PLC控制系統入侵檢測技術研究

陳志文 張偉燕 蘇靖峰 員天佑 郭照新

摘 ?要： 由于PLC控制系統有別于傳統的計算機網絡系統，傳統的病毒檢測、網絡入侵檢測技術無法有效檢測PLC控制系統攻擊。設計一種非介入式的PLC控制系統入侵檢測方法，采用以太網數據監聽與現場控制網數據監聽技術相結合的方法，通過PLC控制系統輸入輸出業務信息一致性檢測，實現PLC惡意代碼篡改數據攻擊檢測，通過業務規則檢測實現違反業務約束的惡意控制指令檢測。完成了PLC控制系統入侵檢測系統開發，測試表明系統可以有效檢測PLC系統的惡意代碼攻擊和惡意控制指令攻擊。

關鍵詞： PLC控制系統; 業務規則; 篡改攻擊; 入侵檢測; 以太網監聽; Profibus總線監聽

中圖分類號： TN915.08?34; TP309.1 ? ? ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2020）01?0072?04

Research on intrusion detection technology for PLC control system

CHEN Zhiwen， ZHANG Weiyan， SU Jingfeng， YUN Tianyou， GUO Zhaoxin

Abstract： Because PLC control systems are different from the traditional computer network systems， the traditional virus detection technology and network intrusion detection technology fail to effectively detect the attacks to PLC control system. In view of the above， a non?intrusive intrusion detection method for PLC control system is designed， which adopts the method combining the Ethernet data monitoring and field control network data monitoring technologies to realize the detection of malicious code tampering data attack to PLC by the consistency detection of input and output business information of PLC control system， and implement the detection of malicious control instructions violating business constraints by business rule detection. The intrusion detection system for PLC control system has been developed. The testing results show that the system can effectively detect malicious codes and malicious control commands that attack the PLC control system.

Keywords： PLC control system; business rule; tampering attack; intrusion detection; Ethernet monitoring; Profibus monitoring

0 ?引 ?言

隨著信息技術的發展和網絡開放性的提高，工業控制網絡面臨的安全風險日益嚴重[1]。“震網”病毒（Stuxnet）的曝光為關鍵工業基礎設施的安全防護拉響了警鐘[2?3]，工業控制網絡的安全問題也受到了廣泛的關注。美國將工業控制系統（ICS）列入國家重點保護關鍵基礎設施，逐步將工控系統安防提升至國家戰略高度，有六家國家實驗室對工業控制系統安全開展了系統、全面的研究[4]。

PLC（Programmable Logic Controller）控制系統是很多工業控制系統的核心部件[5]，由于PLC控制系統的封閉性以及控制系統對可靠性的要求極高，經常導致控制系統存在漏洞或后門修復難度大，難以根除控制系統的安全隱患[1]。由于針對PLC控制系統進行攻擊檢測難以采用介入式方法[6]，因此提出一種采用非介入式的攻擊檢測方法，實現的系統初步驗證了提出的入侵檢測方法可以檢測工業控制系統中PLC篡改控制參數、篡改運行狀態監測參數等惡意攻擊。

1 ?典型工業控制系統模擬環境構建

為開展PLC控制系統入侵檢測技術研究，構建了一個使用PLC的典型工業控制系統網絡模擬環境，如圖1所示。典型工業控制系統網絡包含PLC的典型工業控制系統為三層網絡結構，包括集中監控層、現場控制層、設備層。

模擬環境包括控制系統和設備層工藝設備模擬系統。控制系統由PLC和遠程操作員站組成，PLC用于現場控制和數據采集，操作員站用于遠程監控、數據管理、參數配置和系統組態，兩者之間通過TCP/IP協議進行通信。工藝設備除主軸電機以外，其他設備均通過模擬器進行模擬。模擬器由單獨的一臺PLC擔當，負責模擬工藝設備的電氣接口和運行過程，同時用于故障信號的注入和傳感器信號的模擬輸出，它與PLC主站之間通過I/O信號連接。

2 ?非介入式PLC控制系統入侵檢測方法

2.1 ?PLC控制系統入侵檢測總體方案

由于PLC設備環境的特殊性，很難通過在攻擊點上部署安全防護措施進行檢測和防御。傳統的以太網網絡旁路監聽方式的入侵檢測只能檢測以太網的入侵攻擊[7]，無法針對PLC控制系統篡改欺騙攻擊進行檢測，例如，“震網”病毒惡意代碼植入PLC后，由于惡意代碼篡改控制參數后同時篡改了監控參數，使得從以太網操作員站進行觀察時，一切都是正常的。

為了實現PLC控制系統入侵檢測，設計了一種非介入式的入侵檢測方案，如圖2所示。系統采用的檢測方法是通過PLC主站信息交互兩端的網絡進行通信數據采集分析，即采集現場控制網通信數據及集中監控層網絡通信數據包，并通過深度包解析技術識別應用層業務，通過業務指令參數的一致性比較，發現主站上的信息篡改攻擊，同時，通過業務規則先驗知識發現違背業務邏輯的非法控制命令。

