工控网络安全态势感知算法实现.pdf

《工控网络安全态势感知算法实现.pdf》由会员分享，可在线阅读，更多相关《工控网络安全态势感知算法实现.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第33卷第8期 控制理论与应用 v0133 N。82016年8月 Control TheoryApplicafions Aug2016DOI：10764l(：TA201650767工控网络安全态势感知算法实现陆耿虹，冯冬芹t(浙江大学工业控制技术国家重点实验室智能系统与控制研究所，浙江杭州3 10027)摘要：为了探知工控系统的网络安全态势，准确判断系统运行状况，提出了安全态势感知方法针对已有的完整性攻击研究，建立基于拜占庭将军问题的工控网络安全态势感知模型以及相应的安全态势感知算法本文提出的算法主要通过三个部分实现：首先对控制回路内的各节点信息进行采集与处理，得到系统中各节点状态；然后，利用

2、所得节点状态，执行算法流程，确定系统内存在的恶意节点；最终获取准确的工控网络安全态势实验结果表明：该态势感知模型与算法能准确提炼系统中的恶意节点并判断当前系统安全态势关键词：工业控制系统；拜占庭将军问题；完整性攻击；网络安全态势感知中图分类号：TP393 文献标识码：AIndustrial control system network security situation awaI-eness - 1 _ modeling ann algonthm implementat|0nLU Genghong甩NG Dongqint(State Key Laboratory of Industrial

3、Control Technology,Institute of Cyber-Systems and Control，Zhejiang University,Hangzhou Zhejiang 3 10027，China)Abstract：In order to explore network security situation of industrial control system，and find out how exactly the industrial control system performs，a method based on security situation awar

4、eness is proposedAccording to the current studiesof integrity attacks，this paper presents an industrial control network security situation awareness model with Byzantinegenerals problem being taken into accounts and also security situation awareness algorithmne algorithm proposed in thispaper can be

5、 implemented by three major steps：firstly,acquiring the current nodesstates by the data which is collectedfrom every nodes in the control loop of the industrial control system，and the data is preprocessed as well；Secondly,im-plementing the algorithm with the data obtained，the malicious node in the c

6、ontrol industrial system Can then be identified；At last，the accurate industrial control network security situation awareness is procuredThe result of simulation indicatesthe validity of the proposed model and corresponding algorithm，which can be used for identifying the malicious node andthen estima

7、ting the current industrial control network security situationKey words：industrial control system；Byzantine generals problem；integrity attacks；network security situation aware-ness(NSSA)1 引言(Introduction)在工业化与信息化高度融合的今天，对应用于众多国家基础安全设施的工业控制系统(industrialcontrol system，ICS)的智能化要求也在不断提升然而，不同于传统rr系统，工控系统

8、网络的安全一旦受到威胁，将会产生灾难性的严峻后果1996年，南卡罗来纳州的油管系统受到完整性攻击，造成爆裂，导致了周边环境的严重污染及巨额财产损失11近年来，类似的恶意攻击事件不断增多【21，因此对工控系统的网络安全进行研究，及时采取适当措施，从而避免类收稿日期：2015-0919；录用日期：2016一05一13t通信作者E-mail：dqfengiipczj ueducn；Tel：+86 57187974993本文责任编委：陈增强国家自然科学基金项目(61223004)资助Supported by National Natural Science Foundation of China(61

9、223004)似灾难性事故的发生，成为当务之急当前工业控制系统网络安全研究多集中于状态监测、故障诊断【3l等手段，大多数的研究都是在基于解析模型的方法上开展的41Aubrun等人【5】通过构造状态观测器作为残差发生器，分别研究了时延和丢包情况下网络化控制系统的故障诊断问题；Mao等人【6】利用Euler逼近的方法，对控制系统进行建模，并对容错控制问题进行了分析尽管这类方法能快速进行故障检测，但其准确度在很大程度上受到模型精确度的影响此外，文献7】也指出异常检测对于人为攻击表现万方数据第8期 陆耿虹等：工控网络安全态势感知算法实现 1055出较高漏检和误判率而过程工业具有规模庞大、变量众多的特点

