一种关于无人机对网络安全影响分析方法的研究

李维峰

中国飞行试验研究院

本文概述了一套方法，从“蓝队”和“红队”的角度出发，对无人机构成的网络安全威胁进行了枚举和分类。首先，我们将STRIDE威胁模型分类法作为我们对威胁进行分类方法的一部分。其次，我们介绍了网络安全杀伤链，作为将“红队”进攻性视角纳入威胁分析的一种手段。最后，我们还介绍了一种新颖的模板，用于展示特定场景中的网络安全状况，集成攻击面和攻击向量，从而对该场景中的网络漏洞和攻击路径进行对应性的展示。本文研究的方法可以帮助决策者了解无人机相关的网络安全威胁，方便对这些威胁进行深入的调查并采取防御手段。

防范网络安全攻击的第一步，是了解可能的威胁范围。如果“蓝队”想要领先于对手，就必须要具有创造力并能够积极主动的了解对手。想要对未知风险进行分类，首先需要认真审视现有技术及新兴技术带来的威胁。我们尝试使用已有的威胁分析框架，通过集思广益的方法来填充此框架，以帮助我们对可能的新威胁进行分类。

有一个这样的框架，是Adam Shostack的用于威胁建模的STRIDE分类法，该框架概述了可以对安全威胁进行分类的六个领域（如图1所示）。STRIDE的替代方案（例如Gunnar Peterson的DESIST框架）为威胁枚举提供了其他分类法。尽管STRIDE分类法最初是为软件开发而设计的，但其涵盖的六个领域对于列举与网络安全和无人机相关的威胁也很有用。

图1 STRIDE分类法。

框架中的S代表“欺骗”，它涵盖了一系列违反身份验证协议的威胁，使攻击者可以假装是其不是的某物或某人。在以无人机为目标的相关网络安全的情况下，欺骗可能包括声称自己是无人机数据的授权接收方。

框架中的T代表“篡改”，它涉及通过对系统进行某种修改，来破坏受攻击系统的完整性。在无人机相关的网络安全中，无人机被用作网络武器，如果使用无人机通过近距离访问不安全的无线网络，将恶意软件传送到目标计算机，则可能会造成篡改。此类恶意软件可能会感染诸如工厂或发电厂设备之类的高价值机器，或攻击诸如水系统和电网之类的高影响力目标。

框架中的R代表“拒绝”，攻击者拒绝对某行为负责。此威胁与无人机相关的网络安全领域关系最小。一个可能示例是内部滥用系统控件。例如，一架无人机的运营商在面对指责——由于通讯网络设计缺陷而引起的无人机失控，可能声称他们并非有意造成坠机。在无人机是网络武器的情况下，另一个示例可能是通过干扰与损坏松散相关的通信节点来使攻击者的身份与后果保持距离。这可能还包括攻击临近的网络以修改管理目标计算机日志的计算机系统。

框架中的I指的是信息“披露”，涉及违反保密原则。在信息泄露攻击中，代理将信息发布给没有适当凭据的人。信息泄露威胁可能包括渗透到UAS传感器数据系统以访问视频、音频或其他数据。代理也可以披露信息，然后使用抵赖来否认对此行为的责任。

框架中的D代表“拒绝服务”，是指拒绝被攻击系统正常运行所需的资源的可用性。拒绝服务的一个例子是以无人机为目标，并且可能涉及感染无人机控制软件以使设备对用户的输入无响应。

最后一个字母E表示“提升特权”，这涉及违反执行不允许执行的操作的授权原则。特权授权的一个示例是当无人机成为目标时，它可能涉及冒充合法控制者来劫持无人机。当无人机用作网络武器时，它们可以被用于传递数据，代码或其他信号，以破坏或改变受攻击系统的行为。

在应用了上述部分或全部方法之后，分析人员可以在制定网络安全决策时将要考虑的一组威胁场景填充到STRIDE框架（或类似的框架）中。这种防御性的“蓝队”方法确定了对手可能利用的攻击面，并开始确定可能需要关闭或缓解的潜在漏洞，以增强无人机相关系统的网络安全性。

在场景中发现威胁：网络安全杀伤链

在给定的攻击场景下，如何发现无人机易受攻击的方法有很多。如果决策者从对手的角度出发（即“红队”），可能有助于确定“蓝队” STRIDE框架方法未发现的威胁。网络安全杀伤链就是这种从“红队”视角考虑的方法，使用户能够确定特定系统何时以及如何在方案中易受攻击。这样可以设计出针对特定威胁的明智防御措施。

