工控系统安全态势感知建模与算法实现

XX 大学 毕业设计（论文）毕业设计（论文） 题题目目： 工控系统安全态势感知建模与算法实现工控系统安全态势感知建模与算法实现 学学院：院：测试与光电工程学院测试与光电工程学院 专业名称：专业名称：测控技术与仪器测控技术与仪器 班级学号：班级学号： 学生姓名：学生姓名： 指导教师：指导教师： 二二 Oxx 年六月年六月 工控系统安全态势感知建模与算法实现工控系统安全态势感知建模与算法实现 摘要：随着通信网络技术和ICS的发展， ICS的通信网络与外部网络的连接不断增 加，其所具有的特点，如连接性、开放性、复杂性等，使得安全问题也变得日益 严峻；此外，近年来安全事故的发生不断呈现上升趋势，且ICS网络一旦遭受攻击 与破坏，其带来的后果可能是如爆炸、供电系统瘫痪等严重后果。 因此本文提出了工控系统安全态势感知技术，它将工控系统作为一个整体， 关注整个控制过程，为工控系统当前的状态以及可能受到的攻击做出态势评估， 给管理员提供了可靠、有效的决策依据，最大限度得降低了工控系统中可能存在 的风险与损失： 1) 本文主要针对工控系统中常见的完整性攻击，给出攻击模型,将其作为本 文主要研究对象；通过研究传统的“拜占庭将军问题理论”的思想，并将其运用 于工控系统的安全态势感知分析中;在研究了工控系统控制过程特点的基础上， 提 出了一个工控系统安全态势感知模型，并研究了工控系统安全态势感知算法。 2) 提出了工控系统物理层节点状态变化间一致性的概念； 简要得对节点信息 的采集进行了介绍，对获取的节点数据进行数据挖掘，获得其内在信息，确定系 统状态；并在分析物理层节点状态变化的基础上，依据节点状态变化之间的内在 一致性，对节点态势进行判断，确定节点序列，及恶意节点。 3) 以“提馏段温度单回路控制系统”为研究对象，进行了 Matlab 仿真实验， 验证节点状态变化的一致性；并通过模拟完整性攻击，将实验结果与攻击者的攻 击目的进行对比，验证了本文提出的工控系统安全态势感知模型及算法的正确性 和有效性。 关键词： 工业控制系统 安全态势感知 拜占庭将军问题 节点序列 节点状态 一致 性 恶意节点 Industrial control system security situation awareness modeling and algorithm implementation Abstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; whats worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS. 1)This paper proposes an integrity attack model， which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well. 2)The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states. 3)The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified. KeywordKeyword：industrial control systemsecurity situation awarenessByzantine Generals Problemnodes sequencenodes states consistencemalicious nodes 目录 1绪论1 1.1 课题背景与意义.1 1.2 工业控制系统网络.2 1.3 网络安全态势感知.5 1.4 本文主要工作内容.10 2模型建立与算法研究.12 2.1 完整性攻击模型.12 2.2 工控系统安全态势感知建模与算法研究.13 2.3 工控系统安全态势感知建模与算法研究.13 2.4 本章小结.21 3节点信息采集与处理21 3.1 物理层节点状态信息采集.21 3.2 物理层节点信息处理.25 3.3 本章小结.28 4MATLAB 仿真实验与理论验证29 4.1 安全态势感知研究对象.29 4.2 仿真模型建立与验证.30 4.3 完整性攻击态势感知仿真验证.40 4.4 本章小结.45 5总结与展望.46 5.1 本文总结.46 5.2 工作展望.46 参考文献48 致谢50 附录 物理层节点攻击序列判断 MATLAB 程序.51 1 工控系统安全态势感知建模与算法实现工控系统安全态势感知建模与算法实现 1绪论绪论 1.1 课题背景与意义课题背景与意义 各类工控技术已广泛应用于国家基础设施， 并对其安全产生较大影响， 此外， 由于工控系统的通信网络与外部网络的连接不断增加， 我们将基于工控系统的网 络称为工控系统网络1。