基于網(wǎng)絡(luò)流量異常監(jiān)測(cè)的工業(yè)控制系統(tǒng)安全技術(shù)研究★

郭 慶，寧玲玲

（1.濟(jì)南沃茨數(shù)控機(jī)械有限公司，山東 濟(jì)南 250001；2.山東工程職業(yè)技術(shù)大學(xué)，山東 濟(jì)南 250200）

引言

隨著工業(yè)化和通信化進(jìn)程的不斷加快，在生產(chǎn)過(guò)程中越來(lái)越多地使用信息技術(shù)，目前工業(yè)化控制系統(tǒng)正在大力應(yīng)用于各領(lǐng)域中，包括化學(xué)，發(fā)電和水利等領(lǐng)域，其中幾乎90%是依靠ICS執(zhí)行自動(dòng)化任務(wù)，ICS已經(jīng)成為我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，而ICS的安全性則與國(guó)家的戰(zhàn)略安全息息相關(guān)。

1 流量異常檢測(cè)方法

網(wǎng)絡(luò)流量異常是指網(wǎng)絡(luò)流量偏離正常操作的情況，網(wǎng)絡(luò)流量異常主要包括網(wǎng)絡(luò)設(shè)備錯(cuò)誤，網(wǎng)絡(luò)拓?fù)渥兓瑦阂饩W(wǎng)絡(luò)攻擊等，這幾種原因會(huì)干擾網(wǎng)絡(luò)流量的正常運(yùn)行。因此，有必要建立正常的流量標(biāo)準(zhǔn)，根據(jù)正常運(yùn)行模型的某些參數(shù)，以檢測(cè)并識(shí)別網(wǎng)絡(luò)流量模型異常。下文就工業(yè)控制系統(tǒng)安全技術(shù)中基于網(wǎng)絡(luò)流量異常監(jiān)測(cè)的方法，分為3類(lèi)。

1.1 基于信號(hào)處理的流量異常檢測(cè)方法

該方法的使用，對(duì)實(shí)現(xiàn)流量中的異常狀態(tài)監(jiān)測(cè)有主要意義，可細(xì)化到單時(shí)間序列、多時(shí)間序列等不同信號(hào)處理技術(shù)。其中單時(shí)間序列分析以一維信號(hào)流，實(shí)現(xiàn)時(shí)域分析技術(shù)（例如基于統(tǒng)計(jì)分析和波形分析技術(shù)）來(lái)檢測(cè)流量異常[1]。而多時(shí)間序列分析是將所有流量信號(hào)都視為2維信號(hào)，并使用2維信號(hào)分析來(lái)檢測(cè)流量有無(wú)異常，例如基本主成分分析法。

1.2 基于業(yè)務(wù)量建模的流量異常檢測(cè)方法

網(wǎng)絡(luò)流量異常狀況下，流量特性可隨之變化。通過(guò)建立網(wǎng)絡(luò)流量模型，將其作為流量異常檢測(cè)基礎(chǔ)，以識(shí)別流量不同變化，自相似模式、多分型模型、層疊模型等為流量異常檢測(cè)中的可行性技術(shù)。

1.3 基于機(jī)器學(xué)習(xí)的流量異常檢測(cè)方法

該技術(shù)方法，在實(shí)現(xiàn)對(duì)流量的監(jiān)測(cè)上，通過(guò)使用機(jī)器學(xué)習(xí)等技巧性方法來(lái)達(dá)到創(chuàng)建系統(tǒng)映像的效果，將正常操作用作訓(xùn)練數(shù)據(jù)，并檢測(cè)流量異常變化情況?；跀?shù)據(jù)挖掘的檢測(cè)技術(shù)，基于網(wǎng)絡(luò)的異常檢測(cè)方法和基于免疫學(xué)理論的異常檢測(cè)方法是此類(lèi)檢測(cè)方法的典型代表。