这种方法可以确定长距离通信链中的薄弱环节。例如，由于员工家中的无线信号带来的不安全因素，是无法通过进一步加强中央数据库安全性来弥补的。网络安全杀伤链确定了网络攻击的七个阶段：侦察、武器化、传递、利用、安装、控制以及行动。图2中描绘的链条表示一个序列，其中每个阶段代表对手采取的行动。

图2 网络安全杀伤链。

至关重要的是，每个阶段都为攻击检测提供了机会。由于各阶段是相继进行的，因此早期检测可减少破坏性的后果并降低修复成本。由于适当的防御行动取决于给定行动在链中的位置，因此指定无人机在网络安全杀伤链中的位置将有助于采取有效的安全措施。

在许多涉及无人机攻击的情况中，启动网络安全杀伤链的目的是对无人机本身采取行动。此类攻击试图获得对无人机或其子系统的控制权，以捕获或更改其数据，改变其航向或破坏设备。在此类攻击中，无人机在网络安全杀伤链的每个环节中都发挥着作用。我们称这种支持无人机的网络攻击的变体为“以无人机作为目标”。

在其他启用无人机的攻击中，攻击者会利用无人机的独特特性来攻击其他（非无人机）目标。在这种情况下，无人机会在网络安全杀伤链的某个环节中被使用，以对某些其他目标采取行动，或者在最终环节中使用，以促进行动。此类攻击可能直接利用无人机上存在的安全漏洞，我们将此类攻击称为“以无人机作为媒介”。“以无人机作为目标”与“以无人机作为媒介”的区别在于，不同的攻击类型与不同的防御态势相关联。

可视化威胁：无人机网络安全图模板

同时使用“蓝队”和“红队”的视角来枚举可能的漏洞，可以揭示复杂而令人生畏的威胁范围。在本节中，我们介绍一种新颖的无人机网络安全图模板，旨在以一种易于理解的方式描绘威胁范围。

通过应用图表模版提供可视化的方式来展示系统可能受到攻击的位置（攻击面）以及攻击到达系统的方式（攻击向量），这有助于弄清楚黑客在何处以及何以构成威胁。该模板分别捕获攻击面和攻击向量，从而得到两个互补的插图。在下一节中，我们将该模板应用于多个小场景，并提供其应用的具体示例。

攻击面示例

攻击面插图模板包括三个核心节点，这些节点定义了通信边界，如图3所示。这些节点是操控员、无人机本身以及无人机环境，这意味着操控员与无人机之间以及无人机与环境之间存在通信通道。当无人机应用程序涉及视线之外的操作时，可以通过为人类环境创建节点来捕获更多细节。

图3 攻击面的三个核心节点。

操控员与无人机之间的通信通道负责无人机的操作和控制。该系统中的第一个链接是人，可以将其视为无人机的主要操控员，但是人类对无人机的命令传输可以通过各种计算设备（例如：用于飞行命令的基于云的服务器、物理控制器、手机、笔记本电脑、平板电脑），所有这些都可以在图像模板中突出显示，以指出潜在的攻击面。

无人机与其操作环境之间的通信通道较少集中在无人机控制所需的通信上，而更多地集中在从操作环境收集的信息上。无人机收集的感官信息可能涉及多种来源，例如GPS信号，高度信息以及视觉或其他传感器数据。可以用这些节点注释模板。

攻击向量示例

结合攻击面插图模板，我们提供了另一个模板，用于说明可用于网络攻击的向量，如图4所示。攻击向量图示回答了以下关于图示攻击的5个问题：

图4 攻击向量。

1）漏洞是什么（网络武器）？

2）如何到达那（攻击向量）？

3）从哪进入（系统进入点或攻击面）？

4）什么失败了（安全漏洞或缓解措施）？

5）发生了什么（后果）？

为了能够直观地描绘整个无人机和网络安全威胁范围中的攻击向量，攻击向量模板旨在隔离与前面网络攻击的三个关键阶段相对应的网络安全杀伤链的三个连续部分（请参见图3）。整合上面针对攻击面和攻击向量开发的可视化模板，我们可以使用“分屏”方法来提供与无人机相关的网络攻击的完整可视化表示，如图5所示。

