XX 大學畢業(yè)設(shè)計（論文）題 目： 工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)學 院： 測試與光電工程學院專業(yè)名稱： 測控技術(shù)與儀器班級學號： 學生姓名： 指導教師： 二 Oxx 年六月工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)摘要：隨著通信網(wǎng)絡(luò)技術(shù)和ICS的發(fā)展，ICS的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加，其所具有的特點，如連接性、開放性、復雜性等，使得安全問題也變得日益嚴峻；此外，近年來安全事故的發(fā)生不斷呈現(xiàn)上升趨勢，且ICS網(wǎng)絡(luò)一旦遭受攻擊與破壞，其帶來的后果可能是如爆炸、供電系統(tǒng)癱瘓等嚴重后果。因此本文提出了工控系統(tǒng)安全態(tài)勢感知技術(shù)，它將工控系統(tǒng)作為一個整體，關(guān)注整個控制過程，為工控系統(tǒng)當前的狀態(tài)以及可能受到的攻擊做出態(tài)勢評估，給管理員提供了可靠、有效的決策依據(jù)，最大限度得降低了工控系統(tǒng)中可能存在的風險與損失：1) 本文主要針對工控系統(tǒng)中常見的完整性攻擊，給出攻擊模型,將其作為本文主要研究對象；通過研究傳統(tǒng)的“拜占庭將軍問題理論”的思想，并將其運用于工控系統(tǒng)的安全態(tài)勢感知分析中;在研究了工控系統(tǒng)控制過程特點的基礎(chǔ)上，提出了一個工控系統(tǒng)安全態(tài)勢感知模型，并研究了工控系統(tǒng)安全態(tài)勢感知算法。2) 提出了工控系統(tǒng)物理層節(jié)點狀態(tài)變化間一致性的概念；簡要得對節(jié)點信息的采集進行了介紹，對獲取的節(jié)點數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得其內(nèi)在信息，確定系統(tǒng)狀態(tài)；并在分析物理層節(jié)點狀態(tài)變化的基礎(chǔ)上，依據(jù)節(jié)點狀態(tài)變化之間的內(nèi)在一致性，對節(jié)點態(tài)勢進行判斷，確定節(jié)點序列，及惡意節(jié)點。3) 以“提餾段溫度單回路控制系統(tǒng)”為研究對象，進行了 Matlab 仿真實驗，驗證節(jié)點狀態(tài)變化的一致性；并通過模擬完整性攻擊，將實驗結(jié)果與攻擊者的攻擊目的進行對比，驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型及算法的正確性和有效性。關(guān)鍵詞：工業(yè)控制系統(tǒng) 安全態(tài)勢感知 拜占庭將軍問題 節(jié)點序列 節(jié)點狀態(tài) 一致性 惡意節(jié)點Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; whats worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model，which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword： industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目 錄1 緒論 .11.1 課題背景與意義 .11.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò) .21.3 網(wǎng)絡(luò)安全態(tài)勢感知 .51.4 本文主要工作內(nèi)容 102 模型建立與算法研究 .122.1 完整性攻擊模型 122.2 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.3 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.4 本章小結(jié) 213 節(jié)點信息采集與處理 213.1 物理層節(jié)點狀態(tài)信息采集 213.2 物理層節(jié)點信息處理 253.3 本章小結(jié) 284 MATLAB 仿真實驗與理論驗證 294.1 安全態(tài)勢感知研究對象 294.2 仿真模型建立與驗證 304.3 完整性攻擊態(tài)勢感知仿真驗證 404.4 本章小結(jié) 455 總結(jié)與展望 465.1 本文總結(jié) 465.2 工作展望 46參考文獻 .48致 謝 .50附錄 物理層節(jié)點攻擊序列判斷 MATLAB 程序 .511工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)1 緒論1.1 課題背景與意義各類工控技術(shù)已廣泛應(yīng)用于國家基礎(chǔ)設(shè)施，并對其安全產(chǎn)生較大影響，此外，由于工控系統(tǒng)的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加，我們將基于工控系統(tǒng)的網(wǎng)絡(luò)稱為工控系統(tǒng)網(wǎng)絡(luò) 1。遭受到攻擊或產(chǎn)生了破壞的工業(yè)控制網(wǎng)絡(luò)，極易發(fā)生災難性的安全事故，以 1996 年的南卡羅來納州油管爆裂事故為例，攻擊者對系統(tǒng)施加了完整性攻擊，不僅導致了周邊環(huán)境的嚴重破壞，同時也產(chǎn)生了超過兩千萬美元的損失 2。