感知與預測-物理信息融合的工控安全.pdf

《感知與預測-物理信息融合的工控安全.pdf》由會員分享，可在線閱讀，更多相關《感知與預測-物理信息融合的工控安全.pdf（49頁珍藏版）》請在三個皮匠報告上搜索。

1、信息工程大學感知與預測-融合物理信息的工業控制系統安全要解決什么問題？兩化融合下的工業控制系統安全，與之前相比更大的挑戰？（1）攻擊向量有什么趨勢？）攻擊向量有什么趨勢？（2）攻擊向量檢測與感知面臨的困難？）攻擊向量檢測與感知面臨的困難？（3）針對控制過程的攻擊是什么特點？）針對控制過程的攻擊是什么特點？（4）預測與感知的技術特點及實現？）預測與感知的技術特點及實現？（5）如何加強主動防御能力？）如何加強主動防御能力？主要內容1 攻擊向量特點與趨勢2 面臨主要困難與挑戰3 融合物理信息的控制過程攻擊4 預測與感知基礎能力構建5 總結一、攻擊向量特點與趨勢高度定向目標模塊化可定制視圖拒絕與控制操

2、縱物理過程破壞這是勒索的年代？1.1 高度定向的目標針對西門子SIPROTEC繼電器發起拒絕服務模塊利用CVE-2015-5374（基輔電網目標站點多使用西門子設備）Industroyer病毒2010，Stuxnet2014，HaveX2015，BlackEnergy2017，Industroyer其中兩款涉及物理過程破壞：Stuxnet、Industroyer針對電力系統攻擊，目前不具有傳播性，沒有SPY功能1.2 模塊化可定制以Industroyer為例：支持四種協議，框架結構支持四種協議，框架結構僅需要少量修改，如加入DNP3協議支持，就可以發起對北美電網攻擊 一定的自治一定的自治、自主

3、能力、自主能力 利用OPC協議繪制網絡環境地圖，選擇攻擊目標 利用HMI的庫和配置文件進一步熟悉環境，通過理解網格操作然后利用系統本身發起攻擊?？s短從進入到影響的時間窗口1.3 DoV&MoC式攻擊Denial（Temporary）Loss（SUSTAINED）ManipulationViewDoVLoVMoVControlDoCLoCMoCIndustroyer使用OPC創建視圖拒絕攻擊（Denial Of View），OPC暴力篡改顯示值，例如opc.exe向目標系統發送0 x01狀態，誤導操作人員對繼電器的保護現狀的理解。例如，對斷路器的顯示狀態為“關閉”，但實際上是“打開”1.4 破壞

4、物理過程 攻擊者已然具有強大的工業背景知識直接控制開關和斷路器（無限循環打開關閉的斷路器，導致變電站斷電）監控操作人員試圖在HMI上發出關閉命令，循環將斷路器不斷打開，阻止操作員管理斷路器并啟動線路。為了恢復供電，需要切斷與變電站的通信，手動修復問題。1.4 破壞物理過程利用漏洞阻礙繼電器保護措施利用CVE-2015-5374，針對西門子SIPROTEC繼電器發起拒絕服務（烏克蘭基輔電網目標）制造強迫性制造強迫性“孤島孤島”事件事件啟動無限循環，使得斷路器持續打開、關閉，可能會觸發保護，并導致自動化保護操作，將該變電站隔離（孤島），如果多個變電站受到攻擊，將會導致眾多孤島。1.5 這是一個勒索

5、的年代？直接鎖定PLC！針對工控系統的勒索軟件分析ClearEnergy影響世界上使用最為廣泛的的SCADA和工業控制系統的PLC產品，如核電廠、運輸基礎設施等。在受害機器上執行ClearEnergy后，其啟動一個定時器，在一小時后對所有未支付贖金的設備擦除其PLC邏輯圖。軟件利用NSA的Windows SMBv1協議漏洞（MS17-010）制造出的“永恒之藍”網絡武器。截止到2017年5月14日0時，包括企業、醫療、電力、能源、銀行、交通等多個行業均遭受不同程序的影響，5月15日，本田Sayama工廠受此事件影響被迫停產。席卷全球的勒索席卷全球的勒索軟件軟件 WannaCry 看來我們也受害

