面向工業(yè)嵌入式設(shè)備的漏洞分析方法研究

尚文利 萬(wàn) 明 趙劍明 喬全勝 曾 鵬

(中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所1，遼寧 沈陽(yáng) 110016；中科院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室2，遼寧 沈陽(yáng) 110016；沈陽(yáng)建筑大學(xué)信息與控制工程學(xué)院3，遼寧 沈陽(yáng) 110168)

面向工業(yè)嵌入式設(shè)備的漏洞分析方法研究

尚文利1,2萬(wàn) 明1,2趙劍明1,2喬全勝2,3曾 鵬1,2

(中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所1，遼寧 沈陽(yáng) 110016；中科院網(wǎng)絡(luò)化控制系統(tǒng)重點(diǎn)實(shí)驗(yàn)室2，遼寧 沈陽(yáng) 110016；沈陽(yáng)建筑大學(xué)信息與控制工程學(xué)院3，遼寧 沈陽(yáng) 110168)

目前現(xiàn)役和在售的嵌入式電子設(shè)備大多處于不設(shè)防狀態(tài)，系統(tǒng)安全面臨威脅。針對(duì)工業(yè)嵌入式設(shè)備自身防護(hù)能力較弱的特點(diǎn)，以PLC為例說(shuō)明嵌入式設(shè)備存在的漏洞風(fēng)險(xiǎn)。設(shè)計(jì)了石化液位控制系統(tǒng)，演示了工業(yè)病毒利用漏洞進(jìn)行攻擊的方法與途徑。設(shè)計(jì)了漏洞分析系統(tǒng)，包括工業(yè)協(xié)議狀態(tài)模型、未知漏洞挖掘、已知漏洞掃描、漏洞識(shí)別模型、安全評(píng)估分析和監(jiān)測(cè)與控制等六個(gè)部分，為工業(yè)控制系統(tǒng)漏洞分析系統(tǒng)開(kāi)發(fā)提供了理論方法。

工業(yè)嵌入式設(shè)備 漏洞分析 PLC 工業(yè)病毒 安全測(cè)試

0 引言

嵌入式電子設(shè)備是實(shí)現(xiàn)工業(yè)測(cè)控系統(tǒng)控制功能的核心。以PLC為代表的嵌入式電子設(shè)備自身防護(hù)能力弱，已經(jīng)成為影響我國(guó)工業(yè)控制系統(tǒng)安全的主要問(wèn)題[1-2]?，F(xiàn)役和在售的嵌入式電子設(shè)備大多處于不設(shè)防狀態(tài)，而且可編程嵌入式電子設(shè)備越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，并且全面實(shí)現(xiàn)數(shù)字化和網(wǎng)絡(luò)化，為惡意入侵提供了更多的可能。如2010年出現(xiàn)的伊朗“震網(wǎng)”事件，直接攻擊了西門(mén)子的S7 300和400系列PLC設(shè)備，導(dǎo)致嚴(yán)重的系統(tǒng)安全問(wèn)題[3]。

本文分析了國(guó)內(nèi)外針對(duì)工業(yè)嵌入式設(shè)備漏洞分析的研究工作，闡述了工業(yè)嵌入式設(shè)備漏洞存在的關(guān)鍵因素，以PLC為例說(shuō)明了工業(yè)病毒如何利用漏洞進(jìn)行攻擊。介紹了設(shè)計(jì)與開(kāi)發(fā)的面向工業(yè)嵌入式設(shè)備的漏洞分析系統(tǒng)，以及涉及的關(guān)鍵技術(shù)、求解方法。

