工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)
《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)》由會員分享,可在線閱讀,更多相關(guān)《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)(76頁珍藏版)》請在裝配圖網(wǎng)上搜索。
XX 大學(xué)畢業(yè)設(shè)計(論文)題 目: 工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)學(xué) 院: 測試與光電工程學(xué)院專業(yè)名稱: 測控技術(shù)與儀器班級學(xué)號: 學(xué)生姓名: 指導(dǎo)教師: 二 Oxx 年六月工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)摘要:隨著通信網(wǎng)絡(luò)技術(shù)和ICS的發(fā)展,ICS的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,其所具有的特點,如連接性、開放性、復(fù)雜性等,使得安全問題也變得日益嚴(yán)峻;此外,近年來安全事故的發(fā)生不斷呈現(xiàn)上升趨勢,且ICS網(wǎng)絡(luò)一旦遭受攻擊與破壞,其帶來的后果可能是如爆炸、供電系統(tǒng)癱瘓等嚴(yán)重后果。因此本文提出了工控系統(tǒng)安全態(tài)勢感知技術(shù),它將工控系統(tǒng)作為一個整體,關(guān)注整個控制過程,為工控系統(tǒng)當(dāng)前的狀態(tài)以及可能受到的攻擊做出態(tài)勢評估,給管理員提供了可靠、有效的決策依據(jù),最大限度得降低了工控系統(tǒng)中可能存在的風(fēng)險與損失:1) 本文主要針對工控系統(tǒng)中常見的完整性攻擊,給出攻擊模型,將其作為本文主要研究對象;通過研究傳統(tǒng)的“拜占庭將軍問題理論”的思想,并將其運用于工控系統(tǒng)的安全態(tài)勢感知分析中;在研究了工控系統(tǒng)控制過程特點的基礎(chǔ)上,提出了一個工控系統(tǒng)安全態(tài)勢感知模型,并研究了工控系統(tǒng)安全態(tài)勢感知算法。2) 提出了工控系統(tǒng)物理層節(jié)點狀態(tài)變化間一致性的概念;簡要得對節(jié)點信息的采集進(jìn)行了介紹,對獲取的節(jié)點數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,獲得其內(nèi)在信息,確定系統(tǒng)狀態(tài);并在分析物理層節(jié)點狀態(tài)變化的基礎(chǔ)上,依據(jù)節(jié)點狀態(tài)變化之間的內(nèi)在一致性,對節(jié)點態(tài)勢進(jìn)行判斷,確定節(jié)點序列,及惡意節(jié)點。3) 以“提餾段溫度單回路控制系統(tǒng)”為研究對象,進(jìn)行了 Matlab 仿真實驗,驗證節(jié)點狀態(tài)變化的一致性;并通過模擬完整性攻擊,將實驗結(jié)果與攻擊者的攻擊目的進(jìn)行對比,驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型及算法的正確性和有效性。關(guān)鍵詞:工業(yè)控制系統(tǒng) 安全態(tài)勢感知 拜占庭將軍問題 節(jié)點序列 節(jié)點狀態(tài) 一致性 惡意節(jié)點Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; what’s worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model,which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes’ states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword: industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目 錄1 緒論 .11.1 課題背景與意義 .11.