工业控制系统行为审计方案设计与部署

胡晨+陈凯

摘要摘要：随着工业化与信息化的不断融合，工业控制系统引入了大量IT技术，工控系统安全问题日趋严重。工控系统与IT系统存在本质性差异。通过对工控系统安全威胁进行详细分析，设计了工控系统异常监测安全事件智能分析架构，提出了工控系统安全审计方案。该系统能实现工控系统异常行为监测和安全事件智能分析，实现了安全可视化。

关键词关键词：工业控制系统；行为审计；智能分析；信息安全

DOIDOI：10.11907/rjdk.162241

中图分类号：TP319文献标识码：A文章编号文章编号：16727800（2017）001012004

引言

伴随着工业化和信息化融合发展，大量IT技术被引入现代工业控制系统。网络设备、计算设备、操作系統、嵌入式平台等多种IT技术在工控系统中的迁移应用已经司空见惯。然而，工控系统与IT系统存在本质差异，差异特质决定了工控系统安全与IT系统安全不同。

（1）工控系统的设计目标是监视和控制工业过程，主要是和物理世界互动，而IT系统主要用于与人的交互和信息管理。电力配网终端可以控制区域电力开关，类似这类控制能力决定了安全防护的效果。

（2）常规IT系统生命周期往往在5年左右，因此系统的遗留问题一般都较小。而工控系统的生命周期通常有8～15年，甚至更久，远大于常规IT系统，对其遗留的系统安全问题必须重视。相关的安全加固投入涉及到工业领域商业模式的深层次问题（如固定资产投资与折旧）。

（3）工控系统安全遵循SRA（Safety、Reliability和Availability）模型，与IT系统的安全模型CIA（Confidentiality、Integrity和Availability）迥异。IT安全的防护机制需要高度的侵入性，对系统可靠性、可用性都有潜在的重要影响。因此，现有的安全解决方案很难直接用于工控系统，需要深度设计相关解决方案，以匹配工控系统安全环境需求[12]。

1工控系统安全威胁及成因

工业控制系统安全威胁主要有以下几个方面[35]：

（1）工业控制专用协议安全威胁。工业控制系统采用了大量的专用封闭工控行业通信协议，一直被误认为是安全的。这些协议以保障高可用性和业务连续性为首要目的，缺乏安全性考虑，一旦被攻击者关注，极易造成重大安全事件。

（2）网络安全威胁。TCP/IP 协议等通用协议与开发标准引入工控系统，使得开放的工业控制系统面临各种各样的网络安全威胁[67]。

早期工业控制系统为保证操作安全，往往和企业管理系统相隔离。近年来，为了实时采集数据，满足管理需求，工业控制系统通过逻辑隔离方式与企业管理系统直接通信，而企业管理系统一般连接Internet，这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临来自Internet的威胁。在公用网络和专用网络混合的情况下，工业控制系统安全状态更加复杂。

（3）安全规程风险。为了优先保证系统高可用性而把安全规程放在次要位置，甚至牺牲安全来实现系统效率，造成了工业控制系统常见的安全隐患。以介质访问控制策略为代表的多种隐患时刻威胁着工控系统安全。为实现安全管理制定符合需求的安全策略，并依据策略制定管理流程，是确保ICS 系统安全性和稳定性的重要保障。

（4）操作系统安全威胁。工业控制系统有各种不同的通用操作系统（Window、Linux）以及嵌入式OS，大量操作系统版本陈旧（Win95、Win me、Win2K等）。鉴于工控软件与操作系统补丁存在兼容性问题，系统上线和运行后一般不会对平台打补丁，导致应用系统存在很大的安全风险。

（5）终端及应用安全风险。工业控制系统终端应用大多固定不变，系统在防范一些传统的恶意软件时，主要在应用加载前检测其完整性和安全性，对于层出不穷的新型攻击方式和不断改进的传统攻击方式，采取这种安全措施远远不能为终端提供安全保障。因此，对静态和动态内容必须进行安全完整性认证检查。

