今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著傳感器網(wǎng)絡(luò)和嵌入式系統(tǒng)技術(shù)的發(fā)展,近年來,信息物理系統(tǒng)(Cyber-Physical Systems, CPSs)的開發(fā)和部署已給人們的社會生活帶來巨大變革。CPSs涉及的應(yīng)用領(lǐng)域非常廣泛,包括工業(yè)控制系統(tǒng)、智能電網(wǎng)系統(tǒng)、遠(yuǎn)程醫(yī)療系統(tǒng)、智能交通系統(tǒng)、環(huán)境監(jiān)測和智能建筑等[1~3]。計算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和控制技術(shù)的深度融合,為國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)提供了強(qiáng)大的技術(shù)支撐,為綠色、高效、智能的生產(chǎn)生活模式帶來了更廣闊的發(fā)展前景。然而,越來越依賴網(wǎng)絡(luò)化的CPSs面臨著不斷升級的安全風(fēng)險。隨著攻擊者的系統(tǒng)漏洞發(fā)現(xiàn)能力與攻擊手段不斷提升,攻擊者不僅可以利用信息安全漏洞突破網(wǎng)絡(luò)防御,癱瘓控制系統(tǒng),甚至可以通過癱瘓一部分物理節(jié)點(diǎn)進(jìn)而造成物理世界的級聯(lián)事故,給整個CPSs造成損害[4~6]。實(shí)際上,CPSs易受攻擊的弱點(diǎn)在最近一系列的事故中得以證實(shí),表1列舉了近幾年電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊的實(shí)例[7~15]。如圖1所示,展示了2010~2015年美國國土安全部ICS-CERT統(tǒng)計的影響安全事件數(shù)[16]。可以看出,當(dāng)前信息物理系統(tǒng)安全事故頻發(fā),預(yù)計未來的安全威脅將日益嚴(yán)重,這對保護(hù)信息物理系統(tǒng)免受網(wǎng)絡(luò)攻擊提出了迫切需求。
信息物理系統(tǒng)安全威脅來自多方面,有來自系統(tǒng)外部的威脅,如恐怖組織、國外情報部門、網(wǎng)絡(luò)黑客等敵對勢力,他們借助垃圾郵件、網(wǎng)絡(luò)釣魚和惡意程序等竊取合法用戶身份進(jìn)行在線欺騙,謀取經(jīng)濟(jì)利益并破壞公眾的正常生產(chǎn)生活;也有來自系統(tǒng)內(nèi)部的威脅,如系統(tǒng)管理人員不受限制訪問目標(biāo)系統(tǒng)實(shí)施破壞,更嚴(yán)重的是運(yùn)維人員對現(xiàn)場設(shè)備進(jìn)行非法操作等。當(dāng)然,不同行業(yè)面臨的威脅和風(fēng)險不同,軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時的信息保密,石化行業(yè)強(qiáng)調(diào)生產(chǎn)的連續(xù)和非異常,電力行業(yè)強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。為保障CPS工控系統(tǒng)的安全運(yùn)行,世界各國政府已高度關(guān)注,出臺許多政策大力支持相關(guān)問題的研究工作。國際上,美國國家標(biāo)準(zhǔn)技術(shù)研究院出臺了SP800-82《工業(yè)控制系統(tǒng)安全指南》,確定了工控系統(tǒng)面臨的典型威脅漏洞以及相關(guān)資產(chǎn)的安全防護(hù)對策,范圍包括電力、石油化工、污水處理、核電、交通等國家關(guān)鍵基礎(chǔ)行業(yè)的ICS系統(tǒng)[17],美國國土安全部制定了“國家基礎(chǔ)設(shè)施保護(hù)計劃”[18]。
