信息物理系统攻击与检测研究综述
2016-08-31南京政治学院军事新闻传播系江苏南京210003
李 超(南京政治学院军事新闻传播系,江苏南京,210003)
信息物理系统攻击与检测研究综述
李 超
(南京政治学院军事新闻传播系,江苏南京,210003)
对信息物理系统攻击及防御技术的现有研究进行了总结,概括了现有攻击的主要类别,总结了描述攻击行为的几个模型,并得到了对信息物理系统的攻击呈协同化趋势的结论。我们还分析了这种协同与传统意义上网络协同攻击的区别,针对这种现状及现有防御措施的不足,提出了信息物理系统攻击检测的发展方向。
信息物理系统;攻击;关键基础设施安全
0 引言
关键基础设施包括电力、交通、燃气等,是一个国家稳定和发展的基本支撑。如美国国土安全部认为,关键基础设施是一个国家经济、安全和发展的脊梁。随着互联网的发展,关键基础设施也逐步网络化,形成了信息物理系统(Cyber Physical System)。关键基础设施的网络化发展使得其运行的效率、自动化程度大幅度提高,也使得通过网络攻击关键物理设施成为可能。大到关系国家命脉的核电站、燃气供应,小到智能汽车灯,都面临受到攻击的威胁。1982年,恶意入侵者在西伯利亚石油气管道的工业控制系统中植入木马,最终造成了石油气管道爆炸,爆炸当量相当于3吨TNT,首开了从信息域攻击物理域的先河。2010年,震网蠕虫的爆发使得伊朗的核设施内部的离心机大范围损坏,让人们更多的关注关键基础设施的安全。之后,又出现了火焰病毒、Duqu等其它针对物理设施的病毒,14年8月,Havexb恶意软件被发现出现了新的变种,据称该病毒控制了欧洲和美国超过1018座电站和其它基础设施。360在14年7月宣布,360的安全研究人员声称发现了特斯拉电动汽车Model S的安全缺陷,允许攻击者远程控制行驶中的汽车车锁、喇叭、闪灯和天窗。
对关键基础设施的攻击日益增多,如何防范这种攻击并建立攻击检测机制,成为信息物理系统安全的研究热点之一。只有对攻击进行彻底的分析,才能建立完善的防范机制。
本文将首先描述当前对信息物理攻击研究的基本概况,包括以不同的方式对攻击类别的划分,并给出了攻击趋于协同化的结论,分析了这种协同与传统意义上网络协同攻击的异同。文章还给出了针对当前攻击建立的几种攻击检测机制,最后,对全文进行了总结与展望,描述了未来对信息物理系统可能的攻击方式,并提出了攻击检测的发展方向。
1 当前攻击研究概况
1.1攻击类别
当前,对不同攻击类别的攻击的划分已经有很多研究。不同的划分方法将对信息物理系统的攻击划分为不同的种类,当且主要的划分方法有从攻击对象划分、从攻击路径划分、从攻击的安全属性划分、从攻击在系统中的过程划分。下面将一一介绍。
从攻击对象划分,目前对信息物理系统的攻击主要有以下几类:(1)攻击测量装置。测量装置如各类仪表等是信息物理系统的重要组成部分,通过测量装置,可以监测物理系统各部分状态,确保其安全运行。对于类似于电表、水表等资源测量装置,更是直接影响到运营者的收益,并与用户的利益切实相关。目前确保测量装置安全的主要手段是加密,然而加密手段并不能确保测量装置的安全。测量装置面临着数据被窃取、数据被破坏、非法数据注入等攻击的威胁。数据被窃取容易造成隐私泄露,如智能电表数据被窃取则很容易判断用户的用电习惯,从而推断用户的行为习惯;数据被破坏和非法数据注入使得运营者无法收到数据甚至收到错误数据,容易对物理系统的运行状态产生误判,甚至挑起运营者和用户的纠纷,给运营者和用户造成重大损失。(2)对影响系统的周边进行攻击。如在新提出的电网2.0中,因为电力存储需要成本,要求实现实时电价,即通过电价调节用户的用电习惯,降低电力成本。张彦 等研究了如果篡改电价造成影响,研究表明,更改电价会对市场造成较大影响,使得电力资源被大量浪费,同时提升用户的用电成本。(3)对物理系统本身的攻击,震网蠕虫是典型通过信息域攻物理域的案例,其攻击的最终对象是核设施的离心机。这种攻击类型的攻击模式是恶意软件逐层渗透,由外网渗透至内网,最终通过工业控制系统实现对物理设施的直接打击,造成物理设施的损坏。
