新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 采用Zynq SoC實(shí)現(xiàn)Power-Fingerprinting 網(wǎng)絡(luò)安全性

采用Zynq SoC實(shí)現(xiàn)Power-Fingerprinting 網(wǎng)絡(luò)安全性

作者: 時(shí)間:2016-09-12 來源:網(wǎng)絡(luò) 收藏

驅(qū)動(dòng)工業(yè)物聯(lián)網(wǎng) (IIoT) 的“任意連接”實(shí)現(xiàn)了超高速增長,這不僅僅只是連接眾多迥然不同的設(shè)備。這還與跨各種廣泛應(yīng)用收集、分析和操作的數(shù)據(jù)有關(guān)。IIoT 概念的關(guān)鍵點(diǎn)在于能夠確保設(shè)備的安全性,以便能夠收集和同化數(shù)據(jù)并向其他位置進(jìn)行傳輸。

本文引用地址:http://m.butianyuan.cn/article/201609/303637.htm

“任意連接”這一理念的超高速增長所引發(fā)的新漏洞遠(yuǎn)遠(yuǎn)快于公司可以實(shí)施的安全措施。通常最容易被忽略的漏洞之一就是資源受限制的硬件平臺(tái),例如,2010 年攻擊伊朗核反應(yīng)堆的震網(wǎng) (Stuxnet) 病毒就引發(fā)了全球范圍內(nèi)的關(guān)注。

PFP Cybersecurity 是一家科技公司,其制定的獨(dú)特方法能解決眾多安全性問題,例如因資源受限制的硬件平臺(tái)和網(wǎng)絡(luò)安全威脅(如震網(wǎng)等病毒)的增長所導(dǎo)致的問題。iVeia 通過充分利用 賽靈思’s Zynq-7000 All Programmable SoC 來幫助 PFP Cybersecurity 面向 IIoT 應(yīng)用實(shí)施新穎、高效的算法型網(wǎng)絡(luò)安全解決方案。與 PFP 的基于 PC 的概念驗(yàn)證相比最終設(shè)計(jì)在體積和功耗方面均減少或降低了一個(gè)數(shù)量級(jí)。

在探討我們兩家公司如何在 上使用名為 Power Fingerprinting (PFP) 的專有技術(shù)來開發(fā)和商用化某個(gè) IIoT 網(wǎng)絡(luò)安全解決方案之前,我們首先來深入了解一下資源受限硬件平臺(tái)不斷增長的安全漏洞。

資源受限型硬件平臺(tái)的漏洞

由于標(biāo)準(zhǔn)工業(yè)控制設(shè)備使用資源受限制的嵌入式平臺(tái),因而控制關(guān)鍵基礎(chǔ)設(shè)施的大量系統(tǒng)幾乎沒有規(guī)定。如今,這種系統(tǒng)級(jí)別漏洞正被認(rèn)為是關(guān)鍵基礎(chǔ)設(shè)施的嚴(yán)重威脅。在關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中,很多系統(tǒng)具備陳舊的處理器,使用唯一硬件,并且不支持典型網(wǎng)絡(luò)安全措施所引入的性能降級(jí),它們?yōu)槿肭至粝铝撕箝T。最近的一次是在 2014 年 11 月,調(diào)查人員發(fā)現(xiàn)控制美國電廠、電網(wǎng)、水處理工廠和石油天然氣基礎(chǔ)設(shè)施的系統(tǒng)感染了病毒。[1]

四年前,由于震網(wǎng)病毒感染了伊朗負(fù)責(zé)運(yùn)行核離心機(jī)的可編程邏輯控制器 (PLC),從而導(dǎo)致了離心機(jī)的毀壞。[2] 平臺(tái)過于僵化,就非常容易遭到入侵, PLC 就是其中的典范。PLC 很大程度上由嵌入式 MPU 組成,能自動(dòng)對(duì)工業(yè)設(shè)備進(jìn)行控制和監(jiān)控。企業(yè)通常會(huì)建立其 PLC 平臺(tái)網(wǎng)絡(luò),但卻趨向于不為任何類型的安全監(jiān)控或完整性評(píng)估提供資源。[3] 同時(shí)為了防范零日攻擊(zero-day attack)或供應(yīng)商未意識(shí)到的安全漏洞,他們也不會(huì)特別頻繁地去更新這些平臺(tái)。[4]

POWER FINGERPRINTING:一種新穎且有效的安全方法

PFP Cybersecurity 開始尋求能解決這類問題的解決方案,其不僅是能與現(xiàn)有安裝設(shè)備高效協(xié)作運(yùn)行的非侵入式解決方案,同時(shí)也不需要安裝任何重要的設(shè)備或產(chǎn)生大量軟件更新。。該公司開發(fā)的 PFP 技術(shù)可作為完整性評(píng)估的創(chuàng)新方法。正如人類指紋是個(gè)人的唯一標(biāo)識(shí)一樣,相同的理念也適用于特定系統(tǒng)或芯片。PFP 使用物理側(cè)通道(例如,功耗)來獲取在處理器中全面執(zhí)行協(xié)議棧內(nèi)部執(zhí)行狀態(tài)的相關(guān)信息,并且這與平臺(tái)或應(yīng)用無關(guān)。PFP 技術(shù)將識(shí)別被系統(tǒng)認(rèn)為正常運(yùn)行的“指紋”。如果之后獲取的某個(gè)指紋不匹配,則可能表明某些方面出錯(cuò)。

