網(wǎng)絡(luò)化測控系統(tǒng)的信息安全方法研究

胡向東，劉竹林

(重慶郵電大學(xué) 自動化學(xué)院，重慶　400065)

?

網(wǎng)絡(luò)化測控系統(tǒng)的信息安全方法研究

胡向東，劉竹林

(重慶郵電大學(xué) 自動化學(xué)院，重慶400065)

摘要：網(wǎng)絡(luò)化測控系統(tǒng)(NMCS)的安全威脅包括內(nèi)部濫用攻擊和病毒攻擊等多種攻擊形式，其中內(nèi)部濫用攻擊的平均成功率高，造成的損失更大。針對網(wǎng)絡(luò)化測控系統(tǒng)的內(nèi)部濫用攻擊，提出了針對管理員攻擊行為的有色Petri網(wǎng)(CPN)安全模型，包括無響應(yīng)攻擊安全模型、配置錯誤攻擊安全模型；系統(tǒng)分析了NMCS所受到的安全威脅，并以智能家居網(wǎng)絡(luò)化測控平臺為例，針對錯誤配置攻擊、無響應(yīng)攻擊和錯誤配置-無響應(yīng)聯(lián)合攻擊3種攻擊場景進(jìn)行安全模型的仿真測試。結(jié)果表明：在錯誤配置攻擊和無響應(yīng)攻擊的單一攻擊中，系統(tǒng)能對攻擊行為進(jìn)行報警響應(yīng)；但對于聯(lián)合攻擊，系統(tǒng)無法進(jìn)行正常的報警響應(yīng)處理，所以此時應(yīng)將無響應(yīng)的報警警情創(chuàng)建為一個新的高級級聯(lián)報警。

關(guān)鍵詞：網(wǎng)絡(luò)化測控系統(tǒng)；信息安全；有色Petri網(wǎng)；安全模型

隨著科學(xué)技術(shù)的發(fā)展，網(wǎng)絡(luò)化已成為現(xiàn)代測控技術(shù)的發(fā)展趨勢之一[1]。網(wǎng)絡(luò)化測控系統(tǒng)(networked measurement and control systems,NMCS)是一種分布式網(wǎng)絡(luò)化的閉環(huán)反饋控制系統(tǒng)[2]，許多關(guān)鍵性基礎(chǔ)設(shè)施(crucial instruments,CI)的運(yùn)作都依賴NMCS，所以NMCS的可靠性和安全性是國家經(jīng)濟(jì)安全的重要保證。過去，控制系統(tǒng)在封閉的環(huán)境中運(yùn)行，依靠專有網(wǎng)絡(luò)和非標(biāo)準(zhǔn)的協(xié)議來防止攻擊[3]，造成了諸多安全缺陷。隨著信息化進(jìn)程的加快，NMCS的安全威脅日益凸顯。例如2016年1月初，烏克蘭電網(wǎng)遭受攻擊，導(dǎo)致大規(guī)模停電，原因是電網(wǎng)系統(tǒng)中被植入了惡意軟件，使發(fā)電站意外關(guān)閉[4]。因此，針對NMCS軟件自身的安全性評測分析及脆弱性評估是當(dāng)前首要考慮的問題。

Petri網(wǎng)是一種用來模擬系統(tǒng)運(yùn)行中各種進(jìn)程的圖形工具[5]。Petri網(wǎng)模型可以容易地用于描述通過以順序的方式進(jìn)行的事件或因果關(guān)系事件之間的聯(lián)系，便于對有漏洞的系統(tǒng)和攻擊行為建模。文獻(xiàn)[6]使用Petri網(wǎng)對智能電網(wǎng)協(xié)調(diào)網(wǎng)絡(luò)的物理攻擊進(jìn)行建模。Henry等[7]使用Petri網(wǎng)分析了攻擊者控制潛在的量化計算機(jī)網(wǎng)絡(luò)操作對工業(yè)控制系統(tǒng)的風(fēng)險。Bouchti等[8]提出了一個網(wǎng)絡(luò)攻擊中控制系統(tǒng)的CPN模型。

