工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)
《工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)》由會(huì)員分享,可在線閱讀,更多相關(guān)《工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)(76頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
XX 大學(xué)畢業(yè)設(shè)計(jì)(論文)題 目: 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)學(xué) 院: 測(cè)試與光電工程學(xué)院專(zhuān)業(yè)名稱(chēng): 測(cè)控技術(shù)與儀器班級(jí)學(xué)號(hào): 學(xué)生姓名: 指導(dǎo)教師: 二 Oxx 年六月工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)摘要:隨著通信網(wǎng)絡(luò)技術(shù)和ICS的發(fā)展,ICS的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,其所具有的特點(diǎn),如連接性、開(kāi)放性、復(fù)雜性等,使得安全問(wèn)題也變得日益嚴(yán)峻;此外,近年來(lái)安全事故的發(fā)生不斷呈現(xiàn)上升趨勢(shì),且ICS網(wǎng)絡(luò)一旦遭受攻擊與破壞,其帶來(lái)的后果可能是如爆炸、供電系統(tǒng)癱瘓等嚴(yán)重后果。因此本文提出了工控系統(tǒng)安全態(tài)勢(shì)感知技術(shù),它將工控系統(tǒng)作為一個(gè)整體,關(guān)注整個(gè)控制過(guò)程,為工控系統(tǒng)當(dāng)前的狀態(tài)以及可能受到的攻擊做出態(tài)勢(shì)評(píng)估,給管理員提供了可靠、有效的決策依據(jù),最大限度得降低了工控系統(tǒng)中可能存在的風(fēng)險(xiǎn)與損失:1) 本文主要針對(duì)工控系統(tǒng)中常見(jiàn)的完整性攻擊,給出攻擊模型,將其作為本文主要研究對(duì)象;通過(guò)研究傳統(tǒng)的“拜占庭將軍問(wèn)題理論”的思想,并將其運(yùn)用于工控系統(tǒng)的安全態(tài)勢(shì)感知分析中;在研究了工控系統(tǒng)控制過(guò)程特點(diǎn)的基礎(chǔ)上,提出了一個(gè)工控系統(tǒng)安全態(tài)勢(shì)感知模型,并研究了工控系統(tǒng)安全態(tài)勢(shì)感知算法。2) 提出了工控系統(tǒng)物理層節(jié)點(diǎn)狀態(tài)變化間一致性的概念;簡(jiǎn)要得對(duì)節(jié)點(diǎn)信息的采集進(jìn)行了介紹,對(duì)獲取的節(jié)點(diǎn)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,獲得其內(nèi)在信息,確定系統(tǒng)狀態(tài);并在分析物理層節(jié)點(diǎn)狀態(tài)變化的基礎(chǔ)上,依據(jù)節(jié)點(diǎn)狀態(tài)變化之間的內(nèi)在一致性,對(duì)節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行判斷,確定節(jié)點(diǎn)序列,及惡意節(jié)點(diǎn)。3) 以“提餾段溫度單回路控制系統(tǒng)”為研究對(duì)象,進(jìn)行了 Matlab 仿真實(shí)驗(yàn),驗(yàn)證節(jié)點(diǎn)狀態(tài)變化的一致性;并通過(guò)模擬完整性攻擊,將實(shí)驗(yàn)結(jié)果與攻擊者的攻擊目的進(jìn)行對(duì)比,驗(yàn)證了本文提出的工控系統(tǒng)安全態(tài)勢(shì)感知模型及算法的正確性和有效性。關(guān)鍵詞:工業(yè)控制系統(tǒng) 安全態(tài)勢(shì)感知 拜占庭將軍問(wèn)題 節(jié)點(diǎn)序列 節(jié)點(diǎn)狀態(tài) 一致性 惡意節(jié)點(diǎn)Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; whats worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model,which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword: industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目 錄1 緒論 .11.1 課題背景與意義 .11.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò) .21.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知 .51.4 本文主要工作內(nèi)容 102 模型建立與算法研究 .122.1 完整性攻擊模型 122.2 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究 132.3 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究 132.4 本章小結(jié) 213 節(jié)點(diǎn)信息采集與處理 213.1 物理層節(jié)點(diǎn)狀態(tài)信息采集 213.2 物理層節(jié)點(diǎn)信息處理 253.3 本章小結(jié) 284 MATLAB 仿真實(shí)驗(yàn)與理論驗(yàn)證 294.1 安全態(tài)勢(shì)感知研究對(duì)象 294.2 仿真模型建立與驗(yàn)證 304.3 完整性攻擊態(tài)勢(shì)感知仿真驗(yàn)證 404.4 本章小結(jié) 455 總結(jié)與展望 465.1 本文總結(jié) 465.2 工作展望 46參考文獻(xiàn) .48致 謝 .50附錄 物理層節(jié)點(diǎn)攻擊序列判斷 MATLAB 程序 .511工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)1 緒論1.1 課題背景與意義各類(lèi)工控技術(shù)已廣泛應(yīng)用于國(guó)家基礎(chǔ)設(shè)施,并對(duì)其安全產(chǎn)生較大影響,此外,由于工控系統(tǒng)的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,我們將基于工控系統(tǒng)的網(wǎng)絡(luò)稱(chēng)為工控系統(tǒng)網(wǎng)絡(luò) 1。遭受到攻擊或產(chǎn)生了破壞的工業(yè)控制網(wǎng)絡(luò),極易發(fā)生災(zāi)難性的安全事故,以 1996 年的南卡羅來(lái)納州油管爆裂事故為例,攻擊者對(duì)系統(tǒng)施加了完整性攻擊,不僅導(dǎo)致了周邊環(huán)境的嚴(yán)重破壞,同時(shí)也產(chǎn)生了超過(guò)兩千萬(wàn)美元的損失 2。