智能系统中的虚假数据注入攻击和内部威胁

  • 一、摘要
  • 二、介绍
  • 三、实验评估
    • (一)实验设置
    • (二)攻击实施
    • (三)攻击分析
    • (四)预防措施
  • 四、结论

一、摘要

工业控制系统(ICS)构成智能网络和智能城市系统的基础设施,由于时代的要求,已经向外部网络开放。ICS离开了其孤立的结构,这一过程中出现了更多的安全漏洞。

在这项研究中,虚假数据注入(FDI)攻击被用来改变可编程逻辑控制器(PLC)的存储器地址值,PLC是ICS的重要组成部分。

首先,本文研究了FDI攻击的可行性。此后,在受到攻击的情况下,对系统的影响被揭示出来。最后,提到了防止攻击的重要软件和硬件解决方案建议。

二、介绍

ICS是智能电网和智能城市基础设施中最关键的组件之一,ICS和基于ICS的基础架构的漏洞会影响整个系统。有几种攻击方法可以通过这些漏洞实现,但FDI攻击是最具破坏性的攻击之一。

因为通过FDI攻击,有可能以可控的方式改变数据并改变固件代码。当评估FDI攻击对系统的影响时,将需要很长的时间,特别是使系统恢复到目前的工作状态,并可能发生巨大的损害。此外,通过这种攻击,有可能以可控的方式操纵数据,从而获得数据。由于这个原因,通过揭示FDI攻击的程序来采取反措施是非常关键的。

在本研究中,利用ICS中使用的通信协议的漏洞,对SCADA基础设施进行了FDI攻击,该基础设施旨在代表智能城市和智能电网系统。虽然攻击期间安全措施(防火墙、IDS/IPS)处于活动状态,但系统中的用户耗电成本发生了变化,系统的完整性组件被破坏。

该研究的分析包括对SCADA的FDI攻击以及对该攻击的检测和预防。因此,利用Modbus协议的漏洞进行了FDI攻击,尽管ICS和SCADA系统有密码保护,但数据还是被物理操纵了。随后,在列举了预防这种攻击的建议后,提出了检测和预防模型(LiFi模型)。

三、实验评估

(一)实验设置

我们使用真实的系统结构来进行实验,如下图1所示。

图1 系统架构和攻击执行点

计划在大型系统上实施的攻击区域如图2所示。

图2 测试

(二)攻击实施

FDI攻击是由内部人员对施耐德M241 PLC进行的 作为测试环境中的控制器,根据下面列出的攻击程序进行了FDI攻击。攻击程序,并在WEB、PLC程序接口(Somachine)和SCADA接口(Vijeo Citect)中观察到了结果。

用户名和密码标识: 首先,为设备和接口定义用户名和密码,以防止读/写,从而防止通过PLC程序接口(Somachine)进行内部攻击。这样,不输入用户名和密码就可以在程序界面上进行的所有更改都对用户关闭。

确定控制器的IP地址:在此阶段,通过使用Nmap扫描端口502(Modbus通信端口)确定控制器的IP地址。

捕获特定于设备的信息:在确定PLC的IP地址后,关键信息(如设备的品牌、型号和序列号)被查获。

开源智能:由于找到了设备的品牌型号(Schnei-der M241),因此进行了开源智能以检测品牌型号的漏洞。通过研究,确定了人机界面、通信协议和web界面漏洞。

改变控制器(PLC)寄存器地址的攻击是根据图3所示的流程图进行的。

图3 对PLC设备执行的FDI攻击的分析步骤

(三)攻击分析

在FDI攻击中,通过改变内存地址,发票成本被提高到很高的水平,该地址被定义为PLC中%MW1448地址的全局变量,并为内部人士所知。在本研究中,可变全局内存地址是发票消费价格的第一个索引数据,由操作员手动输入。第一个索引值不是一个持续可覆盖的内存地址,它被减少,而消耗值被增加。通过这种方式,发票价格被提高了。
随着PLC内存地址值的变化,在SCADA、数据库和WEB上可以立即观察到这种变化。考虑到攻击后获得的结果,利用Modbus协议的漏洞对从能量分析仪实时发送到PLC-SCADA系统的网络数据进行了操作。这样,不仅改变了发票消耗成本,而且改变了提供潮流控制的所有线圈,并控制了整个系统。

