基于PetriNet的工業(yè)互聯(lián)網(wǎng)安全模型構(gòu)建方法研究

第第頁基于PetriNet的工業(yè)互聯(lián)網(wǎng)安全模型構(gòu)建方法研究隨著我國“（智能）制造”政策的推進(jìn)和企業(yè)數(shù)字化轉(zhuǎn)型的內(nèi)生需求，（工業(yè)）互聯(lián)網(wǎng)系統(tǒng)已經(jīng)在國家重大關(guān)鍵基礎(chǔ)實施建設(shè)中有良好的應(yīng)用。工業(yè)互聯(lián)網(wǎng)系統(tǒng)將計算和（通信）能力與物理系統(tǒng)交織在一起，用于監(jiān)視和（控制系統(tǒng)）功能和狀態(tài)，以實現(xiàn)數(shù)據(jù)的統(tǒng)一化和業(yè)務(wù)流程的高度自動化，最終實現(xiàn)降本增效的目的。

但是，互聯(lián)互通的情況下，各種（網(wǎng)絡(luò)）組件使得工業(yè)互聯(lián)網(wǎng)系統(tǒng)非常容易受到網(wǎng)絡(luò)威脅的攻擊，這些攻擊或是內(nèi)部產(chǎn)生的，或是由惡意外部實體、參與者發(fā)起的。在將系統(tǒng)要求轉(zhuǎn)化為設(shè)計、部署和維護(hù)網(wǎng)絡(luò)組件時（例如，操作員設(shè)備或關(guān)鍵系統(tǒng)組件上的軟件更新），或?qū)⑷魏瓮獠浚║SB）設(shè)備連接到工作站時，可能會在不知不覺中植入不同的漏洞，這可能被用作新的攻擊媒介。

使用這些攻擊向量，攻擊者可以在任何攻擊面（包括本地或遠(yuǎn)程的（傳感器）和（通信網(wǎng)絡(luò)））上安裝和執(zhí)行惡意有效負(fù)載，以攻擊和破壞高價值目標(biāo)?？刂浦行牡墓?jié)點通常不太容易受到影響，因為它們部署在物理受限的環(huán)境中以防止篡改。通過發(fā)起網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)級漏洞（不安全的通信通道、對企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問或節(jié)點欺騙）相對更容易被利用。

在系統(tǒng)中，網(wǎng)絡(luò)攻擊是違反安全目標(biāo)并阻礙預(yù)期系統(tǒng)功能的、故意使系統(tǒng)故障的誤用或濫用條件。這些可能是主動的或被動的，其中主動攻擊對于工業(yè)互聯(lián)網(wǎng)系統(tǒng)來說造成的危害更為嚴(yán)重。

由此可見，即使是安全關(guān)鍵型網(wǎng)絡(luò)物理系統(tǒng)也成為了重要目標(biāo)。在主要關(guān)注安全保證的此類系統(tǒng)中，安全建模通常沒有得到適當(dāng)?shù)年P(guān)注，增加了導(dǎo)致嚴(yán)重后果的重大損害的風(fēng)險。在這類復(fù)雜且資本密集的系統(tǒng)中，在需求分析和設(shè)計階段解決安全特性，能夠降低成本、減少工作量，而不是在系統(tǒng)開發(fā)取得實質(zhì)性進(jìn)展后考慮，此時變更設(shè)計成本更高。因此，最好在系統(tǒng)開發(fā)生命周期的早期階段識別和發(fā)現(xiàn)可能的漏洞，要在設(shè)計階段對預(yù)期系統(tǒng)進(jìn)行建模和分析，防止后續(xù)系統(tǒng)故障。

本文所提出的方法可以幫助工業(yè)互聯(lián)網(wǎng)服務(wù)商和應(yīng)用商了解PetriNet（對離散并行系統(tǒng)的數(shù)學(xué)表示）的安全建模方式，即在工業(yè)互聯(lián)網(wǎng)系統(tǒng)平臺中如何有效保證其構(gòu)建和應(yīng)用能力及其屬性的安全性。通過分析模型屬性并識別安全威脅及其影響，在建模級別過濾安全問題。

數(shù)學(xué)描述

2.1工業(yè)互聯(lián)網(wǎng)系統(tǒng)

工業(yè)互聯(lián)網(wǎng)系統(tǒng)實際可以描述為一個三元組｛S；C；A｝。其中，S是一組傳感器，C是一組控制器，A是一組執(zhí)行器。工業(yè)互聯(lián)網(wǎng)系統(tǒng)的動態(tài)行為的數(shù)學(xué)方程可以描述為

