卷接設備IPC 控制系統網絡安全監測模型的構建

倪雄軍，李健俊，李鈺靚，文德明，姜學峰，張益南，李 威，張曉東

1. 浙江中煙工業有限責任公司生產管理部，杭州市中山南路77 號 310008

2. 浙江中煙工業有限責任公司信息中心，杭州市中山南路77 號 310008

3. 浙江中煙工業有限責任公司杭州卷煙廠，杭州市科海路118 號 310008

4. 常德煙草機械有限責任公司，湖南省常德市武陵區長庚路999 號 415000

5. 杭州優穩自動化系統有限公司，杭州市余杭區臨港路6 號 311107

工業互聯網作為新型基礎設施建設的重要內容，在推動信息技術（Information Technology，IT）與操作技術（Operation Technology，OT）融合時，打破了工控系統的隔離邊界，使工控網絡從封閉、孤立逐步走向開放化、互聯化、通用化和標準化［1-3］。卷接設備IPC（Industrial Personal Computer）控制系統是基于工業PC控制技術的開放式自動化控制系統，具有運行速度快、控制精度高、通用性好、可維護性強等優點，目前正在逐步取代傳統的PLC控制系統，并已在高速、超高速卷接包設備中廣泛應用。卷接設備IPC 控制系統的生產網與管理網相連，除邊界防護外，內部基本無安全防護措施，因此無法防御高級持續威脅攻擊和從控制系統內部發起的攻擊。針對此問題，西門子、施耐德等控制系統的生產廠商提出分層部署邊界防御、防火墻、入侵檢測等技術來構建縱深防御體系［4-5］。該體系是卷煙企業采用的主流防御方法，但難以適應新形勢下高端、持續、隱蔽式攻擊。馮濤等［6］提出一種基于有色Petri 網理論和Dolev-Yao 攻擊方法的檢測模型，并對EtherCAT 協議進行了安全性評估，但該模型的建模過程較復雜，且未在實際應用中得到驗證。為此，基于卷接設備IPC控制系統的典型攻擊鏈模型，設計了一種能夠覆蓋卷接設備控制系統核心設備及通信網絡的安全監測模型，旨在實現卷接設備IPC 控制系統的多層安全監測，提高卷接設備運行的安全性。

1 問題分析

以ZJ17E卷接機組為例，其IPC控制系統被攻擊過程可分為3 個階段，見圖1。①威脅感染與傳播。威脅源可能存在于廣域網和便攜設備中，主要通過網絡釣魚、U盤擺渡等方式進行感染與傳播［7］。②向IPC 控制器滲透。計算機被感染后，向人機界面HMI、編程器等外圍設備發起攻擊，成為攻擊IPC 控制器的跳板。③控制網實質攻擊。木馬病毒成功入侵 IPC 控制器后，通過 EtherCAT 總線、IO 設備等對物理設備進行攻擊，進而達到破壞生產活動的目的。病毒在入侵的同時向HMI等設備發送錯誤的運行狀態信息，蒙蔽現場操作人員，存在長期潛伏、蓄意破壞等安全隱患。

圖1 卷接設備IPC控制系統被攻擊過程示意圖Fig.1 Schematic diagram of IPC control system of filtered cigarette maker being attacked

通過研究卷接設備IPC 控制系統的攻擊路徑，可知其安全問題的核心在于系統網、IPC 控制器和EtherCAT控制網3類關鍵設備。①系統網。卷接設備控制系統的系統網中未部署安全防護措施，利用惡意代碼、木馬、病毒等都可以發起身份鑒別請求攻擊、中間人攻擊等［8］，這類攻擊的網絡鏈接有可能變成完全被人監聽控制的鏈接，無法保障網絡鏈接的安全性。因此，需要結合工控協議的深度解析和白名單策略的防護機制，應對針對網絡的已知和未知的惡意攻擊行為，降低控制系統受損風險。②IPC控制器。為了滿足工業環境運行需求，IPC控制器通常采用可靠性高、抗干擾能力強的嵌入式微處理器模塊，并使用經過深度定制的操作系統［9］。例如，ZJ17E 卷接機組配套使用的Windows 系統預留給通用程序的運行資源有限，因此無法通過安裝殺毒軟件、更新補丁、實時更新病毒庫等手段來保持攻防力量的平衡［10］。由于操作系統的版本以及應用類型不同，利用非侵入式安全監測方法能夠提升安全配置、增強安全機制、減少被入侵的風險。③EtherCAT 控制網。木馬病毒成功入侵IPC 控制器后，可通過EtherCAT 總線攻擊物理設備，進而破壞生產活動。EtherCAT 數據包經過從站的物理層、數據鏈路層到達應用層，期間有大量EtherCAT 特有的處理邏輯，同時也存在多個攻擊路徑。主要攻擊方法包括影響EtherCAT 數據包的傳遞路徑、篡改邏輯地址和實際數據空間地址的映射關系、影響數據包讀寫過程的一致性、影響控制系統各I/O 終端協同控制的一致性、影響操作命令的有效讀寫、修改應用層業務數據等。因此，需要對EtherCAT 控制網的控制行為進行深度分析，結合控制網功能安全和信息安全的一體化防護措施［11］，對EtherCAT 控制網進行安全監測，降低卷接設備被攻擊的風險。

