久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1　引言

隨著傳感器網(wǎng)絡(luò)和嵌入式系統(tǒng)技術(shù)的發(fā)展，近年來(lái)，信息物理系統(tǒng)（Cyber-Physical Systems, CPSs）的開(kāi)發(fā)和部署已給人們的社會(huì)生活帶來(lái)巨大變革。CPSs涉及的應(yīng)用領(lǐng)域非常廣泛，包括工業(yè)控制系統(tǒng)、智能電網(wǎng)系統(tǒng)、遠(yuǎn)程醫(yī)療系統(tǒng)、智能交通系統(tǒng)、環(huán)境監(jiān)測(cè)和智能建筑等^[1~3]。計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和控制技術(shù)的深度融合，為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)提供了強(qiáng)大的技術(shù)支撐，為綠色、高效、智能的生產(chǎn)生活模式帶來(lái)了更廣闊的發(fā)展前景。然而，越來(lái)越依賴網(wǎng)絡(luò)化的CPSs面臨著不斷升級(jí)的安全風(fēng)險(xiǎn)。隨著攻擊者的系統(tǒng)漏洞發(fā)現(xiàn)能力與攻擊手段不斷提升，攻擊者不僅可以利用信息安全漏洞突破網(wǎng)絡(luò)防御，癱瘓控制系統(tǒng)，甚至可以通過(guò)癱瘓一部分物理節(jié)點(diǎn)進(jìn)而造成物理世界的級(jí)聯(lián)事故，給整個(gè)CPSs造成損害^[4~6]。實(shí)際上，CPSs易受攻擊的弱點(diǎn)在最近一系列的事故中得以證實(shí)，表1列舉了近幾年電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊的實(shí)例^[7～15]。如圖1所示，展示了2010~2015年美國(guó)國(guó)土安全部ICS-CERT統(tǒng)計(jì)的影響安全事件數(shù)^[16]。可以看出，當(dāng)前信息物理系統(tǒng)安全事故頻發(fā)，預(yù)計(jì)未來(lái)的安全威脅將日益嚴(yán)重，這對(duì)保護(hù)信息物理系統(tǒng)免受網(wǎng)絡(luò)攻擊提出了迫切需求。

信息物理系統(tǒng)安全威脅來(lái)自多方面，有來(lái)自系統(tǒng)外部的威脅，如恐怖組織、國(guó)外情報(bào)部門(mén)、網(wǎng)絡(luò)黑客等敵對(duì)勢(shì)力，他們借助垃圾郵件、網(wǎng)絡(luò)釣魚(yú)和惡意程序等竊取合法用戶身份進(jìn)行在線欺騙，謀取經(jīng)濟(jì)利益并破壞公眾的正常生產(chǎn)生活；也有來(lái)自系統(tǒng)內(nèi)部的威脅，如系統(tǒng)管理人員不受限制訪問(wèn)目標(biāo)系統(tǒng)實(shí)施破壞，更嚴(yán)重的是運(yùn)維人員對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行非法操作等。當(dāng)然，不同行業(yè)面臨的威脅和風(fēng)險(xiǎn)不同，軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密，石化行業(yè)強(qiáng)調(diào)生產(chǎn)的連續(xù)和非異常，電力行業(yè)強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等。為保障CPS工控系統(tǒng)的安全運(yùn)行，世界各國(guó)政府已高度關(guān)注，出臺(tái)許多政策大力支持相關(guān)問(wèn)題的研究工作。國(guó)際上，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院出臺(tái)了SP800-82《工業(yè)控制系統(tǒng)安全指南》，確定了工控系統(tǒng)面臨的典型威脅漏洞以及相關(guān)資產(chǎn)的安全防護(hù)對(duì)策，范圍包括電力、石油化工、污水處理、核電、交通等國(guó)家關(guān)鍵基礎(chǔ)行業(yè)的ICS系統(tǒng)^[17]，美國(guó)國(guó)土安全部制定了“國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃”^[18]。

