工控系统安全态势感知建模与算法实现

XX 大学毕业设计（论文）题 目： 工控系统安全态势感知建模与算法实现学 院： 测试与光电工程学院专业名称： 测控技术与仪器班级学号： 学生姓名： 指导教师： 二 Oxx 年六月工控系统安全态势感知建模与算法实现摘要：随着通信网络技术和ICS的发展，ICS的通信网络与外部网络的连接不断增加，其所具有的特点，如连接性、开放性、复杂性等，使得安全问题也变得日益严峻；此外，近年来安全事故的发生不断呈现上升趋势，且ICS网络一旦遭受攻击与破坏，其带来的后果可能是如爆炸、供电系统瘫痪等严重后果。因此本文提出了工控系统安全态势感知技术，它将工控系统作为一个整体，关注整个控制过程，为工控系统当前的状态以及可能受到的攻击做出态势评估，给管理员提供了可靠、有效的决策依据，最大限度得降低了工控系统中可能存在的风险与损失：1) 本文主要针对工控系统中常见的完整性攻击，给出攻击模型,将其作为本文主要研究对象；通过研究传统的“拜占庭将军问题理论”的思想，并将其运用于工控系统的安全态势感知分析中;在研究了工控系统控制过程特点的基础上，提出了一个工控系统安全态势感知模型，并研究了工控系统安全态势感知算法。2) 提出了工控系统物理层节点状态变化间一致性的概念；简要得对节点信息的采集进行了介绍，对获取的节点数据进行数据挖掘，获得其内在信息，确定系统状态；并在分析物理层节点状态变化的基础上，依据节点状态变化之间的内在一致性，对节点态势进行判断，确定节点序列，及恶意节点。3) 以“提馏段温度单回路控制系统”为研究对象，进行了 Matlab 仿真实验，验证节点状态变化的一致性；并通过模拟完整性攻击，将实验结果与攻击者的攻击目的进行对比，验证了本文提出的工控系统安全态势感知模型及算法的正确性和有效性。关键词：工业控制系统 安全态势感知 拜占庭将军问题 节点序列 节点状态 一致性 恶意节点Industrial control system security situation awareness modeling and algorithm implementationAbstract:With the development of communication network technology and ICS, the connections between communication network of ICS and external network has been increased. Additionally, the characteristics of ICS network, which includes the connectivity, openness and complexity, has worsened the safety problems we are suffering from; whats worse, once the ICS has been attacked, the substantial results could be unimaginable, such as explosions and the condition of power-supply systems would in a state of paralysis. Accordingly, this paper has proposed the idea of industrial control system security situation awareness, which takes the whole ICS into the consideration and focuses on the process of industrial control, especially the data collections of sensors, actuators and meters. This technology can assess and evaluate the current state value of ICS, allowing administrators make correct decisions based on the reliable and efficient information, as well as reducing the potential risk that exists in the ICS.1) This paper