王超瑩，陳 智，張 誼，劉朝暉，劉明明

（1.南華大學(xué) 計算機學(xué)院，衡陽421001；2.中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，成都610213）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，工業(yè)化與信息化不斷融合，針對工業(yè)控制系統(tǒng)特別是核電廠控制系統(tǒng)的安全事故時有發(fā)生，引起了世界各國政府和社會各界的高度關(guān)注，核電領(lǐng)域的信息安全建設(shè)也成為研究的熱點。2010年，伊朗布什爾核電站遭受“Stuxnet”[1]病毒的攻擊，讓數(shù)千臺離心機超載，給核電廠造成了巨大的物理性破壞。2016年4月，德國Gundremmingen 核電站的計算機系統(tǒng)遭受網(wǎng)絡(luò)攻擊，核電站操作員為防不測，關(guān)閉了發(fā)電廠[2]。種種跡象表明核電廠的信息安全形勢已經(jīng)非常嚴峻。

核電廠安全級數(shù)字化儀表與控制系統(tǒng)DCS（digital control system），是核反應(yīng)堆的“中樞神經(jīng)”，能夠提供對核電廠偏離正常運行工況的探測，同時驅(qū)動相應(yīng)的安全功能，以使電廠安全停閉并維持安全狀態(tài)，從而保證在事故情況下反應(yīng)堆、人員和環(huán)境的安全。拒絕服務(wù)攻擊是一種十分常見又難以解決的入侵性攻擊，是破壞網(wǎng)絡(luò)服務(wù)可用性的主要手段。一旦安全級DCS 遭受拒絕服務(wù)攻擊則可能會導(dǎo)致系統(tǒng)不能被合法用戶訪問，或者系統(tǒng)操作和功能延遲，從而危及核電廠安全?；谏鲜霰尘?，在此搭建了安全級DCS 試驗平臺并對其進行拒絕服務(wù)攻擊測試，并根據(jù)系統(tǒng)遭受拒絕服務(wù)攻擊的情況研究合適的防御策略。

1 安全級DCS 的特點及脆弱性

1.1 安全級DCS 的特點

首先與傳統(tǒng)的模擬技術(shù)相比，采用數(shù)字化技術(shù)的安全級DCS 具有不易老化，便于變更和維護，可對故障自診斷等優(yōu)點。另外，在部署環(huán)境的選擇上，安全級DCS 通常采用與互聯(lián)網(wǎng)物理隔離的方式，以便盡可能減少外界不法分子對核電廠的網(wǎng)絡(luò)攻擊行為。

按照核電廠安全設(shè)計準則的要求，單一故障準則[3]是反應(yīng)堆保護系統(tǒng)必須滿足的要求，因此，核電廠安全級DCS 平臺中多處采用了冗余設(shè)計，為系統(tǒng)的可靠性提供了強力的保障。根據(jù)IEC 603-1991[4]的規(guī)定“安全系統(tǒng)應(yīng)在設(shè)計基準所列的全部適用條件下完成所承擔(dān)的安全功能”，安全級DCS在投入使用前通過進行溫度試驗、濕度試驗、抗震試驗等各種環(huán)境鑒定試驗，確保了系統(tǒng)的完整性。安全級DCS 提供了手動操作所需要的人機界面，為操縱員提供了后備操作手段，是系統(tǒng)可操作性的體現(xiàn)。

除此之外，根據(jù)不同的應(yīng)用場景，安全級DCS還具有多樣性和縱深防御、安保性、兼容性、可維護性、可持續(xù)性、靈活性、經(jīng)濟性等關(guān)鍵特性[5]。

1.2 軟件脆弱性

軟件脆弱性是指軟件在需求分析、設(shè)計、編碼和運行階段存在的某些漏洞。當軟件在網(wǎng)絡(luò)環(huán)境中運行時，攻擊者可以利用該漏洞危害系統(tǒng)的安全[6]。對于核電廠安全級DCS 而言，脆弱性的存在可能會導(dǎo)致系統(tǒng)的可用性、完整性以及機密性受到不同程度的影響，為核電站的安全穩(wěn)定運行帶來隱患。在此從兩個方面對安全級DCS 的脆弱性進行分析。

1）從安全級DCS 平臺設(shè)計漏洞的角度 平臺工程師站的相關(guān)軟件在設(shè)計之初通常未考慮到對輸入數(shù)據(jù)中非法字段的檢測，留下了注入攻擊的安全隱患，同時工程師站不限制非授權(quán)應(yīng)用軟件的安裝，可能會引入軟件沖突等未知風(fēng)險[7]。另外，網(wǎng)關(guān)站作為安全級DCS 平臺與其他非安全系統(tǒng)通信的接口，通常會使用Modbus 等公有通信協(xié)議，給攻擊者通過解析協(xié)議對平臺進行攻擊帶來了可能性。

