胡晨+陳凱

摘要摘要：隨著工業(yè)化與信息化的不斷融合，工業(yè)控制系統引入了大量IT技術，工控系統安全問題日趨嚴重。工控系統與IT系統存在本質性差異。通過對工控系統安全威脅進行詳細分析，設計了工控系統異常監(jiān)測安全事件智能分析架構，提出了工控系統安全審計方案。該系統能實現工控系統異常行為監(jiān)測和安全事件智能分析，實現了安全可視化。

關鍵詞關鍵詞：工業(yè)控制系統；行為審計；智能分析；信息安全

DOIDOI：10.11907/rjdk.162241

中圖分類號：TP319文獻標識碼：A文章編號文章編號：16727800（2017）001012004

引言

伴隨著工業(yè)化和信息化融合發(fā)展，大量IT技術被引入現代工業(yè)控制系統。網絡設備、計算設備、操作系統、嵌入式平臺等多種IT技術在工控系統中的遷移應用已經司空見慣。然而，工控系統與IT系統存在本質差異，差異特質決定了工控系統安全與IT系統安全不同。

（1）工控系統的設計目標是監(jiān)視和控制工業(yè)過程，主要是和物理世界互動，而IT系統主要用于與人的交互和信息管理。電力配網終端可以控制區(qū)域電力開關，類似這類控制能力決定了安全防護的效果。

（2）常規(guī)IT系統生命周期往往在5年左右，因此系統的遺留問題一般都較小。而工控系統的生命周期通常有8～15年，甚至更久，遠大于常規(guī)IT系統，對其遺留的系統安全問題必須重視。相關的安全加固投入涉及到工業(yè)領域商業(yè)模式的深層次問題（如固定資產投資與折舊）。

（3）工控系統安全遵循SRA（Safety、Reliability和Availability）模型，與IT系統的安全模型CIA（Confidentiality、Integrity和Availability）迥異。IT安全的防護機制需要高度的侵入性，對系統可靠性、可用性都有潛在的重要影響。因此，現有的安全解決方案很難直接用于工控系統，需要深度設計相關解決方案，以匹配工控系統安全環(huán)境需求[12]。

1工控系統安全威脅及成因

工業(yè)控制系統安全威脅主要有以下幾個方面[35]：

（1）工業(yè)控制專用協議安全威脅。工業(yè)控制系統采用了大量的專用封閉工控行業(yè)通信協議，一直被誤認為是安全的。這些協議以保障高可用性和業(yè)務連續(xù)性為首要目的，缺乏安全性考慮，一旦被攻擊者關注，極易造成重大安全事件。

（2）網絡安全威脅。TCP/IP 協議等通用協議與開發(fā)標準引入工控系統，使得開放的工業(yè)控制系統面臨各種各樣的網絡安全威脅[67]。

早期工業(yè)控制系統為保證操作安全，往往和企業(yè)管理系統相隔離。近年來，為了實時采集數據，滿足管理需求，工業(yè)控制系統通過邏輯隔離方式與企業(yè)管理系統直接通信，而企業(yè)管理系統一般連接Internet，這種情況下，工業(yè)控制系統接入的范圍不僅擴展到了企業(yè)網，而且面臨來自Internet的威脅。在公用網絡和專用網絡混合的情況下，工業(yè)控制系統安全狀態(tài)更加復雜。

（3）安全規(guī)程風險。為了優(yōu)先保證系統高可用性而把安全規(guī)程放在次要位置，甚至犧牲安全來實現系統效率，造成了工業(yè)控制系統常見的安全隱患。以介質訪問控制策略為代表的多種隱患時刻威脅著工控系統安全。為實現安全管理制定符合需求的安全策略，并依據策略制定管理流程，是確保ICS 系統安全性和穩(wěn)定性的重要保障。

（4）操作系統安全威脅。工業(yè)控制系統有各種不同的通用操作系統（Window、Linux）以及嵌入式OS，大量操作系統版本陳舊（Win95、Win me、Win2K等）。鑒于工控軟件與操作系統補丁存在兼容性問題，系統上線和運行后一般不會對平臺打補丁，導致應用系統存在很大的安全風險。

