论文标题:Enabling Moving Target Defense for Real-Time CPS Security(实现实时CPS安全的动态目标防御)
作者信息:
- Rajarshi Mukherjee,弗吉尼亚理工大学,电气与计算机工程系,阿灵顿,弗吉尼亚州,美国,邮箱:rajarshim13@vt.edu
- Mohamed Azab,弗吉尼亚军事学院,计算机与信息科学系,莱克星顿,弗吉尼亚州,美国,邮箱:azabmm@vmi.edu, mazab@vt.edu
- Thidapat Chantem,弗吉尼亚理工大学,电气与计算机工程系,阿灵顿,弗吉尼亚州,美国,邮箱:tchantem@vt.edu
论文出处:2024年IEEE第15届普适计算、电子与移动通信会议(UEMCON)
主要内容:
摘要
物联网(IoT)现象迅速渗透现代社会,导致与多个IoT设备和网络的频繁互动。由于这些设备使用量的指数级增长,加上资源限制和过时固件等固有限制,这些设备容易受到各种威胁。大多数此类系统由于成本和资源限制以及普遍认为这些设备攻击风险低的观念,缺乏任何形式的加密。此外,IoT网络也存在于许多基于网络物理系统(CPS)的应用中,如水务处理设施,攻击者可以利用这些漏洞发动攻击,造成深远的后果。本文提出了一种动态目标防御(MTD)策略,通过定期更新系统参数来加强这些网络的防御。本文研究了一个攻击场景,攻击者旨在控制废水处理设施中的传感器,意图欺骗该设施的操作员。这种攻击可能会破坏处理过的废水的化学成分,对释放水的生态系统造成破坏。本文展示了攻击者如何通过ARP(地址解析协议)欺骗执行中间人攻击(MiTM),随后对传感器网络发起拒绝服务(DoS)攻击,破坏合法数据流。基于此攻击,提出了一种基于定期更新传感器的IP和MAC地址的MTD方法,目的是尽可能地向攻击者混淆网络。研究结果表明,这种方法显著提高了网络抵抗ARP欺骗的能力,并允许它从DoS攻击中优雅地恢复。此外,本文还实验性地展示了这些技术可能带来的开销,使系统设计者能够在不影响实时系统(RTS)的及时性的情况下,为所需资源做好准备。
引言
网络物理系统(CPS)是集成系统,其中计算元素和传感器的混合用于实时监控、记录和调节物理对象。多年来,这些系统已被部署以控制关键基础设施,其中一些最近被发现存在多个漏洞,例如监控控制和数据采集(SCADA)系统、智能电网和汽车。本文研究的是一个实时CPS(即具有时间限制的CPS),它使用在IoT网络中常用的传感器构建,这些传感器通过Wi-Fi通信,这在许多应用中很常见。之后,分析了这样一个系统面临的常见安全挑战,并采用了基于MTD的方法来帮助保护它。在这些系统中,安全性可以想象成一场持续的捉迷藏游戏,网络尽其所能隐藏其配置布局和图的真实细节,而攻击者总是在追逐不同的路径以获取更多细节。MTD被描述为一种增加系统“不确定性和不可预测性”的方法,从而在保持类似水平的实用性的同时提高其安全性。
目标威胁向量
本节检查了主要的威胁类型,并讨论了攻击者可能如何执行这些攻击以破坏网络的可靠通信能力。
-
ARP欺骗
在同一本地网络上的设备通过48位12位十六进制数字,即媒体访问控制(MAC)地址来区分彼此。这些地址可能被认为是特定于给定设备或计算机的,并且由设备制造商编码到硬件中。然而,存在多种工具和软件程序,允许个人更改其MAC地址为任何所需的地址,这一事实为欺骗已知设备的MAC地址并基本上在网络中取代目标设备提供了可能。另一方面,当设备希望在全球互联网上跨多个网络通信时,它们需要一个互联网协议(IP)地址来帮助启用通信。假设已知两台设备的IP地址,当尝试两者之间的通信时,需要一个辅助协议来解析哪个物理设备被分配了特定的网络地址。为此,地址解析协议(ARP)被用来帮助设备最终实现通信。 -
DoS攻击
拒绝服务攻击,顾名思义,试图通过不断的有针对性请求的冲击来压倒机器或网络节点的能力,阻止其提供常规服务。DoS攻击类似于攻城锤,它们的目的是完全压倒目标处理指向它们的流量的能力,从而降低整个系统的性能。资源有限的IoT系统为攻击者提供了一个诱人的目标,以发起DoS攻击。 -