从攻击路径划分对信息物理系统的攻击有很多种,下面仅列举几种:(1)CP攻击,即通过信息域攻击物理域,典型的如火焰病毒等。(2)PC攻击,即通过物理域攻击信息域,典型的例子即通过停止供电,使得信息系统无法预转。(3)CPC,即通过信息域影响物理域,再通过物理域影响信息域。还有其它不同的组合方式,这里不再一一阐述。表1详细列举了在智能电网中不同攻击类型的表现。
表1 在智能电网中不同攻击类型的表现
把传统的攻击类别与对信息物理系统的攻击相对应,在这种情况下,把信息物理系统简单的抽象为如图1所示的一个简单闭环。物理系统中,传感器采集物理系统信息发送给控制终端,控制终端计算后将控制信息发送给执行器,来实现对物理系统的控制。
在这种情况下,传感器与控制器相当于网络中的两个终端,攻击的目标则是干扰终端的通信。其中分别有欺骗攻击,如a1和a3,即篡改发送的数据后发送给目标终端;有拒绝服务攻击,如A2何A4,即使得发送的数据无法到达接收端;最后,则是对目标本身的攻击,如直接攻击信息物理系统中的执行器,使得其执行错误的指令,直接造成对物理设施的损害。典型的例子是包的时序攻击,在信息物理系统中,传感器将不断采取的数据发给信息系统,信息系统计算后将决策和控制信息传给执行器(如SCADA系统)。包的时序攻击则是打乱数据传输中数据包的顺序,使得接收端接收到的数据包序列与发送端数据包的序列不一致。一种做法是在数据包经过的路径中打乱数据包传输顺序,在有线环境下,较简单的做法是在数据传输路径上的路由器中加装恶意软件,打乱路由器转发数据包的顺序。另一种做法则是通过资源占用的方式,如在无线环境下,可以通过发送大量与要传输数据包冲突的数据包,打乱接收端接收数据包的顺序。
从安全属性划分。为描述攻击过程,我们引入信息物理系统的WAMPAC(Wide Area Monitor、Protection and Control)模型。如图2所示:
图2 WAMPAC体系结构
在WAMPAC体系结构中,系统由5个部分组成,分别是物理系统、感应器、执行器、WAMPAC控制器和高速通信网络,在这种情况下,我们攻击的主要对象时高速通信网络中的数据。根据传统的安全属性,攻击可有被划分为:时序攻击,在信息物理系统中,时序是保证安全的一个重要特征,在执行器中,对物理系统进行错误的操作序列可能会导致物理设备损坏,在传输过程中数据包错误的时序可能造成较大网络时延甚至是网络不可用;数据完整性攻击,数据完整性攻击即破坏数据的传输,使得传感器的数据无法到达控制器,控制器的控制指令无法到达执行器;欺骗攻击与数据完整性攻击类似,不同的是篡改传输中的数据。
图1 信息物理系统的简单闭环
1.2攻击协同化
在对关键基础设施的攻击中,协同化的趋势越来越明显,以WAMPAC模型为例,在智能电网可能的协同攻击如表2所示。
在信息物理系统中,攻击协同化主要表现在以下三个方面:
一是对基础设施的攻击往往涉及到多个域,如在震网蠕虫攻击的特例中,既要完成外网对内网的渗透,又要对工业控制系统SCADA实施控制,单个的攻击者很难完成如此复杂的工作,需要多个专业人员的共同参与,才能实现最终的攻击目标。二是同时攻击多个目标,以实现最大的攻击效果,以智能电网为例,单个节点或边的故障可能不会对整个系统造成巨大的故障,为实现故障的快速传播,对多个节点打击的方式得到应用。三是攻击方式的协同,以Havex病毒为例,其对内网的渗透方式包括恶意邮件、在正常网站或APP植入木马、摆渡攻击等多种方式,以实现最终的攻击目标。
对关键基础设施攻击的协同特性与传统网络的协同攻击有许多不同,
传统的协同攻击指一类多个攻击者采取分布式方式、在统一的攻击策略指导下对同一目标发起攻击或探测行为,其攻击的技术手段和攻击步骤由统一的攻击策略在各个攻击者之间协调从而达到协同。多见于各类拒绝服务攻击,其特点是攻击范围大、使用攻击技术全面、攻击点分布、合作实施攻击战术。优点则是隐蔽性好、高效可靠。