2审计方案设计及关键技术

2.1系统总体架构

本方案针对工控系统面临的五大安全威胁，建立了基于专用协议识别和异常分析技术的安全审计方案，采用基于Fuzzing的漏洞挖掘技术，利用海量数据分析，实现工控系统的异常行为监测和安全事件智能分析，实现安全可视化，系统框架如图1所示。

电力、石化行业工业控制系统行为审计，主要对工业控制系统的各种安全事件信息进行采集、智能关联分析和软硬件漏洞挖掘，实现对工业控制系统进行安全评估及安全事件准确定位的目的[89]。

审计系统采用四层架构设计，分别是数据采集层、信息数据管理层、安全事件智能分析层和安全可视化展示层。其中数据采集层通过安全代理、镜像流量、抓取探测等方式，监测工控网络系统中的服务日志、通信会话和安全事件。多层部署采用中继隔离方式单向上报采集信息，以适应各种网络环境。信息数据管理层解析MODBUS、OPC、Ethernet/IP、DNP3、ICCP等各种专用协议，对海量数据进行分布式存储，优化存储结构和查询效率，实现系统数据层可伸缩性和可扩展性。智能分析层通过对异构数据的分析结果进行预处理，采用安全事件关联分析和安全数据挖掘技术，审计工控系统应用过程中的协议异常和行为异常。安全综合展示层，对安全审计结果可视化，呈现工业控制系统安全事件，标识安全威胁，并对工业控制系统安全趋势作出预判。

2.2审计系统关键技术及实现

2.2.1专用协议识别和异常分析技术

系统实现对各种常见协议智能化识别，并且重组恢复通信数据，在此基础上分析协议数据语义，进而识别出各种通信会话和系统事件，最终达到审计目的[1011]。

2.2.2核心组件脆弱性及漏洞挖掘技术

基于Fuzzing的漏洞挖掘技术，实现工业控制系统核心组件软硬件漏洞挖掘，及时发现并规避隐患，使之适应当前的安全环境。Fuzzing技术将随机数据作为测试输入，对程序运行过程中的任何异常进行检测，通过判断引起程序异常的随机数据进一步定位程序缺陷 [12-14]。

Fuzzing测试架构如图2所示。

通用漏洞挖掘技术无法完全适应工控系统及网络的特殊性，无法有效挖掘漏洞，部分漏洞扫描软件还会对工控系统和网络造成破坏，使工控系统瘫痪。本文结合电力、石化行业工控系统特点，研究设计了工控行业专用Fuzzing漏洞挖掘技术和方法，解决了漏洞探测技术的安全性和高效性问题，实现了工业控制协议（OPC/Modbus/Fieldbus）和通用协议（IRC/DHCP/TCP）等漏洞Fuzzing工具、應用程序的FileFuzzing、针对ActiveX的COMRaider和AxMan、操作系统内核的Fuzzing工具应用，构建了通用、可扩展的Fuzzing框架，涵盖多种ICS系统组件。ICS系统测试组件众多，具有高度自动化的Fuzzing漏洞挖掘系统可以大大提高漏洞挖掘效率。生成的测试用例既能有效扩展Fuzzing发现漏洞的范围，又可避免产生类似于组合测试中常见的状态爆炸情况[15]。采用代理模块（Peach、Sulley）负责监测对象异常，实现并行Fuzzing以提高运行效率；还可以将引擎和代理分离，在不同的机子上运行，用分布式应用程序分别进行Fuzzing测试。

2.2.3异常行为检测技术

针对工控系统的异常行为检测，本方案采用海量数据和长效攻击行为关联分析技术，内容如下：

（1）建立工业控制系统环境行为架构，检查当前活动与正常活动架构预期的偏离程度，由此判断和确认入侵行为，诊断安全事件。

（2）研究行为异常的实时或准实时在线分析技术，缩短行为分析时间，快速形成分析报告。

（3）基于DPI技术，对网络层异常行为安全事件进行检测分析。基于海量数据处理平台实现对数据包的深度实时/离线分析，从而有效监测工控设备的异常流量，进而有效监测多种网络攻击行为[16]。

