工業控制系統安全綜述

楊 婷 張嘉元 黃在起 陳禹劼 黃成龍 周 威 劉 鵬 馮 濤 張玉清,6

1(西安電子科技大學網絡與信息安全學院 西安 710071) 2(中國科學院大學國家計算機網絡入侵防范中心 北京 101408) 3(蘭州理工大學計算機與通信學院 蘭州 730050) 4(華中科技大學網絡空間安全學院 武漢 430074) 5(美國賓夕法尼亞州立大學信息科學與技術學院 美國賓夕法尼亞州斯泰特科利奇 16802)6(海南大學計算機與網絡空間安全學院 海口 570228)

與傳統網絡安全相比，工業控制系統(industrial control system, ICS)在過去從未被認為存在潛在網絡安全風險.在工業4.0時代[1]，為了方便維護和管理，工業控制系統連接了越來越多的組件和設備.并且隨著“中國制造2025”的推進，工業控制系統將進一步地數字化、網絡化和智能化[2].由于現有工業硬件無法輕易替換或更新，而將目前的安全功能集成到現有工業控制系統中極具挑戰性(解決方案必須向后兼容幾十年前的設備)，工業控制系統正面臨嚴重的安全威脅.如圖1所示，總結了近20年影響力較大的工業控制系統安全事件，其中典型的安全事件是Stuxnet攻擊伊朗核設備和Industoryer入侵烏克蘭電網.Stuxnet是第一個包含PLC rootkit的病毒，它將惡意代碼注入到PLC程序中，使離心機以超出可接受范圍的速度運行，從而破壞伊朗核計劃.Industoryer病毒是針對工業控制協議IEC 60870-5-101，IEC 60870-5-104，OPC DA和IEC 61850設計的.2016年12月，Industroyer攻擊了烏克蘭電網，它能夠掃描工業控制系統的環境，直接向遠程控制單元發送命令.綜上所述，這些安全事件不僅會打亂人們正常的生活和生產秩序，還會造成公司商業資料的泄露和財產損失，嚴重的甚至會危及國家安全.

Fig. 1 Industrial control system cyber-attacks圖1 工業控制系統安全事件

自2019年以來，全球范圍內爆發新冠疫情，許多工作人員不得不在家辦公，他們需要使用家庭計算機通過VPN連接到工業控制系統，因此增加了對工業控制系統連通性的需求.這加速了信息技術(information technology, IT)和操作技術(operation technology, OT)網絡融合，促進了工業控制系統數字化轉型.除此之外，在疫情中，原始設備制造商和系統集成商則受到了運輸服務設備的限制，進入現場變得更加困難，因此也增加了對第三方安全遠程訪問的需求.通常，家庭網絡比公司網絡的安全標準低，而且許多安全公司已經檢測到這些家庭計算機被用來對工業控制系統網絡執行不必要的掃描.根據Kaspersky統計[3]，2021年上半年期間，從工業控制系統的計算機設備上成功阻止了5 150種惡意軟件.隨著計算能力和存儲能力的提高，網絡攻擊的復雜性將進一步增強，使用現代化的新技術和方法來檢測和抵御攻擊刻不容緩.

目前已有不少面向工業控制系統安全的綜述研究.文獻[4]分析了工業控制系統面臨的典型威脅和攻擊，討論了尚未解決的安全問題及相應的工業控制系統安全解決方案，提供了未來的研究方向，但是沒有對相關文獻進行分析.文獻[5]主要對工業控制系統中的安全解決方案進行了調研.文獻[6]對工業控制系統漏洞報告進行了深入分析，衡量出工業控制系統的組件和安全策略受已知漏洞的影響.文獻[7]分析了物聯網和工業物聯網都存在的安全挑戰，以及工業物聯網系統特有的安全挑戰，并指出如何應對這些挑戰.但是，工業控制系統攻擊和防御技術迅速發展，有必要重新歸納和總結該領域近期的研究工作.

Fig. 2 Statistics of representative research on ICS security圖2 工業控制系統安全代表性研究統計

本文主要對近3年(2019-01—2021-10)Web of Science核心數據庫、EI數據庫、CCF推薦網絡與信息安全國際學術會議中發表的與工業控制系統安全相關論文，以及其他相關的高水平研究工作進行深入調研分析.圖2展示了工業控制系統安全相關調研文獻數量的逐年變化情況，可以看到，針對攻擊的文獻集中在2018年及以前，近3年的文獻主要是防御方案，但也有新的攻擊方法被提出.因此，基于這些新增加的文獻，歸納和分析工業控制系統的研究現狀與方向有著重要的現實意義.

