可信的工業控制報文檢測與推演技術研究

編者按： 工業互聯網的發展推動了工業自動化與信息化的深度融合，但傳統網絡世界的IT 威脅也帶入了OT環境，從而進一步影響到現實世界。傳統工業采用網絡訪問控制技術難以解決這些安全隱患，迫切需要一種在IT 和OT 環境之間建立一條可信信道的技術，以阻斷虛擬網絡空間對現實世界的影響。

工業控制系統關乎國計民生，廣泛應用于電力、軌道交通、石油化工、航空航天以及核工業等工業領域，其中超過八成的國計民生關鍵基礎設施依靠工業控制系統來實現控制。工業控制系統已經成為國家關鍵基礎設施的重要組成部分，其安全關系到國家的戰略安全。

隨著互聯網+、工業互聯網等戰略與技術應用的不斷演進，工業控制系統面臨著與信息系統互聯互通的趨勢，工業控制系統正從封閉走向開放和互聯，工業控制系統的網絡安全邊界明顯擴大。

當前，工業信息安全形勢復雜嚴峻，總體形勢不容樂觀。通過探測發現全球范圍內暴露在互聯網上的工業控制設備越來越多，工業控制系統安全漏洞居高不下，傳統威脅加速向工業控制系統滲透，伊朗“震網”事件、烏克蘭停電事件以及委內瑞拉停電事件等安全事件頻頻發生。

根據ISA99 普渡參考模型可將工業企業系統分為企業資源層、生產管理層、過程監控層、現場控制層和現場設備層。

企業資源層、生產管理層和過程監控層為傳統的IT 架構，一般是非實時數據。現場控制層和現場設備層為OT 架構，一般是實時系統。工業控制系統由過程監控層、現場控制層和現場設備層組成，過程監控層和現場控制層之間成為跨越IT 與OT的橋梁，出現了安全威脅相互滲透的趨勢，如何在過程監控層和現場控制層之間建立一條可信信道來阻止安全威脅是需要解決的問題。

傳統工業控制網絡防護技術方案

在圖1 所示的傳統工業控制網絡防護方案中，通過在過程監控層與現場控制層間增設工業防火墻，配置安全規則，對過程監控層與現場控制層之間的訪問數據進行協議過濾和控制；在工業交換機鏡像口旁路部署工業入侵檢測裝置，發現IT 和OT之間的入侵行為。

圖1 傳統工業控制網絡防護方案

在傳統的工業控制網絡防護技術方案中，工業防火墻串聯在過程監控層與工業交換機之間，工業交換機與現場控制層相連，工業入侵檢測裝置與工業交換機相連，鏡像流經工業交換機的業務流量，并將該業務流量發送至安全管理中心。

傳統工業控制網絡防護技術分析

在工業防火墻中配置安全規則，可以對過程監控層與現場控制層之間傳輸的工業報文進行傳輸協議過濾和控制，以發現過程監控層與現場控制層間之間存在入侵行為的控制報文。

然而，工業防火墻的安全規則為靜態規則，僅對源IP地址、源端口、目的IP 地址、目的端口、傳輸層協議和應用層協議等進行過濾，無法對控制報文的控制參數變化進行檢測，也不能檢測出用惡意代碼偽裝的異常控制報文。

此時由工業入侵檢測設備（或稱“檢測設備”）基于存儲的工業控制報文（或稱“控制報文”）的特征信息庫做報文的特征檢測，來檢測是否存在異常控制報文。由于該特征庫是基于工業控制報文的外部特征來制定的，如報文功能和報文協議等，但對于控制報文中所包含的報文字段的代碼被惡意代碼替換后，工業入侵檢測設備將無法有效阻擋惡意代碼的攻擊，導致工業控制系統存在較高的漏報率和誤報率，降低了工業控制系統對控制報文的檢測準確率。

在實際應用過程中工業防火墻安全規則的學習需要白環境。配置白名單規則的過程是一個極其復雜并考驗實施人員能力的工作。即使配置成功，由于其規則是基于特征的，惡意代碼對指令內容進行修改，則無法進行防護及檢測。

從設備的應用部署上可以看出，僅對過程監控層與現場控制層進行訪問控制，控制器間惡意代碼的傳播無法進行防護。

從技術設計上無法有效阻擋惡意代碼和攻擊對工業協議中傳輸的內容進行篡改及檢測。工業入侵檢測裝置由于是基于攻擊特征庫匹配和異常行為分析技術，就必然存在漏報率和誤報率居高不下的問題。

工業控制報文檢測與推演技術

為解決現有技術方案存在的缺陷和不足，綠盟科技基于多年研究經驗得出，可以通過在過程監控層和現場控制層之間建立一條可信信道，來阻止IT 和OT 之間雙向滲透以及現場控制層設備間惡意代碼擴散，識別和發現異常行為，包括誤操作、已知威脅和未知威脅等。從網絡流量分析的角度看，工業控制系統與傳統的信息系統有著一定的差異。

傳統的信息系統功能多、流量多，采用多種應用協議而且不可預測；工業控制系統功能少、流量少，采用專屬應用協議而且所有流量均可預測。

基于準確的推斷工業控制指令內容的防護方法，可以阻斷惡意代碼對工業控制協議內容的修改，從技術設計上實現第三層與第四層之間基于字節級的過濾，并能夠及時發現惡意代碼和攻擊。在此，筆者提出一種可信的工業控制報文檢測與推演技術。

