随着传感器网络和嵌入式系统技术的发展,近年来,信息物理系统(Cyber-PhysicalSystems,CPSs)的开发和部署已给人们的社会生活带来巨大变革。CPSs涉及的应用领域非常广泛,包括工业控制系统、智能电网系统、远程医疗系统、智能交通系统、环境监测和智能建筑等[1~3]。计算机技术、网络通信技术和控制技术的深度融合,为国家关键基础设施建设提供了强大的技术支撑,为绿色、高效、智能的生产生活模式带来了更广阔的发展前景。然而,越来越依赖网络化的CPSs面临着不断升级的安全风险。随着攻击者的系统漏洞发现能力与攻击手段不断提升,攻击者不仅可以利用信息安全漏洞突破网络防御,瘫痪控制系统,甚至可以通过瘫痪一部分物理节点进而造成物理世界的级联事故,给整个CPSs造成损害[4~6]。实际上,CPSs易受攻击的弱点在最近一系列的事故中得以证实,表1列举了近几年电力系统遭受网络攻击的实例[7~15]。如图1所示,展示了2010~2015年美国国土安全部ICS-CERT统计的影响安全事件数[16]。可以看出,当前信息物理系统安全事故频发,预计未来的安全威胁将日益严重,这对保护信息物理系统免受网络攻击提出了迫切需求。
表1电力系统网络攻击实际案例
图1美国国土安全部2010~2015年安全事件统计图[16]
2信息物理系统的安全目标
“完整性”丧失意味着用户会将收到的错误数据认为是正确的,导致系统在信息收发过程中难以利用检测技术发现攻击行为,进而做出错误的控制决策。
(3)机密性:保证信息的获取仅限有权限的用户或组织,任何通过非法渠道进行的访问都应被检测并组织[31]。“机密性”被破坏将造成信息泄露问题,存在重要信息(如用户隐私、产权信息等)被非法分子利用的威胁。
按照信息物理系统安全目标的属性和重要性,我们对以破坏网络可用性、破坏数据完整性、破坏信息机密性为目的的攻击行为进行总结和分析,如表2所示。
表2针对信息物理系统安全属性的攻击分类
2.1以破坏网络可用性为目的的攻击
“下一代网络”(如互联网、专用网、局域网等)对实时通信和信息交互提供支撑。破坏网络可用性的攻击主要是通过阻碍、延迟通信网络中的信息传输,引发网络阻塞,导致数据不可用,主要涉及数据传输层通信协议的脆弱性,存在数据/信息的中断威胁。典型的攻击方式包括拒绝服务攻击(Denial-of-Service,DoS)[33~35]、黑洞攻击[36]、改变网络拓扑[37]等。DoS攻击对被攻击对象的资源(如网络带宽等)进行消耗性攻击,其主要形式包括攻击者迫使服务器的缓冲区溢出,使执行元件不接收新的请求;攻击者利用网络协议/软件缺陷,通过IP欺骗影响合法用户的连接,使系统服务被暂停甚至系统崩溃。黑洞攻击常出现在无线传感器网络之类的自组织网络中,攻击时,恶意节点收到源节点发送的路由请求包后向其注出错误决策,使电力系统局部或整体崩溃。黑洞攻击常出现在无线传感器网络之类的自组织网络中,攻击时,恶意节点收到源节点发送的路由请求包后向其注入虚假可用信道信息,骗取其他节点同其建立路由连接,然后丢掉需要转发的数据包,造成数据包丢失。改变网络拓扑的攻击方式是指通过物理攻击,断开通信线路,使重要网络线路失效,迫使信息经由更远的路径传输,引发关键通信的时延。
中间人攻击是指攻击者介入两台通信设备之间,接收一台发送的信息,获取后修改数据再发送给另外一台,例如远程终端单元(RTU,RemoteTerminalUnit)向控制中心发送的电网状态信息可能被修改或删除,从而导致控制中心做出错误决策,使电力系统局部或整体崩溃。
2.3以破坏信息机密性为目的的攻击攻击者通过非法监听等行为访问网络中的机密数据,并利用这些数据对系统或其他参与者造成损害,从中获利。以电网为例,这类攻击大多发生在用户侧,例如通过窃听器或流量分析仪获取单个或多个用户智能电表数据,从而分析出用户与电网的状态,便于进一步实施破坏。
此外,还有以破坏多个安全属性为目标的攻击,如女巫攻击[44]攻击者伪造多种身份与CPS元件通信,影响恶意节点相邻节点的通信网络和路由路径,实现拦截信息、篡改信息等功能,破坏网络可用性和数据完整性)、虫洞攻击[45](攻击者在两个相距很远的节点之间构建一条高质量的私有通道,伪造非法的高效路径,破坏路由协议,破坏数据完整性和信息机密性)等。
3信息物理系统攻击建模
CPS安全问题本质上是攻击与防御之间的对抗,而要设计合理的防御机制,必须对攻击的行为进行深入剖析。攻击模型是对攻击过程的结构化描述,是对攻击特征的参数化表达。它不仅有助于研究攻击者行为,而且可以提高攻击检测和安全预警效率,能够为制定更有针对性的安全防护策略奠定基础。
3.1信息物理系统攻击实施要素
