網(wǎng)絡(luò)連接泛在、網(wǎng)絡(luò)攻擊泛化的時(shí)代，IT系統(tǒng)提供的巨大優(yōu)勢(shì)被它引入現(xiàn)代系統(tǒng)的一系列漏洞所抵消。漏洞幾乎貫穿了系統(tǒng)的整個(gè)階段，從新系統(tǒng)的設(shè)計(jì)，到供應(yīng)鏈和維護(hù)階段，這些漏洞都可以被利用。造成的影響后果可能從數(shù)據(jù)泄露到不能使用特定武器系統(tǒng)，甚至是財(cái)產(chǎn)損失、生命損失，不一而足。重要的是要考慮到，以網(wǎng)絡(luò)攻擊為代表的威脅不僅影響最新的系統(tǒng)，而且還影響那些在過(guò)去幾十年里從未被安全設(shè)計(jì)的系統(tǒng)。后者可能受到更高程度的影響。事實(shí)上，這些系統(tǒng)使用的是傳統(tǒng)版本的嵌入式計(jì)算機(jī)、傳感器、網(wǎng)絡(luò)等，這些都是在安全還不像現(xiàn)在這樣重要的時(shí)候開發(fā)的。飛機(jī)上的傳感器、執(zhí)行器、嵌入式計(jì)算機(jī)、控制器和武器系統(tǒng)的互聯(lián)是一個(gè)潛在的漏洞。武器系統(tǒng)和航空電子系統(tǒng)使用MIL-STD-1553標(biāo)準(zhǔn)作為通信協(xié)議，正是這類存在潛在隱患的協(xié)議的典型代表。

　　為什么1553數(shù)據(jù)總線如此脆弱？

　　“1553是一個(gè)共享總線，”國(guó)防電子承包商Peraton Labs的系統(tǒng)和網(wǎng)絡(luò)安全高級(jí)研究總監(jiān)約瑟芬·米卡萊夫（Josephine Micallef）解釋說(shuō)，“這意味著當(dāng)傳輸信息通過(guò)該總線發(fā)送時(shí)，連接在該總線上的任何設(shè)備都可以看到消息。從安全角度來(lái)看，這存在明顯的問(wèn)題?！边@意味著在總線上已立足的攻擊者可以竊聽表示飛機(jī)位置、速度、方向和其他關(guān)鍵的信息。

　　另外，因?yàn)闆](méi)有辦法對(duì)總線上的消息進(jìn)行身份驗(yàn)證，連接到總線的流氓或受惡意軟件感染的嵌入式系統(tǒng)可能會(huì)假裝是其他組件發(fā)送消息。擁有這種權(quán)限的攻擊者可以向飛行計(jì)算機(jī)以及飛行員發(fā)送有關(guān)燃油水平、高度或位置的虛假數(shù)據(jù)。

　　最糟糕的是，缺乏認(rèn)證意味著攻擊者可以假裝是飛行計(jì)算機(jī)。米卡萊夫說(shuō)：“你可以模仿總線控制器”——這是飛行計(jì)算機(jī)在總線上通常扮演的角色——發(fā)送虛假數(shù)據(jù)或虛假指令。她說(shuō)：“這可能會(huì)造成嚴(yán)重破壞，造成操作混亂、不可靠的態(tài)勢(shì)情報(bào)、平臺(tái)不穩(wěn)定，以及任務(wù)中止、任務(wù)失敗和隨之而來(lái)的物資損失和生命損失?！?/p>

　　即使是一個(gè)粗糙的拒絕服務(wù)類型的攻擊，用虛假流量淹沒(méi)了總線，也可能產(chǎn)生更廣泛和不可預(yù)測(cè)的影響。他說(shuō)：“如果你讓總線不堪重負(fù)，你可能會(huì)讓它進(jìn)入某種奇怪的（類似競(jìng)爭(zhēng)條件的）狀態(tài)……一種溢出的情況。在這種情況下，安全協(xié)議可能會(huì)導(dǎo)致設(shè)備轉(zhuǎn)儲(chǔ)其加密密鑰或其他數(shù)據(jù)。

　　但最陰險(xiǎn)的黑客可能是很隱蔽的：攻擊目標(biāo)是1553總線上的關(guān)鍵任務(wù)設(shè)備，只有在特定條件下才觸發(fā)，例如，如果目標(biāo)在特定區(qū)域內(nèi)，就可以阻止武器開火。只在非常低的高度破壞高度數(shù)據(jù)的攻擊可能導(dǎo)致起飛或降落失敗。

