一種聯(lián)動(dòng)分析的工控安全審計(jì)系統(tǒng)研究及設(shè)計(jì)

◆李帥 陸勝東 朱義杰 戴寧 郭陽(yáng)

一種聯(lián)動(dòng)分析的工控安全審計(jì)系統(tǒng)研究及設(shè)計(jì)

◆李帥 陸勝東 朱義杰 戴寧 郭陽(yáng)

（貴州航天計(jì)量測(cè)試技術(shù)研究所（貴州省功率元器件可靠性重點(diǎn)實(shí)驗(yàn)室） 貴州 550009）

隨著網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻，工控安全問(wèn)題逐漸進(jìn)入公眾視野，而工控網(wǎng)絡(luò)尤其是重要基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)所面臨的外部威脅多以APT攻擊為主，這種攻擊潛伏期長(zhǎng)、危害大，同時(shí)很難被審計(jì)和發(fā)現(xiàn)。針對(duì)這個(gè)問(wèn)題，本文研究設(shè)計(jì)了一種智能聯(lián)動(dòng)分析的工控安全審計(jì)系統(tǒng)，該系統(tǒng)能夠通過(guò)綜合審計(jì)網(wǎng)絡(luò)流量異常行為及工控設(shè)備控制端異常行為，分析兩種異常行為與工控設(shè)備狀態(tài)之間的聯(lián)系，更好的定位和識(shí)別潛在的風(fēng)險(xiǎn)。

工控安全；審計(jì)系統(tǒng)；聯(lián)動(dòng)分析；行為審計(jì)

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，越來(lái)越多的工控系統(tǒng)被建立起來(lái)投入生產(chǎn)，但面臨的風(fēng)險(xiǎn)也越來(lái)越高。重要工業(yè)生產(chǎn)領(lǐng)域遭到破壞帶來(lái)影響是巨大的，輕則導(dǎo)致企業(yè)虧損破產(chǎn)，重則影響社會(huì)的穩(wěn)定。工控安全事件主要有直接攻擊類(lèi)型和APT類(lèi)型，前者帶來(lái)的攻擊容易察覺(jué)，而后者往往具有長(zhǎng)期潛伏特性和隱蔽性的特點(diǎn)，也是目前工控網(wǎng)絡(luò)面臨最多的安全威脅。無(wú)論是直接攻擊類(lèi)型還是APT類(lèi)型的攻擊，所帶來(lái)的危害都大大超過(guò)了我們的想象，典型的如2010年震網(wǎng)病毒事件、2015年波蘭航空公司事件、2015年烏克蘭電網(wǎng)等事件[1]，讓各國(guó)深刻認(rèn)識(shí)到工控安全的重要性，對(duì)工控安全也不斷加大研究和投入。

針對(duì)工控網(wǎng)絡(luò)安全，以美國(guó)、俄羅斯等國(guó)為代表，均有完善工控安全標(biāo)準(zhǔn)體系、設(shè)備制造體系和強(qiáng)大的工控安全力量保障。國(guó)內(nèi)雖然起步較晚，但仍在積極推進(jìn)工控安全。胡晨[2]等提出了一種針對(duì)電力和石化行業(yè)的集審計(jì)與漏洞掃描于一體的工控審計(jì)系統(tǒng)，該系統(tǒng)通過(guò)Fuzzing漏洞挖掘技術(shù)實(shí)現(xiàn)對(duì)工控系統(tǒng)的漏洞挖掘和風(fēng)險(xiǎn)的確定，通過(guò)聯(lián)合工控防火墻、IDS等安全產(chǎn)品安全事件聯(lián)合分析審計(jì)；陳莊[3]等人設(shè)計(jì)實(shí)現(xiàn)了一種通過(guò)鏡像分析上位機(jī)、工控機(jī)和各種網(wǎng)絡(luò)設(shè)備之間的狀態(tài)、通信和指令數(shù)據(jù)等進(jìn)行工控安全審計(jì)的系統(tǒng)。

