基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)和分析系統(tǒng)研究

孟強(qiáng) 孟瑜煒 俞榮棟

摘要：工業(yè)控制系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其在與信息化技術(shù)高度融合的過程中，面臨著嚴(yán)峻的網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)的挑戰(zhàn)。作為最常見的網(wǎng)絡(luò)攻擊方式，漏洞的利用攻擊占據(jù)了工業(yè)控制系統(tǒng)安全事件中的絕大多數(shù)。因此，如何有效識(shí)別和發(fā)現(xiàn)工控系統(tǒng)漏洞，成為了解決工控系統(tǒng)安全問題的重要方面。模糊測(cè)試技術(shù)，由于不嚴(yán)格依賴于協(xié)議和系統(tǒng)逆向，一直以來都是漏洞發(fā)現(xiàn)的有效手段。然而，由于工控系統(tǒng)自身相對(duì)封閉的架構(gòu)、相對(duì)苛刻的運(yùn)行環(huán)境以及大量工控私有協(xié)議在線運(yùn)行等實(shí)際問題，使得利用模糊測(cè)試的技術(shù)手段發(fā)現(xiàn)工控系統(tǒng)漏洞存在更大的挑戰(zhàn)。本文從模糊測(cè)試技術(shù)的原理和發(fā)展現(xiàn)狀入手，總結(jié)梳理了工控系統(tǒng)模糊測(cè)試技術(shù)的制約和限制條件。結(jié)合現(xiàn)有工控系統(tǒng)模糊測(cè)試工具和架構(gòu)，提出了基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)和分析系統(tǒng)的總體設(shè)計(jì)思路，依托抽象化的工控系統(tǒng)模糊測(cè)試通用架構(gòu)，可以實(shí)現(xiàn)基于模糊測(cè)試技術(shù)的工控系統(tǒng)漏洞挖掘平臺(tái)的定義和高效工具開發(fā)，對(duì)于指導(dǎo)相關(guān)工具研制具有重要意義。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；模糊測(cè)試；漏洞發(fā)現(xiàn)；漏洞分析；通用架構(gòu)

Research on Fuzzing Testing Based Vulnerability Mining and Analysis System for Industrial Control Systems

MENG Qiang1，3，MENG Yuwei1，3，YU Rongdong2，3*

1 Zhejiang Energy Group，Hangzhou，Zhejiang，310007；

2 Zhejiang Energy Industrial Information Engineering Provincial Key Enterprise Research Institute，Hangzhou，Zhejiang，311121；

3 Zhejiang Energy Group Research Institute，Hangzhou，Zhejiang，311121

ABSTRACT：Industrial Control Systems（ICS）are the most important part of the national critical infrastructure. Within the merging process between the industrial control systems and information technologies，ICS is facing severe challenges in cyber security. As the most common cyber attacks，the vulnerabilities exploits are taking the majority of the cyber security incidents in ICS. Therefore，how to effectively identify and finding hidden vulnerabilities in ICS is becoming the key issue in ICS security area. Fuzzing testing，which may not strictly depend on the reverse engineering，is widely recognized as the effective means. However，due to the relatively closed architecture，the tough running environment，as well as the running proprietary protocols，there exists more challenges when using fuzzing testing in ICS. In this paper，we firstly review the theory of the fuzzing testing，and survey the current technical schemes. Based on the current fuzzing testing tools and frameworks，we propose a general architecture of the fuzzing testing based vulnerability mining and analysis system，which is based on a general model of the fuzzing testing framework for ICS. The general architecture is significant for the definition of the vulnerability mining and analysis system，and will promote the efficient development of the new fuzzing testing tools used for ICS.

KEY WORDS：Industrial control systems，F(xiàn)uzzing testing，Vulnerability mining，General framework.