1 國(guó)內(nèi)外研究現(xiàn)狀

工業(yè)嵌入式設(shè)備產(chǎn)生安全攻擊的根源在于網(wǎng)絡(luò)、系統(tǒng)、設(shè)備或主機(jī)，甚至管理中存在各種安全漏洞。工業(yè)控制系統(tǒng)自身的漏洞和攻擊面的日益增大也是由于工業(yè)控制系統(tǒng)設(shè)計(jì)時(shí)未考慮安全、長(zhǎng)生命周期、采用商業(yè)IT產(chǎn)品和系統(tǒng)以及同外界連網(wǎng)等趨勢(shì)所導(dǎo)致，因此關(guān)于工業(yè)控制系統(tǒng)的漏洞研究也成為當(dāng)前工業(yè)控制信息安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)。一般可將工業(yè)控制系統(tǒng)的漏洞分為策略和指南漏洞、平臺(tái)漏洞(包括平臺(tái)配置漏洞、平臺(tái)硬件漏洞、平臺(tái)軟件漏洞和平臺(tái)惡意軟件防護(hù)漏洞)和網(wǎng)絡(luò)漏洞(包括網(wǎng)絡(luò)配置漏洞、網(wǎng)絡(luò)硬件漏洞、網(wǎng)絡(luò)邊界漏洞、網(wǎng)絡(luò)監(jiān)測(cè)和記錄漏洞、通信漏洞和無(wú)線連接漏洞)。

目前漏洞分析與挖掘主要集中在操作系統(tǒng)、數(shù)據(jù)庫(kù)軟件和傳輸協(xié)議三個(gè)大方向，還有新興的基于以下幾個(gè)方面的漏洞分析與挖掘，如基于ActiveX的漏洞挖掘、基于即時(shí)通信的漏洞挖掘、基于虛擬技術(shù)的漏洞挖掘、基于設(shè)備硬件驅(qū)動(dòng)的漏洞挖掘、基于移動(dòng)應(yīng)用的漏洞挖掘等。美國(guó)國(guó)土安全部控制系統(tǒng)安全計(jì)劃(CSSP)、美國(guó)能源部國(guó)家SCADA系統(tǒng)測(cè)試床計(jì)劃(NSTB)等根據(jù)其所執(zhí)行的工業(yè)系統(tǒng)評(píng)估發(fā)布了工業(yè)控制系統(tǒng)漏洞分析報(bào)告，詳細(xì)描述了工業(yè)控制系統(tǒng)中的主要共性漏洞、漏洞分類、具體漏洞描述、相關(guān)漏洞來(lái)源以及漏洞評(píng)分方法等。美國(guó)在信息安全方面起步較早，2002年即將“控制系統(tǒng)安全”作為需要“緊急關(guān)注”的事項(xiàng)[4]，并分別于2004年、2006年、2009年發(fā)布相關(guān)計(jì)劃并成立專項(xiàng)[5-8]。歐共體委員會(huì)則在2004年～2010年發(fā)布一系列關(guān)于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的報(bào)告[9-11]。我國(guó)也于2013年建設(shè)成立了工業(yè)控制系統(tǒng)安全技術(shù)國(guó)家工程重點(diǎn)實(shí)驗(yàn)室。由此可見(jiàn)，工業(yè)系統(tǒng)中的安全問(wèn)題已成為世界廣泛關(guān)注的重要問(wèn)題。

在理論研究方面，國(guó)內(nèi)外已有關(guān)于信息安全方面的研究工作。Ten使用攻擊樹(shù)對(duì)一個(gè)工業(yè)SCADA系統(tǒng)的信息安全脆弱性進(jìn)行了評(píng)估[12]。Park[13]利用攻擊樹(shù)模型來(lái)分析一個(gè)反應(yīng)器保護(hù)系統(tǒng)的信息安全。Byres[14]使用攻擊樹(shù)建模方法對(duì)一個(gè)基于Modbus協(xié)議棧的工業(yè)控制SCADA系統(tǒng)的通信系統(tǒng)進(jìn)行了漏洞分析。在威脅建模方面，Howard等人[15]提出了一種面向過(guò)程的威脅建模方法，采用拓展活動(dòng)圖和統(tǒng)一威脅模型作為基礎(chǔ)，利用威脅樹(shù)進(jìn)行威脅模型的建立，用DREAD方法評(píng)估風(fēng)險(xiǎn)等級(jí)。王華忠[16]等人采用攻擊樹(shù)建模方法，建立污水處理廠計(jì)算機(jī)控制系統(tǒng)攻擊樹(shù)模型，對(duì)該控制系統(tǒng)的信息安全進(jìn)行分析，最后提出了提高該控制系統(tǒng)信息安全水平的措施。向騻[17]等人提出了一種改進(jìn)的Fuzzing架構(gòu)，通過(guò)引入置信度的概念對(duì)測(cè)試用例進(jìn)行量化,將其作為分類器的輸入進(jìn)行分類,從而預(yù)先篩選出可能有效的測(cè)試用例,實(shí)現(xiàn)了減少輸入空間、增加命中率的目的。