日本發(fā)起“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全項(xiàng)目”，以保護(hù)日本重要基礎(chǔ)設(shè)施和工業(yè)設(shè)施安全^[19]。歐洲網(wǎng)絡(luò)與信息安全局發(fā)布《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全白皮書(shū)》，要求歐盟成員國(guó)針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)路攻擊事件做出靈活應(yīng)對(duì)^[20]。我國(guó)也將網(wǎng)絡(luò)安全正式劃入“十三五”規(guī)劃重點(diǎn)建設(shè)方向^[21]，出臺(tái)了《網(wǎng)絡(luò)安全法》、《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》、GB/T 26333《工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等政策與規(guī)范，規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的一般方法和準(zhǔn)則，為防范和化解CPS信息安全風(fēng)險(xiǎn)提出了針對(duì)性的防護(hù)對(duì)策和整改措施。在學(xué)術(shù)研究方面，信息物理系統(tǒng)的安全問(wèn)題主要包括攻擊建模、入侵檢測(cè)、抗攻擊控制及隱私保護(hù)等方面。其中，攻擊模型能對(duì)攻擊過(guò)程進(jìn)行結(jié)構(gòu)化和形式化描述，有助于提高攻擊檢測(cè)和安全預(yù)警的效率，是保障系統(tǒng)安全的一個(gè)關(guān)鍵步驟。已有許多學(xué)者針對(duì)特定攻擊行為進(jìn)行建模，如文^[22]分析了拒絕服務(wù)攻擊對(duì)信息物理系統(tǒng)的影響，并針對(duì)攻擊者干擾能量受限的情況，設(shè)計(jì)出最優(yōu)拒絕服務(wù)攻擊序列模型。文^[23]采用基于數(shù)據(jù)驅(qū)動(dòng)的子空間方法，設(shè)計(jì)了一種針對(duì)狀態(tài)估計(jì)的錯(cuò)誤數(shù)據(jù)注入攻擊。文^[24]利用博弈論，建立了人和控制系統(tǒng)相互作用的模型，并用它分析信息物理安全問(wèn)題。文^[25]研究了針對(duì)網(wǎng)絡(luò)控制系統(tǒng)的隱蔽攻擊，并建立了一種具有反饋結(jié)構(gòu)的攻擊模型。還有一些學(xué)者以圖形化的方式描述攻擊路徑，提出基于攻擊樹(shù)^[26～27]或基于Petri Net攻擊圖^[28～29]的模型來(lái)表示攻擊行為和步驟之間的相互依賴關(guān)系，定性評(píng)估信息安全脆弱性以及系統(tǒng)的風(fēng)險(xiǎn)程度。然而圖形化攻擊建模過(guò)程中沒(méi)有將攻擊危害與系統(tǒng)安全要求結(jié)合，忽略攻擊實(shí)施基本條件與制定防御策略之間的聯(lián)系。因此，本文針對(duì)攻擊實(shí)施的行為要素，對(duì)幾類(lèi)常用攻擊進(jìn)行建模研究，提出了基于安全屬性的攻擊分類(lèi)方法，總結(jié)了不同種類(lèi)攻擊對(duì)信息物理系統(tǒng)狀態(tài)造成的影響，從而指導(dǎo)防護(hù)人員分析識(shí)別攻擊，實(shí)現(xiàn)準(zhǔn)確可靠的預(yù)警及防御。

表1 電力系統(tǒng)網(wǎng)絡(luò)攻擊實(shí)際案例

圖1 美國(guó)國(guó)土安全部2010～2015年安全事件統(tǒng)計(jì)圖^[16]

2　信息物理系統(tǒng)的安全目標(biāo)

《美國(guó)標(biāo)準(zhǔn)技術(shù)研究院（NIST）7682號(hào)報(bào)告》^[30]指出信息安全三要素分別為可用性（Availability）、完整性（Integrity）和機(jī)密性（Confidentiality）。傳統(tǒng)IT系統(tǒng)中，強(qiáng)調(diào)的是確保互聯(lián)網(wǎng)業(yè)務(wù)及應(yīng)用過(guò)程中數(shù)據(jù)的機(jī)密性，它的安全目標(biāo)是“CIA”原則。而CPSs關(guān)注的安全需求是保證生產(chǎn)控制的可用性，可用性遭受破壞會(huì)影響物理系統(tǒng)正常工作，所以，CPSs的安全目標(biāo)遵循的是“AIC”原則。

（1）可用性：保證所有資源及信息都處于可用狀態(tài)，網(wǎng)絡(luò)中任何信息時(shí)刻都能100%被授權(quán)方通過(guò)合理方式訪問(wèn)^[31]。即使存在突發(fā)事件（如電力事故、攻擊行為等），被控對(duì)象、控制中心等依然能夠獲取到需要的信息。“可用性”被破壞最容易實(shí)現(xiàn)的形式是利用通信網(wǎng)絡(luò)的脆弱性，中斷數(shù)據(jù)傳輸，從而造成資源浪費(fèi)，影響系統(tǒng)的正常運(yùn)行。

（2）完整性：保證所有數(shù)據(jù)或信息完整正確，任何未經(jīng)授權(quán)的數(shù)據(jù)修改方式都不得對(duì)傳輸數(shù)據(jù)進(jìn)行修改（包括改寫(xiě)、刪除、添加、替換等操作）和破壞^[31]。

“完整性”喪失意味著用戶會(huì)將收到的錯(cuò)誤數(shù)據(jù)認(rèn)為是正確的，導(dǎo)致系統(tǒng)在信息收發(fā)過(guò)程中難以利用檢測(cè)技術(shù)發(fā)現(xiàn)攻擊行為，進(jìn)而做出錯(cuò)誤的控制決策。

（3）機(jī)密性：保證信息的獲取僅限有權(quán)限的用戶或組織，任何通過(guò)非法渠道進(jìn)行的訪問(wèn)都應(yīng)被檢測(cè)并組織^[31]。“機(jī)密性” 被破壞將造成信息泄露問(wèn)題，存在重要信息（如用戶隱私、產(chǎn)權(quán)信息等）被非法分子利用的威脅。

