胡向東，劉竹林

(重慶郵電大學 自動化學院，重慶　400065)

?

網(wǎng)絡化測控系統(tǒng)的信息安全方法研究

胡向東，劉竹林

(重慶郵電大學 自動化學院，重慶400065)

摘要：網(wǎng)絡化測控系統(tǒng)(NMCS)的安全威脅包括內(nèi)部濫用攻擊和病毒攻擊等多種攻擊形式，其中內(nèi)部濫用攻擊的平均成功率高，造成的損失更大。針對網(wǎng)絡化測控系統(tǒng)的內(nèi)部濫用攻擊，提出了針對管理員攻擊行為的有色Petri網(wǎng)(CPN)安全模型，包括無響應攻擊安全模型、配置錯誤攻擊安全模型；系統(tǒng)分析了NMCS所受到的安全威脅，并以智能家居網(wǎng)絡化測控平臺為例，針對錯誤配置攻擊、無響應攻擊和錯誤配置-無響應聯(lián)合攻擊3種攻擊場景進行安全模型的仿真測試。結果表明：在錯誤配置攻擊和無響應攻擊的單一攻擊中，系統(tǒng)能對攻擊行為進行報警響應；但對于聯(lián)合攻擊，系統(tǒng)無法進行正常的報警響應處理，所以此時應將無響應的報警警情創(chuàng)建為一個新的高級級聯(lián)報警。

關鍵詞：網(wǎng)絡化測控系統(tǒng)；信息安全；有色Petri網(wǎng)；安全模型

隨著科學技術的發(fā)展，網(wǎng)絡化已成為現(xiàn)代測控技術的發(fā)展趨勢之一[1]。網(wǎng)絡化測控系統(tǒng)(networked measurement and control systems,NMCS)是一種分布式網(wǎng)絡化的閉環(huán)反饋控制系統(tǒng)[2]，許多關鍵性基礎設施(crucial instruments,CI)的運作都依賴NMCS，所以NMCS的可靠性和安全性是國家經(jīng)濟安全的重要保證。過去，控制系統(tǒng)在封閉的環(huán)境中運行，依靠專有網(wǎng)絡和非標準的協(xié)議來防止攻擊[3]，造成了諸多安全缺陷。隨著信息化進程的加快，NMCS的安全威脅日益凸顯。例如2016年1月初，烏克蘭電網(wǎng)遭受攻擊，導致大規(guī)模停電，原因是電網(wǎng)系統(tǒng)中被植入了惡意軟件，使發(fā)電站意外關閉[4]。因此，針對NMCS軟件自身的安全性評測分析及脆弱性評估是當前首要考慮的問題。

Petri網(wǎng)是一種用來模擬系統(tǒng)運行中各種進程的圖形工具[5]。Petri網(wǎng)模型可以容易地用于描述通過以順序的方式進行的事件或因果關系事件之間的聯(lián)系，便于對有漏洞的系統(tǒng)和攻擊行為建模。文獻[6]使用Petri網(wǎng)對智能電網(wǎng)協(xié)調(diào)網(wǎng)絡的物理攻擊進行建模。Henry等[7]使用Petri網(wǎng)分析了攻擊者控制潛在的量化計算機網(wǎng)絡操作對工業(yè)控制系統(tǒng)的風險。Bouchti等[8]提出了一個網(wǎng)絡攻擊中控制系統(tǒng)的CPN模型。

本文旨在建立一種NMCS在攻擊行為中的安全模型，來學習NMCS受到內(nèi)部濫用攻擊時的響應模式，以確定系統(tǒng)的安全性。

1網(wǎng)絡化測控系統(tǒng)

