第1章 概述

1.1 引言

本論文提出的問題是："我們能否設計出既有效又高效的審計策略來防御現代信息系統中的數據濫用？"。

幾十年來，計算和存儲技術的不斷進步一直激勵著人類和我們日常生活的數字化。這種現象深刻地改變了信息交流、決策、以及人們思考和創新的方式。由于對提高信息交流效率和保證信息準確性和完整性的卓越能力的共同信念，許多現代信息系統已經出現，通過收集、存儲和處理人類產生的數據為人類社會提供關鍵服務。電子病歷（EHR）系統是這些重大創新之一（見圖1.1a的例子），它能帶來許多好處，包括臨床人員和病人之間的有效溝通[1, 2]，通過隨時訪問提高護理效率[3]，以及減少醫療錯誤[4, 5]。金融管理信息系統（見圖1.1b為例）是另一個顯著的模式，它能實現可靠的交易服務、高效的財富管理和持續的服務提供[6]。這些系統不僅加快了人類活動的步伐，而且還重塑了日常生活的性質。

(a) Epic EHR系統的一個示例界面，顯示一個假的病人。

(b) Mifos銀行系統的一個示例界面，顯示一個假的客戶。

圖1.1: 激發本論文研究的具體領域，也是直接影響本論文研究的具體領域。

同時，不幸的是，由于這些關鍵任務的信息系統在促進人類社會方面發揮的重要作用，以及它們所擁有的數據的巨大價值，攻擊從未缺席[7, 8, 9]。雖然攻擊會導致一系列的后果，從中斷信息系統的持續運行到破壞數據的完整性，但它們的最終目標往往匯聚到對個人隱私的侵犯。2015年，美國最大的醫療保險供應商之一Anthem的醫療數據泄露事件創造了美國歷史上數據泄露的新紀錄[10]，通過對其數據服務器的犯罪黑客攻擊，影響了超過7880萬人。2017年，在針對頂級信用報告機構Equifax的攻擊中，約1.45億美國人的個人身份數據被泄露[11]。盡管大量守護安全和隱私的人工和自動篩查策略（或組合）被不斷開發和部署，但針對信息系統及其所持有的敏感數據的成功攻擊不斷登上頭條。因此，人們普遍認識到，沒有一個系統是不受攻擊的，也沒有一個系統是不受損害的，尤其是面對那些不斷適應、不斷發展、不斷改進其方式以破壞保護措施和掩蓋其真實目的的攻擊。

一個廣泛使用的防御信息系統中數據濫用的解決方案是創建并分析系統審計日志[12, 13, 14, 15]。這個簡單的想法已經被實踐了很久，并被用來支持信息系統管理的多個目標[16, 17, 18, 19]，包括在系統安全和數據隱私方面的合規性和問責制[20, 21, 22, 23]。審計日志的結構可以是異質的，但是它們通常按照 "誰在什么時間點進行了什么活動，導致了什么系統狀態 "的思路來記錄系統的事件細節[20, 21, 24]。這種機制很有價值，因為它使管理員能夠對可疑事件進行回顧性調查，這樣，在被審計時，真正的攻擊可以在造成更大損失之前被識別和阻止。更進一步的是，為了審計方便，可疑事件通常根據其特征被映射到預定義的語義類型中，每個類型都對應著不同的惡意情況[25, 26]。這些語義類型可以有多種形式，并擅長于篩選不同的威脅。例如，基于規則的機制可以很容易地挑出存儲在系統中的非常重要的人（VIP）的記錄的訪問活動，而機器學習檢測模型可以準確地找出顯示出異常系統訪問模式的惡意賬戶。然后，檢測到的可疑事件及其相應的類型會作為警報提交給系統管理員（或審計師）進行審計，這為提前制定有效的審計策略增加了復雜性。

然而，由于審計師在現實世界領域中可能面臨的幾個明顯的挑戰，審計在實踐中是非同小可的。首先，通常的情況是，審計工作量大大超出了審計的可用資源（例如，安全管理員或隱私官員的時間）[27, 28, 29]。第二，由于缺乏精確定義惡意行為的能力，導致假陽性率很高，使得審計效率低下[30, 31, 32]。第三，人類攻擊者通常根據他們的知識和對系統運行的觀察采取戰略性的行動，以減少被審計師發現的概率，這使得固定的審計模式變得脆弱[33, 34, 35]。例如，攻擊者可以通過操縱他們的攻擊行為，輕易地繞過基于警報類型重要性的審計策略或訓練有素的機器學習異常點檢測工具。第四，與需要保護的目標固定為防御者和攻擊者的先驗知識的情況相比（如機場航站樓巡邏），數據濫用審計中需要調查的對象（即警報）在一個審計周期（如一天）開始之前是未知的。

從本質上講，數據濫用審計是一項尋求將有限的調查資源分配給對抗性環境中的大量警報的任務。不幸的是，幾乎所有以前的作品在推導其策略時都未能基于審計的這一基本特征進行開發。然而，本論文將審計師和攻擊者之間的互動建模為領導者-追隨者博弈，即審計師（防御者）首先承諾采取隨機審計策略，然后攻擊者根據其觀察結果以某種目標或類型的攻擊作為回應，同時試圖將被發現的可能性降到最低。事實上，這種建模架構下的審計方案通過戰略隨機化將不確定性納入空間，并沿著現實的激勵機制擴大參與者的利益最大化，與其他方案相比，表現出固有的優勢。沿著這個建模方向，在本論文中，我們探討了各種智能審計機制設計可以實現的潛力，以提高防御的效率，甚至對數據泄露的威懾。

1.2 貢獻總結

圖1.2總結了本論文的高層次目標和相關的具體博弈建模策略。基本上，本論文從兩個不同的角度考慮設計審計機制：離線優先和在線信號（或在線警告）。在這里，我們用離線和在線這兩個詞來表示在實時數據訪問過程中，審計人員和數據用戶之間是否通過任何審計機制進行互動。特別是，我們通過回答審計師和攻擊者之間的對抗性環境的兩個問題來展開調查。1）是否有可能以一種智能的方式對警報進行優先排序，從而使審計師能夠從這種隨機的順序中獲得最大的利益，以及2）審計機制能否以一種實時的方式運作，從而使正在發起攻擊的攻擊者在成功之前被阻止。第一個觀點源于這樣的觀察：在實踐中，系統管理員或隱私官員傾向于關注極少數符合他們最大利益的警報類型的調查（或者等同于，在他們的重要性排名中最重要的警報類型）。因此，由于預算的限制，其余的很少被觸及，這為攻擊者提供了免費的午餐。除了完全脫機進行審計外，第二個觀點是探索將參與者之間的信息交流實時化（例如，當用戶請求敏感數據時），以影響攻擊者的策略選擇，甚至阻止攻擊者。雖然我們的貢獻可以應用于一般的信息服務，但在這篇論文中，我們依靠一個有代表性的用例--EHR的濫用審計來使我們的調查有一個背景，即醫療機構（HCO）的雇員（或EHR用戶）可以通過非法訪問濫用病人的數據并侵犯病人的隱私。

更具體地說，為了回答第一個問題（對應于圖1.2中的目標1），我們通過同時考慮兩個維度，建立了一個新穎的博弈論審計框架原型。1）如何確定被觸發的警報的優先順序；2）為每個警報類型分配多少預算（例如，人力資本或貨幣預算）的上限是什么。在這個博弈中，審計師就警報類型的順序和確定的預算分配策略選擇一個隨機的審計政策，而潛在的攻擊者選擇他們的記錄（如EHR）來實施攻擊作為他們的回應。我們表明，即使是該問題的高度限制版本也是NP-Hard。盡管如此，我們提出了一系列解決這些問題的算法方法，這些方法利用線性編程和列生成的組合，計算出一個近乎最優的隨機策略，以確定警報類別的優先次序。使用一個合成的數據集，在這個數據集上得出精確的解決方案是可行的，我們首先證明了我們的方法在接近最優解決方案方面的有效性，并在效率上有了極大的提高。然后，我們用1）范德比爾特大學醫療中心（VUMC）超過1.5個月的審計日志來測試整個框架的有效性，這是美國一個主要的學術醫療中心，我們分配了一個可信的回報結構，明確表示攻擊者被抓或不被抓時玩家的收益和損失；2）一個公開的信用卡應用數據集。一組廣泛的實驗結果表明，我們的方法總是優于最先進的審計策略（忽略了博弈論），無論組織的預算如何。這項調查提供了強有力的證據，證明博弈論輔助的審計可以通過在對抗性環境中優化策略選擇而有利于審計師。這已經作為同行評議的會議論文[36]和期刊論文[37]發表。

圖1.2：本論文的三個主要部分的圖形總結。

第二個研究問題旨在將對抗性建模的好處擴展到實時。具體來說，我們開發了一個概念--在線信號，并將其納入審計博弈。在高層次上，在線信號的功能如下：每當一個可疑的事件開始時（例如，請求訪問病人的記錄，系統配置文件等），系統可以實時警告提出請求的用戶（例如，通過一個有一定概率優化的彈出窗口）"這個事件可能被審計"。然后，用戶可以選擇停止（如果他們是內部人員，從而被阻止）或繼續進行當前的行動。然后，在一段時間后，這些收到信號的事件的一個子集被審計。因此，通過信號傳遞實現威懾力的最大化將我們引向一個在線優化問題，我們必須確定：1）是否應該發出警告；2）該事件被審計的可能性。

作為本論文的第二個研究目標（如圖1.2所示），我們將這個審計問題原型化和形式化為信號審計博弈（SAG），作為初始步驟，我們對審計者和攻擊者之間的互動，以及被部署時的可用性成本（即阻止正常系統用戶的現象）進行建模。我們將審計師的最優方案稱為在線斯塔克伯格信號政策（OSSP），并在理論上證明，OSSP永遠不會比在沒有信號的博弈中取得的最優方案差。我們用來自VUMC的1000萬份EHR訪問事件--包含26000多份警報--進行了一系列實驗，以說明SAG的潛力和其與現有方法相比的優勢的一致性。這已作為同行評議的會議論文發表[38]。

雖然基于信號的在線審計利用了審計師的信息優勢，有可能勝過非信號策略，但由于幾個關鍵的缺陷，SAG在實踐中表現不佳。首先，SAG假設所有攻擊者都有相同的目標，因此他們對攻擊目標的偏好是相同的。他們的偏好由攻擊被抓住或沒有被抓住時雙方的獎勵和懲罰來表示。然而，在現實中，攻擊者破壞系統或敏感數據的動機有很大不同。例如，一個HCO的員工出于好奇偷看了一個VIP的EHR，可能比一個在黑市上出售相同記錄（然后實施身份盜竊）的員工更不需要擔心。第二，按照安全博弈建模的標準假設，SAG假設攻擊者總是以無誤的效用最大化的理性行事。然而，這是一個不合理的強勢假設，因為現實世界的攻擊者可能沒有時間、精力或知識來進行準確的效用計算來選擇策略。而且經驗表明，面對現實世界的攻擊者，博弈建模中的這種假設會給審計師帶來過大的損失[39]，因為審計師可以對那些他們認為攻擊者不可能攻擊的目標保護不足。

本論文的第三個目的（如圖1.2所示）是通過解決它們的上述缺陷使在線信令審計機制變得穩健。我們引入了一個新的審計框架，我們稱之為魯棒貝葉斯SAG。首先，我們通過對SAG進行貝葉斯式的擴展，在審計環境中對多個攻擊者類型進行建模，其中審計者在選擇其審計策略時考慮了參與者的回報和偏好的不確定性。然后，由此產生的問題可以通過一個緊湊的表述來解決。第二，為了模擬現實世界中攻擊者的不完全理性，我們探索了穩健優化中的兩種不同類型的方法。1）約束攻擊者的策略選擇與他們的最優策略的最壞情況下的偏差，以及2）約束攻擊者的偏差對審計師損失的影響。我們將每種類型的約束納入實時解決穩健貝葉斯SAG的算法中，并為每種約束建立了相應的解決概念。我們研究了這些解決方案的理論屬性以及它們之間的關系。令人驚訝的是，這兩種算法，雖然視角完全不同，但在某些情況下可以導致等價，并表現出魯棒性的一致性。為了評估穩健貝葉斯SAG的性能，我們構建了兩個環境。1）與VUMC超過1000萬次真實EHR訪問的審計日志相關的真實環境（與目標2中的評估數據集相同）；2）從真實數據中得到的模擬控制環境，這使我們能夠模擬攻擊者關于其理性程度的行為。我們特別評估了我們的解決方案和最先進的審計方法在不同條件下的預期效用，以證明新的審計解決方案的價值和其可擴展性。這已經提交給一個會議進行審查。

1.3 學位論文結構

本論文的其余部分組織如下。第二章調查了相關工作。之后，我們通過將相應的問題形式化為特定的博弈論模型，推導出它們的解決方案，然后使用真實和模擬的數據集進行評估，對上述每個目標進行擴展。具體來說，在第三章中，我們將預警優先級的博弈形式化，并推導出其解決算法，以改善離線數據濫用審計。在第四章中，我們介紹了在線信號的概念，以及由此產生的模型-SAG，然后是解決方案的理論屬性和性能評估。第五章提出了考慮到多種攻擊者類型和他們在選擇策略時的不完全理性的SAG的強大框架。在第六章中，我們總結了我們的貢獻并討論了未來的工作，從而結束了論文。

摘要

欺騙技術在網絡防御領域越來越受歡迎。本文試圖將欺騙建模為非合作博弈環境下的戰略決策。我們將網絡安全系統和黑客之間的互動建模為一個攻擊者和防御者的博弈。為攻擊者引入了一個無成本的指數學習方案，其中的博弈是在一個抽象的網絡圖上進行。該博弈在主動目錄用戶網絡上模擬了特權升級攻擊的場景。欺騙，以假用戶的形式，被植入整個網絡。博弈的策略在于在網絡的不同位置放置誘餌，以阻礙攻擊者實現其目標的理想路徑。結果表明，即使是最簡單的基于欺騙的安全系統，也會大大減緩攻擊者實現其目標的速度。此外，結果表明，與節點相關的網絡參數和成本陰影在決定結果方面起著重要作用。

關鍵詞：網絡安全；博弈論；欺騙；模擬；攻擊者與防御者博弈

1 簡介

傳統的網絡安全防御依賴于基于周邊的方法（Zaliva，2008）。這些方法利用異常檢測系統，通過分析安全數據湖來應對我們的可疑事件。數據湖是收集安全網絡內不同系統日志的數據存儲。安全數據湖是巨大的，每秒鐘從各種數據源中獲取數百萬安全事件。任何異常事件都會被檢測到，并顯示給安全分析員，以檢查警報的真實性和準確性。然而，由于以下原因，這些系統并不健全。

1.大量的誤報(Axelsson, 2000)

2.捕獲、存儲和索引數據湖是一個昂貴和復雜的過程。

此外，大量的錯誤警報會給安全分析員帶來損失，導致真正的警報被遺漏的情況發生。這些系統遵循被動的防御策略，其目標是防止攻擊。這很少奏效，因為破壞目標系統的平均時間較短，而且一直在穩步下降（Leversage and Byres, 2008）。傳統的網絡周界--許多這些預防技術通常部署在這里--已經變得松散，并經常被突破。云計算、移動性和自帶設備（BYOD）以及面向互聯網的應用程序的激增，使得這些周邊防御變得無效（inc，2017）。

欺騙技術作為一種積極的網絡安全防御形式正在迅速崛起（Mitnick和Simon，2011；Almeshekah，2015；Yuill等人，2006），并被用于緩解上述情況。欺騙技術的重點是創造陷阱（欺騙/誘餌）和誘餌，并部署在現有的IT基礎設施內。所使用的欺騙手段并不是常規操作的一部分，而只是在網絡攻擊中被揭露。攻擊者或入侵者花費時間和精力來定位和訪問分布在企業網絡中的欺騙行為。他們這樣做是認為欺騙是真實的，但實際上是專門為攻擊而設置的。任何關于欺騙的操作都是對妥協的積極肯定。換句話說，在一個基于欺騙的解決方案中，一個高度積極的異常現象會宣布自己，從而減輕假陽性的泛濫（inc，2017）。