1引言

以電力網(wǎng)絡(luò)、供水網(wǎng)絡(luò)、天然氣管網(wǎng)為代表的關(guān)鍵基礎(chǔ)設(shè)施通常由工業(yè)控制系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集與狀態(tài)監(jiān)管[1]。工業(yè)控制系統(tǒng)（ICS，Industrial Control System）通常包括過程控制系統(tǒng)（PCS，Process Control System），分布式控制系統(tǒng)（DCS，Distributed Control System），監(jiān)視控制與數(shù)據(jù)采集（SCADA，Supervised Control And Data Acquisition）系統(tǒng)等[1，2]。利用上述工業(yè)控制系統(tǒng)的數(shù)據(jù)采集、狀態(tài)監(jiān)控和反饋控制能力，系統(tǒng)管理者可以實(shí)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行和可靠操作。

然而，隨著工業(yè)信息化進(jìn)程的快速發(fā)展，工業(yè)控制系統(tǒng)在極大提高生產(chǎn)效率的同時(shí)，也帶來了越發(fā)嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅。各類針對(duì)工業(yè)控制系統(tǒng)的安全事件層出不窮，嚴(yán)重威脅國家安全和社會(huì)穩(wěn)定[2]。2010年導(dǎo)致伊朗布什爾核電站重大損失的“震網(wǎng)”（Stuxnet）病毒，首次將工業(yè)控制系統(tǒng)威脅清晰的展現(xiàn)在世人面前[3]。緊隨其后，“火焰”（Flame）病毒[4]和“Havex”病毒[5]使得數(shù)以千計(jì)的能源企業(yè)深受其苦。2015年和2016年連續(xù)兩次發(fā)作的“BlackEnergy”惡意軟件及其變種，導(dǎo)致烏克蘭電網(wǎng)發(fā)生大規(guī)模停電事故，受波及的用戶超過150萬[6]。這一連串的工業(yè)控制系統(tǒng)安全事件表明，針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊已經(jīng)不再是危言聳聽的警告，而是實(shí)在的威脅。

在形形色的工控系統(tǒng)安全威脅中，利用工業(yè)控制系統(tǒng)的漏洞發(fā)起攻擊是最行之有效的方式之一[7]。因此，如何高效的發(fā)現(xiàn)工控系統(tǒng)漏洞是工業(yè)控制系統(tǒng)安全研究者們最關(guān)注的方向。作為一種專用的軟件系統(tǒng)，工業(yè)控制系統(tǒng)不可避免的存在各種漏洞，一旦漏洞被攻擊者發(fā)現(xiàn)，就可能被其利用，使系統(tǒng)遭受未授權(quán)的數(shù)據(jù)訪問或者破壞。因此，先于攻擊者發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞可以有效地減少來自網(wǎng)絡(luò)的威脅，也成為工控系統(tǒng)安全研究的熱點(diǎn)方向。

常見的工業(yè)控制系統(tǒng)漏洞挖掘方法包括：手工測(cè)試、代碼靜態(tài)分析技術(shù)、代碼運(yùn)行態(tài)分析技術(shù)、二進(jìn)制比較技術(shù)以及模糊測(cè)試技術(shù)（Fuzzing）等[8，9]。由于工控系統(tǒng)軟件規(guī)模大、功能復(fù)雜，而且普遍采用專用協(xié)議，使得代碼獲取和逆向分析困難，因此對(duì)于工控系統(tǒng)的漏洞挖掘，模糊測(cè)試技術(shù)擁有無可比擬的優(yōu)勢(shì)。

模糊測(cè)試技術(shù)（Fuzzing）的基本思想與黑盒測(cè)試類似，是一種基于缺陷注入的軟件漏洞挖掘技術(shù)。模糊測(cè)試的基本思想是，通過向待測(cè)試的目標(biāo)軟件輸入一些半有效的數(shù)據(jù)，同時(shí)監(jiān)控程序的運(yùn)行狀況，依靠分析程序的異常狀態(tài)來發(fā)現(xiàn)目標(biāo)軟件存在的漏洞。相比較其他漏洞挖掘方法，模糊測(cè)試技術(shù)不依賴與對(duì)系統(tǒng)代碼的深入分析，而且大量操作可以自動(dòng)化執(zhí)行，再加之漏洞誤報(bào)率低，這些特點(diǎn)使得模糊測(cè)試技術(shù)在漏洞挖掘中具有無可比擬的比較優(yōu)勢(shì)[9]。

