信息安全攻击的信息物理攻击建模与影响分析

信息安全攻击的信息物理攻击建模与影响分析

信息物理系统（cps）是一个集成信息、通信、感知和控制于物理空间的全面复杂系统。在CPS应用中,最关注的焦点是它在电力、石油石化、核能、航空、铁路、关键制造等关系国计民生的国家关键基础设施行业中的应用,即工业控制系统(ICS)。为同关键基础设施传统IT系统进行区分,本文中将这些系统称为关键基础设施信息物理系统(CI-CPS)。震网等事件已经实证了信息安全攻击能对CI-CPS产生严重的物理影响,甚至危及国家安全。本文将这类通过信息安全攻击手段产生物理影响的新型攻击称为信息物理攻击,这也是当前信息安全领域研究的重要方向。本文首先通过CI-CPS系统体系结构和概念示意图描述所提出的关键基础设施信息物理系统和信息物理攻击的理解,并给出信息物理运行双环分析模型,然后基于该模型给出信息物理攻击的建模和形式化方法。结合CI-CPS信息安全实践需求和实验研究特点,提出告警停车时长(ASD)指标作为信息物理攻击影响的一个重要度量指标,基于实际化工厂所开发的物理模型———TE(Tennessee-Eastman)过程模型的仿真系统中进行测试、分析和评价,以期揭示不同信息物理攻击策略和参数的不同攻击特征和影响。1信息攻击视角1.1关键基础设施信息物理系统基于文的讨论图1给出了CI-CPS体系结构和相关概念示意图。从图1可见,电力、石油石化、核能、航空、铁路、关键制造等关键基础设施系统传统上分为相对独立IT系统和工业控制系统这2个部分。但随着信息技术的发展和应用,在关键基础设施的工业控制系统中,信息、通信、传感和控制嵌入并同物理空间相融合形成信息物理系统,这就是本文所提出的关键基础设施信息物理系统(CI-CPS)。传统上IT系统主要关注信息安全(Security)、工业控制系统主要关注生产安全(Safety)。传统信息安全(Security)攻击中攻击主体是黑客、有组织犯罪团体等智能主体,攻击手段采取信息安全攻击手段,攻击对象在信息空间中,其影响是对信息产生机密性、完整性和可用性(CIA)影响;传统的生产安全(Safety)隐患中起因是物理设备的随机硬件故障等,影响手段是设备老化、电磁干扰等物理空间方式,影响对象在物理空间中,影响后果是对造成健康、安全或环境等物理影响。而随着CI-CPS系统的形成和发展,信息安全攻击和问题也随之嵌入到CI-CPS系统中,并随着信息空间和物理空间的融合带来了新的影响和变化。本文所讨论的信息物理攻击是指在CI-CPS环境中,由黑客、有组织犯罪团体等智能主体采取信息安全攻击手段产生物理影响的攻击。1.2信息域和物理运行环从信息物理攻击的概念和视角来看,信息物理攻击就是要通过信息攻击的手段来破坏物理生产过程从而达到产生物理影响的目的。因此本文基于美国NISTSP800-82工业控制系统安全指南中的工业控制系统运行模型提出了信息物理系统运行双环分析模型,参见图2。如图2所示,CI-CPS是信息域和物理域的融合系统,它包括分别位于信息域(cyber)和物理域(physical)的2个相互关联的环组成。信息域环由运行人员(操作员和工程师等)、上位机、网络和控制器组成,是一个人在环的系统。信息域环中运行人员(操作员和工程师等)使用上位机来监测和配置控制器中的设定点、控制算法,调整并建立参数,查看过程状态信息和历史数据。本文中将此环定义为信息监控环。物理域环由控制器、网络、执行器、传感器和物理系统组成,是一个物理系统在环的系统。物理域环中控制器接收传感信号,根据所设置的控制算法进行运算,输出控制变量,从而对物理系统生产过程进行控制。本文将此控制环定义为物理运行环。