作者 | 邬晶,宋蕾,龙承念,李少远 上海交通大学
摘要信息物理系统安全问题日益突出,引起了世界各国政府和社会各界的高度关注。本文通过研究信息物理系统的安全目标,对攻击威胁进行了概述。总结了攻击实施的基本条件,并针对攻击实施的不同特征,提出了几类常用攻击的建模方式和攻击过程的结构化表征。从实施要素的角度对比了故障与攻击,为准确辨识攻击行为以及制定信息物理系统安全防护提供了模型基础。
1引言随着传感器网络和嵌入式系统技术的发展,近年来,信息物理系统(Cyber-Physical Systems, CPSs)的开发和部署已给人们的社会生活带来巨大变革。CPSs涉及的应用领域非常广泛,包括工业控制系统、智能电网系统、远程医疗系统、智能交通系统、环境监测和智能建筑等。计算机技术、网络通信技术和控制技术的深度融合,为国家关键基础设施建设提供了强大的技术支撑,为绿色、高效、智能的生产生活模式带来了更广阔的发展前景。然而,越来越依赖网络化的CPSs面临着不断升级的安全风险。随着攻击者的系统漏洞发现能力与攻击手段不断提升,攻击者不仅可以利用信息安全漏洞突破网络防御,瘫痪控制系统,甚至可以通过瘫痪一部分物理节点进而造成物理世界的级联事故,给整个CPSs造成损害。实际上,CPSs易受攻击的弱点在最近一系列的事故中得以证实,表1列举了近几年电力系统遭受网络攻击的实例。如图1所示,展示了2010~2015年美国国土安全部ICS-CERT统计的影响安全事件数。可以看出,当前信息物理系统安全事故频发,预计未来的安全威胁将日益严重,这对保护信息物理系统免受网络攻击提出了迫切需求。
信息物理系统安全威胁来自多方面,有来自系统外部的威胁,如恐怖组织、国外情报部门、网络黑客等敌对势力,他们借助垃圾邮件、网络钓鱼和恶意程序等窃取合法用户身份进行在线欺骗,谋取经济利益并破坏公众的正常生产生活;也有来自系统内部的威胁,如系统管理人员不受限制访问目标系统实施破坏,更严重的是运维人员对现场设备进行非法操作等。当然,不同行业面临的威胁和风险不同,军工行业主要强调工控网和涉密网连接时的信息保密,石化行业强调生产的连续和非异常,电力行业强调SCADA调度系统的不中断等。为保障CPS工控系统的安全运行,世界各国政府已高度关注,出台许多政策大力支持相关问题的研究工作。国际上,美国国家标准技术研究院出台了SP800-82《工业控制系统安全指南》,确定了工控系统面临的典型威胁漏洞以及相关资产的安全防护对策,范围包括电力、石油化工、污水处理、核电、交通等国家关键基础行业的ICS系统,美国国土安全部制定了“国家基础设施保护计划”。日本发起“工业控制系统网络安全项目”,以保护日本重要基础设施和工业设施安全。欧洲网络与信息安全局发布《工业控制系统网络安全白皮书》,要求欧盟成员国针对工业控制系统的网路攻击事件做出灵活应对。我国也将网络安全正式划入“十三五”规划重点建设方向,出台了《网络安全法》、《国家网络空间安全战略》、GB/T 26333《工业控制网络安全风险评估规范》等政策与规范,规定了工业控制网络安全风险评估的一般方法和准则,为防范和化解CPS信息安全风险提出了针对性的防护对策和整改措施。在学术研究方面,信息物理系统的安全问题主要包括攻击建模、入侵检测、抗攻击控制及隐私保护等方面。其中,攻击模型能对攻击过程进行结构化和形式化描述,有助于提高攻击检测和安全预警的效率,是保障系统安全的一个关键步骤。已有许多学者针对特定攻击行为进行建模,如文分析了拒绝服务攻击对信息物理系统的影响,并针对攻击者干扰能量受限的情况,设计出最优拒绝服务攻击序列模型。文采用基于数据驱动的子空间方法,设计了一种针对状态估计的错误数据注入攻击。文利用博弈论,建立了人和控制系统相互作用的模型,并用它分析信息物理安全问题。文研究了针对网络控制系统的隐蔽攻击,并建立了一种具有反馈结构的攻击模型。还有一些学者以图形化的方式描述攻击路径,提出基于攻击树或基于Petri Net攻击图的模型来表示攻击行为和步骤之间的相互依赖关系,定性评估信息安全脆弱性以及系统的风险程度。然而图形化攻击建模过程中没有将攻击危害与系统安全要求结合,忽略攻击实施基本条件与制定防御策略之间的联系。因此,本文针对攻击实施的行为要素,对几类常用攻击进行建模研究,提出了基于安全属性的攻击分类方法,总结了不同种类攻击对信息物理系统状态造成的影响,从而指导防护人员分析识别攻击,实现准确可靠的预警及防御。
