针对物理隔离攻击的安全防护技术研究

2022-09-13范小娇郭海波

兵器装备工程学报 2022年8期

李静，范小娇，肖飒，郭海波

(西京学院，西安 710123)

1 引言

随着现代作战空间的立体化、作战态势的复杂化以及作战指挥的信息化，现代战场下多要素、全合成军兵种的联合协同作战已经成为未来战争的典型作战样式。军用指挥信息系统作为作战命令、侦察情报、保障态势等战场综合信息上传下达的中枢神经，是现代联合协同作战下各军兵种与指挥机构间的“粘合剂”，是构建未来一体化联合作战体系的重要桥梁[1]。

近年来，各国都开始加快军用指挥信息系统的智能化、信息化建设，以期为各级作战指挥员提供集指挥控制、侦察情报、通信保障、辅助决策、支援保障等功能于一体的作战指挥工具[2]。

美军现有多个军用指挥信息系统,其中，WWMCCS全球军事指挥控制系统是美军的战略C4ISR系统，能够不间断地指挥部署在全球各地的战略导弹、轰炸机和战略核潜艇部队，具有情报收集、分析和评估、威胁判断及攻击预警、制定作战方案和计划等功能；ATCCS陆军战术指挥控制系统集防空、战斗勤务支援、火力支援、情报/电子战和机动控制于一体；联合监视与目标攻击雷达系统JSTARS能够快速、连续、大区域地监视、探测和攻击前沿部队纵深地带的活动目标[3]；全球信息栅格GIG是目前美军最先进的军用指挥信息系统，能够辅助作战人员快速获取并管理作战信息，向指挥机构发生战场目标、部队机动、资源配置等信息，实现各军兵种间战场信息的快速、无缝交换和传输[4-5]。

俄军的军事指挥信息系统主要由指挥系统、情报收集系统和通信系统组成，能够确保在遂行作战任务过程中指挥机构能够不间断地对作战部队实施指挥。近年来，俄军已完成战略自动化指挥系统与战役战术指挥信息系统的联网，并针对集团军和方面军司令部开始建立战役级的指挥信息系统[6]。

军用指挥信息系统承载着作战行动或训练计划中的作战/行动计划拟制、计划分发、战场综合态势展现、情报分发等能力，指挥机构能够依托该系统实现对所属部队的不间断指挥控制，能够根据回传的战场态势掌握战场情况和进程，并视情调整作战计划，高效地协调所辖部队间的作战行动，保障作战任务高效完成。因此，确保军用指挥信息系统的信息安全成为战场指挥命令、流程稳定可达的关键，有助于提高军队一体化联合作战能力，提升战场指挥效能[7]。

图1 联合作战体系示意图Fig.1 Schematic diagram of joint operaton system

如今，面向计算机系统或者指挥信息系统的安全威胁无处不在，若指挥信息系统或指控装备终端遭到外部网络攻击或者跨网络的物理攻击时，敌可对前方战场回传的侦察情报、实时态势信息进行截获，可篡改指挥员下发的指挥命令，甚至瘫痪在网的所有指挥节点等，其中任一点安全风险威胁都可能会决定一次战役或行动的成败[9]。

当前，包括美军、俄军在内的世界主流军用指挥信息系统部署了较为完善的安全防护软件，为多种战术终端提供安全防护服务，如端口管控、黑白名单软件控制、病毒查杀等；为各类系统应用提供安全服务，如身份认证、访问控制、攻击防护。此类安全防护软件大都适用于网络在线或系统内部运行软件情况下发起的信息系统攻击，不对物理接口本身进行安全诊断，无法针对基于终端接口的物理隔离攻击开展有效防护。为此，构建针对物理隔离攻击风险的军用指挥信息系统安全防护体系势在必行。

针对军用指挥信息系统存在外部网络攻击或者物理隔离攻击风险的严峻性，本文通过分析USB攻击、电力线攻击、声信道攻击、光信道攻击等物理隔离攻击风险，基于先验概念与动态评估相结合的设计思想，开展了物理隔离安全防护技术研究，保护军用指挥信息系统免受物理隔离攻击。

2 军用指挥信息系统安全需求分析

未来一体化联合作战中，夺取指挥控制的优势是战争对抗中最为激烈的焦点。指挥控制需要依托指挥手段才能得以实现，在信息化条件下该指挥手段即为军用指挥信息系统[1]。作为一种新兴的自动化指挥控制手段，军用指挥信息系统包括多类系统平台，如一体化平台、兵棋推演系统、数据工程及作战任务规划系统等，世界各国高度重视并竟相开展研发和建设。

