【智能系统】基于云模型和组合权重的SCADA系统安全风险评估研究

第17卷第5期 智能系统学报 Vol.17 No.5 2022年9月 CAAI Transactions on Intelligent Systems Sep.2022 D0:10.11992/tis.202107005 网络出版地址：https:/kns.cnki.net/kcms/detail/23.1538.TP.20220518.2144.012.html 基于云模型和组合权重的SCADA 系统安全风险评估研究 杨力，秦红梅，苏华文 (西南石油大学计算机科学学院，四川成都610500) 摘要：当前数据采集与监控系统(supervisory control and data acquisition,.SCADA)系统面临着巨大的安全威胁， 对其风险状况进行监测和评估是一项有效的应对措施。为有效处理评估过程中存在的模糊性和随机性问题， 将云模型理论引入SCADA系统安全风险评估中，提出了一种基于云模型和组合权重的安全风险评估模型。该 模型从SCADA系统的资产、威胁、脆弱性、安全措施4方面构建安全风险评估指标体系，采用最小二乘法求出 评估指标的最优组合权重，借助云发生器得到评估指标的云模型数字特征和SCADA系统的综合评估云，然后 基于黄金分割率构建标准评估云，同时结合改进的云相似度计算方法得出最终评估结果，最后通过实验验证了 模型的有效性和可行性。研究结果表明，该模型能够得到准确的评估结果，与模糊综合评价等方法相比，该评 估方法具备更高的可信性，评价效果更好。该方法不仅有助识别SCADA系统的安全风险威胁，而且为其他领 域的安全风险评估提供了一定的参考。 关键词：SCADA系统：安全风险评估；云模型；组合权重；云相似度；模糊性；随机性；云数字特征 中图分类号：TP399文献标志码：A文章编号：1673-4785(2022)05-0969-11 中文引用格式：杨力，秦红梅，苏华文.基于云模型和组合权重的SCADA系统安全风险评估研究.智能系统学报，2022， 17(5):969-979. 英文引用格式：YANG Li,QIN Hongmei,,SU Huawen.Research on security risk assessment of SCADA system based on the cloud model and combination weighting[J.CAAl transactions on intelligent systems,2022,17(5):969-979. Research on security risk assessment of SCADA system based on the cloud model and combination weighting YANG Li,QIN Hongmei,SU Huawen (School of Computer Science,Southwest Petroleum University,Chengdu 610500.China) Abstract:The current(supervisory control and data acquisition,SCADA)system faces a huge security threat,and mon- itoring and evaluating its risk status is an effective countermeasure.In this paper,a cloud model theory is introduced to the security risk assessment of the SCADA system,and a security risk assessment model is proposed based on the cloud model and combination weighting to effectively deal with the problem of ambiguity and randomness in the assessment process.Firstly,a security risk assessment index system is constructed from assets,threats,vulnerabilities,and security measures of a SCADA system,Then the least squares estimate is used to obtain optimal combination weighting,and the cloud digital characteristics are calculated with the help of cloud generator,to get comprehensive security risk assess- ment cloud.Next,according to the golden ratio,the standard evaluation cloud is constructed and combined with the im- proved cloud similarity calculation method to obtain the final evaluation result.Finally,the effectiveness and feasibility of the model are verified through experiments.The research results show that the model can obtain accurate evaluation results,and compared with the fuzzy comprehensive evaluation method,it shows that this method has higher credibility and better evaluation effect.This method not only helps in identifying security risk threats in the SCADA system but also provides a certain reference for security risk assessment in other fields. Keywords:SCADA system;security risk assessment;cloud model;combination weighting;cloud similarity;ambiguity; randomness;cloud digital characteristics 收稿日期：2021-07-05.网络出版日期：2022-05-19 数据采集与监控系统(supervisory control and 基金项目：国家自然科学基金项目(61175122)：四川省科技计 划资助项目(2022 NSFSC0555). data acquisition,SCADA)系统是一个综合利用计 通信作者：杨力.E-mail:sexdyl@126.com 算机技术、控制技术和通信网络技术的数据采集

DOI: 10.11992/tis.202107005 网络出版地址: https://kns.cnki.net/kcms/detail/23.1538.TP.20220518.2144.012.html 基于云模型和组合权重的 SCADA 系统安全风险评估研究 杨力，秦红梅，苏华文 （西南石油大学 计算机科学学院，四川 成都 610500） 摘 要：当前数据采集与监控系统 (supervisory control and data acquisition, SCADA) 系统面临着巨大的安全威胁， 对其风险状况进行监测和评估是一项有效的应对措施。为有效处理评估过程中存在的模糊性和随机性问题， 将云模型理论引入 SCADA 系统安全风险评估中，提出了一种基于云模型和组合权重的安全风险评估模型。该 模型从 SCADA 系统的资产、威胁、脆弱性、安全措施 4 方面构建安全风险评估指标体系，采用最小二乘法求出 评估指标的最优组合权重，借助云发生器得到评估指标的云模型数字特征和 SCADA 系统的综合评估云，然后 基于黄金分割率构建标准评估云，同时结合改进的云相似度计算方法得出最终评估结果，最后通过实验验证了 模型的有效性和可行性。研究结果表明，该模型能够得到准确的评估结果，与模糊综合评价等方法相比，该评 估方法具备更高的可信性，评价效果更好。该方法不仅有助识别 SCADA 系统的安全风险威胁，而且为其他领 域的安全风险评估提供了一定的参考。 关键词：SCADA 系统；安全风险评估；云模型；组合权重；云相似度；模糊性；随机性；云数字特征 中图分类号：TP399 文献标志码：A 文章编号：1673−4785(2022)05−0969−11 中文引用格式：杨力, 秦红梅, 苏华文. 基于云模型和组合权重的 SCADA 系统安全风险评估研究 [J]. 智能系统学报, 2022, 17(5): 969–979. 英文引用格式：YANG Li, QIN Hongmei, SU Huawen. Research on security risk assessment of SCADA system based on the cloud model and combination weighting[J]. CAAI transactions on intelligent systems, 2022, 17(5): 969–979. Research on security risk assessment of SCADA system based on the cloud model and combination weighting YANG Li，QIN Hongmei，SU Huawen (School of Computer Science, Southwest Petroleum University, Chengdu 610500, China) Abstract: The current (supervisory control and data acquisition, SCADA) system faces a huge security threat, and mon￾itoring and evaluating its risk status is an effective countermeasure. In this paper, a cloud model theory is introduced to the security risk assessment of the SCADA system, and a security risk assessment model is proposed based on the cloud model and combination weighting to effectively deal with the problem of ambiguity and randomness in the assessment process. Firstly, a security risk assessment index system is constructed from assets, threats, vulnerabilities, and security measures of a SCADA system, Then the least squares estimate is used to obtain optimal combination weighting, and the cloud digital characteristics are calculated with the help of cloud generator, to get comprehensive security risk assess￾ment cloud. Next, according to the golden ratio, the standard evaluation cloud is constructed and combined with the im￾proved cloud similarity calculation method to obtain the final evaluation result. Finally, the effectiveness and feasibility of the model are verified through experiments. The research results show that the model can obtain accurate evaluation results, and compared with the fuzzy comprehensive evaluation method, it shows that this method has higher credibility and better evaluation effect. This method not only helps in identifying security risk threats in the SCADA system but also provides a certain reference for security risk assessment in other fields. Keywords: SCADA system; security risk assessment; cloud model; combination weighting; cloud similarity; ambiguity; randomness; cloud digital characteristics 数据采集与监控系统 (supervisory control and data acquisition, SCADA) 系统是一个综合利用计 算机技术、控制技术和通信网络技术的数据采集 收稿日期：2021−07−05. 网络出版日期：2022−05−19. 基金项目：国家自然科学基金项目 (61175122)；四川省科技计 划资助项目 (2022NSFSC0555). 通信作者：杨力. E-mail: scxdy1@126.com. 第 17 卷第 5 期 智 能 系 统 学 报 Vol.17 No.5 2022 年 9 月 CAAI Transactions on Intelligent Systems Sep. 2022

