贝叶斯网络在组合攻击树分析中的定量评估方法

可在www.sciencedirect.com在线获取理论计算机科学电子笔记310（2015）91-111www.elsevier.com/locate/entcs贝叶斯网络在组合攻击树分析中的应用Marco Gribaudo1米兰理工大学电子、信息和生物工程学院意大利米兰Mauro Iacono2Dipartimento di ScienzePoliticheSecondaUniversit`adegliStudidiNapoli Caserta，ItalyStefano Marrone3Dipartimento di Matematica eFisicaSecondaUniversit`adegliStudidiNapolli Caserta，Italy摘要越来越需要找到能够保护关键基础设施免受威胁的适当对策，这解决了风险评估定量方法的定义问题。这个主题中最困难的方面之一是评估攻击的效果。攻击树是攻击场景建模中最常用的形式主义之一：尽管已经提出了一些扩展来丰富原始形式主义的表达能力，但应该在其可分析性上花费一些精力。 本文定义了一种将攻击树转换为贝叶斯网络的转换方法。所提出的方法可以应付不同的攻击树扩展，而且，它允许定量评估的组合攻击建模为一组攻击树。保留字：攻击树，定量风险评估，贝叶斯网络，模型转换1介绍确保系统安全的过程是基于对中断或违规行为的可能原因及其相互关系的透彻分析。这种分析1电子邮件：marco. polimi.it2电子邮件：mauro. unina2.it3电子邮件：stefano. unina2.ithttp://dx.doi.org/10.1016/j.entcs.2014.12.0141571-0661/© 2015作者。出版社：Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/3.0/）。92M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91必须由对系统的细节或至少部分细节有足够了解的专家执行。传统上，这种活动是通过自上而下或自下而上的方法进行的，例如，分别是是否发生了利用，是否需要利用日志进行调查，或者是否必须从潜在的基本原因开始，评估由于已知现象的组合而在设计、评估和运行时监控阶段自动支持专家的研究正在增长;特别是在安全相关事件相关领域，已经提出了第一种方法[7，6]，旨在定义决策支持系统架构。这种专家驱动的分析支持定性或半定量风险管理过程：此类活动可能会从定量方法中获益，如安全性分析中所做的那样。定量风险评估的好处是可以评估拟议保护解决方案的质量，并允许进行成本效益交易。换句话说，这种分析不仅可以用于找出相互关系和依赖关系，寻找潜在的逻辑含义，而且还可以通过更多基本事件及其关系的概率来找出复杂事件这是为了量化系统因敌对行为而可能面临的风险。由于在不太复杂的情况下，有多种不同的行为可能导致中断，而这些行为又可能有多种原因，因此分析通常会产生一个树形结构的依赖关系链：基于这种考虑，文献中用于评估安全威胁的技术之一被称为攻击树（AT），并且可以用于定性和定量评估。AT是一种经过评估的资源，它们已被证明是一种简单的工具，适合系统建模领域的非专家安全风险评估不能像安全分析那样假设独立故障：需要保护的基础设施越复杂、越重要，不同行为体针对不同目标发动攻击的可能性就越大。在本文中，结构化的设计和分析方法的AT提出了支持不同的攻击对同一系统的影响的评估：该方法将可用于不同的专家池。分辨率的方法是基于广泛的组合概率建模形式主义，即贝叶斯网络（BN）的开发该方法源于领域专家为每个攻击指定单独的AT，并将其自动组合成一个单一的综合BN模型，该模型包含所有加入的效应。翻译成一种比BN具有更大求解能力的形式主义，使我们能够提出一个统一的AT扩展，其中包括科学文献提出的一些最有趣的扩展该方法应用于一个工具，该工具执行分离的AT到BN模型的自动翻译，并通过免费提供的支持来解决它工具：特别是使用JavaBayes工具[12]。本文的组织如下：在此介绍后，一些相关的工作在第2节。第3节详细介绍了该方法的概述。