近年來工控系統(tǒng)安全事故頻發(fā)，且其不斷呈現(xiàn)上升趨勢 3如下圖 1.1 所示：圖 1.1 ICS-CERT 歷年的公布工控安全事件統(tǒng)計分析此外，由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)不斷廣泛得采用開放式平臺和通信協(xié)議，ICS 系統(tǒng)的連接性、開放性、復雜性不斷提升，其安全問題也變得日益嚴峻，工業(yè)控制網(wǎng)絡(luò)中存在的脆弱性也被潛在的攻擊者攻擊利用。且由于 ICS 網(wǎng)絡(luò)與IT 網(wǎng)絡(luò)之間存在著如性能和功能需求、安全體系不同、可用性和可靠性需求不同等的本質(zhì)差異，使得當前 ICS 系統(tǒng)及 ICS 網(wǎng)絡(luò)的防護不同與一般 IT 網(wǎng)絡(luò)防護，并存在一定困難，進而使得依靠單一傳統(tǒng)的信息網(wǎng)絡(luò)安全技術(shù)，如：安全網(wǎng)關(guān)/網(wǎng)橋、防火墻等無法實現(xiàn)多層級與多級別的網(wǎng)絡(luò)安全防護需求。2本研究針對上述問題，提出了 ICS 系統(tǒng)安全態(tài)勢感知模型及算法，在對ICS 系統(tǒng)的當前狀況進行安全態(tài)勢評估的基礎(chǔ)上，對系統(tǒng)正面對或即將面臨的攻擊及入侵做出判斷，并最終對安全態(tài)勢結(jié)果進行等級劃分，以呈現(xiàn) ICS 系統(tǒng)的當前安全態(tài)勢，給決策者提供切實可靠、實時的決策依據(jù)，進而保障 ICS 系統(tǒng)的安全。1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)1.2.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)簡介工業(yè)控制系統(tǒng)經(jīng)歷了以 420mA 為代表的模擬信號傳輸、以內(nèi)部數(shù)字信號和RS-232、RS-485 為代表的數(shù)字通信傳輸、以包括現(xiàn)場總線、工業(yè)以太網(wǎng)、工業(yè)無線網(wǎng)絡(luò)的控制網(wǎng)絡(luò)為代表的網(wǎng)絡(luò)傳輸?shù)娜齻€階段的工控系統(tǒng)變革；當前，工業(yè)控制網(wǎng)絡(luò)在企業(yè)自動化系統(tǒng)的核心技術(shù)領(lǐng)域有相當廣泛的應(yīng)用，而現(xiàn)場總線技術(shù)和工業(yè)以太網(wǎng)技術(shù)是工業(yè)控制網(wǎng)絡(luò)的主要代表技術(shù)。此外，工業(yè)控制網(wǎng)絡(luò)在性能上有著自身獨特的性能 4：1) 系統(tǒng)的實時性響應(yīng)控制系統(tǒng)的最基本要求是 ICS 網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)募皶r性以及系統(tǒng)響應(yīng)的實時性。所謂實時性是指控制系統(tǒng)可在較短并可預測確定的時間內(nèi)，完成過程參數(shù)采集、加工處理等一系列完整過程，并且執(zhí)行時序滿足過程控制對時間限制的要求。若系統(tǒng)無法滿足實時性要求，即無法及時得對控制對象進行調(diào)節(jié)，將會造成控制系統(tǒng)崩潰，甚至產(chǎn)生嚴重的安全事故。2) 開放性開放性是指通信協(xié)議公開，不同廠商的設(shè)備之間可以相互連通成為設(shè)備，以實現(xiàn)信息交換，遵循同一網(wǎng)絡(luò)協(xié)議的測量控制設(shè)備能夠進行互操作與互用。3) 極高的可靠性3工控網(wǎng)絡(luò)的高可靠性往往包括三方面：可使用性好，即網(wǎng)絡(luò)自身不易發(fā)生故障；容錯能力強，即當網(wǎng)絡(luò)系統(tǒng)局部單元出現(xiàn)故障時，不會影響整體系統(tǒng)的工作；可維護性強，即在故障發(fā)生后能及時發(fā)現(xiàn)并處理，通過維修恢復網(wǎng)絡(luò)。4) 良好的惡劣環(huán)境適應(yīng)能力由于控制網(wǎng)絡(luò)的工作環(huán)境往往比較惡劣，如溫度與濕度變化大、粉塵污染、電磁干擾大等，因此工業(yè)控制網(wǎng)絡(luò)設(shè)備需要經(jīng)過嚴格的設(shè)計和測試，保證其能適應(yīng)惡劣的工作環(huán)境，滿足環(huán)境要求。5) 安全性工業(yè)自動化網(wǎng)絡(luò)包含了生產(chǎn)安全和信息安全兩方面；生產(chǎn)安全是指工業(yè)自動化網(wǎng)絡(luò)中的控制設(shè)備具有本質(zhì)安全的性能，利用安全柵欄技術(shù)，對提供給現(xiàn)場儀表的電能量限制在安全范圍內(nèi)；而信息安全主要是指信息本身的保密性、完整性以及信息來源和去向的可靠性，這是整個工業(yè)控制網(wǎng)絡(luò)系統(tǒng)必不可少的重要組成部分。1.2.2 工控系統(tǒng)常見攻擊簡介工控系統(tǒng)在網(wǎng)絡(luò)上的廣泛應(yīng)用，使其呈現(xiàn)出與 IT 網(wǎng)絡(luò)相似的脆弱性與漏洞，這也使得攻擊者對工控系統(tǒng)有了更多可乘之機 5。攻擊者的攻擊目標往往可分為以下幾類 6：節(jié)點信息流被破壞；對工控系統(tǒng)設(shè)備造成影響與破壞；對系統(tǒng)自身設(shè)定的安全設(shè)置進行更改與破壞。常見的攻擊有:1) IP 欺騙：攻擊者通過仿造IP地址，對目標計算機發(fā)送信息，計算機接收到信息后，判定該信息是來自于主機的信息，此時，攻擊成功，攻擊者與計算機之間建立連接。 。