李騰飛，黃 相，萬(wàn)振華，宋荊漢

（1.武漢科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，武漢 430065；2.深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司，深圳 518131）

0 引言

復(fù)雜的ICS帶來(lái)了獨(dú)特的安全、安保和可靠性工程挑戰(zhàn)。冶金行業(yè)是我國(guó)國(guó)民經(jīng)濟(jì)的支柱性產(chǎn)業(yè)，是關(guān)系國(guó)計(jì)民生的基礎(chǔ)性行業(yè)。冶金ICS生產(chǎn)包括球團(tuán)、燒結(jié)、焦化、煉鐵、煉鋼、連鑄、軋制等多個(gè)復(fù)雜環(huán)節(jié)，受環(huán)境（輻射、高溫）等條件的限制，有些工序和環(huán)節(jié)必須應(yīng)用自動(dòng)化系統(tǒng)來(lái)輔助進(jìn)行。自動(dòng)化和信息化的高度融合已成為冶金行業(yè)的發(fā)展趨勢(shì)，以以太網(wǎng)為主的控制網(wǎng)絡(luò)系統(tǒng)得到普遍應(yīng)用。

“德國(guó)工業(yè)4.0”“工業(yè)互聯(lián)網(wǎng)”“中國(guó)制造2025”等一系列概念的提出，進(jìn)一步促進(jìn)了ICS的變革。然而，僅有極少數(shù)ICS能在變革期中完成強(qiáng)大的安全防護(hù)，這是由于傳統(tǒng)的ICS幾乎不與互聯(lián)網(wǎng)發(fā)生交互行為，形成了絕對(duì)安全的“物理防護(hù)”，這使得大多數(shù)ICS在轉(zhuǎn)型過(guò)程中忽略巨大的信息安全隱患。如今，ICS發(fā)展迅速，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）作為ICS的核心設(shè)備，除了保證系統(tǒng)提供的服務(wù)和數(shù)據(jù)外，最有可能成為網(wǎng)絡(luò)犯罪分子和黑客網(wǎng)絡(luò)攻擊的目標(biāo)。表1列舉了近年來(lái)工業(yè)信息安全的事故案例。由于工業(yè)現(xiàn)場(chǎng)控制系統(tǒng)關(guān)乎國(guó)計(jì)民生，收到網(wǎng)絡(luò)攻擊后可直接造成人員傷亡、經(jīng)濟(jì)損失、環(huán)境污染等嚴(yán)重后果，因此保護(hù)工業(yè)現(xiàn)場(chǎng)控制系統(tǒng)的信息安全具有極其重要的經(jīng)濟(jì)價(jià)值和社會(huì)意義。

表1 ICS信息安全事故案例

1 冶金工業(yè)控制系統(tǒng)

冶金工藝過(guò)程管理的復(fù)雜性是由設(shè)備數(shù)量大、工藝過(guò)程連續(xù)性差、工藝參數(shù)不穩(wěn)定等原因造成的，有關(guān)目標(biāo)管理的決策可能會(huì)受到嚴(yán)重阻礙，其有效性可能會(huì)降低，所以需要比較先進(jìn)的ICS。

1.1 冶金工業(yè)控制系統(tǒng)概述

冶金ICS系統(tǒng)結(jié)構(gòu)如圖1所示，結(jié)合冶金行業(yè)特點(diǎn)，通過(guò)多層次的隔離防護(hù)措施、全面的監(jiān)控手段、立體的防御技術(shù)來(lái)實(shí)現(xiàn)對(duì)ICS的整體安全防護(hù)，從而保障整個(gè)ICS安全穩(wěn)定運(yùn)行。在管理層與數(shù)采監(jiān)控層之間，主要進(jìn)行身份鑒別、訪問(wèn)控制、入侵檢測(cè)、行為審計(jì)、病毒過(guò)濾等安全防護(hù)；在數(shù)采監(jiān)控層和PLC系統(tǒng)層之間，主要基于工業(yè)控制通信協(xié)議進(jìn)行訪問(wèn)控制。