按照信息物理系統(tǒng)安全目標(biāo)的屬性和重要性，我們對(duì)以破壞網(wǎng)絡(luò)可用性、破壞數(shù)據(jù)完整性、破壞信息機(jī)密性為目的的攻擊行為進(jìn)行總結(jié)和分析，如表2所示。

表2 針對(duì)信息物理系統(tǒng)安全屬性的攻擊分類(lèi)

2.1　以破壞網(wǎng)絡(luò)可用性為目的的攻擊

“下一代網(wǎng)絡(luò)”（如互聯(lián)網(wǎng)、專(zhuān)用網(wǎng)、局域網(wǎng)等）對(duì)實(shí)時(shí)通信和信息交互提供支撐。破壞網(wǎng)絡(luò)可用性的攻擊主要是通過(guò)阻礙、延遲通信網(wǎng)絡(luò)中的信息傳輸，引發(fā)網(wǎng)絡(luò)阻塞，導(dǎo)致數(shù)據(jù)不可用，主要涉及數(shù)據(jù)傳輸層通信協(xié)議的脆弱性，存在數(shù)據(jù)/信息的中斷威脅。典型的攻擊方式包括拒絕服務(wù)攻擊（Denial-of-Service，DoS）^[33～35]、黑洞攻擊^[36]、改變網(wǎng)絡(luò)拓?fù)?sup>[37]等。DoS攻擊對(duì)被攻擊對(duì)象的資源（如網(wǎng)絡(luò)帶寬等）進(jìn)行消耗性攻擊，其主要形式包括攻擊者迫使服務(wù)器的緩沖區(qū)溢出，使執(zhí)行元件不接收新的請(qǐng)求；攻擊者利用網(wǎng)絡(luò)協(xié)議/軟件缺陷，通過(guò)IP欺騙影響合法用戶的連接，使系統(tǒng)服務(wù)被暫停甚至系統(tǒng)崩潰。黑洞攻擊常出現(xiàn)在無(wú)線傳感器網(wǎng)絡(luò)之類(lèi)的自組織網(wǎng)絡(luò)中，攻擊時(shí)，惡意節(jié)點(diǎn)收到源節(jié)點(diǎn)發(fā)送的路由請(qǐng)求包后向其注出錯(cuò)誤決策，使電力系統(tǒng)局部或整體崩潰。黑洞攻擊常出現(xiàn)在無(wú)線傳感器網(wǎng)絡(luò)之類(lèi)的自組織網(wǎng)絡(luò)中，攻擊時(shí)，惡意節(jié)點(diǎn)收到源節(jié)點(diǎn)發(fā)送的路由請(qǐng)求包后向其注入虛假可用信道信息，騙取其他節(jié)點(diǎn)同其建立路由連接，然后丟掉需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，造成數(shù)據(jù)包丟失。改變網(wǎng)絡(luò)拓?fù)涞墓舴绞绞侵竿ㄟ^(guò)物理攻擊，斷開(kāi)通信線路，使重要網(wǎng)絡(luò)線路失效，迫使信息經(jīng)由更遠(yuǎn)的路徑傳輸，引發(fā)關(guān)鍵通信的時(shí)延。

2.2　以破壞數(shù)據(jù)完整性為目的的攻擊
傳感數(shù)據(jù)的可靠采集和控制指令的有效執(zhí)行為信息物理系統(tǒng)安全運(yùn)行提供保障。破壞數(shù)據(jù)完整性的攻擊主要通過(guò)注入錯(cuò)誤數(shù)據(jù)（如錯(cuò)誤的狀態(tài)估計(jì)信息）或者非法篡改數(shù)據(jù)（如控制指令）來(lái)阻礙數(shù)據(jù)正常交換的可靠性和準(zhǔn)確性。典型的攻擊形式有錯(cuò)誤數(shù)據(jù)注入攻擊（False data injection attack，F(xiàn)DI attack）^[38～39]、重放攻擊（Replay attack）^[40～41]、中間人攻擊^[42]等。FDI攻擊常存在于電網(wǎng)中，攻擊者繞過(guò)壞數(shù)據(jù)檢測(cè)機(jī)制，通過(guò)錯(cuò)誤數(shù)據(jù)操縱系統(tǒng)狀態(tài)估計(jì)結(jié)果，引起電網(wǎng)誤動(dòng)作。重放攻擊是指攻擊者故意記錄合法用戶的身份驗(yàn)證信息等，經(jīng)過(guò)一段時(shí)間再向系統(tǒng)發(fā)送，獲取系統(tǒng)的信任；或者攻擊者通過(guò)網(wǎng)絡(luò)竊聽(tīng)等其他非法監(jiān)聽(tīng)途徑識(shí)別并獲取傳輸信息，如斷路器跳閘的控制指令，后在電網(wǎng)正常運(yùn)行時(shí)重放該指令，造成斷路器誤動(dòng)作。