2 基于網(wǎng)絡(luò)流量異常監(jiān)測(cè)的工業(yè)控制系統(tǒng)安全技術(shù)研究

2.1 Stuxnet攻擊流量模擬

2.1.1 震網(wǎng)（Stuxnet）病毒事件

Stuxnet病毒是一個(gè)席卷全球工業(yè)界的病毒，為首個(gè)專(zhuān)門(mén)定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲(chóng)”病毒；在核電站、水壩、國(guó)家電網(wǎng)等環(huán)節(jié)發(fā)揮了突出的應(yīng)用效果。其主要感染途徑為，通過(guò)連接U盤(pán)連接主機(jī)，為典型的計(jì)算機(jī)病毒自我復(fù)制，且將副本通過(guò)網(wǎng)絡(luò)傳輸，任何一臺(tái)個(gè)人電腦一旦與染毒電腦相連，均會(huì)被感染。

當(dāng)Stuxnet感染W(wǎng)indows計(jì)算機(jī)時(shí)，將嘗試在本地網(wǎng)絡(luò)中傳播，試圖與外部網(wǎng)絡(luò)上的控制服務(wù)器建立通信，并且嘗試攻擊工業(yè)網(wǎng)絡(luò)上裝有WinCC軟件的工作站。當(dāng)感染的工作站連接到PLC時(shí)，Stuxnet工作站會(huì)以PLC模式發(fā)送惡意代碼，這些代碼會(huì)對(duì)此設(shè)備發(fā)送命令，啟動(dòng)相關(guān)程序使設(shè)備失去正?？刂啤Ｔ赟tuxnet第一次攻擊伊朗時(shí)，就是造成離心機(jī)高速運(yùn)轉(zhuǎn)使程序失去控制，并且還出現(xiàn)故障等一系列的安全問(wèn)題。受Stuxnet攻擊環(huán)節(jié)，主要基于工業(yè)控制系統(tǒng)來(lái)實(shí)施攻擊行為，以此達(dá)到對(duì)工業(yè)控制系統(tǒng)的流量異常監(jiān)測(cè)。

Stuxnet旨在將受感染的USB驅(qū)動(dòng)器緩慢滲透到裝有WinCC軟件的工作站中，然后連接到PLC時(shí)，惡意代碼將被相應(yīng)地部署進(jìn)PLC中，PLC可在短時(shí)間內(nèi)向核電站蒸汽閥門(mén)進(jìn)行重復(fù)開(kāi)關(guān)命令，以在鈾濃縮的形勢(shì)，在離心機(jī)快速加減速?zèng)_擊中，以此造成機(jī)器物理?yè)p害。加之可編程邏輯控制器（PLC）僅用Stuxnet僅可編程邏輯控制器（PLC），因此無(wú)法在實(shí)驗(yàn)中激活當(dāng)前的控制系統(tǒng)。

因此，本文根據(jù)ESET的Stuxnet代碼報(bào)告，通過(guò)現(xiàn)場(chǎng)設(shè)備操作來(lái)模擬SteixNet在攻擊時(shí)的網(wǎng)絡(luò)通信行為。因系統(tǒng)輸出后，主要起到了數(shù)字信息以及模擬信息的輸入、輸出等作用；蠕蟲(chóng)病毒出現(xiàn)后，使得計(jì)算機(jī)感染病毒的幾率越來(lái)越大；而在系統(tǒng)感染Stuxnet病毒后，受潛伏期影響，故模仿難度較大[2]。

2.1.2 Stuxnet攻擊模擬

Stuxnet攻擊模擬設(shè)計(jì)環(huán)節(jié)，通過(guò)創(chuàng)建模擬核電廠(chǎng)網(wǎng)絡(luò)，配備Stuxnet作為安全防御工具。Stuxnet使用過(guò)的每個(gè)感染、傳播和隱藏切入點(diǎn)，來(lái)確定最佳措施能阻止惡意軟件感染。一階單容上水箱設(shè)備結(jié)構(gòu)圖如圖1所示。一階單容上水箱在于通過(guò)對(duì)靈敏閥的開(kāi)度大小控制來(lái)保持水箱中的水位達(dá)到一定高度，該過(guò)程相對(duì)簡(jiǎn)單，并且沒(méi)有磨損設(shè)備。