M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）9193然后，第4节定义了作为建模和求解过程基础的AT变量第五节详细介绍了转型过程。第6节介绍了一个案例研究，第7节总结了本文。2攻击树和相关作品第一个介绍AT的出版物是[21，22]。在这些出版物中，作者提出了AT作为一种方便的手段，代表攻击，并支持其原因的系统分析。AT是在计算机安全领域创建的，但它们的适用性并不局限于这个领域：国土安全的应用可以在[4]中找到，其中AT的变体用于评估关于攻击的资源分配，而在[5]中提出了工业系统的应用。每当必须分析与各种行动链或组合有关的风险时，都可以应用AT，以获得风险如何产生的一般模式。为了说明应用定量或定性的ATs分析可能带来的好处，考虑这样一种情况，即一个团体旨在利用环境事故来制造恐怖袭击，通过篡改分布式监测系统，当局使用该系统来控制污染物并避免对区域4人口的风险。AT足够灵活，可以表示传统的计算机安全攻击，例如可以应用于基于计算机的远程控制系统的攻击，或感官损失，或完全不同的威胁，例如基于通过对感测节点的物理干预（例如与污染物的人为隔离）破坏感测数据的行为在[17]中给出了AT的基础的合理表示，其中AT被正式定义和描述，并且给出了非常抽象和一般的语义到操作员组合的动作。 定性应用实例与另一种技术的比较，可以在[19，15]中找到，而定量应用的例子可以在[4]中找到。AT中的定量语义的定义是开放的，[27]提出了一个建议，以及关于这个问题的有趣的书目部分。一些扩展也可以在文献中找到（例如，见[28，18]）。AT显示出与更广为人知的故障树（FT）[26]的一些明显相似之处，用于评估故障组件对系统的贡献。虽然它们共享一些基本原则（在这一点上，已经有一些有趣的尝试将它们整合起来，如[10]），但这两种技术在概念和实践问题的许多方面都是不同的。第一个例子是事件组合的共同影响：虽然可能共同导致更高级别故障的不同故障通常在时间顺序方面是不变的，但组成单个攻击的各种动作通常必须以给定的顺序成功执行，因此引入了某种顺序。第二个方面是故障事件和动作之间的语义差异：故障发生，而动作是由攻击者故意采取的，因此可以决定如何制定[4][14，1，2]中描述了一个类似的系统。94M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91战略是行动成功的结果。第三个区别是，FT模型的结构通常是它所代表的系统架构的结果，并且它仅在由分析产生的设计决策需要重新设计架构的情况下变化;在AT的情况下，作为分析结果的对策的实现（例如，决定任务应该以用户权限而不是计算机中的根权限运行）引入了许多其他可能的攻击，因此需要对AT及其扩展进行彻底的修改以考虑新的可能操作（并且这强调了对更灵活的工具的需要）。可以指出许多其他轻微或实质性的差异，有时源于两种形式主义的高级版本：例如，虽然在FT中可以很容易地表示修复策略，而不会在实际使用中发生大的变化（例如参见[20，9]），但在AT中引入类似物则远没有那么简单（例如参见[16]）。3的总方针假设AT的形式化，解决AT模型的问题进行了讨论：本节的重点是解决方案的过程，旨在提供定量的结果。 该方法依赖于转换技术作为一种手段，以生成一个更可分析的模型，一个更有用的。该过程可分为系统分析、模型综合、模型评价和结果评价四个步骤。第一阶段，系统分析，包括系统地获取和检查要分析的系统的特征;它还考虑系统与环境的相关部分之间的相互作用，它运作。在这个阶段，需要系统和环境方面的专业知识，并产生一个体系结构参考模型。系统的结构可以由大量的异构元素和子系统组成，这些元素和子系统可以致力于非常不同的任务。分析继续检测可能的误用和对基础设施的攻击，并确定适当的对策：因此，除了系统方面的专业知识外，还需要威胁和保护系统方面的第二阶段，模型合成，旨在将关于系统、环境和交互的知识请注意，在这个阶段需要其他专业知识，重点是模型设计，而不是系统分析。获得一个单一的，全面的模型意味着一个良好的整合和协调过程，以统一地放在一起，而不会与第一阶段的产出不匹配。在本文中，模型综合是通过AT。第三个阶段，模型评估，很少是一个计算的机械制定：它更常见的是一个模型的批判性审查，以适应它与评估工具，考虑到他们的实际局限性。