, A, E, Δ, P)。

(1) S=(s_i|i=1, 2, …, n)是信息状态节点和物理状态节点的集合；S₀表示初始状态下攻击者已经占有的节点，且S₀=1；S_k∈S表示攻击者的目标节点；A={a_i|i=1, 2, …, m}是攻击行为节点的集合；Pre(s_i)为状态节点s_i的前提条件，表示攻击者到达当前状态节点的前提条件为每一个攻击行为；Con(s_i)表示状态节点s_i的后置条件，为一个或多个攻击行为节点；Pre(a_i)表示攻击行为节点a_i的前提条件，为一个或多个状态节点；前提条件超过一个的攻击行为节点称为特殊攻击行为节点；Con(a_i)表示一个状态节点，为攻击行为节点的后置条件。

(2) E={e_i|e_i∈E₁∪E₂}为有向边集合。E₁=A×S表示一次攻击行为成功后能够获取更多的节点资源，E₂=S×A表示攻击者占有该状态节点后才能实施下一步的攻击。

(3) Δ(a_i)={δ: (Pre(a_i), a_i)→[0, 1]}为在满足a_i的前置条件下发生攻击行为的概率，P(s_i)={p: (a_i, Con(a_i))→[0, 1]}为攻击行为a_i成功且到后置状态节点的概率。

1.2 概率攻击图的基本构造

分别对单步的域内和跨域攻击进行形式化描述，信息状态节点用实线圆表示，物理状态节点用虚线圆表示，攻击行为节点则用实线矩形表示。同时对2种攻击形式进行综合分析。

1) 域内攻击。

域内攻击可分为信息域-信息域和物理域-物理域的攻击形式。攻击者可通过分布式拒绝服务(distributed denial of service，DDOS)、窃取等网络攻击手段达到信息域-信息域的攻击目的，如图 1a所示；攻击者可切断物理设备间的连接等物理手段达到物理域-物理域的攻击目的，如图 1b所示。

2) 跨域攻击。

跨域攻击可分为信息域-物理域和物理域-信息域攻击。对于前一种攻击者可通过蠕虫、DDOS、窃取等网络攻击手段达到攻击目的，如图 2a所示；后一种攻击者可通过电磁干扰或切断物理设备间的连接等物理手段达到攻击目的，如图 2b所示。

3) 综合分析。

本文以APT攻击为例进行分析，但是节1.2中只分析了2种单步攻击的情况，而APT攻击则是由单步攻击根据一定的逻辑关系进行排列，形成一个攻击序列后实现占有目标节点的攻击过程, 且攻击者趋向于从多条路径对目标节点发动攻击，因此，这些有向边之间有“与”和“或”的关系，图 3为电力CPS中APT攻击的逻辑关系。攻击行为节点a₄的前置节点是状态节点s₁和s₂，这2个状态节点之间为“与”关系，即只有满足所有的前置条件s₁和s₂，攻击行为a₄才有可能发生；而状态节点s₁的前提节点为攻击行为节点a₁和a₂，这2个攻击行为节点之间为“或”关系，即攻击行为a₁或a₂都能使其达到此状态节点s₁。

传统的攻击图不能用于定量分析，为使其适用于定量评估，需要引入量化指标项。本文提出的安全量化指标包括漏洞可利用性和攻击者熟练程度。漏洞可利用性根据跨域攻击概率(cross-origin-attack probability，CO-AP)来确定，攻击者熟练程度则由跨域平均攻破时间(cross-origin-mean time to compromise，CO-MTTC)确定。在此基础上建立新的概率攻击图模型，目的是确定攻击者成功到达目标节点的概率以及平均花费时间。本文分3个步骤来计算攻击者成功到达每一个后置状态节点的概率和平均时间。