2 卷接設備IPC控制系統安全監測模型設計

為實現卷接設備IPC 控制系統的多層安全監測，設計了系統網偽控制指令安全監測（Monitoring of pseudo control command in system network）、IPC控制器非侵入式安全監測（Monitoring of IPC Controller by non-intrusive method）和控制網異常控制行為安全監測（Monitoring of abnormal behavior in control network）3個安全監測模塊，結合數據無擾采集（Acquisition without disturbance for data）和安全風險預警（Alarm of security risk）技術，構建了能夠覆蓋卷接機組核心控制設備和通信網絡的A3MA安全監測模型，見圖2。

圖2 卷接設備IPC控制系統A3MA安全監測模型結構框圖Fig.2 Structure of A3MA security monitoring model for IPC control system of filtered cigarette maker

2.1 系統網偽控制指令安全監測模塊設計

偽控制指令安全監測模塊具有學習和校驗兩種模式，主要包括協議解析、異常識別、模型庫學習3部分。通過監聽和分析所有流向IPC 的數據，實現非法控制指令識別、非法程序注入預警等功能，并實時監測HMI等節點向IPC控制器的滲透過程。利用機器學習與人工梳理結合的方式，從訪控權限、協議命令、過程參數、控制行為等角度建立訪問控制庫、合法命令庫、參數規則庫、安全行為庫等安全通信規則校驗庫，構建系統網安全通信模型。實時分析系統網數據包，依次校驗通信數據包對安全模型的符合性，進而實現偽控制指令的識別與預警。

2.1.1 協議解析

針對 HMI 等節點與 IPC 通信的 ADS 協議，按照協議數據包的封裝格式進行拆包，根據報文頭部信息確定數據鏈路層、網絡層、傳輸層及應用層信息，再按照應用層協議格式進行解碼，獲取應用層信息并檢查報文是否符合協議規范，從而實現協議解析。

2.1.2 異常識別

異常識別的作用是基于安全通信規則校驗庫校驗系統網數據，識別通信網絡中的偽控制指令，并產生報警信號。模塊先對系統網數據進行訪控權限校驗，識別未授權節點、未授權用戶和未授權操作；然后對數據進行操作命令校驗，識別非法命令；再對數據進行參數合法性校驗，識別非法操作參數；最后結合通信交互行為和網絡狀態遷移情況，識別偽控制指令。

2.1.3 模型庫學習

模型庫學習采用人工梳理與機器學習相結合的方式。先通過人工對通信數據包進行離線分析，經過分析通信參與方的身份和協議，構建通信模型白名單；再通過機器學習實時分析線上流量，識別其通信行為；收集符合正常通信特征、不在現有通信模型內的數據包，構建新的模型規則。

2.2 IPC非侵入式安全監測模塊設計

IPC 非侵入式安全監測模塊主要從IPC 狀態安全、行為安全、通信安全3 方面對IPC 進行安全監測。采用非侵入式監測方法資源消耗小，且能夠滿足IPC控制器在線運行對穩定性和實時性的要求。

2.2.1 IPC狀態安全監測

根據核心控制器面臨的安全威脅，監測IPC 的安全狀態，如惡意開放端口、工控相關進程狀態、關鍵工控文件或系統文件狀態等都會影響系統的穩定運行。其主要功能包括狀態安全數據采集和狀態預期度量。狀態安全數據采集功能：①為避免影響卷接設備IPC 控制系統正常運行，以非侵入方式采集IPC 多維靜態安全數據；②獲取IPC 配置文件、應用軟件安裝、用戶賬戶、安全策略、注冊表等數據以及IPC 中定制的工控軟件、軟件配置文件及庫文件、工控組態包等。狀態預期度量功能：對IPC 控制器的配置文件、庫文件、編程文件以及操作系統的關鍵系統文件等內容進行度量。