表1 电力系统网络攻击实际案例
图1 美国国土安全部2010~2015年安全事件统计图
2信息物理系统的安全目标 《美国标准技术研究院(NIST)7682号报告》[30]指出信息安全三要素分别为可用性(Availability)、完整性(Integrity)和机密性(Confidentiality)。传统IT系统中,强调的是确保互联网业务及应用过程中数据的机密性,它的安全目标是“CIA”原则。而CPSs关注的安全需求是保证生产控制的可用性,可用性遭受破坏会影响物理系统正常工作,所以,CPSs的安全目标遵循的是“AIC”原则。(1)可用性:保证所有资源及信息都处于可用状态,网络中任何信息时刻都能100%被授权方通过合理方式访问。即使存在突发事件(如电力事故、攻击行为等),被控对象、控制中心等依然能够获取到需要的信息。“可用性”被破坏最容易实现的形式是利用通信网络的脆弱性,中断数据传输,从而造成资源浪费,影响系统的正常运行。
(2)完整性:保证所有数据或信息完整正确,任何未经授权的数据修改方式都不得对传输数据进行修改(包括改写、删除、添加、替换等操作)和破坏。“完整性”丧失意味着用户会将收到的错误数据认为是正确的,导致系统在信息收发过程中难以利用检测技术发现攻击行为,进而做出错误的控制决策。
(3)机密性:保证信息的获取仅限有权限的用户或组织,任何通过非法渠道进行的访问都应被检测并组织。“机密性” 被破坏将造成信息泄露问题,存在重要信息(如用户隐私、产权信息等)被非法分子利用的威胁。
按照信息物理系统安全目标的属性和重要性,我们对以破坏网络可用性、破坏数据完整性、破坏信息机密性为目的的攻击行为进行总结和分析,如表2所示。
表2 针对信息物理系统安全属性的攻击分类
2.1以破坏网络可用性为目的的攻击
“下一代网络”(如互联网、专用网、局域网等)对实时通信和信息交互提供支撑。破坏网络可用性的攻击主要是通过阻碍、延迟通信网络中的信息传输,引发网络阻塞,导致数据不可用,主要涉及数据传输层通信协议的脆弱性,存在数据/信息的中断威胁。典型的攻击方式包括拒绝服务攻击(Denial-of-Service,DoS)、黑洞攻击、改变网络拓扑等。DoS攻击对被攻击对象的资源(如网络带宽等)进行消耗性攻击,其主要形式包括攻击者迫使服务器的缓冲区溢出,使执行元件不接收新的请求;攻击者利用网络协议/软件缺陷,通过IP欺骗影响合法用户的连接,使系统服务被暂停甚至系统崩溃。黑洞攻击常出现在无线传感器网络之类的自组织网络中,攻击时,恶意节点收到源节点发送的路由请求包后向其注出错误决策,使电力系统局部或整体崩溃。黑洞攻击常出现在无线传感器网络之类的自组织网络中,攻击时,恶意节点收到源节点发送的路由请求包后向其注入虚假可用信道信息,骗取其他节点同其建立路由连接,然后丢掉需要转发的数据包,造成数据包丢失。改变网络拓扑的攻击方式是指通过物理攻击,断开通信线路,使重要网络线路失效,迫使信息经由更远的路径传输,引发关键通信的时延。
