李 超（南京政治學(xué)院軍事新聞傳播系，江蘇南京，210003）

?

信息物理系統(tǒng)攻擊與檢測研究綜述

李 超
（南京政治學(xué)院軍事新聞傳播系，江蘇南京，210003）

對信息物理系統(tǒng)攻擊及防御技術(shù)的現(xiàn)有研究進(jìn)行了總結(jié)，概括了現(xiàn)有攻擊的主要類別，總結(jié)了描述攻擊行為的幾個模型，并得到了對信息物理系統(tǒng)的攻擊呈協(xié)同化趨勢的結(jié)論。我們還分析了這種協(xié)同與傳統(tǒng)意義上網(wǎng)絡(luò)協(xié)同攻擊的區(qū)別，針對這種現(xiàn)狀及現(xiàn)有防御措施的不足，提出了信息物理系統(tǒng)攻擊檢測的發(fā)展方向。

信息物理系統(tǒng)；攻擊；關(guān)鍵基礎(chǔ)設(shè)施安全

0　引言

關(guān)鍵基礎(chǔ)設(shè)施包括電力、交通、燃?xì)獾?，是一個國家穩(wěn)定和發(fā)展的基本支撐。如美國國土安全部認(rèn)為，關(guān)鍵基礎(chǔ)設(shè)施是一個國家經(jīng)濟(jì)、安全和發(fā)展的脊梁。隨著互聯(lián)網(wǎng)的發(fā)展，關(guān)鍵基礎(chǔ)設(shè)施也逐步網(wǎng)絡(luò)化，形成了信息物理系統(tǒng)（Cyber Physical System）。關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)化發(fā)展使得其運行的效率、自動化程度大幅度提高，也使得通過網(wǎng)絡(luò)攻擊關(guān)鍵物理設(shè)施成為可能。大到關(guān)系國家命脈的核電站、燃?xì)夤?yīng)，小到智能汽車燈，都面臨受到攻擊的威脅。1982年，惡意入侵者在西伯利亞石油氣管道的工業(yè)控制系統(tǒng)中植入木馬，最終造成了石油氣管道爆炸，爆炸當(dāng)量相當(dāng)于3噸TNT，首開了從信息域攻擊物理域的先河。2010年，震網(wǎng)蠕蟲的爆發(fā)使得伊朗的核設(shè)施內(nèi)部的離心機(jī)大范圍損壞，讓人們更多的關(guān)注關(guān)鍵基礎(chǔ)設(shè)施的安全。之后，又出現(xiàn)了火焰病毒、Duqu等其它針對物理設(shè)施的病毒，14年8月，Havexb惡意軟件被發(fā)現(xiàn)出現(xiàn)了新的變種，據(jù)稱該病毒控制了歐洲和美國超過1018座電站和其它基礎(chǔ)設(shè)施。360在14年7月宣布，360的安全研究人員聲稱發(fā)現(xiàn)了特斯拉電動汽車Model S的安全缺陷，允許攻擊者遠(yuǎn)程控制行駛中的汽車車鎖、喇叭、閃燈和天窗。

對關(guān)鍵基礎(chǔ)設(shè)施的攻擊日益增多，如何防范這種攻擊并建立攻擊檢測機(jī)制，成為信息物理系統(tǒng)安全的研究熱點之一。只有對攻擊進(jìn)行徹底的分析，才能建立完善的防范機(jī)制。

本文將首先描述當(dāng)前對信息物理攻擊研究的基本概況，包括以不同的方式對攻擊類別的劃分，并給出了攻擊趨于協(xié)同化的結(jié)論，分析了這種協(xié)同與傳統(tǒng)意義上網(wǎng)絡(luò)協(xié)同攻擊的異同。文章還給出了針對當(dāng)前攻擊建立的幾種攻擊檢測機(jī)制，最后，對全文進(jìn)行了總結(jié)與展望，描述了未來對信息物理系統(tǒng)可能的攻擊方式，并提出了攻擊檢測的發(fā)展方向。

1　當(dāng)前攻擊研究概況

1.1攻擊類別

當(dāng)前，對不同攻擊類別的攻擊的劃分已經(jīng)有很多研究。不同的劃分方法將對信息物理系統(tǒng)的攻擊劃分為不同的種類，當(dāng)且主要的劃分方法有從攻擊對象劃分、從攻擊路徑劃分、從攻擊的安全屬性劃分、從攻擊在系統(tǒng)中的過程劃分。下面將一一介紹。