2.2.2 IPC行為安全監測

對影響IPC 安全的動態行為數據進行監測，如惡意代碼注入后啟動未知進程篡改工控文件或系統文件、啟動U 盤等未知設備。其主要功能包括動態行為安全數據采集和動態行為預期獲取。動態行為安全數據采集功能：①為避免影響卷接設備IPC 控制系統正常運行，以非侵入方式采集IPC動態數據；②根據預先采集的IPC安全特征集合，對IPC的進程創建、設備添加和刪除、電源狀態更改以及注冊表修改等行為進行監測，并對數據進行實時獲取。動態行為預期獲取功能：對獲取的動態行為數據進行處理，將數據通過網絡交互接口傳入IPC 威脅智能分析與評估模塊。

2.2.3 IPC通信安全監測

從IPC 通信過程面臨的威脅入手監測IPC 與HMI、編程器之間的交互狀況，排除IP 異常、端口異常等威脅因素。其主要功能包括通信安全數據采集和通信安全數據預期獲取。通信安全數據采集功能：實時獲取IPC 與HMI 進行交互發送的指令參數或監控數據狀態時的網絡通信數據，具體包括交互雙方的數據流量特征、數據包特征以及IPC 與編程器之間的網絡通信數據（上傳下載的文件信息、編程器IP 和端口等）。通信安全數據預期獲取功能：在IPC 中獲取正常通信行為時HMI 以及編程器IP、端口、MAC地址、所采用協議等數據。

2.3 控制網異常控制行為監測模塊設計

結合EtherCAT 高速總線網絡的通信特征，建立控制網異常控制行為監測模塊。該模塊包括EtherCAT無擾偵聽、EtherCAT安全監測和EtherCAT安全模型構建3部分，見圖3。以數據包完整性和合法性校驗、協議深度解析為基礎，設計EtherCAT 控制網的關鍵點重點監測、數據包分類節奏檢測、場景行為關聯分析3類安全監測策略，對控制行為進行實時分析與檢測，及時發現異常控制行為和未知威脅。

圖3 控制網異常控制行為監測模塊示意圖Fig.3 Schematic diagram of monitoring module for abnormal control behavior of control network

2.3.1 EtherCAT無擾偵聽

由于EtherCAT 控制網要求強實時性，常規的端口鏡像、流量轉發等方式會影響IPC 控制系統的運行效率。因此，在物理層上采用流量環回的EtherCAT 數據無擾偵聽模塊，僅增加物理線路的通信延時，進而在獲得EtherCAT 數據包鏡像的同時不影響EtherCAT 的強實時性。為避免受到攻擊時無擾偵聽模塊的數據鏡像功能失效，將無擾偵聽模塊裝載在EtherCAT 主站出口位置，確保無擾偵聽模塊傳送給EtherCAT安全監測模塊的數據包完整。

2.3.2 EtherCAT安全監測

EtherCAT 安全監測模塊接收到EtherCAT 數據包后，進行完整性和合法性校驗以及協議深度解析；根據協議解析結果分別進行關鍵點重點監測、數據包分類節奏檢測和場景行為關聯分析，并對分析和檢測結果進行EtherCAT 網絡異常控制行為識別、定位和預警。由表1可見，關鍵點重點監測功能通過分析EtherCAT 通信原理，剖析協議中存在的弱點，進而識別針對協議弱點的攻擊行為；數據包分類節奏檢測通過分析不同功能數據包的適用場景、觸發條件和觸發頻率，將EtherCAT 數據包分成周期型、觸發型和場景型，結合生產場景監測數據包的分類頻率，進而識別異常攻擊行為；場景行為關聯分析通過分析網絡數據包的前后關聯，進行網絡行為識別與網絡行為序列診斷，進而識別異常控制行為。

表1 EtherCAT控制網異常控制行為安全監測策略Tab.1 Security monitoring strategy for abnormal control behavior of EtherCAT control network