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò) .21.3 網(wǎng)絡(luò)安全態(tài)勢感知 .51.4 本文主要工作內(nèi)容 102 模型建立與算法研究 .122.1 完整性攻擊模型 122.2 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.3 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.4 本章小結(jié) 213 節(jié)點信息采集與處理 213.1 物理層節(jié)點狀態(tài)信息采集 213.2 物理層節(jié)點信息處理 253.3 本章小結(jié) 284 MATLAB 仿真實驗與理論驗證 294.1 安全態(tài)勢感知研究對象 294.2 仿真模型建立與驗證 304.3 完整性攻擊態(tài)勢感知仿真驗證 404.4 本章小結(jié) 455 總結(jié)與展望 465.1 本文總結(jié) 465.2 工作展望 46參考文獻(xiàn) .48致 謝 .50附錄 物理層節(jié)點攻擊序列判斷 MATLAB 程序 .511工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)1 緒論1.1 課題背景與意義各類工控技術(shù)已廣泛應(yīng)用于國家基礎(chǔ)設(shè)施,并對其安全產(chǎn)生較大影響,此外,由于工控系統(tǒng)的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,我們將基于工控系統(tǒng)的網(wǎng)絡(luò)稱為工控系統(tǒng)網(wǎng)絡(luò) [1]。遭受到攻擊或產(chǎn)生了破壞的工業(yè)控制網(wǎng)絡(luò),極易發(fā)生災(zāi)難性的安全事故,以 1996 年的南卡羅來納州油管爆裂事故為例,攻擊者對系統(tǒng)施加了完整性攻擊,不僅導(dǎo)致了周邊環(huán)境的嚴(yán)重破壞,同時也產(chǎn)生了超過兩千萬美元的損失 [2]。近年來工控系統(tǒng)安全事故頻發(fā),且其不斷呈現(xiàn)上升趨勢 [3]如下圖 1.1 所示:圖 1.1 ICS-CERT 歷年的公布工控安全事件統(tǒng)計分析此外,由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)不斷廣泛得采用開放式平臺和通信協(xié)議,ICS 系統(tǒng)的連接性、開放性、復(fù)雜性不斷提升,其安全問題也變得日益嚴(yán)峻,工業(yè)控制網(wǎng)絡(luò)中存在的脆弱性也被潛在的攻擊者攻擊利用。且由于 ICS 網(wǎng)絡(luò)與IT 網(wǎng)絡(luò)之間存在著如性能和功能需求、安全體系不同、可用性和可靠性需求不同等的本質(zhì)差異,使得當(dāng)前 ICS 系統(tǒng)及 ICS 網(wǎng)絡(luò)的防護不同與一般 IT 網(wǎng)絡(luò)防護,并存在一定困難,進(jìn)而使得依靠單一傳統(tǒng)的信息網(wǎng)絡(luò)安全技術(shù),如:安全網(wǎng)關(guān)/網(wǎng)橋、防火墻等無法實現(xiàn)多層級與多級別的網(wǎng)絡(luò)安全防護需求。2本研究針對上述問題,提出了 ICS 系統(tǒng)安全態(tài)勢感知模型及算法,在對ICS 系統(tǒng)的當(dāng)前狀況進(jìn)行安全態(tài)勢評估的基礎(chǔ)上,對系統(tǒng)正面對或即將面臨的攻擊及入侵做出判斷,并最終對安全態(tài)勢結(jié)果進(jìn)行等級劃分,以呈現(xiàn) ICS 系統(tǒng)的當(dāng)前安全態(tài)勢,給決策者提供切實可靠、實時的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的安全。1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)1.2.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)簡介工業(yè)控制系統(tǒng)經(jīng)歷了以 420mA 為代表的模擬信號傳輸、以內(nèi)部數(shù)字信號和RS-232、RS-485 為代表的數(shù)字通信傳輸、以包括現(xiàn)場總線、工業(yè)以太網(wǎng)、工業(yè)無線網(wǎng)絡(luò)的控制網(wǎng)絡(luò)為代表的網(wǎng)絡(luò)傳輸?shù)娜齻€階段的工控系統(tǒng)變革;當(dāng)前,工業(yè)控制網(wǎng)絡(luò)在企業(yè)自動化系統(tǒng)的核心技術(shù)領(lǐng)域有相當(dāng)廣泛的應(yīng)用,而現(xiàn)場總線技術(shù)和工業(yè)以太網(wǎng)技術(shù)是工業(yè)控制網(wǎng)絡(luò)的主要代表技術(shù)。