工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)

上傳人：機械****計

文檔編號：612002

上傳時間：2019-07-10

格式：DOCX

頁數(shù)：76

大?。?.44MB

《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)》由會員分享，可在線閱讀，更多相關《工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)（76頁珍藏版）》請在裝配圖網(wǎng)上搜索。

XX 大學畢業(yè)設計（論文）題目：工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)學院：測試與光電工程學院專業(yè)名稱：測控技術與儀器班級學號：學生姓名：指導教師：二 Oxx 年六月工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)摘要：隨著通信網(wǎng)絡技術和ICS的發(fā)展，ICS的通信網(wǎng)絡與外部網(wǎng)絡的連接不斷增加，其所具有的特點，如連接性、開放性、復雜性等，使得安全問題也變得日益嚴峻；此外，近年來安全事故的發(fā)生不斷呈現(xiàn)上升趨勢，且ICS網(wǎng)絡一旦遭受攻擊與破壞，其帶來的后果可能是如爆炸、供電系統(tǒng)癱瘓等嚴重后果。因此本文提出了工控系統(tǒng)安全態(tài)勢感知技術，它將工控系統(tǒng)作為一個整體，關注整個控制過程，為工控系統(tǒng)當前的狀態(tài)以及可能受到的攻擊做出態(tài)勢評估，給管理員提供了可靠、有效的決策依據(jù)，最大限度得降低了工控系統(tǒng)中可能存在的風險與損失：1) 本文主要針對工控系統(tǒng)中常見的完整性攻擊，給出攻擊模型,將其作為本文主要研究對象；通過研究傳統(tǒng)的“拜占庭將軍問題理論”的思想，并將其運用于工控系統(tǒng)的安全態(tài)勢感知分析中;在研究了工控系統(tǒng)控制過程特點的基礎上，提出了一個工控系統(tǒng)安全態(tài)勢感知模型，并研究了工控系統(tǒng)安全態(tài)勢感知算法。2) 提出了工控系統(tǒng)物理層節(jié)點狀態(tài)變化間一致性的概念；簡要得對節(jié)點信息的采集進行了介紹，對獲取的節(jié)點數(shù)據(jù)進行數(shù)據(jù)挖掘，獲得其內在信息，確定系統(tǒng)狀態(tài)；并在分析物理層節(jié)點狀態(tài)變化的基礎上，依據(jù)節(jié)點狀態(tài)變化之間的內在一致性，對節(jié)點態(tài)勢進行判斷，確定節(jié)點序列，及惡意節(jié)點。3) 以“提餾段溫度單回路控制系統(tǒng)”為研究對象，進行了 Matlab 仿真實驗，驗證節(jié)點狀態(tài)變化的一致性；并通過模擬完整性攻擊，將實驗結果與攻擊者的攻擊目的進行對比，驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型及算法的正確性和有效性。關鍵詞：工業(yè)控制系統(tǒng) 安全態(tài)勢感知拜占庭將軍問題節(jié)點序列節(jié)點狀態(tài) 一致性惡意節(jié)點Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; what’s worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model，which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes’ states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword： industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目錄1 緒論 .11.1 課題背景與意義 .11.2 工業(yè)控制系統(tǒng)網(wǎng)絡 .21.3 網(wǎng)絡安全態(tài)勢感知 .51.4 本文主要工作內容 102 模型建立與算法研究 .122.1 完整性攻擊模型 122.2 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.3 工控系統(tǒng)安全態(tài)勢感知建模與算法研究 132.4 本章小結 213 節(jié)點信息采集與處理 213.1 物理層節(jié)點狀態(tài)信息采集 213.2 物理層節(jié)點信息處理 253.3 本章小結 284 MATLAB 仿真實驗與理論驗證 294.1 安全態(tài)勢感知研究對象 294.2 仿真模型建立與驗證 304.3 完整性攻擊態(tài)勢感知仿真驗證 404.4 本章小結 455 總結與展望 465.1 本文總結 465.2 工作展望 46參考文獻 .48致謝 .50附錄物理層節(jié)點攻擊序列判斷 MATLAB 程序 .511工控系統(tǒng)安全態(tài)勢感知建模與算法實現(xiàn)1 緒論1.1 課題背景與意義各類工控技術已廣泛應用于國家基礎設施，并對其安全產(chǎn)生較大影響，此外，由于工控系統(tǒng)的通信網(wǎng)絡與外部網(wǎng)絡的連接不斷增加，我們將基于工控系統(tǒng)的網(wǎng)絡稱為工控系統(tǒng)網(wǎng)絡 [1]。遭受到攻擊或產(chǎn)生了破壞的工業(yè)控制網(wǎng)絡，極易發(fā)生災難性的安全事故，以 1996 年的南卡羅來納州油管爆裂事故為例，攻擊者對系統(tǒng)施加了完整性攻擊，不僅導致了周邊環(huán)境的嚴重破壞，同時也產(chǎn)生了超過兩千萬美元的損失 [2]。近年來工控系統(tǒng)安全事故頻發(fā)，且其不斷呈現(xiàn)上升趨勢 [3]如下圖 1.1 所示：圖 1.1 ICS-CERT 歷年的公布工控安全事件統(tǒng)計分析此外，由于現(xiàn)在的工業(yè)控制網(wǎng)絡不斷廣泛得采用開放式平臺和通信協(xié)議，ICS 系統(tǒng)的連接性、開放性、復雜性不斷提升，其安全問題也變得日益嚴峻，工業(yè)控制網(wǎng)絡中存在的脆弱性也被潛在的攻擊者攻擊利用。且由于 ICS 網(wǎng)絡與IT 網(wǎng)絡之間存在著如性能和功能需求、安全體系不同、可用性和可靠性需求不同等的本質差異，使得當前 ICS 系統(tǒng)及 ICS 網(wǎng)絡的防護不同與一般 IT 網(wǎng)絡防護，并存在一定困難，進而使得依靠單一傳統(tǒng)的信息網(wǎng)絡安全技術，如：安全網(wǎng)關/網(wǎng)橋、防火墻等無法實現(xiàn)多層級與多級別的網(wǎng)絡安全防護需求。2本研究針對上述問題，提出了 ICS 系統(tǒng)安全態(tài)勢感知模型及算法，在對ICS 系統(tǒng)的當前狀況進行安全態(tài)勢評估的基礎上，對系統(tǒng)正面對或即將面臨的攻擊及入侵做出判斷，并最終對安全態(tài)勢結果進行等級劃分，以呈現(xiàn) ICS 系統(tǒng)的當前安全態(tài)勢，給決策者提供切實可靠、實時的決策依據(jù)，進而保障 ICS 系統(tǒng)的安全。1.2 工業(yè)控制系統(tǒng)網(wǎng)絡1.2.1 工業(yè)控制系統(tǒng)網(wǎng)絡簡介工業(yè)控制系統(tǒng)經(jīng)歷了以 420mA 為代表的模擬信號傳輸、以內部數(shù)字信號和RS-232、RS-485 為代表的數(shù)字通信傳輸、以包括現(xiàn)場總線、工業(yè)以太網(wǎng)、工業(yè)無線網(wǎng)絡的控制網(wǎng)絡為代表的網(wǎng)絡傳輸?shù)娜齻€階段的工控系統(tǒng)變革；當前，工業(yè)控制網(wǎng)絡在企業(yè)自動化系統(tǒng)的核心技術領域有相當廣泛的應用，而現(xiàn)場總線技術和工業(yè)以太網(wǎng)技術是工業(yè)控制網(wǎng)絡的主要代表技術。