值得注意的是,故障也会引发信息物理系统运行失效,但无意图的故障和有意图的攻击存在本质区别,通过分析实施的行为要素以及实施过程中掌握的知识信息资源,可以帮助防御者区分故障和攻击,以及区分不同类型的攻击,从而及时进行故障隔离或实行安全控制响应。
图2攻击实施图
3.2典型攻击建模
攻击的种类繁杂,手段多变,不同领域攻击所预计到达的具体攻击目标也不尽相同。本文以电力CPS中常见的典型攻击为例,给出成功实施攻击的必备条件和攻击过程建模。
3.2.1DoS攻击
DoS攻击是最常见也是最容易实现的攻击形式,其攻击模型如图3所示,其中P表示系统模型,F表示控制器,D表示检测器。攻击者只要掌握系统元件之间的通信协议,即可利用攻击设备在测量通道!8、控制通道#$上开展阻塞网络信号传输等形式的攻击,无需提前知道系统模型知识,也无需窃听通信网络获取披露信息。系统遭受DoS攻击时的输出信号和控制信号可以分别表述为:
其中ω(t)和υ(t)是噪声信号。需要指出的是,DoS攻击时信道有可能接收到带有真实信号的噪声信号ω(t)和υ(t)。当噪声信号足够大,即攻击足够强时,作为防守方,我们通常会人为丢弃这个信号,因为这个噪声信号不能提供任何有用信息。这时候系统的输出信号和控制信号就可以看作是w./0(t)=0;123(t)=0/。这和由通信网络不稳定造成的数据包丢失在数学表达上是相同,但其造成的原因是不同。
图3DoS攻击框图
3.2.2重放攻击
可以发现重放攻击和传统网络控制系统中的延时数据在数学表达上相同,但延时是由路由器转发数据包处理时长引起的,重放攻击是人为选择特定时段传输信息再次发送,以达到损害数据完整性、一致性的目标。
图4重放攻击框图
3.2.3欺骗攻击(Deceptionattack)
欺骗攻击是一类较为复杂的攻击,目的是采用多种手段“躲避”系统安全检测,欺骗防御者使其误以为没有攻击发生,从而实现隐蔽攻击。主要攻击手段包括错误数据注入攻击(FDIattack)、偏置攻击(Biasattack)[46]、浪涌攻击(Surgeattack)[47]、转换攻击(Covertattack)[48]等。其攻击模型如图5所示。攻击实施需要知晓安全检测机制等模型知识,窃听通道γy和γu上的披露信息,拥有攻击通道!8和#$的破坏资源。系统遭受欺骗攻击时的输出信号和控制信号可以表述为:
图5欺骗攻击框图
3.2.4错误数据注入攻击
错误数据注入攻击是一种典型的欺骗型攻击,普遍针对电力系统状态估计环节(即测量通道)。攻击者在了解电力系统拓扑结构的情况下,通过篡改传感器测量数据,入侵传感器和SCADA系统之间的通信网络,使得控制中心接收到的传感器测量数据不等于真实的测量数据,以“躲避”现有的坏数据辨识装置的检测。攻击实施前需要知道模型知识中的系统参数和坏数据检测机制,才能达到欺骗效果;此外还需要知道目标通道的披露信息。系统遭受攻击后,测量输出信号被篡改为:
表3给出了几类典型攻击实施所需要素。当然,还有关于破坏信息物理系统隐私性方面的攻击,也可以按照攻击实施要素进行个案建模分析。由于攻击过程本身的复杂和多样性,从已知攻击形式中间找出关联并总结出通用的攻击模型仍然是个挑战,本文主要从攻击实施要素角度提供攻击建模分析思路,对系统管理者制定防御措施有积极的指导意义。
表3几类典型攻击建模所需要素
4结语
本文介绍了信息物理系统威胁和攻击建模,它是信息物理系统中至关重要又富有挑战的研究方向。本文的主要目的在于介绍信息物理系统的安全目标和攻击实施的基本条件,依据攻击实施条件阐述几种常用攻击的建模方式,为后续构建信息物理系统安全防护体系提供模型基础。
★基金项目:国家自然科学基金(61473184,61673275,61873166)。
作者简介
邬晶(1979-),女,上海交通大学自动化系副教授,主要研究方向为信息物理系统的建模、分析与安全控制等。
宋蕾(1994-),女,上海交通大学自动化系硕士研究生,主要研究方向为智能电网攻击建模。
龙承念(1977-),男,上海交通大学自动化系教授,教育部新世纪优秀人才,主要研究方向为无线网络、认知无线电、协作通信等。
李少远(1965-),男,上海交通大学自动化系教授,国家杰出青年基金获得者,主要研究方向为自适应预测控制、网络化分布式系统的优化控制及数据驱动系统控制器设计。
参考文献:
[1]HumayedA,LinJ,LiF,etal.Cyber-physicalsystemssecurity—Asurvey[J].IEEEInternetofThingsJournal,2017,4(6):1802-1831.