常見的攻擊類型有：Non-Blind Spoofing攻擊是當攻擊者與攻擊目標處于同一個子網(wǎng)中時，攻擊者避開其他認證標準，建立與攻擊目標之間的連接；Blind Spoofing攻擊是在攻擊者無法事先獲取序列號的情況下，通過與計算機之4間的連接獲取序列號信息；Connection Hijacking 攻擊者截取兩個主機之間的合法信息，并刪除或更改由一方發(fā)送給另一方的信息。IP欺騙攻擊的目的是通過對IP地址的偽造，獲取與主機的連接。2) 拒絕服務(wù)攻擊（Denial of Service, Dos）網(wǎng)絡(luò)往往具有有限的資源與帶寬，攻擊者利用這一特點，以過度占用資源的方式，使得主機無法正常工作。其主要攻擊類型有以下幾種：TCP SYNFlood攻擊通過破壞協(xié)議，大量占用網(wǎng)絡(luò)資源，導致主機癱瘓;land 攻擊通過向設(shè)備發(fā)送數(shù)據(jù)包，使得存在漏洞的設(shè)備受到攻擊無法正常運行；ARP 欺騙該攻擊的主要目標是對主機的網(wǎng)絡(luò)產(chǎn)生中斷影響，或形成中間人攻擊。該攻擊方式能截獲所在網(wǎng)絡(luò)內(nèi)其他計算機的通信信息，并進一步造成網(wǎng)內(nèi)其他計算機通信故障；ICMP Smurf 攻擊 利用 IP 協(xié)議的直接廣播特性，攻擊者偽造目標 IP 地址，并在網(wǎng)絡(luò)上廣播 ICMP 響應(yīng)請求，從而使得目標主機大量回復請求、耗盡資源，無法使合法的用戶正常訪問服務(wù)器；Ping of Death 攻擊發(fā)送 ICMP 響應(yīng)請求、多個分段數(shù)據(jù)，使系統(tǒng)在接收到全部分段并重組報文時總的長度超過了系統(tǒng)允許的最大數(shù)據(jù)包字節(jié)，從而導致內(nèi)存溢出，主機因內(nèi)存分配錯誤而導致 TCP/IP 堆棧崩潰，從而死機； UDP Flood 攻擊攻擊者發(fā)送大量 UDP 報文到目標系統(tǒng)的隨機端口，若此時有足夠的 UDP 報文發(fā)送到目標系統(tǒng)的所有端口，將導致目標系統(tǒng)死機；Tear drop 攻擊通過在報文中插入錯誤信息，當報文重新組裝時，導致數(shù)據(jù)包過長溢出。1.2.3 國內(nèi)外工控系統(tǒng)安全的研究狀況工控系統(tǒng)的安全與我們的生活息息相關(guān)，許多歐美國家從上個世紀開始關(guān)注廣泛關(guān)注工控系統(tǒng)安全問題：2003 年，美國負責發(fā)展控制系統(tǒng)安全防護能源部能源保證辦公室（Office of Energy Assurance， Dept. of Energy）公布了“改進控制系統(tǒng)信息安全的 21個步驟”報告 8,其羅列出了 21 項主要內(nèi)容；Krutz 也在文獻 9中總結(jié)并提出了“SCADA 網(wǎng)絡(luò)安全的 21 個步驟總結(jié)圖 ”，如下圖 1.2 所示：5圖 1.2 SCADA 網(wǎng)絡(luò)安全的 21 個步驟總結(jié)圖美國商務(wù)部也通過美國標準與技術(shù)研究所(NIST)制定了 “工業(yè)控制系統(tǒng)防護概況” 、 “工業(yè)控制系統(tǒng) IT 安全”等一系列安全防護標準，從工控系統(tǒng)漏洞、風險、評估、防護等多方面對安全防護體系進行了詳細描述；此外，在工業(yè)控制系統(tǒng)仿真平臺建設(shè)方面，美國能源部下屬的 Idaho 國家實驗室已經(jīng)建立了（National SCADA Test Bed）國家工業(yè)控制系統(tǒng)測試床；同時，加拿大的英屬哥倫比亞理工學院（British Columbia Institute of Technology）等也建立了SCADA 測試床。測試床的構(gòu)建目的是為工控系統(tǒng)的安全評估建立正式的測試環(huán)境，以獲取可靠、準確的測試結(jié)果 10。我國對工控系統(tǒng)安全的重視程度也不斷升高，工業(yè)和信息化主管部門發(fā)布了關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知 （工信部協(xié)【2011】451 號文）11，通知中將工控系統(tǒng)信息安全風險評估列入的工作重點。同時，國家發(fā)改委也于 2012 年在信息安全專項中支持工控信息安全服務(wù)方面的產(chǎn)業(yè)化項目。國內(nèi)的工控系統(tǒng)信息安全保障工作開始進入實質(zhì)性階段。61.3 網(wǎng)絡(luò)安全態(tài)勢感知1.3.1 網(wǎng)絡(luò)安全態(tài)勢感知簡介態(tài)勢感知（Situation Awareness， SA）概念源于航天飛行中對人因的研究。1988 年, Endsley12提出了態(tài)勢感知的定義，將重點放在“獲取” 、 “理解” 、 “預測”上進行研究，并提出了態(tài)勢感知的三級模型，如下圖 1.3 所示：圖 1.3Endsley 態(tài)勢感知三級模型Tim Bass13于 1999 年提出了網(wǎng)絡(luò)態(tài)勢感知 (Cyber Situation Awareness, CSA) 的概念。網(wǎng)絡(luò)態(tài)勢是通過觀察網(wǎng)絡(luò)內(nèi)部信息及系統(tǒng)狀態(tài)的改變，來獲取當前網(wǎng)絡(luò)狀態(tài)并對網(wǎng)絡(luò)未來狀態(tài)進行預測 14，網(wǎng)絡(luò)態(tài)勢感知是指通過對影響網(wǎng)絡(luò)因素的獲取，對其進行分析處理，最后幫助決策者獲取可靠的決策依據(jù)。 對于網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situation Awareness, NSSA）的概念，有以下理解：1) 從管理員的角度：網(wǎng)絡(luò)管理人員通過人機交互界面對當前網(wǎng)絡(luò)狀況的認知程度。