第17卷 智能系统学报 ·970· 与监视控制系统山，包含了上位机、下位机和数据 效集成，实现定性概念与其定量表示之间的转换， 通信网络3个部分，主要负责完成各种设备过程 比隶属函数具备更强的普适性和描述不确定性的 的自动控制、实时监控和数据采集，为安全生产、 能力。因此，本文提出了一种基于云模型和组合 调度、管理、优化和故障诊断提供了必要和完整 权重的SCADA系统安全风险评估模型，通过最 的数据及技术手段，在电力、冶金、石油、化工、 小二乘法求出组合权重，使权重的确定更加科学 铁路等领域应用十分广泛。 合理，再通过云模型的云发生器和相似度计算得 近年来，随着全球信息化和工业化融合进程 出综合风险评估结果，为SCADA系统的安全风 的不断加深，通用的软件、硬件、协议和技术越来 险评估研究提供一个新的途径。 越多地应用到工业生产领域)中，也将更多的漏 洞和威胁带人到SCADA系统中，使SCADA系统 1组合权重 面临着巨大的安全挑战。因此如何保障SCADA 评估指标的权重确定方法主要分为主观赋权 系统的安全已经成为当前国内外研究的热点问 和客观赋权两种。主观赋权依靠专家经验确定权 题，其中的一个重点就是如何对SCADA系统进 重，方法简单，在一定的程度上可以反映出实际 行安全评估，分析其安全现状。 情况，但人为主观性太强：客观赋权根据样本数 目前，国内外研究人员通常从定性、定量、定 据来确定权重，忽视了不同指标的重要程度，从 性与定量相结合三方面来对SCADA系统的安全 而可能导致权重结果与实际指标重要性相反。因 状况进行评估。定性评估方法具有较大的主观 此本文采用主客观组合赋权方法来克服单一赋权 性，无法给出量化的结论，系统安全状况之间的 方法的局限性，消除主客观偏差，降低信息损失， 差异很难区分。定量评估方法无法将所有的数据 使权重结果更加接近于实际结果。 信息完全量化，简化其过程又可能会导致评估结 1.1 主观权重 果产生误差。因此融合了二者优点的定性与定 采用层次分析法确定主观权重。层次分析法 量相结合的评估方法得到了更加广泛的应用，也 是将与决策相关的元素分解为目标、准则、指标等 取得了一定的成果，相关的研究方法包括了层次 层次，在此基础上进行定量和定性分析的方法。 分析法、模糊综合评估法、灰色评估等。例如姜 层次分析法的具体运算步骤如下： 莹莹等通过层次分析法(AHP),结合模糊综合 1)确定评估目标，建立层次分析模型。仔细 评估法对油气SCADA系统进行综合评估，得到 分析问题，逐层分解，确定问题的评估目标，建立 了系统的整体安全状况。Bian等通过改进的层 起目标、准则、指标三层评估模型。 次分析法和模糊综合评估法，从风险、公共、服务 2)构造判断矩阵。在指定上层某一元素的条 三方面进行网络安全态势的评估。Markovic-Pet- 件下，根据比较标度对本层的各元素进行两两比 rovic等提出了一种新的综合考虑了主客观因 较，建立起相应的判断矩阵。 素的模糊层次分析法，减少了主观性。Lⅰ等提 3)单层次计算并进行安全性判断，即层次单 出了一种基于熵权和灰色预测的SCADA系统通 排序。 信网络风险预测模型。万书亭等阁将变权模糊综 4)对判断矩阵进行一致性检验，计算出目标 合评估和灰色理论相结合构建出评估模型，实现 总排序。若一致性指标CR<0.1,则判断矩阵的一 了风电机组的性能评估。杨力等在综合分析油 致性可以接受，否则修正判断矩阵。 气SCADA系统的结构和安全威胁的基础上，提 1.2 客观权重 出了一种基于因素状态空间和模糊综合评估的新 采用嫡权法确定客观权重。嫡权法主要是根 型风险评估方法，以及将因素空间理论与MAT- 据指标信息熵的大小计算出相应指标的权重，某 LAB模糊逻辑工具结合得到Mamdani推理模型， 个指标的信息熵越小，表示其所含的信息量越 实现了SCADA系统的风险评估O 大，在评估中所起到的作用也就越大，所占权重 上述方法在评估过程中，大多采用单一权重 也越大；反之，指标信息嫡越大，所占权重越小。 和隶属函数，主观因素较强，且隶属函数在处理 具体运算步骤如下： 模糊现象时将模糊问题精确化，无法完整体现出 1)确定评估矩阵X。假设SCADA系统的评 评估过程中的不确定性，导致结果不够科学准 估指标有m个，每个指标有n个专家评估，x表示第 确。云模型能够将定性概念的模糊性和随机性有 个专家第j个指标的评估值

与监视控制系统[1] ，包含了上位机、下位机和数据 通信网络 3 个部分，主要负责完成各种设备过程 的自动控制、实时监控和数据采集，为安全生产、 调度、管理、优化和故障诊断提供了必要和完整 的数据及技术手段，在电力、冶金、石油、化工、 铁路等领域应用十分广泛。 近年来，随着全球信息化和工业化融合进程 的不断加深，通用的软件、硬件、协议和技术越来 越多地应用到工业生产领域[2] 中，也将更多的漏 洞和威胁带入到 SCADA 系统中，使 SCADA 系统 面临着巨大的安全挑战。因此如何保障 SCADA 系统的安全已经成为当前国内外研究的热点问 题，其中的一个重点就是如何对 SCADA 系统进 行安全评估，分析其安全现状。 目前，国内外研究人员通常从定性、定量、定 性与定量相结合三方面来对 SCADA 系统的安全 状况进行评估。定性评估方法具有较大的主观 性，无法给出量化的结论，系统安全状况之间的 差异很难区分。定量评估方法无法将所有的数据 信息完全量化，简化其过程又可能会导致评估结 果产生误差[3]。因此融合了二者优点的定性与定 量相结合的评估方法得到了更加广泛的应用，也 取得了一定的成果，相关的研究方法包括了层次 分析法、模糊综合评估法、灰色评估等。例如姜 莹莹等[4] 通过层次分析法 (AHP)，结合模糊综合 评估法对油气 SCADA 系统进行综合评估，得到 了系统的整体安全状况。Bian 等 [5] 通过改进的层 次分析法和模糊综合评估法，从风险、公共、服务 三方面进行网络安全态势的评估。Markovic-Pet￾rovic 等 [6] 提出了一种新的综合考虑了主客观因 素的模糊层次分析法，减少了主观性。Li 等 [7] 提 出了一种基于熵权和灰色预测的 SCADA 系统通 信网络风险预测模型。万书亭等[8] 将变权模糊综 合评估和灰色理论相结合构建出评估模型，实现 了风电机组的性能评估。杨力等[9] 在综合分析油 气 SCADA 系统的结构和安全威胁的基础上，提 出了一种基于因素状态空间和模糊综合评估的新 型风险评估方法，以及将因素空间理论与 MAT￾LAB 模糊逻辑工具结合得到 Mamdani 推理模型， 实现了 SCADA 系统的风险评估[10]。 上述方法在评估过程中，大多采用单一权重 和隶属函数，主观因素较强，且隶属函数在处理 模糊现象时将模糊问题精确化，无法完整体现出 评估过程中的不确定性，导致结果不够科学准 确。云模型能够将定性概念的模糊性和随机性有 效集成，实现定性概念与其定量表示之间的转换， 比隶属函数具备更强的普适性和描述不确定性的 能力[11]。因此，本文提出了一种基于云模型和组合 权重的 SCADA 系统安全风险评估模型，通过最 小二乘法求出组合权重，使权重的确定更加科学 合理，再通过云模型的云发生器和相似度计算得 出综合风险评估结果，为 SCADA 系统的安全风 险评估研究提供一个新的途径。 1 组合权重 评估指标的权重确定方法主要分为主观赋权 和客观赋权两种。主观赋权依靠专家经验确定权 重，方法简单，在一定的程度上可以反映出实际 情况，但人为主观性太强；客观赋权根据样本数 据来确定权重，忽视了不同指标的重要程度，从 而可能导致权重结果与实际指标重要性相反。因 此本文采用主客观组合赋权方法来克服单一赋权 方法的局限性，消除主客观偏差，降低信息损失， 使权重结果更加接近于实际结果。 1.1 主观权重 采用层次分析法确定主观权重。层次分析法 是将与决策相关的元素分解为目标、准则、指标等 层次，在此基础上进行定量和定性分析的方法。 层次分析法的具体运算步骤如下[4] ： 1) 确定评估目标，建立层次分析模型。仔细 分析问题，逐层分解，确定问题的评估目标，建立 起目标、准则、指标三层评估模型。 2) 构造判断矩阵。在指定上层某一元素的条 件下，根据比较标度对本层的各元素进行两两比 较，建立起相应的判断矩阵。 3) 单层次计算并进行安全性判断，即层次单 排序。 4) 对判断矩阵进行一致性检验，计算出目标 总排序。若一致性指标 CR<0.1，则判断矩阵的一 致性可以接受，否则修正判断矩阵。 1.2 客观权重 采用熵权法确定客观权重。熵权法主要是根 据指标信息熵的大小计算出相应指标的权重，某 个指标的信息熵越小，表示其所含的信息量越 大，在评估中所起到的作用也就越大，所占权重 也越大；反之，指标信息熵越大，所占权重越小。 具体运算步骤如下[7] ： X m n xi j i j 1) 确定评估矩阵 。假设 SCADA 系统的评 估指标有 个，每个指标有 个专家评估, 表示第 个专家第 个指标的评估值。 第 17 卷 智 能 系 统 学 报 ·970·

·971· 杨力，等：基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 2)对评估矩阵X进行标准化处理，得到矩阵Y。 w=A-1 B+ 1-ETA-BE (8) x-min(x） ETA-E 为= (1) max(xj)-min(xj) 3)计算指标的信息嫡。 2云模型 云模型是由李德毅等)在概率论和模糊数学 (2) 理论的基础上提出的用于处理某个定性概念与其 定量表示的不确定性转换模型。它利用3个数字 e=- ∑P,lnp) (3) 特征来描述定性概念，主要反映出概念的模糊性 4)计算出指标客观权重。 和随机性，并将二者完全集成在一起，构成概念 1-ej 内涵和概念外延之间的转换。目前云模型已经广 (4) 2a- 泛应用于众多领域行业中，例如陈圆超等将云 模型与级差最大化组合赋权相结合用以综合评估 1.3组合权重优化模型 矿井通风系统。张仕斌等针对复杂网络交易环境 利用一定的数学优化模型对主客观权重进行 中的信任问题，引入云模型进行可信度评估。受 有机组合得到的最优权重值，就是组合权重。本文 此启发，将云模型应用于SCADA系统的安全风 充分考虑影响SCADA系统风险大小的多种因素， 险评估中，能够有效克服过程中的不确定性，使 选择最小二乘法优化模型计算出最优组合权重值。 评估结果更加科学可信。 假设主观权重值为wc=[wcwc2…wcmJ,客 2.1云模型数字特征 观权重值为ws=[ws1ws2…WSmJT,组合权重值为 云模型用期望Ex、熵En和超嫡He3个数字特 w=[w2…wmJT,评估矩阵X标准化处理之后得 征来整体表征一个概念。 到的矩阵Y=ylm,其中n表示评估数据条数， 期望Ex是云滴在论域空间中分布的数学期 m表示评估指标个数，根据最小二乘法构造出最 望，是最能代表定性概念的点。距离期望越近， 优组合权重的目标函数和约束条件如下： 云滴就越集中，对概念的认知就越统一。 minf(w)= 22ioe-mr+oyw刊 熵E是对定性概念不确定性的度量，定性概 念的随机性和模糊性共同决定，既反映了云滴的 w=1,w≥0 离散程度，也反映了云滴的取值范围。 超嫡H是熵的不确定性度量，是嫡的嫡，表 (5) 示为云的厚度。 利用拉格朗日乘子法求解上述目标函数，偏 2.2云发生器 导方程组转化为矩阵形式如下： 云发生器是用来实现不确定性概念中定性与 [会F (6) 定量之间转换的算法，是云模型中最关键的部分， 其中： 主要分为正向云发生器和逆向云发生器，本文主 E=[11…1 要利用二阶正态云发生器。 正向云发生器是由云的数字特征Ex、En、He产 生定量的数值，即云滴，其算法过程如算法1 ∑6wG1+n 所示。 2 算法1正向云发生器算法 户0wc+w22 (7) 输入(Ex,En,He)和要生成的云滴个数W B= 2 输出(x,),i=1,2,…,N 1)生成以En为期望，He2为方差的一个正态随 了wcn+wsa2 机数y,=Rw(En,He): 2 2)生成以Ex为期望，y为方差的一个正态随 w=[w1w2…wnJT 机数x=Rw(Ex,): 对式(6)、（⑦）进行推导，得到最优组合权重为 3)计算确定度4：

