工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)
《工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)》由會(huì)員分享,可在線閱讀,更多相關(guān)《工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)(76頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
XX 大學(xué)畢業(yè)設(shè)計(jì)(論文)題 目: 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)學(xué) 院: 測(cè)試與光電工程學(xué)院專業(yè)名稱: 測(cè)控技術(shù)與儀器班級(jí)學(xué)號(hào): 學(xué)生姓名: 指導(dǎo)教師: 二 Oxx 年六月工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)摘要:隨著通信網(wǎng)絡(luò)技術(shù)和ICS的發(fā)展,ICS的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,其所具有的特點(diǎn),如連接性、開(kāi)放性、復(fù)雜性等,使得安全問(wèn)題也變得日益嚴(yán)峻;此外,近年來(lái)安全事故的發(fā)生不斷呈現(xiàn)上升趨勢(shì),且ICS網(wǎng)絡(luò)一旦遭受攻擊與破壞,其帶來(lái)的后果可能是如爆炸、供電系統(tǒng)癱瘓等嚴(yán)重后果。因此本文提出了工控系統(tǒng)安全態(tài)勢(shì)感知技術(shù),它將工控系統(tǒng)作為一個(gè)整體,關(guān)注整個(gè)控制過(guò)程,為工控系統(tǒng)當(dāng)前的狀態(tài)以及可能受到的攻擊做出態(tài)勢(shì)評(píng)估,給管理員提供了可靠、有效的決策依據(jù),最大限度得降低了工控系統(tǒng)中可能存在的風(fēng)險(xiǎn)與損失:1) 本文主要針對(duì)工控系統(tǒng)中常見(jiàn)的完整性攻擊,給出攻擊模型,將其作為本文主要研究對(duì)象;通過(guò)研究傳統(tǒng)的“拜占庭將軍問(wèn)題理論”的思想,并將其運(yùn)用于工控系統(tǒng)的安全態(tài)勢(shì)感知分析中;在研究了工控系統(tǒng)控制過(guò)程特點(diǎn)的基礎(chǔ)上,提出了一個(gè)工控系統(tǒng)安全態(tài)勢(shì)感知模型,并研究了工控系統(tǒng)安全態(tài)勢(shì)感知算法。2) 提出了工控系統(tǒng)物理層節(jié)點(diǎn)狀態(tài)變化間一致性的概念;簡(jiǎn)要得對(duì)節(jié)點(diǎn)信息的采集進(jìn)行了介紹,對(duì)獲取的節(jié)點(diǎn)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘,獲得其內(nèi)在信息,確定系統(tǒng)狀態(tài);并在分析物理層節(jié)點(diǎn)狀態(tài)變化的基礎(chǔ)上,依據(jù)節(jié)點(diǎn)狀態(tài)變化之間的內(nèi)在一致性,對(duì)節(jié)點(diǎn)態(tài)勢(shì)進(jìn)行判斷,確定節(jié)點(diǎn)序列,及惡意節(jié)點(diǎn)。3) 以“提餾段溫度單回路控制系統(tǒng)”為研究對(duì)象,進(jìn)行了 Matlab 仿真實(shí)驗(yàn),驗(yàn)證節(jié)點(diǎn)狀態(tài)變化的一致性;并通過(guò)模擬完整性攻擊,將實(shí)驗(yàn)結(jié)果與攻擊者的攻擊目的進(jìn)行對(duì)比,驗(yàn)證了本文提出的工控系統(tǒng)安全態(tài)勢(shì)感知模型及算法的正確性和有效性。關(guān)鍵詞:工業(yè)控制系統(tǒng) 安全態(tài)勢(shì)感知 拜占庭將軍問(wèn)題 節(jié)點(diǎn)序列 節(jié)點(diǎn)狀態(tài) 一致性 惡意節(jié)點(diǎn)Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; what’s worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model,which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes’ states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword: industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目 錄1 緒論 .11.1 課題背景與意義 .11.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò) .21.