(四)预防措施

ICS和SCADA系统的IDS/IPS仍存在一些局限性:
•缺乏众所周知的威胁模型,
•假警报或假阴性的概率很高,
•为ICS环境定制的IDS系统的开发尚未被证明适用于实际系统,
•在ICS中分析实时系统上使用的入侵检测和预防软件的能力可能会干扰系统的连续性/可用性,

因此,可以在设计阶段采取一些预防措施,防止对系统的此类攻击:
•在系统设计中连续写入内存地址(使用强制寄存器和线圈),
•通过激活SCADA-PLC设计中的日志系统共享系统日志数据,并向安全管理器报告,
•分离外部和内部网络,隐藏内部网络,
•不将ICS网络直接连接到Internet并规划网络分段,
•运行NAT/NPAT(网络地址转换和网络端口地址转换),
•对系统的硬件软件设计信息和ICS软件中的内存映射保密,
•在系统主机或网络中使用入侵检测系统,
•持续监控ICS网络,尤其是关键网络,
•在系统中使用可管理的智能网络交换机,以维持带宽和数据优先级,
•用于检测系统所有设备(服务器、PLC、RTU、MTU等)上的网络攻击的代理软件

同样,鉴于攻击者拥有关键信息(如ICS注册拓扑图)可以成功实施攻击,因此授权、验证和持续监控网络的重要性就显得尤为突出。图4是用于认证和授权的模型。只有经过物理检查的授权人员才能访问模型中ICS关键组件所在的管理中心。如果使用此模式,则只有授权人员才能访问。将采取预防措施防止内部攻击,因为可以更容易地控制拥有物理密钥的人员。

图4 LiFi在ICS安全中的应用

在这一点上,正确的网络分割对于所提出的模型的成功是非常重要的。如果未正确执行网络分段,则可能会发生渗入网络的可能性,并且通过向攻击者提供访问关键管理网络的权限,使用上述模型采取的措施将无效。

此外,安全软件和硬件的警报控制是最关键的因素,应正确进行连续监测。因此,针对通过干预网络(如FDI和MitM)对数据进行未经授权的访问和操纵,通过持续监控在关键数据(MAC、IP等)发生任何变化时生成警报至关重要。

除上述措施外,考虑到人为因素是网络安全中最薄弱的环节,且攻击是由内部人员实施的,应考虑“需要知道”和“最少知道”原则。

四、结论

这项研究表明,控制器(PLC)的寄存器地址很容易更改。事实证明,FDI攻击可以控制高压输电线路中的隔离开关和断路器,并造成非法的能量中断。在网络中断后,ICS存储器中读取的负载值以正常值显示,因此确定SCADA上的问题源可能需要很长时间。

根据FDI,确定攻击将被注入的位置是攻击的最重要信息。如果没有内部人员或其支持,攻击可能需要很长时间才能到达所需的地址,而且对于攻击者来说可能不再可行,因此这种情况会使攻击者改变目标。

访问ICS的关键组件和关键信息的机密性至关重要,根据“最少了解”原则,此类关键信息应仅由最少数量的授权人员知晓,且应仅保存在不向互联网开放的本地系统中。此外,应持续检查此类授权用户的工作状态,并在解雇和权力转移等情况下采取必要措施,取消不再授权人员的特权帐户。

因此,应从ICS组件的设计阶段考虑网络安全措施,这些组件在关键基础设施的管理中起着关键作用,并且应全天候进行持续监控。为此,考虑到业务连续性,这是工业控制系统最重要的功能,在不给现有系统带来额外负载的情况下,持续监控信息披露攻击。

