推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

指挥、控制、通信和情报（C3I）系统越来越多地被用于民用和军用中的关键领域，以实现信息优势、高效率作战和更好的态势感知。与面对大量网络攻击的传统系统不同，C3I战术行动的敏感性质使其网络安全成为一个关键问题。例如，在军事战场上篡改或截获机密信息不仅会破坏C3I的运作，而且还会造成不可逆转的后果，如人员的伤亡和任务的失败。因此，C3I系统已经成为网络对抗的一个焦点。此外，技术的进步和C3I系统的现代化大大增加了C3I系统遭受网络攻击的潜在风险。因此，网络中的敌对方使用高度复杂的攻击载体来利用C3I系统的安全漏洞。尽管网络安全对 C3I 系统的重要性日益增加，但现有文献缺乏对 C3I 系统安全知识体系进行系统化的全面回顾。因此，在本文中，我们收集、分析和整合了关于C3I系统网络安全的最新进展。特别是，本文已经确定了C3I系统的安全漏洞、攻击载体和对策/防御措施。此外，我们的调查使我们能够：(i)提出安全漏洞、攻击载体和反措施的分类法；(ii)将攻击载体与安全漏洞和对策相互关联；(iii)提出未来的研究方向，以推进C3I系统网络安全的最新进展。

【关键词】：指挥；控制；通信；情报；计算机；监视；侦察；C3I;C4I;C4ISR;网络安全；网络攻击；漏洞；对策

1 介绍

指挥、控制、通信和情报（C3I）系统是数据收集传感器、智能计算机和异构通信网络的整合，该系统在指挥官的监督下被授权收集、存储、分析和传递战术领域的信息。由于新的智能（如人工智能（AI）技术）和认知的敏捷性，C3I系统使组织能够在行动中获得并保持信息优势、作战效能、增加态势感知、实时决策支持、快速沟通以及加强异构C3I单位之间的协作。此外，C3I指挥系统确保严格遵守组织的命令链，从而防止C3I单位在战术行动中违反知情行动方针。因此，C3I系统越来越多地被用于民用和军用中的敏感领域，如搜救任务、医疗、交通、消防、战场、机场以及许多其他应用，在这些领域中，及时的数据传输和计划执行是首要关注的目标。例如，英国政府利用C3I系统对COVID-19造成的医疗紧急情况做出了有效反应。

为了说明C3I系统在战术行动中的意义，图1显示了C3I系统在军事和民用领域的两个应用场景--（a）战场和（b）救援任务。在战场场景中，C3I指挥系统和C3I控制系统分别通过不同的传感器设备（如四旋翼飞机和近距离传感器）收集战术数据（例如，敌方士兵的位置和活动）。控制系统在C3I情报单位的帮助下处理原始数据，并向指挥系统提供分类信息。因此，C3I指挥系统通过协调多个军事部队，如士兵、直升机和装甲坦克，执行所需的行动计划，以实现任务目标。C3I通信系统，如卫星链路和其他技术（如4G/5G和射频链路），使移动C3I单位（如直升机和四旋翼飞机）能够在战术行动中有效协作。使用类似的方法，但目标不同，在图示的救援任务场景中，C3I指挥系统指挥救生员和救援船去拯救溺水者。在这两种情况下，C3I系统通过在战术行动中收集和处理敏感数据来产生所需的情报，从而实现信息优势、作战效能和态势感知。

图1. C3I系统在（a）军事行动和（b）救援任务中的应用演示。

如图所示，C3I系统被用于敏感领域，如军事任务和搜救场景。所谓敏感领域，我们指的是行动出错的后果是相当有害的领域。例如，在军事行动中，向飞机提供错误的目标位置以进行炮击，会导致严重的意外损失，包括人命伤亡和基础设施的破坏。C3I应用领域的敏感性质使其网络安全成为一个关键问题。例如，考虑到图1(a)所示的军事行动，如果近距离传感器因为对手的攻击而被破坏，C3I系统就会收集虚假的数据并相应地产生错误的指令，从而导致任务失败。历史事件也表明，C3I系统的网络安全漏洞会导致重大的军事失利。例如，恩尼格玛机器（C3I通信系统的一部分）被破坏是二战中德军损失败的主要原因之一。同样，同样，由维基解密于 2010 年发布的 C3I 基础设施中托管的阿富汗战争文件泄露事件是军事历史上最大的数据泄露事件之一。这次未经授权的披露包含大约91,000份有关阿富汗战争的美国机密军事记录。华盛顿邮报》在2019年报道了另一起网络安全违规事件，当时美国正式对伊朗的C3I军事装置发动了网络攻击。这些网络攻击损害了控制导弹和火箭发射器的C3I系统。在 C3I 民用领域应用方面，对洛杉矶医院和旧金山公共交通的勒索软件攻击不仅扰乱了他们的 C3I 运营，还导致未经授权的敏感信息泄露。因此，大量针对C3I系统的网络攻击已经成为C3I系统网络安全的一个严重问题。

鉴于战术行动的复杂性在不断增加（如国防部C3I现代化战略），当代C3I系统已经开始利用现代技术的先进功能，如区块链和云计算），以满足战术环境中快速响应、可靠性和业务保障等严格的操作要求。在当代C3I系统中融入最先进的技术，增加了复杂的网络攻击的潜在风险，如高级持续性威胁（APTs）。网络威胁的可能存在于任何C3I系统组件中，如数据库、网络服务器和通信网络。当对手利用系统的漏洞，造成未经授权的信息泄露、篡改和敏感信息不可用等不良后果，以及金钱和名誉损失时，对C3I系统的网络攻击就被认为是成功的。此外，使用最先进的技术来执行网络攻击，加剧了对C3I系统的不利影响。

网络攻击的影响越来越大，强调了设计、开发和采用适当的安全措施来保护C3I系统的必要性。因此，安全专家、系统设计者和开发者采用防御性策略，也就是广义上的对策，以确保C3I系统免受网络攻击。例如，美国、英国等国家和北大西洋公约组织（NATO）等组织提出了北约架构框架（NAF）、英国国防部体系架构框架（MoDAF）、美国国防部体系架构框架（DoDAF）等架构框架，以加强C3I相关战术系统的网络安全。此外，还有为C3I领域开发最先进的技术服务，适应大数据、物联网、5G通信等新兴技术，以及建立网络防御系统等措施。在目前有关C3I系统网络安全的背景下也值得注意。除了应对措施外，明确经常被网络敌对方利用的常见漏洞也很重要。同样重要的是确定对手利用这些漏洞的攻击载体。这种对漏洞和攻击载体的探索有助于研究人员和安全专家为保护C3I系统的安全而开发所需的安全保障/对策。

图2. 为调查C3I系统的网络安全而确定的主题

虽然研究人员已经提出了一些对策，并明确了C3I系统的漏洞和攻击载体，但据我们所知，目前还没有一项调查/审查研究，旨在调查现有文献，以系统化C3I系统的网络安全知识体系。为了填补这一空白，我们的研究系统地收集、分析和整合了关于C3I系统网络安全的最新进展。在调差有关这一主题的文献时，我们只考虑了2000年以后发表的经同行评议的研究，以提供关于C3I系统网络安全的最现代和有效的见解。根据我们对所调查的研究中提取的数据的分析，我们将本文分为三个主题（即安全漏洞、攻击载体和对策），如图2所示。为了对C3I系统进行深入的网络安全分析，我们将每个主题分为两个子主题。例如，我们描述了文献中确定的每个安全漏洞，和如何利用安全漏洞的细节及其有害的后果。同样地，我们报告了攻击载体的执行情况以及它们对C3I系统的不利影响。通过对这些主题的分析和报告，我们确定了它们之间的关系以及从业人员和研究人员的未来研究领域。

我们的贡献：综上所述，我们的调查有以下贡献。

• 本文对文献中发现的C3I系统的安全漏洞进行了全面分析。细致地描述每一个安全漏洞如何被利用的细节和对C3I系统的利用后果。对已确定的安全漏洞根据C3I系统组件以创新的方法进行分类。
• 本文对适用于C3I系统的攻击载体进行了高水平的调查。每个攻击载体都被仔细研究，重点是其执行方法和对C3I系统的不利影响。我们根据C3I系统的组成部分（即指挥、控制、通信和情报）对攻击载体进行了分类。
• 本文对文献中报道的保护C3I系统网络空间的对策进行了总体分析。描述了每种对策的方法和好处。根据C3I系统的开发和运行阶段进行对已确定的对策进行了分类。此外，对每个类别进行了批判性的调查，提出了其好处和局限性。
• 本文对C3I系统的安全漏洞、攻击载体和对策行了综合分析。不仅详尽的分析了攻击载体与安全漏洞以及对策之间的独特关系，而且还确定了未来的研究方向，以推进C3I系统网络安全的最新进展。