系统规格
为了评估,使用了三个ESP 8266 NodeMCU设备,每个设备模拟网络中的一个传感器。每个NodeMCU都有一个Xtensa LX106微控制器,4MB的闪存内存,以及一个板载Wi-Fi模块。这些板的低成本特性,以及它们能够通过蓝牙和Wi-Fi通信的能力,使它们成为许多IoT应用的理想选择。在基于Linux的Raspberry Pi 4 Model B上部署了一个Mosquitto服务器,并设置了一个基于消息队列遥测传输(MQTT)的通信网络,以最好地模仿实际的IoT应用。MQTT是一个受欢迎的轻量级通信协议,适用于许多资源受限的应用。它采用发布者-订阅者模型,设备可以在主题或频道上通信。网络上的每个ESP8266设备都作为传感器,通过专用于该传感器读数的各个主题与Mosquitto代理通信。代理处理这些读数,并将它们传输到指定的目的地。选择这个测试平台来评估这些技术是基于希望展示在易于复制的设置上应用类似MTD方法的有效性。
威胁模型
在一个废水处理设施中,部署了各种IoT传感器来测量不同的质量指标,如pH水平、浊度和氯水平。这些传感器分布在多个水箱中,并通过MQTT协议将读数发送到中央控制系统。人机界面(HMI)屏幕显示这些读数,供操作员监控和控制设施。攻击者的目标是在不改变HMI屏幕上显示的值的情况下操纵pH水平读数。这可能会导致潜在的安全和合规问题。为了实现这一点,攻击者执行ARP欺骗的中间人攻击,然后发起DoS攻击以破坏合法的传感器数据流。可以假设攻击者对设施的网络有很好的了解,能够识别负责测量pH水平的传感器和MQTT代理的IP和MAC地址。攻击者执行ARP欺骗以拦截pH传感器和MQTT代理之间的流量,了解对话并捕获MQTT主题和数据流格式。攻击者记录实际传感器报告的正常pH水平,以便将来进行重放攻击。传感器与MQTT代理之间的通信使用传感器的MAC地址作为唯一的传感器标识符。通过发送恶意ARP响应,攻击者欺骗MQTT代理信任被妥协的节点。然后攻击者可以轻松地重放显示正常pH读数的旧捕获消息。假设设施对传感器数据没有任何加密,这在封闭、隔离且被认为物理安全的网络中是常见的情况。攻击者开始向MQTT流量中注入伪造的pH水平读数。这些伪造的读数旨在看起来正常,但与实际传感器数据略有不同。为了确保他们的伪造数据保持未被发现,并避免由于被妥协的传感器数据流读数与其他传感器的读数之间的差异而引起的怀疑,攻击者对实际传感器发起Ping Flood攻击(一种DoS攻击),阻止或延迟其流量。这导致合法的传感器数据被阻止或延迟,从而使攻击者能够将他们操纵的数据点上传到HMI屏幕。此时,pH浓度的物理操纵将不易被发现,攻击者可能会造成严重损害。由于废水处理设施的操作员依赖HMI屏幕监控pH水平,伪造的数据可能导致系统要么剂量不足,要么过量使用不同的化学品,导致潜在的安全风险,如消毒不足或化学品过量使用。操纵也可能引起监管合规问题,导致罚款或运营关闭。
动态目标防御框架
本节讨论了用于保护上一节讨论的威胁模型的技术。可以确定,网络必须针对两种主要场景进行加强。首先,它应该尝试隐藏网络的真实图,包括其设备和网络地址列表,不让攻击者看到。所提出的方法是混洗这些地址,使攻击者难以跟上不断变化的参数。其次,即使攻击者获得了合法和活动的网络参数值,并试图阻止实际传感器传输数据,讨论了一种从网络中移除攻击者并重新控制通信信道的方法。
系统评估
本节讨论并评估了实验结果。首先,讨论将重点放在MTD方法引入的网络开销上,与没有任何形式主动安全的简单系统相比。其次,讨论将围绕对系统进行攻击的观察结果,如威胁模型中所述,展示在这种情况下使用移动目标方法的好处。
未来工作
A. 认证
通过使用传输层安全(TLS)协议,可以使MQTT通信更加安全。这涉及到使用证书来验证所有客户端和服务器的真实性。由于MQTT是一个轻量级协议,TLS通过为通信提供一层加密,使其难以被任何恶意行为者破译网络上交换的消息内容。由于IoT应用的资源受限特性,通常为了性能而放弃加密,但未来的工作目标是展示如何包含加密并仍然保持时间限制。虽然加密本身可能不足以阻止决心的攻击者,但结合加密数据通道的MTD方法有望对大多数恶意行为者构成挑战。