在这2个环中,关注的焦点是控制变量、传感变量和控制逻辑,正是由于这3类要素在整个CI-CPS系统中的传送、运算和实施,形成了由信息监控环和物理运行环相互交互、相互依赖所组成的从人到物理系统的大环,因此信息安全攻击的对象和目的也就是破坏这个大环最终产生的物理破坏和影响。从信息安全视角来看,信息物理攻击的主要目标是通过信息攻击手段直接或间接操纵控制变量、传感变量和控制器传递函数,从而对所控制的物理系统产生损害,产生健康、安全或环境等物理影响。也就是说主要开展信息攻击产生物理影响的科学和工程研究。1.3控制变量的定义如图2所示,本文首先对时间变量、传感变量、控制变量、扰动变量和控制逻辑进行基本形式化,它代表整个系统在未受外部攻击情况下的期望值。操作员和分析人员用该值建立系统是否正常运行的主观感知和判断。定义1时间变量。令t表示时间变量。其中过程运行观测时间为从t=0到t=tt,令TRP为过程运行观测时长,则TRP=[0,tt]。攻击时间从t=ts开始并结束于t=te,ts>0,te<tt,令TAP为攻击时长,则TAP=[ts,te]。定义2传感变量。令Y是所有传感变量的集合,Y=[y1(t),y2(t),…,yn(t)]T,n是传感变量的数量,yi(t)是第i个传感变量在时间t的变量值,1≤i≤n。定义3控制变量。令U是所有控制变量的集合,U=[u1(t),u2(t),…,um(t)]T,m是控制变量的数量,uj(t)是第j个控制变量在时间t的变量值,1≤j≤m。定义4扰动变量。令D是所有控制变量的集合,D=[d1(t),d2(t),…,do(t)]T,o为传感变量的数量,dk(t)是第k个传感变量在时间t的变量值,1≤k≤0。定义5控制逻辑。令GC为控制器的控制逻辑。接下来定义在上位机、控制器和被控过程所实际观测(传感变量)或操作(控制变量)的实际值。实际值是上位机、控制器和被控过程实体实际观测(传感变量)、操作的值(控制变量)和控制逻辑。定义6上位机传感变量实际值。令yi,M(t)表示上位机传感变量i在时间t的实际值,1≤i≤n,t∈[0,tt],n是传感变量数,tt为实验运行观测终止时间。定义7上位机控制变量实际值。令uj,M(t)是上位机控制变量j在时间t的实际值,1≤j≤m,t∈[0,tt],m是控制变量数,tt为实验运行观测终止时间。同理,可分别为控制器、被控过程分别定义其传感变量和控制变量实际值,即yi,C(t)、uj,C(t)和yi,P(t)、uj,P(t),1≤i≤n,1≤j≤m,0≤t≤tt。定义8控制器实际控制逻辑。G′C为控制器传递函数的实际逻辑。2ci-cps中的第4类攻击本节将在CI-CPS运行双环分析的基础上,增加信息物理攻击的形式化描述,从而能在CI-CPS的环境中更全面地理解信息物理攻击。为了简化后续分析,建立3个假设。假设1攻击者已经通过信息攻击手段具备了修改物理运行环中传感变量和控制变量的能力,并在此基础上发起信息物理攻击。在CI-CPS信息域中,攻击者可以通过攻击上位机、攻击信息监控环中上位机和控制器之间的网络以及攻击控制器获得假设1中的能力。在CI-CPS物理域中,攻击者可以通过对联网控制系统(NCS)和无线传感器等的攻击获得假设1中的能力。假设2攻击者不具备对控制器中控制逻辑的修改能力。本文不讨论攻击者具备对控制器中控制逻辑修改能力的情况,因为在这种情况下攻击者显然能对CI-CPS造成各种他所期望的破坏,正如震网事件所展示的。假设3讨论攻击效果时不考虑环境变量的扰动。本文不讨论在环境扰动前提下的攻击效果,而只探讨在无干扰条件下,不同攻击策略所能引起的攻击效果。在给定上述假设的情况下,就可以在CI-CPS运行双环分析的基础上引入简化的攻击变量,即仅在物理运行环中只考虑控制器和被控过程的传感变量和控制变量攻击。定义9物理运行环传感变量攻击值。令表示物理运行环中传感变量i在时间t的实际值,1≤i≤n,t∈[0,tt],n是传感变量数,tt为实验运行观测终止时间。