近年來(lái)工控系統(tǒng)安全事故頻發(fā),且其不斷呈現(xiàn)上升趨勢(shì) 3如下圖 1.1 所示:圖 1.1 ICS-CERT 歷年的公布工控安全事件統(tǒng)計(jì)分析此外,由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)不斷廣泛得采用開(kāi)放式平臺(tái)和通信協(xié)議,ICS 系統(tǒng)的連接性、開(kāi)放性、復(fù)雜性不斷提升,其安全問(wèn)題也變得日益嚴(yán)峻,工業(yè)控制網(wǎng)絡(luò)中存在的脆弱性也被潛在的攻擊者攻擊利用。且由于 ICS 網(wǎng)絡(luò)與IT 網(wǎng)絡(luò)之間存在著如性能和功能需求、安全體系不同、可用性和可靠性需求不同等的本質(zhì)差異,使得當(dāng)前 ICS 系統(tǒng)及 ICS 網(wǎng)絡(luò)的防護(hù)不同與一般 IT 網(wǎng)絡(luò)防護(hù),并存在一定困難,進(jìn)而使得依靠單一傳統(tǒng)的信息網(wǎng)絡(luò)安全技術(shù),如:安全網(wǎng)關(guān)/網(wǎng)橋、防火墻等無(wú)法實(shí)現(xiàn)多層級(jí)與多級(jí)別的網(wǎng)絡(luò)安全防護(hù)需求。2本研究針對(duì)上述問(wèn)題,提出了 ICS 系統(tǒng)安全態(tài)勢(shì)感知模型及算法,在對(duì)ICS 系統(tǒng)的當(dāng)前狀況進(jìn)行安全態(tài)勢(shì)評(píng)估的基礎(chǔ)上,對(duì)系統(tǒng)正面對(duì)或即將面臨的攻擊及入侵做出判斷,并最終對(duì)安全態(tài)勢(shì)結(jié)果進(jìn)行等級(jí)劃分,以呈現(xiàn) ICS 系統(tǒng)的當(dāng)前安全態(tài)勢(shì),給決策者提供切實(shí)可靠、實(shí)時(shí)的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的安全。1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)1.2.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)簡(jiǎn)介工業(yè)控制系統(tǒng)經(jīng)歷了以 420mA 為代表的模擬信號(hào)傳輸、以內(nèi)部數(shù)字信號(hào)和RS-232、RS-485 為代表的數(shù)字通信傳輸、以包括現(xiàn)場(chǎng)總線、工業(yè)以太網(wǎng)、工業(yè)無(wú)線網(wǎng)絡(luò)的控制網(wǎng)絡(luò)為代表的網(wǎng)絡(luò)傳輸?shù)娜齻€(gè)階段的工控系統(tǒng)變革;當(dāng)前,工業(yè)控制網(wǎng)絡(luò)在企業(yè)自動(dòng)化系統(tǒng)的核心技術(shù)領(lǐng)域有相當(dāng)廣泛的應(yīng)用,而現(xiàn)場(chǎng)總線技術(shù)和工業(yè)以太網(wǎng)技術(shù)是工業(yè)控制網(wǎng)絡(luò)的主要代表技術(shù)。此外,工業(yè)控制網(wǎng)絡(luò)在性能上有著自身獨(dú)特的性能 4:1) 系統(tǒng)的實(shí)時(shí)性響應(yīng)控制系統(tǒng)的最基本要求是 ICS 網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)募皶r(shí)性以及系統(tǒng)響應(yīng)的實(shí)時(shí)性。所謂實(shí)時(shí)性是指控制系統(tǒng)可在較短并可預(yù)測(cè)確定的時(shí)間內(nèi),完成過(guò)程參數(shù)采集、加工處理等一系列完整過(guò)程,并且執(zhí)行時(shí)序滿足過(guò)程控制對(duì)時(shí)間限制的要求。若系統(tǒng)無(wú)法滿足實(shí)時(shí)性要求,即無(wú)法及時(shí)得對(duì)控制對(duì)象進(jìn)行調(diào)節(jié),將會(huì)造成控制系統(tǒng)崩潰,甚至產(chǎn)生嚴(yán)重的安全事故。2) 開(kāi)放性開(kāi)放性是指通信協(xié)議公開(kāi),不同廠商的設(shè)備之間可以相互連通成為設(shè)備,以實(shí)現(xiàn)信息交換,遵循同一網(wǎng)絡(luò)協(xié)議的測(cè)量控制設(shè)備能夠進(jìn)行互操作與互用。3) 極高的可靠性3工控網(wǎng)絡(luò)的高可靠性往往包括三方面:可使用性好,即網(wǎng)絡(luò)自身不易發(fā)生故障;容錯(cuò)能力強(qiáng),即當(dāng)網(wǎng)絡(luò)系統(tǒng)局部單元出現(xiàn)故障時(shí),不會(huì)影響整體系統(tǒng)的工作;可維護(hù)性強(qiáng),即在故障發(fā)生后能及時(shí)發(fā)現(xiàn)并處理,通過(guò)維修恢復(fù)網(wǎng)絡(luò)。4) 良好的惡劣環(huán)境適應(yīng)能力由于控制網(wǎng)絡(luò)的工作環(huán)境往往比較惡劣,如溫度與濕度變化大、粉塵污染、電磁干擾大等,因此工業(yè)控制網(wǎng)絡(luò)設(shè)備需要經(jīng)過(guò)嚴(yán)格的設(shè)計(jì)和測(cè)試,保證其能適應(yīng)惡劣的工作環(huán)境,滿足環(huán)境要求。5) 安全性工業(yè)自動(dòng)化網(wǎng)絡(luò)包含了生產(chǎn)安全和信息安全兩方面;生產(chǎn)安全是指工業(yè)自動(dòng)化網(wǎng)絡(luò)中的控制設(shè)備具有本質(zhì)安全的性能,利用安全柵欄技術(shù),對(duì)提供給現(xiàn)場(chǎng)儀表的電能量限制在安全范圍內(nèi);而信息安全主要是指信息本身的保密性、完整性以及信息來(lái)源和去向的可靠性,這是整個(gè)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)必不可少的重要組成部分。1.2.2 工控系統(tǒng)常見(jiàn)攻擊簡(jiǎn)介工控系統(tǒng)在網(wǎng)絡(luò)上的廣泛應(yīng)用,使其呈現(xiàn)出與 IT 網(wǎng)絡(luò)相似的脆弱性與漏洞,這也使得攻擊者對(duì)工控系統(tǒng)有了更多可乘之機(jī) 5。攻擊者的攻擊目標(biāo)往往可分為以下幾類(lèi) 6:節(jié)點(diǎn)信息流被破壞;對(duì)工控系統(tǒng)設(shè)備造成影響與破壞;對(duì)系統(tǒng)自身設(shè)定的安全設(shè)置進(jìn)行更改與破壞。常見(jiàn)的攻擊有:1) IP 欺騙:攻擊者通過(guò)仿造IP地址,對(duì)目標(biāo)計(jì)算機(jī)發(fā)送信息,計(jì)算機(jī)接收到信息后,判定該信息是來(lái)自于主機(jī)的信息,此時(shí),攻擊成功,攻擊者與計(jì)算機(jī)之間建立連接。 。常見(jiàn)的攻擊類(lèi)型有:Non-Blind Spoofing攻擊是當(dāng)攻擊者與攻擊目標(biāo)處于同一個(gè)子網(wǎng)中時(shí),攻擊者避開(kāi)其他認(rèn)證標(biāo)準(zhǔn),建立與攻擊目標(biāo)之間的連接;Blind Spoofing攻擊是在攻擊者無(wú)法事先獲取序列號(hào)的情況下,通過(guò)與計(jì)算機(jī)之4間的連接獲取序列號(hào)信息;Connection Hijacking 攻擊者截取兩個(gè)主機(jī)之間的合法信息,并刪除或更改由一方發(fā)送給另一方的信息。