虽然选择最舒适和最灵活的工具可以有所帮助，但更好的计算资源管理以及更快和更精确的计算功能通常更重要，M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）9195Fig. 1. 描述这一过程大型模型的案例。显然，最后一个阶段，即结果评估，是该过程的目标，因为它可以反馈到系统分析和模型合成阶段，以通过在分析周期期间迭代应用流水线来获得分析中达到的质量和系统所需的性能需要一种结构化的方法来解决这个问题，以扩大可以分析的系统的维度在这种情况下，由于AT通常必须在每次实施反措施时重新设计，因此该过程中的大部分负担集中在前两个阶段的持续修订，以及组件之间的相互影响必须予以考虑。组合性是一个重要的工具，它始终支持在建模框架中集成不同的贡献[13，11]。所提出的方法考虑到相关的优势，从允许- ING单独的组进行系统分析和模型合成阶段，通过引入模型合成和模型评估阶段之间的中间步骤模型组成这一阶段，即模型处理，致力于进一步的综合，构成第二阶段的输出，可以考虑在一个单一的综合模型（子模型）最终过程的一般描述见图1。组合性的引入启用了其他可以加速或降低流程成本的功能，例如它促进了子模型的重用。更多-5即使如所见，对系统的每一次修改都可能对整个模型产生重大影响，也可能存在已知的相互依赖程度较低或影响较小的子系统。系统的其他部分。在这些情况下，它们可以被重用，因为它们引入了近似值，直到它们的贡献变得显著，以限制过程的成本96M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91图二、 模型处理阶段的详细信息此外，这个新的阶段还被用来实现本文中介绍的对基本AT的集成，并使合成模型适应所选择的求解器，将由AT实现的模型的表示与以适合于所选择的求解器的形式给出的模型的实现解耦。这种解耦允许在模型解决方案阶段使用替代工具，基于不一定依赖于AT的形式主义，也不与AT无关：一旦可用，可以利用这一点透明地切换到更强大的AT求解器，或者求助于使用更一般形式的更灵活的求解器（如本文使用BN所示），以利用新形式主义可能具有而AT不具有的某些特性，或者将该过程集成到更广泛的设计过程中。所有这些操作都可以通过适当的软件组件设计和组织为自动执行，以将过程的参与者与此阶段的复杂性隔离开来，并使其对过程透明。贝叶斯网络是一个适当的形式主义为我们的目的，因为他们可以改善AT通过消除具有树结构的约束。BN模型的图形性质允许存在共同的祖先和合并不同的AT。尽管它们没有Petri网（PN）的基于状态的形式主义的表达能力，但它允许其他有趣的特征，例如多值节点和节点中的任意函数（相对于故障树）。BN也比PN更容易求解，因为它们可以通过有效的组合算法而不是耗时的状态空间构造技术来分析：关于故障树，求解算法的复杂性略高。建模处理阶段的内部细节如图2所示。 该图显示，建模处理阶段依次组织在2个子阶段的流水线中，即子模型合成和模型转换子阶段。第一个负责协调和适当地融合所有的AT子模型，最终从一个子模型库，这是一个已知的AT子模型库的贡献。 第二个负责将输出AT转换为实际评估的模型，在本文中，如所宣布的，是BN。关于第一个的细节不在本文的范围内;第5节专门描述转换由第二个执行。M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）9197vvvvvv不0v04攻击树在本节中，提出了AT的定义，统一了第2节中提到的一些科学论文中的大多数概念。定义4.1（单攻击树）设SAT是单攻击树，SAT= ，其中是在节点集V和有向边集E上的树; e =（v s，v d）∈ E意味着存在从v s到v d的弧，V的节点。定义4.2（父节点集）给定SAT和 v∈V， VP是父节点v的节点集：V P={v p∈V|（v p，v）∈E}.定义4.3（子节点集）给定SAT和 v∈V， VC是子节点v的集合：VC={v c∈V|（v，v c）∈E}.定义4.4（叶节点集）给定SAT， VL是叶节点集： VL={v |V C= 0. VL中的节点表示攻击的初始步骤。定义4.5（中间节点集）给定一个SAT，VI是中间节点集。节点集：V I={v|V C}。VI中的节点表示一个过程的中间步骤，攻击通过构造，V=VI<$VL和VI<$VL=<$。