2.2以破坏数据完整性为目的的攻击传感数据的可靠采集和控制指令的有效执行为信息物理系统安全运行提供保障。破坏数据完整性的攻击主要通过注入错误数据(如错误的状态估计信息)或者非法篡改数据(如控制指令)来阻碍数据正常交换的可靠性和准确性。典型的攻击形式有错误数据注入攻击(False data injection attack,FDI attack)、重放攻击(Replay attack)、中间人攻击等。FDI攻击常存在于电网中,攻击者绕过坏数据检测机制,通过错误数据操纵系统状态估计结果,引起电网误动作。重放攻击是指攻击者故意记录合法用户的身份验证信息等,经过一段时间再向系统发送,获取系统的信任;或者攻击者通过网络窃听等其他非法监听途径识别并获取传输信息,如断路器跳闸的控制指令,后在电网正常运行时重放该指令,造成断路器误动作。中间人攻击是指攻击者介入两台通信设备之间,接收一台发送的信息,获取后修改数据再发送给另外一台,例如远程终端单元(RTU,Remote Terminal Unit)向控制中心发送的电网状态信息可能被修改或删除,从而导致控制中心做出错误决策,使电力系统局部或整体崩溃。
2.3以破坏信息机密性为目的的攻击攻击者通过非法监听等行为访问网络中的机密数据,并利用这些数据对系统或其他参与者造成损害,从中获利。以电网为例,这类攻击大多发生在用户侧,例如通过窃听器或流量分析仪获取单个或多个用户智能电表数据,从而分析出用户与电网的状态,便于进一步实施破坏。
具体实现途径有:(1)密码破解,攻击者通过暴力破解等手段绕过防火墙和密码保护,成功侵入后使用IP扫描工具,侵入各个用户交互界面获取信息或发出未授权的指令,如控制断路器跳闸。(2)恶意软件和病毒,通过网络或不安全的移动存储设备在电力控制设备上安装恶意软件或传播病毒窃取信息。(3)内部员工,安全意识薄弱的员工可能将带有病毒的移动设备插入系统,或设置易破解密码。心怀恶意的员工得到授权可轻易对系统进行操作并规避检查。
此外,还有以破坏多个安全属性为目标的攻击,如女巫攻击攻击者伪造多种身份与CPS元件通信,影响恶意节点相邻节点的通信网络和路由路径,实现拦截信息、篡改信息等功能,破坏网络可用性和数据完整性)、虫洞攻击(攻击者在两个相距很远的节点之间构建一条高质量的私有通道,伪造非法的高效路径,破坏路由协议,破坏数据完整性和信息机密性)等。
3信息物理系统攻击建模CPS安全问题本质上是攻击与防御之间的对抗,而要设计合理的防御机制,必须对攻击的行为进行深入剖析。攻击模型是对攻击过程的结构化描述,是对攻击特征的参数化表达。它不仅有助于研究攻击者行为,而且可以提高攻击检测和安全预警效率,能够为制定更有针对性的安全防护策略奠定基础。
3.1信息物理系统攻击实施要素攻击实施的三个行为要素为:信号窃听、攻击构造、攻击注入,如图2所示。在实际攻击场景中,攻击者首先需要对攻击对象和周围环境进行感知,即攻击者需要获取一定的模型知识,这包括部分或全部信息物理系统演化所涉及的动态特性、系统参数、网络参数以及系统检测机制、安全标准等。攻击者对模型知识掌握得越全面,构造的攻击信号越容易躲过系统的防御和检测机制。其次,攻击者要对通讯网络进行窃听,在没有被检测且不影响系统运行的情况下,窃听截取传输中的测量信号或控制信号的披露信息,包括信号所在的位置、信号的大小、信号的编码方式等。结合所掌握的模型知识以及窃听截获的网络披露信息,利用自身具备的破坏资源构造满足预期攻击效果的攻击信号,注入到物理系统、控制中心或通信网络中,危害信息物理系统的可用性、实时性、安全性等性能。当然,有些攻击无需知道模型知识或窃听披露信息,利用通信协议漏洞,也可以直接生成恶意软件程序等威胁数据包,但这种攻击较容易被系统自身的安全检测机制和防御措施截获。有的攻击者还可以根据反馈信息,调整校正攻击策略,以达到协同的攻击效果。由于攻击者具备的破坏资源受限,每类攻击能够感染的通道个数、持续实施的攻击时长都不尽相同,从而对系统造成危害的程度不同。
值得注意的是,故障也会引发信息物理系统运行失效,但无意图的故障和有意图的攻击存在本质区别,通过分析实施的行为要素以及实施过程中掌握的知识信息资源,可以帮助防御者区分故障和攻击,以及区分不同类型的攻击,从而及时进行故障隔离或实行安全控制响应。
图2 攻击实施图
3.2典型攻击建模攻击的种类繁杂,手段多变,不同领域攻击所预计到达的具体攻击目标也不尽相同。本文以电力CPS中常见的典型攻击为例,给出成功实施攻击的必备条件和攻击过程建模。
