基于SEIPQR模型的工控蠕蟲防御策略

潘潔，葉蘭，趙賀，張?chǎng)卫?

（1. 中國移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080；2. 中國移動(dòng)通信集團(tuán)，北京 100032； 3. 中國移動(dòng)通信集團(tuán)采購共享服務(wù)中心，北京 100053）

0 引言

工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與工業(yè)經(jīng)濟(jì)深度融合形成的新興業(yè)態(tài)和應(yīng)用模式，是實(shí)現(xiàn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)。隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合，越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域，使工業(yè)控制系統(tǒng)與信息網(wǎng)絡(luò)聯(lián)系更加緊密。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。由于兩化融合和工業(yè)4.0的影響，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)信息安全成為研究熱點(diǎn)，其中如何主動(dòng)防御黑客對(duì)工控系統(tǒng)或工控網(wǎng)絡(luò)的攻擊成為備受關(guān)注的安全焦點(diǎn)。隨著工業(yè)控制系統(tǒng)的不斷開放和互聯(lián)互通，工業(yè)控制系統(tǒng)及工業(yè)互聯(lián)網(wǎng)設(shè)備的安全脆弱性逐漸凸顯。通用軟硬件和網(wǎng)絡(luò)設(shè)施的廣泛使用，打破了傳統(tǒng)工業(yè)控制系統(tǒng)與信息網(wǎng)絡(luò)的“隔離”，在不斷促進(jìn)工業(yè)互聯(lián)網(wǎng)發(fā)展和壯大的同時(shí)，傳統(tǒng)互聯(lián)網(wǎng)所面臨的安全問題逐漸滲透到工業(yè)互聯(lián)網(wǎng)中。和普通的互聯(lián)網(wǎng)相比，工業(yè)互聯(lián)網(wǎng)的特征更加復(fù)雜，不僅涉及的設(shè)備種類更多更復(fù)雜，其布置的網(wǎng)點(diǎn)也更加密集，所以對(duì)它構(gòu)成安全威脅的因素更多。在社會(huì)的各個(gè)領(lǐng)域中，新技術(shù)的應(yīng)用范圍越來越廣，這些新的計(jì)算機(jī)技術(shù)對(duì)社會(huì)生產(chǎn)和經(jīng)濟(jì)的發(fā)展起到了極大的推動(dòng)作用，但同時(shí)埋下了不少安全隱患。近年來，越來越多網(wǎng)絡(luò)安全攻擊的矛頭指向了工業(yè)控制系統(tǒng)。2010年，伊朗的布什爾核電站遭到了蠕蟲病毒Stuxnet的攻擊[1]。此后，有許多針對(duì)工業(yè)互聯(lián)網(wǎng)的病毒被發(fā)現(xiàn)，如Night Dragon[2]、Flame[3]、Duqu/Duqu2.0[4]、Blaster[5]和BlackEnergy[6]等。其中典型的可編程邏輯控制器（PLC，programmable logic controller）蠕蟲Blaster只能存在于PLC，并且可以在不涉及任何計(jì)算機(jī)的情況下通過西門子SIMATIC S7-1200的控制系統(tǒng)進(jìn)行傳播，PLC Blaster可以掃描工業(yè)互聯(lián)網(wǎng)以尋找新目標(biāo)，進(jìn)而攻擊PLC并在受感染的PLC中完成自我復(fù)制。2019年，委內(nèi)瑞拉電網(wǎng)工業(yè)控制系統(tǒng)遭受攻擊導(dǎo)致全國大規(guī)模停電[7]。這些攻擊行為不僅對(duì)工控系統(tǒng)本身造成了破壞，而且嚴(yán)重影響了人們正常的生產(chǎn)生活。