2) 獲取影響網(wǎng)絡(luò)安全的因素，對其進行分析，判斷當前網(wǎng)絡(luò)狀態(tài)，并進行預測。通過對網(wǎng)絡(luò)環(huán)境進行態(tài)勢感知能獲取整體網(wǎng)絡(luò)安全態(tài)勢，并在很大程度上降低由于攻擊帶來的風險與破壞。71.3.2 國內(nèi)外基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況數(shù)據(jù)挖掘技術(shù)能從當前網(wǎng)絡(luò)的海量、隨機、不完全的數(shù)據(jù)中挖掘出有用的信息，并能給出隱含于數(shù)據(jù)中，潛在未知的信息，構(gòu)建出實用、有價值的數(shù)據(jù)模式，并形成用于檢測各類已知與未知攻擊的檢測模型。數(shù)據(jù)挖掘技術(shù)最早被美國哥倫比亞大學的Wenke Lee 7等人引入到入侵檢測領(lǐng)域,同時，他們也提出了用于入侵檢測的數(shù)據(jù)挖掘框架，如圖1.4所示。數(shù)據(jù)挖掘技術(shù)現(xiàn)也已逐步應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。圖 1.4 入侵檢測的數(shù)據(jù)挖掘框架數(shù)據(jù)挖掘包含四種分析方法，根據(jù)對象來分：在用于模式變化與規(guī)律尋求上關(guān)聯(lián)分析和序列模式分析；在用于最后的檢測模型上分類分析和聚類分析。a) 關(guān)聯(lián)分析的目的是尋找數(shù)據(jù)與數(shù)據(jù)之間內(nèi)在的聯(lián)系,常用算法有 Apriori算法。b) 序列分析用于發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性，主要常用算法有兩種：Count-all 算法和 Count-some 算法。c) 分類分析用于提取數(shù)據(jù)庫中數(shù)據(jù)項的特征屬性,生成分類模型，常用的模型主要由四種：決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型。8b) 聚類分析是將數(shù)據(jù)對象中類似的項目進行分類并進行評估。在數(shù)據(jù)挖掘的方法中，關(guān)聯(lián)分析方法的使用相較其他方法更為普遍，如2006 年，Cristina Abad 等人提出了基于 UCLog+的網(wǎng)絡(luò)安全態(tài)勢評估方法，它能夠?qū)崿F(xiàn)對相關(guān)安全數(shù)據(jù)的關(guān)聯(lián)分析；同年，趙國生等人提出基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估方法，該方法能實現(xiàn)網(wǎng)絡(luò)可生存性態(tài)勢定量評估。盡管當前數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域有較廣泛的應(yīng)用與良好的發(fā)展前景,但仍有一些問題有待解決，如數(shù)據(jù)訓練的不易、從大量數(shù)據(jù)中進行挖掘，資源開銷較大等。1.3.3 國內(nèi)外基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況數(shù)據(jù)融合技術(shù)作為網(wǎng)絡(luò)安全態(tài)勢感知的核心技術(shù)，其出現(xiàn)于 20 世紀 80 年代，當前作為網(wǎng)絡(luò)安全態(tài)勢感知最為廣泛的技術(shù)，它能將來自網(wǎng)絡(luò)中的多源信息進行集成，從而獲得當前網(wǎng)絡(luò)態(tài)勢，并有助于預測未來網(wǎng)絡(luò)安全態(tài)勢。數(shù)據(jù)融合的定義是由美國國防部的實驗室理事聯(lián)合會（Joint Directors of Laboratories, JDL）給出的，他們從軍事的角度出發(fā)對其做出定義，同時提出了JDL 模型 15，如圖 1.5 所示。圖 1.5 JDL 模型9Tim Bass 首先提出了將 JDL 模型直接應(yīng)用于網(wǎng)絡(luò)態(tài)勢感知,這為數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ)；當前，JDL 模型也被眾多研究者應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知的研究中。韋勇等 16針對網(wǎng)絡(luò)系統(tǒng)多源的特點提出了一個 NSSA 的融合框架,如圖 1.6所示。圖 1.6 網(wǎng)絡(luò)安全態(tài)勢評估框架實驗表明，為了更有效得獲取測試結(jié)果，基于多源的 NSSA 模型更為準確高效；他還針對普遍存在的技術(shù)問題，并提出了相應(yīng)的解決方法，如：所采用的量化算法存在一定缺陷，導致量化結(jié)果與實際結(jié)果出現(xiàn)偏差利用改進的D-S 證據(jù)理論，將多數(shù)據(jù)源態(tài)勢信息進行融合 ,利用漏洞及服務(wù)信息,經(jīng)過態(tài)勢要素融合和節(jié)點態(tài)勢融合計算網(wǎng)絡(luò)安全態(tài)勢；一些態(tài)勢評估方法無法對安全狀況的發(fā)展趨勢進行預測因此，采用了時間序列分析的方法對系統(tǒng)安全態(tài)勢進行預測,以期實現(xiàn)以量化的方式評估網(wǎng)絡(luò)安全態(tài)勢及預測。然而存在的不足是：安全態(tài)勢指標及其表示方法不夠全面；未考慮網(wǎng)絡(luò)安全態(tài)勢可視化等。