王金芳, 郭淵博

(信息工程大學密碼工程學院, 鄭州 450001)

物理信息系統(tǒng)(cyber physical system,CPS)是物理系統(tǒng)和信息系統(tǒng)強耦合的系統(tǒng),廣泛應用于電網、通信、交通、醫(yī)療和國防等關鍵基礎設施領域。CPS依賴于操作技術(operational technology,OT)網絡來實時監(jiān)測和控制物理基礎設施,而OT網絡和信息技術(information technology,IT)網絡集成,使得傳統(tǒng)的分段和氣隙OT系統(tǒng)與IT系統(tǒng)相互連接,引發(fā)了許多網絡安全問題[1]。以電力系統(tǒng)為例,對電力系統(tǒng)進行網絡攻擊會造成嚴重的破壞,導致電力中斷。2015年和2016年烏克蘭電網遭受的網絡攻擊揭示了惡意攻擊者是如何通過未經授權的訪問入侵公司IT網絡、進入OT網絡,干擾電力系統(tǒng)的運行[2-3]。CPS容易受到網絡威脅,因為現有的OT系統(tǒng)的設計沒有考慮到網絡安全問題,OT設備只有有限的網絡安全控制,網絡安全控制可能與OT系統(tǒng)的可用性和實時性需求發(fā)生沖突[4]。網絡攻擊對物理信息系統(tǒng)造成的威脅促使人們研究開發(fā)精確的CPS模型和方法,以進行影響分析和風險評估。許多CPS風險評估方法包括使用馬爾可夫鏈[5]和貝葉斯網絡[6]進行概率分析,采用蒙特卡羅模擬方法研究最關鍵的攻擊場景[7],根據設備損壞、人員傷亡和環(huán)境破壞等定性因素進行影響分析[8]。

目前,CPS在網絡攻擊下的風險評估研究尚處于起步階段,大多只針對OT系統(tǒng)或IT系統(tǒng)一個CPS層的影響進行評估,且很少考慮攻擊行為過程的特點。吳義堯[9]提出一種基于貝葉斯攻擊圖的量化評估方法,對攻擊圖算法進行改進,提出攻擊圖頂點的脆弱性因子概念,實現對各類跨空間連鎖故障危害的定量評估,但在定量評估過程中沒有考慮實際損失。孫子文等[10]提出了一種考慮防護系統(tǒng)作用的工業(yè)控制系統(tǒng)網絡安全風險評估方法,采用期望負荷削減量(expected load curtailment,ELC)指標來量化網絡攻擊造成的潛在系統(tǒng)損失。Jha等[11]僅從物理方面對風險進行量化,提出了一種考慮運行和電網風險的配電網風險定量評價方法。Stellios等[12]提出了一種綜合方法來分析和設計給定的CPS網絡安全系統(tǒng),使用網絡和數據流模型分析網絡系統(tǒng),識別物理威脅,但沒有考慮攻擊者擁有不同的知識和技能。在此基礎上,Wang等[13]通過關聯算法建立了潛在的攻擊路徑,綜合考慮攻擊者的能力、攻擊行為的特點和目標網絡的特點,分析攻擊路徑的選擇概率,從信息端和物理端建立攻擊動作層和攻擊目標層的影響因素,進而定量分析整個CPS受到攻擊的發(fā)生率,但缺乏對網絡攻擊過程的建模。Zhang等[14]提出了一種CBTC系統(tǒng)的網絡安全風險評估方法,根據節(jié)點的工作狀態(tài)、邊緣的連通性分析移動權限路徑的連通性,引入攻擊圖來量化CBTC網絡世界中多個漏洞的潛在攻擊概率,但在對信息資產進行定量分析的過程中,沒有考慮到業(yè)務需求和應用背景造成的信息屬性權重的差異。