目前，應(yīng)用于工業(yè)互聯(lián)網(wǎng)的安全防御方法主要是被動(dòng)防御技術(shù)，如防火墻、入侵檢測(cè)/預(yù)防系統(tǒng)、數(shù)據(jù)泄露預(yù)防系統(tǒng)等。此類安全防御方法大多部署于網(wǎng)絡(luò)邊界，且工業(yè)互聯(lián)網(wǎng)所面臨的安全威脅大多來源于IT（Internet technology）網(wǎng)絡(luò)，因此其在工業(yè)互聯(lián)網(wǎng)與IT網(wǎng)絡(luò)的邊界處仍能起到較好的威脅檢測(cè)作用。然而，這些傳統(tǒng)防御方法在防護(hù)能力的靜態(tài)性、防護(hù)措施的被動(dòng)性和對(duì)于新的網(wǎng)絡(luò)攻擊的不適用性等方面的不足，導(dǎo)致其已無法應(yīng)對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)攻擊形勢(shì)。此外，工業(yè)互聯(lián)網(wǎng)本身在安全防御方面存在諸多脆弱性和行業(yè)特殊要求。例如，工控協(xié)議和工業(yè)控制系統(tǒng)均缺乏內(nèi)置安全機(jī)制；工業(yè)控制系統(tǒng)處理能力較弱，具有系統(tǒng)更新較為滯后等特點(diǎn)?；谏鲜銮闆r，為了解決工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域所面臨的問題，需要從根本上了解工控蠕蟲在工業(yè)互聯(lián)網(wǎng)中的傳播規(guī)律并提出相應(yīng)的抑制策略。因此，對(duì)于工業(yè)互聯(lián)網(wǎng)中蠕蟲的傳播行為進(jìn)行建模分析尤為必要。

網(wǎng)絡(luò)隔離就是一旦發(fā)現(xiàn)被蠕蟲感染的主機(jī)設(shè)備就對(duì)其進(jìn)行隔離，再對(duì)其進(jìn)行修復(fù)，這樣能減少被感染的主機(jī)設(shè)備繼續(xù)感染其他設(shè)備的可能性。補(bǔ)丁是在網(wǎng)絡(luò)安全領(lǐng)域中使用的一種修復(fù)技術(shù)，它可以為易受攻擊的主機(jī)設(shè)備提供臨時(shí)保護(hù)，使其在更新軟件的過程中免于蠕蟲的攻擊。在此基礎(chǔ)上，本文提出了一個(gè)傳染病模型來分析蠕蟲可能的傳播趨勢(shì)。惡意軟件的傳播與傳染病的傳播極為相似[8]，20世紀(jì)80年代，Cohen等[9]先后借鑒研究傳染病傳播的方法，建立了研究網(wǎng)絡(luò)惡意軟件的動(dòng)力學(xué)模型。在Code Red事件發(fā)生后，Staniford等[10]率先基于SEM（simple epidemic model）對(duì)Code Red的傳播行為進(jìn)行了分析，模型很好地匹配了觀測(cè)到的蠕蟲上升期數(shù)據(jù)。為了了解蠕蟲的傳播行為，Rey等[11]基于隨機(jī)復(fù)雜網(wǎng)絡(luò)建立了惡意軟件的傳播模型，模型是基于個(gè)體的并通過元胞自動(dòng)機(jī)進(jìn)行描述；Hosseini等[12]針對(duì)無標(biāo)度網(wǎng)絡(luò)對(duì)蠕蟲病毒的傳播建立了理論模型，并且提出了模型的新版本；Kupennan和Agiza研究了小世界效應(yīng)對(duì)蠕蟲傳播行為的影響[13-14]；Yuan[15]基于仿真系統(tǒng)對(duì)蠕蟲在工業(yè)復(fù)雜網(wǎng)絡(luò)中的傳播進(jìn)行了模擬；近年來，有學(xué)者利用SIS（Susceptible Infected Susceptible）模型研究了惡意軟件在移動(dòng)電話間的傳播過程[16]；基于SIS模型提出了僵尸網(wǎng)絡(luò)的優(yōu)化傳播策略[17]；建立了一種高級(jí)的混合式P2P僵尸網(wǎng)絡(luò)的傳播模型[18]；蘇飛等[19]分析了一種能夠在IPv6網(wǎng)絡(luò)中大規(guī)模傳播的混合式惡意軟件的傳播模型。

目前，對(duì)工控網(wǎng)絡(luò)蠕蟲的研究較少，由于真實(shí)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)較為復(fù)雜，以往的一些傳播模型難以準(zhǔn)確描述工控蠕蟲實(shí)際的傳播過程，并且少有針對(duì)惡意軟件提出有效的對(duì)抗策略。因此，本文通過數(shù)學(xué)建模方法研究工控網(wǎng)絡(luò)中蠕蟲的傳播規(guī)律，確定其中關(guān)鍵因素，從而構(gòu)建合理的傳播模型。由于蠕蟲的傳播過程非常復(fù)雜，其傳播參數(shù)的變化對(duì)其傳播過程具有巨大影響。目前，在抑制策略的研究中多采用數(shù)學(xué)建模和傳播仿真的方法。由于惡意軟件傳播的動(dòng)力方程的分析和求解困難，惡意軟件傳播動(dòng)力系統(tǒng)中各參數(shù)的演化規(guī)律難以量化和分析。這就使網(wǎng)絡(luò)本身的多變性對(duì)于惡意代碼抑制策略的影響無法得到有效的定量分析，導(dǎo)致無法對(duì)抑制策略進(jìn)行有效的預(yù)測(cè)，嚴(yán)重的甚至?xí)?dǎo)致系統(tǒng)失穩(wěn)，影響工控網(wǎng)絡(luò)的正常運(yùn)行。為了研究蠕蟲在工控網(wǎng)絡(luò)中的傳播特點(diǎn)和抑制策略，本文基于傳染病模型的基本思想，在SEM模型的基礎(chǔ)上提出了網(wǎng)絡(luò)隔離和補(bǔ)丁的措施，并建立了相應(yīng)的傳染病模型來分析工控蠕蟲的傳播趨勢(shì)和防御策略。