3.2.1DoS攻击DoS攻击是最常见也是最容易实现的攻击形式,其攻击模型如图3所示,其中P表示系统模型,F表示控制器,D表示检测器。攻击者只要掌握系统元件之间的通信协议,即可利用攻击设备在测量通道 ! 8、控制通道 #$上开展阻塞网络信号传输等形式的攻击,无需提前知道系统模型知识,也无需窃听通信网络获取披露信息。系统遭受DoS攻击时的输出信号和控制信号可以分别表述为:
其中ω(t)和υ(t)是噪声信号。需要指出的是,DoS攻击时信道有可能接收到带有真实信号的噪声信号ω(t)和υ(t)。当噪声信号足够大,即攻击足够强时,作为防守方,我们通常会人为丢弃这个信号,因为这个噪声信号不能提供任何有用信息。这时候系统的输出信号和控制信号就可以看作是w./0(t)=0;123(t)=0/。这和由通信网络不稳定造成的数据包丢失在数学表达上是相同,但其造成的原因是不同。
图3 DoS攻击框图
3.2.2重放攻击重放攻击可以分为两个阶段,如图4所示。先是记录阶段,即攻击者从某时刻开始窃听并记录通信链路γy和γu上的传输信号,随后是攻击阶段,即攻击者经过一段时间τ后,将记录的信息重新发送到网络通道 ! 8、 #$中。攻击实施过程中无需知道系统模型知识,只需获取通信链路上的披露信息即可。系统遭受重放攻击时的输出信号和控制信号可以表述为:
可以发现重放攻击和传统网络控制系统中的延时数据在数学表达上相同,但延时是由路由器转发数据包处理时长引起的,重放攻击是人为选择特定时段传输信息再次发送,以达到损害数据完整性、一致性的目标。
图4 重放攻击框图
3.2.3欺骗攻击(Deception attack) 欺骗攻击是一类较为复杂的攻击,目的是采用多种手段“躲避”系统安全检测,欺骗防御者使其误以为没有攻击发生,从而实现隐蔽攻击。主要攻击手段包括错误数据注入攻击(FDI attack)、偏置攻击(Bias attack)[46]、浪涌攻击(Surge attack)[47]、转换攻击(Covert attack)[48]等。其攻击模型如图5所示。攻击实施需要知晓安全检测机制等模型知识,窃听通道γy和γu上的披露信息,拥有攻击通道 ! 8和 #$的破坏资源。系统遭受欺骗攻击时的输出信号和控制信号可以表述为:图5 欺骗攻击框图
3.2.4错误数据注入攻击错误数据注入攻击是一种典型的欺骗型攻击,普遍针对电力系统状态估计环节(即测量通道)。攻击者在了解电力系统拓扑结构的情况下,通过篡改传感器测量数据,入侵传感器和SCADA系统之间的通信网络,使得控制中心接收到的传感器测量数据不等于真实的测量数据,以“躲避”现有的坏数据辨识装置的检测。攻击实施前需要知道模型知识中的系统参数和坏数据检测机制,才能达到欺骗效果;此外还需要知道目标通道的披露信息。系统遭受攻击后,测量输出信号被篡改为:
表3给出了几类典型攻击实施所需要素。当然,还有关于破坏信息物理系统隐私性方面的攻击,也可以按照攻击实施要素进行个案建模分析。由于攻击过程本身的复杂和多样性,从已知攻击形式中间找出关联并总结出通用的攻击模型仍然是个挑战,本文主要从攻击实施要素角度提供攻击建模分析思路,对系统管理者制定防御措施有积极的指导意义。
表3 几类典型攻击建模所需要素
4结语
本文介绍了信息物理系统威胁和攻击建模,它是信息物理系统中至关重要又富有挑战的研究方向。本文的主要目的在于介绍信息物理系统的安全目标和攻击实施的基本条件,依据攻击实施条件阐述几种常用攻击的建模方式,为后续构建信息物理系统安全防护体系提供模型基础。
作者简介邬晶(1979-),女,上海交通大学自动化系副教授,主要研究方向为信息物理系统的建模、分析与安全控制等。
宋蕾(1994-),女,上海交通大学自动化系硕士研究生,主要研究方向为智能电网攻击建模。
龙承念(1977-),男,上海交通大学自动化系教授,教育部新世纪优秀人才,主要研究方向为无线