日本發(fā)起“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全項(xiàng)目”,以保護(hù)日本重要基礎(chǔ)設(shè)施和工業(yè)設(shè)施安全[19]。歐洲網(wǎng)絡(luò)與信息安全局發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書》,要求歐盟成員國針對工業(yè)控制系統(tǒng)的網(wǎng)路攻擊事件做出靈活應(yīng)對[20]。我國也將網(wǎng)絡(luò)安全正式劃入“十三五”規(guī)劃重點(diǎn)建設(shè)方向[21],出臺了《網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》、GB/T 26333《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估規(guī)范》等政策與規(guī)范,規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險評估的一般方法和準(zhǔn)則,為防范和化解CPS信息安全風(fēng)險提出了針對性的防護(hù)對策和整改措施。在學(xué)術(shù)研究方面,信息物理系統(tǒng)的安全問題主要包括攻擊建模、入侵檢測、抗攻擊控制及隱私保護(hù)等方面。其中,攻擊模型能對攻擊過程進(jìn)行結(jié)構(gòu)化和形式化描述,有助于提高攻擊檢測和安全預(yù)警的效率,是保障系統(tǒng)安全的一個關(guān)鍵步驟。已有許多學(xué)者針對特定攻擊行為進(jìn)行建模,如文[22]分析了拒絕服務(wù)攻擊對信息物理系統(tǒng)的影響,并針對攻擊者干擾能量受限的情況,設(shè)計出最優(yōu)拒絕服務(wù)攻擊序列模型。文[23]采用基于數(shù)據(jù)驅(qū)動的子空間方法,設(shè)計了一種針對狀態(tài)估計的錯誤數(shù)據(jù)注入攻擊。文[24]利用博弈論,建立了人和控制系統(tǒng)相互作用的模型,并用它分析信息物理安全問題。文[25]研究了針對網(wǎng)絡(luò)控制系統(tǒng)的隱蔽攻擊,并建立了一種具有反饋結(jié)構(gòu)的攻擊模型。還有一些學(xué)者以圖形化的方式描述攻擊路徑,提出基于攻擊樹[26~27]或基于Petri Net攻擊圖[28~29]的模型來表示攻擊行為和步驟之間的相互依賴關(guān)系,定性評估信息安全脆弱性以及系統(tǒng)的風(fēng)險程度。然而圖形化攻擊建模過程中沒有將攻擊危害與系統(tǒng)安全要求結(jié)合,忽略攻擊實(shí)施基本條件與制定防御策略之間的聯(lián)系。因此,本文針對攻擊實(shí)施的行為要素,對幾類常用攻擊進(jìn)行建模研究,提出了基于安全屬性的攻擊分類方法,總結(jié)了不同種類攻擊對信息物理系統(tǒng)狀態(tài)造成的影響,從而指導(dǎo)防護(hù)人員分析識別攻擊,實(shí)現(xiàn)準(zhǔn)確可靠的預(yù)警及防御。
表1 電力系統(tǒng)網(wǎng)絡(luò)攻擊實(shí)際案例
圖1 美國國土安全部2010~2015年安全事件統(tǒng)計圖[16]
2 信息物理系統(tǒng)的安全目標(biāo)
《美國標(biāo)準(zhǔn)技術(shù)研究院(NIST)7682號報告》[30]指出信息安全三要素分別為可用性(Availability)、完整性(Integrity)和機(jī)密性(Confidentiality)。傳統(tǒng)IT系統(tǒng)中,強(qiáng)調(diào)的是確保互聯(lián)網(wǎng)業(yè)務(wù)及應(yīng)用過程中數(shù)據(jù)的機(jī)密性,它的安全目標(biāo)是“CIA”原則。而CPSs關(guān)注的安全需求是保證生產(chǎn)控制的可用性,可用性遭受破壞會影響物理系統(tǒng)正常工作,所以,CPSs的安全目標(biāo)遵循的是“AIC”原則。