此外,工業(yè)控制網(wǎng)絡(luò)在性能上有著自身獨特的性能 [4]:1) 系統(tǒng)的實時性響應(yīng)控制系統(tǒng)的最基本要求是 ICS 網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)募皶r性以及系統(tǒng)響應(yīng)的實時性。所謂實時性是指控制系統(tǒng)可在較短并可預(yù)測確定的時間內(nèi),完成過程參數(shù)采集、加工處理等一系列完整過程,并且執(zhí)行時序滿足過程控制對時間限制的要求。若系統(tǒng)無法滿足實時性要求,即無法及時得對控制對象進(jìn)行調(diào)節(jié),將會造成控制系統(tǒng)崩潰,甚至產(chǎn)生嚴(yán)重的安全事故。2) 開放性開放性是指通信協(xié)議公開,不同廠商的設(shè)備之間可以相互連通成為設(shè)備,以實現(xiàn)信息交換,遵循同一網(wǎng)絡(luò)協(xié)議的測量控制設(shè)備能夠進(jìn)行互操作與互用。3) 極高的可靠性3工控網(wǎng)絡(luò)的高可靠性往往包括三方面:可使用性好,即網(wǎng)絡(luò)自身不易發(fā)生故障;容錯能力強,即當(dāng)網(wǎng)絡(luò)系統(tǒng)局部單元出現(xiàn)故障時,不會影響整體系統(tǒng)的工作;可維護性強,即在故障發(fā)生后能及時發(fā)現(xiàn)并處理,通過維修恢復(fù)網(wǎng)絡(luò)。4) 良好的惡劣環(huán)境適應(yīng)能力由于控制網(wǎng)絡(luò)的工作環(huán)境往往比較惡劣,如溫度與濕度變化大、粉塵污染、電磁干擾大等,因此工業(yè)控制網(wǎng)絡(luò)設(shè)備需要經(jīng)過嚴(yán)格的設(shè)計和測試,保證其能適應(yīng)惡劣的工作環(huán)境,滿足環(huán)境要求。5) 安全性工業(yè)自動化網(wǎng)絡(luò)包含了生產(chǎn)安全和信息安全兩方面;生產(chǎn)安全是指工業(yè)自動化網(wǎng)絡(luò)中的控制設(shè)備具有本質(zhì)安全的性能,利用安全柵欄技術(shù),對提供給現(xiàn)場儀表的電能量限制在安全范圍內(nèi);而信息安全主要是指信息本身的保密性、完整性以及信息來源和去向的可靠性,這是整個工業(yè)控制網(wǎng)絡(luò)系統(tǒng)必不可少的重要組成部分。1.2.2 工控系統(tǒng)常見攻擊簡介工控系統(tǒng)在網(wǎng)絡(luò)上的廣泛應(yīng)用,使其呈現(xiàn)出與 IT 網(wǎng)絡(luò)相似的脆弱性與漏洞,這也使得攻擊者對工控系統(tǒng)有了更多可乘之機 [5]。攻擊者的攻擊目標(biāo)往往可分為以下幾類 [6]:節(jié)點信息流被破壞;對工控系統(tǒng)設(shè)備造成影響與破壞;對系統(tǒng)自身設(shè)定的安全設(shè)置進(jìn)行更改與破壞。常見的攻擊有:1) IP 欺騙:攻擊者通過仿造IP地址,對目標(biāo)計算機發(fā)送信息,計算機接收到信息后,判定該信息是來自于主機的信息,此時,攻擊成功,攻擊者與計算機之間建立連接。 。常見的攻擊類型有:Non-Blind Spoofing攻擊是當(dāng)攻擊者與攻擊目標(biāo)處于同一個子網(wǎng)中時,攻擊者避開其他認(rèn)證標(biāo)準(zhǔn),建立與攻擊目標(biāo)之間的連接;Blind Spoofing攻擊是在攻擊者無法事先獲取序列號的情況下,通過與計算機之4間的連接獲取序列號信息;Connection Hijacking ——攻擊者截取兩個主機之間的合法信息,并刪除或更改由一方發(fā)送給另一方的信息。IP欺騙攻擊的目的是通過對IP地址的偽造,獲取與主機的連接。2) 拒絕服務(wù)攻擊(Denial of Service, Dos)網(wǎng)絡(luò)往往具有有限的資源與帶寬,攻擊者利用這一特點,以過度占用資源的方式,使得主機無法正常工作。其主要攻擊類型有以下幾種:TCP SYNFlood攻擊——通過破壞協(xié)議,大量占用網(wǎng)絡(luò)資源,導(dǎo)致主機癱瘓;land 攻擊——通過向設(shè)備發(fā)送數(shù)據(jù)包,使得存在漏洞的設(shè)備受到攻擊無法正常運行;ARP 欺騙——該攻擊的主要目標(biāo)是對主機的網(wǎng)絡(luò)產(chǎn)生中斷影響,或形成中間人攻擊。