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知 .51.4 本文主要工作內(nèi)容 102 模型建立與算法研究 .122.1 完整性攻擊模型 122.2 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究 132.3 工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法研究 132.4 本章小結(jié) 213 節(jié)點(diǎn)信息采集與處理 213.1 物理層節(jié)點(diǎn)狀態(tài)信息采集 213.2 物理層節(jié)點(diǎn)信息處理 253.3 本章小結(jié) 284 MATLAB 仿真實(shí)驗(yàn)與理論驗(yàn)證 294.1 安全態(tài)勢(shì)感知研究對(duì)象 294.2 仿真模型建立與驗(yàn)證 304.3 完整性攻擊態(tài)勢(shì)感知仿真驗(yàn)證 404.4 本章小結(jié) 455 總結(jié)與展望 465.1 本文總結(jié) 465.2 工作展望 46參考文獻(xiàn) .48致 謝 .50附錄 物理層節(jié)點(diǎn)攻擊序列判斷 MATLAB 程序 .511工控系統(tǒng)安全態(tài)勢(shì)感知建模與算法實(shí)現(xiàn)1 緒論1.1 課題背景與意義各類工控技術(shù)已廣泛應(yīng)用于國(guó)家基礎(chǔ)設(shè)施,并對(duì)其安全產(chǎn)生較大影響,此外,由于工控系統(tǒng)的通信網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接不斷增加,我們將基于工控系統(tǒng)的網(wǎng)絡(luò)稱為工控系統(tǒng)網(wǎng)絡(luò) [1]。遭受到攻擊或產(chǎn)生了破壞的工業(yè)控制網(wǎng)絡(luò),極易發(fā)生災(zāi)難性的安全事故,以 1996 年的南卡羅來(lái)納州油管爆裂事故為例,攻擊者對(duì)系統(tǒng)施加了完整性攻擊,不僅導(dǎo)致了周邊環(huán)境的嚴(yán)重破壞,同時(shí)也產(chǎn)生了超過(guò)兩千萬(wàn)美元的損失 [2]。近年來(lái)工控系統(tǒng)安全事故頻發(fā),且其不斷呈現(xiàn)上升趨勢(shì) [3]如下圖 1.1 所示:圖 1.1 ICS-CERT 歷年的公布工控安全事件統(tǒng)計(jì)分析此外,由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)不斷廣泛得采用開(kāi)放式平臺(tái)和通信協(xié)議,ICS 系統(tǒng)的連接性、開(kāi)放性、復(fù)雜性不斷提升,其安全問(wèn)題也變得日益嚴(yán)峻,工業(yè)控制網(wǎng)絡(luò)中存在的脆弱性也被潛在的攻擊者攻擊利用。且由于 ICS 網(wǎng)絡(luò)與IT 網(wǎng)絡(luò)之間存在著如性能和功能需求、安全體系不同、可用性和可靠性需求不同等的本質(zhì)差異,使得當(dāng)前 ICS 系統(tǒng)及 ICS 網(wǎng)絡(luò)的防護(hù)不同與一般 IT 網(wǎng)絡(luò)防護(hù),并存在一定困難,進(jìn)而使得依靠單一傳統(tǒng)的信息網(wǎng)絡(luò)安全技術(shù),如:安全網(wǎng)關(guān)/網(wǎng)橋、防火墻等無(wú)法實(shí)現(xiàn)多層級(jí)與多級(jí)別的網(wǎng)絡(luò)安全防護(hù)需求。2本研究針對(duì)上述問(wèn)題,提出了 ICS 系統(tǒng)安全態(tài)勢(shì)感知模型及算法,在對(duì)ICS 系統(tǒng)的當(dāng)前狀況進(jìn)行安全態(tài)勢(shì)評(píng)估的基礎(chǔ)上,對(duì)系統(tǒng)正面對(duì)或即將面臨的攻擊及入侵做出判斷,并最終對(duì)安全態(tài)勢(shì)結(jié)果進(jìn)行等級(jí)劃分,以呈現(xiàn) ICS 系統(tǒng)的當(dāng)前安全態(tài)勢(shì),給決策者提供切實(shí)可靠、實(shí)時(shí)的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的安全。1.2 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)1.2.1 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)簡(jiǎn)介工業(yè)控制系統(tǒng)經(jīng)歷了以 420mA 為代表的模擬信號(hào)傳輸、以內(nèi)部數(shù)字信號(hào)和RS-232、RS-485 為代表的數(shù)字通信傳輸、以包括現(xiàn)場(chǎng)總線、工業(yè)以太網(wǎng)、工業(yè)無(wú)線網(wǎng)絡(luò)的控制網(wǎng)絡(luò)為代表的網(wǎng)絡(luò)傳輸?shù)娜齻€(gè)階段的工控系統(tǒng)變革;當(dāng)前,工業(yè)控制網(wǎng)絡(luò)在企業(yè)自動(dòng)化系統(tǒng)的核心技術(shù)領(lǐng)域有相當(dāng)廣泛的應(yīng)用,而現(xiàn)場(chǎng)總線技術(shù)和工業(yè)以太網(wǎng)技術(shù)是工業(yè)控制網(wǎng)絡(luò)的主要代表技術(shù)。此外,工業(yè)控制網(wǎng)絡(luò)在性能上有著自身獨(dú)特的性能 [4]:1) 系統(tǒng)的實(shí)時(shí)性響應(yīng)控制系統(tǒng)的最基本要求是 ICS 網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)募皶r(shí)性以及系統(tǒng)響應(yīng)的實(shí)時(shí)性。