IP欺騙攻擊的目的是通過(guò)對(duì)IP地址的偽造,獲取與主機(jī)的連接。2) 拒絕服務(wù)攻擊(Denial of Service, Dos)網(wǎng)絡(luò)往往具有有限的資源與帶寬,攻擊者利用這一特點(diǎn),以過(guò)度占用資源的方式,使得主機(jī)無(wú)法正常工作。其主要攻擊類(lèi)型有以下幾種:TCP SYNFlood攻擊通過(guò)破壞協(xié)議,大量占用網(wǎng)絡(luò)資源,導(dǎo)致主機(jī)癱瘓;land 攻擊通過(guò)向設(shè)備發(fā)送數(shù)據(jù)包,使得存在漏洞的設(shè)備受到攻擊無(wú)法正常運(yùn)行;ARP 欺騙該攻擊的主要目標(biāo)是對(duì)主機(jī)的網(wǎng)絡(luò)產(chǎn)生中斷影響,或形成中間人攻擊。該攻擊方式能截獲所在網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息,并進(jìn)一步造成網(wǎng)內(nèi)其他計(jì)算機(jī)通信故障;ICMP Smurf 攻擊 利用 IP 協(xié)議的直接廣播特性,攻擊者偽造目標(biāo) IP 地址,并在網(wǎng)絡(luò)上廣播 ICMP 響應(yīng)請(qǐng)求,從而使得目標(biāo)主機(jī)大量回復(fù)請(qǐng)求、耗盡資源,無(wú)法使合法的用戶正常訪問(wèn)服務(wù)器;Ping of Death 攻擊發(fā)送 ICMP 響應(yīng)請(qǐng)求、多個(gè)分段數(shù)據(jù),使系統(tǒng)在接收到全部分段并重組報(bào)文時(shí)總的長(zhǎng)度超過(guò)了系統(tǒng)允許的最大數(shù)據(jù)包字節(jié),從而導(dǎo)致內(nèi)存溢出,主機(jī)因內(nèi)存分配錯(cuò)誤而導(dǎo)致 TCP/IP 堆棧崩潰,從而死機(jī); UDP Flood 攻擊攻擊者發(fā)送大量 UDP 報(bào)文到目標(biāo)系統(tǒng)的隨機(jī)端口,若此時(shí)有足夠的 UDP 報(bào)文發(fā)送到目標(biāo)系統(tǒng)的所有端口,將導(dǎo)致目標(biāo)系統(tǒng)死機(jī);Tear drop 攻擊通過(guò)在報(bào)文中插入錯(cuò)誤信息,當(dāng)報(bào)文重新組裝時(shí),導(dǎo)致數(shù)據(jù)包過(guò)長(zhǎng)溢出。1.2.3 國(guó)內(nèi)外工控系統(tǒng)安全的研究狀況工控系統(tǒng)的安全與我們的生活息息相關(guān),許多歐美國(guó)家從上個(gè)世紀(jì)開(kāi)始關(guān)注廣泛關(guān)注工控系統(tǒng)安全問(wèn)題:2003 年,美國(guó)負(fù)責(zé)發(fā)展控制系統(tǒng)安全防護(hù)能源部能源保證辦公室(Office of Energy Assurance, Dept. of Energy)公布了“改進(jìn)控制系統(tǒng)信息安全的 21個(gè)步驟”報(bào)告 8,其羅列出了 21 項(xiàng)主要內(nèi)容;Krutz 也在文獻(xiàn) 9中總結(jié)并提出了“SCADA 網(wǎng)絡(luò)安全的 21 個(gè)步驟總結(jié)圖 ”,如下圖 1.2 所示:5圖 1.2 SCADA 網(wǎng)絡(luò)安全的 21 個(gè)步驟總結(jié)圖美國(guó)商務(wù)部也通過(guò)美國(guó)標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定了 “工業(yè)控制系統(tǒng)防護(hù)概況” 、 “工業(yè)控制系統(tǒng) IT 安全”等一系列安全防護(hù)標(biāo)準(zhǔn),從工控系統(tǒng)漏洞、風(fēng)險(xiǎn)、評(píng)估、防護(hù)等多方面對(duì)安全防護(hù)體系進(jìn)行了詳細(xì)描述;此外,在工業(yè)控制系統(tǒng)仿真平臺(tái)建設(shè)方面,美國(guó)能源部下屬的 Idaho 國(guó)家實(shí)驗(yàn)室已經(jīng)建立了(National SCADA Test Bed)國(guó)家工業(yè)控制系統(tǒng)測(cè)試床;同時(shí),加拿大的英屬哥倫比亞理工學(xué)院(British Columbia Institute of Technology)等也建立了SCADA 測(cè)試床。測(cè)試床的構(gòu)建目的是為工控系統(tǒng)的安全評(píng)估建立正式的測(cè)試環(huán)境,以獲取可靠、準(zhǔn)確的測(cè)試結(jié)果 10。我國(guó)對(duì)工控系統(tǒng)安全的重視程度也不斷升高,工業(yè)和信息化主管部門(mén)發(fā)布了關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知 (工信部協(xié)【2011】451 號(hào)文)11,通知中將工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估列入的工作重點(diǎn)。同時(shí),國(guó)家發(fā)改委也于 2012 年在信息安全專(zhuān)項(xiàng)中支持工控信息安全服務(wù)方面的產(chǎn)業(yè)化項(xiàng)目。國(guó)內(nèi)的工控系統(tǒng)信息安全保障工作開(kāi)始進(jìn)入實(shí)質(zhì)性階段。61.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知1.3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知簡(jiǎn)介態(tài)勢(shì)感知(Situation Awareness, SA)概念源于航天飛行中對(duì)人因的研究。1988 年, Endsley12提出了態(tài)勢(shì)感知的定義,將重點(diǎn)放在“獲取” 、 “理解” 、 “預(yù)測(cè)”上進(jìn)行研究,并提出了態(tài)勢(shì)感知的三級(jí)模型,如下圖 1.3 所示:圖 1.3Endsley 態(tài)勢(shì)感知三級(jí)模型Tim Bass13于 1999 年提出了網(wǎng)絡(luò)態(tài)勢(shì)感知 (Cyber Situation Awareness, CSA) 的概念。網(wǎng)絡(luò)態(tài)勢(shì)是通過(guò)觀察網(wǎng)絡(luò)內(nèi)部信息及系統(tǒng)狀態(tài)的改變,來(lái)獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)并對(duì)網(wǎng)絡(luò)未來(lái)狀態(tài)進(jìn)行預(yù)測(cè) 14,網(wǎng)絡(luò)態(tài)勢(shì)感知是指通過(guò)對(duì)影響網(wǎng)絡(luò)因素的獲取,對(duì)其進(jìn)行分析處理,最后幫助決策者獲取可靠的決策依據(jù)。 對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security Situation Awareness, NSSA)的概念,有以下理解:1) 從管理員的角度:網(wǎng)絡(luò)管理人員通過(guò)人機(jī)交互界面對(duì)當(dāng)前網(wǎng)絡(luò)狀況的認(rèn)知程度。