10、，因此在面对海量系统过程信息时，引入态势感知的思想，将有助于改善当前“数据爆炸，信息匮乏”8】的局面对网络安全态势的研究，具体而言，即是对网络中运行的设备、网络行为以及用户行为等基本网络因素进行研究，可获取整个网络安全状态和变化趋势网络态势感知(cyber situation awareness，CSA)是1999年TimBass9】首次提出的，该理论是在对ATC(airtraffic contr01)态势感知成熟理论研究基础上提出的由于态势感知是一个动态且互相协作的过程，通过将数据与基于计算机的智能技术相结合，可以获取有效的态势感知方法【101Lu等人11开发了基于支持向量机的评估方法，能对

11、系统态势产生必要的警告Brannon等人【12】提出了基于神经网络的态势评估模型，为决策者提供了有效的决策支持但上述模型需要大量合适的训练数据，因此这些模型在实际中的应用仍存在局限由于贝叶斯网络能对不确定的任意过程建模，能优化系统态势感知，例如，chai等人【13】提出了基于贝叶斯网络的层次化态势评估模型，该模型包含了决策融合层与数据处理层；Naderpour等人14】提出了一个结合神经网络的性能与专家系统的态势评估方法，用以对态势进行感知与预测；然而，由于缺乏异常态势的数据，无法运用到真实世界中针对上述问题，本文将拜占庭将军问题理论与网络安全态势感知的研究相结合，通过采集系统节点原始数据，将

12、实际(节点间实际存在的数据传输关系)与本质(节点状态变化的一致性)两个方面结合起来，充分分析各节点设备在遭受完整性攻击时的性状，给出工控系统网络安全态势感知模型与算法，该模型能判断出系统状态及系统中存在的恶意节点，为决策者在攻击存在的情况下，提供可靠的决策依据本文最后对系统进行了仿真实验，从而证明提出模型与算法的有效性和可靠性2工控系统中的拜占庭将军问题模型(Byzantine generals problem model for ICSl拜占庭将军问题的研究起源于对计算机系统的可靠性理解以及冲突信息造成的系统故障的思考【雠16该问题描述的是，当拜占庭将军在进行作战指挥时，他会通过信使与其他军

13、官联系并共同决定是进行攻击还是撤退如果信使是叛徒，他可能会更改信息内容，使得接收者和发送者的信息不一致而每个接收到信息的军官则是通过比较其从相邻军官处接收到的信息来做出决定这样一来，错误信息的出现，最终可能会更改战争走向图1为拜占庭将军问题的示意图图1拜占庭将军问题Fig1 Byzantine generals problem定义1 拜占庭将军问题(Byzantine generalsproblem)B：B=(node，reaM，result) (1)B用一个三元组进行描述，其中：1)node为当前将要进行决策的节点；2)recM(recieve message)为节,fi,node接收到的来

14、自其余节点的信息recM=(尥。，de，Ms。de，Ms。rn。d。)， (2)尥。川i=1，2，3为节Anode接收到来自节点i的作战信息，其中：si为发送信息的节点，rhode为接收信息的节点M：。只有两种信号，攻击A或撤NR3)result为节点node进行判断处理后获取的结果result=(Atc。ode，SendM)， (3)其中：Atc。d。为节点node判断的背叛节点，SendM为对当前作战态势进行的判断，即是否存在背叛者本文将拜占庭将军问题理论运用到工控系统，如图2所示：最底层的实物图为现场层：Pi节点为PLC等设备，对物理层节点进行控制；s节点所处的是态势感知层，以实现态势感

15、知的目标传感器 控制阀 流量仪图2拜占庭将军问题的工控系统示意图Fig2 Byzantine generals problem of ICS定义2 拜占庭将军问题一工控系统表示BICS：Bics=(rawdata，node，recM，result) (4)不同于B，结合工控系统的特点，用一个四元组对BIcs进行描述万方数据1056 控制理论与应用 第33卷1)r&Wd砒。为物理层节点接收到的来自现场层设备的原始数据：rawdat。=(Pl，P2，p3)， (5)其中鼽(i=1，2，3)代表的是经过处理的节点原始数据，包括平均值和方差；2)node指定为图中S节点，用于对系统态势进行判断，它并非