此外，工業(yè)控制網(wǎng)絡在性能上有著自身獨特的性能 [4]：1) 系統(tǒng)的實時性響應控制系統(tǒng)的最基本要求是 ICS 網(wǎng)絡中數(shù)據(jù)傳輸?shù)募皶r性以及系統(tǒng)響應的實時性。所謂實時性是指控制系統(tǒng)可在較短并可預測確定的時間內，完成過程參數(shù)采集、加工處理等一系列完整過程，并且執(zhí)行時序滿足過程控制對時間限制的要求。若系統(tǒng)無法滿足實時性要求，即無法及時得對控制對象進行調節(jié)，將會造成控制系統(tǒng)崩潰，甚至產(chǎn)生嚴重的安全事故。2) 開放性開放性是指通信協(xié)議公開，不同廠商的設備之間可以相互連通成為設備，以實現(xiàn)信息交換，遵循同一網(wǎng)絡協(xié)議的測量控制設備能夠進行互操作與互用。3) 極高的可靠性3工控網(wǎng)絡的高可靠性往往包括三方面：可使用性好，即網(wǎng)絡自身不易發(fā)生故障；容錯能力強，即當網(wǎng)絡系統(tǒng)局部單元出現(xiàn)故障時，不會影響整體系統(tǒng)的工作；可維護性強，即在故障發(fā)生后能及時發(fā)現(xiàn)并處理，通過維修恢復網(wǎng)絡。4) 良好的惡劣環(huán)境適應能力由于控制網(wǎng)絡的工作環(huán)境往往比較惡劣，如溫度與濕度變化大、粉塵污染、電磁干擾大等，因此工業(yè)控制網(wǎng)絡設備需要經(jīng)過嚴格的設計和測試，保證其能適應惡劣的工作環(huán)境，滿足環(huán)境要求。5) 安全性工業(yè)自動化網(wǎng)絡包含了生產(chǎn)安全和信息安全兩方面；生產(chǎn)安全是指工業(yè)自動化網(wǎng)絡中的控制設備具有本質安全的性能，利用安全柵欄技術，對提供給現(xiàn)場儀表的電能量限制在安全范圍內；而信息安全主要是指信息本身的保密性、完整性以及信息來源和去向的可靠性，這是整個工業(yè)控制網(wǎng)絡系統(tǒng)必不可少的重要組成部分。1.2.2 工控系統(tǒng)常見攻擊簡介工控系統(tǒng)在網(wǎng)絡上的廣泛應用，使其呈現(xiàn)出與 IT 網(wǎng)絡相似的脆弱性與漏洞，這也使得攻擊者對工控系統(tǒng)有了更多可乘之機 [5]。攻擊者的攻擊目標往往可分為以下幾類 [6]：節(jié)點信息流被破壞；對工控系統(tǒng)設備造成影響與破壞；對系統(tǒng)自身設定的安全設置進行更改與破壞。常見的攻擊有:1) IP 欺騙：攻擊者通過仿造IP地址，對目標計算機發(fā)送信息，計算機接收到信息后，判定該信息是來自于主機的信息，此時，攻擊成功，攻擊者與計算機之間建立連接。。常見的攻擊類型有：Non-Blind Spoofing攻擊是當攻擊者與攻擊目標處于同一個子網(wǎng)中時，攻擊者避開其他認證標準，建立與攻擊目標之間的連接；Blind Spoofing攻擊是在攻擊者無法事先獲取序列號的情況下，通過與計算機之4間的連接獲取序列號信息；Connection Hijacking ——攻擊者截取兩個主機之間的合法信息，并刪除或更改由一方發(fā)送給另一方的信息。IP欺騙攻擊的目的是通過對IP地址的偽造，獲取與主機的連接。2) 拒絕服務攻擊（Denial of Service, Dos）網(wǎng)絡往往具有有限的資源與帶寬，攻擊者利用這一特點，以過度占用資源的方式，使得主機無法正常工作。