277本作品采用知识共享署名国际4.0许可协议进行许可。原标题:披着羊皮的狼Anomadarshi Barua美国加州大学欧文分校anomadab@uci.edu摘要YonatanGizachewAchamyeleh加州大学欧文美国加利福尼亚州欧文yachamye@uci.eduACM参考格式:穆罕默德·阿卜杜拉·法鲁克加州大学欧文分校Irvine,CA,USAalfaruqu@uci.edu负压室(NPR)是生物实验室或传染病控制医院生物安全水平(BSL)的基本要求,以防止致命病原体从设施中泄漏NPR内部相对于外部参考空间保持负压,使得微生物包含在NPR内部。目前,差压传感器(DPS)被楼宇管理系统(BMSs)用于控制和监测NPR中的负压 本文演示了一种非侵入性和隐形攻击NPR的欺骗DPS在其谐振频率。我们的贡献是:(1)我们表明,在NPR中使用的DPS通常具有在可听范围内的谐振频率。(2)我们利用这一发现设计恶意音乐以在DPS中产生共振,从而导致DPS的正常压力读数过冲(3)我们展示了DPS中的共振如何欺骗BMS,使NPR将其负压变为正压,从而导致致命微生物从NPR中泄漏。我们对来自5个不同制造商的8个DPS进行了实验,以评估它们在考虑采样管的情况下的谐振频率长度,并在6个DPS中找到共振当不存在采样管时,我们可以从1.7cm的距离实现2.5Pa的负压变化,并且对于1m的采样管长度,可以从1.2.5cm的距离实现2.5Pa的负压变化。我们还介绍了一个时间间隔变化的方法,对负压进行了对抗性控制,锻造压力可在12 ~ 33 Pa范围内变化 我们的攻击也能够同时攻击多个NPR。此外,我们证明了我们的攻击在一个真实世界的NPR位于一个匿名的生物研究设施,这是FDA批准,并遵循CDC的指导方针。我们还提供了防止攻击的对策CCS概念• 安全与隐私→嵌入式系统安全;硬件攻击与对策。关键词压力传感器;谐振;负压室;病原体两位作者都对本研究做出了同等的贡献。CCS©2022版权归所有者/作者所有。ACM ISBN978-1-4503-9450-5/22/11。https://doi.org/10.1145/3548606.3560643Anomadarshi Barua , Yonatan Gizachew Achamyeleh 和Mohammad Ab-dullah Al Faruque。2022.披着羊皮的狼在2022年ACM SIGSAC计算机和通信安全会议(CCS '22)的会议记录中,2022年11月7日至11日,美国加利福尼 亚 州 洛 杉 矶 。 ACM , 纽 约 州 纽 约 市 , 美 国 , 15 页 。https://doi.org/10.1145/3548606.35606431介绍生物安全等级(BSL)[68,74]是一套严格的规定,签署了生物实验室或医院设施,以防止致命的病原体从设施泄漏根据实验室或医院环境中包含的微生物,BSL从BSL-1(最低安全级别)到BSL-4(最高安全级别)进行排名。疾病控制和预防中心(CDC)设置BSL,以显示对微生物遏制的特定控制,以保护周围环境和社区。BSL要求生物实验室或传染病控制医院的隔离室相对于外部走廊保持负压[74]。因此,该房间被称为负压室(NPR)。NPR通过保持内部负压,确保潜在有害微生物不会通过气流从设施中泄漏因此,NPR对于防止致命的生物气溶胶从设施中逃逸至关重要随着对生物恐怖主义的日益关注,NPR必须遵循CDC,ASHRAE或其他当局制定的严格规定保持一定的负压[53,67]。 压差传感器(DPS)通常用于NPR中,以测量设施中的负压[65]。 DPS向供暖、通风和空调(HVAC)系统提供压力数据,HVAC系统通过控制进入NPR的气流来维持负压[79]。此外,NPR中还存在室内压力监测(RPM)系统,以监测室内压力[7]。RPM系统还取决于安装在NPR中的DPS的读数RPM和HVAC系统都与建筑物管理系统(BMS)连接,用于自动控制和监测NPR中的负压DPS具有作为压力收集器工作的弹性隔膜。因此,DPS可以建模为具有谐振频率的二阶动态系统[83]。我们通过实验证明,在NPRS中使用的DPS的谐振频率通常在可听范围内。此外,我们表明,与采样管的DPS可以建模为亥姆霍兹谐振器,与采样管的DPS的谐振频率仍然落在可听范围内。