值得一提的是，我们在这次调研中分析了C3I系统及其衍生系统的网络安全问题。这些衍生系统包括指挥、控制、通信、计算机和情报（C4I）系统；指挥、控制、通信、计算机、网络和情报（C5I）系统；指挥、控制、通信、计算机、情报、监视和侦察（C4ISR）；以及许多其他组合（例如，C5ISR和C6ISR）。然而，为了方便读者，我们在本文中使用C3I系统这一术语来指代C3I及其所有其他的衍生系统。

2 对C3I系统的回顾

本节提供了C3I系统的概述，以帮助理解后续章节中报告的结果。特别地是，我们描述了C3I系统的组成部分和它们在战术行动中的功能。一个C3I系统主要由四个部分组成：指挥系统、控制系统、通信网络和情报单位。这些C3I组件相互配合运行，以执行关键的民事和军事行动。在战术行动开始时，C3I指挥和控制系统都分别通过不同的数据源（如传感器、现场指挥员和在战术环境中运作的C3I系统）收集战术信息，如图3所示。

控制系统：C3I控制系统对收到的战术信息进行处理，以生成实现C3I任务目标所需的行动计划。为此，C3I控制系统采用了数据计算机（如单板计算机）、数据控制器（如PLC和SCADA）以及存储设备（如固态驱动器）。从战术领域收集的原始数据主要通过以下三个步骤进行处理。第一步：通过从收到的信息中提取其相关特征来估计战术情况。第2步：将估计的情况与期望的任务结果进行比较，以产生可能的行动计划。第3步：根据战略资源的可用性和要求（如业务质量、成本和功率），从可能的选项中选择一个最佳行动计划。最后，C3I控制系统与相应的C3I指挥系统共享最佳行动计划，以便进行验证和实施。值得注意的是，C3I情报单元为控制系统的活动提供了便利，这一点将在本节后面介绍。

指挥系统：战术数据源通过C3I网络接口、生态接口和安卓应用等C3I指挥系统向C3I指挥员提供态势感知（如战术单位的地理位置和移动）。C3I指挥员首先分析C3I控制系统的共享态势感知和最佳行动计划，为实现既定目标准备一个针对对手的有效策略。然后，他们通过指挥界面向在战术环境中运行的现场指挥官和自主系统发出指令，实施最终确定的行动计划。C3I指挥界面确保了战术行动中严格的命令链，这可以防止网络敌对方未经授权使用机密信息。

图3. 每个C3I系统的组成部分在战术行动中的作用

通信系统：C3I 通信系统支持在战术环境中收集、处理和传播数据期间 C3I 组件和战术数据源之间的所有内部和内部通信。为此，C3I 通信系统连接广泛分布的、移动的和异构的 C3I 资产（例如，传感器、自主 C3I 系统和地面当局）以进行数据传输和整体通信。为了整合异构 C3I 资产，C3I 通信网络由多功能和多样化的数据传输链路组成，包括地面视距（例如 Link-16 和甚高频）、地面超视距（例如联合战术无线电系统和合作参与能力数据分发系统）和卫星（例如窄带和宽带）通信设施。此外，MANET、RF 链路、4G/5G 和 SATCOM 等其他数据传输协议和技术也用于 C3I 网络。对于异构资产之间的数据转换，C3I 通信系统采用有效的数据交换模型（例如，JC3IEDM 和 MIEM）来增强 C3I 作战期间异构战术资产之间的互操作性和联盟。

情报单位：C3I情报部门协助C3I系统进行数据处理和有效决策。不同的人工智能工具，如机器学习（ML）和深度学习（DL）模型，被用来在C3I行动中引入智能。例如，报告中提到的基于ML的降维算法，被用来从C3I数据源收到的原始信息中提取相关特征，以估计一个新出现的战术形势。同样，报告中提到的基于人工智能的优化方法被用来选择一个最佳的行动计划。C3I情报能力不仅提高了对局势的认识和作战效率，而且还为C3I指挥官提供了有效决策的认知敏捷性。

3 安全漏洞

本节报告了与C3I系统的安全漏洞这一主题有关的调查结果。一般来说，安全漏洞是指系统中的任何弱点、故障或问题，攻击者可以利用这些漏洞来伤害系统或其用户。基于这个定义，我们确定了13个安全漏洞，分别表示为V1、V2、V3、...。V13. 我们根据相关的C3I系统组件（即指挥、控制、通信和情报）对确定的漏洞进行了分类。由于一些漏洞（如V1和V8）与多个C3I组件有关，我们在每个组件下解释了这些漏洞的变体。此外，对于每个漏洞，我们都提供了常见漏洞和暴露（CVE）数据库的例子，考虑到它们与C3I系统的相关性和适用性。图4和图5分别说明了安全漏洞和攻击载体的总体分类，以及漏洞及其提取的研究。

图4. 与C3I系统的指挥、控制、通信和情报部分相关的安全漏洞和攻击载体

3.1 C3I指挥系统的漏洞

记录和监控不足（V1）：C3I指挥系统应该配备持续的监测方法，如入侵检测，以实现实时的未经授权的访问识别和预防。然而，系统架构，如面向服务的架构（SOA）并不包括内置的入侵检测和持续监控机制，因为基于SOA的系统通常用于企业应用。因此，基于SOA的C3I系统既不能实时识别入侵者，也不能长期识别受损的系统。此外，考虑到诸如OpenPegasus通用信息模型（CIM）服务器等机制可用于监测C3I系统的硬件性能和健康状况，它可以包含这个安全漏洞，因为OpenPegasus 2.7 CIM没有记录失败的登录尝试（CVE-2008-4315）。通过利用这个漏洞，对手可以执行许多攻击，未经授权地访问C3I系统，而不被发现或通知有关当局。

不安全的会话管理（V2）：许多基于网络的C3I指挥系统使用会话来存储用户信息，包括服务器端存储的会话ID，能够唯一地识别每个用户和他们的授权操作。如果在设计用户认证机制时没有采取安全措施，如加密性强的会话ID和安全的会话终止策略，就会使攻击者从服务器中检索到会话数据，并在未经授权的情况下进入C3I指挥系统，破坏或影响C3I系统中遵循的严格的命令链。例如，当C3I系统采用Infinispan等NoSQL数据库软件时，由于Infinispan-9.4.14缺乏适当的会话固定保护（CVE-2019-10158），C3I系统会受到这个漏洞的影响。

缺少功能级访问控制（V3）：与任何其他系统类似，C3I指挥系统也有多个具有不同访问权限的用户。例如，系统管理员比普通用户（如数据操作员）有更高的权限，他们通过专门的管理界面来利用这些权限。当系统的设计不正确，不能提供功能级别的访问控制（即对每个功能进行严格的用户授权）时，具有低访问权限的用户可以提升他们的权限，执行未经批准的操作。例如，当C3I系统利用服务管理软件（如IBM Jazz）时，用户可以通过利用这一漏洞（CVE-2019-4194）访问和删除C3I系统中的受限数据和资源。

基于角色的不安全访问控制（V4）：正如V3所解释的，C3I指挥系统需要管理具有多种角色和访问权限的用户。基于角色的访问控制（RBAC）是一种广泛使用的访问控制方法，每个用户都有一个定义的用户角色，并有一组允许的行动。虽然RBAC系统可以促进对C3I指挥系统功能和数据的基于角色的访问控制，但配置错误的RBAC系统（例如，用户角色和其相关功能之间的映射不准确）会使关键任务数据被攻击者操纵和删除。例如，由Oracle Solaries 11.1操作系统驱动的C3I系统受此漏洞影响，允许本地用户进行限制其用户角色的操作（CVE-2013-5875）。

开放式重定向（V5）：在基于网络的C3I指挥系统中，用户依靠统一资源定位器（URL）在内部和外部C3I系统之间导航。因此，确保这些网络链接经过验证并只指向安全的C3I系统和域是至关重要的。例如，当C3I系统用户利用基于网络的Cisco Webex会议进行在线会议时，远程攻击者可以发送恶意的URL，并通过将其重定向到不安全的网页来窃取C3I系统的用户凭证，因为该软件没有严格验证用户给出的URL（CVE-2021-1310）。在这种情况下，攻击者可以窃取C3I管理员的凭证，并使用收到的凭证来冒充管理员并执行对C3I系统的攻击。

不安全的直接对象引用（IODR）（V6）：与V5类似，IODR漏洞也与基于网络的C3I指挥系统的不安全访问控制有关。在网络开发中，使用对象的名称或键来动态填充网页是很常见的。因此，如果C3I指挥系统不验证用户访问驻留在C3I系统中的数据的请求，那么对手就可以通过注入受限的内部对象引用来操纵合法的请求，从而在水平和垂直方向上提升他们的权限。例如，当C3I系统使用LogonBox Nervepoint Access Manager进行用户认证和身份管理时，攻击者可以利用IODR漏洞，未经授权地检索C3I系统的用户详细信息（CVE-2019-6716）。