該攻擊方式能截獲所在網(wǎng)絡(luò)內(nèi)其他計算機的通信信息,并進(jìn)一步造成網(wǎng)內(nèi)其他計算機通信故障;ICMP Smurf 攻擊 ——利用 IP 協(xié)議的直接廣播特性,攻擊者偽造目標(biāo) IP 地址,并在網(wǎng)絡(luò)上廣播 ICMP 響應(yīng)請求,從而使得目標(biāo)主機大量回復(fù)請求、耗盡資源,無法使合法的用戶正常訪問服務(wù)器;Ping of Death 攻擊——發(fā)送 ICMP 響應(yīng)請求、多個分段數(shù)據(jù),使系統(tǒng)在接收到全部分段并重組報文時總的長度超過了系統(tǒng)允許的最大數(shù)據(jù)包字節(jié),從而導(dǎo)致內(nèi)存溢出,主機因內(nèi)存分配錯誤而導(dǎo)致 TCP/IP 堆棧崩潰,從而死機; UDP Flood 攻擊——攻擊者發(fā)送大量 UDP 報文到目標(biāo)系統(tǒng)的隨機端口,若此時有足夠的 UDP 報文發(fā)送到目標(biāo)系統(tǒng)的所有端口,將導(dǎo)致目標(biāo)系統(tǒng)死機;Tear drop 攻擊——通過在報文中插入錯誤信息,當(dāng)報文重新組裝時,導(dǎo)致數(shù)據(jù)包過長溢出。1.2.3 國內(nèi)外工控系統(tǒng)安全的研究狀況工控系統(tǒng)的安全與我們的生活息息相關(guān),許多歐美國家從上個世紀(jì)開始關(guān)注廣泛關(guān)注工控系統(tǒng)安全問題:2003 年,美國負(fù)責(zé)發(fā)展控制系統(tǒng)安全防護能源部能源保證辦公室(Office of Energy Assurance, Dept. of Energy)公布了“改進(jìn)控制系統(tǒng)信息安全的 21個步驟”報告 [8],其羅列出了 21 項主要內(nèi)容;Krutz 也在文獻(xiàn) [9]中總結(jié)并提出了“SCADA 網(wǎng)絡(luò)安全的 21 個步驟總結(jié)圖 ”,如下圖 1.2 所示:5圖 1.2 SCADA 網(wǎng)絡(luò)安全的 21 個步驟總結(jié)圖美國商務(wù)部也通過美國標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定了 “工業(yè)控制系統(tǒng)防護概況” 、 “工業(yè)控制系統(tǒng) IT 安全”等一系列安全防護標(biāo)準(zhǔn),從工控系統(tǒng)漏洞、風(fēng)險、評估、防護等多方面對安全防護體系進(jìn)行了詳細(xì)描述;此外,在工業(yè)控制系統(tǒng)仿真平臺建設(shè)方面,美國能源部下屬的 Idaho 國家實驗室已經(jīng)建立了(National SCADA Test Bed)國家工業(yè)控制系統(tǒng)測試床;同時,加拿大的英屬哥倫比亞理工學(xué)院(British Columbia Institute of Technology)等也建立了SCADA 測試床。測試床的構(gòu)建目的是為工控系統(tǒng)的安全評估建立正式的測試環(huán)境,以獲取可靠、準(zhǔn)確的測試結(jié)果 [10]。我國對工控系統(tǒng)安全的重視程度也不斷升高,工業(yè)和信息化主管部門發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》 (工信部協(xié)【2011】451 號文)[11],通知中將工控系統(tǒng)信息安全風(fēng)險評估列入的工作重點。同時,國家發(fā)改委也于 2012 年在信息安全專項中支持工控信息安全服務(wù)方面的產(chǎn)業(yè)化項目。國內(nèi)的工控系統(tǒng)信息安全保障工作開始進(jìn)入實質(zhì)性階段。61.3 網(wǎng)絡(luò)安全態(tài)勢感知1.3.1 網(wǎng)絡(luò)安全態(tài)勢感知簡介態(tài)勢感知(Situation Awareness, SA)概念源于航天飛行中對人因的研究。1988 年, Endsley[12]提出了態(tài)勢感知的定義,將重點放在“獲取” 、 “理解” 、 “預(yù)測”上進(jìn)行研究,并提出了態(tài)勢感知的三級模型,如下圖 1.3 所示:圖 1.3Endsley 態(tài)勢感知三級模型Tim Bass[13]于 1999 年提出了網(wǎng)絡(luò)態(tài)勢感知 (Cyber Situation Awareness, CSA) 的概念。網(wǎng)絡(luò)態(tài)勢是通過觀察網(wǎng)絡(luò)內(nèi)部信息及系統(tǒng)狀態(tài)的改變,來獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)并對網(wǎng)絡(luò)未來狀態(tài)進(jìn)行預(yù)測 [14],網(wǎng)絡(luò)態(tài)勢感知是指通過對影響網(wǎng)絡(luò)因素的獲取,對其進(jìn)行分析處理,最后幫助決策者獲取可靠的決策依據(jù)。 