潘潔，葉蘭，趙賀，張鑫磊

（1. 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080；2. 中國移動(dòng)通信集團(tuán)，北京 100032； 3. 中國移動(dòng)通信集團(tuán)采購共享服務(wù)中心，北京 100053）

0 引言

工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與工業(yè)經(jīng)濟(jì)深度融合形成的新興業(yè)態(tài)和應(yīng)用模式，是實(shí)現(xiàn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)。隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合，越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域，使工業(yè)控制系統(tǒng)與信息網(wǎng)絡(luò)聯(lián)系更加緊密。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。由于兩化融合和工業(yè)4.0的影響，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全成為研究熱點(diǎn)，其中如何主動(dòng)防御黑客對工控系統(tǒng)或工控網(wǎng)絡(luò)的攻擊成為備受關(guān)注的安全焦點(diǎn)。隨著工業(yè)控制系統(tǒng)的不斷開放和互聯(lián)互通，工業(yè)控制系統(tǒng)及工業(yè)互聯(lián)網(wǎng)設(shè)備的安全脆弱性逐漸凸顯。通用軟硬件和網(wǎng)絡(luò)設(shè)施的廣泛使用，打破了傳統(tǒng)工業(yè)控制系統(tǒng)與信息網(wǎng)絡(luò)的“隔離”，在不斷促進(jìn)工業(yè)互聯(lián)網(wǎng)發(fā)展和壯大的同時(shí)，傳統(tǒng)互聯(lián)網(wǎng)所面臨的安全問題逐漸滲透到工業(yè)互聯(lián)網(wǎng)中。和普通的互聯(lián)網(wǎng)相比，工業(yè)互聯(lián)網(wǎng)的特征更加復(fù)雜，不僅涉及的設(shè)備種類更多更復(fù)雜，其布置的網(wǎng)點(diǎn)也更加密集，所以對它構(gòu)成安全威脅的因素更多。在社會(huì)的各個(gè)領(lǐng)域中，新技術(shù)的應(yīng)用范圍越來越廣，這些新的計(jì)算機(jī)技術(shù)對社會(huì)生產(chǎn)和經(jīng)濟(jì)的發(fā)展起到了極大的推動(dòng)作用，但同時(shí)埋下了不少安全隱患。近年來，越來越多網(wǎng)絡(luò)安全攻擊的矛頭指向了工業(yè)控制系統(tǒng)。2010年，伊朗的布什爾核電站遭到了蠕蟲病毒Stuxnet的攻擊[1]。此后，有許多針對工業(yè)互聯(lián)網(wǎng)的病毒被發(fā)現(xiàn)，如Night Dragon[2]、Flame[3]、Duqu/Duqu2.0[4]、Blaster[5]和BlackEnergy[6]等。其中典型的可編程邏輯控制器（PLC，programmable logic controller）蠕蟲Blaster只能存在于PLC，并且可以在不涉及任何計(jì)算機(jī)的情況下通過西門子SIMATIC S7-1200的控制系統(tǒng)進(jìn)行傳播，PLC Blaster可以掃描工業(yè)互聯(lián)網(wǎng)以尋找新目標(biāo)，進(jìn)而攻擊PLC并在受感染的PLC中完成自我復(fù)制。2019年，委內(nèi)瑞拉電網(wǎng)工業(yè)控制系統(tǒng)遭受攻擊導(dǎo)致全國大規(guī)模停電[7]。這些攻擊行為不僅對工控系統(tǒng)本身造成了破壞，而且嚴(yán)重影響了人們正常的生產(chǎn)生活。

目前，應(yīng)用于工業(yè)互聯(lián)網(wǎng)的安全防御方法主要是被動(dòng)防御技術(shù)，如防火墻、入侵檢測/預(yù)防系統(tǒng)、數(shù)據(jù)泄露預(yù)防系統(tǒng)等。此類安全防御方法大多部署于網(wǎng)絡(luò)邊界，且工業(yè)互聯(lián)網(wǎng)所面臨的安全威脅大多來源于IT（Internet technology）網(wǎng)絡(luò)，因此其在工業(yè)互聯(lián)網(wǎng)與IT網(wǎng)絡(luò)的邊界處仍能起到較好的威脅檢測作用。然而，這些傳統(tǒng)防御方法在防護(hù)能力的靜態(tài)性、防護(hù)措施的被動(dòng)性和對于新的網(wǎng)絡(luò)攻擊的不適用性等方面的不足，導(dǎo)致其已無法應(yīng)對日趨嚴(yán)峻的網(wǎng)絡(luò)攻擊形勢。此外，工業(yè)互聯(lián)網(wǎng)本身在安全防御方面存在諸多脆弱性和行業(yè)特殊要求。例如，工控協(xié)議和工業(yè)控制系統(tǒng)均缺乏內(nèi)置安全機(jī)制；工業(yè)控制系統(tǒng)處理能力較弱，具有系統(tǒng)更新較為滯后等特點(diǎn)?；谏鲜銮闆r，為了解決工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域所面臨的問題，需要從根本上了解工控蠕蟲在工業(yè)互聯(lián)網(wǎng)中的傳播規(guī)律并提出相應(yīng)的抑制策略。因此，對于工業(yè)互聯(lián)網(wǎng)中蠕蟲的傳播行為進(jìn)行建模分析尤為必要。