这一发现很重要,因为一个攻击者,谁有一个意图改变消极的,CCSAnomadarshi Barua,Yonatan Gizachew Achamyeleh,Mohammad Abdullah Al Faruque278NPR中的压力可以使用具有共振频率的可听声音来在DPS中产生共振,并产生伪造的压力来干扰位于NPR中的DPS的正常读数然而,具有单音共振频率的声音将产生“哔”声,这使得当局很容易识别攻击此外,HVAC和RPM系统不能被DPS中的简单谐振所欺骗,因为这些系统与谐振相比具有更慢的响应时间。因此,DPS中的简单共振不足以将NPR的负压变成正压以从NPR泄漏空气传播的病原体。为了解决上述问题,本文采用了巧妙的策略,通过伪装流行音乐内部的共振频带共振频率作为一个片段插入到音乐中谐振频率的每个插入段在其峰值处结束因此,DPS内的相应压力波也在其峰值处结束。由于带采样管的DPS是二阶振荡系统[41],因此压力波不会立即从峰值降至零。相反,压力波开始从其峰值指数衰减。如果两个连续段之间的间隔很小,压力波永远不会低于某个值。因此,锻造压力总是存在于具有大于零的平均值的DPS内。因此,注入DPS的恶意音乐可以欺骗与BMS连接的HVAC和RPM系统的控制器,以将NPR的负压变为正压。此外,谐振频率的片段被隐藏在恶意音乐中,使得攻击无法被权威机构识别。因此,我们称这种攻击为“披着羊皮的狼”,因为这种策略确保了隐蔽性。将负压变为正压的后果可能是灾难性的。 如果NPR有一个传染病患者入院或正在进行的生物研究,攻击者可以控制攻击的时机,从NPR泄漏致命的病原体。此外,NPR压力的异常变化会触发警报,可能会在设施中造成混乱。攻击者可以利用这种混乱来发起更强大的攻击,例如从NPR中窃取致命的微生物或物理攻击NPR中的生物安全柜。因此,我们的攻击模型是强大而有影响力的,有可能造成巨大的生命和金钱损失。贡献:我们有以下技术贡献:(1) 我们评估了来自五个不同制造商的八个工业用压力传感器,以表明NPR中具有在可听范围内的谐振频率。(2) 我们设计恶意音乐伪装的共振频率的DPS内的音乐愚弄暖通空调和RPM系统的NPR。通过实验证明,该策略可以将NPR的负压变为正压。(3) 我们表明,攻击者可以通过使用恶意的音乐对抗性地控制DPS中的伪造压力此外,我们表明,攻击者也可以同时攻击多个NPR在一个设施使用我们的攻击模型。(4) 我们展示了我们的攻击模型在现实世界中的NPR位于一个匿名的生物研究设施。NPR由食品和药物管理局(FDA)批准,并遵循CDC指南。我们还提供了对策,以防止对NPR的攻击演 示 : 攻 击 的 演 示 显 示 在 以 下 链 接 中 :https://sites.google.com/view/awolfinsheepsclothing/home2背景2.1NPR及其重要性NPR [76]保持内部相对于外部参考空间的较低压力。由于空气通常从高压区域流向低压区域,NPR确保清洁空气被吸入室内,使室内的污染颗粒无法逃逸。 这就是为什么NPR存在于医院和生物安全实验室中,因为它们可以防止细菌和病毒等空气传播颗粒从设施中传播出去。 NPR也存在于安全关键设施中,如药房和洁净室。重要性:NPR的安全性是至关重要的,因为从NPR传播空气传播的微生物可能导致灾难性的后果。例如,一种属于曲霉属的致命真菌是一种空气传播的病原体,可引起曲霉病,导致急性肺炎和肺部和肾脏的损害[1]。 它对中性粒细胞减少症患者的死亡率为100%(即,低中性粒细胞)。呼吸道感染,如流感,猪流感和COVID-19是导致全球大流行的空气传播病原体的很好例子。最近,关于COVID-19作为生物武器从生物实验室泄漏的阴谋论一直在流传[13]。在这种情况下,想象一个意图传播传染病的攻击者,因为生物武器可能以NPR为目标,在那里,要么被感染的病人被隔离,要么对致命的病原体进行研究。因此,NPR的安全性至关重要,并受到严格的指导方针的监管。2.2NPR法规随着对生物恐怖主义和新兴传染病的日益关注,人们更加重视对NPR的适当NPR必须遵循CDC [53]、ASHRAE [67]和医疗保健设计施工指南[43]制定的要求,以正确管理空气传播感染。不同的主管部门遵循各自的法规[2,3,5,63],以保持NPR中的一定负压(见表1)。例如,CDC要求NPR必须保持负压差至少为10.25Pa(即, 0.01英寸水柱),每小时至少换气12次[53]。此外,委员会认为,必须允许来自NPR的废气直接排出到外部,而不会污染来自其它位置的废气此外,所有废气必须通过高效微粒空气(HEPA)过滤器排出,以防止环境中的任何污染。