精餾塔的精餾過(guò)程是借助于塔設(shè)備來(lái)實(shí)現(xiàn)氣液相間的質(zhì)量傳遞，精餾操作既可采用板式塔也可采用填料塔。其結(jié)構(gòu)設(shè)計(jì)如圖2一階單容上水箱設(shè)備結(jié)構(gòu)圖所示。在水蒸餾中，精餾塔以其壓力控制、液位和溫度控制等來(lái)達(dá)到影響氣液分離的效果，其中氣液分離也會(huì)直接關(guān)乎產(chǎn)品控制的質(zhì)量、參數(shù)。液位控制包括塔釜液位控制、流罐液位控制。且前者需控制水位，并需穩(wěn)定在一定的水平值內(nèi)，一旦滿(mǎn)了就會(huì)把入口淹沒(méi)，如果沒(méi)有達(dá)到一定水位就會(huì)導(dǎo)致液化氣蒸干，因此會(huì)對(duì)整個(gè)塔造成極大損害。回流罐液位須保持恒定高度，以避免回流泵抽空引發(fā)的停泵事件，造成整個(gè)塔無(wú)法正常工作，如果滿(mǎn)了則會(huì)造成塔內(nèi)氣液無(wú)法冷卻，塔中的壓力會(huì)迅速升高，導(dǎo)致安全閥可能會(huì)跳閘，塔的正常運(yùn)行受到影響。

基于結(jié)構(gòu)設(shè)計(jì)的攻擊目標(biāo)通過(guò)控制塔釜液位進(jìn)料泵、回流罐液位回流計(jì)量泵、塔釜加熱閥等作為重要結(jié)構(gòu)設(shè)計(jì)標(biāo)準(zhǔn)。在實(shí)驗(yàn)中，按照控制蒸餾水和液位的過(guò)程，將水從水箱中排出，將輸送管閥門(mén)的出水閥門(mén)和進(jìn)水閥門(mén)打開(kāi)，并設(shè)置不小于15cm液位高度。蒸餾水的生產(chǎn)過(guò)程中，對(duì)兩個(gè)精餾塔的PID閥值設(shè)置需同意，且將其從室溫開(kāi)始、至全速加熱到設(shè)定的80℃。根據(jù)工藝流程圖將熱敏板溫度設(shè)置在60℃，塔釜液位的水位約為25 cm，為了能夠重復(fù)進(jìn)行實(shí)驗(yàn)，設(shè)定實(shí)驗(yàn)初始溫度不小于80℃，以達(dá)到模擬工廠(chǎng)正常工作環(huán)境，餾段溫度達(dá)到37℃開(kāi)始截取。

根據(jù)Stuxnet攻擊原理對(duì)其進(jìn)行加熱，以保持恒定的蒸餾溫度，由上位機(jī)將惡意代碼發(fā)送到控制器，改變每個(gè)閥的開(kāi)度，從而使閥完全打開(kāi)或關(guān)閉，并且可以不違背工業(yè)網(wǎng)絡(luò)攻擊持續(xù)時(shí)間較短的原理。本章中的實(shí)驗(yàn)實(shí)質(zhì)上是從三階段來(lái)模擬Stuxnet攻擊，對(duì)塔釜加熱閥的異常操作中，囊括上位機(jī)回流計(jì)量泵閥門(mén)故障、PLC程序等的異常監(jiān)測(cè)，還有進(jìn)料泵的異常三個(gè)方面。

2.2 流量異常檢測(cè)

自回歸積分滑動(dòng)平均模型（Autoregressive Integrated Moving Average Model，簡(jiǎn)記ARIMA）時(shí)間序列（Time-series Approach）預(yù)測(cè)方法對(duì)預(yù)測(cè)正常流量順序、預(yù)測(cè)三組流量序列環(huán)節(jié)，預(yù)測(cè)的長(zhǎng)度大約為5個(gè)周期長(zhǎng)度，也就是40 s，差異性表現(xiàn)在攻擊流量、預(yù)測(cè)流量上。單一預(yù)測(cè)點(diǎn)時(shí)間序列值大于95%的置信區(qū)間，為判斷預(yù)測(cè)點(diǎn)真實(shí)性，從PLC塔釜加熱閥程序異常模擬實(shí)驗(yàn)伊始，受PLC控制程序從上位機(jī)傳輸?shù)絇LC，因此程序的加載時(shí)會(huì)迅速增加流量，然后會(huì)出現(xiàn)流量的周期變化與正常序列不同[3]。