遭受到攻击或产生了破坏的工业控制网络，极易发生灾 难性的安全事故，以 1996 年的南卡罗来纳州油管爆裂事故为例，攻击者对系统 施加了完整性攻击，不仅导致了周边环境的严重破坏，同时也产生了超过两千万 美元的损失2。近年来工控系统安全事故频发，且其不断呈现上升趋势3如下图 1.1 所示： 图 1.1 ICS-CERT 历年的公布工控安全事件统计分析 此外， 由于现在的工业控制网络不断广泛得采用开放式平台和通信协议， ICS 系统的连接性、开放性、复杂性不断提升，其安全问题也变得日益严峻，工业控 制网络中存在的脆弱性也被潜在的攻击者攻击利用。且由于 ICS 网络与 IT 网络 之间存在着如性能和功能需求、安全体系不同、可用性和可靠性需求不同等的本 质差异，使得当前 ICS 系统及 ICS 网络的防护不同与一般 IT 网络防护，并存在 一定困难，进而使得依靠单一传统的信息网络安全技术，如：安全网关/网桥、 防火墙等无法实现多层级与多级别的网络安全防护需求。 本研究针对上述问题，提出了 ICS 系统安全态势感知模型及算法，在对 ICS 系统的当前状况进行安全态势评估的基础上， 对系统正面对或即将面临的攻击及 入侵做出判断， 并最终对安全态势结果进行等级划分， 以呈现 ICS 系统的当前安 全态势，给决策者提供切实可靠、实时的决策依据，进而保障 ICS 系统的安全。 2 1.2 工业控制系统网络工业控制系统网络 1.2.1 工业控制系统网络简介工业控制系统网络简介 工业控制系统经历了以 420mA 为代表的模拟信号传输、以内部数字信号和 RS-232、RS-485 为代表的数字通信传输、以包括现场总线、工业以太网、工业 无线网络的控制网络为代表的网络传输的三个阶段的工控系统变革；当前，工业 控制网络在企业自动化系统的核心技术领域有相当广泛的应用， 而现场总线技术 和工业以太网技术是工业控制网络的主要代表技术。 此外，工业控制网络在性能上有着自身独特的性能4： 1)系统的实时性响应 控制系统的最基本要求是ICS网络中数据传输的及时性以及系统响应的实时 性。 所谓实时性是指控制系统可在较短并可预测确定的时间内，完成过程参数采 集、 加工处理等一系列完整过程， 并且执行时序满足过程控制对时间限制的要求。 若系统无法满足实时性要求，即无法及时得对控制对象进行调节，将会造成控制 系统崩溃，甚至产生严重的安全事故。 2)开放性 开放性是指通信协议公开，不同厂商的设备之间可以相互连通成为设备，以 实现信息交换，遵循同一网络协议的测量控制设备能够进行互操作与互用。 3)极高的可靠性 工控网络的高可靠性往往包括三方面：可使用性好，即网络自身不易发生故 障； 容错能力强， 即当网络系统局部单元出现故障时， 不会影响整体系统的工作； 可维护性强，即在故障发生后能及时发现并处理，通过维修恢复网络。 4)良好的恶劣环境适应能力 由于控制网络的工作环境往往比较恶劣，如温度与湿度变化大、粉尘污染、 电磁干扰大等，因此工业控制网络设备需要经过严格的设计和测试，保证其能适 应恶劣的工作环境，满足环境要求。 5)安全性 工业自动化网络包含了生产安全和信息安全两方面；生产安全是指工业自动 化网络中的控制设备具有本质安全的性能，利用安全栅栏技术，对提供给现场仪 表的电能量限制在安全范围内；而信息安全主要是指信息本身的保密性、完整性 3 以及信息来源和去向的可靠性， 这是整个工业控制网络系统必不可少的重要组成 部分。 1.2.2 工控系统常见攻击简介工控系统常见攻击简介 工控系统在网络上的广泛应用， 使其呈现出与 IT 网络相似的脆弱性与漏洞， 这也使得攻击者对工控系统有了更多可乘之机5。攻击者的攻击目标往往可分为 以下几类6：节点信息流被破坏；对工控系统设备造成影响与破坏；对系统自身 设定的安全设置进行更改与破坏。 常见的攻击有: 1)IP 欺骗： 攻击者通过仿造IP地址，对目标计算机发送信息，计算机接收到信息后，判 定该信息是来自于主机的信息， 此时， 攻击成功， 攻击者与计算机之间建立连接。 。 常见的攻击类型有：Non-Blind Spoofing攻击是当攻击者与攻击目标处于同一个 子网中时，攻击者避开其他认证标准，建立与攻击目标之间的连接；Blind Spoofing攻击是在攻击者无法事先获取序列号的情况下，通过与计算机之间的连 接获取序列号信息；Connection Hijacking攻击者截取两个主机之间的合法信 息，并删除或更改由一方发送给另一方的信息。