基于攻擊圖的物理信息系統網絡安全風險評估

王金芳, 郭淵博

(信息工程大學密碼工程學院, 鄭州 450001)

物理信息系統(cyber physical system,CPS)是物理系統和信息系統強耦合的系統,廣泛應用于電網、通信、交通、醫療和國防等關鍵基礎設施領域。CPS依賴于操作技術(operational technology,OT)網絡來實時監測和控制物理基礎設施,而OT網絡和信息技術(information technology,IT)網絡集成,使得傳統的分段和氣隙OT系統與IT系統相互連接,引發了許多網絡安全問題[1]。以電力系統為例,對電力系統進行網絡攻擊會造成嚴重的破壞,導致電力中斷。2015年和2016年烏克蘭電網遭受的網絡攻擊揭示了惡意攻擊者是如何通過未經授權的訪問入侵公司IT網絡、進入OT網絡,干擾電力系統的運行[2-3]。CPS容易受到網絡威脅,因為現有的OT系統的設計沒有考慮到網絡安全問題,OT設備只有有限的網絡安全控制,網絡安全控制可能與OT系統的可用性和實時性需求發生沖突[4]。網絡攻擊對物理信息系統造成的威脅促使人們研究開發精確的CPS模型和方法,以進行影響分析和風險評估。許多CPS風險評估方法包括使用馬爾可夫鏈[5]和貝葉斯網絡[6]進行概率分析,采用蒙特卡羅模擬方法研究最關鍵的攻擊場景[7],根據設備損壞、人員傷亡和環境破壞等定性因素進行影響分析[8]。

目前,CPS在網絡攻擊下的風險評估研究尚處于起步階段,大多只針對OT系統或IT系統一個CPS層的影響進行評估,且很少考慮攻擊行為過程的特點。吳義堯[9]提出一種基于貝葉斯攻擊圖的量化評估方法,對攻擊圖算法進行改進,提出攻擊圖頂點的脆弱性因子概念,實現對各類跨空間連鎖故障危害的定量評估,但在定量評估過程中沒有考慮實際損失。孫子文等[10]提出了一種考慮防護系統作用的工業控制系統網絡安全風險評估方法,采用期望負荷削減量(expected load curtailment,ELC)指標來量化網絡攻擊造成的潛在系統損失。Jha等[11]僅從物理方面對風險進行量化,提出了一種考慮運行和電網風險的配電網風險定量評價方法。Stellios等[12]提出了一種綜合方法來分析和設計給定的CPS網絡安全系統,使用網絡和數據流模型分析網絡系統,識別物理威脅,但沒有考慮攻擊者擁有不同的知識和技能。在此基礎上,Wang等[13]通過關聯算法建立了潛在的攻擊路徑,綜合考慮攻擊者的能力、攻擊行為的特點和目標網絡的特點,分析攻擊路徑的選擇概率,從信息端和物理端建立攻擊動作層和攻擊目標層的影響因素,進而定量分析整個CPS受到攻擊的發生率,但缺乏對網絡攻擊過程的建模。Zhang等[14]提出了一種CBTC系統的網絡安全風險評估方法,根據節點的工作狀態、邊緣的連通性分析移動權限路徑的連通性,引入攻擊圖來量化CBTC網絡世界中多個漏洞的潛在攻擊概率,但在對信息資產進行定量分析的過程中,沒有考慮到業務需求和應用背景造成的信息屬性權重的差異。

綜上所述,CPS的風險評估存在一些問題,如指標選擇和量化過程中考慮的因素不完整,網絡側和物理側風險的量化不準確等。攻擊圖通常基于概率模型,通過檢查已識別的通信網絡漏洞之間的相互依賴性來識別可能的攻擊路徑[15-16]。然而,對關鍵基礎設施的網絡攻擊進行準確的風險評估需要CPS特定領域的攻擊圖,考慮攻擊者的行為,并通過定量標準進行影響分析。

為了解決這一問題,實現對網絡攻擊威脅下CPS脆弱性的定量評估,以一個典型電力系統為例,提出了一種基于CPS領域攻擊圖的物理信息系統定量風險評估方法。首先對物理信息系統進行建模,包括網絡系統建模和電力系統建模;然后,考慮攻擊者的約束條件,包括攻擊者的能力、攻擊行為的特點、成本效益和被攻擊節點的數量,利用攻擊圖建立攻擊行為過程模型完成攻擊路徑的分析和攻擊成功率的計算;最后,從信息側和物理側分析網絡層和電力系統層的影響因素,進而定量分析網絡攻擊對電力系統實時運行的影響,以提高網絡攻擊影響后果分析的全面性和準確性,更好的維持 CPS 的穩定運行。

