一种基于DUCG的CTCS-3系统的安全评估方法技术方案

本发明专利技术提供了一种基于DUCG的CTCS

【技术实现步骤摘要】
一种基于DUCG的CTCS
‑
3系统的安全评估方法


[0001]本专利技术涉及列车安全风险评估
，尤其涉及一种基于DUCG的CTCS
‑
3系统的安全评估方法。

技术介绍

[0002]DUCG(Dynamic uncertainty Causality Graph，动态不确定因果图)是一个不确定因果关系表示的数学框架，用于解决具有动力学和不确定性的复杂系统问题。现有技术中的一种DUCG的结构图如图1所示，DUCG是一个有向(循环或非循环)图，由节点、边和许多其他图形符号组成。
[0003]DUCG中的节点有不同的类型。正方形代表基本事件或根事件(表示为Bi)，它们可以独立地改变系统的状态。圆圈代表子事件或其他事件的原因(表示为Xi)。对于过程系统而言，始发事件可独立导致系统故障，而非始发事件的功能必须由其他始发事件触发。逻辑网关(表示为Gi)是最后一种节点，它定义了组合因果关系。通过表示风险传播过程中的顺序因果关系相互作用，来描述事件之间的时间相关性。
[0004]评估CTCS
‑
3系统安全风险存在两方面困难。困难之一是：信息安全风险存在从发起恶意攻击到造成损失的各种过程中，例如网络渗透、权限提升、系统异常和危险事件等。这就需要一个包含攻击知识和系统知识的综合模型来分析安全风险的传播。困难之二是：如何表示安全攻击的不确定知识，尤其是当它涉及具有不确定风险因果关系的推理时。例如，当面临网络渗透攻击时，攻击目标和攻击结果是不确定的。这就需要一个具有风险概率推理和不确定风险因果关系推理的综合模型。
[0005]DUCG近年来在故障诊断和风险分析方面得到了大量的研究，现有技术中的基于DUCG的CTCS
‑
3系统的安全评估方法包括：攻击树模型、攻击图模型、petri网模型、基于贝叶斯网络和风险传播模型等。这些方法的缺点包括：没有考虑风险的传播扩散过程，从而限制了该方法在信息安全领域的使用。