不安全的配置存储（V7）：一个典型的C3I指挥系统由多个服务器组成，这些服务器被配置为各种功能，如网络服务、电子邮件服务器和文件传输服务。一个服务器的配置存储管理着所有已实施的安全方法、方法和技术的设置细节。服务器的错误配置和向未经授权的第三方披露访问细节会导致不安全的配置存储。攻击者如果获得了对指挥系统配置存储的访问权，就可以禁用已实施的安全机制，使C3I系统容易受到许多网络攻击。例如，当C3I系统配备了应用管理软件，如ManageEngine应用管理器时，恶意的认证用户可以利用这一漏洞来提升他们的权限。因此，这些对手可以完全控制整个C3I系统（CVE-2019-19475）。

使用COTS组件（V8）：许多C3I系统利用商业现成（COTS）组件来减少开发成本和时间。然而，由于测试和审查程序不充分，这些软件组件中可能包含一些安全漏洞。即使是经过测试的软件组件，有些也没有对已知的漏洞进行修补。需要注意的是，当C3I系统采用这些与开源代码库相关的第三方软件时，攻击者可以通过对C3I系统发起攻击来利用漏洞。例如，当C3I认证系统采用有漏洞的第三方JSON网络令牌库（CVE-2021-41106）时，C3I指挥系统面临着未经授权访问关键任务数据的威胁。

3.2 C3I控制系统的漏洞

使用COTS组件（V8）：与第3.1节--V8类似，C3I控制系统可能会因为使用受损的第三方软件进行安全关键数据处理、存储、监控和可视化等任务而变得容易受到网络攻击。因此，当C3I控制系统配备了来自恶意供应商的软件，而没有进行充分的安全测试以加快开发过程时，这些系统可能包含后门和预先安装的恶意软件。例如，当C3I系统配备了用于存储关键任务数据的IBM InfoSphere服务器时，攻击者可以通过利用这些服务器固有的不安全的第三方域访问漏洞（CVE-2021-29875）窃取这些数据。

图5. 已确认的C3I系统安全漏洞及其来源/参考文献

不安全的数据存储（V9）：C3I控制系统存储不同类型的数据，包括关键的安全信息，以通过提高态势感知和战术决策支持来加快C3I的运作。因此，在C3I系统中，静态数据的安全是至关重要的。由于许多原因，如硬件和软件故障、用户的疏忽和对手的攻击，C3I系统中可能发生数据丢失。例如，当C3I系统数据存储在Couchbase服务器中时，攻击者可以访问这些数据，因为这些Couchbase服务器以纯文本方式存储安全关键数据（CVE-2021-42763）。

3.3 C3I通信系统的漏洞（机翻开始）

记录和监控不足（V1）：与第3.1节-V1类似，C3I通信系统也应该配备持续的日志和监控机制，以检测来自被攻击的C3I节点的恶意流量。例如，当C3I通信系统利用配备JUNOS操作系统的网络设备时，由于该系统缺乏适当的资源分配和监控方法，攻击者可以向这些设备发送恶意流量，使其无法用于合法的C3I数据通信（CVE-2021-31368）。

不安全的会话管理（V2）：C3I通信系统促进了广泛的C3I节点之间的高效和安全的数据通信。例如，来自无人机的战场数据必须传输到C3I控制单元进行进一步处理，来自指挥系统的命令必须与军事部队进行沟通，以采取必要的行动。开放系统互连（OSI）模型中的会话层负责创建、同步和终止设备间的通信通道。因此，会话层中需要SSL/TLS证书等安全方法，以实现合法的C3I节点之间的安全通信。然而，这些安全措施的谬误实施使得对手能够使C3I通信网络无法用于关键数据通信，导致任务失败（CVE-2021-40117）。

不安全的配置存储（V7）：与第3.1节--V7类似，C3I系统必须采用安全配置管理系统，如思科火力管理中心（FMC）来实施和维护C3I通信系统的安全机制。然而，由于FMC系统以纯文本形式存储用户数据，经过验证的本地攻击者可以检索这些细节，并通过冒充系统管理员来禁用C3I通信网络实施的安全防御措施（CVE-2021-1126）。

使用COTS组件（V8）：与第3.1节--V8类似，C3I通信系统也会因为使用被破坏的COTS设备（如路由器和交换机）和网络管理工具（如Wireshark和SolarWinds）而变得脆弱。例如，由于网络监控和管理软件SolarWinds的漏洞，九个美国联邦机构已经被攻破，攻击者已经获得了这些系统的数据和电子邮件（CVE-2021-35212）[174]。同样地，任何使用SolarWinds第三方软件的C3I系统都拥有未经授权访问C3I关键任务数据的威胁。

不安全的OpenSSL软件（V10）：OpenSSL是一个加密软件，用于C3I网络系统，支持C3I网络系统和用户之间的安全通信。它通过 "心跳 "信息确保在通信链路的另一端有一个活跃的接收器。由于OpenSSL软件没有实现严格的 "心跳 "消息验证机制，攻击者可以利用这些消息来访问服务器的随机存取存储器（RAM）。因此，攻击者可以利用这个漏洞，从C3I系统服务器RAM中未经授权地检索C3I关键任务信息和其他安全相关数据，如证书（CVE-2014-0160）。

使用公共通信网络（V11）：一些C3I系统使用公共网络，如互联网进行数据通信，以尽量减少成本。由于公共网络默认缺乏严格的安全措施（如安全的虚拟专用网络（VPN）），传输的数据容易受到与未经授权的访问和数据操纵有关的对抗性攻击。例如，当C3I组件通过没有安全VPN通道的公共网络进行通信时，攻击者可以查看和篡改传输的数据，导致C3I运行受到影响。然而，即使使用VPN通道也不能保证通过公共通信通道传输的数据的保密性和完整性，因为一些VPN软件在设计上没有足够的安全机制（例如，不安全的输入验证 - CVE-2021-1519）。

未加密的无线通信链接(V12):C3I系统依赖于无线通信网络，主要是由于动员单位使用有线技术的成本和不现实。与有线通信技术相比，无线链路容易受到更多的攻击，因为收发器对无线信号的传播范围和方向控制有限。与V3一样，当C3I的无线网络在设计上没有采取必要的安全措施，如物理层加密，对手可以实施大量的攻击，使C3I系统之间的通信链路失效，降低C3I行动的整体态势感知。例如，当C3I通信系统利用具有内部数据加密过程错误的无线设备（如Broadcom WiFi客户端设备--CVE-2019-15126）时，C3I关键任务数据可以被攻击者解密，导致数据保密性被破坏。

无线通信链接断裂(V13):如V12所述，C3I系统高度依赖于无线通信技术，以确保地理上分布广泛的C3I资产之间的连接。然而，由于C3I资产在恶劣条件下的过度移动，无线通信链接经常受到影响。例如，当一个合法节点由于无线链路断裂而断开连接时，攻击者可以通过加入被断开连接的合法节点来渗透到C3I系统中（CVE-2020-24586）。因此，攻击者可以在合法节点由于缺乏通信和降低态势感知而变得脆弱的情况下进入C3I系统。

3.4 C3I情报单位的漏洞

记录和监控不足（V1）：虽然第3.1节从C3I指挥系统缺乏入侵检测和持续监测机制的角度解释了漏洞V1，但在这里，我们主要关注与C3I系统中基于AI/ML的监测和记录方法的应用和安全性有关的两个方面。首先，我们强调C3I系统采用的基于AI/ML的方法在入侵检测方法方面的不足。例如，机器学习分类器，如K-近邻（K-NN）、支持向量机（SVM）和人工神经网络（ANN）已经被广泛用于利用安全事件日志的异常检测。因此，C3I智能单元可以纳入这些机制来检测入侵者，并随后实施预防方法来阻止攻击者进入C3I系统。如果不纳入这些智能入侵检测方法，将允许入侵者通过破坏系统的完整性来访问和执行对C3I系统的恶意攻击。其次，我们强调在C3I情报单位持续监测AI/ML模型的性能（如准确性）的必要性。AI/ML模型受到数据和模型漂移的影响，导致不准确的推断。例如，当C3I系统采用为其他领域训练的AI/ML模型进行入侵检测时，由于数据漂移，这些模型的准确性会大大降低。因此，C3I系统中采用的人工智能/ML模型必须被持续监测、测试和验证，以确保这些模型提供准确的结果。

使用COTS组件（V7）:与第3.1节--V7类似，当C3I情报单位采用不安全的第三方人工智能/ML模型和框架，从原始数据（如传感器数据）中生成知识（如态势感知）时，这些单位可能变得容易受到网络攻击。例如，战术C3I系统可以采用TensorFlow深度学习（DL）框架与卷积神经网络（CNN），从卫星图像中识别敌方领土。然而，当TensorFlow框架与NumPy包一起使用时，拥有拒绝服务（DoS）的威胁，NumPy包在AI/ML模型开发中通常被利用（CVE-2017-12852）。因此，当这些不安全的AI/ML包被用于C3I情报单位时，攻击者可以利用这一漏洞使情报单位不可用或不响应，影响C3I的运作并导致任务失败。