16、工控系统物理层节点；3)接收节点信息reeMrecM=(Spl，昂2，SP3)， (6)Sh为节点Pi的单个节点信息，作为节点node的接收值：4)态势感知结果reslutresult=(Ate。d。，。)， (7)其中：Ate。d。用于判断系统内是否遭受到完整性攻击；。为当前系统态势3完整性攻击下的工控系统(ICS under theintegrity attacks)基于拜占庭将军问题对工控系统遭受攻击的情况进行分析，由第2节的介绍可知，物理层各节点在进行数据处理与分析时，具有相似性，因此在本节中，以传感器受到完整性攻击为例，对完整性攻击下的工控系统进行说明与介绍31单回路控制系统定义(D

17、efinition of the singleloop control system)图3为单回路控制系统，该图展示了控制系统的基本组成，传感器用于检测控制对象的状况，并将该检测值传递给控制器；控制器根据接收到的传感器检测值，对执行器产生控制信号，以使得控制对象处于稳定状态1纵D 攻击 绯D传感器图3单回路控制系统Fig3 Single loop control system定义3 时间t，T：t为传感器、控制器发送或获取数据的时间点，T意味着工控系统的整个运行过程：T=tstart，tendl，其中：t。art为工控系统开始运行的时间，t。d为工控系统运行结束的时间定义4 传感器检测值蜘(t

18、)：弧(t)为传感ms在时间t对控制对象进行检测获得的检测值，且弘(t)K；K=【好m，好“】，其中：谨m，vm“分别为传感器能检测到的最小及最大值，该值与传感器的自身性能有关定义5 控制器接收值玩(t)：玩(t)为控制器在时间t接收到的来自传感器的值，且鼠(t)K当玑()与鼠(t)存在一个不为。的偏差r()时，说明系统工况出现异常，此时系统可能出现攻击或内部故障，两者特点如下：攻击：攻击者采用某种攻击策略，使某一传感器信号在一段攻击时间。(Tat。T)内产生偏差r(t)，该值为受到攻击者操控的任意不同值c心m刊书L麓芝故障：传感器在k时刻产生突发故障【17】，即出现偏差r(t)，其值为常数c

19、，并在此之后的所有时刻维持这个偏差r(t)：2 c，畛， (9)一【0，tk由攻击与故障的特点，可知二者之间的区别：1)由于攻击者的攻击目的不同，攻击产生的偏差值是动态变化的：而故障发生后往往是不可恢复的，其偏差维持在某一定值2)攻击的发生往往遵循某种攻击策略而具有一定规律，如几何攻击；而故障的发生是随机的对于上述问题的分析，将在之后的研究中开展，本文考虑的是在完整性攻击这一攻击场景下，利用拜占庭将军问题理论，对工控系统安全进行态势感知，并判断系统内存在的恶意节点32攻击模型(Attack model)完整性攻击是指攻击者通过妥协节点，改变节点真实值，从而使控制过程发生变化，如图3中所示：攻击

20、者通过妥协传感器节点，改变传感器实际值Y。(t)，并把攻击信号玩(t)作为传感器检测值输出到控制器，最终达到使工控系统偏离稳定状态或处于危险状态的目的定义6 攻击时间。：瓦。意味着系统遭受到攻击的时间，瓦。=陋at。，tateo】，且。C T，其中，t址。，tatco分别为攻击开始及结束时间定义7 攻击信号弧(t)：玩；()意味着攻击者在进行攻击时，节点如在时间t的传感器输出值玩；(t)=Q(t)蜘。+卢(t)，t瓦。， (10)其中：Q(t)，卢(t)可视为攻击者在进行攻击时的调节函数，用以实现不同类型的攻击，依据文献【18】，通过设定不同的调节函数，可以建立不同类型的完整性攻击模型万方数据

21、第8期 陆耿虹等：工控网络安全态势感知算法实现 10574工控网络安全态势感知算法(Industrialcontrol network security situation awarenessalgorithm)41相关概念定义(Definition of related concepts)本文提出的算法通过对系统内节点参数的分析与处理，结合拜占庭将军问题的思想，从而获取系统整体态势，首先对算法内的相关函数进行定义与描述定义8 S吼灯E函数：STATE=(statem，statep2，statep。)获得系统节点序列，stat。为节点i的状态值，当其值超过稳定运行时的正常值彰”“时，state