1 SEIPQR模型

為了抑制蠕蟲在工控網(wǎng)絡(luò)中的傳播，減少被蠕蟲感染的工控設(shè)備的數(shù)量，一般的做法是先識(shí)別已經(jīng)被蠕蟲感染的工控設(shè)備，然后對(duì)被感染的工控設(shè)備進(jìn)行免疫。隨著網(wǎng)絡(luò)帶寬的持續(xù)增加以及黑客技術(shù)的不斷提升，蠕蟲的傳播速度越來越快，對(duì)感染節(jié)點(diǎn)進(jìn)行免疫的速度已經(jīng)無法跟上蠕蟲感染的速度。本文提出集隔離保護(hù)和打補(bǔ)丁于一體的蠕蟲抑制策略來限制蠕蟲在工控耦合網(wǎng)絡(luò)中的傳播。

1.1 模型的建立

首先使用入侵檢測(cè)方法，通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)被蠕蟲感染的工控設(shè)備。當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)其被蠕蟲感染后，立即通過斷電等方式將其從網(wǎng)絡(luò)中隔離，這樣能有效防止其繼續(xù)感染網(wǎng)絡(luò)中的其他工控設(shè)備。對(duì)于易感染和暴露的設(shè)備，通過及時(shí)打補(bǔ)丁使其具有免疫的效果。即使它們沒有被蠕蟲感染，也可提前對(duì)其進(jìn)行保護(hù)，預(yù)防其將來可能被蠕蟲感染。當(dāng)設(shè)備被隔離和打補(bǔ)丁后，會(huì)變?yōu)槊庖郀顟B(tài)。

根據(jù)上述思想，模型中的設(shè)備可以分為以下6種狀態(tài)。

1) 易感染（susceptible）狀態(tài)：工控設(shè)備存在漏洞，容易遭受蠕蟲攻擊，當(dāng)蠕蟲掃描發(fā)現(xiàn)后，該設(shè)備就會(huì)處于暴露狀態(tài)。

2) 暴露（exposed）狀態(tài)：工控設(shè)備暴露在外部網(wǎng)絡(luò)環(huán)境中，處于感染狀態(tài)的主機(jī)有概率會(huì)被蠕蟲感染。

3) 打補(bǔ)?。╬atched）狀態(tài)：對(duì)于易感染和暴露的設(shè)備，及時(shí)對(duì)其打補(bǔ)丁。

4) 感染（infected）狀態(tài)：設(shè)備已經(jīng)被蠕蟲感染并能感染網(wǎng)絡(luò)中其他工控設(shè)備。

5) 隔離（quarantine）狀態(tài)：將被蠕蟲感染的設(shè)備進(jìn)行隔離，使其從網(wǎng)絡(luò)中暫時(shí)離開。

6) 免疫（recovered）狀態(tài)：設(shè)備通過隔離打補(bǔ)丁等方式獲得對(duì)蠕蟲的免疫力。

此外，各個(gè)設(shè)備有一定的概率接入網(wǎng)絡(luò)和離開網(wǎng)絡(luò)。其中接入網(wǎng)絡(luò)的易感染設(shè)備概率為p，接入網(wǎng)絡(luò)的免疫設(shè)備概率為1?p，離開網(wǎng)絡(luò)的概率為μ。這樣可以使模型計(jì)算中保持總設(shè)備數(shù)量不變，方便對(duì)蠕蟲傳播的趨勢(shì)進(jìn)行分析。為了形象地表示SEIPQR模型的狀態(tài)轉(zhuǎn)換過程，結(jié)合以上的設(shè)備狀態(tài)描述得到SEIPQR模型的狀態(tài)轉(zhuǎn)換圖，如圖1所示。