2) 獲取影響網(wǎng)絡(luò)安全的因素,對(duì)其進(jìn)行分析,判斷當(dāng)前網(wǎng)絡(luò)狀態(tài),并進(jìn)行預(yù)測(cè)。通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行態(tài)勢(shì)感知能獲取整體網(wǎng)絡(luò)安全態(tài)勢(shì),并在很大程度上降低由于攻擊帶來(lái)的風(fēng)險(xiǎn)與破壞。71.3.2 國(guó)內(nèi)外基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況數(shù)據(jù)挖掘技術(shù)能從當(dāng)前網(wǎng)絡(luò)的海量、隨機(jī)、不完全的數(shù)據(jù)中挖掘出有用的信息,并能給出隱含于數(shù)據(jù)中,潛在未知的信息,構(gòu)建出實(shí)用、有價(jià)值的數(shù)據(jù)模式,并形成用于檢測(cè)各類(lèi)已知與未知攻擊的檢測(cè)模型。數(shù)據(jù)挖掘技術(shù)最早被美國(guó)哥倫比亞大學(xué)的Wenke Lee 7等人引入到入侵檢測(cè)領(lǐng)域,同時(shí),他們也提出了用于入侵檢測(cè)的數(shù)據(jù)挖掘框架,如圖1.4所示。數(shù)據(jù)挖掘技術(shù)現(xiàn)也已逐步應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。圖 1.4 入侵檢測(cè)的數(shù)據(jù)挖掘框架數(shù)據(jù)挖掘包含四種分析方法,根據(jù)對(duì)象來(lái)分:在用于模式變化與規(guī)律尋求上關(guān)聯(lián)分析和序列模式分析;在用于最后的檢測(cè)模型上分類(lèi)分析和聚類(lèi)分析。a) 關(guān)聯(lián)分析的目的是尋找數(shù)據(jù)與數(shù)據(jù)之間內(nèi)在的聯(lián)系,常用算法有 Apriori算法。b) 序列分析用于發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性,主要常用算法有兩種:Count-all 算法和 Count-some 算法。c) 分類(lèi)分析用于提取數(shù)據(jù)庫(kù)中數(shù)據(jù)項(xiàng)的特征屬性,生成分類(lèi)模型,常用的模型主要由四種:決策樹(shù)模型、貝葉斯分類(lèi)模型、神經(jīng)網(wǎng)絡(luò)模型。8b) 聚類(lèi)分析是將數(shù)據(jù)對(duì)象中類(lèi)似的項(xiàng)目進(jìn)行分類(lèi)并進(jìn)行評(píng)估。在數(shù)據(jù)挖掘的方法中,關(guān)聯(lián)分析方法的使用相較其他方法更為普遍,如2006 年,Cristina Abad 等人提出了基于 UCLog+的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,它能夠?qū)崿F(xiàn)對(duì)相關(guān)安全數(shù)據(jù)的關(guān)聯(lián)分析;同年,趙國(guó)生等人提出基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估方法,該方法能實(shí)現(xiàn)網(wǎng)絡(luò)可生存性態(tài)勢(shì)定量評(píng)估。盡管當(dāng)前數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域有較廣泛的應(yīng)用與良好的發(fā)展前景,但仍有一些問(wèn)題有待解決,如數(shù)據(jù)訓(xùn)練的不易、從大量數(shù)據(jù)中進(jìn)行挖掘,資源開(kāi)銷(xiāo)較大等。1.3.3 國(guó)內(nèi)外基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況數(shù)據(jù)融合技術(shù)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心技術(shù),其出現(xiàn)于 20 世紀(jì) 80 年代,當(dāng)前作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知最為廣泛的技術(shù),它能將來(lái)自網(wǎng)絡(luò)中的多源信息進(jìn)行集成,從而獲得當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì),并有助于預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)。數(shù)據(jù)融合的定義是由美國(guó)國(guó)防部的實(shí)驗(yàn)室理事聯(lián)合會(huì)(Joint Directors of Laboratories, JDL)給出的,他們從軍事的角度出發(fā)對(duì)其做出定義,同時(shí)提出了JDL 模型 15,如圖 1.5 所示。圖 1.5 JDL 模型9Tim Bass 首先提出了將 JDL 模型直接應(yīng)用于網(wǎng)絡(luò)態(tài)勢(shì)感知,這為數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ);當(dāng)前,JDL 模型也被眾多研究者應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究中。韋勇等 16針對(duì)網(wǎng)絡(luò)系統(tǒng)多源的特點(diǎn)提出了一個(gè) NSSA 的融合框架,如圖 1.6所示。圖 1.6 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估框架實(shí)驗(yàn)表明,為了更有效得獲取測(cè)試結(jié)果,基于多源的 NSSA 模型更為準(zhǔn)確高效;他還針對(duì)普遍存在的技術(shù)問(wèn)題,并提出了相應(yīng)的解決方法,如:所采用的量化算法存在一定缺陷,導(dǎo)致量化結(jié)果與實(shí)際結(jié)果出現(xiàn)偏差利用改進(jìn)的D-S 證據(jù)理論,將多數(shù)據(jù)源態(tài)勢(shì)信息進(jìn)行融合 ,利用漏洞及服務(wù)信息,經(jīng)過(guò)態(tài)勢(shì)要素融合和節(jié)點(diǎn)態(tài)勢(shì)融合計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì);一些態(tài)勢(shì)評(píng)估方法無(wú)法對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)因此,采用了時(shí)間序列分析的方法對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),以期實(shí)現(xiàn)以量化的方式評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)及預(yù)測(cè)。然而存在的不足是:安全態(tài)勢(shì)指標(biāo)及其表示方法不夠全面;未考慮網(wǎng)絡(luò)安全態(tài)勢(shì)可視化等。