工業控制系統漏洞掃描與挖掘技術研究

孫易安++胡仁豪

【 摘 要 】 文章分析了工業控制系統漏洞來源、現狀及分類，指出了針對已知漏洞掃描的技術和未知漏洞挖掘的動態、靜態分析技術。通過工業控制系統漏洞掃描與挖掘技術可以對工業控制系統中漏洞進行檢測，并提前進行安全防護，避免因工業控制系統漏洞被利用造成嚴重后果。

【 關鍵詞 】 工業控制系統；工控安全；安全漏洞；漏洞掃描；漏洞挖掘

【 中圖分類號 】 TP309

【 文獻標識碼 】 A

Research on Vulnerability Scanning and Discovering Technology of Industrial Control System

Sun Yi-an Hu Ren-hao

（Beijing KuangEn Network Co.， Ltd. Beijing 100191）

【 Abstract 】 This article analyzes the source， present situation and classification of industrial control system vulnerabilities， and points out the technology of dynamic and static analysis of known vulnerability scanning and unknown vulnerability discovering. Industrial control system vulnerability scanning and discovering technology can be used in the industrial control system to detect vulnerabilities and security protection in advance， to avoid vulnerability in industrial control system was exploited to cause serious consequences.

【 Keywords 】 industrial control system； industrial control system security； security vulnerability； vulnerability scanning； vulnerability discovering

1 引言

工業控制系統漏洞是在其生命周期的各個階段（設計、實現、運維等過程）中引入的某類問題，比如設計階段引入的一個設計的非常容易被破解的加密算法，實現階段引入的一個代碼緩沖區溢出問題，運維階段的一個錯誤的安全配置，這些都有可能最終成為工業控制系統漏洞，這些漏洞會對工業控制系統的安全（可用性、完整性、機密性）產生嚴重影響。

當工業控制網絡遭受攻擊時，無論是攻擊操作系統或底層控制器設備，還是利用網絡協議和病毒進行攻擊，歸根結底都是利用各類工業控制系統安全漏洞的來完成的。同時，入侵途徑可以通過辦公網絡、互聯網或者是虛擬的專網、撥號連接、“可信”的第三方連接、無線網絡、公共通信設施等。即使現場設備不接入任何網絡，是一個“孤島”的狀態，仍有可能受到通過可移動存儲和工程師維護使接入設備所傳播的惡意軟件利用工業控制系統安全漏洞進行攻擊。

2 工業控制系統漏洞現狀

近幾年，走進公眾視線的工業控制網絡安全問題越來越多，尤其在2010年震網事件之后，工業控制網絡安全事件呈現穩步增長的趨勢，2015年被ICS-CERT收錄的攻擊事件達到了295件。如圖1所示。

據統計，從2012年到 2015年，互聯網上總共披露的工業控制系統漏洞近千個。這些漏洞涵蓋了大多數知名工控設備生產廠家的產品，并且大部分是中高危類型漏洞 （高危：47%， 中危47%）涉及到的工業控制設備、系統包括SCADA、DCS、PLC、工業控制網絡交換機、防火墻、路由器等。工業控制系統被發現的漏洞呈現總體上升的趨勢，但由于工業控制系統漏洞具有更高的價值，仍有大量的工業控制系統漏洞已被發現，卻未被曝光，因此實際的工控漏洞數量應超出統計。在這些已公布漏洞中，SCADA、HMI、PLC、工業交換機等占曝光的漏洞數的前幾位。截至2015年底，我們以中國國家信息安全漏洞共享平臺所發布的2015年新增漏洞信息[CNVD]，共整理出2015年新增的工業控制系統相關的漏洞108個。如圖2所示。

3 工業控制系統漏洞分類

工業控制系統漏洞分類按設備在工控系統的位置分為上位機漏洞（操作系統漏洞、應用軟件漏洞），下位機漏洞（協議漏洞、后門、HMI漏洞）；按設備、系統類型分為軟件漏洞，遠程終端單元（RTU）漏洞，PLC漏洞，網絡設備（交換機、路由器、防火墻等）漏洞，其他設備漏洞；按漏洞產生原因分為緩沖區溢出，DLL劫持，固件后門，提權，暴力破解，安全繞過，包回放攻擊，明文密碼傳輸，Web類安全漏洞（遠程命令執行、SQL注入、代碼注入、文件包含、任意文件上傳、跨站腳本、跨站偽造請求）等。

4 工業控制系統漏洞掃描與挖掘技術

目前工業控制系統漏洞挖掘集中在操作系統、工控協議、Activex控件、文件格式、Web HMI、數據庫、固件后門、移動應用等幾個方向。其中操作系統、工控協議、Activex控件、文件格式、數據庫這些漏洞的挖掘用到的主要是模糊測試技術；固件后門、移動應用等漏洞挖掘更多是靜態分析技術和逆向技術；Web HMI可以使用模糊測試和靜態分析技術。