網(wǎng)絡(luò)隔離就是一旦發(fā)現(xiàn)被蠕蟲感染的主機(jī)設(shè)備就對其進(jìn)行隔離，再對其進(jìn)行修復(fù)，這樣能減少被感染的主機(jī)設(shè)備繼續(xù)感染其他設(shè)備的可能性。補(bǔ)丁是在網(wǎng)絡(luò)安全領(lǐng)域中使用的一種修復(fù)技術(shù)，它可以為易受攻擊的主機(jī)設(shè)備提供臨時(shí)保護(hù)，使其在更新軟件的過程中免于蠕蟲的攻擊。在此基礎(chǔ)上，本文提出了一個(gè)傳染病模型來分析蠕蟲可能的傳播趨勢。惡意軟件的傳播與傳染病的傳播極為相似[8]，20世紀(jì)80年代，Cohen等[9]先后借鑒研究傳染病傳播的方法，建立了研究網(wǎng)絡(luò)惡意軟件的動(dòng)力學(xué)模型。在Code Red事件發(fā)生后，Staniford等[10]率先基于SEM（simple epidemic model）對Code Red的傳播行為進(jìn)行了分析，模型很好地匹配了觀測到的蠕蟲上升期數(shù)據(jù)。為了了解蠕蟲的傳播行為，Rey等[11]基于隨機(jī)復(fù)雜網(wǎng)絡(luò)建立了惡意軟件的傳播模型，模型是基于個(gè)體的并通過元胞自動(dòng)機(jī)進(jìn)行描述；Hosseini等[12]針對無標(biāo)度網(wǎng)絡(luò)對蠕蟲病毒的傳播建立了理論模型，并且提出了模型的新版本；Kupennan和Agiza研究了小世界效應(yīng)對蠕蟲傳播行為的影響[13-14]；Yuan[15]基于仿真系統(tǒng)對蠕蟲在工業(yè)復(fù)雜網(wǎng)絡(luò)中的傳播進(jìn)行了模擬；近年來，有學(xué)者利用SIS（Susceptible Infected Susceptible）模型研究了惡意軟件在移動(dòng)電話間的傳播過程[16]；基于SIS模型提出了僵尸網(wǎng)絡(luò)的優(yōu)化傳播策略[17]；建立了一種高級的混合式P2P僵尸網(wǎng)絡(luò)的傳播模型[18]；蘇飛等[19]分析了一種能夠在IPv6網(wǎng)絡(luò)中大規(guī)模傳播的混合式惡意軟件的傳播模型。

目前，對工控網(wǎng)絡(luò)蠕蟲的研究較少，由于真實(shí)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)較為復(fù)雜，以往的一些傳播模型難以準(zhǔn)確描述工控蠕蟲實(shí)際的傳播過程，并且少有針對惡意軟件提出有效的對抗策略。因此，本文通過數(shù)學(xué)建模方法研究工控網(wǎng)絡(luò)中蠕蟲的傳播規(guī)律，確定其中關(guān)鍵因素，從而構(gòu)建合理的傳播模型。由于蠕蟲的傳播過程非常復(fù)雜，其傳播參數(shù)的變化對其傳播過程具有巨大影響。目前，在抑制策略的研究中多采用數(shù)學(xué)建模和傳播仿真的方法。由于惡意軟件傳播的動(dòng)力方程的分析和求解困難，惡意軟件傳播動(dòng)力系統(tǒng)中各參數(shù)的演化規(guī)律難以量化和分析。這就使網(wǎng)絡(luò)本身的多變性對于惡意代碼抑制策略的影響無法得到有效的定量分析，導(dǎo)致無法對抑制策略進(jìn)行有效的預(yù)測，嚴(yán)重的甚至?xí)?dǎo)致系統(tǒng)失穩(wěn)，影響工控網(wǎng)絡(luò)的正常運(yùn)行。為了研究蠕蟲在工控網(wǎng)絡(luò)中的傳播特點(diǎn)和抑制策略，本文基于傳染病模型的基本思想，在SEM模型的基礎(chǔ)上提出了網(wǎng)絡(luò)隔離和補(bǔ)丁的措施，并建立了相應(yīng)的傳染病模型來分析工控蠕蟲的傳播趨勢和防御策略。