以上方法都是對(duì)工控網(wǎng)絡(luò)中流量進(jìn)行審計(jì)或漏洞挖掘，未對(duì)工控設(shè)備控制端的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，無(wú)法滿足對(duì)APT攻擊的審計(jì)要求。本文設(shè)計(jì)了一種包括客戶端和服務(wù)端兩個(gè)部分的審計(jì)系統(tǒng)，通過(guò)增加對(duì)工控設(shè)備控制端異常狀態(tài)的監(jiān)控提高審計(jì)可靠性。

1 工控安全現(xiàn)狀

目前，工業(yè)控制系統(tǒng)面臨著更加多樣的安全威脅，主要有以下幾個(gè)方面[2-3]：

（1）工控通信協(xié)議安全威脅。工控系統(tǒng)為了實(shí)現(xiàn)快速高效的指令發(fā)送，在協(xié)議的使用和認(rèn)證上犧牲了一定的安全性。隨著TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越多地應(yīng)用在工業(yè)控制系統(tǒng)中，各種各樣的通信協(xié)議安全漏洞問(wèn)題逐漸凸顯，同時(shí)由于工控系統(tǒng)越來(lái)越多接入互聯(lián)網(wǎng)，工控通信協(xié)議安全威脅問(wèn)題更加凸顯。

（2）有組織的黑客攻擊威脅。每一個(gè)國(guó)家關(guān)系國(guó)計(jì)民生的重要基礎(chǔ)設(shè)施都由工控系統(tǒng)控制著，工控系統(tǒng)一旦被入侵，那么其所控制的重要基礎(chǔ)設(shè)施將面臨故障、停擺甚至自我損壞的威脅，在一定程度上影響一個(gè)國(guó)家的正常運(yùn)轉(zhuǎn)。因此，工控網(wǎng)絡(luò)已經(jīng)成為各個(gè)國(guó)家的重點(diǎn)關(guān)注的領(lǐng)域，國(guó)際上已經(jīng)存在有組織或者由國(guó)家力量支持的特定黑客團(tuán)體，這些黑客團(tuán)體可以針對(duì)某個(gè)目標(biāo)實(shí)施長(zhǎng)達(dá)幾年時(shí)間的情報(bào)收集工作，從中尋找目標(biāo)的脆弱點(diǎn)實(shí)施APT攻擊并潛伏在目標(biāo)系統(tǒng)中，在某個(gè)特定的時(shí)間點(diǎn)開(kāi)展實(shí)質(zhì)性攻擊已達(dá)到某種特殊需求。

（3）工控設(shè)備控制端安全威脅。工控設(shè)備控制端的操作系統(tǒng)主要分為Windows、Linux和嵌入式操作系統(tǒng)三種，其中絕大部分的工控設(shè)備控制端安裝的是Windows操作系統(tǒng)，且大多為舊版本的Win95和Win2k系統(tǒng)。每種操作系統(tǒng)都公布有各種安全漏洞，工控系統(tǒng)為了保持兼容性和可用性往往不會(huì)及時(shí)升級(jí)，尤其是舊版本操作系統(tǒng)，因此工控系統(tǒng)中的控制端往往存在較多的系統(tǒng)安全漏洞，同時(shí)由國(guó)家支持的黑客團(tuán)體可能還掌握有未公布的安全漏洞，這些因素都為工控網(wǎng)絡(luò)安全帶來(lái)了不同程度的安全威脅。

（4）內(nèi)部人員誤操作。隨著工控網(wǎng)絡(luò)各種系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工的違規(guī)或誤操作導(dǎo)致的系統(tǒng)安全問(wèn)題日益突出。針對(duì)外部威脅，工業(yè)防火墻等常規(guī)的安全產(chǎn)品可以攔截一部分安全攻擊事件，但對(duì)于內(nèi)部人員的誤操作卻無(wú)能為力。

綜上所述，無(wú)論是外部威脅還是內(nèi)部威脅，當(dāng)安全事件發(fā)生時(shí)需要有相關(guān)的日志去進(jìn)行安全事件的分析、追查和定位。尤其是針對(duì)外部APT攻擊，因其具有潛伏性、隱蔽性和不定時(shí)攻擊的特點(diǎn)，因此急需一套能夠通過(guò)綜合分析各種異常行為確定APT攻擊中所控制主機(jī)的安全審計(jì)系統(tǒng)。

