電力工控系統網絡入侵和攻擊典型模型研究

郭志民,呂　卓,陳　岑

(國網河南省電力公司電力科學研究院，河南 鄭州 450052)

0　引言

隨著“大云物移”等新技術在電力系統的應用以及智能電網的發展，電力工控系統中大量使用智能設備、嵌入式操作系統和各種專用協議，具有集成度高、行業性強、內核不對外開放、數據交互接口無法進行技術管控等特點[1-2]。傳統的安全防護手段(如防火墻、入侵檢測、安全漏洞探測、虛擬專用網等技術)在應對黑客攻擊的過程中發揮了巨大的作用，但是在層出不窮的網絡攻擊技術面前，這些傳統的安全防御手段顯得有些力不從心。對網絡入侵行為和網絡攻擊技術進行充分的了解和透徹的研究是確保電力工控系統網絡安全的關鍵[3]。深入研究其原理、方法和規律，建立入侵和攻擊的模型，對于特定應用環境下的重要信息獲取以及工控系統應用安全監控具有重要的理論意義和實用價值[4]。

1　現狀分析

近年來，網絡攻擊的方式和方法已經從早期的粗糙、單一的攻擊方法發展到今天的復雜、綜合的攻擊方法。從以口令破解、泛洪式拒絕服務和特洛伊木馬為主，發展到當前以網絡信息探測、網絡漏洞探測、網絡欺騙攻擊、分布式網絡病毒攻擊等[5-6]為主。我國已經開始考慮如何有效地開展工控安全的建設，通過與現有的工控安全技術進行有效結合，加強在電力工控安全方面的建設投入。一些省級電力公司已經開始在一些生產環節嘗試引入新的方法和思路來構建工業控制系統安全體系，如在系統邊界，通過監聽等方式結合數據分析平臺，制定相關的工控系統安全檢測和評估基線，形成一整套針對工控系統的安全預警機制等。但想要從根本上解決電力工控系統網絡安全的問題，需要對網絡入侵和攻擊行為進行建模，結合電力工控系統運行特征，構建特征完善的網絡入侵行為特征庫，從而更好地實現對于攻擊行為的應對，并防患于未然[7-8]。

2　電力工控系統網絡入侵和攻擊典型模型研究

2.1　電力工控系統網絡入侵特征分析

電力工控系統網絡入侵研究分為兩個方面，一是對電力工控協議典型漏洞，包括協議設計方面的漏洞和協議實現方面的漏洞，研究每類漏洞的利用技術，包括分析每種漏洞可能導致的攻擊，以及研究攻擊對漏洞的利用機理和可能導致的后續攻擊；二是結合業務場景，分析業務所涉及的工控協議類型，結合工控協議漏洞，研究工控協議漏洞風險以及利用漏洞產生攻擊對業務系統造成的影響。

圖1　電力工控協議漏洞利用研究步驟

圖2　業務系統協議漏洞分布及攻擊路徑圖

2.1.1工控協議漏洞利用技術研究

工控協議漏洞包括了協議設計方面的漏洞和協議實現方面的漏洞，因此，對漏洞利用技術的研究可以從這兩個方面進行展開。

(1)工控協議設計方面漏洞利用技術研究

協議設計方面的漏洞主要是由于在傳輸規約設計之初，設計者未考慮或者很少考慮信息安全防護措施，在協議設計中未設計相應的安全機制。目前協議安全機制主要有完整性保護機制、機密性保護機制、身份認證機制，因此，工控協議安全設計方面的漏洞主要包括完整性保護缺失、機密性保護缺失、身份認證缺失三類。協議設計方面的漏洞將導致對業務數據采集和傳輸過程中的惡意篡改，對關鍵系統控制指令報文的仿造，針對規約實現漏洞構造的非法格式報文，以及基于重放技術的拒絕服務攻擊。

(2)工控協議實現方面漏洞利用技術研究

工控協議實現方面的漏洞主要是指協議代碼編寫實現中造成的漏洞。工控協議實現過程中潛在的漏洞會導致針對工控系統主站和智能終端的攻擊(異常)。基于協議實現方面的漏洞，一般是由于代碼的邏輯錯誤或含有漏洞的底層函數導致。工控協議安全實現方面的漏洞主要包括存儲區域檢查缺失、字段值范圍檢查缺失、特殊字符檢查缺失、針對正常請求的限制缺失、針對錯誤請求的限制缺失五大類。協議實現方面的漏洞將導致對業務數據采集和傳輸過程中的惡意篡改，對關鍵系統控制指令報文的仿造，針對主站的權限提升，針對智能終端的超級權限獲取，以及基于資源耗盡型的拒絕服務攻擊等。

2.1.2工控協議漏洞攻擊路徑分析

針對電力工控業務系統，首先，分析具體工控業務系統的工控協議應用和協議漏洞分布情況，以及利用工控協議漏洞在業務系統中可能導致的攻擊路徑。然后，結合工控協議承載的業務指令數據，分析攻擊對工控業務系統造成的影響。

工控系統一般由主站層、網絡通道層、終端層組成。主站層包含業務自動化系統、通信系統、對時系統等子系統，主站層功能高度集成，可在一臺計算機或嵌入式裝置實現，也可分布在多臺計算機或嵌入式裝置中。網絡通道層，主要包含多種不同網絡傳輸通道，采用各種工控傳輸協議。終端層主要包含各種工控現場智能終端設備，譬如智能變電站的智能設備、合并單元和智能終端等。