1 SEIPQR模型

為了抑制蠕蟲在工控網(wǎng)絡(luò)中的傳播，減少被蠕蟲感染的工控設(shè)備的數(shù)量，一般的做法是先識別已經(jīng)被蠕蟲感染的工控設(shè)備，然后對被感染的工控設(shè)備進(jìn)行免疫。隨著網(wǎng)絡(luò)帶寬的持續(xù)增加以及黑客技術(shù)的不斷提升，蠕蟲的傳播速度越來越快，對感染節(jié)點(diǎn)進(jìn)行免疫的速度已經(jīng)無法跟上蠕蟲感染的速度。本文提出集隔離保護(hù)和打補(bǔ)丁于一體的蠕蟲抑制策略來限制蠕蟲在工控耦合網(wǎng)絡(luò)中的傳播。

1.1 模型的建立

首先使用入侵檢測方法，通過入侵檢測系統(tǒng)發(fā)現(xiàn)被蠕蟲感染的工控設(shè)備。當(dāng)入侵檢測系統(tǒng)發(fā)現(xiàn)其被蠕蟲感染后，立即通過斷電等方式將其從網(wǎng)絡(luò)中隔離，這樣能有效防止其繼續(xù)感染網(wǎng)絡(luò)中的其他工控設(shè)備。對于易感染和暴露的設(shè)備，通過及時(shí)打補(bǔ)丁使其具有免疫的效果。即使它們沒有被蠕蟲感染，也可提前對其進(jìn)行保護(hù)，預(yù)防其將來可能被蠕蟲感染。當(dāng)設(shè)備被隔離和打補(bǔ)丁后，會(huì)變?yōu)槊庖郀顟B(tài)。

根據(jù)上述思想，模型中的設(shè)備可以分為以下6種狀態(tài)。

1) 易感染（susceptible）狀態(tài)：工控設(shè)備存在漏洞，容易遭受蠕蟲攻擊，當(dāng)蠕蟲掃描發(fā)現(xiàn)后，該設(shè)備就會(huì)處于暴露狀態(tài)。

2) 暴露（exposed）狀態(tài)：工控設(shè)備暴露在外部網(wǎng)絡(luò)環(huán)境中，處于感染狀態(tài)的主機(jī)有概率會(huì)被蠕蟲感染。

3) 打補(bǔ)丁（patched）狀態(tài)：對于易感染和暴露的設(shè)備，及時(shí)對其打補(bǔ)丁。

4) 感染（infected）狀態(tài)：設(shè)備已經(jīng)被蠕蟲感染并能感染網(wǎng)絡(luò)中其他工控設(shè)備。

5) 隔離（quarantine）狀態(tài)：將被蠕蟲感染的設(shè)備進(jìn)行隔離，使其從網(wǎng)絡(luò)中暫時(shí)離開。

6) 免疫（recovered）狀態(tài)：設(shè)備通過隔離打補(bǔ)丁等方式獲得對蠕蟲的免疫力。

此外，各個(gè)設(shè)備有一定的概率接入網(wǎng)絡(luò)和離開網(wǎng)絡(luò)。其中接入網(wǎng)絡(luò)的易感染設(shè)備概率為p，接入網(wǎng)絡(luò)的免疫設(shè)備概率為1?p，離開網(wǎng)絡(luò)的概率為μ。這樣可以使模型計(jì)算中保持總設(shè)備數(shù)量不變，方便對蠕蟲傳播的趨勢進(jìn)行分析。為了形象地表示SEIPQR模型的狀態(tài)轉(zhuǎn)換過程，結(jié)合以上的設(shè)備狀態(tài)描述得到SEIPQR模型的狀態(tài)轉(zhuǎn)換圖，如圖1所示。