Adepu, S., Mathur, A., 2018a. Distributed attack detection in a water treatment plant: method and case study. IEEE Trans. Depend. Secure Comput. doi: 10.1109/ TDSC.2018.2875008 .
Adepu, S., Mathur, A., 2018b. Assessing the effectiveness of attack detection at a hackfest on industrial control systems. IEEE Trans. Sustain. Comput. doi: 10.1109/ TSUSC.2018.2878597 .
Adepu, Sridhar , Kandasamy, Nandha Kumar , Mathur, Aditya , 2018. EPIC: an Electric
Power Testbed for Research and Training in Cyber Physical Systems Security. In:
Computer Security. Springer, Cham, pp. 37–52 .
Alves, T. , Morris, T. , 2018. OpenPLC: an IEC 61,131–3 compliant open source indus-
trial controller for cyber security research. Comput. Secur. 78, 364–379 .
Anwar, A . , Mahmood, A .N. , Tari, Z. , 2015. Identification of vulnerable node clusters
against false data injection attack in an AMI based smart grid. Inf. Syst. 53,
201–212 .
Bencsáth, B. , Pék, G. , Buttyán, L. , Félegyházi, M. , 201 1. Duqu: a Stuxnet-like malware
found in the wild. CrySyS Lab. Techn. Report 14, 1–60 .
Bunn, M. , Malin, M.B. , Roth, N. , Tobey, W.H. , 2016. Preventing Nuclear Terrorism:
Continuous Improvement Or Dangerous Decline? (Cambridge, Mass.: Project on
Managing the Atom. Belfer Center for Science and International Affairs, Harvard
Kennedy School .
Cintuglu, M.H. , Mohammed, O.A. , Akkaya, K. , Uluagac, A.S. , 2016. A survey on smart
grid cyber-physical system testbeds. IEEE Commun. Surv. Tutor. 19 (1), 446–464 .
Kim, S.J. , Cho, D.E. , Yeo, S.S. , 2014. Secure model against APT in m-connected SCADA
network. Int. J. Distrib. Sens. Netw. 10 (6), 594652 .
Kosut, O. , Jia, L. , Thomas, R.J. , Tong, L. , 201 1. Malicious data attacks on the smart
grid. IEEE Trans. Smart Grid 2 (4), 645–658 .
Lagner, R. , 2013. A Technical Analysis of What Stuxnet’s Creators Tried to Achieve
-To Kill a Centrifuge. The Langner Group, Arlington, Hamburg, Munich .
Lee, R.M. , Assante, M.J. , ve Conway, T. , 2016. Analysis of the Cyber Attack On the
Ukranian Power Grid. E-ISAC, Washington, DC, USA, pp. 1–29 .
Li, Y. , Wang, Y. , 2019. False data injection attacks with incomplete network topology
information in smart grid. IEEE Access 7, 3656–3664 .
Lin, C.T. , Wu, S.L. , Lee, M.L. , 2017. Cyber attack and defense on industry control
systems. In: 2017 IEEE Conference on Dependable and Secure Computing. IEEE,
pp. 524–526 .
Liu, X. , Zhu, P. , Zhang, Y. , Chen, K. , 2015. A collaborative intrusion detection mech-
anism against false data injection attack in advanced metering infrastructure.
IEEE Trans. Smart Grid 6 (5), 2435–2443 .
Miller, B. , Rowe, D.C. , 2012. A survey SCADA of and critical infrastructure incidents.
RIIT 12, 51–56 .