高度信息化的军用指挥信息系统在为指挥员提供实时的情报信息、完善的后装保障、精确的火力引导、高效的指挥决策的同时，也面临着载体攻击、网络入侵、信息窃取等风险。军用指挥信息系统面临的攻击主要体现在指挥控制装(设)备遭遇入侵或攻击、指挥通信网络遭遇入侵或破坏、指挥数据信息遭遇篡改或窃取等，本节主要依据军用指挥信息系统的作用特点及承载任务，分析了军用指挥信息系统在作战使用中的信息安全需求。

2.1 指挥控制装(设)备安全

指挥控制装(设)备是军用指挥信息系统的硬件承载平台，是军队实现作战计划拟制、指挥控制命令分发、侦察情报推送的物理媒介。作战使用时，若指挥控制装(设)备遭受攻击或入侵，则会对战场指挥、部队调度造成致命的影响。

若指挥控制装(设)备遭到攻击，攻击者可冒充已方人员身份对所属部(分)队下发指挥调度指令，可干扰预先作战计划，如发布与实际作战意图相悖的计划安排，诱导所属部(分)队进入敌包围圈等；同时，攻击范围还可由被攻击的装(设)备扩展到该装(设)备所在指挥网内的其他节点，通过分发错误指令、故障某些重要节点，以达到作战意图，更甚者可导致整个指挥网络的瘫痪。因此，确保指挥控制装(设)备物理安全、网络安全是保证指挥链路通畅、指挥指令源可溯、作战意图“保真”的重要途径。

2.2 指挥通信网络安全

指挥通信网络是连接所有指挥节点的桥梁，能够确保指挥指令在网内所有节点的分发，指挥通信网络的安全直接关系到指挥指令的准确性和实时性，也关系到网间节点的互通性。

若指挥通信网络遭到攻击，攻击者可以伪造相关通信网络参数，导致某些网内节点断网，成为“聋子”、“瞎子”；攻击者还可以攻击某些重要的通信中继节点，使作战地域的完整网络成为一个个孤立无援的子网，导致各部(分)队间无法互联互通，降低部队协同效率；攻击者也可以通过入侵指挥通信网络，在网络内部传播蠕虫病毒等，瘫痪网络内各终端装(设)备，使其失去作战能力，达到“不战而屈人之兵”的目的。

2.3 指挥数据信息安全

军用指挥信息系统涵盖了军用地图、作战计划、军标、部队状况、部队编组、装备性能等涉密数据，这些数据是支撑军用指挥信息系统运行的基础保障。

若指挥信息系统遭到攻击，攻击者可以篡改相关指挥数据，导致制定的作战计划、方案等出现偏差或严重错误，影响作战进程，甚至直接影响作战结果；同时，攻击者也可以窃取相关指挥数据，对作战计划、作战方案、作战编组、装备性能等进行详细分析，制定有针对的应对措施，或进行伪装，以便在作战进程中通过身份欺骗达到破坏行动计划等目的。

3 物理隔离攻击风险

军用指挥装(设)备通常处于物理隔离状态，或仅根据作战需要局限于自身构建的内部指挥网内，与互联网实现了物理隔离。物理隔离攻击风险打破传统安全防护防线，针对物理隔离的装(设)备发起攻击。该攻击方式充分利用了装(设)备软硬件、物理空间介质等构建数据传输通道。常见的风险有USB攻击、电力线攻击、声信道攻击、光信道攻击等。

3.1 USB攻击风险

USB攻击技术是一种针对USB接口本身的攻击技术，因此只要是符合USB规范的USB设备都面临USB攻击技术的威胁[10]。军用计算机设备作为军用指挥信息系统的承载体，其USB接口也被广泛用于连接USB键盘、USB鼠标、USB移动存储设备等，其虽处于物理隔离的军用作战信息网络，但在USB外设接入或计算机供应链售后维修过程中存在被植入恶意硬件或后门的风险。常见的USB攻击有USB存储设备摆渡攻击、USB HID攻击、恶意USB固件攻击等。