在本文中，我們制定了一個非合作性的攻擊者-防御者博弈，以模擬攻擊者和防御者之間的互動，使用欺騙作為主動防御的工具。將黑客和安全系統之間的互動建模為一個博弈的想法并不新穎（Zhuang等人，2010；Xu和Zhuang，2016）。然而，在一個圖框架內使用欺騙來定義博弈模型，之前還沒有人嘗試過。在我們的框架中，每個原子欺騙單元被認為是由真實服務單元組成的圖中的一個節點。我們把這個圖稱為抽象網絡圖（ANG）。ANG是對真實網絡圖的一種同構抽象。每個原子功能單元都是ANG的一部分。因此，由各個功能單元組成的主機本身就形成了子圖。例如，一個企業的主機有一個網卡（NC），它連接在主板上，由CPU控制。NC、主板和CPU可以被看作是企業ANG的節點。在這個主機上運行的任何應用程序或進程也將是ANG的一部分。圖1中顯示了一個代表不同類型節點的ANG樣本。我們設計了在內部ANG放置欺騙的策略，以最大限度地提高防御者獲勝的機會。不同的攻擊場景被建模和模擬，以列舉攻擊者可能遵循的不同可能性。關鍵的想法是欺騙攻擊者并誤導他，從而耗盡他的資源。

圖1. 一個企業中的抽象網絡圖（ANG）樣本

攻擊者所追求的資源之一是活動目錄（Chadwick, 2005; Metcalf, 2016）。活動目錄服務控制著廣泛的基于目錄的身份相關服務的訪問權。為了使建模更加真實，我們選擇活動目錄攻擊來進行博弈模擬。攻擊者試圖通過不同的策略來控制AD。我們將建模的重點放在使用密碼重置方法Metcalf（2016）的一種特權升級形式上。這種形式的攻擊通常被稱為重置密碼攻擊。其基本思想是利用未經授權的訪問權限授予用戶認證。為了減輕這種攻擊，我們以假用戶和假憑證的形式進行欺騙，以誤導攻擊者。我們提出了我們對這些攻擊的模擬結果和分析。

這項工作的主要貢獻和意見是：

• 使用欺騙手段制定攻擊者-防御者博弈的基于圖的新方法

• 經驗表明，部署欺騙會大大增加攻擊者實現其目標的工作量。

• 表明通過增加欺騙手段來增加圖中的節點數，即用戶數是有益的。

• 確定了圖的屬性在攻擊者和防御者之間的決斗結果中起著重要作用。

盡管我們為主動目錄攻擊建立了博弈模型，但我們的博弈模型是可擴展的，并能穩健地模擬任何基于欺騙的防御策略。本文的其余部分如下：在第2節，我們描述了欺騙和ANG背后的概念。我們在第3節中介紹了我們的工作背景。在第4節中，我們解釋了博弈的制定和包含的模型。第5節解釋我們的實驗設置。在下一節中，將介紹模擬的結果和討論。最后在第7節中對本文進行了總結，并提出了一些未來的指導意見。

圖 3. 特權升級與欺騙之間的部署。在這種情況下，攻擊者被迫探索更大的網絡。

指揮、控制、通信和情報（C3I）系統越來越多地被用于民用和軍用中的關鍵領域，以實現信息優勢、高效率作戰和更好的態勢感知。與面對大量網絡攻擊的傳統系統不同，C3I戰術行動的敏感性質使其網絡安全成為一個關鍵問題。例如，在軍事戰場上篡改或截獲機密信息不僅會破壞C3I的運作，而且還會造成不可逆轉的后果，如人員的傷亡和任務的失敗。因此，C3I系統已經成為網絡對抗的一個焦點。此外，技術的進步和C3I系統的現代化大大增加了C3I系統遭受網絡攻擊的潛在風險。因此，網絡中的敵對方使用高度復雜的攻擊載體來利用C3I系統的安全漏洞。盡管網絡安全對 C3I 系統的重要性日益增加，但現有文獻缺乏對 C3I 系統安全知識體系進行系統化的全面回顧。因此，在本文中，我們收集、分析和整合了關于C3I系統網絡安全的最新進展。特別是，本文已經確定了C3I系統的安全漏洞、攻擊載體和對策/防御措施。此外，我們的調查使我們能夠：(i)提出安全漏洞、攻擊載體和反措施的分類法；(ii)將攻擊載體與安全漏洞和對策相互關聯；(iii)提出未來的研究方向，以推進C3I系統網絡安全的最新進展。

【關鍵詞】：指揮；控制；通信；情報；計算機；監視；偵察；C3I;C4I;C4ISR;網絡安全；網絡攻擊；漏洞；對策

1 介紹

指揮、控制、通信和情報（C3I）系統是數據收集傳感器、智能計算機和異構通信網絡的整合，該系統在指揮官的監督下被授權收集、存儲、分析和傳遞戰術領域的信息。由于新的智能（如人工智能（AI）技術）和認知的敏捷性，C3I系統使組織能夠在行動中獲得并保持信息優勢、作戰效能、增加態勢感知、實時決策支持、快速溝通以及加強異構C3I單位之間的協作。此外，C3I指揮系統確保嚴格遵守組織的命令鏈，從而防止C3I單位在戰術行動中違反知情行動方針。因此，C3I系統越來越多地被用于民用和軍用中的敏感領域，如搜救任務、醫療、交通、消防、戰場、機場以及許多其他應用，在這些領域中，及時的數據傳輸和計劃執行是首要關注的目標。例如，英國政府利用C3I系統對COVID-19造成的醫療緊急情況做出了有效反應。

為了說明C3I系統在戰術行動中的意義，圖1顯示了C3I系統在軍事和民用領域的兩個應用場景--（a）戰場和（b）救援任務。在戰場場景中，C3I指揮系統和C3I控制系統分別通過不同的傳感器設備（如四旋翼飛機和近距離傳感器）收集戰術數據（例如，敵方士兵的位置和活動）。控制系統在C3I情報單位的幫助下處理原始數據，并向指揮系統提供分類信息。因此，C3I指揮系統通過協調多個軍事部隊，如士兵、直升機和裝甲坦克，執行所需的行動計劃，以實現任務目標。C3I通信系統，如衛星鏈路和其他技術（如4G/5G和射頻鏈路），使移動C3I單位（如直升機和四旋翼飛機）能夠在戰術行動中有效協作。使用類似的方法，但目標不同，在圖示的救援任務場景中，C3I指揮系統指揮救生員和救援船去拯救溺水者。在這兩種情況下，C3I系統通過在戰術行動中收集和處理敏感數據來產生所需的情報，從而實現信息優勢、作戰效能和態勢感知。

圖1. C3I系統在（a）軍事行動和（b）救援任務中的應用演示。

如圖所示，C3I系統被用于敏感領域，如軍事任務和搜救場景。所謂敏感領域，我們指的是行動出錯的后果是相當有害的領域。例如，在軍事行動中，向飛機提供錯誤的目標位置以進行炮擊，會導致嚴重的意外損失，包括人命傷亡和基礎設施的破壞。C3I應用領域的敏感性質使其網絡安全成為一個關鍵問題。例如，考慮到圖1(a)所示的軍事行動，如果近距離傳感器因為對手的攻擊而被破壞，C3I系統就會收集虛假的數據并相應地產生錯誤的指令，從而導致任務失敗。歷史事件也表明，C3I系統的網絡安全漏洞會導致重大的軍事失利。例如，恩尼格瑪機器（C3I通信系統的一部分）被破壞是二戰中德軍損失敗的主要原因之一。同樣，同樣，由維基解密于 2010 年發布的 C3I 基礎設施中托管的阿富汗戰爭文件泄露事件是軍事歷史上最大的數據泄露事件之一。這次未經授權的披露包含大約91,000份有關阿富汗戰爭的美國機密軍事記錄。華盛頓郵報》在2019年報道了另一起網絡安全違規事件，當時美國正式對伊朗的C3I軍事裝置發動了網絡攻擊。這些網絡攻擊損害了控制導彈和火箭發射器的C3I系統。在 C3I 民用領域應用方面，對洛杉磯醫院和舊金山公共交通的勒索軟件攻擊不僅擾亂了他們的 C3I 運營，還導致未經授權的敏感信息泄露。因此，大量針對C3I系統的網絡攻擊已經成為C3I系統網絡安全的一個嚴重問題。

鑒于戰術行動的復雜性在不斷增加（如國防部C3I現代化戰略），當代C3I系統已經開始利用現代技術的先進功能，如區塊鏈和云計算），以滿足戰術環境中快速響應、可靠性和業務保障等嚴格的操作要求。在當代C3I系統中融入最先進的技術，增加了復雜的網絡攻擊的潛在風險，如高級持續性威脅（APTs）。網絡威脅的可能存在于任何C3I系統組件中，如數據庫、網絡服務器和通信網絡。當對手利用系統的漏洞，造成未經授權的信息泄露、篡改和敏感信息不可用等不良后果，以及金錢和名譽損失時，對C3I系統的網絡攻擊就被認為是成功的。此外，使用最先進的技術來執行網絡攻擊，加劇了對C3I系統的不利影響。

網絡攻擊的影響越來越大，強調了設計、開發和采用適當的安全措施來保護C3I系統的必要性。因此，安全專家、系統設計者和開發者采用防御性策略，也就是廣義上的對策，以確保C3I系統免受網絡攻擊。例如，美國、英國等國家和北大西洋公約組織（NATO）等組織提出了北約架構框架（NAF）、英國國防部體系架構框架（MoDAF）、美國國防部體系架構框架（DoDAF）等架構框架，以加強C3I相關戰術系統的網絡安全。此外，還有為C3I領域開發最先進的技術服務，適應大數據、物聯網、5G通信等新興技術，以及建立網絡防御系統等措施。在目前有關C3I系統網絡安全的背景下也值得注意。除了應對措施外，明確經常被網絡敵對方利用的常見漏洞也很重要。同樣重要的是確定對手利用這些漏洞的攻擊載體。這種對漏洞和攻擊載體的探索有助于研究人員和安全專家為保護C3I系統的安全而開發所需的安全保障/對策。

圖2. 為調查C3I系統的網絡安全而確定的主題

雖然研究人員已經提出了一些對策，并明確了C3I系統的漏洞和攻擊載體，但據我們所知，目前還沒有一項調查/審查研究，旨在調查現有文獻，以系統化C3I系統的網絡安全知識體系。為了填補這一空白，我們的研究系統地收集、分析和整合了關于C3I系統網絡安全的最新進展。在調差有關這一主題的文獻時，我們只考慮了2000年以后發表的經同行評議的研究，以提供關于C3I系統網絡安全的最現代和有效的見解。根據我們對所調查的研究中提取的數據的分析，我們將本文分為三個主題（即安全漏洞、攻擊載體和對策），如圖2所示。為了對C3I系統進行深入的網絡安全分析，我們將每個主題分為兩個子主題。例如，我們描述了文獻中確定的每個安全漏洞，和如何利用安全漏洞的細節及其有害的后果。同樣地，我們報告了攻擊載體的執行情況以及它們對C3I系統的不利影響。通過對這些主題的分析和報告，我們確定了它們之間的關系以及從業人員和研究人員的未來研究領域。

我們的貢獻：綜上所述，我們的調查有以下貢獻。

• 本文對文獻中發現的C3I系統的安全漏洞進行了全面分析。細致地描述每一個安全漏洞如何被利用的細節和對C3I系統的利用后果。對已確定的安全漏洞根據C3I系統組件以創新的方法進行分類。
• 本文對適用于C3I系統的攻擊載體進行了高水平的調查。每個攻擊載體都被仔細研究，重點是其執行方法和對C3I系統的不利影響。我們根據C3I系統的組成部分（即指揮、控制、通信和情報）對攻擊載體進行了分類。
• 本文對文獻中報道的保護C3I系統網絡空間的對策進行了總體分析。描述了每種對策的方法和好處。根據C3I系統的開發和運行階段進行對已確定的對策進行了分類。此外，對每個類別進行了批判性的調查，提出了其好處和局限性。
• 本文對C3I系統的安全漏洞、攻擊載體和對策行了綜合分析。不僅詳盡的分析了攻擊載體與安全漏洞以及對策之間的獨特關系，而且還確定了未來的研究方向，以推進C3I系統網絡安全的最新進展。

值得一提的是，我們在這次調研中分析了C3I系統及其衍生系統的網絡安全問題。這些衍生系統包括指揮、控制、通信、計算機和情報（C4I）系統；指揮、控制、通信、計算機、網絡和情報（C5I）系統；指揮、控制、通信、計算機、情報、監視和偵察（C4ISR）；以及許多其他組合（例如，C5ISR和C6ISR）。然而，為了方便讀者，我們在本文中使用C3I系統這一術語來指代C3I及其所有其他的衍生系統。

2 對C3I系統的回顧

本節提供了C3I系統的概述，以幫助理解后續章節中報告的結果。特別地是，我們描述了C3I系統的組成部分和它們在戰術行動中的功能。一個C3I系統主要由四個部分組成：指揮系統、控制系統、通信網絡和情報單位。這些C3I組件相互配合運行，以執行關鍵的民事和軍事行動。在戰術行動開始時，C3I指揮和控制系統都分別通過不同的數據源（如傳感器、現場指揮員和在戰術環境中運作的C3I系統）收集戰術信息，如圖3所示。

控制系統：C3I控制系統對收到的戰術信息進行處理，以生成實現C3I任務目標所需的行動計劃。為此，C3I控制系統采用了數據計算機（如單板計算機）、數據控制器（如PLC和SCADA）以及存儲設備（如固態驅動器）。從戰術領域收集的原始數據主要通過以下三個步驟進行處理。第一步：通過從收到的信息中提取其相關特征來估計戰術情況。第2步：將估計的情況與期望的任務結果進行比較，以產生可能的行動計劃。第3步：根據戰略資源的可用性和要求（如業務質量、成本和功率），從可能的選項中選擇一個最佳行動計劃。最后，C3I控制系統與相應的C3I指揮系統共享最佳行動計劃，以便進行驗證和實施。值得注意的是，C3I情報單元為控制系統的活動提供了便利，這一點將在本節后面介紹。

指揮系統：戰術數據源通過C3I網絡接口、生態接口和安卓應用等C3I指揮系統向C3I指揮員提供態勢感知（如戰術單位的地理位置和移動）。C3I指揮員首先分析C3I控制系統的共享態勢感知和最佳行動計劃，為實現既定目標準備一個針對對手的有效策略。然后，他們通過指揮界面向在戰術環境中運行的現場指揮官和自主系統發出指令，實施最終確定的行動計劃。C3I指揮界面確保了戰術行動中嚴格的命令鏈，這可以防止網絡敵對方未經授權使用機密信息。

圖3. 每個C3I系統的組成部分在戰術行動中的作用

通信系統：C3I 通信系統支持在戰術環境中收集、處理和傳播數據期間 C3I 組件和戰術數據源之間的所有內部和內部通信。為此，C3I 通信系統連接廣泛分布的、移動的和異構的 C3I 資產（例如，傳感器、自主 C3I 系統和地面當局）以進行數據傳輸和整體通信。為了整合異構 C3I 資產，C3I 通信網絡由多功能和多樣化的數據傳輸鏈路組成，包括地面視距（例如 Link-16 和甚高頻）、地面超視距（例如聯合戰術無線電系統和合作參與能力數據分發系統）和衛星（例如窄帶和寬帶）通信設施。此外，MANET、RF 鏈路、4G/5G 和 SATCOM 等其他數據傳輸協議和技術也用于 C3I 網絡。對于異構資產之間的數據轉換，C3I 通信系統采用有效的數據交換模型（例如，JC3IEDM 和 MIEM）來增強 C3I 作戰期間異構戰術資產之間的互操作性和聯盟。