1.1系統(tǒng)結構

NMCS是數(shù)據(jù)采集和遠程控制的組合。圖1為NMCS結構。NMCS通過遠程終端(remote terminal units,RTUs)、可編程邏輯控制器(programmable logic controllers,PLCs)和智能電子設備(intelligent electronic devices,IEDs)來實現(xiàn)數(shù)據(jù)采集回傳，控制中心進行必要的分析和控制，然后在人機交互服務器的顯示器上操作。NMCS主要由4部分組成：人機交互界面(human machine interface,HMI)，備份服務器，各種遠程終端(RTU、PLC、IED)和它們之間的通信過程。HMI用來讓管理員對系統(tǒng)進行最高級別的控制和監(jiān)視[9]。管理員可以使用HMI對控制中心的控制命令進行調(diào)整或完全覆蓋正常的RTU控制權限。NMCS操作日志需要發(fā)送到備份服務器，這個功能常用在商品數(shù)據(jù)庫管理系統(tǒng)中，可以對商品出貨趨勢和其他數(shù)據(jù)進行分析統(tǒng)計[10]。備份服務器上的NMCS事件日志則提供了對系統(tǒng)運行進程的完整的高級視圖，包括在連續(xù)時間內(nèi)捕獲的用戶活動、系統(tǒng)設置變更、系統(tǒng)更新等信息[11]。

圖1　NMCS結構

1.2攻擊方式

由于大部分的CI都由NMCS控制，因此保障NMCS的安全性至關重要。NMCS容易受到兩方面的攻擊：網(wǎng)絡攻擊和物理攻擊。其中網(wǎng)絡攻擊主要包括垃圾郵件、病毒和人為可控因素造成的不同程度的攻擊。另一方面，物理攻擊則體現(xiàn)在停電、遭受自然災害等方面。因此，研究NMANS遭受攻擊的類型和對系統(tǒng)產(chǎn)生的影響，對于采用更有效的保護措施來保障網(wǎng)絡化測控系統(tǒng)的安全具有重要的意義。

1.2.1針對NMCS的攻擊

人機界面、歷史數(shù)據(jù)、遠程終端、通信鏈路、傳感器閾值的設置和執(zhí)行器的正常設置都是NMCS中常見的被攻擊對象[12]。以工業(yè)系統(tǒng)為例，常見的針對NMCS的攻擊包括病毒攻擊、內(nèi)部濫用攻擊。外部攻擊是從系統(tǒng)外部發(fā)起的，攻擊來自非法用戶或未經(jīng)授權的用戶，例如黑客組織。外部攻擊通常是故意的，但成功率較低。

內(nèi)部濫用攻擊是目前NMCS面對的最危險的威脅之一[13]。據(jù)相關報道，內(nèi)部濫用攻擊的數(shù)量占計算機犯罪和安全總事故數(shù)量的33%[14]。內(nèi)部濫用攻擊來自組織內(nèi)部的個人或團體對系統(tǒng)的破壞，主要是(授權的)管理員濫用權限、破壞系統(tǒng)流程。因此，這種行為有一定的隨機性，很難預測和防止。雖然內(nèi)部濫用攻擊可能不會發(fā)生得像其他形式攻擊那樣頻繁，但這種攻擊成功率更高、損失更大。所以，內(nèi)部濫用攻擊可能比來自外部的其他攻擊有更大風險[15]。在一般情況下，內(nèi)部濫用攻擊方案不包括任何利用軟件實現(xiàn)的漏洞，即認為所有的管理員命令都是合法的。

1.2.2針對NMCS的內(nèi)部濫用攻擊

NMCS的用戶主要是系統(tǒng)管理員，負責監(jiān)視HMI服務器的系統(tǒng)狀態(tài)，并對警報和某些事件做出響應，使得處理正確運行。管理員的典型操作包括為響應警報，決定要增加或改變網(wǎng)格拓撲結構，并使用備份路徑以防產(chǎn)生新的報警。在管理員的操作中任何錯誤的決定或者延遲都將導致NMCS停止運行。因此，將管理員的內(nèi)部濫用攻擊劃分為兩部分：

1) 管理員解決傳入報警的狀態(tài)，包括：① 延遲響應攻擊，即無響應或延遲反應；② 錯誤或不完整響應攻擊，即發(fā)送錯誤或不完整的命令/響應報警，使得警報不被完全解決，或變得更加嚴重。

在這種情況下，有可能創(chuàng)建級聯(lián)故障。

2) 管理員試圖創(chuàng)建錯誤配置或關閉設備和報警裝置，包括：① 過載攻擊，即錯誤更改拓撲結構，這可能會導致系統(tǒng)過載或電源出現(xiàn)大面積故障；② 斷電攻擊，即關閉設備電源。