技术实现思路

[0006]本专利技术的实施例提供了一种基于DUCG的CTCS
‑
3系统的安全评估方法，以实现有效地对CTCS
‑
3系统进行安全评估。
[0007]为了实现上述目的，本专利技术采取了如下技术方案。
[0008]一种基于DUCG的CTCS
‑
3系统安全评估方法，包括：
[0009]根据CTCS
‑
3系统结构确定系统安全风险组件，该系统安全风险组件为DUCG图模型中的节点，确定网络安全攻击的类别；
[0010]根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，添加逻辑门，建立CTCS
‑
3系统的DUCG网络风险传播图模型；
[0011]根据所述DUCG网络风险传播图模型建立基于因果关系和贝叶斯关系的网络安全风险评估公式；
[0012]根据所述网络安全风险评估公式推断出各个系统安全风险组件的网络安全风险的大小，计算各个系统安全风险组件的安全风险事件发生概率。
[0013]优选地，所述的根据CTCS
‑
3系统结构确定系统安全风险组件，该系统安全风险组件为DUCG图模型中的节点，确定存在网络安全攻击的场景、网络安全攻击的类别，包括：
[0014]根据CTCS
‑
3系统结构确定系统安全风险组件如表1所示：
[0015]表1：列控系统DUCG图中各系统安全风险组件的含义
[0016][0017][0018]其余部分安全组件为列控系统各子系统，为轨道交通列控系统确定了四种网络安全威胁，即B1：IT环境中的恶意软件攻击；B2：IT环境中的网络攻击；B3：OT环境中的恶意软件攻击；B4：OT环境下的网络攻击。
[0019]优选地，所述的根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，添加逻辑门，建立CTCS
‑
3系统的DUCG网络风险传播图模型，包括：
[0020]根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，将网络风险传播过程划分为多个子风险，根据各个子风险的风险时间累积传播以及
子风险中的因果关系为每个子风险添加匹配的子风险组件，并利用逻辑门合并各个子风险，得到列控系统CTCS
‑
3的DUCG网络风险传播图模型，该DUCG网络风险传播图模型中包括中心子系统的DUCG和轨旁子系统的DUCG。
[0021]优选地，所述的根据所述DUCG网络风险传播图模型建立基于因果关系和贝叶斯关系的网络安全风险评估公式，包括：
[0022]根据系统安全风险组件之间的信息安全风险交互传播过程，定义r
x,y
为系统安全风险组件x和系统安全风险组件y之间的因果关系强度，(r
x,y
/r
y
)代表的是系统安全风险组件y向系统安全风险组件x传播风险的因果关系比例，A
x；y
代表的是系统安全风险组件x和系统安全风险组件y之间的风险传播条件概率，对于逻辑门G0，当状态为1时，状态表达式为A
0,1；13,1
x
13,1
+A
0,2；13,1
x
13,2
A
0,1；15,1
x
15,1
，当状态为2时，状态表达式为A
0,2；13,2
x
13,2
A
0,2；15,2
x
15,2
，对于逻辑门G1‑
12
，当状态为1时，状态表达式为∑
i
X
i,1
，当状态为2时，状态表达式为∑
i
X
i,2
；
[0023]利用DUCG网络风险传播图模型和系统安全风险组件之间的因果关系强度、因果关系比例和风险传播条件概率建立基于因果关系和贝叶斯关系的网络安全风险评估公式；利用所述网络安全风险评估公式、节点之间的通信因果关系强度、风险传播概率和网络风险等级计算出CTCS
‑
3系统的DUCG网络风险传播图模型中的各个节点在某个时刻所面临的网络攻击风险。
[0024]优选地，所述的根据所述网络安全风险评估公式推断出各个系统安全风险组件的网络安全风险的大小，计算各个系统安全风险组件的安全风险事件发生概率，包括：
[0025]将各种安全威胁，以及各系统风险组件之间的通信因果关系强度、风险传播概率和网络风险传播输入到所述网络安全风险评估公式中，所述各种安全威胁包括：IT环境中的恶意软件攻击、IT环境中的网络攻击、OT环境中的恶意软件攻击和OT环境下的网络攻击，从DUCG网络风险传播图模型的叶子节点开始循环迭代计算所述网络安全风险评估公式，直到迭代计算终止，得到网络安全风险传播结果，推断出列控系统以及其各子系统的安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于DUCG的CTCS
‑
3系统安全评估方法，其特征在于，包括：根据CTCS
‑
3系统结构确定系统安全风险组件，该系统安全风险组件为DUCG图模型中的节点，确定网络安全攻击的类别；根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，添加逻辑门，建立CTCS
‑
3系统的DUCG网络风险传播图模型；根据所述DUCG网络风险传播图模型建立基于因果关系和贝叶斯关系的网络安全风险评估公式；根据所述网络安全风险评估公式推断出各个系统安全风险组件的网络安全风险的大小，计算各个系统安全风险组件的安全风险事件发生概率。2.根据权利要求1所述的方法，其特征在于，所述的根据CTCS
‑
3系统结构确定系统安全风险组件，该系统安全风险组件为DUCG图模型中的节点，确定存在网络安全攻击的场景、网络安全攻击的类别，包括：根据CTCS
‑
3系统结构确定系统安全风险组件如表1所示：表1：列控系统DUCG图中各系统安全风险组件的含义
其余部分安全组件为列控系统各子系统，为轨道交通列控系统确定了四种网络安全威胁，即B1：IT环境中的恶意软件攻击；B2：IT环境中的网络攻击；B3：OT环境中的恶意软件攻击；B4：OT环境下的网络攻击。3.根据权利要求2所述的方法，其特征在于，所述的根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，添加逻辑门，建立CTCS
‑
3系统的DUCG网络风险传播图模型，包括：根据所述系统安全风险组件之间的通信连接关系以及在网络安全攻击中的因果关系，将网络风险传播过程划分为多个子风险，根据各个子风险的风险时间累积传播以及子风险中的因果关系为每个子风险添加匹配的子风险组件，并利用逻辑门合并各个子风险，得到列控系统CTCS
‑
3的DUCG网络风险传播图模型，该DUCG网络风险传播图模型中包括中心子系统的DUCG和轨旁子系统的DUCG。4.根据权利要求3所述的方法，其特征在于，所述的根据所述DUCG网络风险传播图模型建立基于因果关系和贝叶斯关系的网络安全风险评估公式，包括：根据系统安全风险组件之间的信息安全风险交互传播过程，定义r
x,y
为系统安全风险组件x和系统安全...

【专利技术属性】
技术研发人员：李浥东，章子凯，宋海锋，董海荣，
申请(专利权)人：北京交通大学，
类型：发明
国别省市：