(1)可用性:保證所有資源及信息都處于可用狀態(tài),網(wǎng)絡(luò)中任何信息時刻都能100%被授權(quán)方通過合理方式訪問[31]。即使存在突發(fā)事件(如電力事故、攻擊行為等),被控對象、控制中心等依然能夠獲取到需要的信息。“可用性”被破壞最容易實(shí)現(xiàn)的形式是利用通信網(wǎng)絡(luò)的脆弱性,中斷數(shù)據(jù)傳輸,從而造成資源浪費(fèi),影響系統(tǒng)的正常運(yùn)行。
(2)完整性:保證所有數(shù)據(jù)或信息完整正確,任何未經(jīng)授權(quán)的數(shù)據(jù)修改方式都不得對傳輸數(shù)據(jù)進(jìn)行修改(包括改寫、刪除、添加、替換等操作)和破壞[31]。
“完整性”喪失意味著用戶會將收到的錯誤數(shù)據(jù)認(rèn)為是正確的,導(dǎo)致系統(tǒng)在信息收發(fā)過程中難以利用檢測技術(shù)發(fā)現(xiàn)攻擊行為,進(jìn)而做出錯誤的控制決策。
(3)機(jī)密性:保證信息的獲取僅限有權(quán)限的用戶或組織,任何通過非法渠道進(jìn)行的訪問都應(yīng)被檢測并組織[31]。“機(jī)密性” 被破壞將造成信息泄露問題,存在重要信息(如用戶隱私、產(chǎn)權(quán)信息等)被非法分子利用的威脅。
按照信息物理系統(tǒng)安全目標(biāo)的屬性和重要性,我們對以破壞網(wǎng)絡(luò)可用性、破壞數(shù)據(jù)完整性、破壞信息機(jī)密性為目的的攻擊行為進(jìn)行總結(jié)和分析,如表2所示。
表2 針對信息物理系統(tǒng)安全屬性的攻擊分類
2.1 以破壞網(wǎng)絡(luò)可用性為目的的攻擊
“下一代網(wǎng)絡(luò)”(如互聯(lián)網(wǎng)、專用網(wǎng)、局域網(wǎng)等)對實(shí)時通信和信息交互提供支撐。破壞網(wǎng)絡(luò)可用性的攻擊主要是通過阻礙、延遲通信網(wǎng)絡(luò)中的信息傳輸,引發(fā)網(wǎng)絡(luò)阻塞,導(dǎo)致數(shù)據(jù)不可用,主要涉及數(shù)據(jù)傳輸層通信協(xié)議的脆弱性,存在數(shù)據(jù)/信息的中斷威脅。典型的攻擊方式包括拒絕服務(wù)攻擊(Denial-of-Service,DoS)[33~35]、黑洞攻擊[36]、改變網(wǎng)絡(luò)拓?fù)?sup>[37]等。DoS攻擊對被攻擊對象的資源(如網(wǎng)絡(luò)帶寬等)進(jìn)行消耗性攻擊,其主要形式包括攻擊者迫使服務(wù)器的緩沖區(qū)溢出,使執(zhí)行元件不接收新的請求;攻擊者利用網(wǎng)絡(luò)協(xié)議/軟件缺陷,通過IP欺騙影響合法用戶的連接,使系統(tǒng)服務(wù)被暫停甚至系統(tǒng)崩潰。黑洞攻擊常出現(xiàn)在無線傳感器網(wǎng)絡(luò)之類的自組織網(wǎng)絡(luò)中,攻擊時,惡意節(jié)點(diǎn)收到源節(jié)點(diǎn)發(fā)送的路由請求包后向其注出錯誤決策,使電力系統(tǒng)局部或整體崩潰。黑洞攻擊常出現(xiàn)在無線傳感器網(wǎng)絡(luò)之類的自組織網(wǎng)絡(luò)中,攻擊時,惡意節(jié)點(diǎn)收到源節(jié)點(diǎn)發(fā)送的路由請求包后向其注入虛假可用信道信息,騙取其他節(jié)點(diǎn)同其建立路由連接,然后丟掉需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,造成數(shù)據(jù)包丟失。改變網(wǎng)絡(luò)拓?fù)涞墓舴绞绞侵竿ㄟ^物理攻擊,斷開通信線路,使重要網(wǎng)絡(luò)線路失效,迫使信息經(jīng)由更遠(yuǎn)的路徑傳輸,引發(fā)關(guān)鍵通信的時延。
2.2 以破壞數(shù)據(jù)完整性為目的的攻擊