6、不輕？國家國家*被攻擊系統的百分比被攻擊系統的百分比 越南 66.09 阿爾及利亞 65.56 摩洛哥 60.39 突尼斯60.17 印度尼西亞 55.69 孟加拉 54.19 哈薩克斯坦 54.14 伊朗 53.89 中國 53.31 秘魯 53.08 來自來自2016年底卡巴斯基的統計數據年底卡巴斯基的統計數據2 面臨的主要困難與挑戰 在線無損與細顆粒度分析要求在線無損與細顆粒度分析要求 主動模式和被動模式各有優缺點主動模式和被動模式各有優缺點 生產控制網絡采用旁路模式，信息網絡采用串聯或者生產控制網絡采用旁路模式，信息網絡采用串聯或者模擬探針模擬探針 語義攻擊檢測與對手行為分析【語義攻擊

7、檢測與對手行為分析【*】傳統簽名檢測的傳統簽名檢測的IDS，更多用于信息系統；，更多用于信息系統；對于針對語義的攻擊難以檢測；對于針對語義的攻擊難以檢測；對于對于PLC控制邏輯的靜態分析和動態監測不足?？刂七壿嫷撵o態分析和動態監測不足。預測的確定性與非確定性難題預測的確定性與非確定性難題 攻擊向量分析與預測攻擊向量分析與預測 殺傷鏈的檢測與阻止殺傷鏈的檢測與阻止2.1 例一：針對鍋爐破壞的語義攻擊兩種攻擊場景：（1）改變水位點的設定，從而溢出水箱；（2）發送PLC的篡改測量信息，觸發進程改變從而導致操作員誤判?？刂七^程由連續重復的三個操作組成：加水、加熱、排水加水、加熱、排水。HMI收集9個測

8、量變量（油罐水位和水溫），控制（例如閥狀態，油箱液位設定值）和報告（油箱液位報警）。液位傳感器液位傳感器 閥門（閥門（2個）個）溫度傳感器1、控制水位點（、控制水位點（SetPoint）變量在內存中）變量在內存中什么位置？什么位置？2、如何篡改傳感器的數值？如何欺騙如何篡改傳感器的數值？如何欺騙HMI視圖？視圖？等等級級影響影響攻擊描述攻擊描述舉例舉例1數據完整性在數據包中增加數據破壞完整性2IT系統偵察分析PLC實現的功能完整性利用規范約定的缺失管理員命令的非授權使用拒絕服務執行MITM強制系統延遲管理員命令的非授權使用3過程偵察分析內存映射的結構直接控制修改過程變量間接控制篡改過程值現有入

9、侵檢測與感知系統往往無法檢測感知！從傳感器讀取系統和流程關鍵信息，如果篡改，可能可以導致系統錯誤。發現大量的子程序調用，設置LLB隱藏其中使用子程序篡改傳感數據實例使用子程序篡改傳感數據實例 2.2 例二：梯形圖邏輯炸彈2.2 例2：梯形圖邏輯炸彈包含了確定工廠狀態的技術序列的敏感信息的標簽PB_LT_Seq存儲在array2中，最后寫到SD卡，物理接觸SD，并插回PLC觸發方式可以是一個簡單的定時器，從而實現對工廠“x”天之后的數據的記錄該LLB可以隱藏在附加指令或者子程序中，只包含一個額外的梯級，難以檢測到。使用使用FFL進行數據竊取實例進行數據竊取實例3 融合物理信息的控制過程攻擊 也可

10、以稱之為“語義攻擊”結合物理特性及信息特性 未來，針對CPS（Cyber Phisical System）系統會更為流行過程控制系統（Process Control System）以表征生產過程的參量為被控制量使之接近給定值或保持在給定范圍內的自動控制系統。這里“過程”是指在生產裝置或設備中進行的物質和能量的相互作用和轉換過程。表征過程的主要參量有溫度、壓力、流量、液位、成分、濃度等。通過對過程參量的控制，可使生產過程中產品的產量增加、質量提高和能耗減少。一般的過程控制系統通常采用反饋控制的形式，這是過程控制的主要方式。Process Control System Attacks分類分類裝備損

11、壞裝備損壞產品破壞產品破壞違規行為違規行為1、裝備過壓2、突破安全限制產品質量產品率操作損失維護成本安全性（災難性事件及環境損害）環境污染合同協議以“醋酸乙烯酯”化工廠為例 兩種主要工藝乙炔氣相法，主反應：C2H2+CH3COOH-CH3COOCH=CH2乙烯氣相法，主反應：C2H4+1/2 O2+CH3COOH-CH3COOCH=CH2有多少個生產過程？有多少個閥門？多少個傳感器？有多少個測量值？有多少個控制變量？VAC工廠可看做2個主要生產過程 反應、提煉兩大生產過程，包含多個控制循環。安全約束（Safety Constraint)-可通過ESD，緊急停車系統來保證 氧氣的濃度：不能超過8