22、p，为1；若小于，则为0，其表达式如下：stat= ynormal： ，其中：”“a1为节点i稳定运行时均值；为节点i状态变化后均值彰=兰=拿；定义9 Attack函数：该函数用以确定恶意节点在给出Attacki函数前，需要首先考虑各节点间的状态一致性关系，J(z歹)，五，J是提炼恶意节点的判据，其思想与原始拜占庭将军问题理论中确定“背叛节点”的思想一致，六，f体现的是将拜占庭将军问题理论应用于工控系统时，节点之间存在的逻辑关系，并分两种情况进行讨论(普遍睛况)：1)对于具有负响应关系的两个节点，将其节点状态进行同或运算例如，当温度传感器接收到温度上升的信号时(statep，=1)，控制阀门开

23、度将减d、(statep，=0)：fl，2(statestatep2)=statepl o stat2 (12)2)对于具有正响应关系的两个节点，将其节点状态进行异或运算例如，当控制阀门开度减tJ、(statep，=0)时，流量仪流量也变d、(statep。=0)：止，3(statep2，statep3)=statep2 o statep3 (13)如式(14)所示的Attacki函数是针对本文的研究对象，即单回路系统，给出的表达形式并能对恶意节点进行判断：recM：髀p2，sps)，AtCnode=1， (14)I(0，0，o)， Atc。d。1，Atcnode=8m+8p2+8p3， (1

24、5)其中s，。为节点鼽与其余节点状态之间的一致性判值：Sm=六，j O，k，iJk (16)若Atc。d。=l，则表示系统受到完整性攻击，且recM中状态显示为l的节点，为系统中的恶意节点；否则，系统正常，斟1recM中，3个节点显示值均为042算法(Algorithm)图4所示为工控网络安全态势感知的算法流程图图4算法流程图Fig4 Algorithm flow chart本文算法的基本思想如下：1)信息预处理：获取系统在稳定、无攻击运行状态下的各节点参数K。l，该值为系统稳定运行时各节点的均值；2)在整个工控系统运行过程中，以周期r7为单位，对系统中的每个节点的原始数据进行处理，获取节点信

25、息Pi=：3)判断此时的节点参数是否偏离稳定值，若是，则系统可能出现扰动或异常，则执行步骤5)，否则，系统正常，执行下一步；4)判断系统是否执行完毕，若是，则结束算法：否万方数据1058 控制理论与心fiJ 第33卷则返回步骤2)，继续对接收到的新数据进行判断：5)执行STATEi蚤数，对接收到的节点信息进行二次处理，并将值输出给Attacki垂i数；6)执行Attack函数，判断系统内是否存在攻击，并确定恶意节点：7)判断系统运行是否全部完成，若是，则结束算法，否则，返回步骤2)，继续执行循环5 MATLAB仿真实验(MATLAB simulationexperiments)51仿真模型搭建

26、(Construction of simulationmodels)某精馏塔提馏段温度单回路控制方案19】，如图5所示，图中表示了蒸馏塔的提馏段，提馏段某块板的温度为主变量，其中：粗实线部分表示工艺管线，细实线部分表示信号线图中各标记含义：Q代表蒸汽流量，用于表征控制阀开度；Pv代表蒸汽控制阀阀前压力；P为蒸汽控制阀阀后压力；F是进料量：B为塔底产品馏出液图5提馏段温度单回路控制方案Fig5 Temperature single loop control scheme of distillation该系统中有一个温度传感器TT 21，能对提馏段的温度2二进行检测，其中，正D为T的设定值，控制器

27、TC 21通过控制信号u控制蒸汽控制阀，对温度进行控制且控制阀门开度处于O一100之间，即控制阀完全关闭或完全打开在仿真过程中，对传感器温度参数死，控制阀参数，v，流量参数Q进行检测因此在无攻击情况下，对系统加入一个扰动，由于进料量F为温度环节的主要干扰量，因此加入一个幅度为20的扰动；在此情况下，系统将进行正常控制，图6所示为各节点输出状态，表1为相应实验结果表1无攻击情况下，实验结果统计表Table 1 Experiment results under no attacks situation算法参数 实验结果各节点状态 STATE=(1，0，0)完整性攻击判断AtCno：de(=recM