首先:攻击目标可能不同,为实现最终的攻击目的,不同的攻击者会攻击不同的目标。其次:在攻击方式上,可能不再限定于分布式方式。由组织的攻击集团可能集中针对目标进行攻击。再次:与传统攻击现象不同,NERC 认为,针对智能电网等基础设施的协同攻击是一类HILF事件[11](High Impact Low Frequency)。总的来说,对关键基础设施的协同攻击在其表现出合作的一面外,也表现出了分工的一面。
针对协信息物理系统协同攻击,已经出现了一些描述攻击的模型。Thomas在前人用Petri网描述协同攻击的基础上,提出了分层的协同攻击Petri网模型,大大简化了模型的复杂度。
2 攻击检测方法
从技术上,攻击检测可以分为有基于知识的攻击检测和基于行为攻击检测的。基于知识的检测主要思想是寻找符合恶意攻击的步骤序列,其优点是检测速度快,误报率低。但其缺点是对于以前从未出现过的攻击模式无能为力,因此要求知识库能及时的更新各种攻击特征,目前研究的热点也是构造尽量全面的攻击知识库。基于行为的攻击检测则完全相反,其核心思想是,如果某个操作序列不符合正常运转的特征,则判定为出现攻击。其优点是只需构造一个正常运行的白名单,便能检测出所有的攻击行为,然而其缺点是误报率较高,白名单可能会非常庞大,因此造成检测开销大。
从审查的内容上,则包括基于主机的检测和基于网络的检测。基于主机的检测主要检查主机或某个节点上的日志、数据记录实现,其优点是分布式的主机能提供大量数据,特别是在一个较大的系统内(如电力系统),内容十分丰富,另一个优点是容易检测到某台具体主机的攻击行为。基于网络的检测则是根据网络中数据和数据的变化来判断是否遭到攻击,其优点是可以使主机不必记录和存放大量的日志文件,其缺点和难点则在于,需要安装大量的传感器或加装其它软件来实现对网络数据的获取。
在具体的检测手段上,目前主要存在以下三类:
一是基于样本的检测,这与传统的杀毒软件类似,当检测机制在系统内发现某恶意病毒的样本,则可以判定系统正在遭受攻击,该方法实际上是基于知识的攻击检测的一个具体实现。二是对操作的时序分析,分析一系列的操作是否会对系统造成损害,是否违反了操作的规则,该方法是基于行为攻击检测的一个具体实现。随着计算机硬件的发展,对某一系统的所有行为记录,最后进行大数据分析变得成为可能,从庞大的数据流中找出异常数据流,从而判别系统是否进行攻击,是大数据分析在攻击检测中的新应用,但是如果系统过于庞大,则很难保证攻击检测的实时性。
同时,随着攻击协同化,协同检测也变得十分有必要。曹华阳等提出了跨多个域的蠕虫检测机制,通过对多台主机和网络数据流的综合分析,可以再不得到病毒样本的情况下完成对病毒的检测,但是其缺点是建立的白名单过于复杂,在一个大的系统内很难实现。
3 结束语
随着信息技术的快速发展,信息物理系统在现实生活中得到广泛应用,组成了支撑经济、社会发展的关键基础设施。同时,信息域接入物理域也使得通过互联网远程攻击关键基础设施成为可能。现有对信息物理系统安全的研究已经成为网络空间安全的热点之一,已经将人的因素考虑进去。Scoot等构建还了信息物理系统人机交互的博弈模型,但是,这些模型都没能将人在信息物理系统安全中的地位和作用体现出来。要确保关键基础设施的安全,则必须将人即社会的因素考虑进来,构建新的CPS(Cyber-Physical-Social)模型,只有这样,才能更清晰的描述对关键基础设施的攻击过程,为关键基础设施的防护打下坚实的基础。
[1] http://www.dhs.gov/critical-infrastructure
[2] Daniela T.Communication security in SCADA pipeline monitoring systems[C],2011: 1-5.