本文旨在建立一種NMCS在攻擊行為中的安全模型，來學(xué)習(xí)NMCS受到內(nèi)部濫用攻擊時的響應(yīng)模式，以確定系統(tǒng)的安全性。

1網(wǎng)絡(luò)化測控系統(tǒng)

1.1系統(tǒng)結(jié)構(gòu)

NMCS是數(shù)據(jù)采集和遠(yuǎn)程控制的組合。圖1為NMCS結(jié)構(gòu)。NMCS通過遠(yuǎn)程終端(remote terminal units,RTUs)、可編程邏輯控制器(programmable logic controllers,PLCs)和智能電子設(shè)備(intelligent electronic devices,IEDs)來實(shí)現(xiàn)數(shù)據(jù)采集回傳，控制中心進(jìn)行必要的分析和控制，然后在人機(jī)交互服務(wù)器的顯示器上操作。NMCS主要由4部分組成：人機(jī)交互界面(human machine interface,HMI)，備份服務(wù)器，各種遠(yuǎn)程終端(RTU、PLC、IED)和它們之間的通信過程。HMI用來讓管理員對系統(tǒng)進(jìn)行最高級別的控制和監(jiān)視[9]。管理員可以使用HMI對控制中心的控制命令進(jìn)行調(diào)整或完全覆蓋正常的RTU控制權(quán)限。NMCS操作日志需要發(fā)送到備份服務(wù)器，這個功能常用在商品數(shù)據(jù)庫管理系統(tǒng)中，可以對商品出貨趨勢和其他數(shù)據(jù)進(jìn)行分析統(tǒng)計[10]。備份服務(wù)器上的NMCS事件日志則提供了對系統(tǒng)運(yùn)行進(jìn)程的完整的高級視圖，包括在連續(xù)時間內(nèi)捕獲的用戶活動、系統(tǒng)設(shè)置變更、系統(tǒng)更新等信息[11]。

圖1　NMCS結(jié)構(gòu)

1.2攻擊方式

由于大部分的CI都由NMCS控制，因此保障NMCS的安全性至關(guān)重要。NMCS容易受到兩方面的攻擊：網(wǎng)絡(luò)攻擊和物理攻擊。其中網(wǎng)絡(luò)攻擊主要包括垃圾郵件、病毒和人為可控因素造成的不同程度的攻擊。另一方面，物理攻擊則體現(xiàn)在停電、遭受自然災(zāi)害等方面。因此，研究NMANS遭受攻擊的類型和對系統(tǒng)產(chǎn)生的影響，對于采用更有效的保護(hù)措施來保障網(wǎng)絡(luò)化測控系統(tǒng)的安全具有重要的意義。

1.2.1針對NMCS的攻擊

人機(jī)界面、歷史數(shù)據(jù)、遠(yuǎn)程終端、通信鏈路、傳感器閾值的設(shè)置和執(zhí)行器的正常設(shè)置都是NMCS中常見的被攻擊對象[12]。以工業(yè)系統(tǒng)為例，常見的針對NMCS的攻擊包括病毒攻擊、內(nèi)部濫用攻擊。外部攻擊是從系統(tǒng)外部發(fā)起的，攻擊來自非法用戶或未經(jīng)授權(quán)的用戶，例如黑客組織。外部攻擊通常是故意的，但成功率較低。

內(nèi)部濫用攻擊是目前NMCS面對的最危險的威脅之一[13]。據(jù)相關(guān)報道，內(nèi)部濫用攻擊的數(shù)量占計算機(jī)犯罪和安全總事故數(shù)量的33%[14]。內(nèi)部濫用攻擊來自組織內(nèi)部的個人或團(tuán)體對系統(tǒng)的破壞，主要是(授權(quán)的)管理員濫用權(quán)限、破壞系統(tǒng)流程。因此，這種行為有一定的隨機(jī)性，很難預(yù)測和防止。雖然內(nèi)部濫用攻擊可能不會發(fā)生得像其他形式攻擊那樣頻繁，但這種攻擊成功率更高、損失更大。所以，內(nèi)部濫用攻擊可能比來自外部的其他攻擊有更大風(fēng)險[15]。在一般情況下，內(nèi)部濫用攻擊方案不包括任何利用軟件實(shí)現(xiàn)的漏洞，即認(rèn)為所有的管理員命令都是合法的。