1 物理信息系統建模

CPS模型捕獲電力系統的動態行為,用于研究網絡攻擊引起的級聯故障。對網絡系統和物理系統進行了建模和協同模擬,建立全面的CPS模型。由此,研究物理電力系統與OT網絡的相互依賴關系。

1.1 網絡系統建模

網絡系統建模如圖1所示,顯示了從站控層到過程層以及與控制中心和發電站的連接,OT系統由兩種類型的網絡組成,分別是數字變電站的局域網(LAN)和用于變電站和控制中心通信的廣域網(WAN)。局域網由各種OT設備組成,如合并單元、路由器、網絡交換機、智能電子設備(intelligent electronic device,IED)、智能終端和工程師工作站等?；贑PS的廣域網去中心化概念[17],其架構由特定的變電站組成,作為其他變電站和控制中心的樞紐,所有的測控報文在變電站和控制中心之間的通信均采用TCP/IP協議。

1.2 電力系統建模

在物理系統層,對發電機的控制方案進行建模,以研究電力系統的動態行為,即調速器和自動電壓調節器(automatic voltage regulator,AVR)。多個協調保護方案為線路和發電機建模,可以在時域仿真中斷開電力系統元素,導致級聯故障。發電機的接口保護方案包括過/欠電壓保護、過/欠頻率保護、頻率變化率、超通量、失步等,保護設置是根據國家電網規范和《交流發電機保護指南》(IEEE C37.102—1996)選擇的[18]。考慮基于低頻率和低電壓條件的減載方案,利用時域仿真分析了電力系統的穩定性和級聯效應。

2 物理信息系統風險評估模型

基于1節的建模方法充分考慮了影響網絡攻擊的因素,對網絡系統和電力系統進行分析,以攻擊斷路器和自動電壓調節器造成的負載損耗和電壓損耗作為物理后果,定量分析了CPS的風險。風險、攻擊可能性以及對CPS的影響之間的關系如式(1)所示。

(1)

2.1 基于攻擊圖的攻擊成功率和攻擊增益計算

攻擊圖可以描述攻擊者成功完成對目標的攻擊路徑,攻擊成功率和攻擊增益計算是從攻擊圖中判斷攻擊者可能選擇最優攻擊路徑的重要依據。將設備作為攻擊圖的狀態節點,設備之間的有向邊代表一個攻擊過程,有向邊利用設備的相關漏洞完成攻擊過程滲透。攻擊圖可以定義為AG=(S,E,P,B,C),其中,S為屬性狀態節點集;E為有向邊的集合;P為單步攻擊成功概率集;Pi為狀態節點Si到Si+1的轉移概率;B為單步攻擊收益,即每次攻擊對系統的威脅;C為單步攻擊的攻擊代價。

2.1.1 單步攻擊成功率和攻擊增益計算

網絡攻擊是一個攻防對抗的過程。攻擊者單步攻擊的成功與否,不僅與節點漏洞本身的固有屬性有關,還與攻擊者掌握的能力程度密切相關。則節點Si上漏洞i被成功攻擊的概率可表示為

(2)

(3)

式(3)中:AVi、ACi、PRi和UIi分別為漏洞在CVSS中基本屬性組的攻擊向量、攻擊復雜度、權限要求和用戶交互,均表示該漏洞的靜態特征得分;REi和EXi分別為漏洞的補丁修復程度和漏洞暴露程度,表示該漏洞的動態特征得分;ω、δ、γ、ξ、θ、λ分別為不同因素對漏洞被成功利用概率影響的權重。

在CVSS評分標準中取值如表1所示。其中攻擊向量有4種取值,由低到高依次表示攻擊者可以通過遠程網絡/需要從位于同一物理或邏輯網絡中的主機上/通過本地或依靠另一個攻擊者的用戶交互/接觸或操作易受攻擊的組件利用該漏洞發起攻擊;攻擊復雜度有3種取值,由低到高依次表示攻擊復雜度的增加;權限要求有3種取值,由低到高依次表示對權限要求的增加;用戶交互包括不需要任何用戶交互和需要用戶交互才能利用該系統兩種取值。