步骤1  计算攻击者能够独立执行某次域内或跨域攻击行为的概率CO-AP，表示为P(a_i)。其值由通用漏洞评分系统(common vulnerability scoring system，CVSS)^[17]中的基本评分确定。包含3个指标：访问向量A_V(access vector)、访问复杂度A_C(access complexity)和认证A_U(authentication)。依据CVSS的漏洞评分标准，又可以将漏洞可利用性设置为高、中、低3个等级。等级评分越高，则攻击成功率越高。A_V的取值依次为1.0、0.646、0.395，A_C的取值依次为0.71、0.61、0.35，A_U的取值依次为0.704、0.56、0.45，当攻击行为发生时有

$ \mathit{P}{\rm{(}}{\mathit{a}_\mathit{i}}{\rm{) = 2}}{\mathit{A}_{\rm{V}}}{\mathit{A}_{\rm{C}}}{\mathit{A}_{\rm{U}}}{\rm{.}} $

(1)

步骤2  在考虑前提条件下计算攻击者能够执行某次域内或跨域攻击行为的概率。如图 3中s₁的前a₁置节点和a₂为“或”关系，表示可以通过攻击行为a₁或a₂到达状态节点s₁。则考虑前提条件后攻击者可以成功到达目标状态节点的概率为

$ \mathit{P}{\rm{(}}{\mathit{s}_\mathit{i}}{\rm{) = }}\sum\limits_{\mathit{j} - 1}^\mathit{n} {\mathit{P}{\rm{(}}{\mathit{s}_\mathit{i}}{\rm{ = T|Pre(}}{\mathit{s}_\mathit{i}}{\rm{))}} \cdot \mathit{P}{\rm{(Pre(}}{\mathit{s}_\mathit{i}}{\rm{))}}} {\rm{.}} $

(2)

图 3中a₄的前置节点s₁和s₂为“与”关系，a₄为特殊攻击行为节点，表示要执行一次漏洞利用a₄必须结合状态节点s₁和s₂。则在满足前提条下攻击者执行一次攻击行为的概率CO-AP为

$ {\rm{\Delta (}}{\mathit{a}_\mathit{i}}{\rm{) = }}\mathit{P}{\rm{(}}{\mathit{a}_\mathit{i}}{\rm{)}}\prod\limits_\mathit{i} {\mathit{P}{\rm{(Pre(}}{\mathit{a}_\mathit{i}}{\rm{))}}} {\rm{.}} $

(3)

步骤3  计算通向目标状态节点花费的平均时间。考虑到APT攻击持续性和锁定特定目标的特点，攻击者在选择攻击路径时需要考虑到消耗时间的问题，攻击者熟练程度为攻击者对电力CPS的安全防护策略、网络拓扑和运行方式的熟悉。并且经验丰富的攻击者和首次行动的攻击者成功率显然更高。熟练程度是一个比较抽象的概念，难以对其进行精确计算，一般是由专家知识库确定。将其分为高(H)、中(M)、低(L) 3个等级，分别对应攻击者非常熟练、一般熟练、以及不太熟练的程度。结合攻击者的熟练程度，CO-MTTC模型应用于估计某个漏洞被攻击者利用的时间间隔：

$ \begin{array}{l} {\rm{CO - MTTC}}\left( {{\mathit{s}_\mathit{i}}} \right){\rm{ = }}\frac{{\sum\limits_{{\mathit{a}_\mathit{j}}} {\mathit{T}\left( {{\mathit{a}_\mathit{j}}\mathit{P}\left( {{\mathit{a}_\mathit{j}} \wedge {\mathit{s}_\mathit{l}}} \right)} \right)} }}{{\mathit{P}\left( {{\mathit{s}_\mathit{i}}} \right)}}{\rm{, }}\\ \;\;\;\;\;\;\;\;\;\;\;{\rm{0}} \le \mathit{i} \le \mathit{n}{\rm{, }}\;{\rm{0}} \le \mathit{j} \le \mathit{m}{\rm{.}} \end{array} $

(4)