[2]BurgA,ChattopadhyayA,LamKY.WirelessCommunicationandSecurityIssuesforCyber–PhysicalSystemsandtheInternet-of-Things[J].ProceedingsoftheIEEE,2018,106(1):38-60.
[3]DardanelliA,MaggiF,TanelliM,etal.Asecuritylayerforsmartphone-to-vehiclecommunicationoverbluetooth[J].IEEEembeddedsystemsletters,2013,5(3):34-37.
[4]MoY,KimTHJ,BrancikK,etal.Cyber–physicalsecurityofasmartgridinfrastructure[J].ProceedingsoftheIEEE,2012,100(1):195-209.
[5]BaigZA,AmoudiAR.Ananalysisofsmartgridattacksandcountermeasures[J].JournalofCommunications,2013,8(8):473-479.
[6]TaylorJM,SharifHR.Securitychallengesandmethodsforprotectingcriticalinfrastructurecyber-physicalsystems[C].SelectedTopicsinMobileandWirelessNetworking(MoWNeT),2017InternationalConferenceon.IEEE,2017:1-6.
[7]LangnerR.Stuxnet:Dissectingacyberwarfareweapon[J].IEEESecurity&Privacy,2011,9(3):49-51.
[11]李鸿培,王晓鹏,王洋.绿盟科技工控系统安全态势报告[R].北京:绿盟科技,2014.
[13]LiangG,WellerSR,ZhaoJ,etal.The2015Ukraineblackout:Implicationsforfalsedatainjectionattacks[J].IEEETransactionsonPowerSystems,2017,32(4):3317-3318.
[17]TaylorJM,SharifHR.Securitychallengesandmethodsforprotectingcriticalinfrastructurecyber-physicalsystems[C].InternationalConferenceonSelectedTopicsinMobileandWirelessNetworking.IEEE,2017:1-6.
[19]张恒.信息物理系统安全理论研究[D].浙江大学,2015.
[20]TheEuropeanNetworkandInformationSecurityAgency.ProtectingIndustrialControlSystems[R].Heraklion:RecommendationsforEuropeandMemberStates,2012:6-15.
[21]国务院.“十三五”国家信息化规划[Z].
[22]ZhangH,ChengP,ShiL,etal.OptimalDoSAttackSchedulinginWirelessNetworkedControlSystem[J].IEEETransactionsonControlSystemsTechnology,2016,24(3):843-852.
[23]KimJ,TongL,ThomasRJ.SubspaceMethodsforDataAttackonStateEstimation:ADataDrivenApproach[J].IEEETransactionsonSignalProcessing,2015,63(5):1102-1114.
[24]AminS,SchwartzGA,HussainA.Inquestofbenchmarkingsecurityriskstocyber-physicalsystems[J].IEEENetwork,2013,27(1):19-24.
[25]SmithRS.CovertMisappropriationofNetworkedControlSystems:PresentingaFeedbackStructure[J].IEEEControlSystems,2015,35(1):82-92.