2) 对评估矩阵 X 进行标准化处理，得到矩阵 Y。 yi j = xi j −min(xj) max(xj)−min(xj) (1) 3) 计算指标的信息熵。 pi j = yi j ∑n i=1 yi j (2) ej = − 1 lnn ∑n i=1 pi j ln(pi j) (3) 4) 计算出指标客观权重。 wsj = 1−ej ∑m j=1 (1−ej) (4) 1.3 组合权重优化模型 利用一定的数学优化模型对主客观权重进行 有机组合得到的最优权重值，就是组合权重。本文 充分考虑影响 SCADA 系统风险大小的多种因素， 选择最小二乘法优化模型计算出最优组合权重值。 wc = [wc1 wc2 ··· wcm] T ws = [ws1 ws2 ··· wsm] T w = [w1 w2 ··· wm] T X Y = [yi j]n×m n m 假设主观权重值为 ，客 观权重值为 ,组合权重值为 ，评估矩阵 标准化处理之后得 到的矩阵 ，其中 表示评估数据条数， 表示评估指标个数，根据最小二乘法构造出最 优组合权重的目标函数和约束条件如下： min f(w) = ∑n i=1 ∑m j=1 { [(wcj −wj)yi j] 2 +[(wsj −wj)yi j] 2 } s.t. ∑m j=1 wj = 1,wj ⩾ 0 (5) 利用拉格朗日乘子法求解上述目标函数，偏 导方程组转化为矩阵形式如下： [ A E E T 0 ] × [ w λ ] = [ B 1 ] (6) 其中： E = [1 1 ··· 1] T A = diag   ∑n i=1 y 2 i1 ∑n i=1 y 2 i2 ··· ∑n i=1 y 2 im   B =   ∑n i=1 (wc1 +ws1)y 2 i1 2 ∑n i=1 (wc2 +ws2)y 2 i2 2 . . . ∑n i=1 (wcm +wsm)y 2 im 2   w = [w1 w2 ··· wm] T (7) 对式 (6)、(7) 进行推导，得到最优组合权重为 w = A −1 [ B+ 1− E TA −1B ETA−1E E ] (8) 2 云模型 云模型是由李德毅等[11] 在概率论和模糊数学 理论的基础上提出的用于处理某个定性概念与其 定量表示的不确定性转换模型。它利用 3 个数字 特征来描述定性概念，主要反映出概念的模糊性 和随机性，并将二者完全集成在一起，构成概念 内涵和概念外延之间的转换。目前云模型已经广 泛应用于众多领域行业中，例如陈圆超等[12] 将云 模型与级差最大化组合赋权相结合用以综合评估 矿井通风系统。张仕斌等[13] 针对复杂网络交易环境 中的信任问题，引入云模型进行可信度评估。受 此启发，将云模型应用于 SCADA 系统的安全风 险评估中，能够有效克服过程中的不确定性，使 评估结果更加科学可信。 2.1 云模型数字特征 云模型用期望 Ex 、熵 En 和超熵 He 3 个数字特 征来整体表征一个概念[11]。 期望 Ex 是云滴在论域空间中分布的数学期 望，是最能代表定性概念的点。距离期望越近， 云滴就越集中，对概念的认知就越统一。 熵 En 是对定性概念不确定性的度量，定性概 念的随机性和模糊性共同决定，既反映了云滴的 离散程度，也反映了云滴的取值范围。 超熵 He 是熵的不确定性度量，是熵的熵，表 示为云的厚度。 2.2 云发生器 云发生器是用来实现不确定性概念中定性与 定量之间转换的算法，是云模型中最关键的部分， 主要分为正向云发生器和逆向云发生器，本文主 要利用二阶正态云发生器。 正向云发生器是由云的数字特征 Ex、En、He 产 生定量的数值，即云滴，其算法过程如算法 1 所示。 算法 1 正向云发生器算法 输入 (Ex,En,He) 和要生成的云滴个数 N (xi 输出 ,ui), i = 1,2,··· ,N En He2 yi = RN(En,He) 1) 生成以 为期望， 为方差的一个正态随 机数 ； Ex y 2 i xi = RN(Ex, yi) 2) 生成以 为期望， 为方差的一个正态随 机数 ； 3) 计算确定度ui： ·971· 杨力，等：基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期

第17卷 智能系统学报 ·972· u=exp &-Ex)2 4)计算样本方差S2,如果S2-E2<0,转步骤 (9) 2y 5),反之转步骤6)： 4)具有确定度4，的：，成为云的一个云滴； 5)重复步骤1)到4)，直到生成N个云滴组成云。 s2- (12) 逆向云发生器是将一定数量的精确数据转换 5)删除当前样本中距离期望Ex最近的一个云 为以数字特征表示的定性概念。现有的逆向云发 滴样本后转步骤4)： 生器算法可分为有确定度和无确定度两种。刘常 6)计算超嫡He=VS2-En2。 昱等于2004年根据一阶样本绝对中心距和样 本方差提出了一种经典的无确定度逆向云算法， 3 SCADA系统安全风险评估模型 然而该方法在SCADA系统安全风险评估计算过 3.1 SCADA系统安全风险评估指标体系 程中可能会出现样本方差过小或者嫡的估计值过 对SCADA系统进行安全风险评估，首先要分 大的情况，导致计算出的超嫡估计值会出现虚数。 析建立起科学全面的评估指标体系。本文依据 因此引入文献[15]改进的算法，具体过程如 GB/T29084-2007等标准规范、相关单位风险评 算法2所示。 估报告和前人的研究，详细分析了SCADA系统 算法2逆向云发生器算法 的基本结构以及系统所存在的薄弱点和问题，初 输入样本点x,i=1,2,…,n 步构建出评估指标体系，再采用delphi法和实地 输出数字特征(Ex,En,He)估计值 调研对指标进行合理性验证，最终从可能受影响 1)根据样本点x计算出相应的样本均值及： 的资产、威胁、脆弱性、安全措施4个方面构建出 (10) 包含4个一级评估指标（准则层）和22个二级指 n 标（指标层）的SCADA系统安全风险指标体系， 2)计算期望Ex=; 如图1所示。与现有的指标体系相比，本文所构 3)计算嫡En: 建的指标体系更加全面和客观，综合考虑了SCADA En= 11） 系统中影响安全的各种重要因素，安全事件发生 的不同阶段下保护措施配置情况，通用性更强。 SCADA系统安全风险评价A 威胁分析B 资产分析B 脆弱性分析B, 安全措施B 内 内 外 第 环 境威胁 有意威 部攻 威胁 方威 数据资产 硬 物 件资 威胁 件资产 资产 务资产 其他资产 环境 用安 主机安全 络安 数据安全C 应用中间件 管理安全 前防 前响 事后取 C C2 C 运维安全编 C C a C C 图1 SCADA系统安全风险评估指标体系 Fig.1 SCADA system safety risk assessment index system 自然环境威胁包括断电、静电、灰尘、潮湿、 和职责不明确等问题而导致的失误和系统被攻 温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、 击。外部攻击包括黑客、恐怖分子、敌对势力和 意外事故等环境危害或自然灾害。内部有意威胁 敌对国家等外部人员利用系统的脆弱性对系统进 包括不满的或有预谋的内部人员对系统重要信息 行破坏以获取利益。第三方威胁包括承包商或第 进行恶意窃取、泄露和破坏。内部无意威胁包括 三方平台存在的漏洞或后门被恶意利用等。 内部人员由于不注意或不遵循规章制度和操作流 数据资产包括源代码、控制台实时数据、应 程而导致故障、信息泄露和权限滥用等，以及内 用程序数据、数据库数据、操作产品/用户手册等 部人员由于缺乏培训、专业技能不足、规章制度 电子文档、生产运行计划和报告、各类纸质文档