proposes an integrity attack model，which is based on the research of the most common attack that industrial control system comes across. Additionally, an industrial control system security situation awareness model has also been proposed, combing the idea of “Byzantine Generals Problem” with the analysis of ICS security situation awareness. The algorithm of ICS security situation awareness is introduced as well.2) The concept of the consistence between nodes states has been introduced in this paper. In addition, the way access to the collection of nodes states data is briefly given. According to the idea of consistence, the nodes sequences and the malicious nodes can be derived, considering the analysis of the consistent change in nodes states.3) The Matlabexperiments, which takes “the single loop in the temperature control system of the stripping section” as a research object, is been conducted during the research of this paper. The idea of consistence in nodes states has been proved, as well as the ICS security situation awareness model and algorithm. With the simulation of an integrity attack, the results of the experiences and the goal of attacker can be compared with each other, consequently, the veracity of both the model and the algorithmcan be verified.Keyword： industrial control system security situation awareness Byzantine Generals Problem nodes sequence nodes states consistence malicious nodes目 录1 绪论 .11.1 课题背景与意义 .11.2 工业控制系统网络 .21.3 网络安全态势感知 .51.4 本文主要工作内容 102 模型建立与算法研究 .122.1 完整性攻击模型 122.2 工控系统安全态势感知建模与算法研究 132.3 工控系统安全态势感知建模与算法研究 132.4 本章小结 213 节点信息采集与处理 213.1 物理层节点状态信息采集 213.2 物理层节点信息处理 253.3 本章小结 284 MATLAB 仿真实验与理论验证 294.1 安全态势感知研究对象 294.2 仿真模型建立与验证 304.3 完整性攻击态势感知仿真验证 404.4 本章小结 455 总结与展望 465.1 本文总结 465.2 工作展望 46参考文献 .48致 谢 .50附录 物理层节点攻击序列判断 MATLAB 程序 .511工控系统安全态势感知建模与算法实现1 绪论1.1 课题背景与意义各类工控技术已广泛应用于国家基础设施，并对其安全产生较大影响，此外，由于工控系统的通信网络与外部网络的连接不断增加，我们将基于工控系统的网络称为工控系统网络 1。