（4）应用层异常行为检测。应用层异常行为安全事件检测围绕工业控制系统软件应用展开，该功能基于应用层数据收集结果进行，支持运行状态分析检测、指令篡改分析检测、异常配置变更分析检测等。

（5）系统操作异常行为安全事件检测。系统攻击检测基于海量日志分析技术进行，在检测整个系统安全状态的同时，以大规模系统运行状态为模型，发掘出有悖于系统正常运行的各种信息，支持系统安全事件反向查询，并详细描述系统的运行轨迹，为系统攻击防范提供必要信息。

（6）异常行为安全事件取证。基于安全检测平台所提供的多维度多时段网络安全数据信息进行异常行为安全事件取证，有效支持对单点安全事件的获取，达到安全事件单时段、多时段、分时段提取，进而支撑基于事实数据的安全取证功能。

2.2.4安全事件智能分析技术

方案把工业控制系统海量安全事件的智能关联分析、安全评估、事件定位及回溯相关分析技术应用于分析系统，并且基于不同的粒度进行安全态势预警。

（1）安全事件聚合。采用聚类分析模型，将数据分析后的IDS、防火墙等网络设备产生的大量重复或相似的安全事件进行智能聚合，并设计不同条件进行归并，从而将大量重复的无用信息剔除，找到安全事件发生的本质原因。

（2）安全事件关联。系统将安全事件基于多个要素进行关联，包括将同源事件、异源事件、多对象信息进行关联，从而在多源数据中提取出一系列相关安全事件序列，通过该安全事件序列，对事件轮廓进行详细刻画，充分了解攻击者的攻击手段和攻击步骤，从而为攻击防范提供知识准备[17]。

2.2.5安全可视化

安全可视化是一项综合展现技术，其核心是为用户提供工控系统安全事件审计全局视图，进行安全状态追踪、监控和反馈，为决策者提供准确、有效的参考信息，并在一定程度上减小制定决策所花费的时间和精力，尽可能减少人为失误，提高整体管理效率。

安全可视化包括报表、历史分析、实时监控、安全事件、安全模型5大类。其中，历史分析包括时序分析、关联图、交互分析和取证分析。实时监控重点通过仪表盘来表现。3安全事件评估

通过以上安全应用分析，能够对安全事件形成从点到面、多视角的分析结果，对安全事件带来的影响进行分级，包括高危级、危险级、中级、低级4个级别，使网络管理者更好地将精力集中于解决对网络安全影响较大的问题。4安全态势预警

为对网络安全态势进行全面评估，建立如图3所示的全方位多层次异角度的安全态势评估基本框架，分别进行更为细粒度的网络安全态势评估，评估内容如下：

（1）基于专题层次的网络态势评估。评估各具体因素，这些具体因素都会不同程度影响工业控制系统安全，根据威胁内容分为资产评估、威胁评估、脆弱性评估和安全事件评估4个模块，每个模块根据评估范围分为3种不同粒度。威胁评估包含了单个威胁评估、某一类威胁评估和整个网络威胁状况评估3种不同粒度的安全分析。

（2）基于要素层次的网络态势评估。全方位对安全要素程度进行评估，体现网络各安全要素重要程度，包括保密性评估、完整性评估以及可用性评估。

（3）基于整体层次的网络态势评估。综合评估工业控制系统安全状况，对不同层次采用不同方法进行评估。采用基于隐Markov模型、Markov博弈模型和基于指数对数分析的评估技术，对安全态势的3个安全要素进行评估，评估所有与态势值相关的内容；基于指数对数分析评估技术，实现由单体安全态势得到整体安全态势，具体参数根据不同目的和网络环境进行设置。