ui = exp( − (xi −Ex) 2 2y 2 i ) (9) 4) 具有确定度ui的xi成为云的一个云滴； 5) 重复步骤 1) 到 4)，直到生成 N 个云滴组成云。 逆向云发生器是将一定数量的精确数据转换 为以数字特征表示的定性概念。现有的逆向云发 生器算法可分为有确定度和无确定度两种。刘常 昱等[14] 于 2004 年根据一阶样本绝对中心距和样 本方差提出了一种经典的无确定度逆向云算法， 然而该方法在 SCADA 系统安全风险评估计算过 程中可能会出现样本方差过小或者熵的估计值过 大的情况，导致计算出的超熵估计值会出现虚数。 因此引入文献 [15] 改进的算法，具体过程如 算法 2 所示。 算法 2 逆向云发生器算法 xi 输入 样本点 , i = 1,2,··· ,n 输出 数字特征 (Ex,En,He) 估计值 xi 1) 根据样本点 计算出相应的样本均值 X¯： X¯ = 1 n ∑n i=1 xi (10) 2) 计算期望 Ex = X¯ ； 3) 计算熵 En： En = √ π 2 × 1 n ∑n i=1 |xi −Ex| (11) S 2 S 2 −En2 4) 计算样本方差 ，如果 < 0 ，转步骤 5)，反之转步骤 6)； S 2 = 1 n−1 ∑n i=1 (xi − X¯ 2 ) (12) 5) 删除当前样本中距离期望 Ex 最近的一个云 滴样本后转步骤 4)； He = √ S 2 −En2 6) 计算超熵 。 3 SCADA 系统安全风险评估模型 3.1 SCADA 系统安全风险评估指标体系 对 SCADA 系统进行安全风险评估，首先要分 析建立起科学全面的评估指标体系。本文依据 GB/T 29084–2007 等标准规范、相关单位风险评 估报告和前人的研究，详细分析了 SCADA 系统 的基本结构以及系统所存在的薄弱点和问题，初 步构建出评估指标体系，再采用 delphi 法和实地 调研对指标进行合理性验证，最终从可能受影响 的资产、威胁、脆弱性、安全措施 4 个方面构建出 包含 4 个一级评估指标 (准则层) 和 22 个二级指 标 (指标层) 的 SCADA 系统安全风险指标体系， 如图 1 所示。与现有的指标体系相比，本文所构 建的指标体系更加全面和客观，综合考虑了 SCADA 系统中影响安全的各种重要因素，安全事件发生 的不同阶段下保护措施配置情况，通用性更强。 SCADA 系统安全风险评价 A 威胁分析 B1 资产分析 脆弱性分析 B3 B2 安全措施 B4 物 理 环 境 C31 应 用 安 全 C32 主 机 安 全 C33 网 络 安 全 C34 数 据 安 全 C35 应 用 中 间 件 C36 管 理 安 全 C37 运 维 安 全 C38 自 然 环 境 威 胁 C11 内 部 有 意 威 胁 C12 内 部 无 意 威 胁 C13 外 部 攻 击 威 胁 C14 第 三 方 威 胁 C15 事 前 防 御 C41 数 据 资 产 C21 硬 件 资 产 C22 软 件 资 产 C23 人 员 资 产 C24 服 务 资 产 C25 其 他 资 产 C26 事 前 响 应 C42 事 后 取 证 C43 图 1 SCADA 系统安全风险评估指标体系 Fig. 1 SCADA system safety risk assessment index system 自然环境威胁包括断电、静电、灰尘、潮湿、 温度、鼠蚁虫害、电磁干扰、洪灾、 火灾、地震、 意外事故等环境危害或自然灾害。内部有意威胁 包括不满的或有预谋的内部人员对系统重要信息 进行恶意窃取、泄露和破坏。内部无意威胁包括 内部人员由于不注意或不遵循规章制度和操作流 程而导致故障、信息泄露和权限滥用等，以及内 部人员由于缺乏培训、专业技能不足、规章制度 和职责不明确等问题而导致的失误和系统被攻 击。外部攻击包括黑客、恐怖分子、敌对势力和 敌对国家等外部人员利用系统的脆弱性对系统进 行破坏以获取利益。第三方威胁包括承包商或第 三方平台存在的漏洞或后门被恶意利用等。 数据资产包括源代码、控制台实时数据、应 用程序数据、数据库数据、操作/产品/用户手册等 电子文档、生产运行计划和报告、各类纸质文档 第 17 卷 智 能 系 统 学 报 ·972·

·973· 杨力，等：基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 等。硬件资产包括PLC、DCS、RTU等现场控制 性、协议安全、数据完整性等。管理安全需要从 设备，路由器、网关、交换机等网络设备，防火墙、 安全策略、资产分类与控制、人员安全、系统开发 入侵检测系统等安全设备，服务器、工作站、小型 与维护等方面进行识别，运维安全需要从配置管 机等计算机设备，磁盘阵列、移动硬盘、光盘等存 理、密码管理、变更管理、外包运维管理等方面进 储设备，光纤、双绞线等传输线路，空调、文件 行识别。 柜、门禁等保障设备，以及打印机、传真等其他设 3.2标准评估云 备。软件资产包括数据库系统、上位组态和监控 安全风险评估结果的确定与评语的划分等级 软件、操作系统等系统软件，远程控制软件、数据 密切相关。根据实际情况，首先将SCADA系统 库软件、工具软件、OPC等应用软件，各种源程 的安全风险评估结果划分为低风险、较低风险、 序。人员资产包括运维人员、系统调试人员、安 全管理人员等。服务资产包括对外开展的各类信 中风险、较高风险、高风险5个等级，对应的评分 息服务、各种网络设备等提供的网络服务、各类 值取值范围设定为[0,1]，数值越高，说明风险越 管理信息系统提供的办公服务。其他资产包括客 高，安全性就越差，然后基于黄金分割率的定性 户关系、企业公众形象等。 变量云化方法6和算法1计算不同等级的云滴群 脆弱性分析中物理环境主要从防盗、防火、防 的确定度，构建出标准评估云。 静电、电磁防护等方面进行识别；应用、主机、网 基于黄金分割率的变量云化方法的计算规则 络和数据安全除了从安全审计、访问控制、身份 如表1所示，其中B和Bx对应于评分取值范围， 鉴别等方面进行识别，还需要分别从应用健壮 He3为常数，视具体情况取值，本文中He3=0.008, 性、通信的完整性和保密性、人侵防范、恶意代码 根据此计算规则计算得出具体各等级的数字特征 防范、数据传输完整性和保密性、网络边界隔离 值如表2所示，同时根据表2构建出相应的标准 等方面进行识别。应用中间件需要识别交易完整 评估云，如图2所示。 表1标准评估云计算规则 Table 1 Standard Evaluation Cloud Computing Rules Ex值 En值 He值 EX1=Bmin En2 En1=0.618 He, He= 0.618 Ex=Ex,-0.382(B-Bm） 0.382(Bmax-Bmim） En,= 2 6 e,=068 Hes EX3=Bms+Bmin 2 En3=0.618En4 He; Ex=Ex3 0.382(Bman-Bmn） 0.382(Bmax-Bmin) He3 Hea= 2 Ena= 6 0.618 Exs Bmax Ena Ens= 0.618 Hes= Hea 0.618 表2各风险评估等级云数字特征 ·低风险·较低风险·中风险·较高风险·高风险 Table 2 Cloud digital characteristics at different risk as- 1.0 sessment levels 风险等级 云模型数字特征 低风险 (0,0104,0.021) 0.4 较低风险 (0.31,0.064,0.013) 0 中风险 (0.5,0.04,0.008) 0.2 0.4 0.60.81.0 较高风险 评价值 (0.69.0.064,0.013) 高风险 图2标准评估云 (1,0.104.0.021) Fig.2 Standard evaluation cloud

等。硬件资产包括 PLC、DCS、RTU 等现场控制 设备，路由器、网关、交换机等网络设备，防火墙、 入侵检测系统等安全设备，服务器、工作站、小型 机等计算机设备，磁盘阵列、移动硬盘、光盘等存 储设备，光纤、双绞线等传输线路，空调、文件 柜、门禁等保障设备，以及打印机、传真等其他设 备。软件资产包括数据库系统、上位组态和监控 软件、操作系统等系统软件，远程控制软件、数据 库软件、工具软件、OPC 等应用软件，各种源程 序。人员资产包括运维人员、系统调试人员、安 全管理人员等。服务资产包括对外开展的各类信 息服务、各种网络设备等提供的网络服务、各类 管理信息系统提供的办公服务。其他资产包括客 户关系、企业公众形象等。 脆弱性分析中物理环境主要从防盗、防火、防 静电、电磁防护等方面进行识别；应用、主机、网 络和数据安全除了从安全审计、访问控制、身份 鉴别等方面进行识别，还需要分别从应用健壮 性、通信的完整性和保密性、入侵防范、恶意代码 防范、数据传输完整性和保密性、网络边界隔离 等方面进行识别。应用中间件需要识别交易完整 性、协议安全、数据完整性等。管理安全需要从 安全策略、资产分类与控制、人员安全、系统开发 与维护等方面进行识别，运维安全需要从配置管 理、密码管理、变更管理、外包运维管理等方面进 行识别。 3.2 标准评估云 安全风险评估结果的确定与评语的划分等级 密切相关。根据实际情况，首先将 SCADA 系统 的安全风险评估结果划分为低风险、较低风险、 中风险、较高风险、高风险 5 个等级，对应的评分 值取值范围设定为 [0, 1]，数值越高，说明风险越 高，安全性就越差，然后基于黄金分割率的定性 变量云化方法[16] 和算法 1 计算不同等级的云滴群 的确定度，构建出标准评估云。 Bmin Bmax He3 He3 = 0.008 基于黄金分割率的变量云化方法的计算规则 如表 1 所示，其中 和 对应于评分取值范围， 为常数，视具体情况取值，本文中 ， 根据此计算规则计算得出具体各等级的数字特征 值如表 2 所示，同时根据表 2 构建出相应的标准 评估云，如图 2 所示。 表 1 标准评估云计算规则 Table 1 Standard Evaluation Cloud Computing Rules Ex 值 En 值 He 值 Ex1 = Bmin En1 = En2 0.618 He1 = He2 0.618 Ex2 = Ex3 − 0.382(Bmax − Bmin) 2 En2 = 0.382(Bmax − Bmin) 6 He2 = He3 0.618 Ex3 = Bmax + Bmin 2 En3 = 0.618En4 He3 Ex4 = Ex3 + 0.382(Bmax − Bmin) 2 En4 = 0.382(Bmax − Bmin) 6 He4 = He3 0.618 Ex5 = Bmax En5 = En4 0.618 He5 = He4 0.618 表 2 各风险评估等级云数字特征 Table 2 Cloud digital characteristics at different risk as￾sessment levels 风险等级 云模型数字特征 低风险 (0,0.104,0.021) 较低风险 (0.31,0.064,0.013) 中风险 (0.5,0.04,0.008) 较高风险 (0.69,0.064,0.013) 高风险 (1,0.104,0.021) 0.2 0.4 0.6 0.8 1.0 评价值 0 0.2 0.4 0.6 0.8 1.0 确定度 低风险 较低风险 中风险 较高风险 高风险 图 2 标准评估云 Fig. 2 Standard evaluation cloud ·973· 杨力，等：基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期