12、摩爾 氣壓大?。涸跉怏w循環回路和蒸餾管里不能超過965千帕的壓力操作約束（DCS控制及人工操作）整個峰值反應器溫度必須保持在200度以下 在蒸餾管、分離器、吸收器，汽化器，潷水器必須在10-90%的液體水平過程控制系統&緊急停車系統 是不是想怎么破壞都行？No！DCS 對工藝過程進行連續動態控制，使裝置在設定值下平穩操作。保證在正常操作下能生產出符合要求的產品。ESD獨立于控制系統外，對生產過程進行監測，把發生惡性事故的可能性降到最低，使操作人員在可接受的風險域內操作。對一些關鍵的工藝和設備參數進行連續檢測，一般是靜止的，不采取任何動作，當參數發生異常波動或故障時，按照既定程序采取相應的安全動

13、作，使裝置停在安全水平線上。安全儀表系統與緊急停車系統 ESD（Emergency Shut Down system）即緊急停車系統，是應用于工業過程的一種安全連鎖保護系統，能夠對生產過程中可能發生的危險或不采取措施將會繼續惡化的狀態進行迅速地響應和保護。類似類似 拜占庭將軍問題拜占庭將軍問題產品質量及生產率的影響純度純度價格價格 歐元歐元/千克千克98%1.099%5.0100%8205乙烯氣相法主反應：C2H4+1/2 O2+CH3COOH-CH3COOCH=CH2副反應：C2H4+3O2-2CO2+H2O有關價格表采用控制模型：包含246個狀態、26個操作變量XMV1-26，43個測量值

14、XMEAS1-43攻擊的目標？1、由于高溫造成惰性的催化 2、由于化學成分的預置條件，或比例錯誤，導致反應降低 3、由于錯誤的物質和能量平衡，導致主要反應的降低控制過程變量的操縱及影響敏感度敏感度濃度操縱濃度操縱恢復時間恢復時間高XMV1;5;7XMV4;7中XMV2;4;6XMV5低XMV3XMV1;2;3;6報警報警穩定狀態攻擊穩定狀態攻擊周期攻擊周期攻擊Gas loop O2XMV1XMV1反應堆輸入TXMV6XMV6反應堆TXMV7XMV7FEHE色度XMV7XMV7Gas loop PXMV2;3;6XMV2;3;6潷析器HAcXMV2;3;7XMV3四、感知和預測的基礎能力構建 目

15、標：事前防御事前防御、事中控制、事后恢復事中控制、事后恢復能力構建 圍繞“要素獲取”、“語義理解”、“評估與緩解”結合兩個層面預測（攻擊向量預測、攻擊鏈路預測），做到兩個層面的感知：信息流感知、物質流及能量流的感知。4.1 主要技術特點 信息采集與行業特點緊密相關（要素獲?。┲鞅粍邮侄蜗嘟Y合（要素獲?。┕I安全知識庫為核心（信息理解）語義級控制過程安全實時監測為重點（語義理解）資產威脅管理與攻擊預測是關鍵（預測與緩解）4.2 語義攻擊檢測與分析 實現PLC設備運行時監測 在網絡入侵檢測中加入4.2.1 PLC的Runtime監測與檢測在嵌入式的Hypervisor上，采用共享內存方式SIMAT

16、IC ET 200SP Open ControllerCPU1515 PC.該PLC具有Windows Embedded 7E 32位系統，帶hypervisor使用WinAC ODK（Open Development Kit）來實現。工作原理1、在PLC上指定臨時buffer，限制內存寫入。2、當檢測到臨時buffer的寫入操作時，與嵌入式hypervisor相關的庫函數調用，傳遞系統狀態給嵌入式hypervisor。3、寫入值被驗證，與之前定義好的時序安全屬性。4、如果寫入的符合物理安全和信息安全的約束，嵌入式hypervisor將返回信號給PLC，允許這個值被轉發給目的內存。5、否則，將

17、會被阻止，并且通知操作員一個非安全的命令被提交了。4.2.2 語義攻擊檢測和對手行為分析 物理損壞不易，系統有緊急停車 物理損壞可能，控制變量反復對系統產生震蕩的作用 根源：信息與物理的防護相對割裂，沒有充分融合（1）數據表征 針對例子一鍋爐加熱的例子，對PLC變量分為不同類別的特征化階段。有四個通用組：（1）控制變量）控制變量 用于配置工廠運行的變量（例如，設備設定點，配置矩陣）;（2）報告變量）報告變量 通過HMI或其他PLC向操作員報告報警和事件的變量（例如，泵負載過高）;（3）測量值）測量值 反映現場設備和傳感器讀數（例如當前油箱水位，當前水流量）的變量（4）程序狀態）程序狀態 保存內