1.2.2針對NMCS的內(nèi)部濫用攻擊

NMCS的用戶主要是系統(tǒng)管理員，負(fù)責(zé)監(jiān)視HMI服務(wù)器的系統(tǒng)狀態(tài)，并對警報和某些事件做出響應(yīng)，使得處理正確運(yùn)行。管理員的典型操作包括為響應(yīng)警報，決定要增加或改變網(wǎng)格拓?fù)浣Y(jié)構(gòu)，并使用備份路徑以防產(chǎn)生新的報警。在管理員的操作中任何錯誤的決定或者延遲都將導(dǎo)致NMCS停止運(yùn)行。因此，將管理員的內(nèi)部濫用攻擊劃分為兩部分：

1) 管理員解決傳入報警的狀態(tài)，包括：① 延遲響應(yīng)攻擊，即無響應(yīng)或延遲反應(yīng)；② 錯誤或不完整響應(yīng)攻擊，即發(fā)送錯誤或不完整的命令/響應(yīng)報警，使得警報不被完全解決，或變得更加嚴(yán)重。

在這種情況下，有可能創(chuàng)建級聯(lián)故障。

2) 管理員試圖創(chuàng)建錯誤配置或關(guān)閉設(shè)備和報警裝置，包括：① 過載攻擊，即錯誤更改拓?fù)浣Y(jié)構(gòu)，這可能會導(dǎo)致系統(tǒng)過載或電源出現(xiàn)大面積故障；② 斷電攻擊，即關(guān)閉設(shè)備電源。

2NMCS內(nèi)部濫用攻擊模型的petri網(wǎng)的表現(xiàn)形式

一個CPN模型是由9元組定義的模型CPN=(P,T,A,∑,V,C,G,E,M0),其中：P={p1，p2，…，pm}表示一組庫所；T={t1，t2，…,tn}表示一組變遷；A?(P×T)∪(T×P)是一組有向弧；∑是一組非空類型(稱為顏色集)；V是有限的類型集，type[v]∈∑；C：P→∑是一個顏色集合函數(shù)，表示庫所p的顏色；G是保衛(wèi)函數(shù)，用來保證變遷t的執(zhí)行性，所以type[G(t)]=Boolean，E是弧的a表達(dá)式函數(shù)，type[E(a)]=C(p)，p是與此弧a相連的下一個庫所；M0為一個初始化函數(shù)，初始化每個變遷p的類型type[I(p)]=C(p)。變遷發(fā)生的條件：① 所有輸入的庫所都有足夠的令牌；② 弧的輸入條件已經(jīng)滿足；③ 變遷的值計算結(jié)果為true。從時延上看變遷有兩種類型：瞬時變遷被表示為黑框；延時變遷被表示為白框。

本文提出的所有模型都是基于CPN的模型，模型代表在控制中心管理員操作行為(命令或攻擊)的NMCS的處理模式。圖2是攻擊-響應(yīng)行為的基本模型結(jié)構(gòu)。

圖2　攻擊-響應(yīng)行為的基本模型結(jié)構(gòu)

2.1報警正常響應(yīng)模型

圖3表示一個熟練的管理員做出正確的響應(yīng)攻擊報警流程。圖3中的庫所和變遷的描述見表1和表2。做出響應(yīng)警報的決策需要耗費(fèi)時間，所以是變遷T1和T2延時變遷，延時的值是決策的時長。基本過程為“收到報警—報警確認(rèn)—下達(dá)指令”。