圖1 SEIPQR模型狀態(tài)轉(zhuǎn)換圖Figure 1 State transition of the SIQMR model

根據(jù)狀態(tài)轉(zhuǎn)換過程，可以得到SEIPQR模型的微分方程組。

其中，N為系統(tǒng)中總設(shè)備數(shù)量，β為工控設(shè)備暴露的概率，α1和α2分別是易感染設(shè)備和暴露設(shè)備成功打補(bǔ)丁的概率，ρ為暴露設(shè)備被感染的概率，σ為感染設(shè)備的隔離率，γ為感染設(shè)備的免疫率，δ表示隔離后設(shè)備變?yōu)槊庖郀顟B(tài)的概率，ω表示打補(bǔ)丁后設(shè)備變?yōu)槊庖郀顟B(tài)的概率。

1.2 模型的平衡點(diǎn)

本節(jié)對(duì)模型的動(dòng)力學(xué)特性進(jìn)行推導(dǎo)，進(jìn)而分析蠕蟲的傳播特點(diǎn)。借鑒Sen等[20]提出的求解基本再生數(shù)R0的方法，對(duì)本文模型的基本再生數(shù)進(jìn)行求解并分析系統(tǒng)的無病平衡點(diǎn)。無病平衡點(diǎn)，即暴露主機(jī)和感染主機(jī)的數(shù)量是0。在無病平衡點(diǎn)狀態(tài)下，方程組(1)可以寫成以下形式。

令E(t)=I(t)=0，代入上式中，無病平衡點(diǎn)(S*,E*,I*,Q*,P*)可以表示為

定理1當(dāng)基本再生數(shù)R0<1時(shí)，系統(tǒng)(2)是漸進(jìn)穩(wěn)定的；當(dāng)R0>1時(shí)，系統(tǒng)是不穩(wěn)定的。

證明求出系統(tǒng)(2)的特征方程(5)，求解特征方程(5)可得其特征根有負(fù)實(shí)部，即λ1=?(μ+α1)，λ2=?(μ+w)和λ3=?(μ+δ)，以及(λ+μ+α1)? (λ+μ+ω)(λ+μ+δ)(λ2+cλ+d)=0的根。

其中

當(dāng)R0<1時(shí)，d>0

根據(jù)Routh-Hurwitz準(zhǔn)則，當(dāng)且僅當(dāng)特征根為負(fù)值時(shí)，系統(tǒng)的無病平衡點(diǎn)是穩(wěn)定的?？梢缘玫剑?dāng)R0<1時(shí)，系統(tǒng)(2)是漸進(jìn)穩(wěn)定的；當(dāng)R0>1時(shí)，系統(tǒng)是不穩(wěn)定的。

2 數(shù)值仿真實(shí)驗(yàn)

本節(jié)進(jìn)行了數(shù)值實(shí)驗(yàn)以分析工控蠕蟲的傳播特點(diǎn)，并展示了模型的動(dòng)力學(xué)特性。在實(shí)驗(yàn)中，不同的基本再生數(shù)R0對(duì)應(yīng)無病平衡點(diǎn)和地方病平衡點(diǎn)。仿真實(shí)驗(yàn)可以從動(dòng)力學(xué)上驗(yàn)證推導(dǎo)的結(jié)果，數(shù)值曲線和仿真曲線的擬合程度可以驗(yàn)證其準(zhǔn)確性。為了模擬蠕蟲在網(wǎng)絡(luò)中的傳播，實(shí)驗(yàn)中假設(shè)網(wǎng)絡(luò)中節(jié)點(diǎn)總數(shù)為N=1000000。表1給出了無病平衡點(diǎn)的參數(shù)。

表1 無病平衡點(diǎn)的參數(shù)Table 1 Parameters for disease-free equilibrium

通過上文的推導(dǎo)可知，當(dāng)R0<1時(shí)，系統(tǒng)存在無病平衡點(diǎn)。令α1=0.0006，α2=0.00001，ρ=0.003，則R0<1。圖2展示了系統(tǒng)的無病平衡狀態(tài)，即感染狀態(tài)的主機(jī)數(shù)量為0。圖中實(shí)線是數(shù)值（num）結(jié)果，虛線是仿真（sim）結(jié)果。可以看出二者的擬合程度較好，這就可以驗(yàn)證上文推導(dǎo)結(jié)果的準(zhǔn)確性。

圖2 SEIPQR模型的無病平衡點(diǎn)Figure 2 The disease-free equilibrium of SEIPQR model

當(dāng)R0<1時(shí)，為了驗(yàn)證打補(bǔ)丁的效果，分別令令α1=0.0015，α1=0.0025，α1=0.0035，然后對(duì)相應(yīng)的感染設(shè)備數(shù)量進(jìn)行對(duì)比。在圖3中可以看出，當(dāng)易感染設(shè)備成功打補(bǔ)丁的概率增大時(shí)，感染設(shè)備的數(shù)量會(huì)明顯下降。這說明對(duì)易感染設(shè)備打補(bǔ)丁可以有效抑制蠕蟲的傳播。