本文根據工業控制系統的基本結構從攻擊和防御2個角度，對近3年的工業控制系統安全研究工作進行了分析，主要貢獻包括3個方面:

1) 介紹了工業控制系統基本的體系結構，依據工業控制系統的體系結構對各個組成部分面臨的主要威脅展開全面討論，剖析了威脅產生的原因及危害，展示了針對各種威脅現有的解決方案；

2) 深入分析了針對ICS-云平臺通信、HMI-設備通信和設備固件的具體攻擊，并對不同攻擊的檢測、防御方案進行分類討論，對類似的檢測、防御方案進行了對比分析，展示了這些技術方案的效果；

3) 揭示了工業控制系統領域未來發展過程中將面臨的挑戰和機遇，并對工業控制系統安全未來的研究趨勢進行展望.

1 工業控制系統體系結構及面臨的威脅

本節首先介紹了工業控制系統的基本結構，然后從ICS-云平臺通行安全、HMI-設備通信安全和設備固件安全3個方向分析歸納了各結構部分面臨的威脅.

1.1 工業控制系統體系結構

工業控制系統的體系結構如圖3所示，主要包括服務器/云平臺、人機交互界面(human machine interface, HMI)、主終端裝置(master terminal unit, MTU)、遠程終端單元(remote terminal unit, RTU)、現場設備5部分.工業控制系統工作的大致流程：現場設備將生產過程中的實時數據傳遞到PLC，PLC根據預先設定好的程序對數據進行處理，然后對設備進行控制或者將數據上傳到MTU；用戶可以根據人機交互界面上實時顯示的數據來監控設備的狀況或對設備進行操作；服務器或者云端會對這些設備數據進行存儲，便于工作人員對數據匯總和分析.

Fig. 3 The architecture of industrial control systems圖3 工業控制系統基本架構

1.1.1 服務器/云平臺

工業控制系統服務器會通過軟件程序實時收集來自眾多傳感器、執行器、遠程終端單元和實時的控制信息等，例如CPU的溫度、風扇的轉速、門閥的位置等.除此之外，其還可以對數據進行匯總和分析，例如平均值、標準偏差等.大型企業需要服務器實時組合和分析設備產生的數據來下達命令，這些數據使用標準格式進行存儲，并通過數據分析和可視化顯示結果，進而比較生產的效率和性能.

1.1.2 人機交互界面

工業控制系統通過人機交互界面對設備進行配置和操作，包括設備的運行、停止、更新、故障排除等.人機交互界面是通過網絡與MTU連接的1臺或多臺計算機，可以在緊急或極端事件的情況下快速通知和錯誤報警.根據設備運行狀況，展示設備的運行數據和狀態.

1.1.3 主終端裝置

MTU負責從RTU收集數據并傳輸到HMI或服務器.MTU和RTU之間是雙向通信，MTU和RTU之間的通信是由MTU發起的，可以通過控制人員操作觸發，也可以設置周期性自動觸發.

1.1.4 遠程終端單元

RTU是PLC技術的發展，既有PLC的傳統功能，更有其獨特的特點.RTU和PLC通過現場總線或無線網絡連接到傳感器和執行器來收集實時信息，并操作和控制設備.

1.1.5 現場設備

現場設備是工業物聯網系統中的數據來源，主要包括傳感器和執行器.傳感器用來收集設備狀態的周期性數據，例如溫度傳感器、恒溫器、壓力傳感器和RFID等；執行器主要用來執行控制命令.

1.2 工業控制系統面臨的威脅

工業控制系統接入互聯網后，攻擊者可以利用已知的IT網絡缺陷連接到控制臺.工業控制系統對于安全防護的缺失(例如，對來自外部的控制進行適當身份驗證)，打開了工業控制系統的攻擊面.工業控制系統既面臨著傳統IT的安全威脅，又面臨著OT的安全威脅.本文只討論工業控制系統中特有的IT和OT安全威脅.依據工業控制系統的體系結構，自上而下地將研究工作分為ICS-云平臺通信安全、HMI-設備通信安全、設備固件安全以及其他安全相關研究.

1.2.1 ICS-云平臺通信安全

在傳統的工業控制系統中，設備的控制和管理都是在本地進行的.近年來，工業控制系統逐漸從單片架構遷移到分布式云架構.云計算在工業自動化方向的市場潛力巨大.用戶可以從云計算運營商租用硬件資源，例如服務器、存儲、網絡等，將軟件放在這些資源上運行，通過網絡獲得應用軟件所提供的信息與數據.用戶只需投入少量的使用成本，即可得到與從前同功效、高質量的服務.因此，工業控制系統的數據逐步轉變為云存儲.但是，云平臺的應用使工業控制系統的網絡環境變得更加復雜(云平臺自身不安全，信息上下交互也不安全)，工業控制系統和外部通信過程，除了要面臨傳統的IT威脅，還要面臨新的安全威脅和漏洞，其中工業控制系統和云平臺通信面臨的安全威脅包括：云平臺相關攻擊、工業防火墻漏洞利用和端口掃描.