　　米卡萊夫說(shuō)：”最可怕的襲擊是那些你不知道正在發(fā)生的襲擊。拒絕服務(wù)攻擊，阻止總線操作將被發(fā)現(xiàn)，在飛行前檢查，并將阻止飛機(jī)離開地面，“但最嚴(yán)重的攻擊是一個(gè)并不是顯性的，任務(wù)失敗，不是因?yàn)榫W(wǎng)絡(luò)攻擊造成的，而是因?yàn)橐恍┰O(shè)備故障?！?/p>

　　米卡萊夫和README記者采訪的其他六名消息人士都不愿評(píng)論1553總線是否真的受到了網(wǎng)絡(luò)攻擊（“我喜歡你，”其中一人說(shuō)，“雖還不至于到要進(jìn)監(jiān)獄的程度——這是高度機(jī)密”），但危險(xiǎn)顯然不僅僅是理論上的。在今年1月發(fā)表的一篇論文中，意大利航空學(xué)院（Aeronautical Institute In Italy）的學(xué)者們透露，他們實(shí)際上已經(jīng)制造出了一種可以對(duì)1553總線的航空器實(shí)施網(wǎng)絡(luò)攻擊的設(shè)備。

　　MIL-STD-1553總線可能面臨哪些網(wǎng)絡(luò)攻擊？

　　在意大利航空學(xué)院研究者的論文中，作者描述了可能對(duì)1553數(shù)據(jù)總線實(shí)施的網(wǎng)絡(luò)攻擊。作者稱，鑒于該協(xié)議的特殊性，連接到1553網(wǎng)絡(luò)的非法設(shè)備有可能進(jìn)行大量的（盡管有限的）攻擊。事實(shí)上，將所有控制委托給BC（總線控制器）的多路復(fù)用和調(diào)度方案創(chuàng)建了一個(gè)可以針對(duì)和利用的單點(diǎn)故障。如果一個(gè)設(shè)備能夠在網(wǎng)絡(luò)中注入命令字，其他1553設(shè)備無(wú)法將這些信息與合法信息區(qū)分開來(lái)。這種行為可能會(huì)產(chǎn)生嚴(yán)重的后果，從阻止系統(tǒng)之間的信息交換到向系統(tǒng)提供虛假或惡意的數(shù)據(jù)。根據(jù)更高級(jí)別的漏洞，攻擊可能通過(guò)戰(zhàn)術(shù)網(wǎng)絡(luò)傳播到其他域。事實(shí)上，現(xiàn)代武器系統(tǒng)越來(lái)越成為相互關(guān)聯(lián)的數(shù)據(jù)處理單元，信息交換對(duì)執(zhí)行任務(wù)至關(guān)重要。因此，本質(zhì)上基于MIL-STD-1553協(xié)議規(guī)范的可行的邏輯級(jí)網(wǎng)絡(luò)攻擊將利用集中式多路復(fù)用方案，通過(guò)統(tǒng)計(jì)學(xué)習(xí)幀調(diào)度并在方便的總線時(shí)間執(zhí)行惡意動(dòng)作。

　　與1553基礎(chǔ)設(shè)施相關(guān)的攻擊類型，因此將是進(jìn)一步考慮的主題，如下形式的攻擊是最直接的想法：

　　A.直接拒絕服務(wù)（通過(guò)頻帶消耗）；

　　B.惡意利用（通過(guò)欺騙和消息注入）。

　　拒絕服務(wù)（DoS）

　　DoS的目的是阻止總線上的通信。它利用低電平干擾并消耗總線資源，防礙子系統(tǒng)之間的數(shù)據(jù)交換?？赡艿暮蠊秋@而易見(jiàn)的。例如，需要地面目標(biāo)坐標(biāo)才能發(fā)射的制導(dǎo)武器可以從系統(tǒng)中分離出來(lái)。在這種情況下，如果不能建立通信，武器系統(tǒng)將不會(huì)被釋放。對(duì)于1553網(wǎng)絡(luò)，終端之間的通信可能被隨機(jī)注入消息阻塞，這將導(dǎo)致總線上的沖突。如果網(wǎng)絡(luò)設(shè)備對(duì)總線有物理訪問(wèn)，那么實(shí)現(xiàn)就很簡(jiǎn)單。實(shí)際上，最基本的實(shí)現(xiàn)是根據(jù)主幀和子幀模式，將命令字與總線上發(fā)生的標(biāo)準(zhǔn)消息相對(duì)應(yīng)地傳輸。這種行為會(huì)引起干擾和噪聲，并導(dǎo)致解碼錯(cuò)誤。BC可能會(huì)注意到總線上無(wú)法通信，并采取嘗試恢復(fù)鏈路的行動(dòng)，例如在冗余信道上切換傳輸。但是，如果網(wǎng)絡(luò)設(shè)備可以訪問(wèn)每個(gè)通道，則可以同時(shí)對(duì)每個(gè)通道進(jìn)行攻擊。BC可能會(huì)將情況報(bào)告給操作員，即飛行員或領(lǐng)航員。因此，人們可能有興趣通過(guò)最小的噪聲注入來(lái)實(shí)現(xiàn)DoS，以減少被檢測(cè)到的可能。