遭受到攻击或产生了破坏的工业控制网络，极易发生灾难性的安全事故，以 1996 年的南卡罗来纳州油管爆裂事故为例，攻击者对系统施加了完整性攻击，不仅导致了周边环境的严重破坏，同时也产生了超过两千万美元的损失 2。近年来工控系统安全事故频发，且其不断呈现上升趋势 3如下图 1.1 所示：图 1.1 ICS-CERT 历年的公布工控安全事件统计分析此外，由于现在的工业控制网络不断广泛得采用开放式平台和通信协议，ICS 系统的连接性、开放性、复杂性不断提升，其安全问题也变得日益严峻，工业控制网络中存在的脆弱性也被潜在的攻击者攻击利用。且由于 ICS 网络与IT 网络之间存在着如性能和功能需求、安全体系不同、可用性和可靠性需求不同等的本质差异，使得当前 ICS 系统及 ICS 网络的防护不同与一般 IT 网络防护，并存在一定困难，进而使得依靠单一传统的信息网络安全技术，如：安全网关/网桥、防火墙等无法实现多层级与多级别的网络安全防护需求。2本研究针对上述问题，提出了 ICS 系统安全态势感知模型及算法，在对ICS 系统的当前状况进行安全态势评估的基础上，对系统正面对或即将面临的攻击及入侵做出判断，并最终对安全态势结果进行等级划分，以呈现 ICS 系统的当前安全态势，给决策者提供切实可靠、实时的决策依据，进而保障 ICS 系统的安全。1.2 工业控制系统网络1.2.1 工业控制系统网络简介工业控制系统经历了以 420mA 为代表的模拟信号传输、以内部数字信号和RS-232、RS-485 为代表的数字通信传输、以包括现场总线、工业以太网、工业无线网络的控制网络为代表的网络传输的三个阶段的工控系统变革；当前，工业控制网络在企业自动化系统的核心技术领域有相当广泛的应用，而现场总线技术和工业以太网技术是工业控制网络的主要代表技术。此外，工业控制网络在性能上有着自身独特的性能 4：1) 系统的实时性响应控制系统的最基本要求是 ICS 网络中数据传输的及时性以及系统响应的实时性。所谓实时性是指控制系统可在较短并可预测确定的时间内，完成过程参数采集、加工处理等一系列完整过程，并且执行时序满足过程控制对时间限制的要求。若系统无法满足实时性要求，即无法及时得对控制对象进行调节，将会造成控制系统崩溃，甚至产生严重的安全事故。2) 开放性开放性是指通信协议公开，不同厂商的设备之间可以相互连通成为设备，以实现信息交换，遵循同一网络协议的测量控制设备能够进行互操作与互用。3) 极高的可靠性3工控网络的高可靠性往往包括三方面：可使用性好，即网络自身不易发生故障；容错能力强，即当网络系统局部单元出现故障时，不会影响整体系统的工作；可维护性强，即在故障发生后能及时发现并处理，通过维修恢复网络。4) 良好的恶劣环境适应能力由于控制网络的工作环境往往比较恶劣，如温度与湿度变化大、粉尘污染、电磁干扰大等，因此工业控制网络设备需要经过严格的设计和测试，保证其能适应恶劣的工作环境，满足环境要求。5) 安全性工业自动化网络包含了生产安全和信息安全两方面；生产安全是指工业自动化网络中的控制设备具有本质安全的性能，利用安全栅栏技术，对提供给现场仪表的电能量限制在安全范围内；而信息安全主要是指信息本身的保密性、完整性以及信息来源和去向的可靠性，这是整个工业控制网络系统必不可少的重要组成部分。1.2.2 工控系统常见攻击简介工控系统在网络上的广泛应用，使其呈现出与 IT 网络相似的脆弱性与漏洞，这也使得攻击者对工控系统有了更多可乘之机 5。攻击者的攻击目标往往可分为以下几类 6：节点信息流被破坏；对工控系统设备造成影响与破坏；对系统自身设定的安全设置进行更改与破坏。常见的攻击有:1) IP 欺骗：攻击者通过仿造IP地址，对目标计算机发送信息，计算机接收到信息后，判定该信息是来自于主机的信息，此时，攻击成功，攻击者与计算机之间建立连接。 。常见的攻击类型有：Non-Blind Spoofing攻击是当攻击者与攻击目标处于同一个子网中时，攻击者避开其他认证标准，建立与攻击目标之间的连接；Blind Spoofing攻击是在攻击者无法事先获取序列号的情况下，通过与计算机之4间的连接获取序列号信息；Connection Hijacking 攻击者截取两个主机之间的合法信息，并删除或更改由一方发送给另一方的信息。IP欺骗攻击的目的是通过对IP地址的伪造，获取与主机的连接。2) 拒绝服务攻击（Denial of Service, Dos）网络往往具有有限的资源与带宽，攻击者利用这一特点，以过度占用资源的方式，使得主机无法正常工作。