其中：T(a_j)是一次漏洞利用所需的时间，即一次攻击行为发生所需时间，计算方法由文[16]给出。不同熟练度的攻击者在同一次攻击行为中所用时间不同。P(a_j∧s_l)是攻击行为在前提条件满足时发动攻击的概率。

当i=1时，

$ \mathit{P}{\rm{(}}{\mathit{a}_\mathit{j}} \wedge {\mathit{s}_\mathit{l}}{\rm{) = }}\mathit{P}{\rm{(}}{\mathit{a}_\mathit{i}}{\rm{ = }}\mathit{T}{\rm{) \times }}\mathit{P}{\rm{(}}{\mathit{s}_\mathit{l}}{\rm{ = }}\mathit{T}{\rm{|}}{\mathit{a}_\mathit{i}}{\rm{ = }}\mathit{T}{\rm{);}} $

当2≤i≤n时，

$ \begin{array}{l} \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\mathit{P}{\rm{(}}{\mathit{a}_\mathit{j}} \wedge {\mathit{s}_\mathit{l}}{\rm{) = }}\mathit{P}{\rm{(}}{\mathit{a}_\mathit{i}}{\rm{ = }}\mathit{T}{\rm{) \times }}\\ \prod\limits_{\mathit{j} = 1}^{\mathit{i} - 1} {\mathit{P}{\rm{(}}{\mathit{a}_\mathit{j}}{\rm{ = }}\mathit{F}{\rm{)}}} \mathit{P}{\rm{(}}{\mathit{s}_\mathit{l}}{\rm{ = }}\mathit{T}{\rm{|}}{\mathit{a}_\mathit{i}}{\rm{ = }}\mathit{T}{\rm{, }}{\mathit{a}_{\rm{1}}}{\mathit{a}_{\rm{2}}} \cdots {\mathit{a}_{\mathit{i - }{\rm{1}}}}{\rm{ = }}\mathit{F}{\rm{)}}{\rm{.}} \end{array} $

(5)

则一条攻击路径的CO-MTTC为

$ {\rm{CO - MTTC = }}\sum\limits_{\mathit{i} - 1}^\mathit{n} {{\rm{CO - MTTC(}}{\mathit{s}_\mathit{i}}{\rm{)}}} {\rm{.}} $

(6)

其中n为一条攻击路径上状态节点的数量。

2 攻击路径预测方法

在电力CPS中，信息物理APT攻击有多步性、跨域性、目标锁定等特点。而攻击路径预测是在系统检测到实时攻击时，借助于攻击图，利用概率知识和平均时间指标对后续攻击行为进行推理预测的过程。

2.1 生成实时攻击图

生成实时攻击图可以直观地得到由初始被占有的节点到目标节点的路径。本文的攻击图生成算法为广度优先算法，并将该算法与量化指标相结合，在生成攻击图的同时计算每一步状态转移的概率和时间。

步骤1  根据建立的网络拓扑结构和组件相关信息，收集主机漏洞信息。

步骤2  根据收集的信息建立舒适状态集合S。当攻击发生时，根据入侵检测系统提供的实时信息，建立已被攻击者占有的状态集合S₀。

步骤3  执行循环：确定集合S₀不为空，从集合中取出一个节点作为初始节点，并找到该节点可能进行状态转移的后续节点，得到新的状态节点。如果该节点为新，则加入集合，并利用式(1)计算实现每一次状态转移的攻击行为发生概率，利用式(2)计算在状态转移成功的概率, 利用式(5)计算每一次状态转移所用的平均时间，更新攻击图节点和边的信息。

步骤4  重复执行步骤3，直到集合S为空。

2.2 最大可能攻击路径预测算法

由于电力CPS为大规模分布式网络，将攻击图转换为邻接矩阵后使后续的预测算法更为简单。现假设概率攻击图有n个信息和物理状态节点，则G是一个n×n的矩阵。其中g_ij(0≤i≤m, 0≤j≤n)表示状态节点s_i和s_j之间是否有攻击行为发生。

