工业控制系统(ICS)在开放网络环境下的安全漏洞日益严重,尤其面临虚假数据注入(FDI)攻击的威胁。研究展示了如何通过FDI攻击改变PLC存储器,影响智能电网和城市系统。实验表明,即使有安全措施,攻击仍可能导致成本增加和系统完整性受损。本文提出了检测和预防模型LiFi,并强调了网络安全设计、授权管理和持续监控的重要性。
一、摘要
工业控制系统(ICS)构成智能网络和智能城市系统的基础设施,由于时代的要求,已经向外部网络开放。ICS离开了其孤立的结构,这一过程中出现了更多的安全漏洞。
在这项研究中,虚假数据注入(FDI)攻击被用来改变可编程逻辑控制器(PLC)的存储器地址值,PLC是ICS的重要组成部分。
首先,本文研究了FDI攻击的可行性。此后,在受到攻击的情况下,对系统的影响被揭示出来。最后,提到了防止攻击的重要软件和硬件解决方案建议。
二、介绍
ICS是智能电网和智能城市基础设施中最关键的组件之一,ICS和基于ICS的基础架构的漏洞会影响整个系统。有几种攻击方法可以通过这些漏洞实现,但FDI攻击是最具破坏性的攻击之一。
因为通过FDI攻击,有可能以可控的方式改变数据并改变固件代码。当评估FDI攻击对系统的影响时,将需要很长的时间,特别是使系统恢复到目前的工作状态,并可能发生巨大的损害。此外,通过这种攻击,有可能以可控的方式操纵数据,从而获得数据。由于这个原因,通过揭示FDI攻击的程序来采取反措施是非常关键的。
在本研究中,利用ICS中使用的通信协议的漏洞,对SCADA基础设施进行了FDI攻击,该基础设施旨在代表智能城市和智能电网系统。虽然攻击期间安全措施(防火墙、IDS/IPS)处于活动状态,但系统中的用户耗电成本发生了变化,系统的完整性组件被破坏。
该研究的分析包括对SCADA的FDI攻击以及对该攻击的检测和预防。因此,利用Modbus协议的漏洞进行了FDI攻击,尽管ICS和SCADA系统有密码保护,但数据还是被物理操纵了。随后,在列举了预防这种攻击的建议后,提出了检测和预防模型(LiFi模型)。
三、实验评估
(一)实验设置
我们使用真实的系统结构来进行实验,如下图1所示。
计划在大型系统上实施的攻击区域如图2所示。
(二)攻击实施
FDI攻击是由内部人员对施耐德M241 PLC进行的 作为测试环境中的控制器,根据下面列出的攻击程序进行了FDI攻击。攻击程序,并在WEB、PLC程序接口(Somachine)和SCADA接口(Vijeo Citect)中观察到了结果。
用户名和密码标识: 首先,为设备和接口定义用户名和密码,以防止读/写,从而防止通过PLC程序接口(Somachine)进行内部攻击。这样,不输入用户名和密码就可以在程序界面上进行的所有更改都对用户关闭。
确定控制器的IP地址:在此阶段,通过使用Nmap扫描端口502(Modbus通信端口)确定控制器的IP地址。
捕获特定于设备的信息:在确定PLC的IP地址后,关键信息(如设备的品牌、型号和序列号)被查获。
开源智能:由于找到了设备的品牌型号(Schnei-der M241),因此进行了开源智能以检测品牌型号的漏洞。通过研究,确定了人机界面、通信协议和web界面漏洞。
改变控制器(PLC)寄存器地址的攻击是根据图3所示的流程图进行的。
(三)攻击分析
在FDI攻击中,通过改变内存地址,发票成本被提高到很高的水平,该地址被定义为PLC中%MW1448地址的全局变量,并为内部人士所知。在本研究中,可变全局内存地址是发票消费价格的第一个索引数据,由操作员手动输入。第一个索引值不是一个持续可覆盖的内存地址,它被减少,而消耗值被增加。通过这种方式,发票价格被提高了。
随着PLC内存地址值的变化,在SCADA、数据库和WEB上可以立即观察到这种变化。考虑到攻击后获得的结果,利用Modbus协议的漏洞对从能量分析仪实时发送到PLC-SCADA系统的网络数据进行了操作。这样,不仅改变了发票消耗成本,而且改变了提供潮流控制的所有线圈,并控制了整个系统。
(四)预防措施
ICS和SCADA系统的IDS/IPS仍存在一些局限性:
•缺乏众所周知的威胁模型,
•假警报或假阴性的概率很高,
•为ICS环境定制的IDS系统的开发尚未被证明适用于实际系统,
•在ICS中分析实时系统上使用的入侵检测和预防软件的能力可能会干扰系统的连续性/可用性,
因此,可以在设计阶段采取一些预防措施,防止对系统的此类攻击:
•在系统设计中连续写入内存地址(使用强制寄存器和线圈),
•通过激活SCADA-PLC设计中的日志系统共享系统日志数据,并向安全管理器报告,
•分离外部和内部网络,隐藏内部网络,
•不将ICS网络直接连接到Internet并规划网络分段,
•运行NAT/NPAT(网络地址转换和网络端口地址转换),
•对系统的硬件软件设计信息和ICS软件中的内存映射保密,
•在系统主机或网络中使用入侵检测系统,
•持续监控ICS网络,尤其是关键网络,
•在系统中使用可管理的智能网络交换机,以维持带宽和数据优先级,
•用于检测系统所有设备(服务器、PLC、RTU、MTU等)上的网络攻击的代理软件
同样,鉴于攻击者拥有关键信息(如ICS注册拓扑图)可以成功实施攻击,因此授权、验证和持续监控网络的重要性就显得尤为突出。图4是用于认证和授权的模型。只有经过物理检查的授权人员才能访问模型中ICS关键组件所在的管理中心。如果使用此模式,则只有授权人员才能访问。将采取预防措施防止内部攻击,因为可以更容易地控制拥有物理密钥的人员。
在这一点上,正确的网络分割对于所提出的模型的成功是非常重要的。如果未正确执行网络分段,则可能会发生渗入网络的可能性,并且通过向攻击者提供访问关键管理网络的权限,使用上述模型采取的措施将无效。
此外,安全软件和硬件的警报控制是最关键的因素,应正确进行连续监测。因此,针对通过干预网络(如FDI和MitM)对数据进行未经授权的访问和操纵,通过持续监控在关键数据(MAC、IP等)发生任何变化时生成警报至关重要。
除上述措施外,考虑到人为因素是网络安全中最薄弱的环节,且攻击是由内部人员实施的,应考虑“需要知道”和“最少知道”原则。
四、结论
这项研究表明,控制器(PLC)的寄存器地址很容易更改。事实证明,FDI攻击可以控制高压输电线路中的隔离开关和断路器,并造成非法的能量中断。在网络中断后,ICS存储器中读取的负载值以正常值显示,因此确定SCADA上的问题源可能需要很长时间。
根据FDI,确定攻击将被注入的位置是攻击的最重要信息。如果没有内部人员或其支持,攻击可能需要很长时间才能到达所需的地址,而且对于攻击者来说可能不再可行,因此这种情况会使攻击者改变目标。
访问ICS的关键组件和关键信息的机密性至关重要,根据“最少了解”原则,此类关键信息应仅由最少数量的授权人员知晓,且应仅保存在不向互联网开放的本地系统中。此外,应持续检查此类授权用户的工作状态,并在解雇和权力转移等情况下采取必要措施,取消不再授权人员的特权帐户。
因此,应从ICS组件的设计阶段考虑网络安全措施,这些组件在关键基础设施的管理中起着关键作用,并且应全天候进行持续监控。为此,考虑到业务连续性,这是工业控制系统最重要的功能,在不给现有系统带来额外负载的情况下,持续监控信息披露攻击。
Adepu, S., Mathur, A., 2018a. Distributed attack detection in a water treatment plant: method and case study. IEEE Trans. Depend. Secure Comput. doi: 10.1109/ TDSC.2018.2875008 .
Adepu, S., Mathur, A., 2018b. Assessing the effectiveness of attack detection at a hackfest on industrial control systems. IEEE Trans. Sustain. Comput. doi: 10.1109/ TSUSC.2018.2878597 .
Adepu, Sridhar , Kandasamy, Nandha Kumar , Mathur, Aditya , 2018. EPIC: an Electric
Power Testbed for Research and Training in Cyber Physical Systems Security. In:
Computer Security. Springer, Cham, pp. 37–52 .
Alves, T. , Morris, T. , 2018. OpenPLC: an IEC 61,131–3<
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