在安全產(chǎn)品方面，國(guó)際上知名的工業(yè)安全測(cè)試公司主要有加拿大Wurldtech和芬蘭科諾康Codenomicon Defensics。其中加拿大 Wurldtech的Achilles 測(cè)試工具采用的是漏洞掃描和模糊測(cè)試的方法，主要測(cè)試工控系統(tǒng)中設(shè)備和軟件的安全問(wèn)題。芬蘭科諾康Codenomicon Defensics工控健壯性/安全性測(cè)試平臺(tái)，則采用基于主動(dòng)性安全漏洞挖掘的健壯性評(píng)估與管理方案的方法，并與ISA Secure合作，遵循IEC 62443標(biāo)準(zhǔn)。Achilles與Defensics均支持IP網(wǎng)絡(luò)的工業(yè)嵌入式設(shè)備，如PLC、RTU、DCS Controller、SIS、Smart Meter等，并均可對(duì)工控設(shè)備的應(yīng)用層協(xié)議進(jìn)行安全性測(cè)試，支持協(xié)議包括Modbus TCP、Profinet、DNP3、IEC 60870-5-101/104、IEC 61850等。

2 工業(yè)嵌入式設(shè)備漏洞風(fēng)險(xiǎn)

本節(jié)以PLC為例說(shuō)明嵌入式設(shè)備存在的漏洞問(wèn)題。基于美國(guó)國(guó)家漏洞庫(kù)(National Vulnerability Database，NVD)[18]與國(guó)家信息安全漏洞共享平臺(tái)(China National Vulnerability Database，CNVD)[19]兩個(gè)漏洞庫(kù)中關(guān)于PLC設(shè)備的漏洞庫(kù)數(shù)據(jù)，針對(duì)PLC設(shè)備的漏洞信息可以分為拒絕服務(wù)漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、用戶訪問(wèn)權(quán)限漏洞、信息泄漏漏洞四類。

① 拒絕服務(wù)漏洞。如Siemens Simatic S7-1200拒絕服務(wù)漏洞、Siemens Simatic S7-1500 1.x拒絕服務(wù)漏洞、Siemens Simatic S7-1200 PLCs 2.x and 3.x 拒絕服務(wù)漏洞、Siemens Simatic TCP報(bào)文拒絕服務(wù)漏洞、Nano-10 PLC遠(yuǎn)程拒絕服務(wù)漏洞、Galil RIO-47100 'Pocket PLC'組件拒絕服務(wù)漏洞、Schneider Electric M340 PLC模塊拒絕服務(wù)漏洞、Schneider Electric M340 BMXNOE01xx/BMXP3420xx PLC模塊拒絕服務(wù)漏洞、OPTIMA PLC死循環(huán)拒絕服務(wù)漏洞、Triangle Research Nano-10 PLC特制報(bào)文數(shù)據(jù)長(zhǎng)度處理遠(yuǎn)程拒絕服務(wù)漏洞等。

② 遠(yuǎn)程代碼執(zhí)行漏洞。如Siemens Simatic S7-1500存在未明跨站請(qǐng)求偽造漏洞、Siemens Simatic S7-1500重定向漏洞、Siemens Simatic 網(wǎng)絡(luò)服務(wù)器跨站腳本漏洞、Schneider Electric多個(gè)產(chǎn)品跨站請(qǐng)求偽造漏洞等。