表1:负压室(NPR)的规定国家台湾CDC(美国)AIA(美国)澳大利亚负压-8帕-2.5帕-2.5帕-15帕每小时换气次数(ACH)8 - 12> 12岁> 12岁> 12岁2.3NPR中使用的压力传感器类型传统上,热线风速计[54]和球压力传感器[57]用于测量NPR中的压力然而,它们具有局限性,例如它们对灰尘高度敏感,需要定期维护,并且不能连接到BMS或RPM以进行实时控制。因此,基于传感器的压力传感器原标题:披着羊皮的狼CCS279=(TPPS)正在取代NPR中的热线和球压力传感器,因为TPPS更准确,可靠,需要低维护,并且可以连接到BMS或RPM进行实时监控。TBPS的物理特性力收集器和传感器是TBPS的两个基本组件力收集器,如弹性膜片,与传感器组合以产生与输入压力成比例的电信号[39]TBPS的类型一般来说,TBPS以三种模式之一工作:绝对测量,量规测量或差分测量。绝对压力2.6DPS的谐振频率和谐振谐振频率:如第2.3节和第2.4节所述,典型地,DPS具有隔膜/膜和换能器。在那里-因此,DPS中的压力传感器系统被认为是一个二阶动力系统,类似于弹跳球[83]。因此,DPS中的换能器系统具有其自身的谐振频率,其取决于隔膜的质量和刚度以及压力介质的质量,如等式11所示。 1[35]。、传感器使用真空压力,而仪表传感器使用当地大气压力作为静态参考压力。另一方面,在一项研究中,1R2R膜片刚度压力介质和膜片(一)差压传感器(DPS)测量差压任何两个压力水平之间使用两个输入端口(见图)。①的人。因此,DPS自然适用于需要测量压差的应用,例如NPR [28]。由于DPS对压差具有很高的灵敏度,并且部署在NPR中,因此我们将在下一节中重点介绍DPS。共振:当输入压力波的频率与DPS中驱动传感器系统的共振频率相匹配时,就会发生共振,从而导致传感器在大振幅下振荡[60]这通过过冲实际压力波中的峰和谷而导致显著误差,其中实际读数被高估/低估。在那里-弹性隔膜换能器输入端口P2P2输入端口P1输入端口P2因此,用户确保DPS通常在其谐振频率以下操作以防止谐振。经验(电容器板)输出电压对于给定的DPS [24]。这一概念在图中示出。二、P1输入端口P1物理DPSDPS在20%的fr下运行,以避免共振图1:具有两个输入端口的DPS的基本原理2.4差压传感器DPS通常在两个压力输入口P1和P2之间放置一个弹性膜片(见图1)。①的人。膜片通过改变其形状来感测施加到压力输入端口的压差P1-P2。膜片 DPS使用电容器、压敏电阻器或热质量流作为换能器。DPS是根据它所具有的传感器类型命名的。图1示出了作为示例的电容性DPS。隔膜被放置在刚性电容器板之间。施加到隔膜上的压差在电容式传感器中产生成比例的变化,从而在传感器输出端产生成比例的电压。有关其他类型的详细信息,请参阅附录13.120%frfr对数标度中的频率(Hz)图2:DPS中的谐振频率2.7DPS内部的电子设备除了传感器外,DPS还有一个信号调节模块(见图1)。3)。信号调理模块包括差分放大器、低通滤波器(LPF)和模数转换器(ADC)。差分放大器在消除共模噪声后放大输出。带有ADC的LPF将测量值数字化。市场上有模拟和数字DPS模拟DPS直接从差分放大器输出模拟信号,而数字DPS包含LPF和ADC。输入端口P22.5NPR DPS中使用的压差传感器对低压范围内的小压差变化高度敏感(即,Pa范围),并且自然适合测量压力差。因此,DPS是一个自然的选择,在大多数RPM/BMS系统中用于控制负压。到弹性隔膜换能器P2P1输入端口P1- -一种+输出电压LPFADC数字DPS为了证明DPS在NPR中的普遍性,我们调查了六个由流行制造商设计的工业用RPM系统。 所有这些RPM系统都使用不同类型的DPS,如表2所示。表2:NPRSL.RPM/DPS部件编号类型技术制造商1RSME系列[12]电容微分德怀尔2SRPM 0R1WB[7]电容微分Setra3一个Vue感[8]未知微分Primex4RSME-B-003[10]压阻微分德怀尔5西门子547- 101 A[9]未知微分西门子6A1系列[11]压阻微分森索孔7[21]第二十一话未知微分帕拉贡港图3:DPS内部的不同组件。3NPR的基础本节解释了核电站的结构,DPSs在核电站中部署的位置和3.1真实世界NPRNPR的组成部分根据不同设施的要求而有所不同。