對于網(wǎng)絡(luò)安全態(tài)勢感知(Network Security Situation Awareness, NSSA)的概念,有以下理解:1) 從管理員的角度:網(wǎng)絡(luò)管理人員通過人機交互界面對當(dāng)前網(wǎng)絡(luò)狀況的認(rèn)知程度。2) 獲取影響網(wǎng)絡(luò)安全的因素,對其進(jìn)行分析,判斷當(dāng)前網(wǎng)絡(luò)狀態(tài),并進(jìn)行預(yù)測。通過對網(wǎng)絡(luò)環(huán)境進(jìn)行態(tài)勢感知能獲取整體網(wǎng)絡(luò)安全態(tài)勢,并在很大程度上降低由于攻擊帶來的風(fēng)險與破壞。71.3.2 國內(nèi)外基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況數(shù)據(jù)挖掘技術(shù)能從當(dāng)前網(wǎng)絡(luò)的海量、隨機、不完全的數(shù)據(jù)中挖掘出有用的信息,并能給出隱含于數(shù)據(jù)中,潛在未知的信息,構(gòu)建出實用、有價值的數(shù)據(jù)模式,并形成用于檢測各類已知與未知攻擊的檢測模型。數(shù)據(jù)挖掘技術(shù)最早被美國哥倫比亞大學(xué)的Wenke Lee [7]等人引入到入侵檢測領(lǐng)域,同時,他們也提出了用于入侵檢測的數(shù)據(jù)挖掘框架,如圖1.4所示。數(shù)據(jù)挖掘技術(shù)現(xiàn)也已逐步應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。圖 1.4 入侵檢測的數(shù)據(jù)挖掘框架數(shù)據(jù)挖掘包含四種分析方法,根據(jù)對象來分:在用于模式變化與規(guī)律尋求上——關(guān)聯(lián)分析和序列模式分析;在用于最后的檢測模型上——分類分析和聚類分析。a) 關(guān)聯(lián)分析的目的是尋找數(shù)據(jù)與數(shù)據(jù)之間內(nèi)在的聯(lián)系,常用算法有 Apriori算法。b) 序列分析用于發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性,主要常用算法有兩種:Count-all 算法和 Count-some 算法。c) 分類分析用于提取數(shù)據(jù)庫中數(shù)據(jù)項的特征屬性,生成分類模型,常用的模型主要由四種:決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型。8b) 聚類分析是將數(shù)據(jù)對象中類似的項目進(jìn)行分類并進(jìn)行評估。在數(shù)據(jù)挖掘的方法中,關(guān)聯(lián)分析方法的使用相較其他方法更為普遍,如2006 年,Cristina Abad 等人提出了基于 UCLog+的網(wǎng)絡(luò)安全態(tài)勢評估方法,它能夠?qū)崿F(xiàn)對相關(guān)安全數(shù)據(jù)的關(guān)聯(lián)分析;同年,趙國生等人提出基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估方法,該方法能實現(xiàn)網(wǎng)絡(luò)可生存性態(tài)勢定量評估。盡管當(dāng)前數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域有較廣泛的應(yīng)用與良好的發(fā)展前景,但仍有一些問題有待解決,如數(shù)據(jù)訓(xùn)練的不易、從大量數(shù)據(jù)中進(jìn)行挖掘,資源開銷較大等。1.3.3 國內(nèi)外基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況數(shù)據(jù)融合技術(shù)作為網(wǎng)絡(luò)安全態(tài)勢感知的核心技術(shù),其出現(xiàn)于 20 世紀(jì) 80 年代,當(dāng)前作為網(wǎng)絡(luò)安全態(tài)勢感知最為廣泛的技術(shù),它能將來自網(wǎng)絡(luò)中的多源信息進(jìn)行集成,從而獲得當(dāng)前網(wǎng)絡(luò)態(tài)勢,并有助于預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢。數(shù)據(jù)融合的定義是由美國國防部的實驗室理事聯(lián)合會(Joint Directors of Laboratories, JDL)給出的,他們從軍事的角度出發(fā)對其做出定義,同時提出了JDL 模型 [15],如圖 1.5 所示。圖 1.5 JDL 模型9Tim Bass 首先提出了將 JDL 模型直接應(yīng)用于網(wǎng)絡(luò)態(tài)勢感知,這為數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ);當(dāng)前,JDL 模型也被眾多研究者應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知的研究中。韋勇等 [16]針對網(wǎng)絡(luò)系統(tǒng)多源的特點提出了一個 NSSA 的融合框架,如圖 1.6所示。圖 1.6 網(wǎng)絡(luò)安全態(tài)勢評估框架實驗表明,為了更有效得獲取測試結(jié)果,基于多源的 NSSA 模型更為準(zhǔn)確高效;他還針對普遍存在的技術(shù)問題,并提出了相應(yīng)的解決方法,如:所采用的量化算法存在一定缺陷,導(dǎo)致量化結(jié)果與實際結(jié)果出現(xiàn)偏差——利用改進(jìn)的D-S 證據(jù)理論,將多數(shù)據(jù)源態(tài)勢信息進(jìn)行融合 ,利用漏洞及服務(wù)信息,經(jīng)過態(tài)勢要素融合和節(jié)點態(tài)勢融合計算網(wǎng)絡(luò)安全態(tài)勢;一些態(tài)勢評估方法無法對安全狀況的發(fā)展趨勢進(jìn)行預(yù)測——因此,采用了時間序列分析的方法對系統(tǒng)安全態(tài)勢進(jìn)行預(yù)測,以期實現(xiàn)以量化的方式評估網(wǎng)絡(luò)安全態(tài)勢及預(yù)測。然而存在的不足是:安全態(tài)勢指標(biāo)及其表示方法不夠全面;未考慮網(wǎng)絡(luò)安全態(tài)勢可視化等。陳秀真等 [17]提出了層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估模型,如圖 1.7 所示,該模從上至下分為 3 個部分,依次為:服務(wù)、主機及網(wǎng)絡(luò)系統(tǒng)。該模型的創(chuàng)新點在于:一方面,能為網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)態(tài)勢的判斷提供直觀準(zhǔn)確的判斷依據(jù);另一方面,態(tài)勢感知的結(jié)果能有效預(yù)測未來網(wǎng)絡(luò)發(fā)展的變化趨勢。10盡管文中對網(wǎng)絡(luò)中信息的變化進(jìn)行了監(jiān)控與分析,并部分反映出了網(wǎng)絡(luò)運行的狀況,然而依然無法對網(wǎng)絡(luò)的整體狀況進(jìn)行全面有效得反映;因此,并不適用于多網(wǎng)段的局域網(wǎng)和大規(guī)模網(wǎng)絡(luò)系統(tǒng)的安全威脅評估。圖 1.7 層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢評估模型1.3.4 國內(nèi)外基于可視化技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知研究狀況可視化技術(shù)是通過圖形的方式,將大量抽象的數(shù)據(jù)表示出來,由于人類對圖像的敏感性,可視化的形式,能使人們更直觀得了解網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測的結(jié)果,并能使網(wǎng)絡(luò)管理員獲得更為直觀可靠的決策依據(jù)。利用可視化技術(shù),可直觀展現(xiàn)網(wǎng)絡(luò)內(nèi)部實時變化,如 Gregory Conti[18]通過分析網(wǎng)絡(luò)的連接狀況,對網(wǎng)絡(luò)中存在的異常及攻擊進(jìn)行檢測。該方法能使網(wǎng)絡(luò)管理員獲得有效、可靠、實時的網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)判據(jù)。