2）從安全策略配置的角度 安全級DCS 的工程師站通常安裝在Windows 7，Windows XP 等較早版本的操作系統(tǒng)上，操作系統(tǒng)未及時修補的漏洞就給惡意攻擊者帶來了可乘之機。通過對操作系統(tǒng)開啟的服務(wù)、端口的非法利用，以及通過預(yù)留接口進行移動存儲介質(zhì)接入，攻擊者也可輕易地侵入工程師站。若工程師站連接的網(wǎng)絡(luò)交換機存在預(yù)留接口，也會被攻擊者所利用，通過外部設(shè)備接入交換機的方式，對系統(tǒng)的安全性構(gòu)成威脅。

2 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊DoS（Denial-of-Service）是指攻擊者向被攻擊對象（服務(wù)器）發(fā)送大量數(shù)據(jù)包，試圖耗盡其網(wǎng)絡(luò)帶寬或系統(tǒng)資源，使其無法提供正常服務(wù)的一種惡意行為[8]。拒絕服務(wù)攻擊的原理如圖1所示。

圖1 拒絕服務(wù)攻擊原理Fig.1 Schematic of denial of service attack

根據(jù)攻擊發(fā)生的網(wǎng)絡(luò)層次可以將常見的拒絕服務(wù)攻擊劃分為2種形式，基于網(wǎng)絡(luò)層/傳輸層的拒絕服務(wù)攻擊、基于應(yīng)用層的拒絕服務(wù)攻擊。

2.1 網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊

此類攻擊通過發(fā)送大量TCP，UDP，ICMP，以及DNS 數(shù)據(jù)包來淹沒被攻擊者的路由器、交換機等基礎(chǔ)設(shè)施的方式，達到耗盡被攻擊對象的網(wǎng)絡(luò)帶寬，使其無法為合法用戶提供連接服務(wù)的目的。典型的攻擊方式有：SYN Flood[9]，ACK Flood，UDP Flood[10]，等。對于此類攻擊時，攻擊者可以選擇不同的攻擊速率來啟動攻擊，可以是以一個穩(wěn)定的速率發(fā)送流量的恒定速率攻擊法，也可以使用增長速率法。

2.2 應(yīng)用層拒絕服務(wù)攻擊

應(yīng)用層拒絕服務(wù)攻擊通過耗盡服務(wù)器有限的可用資源如內(nèi)存、磁盤、套接字等，來破壞正常用戶對服務(wù)器的訪問。與網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊的不同是，此類攻擊消耗的帶寬較低，因此很難使用流量分析的方式識別到它。

3 針對核電廠安全級DCS 的拒絕服務(wù)攻擊

雖然安全級DCS為了保證可靠性在多處采用冗余設(shè)計，但其系統(tǒng)資源仍然有限，應(yīng)用層拒絕服務(wù)攻擊依舊有可能對系統(tǒng)造成威脅，影響系統(tǒng)可用性。此外，在核電廠安全級DCS 的設(shè)計中沒有流量控制機制，因此在遭受網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊時可能會導(dǎo)致其通信帶寬被大量非法占用，影響系統(tǒng)內(nèi)部或與其他系統(tǒng)之間的正常通信連接。

3.1 拒絕服務(wù)攻擊的測試點選擇

在安全級DCS 平臺的設(shè)計中，除工程師站和網(wǎng)關(guān)站之外都屬于1E 級設(shè)備，它們彼此之間使用私有安全協(xié)議進行通信，具有較高的安全性。因此，在選擇拒絕服務(wù)攻擊的測試點時，僅需考慮使用通用協(xié)議的通信鏈路上的設(shè)備，包括工程師站與安全級設(shè)備進行通信的維護網(wǎng)絡(luò)以及與非安全級設(shè)備相連接的網(wǎng)關(guān)站。

根據(jù)美國儀器儀表協(xié)會提出的ISA99 參考模型[11]，可將ICS（industrial control system）整理為4個層次，如圖2所示。