然而，與傳統(tǒng)IT系統(tǒng)不同，在工業(yè)控制系統(tǒng)中，模糊測(cè)試技術(shù)的使用也面臨著很多實(shí)際的困難和問題。首先，工業(yè)控制系統(tǒng)中大量采用資料不公開的私有協(xié)議，導(dǎo)致需要對(duì)協(xié)議進(jìn)行一定程度的逆向之后才能開展模糊測(cè)試；其次，由于工控協(xié)議面向控制操作，控制字段較多，導(dǎo)致需要較多類型的變異數(shù)據(jù)包，可能導(dǎo)致測(cè)試效率不高；第三，由于涉及到實(shí)時(shí)操作，工控模糊測(cè)試器可能只能捕獲到很小的數(shù)據(jù)流量；第四，有些工控協(xié)議棧可能具有自修復(fù)的能力，在異常發(fā)生后系統(tǒng)會(huì)重啟，從而使得異常難以被捕獲。

本文在梳理總結(jié)模糊測(cè)試技術(shù)研究發(fā)展動(dòng)態(tài)，特別是國內(nèi)外工業(yè)控制系統(tǒng)中模糊測(cè)試技術(shù)需求和現(xiàn)狀的基礎(chǔ)上，提出了基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)和分析平臺(tái)系統(tǒng)的總體架構(gòu)。架構(gòu)從工業(yè)控制系統(tǒng)模糊測(cè)試的一般流程出發(fā)，對(duì)現(xiàn)有模糊測(cè)試技術(shù)進(jìn)行抽象性概括，形成了工控系統(tǒng)模糊測(cè)試的通用架構(gòu)，用戶可以根據(jù)各自工控系統(tǒng)的實(shí)際配置，靈活選用已有工具或開發(fā)套件包，針對(duì)工控私有協(xié)議開展模糊測(cè)試，進(jìn)而通過分析異常行為的發(fā)生機(jī)理，實(shí)現(xiàn)對(duì)工控系統(tǒng)漏洞的發(fā)現(xiàn)和分析。

2 國內(nèi)外研究現(xiàn)狀

經(jīng)過多年發(fā)展，模糊測(cè)試技術(shù)已經(jīng)取得了豐富的成果，同時(shí)結(jié)合工控系統(tǒng)特點(diǎn)的模糊測(cè)試技術(shù)也正處于關(guān)鍵技術(shù)攻關(guān)期。本章將首先總結(jié)模糊測(cè)試技術(shù)的發(fā)展歷史和當(dāng)前技術(shù)水平，之后結(jié)合國內(nèi)外技術(shù)發(fā)展情況，梳理工業(yè)控制系統(tǒng)中模糊測(cè)試技術(shù)和相關(guān)工具。

2.1 模糊測(cè)試技術(shù)現(xiàn)狀

模糊測(cè)試技術(shù)最早由威斯康星大學(xué)的B. P. Miller于1989年提出，其開發(fā)的一個(gè)模糊測(cè)試工具Fuzz用于對(duì)UNIX系統(tǒng)的軟件進(jìn)行測(cè)試[10]。模糊測(cè)試的概念提出之后，由于其在軟件缺陷發(fā)現(xiàn)方面的突出效果，得到了軟件行業(yè)的高度關(guān)注，面向不同協(xié)議[11，12]、適合不同平臺(tái)[13，14]的模糊測(cè)試工具層出不窮。芬蘭Oulu大學(xué)研發(fā)的網(wǎng)絡(luò)協(xié)議安全測(cè)試軟件PROTOS[11]在協(xié)議的安全性測(cè)試方面發(fā)揮了巨大作用，甚至最近發(fā)生的OpenSSL心臟滴血（Heartbleed）漏洞[15]的發(fā)現(xiàn)工具也是PROTOS的后續(xù)改進(jìn)版。

