黄庆祥,王 坚,万文承,徐 杰
(武汉供电设计院有限公司,湖北 武汉 430000)
近年来,计算机、网络、通信、大数据、物联网[1-2]等技术为配电自动化系统[3-5](distribution automation systems,DAS)的发展奠定了基础。然而,DAS建设规模及其应用需求的扩大增加了系统遭受网络和物理攻击的风险。
目前,国内外大量学者对DAS中的安全防护[6]进行了研究。确保DAS的安全已成为自动化行业的关键挑战。为了降低损失,安全技术人员可以通过对攻击进行合理的定量评估,以及对DAS中每个部分的攻击概率进行评估,以提前采取防御措施。同时,这些攻击量化结果也可以为安全技术人员实施DAS防御系统提供重要参考。文献[7]提出一种融合可信计算和数字证书技术的配电终端安全防护方法,有效降低了恶意入侵以及业务交互数据被非法截获、篡改的风险。文献[8]根据配电网主站的集中式调控功能,深入分析通信异常对系统故障处理过程的影响,构建了考虑信息传输失效的系统可靠性评估模型。文献[9]研究了一种新的配电自动化故障智能检测方法,依据零序电压和电流夹角等因素来确定配电自动化系统的故障发生位置。然而,大部分评估方法没有对攻击者在攻击概率量化方面进行研究。此外,大部分防护措施主要基于网络攻击,很少有研究涉及物理攻击。同时,部分方法缺乏完整的攻击过程识别方法,分析攻击路径的能力不足。
为了解决上述问题,本文提出了一种从攻击者行为的角度量化对DAS的攻击的模型。同时,本文结合攻击树(attack trees,AT)模型中节点攻击概率量化算法计算攻击概率,以提高对DAS攻击的预测准确率。
DAS具有终端数量多、架构复杂度高、灵活性差等特点[10]。根据DAS的功能特点和安全防护要求,系统对网络攻击和物理攻击进行严格防护。本文所提DAS安全体系结构如图1所示。
图1 DAS安全体系结构Fig.1 DAS security architecture
图1所示的DAS安全体系结构包含四个主要部分,分别为生产控制区、管理信息区、安全接入区和配电终端。
生产控制区直接管理配电自动化系统的主站,并控制整个配电网的自动配电调度。该区域是DAS配送计划和生产服务的核心,主要包括主站服务器、主站监控计算站、主站传输单元控制器以及其他易受网络钓鱼、分布式拒绝服务攻击和物理攻击的设备[11]。
管理信息区的通信方式主要基于公网通信。该区域通过隔离装置连接到生产控制区域,从而实现大量数据存储,因此对Web数据安全性要求比较高。
安全接入区包括无线网络、采集服务器集群,以及传输命令和收集终端数据的前端设备等,为DAS实现智能配电和优化操作提供支持。作为连接配送网络核心和终端信息交换的纽带,该区域面临诸多安全风险,如攻击者可以利用终端作为跳板,通过无线网络执行入侵或攻击。
配电终端主要通过光纤与主站远程通信。该部分设备距离配电核心设备很远,是DAS中的最小功能单元,主要为配电自动化系统供电。因此,该区域也是系统最容易受到攻击的地方。
为了应对DAS安全体系结构中可能发生的各种安全攻击,本节提出了一种基于AT的DAS攻击概率量化模型。AT的每个叶节点代表对DAS安全体系结构的某个组件的攻击。AT中每条攻击路径的最大概率将基于通用漏洞评分系统(common vulnerability scoring system,CVSS)进行评估。
一般情况下,AT结构中根节点代表攻击的目标。基本AT模型如图2所示。
图2 基本AT模型Fig.2 Basic AT model
节点代表实施攻击的手段。节点之间的关系包含以下三种情况。
①逻辑或(Or):当两个节点E1和E2中的任意一个满足攻击条件时,即可以到达攻击目标。
②逻辑和(And):当节点E1和E2同时满足攻击条件时,才可以到达攻击目标。
③偏序(Order):节点E1和E2满足攻击条件,且节点E1先于E2,才可以到达攻击目标。
基于AT模型的DAS主要执行过程如图3所示。当AT建立时,首先对所有节点进行量化;然后,计算系统所有路径中成功攻击的概率;最后,通过计算得到攻击路径序列,且攻击概率最大的路径为最优攻击路径。
图3 基于AT模型的DAS主要执行过程Fig.3 Main execution process of DAS based on AT model
一般情况下,CVSS使用0~10的数值来量化系统漏洞严重程度,并且可以制定严格的攻击指标,包括攻击向量(attack vector,AV)、攻击复杂性(attack complexity,AC)、认证、可用性、完整性和机密性索引。CVSS由三个基本分数指标组成:基本分数、时间分数和环境分数。其中,基本分数包括可利用性指标和影响指标,代表脆弱性本身的固有特征以及这些特征可能产生的影响。表1所示为CVSS基本分数的部分相关变量。评分情况可以确定漏洞所代表的攻击概率。
表1 CVSS基本分数的部分相关变量
为了量化整个DAS的攻击概率,首先必须确定DAS中每个关键模块(叶节点)的攻击概率;其次,需要遍历AT中的所有潜在攻击路径,从而计算每条路径的概率,并确定最可能的攻击路径。基于CVSS特性,令叶节点的漏洞攻击概率为Pa,则Pa计算式为:
(1)