第17卷 智能系统学报 ·974· 33云相似度计算及其改进 到了SCADA系统的安全风险综合评估云，最后 在对比综合评估云和标准评估云时，传统的 通过文中的IKLCM云相似度计算方法，比较综 方法是以期望值Ex为基准，但当Ex处于两个等级 合评估云与标准评估云的相似度，得出整个 之间时，这种界定方法有很强的主观随意性。因 SCADA系统的安全风险评估结果。 此受相关文献[17刀的启发，本文采用正态云之间 的相似度来比较云图，进而提出了一种基于修正 W:X Ex 期望曲线和KL散度的云相似度计算方法(impov- Ex= (17) ed Kullback Leibler divergence based on cloud mod- el,IKLCM). 正态云是最基本的云模型，其期望曲线反映 了正态云的重要几何特征，是贯穿于云滴群的骨 En= (18) 架，所有的云滴都是在其周围波动，波动的程度 2 由超熵控制。龚艳冰等剧在此基础上定义了正 态云的修正期望曲线： 若云滴x满足x~NEx,En2),En≠0，En'~W(En f=1 He= (19) He),则 (x-Ex)2 )=exp2En㎡2+He)/ (13) 式中：w:为相应指标层或准则层各指标的组合权 称为正态云的修正期望曲线。 重；(Ex,En,He)为相应指标层或准则层的云数字 KL散度是两个概率分布之间差异的非对称性 特征；n为相应层次的指标个数。 度量，常用来度量两个概率分布之间的差异性，KL 散度越大，两个概率分布的差异性越大9：20，因此 4实例分析 本文通过KL散度来度量两个正态云的修正期望 4.1 SCADA系统安全风险综合评估 曲线的差异性，从而度量两个正态云的相似度。 本文采用某西南油气SCADA系统作为研究 对于连续型随机变量P和Q,其概率密度函数分别 对象进行可行性验证，该研究对象是典型的工控 为px)和q(x),KL散度的定义为 网络结构，如图3所示。整个系统中通信网络使 DPlQ=∫ogdx (14) 用工业以太网，核心部件分上位机和下位机，上 g(x) 由此，许昌林等2提出了KL散度的一种对 位机主要包含Web服务器、工程师站、操作员 站、历史数据服务器等设备，下位机主要包含远 称形式，即D(P‖Q)=Dx(PIQ)+Dk(QIP),结合 程终端单元和可编辑逻辑控制器等设备。其中， 修正期望曲线，可以推导出两个正态云的差异度 现场测控点与下位机通过现场总线和平行接线两 计算公式为 种方式进行通信，实现数据采集和设备过程的直 Dss)=xE-Er+oG+×ta-2 接控制，下位机通过卫星、有限光缆、无线数传电 台和GPRS等方式与上位机通信，实现控制信号 2=En2+He2,o2=En+He? (15) 和各种数据信息的传递，在上位机各计算机和服 因为两个正态云的差异度越大，其相似度却 务器之间采用工业以太网进行数据交互和资源共 越小，为了更加方便地与其他相似度计算方法进 享，从而实现数据的分析和处理，各设备状态、生 行对比，引入了指数函数将两个正态云的差异性 产参数、环境参数等的显示，远程监控，故障预警 与相似度进行融合，即相似度sim(S,S)为 处理等功能。 sim(SS)=exp(-D(Si,S;)) (16) 依据前文构建的SCADA系统安全风险评估 由指数函数和KL散度的性质可知，式(16) 模型，邀请相关领域的专家组成评估小组，分别 是单调递减函数，且KL散度为非负值，因此相似 对指标层的所有指标进行打分和重要性判断，根 度的计算结果必然在[0,1]之间。 据层次分析法，分别构造出准则层指标之间的判 3.4综合评估 断矩阵和每个准则层指标下所有的二级指标之间 首先由算法2计算出指标层各指标的云数字 的判断矩阵，计算出各判断矩阵的特征值和特征 特征，然后根据式(17)(19)计算出相应准则层和 向量，一致性检验通过后对特征向量归一化后即 目标层各指标的云模型数字特征，代入算法1得 可得到SCADA系统各层评估指标的主观权重

3.3 云相似度计算及其改进 Ex Ex 在对比综合评估云和标准评估云时，传统的 方法是以期望值 为基准，但当 处于两个等级 之间时，这种界定方法有很强的主观随意性。因 此受相关文献 [17] 的启发，本文采用正态云之间 的相似度来比较云图，进而提出了一种基于修正 期望曲线和 KL 散度的云相似度计算方法 (impov￾ed Kullback Leibler divergence based on cloud mod￾el，IKLCM)。 正态云是最基本的云模型，其期望曲线反映 了正态云的重要几何特征，是贯穿于云滴群的骨 架，所有的云滴都是在其周围波动，波动的程度 由超熵控制。龚艳冰等[18] 在此基础上定义了正 态云的修正期望曲线： x x ∼ N(Ex,En′2 ) En , 0 En′ ∼ N(En, He2 ) 若云滴 满足 ， ， ，则 y(x) = exp( − (x−Ex) 2 2(En2 +He2 ) ) (13) 称为正态云的修正期望曲线。 P Q p(x) q(x) KL 散度是两个概率分布之间差异的非对称性 度量，常用来度量两个概率分布之间的差异性，KL 散度越大，两个概率分布的差异性越大[19-20] ，因此 本文通过 KL 散度来度量两个正态云的修正期望 曲线的差异性，从而度量两个正态云的相似度。 对于连续型随机变量 和 ，其概率密度函数分别 为 和 ，KL 散度的定义为 DKL(P ∥ Q) = w p(x)log p(x) q(x) dx (14) D(P ∥ Q) = DKL(P ∥ Q)+ DKL(Q ∥ P) 由此，许昌林等[21] 提出了 KL 散度的一种对 称形式，即 ，结合 修正期望曲线，可以推导出两个正态云的差异度 计算公式为 D(S i ,S j) = 1 2 × [ (Exi −Exj) 2 +(σ 2 i +σ 2 j ) ] × ( 1 σ 2 i +σ 2 j ) −2 σi 2 = En2 i +He2 i ,σj 2 = En2 j +He2 j (15) sim(S i ,S j) 因为两个正态云的差异度越大，其相似度却 越小，为了更加方便地与其他相似度计算方法进 行对比，引入了指数函数将两个正态云的差异性 与相似度进行融合，即相似度 为 sim(S i ,S j) = exp(−D(S i ,S j)) (16) 由指数函数和 KL 散度的性质可知，式 (16) 是单调递减函数，且 KL 散度为非负值，因此相似 度的计算结果必然在 [0, 1] 之间。 3.4 综合评估 首先由算法 2 计算出指标层各指标的云数字 特征，然后根据式 (17)~(19) 计算出相应准则层和 目标层各指标的云模型数字特征，代入算法 1 得 到了 SCADA 系统的安全风险综合评估云，最后 通过文中的 IKLCM 云相似度计算方法，比较综 合评估云与标准评估云的相似度，得出整 个 SCADA 系统的安全风险评估结果。 Ex = ∑n i=1 wi ×Exi ∑n i=1 wi (17) En = ∑n i=1 w 2 i ×Eni ∑n i=1 w 2 i (18) He = ∑n i=1 w 2 i ×Hei ∑n i=1 w 2 i (19) wi (Exi , Eni , Hei) n 式中： 为相应指标层或准则层各指标的组合权 重； 为相应指标层或准则层的云数字 特征； 为相应层次的指标个数。 4 实例分析 4.1 SCADA 系统安全风险综合评估 本文采用某西南油气 SCADA 系统作为研究 对象进行可行性验证，该研究对象是典型的工控 网络结构，如图 3 所示。整个系统中通信网络使 用工业以太网，核心部件分上位机和下位机，上 位机主要包含 Web 服务器、工程师站、操作员 站、历史数据服务器等设备，下位机主要包含远 程终端单元和可编辑逻辑控制器等设备。其中， 现场测控点与下位机通过现场总线和平行接线两 种方式进行通信，实现数据采集和设备过程的直 接控制，下位机通过卫星、有限光缆、无线数传电 台和 GPRS 等方式与上位机通信，实现控制信号 和各种数据信息的传递，在上位机各计算机和服 务器之间采用工业以太网进行数据交互和资源共 享，从而实现数据的分析和处理，各设备状态、生 产参数、环境参数等的显示，远程监控，故障预警 处理等功能。 依据前文构建的 SCADA 系统安全风险评估 模型，邀请相关领域的专家组成评估小组，分别 对指标层的所有指标进行打分和重要性判断，根 据层次分析法，分别构造出准则层指标之间的判 断矩阵和每个准则层指标下所有的二级指标之间 的判断矩阵，计算出各判断矩阵的特征值和特征 向量，一致性检验通过后对特征向量归一化后即 可得到 SCADA 系统各层评估指标的主观权重。 第 17 卷 智 能 系 统 学 报 ·974·

·975· 杨力，等：基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 根据打分结果，利用熵权法得到指标层各评估指 观权重。结合上述所得结果，根据式(7和式(8)， 标的客观权重，再对每个准则层指标下所有二级 计算得到各层指标的组合权重，结果如表3和表4 指标的客观权重求和即可得到准则层各指标的客 所示。 企 ERP 客户端 办公网 应用层 Internet 防火墙 Web服务器SCADA服务器 控制服务器 调度层 工程师站 操作员站 数据服务器OPC服务器 监控层 现 通伟康务器 合作网络 监 HH HH 流量计算机 工控机) RS-232 switches RS.232RS-485接口 网 现场层 温度测量压力测量自动化仪表自动化仪表自动化仪表 流量计算器质量测量智能仪表 和执行机构和执行机构和执行机构 自动化仪表和执行机构层 图3 SCADA网络结构图 Fig.3 SCADA network structure figure 表3指标层各指标权重 续表3 Table 3 Each index weight in index layer 指标 主观权重 客观权重 组合权重 指标 主观权重 客观权重 组合权重 C36 0.012 0.030 0.021 C11 0.005 0.088 0.046 Cs 0.026 0.049 0.037 Cu2 0.018 0.055 0.036 C38 0.016 0.055 0.035 Ci3 0.024 0.028 0.026 C41 0.031 0.029 0.030 C14 0.034 0.030 0.032 C42 0.113 0.047 0.080 Cis 0.008 0.052 0.030 C43 0.014 0.060 0.037 C21 0.031 0.078 0.054 C 0.186 0.019 0.102 表4准则层各指标权重 Table 4 Each index weight in criterion layer C23 0.042 0.020 0.031 指标 主观权重 客观权重 组合权重 CaA 0.094 0.032 0.063 B1 C2s 0.089 0.253 0.170 0.107 0.031 0.069 C西 B2 0.483 0.228 0.354 0.023 0.048 0.035 B3 C31 0.274 0.381 0.325 0.011 0.021 0.016 Ba 0.158 0.136 0.147 Cx2 0.026 0.018 0.022 C33 0.086 0.019 0.052 将专家对22个指标的打分结果转化为定量 C3 数据作为算法2的输入，计算出指标层各指标的 0.058 0.033 0.045 C35 云模型数字特征，然后将指标层各指标的组合权 0.039 0.156 0.097 重与云数字特征值相结合，利用式(17)(19)计算