圖3正確的響應(yīng)攻擊報警流程

庫所P1中的所有令牌都是一次報警，如果管理員做出正確決策，那么報警將刪除，所以在庫所P1的令牌數(shù)量是未響應(yīng)的警報的數(shù)量。

表1　報警正常響應(yīng)模型中庫所的描述

表2　報警正常響應(yīng)模型中變遷的描述

2.2配置錯誤攻擊安全模型

配置錯誤攻擊包括：① 改變網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，可能導(dǎo)致設(shè)備過載、設(shè)備斷電等；② 改變設(shè)備設(shè)置，如因失誤打開或關(guān)閉一些設(shè)備。

改變正常狀態(tài)的開關(guān)配置，可能產(chǎn)生中斷攻擊或過載攻擊，引發(fā)新的報警。圖4為錯誤配置攻擊的安全模型。表3和表4說明了圖4模型描述的庫所和變遷的含義。

圖4　錯誤配置攻擊的安全模型

表3　錯誤配置攻擊安全模型中庫所的含義

表4　錯誤配置攻擊安全模型中變遷的含義

2.3未響應(yīng)攻擊安全模型

在控制中心收到報警時，管理員可以采用以下攻擊方法：無響應(yīng)、延遲響應(yīng)、錯誤響應(yīng)、部分響應(yīng)。上述任何一種行為報警都不能解除，并導(dǎo)致長報警或其他終端產(chǎn)生新的級聯(lián)報警。也有可能因錯誤響應(yīng)導(dǎo)致報警被關(guān)閉，但是警情并沒有解除。圖5為所有4種類型攻擊的無響應(yīng)攻擊安全模型。表5和表6描述了構(gòu)成圖5的Petri網(wǎng)模型的所有庫所和變遷的含義。

圖5　無響應(yīng)攻擊安全模型

表5　無響應(yīng)攻擊安全模型中庫所的含義

表6　無響應(yīng)攻擊安全模型中變遷的含義

此外，在更嚴(yán)重的攻擊中，攻擊者為了隱藏攻擊行為需要關(guān)閉一些報警。在這種情況下，可以通過以下方式模擬攻擊行為的2個參數(shù)：D是無響應(yīng)、延遲響應(yīng)兩種攻擊類型的密度；M是錯誤響應(yīng)、部分響應(yīng)中未被關(guān)閉的報警(繼續(xù)報警)的數(shù)量， (100-M)為被關(guān)閉的報警數(shù)量。

2.4整個系統(tǒng)建模

圖6為使用CPNTOOLS仿真的NMCS在內(nèi)部濫用攻擊中的CPN安全模型。其中庫所P5為服從指數(shù)分布的延時顏色集，變遷T1和T2為延時變遷，其他為瞬時變遷。表7是系統(tǒng)模型的所有3個控制參數(shù)的詳細(xì)描述。

圖6　NMCS在內(nèi)部濫用攻擊中的CPN安全模型

表7　系統(tǒng)模型控制參數(shù)的詳細(xì)描述

3在智能家居系統(tǒng)上的仿真實(shí)驗

為了進(jìn)行模型驗證，提出了一些攻擊方案。通過控制參數(shù)λ，D，M的值來模擬攻擊者的行為。每種仿真場景的控制參數(shù)見表8。所有模擬和仿真采用CPNTOOLS進(jìn)行，同時，每次變遷觸發(fā)時在“消息序列圖”中記錄每一個變遷和庫所的狀態(tài)，用“文件監(jiān)視”工具記錄庫所P1的令牌數(shù)，并生成日志。

表8　每種仿真場景的控制參數(shù)

3.1系統(tǒng)正常響應(yīng)警報

在系統(tǒng)正常響應(yīng)警報的情況下，每次報警都得到響應(yīng)，所以未響應(yīng)的報警數(shù)量始終為0。

3.2配置錯誤攻擊仿真

配置錯誤攻擊未響應(yīng)報警數(shù)見圖7。

圖7　配置錯誤攻擊未響應(yīng)報警數(shù)