在Dijkstra经典算法的基础上设计攻击路径预测算法，借鉴了Dijkstra算法在求有向图中单源最短路径的有效性。但是存在特殊攻击行为节点，使得邻接矩阵不能表示后续可能的完整攻击信息，而且该算法只需要计算初始被占有节点到目标节点之间的最大可能路径。具体算法如图 4所示。

在Dijkstra算法的基础上，利用邻接矩阵求得最大可能的攻击路径，如果存在特殊攻击行为节点，则更新最大可能攻击路径以实现对攻击路径预测的实时预测。算法第4—14行根据邻接矩阵求得初始节点到目标节点S_k的最大可能路径和概率，算法第15行得到最大可能攻击概率并计算其概率和CO-MTTC。但是因为存在特殊攻击行为节点，使得上述算法行中获取的路径可能不准确。算法第16—19行比较概率大小，最终确定最大可能攻击路径Path和攻击成功概率MaxPr和CO-MTTC。

3 实验仿真分析

为了评估本文方法的有效性，以电力CPS作为实验背景，模拟攻击者通过外部网络主机并锁定攻击目标逐步渗透攻击的过程。本文的硬件平台是处理器为Intel Core i3-2350M，主频为2.30 GHz，内存为4 GB；软件平台为Windows 10操作系统，MATLAB 2013a实验仿真软件。并用C++语言编程实现预测算法，实验拓扑图见图 5。共分为4个区域，分别是DMZ区、子网1、子网2和子网3。DMZ区由Web服务器和E-mail服务器组成，子网1由工程师站和操作员WinCC操作员站组成，子网2包括文件服务器和气动阀PLC控制器，子网3包括数据服务器和变频PLC控制器。各组件的可达性设为：DMZ区由防火墙1保护且连接外部网络，只能访问子网1中的WinCC操作员站、子网2中的文件服务器和子网3中的数据服务器。子网1中工程师站可以访问子网2和子网3中所有组件。WinCC操作员站只能访问工程师站和数据服务器。子网2中的气动阀PLC控制器和子网3中的变频PLC控制器能访问数据服务器和文件服务器。且物理域控制器上的数字控制逻辑或设置被修改是电力CPS中最为严重的安全事件，攻击者可以入侵本地通信网并篡改控制器上的数字控制逻辑或设置，造成严重的物理损失。因此，将控制器上能造成数字控制逻辑或设置被修改的漏洞作为目标漏洞。各组件的漏洞信息可以通过漏洞扫描工具获取。由图 5可知，该网络拓扑一共包含7个组件，每个组件的漏洞信息如表 1所示。

当构造基于电力CPS控制系统的攻击图模型时，应当对电力CPS中的核心保护对象和安全目标进行分析。随着攻击目标和防御目标的不同，攻击图模型可能会不同。针对上述网络拓扑及其漏洞信息，生成攻击图如图 6所示。

根据漏洞的CVE编号查阅漏洞数据库中CVSS相关属性的评分，由式(1)得到的9个攻击行为发生的概率分别为P(a₁)=0.72，P(a₂)=0.93，P(a₃)=0.75，P(a₄)=1，P(a₅)=0.93，P(a₆)=0.43，P(a₇)=0.60，P(a₈)=0.61，P(a₉)=0.68。由式(2)计算各组件攻击成功概率。为了方便后续的预测算法，将攻击图转换成邻接矩阵G：

$ \mathit{\boldsymbol{G}}{\rm{ = }}\left[{\begin{array}{*{20}{c}} 0&{{\rm{0}}{\rm{.72}}}&0&0&{{\rm{0}}{\rm{.93}}}&0&0\\ 0&0&{{\rm{0}}{\rm{.72}}}&{{\rm{0}}{\rm{.48}}}&0&{{\rm{0}}{\rm{.22}}}&0\\ 0&0&0&0&0&{{\rm{0}}{\rm{.22}}}&0\\ 0&0&0&0&0&{{\rm{0}}{\rm{.22}}}&{{\rm{0}}{\rm{.16}}}\\ 0&0&0&0&0&0&{{\rm{0}}{\rm{.16}}}\\ 0&0&0&0&0&0&{{\rm{0}}{\rm{.16}}}\\ 0&0&0&0&0&0&0 \end{array}} \right]{\rm{.}} $