傳感數(shù)據(jù)的可靠采集和控制指令的有效執(zhí)行為信息物理系統(tǒng)安全運(yùn)行提供保障。破壞數(shù)據(jù)完整性的攻擊主要通過注入錯誤數(shù)據(jù)(如錯誤的狀態(tài)估計信息)或者非法篡改數(shù)據(jù)(如控制指令)來阻礙數(shù)據(jù)正常交換的可靠性和準(zhǔn)確性。典型的攻擊形式有錯誤數(shù)據(jù)注入攻擊(False data injection attack,F(xiàn)DI attack)[38~39]、重放攻擊(Replay attack)[40~41]、中間人攻擊[42]等。FDI攻擊常存在于電網(wǎng)中,攻擊者繞過壞數(shù)據(jù)檢測機(jī)制,通過錯誤數(shù)據(jù)操縱系統(tǒng)狀態(tài)估計結(jié)果,引起電網(wǎng)誤動作。重放攻擊是指攻擊者故意記錄合法用戶的身份驗(yàn)證信息等,經(jīng)過一段時間再向系統(tǒng)發(fā)送,獲取系統(tǒng)的信任;或者攻擊者通過網(wǎng)絡(luò)竊聽等其他非法監(jiān)聽途徑識別并獲取傳輸信息,如斷路器跳閘的控制指令,后在電網(wǎng)正常運(yùn)行時重放該指令,造成斷路器誤動作。
中間人攻擊是指攻擊者介入兩臺通信設(shè)備之間,接收一臺發(fā)送的信息,獲取后修改數(shù)據(jù)再發(fā)送給另外一臺,例如遠(yuǎn)程終端單元(RTU,Remote Terminal Unit)向控制中心發(fā)送的電網(wǎng)狀態(tài)信息可能被修改或刪除,從而導(dǎo)致控制中心做出錯誤決策,使電力系統(tǒng)局部或整體崩潰。
2.3 以破壞信息機(jī)密性為目的的攻擊
攻擊者通過非法監(jiān)聽等行為訪問網(wǎng)絡(luò)中的機(jī)密數(shù)據(jù),并利用這些數(shù)據(jù)對系統(tǒng)或其他參與者造成損害,從中獲利。以電網(wǎng)為例,這類攻擊大多發(fā)生在用戶側(cè),例如通過竊聽器或流量分析儀獲取單個或多個用戶智能電表數(shù)據(jù),從而分析出用戶與電網(wǎng)的狀態(tài),便于進(jìn)一步實(shí)施破壞。
具體實(shí)現(xiàn)途徑有:(1)密碼破解,攻擊者通過暴力破解等手段繞過防火墻和密碼保護(hù),成功侵入后使用IP掃描工具,侵入各個用戶交互界面獲取信息或發(fā)出未授權(quán)的指令,如控制斷路器跳閘[43]。(2)惡意軟件和病毒,通過網(wǎng)絡(luò)或不安全的移動存儲設(shè)備在電力控制設(shè)備上安裝惡意軟件或傳播病毒竊取信息[43]。
(3)內(nèi)部員工,安全意識薄弱的員工可能將帶有病毒的移動設(shè)備插入系統(tǒng),或設(shè)置易破解密碼。心懷惡意的員工得到授權(quán)可輕易對系統(tǒng)進(jìn)行操作并規(guī)避檢查。
此外,還有以破壞多個安全屬性為目標(biāo)的攻擊,如女巫攻擊[44]攻擊者偽造多種身份與CPS元件通信,影響惡意節(jié)點(diǎn)相鄰節(jié)點(diǎn)的通信網(wǎng)絡(luò)和路由路徑,實(shí)現(xiàn)攔截信息、篡改信息等功能,破壞網(wǎng)絡(luò)可用性和數(shù)據(jù)完整性)、蟲洞攻擊[45](攻擊者在兩個相距很遠(yuǎn)的節(jié)點(diǎn)之間構(gòu)建一條高質(zhì)量的私有通道,偽造非法的高效路徑,破壞路由協(xié)議,破壞數(shù)據(jù)完整性和信息機(jī)密性)等。
3 信息物理系統(tǒng)攻擊建模
CPS安全問題本質(zhì)上是攻擊與防御之間的對抗,而要設(shè)計合理的防御機(jī)制,必須對攻擊的行為進(jìn)行深入剖析。攻擊模型是對攻擊過程的結(jié)構(gòu)化描述,是對攻擊特征的參數(shù)化表達(dá)。它不僅有助于研究攻擊者行為,而且可以提高攻擊檢測和安全預(yù)警效率,能夠?yàn)橹贫ǜ嗅槍π缘陌踩雷o(hù)策略奠定基礎(chǔ)。
3.1 信息物理系統(tǒng)攻擊實(shí)施要素
