黃慶祥,王 堅(jiān),萬(wàn)文承,徐 杰

(武漢供電設(shè)計(jì)院有限公司，湖北 武漢 430000)

0 引言

近年來(lái)，計(jì)算機(jī)、網(wǎng)絡(luò)、通信、大數(shù)據(jù)、物聯(lián)網(wǎng)[1-2]等技術(shù)為配電自動(dòng)化系統(tǒng)[3-5](distribution automation systems，DAS)的發(fā)展奠定了基礎(chǔ)。然而，DAS建設(shè)規(guī)模及其應(yīng)用需求的擴(kuò)大增加了系統(tǒng)遭受網(wǎng)絡(luò)和物理攻擊的風(fēng)險(xiǎn)。

目前，國(guó)內(nèi)外大量學(xué)者對(duì)DAS中的安全防護(hù)[6]進(jìn)行了研究。確保DAS的安全已成為自動(dòng)化行業(yè)的關(guān)鍵挑戰(zhàn)。為了降低損失，安全技術(shù)人員可以通過(guò)對(duì)攻擊進(jìn)行合理的定量評(píng)估，以及對(duì)DAS中每個(gè)部分的攻擊概率進(jìn)行評(píng)估，以提前采取防御措施。同時(shí)，這些攻擊量化結(jié)果也可以為安全技術(shù)人員實(shí)施DAS防御系統(tǒng)提供重要參考。文獻(xiàn)[7]提出一種融合可信計(jì)算和數(shù)字證書(shū)技術(shù)的配電終端安全防護(hù)方法，有效降低了惡意入侵以及業(yè)務(wù)交互數(shù)據(jù)被非法截獲、篡改的風(fēng)險(xiǎn)。文獻(xiàn)[8]根據(jù)配電網(wǎng)主站的集中式調(diào)控功能，深入分析通信異常對(duì)系統(tǒng)故障處理過(guò)程的影響，構(gòu)建了考慮信息傳輸失效的系統(tǒng)可靠性評(píng)估模型。文獻(xiàn)[9]研究了一種新的配電自動(dòng)化故障智能檢測(cè)方法，依據(jù)零序電壓和電流夾角等因素來(lái)確定配電自動(dòng)化系統(tǒng)的故障發(fā)生位置。然而，大部分評(píng)估方法沒(méi)有對(duì)攻擊者在攻擊概率量化方面進(jìn)行研究。此外，大部分防護(hù)措施主要基于網(wǎng)絡(luò)攻擊，很少有研究涉及物理攻擊。同時(shí)，部分方法缺乏完整的攻擊過(guò)程識(shí)別方法，分析攻擊路徑的能力不足。

為了解決上述問(wèn)題，本文提出了一種從攻擊者行為的角度量化對(duì)DAS的攻擊的模型。同時(shí)，本文結(jié)合攻擊樹(shù)(attack trees，AT)模型中節(jié)點(diǎn)攻擊概率量化算法計(jì)算攻擊概率，以提高對(duì)DAS攻擊的預(yù)測(cè)準(zhǔn)確率。

1 系統(tǒng)設(shè)計(jì)

DAS具有終端數(shù)量多、架構(gòu)復(fù)雜度高、靈活性差等特點(diǎn)[10]。根據(jù)DAS的功能特點(diǎn)和安全防護(hù)要求，系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊和物理攻擊進(jìn)行嚴(yán)格防護(hù)。本文所提DAS安全體系結(jié)構(gòu)如圖1所示。

圖1 DAS安全體系結(jié)構(gòu)Fig.1 DAS security architecture

圖1所示的DAS安全體系結(jié)構(gòu)包含四個(gè)主要部分，分別為生產(chǎn)控制區(qū)、管理信息區(qū)、安全接入?yún)^(qū)和配電終端。

生產(chǎn)控制區(qū)直接管理配電自動(dòng)化系統(tǒng)的主站，并控制整個(gè)配電網(wǎng)的自動(dòng)配電調(diào)度。該區(qū)域是DAS配送計(jì)劃和生產(chǎn)服務(wù)的核心，主要包括主站服務(wù)器、主站監(jiān)控計(jì)算站、主站傳輸單元控制器以及其他易受網(wǎng)絡(luò)釣魚(yú)、分布式拒絕服務(wù)攻擊和物理攻擊的設(shè)備[11]。