所謂實(shí)時(shí)性是指控制系統(tǒng)可在較短并可預(yù)測(cè)確定的時(shí)間內(nèi),完成過(guò)程參數(shù)采集、加工處理等一系列完整過(guò)程,并且執(zhí)行時(shí)序滿足過(guò)程控制對(duì)時(shí)間限制的要求。若系統(tǒng)無(wú)法滿足實(shí)時(shí)性要求,即無(wú)法及時(shí)得對(duì)控制對(duì)象進(jìn)行調(diào)節(jié),將會(huì)造成控制系統(tǒng)崩潰,甚至產(chǎn)生嚴(yán)重的安全事故。2) 開(kāi)放性開(kāi)放性是指通信協(xié)議公開(kāi),不同廠商的設(shè)備之間可以相互連通成為設(shè)備,以實(shí)現(xiàn)信息交換,遵循同一網(wǎng)絡(luò)協(xié)議的測(cè)量控制設(shè)備能夠進(jìn)行互操作與互用。3) 極高的可靠性3工控網(wǎng)絡(luò)的高可靠性往往包括三方面:可使用性好,即網(wǎng)絡(luò)自身不易發(fā)生故障;容錯(cuò)能力強(qiáng),即當(dāng)網(wǎng)絡(luò)系統(tǒng)局部單元出現(xiàn)故障時(shí),不會(huì)影響整體系統(tǒng)的工作;可維護(hù)性強(qiáng),即在故障發(fā)生后能及時(shí)發(fā)現(xiàn)并處理,通過(guò)維修恢復(fù)網(wǎng)絡(luò)。4) 良好的惡劣環(huán)境適應(yīng)能力由于控制網(wǎng)絡(luò)的工作環(huán)境往往比較惡劣,如溫度與濕度變化大、粉塵污染、電磁干擾大等,因此工業(yè)控制網(wǎng)絡(luò)設(shè)備需要經(jīng)過(guò)嚴(yán)格的設(shè)計(jì)和測(cè)試,保證其能適應(yīng)惡劣的工作環(huán)境,滿足環(huán)境要求。5) 安全性工業(yè)自動(dòng)化網(wǎng)絡(luò)包含了生產(chǎn)安全和信息安全兩方面;生產(chǎn)安全是指工業(yè)自動(dòng)化網(wǎng)絡(luò)中的控制設(shè)備具有本質(zhì)安全的性能,利用安全柵欄技術(shù),對(duì)提供給現(xiàn)場(chǎng)儀表的電能量限制在安全范圍內(nèi);而信息安全主要是指信息本身的保密性、完整性以及信息來(lái)源和去向的可靠性,這是整個(gè)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)必不可少的重要組成部分。1.2.2 工控系統(tǒng)常見(jiàn)攻擊簡(jiǎn)介工控系統(tǒng)在網(wǎng)絡(luò)上的廣泛應(yīng)用,使其呈現(xiàn)出與 IT 網(wǎng)絡(luò)相似的脆弱性與漏洞,這也使得攻擊者對(duì)工控系統(tǒng)有了更多可乘之機(jī) [5]。攻擊者的攻擊目標(biāo)往往可分為以下幾類 [6]:節(jié)點(diǎn)信息流被破壞;對(duì)工控系統(tǒng)設(shè)備造成影響與破壞;對(duì)系統(tǒng)自身設(shè)定的安全設(shè)置進(jìn)行更改與破壞。常見(jiàn)的攻擊有:1) IP 欺騙:攻擊者通過(guò)仿造IP地址,對(duì)目標(biāo)計(jì)算機(jī)發(fā)送信息,計(jì)算機(jī)接收到信息后,判定該信息是來(lái)自于主機(jī)的信息,此時(shí),攻擊成功,攻擊者與計(jì)算機(jī)之間建立連接。 。常見(jiàn)的攻擊類型有:Non-Blind Spoofing攻擊是當(dāng)攻擊者與攻擊目標(biāo)處于同一個(gè)子網(wǎng)中時(shí),攻擊者避開(kāi)其他認(rèn)證標(biāo)準(zhǔn),建立與攻擊目標(biāo)之間的連接;Blind Spoofing攻擊是在攻擊者無(wú)法事先獲取序列號(hào)的情況下,通過(guò)與計(jì)算機(jī)之4間的連接獲取序列號(hào)信息;Connection Hijacking ——攻擊者截取兩個(gè)主機(jī)之間的合法信息,并刪除或更改由一方發(fā)送給另一方的信息。IP欺騙攻擊的目的是通過(guò)對(duì)IP地址的偽造,獲取與主機(jī)的連接。2) 拒絕服務(wù)攻擊(Denial of Service, Dos)網(wǎng)絡(luò)往往具有有限的資源與帶寬,攻擊者利用這一特點(diǎn),以過(guò)度占用資源的方式,使得主機(jī)無(wú)法正常工作。其主要攻擊類型有以下幾種:TCP SYNFlood攻擊——通過(guò)破壞協(xié)議,大量占用網(wǎng)絡(luò)資源,導(dǎo)致主機(jī)癱瘓;land 攻擊——通過(guò)向設(shè)備發(fā)送數(shù)據(jù)包,使得存在漏洞的設(shè)備受到攻擊無(wú)法正常運(yùn)行;ARP 欺騙——該攻擊的主要目標(biāo)是對(duì)主機(jī)的網(wǎng)絡(luò)產(chǎn)生中斷影響,或形成中間人攻擊。