徐彬彬， 洪 榛， 趙 磊， 俞 立

(浙江工業(yè)大學(xué) 信息工程學(xué)院, 杭州 310023)

網(wǎng)絡(luò)化控制系統(tǒng)(NCS)是控制技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)的結(jié)合，通過網(wǎng)絡(luò)形成閉環(huán)反饋的控制系統(tǒng)[1].隨著科技的發(fā)展，NCS的應(yīng)用范圍也越來越廣泛，如復(fù)雜的工業(yè)控制系統(tǒng)、監(jiān)控系統(tǒng)、無人駕駛系統(tǒng)等[2].但是，隨著NCS與外部網(wǎng)絡(luò)的聯(lián)系越來越密切，系統(tǒng)的漏洞也逐漸暴露，即面臨外部攻擊的威脅也越來越多.

工控系統(tǒng)中設(shè)備之間的信息傳輸依賴于網(wǎng)絡(luò)，由于工業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)的功能較為單一，沒有著重關(guān)注信息傳輸?shù)穆┒?，部分設(shè)備甚至處于“裸奔”狀態(tài)，攻擊者容易侵入網(wǎng)絡(luò)內(nèi)部，監(jiān)聽工控系統(tǒng)中的通信數(shù)據(jù)，設(shè)計(jì)惡意攻擊和破壞系統(tǒng).目前，已知針對NCS的攻擊主要是破壞其可靠性、可用性以及完整性[3].劉烴等[4]從時(shí)間隱蔽和空間隱蔽角度將NCS的攻擊進(jìn)行分類，分析了十余種攻擊方法，其中大部分是針對數(shù)據(jù)完整性的攻擊；Urbina等[5]通過修改水箱系統(tǒng)傳感器的測量值控制執(zhí)行器以實(shí)行攻擊，并展示了攻擊者可以智能地針對傳統(tǒng)不良數(shù)據(jù)檢測，設(shè)計(jì)相應(yīng)的隱蔽性攻擊；Quarta等[6]探討了現(xiàn)代工業(yè)機(jī)器人面臨的安全問題，提出一種攻擊模型，并通過實(shí)驗(yàn)展示了攻擊者破壞機(jī)器人控制器的過程，獲得機(jī)器人的完全控制權(quán)限，改變了生產(chǎn)過程.

針對上述攻擊，研究人員提出了相應(yīng)的檢測方法.Manandhar等[7]提出采用基于歐幾里德的檢測器來檢測虛假數(shù)據(jù)注入攻擊.由于當(dāng)前絕大多數(shù)工控設(shè)備還在使用無狀態(tài)檢測方法檢測攻擊，Urbina等[8]針對隱蔽性攻擊提出了新的對抗模型，利用累積和(CUSUM)方法跟蹤誤差，并證明了有狀態(tài)檢測比無狀態(tài)檢測更能抑制隱秘性攻擊.攻擊檢測的方法雖然在不斷更新完善，但是通過攻擊測試，將檢測算法應(yīng)用到實(shí)際物理平臺上的研究不多，尤其是使用機(jī)器學(xué)習(xí)方法檢測虛假數(shù)據(jù)的實(shí)際應(yīng)用.

本文在NCS網(wǎng)絡(luò)安全的背景下，以網(wǎng)絡(luò)化倒立擺系統(tǒng)為對象，進(jìn)行網(wǎng)絡(luò)攻擊和檢測實(shí)驗(yàn)，模擬NCS的攻防問題.首先，使用Ettercap工具入侵網(wǎng)絡(luò)，篡改數(shù)據(jù)，進(jìn)行偏差攻擊；其次，結(jié)合支持向量機(jī)(SVM)方法，使用LibSVM軟件分析數(shù)據(jù)；進(jìn)一步地，通過仿真驗(yàn)證，與常用的K最近鄰(KNN)、決策樹方法對比，驗(yàn)證了SVM在二分類問題上效果更具有優(yōu)勢；最后，利用平臺檢驗(yàn)SVM方法的實(shí)用性.本文展現(xiàn)了NCS的脆弱性，一方面實(shí)現(xiàn)了對網(wǎng)絡(luò)化倒立擺的偏差攻擊，另一方面針對該攻擊提出了相應(yīng)的檢測方法.