攻擊實(shí)施的三個行為要素為:信號竊聽、攻擊構(gòu)造、攻擊注入,如圖2所示。在實(shí)際攻擊場景中,攻擊者首先需要對攻擊對象和周圍環(huán)境進(jìn)行感知,即攻擊者需要獲取一定的模型知識,這包括部分或全部信息物理系統(tǒng)演化所涉及的動態(tài)特性、系統(tǒng)參數(shù)、網(wǎng)絡(luò)參數(shù)以及系統(tǒng)檢測機(jī)制、安全標(biāo)準(zhǔn)等。攻擊者對模型知識掌握得越全面,構(gòu)造的攻擊信號越容易躲過系統(tǒng)的防御和檢測機(jī)制。其次,攻擊者要對通訊網(wǎng)絡(luò)進(jìn)行竊聽,在沒有被檢測且不影響系統(tǒng)運(yùn)行的情況下,竊聽截取傳輸中的測量信號或控制信號的披露信息,包括信號所在的位置、信號的大小、信號的編碼方式等。結(jié)合所掌握的模型知識以及竊聽截獲的網(wǎng)絡(luò)披露信息,利用自身具備的破壞資源構(gòu)造滿足預(yù)期攻擊效果的攻擊信號,注入到物理系統(tǒng)、控制中心或通信網(wǎng)絡(luò)中,危害信息物理系統(tǒng)的可用性、實(shí)時性、安全性等性能。當(dāng)然,有些攻擊無需知道模型知識或竊聽披露信息,利用通信協(xié)議漏洞,也可以直接生成惡意軟件程序等威脅數(shù)據(jù)包,但這種攻擊較容易被系統(tǒng)自身的安全檢測機(jī)制和防御措施截獲。有的攻擊者還可以根據(jù)反饋信息,調(diào)整校正攻擊策略,以達(dá)到協(xié)同的攻擊效果。由于攻擊者具備的破壞資源受限,每類攻擊能夠感染的通道個數(shù)、持續(xù)實(shí)施的攻擊時長都不盡相同,從而對系統(tǒng)造成危害的程度不同。
值得注意的是,故障也會引發(fā)信息物理系統(tǒng)運(yùn)行失效,但無意圖的故障和有意圖的攻擊存在本質(zhì)區(qū)別,通過分析實(shí)施的行為要素以及實(shí)施過程中掌握的知識信息資源,可以幫助防御者區(qū)分故障和攻擊,以及區(qū)分不同類型的攻擊,從而及時進(jìn)行故障隔離或?qū)嵭邪踩刂祈憫?yīng)。
圖2 攻擊實(shí)施圖
3.2 典型攻擊建模
攻擊的種類繁雜,手段多變,不同領(lǐng)域攻擊所預(yù)計到達(dá)的具體攻擊目標(biāo)也不盡相同。本文以電力CPS中常見的典型攻擊為例,給出成功實(shí)施攻擊的必備條件和攻擊過程建模。
3.2.1 DoS攻擊
DoS攻擊是最常見也是最容易實(shí)現(xiàn)的攻擊形式,其攻擊模型如圖3所示,其中P表示系統(tǒng)模型,F(xiàn)表示控制器,D表示檢測器。攻擊者只要掌握系統(tǒng)元件之間的通信協(xié)議,即可利用攻擊設(shè)備在測量通道 ! 8、控制通道 #$上開展阻塞網(wǎng)絡(luò)信號傳輸?shù)刃问降墓簦瑹o需提前知道系統(tǒng)模型知識,也無需竊聽通信網(wǎng)絡(luò)獲取披露信息。系統(tǒng)遭受DoS攻擊時的輸出信號和控制信號可以分別表述為:
其中ω(t)和υ(t)是噪聲信號。需要指出的是,DoS攻擊時信道有可能接收到帶有真實(shí)信號的噪聲信號ω(t)和υ(t)。當(dāng)噪聲信號足夠大,即攻擊足夠強(qiáng)時,作為防守方,我們通常會人為丟棄這個信號,因?yàn)檫@個噪聲信號不能提供任何有用信息。這時候系統(tǒng)的輸出信號和控制信號就可以看作是w./0(t)=0;123(t)=0/。這和由通信網(wǎng)絡(luò)不穩(wěn)定造成的數(shù)據(jù)包丟失在數(shù)學(xué)表達(dá)上是相同,但其造成的原因是不同。
圖3 DoS攻擊框圖
3.2.2 重放攻擊
重放攻擊可以分為兩個階段,如圖4所示。先是記錄階段,即攻擊者從某時刻開始竊聽并記錄通信鏈路γy和γu上的傳輸信號,隨后是攻擊階段,即攻擊者經(jīng)過一段時間τ后,將記錄的信息重新發(fā)送到網(wǎng)絡(luò)通道 ! 8、 #$中。攻擊實(shí)施過程中無需知道系統(tǒng)模型知識,只需獲取通信鏈路上的披露信息即可。系統(tǒng)遭受重放攻擊時的輸出信號和控制信號可以表述為:
可以發(fā)現(xiàn)重放攻擊和傳統(tǒng)網(wǎng)絡(luò)控制系統(tǒng)中的延時數(shù)據(jù)在數(shù)學(xué)表達(dá)上相同,但延時是由路由器轉(zhuǎn)發(fā)數(shù)據(jù)包處理時長引起的,重放攻擊是人為選擇特定時段傳輸信息再次發(fā)送,以達(dá)到損害數(shù)據(jù)完整性、一致性的目標(biāo)。