圖1 SEIPQR模型狀態(tài)轉(zhuǎn)換圖Figure 1 State transition of the SIQMR model

根據(jù)狀態(tài)轉(zhuǎn)換過程，可以得到SEIPQR模型的微分方程組。

其中，N為系統(tǒng)中總設(shè)備數(shù)量，β為工控設(shè)備暴露的概率，α1和α2分別是易感染設(shè)備和暴露設(shè)備成功打補(bǔ)丁的概率，ρ為暴露設(shè)備被感染的概率，σ為感染設(shè)備的隔離率，γ為感染設(shè)備的免疫率，δ表示隔離后設(shè)備變?yōu)槊庖郀顟B(tài)的概率，ω表示打補(bǔ)丁后設(shè)備變?yōu)槊庖郀顟B(tài)的概率。

1.2 模型的平衡點(diǎn)

本節(jié)對模型的動(dòng)力學(xué)特性進(jìn)行推導(dǎo)，進(jìn)而分析蠕蟲的傳播特點(diǎn)。借鑒Sen等[20]提出的求解基本再生數(shù)R0的方法，對本文模型的基本再生數(shù)進(jìn)行求解并分析系統(tǒng)的無病平衡點(diǎn)。無病平衡點(diǎn)，即暴露主機(jī)和感染主機(jī)的數(shù)量是0。在無病平衡點(diǎn)狀態(tài)下，方程組(1)可以寫成以下形式。

令E(t)=I(t)=0，代入上式中，無病平衡點(diǎn)(S*,E*,I*,Q*,P*)可以表示為

定理1當(dāng)基本再生數(shù)R0<1時(shí)，系統(tǒng)(2)是漸進(jìn)穩(wěn)定的；當(dāng)R0>1時(shí)，系統(tǒng)是不穩(wěn)定的。

證明求出系統(tǒng)(2)的特征方程(5)，求解特征方程(5)可得其特征根有負(fù)實(shí)部，即λ1=?(μ+α1)，λ2=?(μ+w)和λ3=?(μ+δ)，以及(λ+μ+α1)? (λ+μ+ω)(λ+μ+δ)(λ2+cλ+d)=0的根。

其中

當(dāng)R0<1時(shí)，d>0

根據(jù)Routh-Hurwitz準(zhǔn)則，當(dāng)且僅當(dāng)特征根為負(fù)值時(shí)，系統(tǒng)的無病平衡點(diǎn)是穩(wěn)定的?？梢缘玫?，當(dāng)R0<1時(shí)，系統(tǒng)(2)是漸進(jìn)穩(wěn)定的；當(dāng)R0>1時(shí)，系統(tǒng)是不穩(wěn)定的。

2 數(shù)值仿真實(shí)驗(yàn)

本節(jié)進(jìn)行了數(shù)值實(shí)驗(yàn)以分析工控蠕蟲的傳播特點(diǎn)，并展示了模型的動(dòng)力學(xué)特性。在實(shí)驗(yàn)中，不同的基本再生數(shù)R0對應(yīng)無病平衡點(diǎn)和地方病平衡點(diǎn)。仿真實(shí)驗(yàn)可以從動(dòng)力學(xué)上驗(yàn)證推導(dǎo)的結(jié)果，數(shù)值曲線和仿真曲線的擬合程度可以驗(yàn)證其準(zhǔn)確性。為了模擬蠕蟲在網(wǎng)絡(luò)中的傳播，實(shí)驗(yàn)中假設(shè)網(wǎng)絡(luò)中節(jié)點(diǎn)總數(shù)為N=1000000。表1給出了無病平衡點(diǎn)的參數(shù)。

表1 無病平衡點(diǎn)的參數(shù)Table 1 Parameters for disease-free equilibrium

通過上文的推導(dǎo)可知，當(dāng)R0<1時(shí)，系統(tǒng)存在無病平衡點(diǎn)。令α1=0.0006，α2=0.00001，ρ=0.003，則R0<1。圖2展示了系統(tǒng)的無病平衡狀態(tài)，即感染狀態(tài)的主機(jī)數(shù)量為0。圖中實(shí)線是數(shù)值（num）結(jié)果，虛線是仿真（sim）結(jié)果?？梢钥闯龆叩臄M合程度較好，這就可以驗(yàn)證上文推導(dǎo)結(jié)果的準(zhǔn)確性。