1 問題描述

NCS一般由傳感器、控制器、執(zhí)行器和通信網(wǎng)絡(luò)4部分構(gòu)成.網(wǎng)絡(luò)化倒立擺系統(tǒng)具有NCS的基本結(jié)構(gòu)，本文將對NCS攻防博弈問題轉(zhuǎn)化為對網(wǎng)絡(luò)化倒立擺系統(tǒng)的攻擊及檢測問題.

實(shí)驗(yàn)中使用的直線一級倒立擺系統(tǒng)由固高科技(深圳)有限公司生產(chǎn)，加入網(wǎng)絡(luò)模塊后，如圖1所示，服務(wù)器端與倒立擺系統(tǒng)相連，負(fù)責(zé)采集倒立擺的當(dāng)前狀態(tài)信息，并將數(shù)據(jù)發(fā)送至客戶端；客戶端接收后，依據(jù)控制算法，計(jì)算出對應(yīng)的控制量，回傳至服務(wù)器；服務(wù)器根據(jù)控制量，調(diào)節(jié)倒立擺.整個(gè)系統(tǒng)處于由網(wǎng)線、路由器等連接形成的局域網(wǎng)中，通過TCP/IP協(xié)議通信.為方便加入網(wǎng)絡(luò)攻擊，采樣周期設(shè)置為0.015 s.

圖1 網(wǎng)絡(luò)化倒立擺系統(tǒng)示意圖Fig.1 Schematic diagram of networked inverted pendulum system

(1)

系統(tǒng)中采用的控制方法為基于愛克曼公式的狀態(tài)反饋控制方法[9]，確定狀態(tài)反饋增益矩陣

(2)

式中：A、B為系數(shù)矩陣；φ(A)為期望的閉環(huán)特征多項(xiàng)式；m為系統(tǒng)階數(shù).通過給定的閉環(huán)極點(diǎn)[-2, -3,-4+3i, -4-3i]，以及式(1)中的狀態(tài)方程，經(jīng)運(yùn)算得到狀態(tài)反饋增益矩陣

K=[-5.050 5-5.824 35.250 2 6.275 0]

(3)

網(wǎng)絡(luò)化倒立擺根據(jù)愛克曼控制方法正常運(yùn)行的狀態(tài)信息如圖2所示，t為實(shí)驗(yàn)時(shí)間.

圖2 倒立擺部分采樣數(shù)據(jù)Fig.2 Sampling data of inverted pendulum

網(wǎng)絡(luò)化倒立擺系統(tǒng)所依賴的標(biāo)準(zhǔn)以太網(wǎng)不提供安全保證，系統(tǒng)中沒有額外增加傳輸數(shù)據(jù)的保護(hù)措施，容易受到外部攻擊.因此，為了解NCS的攻防博弈問題，不僅需要設(shè)計(jì)一種網(wǎng)絡(luò)入侵方法篡改數(shù)據(jù)，還需要設(shè)計(jì)對應(yīng)的檢測方法.

本文的目標(biāo)：

(1) 攻擊者入侵局域網(wǎng)，監(jiān)聽網(wǎng)絡(luò)化倒立擺系統(tǒng)的輸入輸出，估計(jì)出增益矩陣K′.

(2) 向傳輸信息中注入虛假數(shù)據(jù)，改變倒立擺的穩(wěn)定狀態(tài).

(3) 利用檢測方法，區(qū)分虛假數(shù)據(jù).