2.3 異常檢測(cè)方法的適用性分析

通過(guò)干擾或攻擊正常的程序，以在ICS中達(dá)到破壞物理功能的目的。外部網(wǎng)絡(luò)或U盤(pán)上的病毒不容易檢測(cè)到，而且十分容易更改被控對(duì)象的某些參數(shù)，這些參數(shù)會(huì)通過(guò)工業(yè)網(wǎng)絡(luò)傳輸，并且在攻擊成功后還會(huì)造成網(wǎng)絡(luò)流量發(fā)生改變。針對(duì)工業(yè)控制系統(tǒng)的攻擊類(lèi)型多樣：浪涌攻擊、幾何攻擊、偏差攻擊較為常見(jiàn)。浪涌攻擊是攻擊者使用ICS造成的最大傷害。幾何攻擊是指攻擊者試圖經(jīng)過(guò)長(zhǎng)時(shí)間干擾對(duì)系統(tǒng)造成最大傷害。首先，要確定攻擊者的攻擊行為中的攻擊類(lèi)型并不容易，在潛伏期內(nèi)攻擊可能會(huì)突然對(duì)系統(tǒng)造成重大損害。以下是針對(duì)三種類(lèi)型攻擊中，基于周期性ARIMA模型的異常檢測(cè)方法分析如下所述。

2.3.1 浪涌攻擊

浪涌攻擊是使攻擊者嘗試對(duì)ICS造成最大的損害，當(dāng)攻擊者對(duì)系統(tǒng)進(jìn)行攻擊時(shí)，可直接影響ICS正常功能，而ICS系統(tǒng)為保證系統(tǒng)正常運(yùn)行，從而采取一些措施。由于攻擊影響，因此流量波動(dòng)也會(huì)迅速地發(fā)生變化，例如激增等比較明顯的波動(dòng)或者不同于原來(lái)流量波動(dòng)的波動(dòng)規(guī)律，ARIMA模型可以準(zhǔn)確顯示工業(yè)控制網(wǎng)絡(luò)中的正常流量順序，這類(lèi)流量異常通常與正常流量有很大差異，該方法可以快速地檢測(cè)出流量異常，可以迅速進(jìn)行攻擊防治，避免進(jìn)一步的造成系統(tǒng)破壞。

2.3.2 偏差攻擊

偏差攻擊會(huì)影響控制系統(tǒng)的有效性，并且總是會(huì)有一些小的干擾因素。當(dāng)這些干擾相對(duì)較小時(shí)，對(duì)ICS的影響較小，損壞也較小。因此，乘積季節(jié)ARIMA模型的應(yīng)用也會(huì)變得更加難以檢測(cè)。如果攻擊行為造成多處的破壞，那么攻擊造成的損害較大，對(duì)ICS產(chǎn)生很大的影響，這可能會(huì)對(duì)整個(gè)工業(yè)控制系統(tǒng)都造成不可磨滅的影響。此時(shí)，運(yùn)用ARIMA模型對(duì)檢測(cè)流量異常變化的價(jià)值突出。

2.3.3 幾何攻擊

攻擊者的行為在攻擊開(kāi)始時(shí)具有極大的察覺(jué)難度，同時(shí)因其潛伏性，故可對(duì)系統(tǒng)造成極大破壞。Stuxnet攻擊屬于這種類(lèi)型。在早期，網(wǎng)絡(luò)的異常變化通常很小，不容易被ARIMA模型檢測(cè)出來(lái)，并且網(wǎng)絡(luò)流量的異常變化通常取決于爆發(fā)階段，因此ARIMA模型也可以起到很好的檢測(cè)效果。

3 結(jié)語(yǔ)

隨著工業(yè)化的發(fā)展，信息技術(shù)的在工業(yè)控制領(lǐng)域中發(fā)揮了愈加明顯的效果，對(duì)我國(guó)的基礎(chǔ)設(shè)施建設(shè)發(fā)揮了至關(guān)重要的作用。在工業(yè)控制網(wǎng)絡(luò)的安全與國(guó)家戰(zhàn)略安全環(huán)節(jié)，為滿(mǎn)足工業(yè)化的需求提供了動(dòng)力。在工業(yè)控制網(wǎng)絡(luò)從封閉型發(fā)展到開(kāi)放型環(huán)節(jié)，隨即也出現(xiàn)了各種安全問(wèn)題，例如惡意軟件攻擊、信息泄露等，通過(guò)進(jìn)行網(wǎng)絡(luò)流量異常的監(jiān)測(cè)，可以有效地保障工業(yè)控制系統(tǒng)的安全性。