從攻擊對象劃分，目前對信息物理系統(tǒng)的攻擊主要有以下幾類：（1）攻擊測量裝置。測量裝置如各類儀表等是信息物理系統(tǒng)的重要組成部分，通過測量裝置，可以監(jiān)測物理系統(tǒng)各部分狀態(tài)，確保其安全運行。對于類似于電表、水表等資源測量裝置，更是直接影響到運營者的收益，并與用戶的利益切實相關(guān)。目前確保測量裝置安全的主要手段是加密，然而加密手段并不能確保測量裝置的安全。測量裝置面臨著數(shù)據(jù)被竊取、數(shù)據(jù)被破壞、非法數(shù)據(jù)注入等攻擊的威脅。數(shù)據(jù)被竊取容易造成隱私泄露，如智能電表數(shù)據(jù)被竊取則很容易判斷用戶的用電習(xí)慣，從而推斷用戶的行為習(xí)慣；數(shù)據(jù)被破壞和非法數(shù)據(jù)注入使得運營者無法收到數(shù)據(jù)甚至收到錯誤數(shù)據(jù)，容易對物理系統(tǒng)的運行狀態(tài)產(chǎn)生誤判，甚至挑起運營者和用戶的糾紛，給運營者和用戶造成重大損失。（2）對影響系統(tǒng)的周邊進(jìn)行攻擊。如在新提出的電網(wǎng)2.0中，因為電力存儲需要成本，要求實現(xiàn)實時電價，即通過電價調(diào)節(jié)用戶的用電習(xí)慣，降低電力成本。張彥 等研究了如果篡改電價造成影響，研究表明，更改電價會對市場造成較大影響，使得電力資源被大量浪費，同時提升用戶的用電成本。（3）對物理系統(tǒng)本身的攻擊，震網(wǎng)蠕蟲是典型通過信息域攻物理域的案例，其攻擊的最終對象是核設(shè)施的離心機(jī)。這種攻擊類型的攻擊模式是惡意軟件逐層滲透，由外網(wǎng)滲透至內(nèi)網(wǎng)，最終通過工業(yè)控制系統(tǒng)實現(xiàn)對物理設(shè)施的直接打擊，造成物理設(shè)施的損壞。

從攻擊路徑劃分對信息物理系統(tǒng)的攻擊有很多種，下面僅列舉幾種：（1）CP攻擊，即通過信息域攻擊物理域，典型的如火焰病毒等。（2）PC攻擊，即通過物理域攻擊信息域，典型的例子即通過停止供電，使得信息系統(tǒng)無法預(yù)轉(zhuǎn)。（3）CPC，即通過信息域影響物理域，再通過物理域影響信息域。還有其它不同的組合方式，這里不再一一闡述。表1詳細(xì)列舉了在智能電網(wǎng)中不同攻擊類型的表現(xiàn)。

表1　在智能電網(wǎng)中不同攻擊類型的表現(xiàn)

把傳統(tǒng)的攻擊類別與對信息物理系統(tǒng)的攻擊相對應(yīng)，在這種情況下，把信息物理系統(tǒng)簡單的抽象為如圖1所示的一個簡單閉環(huán)。物理系統(tǒng)中，傳感器采集物理系統(tǒng)信息發(fā)送給控制終端，控制終端計算后將控制信息發(fā)送給執(zhí)行器，來實現(xiàn)對物理系統(tǒng)的控制。

在這種情況下，傳感器與控制器相當(dāng)于網(wǎng)絡(luò)中的兩個終端，攻擊的目標(biāo)則是干擾終端的通信。其中分別有欺騙攻擊，如a1和a3，即篡改發(fā)送的數(shù)據(jù)后發(fā)送給目標(biāo)終端；有拒絕服務(wù)攻擊，如A2何A4，即使得發(fā)送的數(shù)據(jù)無法到達(dá)接收端；最后，則是對目標(biāo)本身的攻擊，如直接攻擊信息物理系統(tǒng)中的執(zhí)行器，使得其執(zhí)行錯誤的指令，直接造成對物理設(shè)施的損害。典型的例子是包的時序攻擊，在信息物理系統(tǒng)中，傳感器將不斷采取的數(shù)據(jù)發(fā)給信息系統(tǒng)，信息系統(tǒng)計算后將決策和控制信息傳給執(zhí)行器（如SCADA系統(tǒng)）。包的時序攻擊則是打亂數(shù)據(jù)傳輸中數(shù)據(jù)包的順序，使得接收端接收到的數(shù)據(jù)包序列與發(fā)送端數(shù)據(jù)包的序列不一致。一種做法是在數(shù)據(jù)包經(jīng)過的路徑中打亂數(shù)據(jù)包傳輸順序，在有線環(huán)境下，較簡單的做法是在數(shù)據(jù)傳輸路徑上的路由器中加裝惡意軟件，打亂路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的順序。另一種做法則是通過資源占用的方式，如在無線環(huán)境下，可以通過發(fā)送大量與要傳輸數(shù)據(jù)包沖突的數(shù)據(jù)包，打亂接收端接收數(shù)據(jù)包的順序。