③ 用戶訪問(wèn)權(quán)限漏洞。如Siemens Simatic S7 PLC系統(tǒng)密碼泄漏漏洞、Siemens Simatic S7-300硬編碼證書(shū)安全繞過(guò)漏洞、Rockwell Automation RSLogix 5000安全繞過(guò)漏洞、Schneider Electric Modicon M340多個(gè)默認(rèn)賬戶漏洞、Schneider Electric多個(gè)產(chǎn)品不正確驗(yàn)證漏洞等。

④ 信息泄漏漏洞。如Siemens Simatic S7-1200信息泄漏漏洞、Siemens Simatic S7-1500不充分熵漏洞等。

下面以PLC為例說(shuō)明工業(yè)病毒如何利用漏洞進(jìn)行攻擊。石化液位控制系統(tǒng)演示平臺(tái)如圖1所示。

圖1 石化液位控制系統(tǒng)演示平臺(tái)

液位控制系統(tǒng)演示平臺(tái)模擬煉油、化工生產(chǎn)工藝中液體凈化中液位控制過(guò)程。上游凈化罐中液體達(dá)到警戒線后進(jìn)行一次凈化處理，處理完畢后向下游凈化罐輸送，其中，凈化罐中液位在警戒線以上是危險(xiǎn)的。此演示平臺(tái)針對(duì)上位機(jī)軟件的漏洞，模擬“Stuxnet”病毒攻擊的效果，使底層凈化罐設(shè)備液位失控，但是上位機(jī)監(jiān)控畫(huà)面仍然顯示正常。

漏洞信息如表1所示。

表1 SCADA系統(tǒng)漏洞信息

漏洞簡(jiǎn)介：KingView中存在基于堆的緩沖區(qū)溢出漏洞，該漏洞源于對(duì)用戶提供的輸入未經(jīng)正確驗(yàn)證。攻擊者可利用該漏洞在運(yùn)行應(yīng)用程序的用戶上下文中執(zhí)行任意代碼，攻擊失敗時(shí)可能導(dǎo)致拒絕服務(wù)。KingView 6.53.2010.18018版本中存在該漏洞，其他版本也可能受影響。攻擊者可以借助對(duì)TCP端口777的超長(zhǎng)請(qǐng)求執(zhí)行任意代碼。

當(dāng)插入帶有病毒的U盤(pán)后，系統(tǒng)感染工業(yè)病毒，系統(tǒng)運(yùn)行狀態(tài)如圖2所示。

從以上的例子可以得出結(jié)論，由于KingView中存在基于堆的緩沖區(qū)溢出漏洞，病毒利用該漏洞執(zhí)行惡意代碼，使得上位機(jī)人機(jī)接口(human machine interface,HMI)顯示與實(shí)際顯示不符。當(dāng)液位控制系統(tǒng)可能出現(xiàn)液位已經(jīng)超過(guò)警戒線時(shí)，該漏洞的存在可

使在中控室中的HMI仍然顯示正常，在工作人員無(wú)法察覺(jué)的情況下，造成一定的經(jīng)濟(jì)損失，嚴(yán)重時(shí)可能導(dǎo)致重大安全事故。

圖2 系統(tǒng)被病毒感染后運(yùn)行狀態(tài)圖

3 面向工業(yè)嵌入式設(shè)備的漏洞分析方法

通過(guò)以PLC為例說(shuō)明工業(yè)病毒攻擊嵌入式設(shè)備的過(guò)程與結(jié)論，本文設(shè)計(jì)如下的漏洞分析系統(tǒng)，如圖3所示。系統(tǒng)分為工業(yè)協(xié)議狀態(tài)模型、未知漏洞挖掘、已知漏洞掃描、漏洞識(shí)別模型、安全評(píng)估分析和監(jiān)測(cè)與控制軟件等六個(gè)部分。