陳秀真等 17提出了層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估模型，如圖 1.7 所示，該模從上至下分為 3 個部分，依次為：服務(wù)、主機及網(wǎng)絡(luò)系統(tǒng)。該模型的創(chuàng)新點在于：一方面，能為網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)態(tài)勢的判斷提供直觀準確的判斷依據(jù);另一方面，態(tài)勢感知的結(jié)果能有效預測未來網(wǎng)絡(luò)發(fā)展的變化趨勢。10盡管文中對網(wǎng)絡(luò)中信息的變化進行了監(jiān)控與分析,并部分反映出了網(wǎng)絡(luò)運行的狀況，然而依然無法對網(wǎng)絡(luò)的整體狀況進行全面有效得反映；因此，并不適用于多網(wǎng)段的局域網(wǎng)和大規(guī)模網(wǎng)絡(luò)系統(tǒng)的安全威脅評估。圖 1.7 層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢評估模型1.3.4 國內(nèi)外基于可視化技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況可視化技術(shù)是通過圖形的方式，將大量抽象的數(shù)據(jù)表示出來，由于人類對圖像的敏感性，可視化的形式，能使人們更直觀得了解網(wǎng)絡(luò)安全態(tài)勢評估與預測的結(jié)果，并能使網(wǎng)絡(luò)管理員獲得更為直觀可靠的決策依據(jù)。利用可視化技術(shù)，可直觀展現(xiàn)網(wǎng)絡(luò)內(nèi)部實時變化，如 Gregory Conti18通過分析網(wǎng)絡(luò)的連接狀況，對網(wǎng)絡(luò)中存在的異常及攻擊進行檢測。該方法能使網(wǎng)絡(luò)管理員獲得有效、可靠、實時的網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)判據(jù)。網(wǎng)絡(luò)安全不僅對用戶個人起到影響，同時，對國家安全也起到重大影響，美國國防部在 2005 年的財政預算報告 19中就包括了對網(wǎng)絡(luò)態(tài)勢感知項目的資助,并提出分三個階段予以實現(xiàn),分別為:第一階段完成對大規(guī)模復雜網(wǎng)絡(luò)行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡(luò)的動態(tài)性和網(wǎng)絡(luò)數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實現(xiàn)和驗證可視化原型系統(tǒng) ;第三階段實現(xiàn)可視化算法, 提高網(wǎng)絡(luò)態(tài)勢感知能力。美國高級研究和發(fā)展機構(gòu) ( Advanced Research and Development Activity, USA)20在 2006 年的預研計劃中,明確指出網(wǎng)絡(luò)態(tài)勢感知的研究目標和關(guān)鍵技術(shù)。研究目標是以可視化的方式為11不同的決策者和分析員提供易訪問、易理解的信息保障數(shù)據(jù)攻擊的信息和知識、漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡(luò)管理工具集成技術(shù)、實時漏洞分析技術(shù)等等?？梢暬夹g(shù)作為網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)之一，有良好的發(fā)展前景，且其在增強人機交互的可操作性上有重要作用。但是其在實時性和擴大顯示規(guī)模的要求上，仍有需提高的空間。1.3.5 國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢感知的其他相關(guān)研究除了上述的幾類典型研究，國內(nèi)外的一些學者，也提出了其他相關(guān)網(wǎng)絡(luò)安全態(tài)勢感知的研究。哈爾濱工程大學的王慧強 21給出了態(tài)勢感知的概念,并提出了 相應(yīng)框架 ,如圖 1.8 所示。文中著重討論了相關(guān)關(guān)鍵技術(shù)與難點問題，并給出了網(wǎng)絡(luò)態(tài)勢感知今后的發(fā)展方向。圖 1.8 NSAS 框架四川大學李濤 22主持的“基于免疫的網(wǎng)絡(luò)安全態(tài)勢實時定量感知技術(shù)”863 項目實現(xiàn)了實時感知、評估網(wǎng)絡(luò)安全風險。此外，蜜罐系統(tǒng)能為網(wǎng)絡(luò)管理員提供關(guān)于惡意活動的細節(jié)信息，2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的網(wǎng)絡(luò)安全態(tài)勢評估方法，該方法能利用收集到的信息繪制安全態(tài)勢曲線。12其他技術(shù)還包括數(shù)據(jù)校準、數(shù)據(jù)格式統(tǒng)一、數(shù)據(jù)簡約、響應(yīng)與預警、入侵追蹤等。這些技術(shù)可根據(jù)其作用目的分類兩類：一類是用于處理、簡化海量網(wǎng)絡(luò)信息，以便為后續(xù)的態(tài)勢評估與預測提供可靠、有效的數(shù)據(jù)來源；另一類則是用于在發(fā)現(xiàn)攻擊后，對攻擊進行響應(yīng)與定位攻擊來源。