定义4.6（最终SAT目标）给定SAT，t∈V是树的顶部节点，因此V P= V。该节点对攻击者想要获取的最终资产由于图的结构是一棵树，因此，ttop节点。定义4.7（运算符函数）给定一个SAT，v ∈ V I−→ {AND，SEQ，OR，KooN}是树的算子函数;对于每个中间节点，它分配一个算子，该算子确定一个条件，根据该条件，可以完成由节点建模的攻击步骤。 这些条件是：• AND：完成与子节点相关的所有步骤• SEQ：所有与子节点相关的步骤都按指定顺序完成• 或：完成与子节点相关的步骤中的至少一• KooN：至少完成了与子节点相关的n个步骤中的k个定义4.8给定SAT，χ：v∈VI−→N：χ（v） =.0，则K（v）/=KooN。k，否则该函数的值表示定义4.7中规定的KooN节点情况下的k值。下面是真的：v∈V I，χ（v）≤|V C|.定义4.9（攻击复原函数）给定SAT，ρ：v∈V−→ R+。该函数为每个节点分配系统抵抗攻击的概率定义4.10（有序攻击函数）给定一个SAT，ε：e∈E−→ N+。此函数将以下顺序分配给指向标记为SEQ的节点的边98M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91vvvvXε（e）=n> 0， n（v t）=SEQ.0，否则PA RE。nt在攻击的序列中;否则是ze ro。给定e=（vs，vt）∈E，现在让我们将攻击树集形式化为一个集合， 的SAT。定义4.11（攻击树集）攻击树集ATS被定义为一对。定义4.12给定一个ATS，AT是SAT的集合：{SAT1，SAT2，...，SAT N}。定义4.13（攻击树集合关系）给定ATS并定义V=Nk=1 V k是每个SAT的所有节点的集合的并集，r <$V× V是一个关系。如果属于两个不同SAT的两个节点对彼此强耦合的攻击步骤进行建模，则它们通过攻击树集合关系来关联。我们可以假设树的一个节点的效应被传播到包含相关节点的树中。攻击树集关系是一个等价关系，因为它是自反的，对称的和传递的。因此，该关系生成商集V/r，即包含由r导出的等价类的V的划分。这样的模型可以通过图形图来描绘，其中节点可以通过函数x，x和p的信息来丰富，而在SEQ节点的情况下，弧可以用父节点的顺序来标记。在ATS中，可以独立地绘制不同的树，而两个节点之间的关系由虚线无向弧表示。此外，现代建模方法可以受益于用户友好的图形用户界面的生成，以便自动生成准备转换的模型。图3描绘了能源供应商的ATS：不同的攻击旨在破坏公司的不同资产;图3（a）针对公司提供的服务，而在图3（b）中，攻击者想要破坏安全系统。不同的SAT通常由不同的建模团队和领域专家生成：因此，虽然第一个SAT更多地关注信息安全，但第二个SAT则面向物理安全。但关闭服务可能会引发停电（由于公司的性质），反之亦然。因此，攻击树集关系被用来模拟这种情况。这里报告了两个额外的定义。定义4.14（祖先节点集）给定一个SAT和v∈五，VA是v的祖先节点集。VA={v a∈V|边序列（t，v1），（v1，v2），.，（v i，v a）（v a，v i+1），.，（vn−1，vn）（vn，v）}，即一个边序列从树的根开始，经过v a，最后到v。定义4.15（后代节点集）给定SAT和 v∈V， VD是v的后代节点集。 V D={x∈V|v∈VA}，即节点的子集，V是祖先。M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）9199图三. 攻击树5将攻击树转化为贝叶斯网络模型到模型（M2M）转换旨在将源模型转换为其他模型，也以不同的形式表示。主要动机是新模型能够执行在以前的形式主义中不可行的分析[23]。尽管模型转换可以通过通用语言（如C和Java）实现，但有很多语言专门用于模型转换（例如Atlas转换语言，查询视图转换等）。这些语言通常包含声明性和强制性部分：尽管如此，它们鼓励在指定转换时使用声明性风格。在本节中，显示了从ATS生成BN模型的M2M：在脆弱性评估领域中生成BN的其他方法在文献[3]中。5.1模型转换的步骤该方法分为三步：第一步负责将ATS的每个SAT转换为BN，第二步根据攻击树集合关系关联生成BN，第三步对生成的BN进行简化。这些步骤的概述如图4所示。