綜上所述,CPS的風險評估存在一些問題,如指標選擇和量化過程中考慮的因素不完整,網絡側和物理側風險的量化不準確等。攻擊圖通?；诟怕誓Ｐ?通過檢查已識別的通信網絡漏洞之間的相互依賴性來識別可能的攻擊路徑[15-16]。然而,對關鍵基礎設施的網絡攻擊進行準確的風險評估需要CPS特定領域的攻擊圖,考慮攻擊者的行為,并通過定量標準進行影響分析。

為了解決這一問題,實現對網絡攻擊威脅下CPS脆弱性的定量評估,以一個典型電力系統(tǒng)為例,提出了一種基于CPS領域攻擊圖的物理信息系統(tǒng)定量風險評估方法。首先對物理信息系統(tǒng)進行建模,包括網絡系統(tǒng)建模和電力系統(tǒng)建模;然后,考慮攻擊者的約束條件,包括攻擊者的能力、攻擊行為的特點、成本效益和被攻擊節(jié)點的數量,利用攻擊圖建立攻擊行為過程模型完成攻擊路徑的分析和攻擊成功率的計算;最后,從信息側和物理側分析網絡層和電力系統(tǒng)層的影響因素,進而定量分析網絡攻擊對電力系統(tǒng)實時運行的影響,以提高網絡攻擊影響后果分析的全面性和準確性,更好的維持 CPS 的穩(wěn)定運行。

1 物理信息系統(tǒng)建模

CPS模型捕獲電力系統(tǒng)的動態(tài)行為,用于研究網絡攻擊引起的級聯故障。對網絡系統(tǒng)和物理系統(tǒng)進行了建模和協同模擬,建立全面的CPS模型。由此,研究物理電力系統(tǒng)與OT網絡的相互依賴關系。

1.1 網絡系統(tǒng)建模

網絡系統(tǒng)建模如圖1所示,顯示了從站控層到過程層以及與控制中心和發(fā)電站的連接,OT系統(tǒng)由兩種類型的網絡組成,分別是數字變電站的局域網(LAN)和用于變電站和控制中心通信的廣域網(WAN)。局域網由各種OT設備組成,如合并單元、路由器、網絡交換機、智能電子設備(intelligent electronic device,IED)、智能終端和工程師工作站等?；贑PS的廣域網去中心化概念[17],其架構由特定的變電站組成,作為其他變電站和控制中心的樞紐,所有的測控報文在變電站和控制中心之間的通信均采用TCP/IP協議。

1.2 電力系統(tǒng)建模

在物理系統(tǒng)層,對發(fā)電機的控制方案進行建模,以研究電力系統(tǒng)的動態(tài)行為,即調速器和自動電壓調節(jié)器(automatic voltage regulator,AVR)。多個協調保護方案為線路和發(fā)電機建模,可以在時域仿真中斷開電力系統(tǒng)元素,導致級聯故障。發(fā)電機的接口保護方案包括過/欠電壓保護、過/欠頻率保護、頻率變化率、超通量、失步等,保護設置是根據國家電網規(guī)范和《交流發(fā)電機保護指南》(IEEE C37.102—1996)選擇的[18]?？紤]基于低頻率和低電壓條件的減載方案,利用時域仿真分析了電力系統(tǒng)的穩(wěn)定性和級聯效應。

2 物理信息系統(tǒng)風險評估模型

基于1節(jié)的建模方法充分考慮了影響網絡攻擊的因素,對網絡系統(tǒng)和電力系統(tǒng)進行分析,以攻擊斷路器和自動電壓調節(jié)器造成的負載損耗和電壓損耗作為物理后果,定量分析了CPS的風險。風險、攻擊可能性以及對CPS的影響之間的關系如式(1)所示。

(1)