2 聯(lián)動(dòng)分析的工控審計(jì)系統(tǒng)研究與設(shè)計(jì)

工控網(wǎng)絡(luò)所受的攻擊大致可以分為兩種：一種是直接受到外部的黑客攻擊；另一種是內(nèi)部工控設(shè)備控制端被植入木馬，通過(guò)木馬進(jìn)行攻擊，也是常見(jiàn)的APT攻擊。

對(duì)于第一種攻擊，黑客通常構(gòu)造一些攻擊包視圖控制工控設(shè)備，此時(shí)工控網(wǎng)絡(luò)的異常狀態(tài)為網(wǎng)絡(luò)流量增多，異常的控制協(xié)議包增多等，特征比較明顯。對(duì)于第二種攻擊，黑客通過(guò)植入木馬控制工控設(shè)備控制端，定期通過(guò)木馬發(fā)送異常指令進(jìn)行破壞操作。這種攻擊方式比較隱蔽且通常根據(jù)一些經(jīng)濟(jì)甚至是政治需要才擇時(shí)爆發(fā)，而令其難以發(fā)現(xiàn)的原因是指令是由內(nèi)部可信控制端發(fā)出，且不會(huì)造成明顯的流量波動(dòng)。同時(shí)由于很多的企業(yè)用的都是破解版的工控軟件，這進(jìn)一步增加了被植入木馬的風(fēng)險(xiǎn)。

因此本審計(jì)系統(tǒng)設(shè)計(jì)包括客戶端和服務(wù)端兩個(gè)部分，由客戶端實(shí)現(xiàn)對(duì)工控設(shè)備控制端的運(yùn)行狀態(tài)進(jìn)行監(jiān)控審計(jì)，當(dāng)APT攻擊發(fā)生時(shí)，客戶端可以審計(jì)到異常進(jìn)程的運(yùn)行，并由服務(wù)端結(jié)合工控系統(tǒng)內(nèi)其他異常事件聯(lián)合分析，有效定位和識(shí)別風(fēng)險(xiǎn)。

2.1 審計(jì)系統(tǒng)總體架構(gòu)

本審計(jì)系統(tǒng)在功能上層次上與其他審計(jì)系統(tǒng)基本一致，共分為三層，分別是數(shù)據(jù)收集層、行為綜合分析層、結(jié)果展示層[2]，具體結(jié)構(gòu)如圖1所示：

圖1 聯(lián)動(dòng)分析審計(jì)系統(tǒng)結(jié)構(gòu)

2.2 審計(jì)系統(tǒng)功能設(shè)計(jì)

2.2.1數(shù)據(jù)收集層

審計(jì)系統(tǒng)的數(shù)據(jù)收集主要包括兩個(gè)方面：客戶端收集、鏡像網(wǎng)絡(luò)流量。

客戶端收集：工控設(shè)備控制端等安裝審計(jì)系統(tǒng)的客戶端程序，通過(guò)客戶端程序?qū)崟r(shí)監(jiān)控控制設(shè)備的運(yùn)行狀態(tài)，包括CPU、內(nèi)存使用量、進(jìn)程、通信等信息，并將這些信息實(shí)時(shí)傳遞給服務(wù)端。

鏡像網(wǎng)絡(luò)流量：對(duì)工控系統(tǒng)中的網(wǎng)絡(luò)流量、協(xié)議和工控設(shè)備狀態(tài)等通信信息進(jìn)行收集，結(jié)合客戶端監(jiān)控?cái)?shù)據(jù)共同構(gòu)成當(dāng)前工控系統(tǒng)狀態(tài)信息。