該攻擊方式能截獲所在網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息,并進(jìn)一步造成網(wǎng)內(nèi)其他計(jì)算機(jī)通信故障;ICMP Smurf 攻擊 ——利用 IP 協(xié)議的直接廣播特性,攻擊者偽造目標(biāo) IP 地址,并在網(wǎng)絡(luò)上廣播 ICMP 響應(yīng)請(qǐng)求,從而使得目標(biāo)主機(jī)大量回復(fù)請(qǐng)求、耗盡資源,無(wú)法使合法的用戶正常訪問(wèn)服務(wù)器;Ping of Death 攻擊——發(fā)送 ICMP 響應(yīng)請(qǐng)求、多個(gè)分段數(shù)據(jù),使系統(tǒng)在接收到全部分段并重組報(bào)文時(shí)總的長(zhǎng)度超過(guò)了系統(tǒng)允許的最大數(shù)據(jù)包字節(jié),從而導(dǎo)致內(nèi)存溢出,主機(jī)因內(nèi)存分配錯(cuò)誤而導(dǎo)致 TCP/IP 堆棧崩潰,從而死機(jī); UDP Flood 攻擊——攻擊者發(fā)送大量 UDP 報(bào)文到目標(biāo)系統(tǒng)的隨機(jī)端口,若此時(shí)有足夠的 UDP 報(bào)文發(fā)送到目標(biāo)系統(tǒng)的所有端口,將導(dǎo)致目標(biāo)系統(tǒng)死機(jī);Tear drop 攻擊——通過(guò)在報(bào)文中插入錯(cuò)誤信息,當(dāng)報(bào)文重新組裝時(shí),導(dǎo)致數(shù)據(jù)包過(guò)長(zhǎng)溢出。1.2.3 國(guó)內(nèi)外工控系統(tǒng)安全的研究狀況工控系統(tǒng)的安全與我們的生活息息相關(guān),許多歐美國(guó)家從上個(gè)世紀(jì)開(kāi)始關(guān)注廣泛關(guān)注工控系統(tǒng)安全問(wèn)題:2003 年,美國(guó)負(fù)責(zé)發(fā)展控制系統(tǒng)安全防護(hù)能源部能源保證辦公室(Office of Energy Assurance, Dept. of Energy)公布了“改進(jìn)控制系統(tǒng)信息安全的 21個(gè)步驟”報(bào)告 [8],其羅列出了 21 項(xiàng)主要內(nèi)容;Krutz 也在文獻(xiàn) [9]中總結(jié)并提出了“SCADA 網(wǎng)絡(luò)安全的 21 個(gè)步驟總結(jié)圖 ”,如下圖 1.2 所示:5圖 1.2 SCADA 網(wǎng)絡(luò)安全的 21 個(gè)步驟總結(jié)圖美國(guó)商務(wù)部也通過(guò)美國(guó)標(biāo)準(zhǔn)與技術(shù)研究所(NIST)制定了 “工業(yè)控制系統(tǒng)防護(hù)概況” 、 “工業(yè)控制系統(tǒng) IT 安全”等一系列安全防護(hù)標(biāo)準(zhǔn),從工控系統(tǒng)漏洞、風(fēng)險(xiǎn)、評(píng)估、防護(hù)等多方面對(duì)安全防護(hù)體系進(jìn)行了詳細(xì)描述;此外,在工業(yè)控制系統(tǒng)仿真平臺(tái)建設(shè)方面,美國(guó)能源部下屬的 Idaho 國(guó)家實(shí)驗(yàn)室已經(jīng)建立了(National SCADA Test Bed)國(guó)家工業(yè)控制系統(tǒng)測(cè)試床;同時(shí),加拿大的英屬哥倫比亞理工學(xué)院(British Columbia Institute of Technology)等也建立了SCADA 測(cè)試床。測(cè)試床的構(gòu)建目的是為工控系統(tǒng)的安全評(píng)估建立正式的測(cè)試環(huán)境,以獲取可靠、準(zhǔn)確的測(cè)試結(jié)果 [10]。我國(guó)對(duì)工控系統(tǒng)安全的重視程度也不斷升高,工業(yè)和信息化主管部門發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》 (工信部協(xié)【2011】451 號(hào)文)[11],通知中將工控系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估列入的工作重點(diǎn)。同時(shí),國(guó)家發(fā)改委也于 2012 年在信息安全專項(xiàng)中支持工控信息安全服務(wù)方面的產(chǎn)業(yè)化項(xiàng)目。國(guó)內(nèi)的工控系統(tǒng)信息安全保障工作開(kāi)始進(jìn)入實(shí)質(zhì)性階段。61.3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知1.3.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知簡(jiǎn)介態(tài)勢(shì)感知(Situation Awareness, SA)概念源于航天飛行中對(duì)人因的研究。1988 年, Endsley[12]提出了態(tài)勢(shì)感知的定義,將重點(diǎn)放在“獲取” 、 “理解” 、 “預(yù)測(cè)”上進(jìn)行研究,并提出了態(tài)勢(shì)感知的三級(jí)模型,如下圖 1.3 所示:圖 1.3Endsley 態(tài)勢(shì)感知三級(jí)模型Tim Bass[13]于 1999 年提出了網(wǎng)絡(luò)態(tài)勢(shì)感知 (Cyber Situation Awareness, CSA) 的概念。網(wǎng)絡(luò)態(tài)勢(shì)是通過(guò)觀察網(wǎng)絡(luò)內(nèi)部信息及系統(tǒng)狀態(tài)的改變,來(lái)獲取當(dāng)前網(wǎng)絡(luò)狀態(tài)并對(duì)網(wǎng)絡(luò)未來(lái)狀態(tài)進(jìn)行預(yù)測(cè) [14],網(wǎng)絡(luò)態(tài)勢(shì)感知是指通過(guò)對(duì)影響網(wǎng)絡(luò)因素的獲取,對(duì)其進(jìn)行分析處理,最后幫助決策者獲取可靠的決策依據(jù)。 