1　工業(yè)控制系統安全的問(wèn)題與挑戰

工業(yè)控制系統如SCADA系統、DCS系統和PLC等目前已廣泛應用于工業(yè)、能源、交通、水利以及市政等國家關(guān)鍵基礎設施領(lǐng)域，是工業(yè)自動(dòng)化的核心中樞神經(jīng)。近年來(lái)，隨著(zhù)工業(yè)化和信息化融合的深度和廣度不斷加強，工業(yè)信息化的程度不斷加大，工業(yè)設備與互聯(lián)網(wǎng)的互聯(lián)互通面積就不斷增大，互聯(lián)網(wǎng)的惡意攻擊也就隨之而來(lái)。2010年第一款針對工控系統的病毒——震網(wǎng)病毒出現；2013年的斯諾登事件把網(wǎng)絡(luò )安全上升到了國家安全的高度；2015年底烏克蘭電網(wǎng)遭受攻擊，導致數百萬(wàn)人在黑暗中渡過(guò)圣誕節。2016年以來(lái)接連發(fā)生了以色列電力系統被入侵、俄羅斯黑客公開(kāi)發(fā)布“SCADA Pass”工控軟硬件設備默認密碼清單等一系列工控安全事件，工控安全警鐘已經(jīng)敲響。

為保障工業(yè)控制系統的信息安全，2011年9月工業(yè)和信息化部專(zhuān)門(mén)發(fā)文《關(guān)于加強工業(yè)控制系統信息安全管理的通知》(工信部協(xié)[2011]451號)，強調加強工業(yè)信息安全的重要性、緊迫性，并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全的管理要求。如何對工業(yè)控制系統進(jìn)行有效的安全防護，并滿(mǎn)足行業(yè)監管機構的要求，成為大多數行業(yè)用戶(hù)迫切需要解決的問(wèn)題。

針對來(lái)自外部的網(wǎng)絡(luò )攻擊、移動(dòng)介質(zhì)擺渡攻擊以及系統內部人員可能的誤操作、違規操作或惡意破壞性操作等安全風(fēng)險，很有必要對工控網(wǎng)絡(luò )的訪(fǎng)問(wèn)行為、協(xié)議內容、操作指令等進(jìn)行監控與審計，對高風(fēng)險和異常行為進(jìn)行識別和告警。

2　工控網(wǎng)絡(luò )異常感知系統中應用的異常檢測技術(shù)

睿航至臻公司研發(fā)的工控網(wǎng)絡(luò )異常感知系統作為一種安全預警產(chǎn)品，能夠在安全事件發(fā)生之前，對網(wǎng)絡(luò )中的異常行為、異常流量、惡意代碼、錯誤參數與指令進(jìn)行預警，從而避免安全事件的發(fā)生，將工控系統的安全風(fēng)險降到最低。

工控網(wǎng)絡(luò )異常感知系統以時(shí)間、空間和特征為基礎，對網(wǎng)絡(luò )流量和網(wǎng)絡(luò )行為進(jìn)行多維度、細粒度的分析，通過(guò)工業(yè)視圖和網(wǎng)絡(luò )拓撲視圖相結合的雙視圖監控機制（如圖1所示），可同時(shí)對工業(yè)過(guò)程情況和網(wǎng)絡(luò )通訊指令及行為進(jìn)行監控，呈現工控系統流量和行為，實(shí)現網(wǎng)絡(luò )連接拓撲結構和網(wǎng)絡(luò )運行狀況的可視化，并進(jìn)行對比分析，為對不符合業(yè)務(wù)流程的行為進(jìn)行檢測及APT攻擊研判提供有力支撐。

圖1 雙視圖監控

2.1　網(wǎng)絡(luò )行為異常檢測技術(shù)

工控網(wǎng)絡(luò )異常感知系統以工控系統設備資產(chǎn)為基礎，以基于工業(yè)控制系統深度分析技術(shù)為核心，智能學(xué)習網(wǎng)絡(luò )業(yè)務(wù)行為，自動(dòng)為網(wǎng)絡(luò )合規業(yè)務(wù)行為安全建模，實(shí)現對網(wǎng)絡(luò )行為和業(yè)務(wù)操作的合規檢測，從而從合規的角度保證客戶(hù)網(wǎng)絡(luò )的業(yè)務(wù)安全。對可疑網(wǎng)絡(luò )行為進(jìn)行實(shí)時(shí)監控，全量存儲，多層次、多角度的關(guān)聯(lián)分析和比對分析，以發(fā)現違規行為，挖掘安全威脅源頭。如違規的私自接入和外聯(lián)、違規的內網(wǎng)非法連接、攻擊產(chǎn)生的虛假I(mǎi)P發(fā)現、可疑主機發(fā)現和異常的網(wǎng)絡(luò )流量發(fā)現等。