B. 多因素决策算法
如前几节所观察到的,尽管系统有许多动态参数,但仍有几个关键项目,如地址混洗间隔、任何给定时间的白名单地址数量以及后台轮询任务的周期,这些在程序执行期间是恒定的。这项工作可以扩展,允许这些参数根据系统的情况动态更改。进一步的研究将利用现代基于学习的技术,能够在系统处于极度压力时标记关键情况。在这种情况下,系统将通过减少混洗间隔和增加后台轮询任务的频率,快速有效地获得对大多数攻击者的控制权。这将允许根据感知的威胁水平在操作模式之间切换,从而最合理地使用系统资源。
结论
本文试图强调开发实时网络物理系统的必要性,直接强调可能困扰它的安全需求。随着攻击者变得越来越聪明和装备越来越好,当务之急是采取主动设计思维。这项研究展示了如何使目标移动,使其更难被击中,即使在攻击者赶上防御技术的情况下,如何限制他们造成损害的能力。这种动态目标防御方法被证明对试图侵入网络的攻击者有用,结果可以轻松地在多种硬件和固件组合中复制,只需进行少量的系统特定更改。此外,这旨在为周围系统中可能存在的其他检查和平衡,甚至负责人的人类,提供时间来发现读数中的不规则性,并防止情况演变成更严重的问题。
- 混洗
在任何典型的IoT网络中,分配给网络上设备的MAC地址和IP地址是固定的,从而为恶意个人提供了一个非常方便的攻击面。这里的尝试是使任何网络看起来像一个移动目标,其中NodeMCU设备的MAC地址是程序生成的,并定期更新。新的MAC地址是随机生成的,并在每个选择的时间间隔后更新。每次分配新的MAC地址时,每个设备都会从网络路由器请求一个新的IP地址。图4显示了根据这种动态目标防御方法,一个传感器可以有多个MAC和IP地址分配给它。如图2所示,这种方法涉及传感器最初使用其原始制造商提供的MAC地址连接到MQTT网络。假设这种初始添加设备是在监督下进行的,操作员手动将这些MAC地址添加到白名单中,并允许设备开始在网络上通信。一旦网络建立了第一个连接,就会在预设的时间间隔后实施混洗技术,每个传感器随后在安全的MQTT主题上声明其新的随机MAC地址。假设攻击者在任何条件下都无法访问在此频道上传输的消息。实施了严格的服务器规则,只允许某些白名单上的MAC地址与服务器建立连接。然后服务器在接收到此广播后,将其新的MAC地址添加到其白名单中,并检查是否需要从其白名单中清除一些最旧的MAC地址。白名单上存储多少白名单地址的限制是动态的,可以根据应用程序和可能需要在网络上的设备总数来决定。这一举措确保了及时移除旧地址,以便任何攻击者即使设法获得了任何白名单MAC地址,也只有有限的时间在该地址的批准被撤销之前。随后,在广播其新地址值后,传感器终止现有的传输控制协议(TCP)连接,获得一个新的随机MAC地址,请求一个新的IP地址,并尝试重新连接MQTT。一旦其MAC地址与批准的地址列表匹配,设备再次被允许在网络上自由发布,直到启动另一个混洗。这种方法旨在使攻击者更难渗透网络,减少网络可以成功扫描的窗口,从而旨在减轻困扰IoT网络的一些常见问题。此外,还针对系统被积极入侵时出现的特定问题进行了一些修改,如下所示。
-
定期轮询现有连接:如果攻击者能够通过欺骗白名单MAC地址渗透网络,上述方法将无法终止现有的MQTT连接,因为在初始连接建立后没有进行检查。为此,服务器上使用了一个后台任务,可以安排定期运行。如图3所示,脚本首先检索连接到网络的所有活动MAC地址列表。然后,所有这些地址都与当前白名单进行验证,该白名单已由网络上的有效设备逐渐更新,每个不在白名单上的MAC地址的连接立即被标记为未经授权的设备,连接被终止。在标记的连接被终止后,更新防火墙规则,以确保合法传感器稍后仍能使用该MAC地址连接。因此,即使攻击者欺骗了一个合法的MAC地址并能够建立MQTT连接,他们也只能传输数据有限的时间,然后他们将被系统关闭,并且他们必须再次获得新的有效MAC地址。这种轮询方法的频率可以根据系统的需求、攻击者的性质和考虑的时间限制动态更改。
-