管理信息區(qū)的通信方式主要基于公網(wǎng)通信。該區(qū)域通過(guò)隔離裝置連接到生產(chǎn)控制區(qū)域，從而實(shí)現(xiàn)大量數(shù)據(jù)存儲(chǔ)，因此對(duì)Web數(shù)據(jù)安全性要求比較高。

安全接入?yún)^(qū)包括無(wú)線網(wǎng)絡(luò)、采集服務(wù)器集群，以及傳輸命令和收集終端數(shù)據(jù)的前端設(shè)備等，為DAS實(shí)現(xiàn)智能配電和優(yōu)化操作提供支持。作為連接配送網(wǎng)絡(luò)核心和終端信息交換的紐帶，該區(qū)域面臨諸多安全風(fēng)險(xiǎn)，如攻擊者可以利用終端作為跳板，通過(guò)無(wú)線網(wǎng)絡(luò)執(zhí)行入侵或攻擊。

配電終端主要通過(guò)光纖與主站遠(yuǎn)程通信。該部分設(shè)備距離配電核心設(shè)備很遠(yuǎn)，是DAS中的最小功能單元，主要為配電自動(dòng)化系統(tǒng)供電。因此，該區(qū)域也是系統(tǒng)最容易受到攻擊的地方。

2 DAS攻擊量化算法

為了應(yīng)對(duì)DAS安全體系結(jié)構(gòu)中可能發(fā)生的各種安全攻擊，本節(jié)提出了一種基于AT的DAS攻擊概率量化模型。AT的每個(gè)葉節(jié)點(diǎn)代表對(duì)DAS安全體系結(jié)構(gòu)的某個(gè)組件的攻擊。AT中每條攻擊路徑的最大概率將基于通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system，CVSS)進(jìn)行評(píng)估。

2.1 DAS的AT模型

一般情況下，AT結(jié)構(gòu)中根節(jié)點(diǎn)代表攻擊的目標(biāo)?；続T模型如圖2所示。

圖2 基本AT模型Fig.2 Basic AT model

節(jié)點(diǎn)代表實(shí)施攻擊的手段。節(jié)點(diǎn)之間的關(guān)系包含以下三種情況。

①邏輯或(Or)：當(dāng)兩個(gè)節(jié)點(diǎn)E1和E2中的任意一個(gè)滿足攻擊條件時(shí)，即可以到達(dá)攻擊目標(biāo)。

②邏輯和(And)：當(dāng)節(jié)點(diǎn)E1和E2同時(shí)滿足攻擊條件時(shí)，才可以到達(dá)攻擊目標(biāo)。

③偏序(Order)：節(jié)點(diǎn)E1和E2滿足攻擊條件，且節(jié)點(diǎn)E1先于E2，才可以到達(dá)攻擊目標(biāo)。

基于AT模型的DAS主要執(zhí)行過(guò)程如圖3所示。當(dāng)AT建立時(shí)，首先對(duì)所有節(jié)點(diǎn)進(jìn)行量化；然后，計(jì)算系統(tǒng)所有路徑中成功攻擊的概率；最后，通過(guò)計(jì)算得到攻擊路徑序列，且攻擊概率最大的路徑為最優(yōu)攻擊路徑。

圖3 基于AT模型的DAS主要執(zhí)行過(guò)程Fig.3 Main execution process of DAS based on AT model

2.2 CVSS

一般情況下，CVSS使用0～10的數(shù)值來(lái)量化系統(tǒng)漏洞嚴(yán)重程度，并且可以制定嚴(yán)格的攻擊指標(biāo)，包括攻擊向量(attack vector，AV)、攻擊復(fù)雜性(attack complexity，AC)、認(rèn)證、可用性、完整性和機(jī)密性索引。CVSS由三個(gè)基本分?jǐn)?shù)指標(biāo)組成：基本分?jǐn)?shù)、時(shí)間分?jǐn)?shù)和環(huán)境分?jǐn)?shù)。其中，基本分?jǐn)?shù)包括可利用性指標(biāo)和影響指標(biāo)，代表脆弱性本身的固有特征以及這些特征可能產(chǎn)生的影響。表1所示為CVSS基本分?jǐn)?shù)的部分相關(guān)變量。評(píng)分情況可以確定漏洞所代表的攻擊概率。