（1）工控資產(chǎn)設備異常檢測技術(shù)

主動(dòng)和被動(dòng)相結合的設備精準識別和拓撲自動(dòng)發(fā)現技術(shù)，對工控資產(chǎn)及網(wǎng)絡(luò )進(jìn)行實(shí)時(shí)監控，并建立IP資產(chǎn)基線(xiàn)。系統可對非法設備的接入及時(shí)發(fā)現并報警。同時(shí)，通過(guò)異常行為分析技術(shù)，進(jìn)一步核對資產(chǎn)設備的IP地址網(wǎng)絡(luò )信息、活躍狀態(tài)、協(xié)議流量分布、應用信息、會(huì )話(huà)信息等信息。

（2）工控系統網(wǎng)絡(luò )秩序異常檢測技術(shù)

通過(guò)靈活的黑白灰策略配置和自學(xué)習技術(shù)，系統可智能梳理業(yè)務(wù)系統各個(gè)資產(chǎn)間的訪(fǎng)問(wèn)關(guān)系，自動(dòng)生成業(yè)務(wù)訪(fǎng)問(wèn)拓撲圖，形成業(yè)務(wù)訪(fǎng)問(wèn)行為關(guān)系基線(xiàn)，能夠從業(yè)務(wù)行為的關(guān)系、方向、頻率、時(shí)間不同維度，來(lái)分析判斷業(yè)務(wù)訪(fǎng)問(wèn)行為是否異常。通過(guò)采用黑、白、灰名單機制，判定某個(gè)流行為是否合規。

（3）網(wǎng)絡(luò )端口通信異常檢測技術(shù)

當報文采集單元的某個(gè)有流量的網(wǎng)絡(luò )端口在指定時(shí)間內沒(méi)有收到任何流量，系統能夠對網(wǎng)絡(luò )端口通信超時(shí)（中斷）進(jìn)行預警。

（4）基于協(xié)議深度識別的網(wǎng)絡(luò )行為分析技術(shù)

系統可以對工控協(xié)議進(jìn)行深度內容解析和識別，對協(xié)議中的工控指令和用戶(hù)行為進(jìn)行細粒度抽取，與業(yè)務(wù)和工藝過(guò)程進(jìn)行關(guān)聯(lián)，并進(jìn)行對比分析，從而有效支撐對不符合業(yè)務(wù)流程的行為進(jìn)行檢測。

2.2　網(wǎng)絡(luò )流量異常檢測技術(shù)

工控網(wǎng)絡(luò )異常感知系統提供網(wǎng)絡(luò )流量異常檢測功能，可以按照特定場(chǎng)景的連接頻次變化、上下行流量變化，動(dòng)態(tài)分析出當前時(shí)刻網(wǎng)絡(luò )流量的正常運行態(tài)勢，并通過(guò)與實(shí)時(shí)流量進(jìn)行對比，判斷出當前流量的走勢是否異常。通過(guò)圖形化的流量實(shí)時(shí)運行曲線(xiàn)，實(shí)現工控系統實(shí)時(shí)流量與異常流量的可視化。

（1）網(wǎng)絡(luò )線(xiàn)路流量與速率異常檢測技術(shù)

基于時(shí)間，按照同比和環(huán)比，系統可對網(wǎng)絡(luò )流量的速率進(jìn)行統計分析、查看、預警，并統計線(xiàn)路的總計流量、最大速率、平均速率、最大利用率和平均利用率。

（2）網(wǎng)絡(luò )資產(chǎn)設備流量與速率異常檢測技術(shù)

基于地址和端口，按照歷史流量基線(xiàn)，系統可對網(wǎng)絡(luò )流量統計分析、查看、預警，并統計資產(chǎn)設備的總計流量、最大速率、平均速率、最大利用率和平均利用率。

（3）網(wǎng)絡(luò )協(xié)議流量與速率異常檢測技術(shù)