18、部PLC狀態的變量，例如程序計數器，時鐘和超時。（1）數據表征三類類型的變量建模：（1）隨著時間的推移逐漸變化;（2）離散的，在一組可能值中抽取的屬性數據;（3）永不改變。第一種是典型的傳感器測量;（連續時間序列值）第二種是狀態和報告值;（屬性值）第三種是對于過程設置（例如，設定點SetPoint）或是常見的（固定值）。（2）數據建模與檢測1、建模階段 建模常數和屬性數據 積累了一組預期值（即屬性數據的枚舉集合，常數序列的一個觀察值）。建模連續數據 需利用兩種補充技術，自回歸建模和控制限制。2、檢測階段 對于常數和屬性系列 如果系列中的值超出枚舉集，則會引發警報。為了檢測連續序列中的偏差，如果

19、值（i）超出控制限值（ii）在自回歸模型的預測中產生偏差，則會引發警報。將殘差方差（訓練期間觀察到）與預測誤差方差（在測試期間觀察到）進行比較。（3）第一種語義攻擊（固定值改變）第一種攻擊為改變水箱液位設定值的命令。因此，水箱的填充階段繼續進行，直到水位溢出油箱容量。結果表明，該攻擊被檢測為：（i）設定值變量的偏差；（ii）達到最大控制極限Lmax的值。（4）第二種語義攻擊（連續值欺騙）由一組篡改溫度值的命令序列組成。結果表明：水箱的填充階段提前終止，加熱過程隨機開始，但立即停止，然后開始排水過程。這種情況下，加熱器和鍋爐都可能損壞。此時，PLC不會產生報警（由于觀察到的水平從未達到任何不需要

20、的值），但自回歸方法檢測到行為偏差。4.3 兩個層面的預測攻擊向量預測 有了設備、協議信息，相關漏洞信息，建立推測模型 建立資產的威脅與風險管理攻擊路徑預測 需要給出攻擊鏈的繪制 建立攻擊樹知識模型，攻擊狀態轉移繪制攻擊樹示例：停止PLC執行控制層PLC執行攻擊者意圖則意味攻擊成功攻擊鏈路枚舉示例攻擊鏈路1：獲取工程師站權限劫持進程加載惡意DLL在PLC上執行“工程文件“攻擊鏈路枚舉示例1攻擊鏈路2：非法接入PLC網絡劫持通信鏈路及數據在PLC上運行“指令”或執行“工程文件”攻擊鏈路枚舉示例2攻擊鏈路3：接入PLC網絡修改PLC內存在PLC運行攻擊載荷攻擊鏈路枚舉示例34.4 可視化攻擊形式路

21、徑及提供風險緩解 SCADA路徑管理 限制在用協議，實現協議轉換 加強前端防御，與防火墻內聯整合 漏洞管理：去除不用的設備，實現補丁管理和固件升級 網絡監測和報警 限制OPC僅用于狀態，實現通信的基線及誤用檢測 針對使用OPC DA協議的環境 數據保護和恢復：確保配置數據備份，測試恢復能力 當前的檢測能力：配置惡意代碼簽名，在主機或者網絡層面檢測 訪問安全：加強安全信息與事件管理，與防火墻等聯動對當前工控環境中的漏洞及資產進行高級分析能夠可視化的模擬攻擊形式及路徑預演各種緩解措施的效果。4.5 建立面向殺傷鏈的兩階段的防御例子：針對HaveX的殺傷鏈分析5 總結 攻擊向量新趨勢 一個著眼點 語

22、義攻擊檢測-針對融合信息物理的過程攻擊發現分析 兩種方法 RUNTIME的檢測，在PLC設備層發現 數據表征與建模，在網絡協議層發現 預測與防御的三個關鍵點 建立每種攻擊效果依賴的攻擊樹 依據攻擊鏈來枚舉攻擊路徑 基于殺傷鏈破壞的防御主要參考【1】Wang E K,security issues and challenges for cyber physical systemC【2】乙烯裝置儀表及自動控制系統【3】醋酸乙烯工藝流程，https:/ the Pocket Book：Hacking chemical plants for competetion and extortion，Blac

23、kHat 2015【6】工業控制系統入侵檢測研究綜述，通信學報 【7】面向工業控制系統的主動無損式漏洞檢測器，王維建【8】Detecting PLC Control Corruption via On-Device Runtime Verification【9】Runtime-Monitoring for Industrial Control Systems【10】On Ladder Logic Bombs in Industrial Control Systems,Naman Govil,Anand Agrawal,Nils Ole Tippenhauer【11】The Industrial Control System Cyber Kill Chain謝 謝