研究背景及意义
- 课题背景
信息物理融合系统(Cyber-Physical Systems, CPS)是一种利用现代传感器技术、计算技术和网络技术,实现3C(Computation,Communication, Control)融合,将物理世界和网络世界有效联结的复杂系统。CPS大体的工作过程为传感器从外界获取各种环境参数和数据,通过网络将数据传输至计算中心,计算中心对数据进行处理和运算并根据计算结果做出决策,然后通过网络将控制命令传给外部的控制器从而对物理世界做出改变。近年来,CPS被广泛认可为推动工业4.0发展的核心技术[1],已成功应用于电力、医疗、交通运输、供水(天然气)等工业控制系统,是目前工业界和学术界研究的热点[2]。由于CPS各个部件之间的通信主要依靠网络,使得CPS容易受到网络攻击的影响。与此同时,CPS物理部件和网络部件之间存在高度耦合性,网络攻击很容易引起物理部件的故障,从而导致严重后果[3,4]。2010年世界上第一个直接破坏现实中SCADA(Supervisory Control And Data Acquisition)系统[5]和工业基础设施的病毒Stuxnet(震网)出现。2010年2月,伊朗的核设施遭到Stuxnet攻击,导致核设施无法正常运行,Stunxnet攻击的核心目标是工控网络的PLC(Programmable Logic Controller),对国家基础设施的安全产生了重大的威胁[6]。2015年乌克兰电力网络遭受鱼叉式网络钓鱼(Spear phishing)攻击,黑客以含有恶意宏的Microsoft Office文件为攻击载体,清空SCADA系统数据,致使乌克兰西部地区约70万户居民用户停电数小时[7]。随着 CPS 不断发展,CPS面临的攻击手段也在不断更新,其多样性和隐蔽性给CPS 造成了极大地安全威胁。近年来的攻击事件显示,攻击者正在针对物理系统的业务流程和安全防护机制,设计出隐蔽性更好和破坏力更强的CPS 攻击策略,并结合网络攻击技术对智能电网、智能交通、智慧医疗等国家基础设施,以及可穿戴设备、自动驾驶、智能家居等个人安全系统进行攻击,严重威胁国防、政治、经济和人民日常生活。[6]为了防止各种攻击造成的CPS故障给人类的生产生活造成的灾难性后果,对CPS系统节点增加防御措施十分必要。但是由于CPS的复杂性很高,且存在部分节点无法更新升级或额外安装其它程序的情况(如在电力工业控制系统中,在一些边远地区,无法及时更新所有系统和设备[8]),如何选择合适的节点增加安全防御成为一项重要研究内容。
- 研究目的和意义
针对系统风险评估和安全防御问题,文献[9]所开发的开源工具ADTool允许用户建立可视化的攻击防御树模型模拟各类攻击防御场景,并且通过递归子树的方式实现了攻击的时间、代价、概率等多种属性的计算,为系统风险评估和安全防御提供指导。文献[10]采用攻击树对智能电网CPS进行风险建模,为每个原子攻击节点分配成本因子(即防御该攻击节点的代价)。在此基础上用代数方法分析为阻止最终攻击目标发生最少应防御的攻击节点的数目,试图从防御最少的攻击节点的角度确定最优的防御策略。文献[11]从攻击防御树中攻击事件的攻击收益和防御措施的防御收益的角度,建立系统的攻防博弈模型,通过求解博弈模型的混合策略纳什均衡求解攻防双方在最大化收益目标的前提下,对各自而言的最优策略选择,结合每条攻击路径选择最佳的防御策略,以此来指导最佳防御策略的选择。
上述工作主要从防御最少的攻击节点、防御成功率高的攻击路径等角度设计如何选择CPS的防御节点,并未考虑具体的防御代价。然而,具体的防御代价是实际系统中必须要考虑的重要问题。例如:对于一个有15个攻击节点的银行ATM系统攻击防御树[12],假设针对每个攻击节点的平均防御成本是500$。如果我们防御所有的攻击节点,防御成本可达7500$,这对于一个中小企业而言是一项沉重的负担。因此,在实际的工业控制系统中,制定防御策略时,防御成本应当是一项重要的参考指标。
因此,提出考虑成本代价的CPS防御节点选择问题。采用攻击防御树对CPS系统中的攻击防御行为进行建模,在阻止最终攻击目标实现的同时,使得增加的防御成本最小。为此,提出一种新的攻击防御树建模方法,将攻击防御树转换为所有防御节点都在叶节点上的原子攻击防御树。基于新的建模方法,提出CPS最小防御代价计算方法。通过该方法,既能实现安全防御的最终目标,即保护最终资产是安全的,同时保证用户需要付出的防御代价是最小的。
- 国内外研究概况
