煙草行業(yè)工控系統(tǒng)安全監(jiān)測的探討

文/李學勇

近年來，煙草行業(yè)開始進行大規(guī)模技術改造，其中之一就是進行現(xiàn)代化物流系統(tǒng)建設。在該系統(tǒng)中，成套倉儲、分揀設備的自動化運行，全部依賴于工業(yè)控制系統(tǒng)的支持。

由于“兩化融合”的推動和工業(yè)物聯(lián)網(wǎng)的出現(xiàn)，工控網(wǎng)絡不可避免地從封閉走向開放，工控系統(tǒng)與信息系統(tǒng)的集成，給工業(yè)控制網(wǎng)絡的安全帶來了新的風險與挑戰(zhàn)，尤其是以2010年爆發(fā)的“震網(wǎng)”病毒，給工業(yè)控制系統(tǒng)的安全敲響了警鐘。

一、工控系統(tǒng)安全及防護研究現(xiàn)狀

1.工控系統(tǒng)安全現(xiàn)狀

據(jù)工信部相關部門統(tǒng)計，在22個行業(yè)900套工業(yè)控制系統(tǒng)中，主要由國外廠商提供產(chǎn)品，相關系統(tǒng)運維也由廠商直接接管，存在漏洞的國外工業(yè)控制產(chǎn)品大量應用于我國重點領域工業(yè)控制系統(tǒng)，在數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）中分別占據(jù)了55.12%、53.78%及76.79%的份額，在大型可編程控制器（PLC）中則占據(jù)了94.34%的份額。

在現(xiàn)代化煙草物流系統(tǒng)中，成套倉儲、分揀設備的自動化運行，都依賴于工業(yè)控制系統(tǒng)的支持

圖1： 2017年上半年全球范圍內(nèi)工控系統(tǒng)遭遇攻擊分布

圖2：不規(guī)則信號

圖3：傅里葉變換稀疏后正弦基信號

2017年10月，卡巴斯基實驗室通過對各種各樣的信息系統(tǒng)，比如商業(yè)、政府組織、銀行、電信運營商、工業(yè)企業(yè)和個人等的信息系統(tǒng)進行分析，發(fā)布了《2017上半年工業(yè)自動化系統(tǒng)威脅報告》。報告顯示，中國工控系統(tǒng)遭受攻擊程度排在第五位，占比達57.1%。2017年上半年全球范圍內(nèi)工控系統(tǒng)遭遇攻擊分布，如圖1。

2.工控系統(tǒng)安全防護的研究現(xiàn)狀

(1)基礎類

2010年美國國家標準與技術研究所發(fā)布了《工業(yè)控制系統(tǒng)安全指南》，2014年中國頒布了《工業(yè)控制系統(tǒng)信息安全》標準，2016年工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，國家質(zhì)檢總局、國家標準委發(fā)布《工業(yè)通信網(wǎng)絡 網(wǎng)絡和系統(tǒng)安全》相關的6部推薦性國家標準。雖然這些都屬標準和規(guī)范類的內(nèi)容，并沒有提出實際的安全防護機制，但是它們?yōu)楹髞淼陌踩雷o機制的研究提供了指導并奠定了基礎。

(2)策略類

Liao等人提出了一種認證型的MODBUS協(xié)議，一般來說，現(xiàn)在占據(jù)國內(nèi)PLC市場90%以上份額的國外品牌，基本都沒有考慮過協(xié)議安全，因此，Liao等人提出了要對通過協(xié)議的信息進行加密處理。但是，類似于這種對協(xié)議通信進行加密的方式，都需要將已部署好的系統(tǒng)全部或者部分進行重新設計和布置，或者會很大程度增加通信負載，降低實時性。因此，對于實際的工控系統(tǒng)而言，這種基于改變原系統(tǒng)結構的方法都顯得不太實用。

(3)檢測類

比較常用的就是基于異常的網(wǎng)絡入侵檢測，其核心思想是通過網(wǎng)絡流量信息，從正常的活動中識別出異?；顒?。Yong等人提出了一種異常檢測方法，該方法通過分析he提取特征，識別異常活動。其它諸如此類的方法基本都能夠取得較好的異常檢測效果，但它們會消耗大量的網(wǎng)絡資源，因此對工控系統(tǒng)的實時性有較大的影響，所以實際應用情況并不理想。

二、基于旁路信息分析技術的研究思路

為了既不改變原有已部署的工控系統(tǒng)結構，又不要占用有限的網(wǎng)絡資源，我們需要研究一種非侵入式的安全監(jiān)測思路。該研究思路主要由旁路信息采集、特征提取以及異常檢測等三部分組成。其中，旁路信息采集是通過技術手段，對工控系統(tǒng)主控制器PLC在運行中所泄露出來的各種信息進行采集；特征提取是針對采集到的旁路信息進行數(shù)學變換、基信號提取，用于設定正負樣本和分類器；異常檢測則是針對后來的攻擊進行分類器對比，以確定是不是有效攻擊。