Myers, D. , Suriadi, S. , Radke, K. , Foo, E. , 2018. Anomaly detection for industrial con-
trol systems using process mining. Comput. Secur. 78, 103–125 .
Nardone, R. , Rodríguez, R.J. , Marrone, S. , 2 0 1 6 . Formal security assessment of Mod-
bus protocol. In: 2016 11 t h International Conference for Internet Technology and
Secured Transactions (ICITST). IEEE, pp. 142–147 .
Rahman, M.A. , Mohsenian-Rad, H. , 2012. False data injection attacks with incom-
plete information against smart power grids. In: 2012 IEEE Global Communica-
tions Conference (GLOBECOM). IEEE, pp. 3153–3158 .
Sindiren, E. , Ciylan, B. , 2019. Application model for privileged account access control
system in enterprise networks. Comput. Secur. 83, 52–67 .
Slay, J. , ve Miller, M. , 2008. Lessons Learned from the Maroochy Water Breach. In:
International Conference on Critical Infrastructure Protection (ICCIP), Hanover,
NH, United States, pp. 73–82 .
Stouffer, K.A. , Falco, J.A. , ve Scarfone, K.A. , 201 1. Guide to Industrial Control Systems
(ICS) Security-SP 800-82. National Institute of Standards and Technology (NIST),
pp. 1–155 .
Sun, Y. , Li, W.T. , Song, W. , Yuen, C. , 2015. False data injection attacks with local
topology information against linear state estimation. In: 2015 IEEE Innovative
Smart Grid Technologies-Asia (ISGT ASIA). IEEE, pp. 1–5 .
Thames, L. , Schaefer, D. , 2017. Cybersecurity For Industry 4.0. Springer, New York,
pp. 73–76 .
Urbina, D.I. , Giraldo, J.A. , Cardenas, A .A . , Tippenhauer, N.O. , Valente, J. , Faisal, M. ,
Sandberg, H. , 2016. Limiting the impact of stealthy attacks on industrial control
systems. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and
Communications Security, pp. 1092–1 105 .
Üstünsoy, F. , Sayan, H.H. , 2018. Sample laboratory work for energy management
with SCADA supported by PLC. J. Polytech. 21 (4), 1007–1014 .
Van der Knijff, R.M. , 2014. Control systems/SCADA forensics, what’s the difference?
Digi. Invest. 11 (3), 160–174 .
Van Vliet, P. , Kechadi, M.T. , Le-Khac, N.A. , 2015. Forensics in industrial control sys-
tem: a case study. In: Security of Industrial Control Systems and Cyber Physical
Systems. Springer, Cham, pp. 147–156 .
Wu, T. , Disso, J.F.P. , Jones, K. , Campos, A. , 2013. Towards a SCADA forensics architec-
ture. In: 1st International Symposium for ICS & SCADA Cyber Security Research
2013 (ICS-CSR 2013), 1, pp. 12–21 .
Yılmaz, E.N. , Gönen, S. , 2018. Attack detection/prevention system against cyber at-
tack in industrial control systems. Comput. Secur. 77, 94–105 .
Zanella, A. , Bui, N. , Castellani, A. , Vangelista, L. , Zorzi, M. , 2014. Internet of things
for smart cities. IEEE Inter. Thing. J. 1 (1), 22–32 .