然而,大多数NPR的核心组件或多或少是相同的在这里,我们详细介绍了一个匿名NPR的组成部分幅度(dB)放大器CCSAnomadarshi Barua,Yonatan Gizachew Achamyeleh,Mohammad Abdullah Al Faruque280中过滤器冷却盘管介质过滤器UV光冷却盘管热管预过滤器中效过滤器HEPA过滤器紫外线灯来验证我们的攻击模型 请注意,本文中评价的目标NPR位于匿名生物研究机构的洁净室中。该NPR也得到了FDA的批准,并遵循CDC指南。一个典型的结构的核反应堆显示在图。四、 NPR具有HVAC系统,其包括新鲜空气入口端口。来自外部的新鲜空气经过多级过滤器处理,然后通过空调(AC)单元供应到NPR的隔离室,包括前厅。空调具有可变风量3.3 NPR中的压力控制算法在BMS上运行的压力控制算法控制NPR的HVAC系统以保持恒定的负压。下面提供简化的控制算法1 算法1表明,当负压从NPR中的参考值增加或减少时,来自DPS的压力读数用于控制供气风扇和排气风扇的速度,保持负压接近参考值。控制算法1的其余部分是不言自明的。(VAV)控制器,其可增加或减少供应风扇速度,控制新鲜气流到NPR。排气扇使用排气管通过HEPA过滤器不断将受污染的空气从NPR中。污染的空气进一步处理后过滤单元具有紫外线(UV)灯。房间尽可能保持密封RPM系统安装在墙上,并与BMS集成。算法1:NPR中的压力控制算法。输入:来自DPS的输出:向HVAC系统发送控制信号1 对于t←1到∞,2跟踪DPS压力端口的压差读数3如果负压差从参考值增加,则4降低空调送风风扇转速,控制新风量5提高排风扇转速,增加排风量6否则,如果负压差从参考值减小,则7提高空调送风风扇转速,控制新风量8降低排风扇转速,减少排风量9其他10保持控制器的状态不变图4:真实世界NPR的不同组件3.2如何在NPR中部署DPSHVAC系统通过使用送风机和排风机控制新鲜空气和排风,确保NPR中的负压RPM系统持续监测室内负压。RPM和HVAC系统使用DPS来监测和控制NPR中的负压DPS通常位于RPM或BMS控制器内部通常,DPS的输入端口与使用采样管的压力端口连接(见图1)。第4和第5段)。位于NPR内部的压力端口称为低压端口。位于走廊/参考空间中的NPR外部的压力端口称为高压端口。取样管与压力端口中的压力拾取装置连接压力拾取装置增加了采样管的表面积,以精确地拾取目标压力。低压端口和高压端口是暴露的,并且通常安装在靠近门壁或NPR的天花板上的视线中在HVAC系统中还使用了其他DPS来指示HVAC的过滤器是否堵塞通常情况下,安装在视力。因此,它们是不可访问的。采样电子管DPS高压端口输入端口低压端口在NPRDPS输入端口压力拾取装置采样管在参考空间压力传感器低压端口高压端口图5:DPS的压力端口和采样管4攻击模型图7显示了与NPR相关的攻击模型的不同组件我们将在下面逐点讨论攻击模型的组件。攻击者结果。实际压力读数出现过冲,导致BMS在NPR中维持的负压目标系统:攻击者的目标是一个设施,其中NPR用于包含致命的微生物和传染性空气传播颗粒。这些设施包括传染病控制医院的隔离室、洁净室和药房,以及生物研究设施的生物实验室DPS的低压端口在视力范围内CCTV位置攻击者在NPR内部DPS的高压端口在视野中CCTV位置NPR外(走廊)图6:DPS的压力端口在NPR中可见攻击者的能力:攻击者可以偷偷地将攻击工具放置在NPR中使用的DPS的目标压力端口附近。攻击工具有音频源。 音频源播放恶意音乐,其频率等于安装在目标NPR中的DPS的谐振频率。 音频源可以是放置在目标DPS的压力端口附近的简单蜂窝电话或来自娱乐单元(诸如电视机和收音机或CCTV)的扬声器。低压端口和高压端口通常安装在视力中,并且将音频源放置在目标压力端口附近需要短暂的一次性访问。此外,音频源,如电视或闭路电视与扬声器,往往是安装在国家公共广播电台预过滤器高压端口压力传感器过滤器,过滤器过滤器中的压缩空气然后他就开始了供气扇过滤器、冷却盘管和热管热管SuppSlyupflaynfanHEPA过滤器低压致命微生物DPS检查过滤器堵塞冷却盘管新鲜空气空调(AC)机组预过滤器高效过滤器,紫外线灯,端口采样管前厅内包含的NPR回风后置滤波器排气扇排出空气隔离室排出空气排气扇走廊DPS位于RPM/BMS控制器内部RPM或BMS控制器原标题:披着羊皮的狼CCS281控制攻击时机,隐身、非侵入、低成本攻击带扬声器的闭路电视手机不满的员工娱乐单元(收音机、电视)楼宇管理系统(BMS)访客留言源中央电视台发言者手机号码恶意音乐将负压改为正压室内压力监测系统(RPM)压力和泄漏污染物颗粒通过收音机、电视、闭路电视和扬声器或手机进行远程通信压力端口在视力范围内触发警报并在设施中制造混乱图7:攻击模型的简要概述-披着羊皮的狼压力端口附近的设施(见图6)。 