對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security Situation Awareness, NSSA)的概念,有以下理解:1) 從管理員的角度:網(wǎng)絡(luò)管理人員通過(guò)人機(jī)交互界面對(duì)當(dāng)前網(wǎng)絡(luò)狀況的認(rèn)知程度。2) 獲取影響網(wǎng)絡(luò)安全的因素,對(duì)其進(jìn)行分析,判斷當(dāng)前網(wǎng)絡(luò)狀態(tài),并進(jìn)行預(yù)測(cè)。通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行態(tài)勢(shì)感知能獲取整體網(wǎng)絡(luò)安全態(tài)勢(shì),并在很大程度上降低由于攻擊帶來(lái)的風(fēng)險(xiǎn)與破壞。71.3.2 國(guó)內(nèi)外基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況數(shù)據(jù)挖掘技術(shù)能從當(dāng)前網(wǎng)絡(luò)的海量、隨機(jī)、不完全的數(shù)據(jù)中挖掘出有用的信息,并能給出隱含于數(shù)據(jù)中,潛在未知的信息,構(gòu)建出實(shí)用、有價(jià)值的數(shù)據(jù)模式,并形成用于檢測(cè)各類已知與未知攻擊的檢測(cè)模型。數(shù)據(jù)挖掘技術(shù)最早被美國(guó)哥倫比亞大學(xué)的Wenke Lee [7]等人引入到入侵檢測(cè)領(lǐng)域,同時(shí),他們也提出了用于入侵檢測(cè)的數(shù)據(jù)挖掘框架,如圖1.4所示。數(shù)據(jù)挖掘技術(shù)現(xiàn)也已逐步應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域。圖 1.4 入侵檢測(cè)的數(shù)據(jù)挖掘框架數(shù)據(jù)挖掘包含四種分析方法,根據(jù)對(duì)象來(lái)分:在用于模式變化與規(guī)律尋求上——關(guān)聯(lián)分析和序列模式分析;在用于最后的檢測(cè)模型上——分類分析和聚類分析。a) 關(guān)聯(lián)分析的目的是尋找數(shù)據(jù)與數(shù)據(jù)之間內(nèi)在的聯(lián)系,常用算法有 Apriori算法。b) 序列分析用于發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關(guān)性,主要常用算法有兩種:Count-all 算法和 Count-some 算法。c) 分類分析用于提取數(shù)據(jù)庫(kù)中數(shù)據(jù)項(xiàng)的特征屬性,生成分類模型,常用的模型主要由四種:決策樹(shù)模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型。8b) 聚類分析是將數(shù)據(jù)對(duì)象中類似的項(xiàng)目進(jìn)行分類并進(jìn)行評(píng)估。在數(shù)據(jù)挖掘的方法中,關(guān)聯(lián)分析方法的使用相較其他方法更為普遍,如2006 年,Cristina Abad 等人提出了基于 UCLog+的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,它能夠?qū)崿F(xiàn)對(duì)相關(guān)安全數(shù)據(jù)的關(guān)聯(lián)分析;同年,趙國(guó)生等人提出基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估方法,該方法能實(shí)現(xiàn)網(wǎng)絡(luò)可生存性態(tài)勢(shì)定量評(píng)估。盡管當(dāng)前數(shù)據(jù)挖掘在網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域有較廣泛的應(yīng)用與良好的發(fā)展前景,但仍有一些問(wèn)題有待解決,如數(shù)據(jù)訓(xùn)練的不易、從大量數(shù)據(jù)中進(jìn)行挖掘,資源開(kāi)銷較大等。1.3.3 國(guó)內(nèi)外基于數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況數(shù)據(jù)融合技術(shù)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心技術(shù),其出現(xiàn)于 20 世紀(jì) 80 年代,當(dāng)前作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知最為廣泛的技術(shù),它能將來(lái)自網(wǎng)絡(luò)中的多源信息進(jìn)行集成,從而獲得當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì),并有助于預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)。數(shù)據(jù)融合的定義是由美國(guó)國(guó)防部的實(shí)驗(yàn)室理事聯(lián)合會(huì)(Joint Directors of Laboratories, JDL)給出的,他們從軍事的角度出發(fā)對(duì)其做出定義,同時(shí)提出了JDL 模型 [15],如圖 1.5 所示。