① 工業(yè)協(xié)議狀態(tài)模型。采用有限狀態(tài)機(jī)(finite state machine,FSM)，建立工業(yè)通信協(xié)議狀態(tài)模型，提供完整的協(xié)議狀態(tài)轉(zhuǎn)移圖，構(gòu)造和維護(hù)全面的協(xié)議狀態(tài)空間，為測(cè)試用例的生成提供基本條件。

圖3 漏洞分析框架

工業(yè)通信協(xié)議的測(cè)試具有特殊性。首先，工業(yè)通信協(xié)議是一種有狀態(tài)的協(xié)議，無(wú)狀態(tài)協(xié)議測(cè)試的測(cè)試用例僅僅是一個(gè)文件或網(wǎng)絡(luò)報(bào)文，而狀態(tài)協(xié)議的測(cè)試用例則是一組相關(guān)的報(bào)文序列。其次，對(duì)工業(yè)通信協(xié)議的測(cè)試需要對(duì)其狀態(tài)空間中的每一個(gè)狀態(tài)進(jìn)行測(cè)試，生成測(cè)試用例需要能夠盡可能地覆蓋所有協(xié)議狀態(tài)路徑。因此，需要在測(cè)試之初，建立完整的工業(yè)協(xié)議狀態(tài)模型，使得測(cè)試用例能夠遍歷每個(gè)協(xié)議狀態(tài)，保障測(cè)試用例的全面性。

協(xié)議狀態(tài)空間如圖4所示。

圖4 協(xié)議狀態(tài)空間

② 未知漏洞挖掘?；诋惓Ｗ儺悩?shù)，通過(guò)工業(yè)通信協(xié)議狀態(tài)模型，構(gòu)造未知漏洞挖掘的Fuzzing測(cè)試用例，挖掘“零日”漏洞，解決工業(yè)通信協(xié)議實(shí)現(xiàn)缺陷的問(wèn)題?；诋惓Ｗ儺悩?shù)的未知漏洞挖掘流圖如圖5所示。

圖5 基于異常變異樹(shù)的未知漏洞挖掘

采用人工分析與計(jì)算機(jī)輔助相結(jié)合的建樹(shù)方法，構(gòu)造異常變異樹(shù)，降低測(cè)試用例規(guī)模，提高執(zhí)行效率。

未知漏洞挖掘框架是一種面向工業(yè)通信協(xié)議規(guī)約的Fuzzing測(cè)試框架。該測(cè)試框架完成了基于缺陷注入的自動(dòng)測(cè)試，通常以大小相關(guān)的部分、字符串、標(biāo)志字符串開(kāi)始或結(jié)束的二進(jìn)制塊等為重點(diǎn)，使用邊界值附近的值對(duì)目標(biāo)進(jìn)行測(cè)試。Fuzzing的輸入可以是完全隨機(jī)的或精心構(gòu)造的。

③ 已知漏洞掃描?；诠I(yè)通信協(xié)議狀態(tài)模型，利用已知漏洞人工分析以及病毒攻擊自動(dòng)模擬的方式，構(gòu)造測(cè)試用例，發(fā)現(xiàn)已知漏洞，排除安全隱患。

利用病毒樣本確認(rèn)攻擊源的行為，通過(guò)序列聯(lián)配方法跟蹤病毒過(guò)程，解決工業(yè)病毒的行為分析、狀態(tài)跟蹤的難題。

自主構(gòu)建工業(yè)控制系統(tǒng)已知漏洞庫(kù)信息，按需提取、分類漏洞攻擊字段信息，如漏洞名稱、漏洞日期、漏洞類型與端口、漏洞確認(rèn)狀態(tài)、漏洞特征值等。通過(guò)專家知識(shí)分析，按照公布的漏洞攻擊字段特征，構(gòu)造攻擊數(shù)據(jù)包，生成測(cè)試用例。