圖3 不同打補(bǔ)丁概率α1的對(duì)比Figure 3 Comparison of infected hosts with different parameterα1

類似地，實(shí)驗(yàn)還對(duì)比了參數(shù)α2和隔離率σ變化時(shí)感染主機(jī)的數(shù)量。圖4和圖5分別展示了這兩組對(duì)比的結(jié)果，從圖中可以看出感染主機(jī)數(shù)量的變化不大，這說明參數(shù)α2和σ對(duì)于蠕蟲傳播的影響并沒有參數(shù)α1大。由此可知，在抑制蠕蟲傳播的過程中，應(yīng)當(dāng)重點(diǎn)對(duì)易感染設(shè)備及時(shí)打補(bǔ)丁。

圖4 不同打補(bǔ)丁概率α2的對(duì)比Figure 4 Comparison of infected hosts with different parameterα2

圖5 不同隔離率σ的對(duì)比Figure 5 Comparison of infected hosts with different parameterσ

當(dāng)R0>1時(shí)，系統(tǒng)存在無病平衡點(diǎn)。令α1=0.0015，α2=0.0035，ρ=0.023，則R0>1。圖6展示了模型的地方病平衡狀態(tài)，此時(shí)感染設(shè)備的數(shù)量不為0。隨后，為了比較感染率ρ對(duì)蠕蟲傳播的影響，分別令ρ=0.002，ρ=0.003，ρ=0.004進(jìn)行對(duì)比實(shí)驗(yàn)。從圖7中可以看出，感染率越大，感染設(shè)備的數(shù)量也就越多。這說明在蠕蟲傳播的過程中，可以通過降低感染率來抑制蠕蟲的傳播。

圖6 模型的地方病平衡點(diǎn)Figure 6 The endemic equilibrium of SEIPQR model

圖7 不同感染率ρ的對(duì)比Figure 7 Comparison of infected hosts with different parameterρ

根據(jù)以上實(shí)驗(yàn)結(jié)果和分析，本文提出的SEIPQR模型可以準(zhǔn)確地描述蠕蟲在工控網(wǎng)絡(luò)中的動(dòng)力學(xué)特性。此外，實(shí)驗(yàn)結(jié)果說明，網(wǎng)絡(luò)隔離和補(bǔ)丁策略可以有效抑制工控蠕蟲的傳播。本文在工控網(wǎng)絡(luò)中，通過建立基于網(wǎng)絡(luò)隔離和補(bǔ)丁傳播模型，來分析影響蠕蟲傳播的關(guān)鍵因素，可以準(zhǔn)確地推測(cè)蠕蟲攻擊工控設(shè)施的過程，從而有效地控制蠕蟲的爆發(fā)。通過這種數(shù)學(xué)手段，可以更加清晰地展示蠕蟲的傳播規(guī)律和全局性，對(duì)蠕蟲的了解更加深刻，提出的對(duì)抗策略更具有實(shí)用性。在實(shí)際的防御過程中，結(jié)合蠕蟲傳播模型，決策者能夠有效地提出蠕蟲在工控網(wǎng)絡(luò)中的抑制策略。本文將傳播動(dòng)力學(xué)的研究方法應(yīng)用到工控蠕蟲傳播與抑制的研究中，為工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的研究提供一種新的思路。

3 結(jié)束語

本文在工業(yè)互聯(lián)網(wǎng)的背景中，結(jié)合網(wǎng)絡(luò)隔離和補(bǔ)丁提出了針對(duì)工控蠕蟲傳播的防御策略。在此基礎(chǔ)上利用傳染病模型的原理，建立了SEIPQR模型。本文在該模型的基礎(chǔ)上分析了工控蠕蟲在工業(yè)互聯(lián)網(wǎng)中的傳播特點(diǎn)，求解了動(dòng)力系統(tǒng)的基本再生數(shù)，并據(jù)此論證了蠕蟲傳播的無病平衡點(diǎn)。此外，本文給出的數(shù)值仿真實(shí)驗(yàn)結(jié)果很好地驗(yàn)證了模型的準(zhǔn)確性和防御策略的有效性，參數(shù)對(duì)比實(shí)驗(yàn)也為如何更好地抑制工控蠕蟲傳播提供了可靠的參考。