由式(4)得到的每个组件上漏洞利用所用平均时间如图 7所示。攻击者在C0外部网络时初始值设为0，因为此时组件C0已经被攻击者占有，不用再计算其所用时间。随着攻击的持续性，所用时间越来越多。且随着攻击者熟练程度增高，各个组件攻击成功时间呈减少趋势。

由攻击图可知总共有4条攻击路径能够实现攻击目标。Path1：s₀→a₁→s₁→a₃→s₅→a₉→s₆。Path2：s₀→a₁→s₁→a₄→s₂→a₆→s₅→a₉→s₆。Path3：s₀→a₁→s₁→a₅→s₃→a₇→s₅→a₉→s₆。Path4：s₀→a₁→s₁→a₅→s₃→(s₀→a₂→s₄)→a₈→s₆。根据攻击者熟练程度，每条攻击路径对应的CO-MTTC值由表 2所示。随着攻击者熟练程度的增加，对应的时间将会减少。说明在同一条路径中，攻击者熟练程度越高，到达目标节点的速度会越快，从而对系统的威胁也会越大。且不同熟练程度的攻击者对应的平均时间有着较大的差别，所以本文通过区分攻击者熟练程度进行攻击路径预测有重要意义。

由预测算法得出，最大可能的攻击路径为Path4，攻击者从外部网络C0渗透到工程师站C2和Web服务器C1，然后通过数据服务器C5到达目标控制器P1。成功概率为0.051，当攻击者熟练度分别为H、M、L时，CO-MTTC分别为22.72、86.89、278.62。

当攻击被检测到时，算法的时间效率对于实时信息物理攻击分析非常重要，算法的高时间性能可以让管理员采取更有效率的防御策略，尽可能减少攻击危害带来的损失。本文假设在仿真中组件的数量设置为10~150个，当此方法应用在有上万个组件的大规模分布式CPS中时，整个系统可以分为多个子系统，每个子系统的节点数量不超过100个，所以此算法可以在这些子系统中并行执行，以减少分析困难，提高分析效率。图 8展示了算法的时间成本，当组件数量在10~100之间时，算法的时间成本增加缓慢; 当组件数量从100增加至150时，时间成本比指数增长慢，说明本算法为可扩展的。当组件数量低于50时，算法的时间成本不超过1 s；当节点增加至100时，时间成本依旧低于3 s；但是当节点超过100时，时间成本将大幅度的增长。结果表明：该预测算法在小系统中将获得更好的时间效率。而解决这一问题的方法就是将大规模的系统分为多个子系统，从而提高分析效率。

此外，本文与文[13]的算法进行了比较，文[13]的算法在攻击被检测到的时候对状态进行更新，由最新的状态向量得到威胁传播模型，最后计算每个节点的概率，从而测量CPS中每个节点的安全状态。而本文采用的算法，通过比较每一条可能攻击路径的概率和平均破解时间确定最有可能攻击路径，得到的概率和平均时间相对合理。相比之下，本文的方法优势在于能够根据攻击者熟练程度调整花费的平均时间，符合实际对战情况，更加合理。

4 结论

针对目前的攻击方法都具有多步性和跨域性，对电力CPS造成了严重的危害。本文在概率攻击图的基础上综合考虑了漏洞利用率和攻击者熟练程度，利用改进的Dijkstra算法预测出攻击路径。实验结果表明：该方法能够准确预测出后续攻击路径。下一步将优化该算法，提高其在大规模复杂CPS系统中应用效率，同时考虑将攻击图生成算法和预测算法并行化。