從安全屬性劃分。為描述攻擊過程，我們引入信息物理系統(tǒng)的WAMPAC（Wide Area Monitor、Protection and Control）模型。如圖2所示：

圖2　WAMPAC體系結(jié)構(gòu)

在WAMPAC體系結(jié)構(gòu)中，系統(tǒng)由5個部分組成，分別是物理系統(tǒng)、感應(yīng)器、執(zhí)行器、WAMPAC控制器和高速通信網(wǎng)絡(luò)，在這種情況下，我們攻擊的主要對象時高速通信網(wǎng)絡(luò)中的數(shù)據(jù)。根據(jù)傳統(tǒng)的安全屬性，攻擊可有被劃分為：時序攻擊，在信息物理系統(tǒng)中，時序是保證安全的一個重要特征，在執(zhí)行器中，對物理系統(tǒng)進(jìn)行錯誤的操作序列可能會導(dǎo)致物理設(shè)備損壞，在傳輸過程中數(shù)據(jù)包錯誤的時序可能造成較大網(wǎng)絡(luò)時延甚至是網(wǎng)絡(luò)不可用；數(shù)據(jù)完整性攻擊，數(shù)據(jù)完整性攻擊即破壞數(shù)據(jù)的傳輸，使得傳感器的數(shù)據(jù)無法到達(dá)控制器，控制器的控制指令無法到達(dá)執(zhí)行器；欺騙攻擊與數(shù)據(jù)完整性攻擊類似，不同的是篡改傳輸中的數(shù)據(jù)。

圖1　信息物理系統(tǒng)的簡單閉環(huán)

1.2攻擊協(xié)同化

在對關(guān)鍵基礎(chǔ)設(shè)施的攻擊中，協(xié)同化的趨勢越來越明顯，以WAMPAC模型為例，在智能電網(wǎng)可能的協(xié)同攻擊如表2所示。

在信息物理系統(tǒng)中，攻擊協(xié)同化主要表現(xiàn)在以下三個方面：

一是對基礎(chǔ)設(shè)施的攻擊往往涉及到多個域，如在震網(wǎng)蠕蟲攻擊的特例中，既要完成外網(wǎng)對內(nèi)網(wǎng)的滲透，又要對工業(yè)控制系統(tǒng)SCADA實施控制，單個的攻擊者很難完成如此復(fù)雜的工作，需要多個專業(yè)人員的共同參與，才能實現(xiàn)最終的攻擊目標(biāo)。二是同時攻擊多個目標(biāo)，以實現(xiàn)最大的攻擊效果，以智能電網(wǎng)為例，單個節(jié)點或邊的故障可能不會對整個系統(tǒng)造成巨大的故障，為實現(xiàn)故障的快速傳播，對多個節(jié)點打擊的方式得到應(yīng)用。三是攻擊方式的協(xié)同，以Havex病毒為例，其對內(nèi)網(wǎng)的滲透方式包括惡意郵件、在正常網(wǎng)站或APP植入木馬、擺渡攻擊等多種方式，以實現(xiàn)最終的攻擊目標(biāo)。

對關(guān)鍵基礎(chǔ)設(shè)施攻擊的協(xié)同特性與傳統(tǒng)網(wǎng)絡(luò)的協(xié)同攻擊有許多不同，

傳統(tǒng)的協(xié)同攻擊指一類多個攻擊者采取分布式方式、在統(tǒng)一的攻擊策略指導(dǎo)下對同一目標(biāo)發(fā)起攻擊或探測行為，其攻擊的技術(shù)手段和攻擊步驟由統(tǒng)一的攻擊策略在各個攻擊者之間協(xié)調(diào)從而達(dá)到協(xié)同。多見于各類拒絕服務(wù)攻擊，其特點是攻擊范圍大、使用攻擊技術(shù)全面、攻擊點分布、合作實施攻擊戰(zhàn)術(shù)。優(yōu)點則是隱蔽性好、高效可靠。