基于應用層、傳輸層、網(wǎng)絡(luò )層協(xié)議對上下行流量進(jìn)行分析、查看、預警，系統能夠統計協(xié)議的總流量、總數據包個(gè)數、上下行流量、數據包及其占比。如應用層的GOOSE、MMS、SSH、HTTPS等，傳輸層的TCP和UDP，網(wǎng)絡(luò )層的IP、ICMP等。

系統能夠對告警和各種可視化圖標中信息進(jìn)行下鉆，對流量進(jìn)行追溯，直至對原始pcap報文下載進(jìn)行人工分析，為事后取證、責任落實(shí)提供依據。同時(shí)，通過(guò)流行為和安全事件進(jìn)行交叉關(guān)聯(lián)分析技術(shù)，系統可發(fā)現更深層次的入侵和違規，并精細化事件優(yōu)先級。

2.3　網(wǎng)絡(luò )惡意代碼檢測技術(shù)

工控網(wǎng)絡(luò )異常感知系統能夠對病毒、蠕蟲(chóng)、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等含有惡意代碼的攻擊行為進(jìn)行安全檢測，惡意代碼特征庫中包含3000多條惡意代碼特征條目，能夠精準地發(fā)現電力工控系統中出現的惡意代碼攻擊行為。

系統能夠針對工業(yè)控制系統PLC、DCS等控制設備漏洞攻擊行為進(jìn)行識別和預警；能夠對工業(yè)控制系統中的HMI、SCADA應用軟件漏洞攻擊行為進(jìn)行識別和預警；能夠對工業(yè)控制系統中常用的工控協(xié)議，如Modbus、OPC、IEC、PROFINET等工控協(xié)議的漏洞攻擊行為進(jìn)行識別和預警。

2.4　工控報文異常檢測技術(shù)

工控通信網(wǎng)絡(luò )報文已經(jīng)成為智能設備間信息交互和共享的主要方式，網(wǎng)絡(luò )報文的發(fā)送端、接收端及通信網(wǎng)絡(luò )異?；蚬收暇赡軐е码娏ο到y重大事故，因此需要將網(wǎng)絡(luò )報文進(jìn)行有效監視、記錄、解析，還原為對工控系統動(dòng)作行為，監視工控系統的網(wǎng)絡(luò )系統的健康狀態(tài)、分析和預警網(wǎng)絡(luò )安全故障，提前發(fā)現通信網(wǎng)絡(luò )的薄弱環(huán)節和故障設備，預防電力系統事故的發(fā)生，保障電力工控系統的安全可靠運行。

（1）工控協(xié)議的DPI深度解析技術(shù)

系統通過(guò)DPI深度解析技術(shù)可對Modbus、OPC、IEC104、IEC61850等工業(yè)通信協(xié)議進(jìn)行解析。

（2）工控網(wǎng)絡(luò )報文異常檢測技術(shù)

系統通過(guò)對網(wǎng)絡(luò )報文序列異常與內容異常檢測，分析電力工控系統網(wǎng)絡(luò )與功能的異常預警。

（3）工控系統配置與網(wǎng)絡(luò )行為檢測技術(shù)

工控系統設備根據自身的配置發(fā)送數據，工控網(wǎng)絡(luò )異常感知系統一旦檢測到設備網(wǎng)絡(luò )行為與配置不一致，便進(jìn)行預警。

2.5　工控系統安全建模技術(shù)

工控網(wǎng)絡(luò )異常感知系統自動(dòng)學(xué)習工控系統的業(yè)務(wù)行為，包括網(wǎng)絡(luò )秩序、流量大小、資產(chǎn)設備、工控指令與參數，建立工控系統所在環(huán)境的白名單安全模型，一旦出現非白名單的行為與內容，進(jìn)行安全預警。

（1）行為列表建模

對關(guān)鍵路徑、關(guān)鍵資源的業(yè)務(wù)訪(fǎng)問(wèn)鏈路、協(xié)議、流量、時(shí)間等進(jìn)行實(shí)時(shí)監控，具備行為列表功能，可按有連接無(wú)數據、廣播包、行為的合規狀態(tài)等特殊條件對列表內容進(jìn)行篩選，可在訪(fǎng)問(wèn)行為的基礎上制定檢測策略，可對訪(fǎng)問(wèn)行為進(jìn)行源目的IP、源目的端口和協(xié)議等字段進(jìn)行聚類(lèi)分析。