表1 CVSS基本分?jǐn)?shù)的部分相關(guān)變量

2.3 攻擊概率量化

為了量化整個(gè)DAS的攻擊概率，首先必須確定DAS中每個(gè)關(guān)鍵模塊(葉節(jié)點(diǎn))的攻擊概率；其次，需要遍歷AT中的所有潛在攻擊路徑，從而計(jì)算每條路徑的概率，并確定最可能的攻擊路徑?；贑VSS特性，令葉節(jié)點(diǎn)的漏洞攻擊概率為Pa，則Pa計(jì)算式為：

(1)

式中：sb、st和se分別為基本分?jǐn)?shù)、時(shí)間分?jǐn)?shù)和環(huán)境分?jǐn)?shù)。

需注意，sb是一個(gè)強(qiáng)制性選項(xiàng)，但st和se的指標(biāo)分?jǐn)?shù)是可選的。n表示時(shí)間分?jǐn)?shù)和環(huán)境分?jǐn)?shù)的數(shù)量。此外，基本得分包括可利用性子得分ses和影響子得分sis。

此外，ses與AV、AC、權(quán)限需求(privileges required，PR)、用戶交互(user interaction，UI)之間的關(guān)系可表示為：

ses=AV×AC×PR×UI

(2)

式中：AV為AV；AC為AC；PR為PR；UI為UI。

在計(jì)算單個(gè)節(jié)點(diǎn)的攻擊概率后，計(jì)算父節(jié)點(diǎn)成功攻擊概率的計(jì)算式基于And和Or這兩個(gè)節(jié)點(diǎn)。具體可分為以下兩種情況。

①對(duì)于And或Order節(jié)點(diǎn)，當(dāng)前父節(jié)點(diǎn)G的攻擊概率可定義為子節(jié)點(diǎn)攻擊概率的乘積：

(3)

②對(duì)于Or節(jié)點(diǎn)，父節(jié)點(diǎn)G的攻擊概率可定義為子節(jié)點(diǎn)的最大攻擊概率：

Pa(G)=max[Pa(G1),Pa(G2),…,Pa(Gn)]

(4)

進(jìn)一步，從葉節(jié)點(diǎn)到根節(jié)點(diǎn)的遍歷表示DAS中可能存在的攻擊路徑。基于And和Or節(jié)點(diǎn)的攻擊概率的計(jì)算，令攻擊特定路徑Sj={Gi|i=1,2,…,n}的目標(biāo)節(jié)點(diǎn)為G，則成功攻擊的概率可計(jì)算為：

(5)

當(dāng)Pa(Sj)較高時(shí)，成功攻擊的概率和系統(tǒng)的風(fēng)險(xiǎn)因素也較高。因此，整個(gè)系統(tǒng)的最大攻擊概率可以表示為：

Pa(S)=max[Pa(S1),Pa(S2),…,Pa(Sj)]

(6)

3 數(shù)值與分析

為了驗(yàn)證攻擊概率量化算法的可行性和有效性，本節(jié)通過(guò)量化算法建立攻擊者模型。模型主要功能基于MATLAB2019A建立。其中，AT模型主要基于C++編寫(xiě)，可根據(jù)接口完成調(diào)用。此外，為消除隨機(jī)誤差帶來(lái)的干擾，本研究共進(jìn)行50次試驗(yàn)，并選取每組試驗(yàn)平均值作為最終測(cè)試結(jié)果。

3.1 試驗(yàn)設(shè)置

為簡(jiǎn)化試驗(yàn)過(guò)程，首先對(duì)攻擊者的能力、狀態(tài)和DAS相關(guān)信息進(jìn)行設(shè)定。令攻擊者可以從系統(tǒng)內(nèi)外的任何地方發(fā)起攻擊。基于攻擊者可能的最大攻擊行為，本研究采用以下假設(shè)。

①攻擊者了解DAS并掌握最新的DAS漏洞信息。

②攻擊者可以利用社會(huì)工程學(xué)(social engineering，SE)，通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，以有效地進(jìn)行攻擊。

