感知与预测-物理信息融合的工控安全.pdf

1、信息工程大学感知与预测-融合物理信息的工业控制系统安全要解决什么问题？两化融合下的工业控制系统安全，与之前相比更大的挑战？（1）攻击向量有什么趋势？）攻击向量有什么趋势？（2）攻击向量检测与感知面临的困难？）攻击向量检测与感知面临的困难？（3）针对控制过程的攻击是什么特点？）针对控制过程的攻击是什么特点？（4）预测与感知的技术特点及实现？）预测与感知的技术特点及实现？（5）如何加强主动防御能力？）如何加强主动防御能力？主要内容1 攻击向量特点与趋势2 面临主要困难与挑战3 融合物理信息的控制过程攻击4 预测与感知基础能力构建5 总结一、攻击向量特点与趋势高度定向目标模块化可定制视图拒绝与控制操

2、纵物理过程破坏这是勒索的年代？1.1 高度定向的目标针对西门子SIPROTEC继电器发起拒绝服务模块利用CVE-2015-5374（基辅电网目标站点多使用西门子设备）Industroyer病毒2010，Stuxnet2014，HaveX2015，BlackEnergy2017，Industroyer其中两款涉及物理过程破坏：Stuxnet、Industroyer针对电力系统攻击，目前不具有传播性，没有SPY功能1.2 模块化可定制以Industroyer为例：支持四种协议，框架结构支持四种协议，框架结构仅需要少量修改，如加入DNP3协议支持，就可以发起对北美电网攻击 一定的自治一定的自治、自主

3、能力、自主能力 利用OPC协议绘制网络环境地图，选择攻击目标 利用HMI的库和配置文件进一步熟悉环境，通过理解网格操作然后利用系统本身发起攻击。缩短从进入到影响的时间窗口1.3 DoV&MoC式攻击Denial（Temporary）Loss（SUSTAINED）ManipulationViewDoVLoVMoVControlDoCLoCMoCIndustroyer使用OPC创建视图拒绝攻击（Denial Of View），OPC暴力篡改显示值，例如opc.exe向目标系统发送0 x01状态，误导操作人员对继电器的保护现状的理解。例如，对断路器的显示状态为“关闭”，但实际上是“打开”1.4 破坏

4、物理过程 攻击者已然具有强大的工业背景知识直接控制开关和断路器（无限循环打开关闭的断路器，导致变电站断电）监控操作人员试图在HMI上发出关闭命令，循环将断路器不断打开，阻止操作员管理断路器并启动线路。为了恢复供电，需要切断与变电站的通信，手动修复问题。1.4 破坏物理过程利用漏洞阻碍继电器保护措施利用CVE-2015-5374，针对西门子SIPROTEC继电器发起拒绝服务（乌克兰基辅电网目标）制造强迫性制造强迫性“孤岛孤岛”事件事件启动无限循环，使得断路器持续打开、关闭，可能会触发保护，并导致自动化保护操作，将该变电站隔离（孤岛），如果多个变电站受到攻击，将会导致众多孤岛。1.5 这是一个勒索

5、的年代？直接锁定PLC！针对工控系统的勒索软件分析ClearEnergy影响世界上使用最为广泛的的SCADA和工业控制系统的PLC产品，如核电厂、运输基础设施等。在受害机器上执行ClearEnergy后，其启动一个定时器，在一小时后对所有未支付赎金的设备擦除其PLC逻辑图。软件利用NSA的Windows SMBv1协议漏洞（MS17-010）制造出的“永恒之蓝”网络武器。截止到2017年5月14日0时，包括企业、医疗、电力、能源、银行、交通等多个行业均遭受不同程序的影响，5月15日，本田Sayama工厂受此事件影响被迫停产。席卷全球的勒索席卷全球的勒索软件软件 WannaCry 看来我们也受害

6、不轻？国家国家*被攻击系统的百分比被攻击系统的百分比 越南 66.09 阿尔及利亚 65.56 摩洛哥 60.39 突尼斯60.17 印度尼西亚 55.69 孟加拉 54.19 哈萨克斯坦 54.14 伊朗 53.89 中国 53.31 秘鲁 53.08 来自来自2016年底卡巴斯基的统计数据年底卡巴斯基的统计数据2 面临的主要困难与挑战 在线无损与细颗粒度分析要求在线无损与细颗粒度分析要求 主动模式和被动模式各有优缺点主动模式和被动模式各有优缺点 生产控制网络采用旁路模式，信息网络采用串联或者生产控制网络采用旁路模式，信息网络采用串联或者模拟探针模拟探针 语义攻击检测与对手行为分析【语义攻击