首先：攻擊目標(biāo)可能不同，為實現(xiàn)最終的攻擊目的，不同的攻擊者會攻擊不同的目標(biāo)。其次：在攻擊方式上，可能不再限定于分布式方式。由組織的攻擊集團(tuán)可能集中針對目標(biāo)進(jìn)行攻擊。再次：與傳統(tǒng)攻擊現(xiàn)象不同，NERC 認(rèn)為，針對智能電網(wǎng)等基礎(chǔ)設(shè)施的協(xié)同攻擊是一類HILF事件［11］（High Impact Low Frequency）?？偟膩碚f，對關(guān)鍵基礎(chǔ)設(shè)施的協(xié)同攻擊在其表現(xiàn)出合作的一面外，也表現(xiàn)出了分工的一面。

針對協(xié)信息物理系統(tǒng)協(xié)同攻擊，已經(jīng)出現(xiàn)了一些描述攻擊的模型。Thomas在前人用Petri網(wǎng)描述協(xié)同攻擊的基礎(chǔ)上，提出了分層的協(xié)同攻擊Petri網(wǎng)模型，大大簡化了模型的復(fù)雜度。

2　攻擊檢測方法

從技術(shù)上，攻擊檢測可以分為有基于知識的攻擊檢測和基于行為攻擊檢測的?；谥R的檢測主要思想是尋找符合惡意攻擊的步驟序列，其優(yōu)點是檢測速度快，誤報率低。但其缺點是對于以前從未出現(xiàn)過的攻擊模式無能為力，因此要求知識庫能及時的更新各種攻擊特征，目前研究的熱點也是構(gòu)造盡量全面的攻擊知識庫?；谛袨榈墓魴z測則完全相反，其核心思想是，如果某個操作序列不符合正常運轉(zhuǎn)的特征，則判定為出現(xiàn)攻擊。其優(yōu)點是只需構(gòu)造一個正常運行的白名單，便能檢測出所有的攻擊行為，然而其缺點是誤報率較高，白名單可能會非常龐大，因此造成檢測開銷大。

從審查的內(nèi)容上，則包括基于主機(jī)的檢測和基于網(wǎng)絡(luò)的檢測?；谥鳈C(jī)的檢測主要檢查主機(jī)或某個節(jié)點上的日志、數(shù)據(jù)記錄實現(xiàn)，其優(yōu)點是分布式的主機(jī)能提供大量數(shù)據(jù)，特別是在一個較大的系統(tǒng)內(nèi)（如電力系統(tǒng)），內(nèi)容十分豐富，另一個優(yōu)點是容易檢測到某臺具體主機(jī)的攻擊行為。基于網(wǎng)絡(luò)的檢測則是根據(jù)網(wǎng)絡(luò)中數(shù)據(jù)和數(shù)據(jù)的變化來判斷是否遭到攻擊，其優(yōu)點是可以使主機(jī)不必記錄和存放大量的日志文件，其缺點和難點則在于，需要安裝大量的傳感器或加裝其它軟件來實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的獲取。

在具體的檢測手段上，目前主要存在以下三類：

一是基于樣本的檢測，這與傳統(tǒng)的殺毒軟件類似，當(dāng)檢測機(jī)制在系統(tǒng)內(nèi)發(fā)現(xiàn)某惡意病毒的樣本，則可以判定系統(tǒng)正在遭受攻擊，該方法實際上是基于知識的攻擊檢測的一個具體實現(xiàn)。二是對操作的時序分析，分析一系列的操作是否會對系統(tǒng)造成損害，是否違反了操作的規(guī)則，該方法是基于行為攻擊檢測的一個具體實現(xiàn)。隨著計算機(jī)硬件的發(fā)展，對某一系統(tǒng)的所有行為記錄，最后進(jìn)行大數(shù)據(jù)分析變得成為可能，從龐大的數(shù)據(jù)流中找出異常數(shù)據(jù)流，從而判別系統(tǒng)是否進(jìn)行攻擊，是大數(shù)據(jù)分析在攻擊檢測中的新應(yīng)用，但是如果系統(tǒng)過于龐大，則很難保證攻擊檢測的實時性。

同時，隨著攻擊協(xié)同化，協(xié)同檢測也變得十分有必要。曹華陽等提出了跨多個域的蠕蟲檢測機(jī)制，通過對多臺主機(jī)和網(wǎng)絡(luò)數(shù)據(jù)流的綜合分析，可以再不得到病毒樣本的情況下完成對病毒的檢測，但是其缺點是建立的白名單過于復(fù)雜，在一個大的系統(tǒng)內(nèi)很難實現(xiàn)。