为了完成CPS防御代价的分析,首先需要对CPS系统进行建模。目前,针对CPS的安全风险评估的建模分析方法,典型的包括攻击树(Attack Tree,ATree)[13]、攻击防御树(Attack Defense Tree,ADTree)[14]、故障树[15]、攻击图[16]等图形化模型。其中攻击树是由Schneier正式提出的系统化的攻击场景建模方法,Mauw 和Oostdijk等人对攻击树做出了正式的定义[17]。攻击树按从上至下的顺序逐层建模攻击场景,将攻击目标逐层分解成不可继续分解的原子攻击,可以对攻击场景做定性和定量分析,被广泛应用于系统安全性评估。但是攻击树只能描述攻击场景,无法表现攻击者和防御者之间的交互行为。为此,Kordy等人[14]在攻击树的基础上提出了攻击防御树,在攻击树的基础上增加了防御节点。攻击防御树可以建模攻击防御场景并对系统进行安全评估,实现系统攻击防御代价特性的分析,用户可以根据分析结果对系统的安全防御措施进行优化。例如文献[18]用攻击防御树对云安全威胁进行分析,文献[19]利用攻击防御树为医疗危险品追踪系统创建了保护框架。文献[20]等人利用ADTree对CPS进行风险评估,并提出了两个经济指标来评估攻击防御树的有效性。文献[21]研究了攻击防御树在防伪分析中的的适用性,扩展了现有的成本效益分析方法,并评估了技术性对策的有效性。文献[22]考虑几种常见的攻击 SCADA 系统使断路器跳闸的方式,利用攻击树模型评估不同攻击场景的成功率,分析不同攻击场景对电力系统可靠性的影响。文献[23]提出了基于攻击防御树的态势感知预警模型。通过共享攻击防御树, 获得对攻防场景的建模, 从而对网络安全态势有准确的认识, 以便及时地做出应对策略。
由于攻击防御树是半形式化模型,一种常见的方法是基于形式化方法给出其分析方法。例如:文献[24]对攻击防御树的定量分析问题进行了分类,讨论了攻击防御树分析时的剪枝方案,弥补了定量评估攻击防御场景的直观方法与正式方法之间的差距,并讨论了如何采用形式化方法建立攻击防御树的分析方法。文献[25]采用连续时间马尔可夫链( Continuous Time Markov Chain,CTMC)给出了攻击防御树的定量分析语义,预测和识别攻击并分析最合适的防御措施以减少攻击的影响。文献[26]基于随机Petri网给出了攻击防御树的随机操作语义并执行其定量分析。文献[27] 提出了一种基于博弈论的攻击防御场景分析框架,使用带时序逻辑的拓展攻击防御树来建模动作的时间顺序并采用概率模型检查技术来正式分析这些模型,以优化某些定量属性或两者之间的一些多目标权衡。文献[28] 提出了一种攻击防御树的时序和随机语义并用随机时间自动机来对攻击防御树进行定量分析。文献[29]展示了如何从攻击防御树中分离攻击者和防御者的行为模型,可以对复杂的时间行为进行建模,利用时间自动机对攻击防御场景进行建模并进行定量分析。文献[30]将ADTree转换为扩展的异步多代理系统(extension of Asynchronous Multi-Agents Systems,EAMAS),通过这种转换量化不同代理配置对度量标准的影响。文献[31]针对窃密型APT攻击缺乏形式化表示的问题,建立一种窃密型APT攻击分层表示模型APT-HRM。将APT 攻击分为攻击链和攻击树上下2 层,并对其进行形式化定义。这类研究工作必须先完成攻击防御树到形式化模型的转换,然后基于形式化模型执行定量分析。为了对攻击防御场景进行定量风险分析,通常会根据需求给攻击防御树的节点添加属性值,以增加模型的表达能力[32]。
此外,另一类研究工作根据攻击防御树的树型结构的特性采用代数方法完成其分析工作。例如:文献[10]从最小防御节点数目的选择的角度制定最小防御策略。文献[33]中基于代数方法提供了攻击树和攻击防御树的多种属性分析方法,并提出为ADTree中的节点添加攻击事件的攻击收益和防御措施的防御收益两个经济指标,利用ROA和ROI来评估ADTree的有效性和指导最佳防御策略的选择。文献[34]针对SCADA系统,提出一种基于层次分析法和攻击防御树模型的SCADA系统脆弱性评估方法。文献[35]利用攻击防御树精确的计算多步攻击的破坏成本,有效地平衡对策选择和攻击破坏成本,有效的衡量攻击破坏在网络中的传播并选择适当对策以最大程度地减少对服务的影响。文献[36]针对攻击防御树的多参数优化问题,设计了优化所有参数的自动化技术,在有冲突参数的情况下利用帕累托效率计算所有最优解的集合。文献[37] 利用静态贝叶斯博弈研究工业SCADA 系统的信息安全防御策略选择问题。建立基于静态贝叶斯博弈的 SCADA 系统攻防模型,给出算法求解博弈模型的贝叶斯均衡,以贝叶斯均衡作为防御策略选择的预测结果。文献[38]基于攻击防御树针对提出了一种针对APT攻击的风险评估理论模型。通过构建风险分析框架,定义相关参数,描述攻击过程中双方策略相互影响的实际场景,可以度量系统风险值与评估防护策略。文献[39]将攻击树模型扩展为网络攻防行为树,利用博弈论和攻防树的特性描述具体的攻防事件场景,分析了不同层面攻击行为的逻辑关系,并通过代数方法给出了的目标攻击成功率算法,从攻防行为概率的角度分析了网络安全态势。
- 存在问题
基于形式化模型的方法:由于形式化模型本身的复杂性以及状态空间爆炸的问题,这类方法在实际案例中应用比较困难。