音频源可以具有允许远程通信的无线控制。因此,攻击者可以远程控制攻击的时机,并且可以挑选易受攻击的时间(例如,NPR中收治的传染病患者、正在进行的生物研究等)最大的后果。目标NPR的权威机构可能不知道攻击模型,并且可能会忽略放置在NPR中的压力端口附近的任何音频源的安全含义攻击者首先(最有可能),可以访问NPR的恶意员工或客人或维护人员可能会将音频源放置在压力端口附近虽然NPR仅限于未经授权的人员,但对于伪装成客人或维护人员的攻击者来说,在压力端口附近获得短暂的一次性访问可能并不困难第二种是阻断,过去曾有传言[40,51,71,80],最近已被证明是可行的[73]。在拦截期间,竞争者可以在交付或安装期间拦截DPS,并且可以通过在内部放置音频源来修改DPS,然后继续向NPR设施交付或安装。播放恶意音乐:攻击者可以通过以下三种方式在扬声器中播放恶意音乐,将声音注入DPS。 首先,攻击者可以使用标准的网络钓鱼攻击来欺骗权威机构通过电子邮件或在CCTV或电视中启用自动播放音频的网页播放恶意音乐。其次,攻击者可以使用公共无线电播放恶意音乐如果有人把无线电放在压力端口附近,攻击很有可能会有效。第三,如果攻击者通过手机播放音乐,则可能发生物理接近攻击攻击的结果:攻击者改变DPS的实际压力读数,并欺骗BMS将负室内压力变为正压或从参考值降低负压这将触发警报并在设施中造成此外,NPR无法正常工作,因为它的设计目的可能不包含致命的微生物。从核反应堆中故意泄漏致命微生物可能导致生物恐怖主义。生物恐怖主义造成大规模破坏的可能性从美国的一份报告中显而易见美国科学技术办公室预测,在华盛顿特区释放100公斤炭疽孢子将导致13万至300万人死亡,相当于氢弹的致命潜力[58]。疾病预防控制中心审查了潜在的微生物,如天花和病毒性出血热,作为空气传播的生物武器[42]。攻击者故意从NPR泄漏这些生物武器可能引发全球性的流行病,巨大的生命和金钱损失。非侵入性:欺骗攻击是非侵入性的,并且在不与目标DPS进行物理接触的情况下攻击者不需要直接访问或物理接触传感器读数。然而,我们希望攻击者可以在发起实际攻击之前检查类似传感器受到声学影响的行为。攻击者此外,一个价格为60 - 100美元的简单手机可以播放具有适当谐振频率的恶意音乐来攻击NPR。5NPR中的威胁本文通过实验找到了核动力反应堆中DPS的谐振频率,并解释了核动力反应堆中不同因素对谐振频率的5.1声波对DPS的威胁声波:声音通常被称为压力波,因为它是由穿过介质的高压和低压区域的重复模式组成的[4]。对DPS的威胁:因此,当声波与DPS的振膜碰撞时,振膜开始以与声音相同的频率振动。因此,有了上述知识,聪明的攻击者可以使用频率等于DPS的共振频率的声音来产生共振,并人为地以其最大幅度移动振膜。隔膜的锻造位移可以通过在实际压力波形中引入过冲来改变DPS的压力读数。5.2在DPS我们开发了一个模型,如何声波扰动读的DPS。我们测量的压力是原始/平衡压力Po(t)的线性组合,没有声音,外部声压Ps(t)。在以一定频率播放声音在距离d处的振幅A0、速度v和相位v的情况下,DPS测量的总压力P(t)可以建模为:P( t)=Po( t)+Ps( t)=Po(t)+h(d,v)·A0cos(2rt+d/v+v)(2)其中h(d,f)表示声波的衰减,其取决于距离d和音频源的频率f如果声波的频率ω从上面的解释中可以清楚地看出,攻击者,首先,需要识别DPS的谐振频率ωr以协调攻击。然而,压力传感器的说明书CCSAnomadarshi Barua,Yonatan Gizachew Achamyeleh,Mohammad Abdullah Al Faruque282SDP 810的谐振频率500 PA在870-890 Hz范围内在NPR中使用的不提供与它们的谐振频率相关的信息。因此,我们使用彻底的实验来找到谐振频率,在接下来的章节中详细讨论图8:不同DPS的实验设置。5.3实验装置图8描绘了用于评估谐振的实验装置。