通過(guò)研究病毒行為特征提取與攻擊模擬的方法，根據(jù)網(wǎng)絡(luò)流量情況、具體協(xié)議內(nèi)容、交互模式以及設(shè)備行為，實(shí)現(xiàn)工控環(huán)境特種工業(yè)病毒行為判定。基于工業(yè)通信協(xié)議狀態(tài)模型，提取工業(yè)病毒行為特征，解決工業(yè)病毒的行為分析、狀態(tài)跟蹤的難題，同時(shí)解決人工分析方式難于構(gòu)建工業(yè)病毒利用漏洞的測(cè)試用例生成問(wèn)題。如圖6所示為基于通信協(xié)議的已知漏洞掃描。

圖6 基于通信協(xié)議的已知漏洞掃描

④ 漏洞識(shí)別模型。通過(guò)以太網(wǎng)信號(hào)和工業(yè)特有電平信號(hào)的融合分析，實(shí)現(xiàn)雙重漏洞識(shí)別，全面分析檢測(cè)漏洞測(cè)試反饋信號(hào)，解決電平信號(hào)異常導(dǎo)致的漏報(bào)問(wèn)題。利用非線性回歸校正、自由定標(biāo)校正等方法，構(gòu)建精準(zhǔn)漏洞識(shí)別模型，提高對(duì)目標(biāo)漏洞識(shí)別結(jié)果的準(zhǔn)確性。 漏洞模型識(shí)別如圖7所示。

圖7 漏洞模型識(shí)別

針對(duì)工業(yè)嵌入式設(shè)備的漏洞識(shí)別，較傳統(tǒng)IT增加了特有的電平信號(hào)輸出。電平信號(hào)的正常與否同樣是判斷設(shè)備是否存在漏洞的重要標(biāo)志。通過(guò)以太網(wǎng)信號(hào)和工業(yè)特有電平信號(hào)的融合分析，全面分析檢測(cè)漏洞測(cè)試反饋信號(hào)，解決電平信號(hào)異常導(dǎo)致的漏報(bào)問(wèn)題。

在測(cè)試過(guò)程中，主要研究一種精確的漏洞識(shí)別模型，對(duì)返回應(yīng)答數(shù)據(jù)包與漏洞數(shù)據(jù)庫(kù)中的漏洞特征進(jìn)行比較，監(jiān)測(cè)返回應(yīng)答數(shù)據(jù)包，檢測(cè)電平信號(hào)的阻態(tài)波形，監(jiān)測(cè)電平信號(hào)。通過(guò)校正模型，提高對(duì)被測(cè)目標(biāo)漏洞識(shí)別結(jié)果的準(zhǔn)確率。

⑤ 安全評(píng)估與分析。安全評(píng)估與分析系統(tǒng)主要包括安全漏洞報(bào)告、安全評(píng)估、安全建議三個(gè)部分。已知漏洞掃描與未知漏洞挖掘的測(cè)試結(jié)果，用于生成安全漏洞報(bào)告，提取安全漏洞報(bào)告的屬性信息，用于安全評(píng)估，之后對(duì)安全漏洞給出合理的建議。

安全漏洞報(bào)告通過(guò)可擴(kuò)展標(biāo)志語(yǔ)言(extensible markup language,XML)傳輸測(cè)試結(jié)果，以樹(shù)形方式組織測(cè)試結(jié)果的保存，并提供自動(dòng)保存PDF格式文件功能。

安全評(píng)估先對(duì)被測(cè)對(duì)象資產(chǎn)信息進(jìn)行設(shè)置，同時(shí)自動(dòng)提取安全漏洞報(bào)告中的漏洞信息安全等級(jí)、漏洞信息被利用可能性、漏洞信息生命周期等屬性信息。設(shè)置各個(gè)屬性信息評(píng)估參數(shù)，將測(cè)試發(fā)現(xiàn)的漏洞信息針對(duì)以上各個(gè)屬性進(jìn)行權(quán)重分配。計(jì)算測(cè)試的漏洞信息的評(píng)估結(jié)果，提供整體風(fēng)險(xiǎn)評(píng)估和對(duì)比風(fēng)險(xiǎn)情況呈現(xiàn)。