2NMCS內(nèi)部濫用攻擊模型的petri網(wǎng)的表現(xiàn)形式

一個CPN模型是由9元組定義的模型CPN=(P,T,A,∑,V,C,G,E,M0),其中：P={p1，p2，…，pm}表示一組庫所；T={t1，t2，…,tn}表示一組變遷；A?(P×T)∪(T×P)是一組有向??；∑是一組非空類型(稱為顏色集)；V是有限的類型集，type[v]∈∑；C：P→∑是一個顏色集合函數(shù)，表示庫所p的顏色；G是保衛(wèi)函數(shù)，用來保證變遷t的執(zhí)行性，所以type[G(t)]=Boolean，E是弧的a表達式函數(shù)，type[E(a)]=C(p)，p是與此弧a相連的下一個庫所；M0為一個初始化函數(shù)，初始化每個變遷p的類型type[I(p)]=C(p)。變遷發(fā)生的條件：① 所有輸入的庫所都有足夠的令牌；② 弧的輸入條件已經(jīng)滿足；③ 變遷的值計算結果為true。從時延上看變遷有兩種類型：瞬時變遷被表示為黑框；延時變遷被表示為白框。

本文提出的所有模型都是基于CPN的模型，模型代表在控制中心管理員操作行為(命令或攻擊)的NMCS的處理模式。圖2是攻擊-響應行為的基本模型結構。

圖2　攻擊-響應行為的基本模型結構

2.1報警正常響應模型

圖3表示一個熟練的管理員做出正確的響應攻擊報警流程。圖3中的庫所和變遷的描述見表1和表2。做出響應警報的決策需要耗費時間，所以是變遷T1和T2延時變遷，延時的值是決策的時長?；具^程為“收到報警—報警確認—下達指令”。

圖3正確的響應攻擊報警流程

庫所P1中的所有令牌都是一次報警，如果管理員做出正確決策，那么報警將刪除，所以在庫所P1的令牌數(shù)量是未響應的警報的數(shù)量。

表1　報警正常響應模型中庫所的描述

表2　報警正常響應模型中變遷的描述

2.2配置錯誤攻擊安全模型

配置錯誤攻擊包括：① 改變網(wǎng)絡的拓撲結構，可能導致設備過載、設備斷電等；② 改變設備設置，如因失誤打開或關閉一些設備。

改變正常狀態(tài)的開關配置，可能產(chǎn)生中斷攻擊或過載攻擊，引發(fā)新的報警。圖4為錯誤配置攻擊的安全模型。表3和表4說明了圖4模型描述的庫所和變遷的含義。

圖4　錯誤配置攻擊的安全模型

表3　錯誤配置攻擊安全模型中庫所的含義

表4　錯誤配置攻擊安全模型中變遷的含義

2.3未響應攻擊安全模型

在控制中心收到報警時，管理員可以采用以下攻擊方法：無響應、延遲響應、錯誤響應、部分響應。上述任何一種行為報警都不能解除，并導致長報警或其他終端產(chǎn)生新的級聯(lián)報警。也有可能因錯誤響應導致報警被關閉，但是警情并沒有解除。圖5為所有4種類型攻擊的無響應攻擊安全模型。表5和表6描述了構成圖5的Petri網(wǎng)模型的所有庫所和變遷的含義。

圖5　無響應攻擊安全模型

表5　無響應攻擊安全模型中庫所的含義

表6　無響應攻擊安全模型中變遷的含義

此外，在更嚴重的攻擊中，攻擊者為了隱藏攻擊行為需要關閉一些報警。在這種情況下，可以通過以下方式模擬攻擊行為的2個參數(shù)：D是無響應、延遲響應兩種攻擊類型的密度；M是錯誤響應、部分響應中未被關閉的報警(繼續(xù)報警)的數(shù)量， (100-M)為被關閉的報警數(shù)量。

2.4整個系統(tǒng)建模

圖6為使用CPNTOOLS仿真的NMCS在內(nèi)部濫用攻擊中的CPN安全模型。其中庫所P5為服從指數(shù)分布的延時顏色集，變遷T1和T2為延時變遷，其他為瞬時變遷。表7是系統(tǒng)模型的所有3個控制參數(shù)的詳細描述。