2.2 ?數據采集與業務指令解析

以太網數據采集與解析技術較為成熟，直接采用普通網卡與libpcap即可實現信息采集[8?9]。針對現場控制網數據采集，設計了現場控制網數據采集探針，支持總線（Profibus?DP）數據采集[10]、開關量I/O采集、模擬量I/O采集[11]。采集硬件解決方案如圖3所示，總線數據采集采用NI PCI?8431/1采集卡實現，開關量、模擬量采用NI PCIe?6320采集卡實現，支持1條Profibus總線、16個模擬量、24個開關量的數據采集。

PLC控制系統的通信數據主要是控制指令下傳、監測數據上傳，為了便于入侵檢測算法設計，將控制指令與監測數據均抽象為統一結構的業務指令。業務指令是指業務流程的原子性的活動，只能一次性完成。控制系統的一條業務指令[C]可以用五元組表示為：

[C=]{type，direction，command，object，data}

type：業務指令[C]的“指令類型”，分為以太網（用“eth”表示）和現場控制網（用“field”表示）兩類。以太網類是指以太網數據采集探針抓取并解析業務指令;現場控制網類是指現場控制網探針在現場控制網采集和解析的業務指令。

direction：業務指令[C]傳輸方向，分為上傳業務指令（用“up”表示）和下傳業務指令（用“down”表示）兩種。上傳業務指令是指“現場控制網→PLC主站→上位機”流向的指令，主要是各種監測業務指令;下傳業務指令是指“上位機→PLC主站→現場控制網”流向的指令，主要是各種控制業務指令。

command：業務指令[C]的業務名稱，如“setSpeed”代表速度設置，“retSpeed”代表速度反饋。

object：業務指令[C]作用對象，如電機。

data：業務指令[C]的參數值。

業務指令五元組只是為了方便入侵檢測算法設計進行的一種數據抽象，實際的通信數據并不會完全包含這些屬性，而是由數據采集探針根據已知的通信協議和業務規則，將采集的數據翻譯轉換成統一的五元組數據結構。由于具體業務場景下的PLC控制系統的業務指令（控制業務指令、監測數據指令）是有限的，且業務指令數據包結構一般較為簡單，采用人工方法事先建立通信數據幀結構知識，作為已知協議進行解析。探針對采集的數據進行業務解析時，采用以下規則完成業務指令五元組轉換：

1） 數據采集探針根據探針類型、數據流向自動填充type，direction，數據流向通過源地址和目標地址確認。

2） 以太網數據和Profibus?DP的數據包解析，通過指令數據包特征匹配或“編碼?命令轉換表” 翻譯設定command，根據數據包特征匹配設定object，根據指令數據包結構提取data。

3） 現場控制網的開關量和模擬量由探針根據預先設定的“I/O地址?命令轉換表”翻譯設定command，根據“I/O地址?對象轉換表”翻譯設定object，根據采集卡采集的具體值設定data。

2.3 ?入侵檢測方法

PLC惡意代碼進行控制參數篡改、監測數據篡改，以及上位機下發的違背業務邏輯的惡意控制是需要重點解決的PLC控制系統的攻擊風險。當PLC被植入惡意代碼時，精心構造的惡意代碼可以根據用戶下發的業務指令，自動計算和篡改反饋的監測數據，使工程師從上位機監測系統觀察到的數據始終符合預期，具有極大的隱蔽性。“震網”病毒植入PLC的惡意代碼正是采用這種方式實現惡意控制離心機轉速，并通過篡改反饋轉速實現欺騙攻擊破壞離心機。

依據圖2設計的入侵檢測方案，由于同時采集了現場控制網和集中監控層網絡的數據并進行了業務指令解析，因此，針對PLC植入惡意代碼的篡改攻擊，采用基于業務信息一致性檢查的方法進行檢測，針對違背業務邏輯的規則采用業務指令約束條件檢查進行檢測，具體檢測規則如下：

1） 設定延時閾值[dt]，對于[t1]時刻接收到的[c1]，且[c1].type=“eth”，[c1].direction=“down”，根據業務規則，[c1]指令將在現場控制網產生[c2]指令，則在[t1+dt]時刻對[c1]進行檢測。查詢在[（t1-dt，t1+dt）]時間段內是否存在指令[c2]，且[c2].type=“field”，[c2].direction=“down”，[c1].command=[c2].command，[c1].object=[c2].object，[c1].data=[c2].data。滿足條件則正常，如果[c1].data ！=[c2].data，則告警“控制參數篡改”。