情報單位：C3I情報部門協助C3I系統進行數據處理和有效決策。不同的人工智能工具，如機器學習（ML）和深度學習（DL）模型，被用來在C3I行動中引入智能。例如，報告中提到的基于ML的降維算法，被用來從C3I數據源收到的原始信息中提取相關特征，以估計一個新出現的戰術形勢。同樣，報告中提到的基于人工智能的優化方法被用來選擇一個最佳的行動計劃。C3I情報能力不僅提高了對局勢的認識和作戰效率，而且還為C3I指揮官提供了有效決策的認知敏捷性。

3 安全漏洞

本節報告了與C3I系統的安全漏洞這一主題有關的調查結果。一般來說，安全漏洞是指系統中的任何弱點、故障或問題，攻擊者可以利用這些漏洞來傷害系統或其用戶。基于這個定義，我們確定了13個安全漏洞，分別表示為V1、V2、V3、...。V13. 我們根據相關的C3I系統組件（即指揮、控制、通信和情報）對確定的漏洞進行了分類。由于一些漏洞（如V1和V8）與多個C3I組件有關，我們在每個組件下解釋了這些漏洞的變體。此外，對于每個漏洞，我們都提供了常見漏洞和暴露（CVE）數據庫的例子，考慮到它們與C3I系統的相關性和適用性。圖4和圖5分別說明了安全漏洞和攻擊載體的總體分類，以及漏洞及其提取的研究。

圖4. 與C3I系統的指揮、控制、通信和情報部分相關的安全漏洞和攻擊載體

3.1 C3I指揮系統的漏洞

記錄和監控不足（V1）：C3I指揮系統應該配備持續的監測方法，如入侵檢測，以實現實時的未經授權的訪問識別和預防。然而，系統架構，如面向服務的架構（SOA）并不包括內置的入侵檢測和持續監控機制，因為基于SOA的系統通常用于企業應用。因此，基于SOA的C3I系統既不能實時識別入侵者，也不能長期識別受損的系統。此外，考慮到諸如OpenPegasus通用信息模型（CIM）服務器等機制可用于監測C3I系統的硬件性能和健康狀況，它可以包含這個安全漏洞，因為OpenPegasus 2.7 CIM沒有記錄失敗的登錄嘗試（CVE-2008-4315）。通過利用這個漏洞，對手可以執行許多攻擊，未經授權地訪問C3I系統，而不被發現或通知有關當局。

不安全的會話管理（V2）：許多基于網絡的C3I指揮系統使用會話來存儲用戶信息，包括服務器端存儲的會話ID，能夠唯一地識別每個用戶和他們的授權操作。如果在設計用戶認證機制時沒有采取安全措施，如加密性強的會話ID和安全的會話終止策略，就會使攻擊者從服務器中檢索到會話數據，并在未經授權的情況下進入C3I指揮系統，破壞或影響C3I系統中遵循的嚴格的命令鏈。例如，當C3I系統采用Infinispan等NoSQL數據庫軟件時，由于Infinispan-9.4.14缺乏適當的會話固定保護（CVE-2019-10158），C3I系統會受到這個漏洞的影響。

缺少功能級訪問控制（V3）：與任何其他系統類似，C3I指揮系統也有多個具有不同訪問權限的用戶。例如，系統管理員比普通用戶（如數據操作員）有更高的權限，他們通過專門的管理界面來利用這些權限。當系統的設計不正確，不能提供功能級別的訪問控制（即對每個功能進行嚴格的用戶授權）時，具有低訪問權限的用戶可以提升他們的權限，執行未經批準的操作。例如，當C3I系統利用服務管理軟件（如IBM Jazz）時，用戶可以通過利用這一漏洞（CVE-2019-4194）訪問和刪除C3I系統中的受限數據和資源。

基于角色的不安全訪問控制（V4）：正如V3所解釋的，C3I指揮系統需要管理具有多種角色和訪問權限的用戶。基于角色的訪問控制（RBAC）是一種廣泛使用的訪問控制方法，每個用戶都有一個定義的用戶角色，并有一組允許的行動。雖然RBAC系統可以促進對C3I指揮系統功能和數據的基于角色的訪問控制，但配置錯誤的RBAC系統（例如，用戶角色和其相關功能之間的映射不準確）會使關鍵任務數據被攻擊者操縱和刪除。例如，由Oracle Solaries 11.1操作系統驅動的C3I系統受此漏洞影響，允許本地用戶進行限制其用戶角色的操作（CVE-2013-5875）。

開放式重定向（V5）：在基于網絡的C3I指揮系統中，用戶依靠統一資源定位器（URL）在內部和外部C3I系統之間導航。因此，確保這些網絡鏈接經過驗證并只指向安全的C3I系統和域是至關重要的。例如，當C3I系統用戶利用基于網絡的Cisco Webex會議進行在線會議時，遠程攻擊者可以發送惡意的URL，并通過將其重定向到不安全的網頁來竊取C3I系統的用戶憑證，因為該軟件沒有嚴格驗證用戶給出的URL（CVE-2021-1310）。在這種情況下，攻擊者可以竊取C3I管理員的憑證，并使用收到的憑證來冒充管理員并執行對C3I系統的攻擊。

不安全的直接對象引用（IODR）（V6）：與V5類似，IODR漏洞也與基于網絡的C3I指揮系統的不安全訪問控制有關。在網絡開發中，使用對象的名稱或鍵來動態填充網頁是很常見的。因此，如果C3I指揮系統不驗證用戶訪問駐留在C3I系統中的數據的請求，那么對手就可以通過注入受限的內部對象引用來操縱合法的請求，從而在水平和垂直方向上提升他們的權限。例如，當C3I系統使用LogonBox Nervepoint Access Manager進行用戶認證和身份管理時，攻擊者可以利用IODR漏洞，未經授權地檢索C3I系統的用戶詳細信息（CVE-2019-6716）。

不安全的配置存儲（V7）：一個典型的C3I指揮系統由多個服務器組成，這些服務器被配置為各種功能，如網絡服務、電子郵件服務器和文件傳輸服務。一個服務器的配置存儲管理著所有已實施的安全方法、方法和技術的設置細節。服務器的錯誤配置和向未經授權的第三方披露訪問細節會導致不安全的配置存儲。攻擊者如果獲得了對指揮系統配置存儲的訪問權，就可以禁用已實施的安全機制，使C3I系統容易受到許多網絡攻擊。例如，當C3I系統配備了應用管理軟件，如ManageEngine應用管理器時，惡意的認證用戶可以利用這一漏洞來提升他們的權限。因此，這些對手可以完全控制整個C3I系統（CVE-2019-19475）。

使用COTS組件（V8）：許多C3I系統利用商業現成（COTS）組件來減少開發成本和時間。然而，由于測試和審查程序不充分，這些軟件組件中可能包含一些安全漏洞。即使是經過測試的軟件組件，有些也沒有對已知的漏洞進行修補。需要注意的是，當C3I系統采用這些與開源代碼庫相關的第三方軟件時，攻擊者可以通過對C3I系統發起攻擊來利用漏洞。例如，當C3I認證系統采用有漏洞的第三方JSON網絡令牌庫（CVE-2021-41106）時，C3I指揮系統面臨著未經授權訪問關鍵任務數據的威脅。

3.2 C3I控制系統的漏洞

使用COTS組件（V8）：與第3.1節--V8類似，C3I控制系統可能會因為使用受損的第三方軟件進行安全關鍵數據處理、存儲、監控和可視化等任務而變得容易受到網絡攻擊。因此，當C3I控制系統配備了來自惡意供應商的軟件，而沒有進行充分的安全測試以加快開發過程時，這些系統可能包含后門和預先安裝的惡意軟件。例如，當C3I系統配備了用于存儲關鍵任務數據的IBM InfoSphere服務器時，攻擊者可以通過利用這些服務器固有的不安全的第三方域訪問漏洞（CVE-2021-29875）竊取這些數據。

圖5. 已確認的C3I系統安全漏洞及其來源/參考文獻

不安全的數據存儲（V9）：C3I控制系統存儲不同類型的數據，包括關鍵的安全信息，以通過提高態勢感知和戰術決策支持來加快C3I的運作。因此，在C3I系統中，靜態數據的安全是至關重要的。由于許多原因，如硬件和軟件故障、用戶的疏忽和對手的攻擊，C3I系統中可能發生數據丟失。例如，當C3I系統數據存儲在Couchbase服務器中時，攻擊者可以訪問這些數據，因為這些Couchbase服務器以純文本方式存儲安全關鍵數據（CVE-2021-42763）。

3.3 C3I通信系統的漏洞（機翻開始）

記錄和監控不足（V1）：與第3.1節-V1類似，C3I通信系統也應該配備持續的日志和監控機制，以檢測來自被攻擊的C3I節點的惡意流量。例如，當C3I通信系統利用配備JUNOS操作系統的網絡設備時，由于該系統缺乏適當的資源分配和監控方法，攻擊者可以向這些設備發送惡意流量，使其無法用于合法的C3I數據通信（CVE-2021-31368）。

不安全的會話管理（V2）：C3I通信系統促進了廣泛的C3I節點之間的高效和安全的數據通信。例如，來自無人機的戰場數據必須傳輸到C3I控制單元進行進一步處理，來自指揮系統的命令必須與軍事部隊進行溝通，以采取必要的行動。開放系統互連（OSI）模型中的會話層負責創建、同步和終止設備間的通信通道。因此，會話層中需要SSL/TLS證書等安全方法，以實現合法的C3I節點之間的安全通信。然而，這些安全措施的謬誤實施使得對手能夠使C3I通信網絡無法用于關鍵數據通信，導致任務失敗（CVE-2021-40117）。

不安全的配置存儲（V7）：與第3.1節--V7類似，C3I系統必須采用安全配置管理系統，如思科火力管理中心（FMC）來實施和維護C3I通信系統的安全機制。然而，由于FMC系統以純文本形式存儲用戶數據，經過驗證的本地攻擊者可以檢索這些細節，并通過冒充系統管理員來禁用C3I通信網絡實施的安全防御措施（CVE-2021-1126）。

使用COTS組件（V8）：與第3.1節--V8類似，C3I通信系統也會因為使用被破壞的COTS設備（如路由器和交換機）和網絡管理工具（如Wireshark和SolarWinds）而變得脆弱。例如，由于網絡監控和管理軟件SolarWinds的漏洞，九個美國聯邦機構已經被攻破，攻擊者已經獲得了這些系統的數據和電子郵件（CVE-2021-35212）[174]。同樣地，任何使用SolarWinds第三方軟件的C3I系統都擁有未經授權訪問C3I關鍵任務數據的威脅。

不安全的OpenSSL軟件（V10）：OpenSSL是一個加密軟件，用于C3I網絡系統，支持C3I網絡系統和用戶之間的安全通信。它通過 "心跳 "信息確保在通信鏈路的另一端有一個活躍的接收器。由于OpenSSL軟件沒有實現嚴格的 "心跳 "消息驗證機制，攻擊者可以利用這些消息來訪問服務器的隨機存取存儲器（RAM）。因此，攻擊者可以利用這個漏洞，從C3I系統服務器RAM中未經授權地檢索C3I關鍵任務信息和其他安全相關數據，如證書（CVE-2014-0160）。

使用公共通信網絡（V11）：一些C3I系統使用公共網絡，如互聯網進行數據通信，以盡量減少成本。由于公共網絡默認缺乏嚴格的安全措施（如安全的虛擬專用網絡（VPN）），傳輸的數據容易受到與未經授權的訪問和數據操縱有關的對抗性攻擊。例如，當C3I組件通過沒有安全VPN通道的公共網絡進行通信時，攻擊者可以查看和篡改傳輸的數據，導致C3I運行受到影響。然而，即使使用VPN通道也不能保證通過公共通信通道傳輸的數據的保密性和完整性，因為一些VPN軟件在設計上沒有足夠的安全機制（例如，不安全的輸入驗證 - CVE-2021-1519）。

未加密的無線通信鏈接(V12):C3I系統依賴于無線通信網絡，主要是由于動員單位使用有線技術的成本和不現實。與有線通信技術相比，無線鏈路容易受到更多的攻擊，因為收發器對無線信號的傳播范圍和方向控制有限。與V3一樣，當C3I的無線網絡在設計上沒有采取必要的安全措施，如物理層加密，對手可以實施大量的攻擊，使C3I系統之間的通信鏈路失效，降低C3I行動的整體態勢感知。例如，當C3I通信系統利用具有內部數據加密過程錯誤的無線設備（如Broadcom WiFi客戶端設備--CVE-2019-15126）時，C3I關鍵任務數據可以被攻擊者解密，導致數據保密性被破壞。

無線通信鏈接斷裂(V13):如V12所述，C3I系統高度依賴于無線通信技術，以確保地理上分布廣泛的C3I資產之間的連接。然而，由于C3I資產在惡劣條件下的過度移動，無線通信鏈接經常受到影響。例如，當一個合法節點由于無線鏈路斷裂而斷開連接時，攻擊者可以通過加入被斷開連接的合法節點來滲透到C3I系統中（CVE-2020-24586）。因此，攻擊者可以在合法節點由于缺乏通信和降低態勢感知而變得脆弱的情況下進入C3I系統。

3.4 C3I情報單位的漏洞

記錄和監控不足（V1）：雖然第3.1節從C3I指揮系統缺乏入侵檢測和持續監測機制的角度解釋了漏洞V1，但在這里，我們主要關注與C3I系統中基于AI/ML的監測和記錄方法的應用和安全性有關的兩個方面。首先，我們強調C3I系統采用的基于AI/ML的方法在入侵檢測方法方面的不足。例如，機器學習分類器，如K-近鄰（K-NN）、支持向量機（SVM）和人工神經網絡（ANN）已經被廣泛用于利用安全事件日志的異常檢測。因此，C3I智能單元可以納入這些機制來檢測入侵者，并隨后實施預防方法來阻止攻擊者進入C3I系統。如果不納入這些智能入侵檢測方法，將允許入侵者通過破壞系統的完整性來訪問和執行對C3I系統的惡意攻擊。其次，我們強調在C3I情報單位持續監測AI/ML模型的性能（如準確性）的必要性。AI/ML模型受到數據和模型漂移的影響，導致不準確的推斷。例如，當C3I系統采用為其他領域訓練的AI/ML模型進行入侵檢測時，由于數據漂移，這些模型的準確性會大大降低。因此，C3I系統中采用的人工智能/ML模型必須被持續監測、測試和驗證，以確保這些模型提供準確的結果。

使用COTS組件（V7）:與第3.1節--V7類似，當C3I情報單位采用不安全的第三方人工智能/ML模型和框架，從原始數據（如傳感器數據）中生成知識（如態勢感知）時，這些單位可能變得容易受到網絡攻擊。例如，戰術C3I系統可以采用TensorFlow深度學習（DL）框架與卷積神經網絡（CNN），從衛星圖像中識別敵方領土。然而，當TensorFlow框架與NumPy包一起使用時，擁有拒絕服務（DoS）的威脅，NumPy包在AI/ML模型開發中通常被利用（CVE-2017-12852）。因此，當這些不安全的AI/ML包被用于C3I情報單位時，攻擊者可以利用這一漏洞使情報單位不可用或不響應，影響C3I的運作并導致任務失敗。

4 攻擊載體

本節報告與主題2（針對C3I系統的攻擊載體）有關的發現。攻擊載體是指攻擊者利用C3I系統中的漏洞所使用的方法。我們通過現有文獻確定了19個針對C3I系統網絡安全的攻擊向量（圖6）。我們用A1、A2、A3、......、A19表示這19個攻擊向量，以方便在本文中引用。類似于C3I系統的漏洞（第3節），我們根據攻擊向量對C3I系統組件的適用性對其進行分類，如圖4所示。由于篡改攻擊（A6）和惡意軟件（A7）可以在任何C3I系統組件上執行，我們同時報告了每個C3I組件的攻擊向量。在下文中，我們將描述攻擊向量及其對相應C3I系統組件的執行（子主題1）和影響（子主題2）細節。