其主要攻击类型有以下几种：TCP SYNFlood攻击通过破坏协议，大量占用网络资源，导致主机瘫痪;land 攻击通过向设备发送数据包，使得存在漏洞的设备受到攻击无法正常运行；ARP 欺骗该攻击的主要目标是对主机的网络产生中断影响，或形成中间人攻击。该攻击方式能截获所在网络内其他计算机的通信信息，并进一步造成网内其他计算机通信故障；ICMP Smurf 攻击 利用 IP 协议的直接广播特性，攻击者伪造目标 IP 地址，并在网络上广播 ICMP 响应请求，从而使得目标主机大量回复请求、耗尽资源，无法使合法的用户正常访问服务器；Ping of Death 攻击发送 ICMP 响应请求、多个分段数据，使系统在接收到全部分段并重组报文时总的长度超过了系统允许的最大数据包字节，从而导致内存溢出，主机因内存分配错误而导致 TCP/IP 堆栈崩溃，从而死机； UDP Flood 攻击攻击者发送大量 UDP 报文到目标系统的随机端口，若此时有足够的 UDP 报文发送到目标系统的所有端口，将导致目标系统死机；Tear drop 攻击通过在报文中插入错误信息，当报文重新组装时，导致数据包过长溢出。1.2.3 国内外工控系统安全的研究状况工控系统的安全与我们的生活息息相关，许多欧美国家从上个世纪开始关注广泛关注工控系统安全问题：2003 年，美国负责发展控制系统安全防护能源部能源保证办公室（Office of Energy Assurance， Dept. of Energy）公布了“改进控制系统信息安全的 21个步骤”报告 8,其罗列出了 21 项主要内容；Krutz 也在文献 9中总结并提出了“SCADA 网络安全的 21 个步骤总结图 ”，如下图 1.2 所示：5图 1.2 SCADA 网络安全的 21 个步骤总结图美国商务部也通过美国标准与技术研究所(NIST)制定了 “工业控制系统防护概况” 、 “工业控制系统 IT 安全”等一系列安全防护标准，从工控系统漏洞、风险、评估、防护等多方面对安全防护体系进行了详细描述；此外，在工业控制系统仿真平台建设方面，美国能源部下属的 Idaho 国家实验室已经建立了（National SCADA Test Bed）国家工业控制系统测试床；同时，加拿大的英属哥伦比亚理工学院（British Columbia Institute of Technology）等也建立了SCADA 测试床。测试床的构建目的是为工控系统的安全评估建立正式的测试环境，以获取可靠、准确的测试结果 10。我国对工控系统安全的重视程度也不断升高，工业和信息化主管部门发布了关于加强工业控制系统信息安全管理的通知 （工信部协【2011】451 号文）11，通知中将工控系统信息安全风险评估列入的工作重点。同时，国家发改委也于 2012 年在信息安全专项中支持工控信息安全服务方面的产业化项目。国内的工控系统信息安全保障工作开始进入实质性阶段。61.3 网络安全态势感知1.3.1 网络安全态势感知简介态势感知（Situation Awareness， SA）概念源于航天飞行中对人因的研究。1988 年, Endsley12提出了态势感知的定义，将重点放在“获取” 、 “理解” 、 “预测”上进行研究，并提出了态势感知的三级模型，如下图 1.3 所示：图 1.3Endsley 态势感知三级模型Tim Bass13于 1999 年提出了网络态势感知 (Cyber Situation Awareness, CSA) 的概念。网络态势是通过观察网络内部信息及系统状态的改变，来获取当前网络状态并对网络未来状态进行预测 14，网络态势感知是指通过对影响网络因素的获取，对其进行分析处理，最后帮助决策者获取可靠的决策依据。 对于网络安全态势感知（Network Security Situation Awareness, NSSA）的概念，有以下理解：1) 从管理员的角度：网络管理人员通过人机交互界面对当前网络状况的认知程度。2) 获取影响网络安全的因素，对其进行分析，判断当前网络状态，并进行预测。通过对网络环境进行态势感知能获取整体网络安全态势，并在很大程度上降低由于攻击带来的风险与破坏。71.3.2 国内外基于数据挖掘的网络安全态势感知研究状况数据挖掘技术能从当前网络的海量、随机、不完全的数据中挖掘出有用的信息，并能给出隐含于数据中，潜在未知的信息，构建出实用、有价值的数据模式，并形成用于检测各类已知与未知攻击的检测模型。数据挖掘技术最早被美国哥伦比亚大学的Wenke Lee 7等人引入到入侵检测领域,同时，他们也提出了用于入侵检测的数据挖掘框架，如图1.4所示。数据挖掘技术现也已逐步应用到网络安全领域。