CPS域 

在介紹了保護(hù)CPS的一般原則之后，在本節(jié)中，我們將討論CPS的特定域安全問題。我們特別關(guān)注工業(yè)控制系統(tǒng)、電網(wǎng)、運輸系統(tǒng)、車輛、機(jī)器人、醫(yī)療設(shè)備和消費物聯(lián)網(wǎng)。

3.1 工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)代表了連接到物理世界的各種網(wǎng)絡(luò)信息技術(shù)系統(tǒng)[157]。根據(jù)應(yīng)用的不同，這些控制系統(tǒng)在化學(xué)工業(yè)中也稱為過程控制系統(tǒng)（PCS），如果用于監(jiān)督和控制的設(shè)備是使用整體架構(gòu)采購的，則稱為分布式控制系統(tǒng)（DCS）。

控制系統(tǒng)通常由一組網(wǎng)絡(luò)代理組成，由傳感器、執(zhí)行器、控制處理單元（如可編程邏輯控制器（PLC）、遠(yuǎn)程終端單元（RTU）和通信設(shè)備組成。例如，石油和天然氣行業(yè)使用集成控制系統(tǒng)來管理工廠現(xiàn)場的煉油操作，遠(yuǎn)程監(jiān)控天然氣管道的壓力和流量，并控制天然氣輸送的流量和路徑。自來水公司可以遠(yuǎn)程監(jiān)控井位并控制水井的泵;監(jiān)測儲罐中的流量、儲罐液位或壓力;監(jiān)測pH值、濁度和氯殘留量;并控制向水中添加化學(xué)物質(zhì)。

控制系統(tǒng)具有分層層次結(jié)構(gòu)[1]，可用于網(wǎng)絡(luò)分段并確保訪問控制。圖5顯示了此層次結(jié)構(gòu)的較低層的圖示。

頂層主要使用傳統(tǒng)的信息技術(shù)：計算機(jī)、操作系統(tǒng)和相關(guān)軟件。他們控制業(yè)務(wù)物流系統(tǒng)，該系統(tǒng)管理基本的工廠生產(chǎn)計劃、材料使用、運輸和庫存水平，以及工廠績效，并保留數(shù)據(jù)歷史記錄以進(jìn)行數(shù)據(jù)驅(qū)動的分析（例如，預(yù)測性維護(hù)）。

監(jiān)控層是監(jiān)控和數(shù)據(jù)采集（SCADA）系統(tǒng)和其他服務(wù)器與可編程邏輯控制器（PLC）和遠(yuǎn)程終端單元（RTU）等遠(yuǎn)程控制設(shè)備通信的地方).控制室中的服務(wù)器與這些控制設(shè)備之間的通信是通過監(jiān)督控制網(wǎng)絡(luò)（SCN）完成的。

監(jiān)管控制在下層完成，涉及現(xiàn)場儀表，例如傳感器（溫度計、轉(zhuǎn)速計等）和執(zhí)行器（泵、閥門等）。雖然傳統(tǒng)上這種接口是模擬的（例如，4-20毫安），但傳感器和執(zhí)行器數(shù)量的增加以及它們增加的智能和功能，已經(jīng)產(chǎn)生了新的現(xiàn)場通信網(wǎng)絡(luò)（FCN），其中PLC和其他類型的控制器與遠(yuǎn)程輸入/輸出盒連接，或直接與傳感器和執(zhí)行器連接，使用新的基于以太網(wǎng)的工業(yè)協(xié)議（如ENIP和PROFINET）以及無線網(wǎng)絡(luò)（如WirelessHART）。還提出了幾種環(huán)形拓?fù)鋪肀苊膺@些網(wǎng)絡(luò)的單點故障，例如在ENIP上使用設(shè)備級環(huán)網(wǎng)（DLR）。

SCN和FCN網(wǎng)絡(luò)代表運營技術(shù)（OT）網(wǎng)絡(luò)，它們具有不同的通信要求和不同的工業(yè)網(wǎng)絡(luò)協(xié)議。雖然SCN可以容忍高達(dá)幾秒鐘的延遲，但FCN通常需要一個數(shù)量級的較低通信延遲，通常支持周期為400us的設(shè)備之間的通信。

入侵檢測是保護(hù)控制系統(tǒng)的熱門研究課題，這包括使用適用于工業(yè)協(xié)議的網(wǎng)絡(luò)安全監(jiān)視器[107，109，158，110，111，159，112]，以及基于物理的異常檢測[30，114，116，160，113，161]。我們監(jiān)控系統(tǒng)物理的層可以對可以檢測到的攻擊類型產(chǎn)生重大影響[162]。

特別是，攻擊者可以從（1）SCADA服務(wù)器[163]破壞并發(fā)起攻擊，(2)控制器/PLC[164]、（3）傳感器[29]和（4）執(zhí)行器[165]，這些攻擊中的每一個都可以在系統(tǒng)的不同層觀察到。

工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控工作大部分已在SCN部署了網(wǎng)絡(luò)入侵檢測系統(tǒng)。但是，如果異常檢測系統(tǒng)僅部署在監(jiān)控網(wǎng)絡(luò)中，則受損的PLC可以將操縱的數(shù)據(jù)發(fā)送到現(xiàn)場網(wǎng)絡(luò)，同時假裝向監(jiān)督控制網(wǎng)絡(luò)報告一切正常。在Stuxnet攻擊中，攻擊者破壞了PLC（西門子315）并發(fā)送了操縱控制信號ua（與原始信號不同，u，即ua u）。收到ua后，變頻器周期性增加和轉(zhuǎn)子速度降低，遠(yuǎn)高于和低于其預(yù)期運行水平。當(dāng)變頻器y的狀態(tài)隨后被繼電器回PLC時，受到損害的PLC向控制中心報告了一個操縱值yay（聲稱設(shè)備是正常運行）。對西門子417控制器[164]進(jìn)行了類似的攻擊，攻擊者在PLC上捕獲了21秒的有效傳感器變量，然后連續(xù)重放它們。在攻擊期間，確保通過SCN發(fā)送到SCADA監(jiān)視器的數(shù)據(jù)看起來正常[164]。Giraldo等人對各種ICS攻擊（控制器，傳感器或執(zhí)行器攻擊）的可檢測性進(jìn)行了系統(tǒng)研究。[162]，最終建議是在現(xiàn)場網(wǎng)絡(luò)以及監(jiān)控網(wǎng)絡(luò)以及控制的不同回路中部署系統(tǒng)監(jiān)視器系統(tǒng)。

除了攻擊檢測，防止系統(tǒng)達(dá)到不安全狀態(tài)也是一個活躍的研究領(lǐng)域[39，166，167，168，169]?；舅枷胧谴_定控制動作可能導(dǎo)致系統(tǒng)出現(xiàn)問題，因此參考監(jiān)視器將阻止該控制信號到達(dá)物理系統(tǒng)。其他研究領(lǐng)域包括遺留系統(tǒng)中的安全性改造[170，87]和工業(yè)控制設(shè)備中的惡意軟件[171，172]。Krotofil和Gollmann對ICS安全研究進(jìn)行了簡要調(diào)查[173]，對ICS安全領(lǐng)域最新實踐的回顧包括Knowles等人的工作。[174，78]。

研究工業(yè)控制系統(tǒng)的一個問題是平臺的多樣性，包括設(shè)備（不同制造商使用不同技術(shù)）和應(yīng)用（水、化學(xué)系統(tǒng)、石油和天然氣等）的多樣性。因此，該領(lǐng)域的一大挑戰(zhàn)是結(jié)果的可重復(fù)性和工業(yè)控制測試臺的通用性[175]。