4.1 C3I指揮系統的攻擊載體

蠻力攻擊（A1）:蠻力攻擊是用來獲得對C3I指揮界面的未經授權的訪問。黑客使用不同的入侵機制，如試錯法和會話ID的利用，以獲得C3I指揮官的秘密信息（如加密密鑰和登錄憑證）。因此，入侵者不僅可以獲得實時的態勢感知，還可以通過被入侵的C3I指揮界面進行惡意活動（例如，生成欺詐性指令）。

內部攻擊（A2）:內部人員指的是擁有合法訪問C3I指揮系統的惡意C3I系統操作員。當內部人員在使用C3I指揮界面時故意或錯誤地忽略了安全協議，就會執行內部攻擊。這種行為會導致敏感信息的泄露和戰術行動的終止。由于內部人員的合法訪問權限，在C3I指揮系統中檢測或防止內部攻擊是很麻煩的。

跨站腳本(A3):跨站腳本（XSS）是一種攻擊媒介，用于攻擊基于網絡的C3I命令界面，即在C3I命令界面的輸出中注入惡意腳本。當C3I指揮官訪問一個被破壞的界面時，一個已安裝的惡意腳本被激活，這使得入侵者能夠從C3I指揮系統中竊取敏感信息（例如，用戶活動）。會話劫持和用戶冒充是XSS的結果。

SQL注入（A4）：結構化查詢語言（SQL）是一種代碼，用于通過基于網絡的C3I命令界面從C3I存儲設施獲取敏感信息。當入侵者注入一個惡意的SQL查詢來訪問C3I數據庫時，就會發生SQL注入。因此，入侵者會滲出、破壞或操縱存儲在C3I數據庫中的敏感信息。例如，羅馬尼亞黑客在2010年對美國軍隊網站實施了一次SQL注入攻擊。正如DARKReading5所報道的那樣，黑客成功地進入了包含軍隊人員敏感信息的75個數據庫。

跨站請求偽造（A5）:網絡對手通過C3I指揮界面創建欺詐性的HTTP鏈接來進行惡意活動。如果一個經過認證的C3I指揮官點擊了欺騙性的鏈接，相應的惡意行為就會被執行。由于易受攻擊的網絡界面無法區分合法請求和授權用戶發送的偽造請求，因此這種指揮界面很難檢測到偽造的請求。跨站請求偽造使攻擊者能夠通過C3I指揮界面在戰術領域執行惡意命令。

圖6. 確定的C3I系統攻擊載體及其來源/參考資料

篡改攻擊（A6）：篡改攻擊，在報告中，當入侵者進行惡意活動，操縱通過C3I命令接口傳達的戰術信息時，就會執行篡改攻擊。例如，網絡參數篡改攻擊通過使用POST請求來篡改用戶的證書、操作命令和通過C3I網絡接口傳達的信息。因此，C3I指揮官無法實施所需的行動計劃，這可能導致C3I任務的失敗。

惡意軟件（A7）：惡意軟件是用來滲透到C3I系統的惡意活動，如未經授權的訪問、數據修改和滲出。惡意軟件通常通過惡意電子郵件、偷渡下載和C3I指揮系統的外部可移動設備傳播。因此，惡意軟件限制了授權用戶訪問C3I接口，為黑客提供了對C3I接口的遠程訪問，并竊取了有關指揮行動的敏感信息。

拒付攻擊（A8）：當入侵者修改C3I指令操作中執行的活動記錄時，就會發生拒認攻擊。通過使用不同的惡意策略（例如，日志注入攻擊），攻擊者會改變C3I指揮官所采取的行動的存儲信息，或者破壞他們自己在C3I行動中的惡意活動的日志。因此，損壞的日志文件使人對指揮行動的有效性產生懷疑，并在C3I的命令鏈中造成混亂。

4.2 C3I控制系統的攻擊載體

篡改攻擊（A6）：第4.1節所述的篡改攻擊，也被用來修改和編造C3I控制單元的數據計算和存儲系統中的戰術信息。入侵者進行惡意活動，如破壞數據庫配置和在程序可執行中注入惡意代碼，以操縱C3I控制系統的敏感信息。因此，C3I控制系統會錯誤地估計戰術情況，并為指揮系統生成偽造的行動計劃。

惡意軟件（A7）：與C3I指揮系統（第4.1節）類似，惡意軟件也對C3I控制系統有害。使用第三方軟件、不安全的通信連接和脆弱的操作系統[48]是在數據計算機和存儲設備中注入惡意軟件的常見方式。因此，惡意軟件會造成數據操縱、滲出和控制系統活動的中斷，從而扭曲了實現C3I戰術目標所需的行動計劃生成過程。例如，Stuxnet惡意軟件破壞了伊朗核電站使用的計算機輔助控制系統（如SCADA）以及其他30,000個IP地址的運作。

檢查時間到使用時間（A9）:C3I控制系統在制定實現任務目標的行動計劃之前，要檢查戰略資源（如作戰設備和人力資源）的可用性。當入侵者在可用資源的檢查和使用時間之間進行惡意活動（如惡意代碼注入和資源消耗）以使檢查操作的結果無效時，就會執行檢查時間到使用時間的攻擊[117]。因此，C3I控制系統用不可用/被破壞的資源準備一個行動方案，在C3I操作中執行非預期的行動。

4.3 C3I通信系統的攻擊載體

欺騙攻擊（A10）：網絡攻擊者冒充合法的C3I節點與C3I網絡連接，以執行惡意活動（例如，竊取戰術信息和插入惡意軟件）。不同的攻擊載體，如IP欺騙、ARP欺騙、DNS欺騙和MAC欺騙，被用來通過不同的通信層竊取合法C3I節點的身份。例如，開源軟件，如Kismet和Ethereal，被用來獲取或改變一個C3I系統的有效MAC地址。另一種形式的欺騙攻擊是GPS欺騙，攻擊者通過使用商業化的現成產品產生偽造的GPS信號，向戰術環境中的C3I節點提供偽造的位置、導航和時間信息。

竊聽（A11）：竊聽，也被稱為中間人攻擊，是一種被動的攻擊載體，攻擊者通過這種方式秘密地監聽兩個C3I節點之間的通信。開源網絡監控和數據包嗅探工具，如Wireshark和Tcpdump，被用來竊聽C3I的通信鏈接。竊聽攻擊的結果是未經授權披露戰術信息。例如，在第二次世界大戰期間，英國人通過被破壞的英格瑪機器竊聽了德國的軍事通信，這是德國軍隊失敗的主要原因之一。

淹沒式攻擊（A12）：當攻擊者向目標C3I節點發送大量的流量，以破壞其在戰術環境中對其他C3I節點的服務時，就會實施泛濫攻擊。大流量，如SYN泛濫和PING泛濫，會消耗目標C3I節點附近的服務器的可用帶寬。因此，來自其他C3I節點的合法數據包無法從受影響的服務器上傳輸。因此，目標C3I節點會從C3I通信網絡中斷開連接。

干擾攻擊（A13）：干擾攻擊使C3I系統對C3I通信網絡中的其他C3I節點不可用。黑客采用不同的干擾策略，如持續干擾和欺騙性干擾，使C3I通信系統中與目標C3I節點相關的數據傳輸鏈接失效。因此，受影響的C3I系統的服務，與被禁用的通道相連，對其他C3I戰術節點來說是不可用的。 黑洞攻擊（A14）：在戰術性城域網中，為數據傳輸尋找最短路徑的路由發現過程是必要的和不可避免的。黑客在路由發現過程中，通過發送虛假的路由回復信息，即惡意節點擁有所需的最短路徑，來利用這一城域網特征。因此，源C3I節點通過惡意節點建立了一條通往目的地C3I節點的數據傳輸路線，這導致了通信中斷和敏感信息的泄露。

趕路攻擊（A15）：當攻擊者節點在戰術性城域網的路由發現過程中收到一個路由請求（RREQ）時，就會執行急速攻擊。攻擊者節點在任何其他C3I節點在網絡中轉發相同的RREQ數據包之前，立即將RREQ數據包發送到所有C3I節點。這樣一來，所有其他的C3I節點都認為來自合法的C3I節點的RREQ是重復的，所以他們拒絕合法的RREQ。因此，攻擊者節點總是包括在數據傳輸路線中，這可能會導致戰術性城域網中的拒絕服務和竊聽（A11）。

蟲洞攻擊（A16）：當至少有兩個攻擊者節點在戰術性城域網的戰略位置上定位時，就會發生蟲洞攻擊。在路由發現過程中，攻擊者節點在彼此之間進行RREQ數據包的加密。當目的地節點收到通過隧道傳輸的RREQ數據包時，目的地節點發現惡意路線是網絡中最短的路線，并丟棄從其他合法C3I節點收到的所有其他RREQ數據包。這樣一來，攻擊者節點就成了C3I戰術性城域網中數據傳輸路線的一部分。蟲洞攻擊可能導致C3I領域的數據篡改（A6）、中間人攻擊（A11）和數據外泄。

重放攻擊（A17）：中報告的重放攻擊，分三個步驟進行。第一步：通過使用網絡監控工具監控C3I通信鏈路。第2步：截獲敏感信息，如登錄憑證和C3I行動計劃細節。第3步：重放截獲的數據包，欺騙接收的C3I節點。因此，合法的C3I節點認為攻擊者節點是真實的C3I節點，這導致了C3I系統中敏感信息的未經授權的泄露。

路由攻擊（A18）：路由攻擊是在C3I通信網絡的路由協議上執行的，以破壞戰術環境中的C3I服務[45, 61, 85, 125, 136, 178]。網絡對手使用不同的惡意戰術，如路由表溢出[175]和路由表中毒[160]，對C3I通信系統實施路由攻擊。結果，C3I系統無法與其他合法的C3I節點進行連接，這使得他們的服務在C3I網絡中無法使用。

缺乏同步性攻擊（A19）：廣泛分布的C3I系統之間的時間同步是通過使用不同的協議（如參考廣播同步、定時同步協議和泛濫的時間同步）來確保執行協作的C3I操作。然而，這些時間同步協議的設計并不安全。因此，黑客會破壞這些協議，在分布式C3I環境中分享偽造的時間信息，這就造成C3I節點之間缺乏時間同步。因此，不同步的C3I節點對時間關鍵的C3I行動的操作協調產生了不利的干擾。

蠻力攻擊（A1）：網絡認證機制，如Kerberos和WPA/WPA2，被用來保護戰術環境中的C3I通信系統。這些認證機制需要用戶憑證（即用戶名和密碼），以允許授權用戶訪問網絡資源。網絡對手使用最先進的暴力攻擊工具（如Reaver6和Fern-Wifi-Cracker7）來猜測授權用戶的證書，以便與C3I網絡連接。因此，對手可以竊聽和攔截通過C3I通信鏈路傳輸的敏感信息。

篡改攻擊（A6）：入侵者修改和編造通過C3I通信鏈路傳輸的敏感信息。為此，攻擊者首先通過使用不同的攻擊機制（如黑洞攻擊（A14）和欺騙攻擊（A10））滲透到C3I網絡，然后，他們或者修改傳輸中的數據包，或者將自己的惡意數據注入到傳輸的敏感數據中。結果，被篡改的信息扭曲了態勢感知、C3I作戰活動和決策過程。

惡意軟件（A7）：不安全的通信鏈路有利于惡意軟件在C3I戰術環境中從一個系統傳播到另一個系統。通過這種方式，黑客創建了一個由受損的C3I系統組成的網絡，稱為僵尸網絡，以在C3I網絡中進行惡意活動。例如，僵尸網絡通過對目標C3I系統進行淹沒式攻擊（A12）來執行分布式拒絕服務攻擊，破壞其C3I通信服務。因此，受影響的C3I系統無法與C3I網絡中的其他合法系統進行通信，從而破壞了C3I的戰術運作。

4.4 C3I情報單元的攻擊載體

篡改攻擊（A6）：除了其他C3I組件外，篡改攻擊也會在C3I情報單元上執行。例如，數據中毒攻擊是一種對抗性攻擊，它將惡意樣本添加到ML/DL模型的訓練數據集中，在數據處理過程中操縱C3I情報作業。結果，受感染的ML/DL模型會誤解C3I的戰術情況，并相應地編制一個偽造的行動計劃，最終損害C3I指揮系統的決策過程。

惡意軟件（A7）：為了檢測C3I系統中的惡意軟件，安全專家用預期的惡意軟件樣本訓練ML/DL模型（例如MalConv）。然而，先進的對手會對惡意軟件進行修改，如改變頭域和指令序列，以逃避C3I系統中惡意軟件檢測的ML/DL模型。這些逃避性的惡意軟件變體被稱為對抗性的惡意軟件二進制，它們成功地滲透到C3I系統中進行惡意活動，如第4.1節所述，而不被ML/DL模型檢測到。

5 對策

本節報告了與主題3有關的調查結果，即為確保C3I系統安全而提出的對策。反措施是指用于保護C3I系統的保障措施或防御措施。我們從審查過的論文中提取了40項對策。與安全漏洞和攻擊矢量不同，反措施并不直接與C3I系統的組成部分相聯系。因此，我們將提取的反措施分為兩大類：開發和運行。開發類的對策是在C3I系統的開發過程中利用技術（如安全需求分析和安全設計模式/戰術）來幫助構建安全的C3I系統。與此相反，操作類的對策旨在確保C3I系統在運行中的安全。在圖7中，C1、C2等是指本文中使用的對策的標識符，用來指代各自的對策。

圖7. 確定的對策及其各自的類別

5.1 發展

如第2節所述，C3I系統收集、處理、存儲和傳輸關鍵數據，以支持敵對環境下的戰術行動。因此，在開發C3I系統時，必須將C3I系統的安全性視為一個重要的質量屬性。換句話說，安全問題不能作為事后的考慮，而是需要在開發過程的一開始就加以考慮。如圖7所示，我們將開發類的對策分為以下三類。此外，我們還報告了每個類別的好處和限制。

5.1.1 安全需求分析

在設計/實施一個C3I系統之前，重要的是要分析、指定和理解C3I系統的安全要求，并考慮到其運行環境。這樣的分析和理解有助于C3I系統的設計者納入相應的安全措施，以解決指定的安全要求。因此，研究人員報告了開發安全C3I系統的安全要求（C1至C6）。

OZTURK等人（C1）建議使用數字證書、數字簽名、防火墻和智能卡來保證戰術信息安全。此外，安全設計模式也被建議用于開發安全的C3I系統。同樣，Li等人（C2）建議使用擴頻、專線、即時/定向射頻通信和跳頻方法來避免截獲不同C3I組件和戰術數據源（如傳感器）之間的通信信號。該研究還建議使用偽裝技術和設備（例如，反雷達和反紅外線裝置），特別是在指揮系統中，以防止敵人的偵察。此外，Bingman（C3）提出了幾項指導方針，重點是在有爭議的C3I網絡空間環境中保護關鍵信息。所提出的準則解決了包括但不限于信息優先級、風險評估、安全基礎設施和商業網絡等挑戰。C4）中的作者描述了C3I系統中數據安全的安全工程和信息安全原則（例如，ISO/IEC 17799和AS/NZS 4360）。對于加拿大的C3I網絡操作，Bernier等人報告了各種建議（C5），以解決網絡環境的動態性質和不明確的邊界的挑戰。例如，作者建議在C3I行動中，將計算機網絡攻擊、防御和開發行動相互結合起來，以獲得其網絡空間的整體情況。關于北約聯合任務網絡的挑戰，Lopes等人（C6）研究了使用三種技術（即軟件定義的網絡、網絡安全功能和網絡功能虛擬化）來實現安全策略評估的自動化，并在C3I系統的不同組件之間實現安全信息交換功能。

5.1.2 安全的架構支持

在這一節中，我們將描述C7到C15的對策，這些對策主要是在架構/設計層面上保障C3I系統的安全。所回顧的研究在設計C3I系統時使用了不同類型的架構風格。這些風格包括面向服務的架構、基于云的架構、基于區塊鏈的架構，以及為C3I系統明確設計的安全架構。