圖2 SEIPQR模型的無病平衡點(diǎn)Figure 2 The disease-free equilibrium of SEIPQR model

當(dāng)R0<1時(shí)，為了驗(yàn)證打補(bǔ)丁的效果，分別令令α1=0.0015，α1=0.0025，α1=0.0035，然后對相應(yīng)的感染設(shè)備數(shù)量進(jìn)行對比。在圖3中可以看出，當(dāng)易感染設(shè)備成功打補(bǔ)丁的概率增大時(shí)，感染設(shè)備的數(shù)量會(huì)明顯下降。這說明對易感染設(shè)備打補(bǔ)丁可以有效抑制蠕蟲的傳播。

圖3 不同打補(bǔ)丁概率α1的對比Figure 3 Comparison of infected hosts with different parameterα1

類似地，實(shí)驗(yàn)還對比了參數(shù)α2和隔離率σ變化時(shí)感染主機(jī)的數(shù)量。圖4和圖5分別展示了這兩組對比的結(jié)果，從圖中可以看出感染主機(jī)數(shù)量的變化不大，這說明參數(shù)α2和σ對于蠕蟲傳播的影響并沒有參數(shù)α1大。由此可知，在抑制蠕蟲傳播的過程中，應(yīng)當(dāng)重點(diǎn)對易感染設(shè)備及時(shí)打補(bǔ)丁。

圖4 不同打補(bǔ)丁概率α2的對比Figure 4 Comparison of infected hosts with different parameterα2

圖5 不同隔離率σ的對比Figure 5 Comparison of infected hosts with different parameterσ

當(dāng)R0>1時(shí)，系統(tǒng)存在無病平衡點(diǎn)。令α1=0.0015，α2=0.0035，ρ=0.023，則R0>1。圖6展示了模型的地方病平衡狀態(tài)，此時(shí)感染設(shè)備的數(shù)量不為0。隨后，為了比較感染率ρ對蠕蟲傳播的影響，分別令ρ=0.002，ρ=0.003，ρ=0.004進(jìn)行對比實(shí)驗(yàn)。從圖7中可以看出，感染率越大，感染設(shè)備的數(shù)量也就越多。這說明在蠕蟲傳播的過程中，可以通過降低感染率來抑制蠕蟲的傳播。

圖6 模型的地方病平衡點(diǎn)Figure 6 The endemic equilibrium of SEIPQR model

圖7 不同感染率ρ的對比Figure 7 Comparison of infected hosts with different parameterρ

根據(jù)以上實(shí)驗(yàn)結(jié)果和分析，本文提出的SEIPQR模型可以準(zhǔn)確地描述蠕蟲在工控網(wǎng)絡(luò)中的動(dòng)力學(xué)特性。此外，實(shí)驗(yàn)結(jié)果說明，網(wǎng)絡(luò)隔離和補(bǔ)丁策略可以有效抑制工控蠕蟲的傳播。本文在工控網(wǎng)絡(luò)中，通過建立基于網(wǎng)絡(luò)隔離和補(bǔ)丁傳播模型，來分析影響蠕蟲傳播的關(guān)鍵因素，可以準(zhǔn)確地推測蠕蟲攻擊工控設(shè)施的過程，從而有效地控制蠕蟲的爆發(fā)。通過這種數(shù)學(xué)手段，可以更加清晰地展示蠕蟲的傳播規(guī)律和全局性，對蠕蟲的了解更加深刻，提出的對抗策略更具有實(shí)用性。在實(shí)際的防御過程中，結(jié)合蠕蟲傳播模型，決策者能夠有效地提出蠕蟲在工控網(wǎng)絡(luò)中的抑制策略。本文將傳播動(dòng)力學(xué)的研究方法應(yīng)用到工控蠕蟲傳播與抑制的研究中，為工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的研究提供一種新的思路。

3 結(jié)束語

本文在工業(yè)互聯(lián)網(wǎng)的背景中，結(jié)合網(wǎng)絡(luò)隔離和補(bǔ)丁提出了針對工控蠕蟲傳播的防御策略。在此基礎(chǔ)上利用傳染病模型的原理，建立了SEIPQR模型。本文在該模型的基礎(chǔ)上分析了工控蠕蟲在工業(yè)互聯(lián)網(wǎng)中的傳播特點(diǎn)，求解了動(dòng)力系統(tǒng)的基本再生數(shù)，并據(jù)此論證了蠕蟲傳播的無病平衡點(diǎn)。此外，本文給出的數(shù)值仿真實(shí)驗(yàn)結(jié)果很好地驗(yàn)證了模型的準(zhǔn)確性和防御策略的有效性，參數(shù)對比實(shí)驗(yàn)也為如何更好地抑制工控蠕蟲傳播提供了可靠的參考。