安全建議首選構(gòu)建輔助決策專家知識(shí)庫(kù)，針對(duì)已知漏洞，通過(guò)漏洞的精確定位獲取已知漏洞庫(kù)中公布的修復(fù)建議。針對(duì)未知漏洞，通過(guò)Fuzzing測(cè)試結(jié)果定位，給出數(shù)據(jù)包應(yīng)用層數(shù)據(jù)構(gòu)造，指導(dǎo)用戶修復(fù)。根據(jù)安全漏洞報(bào)告和安全評(píng)估的結(jié)果，定位問(wèn)題產(chǎn)生的原因，查詢輔助決策專家知識(shí)庫(kù)匹配項(xiàng)，給出修復(fù)建議。

⑥ 監(jiān)測(cè)與控制軟件。監(jiān)測(cè)與控制軟件主要由C/S通信模塊、用戶交互與顯示模塊、核心控制模塊、漏洞管理模塊以及實(shí)時(shí)狀態(tài)監(jiān)測(cè)模塊等部分組成。

C/S通信模塊采用客戶端/服務(wù)器結(jié)構(gòu)，應(yīng)用“請(qǐng)求/響應(yīng)”的應(yīng)答模式，在監(jiān)測(cè)與控制軟件系統(tǒng)與安全測(cè)試儀器之間建立通信信道，完成對(duì)安全測(cè)試儀器的管理、控制和監(jiān)測(cè)。用戶交互與顯示模塊構(gòu)造合理的用戶界面，綜合多模塊功能，實(shí)現(xiàn)與用戶友好的交互和簡(jiǎn)潔的操作。核心控制模塊用于控制變異測(cè)試用例的構(gòu)造，制定測(cè)試的過(guò)程及執(zhí)行步驟，管理測(cè)試報(bào)文的交互流程，并對(duì)測(cè)試用例的工作狀態(tài)進(jìn)行監(jiān)視。漏洞管理模塊基于自主構(gòu)建的已知漏洞庫(kù)，實(shí)現(xiàn)對(duì)已知漏洞庫(kù)的漏洞信息的管理，以及對(duì)漏洞信息的更新、刪除、修改等操作。實(shí)時(shí)狀態(tài)監(jiān)測(cè)模塊在測(cè)試用例執(zhí)行時(shí)，實(shí)現(xiàn)對(duì)被測(cè)對(duì)象活躍狀態(tài)的監(jiān)測(cè)。

4 結(jié)束語(yǔ)

本文以PLC為例分析了嵌入式設(shè)備存在的漏洞問(wèn)題，利用石化液位控制系統(tǒng)闡述了工業(yè)病毒利用漏洞進(jìn)行攻擊的過(guò)程，說(shuō)明了漏洞信息的危害性和潛在的安全威脅。針對(duì)漏洞發(fā)現(xiàn)問(wèn)題，設(shè)計(jì)與開(kāi)發(fā)了面向工業(yè)嵌入式設(shè)備的漏洞分析系統(tǒng)，包括工業(yè)協(xié)議狀態(tài)模型、未知漏洞挖掘、已知漏洞掃描、漏洞識(shí)別模型、安全評(píng)估分析和監(jiān)測(cè)與控制軟件等模塊，為工業(yè)控制系統(tǒng)漏洞分析系統(tǒng)開(kāi)發(fā)提供了理論方法。

[1] 彭勇, 江常青, 謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J].清華大學(xué)學(xué)報(bào):自然科學(xué)版,2012(10):1396-1408.

[2] IEC 62443 Network and system security for industrial-process measurement and control[S].2012.

[3] 蒲石, 陳周國(guó), 祝世雄. 震網(wǎng)病毒分析與防范[J]. 信息網(wǎng)絡(luò)安全, 2012(2): 40-43.