陳秀真等 17提出了層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估模型,如圖 1.7 所示,該模從上至下分為 3 個(gè)部分,依次為:服務(wù)、主機(jī)及網(wǎng)絡(luò)系統(tǒng)。該模型的創(chuàng)新點(diǎn)在于:一方面,能為網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的判斷提供直觀準(zhǔn)確的判斷依據(jù);另一方面,態(tài)勢(shì)感知的結(jié)果能有效預(yù)測(cè)未來(lái)網(wǎng)絡(luò)發(fā)展的變化趨勢(shì)。10盡管文中對(duì)網(wǎng)絡(luò)中信息的變化進(jìn)行了監(jiān)控與分析,并部分反映出了網(wǎng)絡(luò)運(yùn)行的狀況,然而依然無(wú)法對(duì)網(wǎng)絡(luò)的整體狀況進(jìn)行全面有效得反映;因此,并不適用于多網(wǎng)段的局域網(wǎng)和大規(guī)模網(wǎng)絡(luò)系統(tǒng)的安全威脅評(píng)估。圖 1.7 層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)評(píng)估模型1.3.4 國(guó)內(nèi)外基于可視化技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況可視化技術(shù)是通過(guò)圖形的方式,將大量抽象的數(shù)據(jù)表示出來(lái),由于人類(lèi)對(duì)圖像的敏感性,可視化的形式,能使人們更直觀得了解網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)的結(jié)果,并能使網(wǎng)絡(luò)管理員獲得更為直觀可靠的決策依據(jù)。利用可視化技術(shù),可直觀展現(xiàn)網(wǎng)絡(luò)內(nèi)部實(shí)時(shí)變化,如 Gregory Conti18通過(guò)分析網(wǎng)絡(luò)的連接狀況,對(duì)網(wǎng)絡(luò)中存在的異常及攻擊進(jìn)行檢測(cè)。該方法能使網(wǎng)絡(luò)管理員獲得有效、可靠、實(shí)時(shí)的網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)判據(jù)。網(wǎng)絡(luò)安全不僅對(duì)用戶個(gè)人起到影響,同時(shí),對(duì)國(guó)家安全也起到重大影響,美國(guó)國(guó)防部在 2005 年的財(cái)政預(yù)算報(bào)告 19中就包括了對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知項(xiàng)目的資助,并提出分三個(gè)階段予以實(shí)現(xiàn),分別為:第一階段完成對(duì)大規(guī)模復(fù)雜網(wǎng)絡(luò)行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡(luò)的動(dòng)態(tài)性和網(wǎng)絡(luò)數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實(shí)現(xiàn)和驗(yàn)證可視化原型系統(tǒng) ;第三階段實(shí)現(xiàn)可視化算法, 提高網(wǎng)絡(luò)態(tài)勢(shì)感知能力。美國(guó)高級(jí)研究和發(fā)展機(jī)構(gòu) ( Advanced Research and Development Activity, USA)20在 2006 年的預(yù)研計(jì)劃中,明確指出網(wǎng)絡(luò)態(tài)勢(shì)感知的研究目標(biāo)和關(guān)鍵技術(shù)。研究目標(biāo)是以可視化的方式為11不同的決策者和分析員提供易訪問(wèn)、易理解的信息保障數(shù)據(jù)攻擊的信息和知識(shí)、漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡(luò)管理工具集成技術(shù)、實(shí)時(shí)漏洞分析技術(shù)等等??梢暬夹g(shù)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵技術(shù)之一,有良好的發(fā)展前景,且其在增強(qiáng)人機(jī)交互的可操作性上有重要作用。但是其在實(shí)時(shí)性和擴(kuò)大顯示規(guī)模的要求上,仍有需提高的空間。1.3.5 國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)感知的其他相關(guān)研究除了上述的幾類(lèi)典型研究,國(guó)內(nèi)外的一些學(xué)者,也提出了其他相關(guān)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究。哈爾濱工程大學(xué)的王慧強(qiáng) 21給出了態(tài)勢(shì)感知的概念,并提出了 相應(yīng)框架 ,如圖 1.8 所示。文中著重討論了相關(guān)關(guān)鍵技術(shù)與難點(diǎn)問(wèn)題,并給出了網(wǎng)絡(luò)態(tài)勢(shì)感知今后的發(fā)展方向。圖 1.8 NSAS 框架四川大學(xué)李濤 22主持的“基于免疫的網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)時(shí)定量感知技術(shù)”863 項(xiàng)目實(shí)現(xiàn)了實(shí)時(shí)感知、評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外,蜜罐系統(tǒng)能為網(wǎng)絡(luò)管理員提供關(guān)于惡意活動(dòng)的細(xì)節(jié)信息,2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,該方法能利用收集到的信息繪制安全態(tài)勢(shì)曲線。12其他技術(shù)還包括數(shù)據(jù)校準(zhǔn)、數(shù)據(jù)格式統(tǒng)一、數(shù)據(jù)簡(jiǎn)約、響應(yīng)與預(yù)警、入侵追蹤等。這些技術(shù)可根據(jù)其作用目的分類(lèi)兩類(lèi):一類(lèi)是用于處理、簡(jiǎn)化海量網(wǎng)絡(luò)信息,以便為后續(xù)的態(tài)勢(shì)評(píng)估與預(yù)測(cè)提供可靠、有效的數(shù)據(jù)來(lái)源;另一類(lèi)則是用于在發(fā)現(xiàn)攻擊后,對(duì)攻擊進(jìn)行響應(yīng)與定位攻擊來(lái)源。1.4 本文主要工作內(nèi)容本文將網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用于工控系統(tǒng)安全領(lǐng)域,目的是為了對(duì) ICS網(wǎng)絡(luò)的當(dāng)前狀況以及未來(lái)的安全態(tài)勢(shì)做出評(píng)估與預(yù)測(cè),對(duì)網(wǎng)絡(luò)正面對(duì)或即將面臨的網(wǎng)絡(luò)攻擊及入侵做出預(yù)警,并給網(wǎng)絡(luò)管理員提供切實(shí)可靠、實(shí)時(shí)的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的網(wǎng)絡(luò)安全。