IP欺骗攻击的目的是通过对IP地 址的伪造，获取与主机的连接。 2)拒绝服务攻击（Denial of Service, Dos） 网络往往具有有限的资源与带宽，攻击者利用这一特点，以过度占用资源的 方式，使得主机无法正常工作。其主要攻击类型有以下几种：TCP SYNFlood 攻 击通过破坏协议，大量占用网络资源，导致主机瘫痪;land 攻击通过向 设备发送数据包，使得存在漏洞的设备受到攻击无法正常运行；ARP 欺骗 该攻击的主要目标是对主机的网络产生中断影响，或形成中间人攻击。该攻击方 式能截获所在网络内其他计算机的通信信息， 并进一步造成网内其他计算机通信 故障；ICMP Smurf 攻击利用 IP 协议的直接广播特性，攻击者伪造目标 IP 地址，并在网络上广播 ICMP 响应请求，从而使得目标主机大量回复请求、耗 尽资源，无法使合法的用户正常访问服务器；Ping of Death 攻击发送 ICMP 响应请求、多个分段数据，使系统在接收到全部分段并重组报文时总的长度超过 了系统允许的最大数据包字节，从而导致内存溢出，主机因内存分配错误而导致 TCP/IP 堆栈崩溃，从而死机；UDP Flood 攻击攻击者发送大量 UDP 报文到 4 目标系统的随机端口，若此时有足够的 UDP 报文发送到目标系统的所有端口， 将导致目标系统死机； Tear drop 攻击通过在报文中插入错误信息， 当报文重 新组装时，导致数据包过长溢出。 1.2.3 国内外工控系统安全的研究状况国内外工控系统安全的研究状况 工控系统的安全与我们的生活息息相关， 许多欧美国家从上个世纪开始关注 广泛关注工控系统安全问题： 2003 年，美国负责发展控制系统安全防护能源部能源保证办公室（Office of Energy Assurance， Dept. of Energy）公布了“改进控制系统信息安全的 21 个步 骤”报告8,其罗列出了 21 项主要内容；Krutz 也在文献9中总结并提出了 “SCADA 网络安全的 21 个步骤总结图” ，如下图 1.2 所示： 图 1.2 SCADA 网络安全的 21 个步骤总结图 美国商务部也通过美国标准与技术研究所(NIST)制定了 “工业控制系统防护 概况” 、 “工业控制系统 IT 安全”等一系列安全防护标准，从工控系统漏洞、风 险、评估、防护等多方面对安全防护体系进行了详细描述；此外，在工业控制系 统仿真平台建设方面， 美国能源部下属的 Idaho 国家实验室已经建立了 （National SCADATest Bed）国家工业控制系统测试床；同时，加拿大的英属哥伦比亚理工 学院（British Columbia Institute of Technology）等也建立了 SCADA 测试床。测 试床的构建目的是为工控系统的安全评估建立正式的测试环境，以获取可靠、准 确的测试结果10。 5 我国对工控系统安全的重视程度也不断升高， 工业和信息化主管部门发布了 关于加强工业控制系统信息安全管理的通知 （工信部协 【2011】 451 号文） 11， 通知中将工控系统信息安全风险评估列入的工作重点。 同时，国家发改委也于 2012 年在信息安全专项中支持工控信息安全服务方 面的产业化项目。国内的工控系统信息安全保障工作开始进入实质性阶段。 1.3 网络安全态势感知网络安全态势感知 1.3.1 网络安全态势感知简介网络安全态势感知简介 态势感知（SituationAwareness， SA）概念源于航天飞行中对人因的研究。 1988 年, Endsley12提出了态势感知的定义， 将重点放在 “获取” 、 “理解” 、 “预测” 上进行研究，并提出了态势感知的三级模型，如下图 1.3 所示： 图 1.3Endsley 态势感知三级模型 Tim Bass13于 1999 年提出了网络态势感知 (Cyber Situation Awareness, CSA) 的概念。网络态势是通过观察网络内部信息及系统状态的改变，来获取当 前网络状态并对网络未来状态进行预测14， 网络态势感知是指通过对影响网络因 素的获取，对其进行分析处理，最后帮助决策者获取可靠的决策依据。 对于网络安全态势感知（Network Security Situation Awareness, NSSA）的概 念，有以下理解： 1)从管理员的角度：网络管理人员通过人机交互界面对当前网络状况的认 知程度。 