中間人攻擊是指攻擊者介入兩臺(tái)通信設(shè)備之間，接收一臺(tái)發(fā)送的信息，獲取后修改數(shù)據(jù)再發(fā)送給另外一臺(tái)，例如遠(yuǎn)程終端單元（RTU，Remote Terminal Unit）向控制中心發(fā)送的電網(wǎng)狀態(tài)信息可能被修改或刪除，從而導(dǎo)致控制中心做出錯(cuò)誤決策，使電力系統(tǒng)局部或整體崩潰。

2.3　以破壞信息機(jī)密性為目的的攻擊
攻擊者通過(guò)非法監(jiān)聽(tīng)等行為訪問(wèn)網(wǎng)絡(luò)中的機(jī)密數(shù)據(jù)，并利用這些數(shù)據(jù)對(duì)系統(tǒng)或其他參與者造成損害，從中獲利。以電網(wǎng)為例，這類(lèi)攻擊大多發(fā)生在用戶側(cè)，例如通過(guò)竊聽(tīng)器或流量分析儀獲取單個(gè)或多個(gè)用戶智能電表數(shù)據(jù)，從而分析出用戶與電網(wǎng)的狀態(tài)，便于進(jìn)一步實(shí)施破壞。

具體實(shí)現(xiàn)途徑有：（1）密碼破解，攻擊者通過(guò)暴力破解等手段繞過(guò)防火墻和密碼保護(hù)，成功侵入后使用IP掃描工具，侵入各個(gè)用戶交互界面獲取信息或發(fā)出未授權(quán)的指令，如控制斷路器跳閘^[43]。（2）惡意軟件和病毒，通過(guò)網(wǎng)絡(luò)或不安全的移動(dòng)存儲(chǔ)設(shè)備在電力控制設(shè)備上安裝惡意軟件或傳播病毒竊取信息^[43]。

（3）內(nèi)部員工，安全意識(shí)薄弱的員工可能將帶有病毒的移動(dòng)設(shè)備插入系統(tǒng)，或設(shè)置易破解密碼。心懷惡意的員工得到授權(quán)可輕易對(duì)系統(tǒng)進(jìn)行操作并規(guī)避檢查。

此外，還有以破壞多個(gè)安全屬性為目標(biāo)的攻擊，如女巫攻擊^[44]攻擊者偽造多種身份與CPS元件通信，影響惡意節(jié)點(diǎn)相鄰節(jié)點(diǎn)的通信網(wǎng)絡(luò)和路由路徑，實(shí)現(xiàn)攔截信息、篡改信息等功能，破壞網(wǎng)絡(luò)可用性和數(shù)據(jù)完整性）、蟲(chóng)洞攻擊[45]（攻擊者在兩個(gè)相距很遠(yuǎn)的節(jié)點(diǎn)之間構(gòu)建一條高質(zhì)量的私有通道，偽造非法的高效路徑，破壞路由協(xié)議，破壞數(shù)據(jù)完整性和信息機(jī)密性）等。

3　信息物理系統(tǒng)攻擊建模

CPS安全問(wèn)題本質(zhì)上是攻擊與防御之間的對(duì)抗，而要設(shè)計(jì)合理的防御機(jī)制，必須對(duì)攻擊的行為進(jìn)行深入剖析。攻擊模型是對(duì)攻擊過(guò)程的結(jié)構(gòu)化描述，是對(duì)攻擊特征的參數(shù)化表達(dá)。它不僅有助于研究攻擊者行為，而且可以提高攻擊檢測(cè)和安全預(yù)警效率，能夠?yàn)橹贫ǜ嗅槍?duì)性的安全防護(hù)策略奠定基礎(chǔ)。

3.1　信息物理系統(tǒng)攻擊實(shí)施要素

攻擊實(shí)施的三個(gè)行為要素為：信號(hào)竊聽(tīng)、攻擊構(gòu)造、攻擊注入，如圖2所示。在實(shí)際攻擊場(chǎng)景中，攻擊者首先需要對(duì)攻擊對(duì)象和周?chē)h(huán)境進(jìn)行感知，即攻擊者需要獲取一定的模型知識(shí)，這包括部分或全部信息物理系統(tǒng)演化所涉及的動(dòng)態(tài)特性、系統(tǒng)參數(shù)、網(wǎng)絡(luò)參數(shù)以及系統(tǒng)檢測(cè)機(jī)制、安全標(biāo)準(zhǔn)等。攻擊者對(duì)模型知識(shí)掌握得越全面，構(gòu)造的攻擊信號(hào)越容易躲過(guò)系統(tǒng)的防御和檢測(cè)機(jī)制。其次，攻擊者要對(duì)通訊網(wǎng)絡(luò)進(jìn)行竊聽(tīng)，在沒(méi)有被檢測(cè)且不影響系統(tǒng)運(yùn)行的情況下，竊聽(tīng)截取傳輸中的測(cè)量信號(hào)或控制信號(hào)的披露信息，包括信號(hào)所在的位置、信號(hào)的大小、信號(hào)的編碼方式等。結(jié)合所掌握的模型知識(shí)以及竊聽(tīng)截獲的網(wǎng)絡(luò)披露信息，利用自身具備的破壞資源構(gòu)造滿足預(yù)期攻擊效果的攻擊信號(hào)，注入到物理系統(tǒng)、控制中心或通信網(wǎng)絡(luò)中，危害信息物理系統(tǒng)的可用性、實(shí)時(shí)性、安全性等性能。當(dāng)然，有些攻擊無(wú)需知道模型知識(shí)或竊聽(tīng)披露信息，利用通信協(xié)議漏洞，也可以直接生成惡意軟件程序等威脅數(shù)據(jù)包，但這種攻擊較容易被系統(tǒng)自身的安全檢測(cè)機(jī)制和防御措施截獲。有的攻擊者還可以根據(jù)反饋信息，調(diào)整校正攻擊策略，以達(dá)到協(xié)同的攻擊效果。由于攻擊者具備的破壞資源受限，每類(lèi)攻擊能夠感染的通道個(gè)數(shù)、持續(xù)實(shí)施的攻擊時(shí)長(zhǎng)都不盡相同，從而對(duì)系統(tǒng)造成危害的程度不同。