圖1 冶金ICS系統(tǒng)結(jié)構(gòu)

1.2 冶金工業(yè)控制系統(tǒng)安全隱患

隨著黑客攻擊手段和技術(shù)的日趨復(fù)雜和精密，針對(duì)ICS的攻擊源源不斷。作為復(fù)雜的混合流程工業(yè)，冶金行業(yè)的安全形勢(shì)比較嚴(yán)峻，主要表現(xiàn)在以下幾個(gè)方面：

冶金企業(yè)是典型的混合流程型企業(yè)，冶金企業(yè)具有工業(yè)領(lǐng)域生產(chǎn)流程的典型特點(diǎn)，自動(dòng)化程度比較高，涉及到的自動(dòng)化設(shè)備、子系統(tǒng)眾多，促使控制系統(tǒng)網(wǎng)絡(luò)拓?fù)浔容^龐大，復(fù)雜程度高，安全風(fēng)險(xiǎn)比較大。

冶金企業(yè)工藝流程涉及到大型設(shè)備，如高爐、轉(zhuǎn)爐、軋機(jī)機(jī)組等，受到攻擊時(shí)造成的損失也是無(wú)法估量的，因此冶金企業(yè)控制網(wǎng)絡(luò)安全形勢(shì)比較嚴(yán)峻。

由于冶金行業(yè)的控制網(wǎng)絡(luò)龐大且流程穩(wěn)健，所以安全邊界難以界定；由于與物理世界的緊密聯(lián)系，網(wǎng)絡(luò)對(duì)實(shí)時(shí)性、可用性和業(yè)務(wù)連續(xù)性有很高的要求；由于目前移動(dòng)存儲(chǔ)介質(zhì)是ICS病毒傳播的主要途徑，所以安全規(guī)定要有很高的要求，這些要求也增加了系統(tǒng)信息安全管理的復(fù)雜性。

冶金ICS由于要兼顧成本和便利性，采用的都是通用的集成系統(tǒng)，如Windows7、WindowsXP和Linux。由于冶金過(guò)程停止運(yùn)行成本過(guò)高，所以系統(tǒng)并未定期維護(hù)，導(dǎo)致人們所熟知的系統(tǒng)漏洞隱患一直存留。同時(shí)考慮到更換設(shè)備所造成的成本增加，所以冶金設(shè)備大部分控制站均為兼容機(jī)結(jié)構(gòu)，這些專用設(shè)備可能并未考慮過(guò)安全問(wèn)題，甚至一些控制器并沒(méi)有通信數(shù)據(jù)檢查功能。

由于冶金ICS對(duì)可靠性要求高，導(dǎo)致一些防御攻擊軟件需要經(jīng)過(guò)繁瑣嚴(yán)格的審查流程后才能被允許安裝到ICS中。

上述因素導(dǎo)致冶金ICS面臨較高的安全隱患。

2 ICS安全威脅建模

如圖1所示，PLC處于ICS架構(gòu)的底層，直接控制冶金現(xiàn)場(chǎng)設(shè)備，同時(shí)兼顧通信功能。由于PLC是網(wǎng)絡(luò)和現(xiàn)實(shí)之間的交互點(diǎn)，因此它們一直是網(wǎng)絡(luò)攻擊的主要目標(biāo)。最著名的針對(duì)PLC的攻擊“Stuxnet”對(duì)目標(biāo)ICS造成了物理?yè)p壞。自“Stuxnet”以來(lái)，這些系統(tǒng)缺乏安全性的問(wèn)題已受到越來(lái)越多的關(guān)注。

工業(yè)系統(tǒng)對(duì)PLC工業(yè)控制層次的威脅攻擊可分為3類：①網(wǎng)絡(luò)攻擊，即來(lái)自信息空間的網(wǎng)絡(luò)攻擊，如截取數(shù)據(jù)包并篡改數(shù)據(jù)分組，破壞其完整性；②系統(tǒng)攻擊，注入非法命令或組態(tài)進(jìn)行攻擊，破壞PLC的控制邏輯，使得PLC的邏輯執(zhí)行跳轉(zhuǎn)到攻擊者指定的功能塊上，從而達(dá)到精準(zhǔn)實(shí)施攻擊的目標(biāo)；③惡意代碼攻擊，篡改PLC正常運(yùn)行邏輯，從而使得PLC異常運(yùn)行。