且從安全事件發(fā)生的趨勢(shì)及 ICS 系統(tǒng)遭受攻擊后造成的嚴(yán)重后果來(lái)看,工控系統(tǒng)安全態(tài)勢(shì)感知的研究刻不容緩。目前的網(wǎng)絡(luò)安全態(tài)勢(shì)感知存在實(shí)時(shí)性差、數(shù)據(jù)來(lái)源單一、適用范圍小等缺點(diǎn)。本文針對(duì)以上問(wèn)題,結(jié)合 ICS 系統(tǒng)實(shí)時(shí)性、可靠性要求高,對(duì)惡劣環(huán)境要有較強(qiáng)的適應(yīng)能力,ICS 信息的保密性、完整性要求等特點(diǎn),建立相關(guān)模型,并進(jìn)行算法實(shí)現(xiàn)。第一章緒論部分簡(jiǎn)要介紹了工控系統(tǒng)網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本概念,以及當(dāng)前工控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估及入侵檢測(cè)的國(guó)內(nèi)外發(fā)展?fàn)顩r,并針對(duì)不同網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知在近年來(lái)的發(fā)展及國(guó)內(nèi)外研究情況做出了簡(jiǎn)介。第二章針對(duì)完整性攻擊建立了攻擊模型;并結(jié)合“拜占庭將軍問(wèn)題理論”的思想,提出了工控系統(tǒng)安全態(tài)勢(shì)感知模型。首先引入了“拜占庭將軍問(wèn)題理論”的思想,將其應(yīng)用于工控系統(tǒng)安全態(tài)勢(shì)感知研究,建立了工控系統(tǒng)安全態(tài)勢(shì)感知模型,并提出了相應(yīng)算法;依據(jù)各物理層節(jié)點(diǎn)信息,判斷系統(tǒng)的工作狀態(tài),并對(duì)系統(tǒng)是否遭受完整性攻擊做出判斷,確定系統(tǒng)內(nèi)的惡意節(jié)點(diǎn)。第三章介紹了節(jié)點(diǎn)信息的采集與處理;首先對(duì)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行預(yù)處理,獲取系統(tǒng)穩(wěn)態(tài)及正常工作情況下的各節(jié)點(diǎn)參數(shù),再對(duì)各物理層節(jié)點(diǎn)信息進(jìn)行采集,并通過(guò)將檢測(cè)到的節(jié)點(diǎn)數(shù)據(jù)與預(yù)處理參數(shù)進(jìn)行對(duì)比,獲得單個(gè)節(jié)點(diǎn)序列值與系統(tǒng)狀態(tài);此外,介紹了節(jié)點(diǎn)狀態(tài)一致性的概念,并給出節(jié)點(diǎn)序列及其含義,從13而對(duì)工控系統(tǒng)安全態(tài)勢(shì)進(jìn)行感知,判斷系統(tǒng)工作狀態(tài),確定系統(tǒng)內(nèi)部是否存在完整性攻擊,判定惡意節(jié)點(diǎn)。第四章通過(guò)以單回路系統(tǒng)為研究對(duì)象進(jìn)行了仿真實(shí)驗(yàn);首先對(duì)系統(tǒng)穩(wěn)態(tài)運(yùn)行及正常運(yùn)行狀態(tài)下的物理層節(jié)點(diǎn)輸出進(jìn)行仿真并分析,獲取預(yù)處理參數(shù);再在系統(tǒng)上增加一個(gè)擾動(dòng)信號(hào),以驗(yàn)證節(jié)點(diǎn)狀態(tài)是否具有一致性;此外,通過(guò)模擬系統(tǒng)中存在的完整性攻擊,對(duì)物理層節(jié)點(diǎn)狀態(tài)進(jìn)行采集與處理,獲得節(jié)點(diǎn)序列,并利用本文提出的算法進(jìn)行惡意節(jié)點(diǎn)的判斷,判斷結(jié)果與攻擊目的相符,驗(yàn)證了本文提出的工控系統(tǒng)安全態(tài)勢(shì)感知模型與算法的正確性及有效性。第五章回顧了本文的主要工作內(nèi)容、對(duì)研究過(guò)程中的創(chuàng)新與不足做出總結(jié),并針對(duì)本文不足之處,對(duì)未來(lái)進(jìn)一步的研究方向與目標(biāo)進(jìn)行展望。2 模型建立與算法研究2.1 完整性攻擊模型由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)越來(lái)越依靠與商業(yè) IT 和 Internet 領(lǐng)域的操作系統(tǒng)、開(kāi)放協(xié)議和通信技術(shù),在享受網(wǎng)絡(luò)化給工業(yè)現(xiàn)場(chǎng)帶來(lái)方便的同時(shí),工業(yè)控制網(wǎng)絡(luò)的脆弱性也因此進(jìn)一步暴露給了潛在的攻擊者;工控網(wǎng)絡(luò)中大量存在的通信路徑以及眾多輸入、輸出節(jié)點(diǎn),更是給攻擊者帶去了可乘之機(jī),例如完整性攻擊就是針對(duì)節(jié)點(diǎn)之間的信息傳遞,對(duì)節(jié)點(diǎn)進(jìn)行妥協(xié),從而篡改兩節(jié)點(diǎn)之間的數(shù)據(jù),最終威脅到系統(tǒng)的正常運(yùn)行,甚至產(chǎn)生安全事故。14因此,本文針對(duì)工控系統(tǒng)中最為常見(jiàn)的完整性攻擊進(jìn)行研究,并依據(jù)文獻(xiàn)23中的描述,提出完整性攻擊的攻擊模型。如下圖 2.1 所示為完整性攻擊示意圖:在傳感器將檢測(cè)值傳遞給控制器的過(guò)程中,攻擊者在這兩個(gè)節(jié)點(diǎn)之間施加了一個(gè)完整性攻擊,導(dǎo)致控制器接收到的值與傳感器實(shí)際檢測(cè)到的值不符,從而使得控制對(duì)象在控制器的控制作用下,不斷偏離控制目標(biāo)。圖 2.1 完整性攻擊示意圖本文定義 為控制節(jié)點(diǎn)在 t 時(shí)刻接收到的值,該值使得控制系統(tǒng)能維()持正常的控制行為。然而當(dāng)系統(tǒng)受到完整性攻擊時(shí), 的值與物理層節(jié)點(diǎn)的真y()實(shí)測(cè)量值 有所偏差,其中, i 為節(jié)點(diǎn)序號(hào),即 i=1,2,3。y()設(shè) 為攻擊延續(xù)的期間,其中, 為攻擊的起始時(shí)間, 為攻擊=, 的終止時(shí)間。下列為攻擊信號(hào)的一般模型:(2.1)=(), (), 控制器 執(zhí)行器 控制對(duì)象輸入量 輸出量傳感器完整性攻擊15其中 是攻擊信號(hào)。這個(gè)攻擊模型能用于表示一般完整性攻擊:假定攻()擊者要使得一個(gè)物理層節(jié)點(diǎn)妥協(xié),他們會(huì)改變?cè)撐锢韺庸?jié)點(diǎn)的狀態(tài)值,因此在這種情況下, 可以是任意非正常值。()2.2 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究數(shù)據(jù)挖掘、數(shù)據(jù)融合等各種技術(shù)手段,往往被使用在對(duì)網(wǎng)絡(luò)安全進(jìn)行安全態(tài)勢(shì)感知的過(guò)程中;然而,為了能夠更加準(zhǔn)確得對(duì)工控系統(tǒng)安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)感知,需要采用能針對(duì)工控系統(tǒng)特點(diǎn)的理論來(lái)對(duì)工控系統(tǒng)內(nèi)部的各類(lèi)信息進(jìn)行分析處理,進(jìn)而結(jié)合數(shù)據(jù)挖掘等有效技術(shù)手段來(lái)對(duì)工控系統(tǒng)的安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)感知。