1.4 本文主要工作內(nèi)容本文將網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用于工控系統(tǒng)安全領(lǐng)域,目的是為了對 ICS網(wǎng)絡(luò)的當前狀況以及未來的安全態(tài)勢做出評估與預測，對網(wǎng)絡(luò)正面對或即將面臨的網(wǎng)絡(luò)攻擊及入侵做出預警，并給網(wǎng)絡(luò)管理員提供切實可靠、實時的決策依據(jù)，進而保障 ICS 系統(tǒng)的網(wǎng)絡(luò)安全。且從安全事件發(fā)生的趨勢及 ICS 系統(tǒng)遭受攻擊后造成的嚴重后果來看，工控系統(tǒng)安全態(tài)勢感知的研究刻不容緩。目前的網(wǎng)絡(luò)安全態(tài)勢感知存在實時性差、數(shù)據(jù)來源單一、適用范圍小等缺點。本文針對以上問題，結(jié)合 ICS 系統(tǒng)實時性、可靠性要求高，對惡劣環(huán)境要有較強的適應(yīng)能力，ICS 信息的保密性、完整性要求等特點，建立相關(guān)模型，并進行算法實現(xiàn)。第一章緒論部分簡要介紹了工控系統(tǒng)網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全態(tài)勢感知的基本概念，以及當前工控系統(tǒng)安全風險評估及入侵檢測的國內(nèi)外發(fā)展狀況，并針對不同網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)對網(wǎng)絡(luò)安全態(tài)勢感知在近年來的發(fā)展及國內(nèi)外研究情況做出了簡介。第二章針對完整性攻擊建立了攻擊模型；并結(jié)合“拜占庭將軍問題理論”的思想，提出了工控系統(tǒng)安全態(tài)勢感知模型。首先引入了“拜占庭將軍問題理論”的思想，將其應(yīng)用于工控系統(tǒng)安全態(tài)勢感知研究，建立了工控系統(tǒng)安全態(tài)勢感知模型，并提出了相應(yīng)算法；依據(jù)各物理層節(jié)點信息，判斷系統(tǒng)的工作狀態(tài)，并對系統(tǒng)是否遭受完整性攻擊做出判斷，確定系統(tǒng)內(nèi)的惡意節(jié)點。第三章介紹了節(jié)點信息的采集與處理；首先對節(jié)點數(shù)據(jù)進行預處理，獲取系統(tǒng)穩(wěn)態(tài)及正常工作情況下的各節(jié)點參數(shù)，再對各物理層節(jié)點信息進行采集，并通過將檢測到的節(jié)點數(shù)據(jù)與預處理參數(shù)進行對比，獲得單個節(jié)點序列值與系統(tǒng)狀態(tài)；此外，介紹了節(jié)點狀態(tài)一致性的概念，并給出節(jié)點序列及其含義，從13而對工控系統(tǒng)安全態(tài)勢進行感知，判斷系統(tǒng)工作狀態(tài)，確定系統(tǒng)內(nèi)部是否存在完整性攻擊，判定惡意節(jié)點。第四章通過以單回路系統(tǒng)為研究對象進行了仿真實驗；首先對系統(tǒng)穩(wěn)態(tài)運行及正常運行狀態(tài)下的物理層節(jié)點輸出進行仿真并分析，獲取預處理參數(shù)；再在系統(tǒng)上增加一個擾動信號，以驗證節(jié)點狀態(tài)是否具有一致性；此外，通過模擬系統(tǒng)中存在的完整性攻擊，對物理層節(jié)點狀態(tài)進行采集與處理，獲得節(jié)點序列，并利用本文提出的算法進行惡意節(jié)點的判斷，判斷結(jié)果與攻擊目的相符，驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型與算法的正確性及有效性。第五章回顧了本文的主要工作內(nèi)容、對研究過程中的創(chuàng)新與不足做出總結(jié)，并針對本文不足之處，對未來進一步的研究方向與目標進行展望。2 模型建立與算法研究2.1 完整性攻擊模型由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)越來越依靠與商業(yè) IT 和 Internet 領(lǐng)域的操作系統(tǒng)、開放協(xié)議和通信技術(shù)，在享受網(wǎng)絡(luò)化給工業(yè)現(xiàn)場帶來方便的同時，工業(yè)控制網(wǎng)絡(luò)的脆弱性也因此進一步暴露給了潛在的攻擊者；工控網(wǎng)絡(luò)中大量存在的通信路徑以及眾多輸入、輸出節(jié)點，更是給攻擊者帶去了可乘之機，例如完整性攻擊就是針對節(jié)點之間的信息傳遞，對節(jié)點進行妥協(xié)，從而篡改兩節(jié)點之間的數(shù)據(jù)，最終威脅到系統(tǒng)的正常運行，甚至產(chǎn)生安全事故。14因此，本文針對工控系統(tǒng)中最為常見的完整性攻擊進行研究，并依據(jù)文獻23中的描述，提出完整性攻擊的攻擊模型。如下圖 2.1 所示為完整性攻擊示意圖：在傳感器將檢測值傳遞給控制器的過程中，攻擊者在這兩個節(jié)點之間施加了一個完整性攻擊，導致控制器接收到的值與傳感器實際檢測到的值不符，從而使得控制對象在控制器的控制作用下，不斷偏離控制目標。圖 2.1 完整性攻擊示意圖本文定義 為控制節(jié)點在 t 時刻接收到的值，該值使得控制系統(tǒng)能維()持正常的控制行為。然而當系統(tǒng)受到完整性攻擊時， 的值與物理層節(jié)點的真y()實測量值 有所偏差，其中， i 為節(jié)點序號，即 i=1,2,3。y()設(shè) 為攻擊延續(xù)的期間，其中， 為攻擊的起始時間， 為攻擊=, 的終止時間。下列為攻擊信號的一般模型：（2.1）=(), (), 控制器 執(zhí)行器 控制對象輸入量 輸出量傳感器完整性攻擊15其中 是攻擊信號。這個攻擊模型能用于表示一般完整性攻擊：假定攻()擊者要使得一個物理層節(jié)點妥協(xié)，他們會改變該物理層節(jié)點的狀態(tài)值，因此在這種情況下， 可以是任意非正常值。