根据打分结果，利用熵权法得到指标层各评估指 标的客观权重，再对每个准则层指标下所有二级 指标的客观权重求和即可得到准则层各指标的客 观权重。结合上述所得结果，根据式 (7) 和式 (8)， 计算得到各层指标的组合权重，结果如表 3 和表 4 所示。 应用层 客户端 防火墙 工程师站 操作员站 数据服务器 OPC 服务器 Web 服务器 SCADA 服务器 控制服务器 ERP 调度层 监控层 现 场 监 控 网 络 监 控 与 管 理 网 企 业 办 公 网 现场层 Internet 合作网络 RS-232 switches RS-232/RS-485 接口 通信服务器 流量计算机 (工控机) PLC RTU PLC 自动化仪表和执行机构层 温度测量压力测量 自动化仪表 和执行机构 自动化仪表 和执行机构 自动化仪表 和执行机构 流量计算器 质量测量 智能仪表 图 3 SCADA 网络结构图 Fig. 3 SCADA network structure figure 表 3 指标层各指标权重 Table 3 Each index weight in index layer 指标 主观权重 客观权重 组合权重 C11 0.005 0.088 0.046 C12 0.018 0.055 0.036 C13 0.024 0.028 0.026 C14 0.034 0.030 0.032 C15 0.008 0.052 0.030 C21 0.031 0.078 0.054 C22 0.186 0.019 0.102 C23 0.042 0.020 0.031 C24 0.094 0.032 0.063 C25 0.107 0.031 0.069 C26 0.023 0.048 0.035 C31 0.011 0.021 0.016 C32 0.026 0.018 0.022 C33 0.086 0.019 0.052 C34 0.058 0.033 0.045 C35 0.039 0.156 0.097 续表 3 指标 主观权重 客观权重 组合权重 C36 0.012 0.030 0.021 C37 0.026 0.049 0.037 C38 0.016 0.055 0.035 C41 0.031 0.029 0.030 C42 0.113 0.047 0.080 C43 0.014 0.060 0.037 表 4 准则层各指标权重 Table 4 Each index weight in criterion layer 指标 主观权重 客观权重 组合权重 B1 0.089 0.253 0.170 B2 0.483 0.228 0.354 B3 0.274 0.381 0.325 B4 0.158 0.136 0.147 将专家对 22 个指标的打分结果转化为定量 数据作为算法 2 的输入，计算出指标层各指标的 云模型数字特征，然后将指标层各指标的组合权 重与云数字特征值相结合，利用式 (17)~(19) 计算 ·975· 杨力，等：基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期

第17卷 智能系统学报 ·976· 出准则层的云模型数字特征，结果如表5所示。 ·低风险·中风险·较高风险·高风险·综合评价云 ·较低风险 再结合准则层的指标权重经式(17)~(19)计算得 组合权重-正态云 1.0 到目标层云数字特征为(0.410,0.230,0.055) 08 表5准则层和指标层各指标云数字特征 Table 5 Each index cloud digital characteristics in the cri- 6 terion and index layer 0.4 淮则层 云数字特征 指标层 云数字特征 0.2 C (0.191,0.223,0.062) 0 0.2 0.4 0.60.81.0 评价值 Cn (0.349.0.266.0.097 图4综合评估云 B (0.320.0.228,0.075) C13 (0.395,0.203,0.025) Fig.4 Comprehensive evaluation cloud C14 (0.441,0.235.0.100 ·低风险·中风险·较高风险·高风险·综合评价云 C15 (0.291,0.194.0.086) ·较低风险 1.0 C21 (0.275,0.275,0.059) 0.8 C2 (0.441,0.183,0.034) 06 C23 (0.454,0.196.0.018) 0.4 B2 (0.429.0.220.0.051) C24 (0.554.0.344,0.087 0.2 C25 (0.370.0.194.0.057) 0 0.2 0.4 0.60.8 1.0 C26 评价值 (0.500,0.127,0.067) C31 图5指标C评估云 (0.567,0.279,0.065) Fig.5 Index Cu evaluation cloud C32 (0.429,0.171,0.036) 表6准则层各指标风险状况 C3 (0.592,0.270.0.070) Table 6 Each index risk status in the criterion layer C34 (0.383,0.213,0.038) 指标 风险状况 B3 (0.370.0.252.0.057 C3s (0.141,0.236,0.049) B 较低风险 C36 (0.441,0.2350.100) B2 较低风险 C3 (0.403,0.296.0.099) B3 较低风险 C38 (0.454,0.376.0.069) Ba 较高风险 C4 (0.559,0.162,0.060) 4.2对比实验分析 (0.560.0.181,0.045) Cn (0.513,0.148.0.033) 4.2.1不同相似度方法比较 C43 (0.6620.348.0.093) 目前，云模型的相似度计算方法主要有基于 云模型数字特征和基于云模型的几何形态两种度 根据目标层的云数字特征值生成相应的综合 评估云，与标准评估云对比，结果如图4所示，由 量方法。张光卫等四提出的夹角余弦法(likeness IKLCM得出综合评估云与较低风险云的相似度 comparing method based on cloud mode,LICM), 最高，可知该系统的综合风险评估结果为较低风 云模型的数字特征作为向量，通过计算向量的夹 险。同理可以得出指标体系中所有指标的评估云 角余弦来度量两个云模型的相似度，在协同过滤 图和风险状况，以指标C为例，其结果如图5所 中取得了较好的效果，然而在云模型的期望远大 示，可知该部分为低风险，由表6可知，该系统中 于熵和超熵时，这种度量方法容易忽视熵和超 风险最大的部分是安全措施，结合实际工控环 熵，导致相似度整体偏大，区分性差；李海林等2 境，可以发现SCADA系统中主机、服务器等设备 提出了通过计算两个正态云模型的期望曲线(ex- 缺乏入侵检测、恶意代码防范、安全审计等安全 pectation based on cloud model,.ECM)和最大边界曲 措施，从而导致安全措施部分存在较高的安全风 (maximum boundary based on cloud model, 险，需要及时处理。 MCM)重合部分的面积来度量云模型的相似度

出准则层的云模型数字特征，结果如表 5 所示。 再结合准则层的指标权重经式 (17)~(19) 计算得 到目标层云数字特征为 (0.410, 0.230, 0.055)。 表 5 准则层和指标层各指标云数字特征 Table 5 Each index cloud digital characteristics in the cri￾terion and index layer 准则层 云数字特征 指标层 云数字特征 B1 (0.320,0.228,0.075) C11 (0.191,0.223,0.062) C12 (0.349,0.266,0.097) C13 (0.395,0.203,0.025) C14 (0.441,0.235,0.100) C15 (0.291,0.194,0.086) B2 (0.429,0.220,0.051) C21 (0.275,0.275,0.059) C22 (0.441,0.183,0.034) C23 (0.454,0.196,0.018) C24 (0.554,0.344,0.087) C25 (0.370,0.194,0.057) C26 (0.500,0.127,0.067) B3 (0.370,0.252,0.057) C31 (0.567,0.279,0.065) C32 (0.429,0.171,0.036) C33 (0.592,0.270,0.070) C34 (0.383,0.213,0.038) C35 (0.141,0.236,0.049) C36 (0.441,0.235,0.100) C37 (0.403,0.296,0.099) C38 (0.454,0.376,0.069) B4 (0.560,0.181,0.045) C41 (0.559,0.162,0.060) C42 (0.513,0.148,0.033) C43 (0.662,0.348,0.093) C11 根据目标层的云数字特征值生成相应的综合 评估云，与标准评估云对比，结果如图 4 所示，由 IKLCM 得出综合评估云与较低风险云的相似度 最高，可知该系统的综合风险评估结果为较低风 险。同理可以得出指标体系中所有指标的评估云 图和风险状况，以指标 为例，其结果如图 5 所 示，可知该部分为低风险，由表 6 可知，该系统中 风险最大的部分是安全措施，结合实际工控环 境，可以发现 SCADA 系统中主机、服务器等设备 缺乏入侵检测、恶意代码防范、安全审计等安全 措施，从而导致安全措施部分存在较高的安全风 险，需要及时处理。 0.2 0.4 0.6 0.8 1.0 评价值 0 0.2 0.4 0.6 0.8 1.0 确定度 组合权重-正态云 低风险 综合评价云 较低风险 中风险 较高风险 高风险 图 4 综合评估云 Fig. 4 Comprehensive evaluation cloud 0.2 0.4 0.6 0.8 1.0 评价值 0 0.2 0.4 0.6 0.8 1.0 确定度 低风险 综合评价云 较低风险 中风险 较高风险 高风险 图 5 指标 C11评估云 Fig. 5 Index C11 evaluation cloud 表 6 准则层各指标风险状况 Table 6 Each index risk status in the criterion layer 指标 风险状况 B1 较低风险 B2 较低风险 B3 较低风险 B4 较高风险 4.2 对比实验分析 4.2.1 不同相似度方法比较 目前，云模型的相似度计算方法主要有基于 云模型数字特征和基于云模型的几何形态两种度 量方法。张光卫等[22] 提出的夹角余弦法 (likeness comparing method based on cloud mode, LICM)，将 云模型的数字特征作为向量，通过计算向量的夹 角余弦来度量两个云模型的相似度，在协同过滤 中取得了较好的效果，然而在云模型的期望远大 于熵和超熵时，这种度量方法容易忽视熵和超 熵，导致相似度整体偏大，区分性差；李海林等[23] 提出了通过计算两个正态云模型的期望曲线 (ex￾pectation based on cloud model, ECM)和最大边界曲 线 (maximum boundary based on cloud model, MCM) 重合部分的面积来度量云模型的相似度， 第 17 卷 智 能 系 统 学 报 ·976·