值得注意的是，故障也會(huì)引發(fā)信息物理系統(tǒng)運(yùn)行失效，但無(wú)意圖的故障和有意圖的攻擊存在本質(zhì)區(qū)別，通過(guò)分析實(shí)施的行為要素以及實(shí)施過(guò)程中掌握的知識(shí)信息資源，可以幫助防御者區(qū)分故障和攻擊，以及區(qū)分不同類(lèi)型的攻擊，從而及時(shí)進(jìn)行故障隔離或?qū)嵭邪踩刂祈憫?yīng)。

圖2 攻擊實(shí)施圖

3.2　典型攻擊建模

攻擊的種類(lèi)繁雜，手段多變，不同領(lǐng)域攻擊所預(yù)計(jì)到達(dá)的具體攻擊目標(biāo)也不盡相同。本文以電力CPS中常見(jiàn)的典型攻擊為例，給出成功實(shí)施攻擊的必備條件和攻擊過(guò)程建模。

3.2.1　DoS攻擊

DoS攻擊是最常見(jiàn)也是最容易實(shí)現(xiàn)的攻擊形式，其攻擊模型如圖3所示，其中P表示系統(tǒng)模型，F(xiàn)表示控制器，D表示檢測(cè)器。攻擊者只要掌握系統(tǒng)元件之間的通信協(xié)議，即可利用攻擊設(shè)備在測(cè)量通道 ! 8、控制通道 #$上開(kāi)展阻塞網(wǎng)絡(luò)信號(hào)傳輸?shù)刃问降墓簦瑹o(wú)需提前知道系統(tǒng)模型知識(shí)，也無(wú)需竊聽(tīng)通信網(wǎng)絡(luò)獲取披露信息。系統(tǒng)遭受DoS攻擊時(shí)的輸出信號(hào)和控制信號(hào)可以分別表述為：

其中ω(t)和υ(t)是噪聲信號(hào)。需要指出的是，DoS攻擊時(shí)信道有可能接收到帶有真實(shí)信號(hào)的噪聲信號(hào)ω(t)和υ(t)。當(dāng)噪聲信號(hào)足夠大，即攻擊足夠強(qiáng)時(shí)，作為防守方，我們通常會(huì)人為丟棄這個(gè)信號(hào)，因?yàn)檫@個(gè)噪聲信號(hào)不能提供任何有用信息。這時(shí)候系統(tǒng)的輸出信號(hào)和控制信號(hào)就可以看作是w./0(t)=0;123(t)=0/。這和由通信網(wǎng)絡(luò)不穩(wěn)定造成的數(shù)據(jù)包丟失在數(shù)學(xué)表達(dá)上是相同，但其造成的原因是不同。

圖3 DoS攻擊框圖

3.2.2　重放攻擊

重放攻擊可以分為兩個(gè)階段，如圖4所示。先是記錄階段，即攻擊者從某時(shí)刻開(kāi)始竊聽(tīng)并記錄通信鏈路γy和γu上的傳輸信號(hào)，隨后是攻擊階段，即攻擊者經(jīng)過(guò)一段時(shí)間τ后，將記錄的信息重新發(fā)送到網(wǎng)絡(luò)通道 ! 8、 #$中。攻擊實(shí)施過(guò)程中無(wú)需知道系統(tǒng)模型知識(shí)，只需獲取通信鏈路上的披露信息即可。系統(tǒng)遭受重放攻擊時(shí)的輸出信號(hào)和控制信號(hào)可以表述為：

可以發(fā)現(xiàn)重放攻擊和傳統(tǒng)網(wǎng)絡(luò)控制系統(tǒng)中的延時(shí)數(shù)據(jù)在數(shù)學(xué)表達(dá)上相同，但延時(shí)是由路由器轉(zhuǎn)發(fā)數(shù)據(jù)包處理時(shí)長(zhǎng)引起的，重放攻擊是人為選擇特定時(shí)段傳輸信息再次發(fā)送，以達(dá)到損害數(shù)據(jù)完整性、一致性的目標(biāo)。