根據(jù)攻擊NCS位置的不同，可將攻擊分為3種[10]：欺騙攻擊、拒絕服務(wù)(DoS)攻擊和物理攻擊.欺騙攻擊是指攻擊者向傳感器或控制器注入虛假信息；局域網(wǎng)中NCS的欺騙攻擊可通過“中間人”(MITM)攻擊實(shí)現(xiàn)[11]，數(shù)據(jù)信息以虛假數(shù)據(jù)注入[12]的形式進(jìn)行篡改，主要方式有3種：浪涌攻擊、偏差攻擊以及幾何攻擊[13]；不同于傳統(tǒng)的檢測方法，統(tǒng)計(jì)學(xué)方法從數(shù)據(jù)的角度深入，將檢測問題轉(zhuǎn)換為數(shù)據(jù)分類問題，能夠準(zhǔn)確判斷系統(tǒng)是否遭受到攻擊，常用方法有KNN、決策樹、SVM等.

本文對網(wǎng)絡(luò)化倒立擺系統(tǒng)實(shí)行了欺騙攻擊，首先，利用MITM攻擊入侵網(wǎng)絡(luò)；其次，以偏差攻擊的形式篡改數(shù)據(jù)；最后，通過SVM方法檢測是否攻擊成功.

2 網(wǎng)絡(luò)化控制系統(tǒng)的攻擊和檢測方法

2.1 NCS的MITM攻擊

MITM攻擊是基于地址解析協(xié)議(ARP)欺騙的常用網(wǎng)絡(luò)攻擊手段.如圖3所示，NCS平臺一般包括上位機(jī)、下位機(jī)、控制對象和通信網(wǎng)絡(luò).以攻擊上位機(jī)A、下位機(jī)C為例，攻擊者B向正常通信的A、C進(jìn)行ARP雙向欺騙攻擊，改變了A、C的ARP緩存表中IP地址對應(yīng)的MAC地址，最終導(dǎo)致主機(jī)A、C相互通信的數(shù)據(jù)都流向攻擊者B，那么B不僅能夠監(jiān)聽信息，甚至能惡意篡改數(shù)據(jù)，操控設(shè)備.

圖3 NCS的MITM攻擊示意圖Fig.3 Schematic diagram of NCS’s MITM attack

Ettercap[14]是一種實(shí)現(xiàn)MITM攻擊的工具，具有嗅探實(shí)時(shí)連接、轉(zhuǎn)發(fā)、截取數(shù)據(jù)等功能.引入Lua語言后，能夠執(zhí)行一些復(fù)雜的操作，可在Linux終端直接通過命令調(diào)用.

使用Ettercap入侵網(wǎng)絡(luò)，監(jiān)聽傳輸數(shù)據(jù)，獲取估計(jì)的增益矩陣K′的步驟如下：

步驟1在Lua腳本上編寫代碼，設(shè)置過濾規(guī)則，使用“ettercap.log()”命令將截取的數(shù)據(jù)顯示在終端界面.

步驟2Ettercap的數(shù)據(jù)截取方式有“remote”(雙向截取)和 “oneway”(單向截取)2種，獲得2個(gè)目標(biāo)主機(jī)的IP地址后，再選擇合適的截取方式.

步驟3根據(jù)數(shù)據(jù)的傳輸格式，進(jìn)行數(shù)據(jù)預(yù)處理，最后使用系統(tǒng)辨識方法，即可以估計(jì)出增益矩陣K′.

根據(jù)矩陣K′，攻擊者可得出各個(gè)數(shù)據(jù)的權(quán)重分配關(guān)系，能實(shí)施更精準(zhǔn)的數(shù)據(jù)篡改攻擊.

2.2 偏差攻擊

注入數(shù)據(jù)的方式為偏差攻擊，指在不被檢測裝置發(fā)現(xiàn)的情況下，攻擊者在某個(gè)時(shí)段內(nèi)，不斷地對數(shù)據(jù)進(jìn)行惡意篡改，在目標(biāo)數(shù)據(jù)的基礎(chǔ)上添加一個(gè)較小的非零常數(shù)：

(4)

使用Ettercap執(zhí)行偏差攻擊的步驟與2.1節(jié)中監(jiān)聽步驟類似，在上述的Lua腳本中需添加兩部分內(nèi)容：

(1) 根據(jù)傳輸數(shù)據(jù)的結(jié)構(gòu)，設(shè)計(jì)字符串分割方式，獲取篡改目標(biāo)的原始數(shù)據(jù)D.