（2）行為拓撲建模

對關(guān)鍵路徑、關(guān)鍵資源的業(yè)務(wù)訪(fǎng)問(wèn)鏈路、協(xié)議、流量、時(shí)間等進(jìn)行實(shí)時(shí)拓撲展示，拓撲節點(diǎn)可以下鉆，拓撲節點(diǎn)和拓撲連線(xiàn)可以表示網(wǎng)絡(luò )流量和流速的大小，可以按IP地址、合規狀態(tài)、流量和流速等條件進(jìn)行交互式地查詢(xún)過(guò)濾。

（3）資產(chǎn)分析建模

對資產(chǎn)會(huì )話(huà)數量、資產(chǎn)總體數量、新發(fā)現資產(chǎn)告警、資產(chǎn)活躍情況、資產(chǎn)告警和分布進(jìn)行總體分析。

（4）業(yè)務(wù)分析建模

以業(yè)務(wù)系統為維度，可自定義需要關(guān)注的應用，進(jìn)行可視化拓撲展現，支持流量、流速和訪(fǎng)問(wèn)關(guān)系的呈現。

3　工控網(wǎng)絡(luò )異常感知系統客戶(hù)價(jià)值

3.1　及時(shí)發(fā)現網(wǎng)絡(luò )攻擊，減少系統停機時(shí)間

工控網(wǎng)絡(luò )異常感知系統能夠實(shí)時(shí)檢測出針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、用戶(hù)違規操作、非法設備接入以及蠕蟲(chóng)、病毒等惡意軟件的傳播并實(shí)時(shí)報警，幫助客戶(hù)及時(shí)采取應對措施，減少系統停車(chē)時(shí)間。

3.2　為安全事故的調查，提供詳實(shí)的數據支持

工控網(wǎng)絡(luò )異常感知系統能夠詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，并且提供了簡(jiǎn)便易用的回溯功能，為工業(yè)控制系統的安全事故調查提供了堅實(shí)的基礎和手段，改變以往工業(yè)控制系統出了安全事故無(wú)法取證、調查無(wú)從下手的被動(dòng)局面。

3.3　通過(guò)網(wǎng)絡(luò )通信可視化，提高工控網(wǎng)絡(luò )運維效率

工控網(wǎng)絡(luò )異常感知系統通過(guò)將工控網(wǎng)絡(luò )的通信行為可視化，并提供友好的用戶(hù)界面，人性化的統計報表，極大地提高了企業(yè)工控網(wǎng)絡(luò )管理的效率，使企業(yè)工控網(wǎng)絡(luò )管理簡(jiǎn)單易行，從而降低工控網(wǎng)絡(luò )的運維成本。

4　結束語(yǔ)

工控網(wǎng)絡(luò )異常感知系統采用網(wǎng)絡(luò )拓撲和工業(yè)過(guò)程監控的雙視圖監控，能夠實(shí)時(shí)檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)誤操作、用戶(hù)違規操作、非法設備接入以及蠕蟲(chóng)、病毒等惡意攻擊并給出實(shí)時(shí)報警，同時(shí)詳實(shí)、準確記錄工業(yè)控制網(wǎng)絡(luò )中發(fā)生的各種行為和操作，為事后分析、問(wèn)題查找和事故追責等提供記錄和依據。工控網(wǎng)絡(luò )異常感知系統是專(zhuān)門(mén)針對工業(yè)控制網(wǎng)絡(luò )的信息安全監控與異常檢測系統，可應用于電力、石油石化、精密制造、軌道交通等多個(gè)行業(yè)。

作者簡(jiǎn)介：

張曄，男，現任北京睿航至臻科技有限公司能源事業(yè)部總經(jīng)理，兼任工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟專(zhuān)家委員會(huì )委員，有18年信息安全從業(yè)經(jīng)驗。主要成果：發(fā)明了 “現場(chǎng)運維審計與管理系統”和“動(dòng)態(tài)安全保障體系模型”，發(fā)表過(guò)如《工業(yè)控制系統安全體系架構與管理平臺》、《論信息系統安全“四化”建設》、《信息安全動(dòng)態(tài)保障體系建設探討》、《工控系統安全理念與解決方案》、《生產(chǎn)企業(yè)信息系統安全技術(shù)指引》等二十幾篇論文或文章，其中《信息系統等級保護安全設計方案》榮獲國家信息安全標準優(yōu)秀應用案例獎。

摘自《自動(dòng)化博覽》2019年4月刊