2.1 網(wǎng)絡(luò)威脅建模

目前很多PLC通信協(xié)議缺乏安全機(jī)制，一些不法分子抓住這些漏洞進(jìn)行攻擊。

Lim等記錄了2017年對(duì)施耐德Tricon PLC的調(diào)查，使用逆向工程技術(shù)，確定了Tricon通信協(xié)議的結(jié)構(gòu)，從而對(duì)PLC進(jìn)行攻擊。Martín-Liras等在2017年對(duì)PLC使用的三種專有協(xié)議（S7Comm、UMAS、OptoComm）進(jìn)行了比較分析，對(duì)有關(guān)協(xié)議漏洞的現(xiàn)有信息進(jìn)行了研究。Ghaleb等在2018年的新出版物中記錄了對(duì)S7協(xié)議漏洞的調(diào)查分析，從而進(jìn)行攻擊。

由于冶金工業(yè)生產(chǎn)過(guò)程中需要多個(gè)PLC程序協(xié)同工作，因此可以利用這些相連的PLC，將其中的一個(gè)PLC作為網(wǎng)關(guān)從而滲透整個(gè)ICS。Newman通過(guò)在線瀏覽網(wǎng)頁(yè)對(duì)監(jiān)獄中的值班監(jiān)控進(jìn)行攻擊，雖然這兩者并未直接連接，但這確實(shí)是一個(gè)很容易攻擊的脆弱點(diǎn)。Klick在2015 USABlackHat上指出PLC最脆弱的攻擊點(diǎn)就是那些面向互聯(lián)網(wǎng)的PLC，然后將這些PLC作為網(wǎng)關(guān)來(lái)攻擊那些難以直接攻擊的PLC，從而致使整個(gè)ICS癱瘓。

2.2 系統(tǒng)威脅建模

PLC采用的大多是老舊的操作系統(tǒng)，這些系統(tǒng)在互聯(lián)網(wǎng)高速發(fā)展的時(shí)代早已因千瘡百孔而被淘汰。攻擊者通過(guò)這些操作系統(tǒng)的漏洞就可以輕而易舉地入侵到ICS中，從而攻擊PLC。常見的PLC使用的操作系統(tǒng)如表2所示。

表2 常用PLC的操作系統(tǒng)

Beresford在Black Hat2011上指出，直接攻擊Linux系統(tǒng)就可以連接到Simatic PLC設(shè)備，一旦這些以root權(quán)限運(yùn)行的PLC程序受到攻擊，整體ICS就會(huì)產(chǎn)生巨大的損失。

2.3 惡意代碼威脅建模

PLC的惡意代碼同樣也是ICS安全的核心問(wèn)題之一。周奇榮使用改進(jìn)的KNN算法對(duì)PLC代碼進(jìn)行檢測(cè)，通過(guò)實(shí)驗(yàn)驗(yàn)證了該方法的有效性。常天佑提出了一種基于狀態(tài)驗(yàn)證的PLC惡意代碼檢測(cè)方法，解決了PLC代碼安全嚴(yán)重依賴工程師對(duì)代碼錯(cuò)誤檢測(cè)，缺乏行為檢測(cè)的問(wèn)題。陳志文等利用以太網(wǎng)數(shù)據(jù)監(jiān)控和網(wǎng)絡(luò)數(shù)據(jù)現(xiàn)場(chǎng)管理技術(shù)，檢測(cè)PLC輸入輸出業(yè)務(wù)信息的一致性，實(shí)現(xiàn)PLC惡意代碼檢測(cè)。孟奐等通過(guò)調(diào)查PLC病毒攻擊機(jī)制，引入基于數(shù)據(jù)流分析的惡意PLC代碼檢測(cè)技術(shù)。