步骤1：SAT至BN作为组合形式主义，贝叶斯网络不能精确地对SEQ算子建模，因为它们不允许考虑状态和时间依赖性。但是，可以通过AND近似SEQ运算符。 事实上，由于SEQ要求事件以特定顺序发生，因此，SEQ（EV1，EV2）为真是100M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91细化ATS步骤2BN模型步骤3步骤1细化SATjSATi图四、模型转换概述表1简单节点slave =trueslave = false1-ρi（v）ρi（v）其中AND（EV1，EV2）为真。因此，通过用AND替换SEQ，我们高估了攻击成功的概率。由于设计和评估过程通常通过考虑最坏情况来工作，因此这种近似不构成问题。设ATS= AT，r >，SATi=∈ AT，τi∈<{1.. . n}，则变换按照以下规则进行：• 如果v ∈ Vi，则会创建一对BN变量：一个“主”变量和一个“从”变量，其中最后一个是前者的父变量。所有变量都是二进制的，并假定{true，false}中的值，其中true表示攻击步骤成功。从机的条件概率表（CPT）构建如下：· v是叶节点：CPT建立在ρi的值上：ρi（v）是生成的BN从变量的值为假的概率，因为它是抵抗攻击步骤的概率。因此，可以如表1中那样生成简单的CPT;· v是一个中间节点：CPT建立在节点的三个函数的值上。实际上，CPT可以实现逻辑运算符（定义为i，χi）以及概率条件（ρi）。表2报告了从设备的CPT，假设有两个输入节点（表中的EV1和EV2其他CPT的例子见[8];• e∈Ei，从SAT中的子节点生成的BN“主”变量到SAT中的父节点生成的BN“从”变量创建弧;该步骤的应用示例如图5所示。步骤2：ATS至BN转换的第二步考虑ATS关系r。更具体地说，该转换基于ATS关系r中包含的信息来细化在前一步骤中生成的BN。我们考虑在前一步骤中生成的BN和商集（V）/r。从属于同一分区的所有SAT节点生成的BN主变量被折叠成单个BN变量。此变量具有所有从M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91101表2AND节点EV1EV2slave =trueslave = false假假01假真01真假01真真1-ρi（v）ρi（v）图五、翻译SAT的例子SAT节点的所有子节点的并集作为父节点，生成BN变量的所有子节点的并集作为子节点。实现逻辑OR6的CPT被添加到这些BN变量。图6示出了应用该规则的示例：图6（a）描绘了初始ATS，图6（b）描绘了应用第一步骤产生的BN，图6（c）描绘了通过变换的第二步骤组合两个BN。在r的某些情况下，不可能为ATS生成BN，而只能为每个SAT生成BN。这种可译性条件与BN基于有向无环图的事实有关，因此，不能考虑BN结构中引起循环的每个关系：可译性条件的正式定义超出了本文的范围。图7中报告了ATS不满足可翻译性条件的示例案例。步骤3：后处理在第二步之后，可能有一些BN模型转换的最后一步负责提供这种简化，以便[6]这是经典的OR真值表。102M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91图第六章ATS关系翻译示例见图7。 一种不可翻译的攻击树集降低模型的复杂性。请注意，即使可能，消除与最终SAT目标节点相关的虚拟主变量也会使分析阶段更加复杂：为了简单起见，它们不会被消除。例如，图6（c）中的模型可以简化为图8中的模型。5.2所得BN的分析ATS到BN的转换允许系统设计者和评估者不仅评估单个SAT的成功概率，而且评估攻击组合的效果。我们可以通过两种方法分析所得BN：• 先验概率（prior）：在任何证据出现之前，某一事件发生的可能性我们将使用这种方法，以获得成功的概率，M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91103图八、最终优化模型示例当所有攻击都是针对基础设施进行时，SAT中描述的攻击。通过计算SAT的顶部节点的• 后验概率：在已知某些事实的情况下，某一事件发生的可能性 我们将使用这种方法来获得SAT中描述的攻击成功的概率，当一些攻击是针对基础设施进行的。