由于工控系統(tǒng)控制作用執(zhí)行的判斷依據(jù)往往是采用傳感器傳輸?shù)臄?shù)據(jù),因此,即便系統(tǒng)中存在沖突信息或惡意節(jié)點(diǎn)發(fā)送的錯(cuò)誤信息,控制器無(wú)法自行進(jìn)行判斷,依然對(duì)執(zhí)行器進(jìn)行相應(yīng)的控制作用。為了避免控制器因接收到錯(cuò)誤信息在進(jìn)行相應(yīng)操作后,造成系統(tǒng)運(yùn)行異常或發(fā)生安全事故,本文在針對(duì)工控系統(tǒng)提出安全態(tài)勢(shì)感知時(shí),采用了“拜占庭將軍問(wèn)題理論” 。該理論能夠依據(jù)節(jié)點(diǎn)信息及相應(yīng)的狀態(tài)值,有效得判斷出各節(jié)點(diǎn)之間是否存在沖突信息,并判斷出系統(tǒng)內(nèi)的惡意節(jié)點(diǎn)。能用于表示一般完整性攻擊:假定攻擊者要使得一個(gè)物理層節(jié)點(diǎn)妥協(xié),他們會(huì)改變?cè)撐锢韺庸?jié)點(diǎn)的狀態(tài)值,因此在這種情況下, 可以是任意非正常()值。2.3 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究數(shù)據(jù)挖掘、數(shù)據(jù)融合等各種技術(shù)手段,往往被使用在對(duì)網(wǎng)絡(luò)安全進(jìn)行安全態(tài)勢(shì)感知的過(guò)程中;然而,為了能夠更加準(zhǔn)確得對(duì)工控系統(tǒng)安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)感知,需要采用能針對(duì)工控系統(tǒng)特點(diǎn)的理論來(lái)對(duì)工控系統(tǒng)內(nèi)部的各類(lèi)信息進(jìn)行分析處理,進(jìn)而結(jié)合數(shù)據(jù)挖掘等有效技術(shù)手段來(lái)對(duì)工控系統(tǒng)的安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)感知。16由于工控系統(tǒng)控制作用執(zhí)行的判斷依據(jù)往往是采用傳感器傳輸?shù)臄?shù)據(jù),因此,即便系統(tǒng)中存在沖突信息或惡意節(jié)點(diǎn)發(fā)送的錯(cuò)誤信息,控制器無(wú)法自行進(jìn)行判斷,依然對(duì)執(zhí)行器進(jìn)行相應(yīng)的控制作用。為了避免控制器因接收到錯(cuò)誤信息在進(jìn)行相應(yīng)操作后,造成系統(tǒng)運(yùn)行異?;虬l(fā)生安全事故,本文在針對(duì)工控系統(tǒng)提出安全態(tài)勢(shì)感知時(shí),采用了“拜占庭將軍問(wèn)題理論” 。該理論能夠依據(jù)節(jié)點(diǎn)信息及相應(yīng)的狀態(tài)值,有效得判斷出各節(jié)點(diǎn)之間是否存在沖突信息,并判斷出系統(tǒng)內(nèi)的惡意節(jié)點(diǎn)。2.3.1 拜占庭將軍問(wèn)題簡(jiǎn)介拜占庭將軍問(wèn)題的研究起源于對(duì)計(jì)算機(jī)系統(tǒng)的可靠性理解以及沖突信息造成的系統(tǒng)故障的思考 2326。該問(wèn)題描述的是,當(dāng)拜占庭將軍在進(jìn)行作戰(zhàn)指揮時(shí),他會(huì)通過(guò)信使與其他軍官聯(lián)系并共同決定是進(jìn)行攻擊還是撤退。如果信使被策反,他可能會(huì)更改信息內(nèi)容,使得接收者和發(fā)送者的信息不一致。而每個(gè)接收到信息的軍官則是通過(guò)比較其從相鄰軍官處接收到的信息來(lái)做出決定。這樣一來(lái),錯(cuò)誤信息的出現(xiàn),最終可能會(huì)更改戰(zhàn)爭(zhēng)走向。如 圖 2.2 是拜占庭將軍問(wèn)題的示意圖。其中,指揮官 C1 向 3 個(gè)中尉L1,L2,L3 ( L3 為叛徒)發(fā)送信息 v。L2 從指揮官和其他兩名中尉處接收到?jīng)_突信息,那么他會(huì)評(píng)估這些信息。L2 用比較數(shù)量的方法對(duì)獲得的值( v, v, x) 進(jìn)行分析比較。從而可以確定這些數(shù)據(jù)源中不一致的數(shù)據(jù)源來(lái)源L3,那么L3 被確認(rèn)為叛徒。17圖 2.2 拜占庭將軍問(wèn)題2.3.2 工控系統(tǒng)中的拜占庭將軍問(wèn)題描述拜占庭將軍問(wèn)題可以簡(jiǎn)單得描述為一個(gè)惡意節(jié)點(diǎn)改變其傳輸值以使系統(tǒng)接收到的信息產(chǎn)生不連續(xù)與沖突,在這種情況下,其他節(jié)點(diǎn)通過(guò)判斷節(jié)點(diǎn)之間狀態(tài)變化趨勢(shì)的內(nèi)在一致性來(lái)確定惡意節(jié)點(diǎn)。類(lèi)似得,本文將該理論運(yùn)用到在工控系統(tǒng)內(nèi)對(duì)完整性攻擊的檢測(cè),如 圖 2.3 所示,為拜占庭將軍問(wèn)題的工控系統(tǒng)表示。然而不同于傳統(tǒng)的拜占庭將軍問(wèn)題中命令節(jié)點(diǎn)向下對(duì)執(zhí)行節(jié)點(diǎn)的命令傳輸,在工控系統(tǒng)中,各物理層節(jié)點(diǎn)將自己的節(jié)點(diǎn)信息向上傳遞給控制節(jié)點(diǎn)。圖 2.3 拜占庭將軍問(wèn)題的工控系統(tǒng)表示為了便于描述,首先對(duì)相關(guān)概念及 圖 2.3 中的信息進(jìn)行簡(jiǎn)單描述與介紹:1) 物理層節(jié)點(diǎn) S, V, M:物理層節(jié)點(diǎn)是工控系統(tǒng)中最基本的回路構(gòu)成部分,主要包括傳感器、控制閥、流量?jī)x等儀器儀表。其中,S 代表傳感器;V 代表控制閥;M 代表流量?jī)x。這些節(jié)點(diǎn)依據(jù)各自的特點(diǎn),對(duì)工控系統(tǒng)進(jìn)行控制,如傳感器能夠監(jiān)控工控系統(tǒng)的運(yùn)行過(guò)程,而控制閥的開(kāi)關(guān)能調(diào)節(jié)系統(tǒng)中的流量大小,流量?jī)x可對(duì)系統(tǒng)中的流量變化進(jìn)行實(shí)時(shí)記錄。在工控系統(tǒng)中,這些物理層節(jié)點(diǎn)所獲取的數(shù)據(jù) p1, p2, p3,能夠真實(shí)得反映系統(tǒng)當(dāng)前狀態(tài)。2) 現(xiàn)場(chǎng)層節(jié)點(diǎn) P1, P2, P3:現(xiàn)場(chǎng)層節(jié)點(diǎn)能夠?qū)ξ锢韺庸?jié)點(diǎn)信息進(jìn)行采集,通過(guò)數(shù)據(jù)處理后,獲取相應(yīng)節(jié)點(diǎn)的節(jié)點(diǎn)狀態(tài) , , ,并將這些相關(guān)的節(jié)點(diǎn)123信息上傳到控制節(jié)點(diǎn)。