2)获取影响网络安全的因素，对其进行分析，判断当前网络状态，并进行 预测。 通过对网络环境进行态势感知能获取整体网络安全态势，并在很大程度上降 低由于攻击带来的风险与破坏。 6 1.3.2 国内外基于数据挖掘的网络安全态势感知研究状况国内外基于数据挖掘的网络安全态势感知研究状况 数据挖掘技术能从当前网络的海量、随机、不完全的数据中挖掘出有用的信 息， 并能给出隐含于数据中， 潜在未知的信息， 构建出实用、 有价值的数据模式， 并形成用于检测各类已知与未知攻击的检测模型。 数据挖掘技术最早被美国哥伦比亚大学的Wenke Lee7等人引入到入侵检测 领域,同时，他们也提出了用于入侵检测的数据挖掘框架，如图1.4所示。数据挖 掘技术现也已逐步应用到网络安全领域。 图 1.4 入侵检测的数据挖掘框架 数据挖掘包含四种分析方法，根据对象来分：在用于模式变化与规律寻求上 关联分析和序列模式分析； 在用于最后的检测模型上分类分析和聚类分 析。 a) 关联分析的目的是寻找数据与数据之间内在的联系,常用算法有 Apriori 算法。 b) 序列分析用于发现不同数据记录之间的相关性，主要常用算法有两种： Count-all 算法和 Count-some 算法。 c) 分类分析用于提取数据库中数据项的特征属性,生成分类模型，常用的模 型主要由四种：决策树模型、贝叶斯分类模型、神经网络模型。 b) 聚类分析是将数据对象中类似的项目进行分类并进行评估。 在数据挖掘的方法中， 关联分析方法的使用相较其他方法更为普遍， 如 2006 年，CristinaAbad 等人提出了基于 UCLog+的网络安全态势评估方法，它能够实 7 现对相关安全数据的关联分析；同年，赵国生等人提出基于灰色关联分析的网络 可生存性态势评估方法，该方法能实现网络可生存性态势定量评估。 尽管当前数据挖掘在网络安全态势感知领域有较广泛的应用与良好的发展 前景,但仍有一些问题有待解决，如数据训练的不易、从大量数据中进行挖掘， 资源开销较大等。 1.3.3 国内外基于数据融合的网络安全态势感知研究状况国内外基于数据融合的网络安全态势感知研究状况 数据融合技术作为网络安全态势感知的核心技术， 其出现于 20 世纪 80 年代， 当前作为网络安全态势感知最为广泛的技术， 它能将来自网络中的多源信息进行 集成，从而获得当前网络态势，并有助于预测未来网络安全态势。 数据融合的定义是由美国国防部的实验室理事联合会（Joint Directors of Laboratories, JDL）给出的，他们从军事的角度出发对其做出定义，同时提出了 JDL 模型15，如图 1.5 所示。 图 1.5JDL 模型 Tim Bass 首先提出了将JDL模型直接应用于网络态势感知,这为数据融合技 术在网络态势感知领域的应用奠定了基础；当前，JDL 模型也被众多研究者应用 于网络安全态势感知的研究中。 韦勇等16针对网络系统多源的特点提出了一个 NSSA 的融合框架,如图 1.6 所示。 8 图 1.6 网络安全态势评估框架 实验表明，为了更有效得获取测试结果，基于多源的 NSSA 模型更为准确高 效；他还针对普遍存在的技术问题，并提出了相应的解决方法，如：所采用的量 化算法存在一定缺陷，导致量化结果与实际结果出现偏差利用改进的 D-S 证据理论，将多数据源态势信息进行融合,利用漏洞及服务信息,经过态势要素融 合和节点态势融合计算网络安全态势； 一些态势评估方法无法对安全状况的发展 趋势进行预测因此，采用了时间序列分析的方法对系统安全态势进行预测, 以期实现以量化的方式评估网络安全态势及预测。然而存在的不足是：安全态势 指标及其表示方法不够全面；未考虑网络安全态势可视化等。 陈秀真等17提出了层次化网络安全威胁态势量化评估模型，如图 1.7 所示， 该模从上至下分为 3 个部分，依次为：服务、主机及网络系统。该模型的创新点 在于：一方面，能为网络管理员对网络态势的判断提供直观准确的判断依据;另 一方面，态势感知的结果能有效预测未来网络发展的变化趋势。 尽管文中对网络中信息的变化进行了监控与分析,并部分反映出了网络运行 的状况，然而依然无法对网络的整体状况进行全面有效得反映；因此，并不适用 于多网段的局域网和大规模网络系统的安全威胁评估。 9 图 1.7 层次化网络系统安全威胁态势评估模型 1.3.4 国内外基于可视化技术的网络安全态势感知研究状况国内外基于可视化技术的网络安全态势感知研究状况 可视化技术是通过图形的方式，将大量抽象的数据表示出来，由于人类对图 像的敏感性，可视化的形式，能使人们更直观得了解网络安全态势评估与预测的 结果，并能使网络管理员获得更为直观可靠的决策依据。 