圖 1.5 JDL 模型9Tim Bass 首先提出了將 JDL 模型直接應(yīng)用于網(wǎng)絡(luò)態(tài)勢(shì)感知,這為數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ);當(dāng)前,JDL 模型也被眾多研究者應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究中。韋勇等 [16]針對(duì)網(wǎng)絡(luò)系統(tǒng)多源的特點(diǎn)提出了一個(gè) NSSA 的融合框架,如圖 1.6所示。圖 1.6 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估框架實(shí)驗(yàn)表明,為了更有效得獲取測(cè)試結(jié)果,基于多源的 NSSA 模型更為準(zhǔn)確高效;他還針對(duì)普遍存在的技術(shù)問(wèn)題,并提出了相應(yīng)的解決方法,如:所采用的量化算法存在一定缺陷,導(dǎo)致量化結(jié)果與實(shí)際結(jié)果出現(xiàn)偏差——利用改進(jìn)的D-S 證據(jù)理論,將多數(shù)據(jù)源態(tài)勢(shì)信息進(jìn)行融合 ,利用漏洞及服務(wù)信息,經(jīng)過(guò)態(tài)勢(shì)要素融合和節(jié)點(diǎn)態(tài)勢(shì)融合計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì);一些態(tài)勢(shì)評(píng)估方法無(wú)法對(duì)安全狀況的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)——因此,采用了時(shí)間序列分析的方法對(duì)系統(tǒng)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè),以期實(shí)現(xiàn)以量化的方式評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)及預(yù)測(cè)。然而存在的不足是:安全態(tài)勢(shì)指標(biāo)及其表示方法不夠全面;未考慮網(wǎng)絡(luò)安全態(tài)勢(shì)可視化等。陳秀真等 [17]提出了層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估模型,如圖 1.7 所示,該模從上至下分為 3 個(gè)部分,依次為:服務(wù)、主機(jī)及網(wǎng)絡(luò)系統(tǒng)。該模型的創(chuàng)新點(diǎn)在于:一方面,能為網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的判斷提供直觀準(zhǔn)確的判斷依據(jù);另一方面,態(tài)勢(shì)感知的結(jié)果能有效預(yù)測(cè)未來(lái)網(wǎng)絡(luò)發(fā)展的變化趨勢(shì)。10盡管文中對(duì)網(wǎng)絡(luò)中信息的變化進(jìn)行了監(jiān)控與分析,并部分反映出了網(wǎng)絡(luò)運(yùn)行的狀況,然而依然無(wú)法對(duì)網(wǎng)絡(luò)的整體狀況進(jìn)行全面有效得反映;因此,并不適用于多網(wǎng)段的局域網(wǎng)和大規(guī)模網(wǎng)絡(luò)系統(tǒng)的安全威脅評(píng)估。圖 1.7 層次化網(wǎng)絡(luò)系統(tǒng)安全威脅態(tài)勢(shì)評(píng)估模型1.3.4 國(guó)內(nèi)外基于可視化技術(shù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究狀況可視化技術(shù)是通過(guò)圖形的方式,將大量抽象的數(shù)據(jù)表示出來(lái),由于人類對(duì)圖像的敏感性,可視化的形式,能使人們更直觀得了解網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)的結(jié)果,并能使網(wǎng)絡(luò)管理員獲得更為直觀可靠的決策依據(jù)。利用可視化技術(shù),可直觀展現(xiàn)網(wǎng)絡(luò)內(nèi)部實(shí)時(shí)變化,如 Gregory Conti[18]通過(guò)分析網(wǎng)絡(luò)的連接狀況,對(duì)網(wǎng)絡(luò)中存在的異常及攻擊進(jìn)行檢測(cè)。該方法能使網(wǎng)絡(luò)管理員獲得有效、可靠、實(shí)時(shí)的網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)判據(jù)。網(wǎng)絡(luò)安全不僅對(duì)用戶個(gè)人起到影響,同時(shí),對(duì)國(guó)家安全也起到重大影響,美國(guó)國(guó)防部在 2005 年的財(cái)政預(yù)算報(bào)告 [19]中就包括了對(duì)網(wǎng)絡(luò)態(tài)勢(shì)感知項(xiàng)目的資助,并提出分三個(gè)階段予以實(shí)現(xiàn),分別為:第一階段完成對(duì)大規(guī)模復(fù)雜網(wǎng)絡(luò)行為可視化新算法和新技術(shù)的描述和研究,著重突出網(wǎng)絡(luò)的動(dòng)態(tài)性和網(wǎng)絡(luò)數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實(shí)現(xiàn)和驗(yàn)證可視化原型系統(tǒng) ;第三階段實(shí)現(xiàn)可視化算法, 提高網(wǎng)絡(luò)態(tài)勢(shì)感知能力。