3 工業(yè)軟件安全分析

3.1 PLC漏洞

通過(guò)對(duì)工控系統(tǒng)行業(yè)漏洞庫(kù)平臺(tái)網(wǎng)站（http://ivd.winicssec.com）、CNVD工控漏洞子庫(kù)網(wǎng)站（https://ics.cnvd.org.cn）、國(guó)家信息安全漏洞共享平臺(tái)網(wǎng)站（https://www.cnvd.org.cn）和國(guó)家信息安全漏洞庫(kù)網(wǎng)站（http://www.cnnvd.org.cn）中PLC漏洞的收集總結(jié)，將PLC漏洞分為以下十種類型：緩沖器錯(cuò)誤漏洞、安全漏洞、信息泄露漏洞、拒絕服務(wù)漏洞、授權(quán)問(wèn)題漏洞、輸入驗(yàn)證錯(cuò)誤漏洞、跨站腳本漏洞、密碼漏洞的明文存儲(chǔ)、資源管理錯(cuò)誤漏洞及其它漏洞。

這十種PLC漏洞占比如圖2所示，由圖2可知，安全漏洞最常見，占全部漏洞近40%；其次是緩沖器錯(cuò)誤漏洞、拒絕服務(wù)漏洞和授權(quán)問(wèn)題漏洞，這四種漏洞占據(jù)了總漏洞的約80%。

圖2 PLC漏洞類型占比圖

3.1 PLC協(xié)議漏洞檢測(cè)

Fuzzing是目前檢測(cè)PLC協(xié)議漏洞最實(shí)用的方法之一，但是傳統(tǒng)的fuzzing方法存在無(wú)法自動(dòng)獲取協(xié)議、耗時(shí)長(zhǎng)、命中率低、異常定位困難等問(wèn)題。為此，大量學(xué)者做了研究，如黃影等總結(jié)了目前傳統(tǒng)Fuzzing測(cè)試技術(shù)的問(wèn)題，結(jié)合隱馬爾可夫模型、統(tǒng)計(jì)學(xué)、動(dòng)態(tài)抽樣、關(guān)聯(lián)模糊策略、心跳檢測(cè)的存活檢測(cè)方案、Simhash的一致性檢測(cè)方案等方法，提出了改進(jìn)的Fuzzing測(cè)試，以檢測(cè)PLC協(xié)議的漏洞。劉坤通過(guò)研究工控協(xié)議中各個(gè)字段之間的隱藏關(guān)系，設(shè)計(jì)了一種針對(duì)數(shù)據(jù)內(nèi)容、消息、結(jié)構(gòu)等多字段的改進(jìn)Fuzzing技術(shù)，用以檢測(cè)PLC協(xié)議的漏洞。朱振乾等在分析工業(yè)管理系統(tǒng)現(xiàn)狀的基礎(chǔ)上，結(jié)合Wireshark和Nmap軟件對(duì)工業(yè)管理系統(tǒng)進(jìn)行漏洞挖掘及分析，以檢測(cè)PLC協(xié)議的漏洞。

3.2 PLC語(yǔ)法分析

PLC語(yǔ)言由梯形圖、功能塊圖、順序功能流程圖、指令表、結(jié)構(gòu)化文本組成，具體如圖3～圖7所示。

圖3 梯形圖

圖4 功能塊圖

圖5 順序功能流程圖

圖6 指令表

圖7 結(jié)構(gòu)化文本

PLC直接控制著各類物理設(shè)備，PLC因語(yǔ)法錯(cuò)誤導(dǎo)致ICS被攻擊將會(huì)嚴(yán)重威脅設(shè)備甚至人身安全。因此，PLC的安全性保證具有嚴(yán)格的要求，與此同時(shí)，PLC語(yǔ)法分析方法成為了學(xué)者們研究的熱門話題。PLC語(yǔ)法分析方法目前常用的有：模型檢測(cè)、靜態(tài)分析、定理證明、符號(hào)執(zhí)行等。