图5 攻击面与攻击向量的可视化展示。

本节介绍的方法提供了一种枚举、评估和描述与无人机相关的网络安全威胁的方法。这些方法共同为识别威胁提供了盟友和对手的视角，同时也为了解将无人机作为攻击目标或利用无人机作为攻击媒介提供了直观的方法。在下一节中，我们将这些方法应用于特定的场景，以证明这些方法的有用性并提供对特定场景中网络威胁的理解。

无人机作为目标：远程劫持无人机

攻击描述

麻省理工学院（MIT）的4名研究人员花了一个月的时间来识别和利用无人机（DJI Phantom3 Standard）上的安全漏洞。研究人员使用网络映射工具从无人机的三个主要子系统（无人机、相机和控制器）中捕获传出的数据包。一旦确定了每个子系统，研究人员就可以利用设备较差的密码安全性来获得根访问权限。对无人机文件系统的根访问权限允许修改系统文件，从而使攻击者可以修改飞行路线或使设备崩溃。根据摄像机的访问权限，攻击者可以访问，删除或添加图像或视频。最后，研究人员在无人机的Android应用中发现了一个漏洞，攻击者可以利用该漏洞绕过联邦通信委员会（FCC）的禁飞区限制。

消除威胁

STRIDE框架可用于分类此案例说明的威胁类型。研究人员能够相对轻松地（特权提升）获得对所有主要无人机系统的root访问权限。根访问权限允许修改系统文件（篡改）。研究人员通过使用公开的默认密码（信息泄露），可以访问无人机的WiFi网络和文件系统。将网络安全杀伤链应用于攻击表明，可以通过阻止侦察阶段来阻止攻击。

大多数公共用途的无人机都通过创建了ad-hoc网络来将设备与其控制器链接起来。我们所讨论的攻击证明了这些网络对于网络映射和发现工具的应用仍然存在脆弱性（即它们易于被侦察）。图6是本例攻击面与攻击向量的可视化展示。

图6 远程劫持无人机威胁分析图。

无人机作为媒介：无人机注入的蠕虫

攻击描述

以色列和加拿大的四名大学研究人员在以色列Be’er Sheva的一栋办公楼中，使用DJI无人机注入蠕虫并控制了智能灯泡。该攻击利用了Zigbee通信协议中用于连接灯泡的安全漏洞。研究人员使用无人机到达足够接近灯泡的位置，并发出恢复出厂设置的命令。无人机的软件随后更新了设备的固件，控制了灯泡，并使它们在摩尔斯电码中闪烁“SOS”。

消除威胁

在STRIDE框架内，攻击构成了篡改案例，因为攻击注入了恶意代码，这些恶意代码修改了智能灯泡的软件，从而使研究人员可以对其进行远程控制。

再次，将网络安全杀伤链框架应用于攻击，揭示了在攻击中使用无人机的阶段。在这种情况下，无人机是在网络安全杀伤链的传递和控制阶段使用的。更普遍的是，在将无人机用作攻击向量的情况下，无人机进入了网络安全杀伤链，以利用无人机所提供的特殊优势（通常具有接近目标或创建和访问不安全网络的能力）。

尤其值得注意的是，通过Zigbee通信协议执行网络安全杀伤链的传递阶段。Zigbee协议是物联网（IoT）设备的通用通信协议。尽管所讨论的攻击仅是为了表明存在安全漏洞，因此是良性的，但该攻击方法可以用来断开设备连接或发起DDOS攻击。此外，通过使用Zigbee无线通信传播蠕虫，攻击可以避免与互联网通信相关的安全措施和流量监控。图7是本例攻击面与攻击向量的可视化展示。

图7 无人机注入蠕虫威胁分析图。

总结

本文主要针对与网络安全有关的无人机威胁进行分类，并提出了一种可帮助分析这些威胁的方法，其目标是为决策者制定缓解或防御策略提供帮助。

但是，本文所提出的分析方法没有解决为威胁的优先级进行排序的问题。在识别并了解了这些威胁类型之后，决策者仍将需要针对每种威胁了解攻击的可能性，这种攻击的后果以及为防止或利用这种攻击而存在的机会。

不过，作为保护自己免受无人机相关网络攻击或避免无人机成为攻击媒介的第一步，决策者可以通过本文中方法来了解攻击媒介与攻击面的合集。这是研究无人机对网络安全影响的必要步骤。