[26]黄慧萍,肖世德,梁红琴.基于AHP和攻防树的SCADA系统安全脆弱性评估[J].控制工程,2018,25(6).
[27]ChechulinAA,KotenkoIV.Attacktree-basedapproachforreal-timesecurityeventprocessing[J].AutomaticControlandComputerSciences,2015,49(8):701-704.
[28]YaoL,DongP,ZhengT,etal.NetworksecurityanalyzingandmodelingbasedonPetrinetandAttacktreeforSDN[C].InternationalConferenceonComputing,NetworkingandCommunications.IEEE,2016:1-5.
[29]LiB,LuR,ChooKKR,etal.OnReliabilityAnalysisofSmartGridsunderTopologyAttacks:AStochasticPetriNetApproach[J].ACMTransactionsonCyber-PhysicalSystems,2018,3(1):10.
[31]汤奕,陈倩,李梦雅,等.电力信息物理融合系统环境中的网络攻击研究综述[J].电力系统自动化,2016,40(17):59-69.
[32]LiY,QuevedoDE,DeyS,etal.SINR-basedDoSattackonremotestateestimation:Agame-theoreticapproach[J].IEEETransactionsonControlofNetworkSystems,2017,4(3):632-642.
[33]SrikanthaP,KundurD.Denialofserviceattacksandmitigationforstabilityincyber-enabledpowergrid[C].InnovativeSmartGridTechnologiesConference.IEEE,2015:1-5.
[34]WangH,XuL,GuG.FloodGuard:ADoSAttackPreventionExtensioninSoftware-DefinedNetworks[C].IEEE/IFIPInternationalConferenceonDependableSystemsandNetworks.IEEE,2015:239-250.
[35]ZhangH,QiY,WuJ,etal.DoSattackenergymanagementagainstremotestateestimation[J].IEEETransactionsonControlofNetworkSystems,2018,5(1):383-394.
[36]TaylorVF,FokumDT.Mitigatingblackholeattacksinwirelesssensornetworksusingnode-residentexpertsystems[C].WirelessTelecommunicationsSymposium.IEEE,2014:1-7.
[37]LiuX,LiZ.LocalTopologyAttacksinSmartGrids[J].IEEETransactionsonSmartGrid,2017,8(6):2617-2626.
[38]LiuX,BaoZ,LuD,etal.ModelingofLocalFalseDataInjectionAttacksWithReducedNetworkInformation[J].IEEETransactionsonSmartGrid,2017,6(4):1686-1696.
[39]LiangG,ZhaoJ,LuoF,etal.AReviewofFalseDataInjectionAttacksAgainstModernPowerSystems[J].IEEETransactionsonSmartGrid,2017,8(4):1630-1638.
[40]NaSJ,HwangDY,ShinWS,etal.ScenarioandcountermeasureforreplayattackusingjoinrequestmessagesinLoRaWAN[C].InternationalConferenceonInformationNetworking.IEEE,2017:718-720.
[41]ZhuM,MartínezS.Ontheperformanceanalysisofresilientnetworkedcontrolsystemsunderreplayattacks[J].IEEETransactionsonAutomaticControl,2014,59(3):804-808.
[42]曹刚.解析中间人攻击原理[J].计算机与网络,2014(22):48.
[43]WilliamStalings.密码编码学与网络安全:原理与实践[M].北京电子工业出版社,2001.
[44]YaoY,XiaoB,WuG,etal.Multi-channelbasedSybilAttackDetectioninVehicularAdHocNetworksusingRSSI[J].IEEETransactionsonMobileComputing,2018.
[45]LeeP,ClarkA,BushnellL,etal.APassivityFrameworkforModelingandMitigatingWormholeAttacksonNetworkedControlSystems[J].AutomaticControlIEEETransactionson,2013,59(12):3224-3237.
[46]TeixeiraA,ShamesI,SandbergH,etal.Asecurecontrolframeworkforresource-limitedadversaries[J].Automatica,2015,51:135-148.
[47]HuY,LiH,LuanTH,etal.Detectingstealthyattacksonindustrialcontrolsystemsusingapermutationentropy-basedmethod[J].FutureGenerationComputerSystems,2018.
[48]deSAO,daCostaCarmoLFR,MachadoRCS.Covertattacksincyber-physicalcontrolsystems[J].IEEETransactionsonIndustrialInformatics,2017,13(4):1641-1651.