[3] Falliere N,Murchu L O,Chien E.W32.stuxnet dossier[J]. White paper,Symantec Corp,Security Response, 2011.
[4] Sajal K Das, Krishna Kant, Nan Zhang,Handbook on Securing Cyber-Physical Critical Infrastructure. Elsevier’s Pervasive and Mobile Computing journal,2012,1
表2 WAMPAC模型中协同攻击实例
[5] Cleveland F M.Cyber security issues for advanced metering infrasttructure (ami)[C].IEEE, 2008: 1-5.
[6] Cardenas A A, Amin S, Sastry S. Secure control: Towards survivable cyber-physical systems[J].2008, 1(a2): a3.
[7] Mo Y,Kim T H H, Brancik K,et al. Cyber-physical security of a smart grid infrastructure[J]. IEEE, 2012, 100(1):195-209.
[8] Shoukry Y, Araujo J, Tabuada P,et al. Minimax control for cyber-physical systems under network packet scheduling attacks[C], ACM, 2013: 93-100.
[9] Chen X,Makki K,Yen K,et al.Sensor network security:a survey[J].IEEE,2009,11(2):52-73.MLA
[10] 经小川,胡昌振,谭惠民.网络协同攻击及其检测方法研究[J].计算机应用,2004,24(11):25-27.
[11] North American Electric Reliability Corporation. High-impact,low frequency event risk to the North American bulk power system.In:Jointly-commissioned summary,Report,US Department of Energy; 2009.
[12] Chen T M,Sanchez-Aarnoutse J C,Buford J. Petri net modeling of cyber-physical attacks on smart grid[J]IEEE Transactions on Smart Grid,2011,2(4):741-749.
[13] Mitchell R,Chen I R.A survey of intrusion detection techniques for cyber-physical systems[J]. ACM,2014,46(4): 55..
[14] Huayang Cao,JinJing Zhao,Peidong Zhu, Xicheng Lu,Chonglun Zhao. Worm Detection without Knowledge Base in Industrial Networks.Journal of Communications,2013, 8(11)
[15] Stouffer K,Falco J,Scarfone K.Guide to industrial control systems(ICS)security[J].NIST, 2011, 800(82): 16-16.
[17] Backhaus S, Bent R, Bono J, et al. Cyber-physical security:A game theory model of humans interacting over control systems[J]. IEEE, 2013, 4(4): 2320-2327.
A review of research on the attack and detection of information physical system
Li Chao
(Department of Military Journalism and communication,Nanjing Political College,Nanjing,Jiangsu,210003)
The existing research on the information system of physical attack and defense technology are summarized,summarizes the main categories of existing attack,summarizes the description model of aggressive behavior,and attacks on the information of the physical system is co assimilation tendency of conclusion.We also analyze the difference between the cooperative attack of the network and the traditional sense,and put forward the development direction of the attack detection of the information physical system in view of the deficiency of the existing defense measures.
information system;attack;critical infrastructure security