表1 靜態特征取值范圍Table 1 Static feature value range

對于漏洞修復程度REi及漏洞暴露程度EXi,可以使用Weibull分布和Pareto分布進行計算,計算公式分別為

(4)

(5)

式中:Ti為漏洞i的發布時長;α、β分別為Weibull分布和Pareto分布的參數。

(6)

式(6)中:k為攻擊者對知識的熟練程度,且k∈[0,1];Ni為漏洞的總數;t為攻擊者對漏洞i的攻擊次數。

單步攻擊增益是攻擊者發起每一步攻擊所獲得的收益,可表示為

(7)

式(7)中:BSi和BSi+1分別為入侵系統節點Si和Si+1對網絡的威脅值,即節點Si到Si+1的單步攻擊增益;CSi為節點Si的可利用漏洞i的攻擊復雜度,取值范圍為[1,10],即攻擊節點Si的攻擊代價。

2.1.2 累積攻擊成功率和攻擊增益計算

在攻擊圖中,一個頂點能夠到達目標的必要條件是其所依賴的其他頂點已經到達。因此,除了路徑的起始頂點,其他頂點都需要對單個概率進行累積。頂點之間有兩種因果關系,即析取關系和合取關系。為了成功攻擊目標節點,通過遍歷攻擊圖中的每條攻擊路徑,根據攻擊圖節點的析取關系和合取關系分別進行概率計算,得到成功攻擊目標的概率為

(8)

單步累積攻擊增益是攻擊者通過多次入侵學習,從節點Si入侵到節點Sn獲得的攻擊增益,如公式(9)所示。

(9)

2.2 網絡攻擊的后果

在評估CPS的風險時,不僅需要評估網絡系統的損失,還需要評估攻擊對實際電力系統造成的故障損失。

2.2.1 網絡系統層的影響

網絡攻擊的本質是利用安全漏洞破壞通信設備信息的保密性、完整性和可用性,從而破壞電力系統的正常運行[20]。通過從控制中心發送到間隔層OT設備的數據包時延來評估網絡攻擊對CPS通信網絡的影響。影響OT網絡流量的特定攻擊會增加通信延遲,如DoS (denial-of-service)攻擊。網絡系統層的影響后果計算公式為

(10)

式(10)中:Ccs為網絡系統層的影響后果;Nsubstations為第n個變電站;RTTavg,i為第i個數據包的平均往返時延;Tmargin為可接受的最小延遲,通常在數百毫秒范圍以內[21]。

2.2.2 電力系統層的影響

分析網絡攻擊前后電力系統的狀態,計算對電力系統運行的整體影響,計算公式為

Cps=ω1Cl+ω2Cv

(11)

式(11)中:ω1、ω2分別為經驗加權因子,范圍為[0,100];Cl、Cv分別為電力系統影響因素負載損耗和電壓偏差,其計算公式分別為

(12)

(13)

2.2.3 電力系統恢復因子

電力系統恢復是一個多階段、復雜的優化問題,其恢復時間取決于向非黑啟動機組提供的啟動功率。定義一個電力系統恢復因子,以量化在網絡攻擊后恢復電力系統所需的努力,如式(14)所示,考慮了發電機組的斷開以及發電容量和類型。

(14)

式(14)中:Fre為電力系統恢復因子;Ngenerator為第n個發電機;Pnominal,i為發電機i的標稱容量;Ptotal為電力系統總裝機容量;ai為發電機斷路器狀態,即1代表斷路器狀態為開;T初始化為0,并根據斷開的發電機類型計算,計算公式為

(15)

式(15)中:T′i為發電機i的恢復索引。

斷開連接的發電機組的同時恢復程序開始,電力系統恢復指標由發電機最大恢復指標給出。具有黑啟動能力的發電機組,如水力發電廠恢復指數為0.5,而火電廠的恢復指數為0.8。與相鄰電網對接的恢復指標為1,因為重新同步需要在電力系統恢復完成后才能啟動。

3 仿真與結果分析

利用Mininet和DIgSILENT PowerFactory對IEEE 14節點信息網絡進行仿真實驗,搭建的拓撲結構如圖2所示。對發電機的多種保護方案進行建模,包括過/欠電壓保護、過/欠頻率保護、失步和過載保護,對負載實施了低頻率和低電壓減載方案,保護設置是根據國家電網規范和IEEE C37.102發電機保護標準選擇的。根據時域仿真實時計算并分析由網絡攻擊引發的級聯故障和系統動態。