28、。，；，。)震2【U)u，uJ 田兀芯恳1烈颡30匠三S垂(a)传感器参数量1薰匪三五三三虿(b)控制阀参数圣1l匹三三三三i量!畦二1一o 0 50 100 150 200 250 300(c)流量仪参数图6无攻击情况Fig6 No attacks situation52实验验证(Verification)利用MATLAB软件对系统进行仿真实验，本文假定完整性攻击每次只作用在一个节点上，且攻击是在系统运行处于稳定后发生仿真时间T=f0，300，攻击时间Tatc=f101，3001)模拟温度传感器受到完整性攻击，其中输入攻击信号：Ys。(t)=Ysensor)+p(t)，卢(t)=一15图7为

29、各节点输出示意图，表2为相应实验结果薯40匠；匡三：s 2：注二二匹二二二二(a)传感器参数强区三匹三三j(b)控制阀参数兰!畦二IIII兰I口0 50 100 150 200 250 300(C)流量仪参数PLC接收值 实际值图7攻击温度传感器Fig7 Attack the temperature sensor万方数据第8期 陆耿虹等：工控网络安全态势感知算法。艾现 1 059表2攻击传感器时，实验结果统计表Table 2 Experiment results of attacking the sensor2)模拟控制阀节点受到完整性攻击，其中输入攻击信号：Yval。(t)=Yval、，。(

30、t)+卢()，卢()=40图8为各节点输出示意图，表3为相应实验结果篱匠三三三(a)传感器参数彗区三延三三量笔睑=二照三三兰(b)控制阀参数量!畦二1(c)流量仪参数PLC接收值 实际值图8攻击控制阀节点Fig8 Attack the valve表3攻击控制阀时，实验结果统计表Table 3 Experiment results of attacking the valve3)模拟流量仪受到完整性攻击，其中输入攻击信虱。ter(t)=Ymeter(t)+p()，卢(t)=5图9为各节点输出示意图，表4为相应实验结果p 40 F_r-1一-_：a!。0旷】I,I一10 50 100 1，0 20

31、0 2，0 300t|min(a)传感器参数姜lsO：O匪三苫三(b)控制阀参数喜1l区三堕三三j(c)流量仪参数PLC接收值 实际值图9攻击流量仪Fig9 Attack the meter表4攻击流量仪时，实验结果统计表Table 4 Experiment results of attacking the meter53仿真结果分析(Analysis of simulation results)通过实验，可以明确节点状态与恶意节点之间的关系，如表5所示在工控系统运行的过程中，无法避免地将受到外部扰动的影响，因此，各节点输出数据无法始终维持在某一稳定值，但由于控制目标不变，各节点的变化趋势总是

32、一致的，因此当STATE=(1，0，0)时，也就意味着温度传感器接收到温度上升的信号，控制阀阀门关小，流量也相应减小，系统正常；然而当各节点输出参数无法维持变化趋势一致时，即可知当前系统内已出现完整性攻击，并能够判断出恶意节点表5节点状态与恶意节点关系Table 5 Relationships between nodesstates andmalicious nodesSTATE 恶意节点(0，0，0)(0，0，1)(0，I，0)(I，0，0)(I，I，1)(1，1，0)(I，0，1)(0，I，1)传感器控制阀流量仪无传感器控制阀流量仪无6结语(Conclusions)本文以拜占庭将军问题为理

33、论基础，设计了一个工控网络安全态势感知模型，利用所提出的算法对系万方数据控制理论与应用 第33卷统中存在的完整性攻击进行检测，并对系统安全态势进行感知，给出当前网络态势，另外，在检测到系统中存在攻击的基础上，能对网络中的恶意节点进行判断实验结果表明，本文给出的工控网络安全态势感知模型和算法，能对系统内存在的攻击进行有效判断，并给出恶意节点，为安全管理人员评估网络态势及采取有效措施提供了决策依据参考文献(References)：【l】National Transportation Safely Board，Pipeline Accident ReportPipeline Rupture and