()2.2 工控系統(tǒng)安全態(tài)勢感知建模與算法研究數(shù)據(jù)挖掘、數(shù)據(jù)融合等各種技術(shù)手段，往往被使用在對網(wǎng)絡(luò)安全進行安全態(tài)勢感知的過程中；然而，為了能夠更加準確得對工控系統(tǒng)安全態(tài)勢進行態(tài)勢感知，需要采用能針對工控系統(tǒng)特點的理論來對工控系統(tǒng)內(nèi)部的各類信息進行分析處理，進而結(jié)合數(shù)據(jù)挖掘等有效技術(shù)手段來對工控系統(tǒng)的安全態(tài)勢進行態(tài)勢感知。由于工控系統(tǒng)控制作用執(zhí)行的判斷依據(jù)往往是采用傳感器傳輸?shù)臄?shù)據(jù)，因此，即便系統(tǒng)中存在沖突信息或惡意節(jié)點發(fā)送的錯誤信息，控制器無法自行進行判斷，依然對執(zhí)行器進行相應(yīng)的控制作用。為了避免控制器因接收到錯誤信息在進行相應(yīng)操作后，造成系統(tǒng)運行異?；虬l(fā)生安全事故，本文在針對工控系統(tǒng)提出安全態(tài)勢感知時，采用了“拜占庭將軍問題理論” 。該理論能夠依據(jù)節(jié)點信息及相應(yīng)的狀態(tài)值，有效得判斷出各節(jié)點之間是否存在沖突信息，并判斷出系統(tǒng)內(nèi)的惡意節(jié)點。能用于表示一般完整性攻擊：假定攻擊者要使得一個物理層節(jié)點妥協(xié)，他們會改變該物理層節(jié)點的狀態(tài)值，因此在這種情況下， 可以是任意非正常()值。2.3 工控系統(tǒng)安全態(tài)勢感知建模與算法研究數(shù)據(jù)挖掘、數(shù)據(jù)融合等各種技術(shù)手段，往往被使用在對網(wǎng)絡(luò)安全進行安全態(tài)勢感知的過程中；然而，為了能夠更加準確得對工控系統(tǒng)安全態(tài)勢進行態(tài)勢感知，需要采用能針對工控系統(tǒng)特點的理論來對工控系統(tǒng)內(nèi)部的各類信息進行分析處理，進而結(jié)合數(shù)據(jù)挖掘等有效技術(shù)手段來對工控系統(tǒng)的安全態(tài)勢進行態(tài)勢感知。16由于工控系統(tǒng)控制作用執(zhí)行的判斷依據(jù)往往是采用傳感器傳輸?shù)臄?shù)據(jù)，因此，即便系統(tǒng)中存在沖突信息或惡意節(jié)點發(fā)送的錯誤信息，控制器無法自行進行判斷，依然對執(zhí)行器進行相應(yīng)的控制作用。為了避免控制器因接收到錯誤信息在進行相應(yīng)操作后，造成系統(tǒng)運行異?；虬l(fā)生安全事故，本文在針對工控系統(tǒng)提出安全態(tài)勢感知時，采用了“拜占庭將軍問題理論” 。該理論能夠依據(jù)節(jié)點信息及相應(yīng)的狀態(tài)值，有效得判斷出各節(jié)點之間是否存在沖突信息，并判斷出系統(tǒng)內(nèi)的惡意節(jié)點。2.3.1 拜占庭將軍問題簡介拜占庭將軍問題的研究起源于對計算機系統(tǒng)的可靠性理解以及沖突信息造成的系統(tǒng)故障的思考 2326。該問題描述的是，當拜占庭將軍在進行作戰(zhàn)指揮時，他會通過信使與其他軍官聯(lián)系并共同決定是進行攻擊還是撤退。如果信使被策反，他可能會更改信息內(nèi)容，使得接收者和發(fā)送者的信息不一致。而每個接收到信息的軍官則是通過比較其從相鄰軍官處接收到的信息來做出決定。這樣一來，錯誤信息的出現(xiàn)，最終可能會更改戰(zhàn)爭走向。如 圖 2.2 是拜占庭將軍問題的示意圖。其中，指揮官 C1 向 3 個中尉L1，L2，L3 （ L3 為叛徒）發(fā)送信息 v。L2 從指揮官和其他兩名中尉處接收到?jīng)_突信息，那么他會評估這些信息。L2 用比較數(shù)量的方法對獲得的值（ v, v, x) 進行分析比較。從而可以確定這些數(shù)據(jù)源中不一致的數(shù)據(jù)源來源L3，那么L3 被確認為叛徒。17圖 2.2 拜占庭將軍問題2.3.2 工控系統(tǒng)中的拜占庭將軍問題描述拜占庭將軍問題可以簡單得描述為一個惡意節(jié)點改變其傳輸值以使系統(tǒng)接收到的信息產(chǎn)生不連續(xù)與沖突，在這種情況下，其他節(jié)點通過判斷節(jié)點之間狀態(tài)變化趨勢的內(nèi)在一致性來確定惡意節(jié)點。類似得，本文將該理論運用到在工控系統(tǒng)內(nèi)對完整性攻擊的檢測，如 圖 2.3 所示，為拜占庭將軍問題的工控系統(tǒng)表示。然而不同于傳統(tǒng)的拜占庭將軍問題中命令節(jié)點向下對執(zhí)行節(jié)點的命令傳輸，在工控系統(tǒng)中，各物理層節(jié)點將自己的節(jié)點信息向上傳遞給控制節(jié)點。圖 2.3 拜占庭將軍問題的工控系統(tǒng)表示為了便于描述，首先對相關(guān)概念及 圖 2.3 中的信息進行簡單描述與介紹：1) 物理層節(jié)點 S, V, M：物理層節(jié)點是工控系統(tǒng)中最基本的回路構(gòu)成部分，主要包括傳感器、控制閥、流量儀等儀器儀表。其中，S 代表傳感器；V 代表控制閥；M 代表流量儀。這些節(jié)點依據(jù)各自的特點，對工控系統(tǒng)進行控制，如傳感器能夠監(jiān)控工控系統(tǒng)的運行過程，而控制閥的開關(guān)能調(diào)節(jié)系統(tǒng)中的流量大小，流量儀可對系統(tǒng)中的流量變化進行實時記錄。在工控系統(tǒng)中，這些物理層節(jié)點所獲取的數(shù)據(jù) p1, p2, p3，能夠真實得反映系統(tǒng)當前狀態(tài)。