USB存储设备摆渡攻击能够以USB存储设备为攻击载体，在USB存储设备中植入恶意软件，利用其在军用计算机设备间的插拔完成对多目标设备或目标所在指挥信息网络的感染，从而对被攻击设备本身或其所在指挥信息网络内的指挥节点发起窃密、破坏等操作。USB存储设备摆渡攻击可直接利用Windows系统中的Autorun命令，当USB设备插入军用计算机设备时，自动运行存储在USB设备中的恶意软件完成攻击。2010年6月，“震网”病毒针对工业基础设施发起定向攻击，造成全球超45 000个网络被感染，毁坏了伊朗浓缩铀工厂大约五分之一的离心机[11]。若军用计算机遭受USB存储设备摆渡攻击，则存在指挥信息网瘫痪、指挥装(设)备失效、指挥指令不可达等严重隐患。

USB HID攻击是指通过将USB设备接口类型枚举为HID接口，利用军用计算机对HID接口设备的高度可信实现按键注入攻击或与其他恶意软件相结合的复杂USB攻击。2013年，斯诺登曝出美国国家安全局针对USB接口研发了一种名为COTTONMOUTH-I的间谍工具，其通过隐藏在USB接口中的恶意硬件实现USB HID攻击，此外，该USB HID攻击技术还具备组网通信能力，可以与远程控制端或中间通信中继节点建立连接，能够对被攻击的军用计算机设备及其所构成的指挥信息系统进行信息窃取、监听，甚至进行破坏操作[12]。

恶意USB固件攻击是指通过篡改USB设备本身的固件，在USB设备中留有恶意软件后门，从而对军用目标设备及其所构成的指挥信息系统发起攻击。

3.2 电力线攻击风险

电力线攻击技术是指将数据信号进行编码，通过在电流信号上叠加数据信号或控制电流波动以表示不同数据编码在电力线上进行数据传输的攻击技术。主流的电力线攻击技术主要有信号叠加型电力线攻击与电流波动型电力线攻击2种。

信号叠加型电力线攻击技术是指利用正交频分复用(OFDM)技术，将编码的数据信号与电力线中的电流信号相叠加，利用电力线对军用指挥信息系统进行远距离数据密取。通过该技术可以有效避免攻击/窃取信号在电磁空间信道中易受监控的弊端，通过与其他软硬件攻击技术相结合，可是实现对军用指挥信息系统进行隐蔽性更高、破坏性更强的系统级攻击。

电流波动型电力线攻击技术是指有意调节军用计算机的CPU利用率来控制系统的功耗，通过利用电流的波动实现对数据的调制、编码和传输，是一种通过电力线对军用指挥信息系统的信息传导和数据传输进行攻击的技术。2018年，Mordechai Guri[13]提出一种名为PowerHammer的电力线攻击技术，实现了对目标计算机信息的调制、电力线传输与解码。

3.3 声信道攻击风险

声信道攻击技术[14-15]主要针对配置声卡扬声器、麦克风的军用设备，通过扬声器、麦克风信道对经过编码、调制的声信号进行播放/拾取，完成信息密取、恶意代码植入等攻击操作。主流的声信道攻击技术主要有声信道信息密取攻击与声信道恶意代码注入攻击2种。

声信道信息密取攻击技术是指将军用设备中的目标文件进行编码并调制成高频声信号，然后经扬声器播放，由外界进行声音拾取，继而进行解调还原，实现对军用设备中目标文件的密取操作。

声信道恶意代码注入攻击技术是指将恶意代码进行编码、调制成高频声信号，经声信道被目标军用设备的扬声器捕获，继而进行解调还原，将恶意代码注入到目标军用设备中实施精准攻击。

3.4 光信道攻击风险

光信道攻击技术是指通过对光信道上传输的目标信息进行捕获或将隐蔽数据通过光信号进行传输，实现对目标军用设备的信息密取。主流的光信道攻击技术主要有光纤信道信息密取攻击与光源闪烁信息密取攻击2种。

光纤是构建军用高速通信网络的主要手段之一。光纤信道信息密取攻击技术是指通过获取光纤信道中的光信号并对其进行还原实现数据密取等攻击操作[16]。作战使用时，可通过攻击作战地域的光缆，利用光束分离法、光纤弯曲法、倏逝波耦合法、V型槽法、光栅法等手段实现对光信号的窃取，以达到窃取对方作战数据、装备性能数据等目的。

军用信息设备通常会设计LED灯以实现对设备状态的指示能力。光源闪烁信息密取攻击技术是指对目标军用设备数据进行高频编码，根据编码规则控制目标军用设备的LED灯高频闪烁(通常为人眼不易感知的高闪烁频度)，然后利用远程高速摄像机或特种摄录设备对LED灯闪烁频度进行录制并还原，从而实现数据密取等攻击操作。