这些概率通过计算SAT的顶部节点的“主”变量的概率分布来评估，· 对应于SAT建模的叶节点的BN主动攻击被观察到是真实的;· 对应于模拟非主动攻击的SAT的叶节点的BN6应用于铁路作为一个案例研究，我们对铁路系统的攻击模型。为了使用现实的假设，我们从[25]中的工作开始。分析显示了铁路基础设施的几个关键点。首先，铁路不能在其整个延伸范围内进行物理监控：因此，数百英里的铁路不可避免地会受到不同攻击者的多种性质的攻击，这些攻击者可以使用不同性质的工具。另一个脆弱性出现在货物从一种运输方式转移到另一种运输方式的地点，主要是从船舶转移到铁路。装载在船上104M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91火车使人实际上无法检查每个集装箱，而危险材料可能被藏在那里。如果港口当局存在安全漏洞，这也会对铁路系统造成破坏。另一个主要漏洞来自对列车时刻表数据库的未经授权的访问。这些档案中包含敏感材料的运输时间表：了解这一信息可能导致有针对性的攻击，这些攻击可能针对检查不那么严格的地区的危险材料，从而大大增加通常危害较小的行动的影响。第四个关键性与火车运输的商业影响有关，特别是对客运火车。为了使火车公司不因其他交通工具而失去业务，安全检查必须至少减少。再加上固定的列车时刻表带来的高度可预测性，这对基础设施本身构成了威胁。最后一个问题是，通常铁路安全不是一个单一机构的责任，而是由几个当局分担的。角色的分离增加了安全漏洞的可能性，因为每个机构都可能认为其他一些机构应该已经涵盖了特定的问题。相反，如果一个特定点由一个以上的机构负责，这会浪费本可以用于保护其他漏洞的资金。如果我们把重点放在可能针对铁路的攻击上，它们可以分为三大类。第一种类型的攻击是破坏火车或铁路本身。作为一个效应，这种攻击类型也可以针对铁路附近。在铁路上或火车本身上的炸弹可以是这种攻击的一如上文所述，以运输危险材料的火车为目标可增加这类攻击的效果。执行这种攻击的另一种方式是通过使目标列车脱轨，例如通过攻击在火车通过之前的一座桥，或者在铁路交叉口放置大型车辆。第二类攻击包括劫持火车：如果车厢内的物品对攻击者有某种价值，这种情况尤其可能发生。通过远程或物理访问对计划数据库的访问或其损坏会增加此类攻击的可能性。最后一种形式的攻击是通过电子攻击或现场物理获取信息来破坏机密铁路数据库。在许多情况下，这种类型的攻击可以被认为是两种谨慎考虑的攻击形式之一的第一步，因为它允许制定更好和更成功的计划。这种类型的攻击的另一种形式可以通过改变火车的时间表和时间表来进行：这可能导致正面碰撞，或者导致极端混乱，从而将安全资源从真正的数据库攻击通常以几个步骤和不同的形式发生：例如参见[24]。在图9中，我们给出了一个ATS模型，它将可能的铁路攻击与其他形式的攻击联系起来：由于船上未检查的货物而导致的爆炸攻击，电子攻击的指挥和控制系统接管，以及利用火车有效载荷的生化威胁专家描述M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91105每个场景：铁路安全专家，海事安全专家，生化威胁专家和网络安全专家。虽然这四种类型的威胁似乎是不相关的，但它们在某些点上交叉，并且可能是试图同时实现多个目标的大规模攻击的一部分。特别是，火车车厢的爆炸会造成生化威胁。爆炸可能是由于货物从船上转移到铁路上时海上安全受到破坏而劫持火车可能是电子攻击的结果，目的是通过破坏数据来接管铁路当局的指挥和控制。请注意，在两个不同的AT中存在一些攻击步骤并不是因为对案例的建模不完整，而是因为在不同的条件下，具有不同技能的攻击者可以通过不同的动作集数据损坏可以通过基于网络的攻击远程获得，或者通过直接的个人行为从铁路局使用第5节中提出的技术，图9中呈现的模型可以被分析。 特别是图10显示了与示例中考虑的四种不同形式的攻击相对应的四个贝叶斯网络。然后，通过应用第5节中提出的技术的步骤2和步骤3，将四个分量融合在单个贝叶斯网络中，并删除冗余节点，如图11所示。 然后，我们可以使用JavaBayes工具分析模型，在没有具体假设的情况下，并观察当观察到与顶级节点对应的一些事件时，受到给定攻击的概率如何变化。