(2) 依據(jù)式(4)，在獲得的數(shù)據(jù)D基礎(chǔ)上，添加合適的常數(shù)λ.

Lua語言中類型轉(zhuǎn)換、數(shù)值計(jì)算等操作可能會(huì)改變字符串的長度，為不影響客戶端讀取數(shù)據(jù)，需要編寫相關(guān)函數(shù)，保證數(shù)據(jù)傳輸?shù)慕Y(jié)構(gòu)不變.

2.3 支持向量機(jī)

檢測不良數(shù)據(jù)的本質(zhì)是將數(shù)據(jù)分為真實(shí)數(shù)據(jù)和虛假數(shù)據(jù)的分類問題.SVM[15]是建立在統(tǒng)計(jì)學(xué)習(xí)理論基礎(chǔ)上的一種數(shù)據(jù)挖掘方法，能有效地處理分類和回歸問題.LibSVM[16]是一種實(shí)現(xiàn)SVM的開源庫，可擴(kuò)展性好，應(yīng)用范圍廣.具體使用流程如圖4所示.

圖4 LibSVM的操作流程圖Fig.4 Operation flowchart of LibSVM

為更好地分析數(shù)據(jù)，引用了判定指標(biāo)，對于二分類問題，可將數(shù)據(jù)劃分為4類[17]，如表1所示.

表1 數(shù)據(jù)混淆矩陣Tab.1 Data confusion matrix

根據(jù)預(yù)測的標(biāo)簽與測試集的標(biāo)簽數(shù)N，計(jì)算各個(gè)判定指標(biāo)：

(5)

(6)

(7)

圖6 服務(wù)器數(shù)據(jù)傳輸格式Fig.6 Transmission format of server data表2 實(shí)驗(yàn)設(shè)備及其IP地址Tab.2 Experimental equipment and its IP address設(shè)備名稱IP地址服務(wù)器192.168.0.100客戶端192.168.0.101入侵者192.168.0.102圖7 MITM攻擊獲取的部分狀態(tài)信息和控制量信息Fig.7 Part of state information and control information obtained by MITM attack

3 實(shí)驗(yàn)評估

3.1 網(wǎng)絡(luò)入侵和數(shù)據(jù)篡改

圖5所示為本文搭建的網(wǎng)絡(luò)化倒立擺攻擊系統(tǒng).攻擊者在Linux系統(tǒng)中使用Ettercap實(shí)施MITM攻擊入侵系統(tǒng)傳輸網(wǎng)絡(luò)，以偏差攻擊的方式篡改服務(wù)器上傳的位置信息.

圖5 網(wǎng)絡(luò)化倒立擺攻擊平臺Fig.5 Attack platform of networked inverted pendulum

服務(wù)器以字符串形式上傳數(shù)據(jù)，格式如圖6所示，長度共有41位，前32位分別存儲了倒立擺系統(tǒng)的4種狀態(tài)信息；之后8位為數(shù)據(jù)包的記次位，記錄數(shù)據(jù)包的傳輸次數(shù)；最后1位為幀尾，用于判斷是否為需要篡改的數(shù)據(jù).

實(shí)驗(yàn)局域網(wǎng)中各設(shè)備的IP地址如表2所示.

通過監(jiān)聽兩端的通信，獲取系統(tǒng)輸入輸出數(shù)據(jù).實(shí)驗(yàn)中系統(tǒng)采樣周期較短，為避免網(wǎng)絡(luò)阻塞，選擇“oneway”模式，單向截取數(shù)據(jù)，圖7所示為Ettercap監(jiān)聽客戶端和服務(wù)器端的部分?jǐn)?shù)據(jù).