模糊測(cè)試從技術(shù)分類的角度，根據(jù)測(cè)試用例生成的方式以及待測(cè)對(duì)象的代碼開放程度可以分為基于變異/生成的模糊測(cè)試，以及基于黑盒/白盒的模糊測(cè)試。其中基于變異/生成的模糊測(cè)試是從測(cè)試用例的生成方式出發(fā)，分別采用對(duì)已有數(shù)據(jù)進(jìn)行變異從而構(gòu)造測(cè)試用例，和根據(jù)待測(cè)對(duì)象特點(diǎn)進(jìn)行全新建模生成全新測(cè)試用例集合的方式開展。基于黑盒/白盒的模糊測(cè)試，則是從代碼開放程度考慮，因?yàn)橛械拇郎y(cè)程序是公開可以獲得的，因此可以結(jié)合如符號(hào)執(zhí)行等方法進(jìn)行代碼遍歷測(cè)試，黑盒測(cè)試則相反，是在完全無法獲得程序的前提下進(jìn)行[16]。工業(yè)控制系統(tǒng)的安全測(cè)試方面，大量常見的是黑盒測(cè)試，因?yàn)榇罅繀f(xié)議采用非公開的私有協(xié)議方式實(shí)現(xiàn)。

經(jīng)過多年發(fā)展，模糊測(cè)試技術(shù)得到了長足的進(jìn)步，相對(duì)其他漏洞挖掘方法表現(xiàn)出很多優(yōu)勢(shì)。但也仍然存在技術(shù)上的問題，主要表現(xiàn)在以下三個(gè)方面：

（1）測(cè)試用例的生成應(yīng)該更加高效，測(cè)試用例的有效性直接關(guān)系模糊測(cè)試的成敗。雖然隨著運(yùn)算能力的提高，測(cè)試用例的數(shù)量已經(jīng)增加很多，但是在黑盒測(cè)試條件下，依然由于測(cè)試用例設(shè)置的模糊性，導(dǎo)致測(cè)試效果不佳。因此，如何提高測(cè)試用例生成的有效性，是模糊測(cè)試技術(shù)研究領(lǐng)域多年來的重要方向。

（2）測(cè)試的自動(dòng)化程度有待提高，模糊測(cè)試過程需要經(jīng)常性地引入人工，參與測(cè)試用例的生成，極大限制了模糊測(cè)試的效率。如何提高測(cè)試的自動(dòng)化和智能化水平，也是模糊測(cè)試領(lǐng)域研究者們的重要探索方向。

（3）復(fù)雜漏洞的發(fā)現(xiàn)能力應(yīng)得到提高，常見的模糊測(cè)試僅能夠發(fā)現(xiàn)單點(diǎn)故障的漏洞。隨著軟件系統(tǒng)的日益龐大，越來越多漏洞的發(fā)現(xiàn)有賴于多維條件的組合觸發(fā)。因此，如何提高現(xiàn)有模糊測(cè)試技術(shù)在發(fā)現(xiàn)復(fù)雜漏洞方面的能力，也是學(xué)術(shù)界探討的熱點(diǎn)問題。

2.2 工業(yè)控制系統(tǒng)中的模糊測(cè)試技術(shù)

工業(yè)控制系統(tǒng)中的模糊測(cè)試技術(shù)與傳統(tǒng)的信息系統(tǒng)的情況有所不同。工控系統(tǒng)中大量使用私有協(xié)議，這些協(xié)議普遍缺乏深入透徹的分析。工控系統(tǒng)專家對(duì)于私有協(xié)議解析常感到無能為力，而信息系統(tǒng)專家雖然善于解析此類私有協(xié)議，但工控系統(tǒng)廠商并非愿意向信息系統(tǒng)專家公開私有協(xié)議的情況。這是工控系統(tǒng)模糊測(cè)試面臨的常見問題。

目前也有一些模糊測(cè)試工具適用于一些非私有設(shè)計(jì)的工控協(xié)議。Devarajan于2007年在著名的Sulley模糊測(cè)試框架中[17]引入針對(duì)ICCP、Modbus、DNP3等工控協(xié)議的支持。SecuriTeam在其beSTORM[18]測(cè)試器中增加了對(duì)DNP3的支持。Mu Dynamics也在其Mu Test套件中提供了對(duì)IEC61850、Modbus和DNP3的支持[19]。