圖4 重放攻擊框圖
3.2.3 欺騙攻擊(Deception attack)
欺騙攻擊是一類較為復(fù)雜的攻擊,目的是采用多種手段“躲避”系統(tǒng)安全檢測,欺騙防御者使其誤以為沒有攻擊發(fā)生,從而實(shí)現(xiàn)隱蔽攻擊。主要攻擊手段包括錯誤數(shù)據(jù)注入攻擊(FDI attack)、偏置攻擊(Bias attack)[46]、浪涌攻擊(Surge attack)[47]、轉(zhuǎn)換攻擊(Covert attack)[48]等。其攻擊模型如圖5所示。攻擊實(shí)施需要知曉安全檢測機(jī)制等模型知識,竊聽通道γy和γu上的披露信息,擁有攻擊通道 ! 8和 #$的破壞資源。系統(tǒng)遭受欺騙攻擊時的輸出信號和控制信號可以表述為:
圖5 欺騙攻擊框圖
3.2.4 錯誤數(shù)據(jù)注入攻擊
錯誤數(shù)據(jù)注入攻擊是一種典型的欺騙型攻擊,普遍針對電力系統(tǒng)狀態(tài)估計環(huán)節(jié)(即測量通道)。攻擊者在了解電力系統(tǒng)拓?fù)浣Y(jié)構(gòu)的情況下,通過篡改傳感器測量數(shù)據(jù),入侵傳感器和SCADA系統(tǒng)之間的通信網(wǎng)絡(luò),使得控制中心接收到的傳感器測量數(shù)據(jù)不等于真實(shí)的測量數(shù)據(jù),以“躲避”現(xiàn)有的壞數(shù)據(jù)辨識裝置的檢測。攻擊實(shí)施前需要知道模型知識中的系統(tǒng)參數(shù)和壞數(shù)據(jù)檢測機(jī)制,才能達(dá)到欺騙效果;此外還需要知道目標(biāo)通道的披露信息。系統(tǒng)遭受攻擊后,測量輸出信號被篡改為:
表3給出了幾類典型攻擊實(shí)施所需要素。當(dāng)然,還有關(guān)于破壞信息物理系統(tǒng)隱私性方面的攻擊,也可以按照攻擊實(shí)施要素進(jìn)行個案建模分析。由于攻擊過程本身的復(fù)雜和多樣性,從已知攻擊形式中間找出關(guān)聯(lián)并總結(jié)出通用的攻擊模型仍然是個挑戰(zhàn),本文主要從攻擊實(shí)施要素角度提供攻擊建模分析思路,對系統(tǒng)管理者制定防御措施有積極的指導(dǎo)意義。
表3 幾類典型攻擊建模所需要素
4 結(jié)語
本文介紹了信息物理系統(tǒng)威脅和攻擊建模,它是信息物理系統(tǒng)中至關(guān)重要又富有挑戰(zhàn)的研究方向。本文的主要目的在于介紹信息物理系統(tǒng)的安全目標(biāo)和攻擊實(shí)施的基本條件,依據(jù)攻擊實(shí)施條件闡述幾種常用攻擊的建模方式,為后續(xù)構(gòu)建信息物理系統(tǒng)安全防護(hù)體系提供模型基礎(chǔ)。
★基金項(xiàng)目:國家自然科學(xué)基金(61473184,61673275,61873166)。
作者簡介
鄔 晶(1979-),女,上海交通大學(xué)自動化系副教授,主要研究方向?yàn)樾畔⑽锢硐到y(tǒng)的建模、分析與安全控制等。
宋 蕾(1994-),女,上海交通大學(xué)自動化系碩士研究生,主要研究方向?yàn)橹悄茈娋W(wǎng)攻擊建模。
龍承念(1977-),男,上海交通大學(xué)自動化系教授,教育部新世紀(jì)優(yōu)秀人才,主要研究方向?yàn)闊o線網(wǎng)絡(luò)、認(rèn)知無線電、協(xié)作通信等。
李少遠(yuǎn)(1965-),男,上海交通大學(xué)自動化系教授,國家杰出青年基金獲得者,主要研究方向?yàn)樽赃m應(yīng)預(yù)測控制、網(wǎng)絡(luò)化分布式系統(tǒng)的優(yōu)化控制及數(shù)據(jù)驅(qū)動系統(tǒng)控制器設(shè)計。
參考文獻(xiàn):
[1] Humayed A, Lin J, Li F, et al. Cyber-physical systems security—A survey[J]. IEEE Internet of Things Journal, 2017, 4 ( 6 ) : 1802 - 1831.