4 攻击载体

本节报告与主题2（针对C3I系统的攻击载体）有关的发现。攻击载体是指攻击者利用C3I系统中的漏洞所使用的方法。我们通过现有文献确定了19个针对C3I系统网络安全的攻击向量（图6）。我们用A1、A2、A3、......、A19表示这19个攻击向量，以方便在本文中引用。类似于C3I系统的漏洞（第3节），我们根据攻击向量对C3I系统组件的适用性对其进行分类，如图4所示。由于篡改攻击（A6）和恶意软件（A7）可以在任何C3I系统组件上执行，我们同时报告了每个C3I组件的攻击向量。在下文中，我们将描述攻击向量及其对相应C3I系统组件的执行（子主题1）和影响（子主题2）细节。

4.1 C3I指挥系统的攻击载体

蛮力攻击（A1）:蛮力攻击是用来获得对C3I指挥界面的未经授权的访问。黑客使用不同的入侵机制，如试错法和会话ID的利用，以获得C3I指挥官的秘密信息（如加密密钥和登录凭证）。因此，入侵者不仅可以获得实时的态势感知，还可以通过被入侵的C3I指挥界面进行恶意活动（例如，生成欺诈性指令）。

内部攻击（A2）:内部人员指的是拥有合法访问C3I指挥系统的恶意C3I系统操作员。当内部人员在使用C3I指挥界面时故意或错误地忽略了安全协议，就会执行内部攻击。这种行为会导致敏感信息的泄露和战术行动的终止。由于内部人员的合法访问权限，在C3I指挥系统中检测或防止内部攻击是很麻烦的。

跨站脚本(A3):跨站脚本（XSS）是一种攻击媒介，用于攻击基于网络的C3I命令界面，即在C3I命令界面的输出中注入恶意脚本。当C3I指挥官访问一个被破坏的界面时，一个已安装的恶意脚本被激活，这使得入侵者能够从C3I指挥系统中窃取敏感信息（例如，用户活动）。会话劫持和用户冒充是XSS的结果。

SQL注入（A4）：结构化查询语言（SQL）是一种代码，用于通过基于网络的C3I命令界面从C3I存储设施获取敏感信息。当入侵者注入一个恶意的SQL查询来访问C3I数据库时，就会发生SQL注入。因此，入侵者会渗出、破坏或操纵存储在C3I数据库中的敏感信息。例如，罗马尼亚黑客在2010年对美国军队网站实施了一次SQL注入攻击。正如DARKReading5所报道的那样，黑客成功地进入了包含军队人员敏感信息的75个数据库。

跨站请求伪造（A5）:网络对手通过C3I指挥界面创建欺诈性的HTTP链接来进行恶意活动。如果一个经过认证的C3I指挥官点击了欺骗性的链接，相应的恶意行为就会被执行。由于易受攻击的网络界面无法区分合法请求和授权用户发送的伪造请求，因此这种指挥界面很难检测到伪造的请求。跨站请求伪造使攻击者能够通过C3I指挥界面在战术领域执行恶意命令。

图6. 确定的C3I系统攻击载体及其来源/参考资料

篡改攻击（A6）：篡改攻击，在报告中，当入侵者进行恶意活动，操纵通过C3I命令接口传达的战术信息时，就会执行篡改攻击。例如，网络参数篡改攻击通过使用POST请求来篡改用户的证书、操作命令和通过C3I网络接口传达的信息。因此，C3I指挥官无法实施所需的行动计划，这可能导致C3I任务的失败。

恶意软件（A7）：恶意软件是用来渗透到C3I系统的恶意活动，如未经授权的访问、数据修改和渗出。恶意软件通常通过恶意电子邮件、偷渡下载和C3I指挥系统的外部可移动设备传播。因此，恶意软件限制了授权用户访问C3I接口，为黑客提供了对C3I接口的远程访问，并窃取了有关指挥行动的敏感信息。

拒付攻击（A8）：当入侵者修改C3I指令操作中执行的活动记录时，就会发生拒认攻击。通过使用不同的恶意策略（例如，日志注入攻击），攻击者会改变C3I指挥官所采取的行动的存储信息，或者破坏他们自己在C3I行动中的恶意活动的日志。因此，损坏的日志文件使人对指挥行动的有效性产生怀疑，并在C3I的命令链中造成混乱。

4.2 C3I控制系统的攻击载体

篡改攻击（A6）：第4.1节所述的篡改攻击，也被用来修改和编造C3I控制单元的数据计算和存储系统中的战术信息。入侵者进行恶意活动，如破坏数据库配置和在程序可执行中注入恶意代码，以操纵C3I控制系统的敏感信息。因此，C3I控制系统会错误地估计战术情况，并为指挥系统生成伪造的行动计划。

恶意软件（A7）：与C3I指挥系统（第4.1节）类似，恶意软件也对C3I控制系统有害。使用第三方软件、不安全的通信连接和脆弱的操作系统[48]是在数据计算机和存储设备中注入恶意软件的常见方式。因此，恶意软件会造成数据操纵、渗出和控制系统活动的中断，从而扭曲了实现C3I战术目标所需的行动计划生成过程。例如，Stuxnet恶意软件破坏了伊朗核电站使用的计算机辅助控制系统（如SCADA）以及其他30,000个IP地址的运作。

检查时间到使用时间（A9）:C3I控制系统在制定实现任务目标的行动计划之前，要检查战略资源（如作战设备和人力资源）的可用性。当入侵者在可用资源的检查和使用时间之间进行恶意活动（如恶意代码注入和资源消耗）以使检查操作的结果无效时，就会执行检查时间到使用时间的攻击[117]。因此，C3I控制系统用不可用/被破坏的资源准备一个行动方案，在C3I操作中执行非预期的行动。

4.3 C3I通信系统的攻击载体

欺骗攻击（A10）：网络攻击者冒充合法的C3I节点与C3I网络连接，以执行恶意活动（例如，窃取战术信息和插入恶意软件）。不同的攻击载体，如IP欺骗、ARP欺骗、DNS欺骗和MAC欺骗，被用来通过不同的通信层窃取合法C3I节点的身份。例如，开源软件，如Kismet和Ethereal，被用来获取或改变一个C3I系统的有效MAC地址。另一种形式的欺骗攻击是GPS欺骗，攻击者通过使用商业化的现成产品产生伪造的GPS信号，向战术环境中的C3I节点提供伪造的位置、导航和时间信息。

窃听（A11）：窃听，也被称为中间人攻击，是一种被动的攻击载体，攻击者通过这种方式秘密地监听两个C3I节点之间的通信。开源网络监控和数据包嗅探工具，如Wireshark和Tcpdump，被用来窃听C3I的通信链接。窃听攻击的结果是未经授权披露战术信息。例如，在第二次世界大战期间，英国人通过被破坏的英格玛机器窃听了德国的军事通信，这是德国军队失败的主要原因之一。

淹没式攻击（A12）：当攻击者向目标C3I节点发送大量的流量，以破坏其在战术环境中对其他C3I节点的服务时，就会实施泛滥攻击。大流量，如SYN泛滥和PING泛滥，会消耗目标C3I节点附近的服务器的可用带宽。因此，来自其他C3I节点的合法数据包无法从受影响的服务器上传输。因此，目标C3I节点会从C3I通信网络中断开连接。

干扰攻击（A13）：干扰攻击使C3I系统对C3I通信网络中的其他C3I节点不可用。黑客采用不同的干扰策略，如持续干扰和欺骗性干扰，使C3I通信系统中与目标C3I节点相关的数据传输链接失效。因此，受影响的C3I系统的服务，与被禁用的通道相连，对其他C3I战术节点来说是不可用的。 黑洞攻击（A14）：在战术性城域网中，为数据传输寻找最短路径的路由发现过程是必要的和不可避免的。黑客在路由发现过程中，通过发送虚假的路由回复信息，即恶意节点拥有所需的最短路径，来利用这一城域网特征。因此，源C3I节点通过恶意节点建立了一条通往目的地C3I节点的数据传输路线，这导致了通信中断和敏感信息的泄露。

赶路攻击（A15）：当攻击者节点在战术性城域网的路由发现过程中收到一个路由请求（RREQ）时，就会执行急速攻击。攻击者节点在任何其他C3I节点在网络中转发相同的RREQ数据包之前，立即将RREQ数据包发送到所有C3I节点。这样一来，所有其他的C3I节点都认为来自合法的C3I节点的RREQ是重复的，所以他们拒绝合法的RREQ。因此，攻击者节点总是包括在数据传输路线中，这可能会导致战术性城域网中的拒绝服务和窃听（A11）。

虫洞攻击（A16）：当至少有两个攻击者节点在战术性城域网的战略位置上定位时，就会发生虫洞攻击。在路由发现过程中，攻击者节点在彼此之间进行RREQ数据包的加密。当目的地节点收到通过隧道传输的RREQ数据包时，目的地节点发现恶意路线是网络中最短的路线，并丢弃从其他合法C3I节点收到的所有其他RREQ数据包。这样一来，攻击者节点就成了C3I战术性城域网中数据传输路线的一部分。虫洞攻击可能导致C3I领域的数据篡改（A6）、中间人攻击（A11）和数据外泄。