式中:sb、st和se分别为基本分数、时间分数和环境分数。
需注意,sb是一个强制性选项,但st和se的指标分数是可选的。n表示时间分数和环境分数的数量。此外,基本得分包括可利用性子得分ses和影响子得分sis。
此外,ses与AV、AC、权限需求(privileges required,PR)、用户交互(user interaction,UI)之间的关系可表示为:
ses=AV×AC×PR×UI
(2)
式中:AV为AV;AC为AC;PR为PR;UI为UI。
在计算单个节点的攻击概率后,计算父节点成功攻击概率的计算式基于And和Or这两个节点。具体可分为以下两种情况。
①对于And或Order节点,当前父节点G的攻击概率可定义为子节点攻击概率的乘积:
(3)
②对于Or节点,父节点G的攻击概率可定义为子节点的最大攻击概率:
Pa(G)=max[Pa(G1),Pa(G2),…,Pa(Gn)]
(4)
进一步,从叶节点到根节点的遍历表示DAS中可能存在的攻击路径。基于And和Or节点的攻击概率的计算,令攻击特定路径Sj={Gi|i=1,2,…,n}的目标节点为G,则成功攻击的概率可计算为:
(5)
当Pa(Sj)较高时,成功攻击的概率和系统的风险因素也较高。因此,整个系统的最大攻击概率可以表示为:
Pa(S)=max[Pa(S1),Pa(S2),…,Pa(Sj)]
(6)
为了验证攻击概率量化算法的可行性和有效性,本节通过量化算法建立攻击者模型。模型主要功能基于MATLAB2019A建立。其中,AT模型主要基于C++编写,可根据接口完成调用。此外,为消除随机误差带来的干扰,本研究共进行50次试验,并选取每组试验平均值作为最终测试结果。
为简化试验过程,首先对攻击者的能力、状态和DAS相关信息进行设定。令攻击者可以从系统内外的任何地方发起攻击。基于攻击者可能的最大攻击行为,本研究采用以下假设。
①攻击者了解DAS并掌握最新的DAS漏洞信息。
②攻击者可以利用社会工程学(social engineering,SE),通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,以有效地进行攻击。
③攻击者在攻击之前获得最小预期攻击收益。
④有效攻击通常包括多个子攻击。
根据攻击者的行为以及实际系统各个组件的所有漏洞和可能的攻击状态,基于AT模型的攻击路径如图4所示。
图4 基于AT模型的攻击路径图Fig.4 Attack path graph based on AT model
树中的每个叶节点代表对DAS安全体系结构的某个组件的攻击行为。当计算叶节点攻击概率后,模型可从叶节点遍历到根节点生成完整的攻击路径,同时根节点表示攻击已到达G。根据攻击类型的不同,DAS的入侵可分为通过分布式终端和信息管理区域的网络攻击(G1)和通过生产控制区域的物理设备的攻击(G2)。当G1和G2上发生任何攻击时,系统被有效攻击并遭受损失。
AT模型中节点的定义如表2所示。
表2 AT模型中节点的定义
试验中涉及的漏洞编号主要基于每个叶节点{Ei|i=1,2,…,11}的攻击特征和DAS漏洞评估建立。同时,系统组件漏洞不是当前DAS中可完全利用的漏洞,而是同一类型的不同供应商组件的漏洞。表3所示为DAS组件以及攻击概率统计结果。通过表3可知,节点E7攻击概率最高,而节点E6攻击概率最低。
表3 DAS组件以及攻击概率统计结果
在叶节点攻击概率的基础上,试验可以通过组合方式计算每个攻击路径的概率。表4所示为攻击路径概率统计结果。通过表4可以看出,攻击概率超过50%以上的路径有两个:其一为S2(E1,E3,G1,G),攻击概率为54.97%;其二为S4(E1,E5,G1,G),攻击概率为59.58%。
表4 攻击路径概率统计结果
本节将本文所提攻击概率量化模型与Bayes模型进行比较。Bayes模型[12]是一种经典的机器学习模型,可用来描述两个条件概率的直接关系。表5所示为不同方法对比结果。
表5 不同方法对比结果
由表5可知,在评估路径S2和S4时,本文模型比Bayes方法获得更高的攻击概率。在图1所示的DAS安全体系结构中,路径S2和S4上的攻击概率最高。本文所提模型和Bayes模型两种方法得到的攻击序列的概率结果略有不同,但S2和S4都是风险概率最高的攻击路径。这也验证了本文模型的可靠性和有效性。另一方面,在S2和S4条件下,本文模型概率高于Bayes方法概率4.02%~6.11%。仿真结果表明,本文模型攻击概率高于Bayes方法。试验结果有助于安全从业者更加重视DAS危险组件的保护。综上,攻击者最有效的攻击序列为S2和S4,相应的攻击方法为分布式拒绝服务攻击和网站入侵。因此,DAS安全从业人员应该花更多时间专注于防御这些相关的攻击和系统漏洞。
本文对配电终端及配电自动化中可能存在的隐私安全问题进行了研究与分析,提出了基于AT模型的DAS攻击量化算法,从而确定DAS危险组件。首先必须确定DAS中每个叶节点的攻击概率。其次,遍历AT中的所有潜在攻击路径,从而计算每条路径的攻击概率,并确定最可能的攻击路径。本文模型可为DAS安全从业人员专注于防御相关的攻击和系统漏洞提供一定借鉴。