[2] Burg A, Chattopadhyay A, Lam K Y. Wireless Communication and Security Issues for Cyber–Physical Systems and the Internet-of-Things[J]. Proceedings of the IEEE, 2018, 106 ( 1 ) : 38 - 60.
[3] Dardanelli A, Maggi F, Tanelli M, et al. A security layer for smartphone-to-vehicle communication over bluetooth[J]. IEEE embedded systems letters, 2013, 5 ( 3 ) : 34 - 37.
[4] Mo Y, Kim T H J, Brancik K, et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE, 2012, 100 ( 1 ) : 195 - 209.
[5] Baig Z A, Amoudi A R. An analysis of smart grid attacks and countermeasures[J]. Journal of Communications, 2013, 8 ( 8 ) : 473 - 479.
[6] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems [C]. Selected Topics in Mobile and Wireless Networking (MoWNeT), 2017 International Conference on. IEEE, 2017 : 1 - 6.
[7] Langner R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9 ( 3 ) : 49 - 51.
[8] 駭客帝國: 公用電網(wǎng)面臨網(wǎng)絡(luò)攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html. (2015-07-22) [2018-10-10].
[9] 加拿大 Telvent 出現(xiàn)持續(xù)性的網(wǎng)絡(luò)攻擊 [EB/OL]. http://www.it165.net/news/html/2012-09/3333.html, 2012 - 09 - 27/ 2018 - 10 - 10.
[10] 駭客帝國:公用電網(wǎng)面臨網(wǎng)絡(luò)攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html, 2015 -07 -22/ 2018 -10 -10.
[11] 李鴻培, 王曉鵬, 王洋. 綠盟科技工控系統(tǒng)安全態(tài)勢報告[R]. 北京 : 綠盟科技, 2014.
[12] MARSH R. Congressman: National power grid frequently attacked [EB/OL]. http://edition.cnn.com/-2015/10/21/politics/national-power-grid-cyber-attacks/, 2015 - 10-21/ 2018 - 10 - 10.
[13] Liang G, Weller S R, Zhao J, et al. The 2015 Ukraine blackout: Implications for false data injection attacks[J]. IEEE Transactions on Power Systems, 2017, 32 ( 4 ): 3317 - 3318.
[14] GOODIN D. Israel's electric authority hit by "severe" hack attack [EB/OL]. http://ars - technica.com/security/2016/01/israels - electric - grid - hit - by - severe - hack - attack /, 2016 - 01 - 27/ 2018 - 10 - 10.
[15] 目前2018年最嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件[EB/OL]. https://www.sohu.com / a / 242289413_401710, 2018 - 07 - 20/ 2018 - 10 - 10.
[16] https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf
[17] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems[C]. International Conference on Selected Topics in Mobile and Wireless Networking. IEEE, 2017 : 1 - 6.
[18] US - CERT. ICS - CERT, https://www.us-cert.gov/security-publications/introduction-information-security.
[19] 張恒. 信息物理系統(tǒng)安全理論研究[D]. 浙江大學(xué), 2015.
[20] The European Network and Information Security Agency. Protecting Industrial Control Systems[R]. Heraklion: Recommendations for Europe and Member States, 2012 : 6 - 15.
[21] 國務(wù)院. “十三五”國家信息化規(guī)劃[Z].
[22] Zhang H, Cheng P, Shi L, et al. Optimal DoS Attack Scheduling in Wireless Networked Control System[J]. IEEE Transactions on Control Systems Technology, 2016, 24 ( 3 ) : 843 - 852.
[23] Kim J, Tong L, Thomas R J. Subspace Methods for Data Attack on State Estimation: A Data Driven Approach[J]. IEEE Transactions on Signal Processing, 2015, 63 ( 5 ) : 1102 - 1114.
[24] Amin S, Schwartz G A, Hussain A. In quest of benchmarking security risks to cyber-physical systems[J]. IEEE Network, 2013, 27 ( 1 ) : 19 - 24.
[25] Smith R S. Covert Misappropriation of Networked Control Systems: Presenting a Feedback Structure[J]. IEEE Control Systems, 2015, 35 ( 1 ) : 82 - 92.