定义10物理运行环控制变量攻击值。令表示物理运行环控制变量j在时间t的实际值,1≤j≤m,t∈[0,tt],m是控制变量数,tt为实验运行观测终止时间。信息物理攻击建模包括物理运行环传感变量攻击建模、物理运行环控制变量攻击值建模这2部分。1)物理运行环传感变量攻击建模其中:A、B、C是攻击者选择的常量参数;αi(t)是攻击者选择的时变函数。2)物理运行环控制变量攻击值建模其中:A、B是攻击者选择的常量参数;αi(t)是攻击者选择的时变函数。同Huang等提出的控制系统攻击建模相比,一方面本文没有选择最大攻击值和最小攻击值限制,因为蓄意攻击者可以选取任何值进行攻击且本文一个目的就是要考察传统控制逻辑和容错算法等对信息物理攻击的韧性;另一方面Huang等仅定义了时变函数同原信号相乘或相加进行叠加的情况,而现实中蓄意攻击者可以采用任何攻击方式破坏完整性。下面以式(1)传感变量攻击建模为例描述Huang等描述的完整性攻击中最大和最小值攻击、缩放攻击和添加攻击策略。1)令式(1)中A=B=C=0,D=yimin或yimax,则描述了最大或最小值攻击,此时:2)令式(1)中A=1,B=C=D=0,αi(t)=α′i(t)yi(t),则描述了缩放攻击,此时3)令式(1)中A=0,B=1,C=1,D=0,则描述了添加攻击,此时3结果与分析3.1ci-cps信息物理攻击的实验仿真传统信息安全攻击影响的分析方法和实践方法并不适用于CI-CPS的攻击影响分析。一方面,在影响度量和分析方法上,传统信息安全中主要考虑信息安全攻击对信息的机密性、完整性和可用性(CIA)的影响和评估,其度量也相应根据CIA展开,是一种对虚拟量的度量和研究分析方法,而CI-CPS信息物理攻击关注设备损坏、人员伤亡等实际物理量的物理影响,其度量和研究方法完全不同;另一方面,在实验方法上,传统信息安全可采用在真实环境中使用渗透测试来获得信息安全攻击的实证,但CI-CPS系统本身就是关系国计民生的生产运行系统,对这些系统的在线测试可能会导致真实的物理破坏,因此从生产安全的角度来看,对CI-CPS生产运行系统的真实渗透测试是不可行的。关于对CI-CPS的建模仿真是当前模拟仿真领域的热点,有大量研究提出了各种CI-CPS模拟仿真方案,包括以复制方式建设的测试床、以复制和模拟为主虚实结合的测试床和以仿真为主的测试床。在本文的实验设置中,在Matlab中建立对物理过程和控制逻辑的仿真进行实验。3.2模型设计背景在本文的信息物理攻击定义下,主要考虑信息物理攻击的物理影响。定义11告警停车时长(ASD)。告警停车时长是在信息监控环中从上位机操作员视角看到告警到物理运行环中物理系统产生物理停车之间的时长。令t表示时间变量,tai为告警传感变量yi(t)到达告警阈值边界的时间,tpi为告警传感变量yi(t)到达停车阈值边界的时间,ASDi为告警传感变量yi(t)的告警停车时长ASDi=tpi-tai。在实验过程中,ASDi≤TAP≤TRP。虽然在现实中信息物理攻击影响是对健康、安全或环境的影响进行度量,例如甚至对人员伤亡率作为度量指标。但一方面仿真模型和控制算法的设计范围限于停车,超出该临界范围模型是无效的(但在现实中,例如当反应器压力到达3000kPa后反应器将面临爆炸的危险);另一方面,在现实系统中会为关键参数设置告警,为更现实地反映信息物理攻击的有效性,本文选取告警停车时长(ASD)作为物理影响的度量,从而更严格地考察传统控制逻辑对信息物理攻击的可生存性(或韧性)。因此,本文认为选取告警停车时长作为物理影响度量是合理的,并且它比单纯是否能造成停车、停车时长等要更具现实性。3.3基于规律的过程控制模型为了对信息物理攻击的物理影响进行实验分析和研究,本文选取了TE(Tennessee-Eastman)过程作为被控过程对象进行实验研究和分析。