3.3無響應(yīng)攻擊仿真

在無響應(yīng)攻擊情況下，假設(shè)參數(shù)D和M的值是80%，即80%的剩余報警為有錯誤或為部分響應(yīng)，以及只有20%的剩余報警是及時和正確的響應(yīng)。在智能家居服務(wù)器上測量警報的數(shù)量，并在圖8中表示出來。可以看出，警報可以得到正確響應(yīng)(警報解除)。

圖8　無響應(yīng)攻擊中的未響應(yīng)報警數(shù)

3.4錯誤配置-無響應(yīng)聯(lián)合攻擊仿真

在這種情況下，管理員同時實(shí)施錯誤配置攻擊和無響應(yīng)的警報攻擊。在智能家居系統(tǒng)服務(wù)器上測量警報數(shù)，結(jié)果見圖9。由圖9可以看到：此時系統(tǒng)的警報將逐漸累積，無法正確響應(yīng)終端上的攻擊報警。因此，系統(tǒng)應(yīng)增設(shè)更高級的級聯(lián)報警，提高響應(yīng)級別，維持系統(tǒng)正常運(yùn)行。

圖9　錯誤配置-無響應(yīng)聯(lián)合攻擊中的響應(yīng)報警數(shù)

4結(jié)論

通過仿真可以得出以下結(jié)論：在錯誤配置攻擊和無響應(yīng)攻擊的單一攻擊中，系統(tǒng)能對攻擊行為進(jìn)行報警響應(yīng)；但對于聯(lián)合攻擊，無法進(jìn)行正常的報警響應(yīng)處理；此外，可以通過調(diào)節(jié)不同的系統(tǒng)控制參數(shù)來改變系統(tǒng)的表現(xiàn)，如控制面板的防誤觸設(shè)計可以顯著降低錯誤配置攻擊的頻率。

5結(jié)束語

本文提出了一種在網(wǎng)絡(luò)化測控系統(tǒng)中模擬處置管理員的內(nèi)部濫用攻擊行為的CPN模型，分別為配置錯誤攻擊安全模型、無響應(yīng)攻擊安全模型。用CPN分析在獲得管理權(quán)限的管理員通過合法命令進(jìn)行攻擊時所產(chǎn)生的威脅，并在仿真中展示了智能家居系統(tǒng)在錯誤配置攻擊、無響應(yīng)攻擊、聯(lián)合攻擊中的響應(yīng)情況，說明了在實(shí)際應(yīng)用系統(tǒng)中將未解決的報警創(chuàng)建為一個新的級聯(lián)報警的必要性。此外還說明：可通過改變控制參數(shù)來分析各種不同類型的網(wǎng)絡(luò)化測控系統(tǒng)對管理員攻擊的影響和表現(xiàn)。

參考文獻(xiàn)：

[1]陳國順,宋新民,馬峻.網(wǎng)絡(luò)化測控技術(shù)[M].北京：電子工業(yè)出版社,2006:5-6.

[2]劉耀崇,巢翌,高艷華.網(wǎng)絡(luò)化測控系統(tǒng)關(guān)鍵技術(shù)研究[J].軟件導(dǎo)刊,2015,14(6):157-160.

[3]MILLER B,ROWE D.A survey SCADA of and critical infrastructure incidents[C]//Proceedings of the 1st Annual conference on Research in information technology.[S.l.]:ACM,2012:51-56.

[4]SHACKELFORD S,RUSSELL S.Operationalizing Cybersecurity Due Diligence:A Transatlantic Comparative Case Study[J].South Carolina Law Review,2016(12):28-30.

[5]CHEUNG S,DUTERTRE B,FONG M,et al.Using model-based intrusion detection for SCADA networks[C]//Proceedings of the SCADA security scientific symposium.Miami:[s.n.],2007:1-12.