圖4 重放攻擊框圖

3.2.3　欺騙攻擊（Deception attack）

欺騙攻擊是一類(lèi)較為復(fù)雜的攻擊，目的是采用多種手段“躲避”系統(tǒng)安全檢測(cè)，欺騙防御者使其誤以為沒(méi)有攻擊發(fā)生，從而實(shí)現(xiàn)隱蔽攻擊。主要攻擊手段包括錯(cuò)誤數(shù)據(jù)注入攻擊（FDI attack）、偏置攻擊（Bias attack）^[46]、浪涌攻擊（Surge attack）^[47]、轉(zhuǎn)換攻擊（Covert attack）^[48]等。其攻擊模型如圖5所示。攻擊實(shí)施需要知曉安全檢測(cè)機(jī)制等模型知識(shí)，竊聽(tīng)通道γy和γu上的披露信息，擁有攻擊通道 ! 8和 #$的破壞資源。系統(tǒng)遭受欺騙攻擊時(shí)的輸出信號(hào)和控制信號(hào)可以表述為：

圖5 欺騙攻擊框圖

3.2.4　錯(cuò)誤數(shù)據(jù)注入攻擊

錯(cuò)誤數(shù)據(jù)注入攻擊是一種典型的欺騙型攻擊，普遍針對(duì)電力系統(tǒng)狀態(tài)估計(jì)環(huán)節(jié)（即測(cè)量通道）。攻擊者在了解電力系統(tǒng)拓?fù)浣Y(jié)構(gòu)的情況下，通過(guò)篡改傳感器測(cè)量數(shù)據(jù)，入侵傳感器和SCADA系統(tǒng)之間的通信網(wǎng)絡(luò)，使得控制中心接收到的傳感器測(cè)量數(shù)據(jù)不等于真實(shí)的測(cè)量數(shù)據(jù)，以“躲避”現(xiàn)有的壞數(shù)據(jù)辨識(shí)裝置的檢測(cè)。攻擊實(shí)施前需要知道模型知識(shí)中的系統(tǒng)參數(shù)和壞數(shù)據(jù)檢測(cè)機(jī)制，才能達(dá)到欺騙效果；此外還需要知道目標(biāo)通道的披露信息。系統(tǒng)遭受攻擊后，測(cè)量輸出信號(hào)被篡改為：

表3給出了幾類(lèi)典型攻擊實(shí)施所需要素。當(dāng)然，還有關(guān)于破壞信息物理系統(tǒng)隱私性方面的攻擊，也可以按照攻擊實(shí)施要素進(jìn)行個(gè)案建模分析。由于攻擊過(guò)程本身的復(fù)雜和多樣性，從已知攻擊形式中間找出關(guān)聯(lián)并總結(jié)出通用的攻擊模型仍然是個(gè)挑戰(zhàn)，本文主要從攻擊實(shí)施要素角度提供攻擊建模分析思路，對(duì)系統(tǒng)管理者制定防御措施有積極的指導(dǎo)意義。

表3 幾類(lèi)典型攻擊建模所需要素

4　結(jié)語(yǔ)

本文介紹了信息物理系統(tǒng)威脅和攻擊建模，它是信息物理系統(tǒng)中至關(guān)重要又富有挑戰(zhàn)的研究方向。本文的主要目的在于介紹信息物理系統(tǒng)的安全目標(biāo)和攻擊實(shí)施的基本條件，依據(jù)攻擊實(shí)施條件闡述幾種常用攻擊的建模方式，為后續(xù)構(gòu)建信息物理系統(tǒng)安全防護(hù)體系提供模型基礎(chǔ)。

★基金項(xiàng)目：國(guó)家自然科學(xué)基金（61473184，61673275,61873166）。

作者簡(jiǎn)介

鄔　晶（1979-），女，上海交通大學(xué)自動(dòng)化系副教授，主要研究方向?yàn)樾畔⑽锢硐到y(tǒng)的建模、分析與安全控制等。

宋　蕾（1994-），女，上海交通大學(xué)自動(dòng)化系碩士研究生，主要研究方向?yàn)橹悄茈娋W(wǎng)攻擊建模。

龍承念（1977-），男，上海交通大學(xué)自動(dòng)化系教授，教育部新世紀(jì)優(yōu)秀人才，主要研究方向?yàn)闊o(wú)線網(wǎng)絡(luò)、認(rèn)知無(wú)線電、協(xié)作通信等。

李少遠(yuǎn)（1965-），男，上海交通大學(xué)自動(dòng)化系教授，國(guó)家杰出青年基金獲得者，主要研究方向?yàn)樽赃m應(yīng)預(yù)測(cè)控制、網(wǎng)絡(luò)化分布式系統(tǒng)的優(yōu)化控制及數(shù)據(jù)驅(qū)動(dòng)系統(tǒng)控制器設(shè)計(jì)。

參考文獻(xiàn)：

[1] Humayed A, Lin J, Li F, et al. Cyber-physical systems security—A survey[J]. IEEE Internet of Things Journal, 2017, 4 ( 6 ) : 1802 - 1831.