利用可视化技术，可直观展现网络内部实时变化，如 Gregory Conti18通过 分析网络的连接状况，对网络中存在的异常及攻击进行检测。该方法能使网络管 理员获得有效、可靠、实时的网络系统安全状态判据。 网络安全不仅对用户个人起到影响，同时，对国家安全也起到重大影响，美 国国防部在 2005 年的财政预算报告19中就包括了对网络态势感知项目的资助, 并提出分三个阶段予以实现,分别为:第一阶段完成对大规模复杂网络行为可视化 新算法和新技术的描述和研究,着重突出网络的动态性和网络数据的不确定性;第 二阶段基于第一阶段所研究的工具和方法,实现和验证可视化原型系统;第三阶段 实现可视化算法, 提高网络态势感知能力。美国高级研究和发展机构( Advanced Research and Development Activity, USA)20在 2006 年的预研计划中,明确指出网 络态势感知的研究目标和关键技术。 研究目标是以可视化的方式为不同的决策者 和分析员提供易访问、 易理解的信息保障数据攻击的信息和知识、 漏洞信息、 防御措施等等;关键技术包括数据融合、数据可视化、网络管理工具集成技术、 实时漏洞分析技术等等。 可视化技术作为网络安全态势感知的关键技术之一，有良好的发展前景，且 其在增强人机交互的可操作性上有重要作用。 但是其在实时性和扩大显示规模的 要求上，仍有需提高的空间。 10 1.3.5 国内外网络安全态势感知的其他相关研究国内外网络安全态势感知的其他相关研究 除了上述的几类典型研究， 国内外的一些学者， 也提出了其他相关网络安全 态势感知的研究。哈尔滨工程大学的王慧强21给出了态势感知的概念,并提出了 相应框架,如图 1.8 所示。文中着重讨论了相关关键技术与难点问题，并给出了网 络态势感知今后的发展方向。 图 1.8NSAS 框架 四川大学李涛22主持的“基于免疫的网络安全态势实时定量感知技术”863 项目实现了实时感知、评估网络安全风险。 此外，蜜罐系统能为网络管理员提供关于恶意活动的细节信息，2005 年 Vinod Yegneswaran 等人提出了基于 Honeynets 的网络安全态势评估方法， 该方法 能利用收集到的信息绘制安全态势曲线。 其他技术还包括数据校准、数据格式统一、数据简约、响应与预警、入侵追 踪等。这些技术可根据其作用目的分类两类：一类是用于处理、简化海量网络信 息，以便为后续的态势评估与预测提供可靠、有效的数据来源；另一类则是用于 在发现攻击后，对攻击进行响应与定位攻击来源。 1.4 本文主要工作内容本文主要工作内容 本文将网络安全态势感知技术应用于工控系统安全领域,目的是为了对 ICS 网络的当前状况以及未来的安全态势做出评估与预测， 对网络正面对或即将面临 的网络攻击及入侵做出预警，并给网络管理员提供切实可靠、实时的决策依据， 进而保障 ICS 系统的网络安全。且从安全事件发生的趋势及 ICS 系统遭受攻击 后造成的严重后果来看，工控系统安全态势感知的研究刻不容缓。目前的网络安 全态势感知存在实时性差、数据来源单一、适用范围小等缺点。本文针对以上问 11 题， 结合 ICS 系统实时性、 可靠性要求高， 对恶劣环境要有较强的适应能力， ICS 信息的保密性、完整性要求等特点，建立相关模型，并进行算法实现。 第一章绪论部分简要介绍了工控系统网络以及网络安全态势感知的基本概 念， 以及当前工控系统安全风险评估及入侵检测的国内外发展状况，并针对不同 网络安全态势感知技术对网络安全态势感知在近年来的发展及国内外研究情况 做出了简介。 第二章针对完整性攻击建立了攻击模型；并结合“拜占庭将军问题理论”的 思想，提出了工控系统安全态势感知模型。首先引入了“拜占庭将军问题理论” 的思想，将其应用于工控系统安全态势感知研究，建立了工控系统安全态势感知 模型，并提出了相应算法；依据各物理层节点信息，判断系统的工作状态，并对 系统是否遭受完整性攻击做出判断，确定系统内的恶意节点。 第三章介绍了节点信息的采集与处理；首先对节点数据进行预处理， 获取系 统稳态及正常工作情况下的各节点参数，再对各物理层节点信息进行采集，并通 过将检测到的节点数据与预处理参数进行对比， 获得单个节点序列值与系统状态； 此外，介绍了节点状态一致性的概念，并给出节点序列及其含义，从而对工控系 统安全态势进行感知，判断系统工作状态，确定系统内部是否存在完整性攻击， 判定恶意节点。 