TE过程是1993年美国TennesseeEastman化学公司的Downs和Volgel根据该公司的一个实际化工生产过程所开发的模型。本文选取了Ricker的控制算法实现过程控制,并在Matlab/Simulink中实现了整个系统。图3描述了TE模型的工艺流程图。它包括41个传感变量、12个控制变量、6种运行模型、15种已知环境扰动。为使模型更接近现实情况,Downs和Volgel还对控制器增加了对过程运行的限制,设定了5个传感变量为告警监测对象,参见表1。3.4te的攻击执行时间从攻击视角来看,在自动控制领域,主要研究焦点是设计TE的控制逻辑在无意的物理扰动情况下尽可能防止产生停车甚至爆炸等严重物理影响。而在CI-CPS领域中,主要研究焦点是考察整个系统对来自具有恶意和蓄意意图的智能主体(包括黑客、有组织犯罪、恐怖分子甚至是敌对国家等)采取以信息攻击手段为主的手段,防止或降低由此带来的对环境破坏、物理安全以及人身安全等严重物理影响。虽然从影响和后果来看两者的关注重点相同,但从起因和攻击模式上两者存在巨大差别。在本文攻击实验中,TE系统的仿真时间从t=0h到t=24h;若无特殊指明,则攻击执行时间为从t=1h到t=24h。实验中,选择了TE系统中反应器压力(y1)、反应器液位(y2)、反应器温度(y3)、气液分离塔液位(y4)和汽提塔液位(y5)这5个告警传感变量进行监测。监测值分为2类,一类是从控制器上取出的变量值,反应在信息监控环中操作员在人机接口(HMI)中看到的告警监测变量值yi,M=yi,C(假设信息监控环中没有攻击修改传感变量值);另一类是从TE化工厂仿真模型上取出的变量值yi,P,反应在物理运行环中物理系统实际的告警监测变量值。由于信息物理攻击,两者可能不一致。3.4.1教育环境物理扰动和异常环境下的模式创新在本文的监测图中点线表示告警阈值,浅虚线表示停车阈值,深实线表示监控数据,该数据在传感信号未被篡改时等同于系统的实际物理值,而当在信息物理攻击下导致监测对象的监控数据与实际物理值不同时,图上将额外使用深虚线来表示系统的实际物理值。实际操作中,当监控数据到达告警阈值时,代表系统会产生告警,通知监控人员系统可能会发生险情。而当实际物理值到达停车阈值时,则代表系统已经遭遇停车。图4显示了正常情况下告警监测变量的监测图。图5以加入影响A、C、D物料进料构成比例的物理扰动为例(即Downs和Volgel的TE模型挑战中的IDV8扰动类型),显示了在环境物理扰动下告警变量的监测图。从图5可见,传统的控制算法是能够鲁棒于物理扰动的。3.4.2类攻击方式在信息物理攻击的单变量攻击模式中,攻击方选取单个传感变量信号或单个控制变量信息进行攻击。本文中主要讨论2类攻击方式:添加攻击和替换攻击。添加攻击是在原信号基础上添加相关攻击参数进行攻击,替换攻击则是使用攻击信号直接替换原信号进行攻击。在本文中,攻击时间都从ts=1开始直到造成停车,或者到tt=24仿真结束,即仿真时间窗口为Ta=[1,24]。3.4.3高隐蔽性攻击的影响在对传感信号的攻击实验中,这里以直接攻击告警传感变量:反应器液位传感信号(y2)为例。在攻击模式上,首先考察常量添加攻击,攻击策略描述如下:对于反应器液位传感信号(y2),从图4a可见该信号的正常运行值在14m3到15m3之间,而由表1其不触发告警的波动区间为y2∈(11.8m3,21.3m3),其停车范围为y2≤2.0m3或y2≥24.0m3。因此,分别选取A=3.8m3,6m3,7.6m3,19m3,38m3进行常量叠加攻击实验,可以得到图6—图10等实验结果。这里每次只选取被攻击项、触发告警项和造成停车项信号的数据(可能有重复)来展示,其余对攻击实验影响较小的数据不做赘述。在常量添加攻击模式中,通过选取不同攻击参数的攻击策略,对应的告警停车时长(ASD)数据如表2所示。