面向服務的C3I架構：C3I系統由異質組件（如決策支持系統、性能監測工具和信號處理控制器）組成，這些組件在地理上是分散的，并通過不同的通信機制（如4G/5G和Wi-Fi）連接。因此，面向服務的架構（SOA）通常被認為很適合設計戰術C3I系統。除了增強安全性外，SOA還有助于C3I系統在這些異構的系統組件之間實現互操作性、可擴展性和平臺獨立性。盡管有這些優點，研究人員已經發現了阻礙SOA成功納入C3I系統設計的安全限制，并提出了各種措施來克服這些挑戰。Gkioulos和Wolthusen以及Rigolin和Wolthusen提出了安全策略建模的方法（C7），用于設計基于SOA的安全戰術系統。作者利用帶有描述性邏輯的網絡本體語言來設計和實現這些安全策略。隨后，Gkioulos等人提出并驗證了一個框架（C8），用于設計基于SOA的安全C3I系統。他們聲稱，除了安全之外，所提出的框架還提供了動態變化的網絡條件下的配置靈活性，增強了性能并改善了信息流。

基于云的C3I架構：采用云計算技術提供了許多好處，如方便訪問、降低成本、部署靈活、低維護和C3I系統的及時性。然而，云計算也引入了安全問題，如數據保密性的破壞和安全配置的錯誤。因此，將云技術納入C3I系統需要更加關注C3I系統的安全設計。Jahoon等人提出了一個安全架構（C9），由三層（即虛擬化、物理和操作）組成，具有不同的功能，以確保整個系統的安全。所提出的架構是建立在他們的研究結果之上的，例如需要服務器虛擬化安全（如管理程序和公共服務器安全）來設計基于云的安全C3I系統。此外，Abdullah等人還指出，用戶責任管理、準確的系統配置和不間斷的服務維護是必須納入基于云的C3I系統中的一些安全必要條件。

基于區塊鏈的C3I架構：區塊鏈技術為C3I系統提供了許多優勢，包括任務關鍵數據的安全存儲、傳輸和處理。因此，研究人員利用區塊鏈技術來設計和實現安全的C3I系統。Akter等人提出了一種基于區塊鏈的分布式智能合約方法，用于安全C3I數據傳輸（C10）。通過模擬研究，作者驗證了基于區塊鏈的方法與實時排隊和基于排隊理論的傳統方法相比，在安全信息傳輸方面是有效的。在一項類似的研究中，Akter等人實施了一個區塊鏈輔助的加密點對點（P2P）網絡，用于C3I節點之間的安全數據通信。在這種方法中，研究人員使用中央云服務器來存儲合法的節點ID及其公鑰，以方便本地邊緣服務器識別入侵者。從可信機構（C11）之間的數據共享角度來看，Razali等人提出了一種基于智能合約的方法，支持合法用戶之間的智能數據管理（即生成、編輯、查看和存儲）和傳播。該方法對分布式和去中心化數據庫的使用為來自不同來源（如傳感器、人類和網絡）的數據提供了更高的保密性和可用性。

C3I系統的其他安全架構：在這里，我們詳細介紹了為保護C3I系統安全而提出的新的架構的對策。例如，考慮到對安全通信的架構支持（C12），Jin-long等人提出了一個基于網關-代理方法的多聯邦架構，促進聯邦間和聯邦內的安全數據傳輸。他們通過一個雙代理機制擴展了他們的方法，以避免通信開銷問題。同樣，Alghamdi等人提出了一個以網絡為中心的架構，用于安全C3I系統的互操作通信機制。為了進一步提高C3I通信網絡的安全性，該架構配備了多個防火墻和入侵者檢測系統。對于C3I系統的敏感數據安全（C13），Guturu提出了一個基于AND-OR復制算法的分布式數據庫管理架構。作者聲稱，與2相和3相提交方法相比，所提出的架構通過高故障耐力和對攻擊的復原力提高了C3I系統的數據存儲安全性。在另一種方法中，Seungjin Baek和Young-Gab Kim提出了一個專注于C3I系統中大數據安全的四層安全架構。這四層（即應用、大數據平臺、數據和基礎設施）為C3I系統的數據生成、數據處理和數據使用過程提供了安全性。我們還確定了幾項對策，重點是保障C3I系統整體架構的安全。從保護下一代C3I系統（C14）的角度來看，Perkinson介紹了下一代C3I系統網絡安全的整體方法，包括四個主要階段：檢測、關聯、可視化和響應。作者根據一項試點研究的經驗教訓，討論了未來C3I系統設計中必須考慮的關鍵發現（例如，自動化在決策過程中的重要性）。在另一項研究中，Theron和Kott設想未來的C3I系統應配備自主網絡防御（ACyD）方法，以對抗自主智能惡意軟件（AIM）攻擊。他們認為自主智能網絡防御代理（AICAs）是未來C3I系統應配備的一種可能的安全機制，以抵御AIM攻擊。為了開發下一代C3I系統的通用網絡理論，Ormrod和Turnbull調查了現有的多國網絡理論（如美國、英國、澳大利亞和加拿大），并提出了一個嵌套領域模型。作者表示，所提出的模型為未來的C3I網絡行動提供了一個靈活和完善的概念框架。

關于開發安全架構的支持性技術（C15），Alghamdi等人建議，威脅建模技術可以應用于確定與C3I系統相關的安全要求、脆弱性和威脅。他們強調了通過采用自上而下的威脅建模方法在C3I系統架構層面嵌入安全的必要性。此外，Alghamdi等人還展示了一種系統化的方法來捕捉威脅，并在考慮C3I系統整體架構的情況下制定安全防御措施。研究人員利用保證案例法和索賠論據證據工具，分別對安全架構進行建模和可視化。同樣，Biagini和Corona利用建模和模擬即服務（MSaaS）范式來認識和展示可以納入反無人駕駛系統的工具，考慮到未來C3I系統的安全。

5.1.3 攻擊影響分析

攻擊影響分析是指對C3I系統上的攻擊載體的不利影響的研究。攻擊影響分析有助于預測攻擊矢量可能產生的后果，也可以突出C3I系統設計中的安全漏洞。下面的對策，C16到C21，介紹了C3I系統中攻擊影響分析的不同方法。

Fang等人評估了C3I系統的兩類網絡影響（即系統結構受損效應和結構效率降低效應）。作者提出了數學建模和仿真研究（C16），通過不同的統計參數，如連接率和信息效率來評估攻擊影響。同樣，金鋒等人（C17）利用信息流參數，如情報、指揮和控制以及協作信息流參數，計算了C3I系統的結構效應（即受損效應和回退效應）。Bernier等人專注于指標驅動的網絡影響分析，提出了一個指標框架（C18）來評估C3I系統中網絡行動的影響。研究人員主要考慮了三個指標（即部隊有效性、指揮控制有效性和性能的衡量標準）以及美國國防部框架和目標-問題-指標范式來評估C3I系統的網絡影響。

由于仿真研究為分析攻擊對C3I系統的影響提供了成本、時間和功率的有效途徑，研究人員已經進行了仿真研究，以調查網絡對C3I系統的影響。例如，Mursia等人（C19）在EXata/Cyber模擬器中創建的C3I城域網環境中執行了三種攻擊矢量（即竊聽（A11）、洪水攻擊（A12）和干擾攻擊（A13））。研究人員從網絡參數方面分析了網絡影響：吞吐量、延時和抖動。同樣地，Morton等人進行了一項模擬研究（C20），以執行軍事網絡行動。作者報告了網絡攻擊的幾個不利影響，如未經授權的使用、攔截和C3I系統的退化。另一種模擬方法，稱為網絡模擬地形（C21），是基于本體網絡表示法，用于模擬計算機網絡（如C3I網絡）的網絡資產和系統。作者在模擬計算機網絡操作中調查了心臟出血漏洞（V11）的影響。

5.2 行動對策

作戰對策是指為保護戰術行動中的C3I系統而提出的安全機制。現有的文獻報道了用于保護C3I操作安全的入侵檢測機制、密碼技術和訪問控制方法。在下文中，我們將描述所提出的對策，以及它們的好處和限制。

5.2.1 入侵檢測

入侵檢測機制的目的是檢測對C3I系統的網絡攻擊。當涉及到網絡安全時，時間是一個關鍵因素。越早發現攻擊，攻擊就越早被控制/緩解。根據研究，及時發現攻擊可以使攻擊的成功率降低97%。然而，通信網絡的噪音和有限的資源損害了入侵檢測機制的有效性，這導致了在時間關鍵的C3I行動中產生假警報和通信開銷。戰術領域，如災害管理和救援行動，由于其敏感的性質，不能忍受C3I行動中的這種異常情況。因此，研究人員提出了以下有效的入侵檢測方法，即C22至C26，以確保迅速檢測C3I戰術系統中的入侵。

Shaneman等人提出了一種具有成本效益的機制，稱為內在光纖監測（C22），用于檢測C3I網絡中用于數據傳輸的光纜的入侵。研究人員通過實驗證明，內在光纖監測器在檢測C3I系統中的惡意活動（如篡改攻擊（A6））時，既不會干擾C3I網絡資源（如帶寬），也不會產生錯誤警報。為了早期檢測入侵行為，Manes等人提出了一個攻擊管理框架（C23），該框架將網絡漏洞模型（即漏洞分析）與攻擊模型（即攻擊樹）相結合，以檢測C3I網絡中多階段攻擊載體的早期跡象。所提出的架構也有利于C3I網絡中入侵者活動的可視化，這有助于安全專家實時準備針對網絡對手的行動方案。

為了發現戰術性城域網中入侵者的惡意活動，[145]中提出了一個基于多實例多標簽學習協議的輕量級C3I監控系統（C24），與看門狗計劃和數字簽名等現有解決方案相比，該系統在C3I網絡中造成的計算和通信開銷較少。關于基于SOA的C3I系統的安全性，Jorma和Jan[86]開發了一個由四種設計模式（即鏈接列表、沙盒、事件總線和監視器）支撐的入侵者檢測系統架構（C25）。所提出的架構使用主動和被動監測技術，如檢測和報警規則，用于檢測基于SOA的C3I系統中的入侵者。Kwon等人[100]提出的另一個機制，提出了一個基于Wiener濾波器、MIRtoolbox和ML模型（即支持向量機）的基于人工智能的C3I設備識別器（C26）。所提出的機制被用于數字取證，以檢測C3I數據庫存儲數據中的惡意活動（例如，數據刪除和修改）。

5.2.2 密碼學

密碼學是一個對敏感信息進行編碼和解碼的過程。考慮到C3I戰術行動的關鍵性（第1節），密碼學已經被用于C3I系統，以防止敏感信息的未經授權的泄露。為此，加密功能和它們各自的加密密鑰被用來加密和解密C3I系統之間存儲和傳輸的戰術信息。C27到C34的加密機制主要集中在戰術環境中的加密密鑰管理，以確保C3I系統中實時數據傳輸和存儲的安全。

密碼鑰匙管理是指戰術C3I系統中密碼鑰匙的生成、交換、存儲、刪除和替換過程。一般來說，加密密鑰管理方案在計算和網絡資源使用方面都很昂貴，這導致了C3I戰術操作中的通信開銷和延遲。因此，現有文獻提出了在C3I系統中管理加密密鑰的有效方法。例如，Kang等人（C27）使用對稱密鑰算法，根據C3I系統中安全風險的嚴重程度生成不同長度的加密密鑰。所提出的機制在戰術領域同時提供了C3I系統的安全性和最佳QoS。Chudzikiewicz等人專注于能源效率，引入了一種安全的密鑰管理機制（C28），其中中心節點使用量子隨機數發生器生成加密密鑰，并通過C3I節點之間的安全會話管理在C3I網絡中分發。研究中提出的另一個密鑰管理流程（C29）使用HenLogRandom Key Generator來生成安全密鑰，在C3I系統中使用的衛星圖像的加密過程中提供了高度的混亂和擴散。此外，Furtak等人提出了一種基于對稱密鑰密碼學的時間和內存高效的密鑰管理方法（C30），以確保C3I網絡的網絡接入層的安全。作者還提出了一種非對稱加密方法（C31），該方法更具有時間效率，用于C3I系統的密鑰管理和安全數據傳輸。為了保證加密密鑰分配過程的安全，Matt等人提出了一種C3I節點之間的非交互式基于身份的密鑰共享方案（C32）。所提出的機制在C3I系統中生成和共享加密密鑰時消耗的計算能力和網絡資源（如帶寬）較少。

除了上述的密鑰管理解決方案外，最先進的技術還報道了在戰術環境中保護敏感數據的數據加密技術。例如，Romero-Mariona等人推出了一個名為CEALICIAN（C33）的加密設備，該設備使用NSA-Suite B加密算法，以高數據率實時加密或解密敏感信息。CEALICIAN著重于更少的功耗和外形尺寸，以解決C3I系統的尺寸、重量和功率要求。此外，Abdullah等人（C34）對C3I系統的三種數據加密方法（即高級加密標準，Ron Rivest、Adi Shamir和Leonard Adleman，以及量子加密）進行了定性評估。根據他們的研究結果和C3I系統的關鍵性，得出的結論是，與其他被考察的加密方法相比，高級加密標準更適合于C3I系統。

5.2.3 訪問控制

訪問控制是指允許授權用戶（如現場指揮官和決策者）訪問C3I系統的安全機制。正如第2節所述，C3I系統遵循嚴格的命令鏈。有多個具有不同訪問權限的用戶來執行C3I操作。因此，訪問控制機制 對C3I系統來說是必要的。由于戰術任務的成功、生命和財產在很大程度上取決于訪問控制機制。[117]，C3I系統應該采用可靠、靈活和高效的訪問控制方法來防止 在戰術領域的未經授權的訪問。因此，研究人員專注于開發有效的訪問控制機制。C35至C40，用于戰術C3I系統。

Zachary提出了一種基于單向累加器的去中心化方法（C35），用于認證分布式C3I網絡中的合法節點。所提出的機制在動態C3I網絡中安全地管理所有C3I節點的節點成員名單，同時利用較少的計算和網絡資源（如功率和帶寬）。同樣，為了防止C3I系統中的未授權訪問，還提出了一種具有成本效益和功率效率的技術，稱為數字超聲波傳感器網絡技術（C36）。數字超聲波技術優于現有的替代技術，如紅外線、藍牙和超寬頻等。為了確保C3I系統中橫向和縱向命令鏈的訪問控制，Jarmakiewicz等人提出了基于XACML和WEB服務的多級安全和多個獨立級安全機制（C37）。提出的機制在授權合法用戶操作C3I系統方面具有時間效率。同樣，Maule提出了一個多級安全框架，稱為多層本體安全模型（C38），通過使用不同的授權級別來保護軍事信息系統數據。論文中報告的另一個多層模型（C39）被用來在C3I系統中實現認證、授權和問責。多層方法提供了一個路線圖，用于管理基于操作要求的綜合服務（如SOA架構）中的訪問。為了在C3I指揮層次中進行有效的訪問控制，Maschino比較了集中式和分散式C3I系統中基于角色的訪問控制（RBAC）機制的不同組合（即集中式和分散式）（C40）。因此，作者推薦了一種混合RBAC機制，以確保C3I系統中基于角色的認證。

6 討論

在本節中，我們分析了第3、4和5節中報告的研究結果。基于我們的分析，我們在攻擊載體、漏洞和對策之間建立了一種獨特的關系。此外，我們提出了未來的研究方向，以指導研究人員和從業人員推進C3I系統的網絡安全文獻。

6.1 將C3I攻擊載體映射到漏洞上

雖然第3節和第4節分別描述了各個安全漏洞和攻擊載體，但它們沒有顯示任何關聯或關系（即一個特定的攻擊載體如何利用C3I系統的漏洞）。因此，為了支持從業人員和開發人員建立安全的C3I系統，我們闡述了C3I系統的安全漏洞和攻擊向量之間的映射關系。我們的映射是基于從通用攻擊模式列舉和分類（CAPEC）和通用弱點列舉（CWE）數據庫中提取的數據。CAPEC提供了一個用于利用已知漏洞的攻擊向量的字典。另一方面，CWE規定了已知的硬件和軟件漏洞的清單。