34、Release of Fuel Oil into the Reedy River at而rk Shoals,South Carolina【z】Washington，DC，Report PB98916502NTSBPAR一98-01，1996【2】CHEMINOD M，DURANTE L，VALENZ ANO AReview of seen-rity issues in industrial networks mIEEE Transactions on IndustrialInformatics，2013，9(1)：277293【3】WANG Yongqiang，YE Hao，WANG Gniz

35、engRecent developmentof fault detection techniques for networked control systems们Con-trol TheoryApplications，2009，26(4)：400409(王永强，叶吴，王桂增网络化控制系统故障检测技术的最新进展册控制理论与应用，2009，26(4)：400409)f4】FANG H J，YE H，ZHONG M Y Fault diagnosis of networked control systems叨Annual Reviews in Control,2007，3l(1)：5568【5】AU

36、BRUN C，SAUTER D，YAME JFault diagnosis of networkedcontrol systems唧International Journal of Applied Mathematicsand Computer Science，2008，18(4)：525538【6】MAO Z H，HANG B，DING S XA fault-tolerant control frameworkfor a class of nonlinear networked control systemsJInternationalJournal ofSystems Science，20

37、09，40(5)：449460【7】WANG YananDeceptive attack and information security protectionofprocess control system【D】Shanghai：East China University ofScience and Technology,2014(王亚楠过程控制系统欺骗攻击与信息安全防护【D】上海：华东理工大学，2014)【8】GUO MingResearches on performance monitoring and fault al-agnosis fo，process industry based

38、 on datadriven technique【D】Hangzhou：Zhejiang University,2004(郭明基于数据驱动的流程工业性能监控与故障诊断研究【D】杭州：浙江大学。2004)【9】BASS T，GRUBER DA glimpse into the future of idEBOLhttp：wwwusenixorgpublicationslogin19999featuresfuturehun11999【10l M址E融，0UR M，UJ J，丑IANG G QAn intelligent situationawareness support system for sa

39、fety-critical environments叨Decision Suppo，f Systems，2014，59：325340【11】LUJ，LIUB，ZHANGG，CtalAsituationassessmentapproachusingsupport vector machines as a learning tool叨International JournalofKnowledgeManagementStudies，2008，3(1)：8297【12】BRNNONNG，SE】R砸f盯TJE，DRA，OSTJ，etalCoordinated machine learning and

40、decision support for situation awareness【J】Neural Network WorM,2009，22(3)：316325【13】CHAI H，wANG BA hierarchical situation assessment model basedon fuzzy Bayesian network【C】Artificial Intelligence and Compu-tational Intelligence(AICt)Taiyuan，China：SpringerVeflag，201 l：444454【14NADERPOUR M。LU JA fuzzy

41、 dual expert system for managing situation awareness in a safety supervisory system【C】The21st lEEE International Conference on Fuzzy SystemsBrisbaneAustralia：IEEE，2012：715721【151 CARDENASAA，AMINS，LINZSAttacksagainstprocesscontrolsystems：risk assessment，detection，and response【C】Proceedingsofthe 6th A

42、CM Symposium on Information,Computer and Communications Security(ASIACCS)Hong Kong，China：ACM，201 l：355366【16】ARNOLD C，BUTTS J，T腿I腻AR硒值N KDetecting integrity at-tacks OB industrial control systems【J11FIP Advances in Informationand Communication Technology，2014，44l：313【17】删G C K，AU巳仉A，LANGAm RSensor f

43、ault detection and iso-lation using phase space reconstruction【C】American Control Conference fAcc)Chicago，IL，USA：IEEE，2015：892899【18】HUANG Y L，C削旺lENAS A A，AMIN S，et a1Understanding thephysical and economic consequences of attacks on control systems【J】International Journal ofCritical Infrastructure

44、Protection，2009，3(2)：7383【19】DAI Liankui，YU Ling，TIAN Xuemin，et a1Process Control Engineering【M】BeUing：Chemical Industry Press，2012(戴连奎，于玲，田学民，等过程控制工程【M】北京：化学工业出版社，2012)作者简介：陆耿虹(1992-)，女，博士研究生，目前研究方向为工业控制系统网络安全态势感知，Email：olivialuzjueducn；冯冬芹(1968-)，男，教授，目前主要研究方向为现场总线、实时以太网、工业控制系统安全以及网络控制系统的研发与标准化，E-mail：dqfengiipczjueducn万方数据