第四章通过以单回路系统为研究对象进行了仿真实验； 首先对系统稳态运行 及正常运行状态下的物理层节点输出进行仿真并分析，获取预处理参数；再在系 统上增加一个扰动信号，以验证节点状态是否具有一致性；此外，通过模拟系统 中存在的完整性攻击，对物理层节点状态进行采集与处理，获得节点序列，并利 用本文提出的算法进行恶意节点的判断，判断结果与攻击目的相符，验证了本文 提出的工控系统安全态势感知模型与算法的正确性及有效性。 第五章回顾了本文的主要工作内容、对研究过程中的创新与不足做出总结， 并针对本文不足之处，对未来进一步的研究方向与目标进行展望。 12 2模型建立与算法研究模型建立与算法研究 2.1 完整性攻击模型完整性攻击模型 由于现在的工业控制网络越来越依靠与商业 IT 和 Internet 领域的操作系统、 开放协议和通信技术，在享受网络化给工业现场带来方便的同时，工业控制网络 的脆弱性也因此进一步暴露给了潜在的攻击者； 工控网络中大量存在的通信路径 以及众多输入、输出节点，更是给攻击者带去了可乘之机，例如完整性攻击就是 针对节点之间的信息传递，对节点进行妥协，从而篡改两节点之间的数据，最终 威胁到系统的正常运行，甚至产生安全事故。 因此， 本文针对工控系统中最为常见的完整性攻击进行研究， 并依据文献23 中的描述，提出完整性攻击的攻击模型。如下图 2.1 所示为完整性攻击示意图： 在传感器将检测值传递给控制器的过程中， 攻击者在这两个节点之间施加了一个 完整性攻击，导致控制器接收到的值与传感器实际检测到的值不符，从而使得控 制对象在控制器的控制作用下，不断偏离控制目标。 图 2.1 完整性攻击示意图 本文定义? ? ? ? ?为控制节点在 t 时刻接收到的值， 该值使得控制系统能维 持正常的控制行为。然而当系统受到完整性攻击时，? ? ? 的值与物理层节点的真 实测量值? 有所偏差，其中，i 为节点序号，即 i=1,2,3。 设? ?为攻击延续的期间，其中，?为攻击的起始时间，?为攻击 的终止时间。下列为攻击信号的一般模型： ? ? ? ? ? t ? ? ? t ? ? （2.1） 控制器执行器 控制对象 输入量 输出量 传感器 完整性攻击完整性攻击 13 其中? 是攻击信号。 这个攻击模型能用于表示一般完整性攻击： 假定攻击 者要使得一个物理层节点妥协，他们会改变该物理层节点的状态值，因此在这种 情况下，? 可以是任意非正常值。 2.2 工控系统安全态势感知建模与算法研究工控系统安全态势感知建模与算法研究 数据挖掘、 数据融合等各种技术手段， 往往被使用在对网络安全进行安全态 势感知的过程中； 然而， 为了能够更加准确得对工控系统安全态势进行态势感知， 需要采用能针对工控系统特点的理论来对工控系统内部的各类信息进行分析处 理，进而结合数据挖掘等有效技术手段来对工控系统的安全态势进行态势感知。 由于工控系统控制作用执行的判断依据往往是采用传感器传输的数据， 因此， 即便系统中存在冲突信息或恶意节点发送的错误信息， 控制器无法自行进行判断， 依然对执行器进行相应的控制作用。 为了避免控制器因接收到错误信息在进行相应操作后， 造成系统运行异常或 发生安全事故，本文在针对工控系统提出安全态势感知时，采用了“拜占庭将军 问题理论” 。该理论能够依据节点信息及相应的状态值，有效得判断出各节点之 间是否存在冲突信息，并判断出系统内的恶意节点。 能用于表示一般完整性攻击：假定攻击者要使得一个物理层节点妥协，他们 会改变该物理层节点的状态值，因此在这种情况下，? 可以是任意非正常值。 2.3 工控系统安全态势感知建模与算法研究工控系统安全态势感知建模与算法研究 数据挖掘、 数据融合等各种技术手段， 往往被使用在对网络安全进行安全态 势感知的过程中； 然而， 为了能够更加准确得对工控系统安全态势进行态势感知， 需要采用能针对工控系统特点的理论来对工控系统内部的各类信息进行分析处 理，进而结合数据挖掘等有效技术手段来对工控系统的安全态势进行态势感知。 由于工控系统控制作用执行的判断依据往往是采用传感器传输的数据， 因此， 即便系统中存在冲突信息或恶意节点发送的错误信息， 控制器无法自行进行判断， 依然对执行器进行相应的控制作用。 为了避免控制器因接收到错误信息在进行相应操作后， 造成系统运行异常或 发生安全事故，本文在针对工控系统提出安全态势感知时，采用了“拜占庭将军 问题理论” 。该理论能够依据节点信息及相应的状态值，有效得判断出各节点之 间是否存在冲突信息，并判断出系统内的恶意节点。 14 2.3.1 拜占庭将军问题简介拜占庭将军问题简介 拜占庭将军问题的研究起源于对计算机系统的可靠性理解以及冲突信息造 成的系统故障的思考2326。