重放攻击（A17）：中报告的重放攻击，分三个步骤进行。第一步：通过使用网络监控工具监控C3I通信链路。第2步：截获敏感信息，如登录凭证和C3I行动计划细节。第3步：重放截获的数据包，欺骗接收的C3I节点。因此，合法的C3I节点认为攻击者节点是真实的C3I节点，这导致了C3I系统中敏感信息的未经授权的泄露。

路由攻击（A18）：路由攻击是在C3I通信网络的路由协议上执行的，以破坏战术环境中的C3I服务[45, 61, 85, 125, 136, 178]。网络对手使用不同的恶意战术，如路由表溢出[175]和路由表中毒[160]，对C3I通信系统实施路由攻击。结果，C3I系统无法与其他合法的C3I节点进行连接，这使得他们的服务在C3I网络中无法使用。

缺乏同步性攻击（A19）：广泛分布的C3I系统之间的时间同步是通过使用不同的协议（如参考广播同步、定时同步协议和泛滥的时间同步）来确保执行协作的C3I操作。然而，这些时间同步协议的设计并不安全。因此，黑客会破坏这些协议，在分布式C3I环境中分享伪造的时间信息，这就造成C3I节点之间缺乏时间同步。因此，不同步的C3I节点对时间关键的C3I行动的操作协调产生了不利的干扰。

蛮力攻击（A1）：网络认证机制，如Kerberos和WPA/WPA2，被用来保护战术环境中的C3I通信系统。这些认证机制需要用户凭证（即用户名和密码），以允许授权用户访问网络资源。网络对手使用最先进的暴力攻击工具（如Reaver6和Fern-Wifi-Cracker7）来猜测授权用户的证书，以便与C3I网络连接。因此，对手可以窃听和拦截通过C3I通信链路传输的敏感信息。

篡改攻击（A6）：入侵者修改和编造通过C3I通信链路传输的敏感信息。为此，攻击者首先通过使用不同的攻击机制（如黑洞攻击（A14）和欺骗攻击（A10））渗透到C3I网络，然后，他们或者修改传输中的数据包，或者将自己的恶意数据注入到传输的敏感数据中。结果，被篡改的信息扭曲了态势感知、C3I作战活动和决策过程。

恶意软件（A7）：不安全的通信链路有利于恶意软件在C3I战术环境中从一个系统传播到另一个系统。通过这种方式，黑客创建了一个由受损的C3I系统组成的网络，称为僵尸网络，以在C3I网络中进行恶意活动。例如，僵尸网络通过对目标C3I系统进行淹没式攻击（A12）来执行分布式拒绝服务攻击，破坏其C3I通信服务。因此，受影响的C3I系统无法与C3I网络中的其他合法系统进行通信，从而破坏了C3I的战术运作。

4.4 C3I情报单元的攻击载体

篡改攻击（A6）：除了其他C3I组件外，篡改攻击也会在C3I情报单元上执行。例如，数据中毒攻击是一种对抗性攻击，它将恶意样本添加到ML/DL模型的训练数据集中，在数据处理过程中操纵C3I情报作业。结果，受感染的ML/DL模型会误解C3I的战术情况，并相应地编制一个伪造的行动计划，最终损害C3I指挥系统的决策过程。

恶意软件（A7）：为了检测C3I系统中的恶意软件，安全专家用预期的恶意软件样本训练ML/DL模型（例如MalConv）。然而，先进的对手会对恶意软件进行修改，如改变头域和指令序列，以逃避C3I系统中恶意软件检测的ML/DL模型。这些逃避性的恶意软件变体被称为对抗性的恶意软件二进制，它们成功地渗透到C3I系统中进行恶意活动，如第4.1节所述，而不被ML/DL模型检测到。

5 对策

本节报告了与主题3有关的调查结果，即为确保C3I系统安全而提出的对策。反措施是指用于保护C3I系统的保障措施或防御措施。我们从审查过的论文中提取了40项对策。与安全漏洞和攻击矢量不同，反措施并不直接与C3I系统的组成部分相联系。因此，我们将提取的反措施分为两大类：开发和运行。开发类的对策是在C3I系统的开发过程中利用技术（如安全需求分析和安全设计模式/战术）来帮助构建安全的C3I系统。与此相反，操作类的对策旨在确保C3I系统在运行中的安全。在图7中，C1、C2等是指本文中使用的对策的标识符，用来指代各自的对策。

图7. 确定的对策及其各自的类别

5.1 发展

如第2节所述，C3I系统收集、处理、存储和传输关键数据，以支持敌对环境下的战术行动。因此，在开发C3I系统时，必须将C3I系统的安全性视为一个重要的质量属性。换句话说，安全问题不能作为事后的考虑，而是需要在开发过程的一开始就加以考虑。如图7所示，我们将开发类的对策分为以下三类。此外，我们还报告了每个类别的好处和限制。

5.1.1 安全需求分析

在设计/实施一个C3I系统之前，重要的是要分析、指定和理解C3I系统的安全要求，并考虑到其运行环境。这样的分析和理解有助于C3I系统的设计者纳入相应的安全措施，以解决指定的安全要求。因此，研究人员报告了开发安全C3I系统的安全要求（C1至C6）。

OZTURK等人（C1）建议使用数字证书、数字签名、防火墙和智能卡来保证战术信息安全。此外，安全设计模式也被建议用于开发安全的C3I系统。同样，Li等人（C2）建议使用扩频、专线、即时/定向射频通信和跳频方法来避免截获不同C3I组件和战术数据源（如传感器）之间的通信信号。该研究还建议使用伪装技术和设备（例如，反雷达和反红外线装置），特别是在指挥系统中，以防止敌人的侦察。此外，Bingman（C3）提出了几项指导方针，重点是在有争议的C3I网络空间环境中保护关键信息。所提出的准则解决了包括但不限于信息优先级、风险评估、安全基础设施和商业网络等挑战。C4）中的作者描述了C3I系统中数据安全的安全工程和信息安全原则（例如，ISO/IEC 17799和AS/NZS 4360）。对于加拿大的C3I网络操作，Bernier等人报告了各种建议（C5），以解决网络环境的动态性质和不明确的边界的挑战。例如，作者建议在C3I行动中，将计算机网络攻击、防御和开发行动相互结合起来，以获得其网络空间的整体情况。关于北约联合任务网络的挑战，Lopes等人（C6）研究了使用三种技术（即软件定义的网络、网络安全功能和网络功能虚拟化）来实现安全策略评估的自动化，并在C3I系统的不同组件之间实现安全信息交换功能。

5.1.2 安全的架构支持

在这一节中，我们将描述C7到C15的对策，这些对策主要是在架构/设计层面上保障C3I系统的安全。所回顾的研究在设计C3I系统时使用了不同类型的架构风格。这些风格包括面向服务的架构、基于云的架构、基于区块链的架构，以及为C3I系统明确设计的安全架构。

面向服务的C3I架构：C3I系统由异质组件（如决策支持系统、性能监测工具和信号处理控制器）组成，这些组件在地理上是分散的，并通过不同的通信机制（如4G/5G和Wi-Fi）连接。因此，面向服务的架构（SOA）通常被认为很适合设计战术C3I系统。除了增强安全性外，SOA还有助于C3I系统在这些异构的系统组件之间实现互操作性、可扩展性和平台独立性。尽管有这些优点，研究人员已经发现了阻碍SOA成功纳入C3I系统设计的安全限制，并提出了各种措施来克服这些挑战。Gkioulos和Wolthusen以及Rigolin和Wolthusen提出了安全策略建模的方法（C7），用于设计基于SOA的安全战术系统。作者利用带有描述性逻辑的网络本体语言来设计和实现这些安全策略。随后，Gkioulos等人提出并验证了一个框架（C8），用于设计基于SOA的安全C3I系统。他们声称，除了安全之外，所提出的框架还提供了动态变化的网络条件下的配置灵活性，增强了性能并改善了信息流。

基于云的C3I架构：采用云计算技术提供了许多好处，如方便访问、降低成本、部署灵活、低维护和C3I系统的及时性。然而，云计算也引入了安全问题，如数据保密性的破坏和安全配置的错误。因此，将云技术纳入C3I系统需要更加关注C3I系统的安全设计。Jahoon等人提出了一个安全架构（C9），由三层（即虚拟化、物理和操作）组成，具有不同的功能，以确保整个系统的安全。所提出的架构是建立在他们的研究结果之上的，例如需要服务器虚拟化安全（如管理程序和公共服务器安全）来设计基于云的安全C3I系统。此外，Abdullah等人还指出，用户责任管理、准确的系统配置和不间断的服务维护是必须纳入基于云的C3I系统中的一些安全必要条件。

基于区块链的C3I架构：区块链技术为C3I系统提供了许多优势，包括任务关键数据的安全存储、传输和处理。因此，研究人员利用区块链技术来设计和实现安全的C3I系统。Akter等人提出了一种基于区块链的分布式智能合约方法，用于安全C3I数据传输（C10）。通过模拟研究，作者验证了基于区块链的方法与实时排队和基于排队理论的传统方法相比，在安全信息传输方面是有效的。在一项类似的研究中，Akter等人实施了一个区块链辅助的加密点对点（P2P）网络，用于C3I节点之间的安全数据通信。在这种方法中，研究人员使用中央云服务器来存储合法的节点ID及其公钥，以方便本地边缘服务器识别入侵者。从可信机构（C11）之间的数据共享角度来看，Razali等人提出了一种基于智能合约的方法，支持合法用户之间的智能数据管理（即生成、编辑、查看和存储）和传播。该方法对分布式和去中心化数据库的使用为来自不同来源（如传感器、人类和网络）的数据提供了更高的保密性和可用性。