電力工業系統中，現場層及過程控制層通信的方式以及采用協議，根據應用領域及實際條件的不同會有較大差別，因此對電力工控業務系統協議漏洞分布及攻擊路徑的分析要結合每個具體的業務系統開展研究，通用的業務系統協議漏洞分布及攻擊路徑分析方法見圖2，根據業務系統工控協議漏洞分布情況，以及前面協議漏洞利用技術的研究成果，分析具體業務系統可能遭受的攻擊以及攻擊路徑。

攻擊路徑的分析：網絡攻擊路徑是對引起網絡系統狀態變遷的攻擊序列的一種描述，體現了網絡狀態和攻擊動作之間的依賴關系。網絡攻擊路徑的早期發現能夠幫助網絡安全人員有針對性地提高網絡安全性，成為網絡安全評估系統中的重要環節。

通過對業務系統漏洞分布及攻擊路徑分析，在此基礎上，進一步研究業務系統協議承載的業務指令及業務邏輯，分析由協議漏洞導致的攻擊對工控系統的影響。

主站系統主要是各種電力工控業務系統，實現面向全站或一個以上一次設備的測量和控制功能，完成數據采集和監視控制(SCADA)等相關功能。攻擊對站控層的影響主要是攻擊導致的業務系統宕機。終端層主要是各種現場智能終端設備，完成電能分配、變換、傳輸及其測量、控制、保護、計量、狀態監測等相關功能。攻擊對終端層的影響集中于對智能終端設備的惡意操作上。

2.2　電力工控系統攻擊模型研究

在對電力工控系統攻擊特征進行分類整理的基礎上，需要構建電力工控系統的攻擊模型，為攻擊驗證平臺對攻擊過程進行模擬驗證提供基礎數據。本文采用面向對象的方法來構建攻擊模型，引入具體攻擊行為、安全狀態、代碼實例和安全漏洞等對象類來描述攻擊過程。攻擊行為之間可以有關聯關系。對引入的對象類描述如下：

(1)具體攻擊行為：具體攻擊行為描述的是攻擊者完成一個攻擊步驟所進行的操作，可以抽象為對目標建立連接并發送攻擊數據包。

(2)攻擊特征：在攻擊行為發生時表現出來的系統/數據特征，包括網絡流量異常、安全事件報警、網絡數據包和主機日志等。

(3)安全狀態：安全狀態包含被攻擊目標的狀態和攻擊者的狀態，如攻擊者當前的起始權限，這是作為攻擊行為的前提條件。攻擊行為發生后，安全狀態改變，作為攻擊行為的后果。

(4)代碼實例：代碼實例作為具體攻擊行為的實現將能夠被攻擊過程的模擬平臺在攻擊過程中直接調用。

(5)安全漏洞：安全漏洞對攻擊行為所依附的漏洞宿主進行描述，包括漏洞宿主的軟硬件、操作系統和網絡應用。

(6)攻擊行為間關聯關系：為了對攻擊過程進行模擬，攻擊樣本庫需要對攻擊行為間的前后依賴關系進行描述，以便正確刻畫攻擊者在某個步驟所能夠選擇的攻擊手段。

攻擊樣本模型構建的結構如圖3所示。

圖3　攻擊樣本庫的體系構架

3　結束語

電力工控系統研究的總體目標是在工控系統與信息系統融合發展趨勢下，針對控制系統與互聯網技術的深度融合引發的工業控制系統網絡安全新的重大挑戰，系統性地從理論模型、關鍵技術、裝備研制及測試評估等方面開展工業控制系統深度安全技術研究，把握工控系統攻擊機理和工程特征，研制具有主動防護能力的工控系統，提高工控系統內核及應用安全性，并最終形成工控系統深度安全防護整體解決方案。本文在工控入侵與攻擊模型方面的研究工作，針對工控系統的特性，著力突破工控網絡空間安全基礎理論和關鍵技術，建立工控系統網絡入侵與攻擊模型，深入理解已知和未知工控系統攻擊的機理和工程特征，提高網絡系統應對復雜網絡環境下各種突發網絡攻擊事件的能力。

[1] 謝彬，賀志強，湯放鳴，等.工控設備的安全保密風險評估實踐[J].信息安全與技術，2014(9)：21-24.

[2] 李戰寶,潘卓.透視“震網”病毒[J].信息網絡安全,2011(9):230-232.

[3] 張帥.工業控制系統安全風險分析[J].信息安全與通信保密,2012(3)：15-19.

[4] 王華忠.監控與數椐采集(SCADA)系統及其應用[M].北京：電子工業出版社,2010.

[5] 彭勇，江常青，謝豐,等.工業控制系統信息安全研究進展[J].清華大學學報(自然科學版)，2012,52(10)：1396-1408.

[6] 邢栩嘉，林闖，蔣屹新.計算機系統脆弱性評估研究[J].計算機學報,2004,27(1):1-11.

[7] 蔡曉蓮，李平.計算機網絡安全威脅及防范策略的探討.網絡與信息，2009(6):30-31.

[8] 劉威，李冬，孫波.工業控制系統安全分析[J].信息網絡安全.