根據(jù)系統(tǒng)傳輸?shù)妮斎胼敵?，利用最小二乘辨識方法，得到的增益矩陣為

K′=

[-5.050 3-5.824 8 35.250 1 6.275 0]

(8)

與式(3)中通過愛克曼控制方法得出的K很近似.

為維持倒立擺系統(tǒng)的穩(wěn)定性，所注入的位置偏差不能過大，此處λ的取值為0.05.

攻擊后倒立擺部分?jǐn)?shù)據(jù)曲線如圖8和9所示，攻擊對象為倒立擺的位置信息，攻擊從t=12 s開始，直至實(shí)驗(yàn)結(jié)束.

相較于圖2，圖8中顯示系統(tǒng)受攻擊后，位置信息發(fā)生了較大的改變.服務(wù)器采集倒立擺系統(tǒng)的當(dāng)前狀態(tài)信息，系統(tǒng)實(shí)際的穩(wěn)定位置由初始位置的0，轉(zhuǎn)移到 -0.05 m附近.

客戶端接收的是偏差攻擊后的數(shù)據(jù)，由圖8和9可知，客戶端和服務(wù)器的數(shù)據(jù)只有位置信息不同，圖9中位置信息在12 s處發(fā)生了改變，但是逐漸回到了0的初始穩(wěn)定處.

圖8 攻擊后服務(wù)器采集的數(shù)據(jù)Fig.8 Data collected by the server after attack

圖9 攻擊后客戶端接收的數(shù)據(jù)Fig.9 Data received by the client after the attack

由此可知，偏差攻擊達(dá)到了預(yù)期的效果，實(shí)際的系統(tǒng)狀態(tài)已經(jīng)發(fā)生了改變，但是從客戶端中只能看到系統(tǒng)受到了干擾，隨后又逐步穩(wěn)定在初始狀態(tài)，說明攻擊具有一定的隱蔽性.

3.2 SVM仿真實(shí)驗(yàn)

由于倒立擺系統(tǒng)是快變的系統(tǒng)，當(dāng)受到攻擊時(shí)，便會(huì)影響后續(xù)的狀態(tài)，本部分是為了驗(yàn)證SVM方法能否快速檢測出系統(tǒng)受到的攻擊.

采集網(wǎng)絡(luò)化倒立擺系統(tǒng)正常狀態(tài)下運(yùn)行的特征數(shù)據(jù)，特征數(shù)據(jù)包括小車的位移和速度，擺桿的角度和角速度，采用式(4)所述的偏差攻擊方式定義虛假數(shù)據(jù).訓(xùn)練集數(shù)據(jù)共有 16 000 組，真實(shí)和虛假數(shù)據(jù)各 8 000 組.以相同的方法獲取測試集數(shù)據(jù)，測試集總共有 4 000 組，真實(shí)數(shù)據(jù)和虛假數(shù)據(jù)各 2 000 組.

調(diào)用LibSVM庫，由于樣本的特征維度不高，樣本的個(gè)數(shù)適量，選擇徑向基核函數(shù)；交叉驗(yàn)證調(diào)整得到c=4，g=16.由于采集的特征數(shù)據(jù)普遍較小，所以實(shí)驗(yàn)中沒有對數(shù)據(jù)進(jìn)行歸一化處理.

通過對不同特征以偏差攻擊形式篡改，分類結(jié)果如表3所示，SVM方法的分類準(zhǔn)確率、準(zhǔn)確率和召回率都超過95%.

表3 更改不同特征數(shù)據(jù)的SVM分類情況Tab.3 SVM classification with different feature data

與常用的機(jī)器學(xué)習(xí)方法，如KNN、決策樹進(jìn)行比較，以位置的偏差攻擊為例，結(jié)果對比如表4所示，SVM效果最好，準(zhǔn)確率超過98%.