[2] Burg A, Chattopadhyay A, Lam K Y. Wireless Communication and Security Issues for Cyber–Physical Systems and the Internet-of-Things[J]. Proceedings of the IEEE, 2018, 106 ( 1 ) : 38 - 60.

[3] Dardanelli A, Maggi F, Tanelli M, et al. A security layer for smartphone-to-vehicle communication over bluetooth[J]. IEEE embedded systems letters, 2013, 5 ( 3 ) : 34 - 37.

[4] Mo Y, Kim T H J, Brancik K, et al. Cyber–physical security of a smart grid infrastructure[J]. Proceedings of the IEEE, 2012, 100 ( 1 ) : 195 - 209.

[5] Baig Z A, Amoudi A R. An analysis of smart grid attacks and countermeasures[J]. Journal of Communications, 2013, 8 ( 8 ) : 473 - 479.

[6] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems [C]. Selected Topics in Mobile and Wireless Networking (MoWNeT), 2017 International Conference on. IEEE, 2017 : 1 - 6.

[7] Langner R. Stuxnet: Dissecting a cyberwarfare weapon[J]. IEEE Security & Privacy, 2011, 9 ( 3 ) : 49 - 51.

[8] 駭客帝國(guó): 公用電網(wǎng)面臨網(wǎng)絡(luò)攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html. (2015-07-22) [2018-10-10].

[9] 加拿大 Telvent 出現(xiàn)持續(xù)性的網(wǎng)絡(luò)攻擊 [EB/OL]. http://www.it165.net/news/html/2012-09/3333.html, 2012 - 09 - 27/ 2018 - 10 - 10.

[10] 駭客帝國(guó):公用電網(wǎng)面臨網(wǎng)絡(luò)攻擊 [EB/OL]. http://smartgrids.ofweek.com/2015-07/ART-290003-11000-28981378.html, 2015 -07 -22/ 2018 -10 -10.

[11] 李鴻培, 王曉鵬, 王洋. 綠盟科技工控系統(tǒng)安全態(tài)勢(shì)報(bào)告[R]. 北京 : 綠盟科技, 2014.

[12] MARSH R. Congressman: National power grid frequently attacked [EB/OL]. http://edition.cnn.com/-2015/10/21/politics/national-power-grid-cyber-attacks/, 2015 - 10-21/ 2018 - 10 - 10.

[13] Liang G, Weller S R, Zhao J, et al. The 2015 Ukraine blackout: Implications for false data injection attacks[J]. IEEE Transactions on Power Systems, 2017, 32 ( 4 ): 3317 - 3318.

[14] GOODIN D. Israel's electric authority hit by "severe" hack attack [EB/OL]. http://ars - technica.com/security/2016/01/israels - electric - grid - hit - by - severe - hack - attack /, 2016 - 01 - 27/ 2018 - 10 - 10.

[15] 目前2018年最嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件[EB/OL]. https://www.sohu.com / a / 242289413_401710, 2018 - 07 - 20/ 2018 - 10 - 10.

[16] https://ics-cert.us-cert.gov/sites/default/files/Annual_Reports/Year_in_Review_FY2015_Final_S508C.pdf

[17] Taylor J M, Sharif H R. Security challenges and methods for protecting critical infrastructure cyber-physical systems[C]. International Conference on Selected Topics in Mobile and Wireless Networking. IEEE, 2017 : 1 - 6.

[18] US - CERT. ICS - CERT, https://www.us-cert.gov/security-publications/introduction-information-security.

[19] 張恒. 信息物理系統(tǒng)安全理論研究[D]. 浙江大學(xué), 2015.

[20] The European Network and Information Security Agency. Protecting Industrial Control Systems[R]. Heraklion: Recommendations for Europe and Member States, 2012 : 6 - 15.

[21] 國(guó)務(wù)院. “十三五”國(guó)家信息化規(guī)劃[Z].

[22] Zhang H, Cheng P, Shi L, et al. Optimal DoS Attack Scheduling in Wireless Networked Control System[J]. IEEE Transactions on Control Systems Technology, 2016, 24 ( 3 ) : 843 - 852.

[23] Kim J, Tong L, Thomas R J. Subspace Methods for Data Attack on State Estimation: A Data Driven Approach[J]. IEEE Transactions on Signal Processing, 2015, 63 ( 5 ) : 1102 - 1114.

[24] Amin S, Schwartz G A, Hussain A. In quest of benchmarking security risks to cyber-physical systems[J]. IEEE Network, 2013, 27 ( 1 ) : 19 - 24.

[25] Smith R S. Covert Misappropriation of Networked Control Systems: Presenting a Feedback Structure[J]. IEEE Control Systems, 2015, 35 ( 1 ) : 82 - 92.