[4] The National Research Council. Making the nation safer: the role of science and technology in countering terrorism[R].Washington DC, USA: the National Research Council, 2002.

[5] United States General Accounting Office. Critical infrastructure protection: challenges and efforts to secure control systems, GAO-04-354[R].Washington DC, USA: General Accounting Office (GAO), 2004.

[6] Eisenhauer J, Donnelly P, Ellis M, et al. Roadmap to secure control systems in the energy sector[R].Washington DC, USA: Energetic Incorporated, the US Department of Energy and the US Department of Homeland Security, 2006.

[7] Department of Homeland Security. National infrastructure protection plan[R].Washington DC, USA: Department of Homeland Security, 2009.

[8] Energy Sector Control Systems Working Group (ESCSWG). Roadmap to achieve energy delivery systems cyber security[R].Washington DC, USA: Office of Electricity Delivery and Energy Reliability, 2011.

[9] Commission of the European Communities, Communication from the Commission to the Council and the European Parliament. Critical infrastructure protection in the fight against terrorism, COM (2004) 702 final[R].Brussels, Belgium: Commission of the European communicaties, 2004.

[10]Commission of the European Communities. Communication from the commission on a european programme for critical infrastructure protection, COM (2006) 786 Final[R].Brussels, Belgium: Commission of the European communicaties, 2006.

[11]Commission of the European Communities. Communication from the commission to the european parliament, the council, The european economic and social committee and the committee of the regions-a digital agenda for Europe, COM (2010) 245 Final[R].Brussels, Belgium: Commission of the European Communicaties, 2010.

[12]Chee-W T, Chen C L. Vulnerability assessment of cybersecurity for SCADA systems using attack trees. Power Engineering Society General Meeting. IEEE,2007:1-8.

[13]Park G Y, Lee C K, Choi J G,et al. Cyber security analysis by attack trees for a reactor protection system [C]//Proceedings of the Korean Nuclear Society, 2008.

[14]Byres E J, Franz Miller. The use of attack trees in assessing vulnerabilities in SCADA system[C]// International Infrastructure Survivability Workshop (IISW’04). Lisbon, Portugal: Institute of Electrical Electronics Engineering, 2008.

[15]Howard M, LeBlanc D.Writing secure code [M].Remond, Washington; Microsoft Press, 2005.

[16]王華忠, 顏秉勇, 夏春明. 基于攻擊樹(shù)模型的工業(yè)控制系統(tǒng)信息安全分析[J]. 化工自動(dòng)化及儀表, 2013(2): 219-221.

[17]向騻, 趙波, 紀(jì)祥敏, 等. 一種基于改進(jìn)Fuzzing架構(gòu)的工業(yè)控制設(shè)備漏洞挖掘框架[J]. 武漢大學(xué)學(xué)報(bào): 理學(xué)版, 2013(5): 411-415.

[18]National Institute of Standards and Techonology.National vulnerability database(NVD)[EB/OL][2014-12-25]. http://nvd.nist.gov.

[19]CNCERT.China national vulnerability database(CNVD)[EB/OL][2014-12-25]. http://www.cnvd.org.cn.

Study on the Vulnerability Analysis Method for Industrial Embedded Devices

At present, most of the embedded electronic devices, active duty or commercial available, are in undefended state, the system security is facing threats. In accordance with the feature of industrial embedded devices, i.e., the self-protection capability is weak, the vulnerability risks exist in embedded devices are described with PLC as example. The level control system for petrochemical industry is designed, and the attack method and path of industrial viruses through loopholes are demonstrated. The vulnerability analysis system is designed, including six parts: industrial protocol state model, unknown vulnerability mining, known vulnerability scanning, vulnerability identification model, security evaluation analysis and monitoring and control; it provides theoretical method for developing vulnerability analysis system of industrial control systems.

Industrial embedded device Vulnerability analysis PLC Industrial virus Security test

TP29;TH6

A

10.16086/j.cnki.issn1000-0380.201510016