5.4评估谐振频率将频率在50 Hz至40 kHz之间且增量为10 Hz的单音声音施加到DPS的两个端口之一或施加到我们的试验台中的表压传感器的单个端口,而不使用采样管。我们每3 ms改变一次频率,并使用示波器记录每个频率的数据,以进行分析。对数计/DPS或使用Ek-P5测试套件进行数字DPS测试。在实验中,我们将声压级保持在2cm处的± 35 - 95 dB之间。我们研究了有和没有声音信号的传感器读数的差异当不存在声波时,DPS的两个输入端口或表压的单个输入端口传感器测量来自环境的未受干扰的压力。因此,在没有单音声波的情况下,传感器的预期输出应为零。 当单音调声音施加到DPS或仪表传感器的输入端口时,目标传感器的输出开始振荡。振荡在目标压力传感器的谐振频率处达到峰值。TBPS的频率我们用以下三种不同的音频源产生不同频率的单音声波,从50 Hz的可听值到40 kHz的不可听值1. 来源1:我们使用三星Galaxy S10智能手机[29]产生50 Hz至13 kHz的频率。我们使用一个名为函数发生器的应用程序来扫描特定范围内的频率,2.602.502.402.302.202.102.001.901.801.70没有声音与声音最高扰动P993- 1B的谐振频率在740-750 Hz之间2.252.202.152.102.052.001.95没有声音与声音最高扰动使用智能手机的频率范围,其具有声压1.60050010001500200025001.905001000150020002500在1英寸的距离上,最大音量时的声压级(SPL)为1080 dB [38]2. 源2:我们使用函数发生器[25],200 W音频放大器(部件 #BOSS Audio Systems R1002 [15] ) , 扬 声 器 ( 部 件 #Goldwood Sound Module [19])和指向性高音喇叭(部件# GT-1188 [20])来产生100 Hz至18 kHz的频率。指向性喇叭与扬声器连接,以将声音引导到目标传感器。此设置可产生高达1095 dB的SPL一英寸的距离。使用音频源2的原因,当我们具有音频源1是测试具有更高SPL的传感器我们使用一个名为Sound Meter[33]的应用程序来测量SPL。3. 源3:我们使用超声波发生器(部件编号Kemo Elec-tronicM048 N [37])、压电扬声器(部件编号ToToT超声波扬声器[27])产生15 kHz至40 kHz范围内的频率我们测试了来自5个不同制造商的8个行业使用的TPPS,包括模拟和数字类型(见表3)。在8个传感器中,6个是DPS,2个是表压传感器(见第2.3节)。我们使用表压传感器来识别不仅DPS而且表压传感器都具有可以被攻击者利用的这支持了这样一种想法,即如果NPR使用表压传感器而不是DPS,攻击者也可以针对这些NPR。因此,我们的攻击模型将适用于任何TBPS,而不管表压传感器和DPS。实验装置放置在隔音室内,以避免外部噪音。为了读取和记录压力测量值,我们使用示波器进行模拟TPS,并使用Ek-P5[18]测试套件与我们的笔记本电脑连接进行数字DPS。请注意,一些压力传感器需要单独的独特电路进行测试,数据收集和信号调节。因此,我们为每个需要它的传感器建立一个单独的信号调理电路。 作为示例,附录13.2中显示了使用仪表放大器从DPS(部件编号:NSCSSNN015PDUNV)收集数据的信号调理电路。频率(Hz)频率(Hz)图9:不同频率下P993-1B(左)和SDP 810 - 500 PA压力传感器图中显示了两个例子 9作为概念验证,以支持我们对谐振频率的观察。 从模拟DPS与部分#P993-1和数字DPS与部分#SDP810 - 500 Pa的输出如图所示。9(左)和(右)。蓝色是应用声音之前的传感器输出,红色是应用声音之后的传感器输出从图中可以看出9中,传感器输出在740-750 Hz范围内具有最大扰动,对于采用P993-1B部件的模拟DPS,在870-890 Hz范围内具有最大扰动,对于采用SDP 810 - 500 Pa部件的数字DPS表3总结了谐振频率的实验根据我们的发现,8个压力传感器中的6个响应于施加的声波而共振。我们发现,检测到的谐振频率范围从10600Hz到1800Hz,这是在可听范围内。我们无法检测8个传感器中的2个传感器的谐振效应:部件编号TBPDPNS100PGUCV和NSCSS015PDUNV。我们发现-从表3可知,随着压力范围的增大,谐振频率的值增大。