模型檢測(cè)是一種廣泛使用的用于驗(yàn)證程序有窮狀態(tài)是否滿足預(yù)定義命題性質(zhì)的方法，Darvas等結(jié)合NuSMV和nuXmv模型檢測(cè)方法開發(fā)了一款新型模型檢測(cè)工具PLCverif。

靜態(tài)分析方法主要包括：抽象語(yǔ)法樹分析法、控制流分析法、數(shù)據(jù)流分析法、指針?lè)治龇ǖ?。李學(xué)良等建立基于Backus-Naur范式（BNF）的指令表語(yǔ)法模型構(gòu)造抽象語(yǔ)法樹，該算法檢測(cè)僅有線性復(fù)雜度。張曄等使用控制流分析方法對(duì)PLC程序語(yǔ)法進(jìn)行檢測(cè)，該方法首先用flex和bison構(gòu)造抽象語(yǔ)法樹，然后抽象語(yǔ)法樹生成中間表示SSIR，最后基于SSIR構(gòu)建程序控制流程圖對(duì)PLC程序進(jìn)行檢測(cè)。黃海軍等通過(guò)分析程序點(diǎn)的關(guān)聯(lián)輸入狀態(tài)和關(guān)聯(lián)輸出狀態(tài)變化來(lái)檢測(cè)PLC程序中的問(wèn)題。指針?lè)治龇ㄍㄟ^(guò)指針代碼對(duì)內(nèi)存操作行為進(jìn)行分析，從而檢測(cè)代碼的正確性。由于PLC梯形圖難以轉(zhuǎn)化為結(jié)構(gòu)化文本，王煒新等提出一種基于AOV（activity on vertex）圖和廣義表的轉(zhuǎn)換算法，將PLC梯形圖轉(zhuǎn)化為類匯編語(yǔ)言，解決了PLC梯形圖難以進(jìn)行分析的難題。由于單一的靜態(tài)分析方法對(duì)PLC的檢測(cè)并不全面，常天佑等針對(duì)PLC程序在進(jìn)行NuSMV模型檢測(cè)時(shí)無(wú)法對(duì)程序進(jìn)行自動(dòng)化建模的問(wèn)題，提出一種PLC程序模型自動(dòng)化構(gòu)建方法，該方法首先將結(jié)構(gòu)化文本語(yǔ)言解析為抽象語(yǔ)法樹；其次，基于抽象語(yǔ)法樹進(jìn)行控制流分析，從而生成控制流圖；然后，通過(guò)數(shù)據(jù)流分析生成程序依賴圖；最后，根據(jù)程序依賴圖自動(dòng)生成NuSMV輸入模型。實(shí)驗(yàn)結(jié)果表明，所提方法與傳統(tǒng)手工模型構(gòu)建方法相比，提高了模型生成的效率和準(zhǔn)確率。

Biha等采用定理證明的方法將PLC程序轉(zhuǎn)化為數(shù)學(xué)公式，并用定理證明器進(jìn)行分析與驗(yàn)證。Mclaughlin等利用符號(hào)執(zhí)行的方法分析程序的路徑約束，通過(guò)約束求解計(jì)算滿足目標(biāo)約束的具體值，消除了不可達(dá)路徑的訪問(wèn)，有效解決了PLC程序模型檢測(cè)中狀態(tài)爆炸的問(wèn)題。

4 結(jié)語(yǔ)

本文以冶金工業(yè)為背景，針對(duì)ICS安全進(jìn)行了研究分析，首先對(duì)工業(yè)控制系統(tǒng)進(jìn)行了簡(jiǎn)述，從而對(duì)工業(yè)控制系統(tǒng)安全隱患進(jìn)行研究分析。通過(guò)整理文獻(xiàn)，對(duì)ICS軟件的網(wǎng)絡(luò)、系統(tǒng)和惡意代碼威脅建模進(jìn)行分析總結(jié)，同時(shí)對(duì)PLC常見漏洞進(jìn)行了整理分析。最后對(duì)ICS軟件的PLC語(yǔ)法分析的研究現(xiàn)狀進(jìn)行了分析。