C3I系统的其他安全架构：在这里，我们详细介绍了为保护C3I系统安全而提出的新的架构的对策。例如，考虑到对安全通信的架构支持（C12），Jin-long等人提出了一个基于网关-代理方法的多联邦架构，促进联邦间和联邦内的安全数据传输。他们通过一个双代理机制扩展了他们的方法，以避免通信开销问题。同样，Alghamdi等人提出了一个以网络为中心的架构，用于安全C3I系统的互操作通信机制。为了进一步提高C3I通信网络的安全性，该架构配备了多个防火墙和入侵者检测系统。对于C3I系统的敏感数据安全（C13），Guturu提出了一个基于AND-OR复制算法的分布式数据库管理架构。作者声称，与2相和3相提交方法相比，所提出的架构通过高故障耐力和对攻击的复原力提高了C3I系统的数据存储安全性。在另一种方法中，Seungjin Baek和Young-Gab Kim提出了一个专注于C3I系统中大数据安全的四层安全架构。这四层（即应用、大数据平台、数据和基础设施）为C3I系统的数据生成、数据处理和数据使用过程提供了安全性。我们还确定了几项对策，重点是保障C3I系统整体架构的安全。从保护下一代C3I系统（C14）的角度来看，Perkinson介绍了下一代C3I系统网络安全的整体方法，包括四个主要阶段：检测、关联、可视化和响应。作者根据一项试点研究的经验教训，讨论了未来C3I系统设计中必须考虑的关键发现（例如，自动化在决策过程中的重要性）。在另一项研究中，Theron和Kott设想未来的C3I系统应配备自主网络防御（ACyD）方法，以对抗自主智能恶意软件（AIM）攻击。他们认为自主智能网络防御代理（AICAs）是未来C3I系统应配备的一种可能的安全机制，以抵御AIM攻击。为了开发下一代C3I系统的通用网络理论，Ormrod和Turnbull调查了现有的多国网络理论（如美国、英国、澳大利亚和加拿大），并提出了一个嵌套领域模型。作者表示，所提出的模型为未来的C3I网络行动提供了一个灵活和完善的概念框架。

关于开发安全架构的支持性技术（C15），Alghamdi等人建议，威胁建模技术可以应用于确定与C3I系统相关的安全要求、脆弱性和威胁。他们强调了通过采用自上而下的威胁建模方法在C3I系统架构层面嵌入安全的必要性。此外，Alghamdi等人还展示了一种系统化的方法来捕捉威胁，并在考虑C3I系统整体架构的情况下制定安全防御措施。研究人员利用保证案例法和索赔论据证据工具，分别对安全架构进行建模和可视化。同样，Biagini和Corona利用建模和模拟即服务（MSaaS）范式来认识和展示可以纳入反无人驾驶系统的工具，考虑到未来C3I系统的安全。

5.1.3 攻击影响分析

攻击影响分析是指对C3I系统上的攻击载体的不利影响的研究。攻击影响分析有助于预测攻击矢量可能产生的后果，也可以突出C3I系统设计中的安全漏洞。下面的对策，C16到C21，介绍了C3I系统中攻击影响分析的不同方法。

Fang等人评估了C3I系统的两类网络影响（即系统结构受损效应和结构效率降低效应）。作者提出了数学建模和仿真研究（C16），通过不同的统计参数，如连接率和信息效率来评估攻击影响。同样，金锋等人（C17）利用信息流参数，如情报、指挥和控制以及协作信息流参数，计算了C3I系统的结构效应（即受损效应和回退效应）。Bernier等人专注于指标驱动的网络影响分析，提出了一个指标框架（C18）来评估C3I系统中网络行动的影响。研究人员主要考虑了三个指标（即部队有效性、指挥控制有效性和性能的衡量标准）以及美国国防部框架和目标-问题-指标范式来评估C3I系统的网络影响。

由于仿真研究为分析攻击对C3I系统的影响提供了成本、时间和功率的有效途径，研究人员已经进行了仿真研究，以调查网络对C3I系统的影响。例如，Mursia等人（C19）在EXata/Cyber模拟器中创建的C3I城域网环境中执行了三种攻击矢量（即窃听（A11）、洪水攻击（A12）和干扰攻击（A13））。研究人员从网络参数方面分析了网络影响：吞吐量、延时和抖动。同样地，Morton等人进行了一项模拟研究（C20），以执行军事网络行动。作者报告了网络攻击的几个不利影响，如未经授权的使用、拦截和C3I系统的退化。另一种模拟方法，称为网络模拟地形（C21），是基于本体网络表示法，用于模拟计算机网络（如C3I网络）的网络资产和系统。作者在模拟计算机网络操作中调查了心脏出血漏洞（V11）的影响。

5.2 行动对策

作战对策是指为保护战术行动中的C3I系统而提出的安全机制。现有的文献报道了用于保护C3I操作安全的入侵检测机制、密码技术和访问控制方法。在下文中，我们将描述所提出的对策，以及它们的好处和限制。

5.2.1 入侵检测

入侵检测机制的目的是检测对C3I系统的网络攻击。当涉及到网络安全时，时间是一个关键因素。越早发现攻击，攻击就越早被控制/缓解。根据研究，及时发现攻击可以使攻击的成功率降低97%。然而，通信网络的噪音和有限的资源损害了入侵检测机制的有效性，这导致了在时间关键的C3I行动中产生假警报和通信开销。战术领域，如灾害管理和救援行动，由于其敏感的性质，不能忍受C3I行动中的这种异常情况。因此，研究人员提出了以下有效的入侵检测方法，即C22至C26，以确保迅速检测C3I战术系统中的入侵。

Shaneman等人提出了一种具有成本效益的机制，称为内在光纤监测（C22），用于检测C3I网络中用于数据传输的光缆的入侵。研究人员通过实验证明，内在光纤监测器在检测C3I系统中的恶意活动（如篡改攻击（A6））时，既不会干扰C3I网络资源（如带宽），也不会产生错误警报。为了早期检测入侵行为，Manes等人提出了一个攻击管理框架（C23），该框架将网络漏洞模型（即漏洞分析）与攻击模型（即攻击树）相结合，以检测C3I网络中多阶段攻击载体的早期迹象。所提出的架构也有利于C3I网络中入侵者活动的可视化，这有助于安全专家实时准备针对网络对手的行动方案。

为了发现战术性城域网中入侵者的恶意活动，[145]中提出了一个基于多实例多标签学习协议的轻量级C3I监控系统（C24），与看门狗计划和数字签名等现有解决方案相比，该系统在C3I网络中造成的计算和通信开销较少。关于基于SOA的C3I系统的安全性，Jorma和Jan[86]开发了一个由四种设计模式（即链接列表、沙盒、事件总线和监视器）支撑的入侵者检测系统架构（C25）。所提出的架构使用主动和被动监测技术，如检测和报警规则，用于检测基于SOA的C3I系统中的入侵者。Kwon等人[100]提出的另一个机制，提出了一个基于Wiener滤波器、MIRtoolbox和ML模型（即支持向量机）的基于人工智能的C3I设备识别器（C26）。所提出的机制被用于数字取证，以检测C3I数据库存储数据中的恶意活动（例如，数据删除和修改）。

5.2.2 密码学

密码学是一个对敏感信息进行编码和解码的过程。考虑到C3I战术行动的关键性（第1节），密码学已经被用于C3I系统，以防止敏感信息的未经授权的泄露。为此，加密功能和它们各自的加密密钥被用来加密和解密C3I系统之间存储和传输的战术信息。C27到C34的加密机制主要集中在战术环境中的加密密钥管理，以确保C3I系统中实时数据传输和存储的安全。

密码钥匙管理是指战术C3I系统中密码钥匙的生成、交换、存储、删除和替换过程。一般来说，加密密钥管理方案在计算和网络资源使用方面都很昂贵，这导致了C3I战术操作中的通信开销和延迟。因此，现有文献提出了在C3I系统中管理加密密钥的有效方法。例如，Kang等人（C27）使用对称密钥算法，根据C3I系统中安全风险的严重程度生成不同长度的加密密钥。所提出的机制在战术领域同时提供了C3I系统的安全性和最佳QoS。Chudzikiewicz等人专注于能源效率，引入了一种安全的密钥管理机制（C28），其中中心节点使用量子随机数发生器生成加密密钥，并通过C3I节点之间的安全会话管理在C3I网络中分发。研究中提出的另一个密钥管理流程（C29）使用HenLogRandom Key Generator来生成安全密钥，在C3I系统中使用的卫星图像的加密过程中提供了高度的混乱和扩散。此外，Furtak等人提出了一种基于对称密钥密码学的时间和内存高效的密钥管理方法（C30），以确保C3I网络的网络接入层的安全。作者还提出了一种非对称加密方法（C31），该方法更具有时间效率，用于C3I系统的密钥管理和安全数据传输。为了保证加密密钥分配过程的安全，Matt等人提出了一种C3I节点之间的非交互式基于身份的密钥共享方案（C32）。所提出的机制在C3I系统中生成和共享加密密钥时消耗的计算能力和网络资源（如带宽）较少。