總的來說，模糊測(cè)試技術(shù)經(jīng)過近30年的發(fā)展，已經(jīng)成為軟件漏洞發(fā)現(xiàn)的重要技術(shù)手段。近年來，隨著工業(yè)控制系統(tǒng)安全研究的興起，研究者開始聚焦模糊測(cè)試技術(shù)在工控系統(tǒng)安全和漏洞發(fā)現(xiàn)方面的研究。盡管取得了很大突破，也形成了一些技術(shù)框架，但在實(shí)用性，特別是針對(duì)私有協(xié)議的安全性評(píng)測(cè)方面還有較多的技術(shù)挑戰(zhàn)。

3 基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)系統(tǒng)

工控系統(tǒng)中由于大量采用私有協(xié)議，協(xié)議具體細(xì)節(jié)難以獲知，導(dǎo)致在實(shí)際進(jìn)行漏洞發(fā)現(xiàn)時(shí)，經(jīng)常面臨以下三種選擇：一是利用隨機(jī)數(shù)據(jù)流進(jìn)行模糊測(cè)試；二是采用某些啟發(fā)式算法在實(shí)時(shí)流或預(yù)先捕獲的流量上進(jìn)行變異；三是嘗試逆向私有協(xié)議。由于協(xié)議逆向較為復(fù)雜，因此主要工作就集中在了與模糊測(cè)試相關(guān)的兩個(gè)選項(xiàng)中。在本文后續(xù)的論述中，將圍繞工控系統(tǒng)模糊測(cè)試的基本流程和方法闡述利用模糊測(cè)試進(jìn)行工控漏洞發(fā)現(xiàn)的一般方法和通用系統(tǒng)架構(gòu)。

3.1 工控系統(tǒng)模糊測(cè)試的一般流程

與傳統(tǒng)IT系統(tǒng)相似，工控系統(tǒng)模糊測(cè)試的一般流程如圖1所示，主要包括五部分：即數(shù)據(jù)建模，測(cè)試用例的生成，測(cè)試用例的運(yùn)行，結(jié)果記錄與分析，以及離線或在線的漏洞發(fā)現(xiàn)。

由于TCP/IP技術(shù)的廣泛應(yīng)用，目前越來越多的工控私有協(xié)議采用將原有協(xié)議搭載到TCP/IP架構(gòu)上使用的模式，如DNP3 over TCP/IP等[20]。因此，工業(yè)控制系統(tǒng)的上位機(jī)與下位機(jī)之間通信通常是以一個(gè)TCP/IP的握手開始，之后增加一個(gè)私有協(xié)議的握手交互。在私有協(xié)議握手結(jié)束后，命令或數(shù)據(jù)的傳輸才正式開始。這種一般性流程也啟發(fā)我們，在對(duì)工控系統(tǒng)進(jìn)行模糊測(cè)試時(shí)需要首先確保私有協(xié)議的握手可以進(jìn)行，同時(shí)還要對(duì)協(xié)議的數(shù)據(jù)單元進(jìn)行一些初步分析，確保模糊測(cè)試可以正常開展。

3.2 工控系統(tǒng)模糊測(cè)試通用架構(gòu)

為實(shí)現(xiàn)一個(gè)完整的工控系統(tǒng)模糊測(cè)試流程，通用架構(gòu)如圖2所示。具體的模塊功能如下：

（1）解包模塊。工控系統(tǒng)的模糊測(cè)試框架應(yīng)該提供至少兩種包解析方式。一種是上下位機(jī)之間的即時(shí)通信，另外一種是從預(yù)先捕獲的流量文件（pcap文件）實(shí)現(xiàn)讀取。一旦數(shù)據(jù)獲取實(shí)現(xiàn)，解包模塊將把捕獲的包信息按照協(xié)議單元進(jìn)行劃分，并存儲(chǔ)到相應(yīng)的數(shù)據(jù)對(duì)象[21]。這部分常用的工具是LibPcap[22]以及LibPcap的其他編程語言的變種。