　　此外，DoS可以以各種各樣的方式執(zhí)行。可以應(yīng)用更微妙和“優(yōu)雅”的方法，從而使攻擊者保持不被發(fā)現(xiàn)。其中一種技術(shù)是讓網(wǎng)絡(luò)設(shè)備與BC定期傳輸?shù)拿钭职l(fā)生沖突，因此RT（遠(yuǎn)程終端）永遠(yuǎn)無(wú)法解碼。同時(shí)，它也可能代表RT進(jìn)行響應(yīng)，提供虛假信息。實(shí)際上，如果命令字在BUS上發(fā)生沖突，RT執(zhí)行的消息驗(yàn)證將失敗，后者將不會(huì)提供任何響應(yīng)。因此，如果網(wǎng)絡(luò)設(shè)備提供了預(yù)期的響應(yīng)，BC就會(huì)被誤導(dǎo)，認(rèn)為通信已經(jīng)成功。該解決方案暗示了目標(biāo)消息特征的先驗(yàn)知識(shí)，以便網(wǎng)絡(luò)設(shè)備能夠恰當(dāng)?shù)亟M合BC所期望的狀態(tài)字。

　　欺騙（Spoofing）

　　這種攻擊包括利用互連子系統(tǒng)的邏輯中的錯(cuò)誤和漏洞。事實(shí)上，1553數(shù)據(jù)總線協(xié)議已經(jīng)被設(shè)計(jì)成一種高可靠性的通信手段。在通信過(guò)程中，安全性還沒(méi)有成為一個(gè)主要的角色，因此設(shè)備很容易被利用。例如，通過(guò)物理訪問(wèn)1553總線的網(wǎng)絡(luò)設(shè)備可以檢測(cè)總線上的空閑時(shí)間（即當(dāng)BC和RT都不傳輸數(shù)據(jù)時(shí)），并在該時(shí)間間隔內(nèi)發(fā)起消息交換。每一個(gè)其他設(shè)備將假定總線上的通信是由合法的BC發(fā)起的，因?yàn)樵搮f(xié)議沒(méi)有提供任何方法來(lái)識(shí)別操作為BC的終端。因此，網(wǎng)絡(luò)設(shè)備將能夠向終端提供惡意信息。

　　例如，考慮到上述制導(dǎo)武器的情況，攻擊者可以向該武器提供不屬于特派團(tuán)指定目標(biāo)的座標(biāo)，而忽略以往的任何數(shù)據(jù)。沒(méi)有設(shè)備會(huì)知道存儲(chǔ)在武器系統(tǒng)中的坐標(biāo)是偽造的，而BC將簡(jiǎn)單地忽略這種信息交換。這種攻擊的后果可能是毀滅性的：它們可能是武器沒(méi)有發(fā)射，也可能是裝置本身沒(méi)有導(dǎo)向目標(biāo)區(qū)域。

　　在執(zhí)行這種類型的攻擊時(shí)要面對(duì)的主要問(wèn)題是確定何時(shí)傳輸總線上的空閑時(shí)間。這轉(zhuǎn)換為預(yù)測(cè)消息間間隙或未使用的非周期性消息槽。事實(shí)上，網(wǎng)絡(luò)設(shè)備必須在一定程度上保證網(wǎng)絡(luò)在一定的時(shí)間間隔內(nèi)不受合法通信的影響。為了進(jìn)行這樣的分析，必須實(shí)現(xiàn)基于信號(hào)處理和模式識(shí)別的算法，這些算法能夠評(píng)估潛在的流量特征，并進(jìn)行充分的預(yù)測(cè)。

　　攻擊是如何實(shí)現(xiàn)的？

　　事實(shí)上，武器系統(tǒng)的核心正在嵌入越來(lái)越多的信息技術(shù)；因此，他們很容易受到第五維度，即網(wǎng)絡(luò)空間的攻擊。因此，需要在提及的領(lǐng)域引入彈性。D. De Santo等人的研究和最終的攻擊工具開發(fā)，遵循了如下五個(gè)基本的步驟。