这背后的原因是,与在低压范围内工作的传感器相比,在高压范围内工作的传感器具有更硬的膜片例如,MPVZ 5004 GW 7 U具有较高的谐振频率比P1 K-2- 2X 16 PA,因为其较高的压力,肯定范围。因此,TBPDPNS 100 PGUCV和NSCSS 015 PDUNV的谐振频率可能会超出40 kHz,这是我们在实验中使用的最高测试频率。5.5为什么共振频率在可听范围内?表3中的一个有趣观察结果是,NPR中使用的DPS的所有谐振频率都落在可听范围内。我们只超声发生器压电扬声器传感器和电路扬声器指向性喇叭EK-P5音频放大器示波器函数发生器智能手机传感器输出电压(V)传感器输出电压(V)原标题:披着羊皮的狼CCS283表3:不带采样管的基于传感器的压力传感器(TPPS)的谐振频率总结SL.传感器生产类型换能器压力范围接口谐振频率1P1K-2-2X16PA[17]森萨塔微分压阻0至500 Pa模拟790 - 800赫兹2MPVZ5004GW7U[23]Freescale计压阻0至3.92 kPa模拟1750 - 1800 Hz3SDP810-250PA[30]Sensirion微分热质流±250Pa数字760 - 780赫兹4SDP810-500PA[30]Sensirion微分热质流±500Pa数字870 - 890赫兹5TBPDPNS100PGUCV [14]霍尼韦尔计压阻0至689 kPa模拟请检查以下url6P993-1B[26]森萨塔微分电容±248Pa模拟740 - 750赫兹7[36]第三十六话霍尼韦尔微分压阻±103kPa模拟请检查以下url8A1011-00[32]森索孔微分压阻0至60 Pa数字680 - 690赫兹实验了NPR中使用的8个传感器我们是否可以从实验中得出结论,NPR中使用的大多数传感器通常具有在可听范围内的谐振频率?答案是肯定的。式中ωλ= 2rλ,rλ是传感器与管的总谐振频率,ω λ是阻尼比。具有管的传感器的谐振频率λ可以表示为:原因:表1显示NPR需要维持低负-有效压力范围为2.5 ~ 15 Pa。因此,NPR中使用的DPS被选择为在低Pa范围内具有高灵敏度,1λ=2rv、助理秘书长(4)LYM精确测量。与在高压范围内工作的传感器相比,在低压范围内工作的传感器的膜片刚度较小[22]。等式1表示谐振频率随着膜片刚度的减小而以平方根方式减小因此,在几Pa的压力范围内工作的DPS通常具有刚度较小的隔膜,其具有通常在可听范围内的低谐振频率(即,<20 kHz)。5.6影响谐振频率的因素我们通过将声波直接施加到压力传感器的输入端口来测量表3中的谐振频率然而,在这方面,采样管和压力拾取装置通常连接在一起与DPS的压力端口(见图4和5)以从目标位置拾取采样管的几何特性影响DPS传感器系统的特性。结果表明,带采样管的DPS的谐振频率与不带采样管的DPS的谐振频率不同。内部容积其中v是空气中的声速,A是内部交叉-其中,S是膜片的刚度,M是压力介质和膜片的质量等式4表示具有管的DPS的谐振频率随着管的内部横截面积A的增加而增加由于NPR中使用的DPS具有标准的输入端口直径,因此采样管的直径在某种程度上是固定的。因此,我们将在下一节中重点讨论采样管长度对攻击模型的影响。5.7核反应堆中取样管的共振图4和图图5显示了采样管如何与DPS的端口连接。为了获得良好的灵敏度和无误差测量,DPS靠近高压和低压端口放置。因此,采样管的长度通常为<2 m。因此,对于5/16英寸的直径,我们以0.4m的增量将采样管的长度改变至2 m,并计算6个DPS中的每一个的谐振频率(即, 具有有效的谐振频率)。图11显示了结果。我们注意到,测量压力pi(t)采样管DLVpo(t)压力传感器采样管长度、传感器减少,支持Eqn. 四、图10:具有采样管作为亥姆霍兹共振器的DPS内部的声压亥姆霍兹谐振器:带有采样管的压力传感器可以建模为图1。10个。让我们用Y表示传感器的内部体积,用d和L分别表示管的内径和长度。由于传感器的内部体积和连接管类似于具有窄颈腔的结构,因此管中的流体充当振荡器质量,而腔中的可压缩流体充当振荡器弹簧。亥姆霍兹共振器可以简化为二阶动态系统(见第2.6节),这产生了采样管入口压力pi(t)以及传感器输出压力Po(t):2dpo+2(ωλdppo+ ω2po=ω2pi(3)图11:谐振频率随管长度而降低。5.8披着羊皮的狼从第5.7节中可以明显看出,即使带有采样管,DPS的共振频率也在可听范围内。 