如圖2 所示，工業控制報文檢測與推演技術中，將報文推演裝置置于工業控制系統的過程監控層和現場控制層之間，基于實時報文轉發、實時規則生成、實時決策判斷，對過程監控層和現場控制層間通信報文作出動態決策。

工業控制推演系統包含指令輸入裝置、報文推演裝置以及訪問控制裝置三大部分。報文推演裝置根據指令輸入裝置輸入的合法指令進行報文推演，形成可信訪問控制規則，并寫入至訪問控制裝置。生產人員在過程監控層發出操作指令后，訪問控制裝置會采集到相關通信報文，并匹配上可信訪問控制規則，對相關通信報文作出放行決策。同時，訪問控制裝置對接收到的異常通信報文作出阻止決策，并將采集到的異常數據上傳至報文推演裝置做進一步分析。

工業控制報文檢測與推演應用部署

圖2 工業控制報文檢測與推演技術框架

如圖3 所示，將工業控制報文檢測與推演裝置部署在本地過程監控層與現場控制層之間，每個控制設備前均部署。在本地過程監控層和遠程過程監控層旁路部署工業控制報文推演裝置及指令模擬裝置。將工業控制報文處理裝置與工業控制報文推演裝置進行單獨組網連接，并將網絡安全設備獲取的信息上傳至安全管理中心。

安全管理中心也可分為多個層次，分別部署于包括國家級、省級、行業級和企業級等工業信息安全應急響應中心，支持目前業界比較主流的工業信息安全平臺，如綠盟工業網絡安全監測預警平臺INSP 等。

工業控制報文檢測與推演技術優勢

1.建立過程監控層與現場控制層之間的可信信道

在傳統技術體系中，網絡安全設備普遍采用靜態策略，攻擊者模擬正常的行為可以繞過訪問控制規則，過程監控層與現場控制層之間的通信信道存在不可信的問題。

圖3 工業控制報文檢測與推演應用部署

在本技術推演過程中可根據工業控制系統的點表，在仿真環境中模擬輸入/輸出指令，在工業控制報文推演模塊中錄入對應的報文，推演生成動態訪問控制規則。動態規則的應用阻斷了黑客對靜態訪問控制規則的學習，利用訪問控制規則的靜態特征進行突破的可能。動態訪問控制規則根據操作指令的模擬輸入，實時動態的進行更新，達到“一次一規則”的防護。

本技術通過對過程監控層與現場控制層之間的通信數據進行推演，有效的解決了過程監控層與現場控制層之間相互滲透的問題，實現了在過程監控層與現場控制層之間建立可信信道。

2.精準識別過程監控層與現場控制層雙向的安全威脅

在傳統技術體系中，網絡入侵檢測技術存在誤報和漏報的問題，安全威脅得不到精準識別，增加了安全決策和處置的成本。

本技術在應用過程中利用了過程監控層與現場控制層通訊協議描述，用來遠程識別設備的硬件、通訊協議和應用軟件（及其相關的版本號、配置參數）等信息，可對未授權設備的接入進行精準識別。基于工業控制操作的推演，已知威脅匹配模塊通過對異常報文庫及異常規則庫的輪詢可精準識別已知威脅，操作匹配模塊通過對異常報文庫及異常規則庫的輪詢可精準識別錯誤操作，輪詢剩余的則為未知威脅。

在具體應用過程中，訪問控制裝置把過程監控層與現場控制層之間的流量牽引到了工業控制推演裝置，運用“非白即黑”的思路，經過與推演知識庫、操作指令集、指令特征庫與威脅特征庫的比對，達到精準識別安全威脅的效果。

3.精準發現過程監控層與現場控制層雙向的未知威脅

將系統的異常流量及異常規則，通過與已知威脅匹配模塊的威脅特征庫及錯誤操作匹配模塊的指令特征庫匹配完成后，剩余的流量即為未知威脅。相比于傳統的安全防御體系難以發現未知威脅的情況，本技術對異常流量及異常規則進行了充分的識別及過濾，可精準的發現系統中的未知威脅。

針對發現的未知威脅，與推演知識庫、操作指令集進行比對，結合工業控制系統面臨的威脅源、威脅向量及脆弱性對獲取的情況進行威脅建模。分析的結果分為兩種情況，一種情況為受知識的局限性未知威脅為未掌握的知識，沒有錄入知識庫；另一種為工業控制系統中“0-day”漏洞。沒有掌握的知識可以及時的錄入知識庫轉變為已知威脅，“0-day”漏洞以供安全人員繼續研究。

結語

本文針對傳統工業控制網絡防護技術進行了分析，提出了一種可信的工業控制報文檢測與推演技術，為在IT 和OT 環境之間建立可信信道提供了一種可行的思路，并對可信的工業控制報文檢測與推演裝置應用部署模式等進行了說明，分析了本技術的優點。本技術在實際實現和應用過程中還會碰到各種各樣的問題，筆者將進一步研究，為本技術的市場化應用奠定基礎。