攻击集的交叉效应（成功概率）：化学铁路海上Comm. - 是的化学0.6468640.06084000海上0.3522400.0452880.0080000Comm. - 是的0.3500000.04500000.728164铁路0.5673790.08738700.021600轨 + 3月0.5678800.0874470.0080000.021600全BN0.6799420.0929920.0080000.732289表3结果：在每一行中，左侧指定了启用攻击的子系统或子系统组合。该模型允许分析每个基本攻击对BN中任何事件的孤立或组合影响相反，这里提出了一组结果，显示了如何可能应用这种技术来分析一个系统相对于其他系统的相互贡献的脆弱性表3列出了对模型进行分析的结果。表中的每个值代表创建一个106M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91指挥和控制系统接管=0.1=OR数据损坏=0.2=OR=0.9=OR=SEQ社会工程=0.2港口安全漏洞=0.8货物未检查0.95直接攻击=0.7特权提升获得凭证=0.2=ORSQL注入=0.8生化威胁专家爆炸=0.6=OR一批危险品货物受损=0.6对一批危险品的破坏=0.2铁 路 安全专家重大列车事故列车/轨道破坏=0.1正面碰撞=OR=SEQ=0.2=SEQ爆炸=0.1=OR脱轨=0.1=SEQ列车调度知识=0.8更改列车时刻表0.95=OR炸弹袭击一列客运列车数据损坏=0.6=AND=0.8=SEQ找一个无人监控的区域=0.5商业问题= 0.9网 络 安全专家海事安全专家蛮力=0.2默认帐户0.95网络协议攻击=0.3见图9。 案例研究的AT=0.3化学或生物威胁=OR0.95=SEQ炸弹袭击一列货运列车=0.2加载时插入炸弹=0.2在火车=0.2劫机=0.5炸弹袭击一列货运列车=0.2=OR释放有毒物质=0.2篡改铁轨=0.9权限滥用=0.9订单变更=0.4数据变更=0.8安全系统损坏=0.6信号改变=0.2M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91107见图10。 BN的铁路威胁（a），化学威胁（b），海上威胁（c）和指挥和控制威胁（d）案例研究部分108M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91见图11。 威胁的总体BNM. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91109当对该行中指示的子系统的所有可能的基本攻击被启用时，考虑到与其他子系统相关的所有其他基本攻击都是不可能的，对列中指示的子系统的损害第i行和第j列的单元格中的值表示第i次攻击导致在第j个顶部节点上传播的概率。最后两行涉及连接的海运和铁路之间的组合情况，以及启用所有可能的基本攻击的情况（这是实践中最现实的情况）。添加第5行是因为与海上有关的攻击似乎是与铁路有关的攻击的AT的一部分，因此考虑了与其他三次攻击有关的所有基本威胁都被视为不可能的情况：这一案例表明，对海事子系统的攻击的后果对铁路子系统并不重要，因为结果相对于第4行中的结果没有改变。最后一行显示了所有基本威胁都可能发生并且可能因此发生时的结果：在这种情况下，相互影响实际上显示了它们的影响，但显然不可能独立地观察它们这些结果有助于进行比较分析，以支持有关系统增强的决定。正如所料，当化学子系统受到攻击时，即，生物化学威胁SAT的所有叶节点都表示主动攻击，海事安全和网络安全SAT不受影响（因此它们的攻击可能性为零），而铁路安全SAT受影响，因为其爆炸中间节点与生化威胁SAT的爆炸根据评估的期望目标，启用基本攻击的不同选择允许其他分析7结论本文定义了一种从一组AT自动生成BN的平移方法。该方法的动机是有一个过程和一个形式主义的必要性，能够提供一个定量评估的攻击成功的可能性，即使在联合攻击的情况下，相互和非平凡的在它们之间的accuruences。该方法被应用在铁路案例研究，在攻击之间的因果关系，旨在击中列车和攻击，旨在击中设施的研究，建模通过攻击树，然后通过现有的分析工具生成的BN模型进行分析确认本文部分由研究项目CRYSTAL（关键系统工程加速）支持，该项目由ARTEMIS联合承诺资助，资助协议编号为332830，ARTEMIS成员国包括奥地利、比利时、捷克共和国、法国、德国、意大利、荷兰、西班牙、瑞典、英国。