式中，a，b為常數(shù)；表示傳感器Sx的測量值，Smx(t)表示t時刻執(zhí)行器A的x點位傳感器的均值；Cx(t)表示控制器Cx在t時刻的測量值。

2.2隨機PetriNet網(wǎng)格模型

隨機PetriNet（StochasticPetriNet，SPN）是PetriNet的擴展形式。它是一種圖形和數(shù)學(xué)工具，可以對分布式、非確定性、并行和異步系統(tǒng)進(jìn)行建模。它表示具有兩組不相交節(jié)點的有向二分圖：位置節(jié)點P和過度節(jié)點T，建模為一個圓圈，表示狀態(tài)或條件。轉(zhuǎn)換節(jié)點，建模為條形，表示離散事件或函數(shù)。轉(zhuǎn)換與特定數(shù)量的輸入和輸出位置相連，以表達(dá)事件的前后條件。系統(tǒng)行為以可能的系統(tǒng)狀態(tài)（標(biāo)記）及其轉(zhuǎn)換的形式進(jìn)行描述，這些狀態(tài)以圖形表示為標(biāo)記，即非負(fù)數(shù)的點。每個轉(zhuǎn)換都與一個正的、指數(shù)分布的隨機變量相關(guān)聯(lián)，該變量表示從啟用到觸發(fā)該特定轉(zhuǎn)換的延遲。形式上，將位置等被定義為一個五元組。

式中，P表示位置集合；T表示轉(zhuǎn)換節(jié)點集合；A表示建模的模型弧度集合；M0表示初始標(biāo)識；γ表示與轉(zhuǎn)換相關(guān)的平均觸發(fā)延遲倒數(shù)的觸發(fā)率集合。

如果啟用了多個轉(zhuǎn)換，則延遲最短的轉(zhuǎn)換將在觸發(fā)中獲得優(yōu)先權(quán)?；維PN模型如圖1所示。由于觸發(fā)延遲指數(shù)分布的無記憶特性，SPN的可達(dá)性圖可以轉(zhuǎn)換為如圖2所示的有限馬爾可夫鏈，其λ0是觸發(fā)率與轉(zhuǎn)換節(jié)點之間的關(guān)聯(lián)系數(shù)。因此，SPN結(jié)合了PN和馬爾可夫過程的強大功能。這可能有助于計算系統(tǒng)的不同性能度量，以分析工業(yè)互聯(lián)網(wǎng)平臺在正常條件、攻擊和應(yīng)用緩解下的動態(tài)行為。

建模方法

本節(jié)簡要介紹了基于PetriNet的工業(yè)互聯(lián)網(wǎng)安全建模和分析的建議方法，該方法包括五個階段。

3.1需求分析

此階段確定工業(yè)互聯(lián)網(wǎng)的技術(shù)、功能、場景和非功能要求。識別系統(tǒng)組件及其交互以交付符合安全要求的預(yù)期功能是此階段的輸出。

組件（仿真）模塊為虛擬化設(shè)備的邏輯體現(xiàn)，支持真實或虛擬的主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和電力工控設(shè)備等多種類型組件組合配置，將可仿真的電力工控設(shè)備或軟件安裝到不同類型的（操作系統(tǒng)）上，從而實現(xiàn)不同設(shè)備功能的仿真，提供（PLC）、（DC）S、通信網(wǎng)絡(luò)、SCADA組態(tài)軟件、通信軟件及各種中間件資源，用于構(gòu)建或復(fù)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)環(huán)境中的資源節(jié)點。

3.2功能模型分析

此階段對系統(tǒng)組件之間的交互進(jìn)行建模，以使用SPN提供預(yù)期的功能?；赪eb開發(fā)的核心網(wǎng)絡(luò)場景構(gòu)建模塊，實現(xiàn)組件、場景的拖拽組網(wǎng)及虛擬化訪問交互。通過在Web界面選擇網(wǎng)絡(luò)拓?fù)浣M件，實現(xiàn)自由拖拽組網(wǎng)功能，待網(wǎng)絡(luò)環(huán)境組建完畢后，點擊一鍵生成環(huán)境，該系統(tǒng)自動將Web端的可視化拓?fù)鋱D轉(zhuǎn)化為可自動化配置的虛擬化網(wǎng)絡(luò)環(huán)境，實現(xiàn)對網(wǎng)絡(luò)拓?fù)鋱D中的虛擬機以及網(wǎng)絡(luò)的自動化配置，并在分鐘級內(nèi)完成整個環(huán)境的構(gòu)建工作。構(gòu)建完成后，整個拓?fù)鋱D需要利用組件監(jiān)控系統(tǒng)實時展示網(wǎng)絡(luò)流量狀態(tài)以及組件的實時狀態(tài)、異常狀態(tài)等。同時，基于該拓?fù)鋱D還可以直接點擊組件，進(jìn)入相應(yīng)的組件SSH、RDP界面或VNC界面。