5工业控制系统审计方案部署

本项目要符合电力、石化行业工业控制系统特点，提供高可用、可扩展和高性能解决方案。系统包含数据采集器、数据存储服务器、安全审计分析服务器等核心组件，如图4、图5所示。

（1）数据采集器是工业控制系统的末梢单元，是审计系统与工业控制各种设备、终端的信息接口。数据采集器数量依据工控终端规模进行分布式动态扩展。特定工控采集环境下，硬件数据采集器辅助探针软件协同工作。

（2）数据存储服务器用以存储采集和分析计算处理后的海量数据。数据存储服务器以弹性扩展集群方式组成海量数据存储平台。

（3）安全审计分析服务器负责数据处理、安全事件分析、漏洞挖掘等高性能安全计算和结果展示，是审计系统的计算中心。

6结语

本文通过研究工业控制系统专用通信协议的智能化识别和分析技术，实现了常见协议的智能化识别，方便对工控系统异常行为进行检测。采用海量数据和长效攻击行为关联分析技术，进行安全评估、事件定位及回溯，以达到对工业控制系统安全状况进行审计的目的。参考文献：

[1]张帅. 工业控制系统安全风险分析[J]. 信息安全与通信保密， 2012（3）：1519.

[2]夏春明， 刘涛， 王华忠，等. 工业控制系统信息安全现状及发展趋势[J]. 信息安全与技术， 2013， 4（2）：1318.

[3]唐一鸿， 杨建军， 王惠莅. SP80082《工业控制系统（ICS）安全指南》研究[J]. 信息技术与标准化， 2012（Z1）：156159.

[4]STOUFFER K A， FALCO J A， SCARFONE K A.Guide to industrial control systems （ICS） security：supervisory control and data acquisition （SCADA） systems， distributed control systems （DCS）， and other control system configurations such as programmable logic controllers （PLC）[M]. National Institute of Standards & Technology， 2011.

[5]US DEPARTMENT OF COMMERCE， NIST. Guide to industrial control systems（ICS） securitysupervisory control and data acquisition （SCADA） systems，distributed control systems （DCS）， and other control system configurations such as Programmable Logic Controllers （PLC）[Z]. 2011.

[6]席荣荣， 云晓春， 金舒原，等. 网络安全态势感知研究综述[J]. 计算机应用， 2012， 32（1）：14.

[7]XI R， JIN S， YUN X， et al. CNSSA： a comprehensive network security situation awareness system[C]. IEEE， International Conference on Trust， Security and Privacy in Computing and Communications. IEEE Computer Society， 2011：482487.

[8]陈庄， 黄勇， 邹航. 工业控制系统信息安全审计系统分析与设计[J]. 计算机科学， 2013， 40（S1）：340343.

[9]CHEN Z. Analysis and design of ICS information security audit system[J]. Computer Science， 2013（5）：4549.

[10]GENGE B， HALLER P， KISS I. Cybersecurityaware network design of industrial control systems[J]. IEEE Systems Journal， 2015（2）：112.

[11]PENG Y， WANG Y， XIANG C， et al. Cyberphysical attackoriented Industrial Control Systems （ICS） modeling， analysis and experiment environment[C].International Conference on Intelligent Information Hiding and Multimedia Signal Processing. IEEE， 2015.

[12]吳志勇， 王红川， 孙乐昌，等. Fuzzing技术综述[J]. 计算机应用研究， 2010， 27（3）：829832.

[13]YAO G， GUAN Q， NI K. Test model for security vulnerability in web controls based on fuzzing[J]. Journal of Software， 2012， 7（4）：116120.

[14]LIU A Y， YAO L F. Cointegration analysis on the relation between urbanization and economic growth in China[J]. Asian Agricultural Research， 2011， 3（3）：154 158.

[15]GODEFROID P， LEVIN M Y， MOLNAR D. SAGE： whitebox fuzzing for security testing[J]. Queue， 2012， 10（3）：4044.