2.1 基于攻擊圖的攻擊成功率和攻擊增益計算

攻擊圖可以描述攻擊者成功完成對目標的攻擊路徑,攻擊成功率和攻擊增益計算是從攻擊圖中判斷攻擊者可能選擇最優(yōu)攻擊路徑的重要依據。將設備作為攻擊圖的狀態(tài)節(jié)點,設備之間的有向邊代表一個攻擊過程,有向邊利用設備的相關漏洞完成攻擊過程滲透。攻擊圖可以定義為AG=(S,E,P,B,C),其中,S為屬性狀態(tài)節(jié)點集;E為有向邊的集合;P為單步攻擊成功概率集;Pi為狀態(tài)節(jié)點Si到Si+1的轉移概率;B為單步攻擊收益,即每次攻擊對系統(tǒng)的威脅;C為單步攻擊的攻擊代價。

2.1.1 單步攻擊成功率和攻擊增益計算

網絡攻擊是一個攻防對抗的過程。攻擊者單步攻擊的成功與否,不僅與節(jié)點漏洞本身的固有屬性有關,還與攻擊者掌握的能力程度密切相關。則節(jié)點Si上漏洞i被成功攻擊的概率可表示為

(2)

(3)

式(3)中:AVi、ACi、PRi和UIi分別為漏洞在CVSS中基本屬性組的攻擊向量、攻擊復雜度、權限要求和用戶交互,均表示該漏洞的靜態(tài)特征得分;REi和EXi分別為漏洞的補丁修復程度和漏洞暴露程度,表示該漏洞的動態(tài)特征得分;ω、δ、γ、ξ、θ、λ分別為不同因素對漏洞被成功利用概率影響的權重。

在CVSS評分標準中取值如表1所示。其中攻擊向量有4種取值,由低到高依次表示攻擊者可以通過遠程網絡/需要從位于同一物理或邏輯網絡中的主機上/通過本地或依靠另一個攻擊者的用戶交互/接觸或操作易受攻擊的組件利用該漏洞發(fā)起攻擊;攻擊復雜度有3種取值,由低到高依次表示攻擊復雜度的增加;權限要求有3種取值,由低到高依次表示對權限要求的增加;用戶交互包括不需要任何用戶交互和需要用戶交互才能利用該系統(tǒng)兩種取值。

表1 靜態(tài)特征取值范圍Table 1 Static feature value range

對于漏洞修復程度REi及漏洞暴露程度EXi,可以使用Weibull分布和Pareto分布進行計算,計算公式分別為

(4)

(5)

式中:Ti為漏洞i的發(fā)布時長;α、β分別為Weibull分布和Pareto分布的參數。

(6)

式(6)中:k為攻擊者對知識的熟練程度,且k∈[0,1];Ni為漏洞的總數;t為攻擊者對漏洞i的攻擊次數。

單步攻擊增益是攻擊者發(fā)起每一步攻擊所獲得的收益,可表示為

(7)

式(7)中:BSi和BSi+1分別為入侵系統(tǒng)節(jié)點Si和Si+1對網絡的威脅值,即節(jié)點Si到Si+1的單步攻擊增益;CSi為節(jié)點Si的可利用漏洞i的攻擊復雜度,取值范圍為[1,10],即攻擊節(jié)點Si的攻擊代價。

2.1.2 累積攻擊成功率和攻擊增益計算

在攻擊圖中,一個頂點能夠到達目標的必要條件是其所依賴的其他頂點已經到達。因此,除了路徑的起始頂點,其他頂點都需要對單個概率進行累積。頂點之間有兩種因果關系,即析取關系和合取關系。為了成功攻擊目標節(jié)點,通過遍歷攻擊圖中的每條攻擊路徑,根據攻擊圖節(jié)點的析取關系和合取關系分別進行概率計算,得到成功攻擊目標的概率為

(8)

單步累積攻擊增益是攻擊者通過多次入侵學習,從節(jié)點Si入侵到節(jié)點Sn獲得的攻擊增益,如公式(9)所示。

(9)