其主要攻擊類型有以下幾種：TCP SYNFlood攻擊——通過破壞協(xié)議，大量占用網(wǎng)絡資源，導致主機癱瘓;land 攻擊——通過向設備發(fā)送數(shù)據(jù)包，使得存在漏洞的設備受到攻擊無法正常運行；ARP 欺騙——該攻擊的主要目標是對主機的網(wǎng)絡產(chǎn)生中斷影響，或形成中間人攻擊。該攻擊方式能截獲所在網(wǎng)絡內其他計算機的通信信息，并進一步造成網(wǎng)內其他計算機通信故障；ICMP Smurf 攻擊 ——利用 IP 協(xié)議的直接廣播特性，攻擊者偽造目標 IP 地址，并在網(wǎng)絡上廣播 ICMP 響應請求，從而使得目標主機大量回復請求、耗盡資源，無法使合法的用戶正常訪問服務器；Ping of Death 攻擊——發(fā)送 ICMP 響應請求、多個分段數(shù)據(jù)，使系統(tǒng)在接收到全部分段并重組報文時總的長度超過了系統(tǒng)允許的最大數(shù)據(jù)包字節(jié)，從而導致內存溢出，主機因內存分配錯誤而導致 TCP/IP 堆棧崩潰，從而死機； UDP Flood 攻擊——攻擊者發(fā)送大量 UDP 報文到目標系統(tǒng)的隨機端口，若此時有足夠的 UDP 報文發(fā)送到目標系統(tǒng)的所有端口，將導致目標系統(tǒng)死機；Tear drop 攻擊——通過在報文中插入錯誤信息，當報文重新組裝時，導致數(shù)據(jù)包過長溢出。1.2.3 國內外工控系統(tǒng)安全的研究狀況工控系統(tǒng)的安全與我們的生活息息相關，許多歐美國家從上個世紀開始關注廣泛關注工控系統(tǒng)安全問題：2003 年，美國負責發(fā)展控制系統(tǒng)安全防護能源部能源保證辦公室（Office of Energy Assurance， Dept. of Energy）公布了“改進控制系統(tǒng)信息安全的 21個步驟”報告 [8],其羅列出了 21 項主要內容；Krutz 也在文獻 [9]中總結并提出了“SCADA 網(wǎng)絡安全的 21 個步驟總結圖 ”，如下圖 1.2 所示：5圖 1.2 SCADA 網(wǎng)絡安全的 21 個步驟總結圖美國商務部也通過美國標準與技術研究所(NIST)制定了 “工業(yè)控制系統(tǒng)防護概況” 、 “工業(yè)控制系統(tǒng) IT 安全”等一系列安全防護標準，從工控系統(tǒng)漏洞、風險、評估、防護等多方面對安全防護體系進行了詳細描述；此外，在工業(yè)控制系統(tǒng)仿真平臺建設方面，美國能源部下屬的 Idaho 國家實驗室已經(jīng)建立了（National SCADA Test Bed）國家工業(yè)控制系統(tǒng)測試床；同時，加拿大的英屬哥倫比亞理工學院（British Columbia Institute of Technology）等也建立了SCADA 測試床。測試床的構建目的是為工控系統(tǒng)的安全評估建立正式的測試環(huán)境，以獲取可靠、準確的測試結果 [10]。我國對工控系統(tǒng)安全的重視程度也不斷升高，工業(yè)和信息化主管部門發(fā)布了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)【2011】451 號文）[11]，通知中將工控系統(tǒng)信息安全風險評估列入的工作重點。同時，國家發(fā)改委也于 2012 年在信息安全專項中支持工控信息安全服務方面的產(chǎn)業(yè)化項目。國內的工控系統(tǒng)信息安全保障工作開始進入實質性階段。61.3 網(wǎng)絡安全態(tài)勢感知1.3.1 網(wǎng)絡安全態(tài)勢感知簡介態(tài)勢感知（Situation Awareness， SA）概念源于航天飛行中對人因的研究。1988 年, Endsley[12]提出了態(tài)勢感知的定義，將重點放在“獲取” 、 “理解” 、 “預測”上進行研究，并提出了態(tài)勢感知的三級模型，如下圖 1.3 所示：圖 1.3Endsley 態(tài)勢感知三級模型Tim Bass[13]于 1999 年提出了網(wǎng)絡態(tài)勢感知 (Cyber Situation Awareness, CSA) 的概念。