图 1.4 入侵检测的数据挖掘框架数据挖掘包含四种分析方法，根据对象来分：在用于模式变化与规律寻求上关联分析和序列模式分析；在用于最后的检测模型上分类分析和聚类分析。a) 关联分析的目的是寻找数据与数据之间内在的联系,常用算法有 Apriori算法。b) 序列分析用于发现不同数据记录之间的相关性，主要常用算法有两种：Count-all 算法和 Count-some 算法。c) 分类分析用于提取数据库中数据项的特征属性,生成分类模型，常用的模型主要由四种：决策树模型、贝叶斯分类模型、神经网络模型。8b) 聚类分析是将数据对象中类似的项目进行分类并进行评估。在数据挖掘的方法中，关联分析方法的使用相较其他方法更为普遍，如2006 年，Cristina Abad 等人提出了基于 UCLog+的网络安全态势评估方法，它能够实现对相关安全数据的关联分析；同年，赵国生等人提出基于灰色关联分析的网络可生存性态势评估方法，该方法能实现网络可生存性态势定量评估。尽管当前数据挖掘在网络安全态势感知领域有较广泛的应用与良好的发展前景,但仍有一些问题有待解决，如数据训练的不易、从大量数据中进行挖掘，资源开销较大等。1.3.3 国内外基于数据融合的网络安全态势感知研究状况数据融合技术作为网络安全态势感知的核心技术，其出现于 20 世纪 80 年代，当前作为网络安全态势感知最为广泛的技术，它能将来自网络中的多源信息进行集成，从而获得当前网络态势，并有助于预测未来网络安全态势。数据融合的定义是由美国国防部的实验室理事联合会（Joint Directors of Laboratories, JDL）给出的，他们从军事的角度出发对其做出定义，同时提出了JDL 模型 15，如图 1.5 所示。图 1.5 JDL 模型9Tim Bass 首先提出了将 JDL 模型直接应用于网络态势感知,这为数据融合技术在网络态势感知领域的应用奠定了基础；当前，JDL 模型也被众多研究者应用于网络安全态势感知的研究中。韦勇等 16针对网络系统多源的特点提出了一个 NSSA 的融合框架,如图 1.6所示。图 1.6 网络安全态势评估框架实验表明，为了更有效得获取测试结果，基于多源的 NSSA 模型更为准确高效；他还针对普遍存在的技术问题，并提出了相应的解决方法，如：所采用的量化算法存在一定缺陷，导致量化结果与实际结果出现偏差利用改进的D-S 证据理论，将多数据源态势信息进行融合 ,利用漏洞及服务信息,经过态势要素融合和节点态势融合计算网络安全态势；一些态势评估方法无法对安全状况的发展趋势进行预测因此，采用了时间序列分析的方法对系统安全态势进行预测,以期实现以量化的方式评估网络安全态势及预测。然而存在的不足是：安全态势指标及其表示方法不够全面；未考虑网络安全态势可视化等。陈秀真等 17提出了层次化网络安全威胁态势量化评估模型，如图 1.7 所示，该模从上至下分为 3 个部分，依次为：服务、主机及网络系统。该模型的创新点在于：一方面，能为网络管理员对网络态势的判断提供直观准确的判断依据;另一方面，态势感知的结果能有效预测未来网络发展的变化趋势。10尽管文中对网络中信息的变化进行了监控与分析,并部分反映出了网络运行的状况，然而依然无法对网络的整体状况进行全面有效得反映；因此，并不适用于多网段的局域网和大规模网络系统的安全威胁评估。图 1.7 层次化网络系统安全威胁态势评估模型1.3.4 国内外基于可视化技术的网络安全态势感知研究状况可视化技术是通过图形的方式，将大量抽象的数据表示出来，由于人类对图像的敏感性，可视化的形式，能使人们更直观得了解网络安全态势评估与预测的结果，并能使网络管理员获得更为直观可靠的决策依据。利用可视化技术，可直观展现网络内部实时变化，如 Gregory Conti18通过分析网络的连接状况，对网络中存在的异常及攻击进行检测。该方法能使网络管理员获得有效、可靠、实时的网络系统安全状态判据。网络安全不仅对用户个人起到影响，同时，对国家安全也起到重大影响，美国国防部在 2005 年的财政预算报告 19中就包括了对网络态势感知项目的资助,并提出分三个阶段予以实现,分别为:第一阶段完成对大规模复杂网络行为可视化新算法和新技术的描述和研究,着重突出网络的动态性和网络数据的不确定性;第二阶段基于第一阶段所研究的工具和方法,实现和验证可视化原型系统 ;第三阶段实现可视化算法, 提高网络态势感知能力。美国高级研究和发展机构 ( Advanced Research and Development Activity, USA)20在 2006 年的预研计划中,明确指出网络态势感知的研究目标和关键技术。