用只有共振频率的声音攻击DPS会使攻击者立即被识别出来,因为共振频率会产生一种“哔哔”的声音,引起当局的关注。我们想出了一个解决方案,在6.1节中解释,以掩盖流行音乐中的谐振频率,使攻击无法识别。一旦攻击者注入恶意dt2dtλ λCCSAnomadarshi Barua,Yonatan Gizachew Achamyeleh,Mohammad Abdullah Al Faruque284他/她可以成功地在DPS中产生共鸣这被称为“披着羊皮的狼DurationtimeT间隔时间TI持续时间TD在峰值结束,po平均锻造压力间隔时间TI指数衰减在原始音乐中抑制了谐振频带,没有明显的6攻击负压室如第3.2节所述,DPS的低压端口暴露于负压室和高压端口连接到走廊,走廊是一个参考空间。如果压力在低压和高压端口由PL和PH表示,3个谐振波周期放大Endsatpeak原创音乐放大6 谐振波周期放大锻造压力影响原创音乐放大DPS分别测量压差PD为:间隔时间TI原创音乐间隔时间TI原创音乐PD=P L−P H(5)如第3.1节所述,NPR具有HVAC和RPM系统。根据HVAC和RPM系统如何使用NPR中的DPS,可能存在以下两种情况首先,NPR中的HVAC和RPM系统使用相同的DPS来控制和监测NPR中的负压。 这种情况存在于现代设施中,其中HVAC和RPM系统都是自动化的并与BMS集成。其次,HVAC使用DPS来维持负压,RPM使用单独的DPS来监测NPR中的压差这里,RPM系统仅在负压下降到阈值以下时发出警报,但不负责维持NPR中的负压。我们在下面讨论上述两种情况。6.1当HVAC和RPM使用相同的DPS时,这种情况对于攻击者来说更容易,因为他/她可以通过攻击单个DPS来攻击NPR的HVAC和RPM系统攻击者可以将声音注入到DPS如果他/她在NPR内部,并且发现进入低压端口相对容易。否则,攻击者可以将声音注入DPS的高压端口。一个简单的共振是不够的:如果攻击者通过攻击NPR中目标DPS的低压或高压端口来创建共振,则共振通过在向上和向下两个方向上超过原始压力水平来改变原始压力读数(见图1)。9)。因此,DPS中的差压读数PD(方程11)(5)开始波动。因此,送风扇和排气风扇立即跟踪DPS的压力波动,并改变它们的风扇速度以保持具有共振频率的插入段图12:将流行音乐变成攻击工具。在持续时间TD之后出现峰值,并且在每个间隔T1中再次插入相同的段。当插入段在其峰值处结束时,DPS传感器系统内的相应压力波12)。由于具有采样管的DPS是二阶振荡系统(即,Helmholtz谐振器),压力波不会从峰值瞬间降到零。相反,压力波开始从其峰值指数衰减,遵循方程11。6阻尼二阶系统[35]。p(t)=poe−ωt+(ωλpo+vo)te−ωt(6)其中po和vo分别是初始压力和峰值速度,ωλ是角共振频率。术语Vo取决于压力介质的粘度和密度间隔时间T1被选择为使得压力波永远不会下降到零。因此,在DPS的换能器系统内总是存在平均伪造压力,其源自攻击者注入的音乐。由于所产生的锻造压力具有大于零的平均值并且变化缓慢,因此供气风扇和排气风扇可以跟踪DPS中的压力变化,并且它们可以根据DPS的压力读数改变它们的风扇速度因此,这次攻击可以在目标NPR中引起明显的影响。NPR内部的静态负压,遵循算法对数标度中的频率(Hz)对数标度中的频率(Hz)1. 然而,由于共振而导致的压力读数的变化率对于机械风扇来说是高的。因此,供气风扇和排气风扇不能以高波动率改变它们的速度因此,NPR中的负压仅略有波动,实际上与参考值相比没有大幅度变化。此外,攻击者对它没有任何对抗性控制因此,攻击不会对目标NPR产生任何明显的影响。披着羊皮的狼该策略如图12所示。共振频率作为特定间隔中的片段插入到音乐中一定持续时间。让我们用TI表示间隔,用TD表示持续时间。谐振频率的每个插入段在其图13:由于插入片段,音乐内部的谐振频率的高功率密度在两个连续插入的共振频率段之间,频率(即, 在间隔时间T中,通过抑制其谐振频率分量来插入原始音乐。因此,原始音乐对间隔T I中存在的伪造压力没有明显的影响。此外,插入的片段与谐振频率相比,功率密度增加了1.38倍与原创音乐相比图13显示了这种现象,SDP 810 - 500 PA,其谐振频率在700 - 900 Hz之间(见图)。11)。因此,插入段可以通过将负压变为正压来在N
我的内容管理
展开