2.2.2行為分析層

本系統(tǒng)的行為分析主要特點(diǎn)為綜合考慮工控設(shè)備控制端狀態(tài)、網(wǎng)絡(luò)流量狀態(tài)和工控設(shè)備狀態(tài)三個(gè)部分的相互關(guān)系，將多個(gè)異常狀態(tài)信息進(jìn)行聯(lián)合分析，根據(jù)行為庫(kù)準(zhǔn)確分析異常行為模式和定位攻擊來(lái)源，提高工控網(wǎng)絡(luò)安全審計(jì)能力和風(fēng)險(xiǎn)識(shí)別能力。構(gòu)建以控制端狀態(tài)、網(wǎng)絡(luò)流量狀態(tài)為輸入，以工控狀態(tài)為輸出的審計(jì)模型，通過(guò)該模型對(duì)工控網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控。審計(jì)模型如下：

2.2.3結(jié)果展示層

本層主要對(duì)審計(jì)結(jié)果和內(nèi)容進(jìn)行直觀清晰的展示，以實(shí)時(shí)展示和結(jié)果報(bào)表兩種形式為管理人員提供工控系統(tǒng)安全狀態(tài)分析結(jié)果，同時(shí)客戶端與服務(wù)端采取不同的展示方法。

客戶端：客戶端主要監(jiān)測(cè)工控設(shè)備控制端的運(yùn)行狀態(tài)，很多工控安全事件通常從控制端開(kāi)始，因此當(dāng)控制端某個(gè)進(jìn)程頻繁出現(xiàn)、某個(gè)程序突然占用大量計(jì)算資源時(shí)及時(shí)進(jìn)行彈框提醒，第一時(shí)間將異常情況告知使用者。

服務(wù)端：服務(wù)端主要根據(jù)行為分析層的分析結(jié)果進(jìn)行展示，以時(shí)間、異常事件、工控設(shè)備異常結(jié)果等進(jìn)行鏈?zhǔn)秸故荆磳⒛扯螘r(shí)間內(nèi)的異常情況及異常結(jié)果進(jìn)行圖形化展示，可以使管理人員及時(shí)發(fā)現(xiàn)和定位風(fēng)險(xiǎn)。同時(shí)，提供歷史同種異常情況的查詢，為分析工控網(wǎng)絡(luò)內(nèi)異常情況的爆發(fā)周期、導(dǎo)致的工控設(shè)備的異常結(jié)果等提供支撐。

3 結(jié)束語(yǔ)

本文通過(guò)研究工業(yè)控制系統(tǒng)中風(fēng)險(xiǎn)點(diǎn)的來(lái)源，設(shè)計(jì)了一套分為客戶端和服務(wù)端的審計(jì)系統(tǒng)，該系統(tǒng)通過(guò)綜合分析工控系統(tǒng)網(wǎng)絡(luò)流量、工控設(shè)備控制端和工控設(shè)備狀態(tài)的審計(jì)系統(tǒng)，通過(guò)監(jiān)控各個(gè)異常之間的聯(lián)系更好的識(shí)別和定位風(fēng)險(xiǎn)，提高審計(jì)的準(zhǔn)確性。

[1]曾瑜，郭金全. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[A]. 中國(guó)計(jì)算機(jī)學(xué)會(huì).第31次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C].中國(guó)計(jì)算機(jī)學(xué)會(huì)：2016：4.

[2]胡晨，陳凱. 工業(yè)控制系統(tǒng)行為審計(jì)方案設(shè)計(jì)與部署[J]. 軟件導(dǎo)刊，2017，16（01）：120-123.

[3]陳莊，黃勇，鄒航. 工業(yè)控制系統(tǒng)信息安全審計(jì)系統(tǒng)分析與設(shè)計(jì)[J]. 計(jì)算機(jī)科學(xué)，2013，40（S1）：340-343.

[4]北京網(wǎng)藤科技有限公司.基于工業(yè)流程分析的工控網(wǎng)絡(luò)安全審計(jì)系統(tǒng)研究[J]. 自動(dòng)化博覽，2018，35（S2）：110-113.

[5]張帥. 工業(yè)控制系統(tǒng)安全現(xiàn)狀與風(fēng)險(xiǎn)分析——ICS工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析之一[J]. 計(jì)算機(jī)安全，2012（01）：15-19.

[6]王文宇，劉玉紅. 工控系統(tǒng)安全威脅分析及防護(hù)研究[J]. 信息安全與通信保密，2012（02）：33-35.