（5）終端及應用安全風險。工業(yè)控制系統終端應用大多固定不變，系統在防范一些傳統的惡意軟件時，主要在應用加載前檢測其完整性和安全性，對于層出不窮的新型攻擊方式和不斷改進的傳統攻擊方式，采取這種安全措施遠遠不能為終端提供安全保障。因此，對靜態(tài)和動態(tài)內容必須進行安全完整性認證檢查。

2審計方案設計及關鍵技術

2.1系統總體架構

本方案針對工控系統面臨的五大安全威脅，建立了基于專用協議識別和異常分析技術的安全審計方案，采用基于Fuzzing的漏洞挖掘技術，利用海量數據分析，實現工控系統的異常行為監(jiān)測和安全事件智能分析，實現安全可視化，系統框架如圖1所示。

電力、石化行業(yè)工業(yè)控制系統行為審計，主要對工業(yè)控制系統的各種安全事件信息進行采集、智能關聯分析和軟硬件漏洞挖掘，實現對工業(yè)控制系統進行安全評估及安全事件準確定位的目的[89]。

審計系統采用四層架構設計，分別是數據采集層、信息數據管理層、安全事件智能分析層和安全可視化展示層。其中數據采集層通過安全代理、鏡像流量、抓取探測等方式，監(jiān)測工控網絡系統中的服務日志、通信會話和安全事件。多層部署采用中繼隔離方式單向上報采集信息，以適應各種網絡環(huán)境。信息數據管理層解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各種專用協議，對海量數據進行分布式存儲，優(yōu)化存儲結構和查詢效率，實現系統數據層可伸縮性和可擴展性。智能分析層通過對異構數據的分析結果進行預處理，采用安全事件關聯分析和安全數據挖掘技術，審計工控系統應用過程中的協議異常和行為異常。安全綜合展示層，對安全審計結果可視化，呈現工業(yè)控制系統安全事件，標識安全威脅，并對工業(yè)控制系統安全趨勢作出預判。

2.2審計系統關鍵技術及實現

2.2.1專用協議識別和異常分析技術

系統實現對各種常見協議智能化識別，并且重組恢復通信數據，在此基礎上分析協議數據語義，進而識別出各種通信會話和系統事件，最終達到審計目的[1011]。

2.2.2核心組件脆弱性及漏洞挖掘技術

基于Fuzzing的漏洞挖掘技術，實現工業(yè)控制系統核心組件軟硬件漏洞挖掘，及時發(fā)現并規(guī)避隱患，使之適應當前的安全環(huán)境。Fuzzing技術將隨機數據作為測試輸入，對程序運行過程中的任何異常進行檢測，通過判斷引起程序異常的隨機數據進一步定位程序缺陷 [12-14]。

Fuzzing測試架構如圖2所示。

通用漏洞挖掘技術無法完全適應工控系統及網絡的特殊性，無法有效挖掘漏洞，部分漏洞掃描軟件還會對工控系統和網絡造成破壞，使工控系統癱瘓。本文結合電力、石化行業(yè)工控系統特點，研究設計了工控行業(yè)專用Fuzzing漏洞挖掘技術和方法，解決了漏洞探測技術的安全性和高效性問題，實現了工業(yè)控制協議（OPC/Modbus/Fieldbus）和通用協議（IRC/DHCP/TCP）等漏洞Fuzzing工具、應用程序的FileFuzzing、針對ActiveX的COMRaider和AxMan、操作系統內核的Fuzzing工具應用，構建了通用、可擴展的Fuzzing框架，涵蓋多種ICS系統組件。ICS系統測試組件眾多，具有高度自動化的Fuzzing漏洞挖掘系統可以大大提高漏洞挖掘效率。生成的測試用例既能有效擴展Fuzzing發(fā)現漏洞的范圍，又可避免產生類似于組合測試中常見的狀態(tài)爆炸情況[15]。采用代理模塊（Peach、Sulley）負責監(jiān)測對象異常，實現并行Fuzzing以提高運行效率；還可以將引擎和代理分離，在不同的機子上運行，用分布式應用程序分別進行Fuzzing測試。

2.2.3異常行為檢測技術

針對工控系統的異常行為檢測，本方案采用海量數據和長效攻擊行為關聯分析技術，內容如下：

（1）建立工業(yè)控制系統環(huán)境行為架構，檢查當前活動與正常活動架構預期的偏離程度，由此判斷和確認入侵行為，診斷安全事件。

（2）研究行為異常的實時或準實時在線分析技術，縮短行為分析時間，快速形成分析報告。

（3）基于DPI技術，對網絡層異常行為安全事件進行檢測分析?；诤Ａ繑祿幚砥脚_實現對數據包的深度實時/離線分析，從而有效監(jiān)測工控設備的異常流量，進而有效監(jiān)測多種網絡攻擊行為[16]。