3) 控制層節(jié)點(diǎn) C1:控制層節(jié)點(diǎn)的構(gòu)成是回路中的控制器,其作用是接收信息處理節(jié)點(diǎn)傳輸?shù)臄?shù)據(jù),并執(zhí)行算法,從而獲得當(dāng)前系統(tǒng)狀態(tài),判斷系統(tǒng)內(nèi)是否有攻擊產(chǎn)生,在判斷出系統(tǒng)存在攻擊的前提下,推斷出系統(tǒng)內(nèi)被攻擊的節(jié)點(diǎn),即惡意節(jié)點(diǎn)。184) 實(shí)際數(shù)據(jù)傳輸實(shí)線:兩節(jié)點(diǎn)間用帶箭頭的實(shí)線,表示的是在這兩個(gè)節(jié)點(diǎn)之間數(shù)據(jù)的傳輸是直接進(jìn)行、并實(shí)際存在的;然而該數(shù)據(jù)存在被攻擊者攻擊的風(fēng)險(xiǎn),即可能會(huì)遭受到完整性攻擊。以節(jié)點(diǎn) S 到節(jié)點(diǎn) P1 的帶箭頭實(shí)線為例,傳感器 S 將實(shí)際接收的數(shù)據(jù) p1 上傳給 PLC 節(jié)點(diǎn) P1。因此,這個(gè)值是真實(shí)存在的,且節(jié)點(diǎn) S 在向節(jié)點(diǎn) P1 發(fā)送數(shù)據(jù)的過(guò)程中,攻擊者可能對(duì)該節(jié)點(diǎn)實(shí)行了完整性攻擊,并對(duì)數(shù)據(jù)進(jìn)行了篡改。5) 非實(shí)際數(shù)據(jù)傳輸虛線:兩節(jié)點(diǎn)間用帶箭頭的虛線表示的是兩節(jié)點(diǎn)間的內(nèi)在關(guān)系,并不是真實(shí)存在的節(jié)點(diǎn)間數(shù)據(jù)的傳輸,這種內(nèi)在聯(lián)系無(wú)法被攻擊者更改。以節(jié)點(diǎn) P2 與節(jié)點(diǎn) P3 間的帶箭頭虛線為例,當(dāng)控制閥節(jié)點(diǎn) P2 的閥門(mén)開(kāi)度增加時(shí),流量?jī)x表節(jié)點(diǎn) P3 檢測(cè)到的流量大小也相應(yīng)增加,而這樣的兩個(gè)節(jié)點(diǎn)間狀態(tài)變化具有一致性,即節(jié)點(diǎn)間的內(nèi)在關(guān)系是無(wú)法被攻擊者攻擊并改變的。因此,如 圖 2.3 所示,在現(xiàn)場(chǎng)層節(jié)點(diǎn)接收到來(lái)自物理層的節(jié)點(diǎn)信息后,通過(guò)對(duì)各節(jié)點(diǎn)間的內(nèi)在關(guān)系進(jìn)行判斷,并將結(jié)果上傳給控制節(jié)點(diǎn) C1,C1 在執(zhí)行算法后,可根據(jù)計(jì)算結(jié)果來(lái)判斷系統(tǒng)內(nèi)是否存在攻擊。2.3.3 工控系統(tǒng)安全態(tài)勢(shì)感知算法研究為了對(duì)工控系統(tǒng)的安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)感知,確定系統(tǒng)內(nèi)是否存在完整性攻擊,結(jié)合 2.3.2 節(jié)所述的基本概念,提出了基于拜占庭將軍理論的工控系統(tǒng)安全態(tài)勢(shì)感知算法。a) 算法相關(guān)概念定義定義 2.1 STATE 函數(shù):STATE=( , , )獲得系統(tǒng)1 2 3節(jié)點(diǎn)序列, 為節(jié)點(diǎn) i 的單個(gè)節(jié)點(diǎn)序列值,其表達(dá)式如下:(2.2)= 0, 19其中, 為節(jié)點(diǎn) i 穩(wěn)定運(yùn)行時(shí)均值;為節(jié)點(diǎn) i 狀態(tài)變化后均值 ; =定義 2.2 Atcnode 函數(shù): 該函數(shù)用以確定惡意節(jié)點(diǎn)。具體計(jì)算過(guò)程為:(2.3)1=23(2.4)2=12(2.5)3=13(2.6) =1+2+3(2.7)atcnode= (1,2, 3), =1(0,0,0), 1若 ,則表示系統(tǒng)受到完整性攻擊,此時(shí), 中狀態(tài)顯示=1 atcnode為 1 的節(jié)點(diǎn)即為惡意節(jié)點(diǎn);否則,系統(tǒng)正常,即 中,三個(gè)節(jié)點(diǎn)顯示atcnode值均為 0。b) 算法基本思想:i. 信息預(yù)處理: 獲取系統(tǒng)穩(wěn)定運(yùn)行時(shí),各節(jié)點(diǎn)穩(wěn)定值均值 ,穩(wěn)定值方差,及穩(wěn)定值區(qū)間 ;( )2 獲取系統(tǒng)正常運(yùn)行時(shí),各節(jié)點(diǎn)正常值均值 ,正常值 ,及正 ()2常值 ;ii. 在整個(gè)工控系統(tǒng)運(yùn)行過(guò)程中,以周期 T 為單位,對(duì)節(jié)點(diǎn)的一組原始數(shù)據(jù)進(jìn)行處理獲取 (,2)iii. 進(jìn)行節(jié)點(diǎn)狀態(tài)判斷:20首先判斷節(jié)點(diǎn)是否為穩(wěn)態(tài)節(jié)點(diǎn),若是,則 T 內(nèi),系統(tǒng)未受到攻擊,執(zhí)行步驟;否則,執(zhí)行步驟;iv. 判斷節(jié)點(diǎn)是否為正常節(jié)點(diǎn),若是,執(zhí)行步驟 ;否則,執(zhí)行步驟;v. 判斷節(jié)點(diǎn)為異常節(jié)點(diǎn);vi. 執(zhí)行 STATE 函數(shù),確定系統(tǒng)節(jié)點(diǎn)序列;vii. 執(zhí)行 Atc_node 函數(shù),執(zhí)行 函數(shù),判斷是否發(fā)生完整性攻擊, 若是,則確定惡意節(jié),否則,執(zhí)行步驟;viii. 判斷系統(tǒng)運(yùn)行是否全部完成,若是,則結(jié)束算法,否則,返回步驟。c) 算法流程圖:工控系統(tǒng)安全態(tài)勢(shì)感知的算法流程如 圖 2.4 所示:21開(kāi) 始 獲 取 各 節(jié) 點(diǎn) 穩(wěn) 定 值 均 值 , 方 差 ,及 區(qū) 間 獲 取 各 節(jié) 點(diǎn) 正 常 值 均 值 , 方 差 ,及 區(qū) 間 t=0 t=T ? 采 集 節(jié) 點(diǎn) 原 始 數(shù) 據(jù) () 否 t=t+1 ; a=a+1 獲 取 節(jié) 點(diǎn) 信 息 , 是 判 斷 ? 判 斷 ?否 執(zhí) 行 STAE函 數(shù) 是 否 是 執(zhí) 行 Atcnode函 數(shù) 判 斷 系 統(tǒng) 是 否 運(yùn) 行 完 畢 ? 結(jié) 束 是 否 a=0 執(zhí) 行 PL函 數(shù) 圖 2.4 算法流程圖- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來(lái)的問(wèn)題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
10 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開(kāi)word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 系統(tǒng)安全 態(tài)勢(shì) 感知 建模 算法 實(shí)現(xiàn)
鏈接地址:http://italysoccerbets.com/p-612002.html