2) 現(xiàn)場層節(jié)點 P1, P2, P3：現(xiàn)場層節(jié)點能夠?qū)ξ锢韺庸?jié)點信息進行采集，通過數(shù)據(jù)處理后，獲取相應(yīng)節(jié)點的節(jié)點狀態(tài) , , ，并將這些相關(guān)的節(jié)點123信息上傳到控制節(jié)點。3) 控制層節(jié)點 C1：控制層節(jié)點的構(gòu)成是回路中的控制器，其作用是接收信息處理節(jié)點傳輸?shù)臄?shù)據(jù)，并執(zhí)行算法，從而獲得當前系統(tǒng)狀態(tài)，判斷系統(tǒng)內(nèi)是否有攻擊產(chǎn)生，在判斷出系統(tǒng)存在攻擊的前提下，推斷出系統(tǒng)內(nèi)被攻擊的節(jié)點，即惡意節(jié)點。184) 實際數(shù)據(jù)傳輸實線：兩節(jié)點間用帶箭頭的實線，表示的是在這兩個節(jié)點之間數(shù)據(jù)的傳輸是直接進行、并實際存在的；然而該數(shù)據(jù)存在被攻擊者攻擊的風險，即可能會遭受到完整性攻擊。以節(jié)點 S 到節(jié)點 P1 的帶箭頭實線為例，傳感器 S 將實際接收的數(shù)據(jù) p1 上傳給 PLC 節(jié)點 P1。因此，這個值是真實存在的，且節(jié)點 S 在向節(jié)點 P1 發(fā)送數(shù)據(jù)的過程中，攻擊者可能對該節(jié)點實行了完整性攻擊，并對數(shù)據(jù)進行了篡改。5) 非實際數(shù)據(jù)傳輸虛線：兩節(jié)點間用帶箭頭的虛線表示的是兩節(jié)點間的內(nèi)在關(guān)系，并不是真實存在的節(jié)點間數(shù)據(jù)的傳輸，這種內(nèi)在聯(lián)系無法被攻擊者更改。以節(jié)點 P2 與節(jié)點 P3 間的帶箭頭虛線為例，當控制閥節(jié)點 P2 的閥門開度增加時，流量儀表節(jié)點 P3 檢測到的流量大小也相應(yīng)增加，而這樣的兩個節(jié)點間狀態(tài)變化具有一致性，即節(jié)點間的內(nèi)在關(guān)系是無法被攻擊者攻擊并改變的。因此，如 圖 2.3 所示，在現(xiàn)場層節(jié)點接收到來自物理層的節(jié)點信息后，通過對各節(jié)點間的內(nèi)在關(guān)系進行判斷，并將結(jié)果上傳給控制節(jié)點 C1，C1 在執(zhí)行算法后，可根據(jù)計算結(jié)果來判斷系統(tǒng)內(nèi)是否存在攻擊。2.3.3 工控系統(tǒng)安全態(tài)勢感知算法研究為了對工控系統(tǒng)的安全態(tài)勢進行態(tài)勢感知，確定系統(tǒng)內(nèi)是否存在完整性攻擊，結(jié)合 2.3.2 節(jié)所述的基本概念，提出了基于拜占庭將軍理論的工控系統(tǒng)安全態(tài)勢感知算法。a) 算法相關(guān)概念定義定義 2.1 STATE 函數(shù)：STATE=（ , , ）獲得系統(tǒng)1 2 3節(jié)點序列， 為節(jié)點 i 的單個節(jié)點序列值,其表達式如下：（2.2）= 0, 19其中， 為節(jié)點 i 穩(wěn)定運行時均值；為節(jié)點 i 狀態(tài)變化后均值 ； =定義 2.2 Atcnode 函數(shù): 該函數(shù)用以確定惡意節(jié)點。具體計算過程為：（2.3）1=23（2.4）2=12（2.5）3=13（2.6） =1+2+3（2.7）atcnode= (1,2, 3), =1(0,0,0), 1若 ，則表示系統(tǒng)受到完整性攻擊，此時， 中狀態(tài)顯示=1 atcnode為 1 的節(jié)點即為惡意節(jié)點；否則，系統(tǒng)正常，即 中，三個節(jié)點顯示atcnode值均為 0。b) 算法基本思想：i. 信息預處理： 獲取系統(tǒng)穩(wěn)定運行時，各節(jié)點穩(wěn)定值均值 ，穩(wěn)定值方差,及穩(wěn)定值區(qū)間 ；( )2 獲取系統(tǒng)正常運行時，各節(jié)點正常值均值 ，正常值 ,及正 ()2常值 ；ii. 在整個工控系統(tǒng)運行過程中，以周期 T 為單位，對節(jié)點的一組原始數(shù)據(jù)進行處理獲取 (,2)iii. 進行節(jié)點狀態(tài)判斷：20首先判斷節(jié)點是否為穩(wěn)態(tài)節(jié)點，若是，則 T 內(nèi)，系統(tǒng)未受到攻擊，執(zhí)行步驟；否則，執(zhí)行步驟；iv. 判斷節(jié)點是否為正常節(jié)點，若是，執(zhí)行步驟 ；否則，執(zhí)行步驟；v. 判斷節(jié)點為異常節(jié)點；vi. 執(zhí)行 STATE 函數(shù)，確定系統(tǒng)節(jié)點序列；vii. 執(zhí)行 Atc_node 函數(shù)，執(zhí)行 函數(shù)，判斷是否發(fā)生完整性攻擊， 若是，則確定惡意節(jié)，否則，執(zhí)行步驟；viii. 判斷系統(tǒng)運行是否全部完成，若是，則結(jié)束算法，否則，返回步驟。c) 算法流程圖：工控系統(tǒng)安全態(tài)勢感知的算法流程如 圖 2.4 所示：21開 始 獲 取 各 節(jié) 點 穩(wěn) 定 值 均 值 ， 方 差 ,及 區(qū) 間 獲 取 各 節(jié) 點 正 常 值 均 值 ， 方 差 ,及 區(qū) 間 t=0 t=T ? 采 集 節(jié) 點 原 始 數(shù) 據(jù) () 否 t=t+1 ; a=a+1 獲 取 節(jié) 點 信 息 , 是 判 斷 ? 判 斷 ?否 執(zhí) 行 STAE函 數(shù) 是 否 是 執(zhí) 行 Atcnode函 數(shù) 判 斷 系 統(tǒng) 是 否 運 行 完 畢 ？ 結(jié) 束 是 否 a=0 執(zhí) 行 PL函 數(shù) 圖 2.4 算法流程圖