该问题描述的是，当拜占庭将军在进行作战指挥时， 他会通过信使与其他军官联系并共同决定是进行攻击还是撤退。 如果信使被策反， 他可能会更改信息内容，使得接收者和发送者的信息不一致。而每个接收到信息 的军官则是通过比较其从相邻军官处接收到的信息来做出决定。这样一来，错误 信息的出现，最终可能会更改战争走向。 如图 2.2 是拜占庭将军问题的示意图。其中，指挥官 C1 向 3 个中尉 L1， L2，L3（L3 为叛徒）发送信息 v。L2 从指挥官和其他两名中尉处接收到冲突信 息，那么他会评估这些信息。L2 用比较数量的方法对获得的值（v, v, x) 进行分 析比较。从而可以确定这些数据源中不一致的数据源来源L3，那么 L3 被确 认为叛徒。 图 2.2拜占庭将军问题 2.3.2 工控系统中的拜占庭将军问题描述工控系统中的拜占庭将军问题描述 拜占庭将军问题可以简单得描述为一个恶意节点改变其传输值以使系统接 收到的信息产生不连续与冲突，在这种情况下，其他节点通过判断节点之间状态 变化趋势的内在一致性来确定恶意节点。类似得，本文将该理论运用到在工控系 统内对完整性攻击的检测，如图 2.3 所示，为拜占庭将军问题的工控系统表示。 然而不同于传统的拜占庭将军问题中命令节点向下对执行节点的命令传输， 在工 控系统中，各物理层节点将自己的节点信息向上传递给控制节点。 15 P1P3 C1 P2 控制层节点控制层节点 现场层节点现场层节点 （PLCs） 物理层节点物理层节点 传感器 SV 控制阀 M 流量仪 p1p2p3 yp1 yp2 yp3 图 2.3拜占庭将军问题的工控系统表示 为了便于描述，首先对相关概念及图 2.3 中的信息进行简单描述与介绍： 1)物理层节点物理层节点 S, V, M：物理层节点是工控系统中最基本的回路构成部分， 主要包括传感器、控制阀、流量仪等仪器仪表。其中，S 代表传感器；V 代表控 制阀；M 代表流量仪。这些节点依据各自的特点，对工控系统进行控制，如传 感器能够监控工控系统的运行过程，而控制阀的开关能调节系统中的流量大小， 流量仪可对系统中的流量变化进行实时记录。在工控系统中，这些物理层节点所 获取的数据 p1, p2, p3，能够真实得反映系统当前状态。 2) 现场层节点现场层节点 P1, P2, P3： 现场层节点能够对物理层节点信息进行采集， 通 过数据处理后，获取相应节点的节点状态?1, ?2, ?3，并将这些相关的节点信 息上传到控制节点。 3) 控制层节点控制层节点 C1：控制层节点的构成是回路中的控制器，其作用是接收信 息处理节点传输的数据，并执行算法，从而获得当前系统状态，判断系统内是否 有攻击产生，在判断出系统存在攻击的前提下，推断出系统内被攻击的节点，即 恶意节点。 4) 实际数据传输实际数据传输实线：实线：两节点间用带箭头的实线，表示的是在这两个 节点之间数据的传输是直接进行、并实际存在的；然而该数据存在被攻击者攻击 的风险，即可能会遭受到完整性攻击。以节点 S 到节点 P1 的带箭头实线为例， 传感器 S 将实际接收的数据 p1上传给 PLC 节点 P1。 因此， 这个值是真实存在的， 16 且节点 S 在向节点 P1 发送数据的过程中，攻击者可能对该节点实行了完整性攻 击，并对数据进行了篡改。 5) 非实际数据传输非实际数据传输虚线：虚线：两节点间用带箭头的虚线表示的是两节点间 的内在关系，并不是真实存在的节点间数据的传输，这种内在联系无法被攻击者 更改。以节点 P2 与节点 P3 间的带箭头虚线为例，当控制阀节点 P2 的阀门开度 增加时，流量仪表节点 P3 检测到的流量大小也相应增加，而这样的两个节点间 状态变化具有一致性，即节点间的内在关系是无法被攻击者攻击并改变的。 因此，如图 2.3 所示，在现场层节点接收到来自物理层的节点信息后，通过 对各节点间的内在关系进行判断，并将结果上传给控制节点 C1，C1 在执行算法 后，可根据计算结果来判断系统内是否存在攻击。 2.3.3 工控系统安全态势感知算法研究工控系统安全态势感知算法研究 为了对工控系统的安全态势进行态势感知， 确定系统内是否存在完整性攻击， 结合 2.3.2 节所述的基本概念，提出了基于拜占庭将军理论的工控系统安全态势 感知算法。 a)算法相关概念定义 定义定义 2.1STATE 函数函数：STATE=（statep1, statep2, statep3）获得系统节点 序列，statep?为节点 i 的单个节点序列值,其表达式如下： statep? 