（2）分析模塊。分析模塊的核心是私有協(xié)議的解析，在不完全實(shí)現(xiàn)私有協(xié)議逆向的情況下，需要采用各種模式識(shí)別的算法首先確定生成的包與實(shí)際包的相似性，從而確定私有協(xié)議的握手包，進(jìn)而從握手包中確定關(guān)鍵發(fā)送的命令。

（3）模糊測(cè)試包的發(fā)送模塊，其主要功能在于在模糊測(cè)試過程中發(fā)送和接收數(shù)據(jù)包。分析模塊中獲取的信息可以用于模擬協(xié)議握手包，并通過數(shù)據(jù)包構(gòu)造相關(guān)組件發(fā)送給待測(cè)設(shè)備。協(xié)議握手建立后，協(xié)議特殊的命令也可以發(fā)送給待測(cè)設(shè)備。

（4）監(jiān)測(cè)模塊。顯著區(qū)別于傳統(tǒng)IT系統(tǒng)的模糊測(cè)試框架，工控系統(tǒng)中模糊測(cè)試監(jiān)測(cè)的不僅僅是網(wǎng)絡(luò)連接，更重要的是設(shè)備的過程控制狀態(tài)。為便于監(jiān)測(cè)模糊測(cè)試的效果，測(cè)試人員可能需要多維度的觀察整個(gè)工業(yè)過程，包括網(wǎng)絡(luò)數(shù)據(jù)交互、系統(tǒng)運(yùn)行狀態(tài)，甚至需要接入示波器查看相應(yīng)電平值的變化。可以說，監(jiān)測(cè)模塊是工控系統(tǒng)模糊測(cè)試顯著區(qū)別于傳統(tǒng)IT系統(tǒng)模糊測(cè)試的部分。例如，一個(gè)待測(cè)設(shè)備的開關(guān)量是一個(gè)指定周期內(nèi)的方波，由于模糊測(cè)試的變異數(shù)據(jù)包發(fā)送，可能導(dǎo)致一個(gè)完整的方波被延遲成兩端分割的電平，從而導(dǎo)致設(shè)備異常故障的發(fā)生。

4 總結(jié)

隨著工控系統(tǒng)與信息系統(tǒng)深度融合，工控系統(tǒng)面臨著前所未有的網(wǎng)絡(luò)與信息安全挑戰(zhàn)。在這其中，利用相對(duì)封閉的工控系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)破壞的事件層出不窮。模糊測(cè)試技術(shù)作為發(fā)現(xiàn)系統(tǒng)漏洞的高效手段，在工控系統(tǒng)漏洞發(fā)現(xiàn)中占有舉足輕重的地位。本文結(jié)合模糊測(cè)試技術(shù)的發(fā)展現(xiàn)狀，在參考現(xiàn)有工控系統(tǒng)模糊測(cè)試工具架構(gòu)的基礎(chǔ)上，提出了一個(gè)工控系統(tǒng)模糊測(cè)試的通用架構(gòu)，并以此架構(gòu)為核心提出了基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)和分析系統(tǒng)的設(shè)計(jì)思路。該架構(gòu)對(duì)現(xiàn)有模糊測(cè)試技術(shù)、工具和組件進(jìn)行抽象概括，可以廣泛地適用于多種不同類型的工控系統(tǒng)挖掘場(chǎng)景。

在后續(xù)研究中，我們將在通用架構(gòu)的指導(dǎo)下，選擇具體的工業(yè)控制系統(tǒng)和目標(biāo)私有協(xié)議，進(jìn)行有針對(duì)性地專用模糊測(cè)試工具研發(fā)和相應(yīng)的漏洞分析平臺(tái)系統(tǒng)的搭建，提高相關(guān)工具研發(fā)的效率，進(jìn)而提升針對(duì)工業(yè)控制系統(tǒng)的漏洞發(fā)現(xiàn)能力。

致謝

本文中基于模糊測(cè)試的工控系統(tǒng)漏洞發(fā)現(xiàn)和分析系統(tǒng)研究工作是在浙江浙能技術(shù)研究院有限公司鄭渭建、孫科達(dá)等工作人員的大力支持下完成的，在此向他們表示衷心的感謝。

參考文獻(xiàn)：

[1]彭勇，江常青，謝豐，戴忠華，熊琦，高洋. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展[J]，清華大學(xué)學(xué)報(bào)：自然科學(xué)版，（2012）10：1396-1408.