110M. Gribaudo et al. /Electronic Notes in Theoretical Computer Science 310（2015）91引用[1] M. D'Arienzo，M. Iacono，S. Marrone和R.纳多内无线传感器网络环境监测应用中移动传感器的能耗估算。高级信息网络和应用研讨会（WAINA），2013年第27届国际会议，第1588-1593页，2013年3月[2] Maurizio D'Arienzo，Mauro Iacono，Stefano Marrone，and Roberto Nardone. 基于Petri网的无线传感器节点能耗 J. 高速网络，19（4）：339 -358 ，201 3 年 。[3] A. Drago，S. Marrone，N. Mazzocca，A. Tedesco和V. Vittorini。 模型驱动的复杂铁路网络分布式脆弱性评估。在泛在智能and Computing，2013 IEEE第10届国际会议和第10届国际自主和可信计算会议（UIC/ATC），第380[4] Kenneth S.乔治·埃奇放大图片作者：Richard A. Raines，and Robert F.米尔斯使用攻击和保护树分析对国土安全的威胁和防御。在2006年IEEE军事通信会议论文集，MILCOM'06，第953-959页，Piscataway，NJ，USA，2006年。Press.[5] 斯蒂芬·艾纳森和马文·劳桑。复杂工业系统脆弱性分析方法。风险分析，18（5）：535 - 546，1998年。[6] 马西莫·菲科云计算安全事件关联方法。国际J.高性能。 Comput.网络，7（3）：173[7] Massimo Ficco，Alessandro Daidone，Luigi Coppolino，Luigi Romano，and Andrea Bondavalli.事件关联 法 在 监 控 系统 基 础 设 施 故 障 诊 断 中 的 应用 。 在 Proceedings of the 13th European Workshop onDependency Computing，EWDCACM。[8] F. Flammini，S. Marrone，N. Mazzocca，A.帕帕拉多角Pragliola和V. Vittorini。公交监控场景中多传感器态势识别的可信度评估以. 库佐科雷亚，C. Kittl，D. Simos，E. Weippl和L.徐，编辑，安全工程和智能信息学，计算机科学讲义第8128卷，第442-456页。Springer Berlin Heidelberg，2013.[9] Francesco Flammini ， Stefano Marrone ， Mauro Iacono ， Nicola Mazzocca ， and Valeria Vittorini.ERTMS/ETCS故障建模的多形式主义模块化方法。International Journal of Reliability，Quality andSafety Engineering，21（01）：1450001[10] Igor Nai Fovino，Marcelo Masera，and Alessio De Cian. 在故障树中整合网络攻击。Rel.工程系统安全性，94（9）：1394 -1402，2009。[11] Giuliana Franceschinis， Marco Gribaudo ，Mauro Iacono， Stefano Marrone，Nicola Mazzocca， andValeria Vittorini.复杂系统的组合建模：OsMoSys中的联络中心场景。在ICATPN[12] F. Gagliardi Cozman。JavaBayes -用户手册。http://www.cs.cmu.edu/~ javabayes/.[13] M. Iacono，E. Barbierato和M. 格里博多 SIMTHESy的多形式主义建模框架。Computers and Mathematics with Applications，（64）：3828[14]