3　結(jié)束語

隨著信息技術(shù)的快速發(fā)展，信息物理系統(tǒng)在現(xiàn)實生活中得到廣泛應(yīng)用，組成了支撐經(jīng)濟(jì)、社會發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施。同時，信息域接入物理域也使得通過互聯(lián)網(wǎng)遠(yuǎn)程攻擊關(guān)鍵基礎(chǔ)設(shè)施成為可能?，F(xiàn)有對信息物理系統(tǒng)安全的研究已經(jīng)成為網(wǎng)絡(luò)空間安全的熱點之一，已經(jīng)將人的因素考慮進(jìn)去。Scoot等構(gòu)建還了信息物理系統(tǒng)人機(jī)交互的博弈模型，但是，這些模型都沒能將人在信息物理系統(tǒng)安全中的地位和作用體現(xiàn)出來。要確保關(guān)鍵基礎(chǔ)設(shè)施的安全，則必須將人即社會的因素考慮進(jìn)來，構(gòu)建新的CPS（Cyber-Physical-Social）模型，只有這樣，才能更清晰的描述對關(guān)鍵基礎(chǔ)設(shè)施的攻擊過程，為關(guān)鍵基礎(chǔ)設(shè)施的防護(hù)打下堅實的基礎(chǔ)。

［1］ http：//www.dhs.gov/critical-infrastructure

［2］ Daniela T.Communication security in SCADA pipeline monitoring systems［C］，2011： 1-5.

［3］ Falliere N，Murchu L O，Chien E.W32.stuxnet dossier［J］. White paper，Symantec Corp，Security Response， 2011.

［4］ Sajal K Das， Krishna Kant， Nan Zhang，Handbook on Securing Cyber-Physical Critical Infrastructure. Elsevier’s Pervasive and Mobile Computing journal，2012，1

表2　WAMPAC模型中協(xié)同攻擊實例

［5］ Cleveland F M.Cyber security issues for advanced metering infrasttructure （ami）［C］.IEEE， 2008： 1-5.

［6］ Cardenas A A， Amin S， Sastry S. Secure control： Towards survivable cyber-physical systems［J］.2008， 1（a2）： a3.

［7］ Mo Y，Kim T H H， Brancik K，et al. Cyber-physical security of a smart grid infrastructure［J］. IEEE， 2012， 100（1）：195-209.

［8］ Shoukry Y， Araujo J， Tabuada P，et al. Minimax control for cyber-physical systems under network packet scheduling attacks［C］， ACM， 2013： 93-100.

［9］ Chen X，Makki K，Yen K，et al.Sensor network security：a survey［J］.IEEE，2009，11（2）：52-73.MLA

［10］ 經(jīng)小川，胡昌振，譚惠民.網(wǎng)絡(luò)協(xié)同攻擊及其檢測方法研究［J］.計算機(jī)應(yīng)用，2004，24（11）：25-27.

［11］ North American Electric Reliability Corporation. High-impact，low frequency event risk to the North American bulk power system.In：Jointly-commissioned summary，Report，US Department of Energy； 2009.

［12］ Chen T M，Sanchez-Aarnoutse J C，Buford J. Petri net modeling of cyber-physical attacks on smart grid［J］IEEE Transactions on Smart Grid，2011，2（4）：741-749.

［13］ Mitchell R，Chen I R.A survey of intrusion detection techniques for cyber-physical systems［J］. ACM，2014，46（4）： 55..

［14］ Huayang Cao，JinJing Zhao，Peidong Zhu， Xicheng Lu，Chonglun Zhao. Worm Detection without Knowledge Base in Industrial Networks.Journal of Communications，2013， 8（11）

［15］ Stouffer K，F(xiàn)alco J，Scarfone K.Guide to industrial control systems（ICS）security［J］.NIST， 2011， 800（82）： 16-16.

［17］ Backhaus S， Bent R， Bono J， et al. Cyber-physical security：A game theory model of humans interacting over control systems［J］. IEEE， 2013， 4（4）： 2320-2327.

A review of research on the attack and detection of information physical system

Li Chao
（Department of Military Journalism and communication，Nanjing Political College，Nanjing，Jiangsu，210003）

The existing research on the information system of physical attack and defense technology are summarized，summarizes the main categories of existing attack，summarizes the description model of aggressive behavior，and attacks on the information of the physical system is co assimilation tendency of conclusion.We also analyze the difference between the cooperative attack of the network and the traditional sense，and put forward the development direction of the attack detection of the information physical system in view of the deficiency of the existing defense measures.

information system；attack；critical infrastructure security