圖2 工業(yè)控制系統(tǒng)分層參考模型Fig.2 Hierarchical reference model of industrial system

在此所討論的安全級DCS，限定于圖2所示第1 層設(shè)備與第2 層、第3 層組件的通信。通過分析平臺通信路徑發(fā)現(xiàn)，工程師站與安全級設(shè)備之間的通信傳輸均經(jīng)過了網(wǎng)絡(luò)交換機與協(xié)議轉(zhuǎn)換模塊2種設(shè)備，但是商用交換機的各種安全測試已有相當成熟的研究成果，且本文研究的目的是為安全級DCS研發(fā)者對自研產(chǎn)品的安全加固提供指導(dǎo)建議，因此商用交換機的測試及防御策略研究不在本文討論范圍之內(nèi)。而協(xié)議轉(zhuǎn)換模塊為安全級DCS 平臺的一部分，通常由DCS 平臺的研發(fā)人員一同研發(fā)，在經(jīng)過拒絕服務(wù)攻擊測試后，相關(guān)研發(fā)人員能夠?qū)ζ溥M行完善和修改。故在維護網(wǎng)絡(luò)上，選擇協(xié)議轉(zhuǎn)換模塊作為本次拒絕服務(wù)攻擊的測試點。

網(wǎng)關(guān)站作為安全級DCS 平臺與其他系統(tǒng)通信進行數(shù)據(jù)交換的接口，負責(zé)將信息從安全級系統(tǒng)發(fā)送到非安全級系統(tǒng)的單向通信，對保障安全級設(shè)備的信息安全有著至關(guān)重要的作用。攻擊者除了通過對Modbus 協(xié)議解析對平臺進行攻擊外，還可能通過直接對網(wǎng)關(guān)站進行攻擊的方式破壞網(wǎng)關(guān)站的功能，并通過網(wǎng)關(guān)站發(fā)送不安全數(shù)據(jù)至安全級設(shè)備，對安全級設(shè)備的運行、狀態(tài)信息進行修改。因此有必要將網(wǎng)關(guān)站作為拒絕服務(wù)攻擊的一個測試點。

3.2 試驗環(huán)境

選擇某核電廠安全級儀控系統(tǒng)作為此次試驗的被攻擊對象，其工程師站軟件安裝在Windows 7操作系統(tǒng)的PC 上；試驗所需其他軟件為Python 3.7，Kali-Linux 操作系統(tǒng)，hping3。試驗拓撲如圖3所示，圖中A 和B為此次試驗的攻擊測試點。

圖3 拒絕服務(wù)攻擊試驗拓撲圖Fig.3 Experimental topology of denial of service attack

3.3 試驗過程

此次試驗分別針對平臺網(wǎng)關(guān)和協(xié)議轉(zhuǎn)換模塊，進行網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊和應(yīng)用層拒絕服務(wù)攻擊。

針對網(wǎng)關(guān)的攻擊測試，首先使用Python 編寫攻擊腳本，不斷向網(wǎng)關(guān)非安全模塊發(fā)送socket 連接，試圖耗盡網(wǎng)關(guān)站的連接資源，屬于應(yīng)用層拒絕服務(wù)攻擊；網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊則是部署在Kali-Linux系統(tǒng)上的hping3 工具完成，通過hping3 制造SYN Flood，TCP Flood，UDP Flood 三種泛洪攻擊包，試圖耗盡網(wǎng)關(guān)站與非安全級系統(tǒng)連接的網(wǎng)絡(luò)帶寬。

針對協(xié)議轉(zhuǎn)換模塊的攻擊與網(wǎng)關(guān)類似，由部署在Kali-Linux系統(tǒng)上的hping3 工具完成網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊，通過編寫Python 腳本，不斷向協(xié)議轉(zhuǎn)換模塊發(fā)送socket 連接完成應(yīng)用層拒絕服務(wù)攻擊。

3.4 結(jié)果與評估

對網(wǎng)關(guān)及協(xié)議轉(zhuǎn)換模塊的DoS 攻擊結(jié)果見表1。

表1 DoS 攻擊結(jié)果Tab.1 DoS attack results

結(jié)果評估如下：在多次反復(fù)試驗中，協(xié)議轉(zhuǎn)換模塊在2種拒絕服務(wù)攻擊下都出現(xiàn)了功能失效的情況，導(dǎo)致工程師站組態(tài)軟件下裝失敗，并且在工程師站無法獲取協(xié)議轉(zhuǎn)換模塊的IP 地址。而網(wǎng)關(guān)站在分別遭受網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊和應(yīng)用層拒絕服務(wù)攻擊的情況下，其單向通信功能均未受到影響。

網(wǎng)關(guān)與協(xié)議轉(zhuǎn)換模塊在同樣的攻擊條件下，其結(jié)果之間表現(xiàn)出了巨大的差異。其原因分析如下：協(xié)議轉(zhuǎn)換模塊在設(shè)計之初，未考慮到遭受安全威脅攻擊的情況，也未進行流量控制的設(shè)計，因此在其遭受拒絕服務(wù)攻擊時，大量的流量連接包將其淹沒，使其可用性遭到破壞。網(wǎng)關(guān)站在設(shè)計時考慮到與外部非安全系統(tǒng)的連接，添加了白名單系統(tǒng)，僅能響應(yīng)白名單內(nèi)的IP 地址的連接請求，對于hping3 制造的隨機源IP 地址攻擊包進行了攔截。