4 物理隔离安全防护技术

物理隔离安全防护技术基于先验概念与动态评估相结合的设计思想，通过对物理隔离攻击技术攻击特点及利用的计算机漏洞等进行分析，以及目标从接入到退出全生命周期动态风险分级监测，实现对物理隔离攻击[17]的精准辨别与针对性防护，为军用指挥信息系统在物理隔离攻击方面的安全防护设计提供架构支撑。

本文根据典型物理隔离攻击的特征提出集实时目标监测、风险研判、安全审计于一体的物理隔离攻击安全防护技术，实现对攻击的精准定向检测防护，如图2所示。

图2 物理隔离攻击安全防护技术框图Fig.2 Security protection architecture against physical isolation attacks

4.1 实时目标监测要素

实时目标监测要素是指对接入军用指挥终端、网络及接入设备、军用服务器的USB设备、网络设备等设备的软硬件进行实时监测，主要分为目标识别与认证、目标行为监测、目标数据捕获、辅助决策四方面。实时目标监测要素设计流程如图3所示。

图3 实时目标监测要素设计流程框图Fig.3 Design process of real-time target monitoring elements

1) 目标识别与认证：合法的军用软件/硬件产品都有其特定的设备编号、标识号以及生产厂商的标识信息，通过预置军用标准产品库中的产品详情，可以实现对目标设备身份的快速锁定。但物理隔离攻击技术能够通过伪造合法设备身份，绕过访问认证机制，待成功接入目标军用设备后再进行激活等恶意操作，从而威胁军用指挥信息系统的安全。目标识别与认证模块能够实现对目标软硬件设备身份变化的全天候实时监测，当目标身份发生变化时，及时启动再识别与再认证机制，及时阻断恶意软硬件的可疑操作，保证当前指挥信息系统内所连接外设及运行软件的可靠性，确保指挥信息系统的安全使用。

2) 目标行为监测：恶意软硬件针对军用指挥信息系统开展的数据窃取、系统攻击、指令篡改等恶意操作都与其后台行为相关，实时监测运行于军用指挥终端上的软硬件，通过掌握其动态行为、运行数据，并与军用软硬件合法操作库进行比对，实现对目标行为的判别。

3) 目标数据捕获：为保证运行于军用指挥终端的软硬件数据流的合规性，需要对目标数据进行实时镜像与捕获，并同步分析其数据信息，当其对军用指挥信息系统发起攻击或篡改军用指挥信息系统数据时，及时进行拦截，保证军用指挥信息系统的运行安全。

4) 辅助决策：辅助决策主要发生在目标识别与认证、目标行为监测、目标数据捕获后，若当前软硬件符合运行策略，则自动放行；若存在可疑操作，可通过自主判别执行告警措施，为系统使用人员提供处理建议，或对当前可疑软硬件进行强制解除。

4.2 风险判别要素

风险判别要素是指对接入军用指挥终端、网络及接入设备、军用服务器的USB设备、网络设备等设备的软硬件进行行为研判，给定风险等级划分，以提示操作人员对该目标进行警惕，及时采取措施。风险判别要素设计流程如图4所示。

图4 风险判别要素设计流程框图Fig.4 Design process of risk discrimination elements

1)目标行为研判

软硬件设备都会依据其固有功能完成相应的操作或业务，有合法的行为数据库，通过对实时目标监测要素中其运行过程进行行为分析，对其风险进行研判。

2)风险策略制定

风险策略制定主要根据目标软硬件设备可能存在的攻击或军用指挥信息系统遭受攻击后可能造成的功能异常进行分类，按照轻微、中等、严重等级别进行风险等级划分。

3)风险自适应调整

风险自适应调整是指对目标设备进行初始风险等级认证后，根据实时目标监测的目标设备行为、数据等进行动态风险等级划分。通过风险自适应调整机制实现对目标软硬件设备的实时标签赋码，实行动态化管理。

4)可视化

可视化是指针对目标软硬件设备的风险级别进行可视化展示，能够辅助作业人员可以直观的了解目标软硬件设备当前状态。

4.3 安全审计要素

安全审计要素是指对目标设备软硬件运行的数据、操作等过程行为进行存储。旨在为安全审计人员提供安全审计日志及原始数据，当发生不可避免的攻击入侵事件时可以对目标设备状态进行全分析。安全审计要素设计流程如图5所示。