分析实验结果,可以发现在不同的攻击参数下,常量添加攻击有如下结论:1)低强度常量添加攻击。当攻击参数选取较低,如图6中A=3.8m3,攻击开始时攻击参数和原值叠加结果在无告警区间。在实验中,上位机的反应器液位传感变量观测值y2,M不产生告警,实际反应器液位传感变量物理过程值y2,P和其他相关物理过程值无法达到物理停车阈值;系统整体趋向稳定,不会产生物理停车情况。因此,传统的控制算法鲁棒于低强度常量添加攻击。2)临近告警值常量添加攻击。当攻击参数和原值叠加接近告警值时,如图7(A=6m3),攻击开始时叠加后的数据接近上告警阈值。在实验中,上位机的反应器液位传感变量观测值y2,M始终在正常区间内,不产生告警;但由于关联关系,分离塔液位传感变量观测值y4,M最先开始告警,接下来汽提塔液位(y5)物理过程值y5,P更快达到停车值,系统停车。因此,常量添加攻击中被攻击变量本身可能不会告警和停车,但也可以通过关联关系导致其他变量告警和停车。3)过告警常量添加攻击。如图8(A=7.6m3)、图9(A=19m3)和图10(A=38m3),攻击开始时叠加后的数据直接超过上告警阈值。在攻击过程中,因为汽提塔液位(y5)物理过程值y5,P更快达到停车值而停车。其中当在攻击开始时叠加值超过但接近告警值时,即A=7.6m3时,仅有短暂时间告警然后y2,M显示迅速回到正常值。当在攻击开始时叠加值远超过告警值时,即A=19m3,y2,M告警显示将一直存在,而这2次实验在告警停车时长上并无明显区别。因此,常量添加攻击存在攻击强度的有效区间,低于下限则物理系统和控制算法韧性于攻击,不会产生停车;高于上限后攻击强度的增加对告警停车时长几乎不会产生有效影响。前面所描述的攻击都是针对反应器液位传感变量观测值y2的攻击,为进一步讨论一些特殊的攻击影响,本文选择了一个针对气液分离塔液位(y4)的添加攻击,攻击叠加量A=3.8m3,属于临近告警常量添加攻击。从图11中可见,该攻击从上位机视角来看没有产生任何告警(其余未显示的告警变量同样也没有触发告警),但在实际物理系统中由于气液分离塔液位物理过程值y4,P到达停车值将造成停车。所以,通过选择特定传感变量和特定攻击模式,对传感变量的攻击可以在不触发告警的情况下产生系统停车。最后考虑则对反应器液位传感变量y2的常量替换攻击,攻击策略描述如下。实验取攻击参数B=21.1m3,即接近告警上阈值攻击。实验结果如图12所示。在替换攻击策略当中,选取接近告警阈值的常量替换,这同Huang等描述的最大最小值完整性攻击相类似,其结果虽然直接攻击的反应器液位传感变量观测值y2,M始终在正常区间内,不产生告警;但由于关联关系,分离塔液位传感变量观测值y4,M最先开始告警并达到停车阈值,系统停车。在该攻击模式下,告警停车时长仅为0.2h。临近告警值替换攻击的告警停车时长最短,这同Huang等结果一致。4优化控制参数对于单控制变量信号的攻击实验,在攻击模式上,选择更为有效的常量替换攻击。即首先考虑替换分离塔液体流量控制参数为B=100%,实验结果如图13所示。在尝试将反应器冷凝水流量控制参数替换为B=100%,得到实验结果如图14所示:这2次实验的告警停车时长(ASD)数据如表3所示。所以,针对控制信号的攻击比针对传感信号的攻击要更为直接,虽然这种攻击策略必然会触发告警,但是考虑到足够短的告警停车时长,该攻击策略仍然十分有效。5控制变量和传感变量组合攻击最后本文将讨论对多变量信号同时进行组合攻击的攻击实验。1)对多传感变量攻击进行攻击实验。对于反应器液位(y2),使用替换攻击令B=21.1m3,同时对气液分离塔液位(y4)叠加A=-16.3(t-1)m3的信号,可以得到如图15所示结果。通过多传感变量攻击组合,能实现在不发生告警的情况下