除了上述的密钥管理解决方案外，最先进的技术还报道了在战术环境中保护敏感数据的数据加密技术。例如，Romero-Mariona等人推出了一个名为CEALICIAN（C33）的加密设备，该设备使用NSA-Suite B加密算法，以高数据率实时加密或解密敏感信息。CEALICIAN着重于更少的功耗和外形尺寸，以解决C3I系统的尺寸、重量和功率要求。此外，Abdullah等人（C34）对C3I系统的三种数据加密方法（即高级加密标准，Ron Rivest、Adi Shamir和Leonard Adleman，以及量子加密）进行了定性评估。根据他们的研究结果和C3I系统的关键性，得出的结论是，与其他被考察的加密方法相比，高级加密标准更适合于C3I系统。

5.2.3 访问控制

访问控制是指允许授权用户（如现场指挥官和决策者）访问C3I系统的安全机制。正如第2节所述，C3I系统遵循严格的命令链。有多个具有不同访问权限的用户来执行C3I操作。因此，访问控制机制 对C3I系统来说是必要的。由于战术任务的成功、生命和财产在很大程度上取决于访问控制机制。[117]，C3I系统应该采用可靠、灵活和高效的访问控制方法来防止 在战术领域的未经授权的访问。因此，研究人员专注于开发有效的访问控制机制。C35至C40，用于战术C3I系统。

Zachary提出了一种基于单向累加器的去中心化方法（C35），用于认证分布式C3I网络中的合法节点。所提出的机制在动态C3I网络中安全地管理所有C3I节点的节点成员名单，同时利用较少的计算和网络资源（如功率和带宽）。同样，为了防止C3I系统中的未授权访问，还提出了一种具有成本效益和功率效率的技术，称为数字超声波传感器网络技术（C36）。数字超声波技术优于现有的替代技术，如红外线、蓝牙和超宽频等。为了确保C3I系统中横向和纵向命令链的访问控制，Jarmakiewicz等人提出了基于XACML和WEB服务的多级安全和多个独立级安全机制（C37）。提出的机制在授权合法用户操作C3I系统方面具有时间效率。同样，Maule提出了一个多级安全框架，称为多层本体安全模型（C38），通过使用不同的授权级别来保护军事信息系统数据。论文中报告的另一个多层模型（C39）被用来在C3I系统中实现认证、授权和问责。多层方法提供了一个路线图，用于管理基于操作要求的综合服务（如SOA架构）中的访问。为了在C3I指挥层次中进行有效的访问控制，Maschino比较了集中式和分散式C3I系统中基于角色的访问控制（RBAC）机制的不同组合（即集中式和分散式）（C40）。因此，作者推荐了一种混合RBAC机制，以确保C3I系统中基于角色的认证。

6 讨论

在本节中，我们分析了第3、4和5节中报告的研究结果。基于我们的分析，我们在攻击载体、漏洞和对策之间建立了一种独特的关系。此外，我们提出了未来的研究方向，以指导研究人员和从业人员推进C3I系统的网络安全文献。

6.1 将C3I攻击载体映射到漏洞上

虽然第3节和第4节分别描述了各个安全漏洞和攻击载体，但它们没有显示任何关联或关系（即一个特定的攻击载体如何利用C3I系统的漏洞）。因此，为了支持从业人员和开发人员建立安全的C3I系统，我们阐述了C3I系统的安全漏洞和攻击向量之间的映射关系。我们的映射是基于从通用攻击模式列举和分类（CAPEC）和通用弱点列举（CWE）数据库中提取的数据。CAPEC提供了一个用于利用已知漏洞的攻击向量的字典。另一方面，CWE规定了已知的硬件和软件漏洞的清单。

如图8所示，我们首先将确定的C3I攻击向量与CAPEC攻击进行映射，并提取其相关的CWE号码。然后，我们将相应的CWEs与从调查研究中提取的C3I安全漏洞进行映射。例如，首先，我们根据调查研究和CAPEC数据库中提供的信息，分别将蛮力攻击（A1）映射到CAPEC-112：蛮力攻击。其次，CWE-521：薄弱的密码要求被确定为上述CAPEC攻击的对应CWE。第三，我们将这个CWE与不安全的配置存储（V7）联系起来，因为使用弱密码是导致不安全的配置存储的根本原因之一。由于我们确定的所有攻击向量和漏洞在CAPEC和CWE中并不存在，我们参考了外部资源（例如白皮书和博客），通过确定已确定的漏洞和攻击向量之间的其他可能联系，使这种映射更加全面。例如，我们将洪水攻击（A12）与记录和监控不足（V1）漏洞进行了映射，因为缺乏网络流量监控，攻击者可以用大量的恶意数据淹没C3I节点，阻碍合法C3I节点之间的通信。

图8. 绘制C3I攻击媒介和漏洞的方法。CAPEC（通用攻击模式列举和分类和CWE(常见弱点列举)

如图9所示，一个漏洞可以被多个攻击利用（例如，漏洞V1可以被攻击向量A1、A2、A8和A12利用），一个攻击向量可以利用多个漏洞（例如，攻击向量A1可以利用漏洞V1、V2、V6和V7）。因此，它反映了在设计安全防御措施之前，有必要采用调查机制，如威胁建模，以确定漏洞和攻击载体之间所有可能的关联。例如，为了防止C3I系统中蛮力攻击（A1）的执行，开发人员不仅要考虑实施密码学上强大的用户凭证存储，而且还要纳入足够的入侵检测和预防机制。如图9所示，使用COTS组件是可以被所有确定的攻击载体利用的。这是因为在C3I系统中使用脆弱的COTS组件会使系统暴露在几个攻击向量之下，因为这些第三方组件可能包含有意的（如后门）或无意的（如测试不足）安全缺陷。因此，它强调在将这些组件集成到C3I系统之前进行严格的安全和质量测试。此外，我们建议，在C3I系统开发过程的设计阶段，必须将这种测试和质量检查作为一个强制性程序纳入其中。恶意软件可以通过不同的渗透方式（如通过网络和从互联网下载），直接和间接地利用漏洞，这种方式有很多。因此，在这个映射中，我们认为恶意软件可以利用所有报告的C3I漏洞。例如，恶意软件可以利用V7：不安全的数据存储，访问C3I系统的安全关键数据。另一方面，恶意软件可以利用V1: 记录和监控不足的漏洞，窥探C3I的运作。因此，我们强调在C3I系统中采用恶意软件检测方法（如AI/ML和模式挖掘）的要求。

图9. 已确定的C3I攻击载体和漏洞之间的映射关系

6.2 将C3I攻击媒介映射到对策上

正如上一小节所讨论的，现有文献没有报告攻击载体、漏洞和对策之间的明确关系。因此，与攻击-漏洞映射类似，我们将攻击向量映射到反措施，以证明哪些反措施可以保护C3I系统免受哪些攻击向量的影响。这种关系积累了针对某个攻击向量的可能对策，这有利于研究人员和从业人员确定针对某个攻击向量的解决方案。由于攻击向量和反措施可以通过多种方式联系在一起，我们专注于在它们之间建立一种明显的关系。为此，我们开发了一个两步法来收集已报告和未报告的独特的攻击-反措施关系。在第一步中，我们直接从现有文献中确定了攻击载体和反措施之间的关系。例如，论文中报道的可变加密密钥长度（C27）提供了对蛮力攻击（A1）的保护。同样，基于人工智能的C3I设备识别器（C26）可以检测C3I数据库中的敏感数据操作（A6）。在第二步，我们彻底分析了攻击载体和反措施，以确定它们之间的关系。例如，CEALICIAN（C33）对通过C3I通信链路传输的敏感信息进行加密和解密，这阻碍了窃听攻击（A11）。同样，非交互式密钥共享方案（C32）减轻了数据传输过程中的篡改攻击（A6）的机会。因此，我们将C33和C32分别映射到A11和A6。通过这种方式，我们通过两步法在攻击载体和对策之间建立了明显的关系。图10显示了攻击向量与相应对策的映射关系。

