22、利用有限过程知识识别工业控制系统的近最优单次攻击

利用有限过程知识识别工业控制系统的近最优单次攻击

1. 引言

在工业控制系统（ICS）的安全领域，自震网事件之后，对ICS攻击的研究愈发深入。如今人们逐渐意识到，ICS攻击的难点并非在于执行，而在于前期的准备工作。因为大多数工业协议缺乏消息加密和认证等安全服务，可编程逻辑控制器（PLC）多年不更新软件，人机界面（HMI）缺乏保护等，使得攻击的后期执行相对容易。然而，ICS系统的复杂性极高，包含数百个组件（如传感器、设定点、执行器等），确定攻击目标和方式绝非易事。

以往多数研究认为，成功攻击ICS需要详细的系统知识。但本文挑战了这一观点，考虑了一个仅具备有限过程知识的攻击者。该攻击者的目标是使用有限知识破坏物理过程，且攻击需满足两个条件：一是仅对一个组件进行单次攻击（单次攻击），以实现隐蔽且难以检测的攻击；二是攻击执行后需迅速产生效果（近最优），避免长时间影响导致被检测和防御。这里的“近最优”指在相同系统和攻击条件下，最快的前3种攻击。

之前的研究确定了攻击者准备成功攻击所需的数据来源，如PLC配置、HMI/工作站配置、历史记录配置、网络流量、系统/组件约束以及管道和仪表图（P&ID）等。多数研究认为，只有综合多种数据源，攻击者才能达到发起攻击所需的“过程理解”水平。

本文提出了一种新方法，仅需系统架构的有限知识，就能识别近最优单次攻击。该方法要求对系统中的信息流有抽象表示，即哪些传感器和设定点影响哪些控制决策，哪些执行器由哪些控制功能控制。通过从P&ID等获取这些信息，并将其表示为抽象图，再利用信息技术软件弱点知识，将Mitre的常见弱点枚举（CWE）数据库中的弱点转化为特定图模式，在ICS图中寻找这些模式以确定合适的攻击目标。

<