2.2 網絡攻擊的后果

在評估CPS的風險時,不僅需要評估網絡系統(tǒng)的損失,還需要評估攻擊對實際電力系統(tǒng)造成的故障損失。

2.2.1 網絡系統(tǒng)層的影響

網絡攻擊的本質是利用安全漏洞破壞通信設備信息的保密性、完整性和可用性,從而破壞電力系統(tǒng)的正常運行[20]。通過從控制中心發(fā)送到間隔層OT設備的數據包時延來評估網絡攻擊對CPS通信網絡的影響。影響OT網絡流量的特定攻擊會增加通信延遲,如DoS (denial-of-service)攻擊。網絡系統(tǒng)層的影響后果計算公式為

(10)

式(10)中:Ccs為網絡系統(tǒng)層的影響后果;Nsubstations為第n個變電站;RTTavg,i為第i個數據包的平均往返時延;Tmargin為可接受的最小延遲,通常在數百毫秒范圍以內[21]。

2.2.2 電力系統(tǒng)層的影響

分析網絡攻擊前后電力系統(tǒng)的狀態(tài),計算對電力系統(tǒng)運行的整體影響,計算公式為

Cps=ω1Cl+ω2Cv

(11)

式(11)中:ω1、ω2分別為經驗加權因子,范圍為[0,100];Cl、Cv分別為電力系統(tǒng)影響因素負載損耗和電壓偏差,其計算公式分別為

(12)

(13)

2.2.3 電力系統(tǒng)恢復因子

電力系統(tǒng)恢復是一個多階段、復雜的優(yōu)化問題,其恢復時間取決于向非黑啟動機組提供的啟動功率。定義一個電力系統(tǒng)恢復因子,以量化在網絡攻擊后恢復電力系統(tǒng)所需的努力,如式(14)所示,考慮了發(fā)電機組的斷開以及發(fā)電容量和類型。

(14)

式(14)中:Fre為電力系統(tǒng)恢復因子;Ngenerator為第n個發(fā)電機;Pnominal,i為發(fā)電機i的標稱容量;Ptotal為電力系統(tǒng)總裝機容量;ai為發(fā)電機斷路器狀態(tài),即1代表斷路器狀態(tài)為開;T初始化為0,并根據斷開的發(fā)電機類型計算,計算公式為

(15)

式(15)中:T′i為發(fā)電機i的恢復索引。

斷開連接的發(fā)電機組的同時恢復程序開始,電力系統(tǒng)恢復指標由發(fā)電機最大恢復指標給出。具有黑啟動能力的發(fā)電機組,如水力發(fā)電廠恢復指數為0.5,而火電廠的恢復指數為0.8。與相鄰電網對接的恢復指標為1,因為重新同步需要在電力系統(tǒng)恢復完成后才能啟動。

3 仿真與結果分析

利用Mininet和DIgSILENT PowerFactory對IEEE 14節(jié)點信息網絡進行仿真實驗,搭建的拓撲結構如圖2所示。對發(fā)電機的多種保護方案進行建模,包括過/欠電壓保護、過/欠頻率保護、失步和過載保護,對負載實施了低頻率和低電壓減載方案,保護設置是根據國家電網規(guī)范和IEEE C37.102發(fā)電機保護標準選擇的。根據時域仿真實時計算并分析由網絡攻擊引發(fā)的級聯故障和系統(tǒng)動態(tài)。

PowerFactory為電力系統(tǒng)模擬軟件;Ubuntu為Ubuntu系統(tǒng);Mininet為網絡模擬軟件;Interface for PowerFactory為PowerFactory的接口;OPC UA Server為OPC UA服務器,用于連接電力系統(tǒng)和網絡系統(tǒng);Python Interface為Python接口圖2 物理信息系統(tǒng)聯合仿真圖Fig.2 Cyber physical system co-simulation diagram

物理信息系統(tǒng)聯合仿真的網絡用于模擬由路由器、交換機、主機以及人機界面組成的11個變電站。Mininet仿真由廣域網和局域網組成的網絡系統(tǒng)模型,模擬CPS網絡流量,使用Wireshark等開源工具監(jiān)控和分析報文。網絡和物理的電力系統(tǒng)測量和控制設定值等數據使用開放平臺OPC UA統(tǒng)一架構進行實時通信。智能電子設備、控制中心單元以及合并單元等使用Mininet建模,使用TCP/IP協議將電力系統(tǒng)測量數據傳輸到控制中心。各節(jié)點存在的漏洞信息如表2所示,各屬性從國家漏洞數據庫(National Vulnerability Database,NVD)中獲取。