图10. C3I攻击向量和对策之间的映射。C1至C21适用于开发阶段，C22至C40适用于C3I系统的运行阶段。

我们观察到，有关C3I系统开发阶段的对策（即C1到C21）为保护C3I系统免受大多数（如果不是全部）攻击媒介的影响提供了整体建议。例如，设计安全的C3I通信系统（C12），如果严格执行，可以防止几个攻击向量，如A6、A7、A10、A11、A12、A13、A14、A15、A16、A17和A18。同样，基于区块链的设计模式（即C10和C11）不仅可以防止针对C3I通信链路的攻击载体（即A10和A11），还可以防止C3I系统中的拒付攻击（A8）。因此，如图10所示，与开发类别相关的对策（即C1至C21）提供了针对大多数攻击载体的解决方案。然而，采用C3I系统的组织由于其有限的专业知识、财政和技术资源，无法一下子广泛地实施安全措施。因此，我们强调，在开发C3I系统时，需要优先考虑安全措施。为此，我们主张研究人员和从业人员应该首先分析C3I系统的操作和环境条件，然后在开发C3I系统的过程中实施相应的临时性对策。

关于行动对策（C22至C40），我们观察到在C3I系统中提供入侵检测、密码学和访问控制能力的安全工具之间缺乏互操作性。例如，检测对策基于AI的C3I设备识别器（C26）只检测到篡改攻击A6的执行，但是，为了防止A6，需要实施预防性对策非交互式密钥共享机制（C32）。相反，在没有检测性对策（如C22至C26）的情况下，预防性对策（如C27至C40）需要更多时间来阻碍攻击载体的执行。因此，我们断言，研究人员应制定新的防御机制，不仅要能整合安全工具，而且要有足够的灵活性，以适应新的安全工具，在时间紧迫的C3I系统中有效地检测和预防攻击载体。

6.3 未来的研究领域

基于第3、4、5节的研究结果，我们提出了以下未来的研究方向，以推进C3I系统网络安全的最新进展。

6.3.1 C3I系统的安全SOA适应性

正如第2节中所讨论的，C3I系统是多个异构系统的整合。因此，在设计大规模的C3I系统时，传统的单体结构并不是一个可行的选择。在采用适合的架构模式的必要性的驱使下，研究人员已经考虑用SOA来设计C3I系统（例如，可部署的联合C3I系统）。然而，基于SOA的系统存在各种安全漏洞和攻击载体，在采用C3I系统这样的安全关键战术系统时，带来了许多安全挑战。例如，SOA在设计上缺乏持续监控和入侵检测机制。因此，基于SOA的C3I系统容易受到许多攻击载体的影响（例如，暴力攻击（A1），内部攻击（A2）和抵赖攻击（A8））。因此，考虑到当代为解决SOA适应C3I系统的安全挑战所做的努力（第5.1.2节），很明显，SOA安全适应C3I系统是一个即将到来的研究领域。因此，我们断言，必须严格考虑基于SOA的C3I系统的网络安全问题，并将新的安全措施植入这些系统的设计和实施中。此外，我们还注意到，对基于SOA的C3I领域的研究需要全面的评估工作，包括对真实世界的实施进行实验，因为现有的一些研究只限于概念性的解决方案。

6.3.2 轻量级安全措施

C3I系统通常在资源受限的环境中运行。因此，C3I系统是按照一定的带宽、能量和内存规格来设计的。这意味着C3I系统的每个组件都需要在有限的资源下运行。这对于C3I系统中的安全措施（如入侵检测、加密机制和访问控制）也是如此。如果安全措施为了保证C3I系统的安全而消耗了更多的计算能力、机载存储或网络资源，这将导致影响C3I系统的战略运作。尽管研究人员已经提出了单独考虑功率、内存、计算资源[88]和网络资源效率的资源效率解决方案，但我们观察到缺乏类似于CEALICIAN（C33）的整体和最佳安全措施，该措施不仅提供了功率效率，而且在加密和解密敏感信息时还考虑了C3I系统的大小和重量要求。因此，我们断言，研究人员应该专注于开发轻量级的安全措施，考虑轻量级网络安全的大多数（如果不是全部）参数。

6.3.3 基于云的安全C3I架构

尽管云计算通常是一种广泛使用的技术，但将其纳入C3I领域是相当新的。正如第5.1.2节所讨论的，云计算为提高战术领域C3I系统的效率和可操作性提供了许多好处（例如，降低成本、方便访问和部署灵活性）。考虑到这些优势，美国已经为其国防和公共部门开发了基于云的C3I系统，韩国也正在将其国防基础设施转向基于云的系统。然而，云计算与C3I系统的整合拥有许多安全挑战（如数据的保密性、完整性和服务器的可视化），正如中所报道的。例如，在公共云的情况下，数据的保密性可能会被破坏，因为多个用户共享同一个基础设施。同样，PaaS和IaaS等云服务模式允许用户安装自己的软件；这种特权会破坏敏感数据的完整性。我们在调查的文章中只发现了一个设计基于云的安全C3I系统的尝试。由于C3I系统的网络安全和效率不能被认为是正交的，因此，我们断言，研究人员需要专注于解决开发基于云的C3I系统中的安全挑战，以同时提高C3I系统的效率和网络安全。

6.3.4 区块链用于保障C3I基础设施的安全

区块链技术提供了严格的认证，在整个C3I战术领域安全地分配存储设施和计算资源，这避免了C3I系统出现单点故障的机会。然而，我们发现，与物联网和经济系统等其他领域相比，将区块链技术纳入C3I系统的研究兴趣明显不足。审查的研究中提出的方法仅限于战术C3I系统中的安全数据传输和数据共享。因此，很明显，区块链技术在C3I领域是相对较新的。考虑到区块链在战术领域的重要性，我们断言，研究人员应探索新的方向，将区块链技术纳入C3I系统的网络安全。

6.3.5 AI/ML用于C3I系统的网络安全

将人工智能/ML用于网络安全的探索越来越多。例如，与基于签名的入侵检测相比，基于ML的入侵检测被广泛研究。同样，AI/ML方法被用于检测数据渗透和自动化网络事件的响应过程。然而，我们发现很少有证据（只有3篇论文）支持使用AI/ML来加强C3I系统的网络安全。例如，Kwon等人利用监督学习将C3I移动设备划分为可信和不可信的类别。同样，在调查的论文中，我们发现作者使用多实例多标签学习模型来检测C3I系统的入侵企图。此外，Kott等人提出了一个基于智能代理技术（即自主智能网络防御代理）的初始参考架构，以确保C3I系统的安全。由于我们只发现了三篇利用AI/ML来保护C3I系统的论文，我们认为在利用AI/ML来保护C3I安全方面还有进一步探索的空间。在这方面，我们认为研究人员应该探索使用人工智能/ML来进行深度数据包检查、异常检测、APT检测，以及检测C3I系统的数据渗透企图。

6.3.6 需要严格和全面的评估

我们调查了所调查的文章中应用的评估方法，发现36.67%的研究没有评估他们提出的安全机制（图11）。此外，25%的研究仅通过假设场景进行了评估。因此，很明显，超过61%的研究没有在他们的研究中遵循系统和严格的评估过程。在所调查的论文中，有5%、16.67%和15%的研究是通过原型设计、模拟和实验室实验进行评估的。图12展示了这些评估方法中使用的硬件和软件工具。值得注意的是，只有一项研究在真实世界环境中进行了评估。因此，由于缺乏严格的评估，它引起了人们对现有文献的可靠性的重大关注。此外，C3I领域的高度技术性和关键性也加剧了这种担忧。正如第2节所讨论的，C3I系统由多个异质子系统组成，其中一些被部署在恶劣的环境中。因此，一些实际问题，如敌对条件造成的节点物理破坏、软件组件受损、硬件组件随着时间的推移而退化，以及自然灾害（如洪水、火灾、风暴），都对C3I系统的性能、安全和保障产生了重大影响。因此，我们主张保护C3I系统的对策应通过系统的评估方法在现实世界中进行评估，以加强所得出的研究结果的可信度。

图11. 评价方法

图12. 用于C3I系统的软件和硬件工具的安全评估

7 结论

由于使用C3I系统的战术领域（如军事和救援任务）的严重重要性，C3I系统的网络安全已经成为一个严重的问题。因此，我们收集、研究和综合了关于C3I系统网络安全的文献。基于我们的研究，我们对13个安全漏洞、19个攻击载体和40个被认为对C3I系统的网络安全很重要的对策进行了严格的分析和分类。此外，我们对研究结果进行了分析，其中包括 (i) 攻击载体和安全漏洞的相互关系；(ii) 攻击载体和对策的相互关系；以及(iii) 确定未来的研究方向，以推进C3I系统的安全领域。

这项调查为研究人员和从业人员提供了若干好处。特别是对研究人员来说，我们的调查为进一步探索和加强C3I系统的网络安全提出了几个未来研究方向。例如，C3I系统的SOA适应性在保证C3I系统的网络空间安全方面引入了许多挑战（例如，缺乏持续监控）。同样，将云计算纳入C3I系统也带来了许多关于敏感数据保密性和完整性的安全问题。对于从业人员来说，将攻击载体与反措施进行映射，使C3I系统的操作人员能够确定针对攻击载体的准确反措施。同样，在设计C3I系统时，需要对反措施进行优先排序，这有助于系统工程师在开发C3I系统时实施最佳反措施。我们希望本调查报告的结果能够为研究人员和从业人员提供新的维度和灵感，以推动他们在C3I系统安全方面的研究和开发工作。