·977· 杨力，等：基于云模型和组合权重的SCADA系统安全风险评估研究 第5期 克服了基于特征向量和随机选取云滴的相似度计 差0.01，ECM方法中(S1,S)和(S2,S3)的相似度差 算方法带来的云模型期望过于显著、时间复杂度 0.08,而IKLCM方法中(S1,S4)和(S2,S3)的相似度 过高和结果不稳定等问题，然而ECM法完全忽 差0.09，因此IKLCM方法能更好地区分正态云的 视了超熵的作用，而MCM法考虑了超嫡的作用， 相似度。 但超熵很大时，相似度结果误差较大；许昌林等四 表8在文献22数据集上不同云相似度计算方法的比较 通过KL散度结合最大边界曲线(kullback leibler Table 8 Comparison of different cloud similarity calcula- divergence based on cloud model,KLDCM)来度量 tion methods on the data set of literature [22] 云模型的相似度，KL散度能很好地刻画两个概 sim LICM22 ECM231 MCM23 KLDCM1 IKLCM 率分布的差异，且具有较高的普适性，然而超熵 S1,S2 0.96 0.01 0.33 0.02 0.00 很大时，相似度结果误差较大。本文提出的KLCM 法通过修正期望曲线和KL散度相结合，克服了 S1,S3 0.97 0.04 0.37 0.03 0.00 上述方法的不足，较为全面地考虑到了期望、嫡 S1,S4 0.99 0.94 0.96 0.99 0.97 和超熵的作用。 S2S3 0.99 0.86 0.95 0.98 0.88 为了更好地验证上述结论，说明本文提出的 IKLCM法与其他4种方法的差异性，采用文献 S2,S4 0.97 0.01 0.38 0.02 0.00 [24]和文献[22]的示例数据进行实验，并分析比 S3,S4 0.98 0.04 0.37 0.04 0.00 较它们的实验结果。文献[24]中给出了3个正态 云S1(3,3.123,2.05)、S2(2,3,1)和S3(1.585,3.556, 4.2.2不同评估方法结果比较 1.358),分别利用LICM、ECM、MCM、KLDCM和 选取AHP模糊综合评价2、灰色评估2a、熵 本文提出的KLCM对其进行相似度计算，结果 权-云模型2刃3种评估方法与本文基于组合权重 如表7所示。 和云模型的评估方法对SCADA系统的风险状况 表7在文献[24数据集上不同云相似度计算方法的比较 评估结果进行比较，结果如表9所示。 Table 7 Comparison of different cloud similarity calcula- 表9不同评估方法结果的比较 tion methods on the data set of literature [24] Table 9 Comparison of different evaluation methods result sim LICM2 ECM3]MCM231 KLDCM IKLCM 对各风险等级隶属度或相似度 评估方法 -评估结果 S1,S20.9712 0.8728 0.7821 0.6549 0.8677 低较低中较高高 S1,S30.9438 0.8336 0.8983 0.8995 0.8680 AHP-模糊综合评价0.120.300.330.190.06 中风险 灰色评估 S2,S3 0.98500.9138 0.8800 0.8855 0.9193 0.210.270.240.200.08较低风险 嫡权-云模型 0.510.950.890.000.00较低风险 由表7可知，IKLCM方法的结果表明，S2和 组合权重-云模型0.000.110.000.000.00较低风险 S3的相似度最大为0.9193，该结果与实际直观结 果一致。可以看出，LICM方法的计算结果几乎 由表9可知，4种评估方法评价结果基本一 都接近为1，区分性差；ECM方法完全忽视了超 致，表明基于云模型和组合权重的评估方法是合 熵的作用，导致计算结果不准确：MCM方法和 理有效的。结合实例进行分析，与模糊综合评估 KLDCM方法采用最大边界曲线扩大了超熵的作 和灰色评估方法相比，本文方法区分性更大，不 用，导致结果与实际直观结果不一致。 仅考虑了过程中存在的随机性，解决了隶属度函 然后再对文献22]给出的4个正态云进行对比， 数、白化函数精确化等问题，还将评价结果制成 S(1.5,0.62666,0.3390)、S2(4.6,0.60159,0.30862)、 云图，实现了评价结果的可视化，使结果更加直 S3(4.4,0.75199,0.27676)、S4(1.6,0.60159,0.30862), 观清晰，也能得到每一项指标的风险状况，深入 结果如表8所示。由表8可知，KLCM法的结果 分析SCADA系统风险产生原因。 表明，S和S,的相似度最大为0.97，S2和S3的相似 图6给出了熵权、AHP和组合赋权3种情况 次之为0.88，其余相似度都为0，该结果与实际直 下所得的指标层指标的权重对比，可以看出组合 观结果一致。5种方法的计算结果相同，但LICM 赋权有效地减少了评估过程中的主观随意性，中 方法的相似度几乎都接近为1，区分度差，MCM 和了嫡权法的不足，在一定程度上提高了评估的 方法和KLDCM方法中(S1,S)和(S2,S3)的相似度 准确性

克服了基于特征向量和随机选取云滴的相似度计 算方法带来的云模型期望过于显著、时间复杂度 过高和结果不稳定等问题，然而 ECM 法完全忽 视了超熵的作用，而 MCM 法考虑了超熵的作用， 但超熵很大时，相似度结果误差较大；许昌林等[21] 通过 KL 散度结合最大边界曲线 (kullback leibler divergence based on cloud model, KLDCM) 来度量 云模型的相似度，KL 散度能很好地刻画两个概 率分布的差异，且具有较高的普适性，然而超熵 很大时，相似度结果误差较大。本文提出的 IKLCM 法通过修正期望曲线和 KL 散度相结合，克服了 上述方法的不足，较为全面地考虑到了期望、熵 和超熵的作用。 S 1 S 2 S 3 为了更好地验证上述结论，说明本文提出的 IKLCM 法与其他 4 种方法的差异性，采用文献 [24] 和文献 [22] 的示例数据进行实验，并分析比 较它们的实验结果。文献 [24] 中给出了 3 个正态 云 (3, 3.123, 2.05)、 (2, 3, 1) 和 (1.585, 3.556, 1.358)，分别利用 LICM、ECM、MCM、KLDCM 和 本文提出的 IKLCM 对其进行相似度计算，结果 如表 7 所示。 表 7 在文献 [24] 数据集上不同云相似度计算方法的比较 Table 7 Comparison of different cloud similarity calcula￾tion methods on the data set of literature [24] sim LICM[22] ECM[23] MCM[23] KLDCM[21] IKLCM S 1,S 2 0.971 2 0.8728 0.782 1 0.654 9 0.8677 S 1,S 3 0.943 8 0.8336 0.898 3 0.899 5 0.8680 S 2,S 3 0.985 0 0.9138 0.880 0 0.885 5 0.9193 S 2 S 3 由表 7 可知，IKLCM 方法的结果表明， 和 的相似度最大为 0.919 3，该结果与实际直观结 果一致。可以看出，LICM 方法的计算结果几乎 都接近为 1，区分性差；ECM 方法完全忽视了超 熵的作用，导致计算结果不准确；MCM 方法和 KLDCM 方法采用最大边界曲线扩大了超熵的作 用，导致结果与实际直观结果不一致。 S 1 S 2 S 3 S 4 S 1 S 4 S 2 S 3 S 1,S 4 (S 2,S 3) 然后再对文献 [22] 给出的 4 个正态云进行对比， (1.5, 0.626 66, 0. 3 390)、 (4.6, 0.601 59, 0.308 62)、 (4.4,0.751 99,0.276 76)、 (1.6,0.601 59,0.308 62)， 结果如表 8 所示。由表 8 可知，IKLCM 法的结果 表明， 和 的相似度最大为 0.97， 和 的相似 次之为 0.88，其余相似度都为 0，该结果与实际直 观结果一致。5 种方法的计算结果相同，但 LICM 方法的相似度几乎都接近为 1，区分度差，MCM 方法和 KLDCM 方法中 ( ) 和 的相似度 S 1,S 4 (S 2,S 3) S 1,S 4 (S 2,S 3) 差 0.01，ECM 方法中 ( ) 和 的相似度差 0.08，而 IKLCM 方法中 ( ) 和 的相似度 差 0.09，因此 IKLCM 方法能更好地区分正态云的 相似度。 表 8 在文献 [22] 数据集上不同云相似度计算方法的比较 Table 8 Comparison of different cloud similarity calcula￾tion methods on the data set of literature [22] sim LICM [22] ECM[23] MCM[23] KLDCM[21] IKLCM S 1,S 2 0.96 0.01 0.33 0.02 0.00 S 1,S 3 0.97 0.04 0.37 0.03 0.00 S 1,S 4 0.99 0.94 0.96 0.99 0.97 S 2,S 3 0.99 0.86 0.95 0.98 0.88 S 2,S 4 0.97 0.01 0.38 0.02 0.00 S 3,S 4 0.98 0.04 0.37 0.04 0.00 4.2.2 不同评估方法结果比较 选取 AHP-模糊综合评价[25] 、灰色评估[26] 、熵 权–云模型[27] 3 种评估方法与本文基于组合权重 和云模型的评估方法对 SCADA 系统的风险状况 评估结果进行比较，结果如表 9 所示。 表 9 不同评估方法结果的比较 Table 9 Comparison of different evaluation methods result 评估方法 对各风险等级隶属度或相似度 评估结果 低 较低 中 较高 高 AHP–模糊综合评价 0.12 0.30 0.33 0.19 0.06 中风险 灰色评估 0.21 0.27 0.24 0.20 0.08 较低风险 熵权–云模型 0.51 0.95 0.89 0.00 0.00 较低风险 组合权重–云模型 0.00 0.11 0.00 0.00 0.00 较低风险 由表 9 可知，4 种评估方法评价结果基本一 致，表明基于云模型和组合权重的评估方法是合 理有效的。结合实例进行分析，与模糊综合评估 和灰色评估方法相比，本文方法区分性更大，不 仅考虑了过程中存在的随机性，解决了隶属度函 数、白化函数精确化等问题，还将评价结果制成 云图，实现了评价结果的可视化，使结果更加直 观清晰，也能得到每一项指标的风险状况，深入 分析 SCADA 系统风险产生原因。 图 6 给出了熵权、AHP 和组合赋权 3 种情况 下所得的指标层指标的权重对比，可以看出组合 赋权有效地减少了评估过程中的主观随意性，中 和了熵权法的不足，在一定程度上提高了评估的 准确性。 ·977· 杨力，等：基于云模型和组合权重的 SCADA 系统安全风险评估研究 第 5 期