研究目标是以可视化的方式为11不同的决策者和分析员提供易访问、易理解的信息保障数据攻击的信息和知识、漏洞信息、防御措施等等;关键技术包括数据融合、数据可视化、网络管理工具集成技术、实时漏洞分析技术等等。可视化技术作为网络安全态势感知的关键技术之一，有良好的发展前景，且其在增强人机交互的可操作性上有重要作用。但是其在实时性和扩大显示规模的要求上，仍有需提高的空间。1.3.5 国内外网络安全态势感知的其他相关研究除了上述的几类典型研究，国内外的一些学者，也提出了其他相关网络安全态势感知的研究。哈尔滨工程大学的王慧强 21给出了态势感知的概念,并提出了 相应框架 ,如图 1.8 所示。文中着重讨论了相关关键技术与难点问题，并给出了网络态势感知今后的发展方向。图 1.8 NSAS 框架四川大学李涛 22主持的“基于免疫的网络安全态势实时定量感知技术”863 项目实现了实时感知、评估网络安全风险。此外，蜜罐系统能为网络管理员提供关于恶意活动的细节信息，2005 年Vinod Yegneswaran 等人提出了基于 Honeynets 的网络安全态势评估方法，该方法能利用收集到的信息绘制安全态势曲线。12其他技术还包括数据校准、数据格式统一、数据简约、响应与预警、入侵追踪等。这些技术可根据其作用目的分类两类：一类是用于处理、简化海量网络信息，以便为后续的态势评估与预测提供可靠、有效的数据来源；另一类则是用于在发现攻击后，对攻击进行响应与定位攻击来源。1.4 本文主要工作内容本文将网络安全态势感知技术应用于工控系统安全领域,目的是为了对 ICS网络的当前状况以及未来的安全态势做出评估与预测，对网络正面对或即将面临的网络攻击及入侵做出预警，并给网络管理员提供切实可靠、实时的决策依据，进而保障 ICS 系统的网络安全。且从安全事件发生的趋势及 ICS 系统遭受攻击后造成的严重后果来看，工控系统安全态势感知的研究刻不容缓。目前的网络安全态势感知存在实时性差、数据来源单一、适用范围小等缺点。本文针对以上问题，结合 ICS 系统实时性、可靠性要求高，对恶劣环境要有较强的适应能力，ICS 信息的保密性、完整性要求等特点，建立相关模型，并进行算法实现。第一章绪论部分简要介绍了工控系统网络以及网络安全态势感知的基本概念，以及当前工控系统安全风险评估及入侵检测的国内外发展状况，并针对不同网络安全态势感知技术对网络安全态势感知在近年来的发展及国内外研究情况做出了简介。第二章针对完整性攻击建立了攻击模型；并结合“拜占庭将军问题理论”的思想，提出了工控系统安全态势感知模型。首先引入了“拜占庭将军问题理论”的思想，将其应用于工控系统安全态势感知研究，建立了工控系统安全态势感知模型，并提出了相应算法；依据各物理层节点信息，判断系统的工作状态，并对系统是否遭受完整性攻击做出判断，确定系统内的恶意节点。第三章介绍了节点信息的采集与处理；首先对节点数据进行预处理，获取系统稳态及正常工作情况下的各节点参数，再对各物理层节点信息进行采集，并通过将检测到的节点数据与预处理参数进行对比，获得单个节点序列值与系统状态；此外，介绍了节点状态一致性的概念，并给出节点序列及其含义，从13而对工控系统安全态势进行感知，判断系统工作状态，确定系统内部是否存在完整性攻击，判定恶意节点。第四章通过以单回路系统为研究对象进行了仿真实验；首先对系统稳态运行及正常运行状态下的物理层节点输出进行仿真并分析，获取预处理参数；再在系统上增加一个扰动信号，以验证节点状态是否具有一致性；此外，通过模拟系统中存在的完整性攻击，对物理层节点状态进行采集与处理，获得节点序列，并利用本文提出的算法进行恶意节点的判断，判断结果与攻击目的相符，验证了本文提出的工控系统安全态势感知模型与算法的正确性及有效性。第五章回顾了本文的主要工作内容、对研究过程中的创新与不足做出总结，并针对本文不足之处，对未来进一步的研究方向与目标进行展望。2 模型建立与算法研究2.1 完整性攻击模型由于现在的工业控制网络越来越依靠与商业 IT 和 Internet 领域的操作系统、开放协议和通信技术，在享受网络化给工业现场带来方便的同时，工业控制网络的脆弱性也因此进一步暴露给了潜在的攻击者；工控网络中大量存在的通信路径以及众多输入、输出节点，更是给攻击者带去了可乘之机，例如完整性攻击就是针对节点之间的信息传递，对节点进行妥协，从而篡改两节点之间的数据，最终威胁到系统的正常运行，甚至产生安全事故。14因此，本文针对工控系统中最为常见的完整性攻击进行研究，并依据文献23中的描述，提出完整性攻击的攻击模型。