2.3.3 EtherCAT安全模型構建

利用EtherCAT 協議深度解析和機器學習，結合規則化狀態遷移、場景化關聯規則、自動化網絡梳理等技術，對網絡歷史數據進行分析、建模和狀態演化，通過抽取演化規則形成網絡安全模型。EtherCAT安全模型庫包括寄存器庫、拓撲模型庫、配置模型庫和行為模型庫。寄存器庫是其他模型庫的基礎，通過協議深度解析形成寄存器地址列表與訪問規則等；拓撲模型庫決定了EtherCAT 鏈路層控制方式，并影響分布式時鐘同步、EtherCAT異常診斷等行為，根據鏈路層控制方式反向推導可得到系統拓撲模型；通過分析各從站配置數據包，可反向推導從站的類型、默認配置、實際配置等信息，形成配置模型庫；通過深度剖析EtherCAT 協議，結合現場獲取的歷史數據包，分析數據包訪問控制規則、分類頻度閾值以及各種數據包結構和邏輯關系，構建EtherCAT行為模型庫。

3 模型驗證

3.1 驗證方法

（1）以杭州卷煙廠使用的ZJ17E 卷接機組為對象，在不影響正常生產的前提下部署安全監測原型系統進行測試，見圖4。其中，無擾偵聽組件為獨立的硬件組件，部署在卷接機組IPC 控制系統控制箱交換機附近位置，連入IPC 系統的系統網絡和控制網絡中，與交換機、IPC 控制器相連。安全監控組件用于高速總線網絡異常控制行為監測和偽控制指令識別預警，部署在IPC系統控制箱側板上，采用旁路部署方式，與無擾偵聽組件相連，接收無擾偵聽組件發送的單向數據并進行安全分析。IPC 安全監視子模塊作為獨立的軟件模塊，部署在IPC 控制器運行系統中，采用非侵入式安全監測方法采集IPC 系統數據，確保與原有控制運算邏輯進行解耦分離和獨立運行，并可適應IPC控制器運行資源受限等環境。

圖4 卷接設備IPC控制系統網絡安全監測原型系統部署Fig.4 Deployment location of network security monitoring prototype system for IPC control system of filtered cigarette maker

（2）基于控制系統構建典型的攻擊鏈模型，分析嗅探、系統網攻擊、IPC漏洞分析與利用、IPC實質攻擊、EtherCAT控制網攻擊等完整攻擊鏈的各個環節，并進行模擬攻擊測試，以驗證部署安全監測原型系統后IPC 系統在系統網、IPC 控制器和控制網3 方面的安全監測能力。

3.2 驗證結果

由表2可見：①系統網偽控制指令監測模塊實現了對HMI 與IPC 之間ADS 通信協議的深度解析，并具有對TCP/IP 標準協議族數據的審計功能；可對未授權網絡節點、網絡協議、網絡端口的非法訪問進行預警；對HMI 控制指令的重放攻擊和偽造攻擊進行識別預警。②IPC 非侵入式安全監測模塊實現了對IPC控制器的系統信息、磁盤、內存、工控系統文件指紋、工控程序文件指紋、系統服務列表、非系統服務列表、應用程序列表、用戶登錄信息、外設列表、進程列表、注冊表信息共12項數據的安全監測。③控制網異常控制行為監測模塊通過對EtherCAT 網絡數據進行深度解析，實現了邏輯地址映射篡改監測、異常控制數據操作監測、分布式時鐘偽同步監測、從站配置參數合法性監測、從站運行狀態監測、從站初始化序列監測、通信異常連接重試監測以及網絡流量異常監測等8項安全監測。

表2 安全監測原型系統監測能力測試結果Tab.2 Test results of monitoring capability of security monitoring prototype system

表2（續）

4 結論

針對卷接設備IPC 控制系統內部缺失安全防護措施等問題，采用構建控制系統典型攻擊鏈模型的方法，建立了一種A3MA安全監測模型，實現了卷接設備IPC控制系統的多層安全監測。在ZJ17E卷接機組生產運行環境中進行模擬攻擊測試，驗證了安全監測原型系統的監測能力。結果表明：安全監測原型系統可快速發現系統網偽控制指令行為，快速定位針對IPC 控制器的未授權篡改行為，快速識別EtherCAT控制網的異常控制行為。應用A3MA安全監測模型實現了卷接設備IPC控制系統核心控制器與高速實時總線網絡的安全監測，為后續安全加固、異常阻斷、安全聯動等安全防護研究打下了基礎。