在传感器上维护白名单MAC地址的账本:现在,为了解决前面提到的第二个问题,即攻击者获得网络设备详细信息并选择使用ping洪水攻击阻止或延迟传感器报告其读数的场景。这种攻击将大大降低性能,甚至可能阻止受影响传感器到服务器的任何流量。这意味着,当传感器尝试混洗其MAC和IP地址时,它可能无法建立足够稳定的连接以在白名单主题上发布这些详细信息。为此,提出了一个非常简单的机制,每个传感器在内部维护一个它成功广播过的最后几个MAC地址的账本。假设在攻击时,传感器已经广播了一段时间,以便这些账本已经填充。随后在常规MQTT重新连接程序中添加了一个例程,如果传感器连续几次连接失败,如在它尚未能够传达其新MAC地址的情况下所预期的,传感器将尝试使用其账本中存储的旧MAC地址重新连接。存储多个地址是为了应对攻击者已经ping洪水攻击了其他可能仍与旧物理地址关联的IP地址的情况,或者在最旧的MAC地址已经从白名单中清除的情况。使用预先审查过的MAC地址,传感器现在可以重新连接,并在攻击者反应过来之前迅速启动另一个混洗。这确保了即使攻击者识别并阻止了传感器以前使用的几个物理和网络地址,网络也具有固有的能力从这种攻击中反弹,并尝试继续广播信息。
-
由于动态目标防御而产生的开销
在这个实验中,重点是量化动态目标防御对整体系统性能的影响,特别是关注这种动态混洗技术引入的总开销。在一个任务关键型RT应用程序中,模拟了传感器和执行器控制器服务器之间的消息交换。在这个场景中,假设系统有严格的截止日期,因为消息交换中的延迟可能导致执行延迟,可能导致重大问题或系统故障。实验通过在没有混洗的情况下反复在网络上传输一组固定的消息,然后逐渐引入防御方法,并记录产生的结果开销。在RTS的背景下,这些消息可以被视为具有固定周期和相对截止日期的周期性任务。为了使任务能够满足其截止日期,它需要在要求的时间内成功地通过MQTT传输到特定主题,并被服务器接收和处理。另外,任务被安排在前一个任务发布后释放,或者准备好执行。所有及时性计算都在服务器端进行,以避免时钟漂移问题,这将需要额外的同步。如果执行服务器在前一个消息之后的600毫秒内没有从传感器接收到新消息,它会丢弃该消息并记录一个截止日期失败。可以观察到,随着地址混洗间隔从30秒增加到70秒,网络开销从超过36000毫秒急剧下降到8900毫秒,截止日期失败的数量也从5下降到1。此外,观察到当系统不必处理任何传感器的主动攻击时(如本例),它能够可预测地在多次实验中保持稳定的开销,这使得系统设计者在保证系统行为和构建更符合潜在截止日期失败的系统时更有信心。为了展示通过变化其他系统参数观察到的开销的性质,可以参考图7,看看系统在任务周期或任务到达时间间隔变化时的行为。通过将周期从200毫秒增加到1000毫秒,并保持恒定的混洗间隔50秒,趋势与图5中观察到的行为相辅相成,可以解释如下。随着任务的到达时间间隔增加,保持任务数量不变,传输所有任务所需的总时间也增加。这导致在等待任务发布时遇到更多的混洗,因此开销更多。 -
对ARP欺骗和DoS攻击的响应
继续上述示例,在这个实验中,考虑了一个在时间关键型应用程序中通信的传感器和执行器。攻击者在尝试使用随机或过时的MAC地址连接失败后,最终找到了一个使用扫描到的MAC地址连接的机会,该地址仍然在白名单上。攻击者然后能够连接,并在网络上监听和发布伪造的消息。由于合法传感器尚未完全被阻止,它仍然能够在服务器上发布有效数据。然而,随着几次混洗尝试和后台轮询任务的激活,它迅速将攻击者从网络中断开,因为其MAC地址不再白名单上。在仅仅尝试欺骗MAC地址未能长期成功后,攻击者试图通过对他们扫描到的活跃IP地址执行DoS攻击来阻止传感器与执行器的通信。图6显示了在DoS攻击下,简单系统和MTD框架装备系统所施加的延迟或总开销。MTD框架可以在前几条消息中导致稍高的开销,这主要是由于在传感器成功返回到其内部账本中的MAC地址之前,进行了多次重新连接尝试。这些变化以及其IP地址的变化有助于抵御阻止通信的尝试。可以清楚地观察到,随着时间的推移,MTD框架能够抵抗DoS攻击,并提供比简单系统更低的开销,因此性能更好。因此,与普通系统不同,攻击者必须不断地努力对抗系统的固有特性。