美國(guó)高級(jí)研究和發(fā)展機(jī)構(gòu) ( Advanced Research and Development Activity, USA)[20]在 2006 年的預(yù)研計(jì)劃中,明確指出網(wǎng)絡(luò)態(tài)勢(shì)感知的研究目標(biāo)和關(guān)鍵技術(shù)。研究目標(biāo)是以可視化的方式為11不同的決策者和分析員提供易訪問(wèn)、易理解的信息保障數(shù)據(jù)——攻擊的信息和知識(shí)、漏洞信息、防御措施等等;關(guān)鍵技術(shù)包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡(luò)管理工具集成技術(shù)、實(shí)時(shí)漏洞分析技術(shù)等等??梢暬夹g(shù)作為網(wǎng)絡(luò)安全態(tài)勢(shì)感知的關(guān)鍵技術(shù)之一,有良好的發(fā)展前景,且其在增強(qiáng)人機(jī)交互的可操作性上有重要作用。但是其在實(shí)時(shí)性和擴(kuò)大顯示規(guī)模的要求上,仍有需提高的空間。1.3.5 國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)感知的其他相關(guān)研究除了上述的幾類典型研究,國(guó)內(nèi)外的一些學(xué)者,也提出了其他相關(guān)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究。哈爾濱工程大學(xué)的王慧強(qiáng) [21]給出了態(tài)勢(shì)感知的概念,并提出了 相應(yīng)框架 ,如圖 1.8 所示。文中著重討論了相關(guān)關(guān)鍵技術(shù)與難點(diǎn)問(wèn)題,并給出了網(wǎng)絡(luò)態(tài)勢(shì)感知今后的發(fā)展方向。圖 1.8 NSAS 框架四川大學(xué)李濤 [22]主持的“基于免疫的網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)時(shí)定量感知技術(shù)”863 項(xiàng)目實(shí)現(xiàn)了實(shí)時(shí)感知、評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此外,蜜罐系統(tǒng)能為網(wǎng)絡(luò)管理員提供關(guān)于惡意活動(dòng)的細(xì)節(jié)信息,2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法,該方法能利用收集到的信息繪制安全態(tài)勢(shì)曲線。12其他技術(shù)還包括數(shù)據(jù)校準(zhǔn)、數(shù)據(jù)格式統(tǒng)一、數(shù)據(jù)簡(jiǎn)約、響應(yīng)與預(yù)警、入侵追蹤等。這些技術(shù)可根據(jù)其作用目的分類兩類:一類是用于處理、簡(jiǎn)化海量網(wǎng)絡(luò)信息,以便為后續(xù)的態(tài)勢(shì)評(píng)估與預(yù)測(cè)提供可靠、有效的數(shù)據(jù)來(lái)源;另一類則是用于在發(fā)現(xiàn)攻擊后,對(duì)攻擊進(jìn)行響應(yīng)與定位攻擊來(lái)源。1.4 本文主要工作內(nèi)容本文將網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)應(yīng)用于工控系統(tǒng)安全領(lǐng)域,目的是為了對(duì) ICS網(wǎng)絡(luò)的當(dāng)前狀況以及未來(lái)的安全態(tài)勢(shì)做出評(píng)估與預(yù)測(cè),對(duì)網(wǎng)絡(luò)正面對(duì)或即將面臨的網(wǎng)絡(luò)攻擊及入侵做出預(yù)警,并給網(wǎng)絡(luò)管理員提供切實(shí)可靠、實(shí)時(shí)的決策依據(jù),進(jìn)而保障 ICS 系統(tǒng)的網(wǎng)絡(luò)安全。且從安全事件發(fā)生的趨勢(shì)及 ICS 系統(tǒng)遭受攻擊后造成的嚴(yán)重后果來(lái)看,工控系統(tǒng)安全態(tài)勢(shì)感知的研究刻不容緩。目前的網(wǎng)絡(luò)安全態(tài)勢(shì)感知存在實(shí)時(shí)性差、數(shù)據(jù)來(lái)源單一、適用范圍小等缺點(diǎn)。本文針對(duì)以上問(wèn)題,結(jié)合 ICS 系統(tǒng)實(shí)時(shí)性、可靠性要求高,對(duì)惡劣環(huán)境要有較強(qiáng)的適應(yīng)能力,ICS 信息的保密性、完整性要求等特點(diǎn),建立相關(guān)模型,并進(jìn)行算法實(shí)現(xiàn)。