图5 安全审计要素设计流程框图Fig.5 Design process of security audit elements

1)目标访问控制

目标访问控制是指针对目标软硬件设备的功能进行访问控制权限设置，通过制定符合其功能的策略集，使其只能在功能允许范围内访问军用指挥信息系统或军用指挥终端固有的特定资源，在保证其正常功能的同时，最大限度减少因其发生恶意操作而引起的攻击破坏。

2)目标过程数据镜像

目标过程数据镜像是指将目标软硬件设备从激活到失效整个全生命周期的所有行为数据进行镜像存储，为目标行为鉴别、系统审计提供源数据。

3)系统运行日志

系统运行日志是为了给审计人员提供数据回溯、查看，能够辅助审计人员分析目标软硬件设备的源数据，定时查验审计数据可以避免安全防护工具漏检可疑操作行为，提高检测几率。

4)可视化

可视化是指针对目标软硬件设备的安全审计数据进行可视化展示，能够辅助作业人员可以直观的了解目标软硬件设备全生命周期的运行数据。

4.4 物理隔离安全防护技术应用

物理隔离安全防护技术为实现军用指挥信息系统免受USB攻击、电力线攻击、声信道攻击、光信道攻击提供了全方面的防护架构基础，以USB攻击中典型的HID攻击为例，当恶意HID设备伪装成HID键盘接入军用指挥信息系统所部署的装(设)备，待通过认证后，进行二次身份激活，由远程控制HID键盘进行按键操作等启动军用指挥信息系统并向目标发送错误指令或将病毒文件通过军用指挥信息系统分发至指挥网内各节点，以瘫痪指挥网络，物理隔离安全防护技术主要开启以下防护策略以保证军用指挥信息系统安全。本研究接入HID设备、HID键盘、HID鼠标、HID摇杆等4类共计40种设备(合法数据库预置的合法设备共计30种(包括通过HID漏洞测试平台[18]构造的伪装为合法设备的违规设备共计5种)，违规设备共计10种)开展相关技术应用。

1) USB HID设备实时监测。当HID设备接入目标装(设)备后，该防护体系从HID设备的插入、枚举、使用、变更、拔出等方面进行监测。为了防止恶意HID设备在接入军用指挥信息系统时伪装为标准可信设备，而接入后利用HID设备固有脆弱性进行二次恶意身份枚举，防护体系对接入设备的身份进行实时监测。同时，对HID设备运行过程的数据进行监测，以判别是否为使用者利用HID键盘键入目标数据从而控制操作军用指挥信息系统，或者HID设备是否利用HID数据口进行非键盘/鼠标等大数据传输。当监测到HID设备作为键盘进行异常按键操作等启动军用指挥信息系统并向目标发送错误指令使，对该HID设备键值进行过滤，并禁用该HID设备对应设备序列号所在设备的键盘功能。当监测到接入的HID设备为键盘或鼠标，但却发生HID大容量数据处理时，则进行数据解析，分析数据包结构是否为标准已知数据，若是，则仅记录数据，否则禁用该设备并提示使用者。通过USB HID设备实时监测策略，能够获取设备接入后的详细参数，可以与预置的合法数据库进行比对并将违规设备(10种)进行强制软弹出，识别率为100%；伪装为合法设备的违规设备共发起按键注入攻击200次，成功拦截次数为193次，拦截成功率为96.5%。

2) USB HID设备风险判别。防护体系会根据合法行为数据库进行HID设备接入初期的设备匹配，再根据风险策略匹配库对HID设备进行初始风险赋值。当恶意HID设备认证后存在二次枚举行为，则对其进行风险等级上调，并在对HID设备运行过程实时监测过程中，根据其行为与风险策略匹配库进行策略匹配，进行多次实时动态的风险赋值。在通过与合法数据库比对后，USB HID设备风险识别策略将10种违规设备识别为高风险，将其余20种与合法数据库匹配的设备识别为低风险；当伪装为合法设备的5种违规设备产生按键注入攻击并被USB HID设备实时监测策略拦截时，将其风险等级识别为高风险，实现了对设备风险等级的动态赋值。

3) USB HID行为及数据审计。当HID设备接入装(设)备时，通过合法行为数据库与军用标准产品库比对，对HID设备进行访问控制策略制定，以确定HID设备是否可以运行。基于对HID设备的行为监测，将HID设备从接入到拔出的全过程行为数据及传输数据进行镜像映射，并存入数据库中，按照时间点、行为模式等进行标记，以便于后续安全人员对该设备进行行为和数据审计。