第17卷 智能系统学报 ·978· +主观权重 of Things technologies,2013,3(12):71-73,75 0.175 +客观权重 0.150 +组合权重 [5] BIAN Nayun,WANG Xiaofeng,MAO Li.Network se- 0.125 curity situational assessment model based on improved 周0.100 AHP FCE[C]//2013 Sixth International Conference on 0.075 Advanced Computational Intelligence (ICACI).Hang- 0.050 zhou:IEEE.2013:200-205. 0.025 [6] MARKOVIC-PETROVIC J D,STOJANOVIC M D 0 3 57911131517192123 BOSTJANCIC RAKAS S V.A fuzzy AHP approach for 指标层指标 security risk assessment in SCADA networks[J].Ad- 图6不同赋权方法的结果对比 vances in electrical and computer engineering,2019, Fig.6 Comparison of the results of different weighting 193):69-74. methods [7] LI Meng,LI Wenjing,YU Peng,et al.Risk prediction of 5结束语 the SCADA communication network based on entropy- gray model[C]//2017 13th International Conference on 本文首先从资产、威胁、脆弱性等方面构建 Network and Service Management(CNSM).Tokyo. 出SCADA系统风险评估指标体系，接着通过组 EEE,2017:256-261. 合权重优化模型确定了指标权重，云模型相关理 [8]万书亭，万杰，张成杰.基于灰色理论和变权模糊综合 论构建出风险评估模型，并通过实验验证了该模 评判的风电机组性能评估[J.太阳能学报，2015,36(9)： 型。本文将主客观权重相结合，克服了单一权重 2285-2291 的信息损失问题，引入云模型理论，比传统的隶 WAN Shuting,WAN Jie,ZHANG Chengjie.Compre- 属度函数、白化函数在处理不确定性问题上考虑 hensive evaluation of wind power unit performance eval- 更加全面客观，改进了云相似度计算方法，更准 uation based on grey theory and variable weight fuzzy mathematics[J].Acta energiae solaris sinica,2015,36(9). 确地反映了标准评估云与综合评估云之间的相似 2285-2291 度，提高了评估结果的可靠性。本文的研究不仅 [9] YANG Li,CAO Xiedong,LI Jie.A new cyber security 有助于识别和预测SCADA系统的安全威胁，保 risk evaluation method for oil and gas SCADA based on 障SCADA系统的安全，而且对风险评估的进一 factor state space[J].Chaos,solitons fractals,2016,89: 步研究具有重要意义，但是文中的逆向云算法在 203-209. 样本量小的情况下，超熵估计值误差较大，因此， [10]YANG Li,CAO Xiedong,GENG Xinyu.A novel intelli- 今后的研究工作会对逆向云算法进行改进，提高 gent assessment method for SCADA information security 评价结果的精度。 risk based on causality analysis[J].Cluster computing, 2019,22(3):5491-5503. 参考文献： [11]李德毅，杜鹊.不确定性人工智能M.北京：国防工业 [I]王华忠.监控与数据采集(SCADA)系统及其应用M, 出版社，2005 北京：电子工业出版社，2010. [12]陈圆超，戴剑勇，谢东.矿井通风系统的组合赋权云模 [2] 陶耀东，李宁，曾广圣.工业控制系统安全综述仞计算 型综合评价.系统工程，2020,38(6)：35-42 机工程与应用，2016,52(13)：8-18 CHEN Yuanchao,DAI Jianyong,XIE Dong.Compre- TAO Yaodong,LI Ning,ZENG Guangsheng.Review of hensive evaluation of mine ventilation system based on industrial control systems security[J].Computer engineer- combination weighting cloud model[J].Systems engin- ing and applications,2016,52(13):8-18. eering,2020,38(6):35-42. [3] 王增光，卢昱，陈立云.网络安全风险评估方法综述 [13]张仕斌，许春香.基于云模型的信任评估方法研究[) 飞航导弹，2018(4)：62-66,73 计算机学报，2013,36(2)：422-431 WANG Zengguang,LU Yu,CHEN Liyun.Review of cy- ZHANG Shibin,XU Chunxiang.Study on the trust evalu- ber security risk assessment method[J].Aerodynamic ation approach based on cloud model[J].Chinese journal missile journal,2018(4):62-66,73. of computers,.2013,36(2):422-431. [4]姜莹莹，曹谢东，白琳，等.基于层次分析法的SCADA [14]刘常昱，冯芒，戴晓军，等.基于云X信息的逆向云新算 系统安全评价).物联网技术，2013,3(12)：71-73,75. 法).系统仿真学报，2004,16(112417-2420. JIANG Yingying,CAO Xiedong,BAI Lin,et al.Safety LIU Changyu,FENG Mang,DAI Xiaojun,et al.A new evaluation of SCADA system based on AHP[J].Internet algorithm of backward cloud[J].Acta simulata systemat-

1 5 3 7 9 13 17 21 11 15 19 23 指标层指标 0 0.025 0.050 0.075 0.100 0.125 0.150 0.175 权重 主观权重 客观权重 组合权重 图 6 不同赋权方法的结果对比 Fig. 6 Comparison of the results of different weighting methods 5 结束语 本文首先从资产、威胁、脆弱性等方面构建 出 SCADA 系统风险评估指标体系，接着通过组 合权重优化模型确定了指标权重，云模型相关理 论构建出风险评估模型，并通过实验验证了该模 型。本文将主客观权重相结合，克服了单一权重 的信息损失问题，引入云模型理论，比传统的隶 属度函数、白化函数在处理不确定性问题上考虑 更加全面客观，改进了云相似度计算方法，更准 确地反映了标准评估云与综合评估云之间的相似 度，提高了评估结果的可靠性。本文的研究不仅 有助于识别和预测 SCADA 系统的安全威胁，保 障 SCADA 系统的安全，而且对风险评估的进一 步研究具有重要意义，但是文中的逆向云算法在 样本量小的情况下，超熵估计值误差较大，因此， 今后的研究工作会对逆向云算法进行改进，提高 评价结果的精度。 参考文献： 王华忠. 监控与数据采集 (SCADA) 系统及其应用 [M]. 北京: 电子工业出版社, 2010. [1] 陶耀东, 李宁, 曾广圣. 工业控制系统安全综述 [J]. 计算 机工程与应用, 2016, 52(13): 8–18. TAO Yaodong, LI Ning, ZENG Guangsheng. Review of industrial control systems security[J]. Computer engineer￾ing and applications, 2016, 52(13): 8–18. [2] 王增光, 卢昱, 陈立云. 网络安全风险评估方法综述 [J]. 飞航导弹, 2018(4): 62–66,73. WANG Zengguang, LU Yu, CHEN Liyun. Review of cy￾ber security risk assessment method[J]. Aerodynamic missile journal, 2018(4): 62–66,73. [3] 姜莹莹, 曹谢东, 白琳, 等. 基于层次分析法的 SCADA 系统安全评价 [J]. 物联网技术, 2013, 3(12): 71–73,75. JIANG Yingying, CAO Xiedong, BAI Lin, et al. Safety evaluation of SCADA system based on AHP[J]. Internet [4] of Things technologies, 2013, 3(12): 71–73,75. BIAN Nayun, WANG Xiaofeng, MAO Li. Network se￾curity situational assessment model based on improved AHP_FCE[C]//2013 Sixth International Conference on Advanced Computational Intelligence (ICACI). Hang￾zhou: IEEE, 2013: 200−205. [5] MARKOVIC-PETROVIC J D, STOJANOVIC M D, BOSTJANCIC RAKAS S V. A fuzzy AHP approach for security risk assessment in SCADA networks[J]. Ad￾vances in electrical and computer engineering, 2019, 19(3): 69–74. [6] LI Meng, LI Wenjing, YU Peng, et al. Risk prediction of the SCADA communication network based on entropy￾gray model[C]//2017 13th International Conference on Network and Service Management (CNSM). Tokyo. IEEE, 2017: 256−261. [7] 万书亭, 万杰, 张成杰. 基于灰色理论和变权模糊综合 评判的风电机组性能评估 [J]. 太阳能学报, 2015, 36(9): 2285–2291. WAN Shuting, WAN Jie, ZHANG Chengjie. Compre￾hensive evaluation of wind power unit performance eval￾uation based on grey theory and variable weight fuzzy mathematics[J]. Acta energiae solaris sinica, 2015, 36(9): 2285–2291. [8] YANG Li, CAO Xiedong, LI Jie. A new cyber security risk evaluation method for oil and gas SCADA based on factor state space[J]. Chaos, solitons & fractals, 2016, 89: 203–209. [9] YANG Li, CAO Xiedong, GENG Xinyu. A novel intelli￾gent assessment method for SCADA information security risk based on causality analysis[J]. Cluster computing, 2019, 22(3): 5491–5503. [10] 李德毅, 杜鹢. 不确定性人工智能 [M]. 北京: 国防工业 出版社, 2005. [11] 陈圆超, 戴剑勇, 谢东. 矿井通风系统的组合赋权云模 型综合评价 [J]. 系统工程, 2020, 38(6): 35–42. CHEN Yuanchao, DAI Jianyong, XIE Dong. Compre￾hensive evaluation of mine ventilation system based on combination weighting cloud model[J]. Systems engin￾eering, 2020, 38(6): 35–42. [12] 张仕斌, 许春香. 基于云模型的信任评估方法研究 [J]. 计算机学报, 2013, 36(2): 422–431. ZHANG Shibin, XU Chunxiang. Study on the trust evalu￾ation approach based on cloud model[J]. Chinese journal of computers, 2013, 36(2): 422–431. [13] 刘常昱, 冯芒, 戴晓军, 等. 基于云 X 信息的逆向云新算 法 [J]. 系统仿真学报, 2004, 16(11): 2417–2420. LIU Changyu, FENG Mang, DAI Xiaojun, et al. A new algorithm of backward cloud[J]. Acta simulata systemat- [14] 第 17 卷 智 能 系 统 学 报 ·978·