這可通過外部監(jiān)控器來實(shí)現(xiàn),該監(jiān)控器在物理上與目標(biāo)處理器分離,并且在網(wǎng)絡(luò)攻擊破壞了目標(biāo)時(shí)能以極高的準(zhǔn)確度進(jìn)行檢測(cè)。PFP 同時(shí)適用于新系統(tǒng)和原有系統(tǒng),是現(xiàn)有解決方案的補(bǔ)充,并且不需要在目標(biāo)上安裝任何軟件或硬件。

PFP 可支持能捕獲通道側(cè)信號(hào)的各種傳感器,并依賴于計(jì)算密集型信號(hào)處理算法進(jìn)行功能抽取,而且依賴機(jī)器學(xué)習(xí)進(jìn)行分類。能通過各種方法來完成感應(yīng)側(cè)通道,包括 AC 或 DC 電流或者在目標(biāo)周圍獲取電場(chǎng)或磁場(chǎng)變化的電磁 (EM) 傳感器。PFP 從捕獲的信號(hào)中抽取唯一有差別特征,將其與一組基線參考進(jìn)行比較并查找偏差?;€參考是“指紋”,可唯一識(shí)別的正常執(zhí)行目標(biāo)軟件,并且是通過機(jī)器學(xué)習(xí)方法來抽取的。PFP 使用存儲(chǔ)的參考來實(shí)時(shí)檢測(cè)未經(jīng)授權(quán)的執(zhí)行偏差。

PFP Cybersecurity 成功開發(fā)了概念驗(yàn)證用的監(jiān)控系統(tǒng),并使用如下設(shè)備對(duì)該系統(tǒng)進(jìn)行了演示:個(gè)人計(jì)算機(jī) (PC) 、 具備高速模數(shù)轉(zhuǎn)換器 (ADC)以及能將 EM 傳感器與數(shù)據(jù)采集設(shè)備(如圖 1 中所示)實(shí)現(xiàn)接口相連的定制模擬前端。PFP 算法引擎在 PC 上執(zhí)行,并以從數(shù)據(jù)采集設(shè)備收集原始 ADC 數(shù)據(jù)為切入點(diǎn)。系統(tǒng)的前端處理在設(shè)計(jì)方面類似于眾多多通道數(shù)字無線電接收器,即,在 ADC處收集可用于由多個(gè)數(shù)字調(diào)諧器進(jìn)行處理(通常稱為數(shù)字下變頻,也可簡稱 DDC)的寬波段。這些 DDC 可調(diào)諧到更廣波段中的更窄相關(guān)波段,然后對(duì)這些波段進(jìn)行過濾和抽取。此方法能產(chǎn)生高得多的可管理數(shù)據(jù)帶寬以進(jìn)行后續(xù)跟蹤處理,并可極大簡化系統(tǒng)設(shè)計(jì)的模擬部分。

功能抽取和分類算法可處理 DDC 的輸出,并將其與一組基線參考進(jìn)行比較,所有這些都必須進(jìn)行實(shí)時(shí)操作才能確保它們察覺到任何入侵。控制算法的并行運(yùn)行能夠確定ADC 采樣率及相關(guān)波段的處理參數(shù)。此進(jìn)程可在原始 ADC 樣本的大型相鄰模塊上執(zhí)行大量操作,其中包括快速傅里葉變換 (FFT)。 此方法可基于目標(biāo)平臺(tái)提供連續(xù)的 24/7 全天候完整性監(jiān)控。 如果檢測(cè)到入侵,F(xiàn)PP 監(jiān)視器就會(huì)通過提醒操作人員、將事件數(shù)據(jù)記錄到中央監(jiān)控站和/或采取積極措施來根據(jù)特定于應(yīng)用的策略進(jìn)行響應(yīng)。

基于 PC 的概念驗(yàn)證系統(tǒng)能夠產(chǎn)生的出色的結(jié)果,但由于多種原因,無法作為能夠在商業(yè)上廣泛部署可行系統(tǒng)。PC 系統(tǒng)基本包含一個(gè)監(jiān)視器節(jié)點(diǎn),而每一個(gè)現(xiàn)實(shí)世界的安裝都可能需要幾百個(gè)監(jiān)視器節(jié)點(diǎn)。對(duì)算法性能的要求標(biāo)明 PC 需要擁有功能強(qiáng)大的高端處理器。因而,其通常將需要風(fēng)扇散熱、相對(duì)大型的機(jī)柜以及大功率電源。

為了最大限度降低系統(tǒng)的抗擾性,傳感器信號(hào)的模數(shù)轉(zhuǎn)換應(yīng)在靠近目標(biāo)的一端進(jìn)行。目標(biāo)處理器附近適當(dāng)?shù)奈锢砜臻g和電源可用性因各個(gè)安裝的不同而有所差異,并且對(duì)于大部分安裝而言,PC 的大小與電源要求過于大型,而無法行得通。盡管 PC 的成本可能較低,但將其余組件與 PC 進(jìn)行集成所帶來的成本和復(fù)雜性反而會(huì)讓導(dǎo)致難以承受的高昂成本。更不必說, PC 會(huì)使得監(jiān)視節(jié)點(diǎn)自身更容易受到網(wǎng)絡(luò)的攻擊。

從架構(gòu)方面而言,一種選擇可能是將所有原始數(shù)字信息通過標(biāo)準(zhǔn)網(wǎng)絡(luò)傳輸?shù)街醒胩幚砥骰蚍?wù)器。但由于 ADC 極高的采樣率,支持如此大量數(shù)據(jù)所需要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施在安裝時(shí)可能會(huì)不可用,并且購買和安裝不僅復(fù)雜而且成本過高。


上一頁 1 2 3 下一頁

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