網(wǎng)絡態(tài)勢是通過觀察網(wǎng)絡內部信息及系統(tǒng)狀態(tài)的改變，來獲取當前網(wǎng)絡狀態(tài)并對網(wǎng)絡未來狀態(tài)進行預測 [14]，網(wǎng)絡態(tài)勢感知是指通過對影響網(wǎng)絡因素的獲取，對其進行分析處理，最后幫助決策者獲取可靠的決策依據(jù)。對于網(wǎng)絡安全態(tài)勢感知（Network Security Situation Awareness, NSSA）的概念，有以下理解：1) 從管理員的角度：網(wǎng)絡管理人員通過人機交互界面對當前網(wǎng)絡狀況的認知程度。2) 獲取影響網(wǎng)絡安全的因素，對其進行分析，判斷當前網(wǎng)絡狀態(tài)，并進行預測。通過對網(wǎng)絡環(huán)境進行態(tài)勢感知能獲取整體網(wǎng)絡安全態(tài)勢，并在很大程度上降低由于攻擊帶來的風險與破壞。71.3.2 國內外基于數(shù)據(jù)挖掘的網(wǎng)絡安全態(tài)勢感知研究狀況數(shù)據(jù)挖掘技術能從當前網(wǎng)絡的海量、隨機、不完全的數(shù)據(jù)中挖掘出有用的信息，并能給出隱含于數(shù)據(jù)中，潛在未知的信息，構建出實用、有價值的數(shù)據(jù)模式，并形成用于檢測各類已知與未知攻擊的檢測模型。數(shù)據(jù)挖掘技術最早被美國哥倫比亞大學的Wenke Lee [7]等人引入到入侵檢測領域,同時，他們也提出了用于入侵檢測的數(shù)據(jù)挖掘框架，如圖1.4所示。數(shù)據(jù)挖掘技術現(xiàn)也已逐步應用到網(wǎng)絡安全領域。圖 1.4 入侵檢測的數(shù)據(jù)挖掘框架數(shù)據(jù)挖掘包含四種分析方法，根據(jù)對象來分：在用于模式變化與規(guī)律尋求上——關聯(lián)分析和序列模式分析；在用于最后的檢測模型上——分類分析和聚類分析。a) 關聯(lián)分析的目的是尋找數(shù)據(jù)與數(shù)據(jù)之間內在的聯(lián)系,常用算法有 Apriori算法。b) 序列分析用于發(fā)現(xiàn)不同數(shù)據(jù)記錄之間的相關性，主要常用算法有兩種：Count-all 算法和 Count-some 算法。c) 分類分析用于提取數(shù)據(jù)庫中數(shù)據(jù)項的特征屬性,生成分類模型，常用的模型主要由四種：決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡模型。8b) 聚類分析是將數(shù)據(jù)對象中類似的項目進行分類并進行評估。在數(shù)據(jù)挖掘的方法中，關聯(lián)分析方法的使用相較其他方法更為普遍，如2006 年，Cristina Abad 等人提出了基于 UCLog+的網(wǎng)絡安全態(tài)勢評估方法，它能夠實現(xiàn)對相關安全數(shù)據(jù)的關聯(lián)分析；同年，趙國生等人提出基于灰色關聯(lián)分析的網(wǎng)絡可生存性態(tài)勢評估方法，該方法能實現(xiàn)網(wǎng)絡可生存性態(tài)勢定量評估。盡管當前數(shù)據(jù)挖掘在網(wǎng)絡安全態(tài)勢感知領域有較廣泛的應用與良好的發(fā)展前景,但仍有一些問題有待解決，如數(shù)據(jù)訓練的不易、從大量數(shù)據(jù)中進行挖掘，資源開銷較大等。