場景構(gòu)建模塊主要由可視化拓?fù)渚庉嫯嫲寮昂笈_的電力業(yè)務(wù)處理邏輯構(gòu)成，拓?fù)洚嫲遑?fù)責(zé)與用戶交互，將用戶預(yù)想的網(wǎng)絡(luò)結(jié)構(gòu)通過JSON格式數(shù)據(jù)傳輸?shù)胶笈_，后臺經(jīng)過邏輯處理并存入數(shù)據(jù)庫。

3.3威脅模型生成

此階段識別傳感器網(wǎng)絡(luò)的漏洞并識別可以利用它們?nèi)肭趾推茐墓I(yè)互聯(lián)網(wǎng)的威脅類型。威脅建模構(gòu)建如圖3所示。

威脅建模通常從三個維度來建立模型：以資產(chǎn)為核心、以攻擊者為核心和以軟件系統(tǒng)為核心。結(jié)合數(shù)據(jù)流圖的基本元素，使用STRIDE方法作為威脅維度來對各基本元素進(jìn)行威脅分析，可以得出STRIDE方法威脅建模見下表。

3.4應(yīng)急處置模型生成

應(yīng)用安全緩解措施來報復(fù)或消除威脅的影響。

3.5安全驗證

模型的每次成功運行都可確保系統(tǒng)在沒有任何沖突和安全違規(guī)的情況下執(zhí)行。此階段根據(jù)不同的安全指標(biāo)定性和定量地評估模型行為。定性分析顯示威脅的影響是什么，定量分析顯示應(yīng)用緩解措施降低了攻擊概率的程度。

基于PetriNet的工業(yè)互聯(lián)網(wǎng)模型的電力領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺的應(yīng)用

基于PetriNet的工業(yè)互聯(lián)網(wǎng)安全模型的工業(yè)互聯(lián)網(wǎng)平臺在電力領(lǐng)域的應(yīng)用，主要由實訓(xùn)平臺、競賽系統(tǒng)、應(yīng)急演練、開發(fā)測試和測試驗證構(gòu)成，每個應(yīng)用系統(tǒng)有自己單獨的劇本任務(wù)系統(tǒng)，同時業(yè)務(wù)上依賴于場景構(gòu)建提供的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)場景。

實訓(xùn)平臺面向電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域的人員教學(xué)實踐需求，教育、培訓(xùn)理論與實踐結(jié)合，以實戰(zhàn)化電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全建設(shè)為目標(biāo)，為理論學(xué)習(xí)、測試、實戰(zhàn)訓(xùn)練和網(wǎng)絡(luò)新技術(shù)研發(fā)提供支撐。

競賽系統(tǒng)面向電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)構(gòu)建、選手競賽網(wǎng)絡(luò)設(shè)計、選手攻擊行為分析等提供解決方案，提供選手接入能力、網(wǎng)絡(luò)承載能力、環(huán)境仿真能力和數(shù)據(jù)分析能力。

應(yīng)急演練針對各類電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急事件發(fā)生及處理全過程的（模擬）演練，實現(xiàn)對應(yīng)急事件處理的多角度、全方位的演練和評估。通過配置仿真模型、用戶操作界面和部署仿真場景，可快速構(gòu)建面向各類應(yīng)急預(yù)案的模擬演練系統(tǒng)，在突發(fā)事件事先預(yù)防、事發(fā)應(yīng)對、事中處置和善后恢復(fù)過程中，建立必要的應(yīng)對機制，保障電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全。

開發(fā)測試為電力監(jiān)控系統(tǒng)軟件開發(fā)提供云開發(fā)環(huán)境、使用場景和軟件測試環(huán)境等，真實復(fù)現(xiàn)（電力系統(tǒng)）的生產(chǎn)過程、流程工藝，在真實的網(wǎng)絡(luò)環(huán)境和仿真（硬件）環(huán)境中完成開發(fā)、匹配和測試等工作。

測試驗證為基于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全威脅情報、態(tài)勢感知、安全可視化、漏洞驗證和安全分析等研究方向提供虛擬化電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)沙箱環(huán)境，可接入安全測試工具、綜合實驗分析工具和漏洞測試腳本集等。形成電力特色的研究能力、攻防能力和漏洞挖掘能