[6]CHEN T M,SANCHEZ-AARNOUTSE J C,BUFORD J.Petri net modeling of cyber-physical attacks on smart grid[J].IEEE Transactions on Smart Grid,2011,2(4):741-749.

[7]HENRY M H,LAYER R M,SNOW K Z,et al.Evaluating the risk of cyber attacks on SCADA systems via Petri net analysis with application to hazardous liquid loading operations[C]//HST’09.IEEE Conference on Technologies for Homeland Security.USA:IEEE,2009:607-614.

[8]BOUCHTI A E,HAQIQ A.Modeling cyber-attack for SCADA systems using CoPNet approach[C]//International Conference on Complex Systems (ICCS).USA:IEEE,2012:1-6.

[9]ROBLES R J,CHOI M.Assessment of the vulnerabilities of SCADA,control systems and critical infrastructure systems [J].Assessment,2009,2(2):27-34.

[10]FIAIDHI J,GELOGO Y E.SCADA Cyber Attacks and Security Vulnerabilities:Review[J].SERSC,Research Trend of Computer Science and Related Areas,ASTL,2012,14:202-208.

[11]HAD IOSMANOVI D,BOLZONI D,HARTEL P H.A log mining approach for process monitoring in SCADA[J].International Journal of Information Security,2012,11(4):231-251.

[12]ZHU B,SASTRY S.SCADA-specific intrusion detection/prevention systems:a survey and taxonomy[C]//Proc.of the 1st Workshop on Secure Control Systems (SCS).Stockholm:[s.n.],2010.

[13]BARACALDO N,JOSHI J.An adaptive risk management and access control framework to mitigate insider threats[J].Computers & Security,2013,39:237-254.

[14]RICHARDSON R.CSI computer crime and security survey[J].Computer Security Institute,2008(1):1-30.[15]CHINCHANI R,HA D,IYER A,et al.Insider threat assessment:Model,analysis and tool[M].Network:Springer US,2010:143-174.

(責(zé)任編輯楊黎麗)

Research on Methods of Information Security for Networked Measurement and Control Systems

HU Xiang-dong, LIU Zhu-lin

(College of Automation, Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract:The networked measurement and control system (NMCS) has possible security threats including internal attacks and external attacks such as virs attack and so on. Internal attacks with higher success rate can result in great losses while the external ones with a larger number of attacks but lower success rate. For the internal attacks, we proposed colored petri net (CPN) model, including Petri net (PN) security model for resolving alarms and PN security model for misconfigured attack. Security threat of NMCS was systematically analyzed and we had simulative test for security model under the attack situations of misconfigured attack, unresolved alarms attack and combined attack, taking the smart home network control platform as the example. The results show that platform returns to normal under only the misconfigured attack or only unresolved alarms attack, but stays in abnormal under combined attacks, thus nonresponse alarm should be created into a new advanced cascade alarm.

Key words:networked measurement and control system; information security; colored petri net; security model

收稿日期：2016-02-26

基金項目：國家自然科學(xué)基金資助項目(61170219)；重慶市基礎(chǔ)與前沿研究計劃資助項目(cstcjcyjA40002)

作者簡介：胡向東(1971—)，男，四川人，博士，教授，主要從事網(wǎng)絡(luò)化測控及網(wǎng)絡(luò)空間安全、復(fù)雜系統(tǒng)建模仿真與優(yōu)化研究；劉竹林，女，碩士研究生，主要從事網(wǎng)絡(luò)化測控系統(tǒng)信息安全研究。

doi:10.3969/j.issn.1674-8425(z).2016.05.015

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A

文章編號：1674-8425(2016)05-0081-07

引用格式：胡向東，劉竹林.網(wǎng)絡(luò)化測控系統(tǒng)的信息安全方法研究[J].重慶理工大學(xué)學(xué)報(自然科學(xué))，2016(5):81-87.

Citation format：HU Xiang-dong, LIU Zhu-lin.Research on Methods of Information Security for Networked Measurement and Control Systems[J].Journal of Chongqing University of Technology(Natural Science)，2016(5):81-87.