1.3.3 國內外基于數(shù)據(jù)融合的網(wǎng)絡安全態(tài)勢感知研究狀況數(shù)據(jù)融合技術作為網(wǎng)絡安全態(tài)勢感知的核心技術，其出現(xiàn)于 20 世紀 80 年代，當前作為網(wǎng)絡安全態(tài)勢感知最為廣泛的技術，它能將來自網(wǎng)絡中的多源信息進行集成，從而獲得當前網(wǎng)絡態(tài)勢，并有助于預測未來網(wǎng)絡安全態(tài)勢。數(shù)據(jù)融合的定義是由美國國防部的實驗室理事聯(lián)合會（Joint Directors of Laboratories, JDL）給出的，他們從軍事的角度出發(fā)對其做出定義，同時提出了JDL 模型 [15]，如圖 1.5 所示。圖 1.5 JDL 模型9Tim Bass 首先提出了將 JDL 模型直接應用于網(wǎng)絡態(tài)勢感知,這為數(shù)據(jù)融合技術在網(wǎng)絡態(tài)勢感知領域的應用奠定了基礎；當前，JDL 模型也被眾多研究者應用于網(wǎng)絡安全態(tài)勢感知的研究中。韋勇等 [16]針對網(wǎng)絡系統(tǒng)多源的特點提出了一個 NSSA 的融合框架,如圖 1.6所示。圖 1.6 網(wǎng)絡安全態(tài)勢評估框架實驗表明，為了更有效得獲取測試結果，基于多源的 NSSA 模型更為準確高效；他還針對普遍存在的技術問題，并提出了相應的解決方法，如：所采用的量化算法存在一定缺陷，導致量化結果與實際結果出現(xiàn)偏差——利用改進的D-S 證據(jù)理論，將多數(shù)據(jù)源態(tài)勢信息進行融合 ,利用漏洞及服務信息,經(jīng)過態(tài)勢要素融合和節(jié)點態(tài)勢融合計算網(wǎng)絡安全態(tài)勢；一些態(tài)勢評估方法無法對安全狀況的發(fā)展趨勢進行預測——因此，采用了時間序列分析的方法對系統(tǒng)安全態(tài)勢進行預測,以期實現(xiàn)以量化的方式評估網(wǎng)絡安全態(tài)勢及預測。然而存在的不足是：安全態(tài)勢指標及其表示方法不夠全面；未考慮網(wǎng)絡安全態(tài)勢可視化等。陳秀真等 [17]提出了層次化網(wǎng)絡安全威脅態(tài)勢量化評估模型，如圖 1.7 所示，該模從上至下分為 3 個部分，依次為：服務、主機及網(wǎng)絡系統(tǒng)。該模型的創(chuàng)新點在于：一方面，能為網(wǎng)絡管理員對網(wǎng)絡態(tài)勢的判斷提供直觀準確的判斷依據(jù);另一方面，態(tài)勢感知的結果能有效預測未來網(wǎng)絡發(fā)展的變化趨勢。10盡管文中對網(wǎng)絡中信息的變化進行了監(jiān)控與分析,并部分反映出了網(wǎng)絡運行的狀況，然而依然無法對網(wǎng)絡的整體狀況進行全面有效得反映；因此，并不適用于多網(wǎng)段的局域網(wǎng)和大規(guī)模網(wǎng)絡系統(tǒng)的安全威脅評估。圖 1.7 層次化網(wǎng)絡系統(tǒng)安全威脅態(tài)勢評估模型1.3.4 國內外基于可視化技術的網(wǎng)絡安全態(tài)勢感知研究狀況可視化技術是通過圖形的方式，將大量抽象的數(shù)據(jù)表示出來，由于人類對圖像的敏感性，可視化的形式，能使人們更直觀得了解網(wǎng)絡安全態(tài)勢評估與預測的結果，并能使網(wǎng)絡管理員獲得更為直觀可靠的決策依據(jù)。利用可視化技術，可直觀展現(xiàn)網(wǎng)絡內部實時變化，如 Gregory Conti[18]通過分析網(wǎng)絡的連接狀況，對網(wǎng)絡中存在的異常及攻擊進行檢測。該方法能使網(wǎng)絡管理員獲得有效、可靠、實時的網(wǎng)絡系統(tǒng)安全狀態(tài)判據(jù)。