[26] 黃慧萍,肖世德, 梁紅琴. 基于AHP和攻防樹的SCADA系統(tǒng)安全脆弱性評估[J]. 控制工程, 2018, 25 ( 6 ).
[27] Chechulin A A, Kotenko I V. Attack tree-based approach for real-time security event processing[J]. Automatic Control and Computer Sciences, 2015, 49 ( 8 ) : 701 - 704.
[28] Yao L, Dong P, Zheng T, et al. Network security analyzing and modeling based on Petri net and Attack tree for SDN[C]. International Conference on Computing, Networking and Communications. IEEE, 2016 : 1 - 5.
[29] Li B, Lu R, Choo K K R, et al. On Reliability Analysis of Smart Grids under Topology Attacks: A Stochastic Petri Net Approach[J]. ACM Transactions on Cyber-Physical Systems, 2018, 3 ( 1 ) : 10.
[30] The Smart Grid Interoperability Panel–Cyber Security Working Group. Guidelines for Smart Grid Cyber Security[EB/OL]. http://www.nist.gov/smartgrid/ upload/nistir-7628_total, 2010 - 08.
[31] 湯奕, 陳倩, 李夢雅, 等. 電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊研究綜述[J]. 電力系統(tǒng)自動化, 2016, 40 ( 17 ): 59 - 69.
[32] Li Y, Quevedo D E, Dey S, et al. SINR-based DoS attack on remote state estimation: A game-theoretic approach[J]. IEEE Transactions on Control of Network Systems, 2017, 4 ( 3 ) : 632 - 642.
[33] Srikantha P, Kundur D. Denial of service attacks and mitigation for stability in cyber-enabled power grid[C]. Innovative Smart Grid Technologies Conference. IEEE, 2015: 1 - 5.
[34] Wang H, Xu L, Gu G. FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks[C]. IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2015: 239 - 250.
[35] Zhang H, Qi Y, Wu J, et al. DoS attack energy management against remote state estimation[J]. IEEE Transactions on Control of Network Systems, 2018, 5 ( 1 ): 383 - 394.
[36] Taylor V F, Fokum D T. Mitigating black hole attacks in wireless sensor networks using node-resident expert systems[C]. Wireless Telecommunications Symposium. IEEE, 2014: 1 - 7.
[37] Liu X, Li Z. Local Topology Attacks in Smart Grids[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 6 ): 2617 - 2626.
[38] Liu X, Bao Z, Lu D, et al. Modeling of Local False Data Injection Attacks With Reduced Network Information[J]. IEEE Transactions on Smart Grid, 2017, 6 ( 4 ): 1686 - 1696.
[39] Liang G, Zhao J, Luo F, et al. A Review of False Data Injection Attacks Against Modern Power Systems[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 4 ): 1630 - 1638.
[40] Na S J, Hwang D Y, Shin W S, et al. Scenario and countermeasure for replay attack using join request messages in LoRaWAN[C]. International Conference on Information Networking. IEEE, 2017: 718 - 720.
[41] Zhu M, Martínez S. On the performance analysis of resilient networked control systems under replay attacks[J]. IEEE Transactions on Automatic Control, 2014, 59 ( 3 ): 804 - 808.
[42] 曹剛. 解析中間人攻擊原理[J]. 計算機(jī)與網(wǎng)絡(luò), 2014 ( 22 ) : 48.
[43] WilliamStalings. 密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐[M]. 北京電子工業(yè)出版社, 2001.
[44] Yao Y, Xiao B, Wu G, et al. Multi-channel based Sybil Attack Detection in Vehicular Ad Hoc Networks using RSSI[J]. IEEE Transactions on Mobile Computing, 2018.
[45] Lee P, Clark A, Bushnell L, et al. A Passivity Framework for Modeling and Mitigating Wormhole Attacks on Networked Control Systems[J]. Automatic Control IEEE Transactions on, 2013, 59 ( 12 ): 3224 - 3237.
[46] Teixeira A, Shames I, Sandberg H, et al. A secure control framework for resource-limited adversaries[J]. Automatica, 2015, 51: 135 - 148.
[47] Hu Y, Li H, Luan T H, et al. Detecting stealthy attacks on industrial control systems using a permutation entropy-based method[J]. Future Generation Computer Systems, 2018.
[48] de S A O, da Costa Carmo L F R, Machado R C S. Covert attacks in cyber-physical control systems[J]. IEEE Transactions on Industrial Informatics, 2017, 13 ( 4 ): 1641 - 1651.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號