第一章緒論部分簡(jiǎn)要介紹了工控系統(tǒng)網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本概念,以及當(dāng)前工控系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估及入侵檢測(cè)的國(guó)內(nèi)外發(fā)展?fàn)顩r,并針對(duì)不同網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知在近年來(lái)的發(fā)展及國(guó)內(nèi)外研究情況做出了簡(jiǎn)介。第二章針對(duì)完整性攻擊建立了攻擊模型;并結(jié)合“拜占庭將軍問(wèn)題理論”的思想,提出了工控系統(tǒng)安全態(tài)勢(shì)感知模型。首先引入了“拜占庭將軍問(wèn)題理論”的思想,將其應(yīng)用于工控系統(tǒng)安全態(tài)勢(shì)感知研究,建立了工控系統(tǒng)安全態(tài)勢(shì)感知模型,并提出了相應(yīng)算法;依據(jù)各物理層節(jié)點(diǎn)信息,判斷系統(tǒng)的工作狀態(tài),并對(duì)系統(tǒng)是否遭受完整性攻擊做出判斷,確定系統(tǒng)內(nèi)的惡意節(jié)點(diǎn)。第三章介紹了節(jié)點(diǎn)信息的采集與處理;首先對(duì)節(jié)點(diǎn)數(shù)據(jù)進(jìn)行預(yù)處理,獲取系統(tǒng)穩(wěn)態(tài)及正常工作情況下的各節(jié)點(diǎn)參數(shù),再對(duì)各物理層節(jié)點(diǎn)信息進(jìn)行采集,并通過(guò)將檢測(cè)到的節(jié)點(diǎn)數(shù)據(jù)與預(yù)處理參數(shù)進(jìn)行對(duì)比,獲得單個(gè)節(jié)點(diǎn)序列值與系統(tǒng)狀態(tài);此外,介紹了節(jié)點(diǎn)狀態(tài)一致性的概念,并給出節(jié)點(diǎn)序列及其含義,從13而對(duì)工控系統(tǒng)安全態(tài)勢(shì)進(jìn)行感知,判斷系統(tǒng)工作狀態(tài),確定系統(tǒng)內(nèi)部是否存在完整性攻擊,判定惡意節(jié)點(diǎn)。第四章通過(guò)以單回路系統(tǒng)為研究對(duì)象進(jìn)行了仿真實(shí)驗(yàn);首先對(duì)系統(tǒng)穩(wěn)態(tài)運(yùn)行及正常運(yùn)行狀態(tài)下的物理層節(jié)點(diǎn)輸出進(jìn)行仿真并分析,獲取預(yù)處理參數(shù);再在系統(tǒng)上增加一個(gè)擾動(dòng)信號(hào),以驗(yàn)證節(jié)點(diǎn)狀態(tài)是否具有一致性;此外,通過(guò)模擬系統(tǒng)中存在的完整性攻擊,對(duì)物理層節(jié)點(diǎn)狀態(tài)進(jìn)行采集與處理,獲得節(jié)點(diǎn)序列,并利用本文提出的算法進(jìn)行惡意節(jié)點(diǎn)的判斷,判斷結(jié)果與攻擊目的相符,驗(yàn)證了本文提出的工控系統(tǒng)安全態(tài)勢(shì)感知模型與算法的正確性及有效性。第五章回顧了本文的主要工作內(nèi)容、對(duì)研究過(guò)程中的創(chuàng)新與不足做出總結(jié),并針對(duì)本文不足之處,對(duì)未來(lái)進(jìn)一步的研究方向與目標(biāo)進(jìn)行展望。2 模型建立與算法研究2.1 完整性攻擊模型由于現(xiàn)在的工業(yè)控制網(wǎng)絡(luò)越來(lái)越依靠與商業(yè) IT 和 Internet 領(lǐng)域的操作系統(tǒng)、開(kāi)放協(xié)議和通信技術(shù),在享受網(wǎng)絡(luò)化給工業(yè)現(xiàn)場(chǎng)帶來(lái)方便的同時(shí),工業(yè)控制網(wǎng)絡(luò)的脆弱性也因此進(jìn)一步暴露給了潛在的攻擊者;工控網(wǎng)絡(luò)中大量存在的通信路徑以及眾多輸入、輸出節(jié)點(diǎn),更是給攻擊者帶去了可乘之機(jī),例如完整性攻擊就是針對(duì)節(jié)點(diǎn)之間的信息傳遞,對(duì)節(jié)點(diǎn)進(jìn)行妥協(xié),從而篡改兩節(jié)點(diǎn)之間的數(shù)據(jù),最終威脅到系統(tǒng)的正常運(yùn)行,甚至產(chǎn)生安全事故。14因此,本文針對(duì)工控系統(tǒng)中最為常見(jiàn)的完整性攻擊進(jìn)行研究,并依據(jù)文獻(xiàn)[23]中的描述,提出完整性攻擊的攻擊模型。如下圖 2.1 所示為完整性攻擊示意圖:在傳感器將檢測(cè)值傳遞給控制器的過(guò)程中,攻擊者在這兩個(gè)節(jié)點(diǎn)之間施加了一個(gè)完整性攻擊,導(dǎo)致控制器接收到的值與傳感器實(shí)際檢測(cè)到的值不符,從而使得控制對(duì)象在控制器的控制作用下,不斷偏離控制目標(biāo)。圖 2.1 完整性攻擊示意圖本文定義 為控制節(jié)點(diǎn)在 t 時(shí)刻接收到的值,該值使得控制系統(tǒng)能維??(??)∈????持正常的控制行為。然而當(dāng)系統(tǒng)受到完整性攻擊時(shí), 的值與物理層節(jié)點(diǎn)的真y(??)實(shí)測(cè)量值 有所偏差,其中, i 為節(jié)點(diǎn)序號(hào),即 i=1,2,3。y??(??)設(shè) 為攻擊延續(xù)的期間,其中, 為攻擊的起始時(shí)間, 為攻擊????={????,…,????} ???? ????的終止時(shí)間。下列為攻擊信號(hào)的一般模型:(2.1)????={????(??), ???????????(??), ??∈????