2） 對于[c1].type=“field”，且[c1].direction=“up”的上行監測參數的篡改與規則1）類似。

3） 由于控制系統的控制業務應遵循的業務規則是已知的，且業務指令是有限的，業務規則是可以描述的，因此可以建立每條業務指令的約束條件以及一些業務指令之間的約束關系作為業務規則先驗知識。入侵檢測對網絡通信數據解析提取的業務指令進行業務規則先驗知識符合性檢測，滿足則正常，否則產生相應的異常告警。例如，先驗知識[c].direction = “down”與[c].command=“setSpeed”的指令有先驗知識[c].data<1 000，則當檢測到指令[c].data>1 000時則進行告警。

3 ?系統實現與驗證

3.1 ?系統實現

PLC入侵檢測系統實現方案如圖4所示，系統由現場控制網探針、以太網探針、入侵檢測分析系統、入侵檢測管理系統組成。現場控制網探針、以太網探針采集數據完成業務指令解析后，通過UDP發送給入侵檢測分析系統。以太網探針采用Linux系統，C語言開發實現。現場控制網探針采用Windows系統，LabVIEW開發實現。入侵檢測分析系統、管理系統采用Linux系統，采用C語言和Java語言開發實現。

3.2 ?實驗驗證

為了驗證入侵檢測規則的有效性，設置了兩個測試用例。一個是設定業務規則電機轉速給定值<1 000 r/s，測試超過參數上限的給定值是否告警。另一個是參考“震網”病毒植入PLC惡意代碼的攻擊原理，開發PLC惡意代碼程序，惡意代碼程序將控制電機轉速的參數篡改為用戶給定值的2倍，篡改上傳電機轉速值為監測值的[12]，測試植入惡意代碼程序入侵檢測是否告警。實驗結果產生了預期的告警。以PLC惡意代碼篡改參數的入侵檢測為例，植入惡意代碼后，上位機工程師站界面截圖如圖5a）所示，速度給定為600 r/s，監測到的實際轉速為598 r/s，監測值與預期值在正常的浮動范圍內。現場控制網探針系統截圖如圖5b）所示，采集到實際給定轉速為篡改后的1 200 r/s，實際電機反饋速度為1 197 r/s。入侵檢測系統產生了相應的控制參數和檢測參數篡改告警，部分告警截圖如圖6所示。

4 ?結 ?語

由于PLC控制系統的特殊性，難以采用介入式技術進行病毒攻擊檢測，傳統的網絡入侵檢測技術由于關注信息網的數據流，無法感知控制系統與物理世界的作用效果，也難以檢測到PLC惡意代碼攻擊。本文設計的PLC控制系統入侵檢測方法，在傳統網絡入侵檢測技術的基礎上，通過增加現場控制網數據采集探針，感知控制系統與物理世界的實際作用效果，通過結合傳統網絡入侵檢測技術實現PLC系統的攻擊檢測。初步實驗結果表明，系統可以實現對PLC惡意代碼篡改控制參數或指令的檢測，以及違反業務規則的攻擊檢測。

參考文獻

[1] 鎖延鋒，王少杰，秦宇，等.工業控制系統的安全技術與應用研究綜述[J].計算機科學，2018，45（4）：23?33.

[2] NOURIAN A， MADNICK S E. A systems theoretic approach to the security threats in cyber physical systems applied to Stuxnet [J]. IEEE transactions on dependable and secure compu?ting， 2018， 15（1）： 2?13.

[3] 應歡，劉松華，韓麗芳，等.電力工業控制系統安全技術綜述[J].電力信息與通信技術，2018（3）：56?63.

[4] 盧坦，林濤，梁頌.美國工控安全保障體系研究及啟示[J].保密科學技術，2014（4）：24?33.

[5] 張厚友.PLC控制技術的優勢和抗干擾措施研究[J].儀器儀表用戶，2018（2）：5?6.

[6] LIM B， CHEN D， AN Y， et al. Attack induced common?mode failures on PLC?based safety system in a nuclear power plant： practical experience report [C]// 2017 IEEE 22nd Pacific Rim International Symposium on Dependable Computing. Christchurch， New Zealand： IEEE， 2017： 205?210.

[7] MOHIUDDIN A， MAHMOOD A N， JIANKUN H. A survey of network anomaly detection techniques [J]. Journal of network and computer applications， 2016， 60： 19?31.

[8] 周永福，曾志.Linux下采用Libpcap實現IDS的網絡數據包監測[J].現代計算機（專業版），2015（9）：67?71.

[9] CHENG X R， ZHANG B. High speed network data capture based on Linux [C]// Proceedings of the 9th International Symposium on Linear Drives for Industry Applications. [S.l.： s.n.]， 2014： 216?245.

[10] 周志敏. PROFIBUS的協議結構及應用領域[J].智慧工廠，2018（2）：35?37.

[11] YANG V， MU S T， HARTMANN， D. PLC DCS analog input module design breaks barriers in channel?to?channel isolation and high density [J]. Analog devices， 2016， 50（4）： 36?40.

作者簡介：陳志文（1979—），男，福建南安人，碩士，高級工程師，研究方向為計算機網絡、信息安全。