網(wǎng)絡(luò)安全不僅對用戶個人起到影響,同時,對國家安全也起到重大影響,美國國防部在 2005 年的財政預(yù)算報告 [19]中就包括了對網(wǎng)絡(luò)態(tài)勢感知項目的資助,并提出分三個階段予以實現(xiàn),分別為:第一階段完成對大規(guī)模復(fù)雜網(wǎng)絡(luò)行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡(luò)的動態(tài)性和網(wǎng)絡(luò)數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實現(xiàn)和驗證可視化原型系統(tǒng) ;第三階段實現(xiàn)可視化算法, 提高網(wǎng)絡(luò)態(tài)勢感知能力。美國高級研究和發(fā)展機構(gòu) ( Advanced Research and Development Activity, USA)[20]在 2006 年的預(yù)研計劃中,明確指出網(wǎng)絡(luò)態(tài)勢感知的研究目標(biāo)和關(guān)鍵技術(shù)。研究目標(biāo)是以可視化的方式為11不同的決策者和分析員提供易訪問、易理解的信息保障數(shù)據(jù)——攻擊的信息和知識、漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡(luò)管理工具集成技術(shù)、實時漏洞分析技術(shù)等等??梢暬夹g(shù)作為網(wǎng)絡(luò)安全態(tài)勢感知的關(guān)鍵技術(shù)之一,有良好的發(fā)展前景,且其在增強人機交互的可操作性上有重要作用。但是其在實時性和擴大顯示規(guī)模的要求上,仍有需提高的空間。1.3.5 國內(nèi)外網(wǎng)絡(luò)安全態(tài)勢感知的其他相關(guān)研究除了上述的幾類典型研究,國內(nèi)外的一些學(xué)者,也提出了其他相關(guān)網(wǎng)絡(luò)安全態(tài)勢感知的研究。哈爾濱工程大學(xué)的王慧強 [21]給出了態(tài)勢感知的概念,并提出了 相應(yīng)框架 ,如圖 1.8 所示。文中著重討論了相關(guān)關(guān)鍵技術(shù)與難點問題,并給出了網(wǎng)絡(luò)態(tài)勢感知今后的發(fā)展方向。圖 1.8 NSAS 框架四川大學(xué)李濤 [22]主持的“基于免疫的網(wǎng)絡(luò)安全態(tài)勢實時定量感知技術(shù)”863 項目實現(xiàn)了實時感知、評估網(wǎng)絡(luò)安全風(fēng)險。此外,蜜罐系統(tǒng)能為網(wǎng)絡(luò)管理員提供關(guān)于惡意活動的細(xì)節(jié)信息,2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的網(wǎng)絡(luò)安全態(tài)勢評估方法,該方法能利用收集到的信息繪制安全態(tài)勢曲線。12其他技術(shù)還包括數(shù)據(jù)校準(zhǔn)、數(shù)據(jù)格式統(tǒng)一、數(shù)據(jù)簡約、響應(yīng)與預(yù)警、入侵追蹤等。這些技術(shù)可根據(jù)其作用目的分類兩類:一類是用于處理、簡化海量網(wǎng)絡(luò)信息,以便為后續(xù)的態(tài)勢評估與預(yù)測提供可靠、有效的數(shù)據(jù)來源;另一類則是用于在發(fā)現(xiàn)攻擊后,對攻擊進(jìn)行響應(yīng)與定位攻擊來源。1.4 本文主要工作內(nèi)容本文將網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)應(yīng)用于工控系統(tǒng)安全領(lǐng)域,目的是為了對 ICS網(wǎng)絡(luò)的當(dāng)前狀況以及未來的安全態(tài)勢做出評估與預(yù)測,對網(wǎng)絡(luò)正面對或即將面臨的網(wǎng)絡(luò)攻擊及入侵做出預(yù)警,并給網(wǎng)絡(luò)管理員提供切實可靠、實時的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的網(wǎng)絡(luò)安全。且從安全事件發(fā)生的趨勢及 ICS 系統(tǒng)遭受攻擊后造成的嚴(yán)重后果來看,工控系統(tǒng)安全態(tài)勢感知的研究刻不容緩。目前的網(wǎng)絡(luò)安全態(tài)勢感知存在實時性差、數(shù)據(jù)來源單一、適用范圍小等缺點。本文針對以上問題,結(jié)合 ICS 系統(tǒng)實時性、可靠性要求高,對惡劣環(huán)境要有較強的適應(yīng)能力,ICS 信息的保密性、完整性要求等特點,建立相關(guān)模型,并進(jìn)行算法實現(xiàn)。