4 防御措施及預(yù)期效果

針對安全級DCS 平臺在試驗過程中表現(xiàn)出不能抵御拒絕服務(wù)攻擊的情況，應(yīng)設(shè)計添加有效的防御措施對其進行防御。設(shè)置拒絕服務(wù)攻擊防御措施的目的，是在系統(tǒng)遭受攻擊后能夠盡快發(fā)現(xiàn)攻擊的存在，并且在盡可能靠近攻擊源的位置對攻擊進行阻斷?？筛鶕?jù)拒絕服務(wù)攻擊的2種不同形式對其現(xiàn)有防御策略研究成果進行分類。

針對基于網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊的防御技術(shù)可以分為四類：①基于攻擊源的檢測技術(shù)，在攻擊源附近部署檢測系統(tǒng)，防止客戶端產(chǎn)生拒絕服務(wù)攻擊；②基于網(wǎng)絡(luò)的檢測技術(shù)；③基于目標的防御技術(shù)，在服務(wù)器處部署檢測和響應(yīng)設(shè)備，或采用蜜罐技術(shù)在服務(wù)器端捕獲拒絕服務(wù)攻擊流量包；④分布式技術(shù)，在來源、目的或中間網(wǎng)絡(luò)等多個點部署混合防御系統(tǒng)[12]。

針對基于應(yīng)用層拒絕服務(wù)攻擊的防御技術(shù)可以分為兩類：基于服務(wù)器端的防御技術(shù)；分布式防御技術(shù)。

由于安全級DCS 與傳統(tǒng)IT 信息系統(tǒng)的系統(tǒng)構(gòu)造存在較大差異，主要表現(xiàn)在：在安全級DCS 的設(shè)計中，通常將下位機的安全級硬件設(shè)備作為服務(wù)器端，而工程師站、操作員站等上位機作為客戶端。因此，在IT 信息系統(tǒng)上，適用的拒絕服務(wù)攻擊的防御措施，不一定適合于安全級DCS 平臺。

由于協(xié)議轉(zhuǎn)換模塊與網(wǎng)關(guān)站均使用硬件平臺，作為實現(xiàn)其安全隔離功能的方式，從減少對系統(tǒng)硬件更改的角度，選擇在工程師站所依賴的PC 端上部署軟件防御系統(tǒng)更為簡單方便。即選擇基于攻擊源檢測技術(shù)的拒絕服務(wù)攻擊防御策略，在接入到安全級DCS 的每臺PC 上均部署防御系統(tǒng)，在源頭上捕獲并過濾掉拒絕服務(wù)攻擊的流量包，能夠?qū)W(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊起到較好的防御作用，對應(yīng)用層拒絕服務(wù)攻擊起到一定的防御作用。

另外，針對協(xié)議轉(zhuǎn)換模塊受拒絕服務(wù)攻擊較嚴重的情況，可以參考平臺網(wǎng)關(guān)使用白名單方式控制外部系統(tǒng)與安全級DCS 的連接，在協(xié)議轉(zhuǎn)換模塊上配置白名單IP，只響應(yīng)來自白名單的主機請求，則可以很好地抵御來自未知IP 地址的DoS 攻擊，對網(wǎng)絡(luò)層/傳輸層拒絕服務(wù)攻擊有較好的防御能力。

5 結(jié)語

作為信息安全領(lǐng)域巨大的安全威脅，拒絕服務(wù)攻擊問題始終沒有得到有效的解決，但是拒絕服務(wù)攻擊給信息化系統(tǒng)，特別是工業(yè)控制系統(tǒng)，帶來的危害是十分嚴重的。在對拒絕服務(wù)攻擊的防御研究上，IT 行業(yè)也提出了各種不同的防御策略，由于核電廠安全級DCS 與傳統(tǒng)IT系統(tǒng)的系統(tǒng)架構(gòu)與內(nèi)在需求都不同，所以很多方法并不能夠直接應(yīng)用在核電安全級DCS 上。在此通過對某核電廠安全級DCS 安全特性的分析，找出其易受攻擊的脆弱點。以此為基礎(chǔ)搭建了試驗平臺，采用滲透測試的方式對平臺開展了模擬拒絕服務(wù)攻擊研究，證實了理論分析結(jié)果。最終，根據(jù)平臺受攻擊影響程度，針對性地提出了有效的防御策略。其研究成果將對該DCS 平臺信息安全防范技術(shù)的深入研究提供借鑒。