③攻擊者在攻擊之前獲得最小預(yù)期攻擊收益。

④有效攻擊通常包括多個(gè)子攻擊。

根據(jù)攻擊者的行為以及實(shí)際系統(tǒng)各個(gè)組件的所有漏洞和可能的攻擊狀態(tài)，基于AT模型的攻擊路徑如圖4所示。

圖4 基于AT模型的攻擊路徑圖Fig.4 Attack path graph based on AT model

樹(shù)中的每個(gè)葉節(jié)點(diǎn)代表對(duì)DAS安全體系結(jié)構(gòu)的某個(gè)組件的攻擊行為。當(dāng)計(jì)算葉節(jié)點(diǎn)攻擊概率后，模型可從葉節(jié)點(diǎn)遍歷到根節(jié)點(diǎn)生成完整的攻擊路徑，同時(shí)根節(jié)點(diǎn)表示攻擊已到達(dá)G。根據(jù)攻擊類(lèi)型的不同，DAS的入侵可分為通過(guò)分布式終端和信息管理區(qū)域的網(wǎng)絡(luò)攻擊(G1)和通過(guò)生產(chǎn)控制區(qū)域的物理設(shè)備的攻擊(G2)。當(dāng)G1和G2上發(fā)生任何攻擊時(shí)，系統(tǒng)被有效攻擊并遭受損失。

AT模型中節(jié)點(diǎn)的定義如表2所示。

表2 AT模型中節(jié)點(diǎn)的定義

3.2 結(jié)果與分析

試驗(yàn)中涉及的漏洞編號(hào)主要基于每個(gè)葉節(jié)點(diǎn){Ei|i=1,2,…,11}的攻擊特征和DAS漏洞評(píng)估建立。同時(shí)，系統(tǒng)組件漏洞不是當(dāng)前DAS中可完全利用的漏洞，而是同一類(lèi)型的不同供應(yīng)商組件的漏洞。表3所示為DAS組件以及攻擊概率統(tǒng)計(jì)結(jié)果。通過(guò)表3可知，節(jié)點(diǎn)E7攻擊概率最高，而節(jié)點(diǎn)E6攻擊概率最低。

表3 DAS組件以及攻擊概率統(tǒng)計(jì)結(jié)果

在葉節(jié)點(diǎn)攻擊概率的基礎(chǔ)上，試驗(yàn)可以通過(guò)組合方式計(jì)算每個(gè)攻擊路徑的概率。表4所示為攻擊路徑概率統(tǒng)計(jì)結(jié)果。通過(guò)表4可以看出，攻擊概率超過(guò)50%以上的路徑有兩個(gè)：其一為S2(E1,E3,G1,G)，攻擊概率為54.97%；其二為S4(E1,E5,G1,G)，攻擊概率為59.58%。

表4 攻擊路徑概率統(tǒng)計(jì)結(jié)果

3.3 交叉對(duì)比

本節(jié)將本文所提攻擊概率量化模型與Bayes模型進(jìn)行比較。Bayes模型[12]是一種經(jīng)典的機(jī)器學(xué)習(xí)模型，可用來(lái)描述兩個(gè)條件概率的直接關(guān)系。表5所示為不同方法對(duì)比結(jié)果。

表5 不同方法對(duì)比結(jié)果

由表5可知，在評(píng)估路徑S2和S4時(shí)，本文模型比Bayes方法獲得更高的攻擊概率。在圖1所示的DAS安全體系結(jié)構(gòu)中，路徑S2和S4上的攻擊概率最高。本文所提模型和Bayes模型兩種方法得到的攻擊序列的概率結(jié)果略有不同，但S2和S4都是風(fēng)險(xiǎn)概率最高的攻擊路徑。這也驗(yàn)證了本文模型的可靠性和有效性。另一方面，在S2和S4條件下，本文模型概率高于Bayes方法概率4.02%～6.11%。仿真結(jié)果表明，本文模型攻擊概率高于Bayes方法。試驗(yàn)結(jié)果有助于安全從業(yè)者更加重視DAS危險(xiǎn)組件的保護(hù)。綜上，攻擊者最有效的攻擊序列為S2和S4，相應(yīng)的攻擊方法為分布式拒絕服務(wù)攻擊和網(wǎng)站入侵。因此，DAS安全從業(yè)人員應(yīng)該花更多時(shí)間專(zhuān)注于防御這些相關(guān)的攻擊和系統(tǒng)漏洞。

4 結(jié)論

本文對(duì)配電終端及配電自動(dòng)化中可能存在的隱私安全問(wèn)題進(jìn)行了研究與分析，提出了基于AT模型的DAS攻擊量化算法，從而確定DAS危險(xiǎn)組件。首先必須確定DAS中每個(gè)葉節(jié)點(diǎn)的攻擊概率。其次，遍歷AT中的所有潛在攻擊路徑，從而計(jì)算每條路徑的攻擊概率，并確定最可能的攻擊路徑。本文模型可為DAS安全從業(yè)人員專(zhuān)注于防御相關(guān)的攻擊和系統(tǒng)漏洞提供一定借鑒。