（4）應用層異常行為檢測。應用層異常行為安全事件檢測圍繞工業(yè)控制系統軟件應用展開，該功能基于應用層數據收集結果進行，支持運行狀態(tài)分析檢測、指令篡改分析檢測、異常配置變更分析檢測等。

（5）系統操作異常行為安全事件檢測。系統攻擊檢測基于海量日志分析技術進行，在檢測整個系統安全狀態(tài)的同時，以大規(guī)模系統運行狀態(tài)為模型，發(fā)掘出有悖于系統正常運行的各種信息，支持系統安全事件反向查詢，并詳細描述系統的運行軌跡，為系統攻擊防范提供必要信息。

（6）異常行為安全事件取證?；诎踩珯z測平臺所提供的多維度多時段網絡安全數據信息進行異常行為安全事件取證，有效支持對單點安全事件的獲取，達到安全事件單時段、多時段、分時段提取，進而支撐基于事實數據的安全取證功能。

2.2.4安全事件智能分析技術

方案把工業(yè)控制系統海量安全事件的智能關聯分析、安全評估、事件定位及回溯相關分析技術應用于分析系統，并且基于不同的粒度進行安全態(tài)勢預警。

（1）安全事件聚合。采用聚類分析模型，將數據分析后的IDS、防火墻等網絡設備產生的大量重復或相似的安全事件進行智能聚合，并設計不同條件進行歸并，從而將大量重復的無用信息剔除，找到安全事件發(fā)生的本質原因。

（2）安全事件關聯。系統將安全事件基于多個要素進行關聯，包括將同源事件、異源事件、多對象信息進行關聯，從而在多源數據中提取出一系列相關安全事件序列，通過該安全事件序列，對事件輪廓進行詳細刻畫，充分了解攻擊者的攻擊手段和攻擊步驟，從而為攻擊防范提供知識準備[17]。

2.2.5安全可視化

安全可視化是一項綜合展現技術，其核心是為用戶提供工控系統安全事件審計全局視圖，進行安全狀態(tài)追蹤、監(jiān)控和反饋，為決策者提供準確、有效的參考信息，并在一定程度上減小制定決策所花費的時間和精力，盡可能減少人為失誤，提高整體管理效率。

安全可視化包括報表、歷史分析、實時監(jiān)控、安全事件、安全模型5大類。其中，歷史分析包括時序分析、關聯圖、交互分析和取證分析。實時監(jiān)控重點通過儀表盤來表現。3安全事件評估

通過以上安全應用分析，能夠對安全事件形成從點到面、多視角的分析結果，對安全事件帶來的影響進行分級，包括高危級、危險級、中級、低級4個級別，使網絡管理者更好地將精力集中于解決對網絡安全影響較大的問題。4安全態(tài)勢預警

為對網絡安全態(tài)勢進行全面評估，建立如圖3所示的全方位多層次異角度的安全態(tài)勢評估基本框架，分別進行更為細粒度的網絡安全態(tài)勢評估，評估內容如下：

（1）基于專題層次的網絡態(tài)勢評估。評估各具體因素，這些具體因素都會不同程度影響工業(yè)控制系統安全，根據威脅內容分為資產評估、威脅評估、脆弱性評估和安全事件評估4個模塊，每個模塊根據評估范圍分為3種不同粒度。威脅評估包含了單個威脅評估、某一類威脅評估和整個網絡威脅狀況評估3種不同粒度的安全分析。

（2）基于要素層次的網絡態(tài)勢評估。全方位對安全要素程度進行評估，體現網絡各安全要素重要程度，包括保密性評估、完整性評估以及可用性評估。

（3）基于整體層次的網絡態(tài)勢評估。綜合評估工業(yè)控制系統安全狀況，對不同層次采用不同方法進行評估。采用基于隱Markov模型、Markov博弈模型和基于指數對數分析的評估技術，對安全態(tài)勢的3個安全要素進行評估，評估所有與態(tài)勢值相關的內容；基于指數對數分析評估技術，實現由單體安全態(tài)勢得到整體安全態(tài)勢，具體參數根據不同目的和網絡環(huán)境進行設置。