表2 各節(jié)點存在漏洞信息Table 2 Vulnerability information exists on each node

以2號變電站和3號變電站為例,協同網絡攻擊發(fā)生在兩個變電站上。文獻[22]對電力系統(tǒng)多個位置上協同網絡攻擊產生的影響進行了討論。使用多主機、多階段漏洞分析(multi-host multi-stage vulnerability analysis,MulVAL)工具對數字變電站的局域網和用于變電站和控制中心通信的廣域網進行建模并生成攻擊圖以及達到目標所產生的攻擊路徑如圖3所示,假設攻擊者的入口點在2號變電站的局域網內,攻擊者通過2號變電站的路由器訪問其廣域網,發(fā)現并破壞3號變電站的網關路由器,導致2號和3號變電站的以太網交換機、智能電子設備、合并單元等OT資產受損。網絡攻擊步驟如下。

Router為路由器;HubSubstation Gateway為變電站網關;Ethernet Switch為以太網交換機;Operator Console為操作員控制臺;Controller為控制器;HMI Interface為HMI人機界面;IED為智能電子設備;AVR為自動電壓調節(jié)器;Circuit Breaker為斷路器圖3 物理信息系統(tǒng)攻擊圖Fig.3 Cyber physical system attack graph

步驟1首先操縱2號變電站上發(fā)電機的電壓設定值。

步驟2其次打開線路3-8的斷路器。

步驟3對3號變電站的網關路由器發(fā)起DoS攻擊。DoS攻擊影響控制中心與所有通過集線器連接的變電站之間的通信,對2、3、6和11號變電站的監(jiān)控產生影響,并增加延遲。

上述網絡攻擊對電力系統(tǒng)的運行產生重大影響,導致級聯故障。

根據生成的攻擊圖來計算每種攻擊場景的攻擊成功率以及變電站的網絡層和物理層風險指標。

假設攻擊者水平等同于專家水平且管理員沒有采取任何緩解措施來減輕網絡攻擊的影響。計算結果如表3所示。

表3 不同目標風險量化值Table 3 Quantified values of different target risks

由實驗結果可知,攻擊斷路器的物理風險影響很大,但對網絡層的影響相對較小,因為整個通信系統(tǒng)中只有有限的區(qū)域受到DoS攻擊的影響。由此可見,綜合網絡層和物理層進行風險評估是很有必要的。

4 結論

物理信息系統(tǒng)的脆弱性及其風險評估是威脅控制的重要基礎。采用CPS領域的攻擊圖并綜合信息側和物理側對物理信息系統(tǒng)進行風險評估,得出如下主要結論。

(1)針對物理信息系統(tǒng)特殊的結構和安全需求生成的CPS領域攻擊圖,并考慮攻擊者的能力、攻擊行為的特點和目標網絡的特點,實現攻擊場景的攻擊成功率和收益的高效精準計算,對物理信息系統(tǒng)的評估更為準確。

(2)綜合信息側和物理側的風險對物理信息系統(tǒng)進行整體建模,分別從信息側和物理側定量分析物理信息系統(tǒng)的影響因子。相比于現有的風險評估模型,本文模型的風險評估結果更符合實際情況,更適合于物理信息系統(tǒng)的網絡安全風險評估。

(3)通過對IEEE 14節(jié)點信息網絡進行仿真實驗,分別對攻擊斷路器和自動電壓調節(jié)器兩種攻擊場景進行分析和評估,驗證了所提方法的有效性和準確性。

(4)下一步將主要研究如何在風險評估過程中考慮緩解措施的實施以及操作員的補救行為,建立更加完善的物理信息系統(tǒng)風險評估體系。