表4 SVM、KNN和決策樹方法的對比

KNN思想簡單，但是計(jì)算量大，需計(jì)算出每一個(gè)測試樣本與所有的訓(xùn)練集樣本的距離，找到距離最近的k個(gè)點(diǎn)，表決出類別，消耗時(shí)間長，并且當(dāng)樣本分布不均勻時(shí)，預(yù)測的準(zhǔn)確率較低，在實(shí)驗(yàn)中，KNN精確率雖高，但是召回率相對較低，多次測試，準(zhǔn)確率相差較大；決策樹計(jì)算簡單，但是容易發(fā)生過擬合現(xiàn)象，在實(shí)驗(yàn)中，分類效果較好；SVM通過核函數(shù)將線性不可分的樣本映射到更高維度的特征空間中，實(shí)現(xiàn)了線性可分，仿真實(shí)驗(yàn)中SVM方法展現(xiàn)出良好的分類能力，區(qū)分了虛假信息與正常信息.

3.3 平臺測試

為檢驗(yàn)SVM方法在實(shí)時(shí)條件下的分類能力，將訓(xùn)練的模型移植入網(wǎng)絡(luò)化倒立擺平臺的客戶端，對接收的每個(gè)數(shù)據(jù)包中的狀態(tài)信息進(jìn)行預(yù)測，若判定為虛假數(shù)據(jù)包，則發(fā)出警報(bào)，即顯示其記次項(xiàng)，以檢測分類的準(zhǔn)確性.

當(dāng)?shù)沽[處于穩(wěn)定狀態(tài)時(shí)開始檢測，選擇第400個(gè)數(shù)據(jù)包，即t=6 s時(shí)為檢測起始點(diǎn)；對位置信息的攻擊為每隔300個(gè)數(shù)據(jù)包進(jìn)行一次，注入的偏差值為0.05，并設(shè)定從第600個(gè)數(shù)據(jù)包，即t=9 s時(shí)開始發(fā)起攻擊.

SVM方法的實(shí)際檢測效果如表5所示.表中的數(shù)據(jù)包總量代表從檢測起始點(diǎn)至單組實(shí)驗(yàn)結(jié)束的數(shù)據(jù)包總個(gè)數(shù)；正常數(shù)據(jù)包及虛假數(shù)據(jù)包的準(zhǔn)確率，分別代表通過分析記次項(xiàng)得到的TP或FN數(shù)量占實(shí)際正常數(shù)據(jù)包或虛假數(shù)據(jù)包總數(shù)的比例；總準(zhǔn)確率為式(5)中的準(zhǔn)確率.由實(shí)驗(yàn)結(jié)果可看出，在平臺測試中，SVM方法的各項(xiàng)準(zhǔn)確率指標(biāo)基本能達(dá)到90%以上，說明了該方法具有較好的檢測能力.

表5 實(shí)際平臺的SVM方法檢測效果Tab.5 SVM method detection results of actual platforms

4 結(jié)語

本文首先對網(wǎng)絡(luò)化倒立擺系統(tǒng)進(jìn)行了網(wǎng)絡(luò)入侵，并篡改了傳輸?shù)臓顟B(tài)信息，使得原有的狀態(tài)發(fā)生了改變；其次，在仿真中，使用LibSVM軟件包，利用SVM方法對注入虛假信息后的數(shù)據(jù)進(jìn)行了檢測判斷，分類效果良好，并通過與KNN、決策樹分類方法進(jìn)行比較，突出了SVM在二分類中的優(yōu)勢；最后，在實(shí)驗(yàn)平臺中驗(yàn)證了SVM方法的有效性.

下一步研究的方向?yàn)椋航⑼暾姆烙w系，當(dāng)檢測出系統(tǒng)受到攻擊，通過預(yù)測控制，計(jì)算出控制量，或者估計(jì)注入的攻擊偏差值，并加以補(bǔ)償，使系統(tǒng)穩(wěn)定在當(dāng)前狀態(tài)；攻擊者加入后，整個(gè)網(wǎng)絡(luò)通信時(shí)延加長，需延長系統(tǒng)的采樣時(shí)間，才能使倒立擺系統(tǒng)正常運(yùn)行，如何減少攻擊帶來的網(wǎng)絡(luò)時(shí)延是進(jìn)一步的改進(jìn)方向.