5工業(yè)控制系統審計方案部署

本項目要符合電力、石化行業(yè)工業(yè)控制系統特點，提供高可用、可擴展和高性能解決方案。系統包含數據采集器、數據存儲服務器、安全審計分析服務器等核心組件，如圖4、圖5所示。

（1）數據采集器是工業(yè)控制系統的末梢單元，是審計系統與工業(yè)控制各種設備、終端的信息接口。數據采集器數量依據工控終端規(guī)模進行分布式動態(tài)擴展。特定工控采集環(huán)境下，硬件數據采集器輔助探針軟件協同工作。

（2）數據存儲服務器用以存儲采集和分析計算處理后的海量數據。數據存儲服務器以彈性擴展集群方式組成海量數據存儲平臺。

（3）安全審計分析服務器負責數據處理、安全事件分析、漏洞挖掘等高性能安全計算和結果展示，是審計系統的計算中心。

6結語

本文通過研究工業(yè)控制系統專用通信協議的智能化識別和分析技術，實現了常見協議的智能化識別，方便對工控系統異常行為進行檢測。采用海量數據和長效攻擊行為關聯分析技術，進行安全評估、事件定位及回溯，以達到對工業(yè)控制系統安全狀況進行審計的目的。參考文獻：

[1]張帥. 工業(yè)控制系統安全風險分析[J]. 信息安全與通信保密， 2012（3）：1519.

[2]夏春明， 劉濤， 王華忠，等. 工業(yè)控制系統信息安全現狀及發(fā)展趨勢[J]. 信息安全與技術， 2013， 4（2）：1318.

[3]唐一鴻， 楊建軍， 王惠蒞. SP80082《工業(yè)控制系統（ICS）安全指南》研究[J]. 信息技術與標準化， 2012（Z1）：156159.

[4]STOUFFER K A， FALCO J A， SCARFONE K A.Guide to industrial control systems （ICS） security：supervisory control and data acquisition （SCADA） systems， distributed control systems （DCS）， and other control system configurations such as programmable logic controllers （PLC）[M]. National Institute of Standards & Technology， 2011.

[5]US DEPARTMENT OF COMMERCE， NIST. Guide to industrial control systems（ICS） securitysupervisory control and data acquisition （SCADA） systems，distributed control systems （DCS）， and other control system configurations such as Programmable Logic Controllers （PLC）[Z]. 2011.

[6]席榮榮， 云曉春， 金舒原，等. 網絡安全態(tài)勢感知研究綜述[J]. 計算機應用， 2012， 32（1）：14.

[7]XI R， JIN S， YUN X， et al. CNSSA： a comprehensive network security situation awareness system[C]. IEEE， International Conference on Trust， Security and Privacy in Computing and Communications. IEEE Computer Society， 2011：482487.

[8]陳莊， 黃勇， 鄒航. 工業(yè)控制系統信息安全審計系統分析與設計[J]. 計算機科學， 2013， 40（S1）：340343.

[9]CHEN Z. Analysis and design of ICS information security audit system[J]. Computer Science， 2013（5）：4549.

[10]GENGE B， HALLER P， KISS I. Cybersecurityaware network design of industrial control systems[J]. IEEE Systems Journal， 2015（2）：112.

[11]PENG Y， WANG Y， XIANG C， et al. Cyberphysical attackoriented Industrial Control Systems （ICS） modeling， analysis and experiment environment[C].International Conference on Intelligent Information Hiding and Multimedia Signal Processing. IEEE， 2015.

[12]吳志勇， 王紅川， 孫樂昌，等. Fuzzing技術綜述[J]. 計算機應用研究， 2010， 27（3）：829832.

[13]YAO G， GUAN Q， NI K. Test model for security vulnerability in web controls based on fuzzing[J]. Journal of Software， 2012， 7（4）：116120.

[14]LIU A Y， YAO L F. Cointegration analysis on the relation between urbanization and economic growth in China[J]. Asian Agricultural Research， 2011， 3（3）：154 158.

[15]GODEFROID P， LEVIN M Y， MOLNAR D. SAGE： whitebox fuzzing for security testing[J]. Queue， 2012， 10（3）：4044.