一种基于故障树与攻击树融合模型的风险评估方法

本发明涉及工业功能安全与信息安全风险分析量化领域，具体是涉及一种基于故障树与攻击树融合模型的风险评估方法。

背景技术：

1、随着工业流程系统的复杂化，系统中运行设备与网络控制节点数量剧增，同时设备与节点之间存在复杂的拓扑因果结构与信息传导路径，这导致系统整体的失效风险评估与风险溯源面临挑战。当系统因设备运行故障或网络控制节点受到攻击造成系统失效时，通过设备检修盘查或网络流量分析来对风险进行事后溯源难以保证系统的正常运行与企业的经济效益。基于此，在线的风险评估与风险溯源成为了一个极为重要的技术问题。

2、现有的攻击树模型更注重系统功能安全方面的设备间风险传导过程与静态的风险演变流程。同时故障树模型只分析设备自身的故障概率但未考虑引发故障可能的控制器网络攻击。以上问题导致传统故障树无法有效处理现代复杂工业系统中普遍存在的参数时变性、设备强耦合等问题。并且，随着工业的复杂化，对整个大系统构建一个故障树存在系统拓扑因果结构混乱、风险计算耗时、风险溯源困难的问题，难以有效对系统功能安全进行有效监控。

3、随着工业信息化的发展，传统工业中引入众多智能化传感器与网络连接设备来提高控制系统的控制效率，这为工业系统带来了新的信息安全挑战。联网的网络连接设备方便了工业大数据的实时传输交互，但随之带来了更多的网络攻击与信息泄露，保证系统的信息安全成为了风险评估和溯源的新研究课题。

技术实现思路

1、本发明为了解决传统工业系统风险评估与溯源方法存在时变性差，描述设备节点之间耦合关系差，并缺乏信息安全监控的问题，提出了一种基于故障树与攻击树融合模型的功能与信息安全一体化风险评估方法，该方法对于实现工业系统的风险评估和风险溯源具有重要的意义。

2、为了实现上述目的，本发明提供一种基于故障树与攻击树融合模型的风险评估方法，包括以下步骤：

3、s1、基于工业系统设备功能拆分组建各子系统功能安全故障树模型，并分析故障树节点的信息安全攻击传导路径；

4、s2、构建基于故障树与攻击树融合模型的功能与信息安全一体化子系统风险评估模型；

5、s3、基于融合模型拓扑结构，对子系统顶层事件进行实时风险评估并进行风险溯源。

6、优选的，所述步骤s1具体包括以下步骤：

7、s11、分析具体工业流程中涉及的主要工艺设备，将工业流程拆分为多个执行不同功能的子系统，构建子系统拓扑工艺逻辑结构；

8、s12、基于子系统拓扑工艺逻辑结构，用逻辑门连接设备，用以表示风险传递的路径与规则，建立各子系统功能安全故障树模型，涉及的设备节点可以表示为ti＝{a，b，c，…，ni}，其中ni表示所涉及的第i个子系统的主要工艺设备数量，ti表示第i个子系统设备节点的集合；

9、s13、分析各子系统故障树中设备节点网络信息交互情况，根据各网络设备之间可能存在的漏洞建立信息安全攻击传导路径，并构建相应的信息安全攻击树模型。

10、优选的，所述步骤s2具体包括以下步骤：

11、s21、用逻辑门连接子系统功能安全故障树模型与相应设备节点的信息安全攻击树，构建功能与信息安全一体化风险评估融合模型；

12、s22、基于二元决策图对融合模型进行拓扑优化，合并融合模型设备节点，简化风险传递路径，降低风险评估计算的复杂度；

13、s23、基于马尔可夫模型描述融合模型多节点耦合关系，建立马尔可夫传递模型，计算耦合节点之间风险随机传递结果。

14、优选的，所述二元决策图的原理算法如下：

15、(x or a)and(x or b)＝x or(a and b)

16、(x and a)or(x and b)＝x and(a or b)

17、优选的，所述马尔可夫传递模型刻画随机过程中节点信息的传递方向和传播概率，数学算法如下：

18、

19、优选的，所述步骤s3具体包括以下步骤：

20、s31、给定待计算故障率的子系统顶层事件d；

21、s32、在简化的融合模型中，实时评估顶层事件d的失效风险概率，分析导致顶层事件d失效的贡献最大的路径，这条路径的子节点事件或设备就是触发顶层事件故障的源头。

22、优选的，所述融合模型中单个设备的失效风险计算如下：

23、1)对于不可维修设备：

24、q(t)＝1-e-λt

25、2)对于计划外维修的被动维修设备：

26、

27、3)对于定期维修的主动维修设备：

28、

29、其中，q是设备节点的故障概率，λ是失效率常数，v是修复率常数，θ是定期维修的时间间隔，t是时间。

30、优选的，所述融合模型中的或逻辑门、与逻辑门和断言逻辑门的计算方法如下：

31、与逻辑门：p(top)＝p(a)*p(b)

32、或逻辑门：p(top)＝p(a)+p(b)

33、断言逻辑门：p(top)＝p(a)*p(b)if assertion is true

34、其中，p(top)表示一个逻辑门的根节点风险概率，p(a)与p(b)表示逻辑门子节点风险概率，assertion表示断言逻辑门的触发条件。

35、与现有技术相比，本发明的有益效果是：

36、本发明优化改进了传统故障树静态分析系统功能安全的缺陷，通过建立系统中子系统的拓扑因果结构，基于故障树模型构建子系统风险评估模型，然后基于故障树模型中的各设备或事件节点的实际网络情况，建立信息安全攻击树模型，并整合功能安全故障树与信息安全攻击树组建融合模型，然后基于二元决策图对融合模型进行拓扑简化，基于马尔可夫模型描述融合模型中耦合节点的风险随机传递机理，融合模型能有效描述系统的动态风险演化过程并对顶层事件进行风险评估和风险溯源。

技术特征：

1.一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述步骤s1具体包括以下步骤：

3.根据权利要求1所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述步骤s2具体包括以下步骤：

4.根据权利要求3所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于：

5.根据权利要求3所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述马尔可夫传递模型刻画随机过程中节点信息的传递方向和传播概率，数学算法如下：

6.根据权利要求1所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述步骤s3具体包括以下步骤：

7.根据权利要求6所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述融合模型中单个设备的失效风险计算如下：

8.根据权利要求6所述的一种基于故障树与攻击树融合模型的风险评估方法，其特征在于，所述融合模型中的或逻辑门、与逻辑门和断言逻辑门的计算方法如下：

技术总结
本发明涉及工业功能安全与信息安全风险分析量化领域，提出了一种基于故障树与攻击树融合模型的风险评估方法，包括以下步骤：S1、基于工业系统设备功能拆分组建各子系统功能安全故障树模型，并分析故障树节点的信息安全攻击传导路径；S2、构建基于故障树与攻击树融合模型的功能与信息安全一体化子系统风险评估模型；S3、基于融合模型拓扑结构，对子系统顶层事件进行实时风险评估并进行风险溯源。本发明代替了传统的基于人工逐步分析系统因果关系的，能够快速有效地分析系统故障中风险传递的路径并实时计算风险发生的概率。

技术研发人员：刘勇,蔡荣耀,张可鑫
受保护的技术使用者：浙江大学
技术研发日：
技术公布日：2024/1/15