圖6　NMCS在內(nèi)部濫用攻擊中的CPN安全模型

表7　系統(tǒng)模型控制參數(shù)的詳細描述

3在智能家居系統(tǒng)上的仿真實驗

為了進行模型驗證，提出了一些攻擊方案。通過控制參數(shù)λ，D，M的值來模擬攻擊者的行為。每種仿真場景的控制參數(shù)見表8。所有模擬和仿真采用CPNTOOLS進行，同時，每次變遷觸發(fā)時在“消息序列圖”中記錄每一個變遷和庫所的狀態(tài)，用“文件監(jiān)視”工具記錄庫所P1的令牌數(shù)，并生成日志。

表8　每種仿真場景的控制參數(shù)

3.1系統(tǒng)正常響應警報

在系統(tǒng)正常響應警報的情況下，每次報警都得到響應，所以未響應的報警數(shù)量始終為0。

3.2配置錯誤攻擊仿真

配置錯誤攻擊未響應報警數(shù)見圖7。

圖7　配置錯誤攻擊未響應報警數(shù)

3.3無響應攻擊仿真

在無響應攻擊情況下，假設參數(shù)D和M的值是80%，即80%的剩余報警為有錯誤或為部分響應，以及只有20%的剩余報警是及時和正確的響應。在智能家居服務器上測量警報的數(shù)量，并在圖8中表示出來?？梢钥闯?，警報可以得到正確響應(警報解除)。

圖8　無響應攻擊中的未響應報警數(shù)

3.4錯誤配置-無響應聯(lián)合攻擊仿真

在這種情況下，管理員同時實施錯誤配置攻擊和無響應的警報攻擊。在智能家居系統(tǒng)服務器上測量警報數(shù)，結果見圖9。由圖9可以看到：此時系統(tǒng)的警報將逐漸累積，無法正確響應終端上的攻擊報警。因此，系統(tǒng)應增設更高級的級聯(lián)報警，提高響應級別，維持系統(tǒng)正常運行。

圖9　錯誤配置-無響應聯(lián)合攻擊中的響應報警數(shù)

4結論

通過仿真可以得出以下結論：在錯誤配置攻擊和無響應攻擊的單一攻擊中，系統(tǒng)能對攻擊行為進行報警響應；但對于聯(lián)合攻擊，無法進行正常的報警響應處理；此外，可以通過調(diào)節(jié)不同的系統(tǒng)控制參數(shù)來改變系統(tǒng)的表現(xiàn)，如控制面板的防誤觸設計可以顯著降低錯誤配置攻擊的頻率。

5結束語

本文提出了一種在網(wǎng)絡化測控系統(tǒng)中模擬處置管理員的內(nèi)部濫用攻擊行為的CPN模型，分別為配置錯誤攻擊安全模型、無響應攻擊安全模型。用CPN分析在獲得管理權限的管理員通過合法命令進行攻擊時所產(chǎn)生的威脅，并在仿真中展示了智能家居系統(tǒng)在錯誤配置攻擊、無響應攻擊、聯(lián)合攻擊中的響應情況，說明了在實際應用系統(tǒng)中將未解決的報警創(chuàng)建為一個新的級聯(lián)報警的必要性。此外還說明：可通過改變控制參數(shù)來分析各種不同類型的網(wǎng)絡化測控系統(tǒng)對管理員攻擊的影響和表現(xiàn)。

參考文獻：

[1]陳國順,宋新民,馬峻.網(wǎng)絡化測控技術[M].北京：電子工業(yè)出版社,2006:5-6.

[2]劉耀崇,巢翌,高艷華.網(wǎng)絡化測控系統(tǒng)關鍵技術研究[J].軟件導刊,2015,14(6):157-160.

[3]MILLER B,ROWE D.A survey SCADA of and critical infrastructure incidents[C]//Proceedings of the 1st Annual conference on Research in information technology.[S.l.]:ACM,2012:51-56.

[4]SHACKELFORD S,RUSSELL S.Operationalizing Cybersecurity Due Diligence:A Transatlantic Comparative Case Study[J].South Carolina Law Review,2016(12):28-30.