網(wǎng)絡安全不僅對用戶個人起到影響，同時，對國家安全也起到重大影響，美國國防部在 2005 年的財政預算報告 [19]中就包括了對網(wǎng)絡態(tài)勢感知項目的資助,并提出分三個階段予以實現(xiàn),分別為:第一階段完成對大規(guī)模復雜網(wǎng)絡行為可視化新算法和新技術的描述和研究,著重突出網(wǎng)絡的動態(tài)性和網(wǎng)絡數(shù)據(jù)的不確定性;第二階段基于第一階段所研究的工具和方法,實現(xiàn)和驗證可視化原型系統(tǒng) ;第三階段實現(xiàn)可視化算法, 提高網(wǎng)絡態(tài)勢感知能力。美國高級研究和發(fā)展機構 ( Advanced Research and Development Activity, USA)[20]在 2006 年的預研計劃中,明確指出網(wǎng)絡態(tài)勢感知的研究目標和關鍵技術。研究目標是以可視化的方式為11不同的決策者和分析員提供易訪問、易理解的信息保障數(shù)據(jù)——攻擊的信息和知識、漏洞信息、防御措施等等;關鍵技術包括數(shù)據(jù)融合、數(shù)據(jù)可視化、網(wǎng)絡管理工具集成技術、實時漏洞分析技術等等。可視化技術作為網(wǎng)絡安全態(tài)勢感知的關鍵技術之一，有良好的發(fā)展前景，且其在增強人機交互的可操作性上有重要作用。但是其在實時性和擴大顯示規(guī)模的要求上，仍有需提高的空間。1.3.5 國內外網(wǎng)絡安全態(tài)勢感知的其他相關研究除了上述的幾類典型研究，國內外的一些學者，也提出了其他相關網(wǎng)絡安全態(tài)勢感知的研究。哈爾濱工程大學的王慧強 [21]給出了態(tài)勢感知的概念,并提出了相應框架 ,如圖 1.8 所示。文中著重討論了相關關鍵技術與難點問題，并給出了網(wǎng)絡態(tài)勢感知今后的發(fā)展方向。圖 1.8 NSAS 框架四川大學李濤 [22]主持的“基于免疫的網(wǎng)絡安全態(tài)勢實時定量感知技術”863 項目實現(xiàn)了實時感知、評估網(wǎng)絡安全風險。此外，蜜罐系統(tǒng)能為網(wǎng)絡管理員提供關于惡意活動的細節(jié)信息，2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的網(wǎng)絡安全態(tài)勢評估方法，該方法能利用收集到的信息繪制安全態(tài)勢曲線。12其他技術還包括數(shù)據(jù)校準、數(shù)據(jù)格式統(tǒng)一、數(shù)據(jù)簡約、響應與預警、入侵追蹤等。這些技術可根據(jù)其作用目的分類兩類：一類是用于處理、簡化海量網(wǎng)絡信息，以便為后續(xù)的態(tài)勢評估與預測提供可靠、有效的數(shù)據(jù)來源；另一類則是用于在發(fā)現(xiàn)攻擊后，對攻擊進行響應與定位攻擊來源。1.4 本文主要工作內容本文將網(wǎng)絡安全態(tài)勢感知技術應用于工控系統(tǒng)安全領域,目的是為了對 ICS網(wǎng)絡的當前狀況以及未來的安全態(tài)勢做出評估與預測，對網(wǎng)絡正面對或即將面臨的網(wǎng)絡攻擊及入侵做出預警，并給網(wǎng)絡管理員提供切實可靠、實時的決策依據(jù)，進而保障 ICS 系統(tǒng)的網(wǎng)絡安全。且從安全事件發(fā)生的趨勢及 ICS 系統(tǒng)遭受攻擊后造成的嚴重后果來看，工控系統(tǒng)安全態(tài)勢感知的研究刻不容緩。目前的網(wǎng)絡安全態(tài)勢感知存在實時性差、數(shù)據(jù)來源單一、適用范圍小等缺點。本文針對以上問題，結合 ICS 系統(tǒng)實時性、可靠性要求高，對惡劣環(huán)境要有較強的適應能力，ICS 信息的保密性、完整性要求等特點，建立相關模型，并進行算法實現(xiàn)。第一章緒論部分簡要介紹了工控系統(tǒng)網(wǎng)絡以及網(wǎng)絡安全態(tài)勢感知的基本概念，以及當前工控系統(tǒng)安全風險評估及入侵檢測的國內外發(fā)展狀況，并針對不同網(wǎng)絡安全態(tài)勢感知技術對網(wǎng)絡安全態(tài)勢感知在近年來的發(fā)展及國內外研究情況做出了簡介。