如圖8所示，我們首先將確定的C3I攻擊向量與CAPEC攻擊進行映射，并提取其相關的CWE號碼。然后，我們將相應的CWEs與從調查研究中提取的C3I安全漏洞進行映射。例如，首先，我們根據調查研究和CAPEC數據庫中提供的信息，分別將蠻力攻擊（A1）映射到CAPEC-112：蠻力攻擊。其次，CWE-521：薄弱的密碼要求被確定為上述CAPEC攻擊的對應CWE。第三，我們將這個CWE與不安全的配置存儲（V7）聯系起來，因為使用弱密碼是導致不安全的配置存儲的根本原因之一。由于我們確定的所有攻擊向量和漏洞在CAPEC和CWE中并不存在，我們參考了外部資源（例如白皮書和博客），通過確定已確定的漏洞和攻擊向量之間的其他可能聯系，使這種映射更加全面。例如，我們將洪水攻擊（A12）與記錄和監控不足（V1）漏洞進行了映射，因為缺乏網絡流量監控，攻擊者可以用大量的惡意數據淹沒C3I節點，阻礙合法C3I節點之間的通信。

圖8. 繪制C3I攻擊媒介和漏洞的方法。CAPEC（通用攻擊模式列舉和分類和CWE(常見弱點列舉)

如圖9所示，一個漏洞可以被多個攻擊利用（例如，漏洞V1可以被攻擊向量A1、A2、A8和A12利用），一個攻擊向量可以利用多個漏洞（例如，攻擊向量A1可以利用漏洞V1、V2、V6和V7）。因此，它反映了在設計安全防御措施之前，有必要采用調查機制，如威脅建模，以確定漏洞和攻擊載體之間所有可能的關聯。例如，為了防止C3I系統中蠻力攻擊（A1）的執行，開發人員不僅要考慮實施密碼學上強大的用戶憑證存儲，而且還要納入足夠的入侵檢測和預防機制。如圖9所示，使用COTS組件是可以被所有確定的攻擊載體利用的。這是因為在C3I系統中使用脆弱的COTS組件會使系統暴露在幾個攻擊向量之下，因為這些第三方組件可能包含有意的（如后門）或無意的（如測試不足）安全缺陷。因此，它強調在將這些組件集成到C3I系統之前進行嚴格的安全和質量測試。此外，我們建議，在C3I系統開發過程的設計階段，必須將這種測試和質量檢查作為一個強制性程序納入其中。惡意軟件可以通過不同的滲透方式（如通過網絡和從互聯網下載），直接和間接地利用漏洞，這種方式有很多。因此，在這個映射中，我們認為惡意軟件可以利用所有報告的C3I漏洞。例如，惡意軟件可以利用V7：不安全的數據存儲，訪問C3I系統的安全關鍵數據。另一方面，惡意軟件可以利用V1: 記錄和監控不足的漏洞，窺探C3I的運作。因此，我們強調在C3I系統中采用惡意軟件檢測方法（如AI/ML和模式挖掘）的要求。

圖9. 已確定的C3I攻擊載體和漏洞之間的映射關系

6.2 將C3I攻擊媒介映射到對策上

正如上一小節所討論的，現有文獻沒有報告攻擊載體、漏洞和對策之間的明確關系。因此，與攻擊-漏洞映射類似，我們將攻擊向量映射到反措施，以證明哪些反措施可以保護C3I系統免受哪些攻擊向量的影響。這種關系積累了針對某個攻擊向量的可能對策，這有利于研究人員和從業人員確定針對某個攻擊向量的解決方案。由于攻擊向量和反措施可以通過多種方式聯系在一起，我們專注于在它們之間建立一種明顯的關系。為此，我們開發了一個兩步法來收集已報告和未報告的獨特的攻擊-反措施關系。在第一步中，我們直接從現有文獻中確定了攻擊載體和反措施之間的關系。例如，論文中報道的可變加密密鑰長度（C27）提供了對蠻力攻擊（A1）的保護。同樣，基于人工智能的C3I設備識別器（C26）可以檢測C3I數據庫中的敏感數據操作（A6）。在第二步，我們徹底分析了攻擊載體和反措施，以確定它們之間的關系。例如，CEALICIAN（C33）對通過C3I通信鏈路傳輸的敏感信息進行加密和解密，這阻礙了竊聽攻擊（A11）。同樣，非交互式密鑰共享方案（C32）減輕了數據傳輸過程中的篡改攻擊（A6）的機會。因此，我們將C33和C32分別映射到A11和A6。通過這種方式，我們通過兩步法在攻擊載體和對策之間建立了明顯的關系。圖10顯示了攻擊向量與相應對策的映射關系。

圖10. C3I攻擊向量和對策之間的映射。C1至C21適用于開發階段，C22至C40適用于C3I系統的運行階段。

我們觀察到，有關C3I系統開發階段的對策（即C1到C21）為保護C3I系統免受大多數（如果不是全部）攻擊媒介的影響提供了整體建議。例如，設計安全的C3I通信系統（C12），如果嚴格執行，可以防止幾個攻擊向量，如A6、A7、A10、A11、A12、A13、A14、A15、A16、A17和A18。同樣，基于區塊鏈的設計模式（即C10和C11）不僅可以防止針對C3I通信鏈路的攻擊載體（即A10和A11），還可以防止C3I系統中的拒付攻擊（A8）。因此，如圖10所示，與開發類別相關的對策（即C1至C21）提供了針對大多數攻擊載體的解決方案。然而，采用C3I系統的組織由于其有限的專業知識、財政和技術資源，無法一下子廣泛地實施安全措施。因此，我們強調，在開發C3I系統時，需要優先考慮安全措施。為此，我們主張研究人員和從業人員應該首先分析C3I系統的操作和環境條件，然后在開發C3I系統的過程中實施相應的臨時性對策。

關于行動對策（C22至C40），我們觀察到在C3I系統中提供入侵檢測、密碼學和訪問控制能力的安全工具之間缺乏互操作性。例如，檢測對策基于AI的C3I設備識別器（C26）只檢測到篡改攻擊A6的執行，但是，為了防止A6，需要實施預防性對策非交互式密鑰共享機制（C32）。相反，在沒有檢測性對策（如C22至C26）的情況下，預防性對策（如C27至C40）需要更多時間來阻礙攻擊載體的執行。因此，我們斷言，研究人員應制定新的防御機制，不僅要能整合安全工具，而且要有足夠的靈活性，以適應新的安全工具，在時間緊迫的C3I系統中有效地檢測和預防攻擊載體。

6.3 未來的研究領域

基于第3、4、5節的研究結果，我們提出了以下未來的研究方向，以推進C3I系統網絡安全的最新進展。

6.3.1 C3I系統的安全SOA適應性

正如第2節中所討論的，C3I系統是多個異構系統的整合。因此，在設計大規模的C3I系統時，傳統的單體結構并不是一個可行的選擇。在采用適合的架構模式的必要性的驅使下，研究人員已經考慮用SOA來設計C3I系統（例如，可部署的聯合C3I系統）。然而，基于SOA的系統存在各種安全漏洞和攻擊載體，在采用C3I系統這樣的安全關鍵戰術系統時，帶來了許多安全挑戰。例如，SOA在設計上缺乏持續監控和入侵檢測機制。因此，基于SOA的C3I系統容易受到許多攻擊載體的影響（例如，暴力攻擊（A1），內部攻擊（A2）和抵賴攻擊（A8））。因此，考慮到當代為解決SOA適應C3I系統的安全挑戰所做的努力（第5.1.2節），很明顯，SOA安全適應C3I系統是一個即將到來的研究領域。因此，我們斷言，必須嚴格考慮基于SOA的C3I系統的網絡安全問題，并將新的安全措施植入這些系統的設計和實施中。此外，我們還注意到，對基于SOA的C3I領域的研究需要全面的評估工作，包括對真實世界的實施進行實驗，因為現有的一些研究只限于概念性的解決方案。

6.3.2 輕量級安全措施

C3I系統通常在資源受限的環境中運行。因此，C3I系統是按照一定的帶寬、能量和內存規格來設計的。這意味著C3I系統的每個組件都需要在有限的資源下運行。這對于C3I系統中的安全措施（如入侵檢測、加密機制和訪問控制）也是如此。如果安全措施為了保證C3I系統的安全而消耗了更多的計算能力、機載存儲或網絡資源，這將導致影響C3I系統的戰略運作。盡管研究人員已經提出了單獨考慮功率、內存、計算資源[88]和網絡資源效率的資源效率解決方案，但我們觀察到缺乏類似于CEALICIAN（C33）的整體和最佳安全措施，該措施不僅提供了功率效率，而且在加密和解密敏感信息時還考慮了C3I系統的大小和重量要求。因此，我們斷言，研究人員應該專注于開發輕量級的安全措施，考慮輕量級網絡安全的大多數（如果不是全部）參數。

6.3.3 基于云的安全C3I架構

盡管云計算通常是一種廣泛使用的技術，但將其納入C3I領域是相當新的。正如第5.1.2節所討論的，云計算為提高戰術領域C3I系統的效率和可操作性提供了許多好處（例如，降低成本、方便訪問和部署靈活性）。考慮到這些優勢，美國已經為其國防和公共部門開發了基于云的C3I系統，韓國也正在將其國防基礎設施轉向基于云的系統。然而，云計算與C3I系統的整合擁有許多安全挑戰（如數據的保密性、完整性和服務器的可視化），正如中所報道的。例如，在公共云的情況下，數據的保密性可能會被破壞，因為多個用戶共享同一個基礎設施。同樣，PaaS和IaaS等云服務模式允許用戶安裝自己的軟件；這種特權會破壞敏感數據的完整性。我們在調查的文章中只發現了一個設計基于云的安全C3I系統的嘗試。由于C3I系統的網絡安全和效率不能被認為是正交的，因此，我們斷言，研究人員需要專注于解決開發基于云的C3I系統中的安全挑戰，以同時提高C3I系統的效率和網絡安全。

6.3.4 區塊鏈用于保障C3I基礎設施的安全

區塊鏈技術提供了嚴格的認證，在整個C3I戰術領域安全地分配存儲設施和計算資源，這避免了C3I系統出現單點故障的機會。然而，我們發現，與物聯網和經濟系統等其他領域相比，將區塊鏈技術納入C3I系統的研究興趣明顯不足。審查的研究中提出的方法僅限于戰術C3I系統中的安全數據傳輸和數據共享。因此，很明顯，區塊鏈技術在C3I領域是相對較新的。考慮到區塊鏈在戰術領域的重要性，我們斷言，研究人員應探索新的方向，將區塊鏈技術納入C3I系統的網絡安全。

6.3.5 AI/ML用于C3I系統的網絡安全

將人工智能/ML用于網絡安全的探索越來越多。例如，與基于簽名的入侵檢測相比，基于ML的入侵檢測被廣泛研究。同樣，AI/ML方法被用于檢測數據滲透和自動化網絡事件的響應過程。然而，我們發現很少有證據（只有3篇論文）支持使用AI/ML來加強C3I系統的網絡安全。例如，Kwon等人利用監督學習將C3I移動設備劃分為可信和不可信的類別。同樣，在調查的論文中，我們發現作者使用多實例多標簽學習模型來檢測C3I系統的入侵企圖。此外，Kott等人提出了一個基于智能代理技術（即自主智能網絡防御代理）的初始參考架構，以確保C3I系統的安全。由于我們只發現了三篇利用AI/ML來保護C3I系統的論文，我們認為在利用AI/ML來保護C3I安全方面還有進一步探索的空間。在這方面，我們認為研究人員應該探索使用人工智能/ML來進行深度數據包檢查、異常檢測、APT檢測，以及檢測C3I系統的數據滲透企圖。

6.3.6 需要嚴格和全面的評估

我們調查了所調查的文章中應用的評估方法，發現36.67%的研究沒有評估他們提出的安全機制（圖11）。此外，25%的研究僅通過假設場景進行了評估。因此，很明顯，超過61%的研究沒有在他們的研究中遵循系統和嚴格的評估過程。在所調查的論文中，有5%、16.67%和15%的研究是通過原型設計、模擬和實驗室實驗進行評估的。圖12展示了這些評估方法中使用的硬件和軟件工具。值得注意的是，只有一項研究在真實世界環境中進行了評估。因此，由于缺乏嚴格的評估，它引起了人們對現有文獻的可靠性的重大關注。此外，C3I領域的高度技術性和關鍵性也加劇了這種擔憂。正如第2節所討論的，C3I系統由多個異質子系統組成，其中一些被部署在惡劣的環境中。因此，一些實際問題，如敵對條件造成的節點物理破壞、軟件組件受損、硬件組件隨著時間的推移而退化，以及自然災害（如洪水、火災、風暴），都對C3I系統的性能、安全和保障產生了重大影響。因此，我們主張保護C3I系統的對策應通過系統的評估方法在現實世界中進行評估，以加強所得出的研究結果的可信度。

圖11. 評價方法

圖12. 用于C3I系統的軟件和硬件工具的安全評估

7 結論

由于使用C3I系統的戰術領域（如軍事和救援任務）的嚴重重要性，C3I系統的網絡安全已經成為一個嚴重的問題。因此，我們收集、研究和綜合了關于C3I系統網絡安全的文獻。基于我們的研究，我們對13個安全漏洞、19個攻擊載體和40個被認為對C3I系統的網絡安全很重要的對策進行了嚴格的分析和分類。此外，我們對研究結果進行了分析，其中包括 (i) 攻擊載體和安全漏洞的相互關系；(ii) 攻擊載體和對策的相互關系；以及(iii) 確定未來的研究方向，以推進C3I系統的安全領域。

這項調查為研究人員和從業人員提供了若干好處。特別是對研究人員來說，我們的調查為進一步探索和加強C3I系統的網絡安全提出了幾個未來研究方向。例如，C3I系統的SOA適應性在保證C3I系統的網絡空間安全方面引入了許多挑戰（例如，缺乏持續監控）。同樣，將云計算納入C3I系統也帶來了許多關于敏感數據保密性和完整性的安全問題。對于從業人員來說，將攻擊載體與反措施進行映射，使C3I系統的操作人員能夠確定針對攻擊載體的準確反措施。同樣，在設計C3I系統時，需要對反措施進行優先排序，這有助于系統工程師在開發C3I系統時實施最佳反措施。我們希望本調查報告的結果能夠為研究人員和從業人員提供新的維度和靈感，以推動他們在C3I系統安全方面的研究和開發工作。

針對不同的異常檢測方法的差異及應用于工業物聯網（IIoT）安全防護的適用性問題，從技術原理出發，調研分析2000—2021年發表的關于網絡異常檢測的論文，總結了工業物聯網面臨的安全威脅，歸納了9種網絡異常檢測方法及其特點，通過縱向對比梳理了不同方法的優缺點和適用工業物聯網場景。另外，對常用數據集做了統計分析和對比，并從4個方向對未來發展趨勢進行展望。分析結果可以指導按應用場景選擇適配方法，發現待解決關鍵問題并為后續研究指明方向。

0 引言

隨著 5G 通信技術的快速發展，以及傳感器和處理器等嵌入式設備的計算和存儲能力不斷增加，這些網絡通信和嵌入式設備在工業系統中的應用越來越普遍。工業物聯網（IIoT, industrial Internet of things）是由應用程序、軟件系統和物理設備三者組成的大型網絡，這三者與外部環境以及人類之間進行通信和共享智能[1]。據埃森哲預測，到2030年，美國的工業物聯網價值將出到7.1 萬億美元，對歐洲而言價值將超過 1.2 萬億美元[2]。