　　第一步是徹底調(diào)研選定的方案，即MIL-STD-1553的漏洞在于它對(duì)時(shí)分多路復(fù)用的使用，這完全委托給了BC（總線控制器）。通過(guò)使用命令字，BC發(fā)起終端之間的通信，并編排時(shí)間和調(diào)度。因此，如果非法設(shè)備能夠估計(jì)空閑時(shí)間并發(fā)送消息，而不會(huì)與底層流量發(fā)生沖突，那么它就有可能欺騙終端并產(chǎn)生影響。在其他情況下，攻擊者可能有意在總線上主動(dòng)引起沖突，以防止或損害通信。網(wǎng)絡(luò)行動(dòng)的目標(biāo)可能是基礎(chǔ)設(shè)施本身，或與總線接口的特定系統(tǒng)。在前一種情況下，對(duì)物理層的干擾足以實(shí)現(xiàn)普遍的沖突，使合法的消息交換變得無(wú)法進(jìn)行。在后一種情況下，更深入的分析導(dǎo)致了對(duì)選擇性干擾攻擊的識(shí)別，該攻擊可能被執(zhí)行以阻止特定信息的傳輸。

　　第二步是繼續(xù)使用基于模型的系統(tǒng)工程方法，以便根據(jù)可操作場(chǎng)景的定義來(lái)驗(yàn)證系統(tǒng)架構(gòu)。采用的建?？蚣?即ARCADIA。

　　第三步是展開操作分析、系統(tǒng)分析、邏輯分析。這個(gè)過(guò)程允許作者定義四個(gè)架構(gòu)塊。接下來(lái)的階段是將建模結(jié)果轉(zhuǎn)化為一個(gè)有效的軟件。研究者用C/ c++實(shí)現(xiàn)了軟件，并利用AceXtreme SDK接口連接到DDC MIL-STD-1553板。

　　最后一步包括在虛擬和真實(shí)系統(tǒng)上進(jìn)行測(cè)試和實(shí)驗(yàn)。研究者分別進(jìn)行了阻塞、注入、選擇性注入的攻擊測(cè)試。結(jié)果表明，上述1553總線的漏洞確實(shí)可以被利用，測(cè)試的成功為進(jìn)一步的工作和研究提供了良好的起點(diǎn)。試驗(yàn)也證明了通過(guò)統(tǒng)計(jì)分析流量來(lái)注入消息而不引起沖突是可能的。另一方面，研究者還沒(méi)有能夠充分評(píng)估選擇性干擾的可行性。這主要是由于采用Windows等非實(shí)時(shí)操作系統(tǒng)引入了太多的抖動(dòng)，從而不允許實(shí)現(xiàn)幀同步。為了確定這種攻擊是否真的有效，軟件必須移植到實(shí)時(shí)操作系統(tǒng)上，如VxWorks或RT-Linux，或者更好的是，實(shí)現(xiàn)為固件或硬件執(zhí)行。

　　盡管作者認(rèn)為測(cè)試用的軟件還需要進(jìn)一步的改進(jìn)、完善和更新，以便作為演示工具或驗(yàn)證工具使用。然而，這為繼續(xù)分析航空電子平臺(tái)上的漏洞提供了堅(jiān)實(shí)的基礎(chǔ)，特別是那些部署MIL-STD-1553協(xié)議的平臺(tái)。

　　作者認(rèn)為，在這些系統(tǒng)中實(shí)現(xiàn)一些網(wǎng)絡(luò)彈性的可行解決方案應(yīng)該采取基于統(tǒng)計(jì)的入侵檢測(cè)系統(tǒng)的形式，或者通過(guò)深度學(xué)習(xí)技術(shù)的精明設(shè)計(jì)。實(shí)際上，他們的研究工作中提出的一些一般原則可以應(yīng)用于其他系統(tǒng)或協(xié)議。因此，作者進(jìn)一步認(rèn)為該項(xiàng)研究將提高人們對(duì)電子航空電子學(xué)的興趣。

　　1553數(shù)據(jù)總線的安全問(wèn)題已經(jīng)完全暴露，但其后果影響能到什么程度還缺乏深度的評(píng)估。顯而易見(jiàn)的是，這一定是涉及財(cái)產(chǎn)和生命損失的重大問(wèn)題。

　　關(guān)于1553數(shù)據(jù)總線的安全防御，下期再進(jìn)行討論。

　　（一）軍標(biāo)MIL-STD-1553數(shù)據(jù)總線存在安全漏洞，武器系統(tǒng)和航空電子系統(tǒng)面臨網(wǎng)絡(luò)攻擊危險(xiǎn)