PowerFactory為電力系統模擬軟件;Ubuntu為Ubuntu系統;Mininet為網絡模擬軟件;Interface for PowerFactory為PowerFactory的接口;OPC UA Server為OPC UA服務器,用于連接電力系統和網絡系統;Python Interface為Python接口圖2 物理信息系統聯合仿真圖Fig.2 Cyber physical system co-simulation diagram

物理信息系統聯合仿真的網絡用于模擬由路由器、交換機、主機以及人機界面組成的11個變電站。Mininet仿真由廣域網和局域網組成的網絡系統模型,模擬CPS網絡流量,使用Wireshark等開源工具監控和分析報文。網絡和物理的電力系統測量和控制設定值等數據使用開放平臺OPC UA統一架構進行實時通信。智能電子設備、控制中心單元以及合并單元等使用Mininet建模,使用TCP/IP協議將電力系統測量數據傳輸到控制中心。各節點存在的漏洞信息如表2所示,各屬性從國家漏洞數據庫(National Vulnerability Database,NVD)中獲取。

表2 各節點存在漏洞信息Table 2 Vulnerability information exists on each node

以2號變電站和3號變電站為例,協同網絡攻擊發生在兩個變電站上。文獻[22]對電力系統多個位置上協同網絡攻擊產生的影響進行了討論。使用多主機、多階段漏洞分析(multi-host multi-stage vulnerability analysis,MulVAL)工具對數字變電站的局域網和用于變電站和控制中心通信的廣域網進行建模并生成攻擊圖以及達到目標所產生的攻擊路徑如圖3所示,假設攻擊者的入口點在2號變電站的局域網內,攻擊者通過2號變電站的路由器訪問其廣域網,發現并破壞3號變電站的網關路由器,導致2號和3號變電站的以太網交換機、智能電子設備、合并單元等OT資產受損。網絡攻擊步驟如下。

Router為路由器;HubSubstation Gateway為變電站網關;Ethernet Switch為以太網交換機;Operator Console為操作員控制臺;Controller為控制器;HMI Interface為HMI人機界面;IED為智能電子設備;AVR為自動電壓調節器;Circuit Breaker為斷路器圖3 物理信息系統攻擊圖Fig.3 Cyber physical system attack graph

步驟1首先操縱2號變電站上發電機的電壓設定值。

步驟2其次打開線路3-8的斷路器。

步驟3對3號變電站的網關路由器發起DoS攻擊。DoS攻擊影響控制中心與所有通過集線器連接的變電站之間的通信,對2、3、6和11號變電站的監控產生影響,并增加延遲。

上述網絡攻擊對電力系統的運行產生重大影響,導致級聯故障。

根據生成的攻擊圖來計算每種攻擊場景的攻擊成功率以及變電站的網絡層和物理層風險指標。

假設攻擊者水平等同于專家水平且管理員沒有采取任何緩解措施來減輕網絡攻擊的影響。計算結果如表3所示。

表3 不同目標風險量化值Table 3 Quantified values of different target risks

由實驗結果可知,攻擊斷路器的物理風險影響很大,但對網絡層的影響相對較小,因為整個通信系統中只有有限的區域受到DoS攻擊的影響。由此可見,綜合網絡層和物理層進行風險評估是很有必要的。

4 結論

物理信息系統的脆弱性及其風險評估是威脅控制的重要基礎。采用CPS領域的攻擊圖并綜合信息側和物理側對物理信息系統進行風險評估,得出如下主要結論。

(1)針對物理信息系統特殊的結構和安全需求生成的CPS領域攻擊圖,并考慮攻擊者的能力、攻擊行為的特點和目標網絡的特點,實現攻擊場景的攻擊成功率和收益的高效精準計算,對物理信息系統的評估更為準確。

(2)綜合信息側和物理側的風險對物理信息系統進行整體建模,分別從信息側和物理側定量分析物理信息系統的影響因子。相比于現有的風險評估模型,本文模型的風險評估結果更符合實際情況,更適合于物理信息系統的網絡安全風險評估。

(3)通過對IEEE 14節點信息網絡進行仿真實驗,分別對攻擊斷路器和自動電壓調節器兩種攻擊場景進行分析和評估,驗證了所提方法的有效性和準確性。

(4)下一步將主要研究如何在風險評估過程中考慮緩解措施的實施以及操作員的補救行為,建立更加完善的物理信息系統風險評估體系。