第二章針對完整性攻擊建立了攻擊模型；并結合“拜占庭將軍問題理論”的思想，提出了工控系統(tǒng)安全態(tài)勢感知模型。首先引入了“拜占庭將軍問題理論”的思想，將其應用于工控系統(tǒng)安全態(tài)勢感知研究，建立了工控系統(tǒng)安全態(tài)勢感知模型，并提出了相應算法；依據(jù)各物理層節(jié)點信息，判斷系統(tǒng)的工作狀態(tài)，并對系統(tǒng)是否遭受完整性攻擊做出判斷，確定系統(tǒng)內的惡意節(jié)點。第三章介紹了節(jié)點信息的采集與處理；首先對節(jié)點數(shù)據(jù)進行預處理，獲取系統(tǒng)穩(wěn)態(tài)及正常工作情況下的各節(jié)點參數(shù)，再對各物理層節(jié)點信息進行采集，并通過將檢測到的節(jié)點數(shù)據(jù)與預處理參數(shù)進行對比，獲得單個節(jié)點序列值與系統(tǒng)狀態(tài)；此外，介紹了節(jié)點狀態(tài)一致性的概念，并給出節(jié)點序列及其含義，從13而對工控系統(tǒng)安全態(tài)勢進行感知，判斷系統(tǒng)工作狀態(tài)，確定系統(tǒng)內部是否存在完整性攻擊，判定惡意節(jié)點。第四章通過以單回路系統(tǒng)為研究對象進行了仿真實驗；首先對系統(tǒng)穩(wěn)態(tài)運行及正常運行狀態(tài)下的物理層節(jié)點輸出進行仿真并分析，獲取預處理參數(shù)；再在系統(tǒng)上增加一個擾動信號，以驗證節(jié)點狀態(tài)是否具有一致性；此外，通過模擬系統(tǒng)中存在的完整性攻擊，對物理層節(jié)點狀態(tài)進行采集與處理，獲得節(jié)點序列，并利用本文提出的算法進行惡意節(jié)點的判斷，判斷結果與攻擊目的相符，驗證了本文提出的工控系統(tǒng)安全態(tài)勢感知模型與算法的正確性及有效性。第五章回顧了本文的主要工作內容、對研究過程中的創(chuàng)新與不足做出總結，并針對本文不足之處，對未來進一步的研究方向與目標進行展望。2 模型建立與算法研究2.1 完整性攻擊模型由于現(xiàn)在的工業(yè)控制網(wǎng)絡越來越依靠與商業(yè) IT 和 Internet 領域的操作系統(tǒng)、開放協(xié)議和通信技術，在享受網(wǎng)絡化給工業(yè)現(xiàn)場帶來方便的同時，工業(yè)控制網(wǎng)絡的脆弱性也因此進一步暴露給了潛在的攻擊者；工控網(wǎng)絡中大量存在的通信路徑以及眾多輸入、輸出節(jié)點，更是給攻擊者帶去了可乘之機，例如完整性攻擊就是針對節(jié)點之間的信息傳遞，對節(jié)點進行妥協(xié)，從而篡改兩節(jié)點之間的數(shù)據(jù)，最終威脅到系統(tǒng)的正常運行，甚至產(chǎn)生安全事故。14因此，本文針對工控系統(tǒng)中最為常見的完整性攻擊進行研究，并依據(jù)文獻[23]中的描述，提出完整性攻擊的攻擊模型。如下圖 2.1 所示為完整性攻擊示意圖：在傳感器將檢測值傳遞給控制器的過程中，攻擊者在這兩個節(jié)點之間施加了一個完整性攻擊，導致控制器接收到的值與傳感器實際檢測到的值不符，從而使得控制對象在控制器的控制作用下，不斷偏離控制目標。圖 2.1 完整性攻擊示意圖本文定義為控制節(jié)點在 t 時刻接收到的值，該值使得控制系統(tǒng)能維??(??)∈????持正常的控制行為。然而當系統(tǒng)受到完整性攻擊時，的值與物理層節(jié)點的真y(??)實測量值有所偏差，其中， i 為節(jié)點序號，即 i=1,2,3。y??(??)設為攻擊延續(xù)的期間，其中，為攻擊的起始時間，為攻擊????={????,…,????} ???? ????的終止時間。下列為攻擊信號的一般模型：（2.1）????={????(??), ???????????(??), ??∈????