[2]B. Miller，D. Rowe. A survey SCADA of and critical infrastructure incidents[C]，in Proceedings of the 1st Annual Conference on Research in Information Technology，Calgary，October 2012.

[3]R. Langner. Stuxnet：dissecting a cyberwarfare weapon[J]，in IEEE Security and Privacy，vol. 9，no. 3，pp. 49-51，May 2011.

[4]K. Munro. Deconstructing Flame：the limitations of traditional defences[J]，in Computer Fraud and Security，vol. 2012，no. 10，pp. 8-11，October 2012.

[5]J. Vavra，M. Hromada. An evaluation of cyber threats to industrial control systems[C]，in International Conference on Military Technologies，Brno，2015.

[6]胡紅升. 初論網(wǎng)絡(luò)時(shí)代電力關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)[J]，（3）12：1134-1140，2017.

[7]B. Zhu，A. Joseph，S. Sastry. A taxonomy of cyber attacks on SCADA systems[C]，in 2011 International Conference on Internet of Things，Dalian，2011..

[8]尚文利，萬明，趙劍明，喬全勝，曾鵬. 面向工業(yè)嵌入式設(shè)備的漏洞分析方法研究[J]，自動(dòng)化儀表，（2015）10：1-4，2015.

[9]張雄，李舟軍. 模糊測(cè)試技術(shù)研究綜述[J]，計(jì)算機(jī)科學(xué)，（43）5：1-8，2016.

[10]B. P. Miller，D. Koski，C. Lee. Fuzz revisited：A reexamination of the reliability of UNIX utilities and services[R]，Computer Sciences Department，University of Wisconsin，1995.

[11]G. Shu，D. Lee. Testing security properties of protocol implementations – a machine learning based approach[C]，in 27th International Conference on Distributed Computing Systems（ICDCS 07），IEEE，2007.

[12]D. Aitel. The advantages of block-based protocol analysis of security testing[R]，Immunity Inc，New York，F(xiàn)eb. 2002.

[13]SPIKE. http：//www.immunitysec.com/resources-free-software.html.

[14]Peach. http：//peachfuzz.sourceforge.ne.

[15]戚小光，許玉敏，韓菲，周銳. “心臟出血”漏洞的危害、應(yīng)對(duì)及影響[J]，信息安全與通信保密，（2014）5：60-62.

[16]王夏菁，胡昌振，馬銳，高欣竺. 二進(jìn)制程序漏洞挖掘關(guān)鍵技術(shù)研究綜述[J]，信息網(wǎng)絡(luò)安全，2017（08）：1-13.

[17]G. Devarajan. Unraveling SCADA protocols：using Sulley fuzzer[C]，in DefCon 15 Hacking Conference，2007.

[18]Beyond Security. Black box software testing，McLean，Virginia.

[19]Mu Dynamics. Mu Test Suite，www.mudynamics.com/products/mu-test-suite.html..

[20]X.Lu，Z. Lu，W. Wang，J. Ma. On network performance evaluation toward the smart grid：a case study of DNP3 over TCP/IP，in IEEE Global Telecommunications Conference，Houston TX，2011 .

[21]M. Niedermaier，F(xiàn). Fischer，A. von Bodisco. PropFuzz – An IT-security fuzzing framework for proprietary ICS protocols，in 2017 International Conference on Applied Electronics，Pilsen，2017..

[22]LibPcap，www.tcpdump.org..

作者簡(jiǎn)介：

[1]孟強(qiáng)（1982-），男，工學(xué)碩士，工程師，主要從事大型能源集團(tuán)信息化管理，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全研究工作。

[2]孟瑜煒（1983-），男，工學(xué)博士，工程師，主要從事大型能源集團(tuán)信息化管理，工業(yè)自動(dòng)化，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全研究工作。

通訊作者：

俞榮棟（1981-），男，工學(xué)博士，工程師，主要從事工控自動(dòng)化、工業(yè)信息化研究工作。