在這波工業發展浪潮中，物聯網安全是影響工業物聯網廣泛使用的重要因素之一。事實上，物聯網設備的安全性通常很差，因此很容易成為攻擊者的目標。攻擊者利用這些設備可以進行毀滅性的網絡攻擊，如分布式拒絕服務（DDoS, distributed denial of service）[3-4]。傳統的工業環境在過去一直遭受攻擊，有的還造成了災難性的后果（例如，震網病毒[5]或故障超馳/工業破壞者[6]）。因此，如果沒有安全性，工業物聯網將永遠無法發揮其全部潛力。另外，工業系統對性能和可用性有嚴格的要求，即使系統受到網絡攻擊，維護系統不間斷和安全地運行也常常是優先考慮的。

異常檢測在防御系統和網絡的惡意活動中是至關重要的。近年來，為了緩解網絡攻擊，工業物聯網異常檢測方面的研究迅速增多，許多檢測機制被提出。另一方面，在異常檢測方面研究者已經從技術手段、應用場景等方面做了一些調研工作，如文獻[7-10]，但這些工作很少專門針對工業物聯網的特性和適用性進行深入剖析。近兩年，雖然出現了針對工業物聯網異常檢測的綜述性文章，但介紹的都不夠全面。例如，文獻[2]只介紹了基于系統規則、建模系統物理狀態的檢測方法，文獻[4]則只介紹了基于統計和機器學習的檢測方法。除了文獻[2,4]提到的檢測方法之外，還存在許多新穎的檢測技術。

因此，本文從技術原理的角度，梳理了基于系統不變性和物理狀態的建模、基于統計學習、特征選擇、機器學習、圖、邊緣/霧計算、指紋、生物免疫等算法的異常檢測技術，并詳細分析了各類技術的優缺點。由于用于工業異常檢測研究的數據集繁雜且多樣，本文詳細歸納了常用數據集的特點及其使用頻率，方便讀者對比和選擇。除此之外，本文針對工業物聯網典型場景的網絡威脅和異常檢測方法進行調研和綜述，介紹了邊緣/霧計算方法在異常檢測方面的應用，增加了對2021 年最新論文的調研，對不同檢測方法的特點和適用場景進行了深入分析。

1 工業物聯網面臨的安全威脅

工業4.0將信息通信技術應用于工業制造和自動化領域，極大地提高了生產力和效率。然而，這一進步的代價是擴大了工業系統的受攻擊面。針對工業物聯網的攻擊，可以分為被動攻擊和主動攻擊。被動攻擊是隱蔽的，通常無法檢測到，如竊聽和流量分析。主動攻擊包括丟包、回注、干擾網絡的正常運行等。惡意軟件感染、拒絕服務（DoS, denial of service）、未授權訪問和虛假數據包注入等主動攻擊通常是可以檢測到的[9]。下面簡要總結幾種主動攻擊的特點和目標。

惡意包注入攻擊。重放抓包，發送偽造或篡改的報文，以達到干擾或破壞系統操作的目的。 DoS攻擊。消耗系統或網絡資源，導致資源不可用。 未授權訪問攻擊。探測計算機或網絡以發現漏洞；對報文進行嗅探或攔截，用于收集信息。 除此之外，還涌現出了一些針對工業物聯網典型場景的威脅。 物理攻擊。例如針對交通運輸物聯網的物理攻擊，對交通設備節點本身進行物理上的破壞，如斷電、移動節點位置等，造成信息缺失、信息泄露等。 感知數據破壞。非授權地增刪、修改或破壞感知數據，例如針對新能源發電廠的電力物聯網生產數據篡改。 控制命令偽造攻擊。發送偽造的控制命令，從而達到破壞系統或惡意利用系統的目的，例如針對數控機床設備物聯網的控制命令偽造。 為了保護工業系統免受網絡攻擊，涌現出了各種安全措施，如加密通信數據、數據完整性校驗和訪問控制等方法，可以保護系統免受多種類型的攻擊。然而，即使這些安全措施已經到位，攻擊者仍然可以成功地對系統發起攻擊，如惡意包注入和DDoS攻擊等。因此，有必要對網絡進行異常檢測，以此來進一步保障工業系統的安全。

2 工業物聯網異常檢測

本節首先介紹了工業物聯網中存在的異常種類，進而詳細分析和梳理了現有的針對不同異常類別和不同應用場景的異常檢測方法。

2.1 異常種類

網絡攻擊以損害系統信息的機密性、完整性和資源的可用性為目標，通常以某種方式造成網絡運行偏離正常，表現出異常行為。因此，可以通過發現數據中不符合預期行為的模式來識別異常。現階段IIoT中主要存在3種異常[8]。 點異常。即個別數據實例相對于其余數據是異常的。例如，假設水溫傳感器值的預定義范圍是30℃～40℃，那么超出這個范圍的值將是一個異常點。 上下文異常。僅在特定上下文中表現異常的數據實例稱為上下文異常。這類異常多為空間數據或時序數據中的異常。 集合異常。如果相關數據實例的集合相對于整個數據集是異常的，則稱為集合異常。集合異常中的單個數據實例本身可能不是異常，但它們一起作為一個集合出現就是異常。例如，單個TCP連接請求是正常的，但是連續從同一個源收到多個這種請求就有可能是DoS攻擊，也就是異常。 網絡異常檢測是指檢測網絡流量數據中的異常，利用設備或軟件應用程序對網絡流量進行監控和分析，從而檢測出惡意活動。現有工業物聯網異常檢測方法可以分為基于系統不變性、物理狀態建模、統計學習、特征選擇、機器學習、邊緣/霧計算、圖、指紋以及生物免疫等算法的檢測方法。下面將針對每一種檢測方法的技術原理、現有研究成果、優缺點及適用應用場景做介紹梳理和深入分析。

2.2 基于系統不變性的檢測方法

系統不變性是指系統運行過程的“物理”或“化學”特性中的一個條件，每當系統處于給定狀態時，必須滿足該條件。通過分析物理不變性來檢測異常已經被應用于許多網絡信息物理系統（CPS, cyber-physical system）[11-14]。文獻[11]將所有組件的穩定性和正確性約束以邏輯不變性的形式表示出來，系統動作只有在保證不違反這些不變性時才能執行。針對 CPS 各個模塊的不變性，文獻[12]提出了統一不變性，開發了跨越系統各個層面的公共語義。然而，文獻[11-12]都是通過人工來產生物理不變性，開銷很大，且很容易出錯。為了解決這個問題，文獻[13]提出利用關聯規則挖掘算法自動識別系統不變性，該算法的優點是可以發現隱藏在設計布局中的不變性，避免了手動尋找的煩瑣。但是，這項技術僅適用于成對出現的傳感器和執行器，而在真實的CPS中，所有傳感器和執行器都是跨多個過程協同工作的。也有一些使用機器學習算法來挖掘CPS物理不變性的研究。例如，Momtazpour 等[14]采用預先發現潛在變量的外源性輸入自動回歸模型，以發現多個時間步內無線傳感器數據之間的不變性。Chen 等[15]利用代碼變異程序生成異常數據軌跡，然后利用支持向量機（SVM, support vector machine）分類器和統計模型檢驗來發現安全水處理實驗臺傳感器數據之間的不變性。文獻[16]采用幾種機器學習和數據挖掘技術的組合，系統地從工業控制系統（ICS, industrial control system）的操作日志以及執行器的狀態信息生成不變性。

2.3 基于物理狀態建模的檢測方法

CPS的底層過程一般由其工作原理控制，因此其過程狀態是可預測的。基于物理模型的異常檢測方法根據物理狀態對正常的物理操作進行建模，從而能夠從偏離物理操作模型的異常狀態中檢測到網絡攻擊。 文獻[17]提出了一個CPS攻擊彈性框架。該框架利用已知物理領域的數學描述，以及預測值和歷史數據信息，驗證預測值和測量值之間的相關性。文獻[18]描述了如何使用流體動力學模型來檢測供水網絡的物理故障和網絡攻擊，并通過狀態和測量方程以及未知輸入來建模水系統。該模型能夠反映傳感器、執行器故障或漏水等異常事件對系統的影響，但僅依靠建模物理模型來檢測網絡攻擊是不夠的，如果傳感器的測量值被破壞，則很難檢測到攻擊。為了識別攻擊者利用系統漏洞，注入合法的惡意控制命令來破壞電網的行為，文獻[19]提出結合電網物理基礎設施知識和網絡信息來檢測攻擊。該方法基于協議規范對數據包進行檢測，提取其中的關鍵控制命令，并通過電力系統運行方程進行仿真運行。通過仿真，對執行控制命令所產生的系統狀態進行估計，并與可信度量進行比較，從而識別攻擊。文獻[20]提出了一種針對電力領域的基于模型的異常檢測算法。該算法驗證了接收到的測量數據與控制底層物理系統運行的方程所獲得的預測數據的一致性。文獻[21]描述了一種基于模型的方法來保護智能電網。該方法基于系統狀態動力學方程，評估系統狀態，并與采集的測量值比較，檢測出受損的測量值。文獻[22]在一個水基礎設施實驗臺上測試了基于控制理論建模的故障檢測和基于網絡安全的異常檢測方法。結果表明，這2種方法都能有效地檢測出故障和攻擊，但存在一定的局限性。在物理故障和網絡攻擊同時進行的實驗中，網絡攻擊者可以躲避控制理論建模方法的檢測。因此，將物理動態建模方法中的狀態估計與網絡安全方法中的數據分析相結合，是提高 ICS 網絡安全的關鍵。

2.4 基于統計學習的檢測方法

基于統計的異常檢測方法為數據集創建一個分布模型，并與目標數據對象相匹配。假設正常數據落在高概率區間，而異常數據相對落在低概率區間，根據目標數據集中數據落在模型中的概率來判斷是否異常。Rajasegarar等[23-24]建立了2種異常檢測模型：統計檢測模型和非參數檢測模型。這2種模型可以應用于不同的場景，其中前者適用于數據類型和采樣周期預先確定的應用；而后者在沒有先驗知識的情況下，通過比較當前數據和相鄰數據的行為識別異常。費歡等[25]提出一種多源數據異常檢測方法。該方法主要應用于平臺空間，通過二維坐標的位置來確定2個節點之間的關系。類似地，文獻[26]提出基于密度的模型，通過分析電數據來發現太陽能發電系統的異常行為。 另外，傳感器數據的時間和頻率屬性能夠為建立時頻邏輯提供有價值的信息。時域信號（均值、標準差或方差等）可以描述有關系統行為的某些信息。例如，基于頻率的信號特性（傅里葉變換、小波變換等）可以單獨或結合時域特征來理解系統的行為[27]。工業系統復雜而廣泛，大量的傳感器被用于監控空間和物體，以為異常行為預測提供全面、多維度的運行數據。對于這種情況，基于相關性分析的方法[28]被證明可以更有效地識別異常。該方法能夠反映系統的真實表現，因為這些相關性可以從物理上反映系統的運行機制和條件。表1列出了基于統計學習方法的異常檢測在工業物聯網中的應用。

2.5 基于特征選擇的檢測方法

異常檢測處理的數據是人工從復雜的網絡系統中提取出來的。這些數據一般具有高維、強冗余、低相關性等特點。直接使用原始數據，檢測算法的性能會很差。而特征選擇的作用是從原始數據中選擇有用的特征，選出的特征具有更強的相關性、非冗余特性和更少的噪聲。這些特征可以幫助相關算法更高效、快速地區分、檢測和分類出不同的目標。因此許多研究者將其應用于入侵檢測系統（IDS, intrusion detection system）的設計中，以提高檢測精度，減少檢測時間。 這些研究通常來自2種觀點。一種是有效提取，如主成分分析（PCA, principal component analysis）。針對異常檢測系統耗時長、性能下降等問題，文獻[30]提出了一種混合的 PCA 神經網絡算法。該算法利用PCA變換對特征降維，使訓練時間減少約40%，測試時間減少約70%，同時還提高了檢測精度。文獻[31]基于核主成分分析和極限學習機（ELM, extreme learning machine）設計IDS。其中，核主成分分析用于特征矩陣降維。實驗結果表明，該系統比單純基于ELM或者SVM算法的IDS效率更高，速度更快。類似地，文獻[32]提出一種增量ELM與自適應PCA相結合的方法，該方法可以自適應地選擇相關特征以獲得更高的精度。然而，所有這些方法都沒有減少原始數據的特征量，總的時間消耗仍然非常大。另一種是有效特征選擇，如遺傳算法和最大相關最小冗余算法。文獻[33-34]將特征選擇問題定義為組合優化問題，提出基于局部搜索最優解算法來選擇有效的特征子集，用于檢測“正常”和“DoS”攻擊數據。雖然使用該算法選擇出的有效特征子集在檢測率和準確率方面都優于使用全部特征集，但也帶來了較高的誤報率。文獻[35]提出了一種基于遺傳算法的特征選擇方法來設計IDS以選擇最優特征，采用單點交叉而不是兩點交叉優化該遺傳算法的參數。總體而言，其給出了更好的結果，但在某些情況下分類率會下降。Feng 等[36]提出基于K近鄰和樹種子算法的IDS模型來選擇特征，減少特征冗余，檢測效率有所提升但準確率沒有明顯的改善。

上述方法有一個共同的缺點，即選擇的特征具有一定的隨機性和不確定性，不能應用于下次選擇。為了克服這個問題以及明確不同特征對異常檢測的影響，文獻[37]基于最大相關最小冗余特征選擇算法和 SVM 分類方法進行了一系列實驗。另外，為了進一步選取有效的特征，文獻[38]結合群體智能算法和強化學習，提出了一個名叫 QBSO-FS 的特征選擇模型，實驗結果表明，該模型確實優于傳統特征選擇算法。工業系統中基于特征選擇的異常檢測方法對比如表2所示。

2.6 基于機器學習的檢測方法

在工業系統中，機器學習方法（如貝葉斯網絡、k-means、ELM[39]、SVM、回歸等）已經被成功用于識別和檢測工業物聯網中的異常行為[10]。除此之外，聚類[40-42]、隨機森林[43]、孤立森林[44]和隱馬爾可夫模型[45]等算法也取得了不錯的成績。表3 總結了工業系統中基于機器學習的異常檢測方法。

單分類支持向量機（OCSVM, one class suport vector machine）是一種非常著名的異常檢測算法，被應用于許多應用領域中，它能夠學習可見數據的邊界，并將邊界之外的所有事件或數據點識別為系統異常行為[43,46-47]。為了進一步提升OCSVM 的性能，文獻[48]采用云灰狼優化算法對OCSVM參數進行優化。實驗結果表明，該算法在一定程度上確實提高了模型的檢測精度。與文獻[48]的工作不同，文獻[49]提出 2 種將OCSVM擴展到張量空間的異常檢測算法，即單分類支持塔克機和基于張量塔克分解以及遺傳算法的遺傳單分類支持塔克機。兩者都是針對傳感器大數據的無監督異常檢測，保留了數據結構信息的同時，提高了檢測的準確率和效率。

聚類方法以無監督的方式將特征相似的對象歸為一組，經過這種自動分組后，如果新的數據點不能被放入預定義的集群（組）中，則系統會將該數據點判為異常情況并生成警報[40,42]。梯度提升樹是一種集成學習分類器，文獻[50]用其檢測風力機螺栓斷裂問題的早期異常。該算法首先生成多棵決策樹，然后綜合所有樹的結果從而做出最終決策。梯度提升樹有個令人不容忽視的缺點，即不能處理海量數據。為了解決這個問題，文獻[51]提出結合輕量級梯度提升機和貝葉斯優化來檢測工業網絡流量中的異常。該方法在提高檢測效率和準確率的同時，減少了人工對模型訓練的參與度。

然而，機器學習方法有以下3個局限性：1) 性能很大程度上依賴所采用的特征工程技術的穩健性，限制了穩定性；2) 應用于大規模高維數據時，性能會嚴重惡化；3) 學習能力不夠強，無法應對工業物聯網環境中數據（網絡攻擊）的動態性。