1.旁路信息的分析技術

旁路信息是指電子設備在運行過程中泄露出來的與其內(nèi)部運行相關的各種物理信息，如溫度變化、執(zhí)行時間、功率消耗、電磁福射、聲音等信息。利用這些旁路信息，可以識別電子設備的內(nèi)部運行狀態(tài)，這種技術被稱為旁路分析技術。旁路分析技術中，應用比較廣泛的是功耗分析、電磁輻射分析和時間分析，其中功耗分析由于其信息量豐富，受環(huán)境干擾相對較小，并且有分析效果比較好等優(yōu)點，成為目前最有效的一種旁路信息分析方法，本文即以功耗為分析目標。

(1)旁路信息采集可行性探討

工控系統(tǒng)的主控制器PLC是以循環(huán)掃描的方式工作的，一個掃描周期包括內(nèi)部處理、通信服務、輸入刷新、程序執(zhí)行和輸出刷新等五個階段，其執(zhí)行不同的指令集時，會消耗不同的功耗。事實上，PLC的如下特性使得用功耗分析來區(qū)分其內(nèi)部運行的程序成為可能：

a.倉儲、分揀工藝流程設計完成后，除非進行大的技改或者全部重新設計，否則在實際運行中，生產(chǎn)工藝不會經(jīng)常改動，PLC的運行周期、環(huán)境和程序模塊都有規(guī)律可循。

b.工藝固定、程序固定后，PLC的周期掃描工作方式就決定了，雖然是5個不同的階段，但是以周期為單位，每個階段的功耗消耗相對是固定的。

c.由于工控系統(tǒng)的穩(wěn)定性要求，PLC的供電是以模塊式供電，基本都采用廠家的電源轉(zhuǎn)換模塊給機架上其它各模塊進行供電，因此我們可以很方便的在PLC的直流供電端采集CPU的功耗信息，而不需要對其內(nèi)部的硬件或軟件進行修改。

(2)旁路信息采集實現(xiàn)

對于功耗采集，一般有兩種方式，一種是在直流電源端串入互感線圈，一種是并入采集電阻。但是由于互感線圈會收到PLC工作射頻信號的干擾，所以一般采用并入采集電阻，阻值一般在0.1歐姆。而信號采集器，必須支持實時采集、存儲和傳輸，與上位機有良好接口。

2.信息特征的提取

(1)提取原理

根據(jù)傅里葉變換原理，任何一個信號，都可以由一系列正弦函數(shù)表示，比如圖2的不規(guī)則信號。

通過傅里葉變換，我們可以得到圖3的一系列基信號。

當然可能不止4個，可以有更多，越多表示得越準確，這也反過來說明稀疏表示的一個問題，那就是稀疏到什么程度。上述信號，如果只用前2個基信號表示的話，肯定會差很多，用前3個表示會好一些。然而另一個問題可以看出，用兩個表示，極其稀疏，表示起來也簡單，但是效果差，用n個，很不稀疏，但是效果好，所以一個信號到底要稀疏表示到什么程度，這是一個變化的參數(shù)。

(2)提取算法

從原理闡述可以看出，任何一個信號都已分解為一系列基信號，這就是信號的特征庫，為了更好地區(qū)分程序運行的正常樣本和帶有攻擊的異常樣本，就需要得到一組具有區(qū)分度，而且無信息冗余的特征值組合。而對于組合優(yōu)化問題而言，基于傅里葉變換的稀疏編碼算法是一個很好的解決方案。

3.異常檢測

當我們提取了合適的信號特征庫后，就能建立起可用的信號樣本。對于常用的檢測攻擊方法，都是將后續(xù)采集到的信號通過特征提取后，和原始建立的分類器進行對比，以此來判斷是否存在攻擊情況。然而，難點在于，我們在初始設計時，是無法采集到攻擊情況下的信號特征值的，也就是負樣本的采集率為零，這就只能基于正樣本采集和訓練進行檢測的過程變得困難，因為我們需要獲取足夠多的正常樣本。在獲取正常樣本后，通過比較待測樣本與正常樣本之間的差距來實現(xiàn)異常檢測。基于長短記憶單元（LSTM）的神經(jīng)網(wǎng)絡模型克服了遞歸神經(jīng)網(wǎng)絡中的梯度消失和梯度爆炸問題，被證明在異常檢測領域也有很好的效果，因此可以采用LSTM來實現(xiàn)對攻擊的檢測。

工控系統(tǒng)的主控制器PLC是以循環(huán)掃描的方式工作的，一個掃描周期包括內(nèi)部處理、通信服務、輸入刷新、程序執(zhí)行和輸出刷新等五個階段，其執(zhí)行不同的指令集時，會消耗不同的功耗。

三、總結

本文針對當前工控系統(tǒng)遭到嚴重安全威脅的情況，研究了一種基于旁路分析技術的工控系統(tǒng)安全監(jiān)測思路，介紹了旁路信息分析技術、旁路信息采集實現(xiàn)、特征值提取方法、算法以及異常檢測算法等。該思路有別于其他介入式檢測方法，對原始硬件系統(tǒng)和軟件架構影響極小，對于工控安全防護具有較好的參考價值。