如下图 2.1 所示为完整性攻击示意图：在传感器将检测值传递给控制器的过程中，攻击者在这两个节点之间施加了一个完整性攻击，导致控制器接收到的值与传感器实际检测到的值不符，从而使得控制对象在控制器的控制作用下，不断偏离控制目标。图 2.1 完整性攻击示意图本文定义 为控制节点在 t 时刻接收到的值，该值使得控制系统能维()持正常的控制行为。然而当系统受到完整性攻击时， 的值与物理层节点的真y()实测量值 有所偏差，其中， i 为节点序号，即 i=1,2,3。y()设 为攻击延续的期间，其中， 为攻击的起始时间， 为攻击=, 的终止时间。下列为攻击信号的一般模型：（2.1）=(), (), 控制器 执行器 控制对象输入量 输出量传感器完整性攻击15其中 是攻击信号。这个攻击模型能用于表示一般完整性攻击：假定攻()击者要使得一个物理层节点妥协，他们会改变该物理层节点的状态值，因此在这种情况下， 可以是任意非正常值。()2.2 工控系统安全态势感知建模与算法研究数据挖掘、数据融合等各种技术手段，往往被使用在对网络安全进行安全态势感知的过程中；然而，为了能够更加准确得对工控系统安全态势进行态势感知，需要采用能针对工控系统特点的理论来对工控系统内部的各类信息进行分析处理，进而结合数据挖掘等有效技术手段来对工控系统的安全态势进行态势感知。由于工控系统控制作用执行的判断依据往往是采用传感器传输的数据，因此，即便系统中存在冲突信息或恶意节点发送的错误信息，控制器无法自行进行判断，依然对执行器进行相应的控制作用。为了避免控制器因接收到错误信息在进行相应操作后，造成系统运行异常或发生安全事故，本文在针对工控系统提出安全态势感知时，采用了“拜占庭将军问题理论” 。该理论能够依据节点信息及相应的状态值，有效得判断出各节点之间是否存在冲突信息，并判断出系统内的恶意节点。能用于表示一般完整性攻击：假定攻击者要使得一个物理层节点妥协，他们会改变该物理层节点的状态值，因此在这种情况下， 可以是任意非正常()值。2.3 工控系统安全态势感知建模与算法研究数据挖掘、数据融合等各种技术手段，往往被使用在对网络安全进行安全态势感知的过程中；然而，为了能够更加准确得对工控系统安全态势进行态势感知，需要采用能针对工控系统特点的理论来对工控系统内部的各类信息进行分析处理，进而结合数据挖掘等有效技术手段来对工控系统的安全态势进行态势感知。16由于工控系统控制作用执行的判断依据往往是采用传感器传输的数据，因此，即便系统中存在冲突信息或恶意节点发送的错误信息，控制器无法自行进行判断，依然对执行器进行相应的控制作用。为了避免控制器因接收到错误信息在进行相应操作后，造成系统运行异常或发生安全事故，本文在针对工控系统提出安全态势感知时，采用了“拜占庭将军问题理论” 。该理论能够依据节点信息及相应的状态值，有效得判断出各节点之间是否存在冲突信息，并判断出系统内的恶意节点。2.3.1 拜占庭将军问题简介拜占庭将军问题的研究起源于对计算机系统的可靠性理解以及冲突信息造成的系统故障的思考 2326。该问题描述的是，当拜占庭将军在进行作战指挥时，他会通过信使与其他军官联系并共同决定是进行攻击还是撤退。如果信使被策反，他可能会更改信息内容，使得接收者和发送者的信息不一致。而每个接收到信息的军官则是通过比较其从相邻军官处接收到的信息来做出决定。这样一来，错误信息的出现，最终可能会更改战争走向。如 图 2.2 是拜占庭将军问题的示意图。其中，指挥官 C1 向 3 个中尉L1，L2，L3 （ L3 为叛徒）发送信息 v。L2 从指挥官和其他两名中尉处接收到冲突信息，那么他会评估这些信息。L2 用比较数量的方法对获得的值（ v, v, x) 进行分析比较。从而可以确定这些数据源中不一致的数据源来源L3，那么L3 被确认为叛徒。17图 2.2 拜占庭将军问题2.3.2 工控系统中的拜占庭将军问题描述拜占庭将军问题可以简单得描述为一个恶意节点改变其传输值以使系统接收到的信息产生不连续与冲突，在这种情况下，其他节点通过判断节点之间状态变化趋势的内在一致性来确定恶意节点。类似得，本文将该理论运用到在工控系统内对完整性攻击的检测，如 图 2.3 所示，为拜占庭将军问题的工控系统表示。然而不同于传统的拜占庭将军问题中命令节点向下对执行节点的命令传输，在工控系统中，各物理层节点将自己的节点信息向上传递给控制节点。图 2.3 拜占庭将军问题的工控系统表示为了便于描述，首先对相关概念及 图 2.3 中的信息进行简单描述与介绍：1) 物理层节点 S, V, M：物理层节点是工控系统中最基本的回路构成部分，主要包括传感器、控制阀、流量仪等仪器仪表。