4.1 工業控制系統漏洞掃描技術

工業控制系統漏洞掃描技術，首先收集和分析形成專業的工業控制系統安全漏洞指紋庫，庫中包含相關已公布工控漏洞的指紋信息如固件版本、通訊協議、漏洞特征信息等，當進行掃描時，根據被測設備的型號、固件、通訊協議等指紋信息進行檢測規則的自動匹配，從而檢測是否存在已知漏洞。漏洞掃描技術除了進行已知漏洞特征匹配功能還包括工控通信協議支持、存活判斷、端口掃描、服務識別、操作系統判斷等，同時具備PLC、DCS、SCADA等工業控制系統和軟件識別功能。

4.2 工業控制系統漏洞挖掘技術

4.2.1動態測試技術

針對工業控制系統的動態測試技術是指在工業控制系統運行狀態下，通過基于工業控制協議的模糊測試、風暴測試、雙向測試等進行漏洞挖掘的方法。

模糊測試是一種通過向目標輸入大量非預期的數據，并監控目標以期發現安全漏洞的一種技術。模糊測試是一種自動或半自動化的技術，這個技術需要反復的不斷的向目標設備進行輸入。

在工業控制系統上進行未知漏洞挖掘主要是基于工業控制協議的模糊測試技術，基于工業控制協議的模糊測試技術是指針對工業控制系統的通信協議進行突變或分析協議特點構造特定的包，然后發送給工控協議上位機服務器或下位機，監控被測目標響應，根據響應的異常來進行漏洞挖掘。基于工控協議的模糊測試是在深入理解各個工控協議規約特征的基礎上生成輸入數據和測試用例去遍歷協議實現的各個方面，包括在數據內容、結構、消息、序列中引入各種異常。同時，挖掘過程中需引入了大數據分析和人工智能算法，將初始的變形范圍主要集中在該廠商設備最容易發生故障的范圍內進行密集測試，測試中動態追蹤被測設備的異常反應，智能選擇更有效的輸入屬性構造新樣本進行測試。

雙向測試技術是一種基于突變的強制性模糊測試方法，這種方法通過在已有數據樣本基礎上插入或修改變異字節來改變正常工業控制系統中上位機和目標設備間的交互數據，并同時監視上位機和目標設備的狀態。

風暴測試技術是通過在短時間內向目標設備發送大量完全相同數據包的一種壓力測試，目標設備處理能力可能根據包發送頻率改變而改變，薄弱的目標設備將在風暴測試中因為無法處理大量數據而出現無法響應等故障。測試時發包的速率將從低到高逐漸增加，最終得出目標設備的最大抗壓值。

4.2.2靜態分析技術

針對工業控制系統的靜態分析技術，是指在工業控制系統在非運行狀態下，進行漏洞挖掘的技術，包括靜態代碼審計、逆向分析，二進制補丁比對等通用漏洞挖掘方法。

靜態代碼審計：指使用靜態代碼審計工具結合人工代碼審計的方法分析軟件、系統源代碼，從而發現軟件、系統漏洞的方法。該方法只能適用于提供源碼的工業控制系統的檢測。

逆向分析：指通過固件分析工具對固件解壓，逆向匯編二進制代碼，分析二進制代碼函數及其邏輯，通過這些綜合手段挖掘固件、二進制可執行程序安全漏洞的方法。

二進制補丁對比：當工業控制系統廠商發現漏洞之后提供了修復漏洞的補丁，但并沒有公布該漏洞。這個時候，可以使用二進制程序比對工具。通過比較補丁和原程序的不同點，可以發現原程序的安全漏洞。

5 結束語

工業控制系統安全漏洞的威脅性主要體現在被惡意利用后導致的各類后果。如果攻擊者利用工業控制系統中存在的漏洞入侵，輕則使操作系統某些功能不能正常使用，重則會盜取大量用戶隱私信息，控制和破壞關鍵基礎設施的硬件設備，造成巨大的經濟損失和人員傷亡，甚至威脅到國家安全。

因此，針對工業控制系統中漏洞要及時進行安全檢測和提前發現，可以通過上述的漏洞掃描和挖掘技術進行檢測。同時，一旦在工業控制系統中發現漏洞，就需要立刻進行漏洞修復。根據漏洞的性質及特點，可以采取打軟件補丁、進行安全加固和防范、調整配置或者移除等方法進行漏洞修補。

參考文獻

[1] 2015年工業控制網絡安全態勢報告[R].匡恩網絡，2016.

[2] Michael Sutton，Adam Greene，Pedram Amini. Fuzzing： Brute Force Vulnerability Discovery. 1st Edition[M]. USA： Addison-Wesley， 2007.

[3] Guideto Industrial Control Systems（ICS） Security[S]. NIST SP800-82.

[4] Industrial Network and System Security[S]. ISA/IEC 62443.

[5] CNVD [EB/OL]. http：//www.cnvd.org.cn/.

[6] CNNVD [EB/OL].http：//www.cnnvd.org.cn/.

作者介紹：

孫易安（1972-），男，天津人，漢族，畢業于北京大學，本科，學士學位，匡恩技術委員會主席兼首席戰略官；主要研究方向和關注領域：信息網絡及工業網絡安全相關技術和產品。

胡仁豪（1984-），男，漢族，安徽天長人，畢業于中國石油大學，碩士，北京匡恩網絡科技有限責任公司產品總監；主要研究方向和關注領域：安全漏洞掃描與漏洞挖掘技術。