2.6.1 深度學習方法

深度學習（DL, deep learning）是一種具有自動學習能力的智能算法，是機器學習的一個分支。由于 DL 對任何特征工程的獨立性、對動態環境的適應性以及強大的學習能力（特別是從高維數據中），其很快成為解決上述局限性的新的學習范式。各種各樣的 DL 方法已經成功應用于異常和入侵檢測，如卷積神經網絡（CNN, convolutional neural network）[52-53]、循環神經網絡（RNN, recurrent neural network）[54-56]、生成對抗網絡（GAN, generative adversarial network）[57-59]、脈沖神經網絡[60]、粒子深框架[61]和長短期記憶（LSTM, long short-term memory）網絡[56,62-66]。Ferrag等[53]對CNN、RNN和深度神經網絡（DNN, deep neural network）進行了入侵檢測研究，并對它們在不同配置下的性能進行了對比分析。Bhuvaneswari等[67]在基于霧的物聯網中引入向量卷積構建入侵檢測系統。但是，CNN有一個讓人無法忽視的缺點，即無法學習物聯網流量的長時依賴特征，而這正是 LSTM 網絡的優勢。因此， Saharkhizan等[68]提出使用LSTM來學習時序數據之間的依賴關系。該研究使用一個LSTM集合作為檢測器，將該檢驗器的輸出合并成決策樹，最終進行分類。

然而，這些模型的計算成本很高。為了解決這個問題，Liaqat等[69]提出了一個整合CNN和Cuda DNN LSTM的方案，該方案能夠及時有效地檢測出醫療物聯網環境中的復雜惡意僵尸網絡。

文獻[70]提出了一種壓縮卷積變分自動編碼器，用于IIoT中時間序列數據的異常檢測。該方法減少了模型的大小和推理的時間，但是分類性能基本上沒有提升。研究了卷積神經網絡在工業控制系統異常檢測的應用后，文獻[52]提出了一種基于測量預測值與觀測值的統計偏差的異常檢測方法，并指出一維卷積網絡在工業控制系統的異常檢測方面優于循環神經網絡。從網絡包內容分析的角度出發，文獻[66]提出了簽名+LSTM的多層異常檢測方法。其首先開發了一個數據包的基準簽名數據庫，并用布魯姆過濾器存儲該簽名數據庫同時檢測包異常，然后將該簽名數據庫作為數據源輸入LSTM中，來進行時間序列的異常檢測。為了保護集成電路免受網絡攻擊，文獻[71]采用 2 種異常檢測算法來做異常檢測，一個是傳統機器學習算法k-means，另一個是卷積自編碼算法，并取2種算法結果的邏輯與來作為最終的檢測結果。但是該方法在特征選擇時，沒有采用專有的特征選擇算法，僅僅通過人工過濾掉了不產生影響的屬性。另外，為了保護IIoT系統免受勒索軟件攻擊，文獻[72]提出了一種基于堆疊變分自編碼的檢測模型，該模型具有一個全連接神經網絡，能夠學習系統活動的潛在結構，并揭示勒索軟件的行為。為了提高檢測的準確率和降低出錯率，文獻[73]利用深度學習自編碼器結合編碼層的系數懲罰和重構損失來提取高維數據特征，然后使用極限學習機（ELM, extreme learning machine）對提取的特征進行快速有效的分類。文獻[59]提出一種基于雙向生成對抗網絡（BiGAN, bidirectional-GAN）的ICS入侵檢測策略。為了提高BiGAN模型在ICS入侵檢測中的適應性，該研究通過單變量原理和交叉驗證得到了最優模型。針對循環DL模型不能并行化且難以處理長流量序列的問題，文獻[74]設計了基于取證的深度學習模型，該模型使用局部門控制循環單元學習局部特征，并引入多頭注意力機制來捕獲和學習全局表示（即長期依賴）。文獻[75]設計了一個雙向多特征層的長短時記憶網絡。文獻[76]基于深度隨機神經網絡設計了入侵檢測方案，在訓練過程中，其選擇了數據集的41個最顯著的特征。文獻[77]提出了基于孿生卷積神經網絡的少樣本學習模型，以緩解ICPS中的過擬合問題，同時提高了智能異常檢測的準確率。表4展示了工業系統中的基于深度學習的異常檢測研究成果。

2.6.2 聯邦學習方法

聯邦學習是一種機器學習框架，能有效幫助多個機構在滿足用戶隱私保護、數據安全等要求下，進行數據使用和機器學習建模。近年來，為了在異常檢測的過程中不泄露用戶的隱私，聯邦學習在工業物聯網中的應用引起了學術界和產業界的極大興趣。為了保護用戶的隱私數據，Liu 等[78]將聯邦學習與深度異常檢測相結合，建立具有LSTM的卷積神經網絡模型，同時在聯邦學習的過程中利用基于Top-k 選擇的梯度壓縮機制降低通信代價以及提高通信質量。2021 年，Liu 等[79]在文獻[78]的基礎上引入注意力機制，進一步提高了異常檢測的準確率。Li 等[80]基于卷積神經網絡和門控遞歸單元設計了聯邦深度學習方案。該方案允許多個工業CPS以隱私保護的方式共同構建一個綜合性的入侵檢測模型，并利用Paillier加密機制保護訓練過程中模型參數的安全性和隱私性。值得一提的是，該模型僅適用于同域工業 CPS。文獻[81]提出了一種聯邦深度強化學習異常檢測算法，即利用聯邦學習技術，建立一個通用的異常檢測模型，然后采用深度強化學習算法訓練每個局部模型。由于聯邦學習過程中不需要局部數據集，減少了隱私泄露的機會。此外，通過在異常檢測設計中引入隱私泄露程度和動作關系，提高了檢測精度。表5總結了聯邦學習在工業異常檢測中的研究成果。

![](//cdn.zhuanzhi.ai/vfiles/dc9936dca231d5dd5c00c2bea62099f4

2.7 基于邊緣/霧計算的檢測方法

深度神經網絡的進展極大地支持異常物聯網數據的實時檢測。然而，由于計算能力和能源供應有限，物聯網設備幾乎負擔不起復雜的深度神經網絡模型。雖然可以將異常檢測的任務轉移到云上，但當數千個物聯網設備同時將數據傳到云上時，會導致時延和網絡擁塞。 一種新興架構——霧（邊緣）計算的出現，解決了上述問題。該架構旨在通過將計算、通信、存儲和分析等資源密集型功能轉移到終端用戶來減輕云和核心網絡的網絡負擔。霧計算系統能夠處理對時間要求嚴格的物聯網的能源效率和時延敏感型應用，如工廠的火災報警系統、地下采礦環境等，都需要快速檢測出異常。因此，涌現出許多基于霧（邊緣）計算的異常檢測框架[82-84]。文獻[85]針對數據異常檢測的準確性和時效性，提出了一種基于層次邊緣計算（HEC, hierarchical edge computing）模型的多源多維數據異常檢測方案。該研究首先提出了 HEC 模型，來實現傳感器端和基站端負載均衡和低時延數據處理；然后設計了一種基于模糊理論的單源數據異常檢測算法，該算法能夠綜合分析多個連續時刻的異常檢測結果。針對工業物聯網終端設備中數據量大的問題，文獻[86]先采用邊緣計算對傳感器數據進行壓縮優化（即預處理），進而利用k-means 聚類算法對處理后數據的離群值進行判斷。然而，壓縮技術會造成數據信息的損失，可能影響檢測精度。因此，需要權衡好壓縮率與檢測精度的關系。

與文獻[84-85]類似，文獻[87]同樣基于 HEC提出了自適應異常檢測方法。首先，構建了 3 個復雜度不斷增加的 DNN 異常檢測模型，并將其與 HEC 的三層（物聯網設備、邊緣服務器、云）自下而上關聯。然后，根據輸入數據的上下文信息自適應地選擇合適的模型進行異常檢測。表6展示了工業物聯網中基于云計算、邊緣計算和霧計算的異常檢測方法。從表6中可以看出，雖然文獻[87]的準確率和 F1 得分略低于文獻[84]，但平均時延大幅度降低了。由此可知其必然是犧牲了部分的精度來獲得較小的檢測時延。基于自適應圖更新模型，文獻[88]引入一種新的邊緣計算環境中的異常檢測方法。在云中心，利用深度學習模型對未知模式進行分類，根據分類結果定期更新特征圖，不斷地將分類結果傳輸到每個邊緣節點，利用緩存暫時保存新出現的異常或正常模式，直到邊緣節點接收到新的更新的特征圖。

2.8 基于圖的檢測方法

基于圖的異常檢測在醫療保健、網絡、金融和保險等各個領域都有應用。由于來自網絡、電子郵件、電話等的數據相互依賴，使用圖表檢測異常變得越來越流行。文獻[89]提出了一種基于知識圖譜的工業物聯網移動設備異常檢測方法，并利用可視化技術對檢測結果進行演示。具體地，作者使用優化后的基于頻繁項集的數據挖掘算法對數據進行分析，使提出的方法能夠準確地檢測出不同類型的并發攻擊。另外，作者還設計了可以將結果多維度可視化的異常告警模塊，幫助非專業用戶在工業領域充分了解網絡安全情況。文獻[90-91]引入了一種新的基于圖的異常檢測方法，并將背景知識添加到傳統圖挖掘方法的評價指標中。背景知識以規則覆蓋的形式添加，報告子結構實例覆蓋了最終圖的百分比。由于人們認為異常不會頻繁出現，因此作者假定，通過為規則覆蓋分配負權值，可以發現異常的子結構。該方法在不損失精度的同時，大大降低了檢測時間。表7介紹了工業物聯網中基于圖的異常檢測方法的研究成果。

2.9 基于指紋的檢測方法

指紋識別技術被廣泛應用在人們生活的方方面面，如企業考勤、智能小區等。另一方面，越來越多的無線智能設備被應用到ICS網絡中，由于設備的計算和存儲能力較弱，使用常規的加密方法和安全補丁來提高ICS網絡中遺留設備的安全水平幾乎是不可能的。因此，指紋識別技術的高度成功吸引了許多安全領域研究者的目光。已經有許多人將指紋技術的思想運用到檢測ICS網絡的異常工作中。文獻[92]提出 2 種設備類型指紋方法，來增強現有ICS環境下的入侵檢測方法。方法1利用ICS網絡的靜態和低時延等特征建立設備指紋，方法 2 采用物理操作時間為每個設備類型開發一個唯一的簽名。文獻[93]提出了一種混合增強設備指紋的方法，利用程序流程的簡單性和硬件配置的穩定性，通過過濾掉異常數據包，來實現ICS網絡中的異常檢測。為了消除對信號周期性的依賴，文獻[94]設計了一種不考慮周期性的異構工業物聯網設備指紋識別算法。該算法從信號傳輸的時間序列中提取模式，然后通過聚類得到的模式來學習設備的指紋。文獻[95]提出一種稱為過程傾斜的技術，該技術利用ICS過程中的小偏差（稱為工藝（process）指紋）進行異常檢測。表8展示了工業物聯網中基于指紋的異常檢測的研究成果。

2.10 基于生物免疫的檢測方法

基于異常的入侵檢測技術通常假陽性很高，這使一些學者將目光轉向其他領域以尋求突破。人工免疫系統（AIS, artificial immune system）是一類生物啟發計算方法，出現在20世紀90年代，連接了不同的領域，如免疫學、計算機科學和工程。基于AIS的IDS通常被用作異常檢測系統。文獻[96]在生物免疫系統的啟發下，提出了一種基于多智能體系統的入侵檢測新模型，該模型集成在網絡上的分布式代理行為中，以確保良好的入侵檢測性能。文獻[97]基于確定性樹突細胞算法（DDCA, deterministic dendritic cell algorithm）設計了用于工業場景的入侵檢測算法，該算法利用上下文與抗原之間的相關性作為異常檢測的基礎。DDCA的分類性能很大程度上依賴于特征選擇過程，高度相關的特征導致近似完美的分類，反之，相關性較差的特征在DDCA分類過程中會帶來非常負面的影響。為了能夠實時檢測異常，文獻[98]基于分層時間記憶網絡，構建了在線序列記憶算法。該分層時間記憶網絡不斷學習和建模輸入數據的時空特性，通過預測輸入和實際輸入之間的差異來更新其突觸連接。學習發生在每個時間步，但由于表示非常稀疏，因此只有小部分突觸被更新，大大節省了訓練時間。上文詳細介紹了工業物聯網領域的9種異常檢測方法。為了更加直觀地比較各種的算法，本文進而介紹了每種檢測方法的優缺點以及現有研究成果，如表9所示。

在決定是否減輕或接受網絡攻擊對武器系統的風險時，最重要的考慮因素是它如何影響作戰任務——也稱為任務影響。然而，對整個空軍的每個系統和所有任務進行全面評估是不切實際的，因為每個系統都很復雜，有大量潛在的漏洞需要檢查，每個漏洞都有自己復雜的威脅環境。

進入網絡任務線程分析框架。為了分析任務影響，作者提出了這種旨在同時實現幾個目標的新方法：足夠全面，可以在美國空軍的每個任務的規模上執行，但信息量足以指導決定接受或接受減輕特定風險。此外，該方法非常簡單，可以在不超過幾個月的時間內執行，并且可以根據需要進行更新。

該框架遵循自上而下的方法，從捕獲所有關鍵任務元素的整個任務的“線程”（映射）開始，然后是支持其執行的系統。雖然作者并未將網絡安全風險評估問題簡化為交鑰匙解決方案，但他們提出了有用的方法來分類與任務成功最相關的領域，同時將對漏洞和威脅的詳細調查限制在最關鍵的領域。他們的框架旨在大規模完成，適用于各種場景，并明確其工作方式。

00 報告研究的問題

• 評估整個空軍的任務影響或網絡安全風險有哪些挑戰？
• 網絡攻擊的風險與其他任務風險有何不同？
• 從任務影響的角度來看，網絡問題的哪些方面提出了必須解決的獨特挑戰？

01 主要發現

1.1 在合理的資源支出下分析大規模的任務影響是一個主要的挑戰

• 即使是狹義的任務也需要大量的系統，而且每個系統都可能相當復雜。
• 在美國空軍的每項任務中增加一項任務的復雜性，要評估的系統數量變得不可行。

1.2 隨著新系統的引入、舊系統的修改以及戰術、技術和程序的發展，執行任務的方式發生了變化

• 對系統的更改會導致系統漏洞的更改，同時威脅也會演變。
• 隨著任務、漏洞和威脅的變化，必須重新檢查風險評估。

1.3 網絡空間的特點之一是冗余無效

• 冗余并不能提供抵御網絡攻擊的穩健性。
• 冗余組件具有共同的網絡攻擊漏洞。

1.4 失去指揮和控制可能會在沒有任何系統或組件故障的情況下損害任務

• 對手操縱指揮和控制的脆弱性是另一種特殊的網絡效應。
• 這種類型的網絡效應通常不會在系統工程中用于安全的技術中捕獲。

1.5 當決策者不了解分析的工作原理時，他們通常會恢復直覺和判斷

• 分析工具越不透明，就越被視為“黑匣子”，越不可信。
• 這種反應提出了透明的動機，以便可以信任該方法來指導決策。

02 建議

• 要大規模執行任務影響評估并節省工作量，請使用系統工程熟悉的方法和可用于分類的任務關鍵性標準組合。

• 定義任務時，不要包含任何系統。在分析的后期介紹特定系統的作用。

• 將隨著時間推移相對穩定的工作與需要在系統生命周期中更新的分析分開。

• 盡可能使用現有的和經過驗證的技術以保持透明，以便決策者了解分析的工作原理及其局限性，并信任它來指導決策。

• 應用網絡分離的概念來解決冗余問題。

• 在任務和系統級別合并功能流程圖，以解決對手指揮和控制分析問題。

• 為了全面驗證和驗證網絡任務線程分析框架，空軍應該在各種不同的任務中應用和測試它。

03 報告目錄

第一章

評估武器系統網絡安全風險的一些注意事項

第二章

評估任務影響的原型框架

第三章

框架的討論