其中，S 代表传感器；V 代表控制阀；M 代表流量仪。这些节点依据各自的特点，对工控系统进行控制，如传感器能够监控工控系统的运行过程，而控制阀的开关能调节系统中的流量大小，流量仪可对系统中的流量变化进行实时记录。在工控系统中，这些物理层节点所获取的数据 p1, p2, p3，能够真实得反映系统当前状态。2) 现场层节点 P1, P2, P3：现场层节点能够对物理层节点信息进行采集，通过数据处理后，获取相应节点的节点状态 , , ，并将这些相关的节点123信息上传到控制节点。3) 控制层节点 C1：控制层节点的构成是回路中的控制器，其作用是接收信息处理节点传输的数据，并执行算法，从而获得当前系统状态，判断系统内是否有攻击产生，在判断出系统存在攻击的前提下，推断出系统内被攻击的节点，即恶意节点。184) 实际数据传输实线：两节点间用带箭头的实线，表示的是在这两个节点之间数据的传输是直接进行、并实际存在的；然而该数据存在被攻击者攻击的风险，即可能会遭受到完整性攻击。以节点 S 到节点 P1 的带箭头实线为例，传感器 S 将实际接收的数据 p1 上传给 PLC 节点 P1。因此，这个值是真实存在的，且节点 S 在向节点 P1 发送数据的过程中，攻击者可能对该节点实行了完整性攻击，并对数据进行了篡改。5) 非实际数据传输虚线：两节点间用带箭头的虚线表示的是两节点间的内在关系，并不是真实存在的节点间数据的传输，这种内在联系无法被攻击者更改。以节点 P2 与节点 P3 间的带箭头虚线为例，当控制阀节点 P2 的阀门开度增加时，流量仪表节点 P3 检测到的流量大小也相应增加，而这样的两个节点间状态变化具有一致性，即节点间的内在关系是无法被攻击者攻击并改变的。因此，如 图 2.3 所示，在现场层节点接收到来自物理层的节点信息后，通过对各节点间的内在关系进行判断，并将结果上传给控制节点 C1，C1 在执行算法后，可根据计算结果来判断系统内是否存在攻击。2.3.3 工控系统安全态势感知算法研究为了对工控系统的安全态势进行态势感知，确定系统内是否存在完整性攻击，结合 2.3.2 节所述的基本概念，提出了基于拜占庭将军理论的工控系统安全态势感知算法。a) 算法相关概念定义定义 2.1 STATE 函数：STATE=（ , , ）获得系统1 2 3节点序列， 为节点 i 的单个节点序列值,其表达式如下：（2.2）= 0, 19其中， 为节点 i 稳定运行时均值；为节点 i 状态变化后均值 ； =定义 2.2 Atcnode 函数: 该函数用以确定恶意节点。具体计算过程为：（2.3）1=23（2.4）2=12（2.5）3=13（2.6） =1+2+3（2.7）atcnode= (1,2, 3), =1(0,0,0), 1若 ，则表示系统受到完整性攻击，此时， 中状态显示=1 atcnode为 1 的节点即为恶意节点；否则，系统正常，即 中，三个节点显示atcnode值均为 0。b) 算法基本思想：i. 信息预处理： 获取系统稳定运行时，各节点稳定值均值 ，稳定值方差,及稳定值区间 ；( )2 获取系统正常运行时，各节点正常值均值 ，正常值 ,及正 ()2常值 ；ii. 在整个工控系统运行过程中，以周期 T 为单位，对节点的一组原始数据进行处理获取 (,2)iii. 进行节点状态判断：20首先判断节点是否为稳态节点，若是，则 T 内，系统未受到攻击，执行步骤；否则，执行步骤；iv. 判断节点是否为正常节点，若是，执行步骤 ；否则，执行步骤；v. 判断节点为异常节点；vi. 执行 STATE 函数，确定系统节点序列；vii. 执行 Atc_node 函数，执行 函数，判断是否发生完整性攻击， 若是，则确定恶意节，否则，执行步骤；viii. 判断系统运行是否全部完成，若是，则结束算法，否则，返回步骤。c) 算法流程图：工控系统安全态势感知的算法流程如 图 2.4 所示：21开 始 获 取 各 节 点 稳 定 值 均 值 ， 方 差 ,及 区 间 获 取 各 节 点 正 常 值 均 值 ， 方 差 ,及 区 间 t=0 t=T ? 采 集 节 点 原 始 数 据 () 否 t=t+1 ; a=a+1 获 取 节 点 信 息 , 是 判 断 ? 判 断 ?否 执 行 STAE函 数 是 否 是 执 行 Atcnode函 数 判 断 系 统 是 否 运 行 完 毕 ？ 结 束 是 否 a=0 执 行 PL函 数 图 2.4 算法流程图