[5]CHEUNG S,DUTERTRE B,FONG M,et al.Using model-based intrusion detection for SCADA networks[C]//Proceedings of the SCADA security scientific symposium.Miami:[s.n.],2007:1-12.

[6]CHEN T M,SANCHEZ-AARNOUTSE J C,BUFORD J.Petri net modeling of cyber-physical attacks on smart grid[J].IEEE Transactions on Smart Grid,2011,2(4):741-749.

[7]HENRY M H,LAYER R M,SNOW K Z,et al.Evaluating the risk of cyber attacks on SCADA systems via Petri net analysis with application to hazardous liquid loading operations[C]//HST’09.IEEE Conference on Technologies for Homeland Security.USA:IEEE,2009:607-614.

[8]BOUCHTI A E,HAQIQ A.Modeling cyber-attack for SCADA systems using CoPNet approach[C]//International Conference on Complex Systems (ICCS).USA:IEEE,2012:1-6.

[9]ROBLES R J,CHOI M.Assessment of the vulnerabilities of SCADA,control systems and critical infrastructure systems [J].Assessment,2009,2(2):27-34.

[10]FIAIDHI J,GELOGO Y E.SCADA Cyber Attacks and Security Vulnerabilities:Review[J].SERSC,Research Trend of Computer Science and Related Areas,ASTL,2012,14:202-208.

[11]HAD IOSMANOVI D,BOLZONI D,HARTEL P H.A log mining approach for process monitoring in SCADA[J].International Journal of Information Security,2012,11(4):231-251.

[12]ZHU B,SASTRY S.SCADA-specific intrusion detection/prevention systems:a survey and taxonomy[C]//Proc.of the 1st Workshop on Secure Control Systems (SCS).Stockholm:[s.n.],2010.

[13]BARACALDO N,JOSHI J.An adaptive risk management and access control framework to mitigate insider threats[J].Computers & Security,2013,39:237-254.

[14]RICHARDSON R.CSI computer crime and security survey[J].Computer Security Institute,2008(1):1-30.[15]CHINCHANI R,HA D,IYER A,et al.Insider threat assessment:Model,analysis and tool[M].Network:Springer US,2010:143-174.

(責任編輯楊黎麗)

Research on Methods of Information Security for Networked Measurement and Control Systems

HU Xiang-dong, LIU Zhu-lin

(College of Automation, Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract:The networked measurement and control system (NMCS) has possible security threats including internal attacks and external attacks such as virs attack and so on. Internal attacks with higher success rate can result in great losses while the external ones with a larger number of attacks but lower success rate. For the internal attacks, we proposed colored petri net (CPN) model, including Petri net (PN) security model for resolving alarms and PN security model for misconfigured attack. Security threat of NMCS was systematically analyzed and we had simulative test for security model under the attack situations of misconfigured attack, unresolved alarms attack and combined attack, taking the smart home network control platform as the example. The results show that platform returns to normal under only the misconfigured attack or only unresolved alarms attack, but stays in abnormal under combined attacks, thus nonresponse alarm should be created into a new advanced cascade alarm.

Key words:networked measurement and control system; information security; colored petri net; security model

收稿日期：2016-02-26

基金項目：國家自然科學基金資助項目(61170219)；重慶市基礎與前沿研究計劃資助項目(cstcjcyjA40002)

作者簡介：胡向東(1971—)，男，四川人，博士，教授，主要從事網(wǎng)絡化測控及網(wǎng)絡空間安全、復雜系統(tǒng)建模仿真與優(yōu)化研究；劉竹林，女，碩士研究生，主要從事網(wǎng)絡化測控系統(tǒng)信息安全研究。

doi:10.3969/j.issn.1674-8425(z).2016.05.015

中圖分類號：TP393

文獻標識碼：A

文章編號：1674-8425(2016)05-0081-07

引用格式：胡向東，劉竹林.網(wǎng)絡化測控系統(tǒng)的信息安全方法研究[J].重慶理工大學學報(自然科學)，2016(5):81-87.

Citation format：HU Xiang-dong, LIU Zhu-lin.Research on Methods of Information Security for Networked Measurement and Control Systems[J].Journal of Chongqing University of Technology(Natural Science)，2016(5):81-87.