第一章緒論部分簡要介紹了工控系統(tǒng)網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全態(tài)勢感知的基本概念,以及當(dāng)前工控系統(tǒng)安全風(fēng)險評估及入侵檢測的國內(nèi)外發(fā)展?fàn)顩r,并針對不同網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)對網(wǎng)絡(luò)安全態(tài)勢感知在近年來的發(fā)展及國內(nèi)外研究情況做出了簡介。第二章針對完整性攻擊建立了攻擊模型;并結(jié)合“拜占庭將軍問題理論”的思想,提出了工控系統(tǒng)安全態(tài)勢感知模型。首先引入了“拜占庭將軍問題理論”的思想,將其應(yīng)用于工控系統(tǒng)安全態(tài)勢感知研究,建立了工控系統(tǒng)安全態(tài)勢感知模型,并提出了相應(yīng)算法;依據(jù)各物理層節(jié)點信息,判斷系統(tǒng)的工作狀態(tài),并對系統(tǒng)是否遭受完整性攻擊做出判斷,確定系統(tǒng)內(nèi)的惡意節(jié)點。第三章介紹了節(jié)點信息的采集與處理;首先對節(jié)點數(shù)據(jù)進(jìn)行預(yù)處理,獲取系統(tǒng)穩(wěn)態(tài)及正常工作情況下的各節(jié)點參數(shù),再對各物理層節(jié)點信息進(jìn)行采集,并通過將檢測到的節(jié)點數(shù)據(jù)與預(yù)處理參數(shù)進(jìn)行對比,獲得單個節(jié)點序列值與系統(tǒng)狀態(tài);此外,介紹了節(jié)點狀態(tài)一致性的概念,并給出節(jié)點序列及其含義,從13而對工控系統(tǒng)安全態(tài)勢進(jìn)行感知,判斷系統(tǒng)工作狀態(tài),確定系統(tǒng)內(nèi)部是否存在完整性攻擊,判定惡意節(jié)點。第四章通過以單回路系統(tǒng)為研究對象進(jìn)行了仿真實驗;首先對系統(tǒng)穩(wěn)態(tài)運行及正常運行狀態(tài)下的物理層節(jié)點輸出進(jìn)行仿真并分析,獲取預(yù)處理參數(shù);再在系統(tǒng)上增加一個擾動信號,以驗證節(jié)點狀態(tài)是否具有一致性;此外,通過模擬系統(tǒng)中存在的完整性攻擊,對物理層節(jié)點狀態(tài)進(jìn)行采集與處理,獲得節(jié)點序列,并利用本文提出的算法進(jìn)行惡意節(jié)點的判斷,判斷結(jié)果與攻擊目的相符,驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型與算法的正確性及有效性。第五章回顧了本文的主要工作內(nèi)容、對研究過程中的創(chuàng)新與不足做出總結(jié),并針對本文不足之處,對未來進(jìn)一步的研究方向與目標(biāo)進(jìn)行展望。2 模型建立與算法研究2.1 完整性攻擊模型由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)越來越依靠與商業(yè) IT 和 Internet 領(lǐng)域的操作系統(tǒng)、開放協(xié)議和通信技術(shù),在享受網(wǎng)絡(luò)化給工業(yè)現(xiàn)場帶來方便的同時,工業(yè)控制網(wǎng)絡(luò)的脆弱性也因此進(jìn)一步暴露給了潛在的攻擊者;工控網(wǎng)絡(luò)中大量存在的通信路徑以及眾多輸入、輸出節(jié)點,更是給攻擊者帶去了可乘之機,例如完整性攻擊就是針對節(jié)點之間的信息傳遞,對節(jié)點進(jìn)行妥協(xié),從而篡改兩節(jié)點之間的數(shù)據(jù),最終威脅到系統(tǒng)的正常運行,甚至產(chǎn)生安全事故。14因此,本文針對工控系統(tǒng)中最為常見的完整性攻擊進(jìn)行研究,并依據(jù)文獻(xiàn)[23]中的描述,提出完整性攻擊的攻擊模型。如下圖 2.1 所示為完整性攻擊示意圖:在傳感器將檢測值傳遞給控制器的過程中,攻擊者在這兩個節(jié)點之間施加了一個完整性攻擊,導(dǎo)致控制器接收到的值與傳感器實際檢測到的值不符,從而使得控制對象在控制器的控制作用下,不斷偏離控制目標(biāo)。圖 2.1 完整性攻擊示意圖本文定義 為控制節(jié)點在 t 時刻接收到的值,該值使得控制系統(tǒng)能維??(??)∈????持正常的控制行為。然而當(dāng)系統(tǒng)受到完整性攻擊時, 的值與物理層節(jié)點的真y(??)實測量值 有所偏差,其中, i 為節(jié)點序號,即 i=1,2,3。y??(??)設(shè) 為攻擊延續(xù)的期間,其中, 為攻擊的起始時間, 為攻擊????={????,…,????} ???? ????的終止時間。下列為攻擊信號的一般模型:(2.1)????={????(??), ???????????(??), ??∈????