0? ? ? ? ? ? 1? ? ? ? ? （2.2） 其中，? ? ? 为节点 i 稳定运行时均值； ? ?为节点 i 状态变化后均值 ? ? ? ； 定义定义 2.2Atcnode函数函数: 该函数用以确定恶意节点。具体计算过程为： s1? statep2?statep3（2.3） s2? statep1?statep2（2.4） s3? statep1?statep3（2.5） Atcnode? s1+ s2+ s3（2.6） atcnode? s1?s2? s3? Atcnode? 1 0?0?0 ? Atcnode 1 （2.7） 17 若Atcnode? 1，则表示系统受到完整性攻击，此时，atcnode中状态显示 为 1 的节点即为恶意节点；否则，系统正常，即atcnode中，三个节点显示值 均为 0。 b)算法基本思想： i.信息预处理： 获取系统稳定运行时，各节点稳定值均值? ? ，稳定值方差 ? ? 2,及稳定值区间? ?； 获取系统正常运行时，各节点正常值均值? ?t? ? ，正常值 ? ok 2,及正 常值?t； ii.在整个工控系统运行过程中，以周期 T 为单位，对节点的一组原 始数据进行处理获取? ? ? 2 iii.进行节点状态判断： 首先判断节点是否为稳态节点，若是，则 T 内，系统未受到攻击， 执行步骤；否则，执行步骤； iv.判断节点是否为正常节点， 若是， 执行步骤； 否则， 执行步骤； v.判断节点为异常节点； vi.执行 STATE 函数，确定系统节点序列； vii.执行 Atc_node 函数，执行 PLsec函数，判断是否发生完整性攻击， 若是，则确定恶意节，否则，执行步骤； viii.判断系统运行是否全部完成，若是，则结束算法，否则，返回步骤 。 c)算法流程图： 工控系统安全态势感知的算法流程如图 2.4 所示： 18 图 2.4 算法流程图 19 d)算法描述： 在执行算法前， 根据控制系统的控制目标及要求， 可以获得系统在稳定状况 下的各节点稳定值均值? ? ，稳定值方差 ? ? 2,及稳定值区间? ?；及 系统正常运行时，各节点正常值均值? ?t? ? ，正常值 ? ok 2,及正常值区间? ?t。 函数名称：nodes_security (?1? , ?2? , ?3? ) 输入：?1? , ?2? , ?3?物理层节点 P1，P2，P3 原始数据 输出：STATE=（statep1, statep2, statep3）攻击序列 PLsec系统状态 atcnode恶意节点 步骤： 1.Get the value of ? ? ? , ? ? 2, ? ?，? ?t? ? ， ? ok 2，? ?t 获取信息预处理各参数； 2.t=1;a=0; 3.do 4.while(t!=T) ? ? ? ; t ? t + 1; a ? a + 1; 5.get the array of ?and ? ? ? ? 2 获得原始节点信息 6.if? ? else if? ?t ? ? ? execute STATE function; execute Atcnodefunction; 在一个周期内，进行节点原始数据 收集； 20 end; 1execute PLsecfunction;执行 PLsec函数，确定系统状态 2While( the whole process of system comes to an end);重复执行以 上步骤，直到系统运行完毕 3end; 2.4 本章小结本章小结 本章针对完整性攻击建立了攻击模型；并结合“拜占庭将军问题理论” ，提 出了工控系统安全态势感知模型。首先引入“拜占庭将军问题理论”思想，并将 其应用于工控系统安全态势感知研究，建立了工控系统安全态势感知模型，并提 出了相应算法，依据各物理层节点信息，判断系统是否遭受完整性攻击，并确定 系统内存在的恶意节点。 21 22 3节点信息采集与处理节点信息采集与处理 本章紧承第二章提出的工控系统安全态势感知模型与算法， 对节点信息的采 集与处理进行详细介绍。且假定，攻击者每次只对系统内的一个节点进行完整性 攻击。 在对物理层节点信息进行采集时，首先确定系统在稳定运行状态下的参数； 再详细分析回路内部各节点发生的不同变化，获得节点序列；最终判断系统内是 否存在攻击，并推断出恶意节点。 3.1 物理层节点状态信息采集物理层节点状态信息采集 3.1.1 物理层节点信息采集流程物理层节点信息采集流程 在工业控制系统中，现场层设备将信息传递到控制层。每个现场层设备从传 感器、流量仪等物