False data injection attacks and the insider threat in smart systems相关推荐

  1. 弥合鸿沟:一种生成内部威胁数据的实用方法(Bridging the Gap: A Pragmatic Approach to Generating Insider Threat Data )

    Bridging the Gap: A Pragmatic Approach to Generating Insider Threat Data 弥合鸿沟:一种生成内部威胁数据的实用方法 摘要:恶意内 ...

  2. JDBC中的statement、executeQuery()、SQL injection attacks注入式攻击、preparedStatement

    JDBC:Java DataBase Connect,即Java数据库连接,我们可以用它来操作关系型数据库. Statement Statement是 Java 执行数据库操作的一个重要方法,用于在已 ...

  3. 【RS-Attack】Data Poisoning Attacks to Deep Learning Based Recommender Systems NDSS‘21

    Data Poisoning Attacks to Deep Learning Based Recommender Systems NDSS'21 首个在基于深度学习的推荐系统中进行投毒攻击的研究.文 ...

  4. 【RS-Attack】攻击MF:Data Poisoning Attacks on Factorization-Based Collaborative Filtering (NIPS‘16)

    Data Poisoning Attacks on Factorization-Based Collaborative Filtering NIPS'16 针对矩阵分解的投毒攻击.文章针对两个矩阵分解 ...

  5. Stronger Data Poisoning Attacks Break Data Sanitization Defenses

    Stronger Data Poisoning Attacks Break Data Sanitization Defenses 关于data sanitization的介绍 数据消毒?A data ...

  6. CMU-CERT内部威胁数据集 Insider Threat

    CMU-CERT内部威胁数据集 Insider Threat CMU-CERT简介 CMU-CERT版本 CMU-CERT r1版本内容 logon.csv内容 decive.csv内容 HTTP.c ...

  7. Integrating Static and Time-Series Data in Deep Recurrent Models for Oncology Early Warning Systems

    标题 :[CIKM 2021] Integrating Static and Time-Series Data in Deep Recurrent Models for Oncology Early ...

  8. Data Poisoning Attacks to Deep Learning Based Recommender Systems论文解读

    1 摘要 在这项工作中,作者对基于深度学习的推荐系统的数据中毒攻击进行了首次系统研究.攻击者的目标是操纵推荐系统,以便向许多用户推荐攻击者选择的目标项目.为了实现这一目标,作者将精心设计的评分注入到推 ...

  9. [阅读笔记1]Data Poisoning Attacks to Deep Learning BasedRecommender Systems

    个人总结:本文主要通过构造一个毒药模型--用于预测假用户的评分项目,从而构造m个假用户,将假用户注入到推荐系统中,达到影响推荐系统对普通用户的推荐项目(让一个项目能尽可能多的出现在普通用户的推荐列表中 ...

最新文章

  1. netbackup错误之can not connect on socket(25)
  2. systemd系统服务管理详解
  3. memset与malloc性能测试(转)
  4. [云炬创业基础笔记]第七章创业资源测试1
  5. Nginx模块学习之————accesskey权限模块使用(简单的m3u8防盗链)
  6. 利用福禄克DSX系列测试仪部署MPTL模块化插头端接链路
  7. eclipse lombok插件安装_你干啥的?Lombok
  8. APP可临摹分层模板素材|可改善您的登录设计
  9. 在Excel的单元格中,调用VBA函数
  10. (数据结构整理)NJUPT1054
  11. jQuery---仿芒果网机票预定智能输入提示.
  12. 学习OpenCV3:判断两条直线相交,并计算交点和夹角
  13. MLP,GCN,GAT,GraphSAGE, GAE, Pooling,DiffPool
  14. 史上超级详细:银行外包java面试题目
  15. 关于使用idea输入中文时,候选框不出现在光标附近的问题
  16. C++中的模板(template)
  17. python+vue+Elementui植物园网站的设计django
  18. 我的一点企业上云经验
  19. 2021年全球手机市场最大赢家除了苹果,还有OPPO系
  20. 计算机网络原理(谢希仁第八版)第三章课后习题答案

热门文章

  1. 大数据学习笔记之一:Hadoop 常用指令集合与启动注意项
  2. matlab声音处理
  3. js分享到微信朋友圈、QQ空间、QQ好友、新浪微博、腾讯微博、豆瓣、人人......
  4. GPS授时模块:UTC时间,GMT,GPS时,北斗时,北京时间及其关系
  5. 如何利用微信进行微信签到呢?
  6. HDU 6134 Battlestation Operational (mobius +前缀和)
  7. OLAP和OLTP的介绍
  8. 四书《孟子》《论语》《中庸》《大学》五经《风》《雅》《颂》全文
  9. [渝粤教育] 东北大学 现代科学运算—MATLAB语言与应用 参考 资料
  10. 遥感tif图像中如何忽略背景值为NAN或者-inf求均值和最值