[26] 黃慧萍,肖世德, 梁紅琴. 基于AHP和攻防樹(shù)的SCADA系統(tǒng)安全脆弱性評(píng)估[J]. 控制工程, 2018, 25 ( 6 ).

[27] Chechulin A A, Kotenko I V. Attack tree-based approach for real-time security event processing[J]. Automatic Control and Computer Sciences, 2015, 49 ( 8 ) : 701 - 704.

[28] Yao L, Dong P, Zheng T, et al. Network security analyzing and modeling based on Petri net and Attack tree for SDN[C]. International Conference on Computing, Networking and Communications. IEEE, 2016 : 1 - 5.

[29] Li B, Lu R, Choo K K R, et al. On Reliability Analysis of Smart Grids under Topology Attacks: A Stochastic Petri Net Approach[J]. ACM Transactions on Cyber-Physical Systems, 2018, 3 ( 1 ) : 10.

[30] The Smart Grid Interoperability Panel–Cyber Security Working Group. Guidelines for Smart Grid Cyber Security[EB/OL]. http://www.nist.gov/smartgrid/ upload/nistir-7628_total, 2010 - 08.

[31] 湯奕, 陳倩, 李夢(mèng)雅, 等. 電力信息物理融合系統(tǒng)環(huán)境中的網(wǎng)絡(luò)攻擊研究綜述[J]. 電力系統(tǒng)自動(dòng)化, 2016, 40 ( 17 ): 59 - 69.

[32] Li Y, Quevedo D E, Dey S, et al. SINR-based DoS attack on remote state estimation: A game-theoretic approach[J]. IEEE Transactions on Control of Network Systems, 2017, 4 ( 3 ) : 632 - 642.

[33] Srikantha P, Kundur D. Denial of service attacks and mitigation for stability in cyber-enabled power grid[C]. Innovative Smart Grid Technologies Conference. IEEE, 2015: 1 - 5.

[34] Wang H, Xu L, Gu G. FloodGuard: A DoS Attack Prevention Extension in Software-Defined Networks[C]. IEEE/IFIP International Conference on Dependable Systems and Networks. IEEE, 2015: 239 - 250.

[35] Zhang H, Qi Y, Wu J, et al. DoS attack energy management against remote state estimation[J]. IEEE Transactions on Control of Network Systems, 2018, 5 ( 1 ): 383 - 394.

[36] Taylor V F, Fokum D T. Mitigating black hole attacks in wireless sensor networks using node-resident expert systems[C]. Wireless Telecommunications Symposium. IEEE, 2014: 1 - 7.

[37] Liu X, Li Z. Local Topology Attacks in Smart Grids[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 6 ): 2617 - 2626.

[38] Liu X, Bao Z, Lu D, et al. Modeling of Local False Data Injection Attacks With Reduced Network Information[J]. IEEE Transactions on Smart Grid, 2017, 6 ( 4 ): 1686 - 1696.

[39] Liang G, Zhao J, Luo F, et al. A Review of False Data Injection Attacks Against Modern Power Systems[J]. IEEE Transactions on Smart Grid, 2017, 8 ( 4 ): 1630 - 1638.

[40] Na S J, Hwang D Y, Shin W S, et al. Scenario and countermeasure for replay attack using join request messages in LoRaWAN[C]. International Conference on Information Networking. IEEE, 2017: 718 - 720.

[41] Zhu M, Martínez S. On the performance analysis of resilient networked control systems under replay attacks[J]. IEEE Transactions on Automatic Control, 2014, 59 ( 3 ): 804 - 808.

[42] 曹剛. 解析中間人攻擊原理[J]. 計(jì)算機(jī)與網(wǎng)絡(luò), 2014 ( 22 ) : 48.

[43] WilliamStalings. 密碼編碼學(xué)與網(wǎng)絡(luò)安全：原理與實(shí)踐[M]. 北京電子工業(yè)出版社, 2001.

[44] Yao Y, Xiao B, Wu G, et al. Multi-channel based Sybil Attack Detection in Vehicular Ad Hoc Networks using RSSI[J]. IEEE Transactions on Mobile Computing, 2018.

[45] Lee P, Clark A, Bushnell L, et al. A Passivity Framework for Modeling and Mitigating Wormhole Attacks on Networked Control Systems[J]. Automatic Control IEEE Transactions on, 2013, 59 ( 12 ): 3224 - 3237.

[46] Teixeira A, Shames I, Sandberg H, et al. A secure control framework for resource-limited adversaries[J]. Automatica, 2015, 51: 135 - 148.

[47] Hu Y, Li H, Luan T H, et al. Detecting stealthy attacks on industrial control systems using a permutation entropy-based method[J]. Future Generation Computer Systems, 2018.

[48] de S A O, da Costa Carmo L F R, Machado R C S. Covert attacks in cyber-physical control systems[J]. IEEE Transactions on Industrial Informatics, 2017, 13 ( 4 ): 1641 - 1651.

摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊（第五輯）》