1.2.2 HMI-設備通信安全

在工業控制系統中，設備通過網絡連接進行通信，進而協調整個生產制造過程.用戶通過軟件程序實時收集和存儲工業控制系統中的運行數據，以便進一步的管理和分析.工業控制系統使用的通信協議在不同的行業、不同的地域或者不同的供應商之間差別很大，常用的工業通信協議包括Modbus，Fieldbus和IEC 60870-5等.工業通信協議設計時僅考慮運行在封閉的環境中，很少考慮到安全性，因此這些協議容易受到各種惡意攻擊，如竊聽、篡改和偽造等.PLC是工業控制系統的核心部件，攻擊者可以通過網絡將惡意的邏輯代碼注入到PLC的控制邏輯中來實現惡意攻擊，例如病毒Stuxnet就是通過改變PLC的控制邏輯來實現攻擊.除此之外，工業控制系統中存在著不同類型的傳感器，攻擊者可以利用電磁干擾來修改傳感器讀數.因此，人機交互界面和設備通信面臨的安全威脅包括：PLC控制邏輯注入攻擊、ICS專有通信協議攻擊和傳感器欺騙攻擊.

1.2.3 設備固件安全

隨著自動化和智能化技術的進步，工業控制系統之間的設備高度互連、相互依賴，越來越多的設備連接到工業控制系統.這些設備的微控制器芯片是由特定供應商提供，攻擊者通過利用漏洞來劫持設備或惡意修改其固件對工業控制系統中的設備進行控制，尤其是PLC設備固件，它可根據系統輸入來管理和控制現場設備，如果攻擊者可以修改PLC設備固件，那么屬于其權限范圍內的任何物理系統組件都可以被完全控制.因此，設備固件安全威脅包括固件篡改和漏洞利用.

2 ICS-云平臺通信安全

目前，大量基于云的技術被應用于工業控制系統，這給工業控制系統帶來了新的安全威脅.本節將從攻擊和防御2個角度對ICS-云平臺通信安全研究工作進行歸納和分析.

2.1 攻 擊

2.1.1 針對云平臺的攻擊

工業控制系統的數據存儲到云端，云平臺利用虛擬技術實現多用戶應用并發運行，用戶對數據失去了控制，可能不會意識到詳細的云平臺安全策略、漏洞和惡意軟件信息.文獻[8]指出云平臺面臨不安全的API接口、內部攻擊、數據泄露、服務劫持、賬號盜用等安全問題.工業控制系統中關鍵數據的丟失和篡改都會給用戶帶來不可估量的損失，而這些問題都會使存儲在其中的數據面臨安全威脅.

Table 1 Threats to Industrial Control Systems

2.1.2 工業防火墻安全

工業控制系統和云之間的網絡連接可能會成為工業控制系統的后門，被攻擊者利用[9].因此，互補的網絡安全解決方案被引入到工業控制系統中，例如工業防火墻、工業網關.工業防火墻與傳統的防火墻原理類似，通過監控和控制網絡內部和網絡之間的流量來抵御攻擊.然而，工業控制系統的網絡環境相對復雜，例如老化的工業設備、分布在多個地點的網絡等.為了應對復雜的網絡環境，工業防火墻增加了加密、VPN、深度包檢測等功能.工業防火墻在工業控制系統的安全防護中扮演著重要的角色，但不能保證絕對的安全.2016年，在施耐德電氣的ConneXium防火墻產品中發現了一個緩沖區溢出漏洞，攻擊者可以在SNMP的登錄身份驗證過程中執行代碼[10].2019年，美國電網遭到了與工業防火墻相關的攻擊，攻擊者利用防火墻固件中的一個漏洞強制防火墻在10 h的時間內持續重啟，導致控制中心和受影響站點之間反復失去通信[11].

2.1.3 端口掃描攻擊

Shodan是一款網絡掃描工具，能夠很容易地識別面向互聯網的工業控制設備并詢問可用服務，發現現有服務的相關漏洞.文獻[12]從攻擊者的角度利用搜索引擎Shodan、漏洞數據庫等公共工具發現工業設備，查找常用設備的漏洞，并對設備和漏洞進行映射.文獻[13]通過Shodan搜索網絡上的PLC設備，分析并驗證了部分PLC漏洞.SHINE項目使用Shodan API和700多個專門設計的詢問來識別易受攻擊的面向互聯網的工業控制系統設備.該項目收集了超過1 000 000個IP地址，這些IP地址屬于SCADA和控制系統及其相關的設備[14].除此之外，文獻[15]展示了一種新的威脅向量，攻擊者可以利用PLC作為SNMP掃描器通往內部工業控制系統網絡的網關.文獻[16]提出了一種通過HMI進行單點滲透的方案，使用機器學習模型作為選擇識別工業控制系統流程的分類器，利用控制理論在工業控制系統中設計了通用的基于擾動的攻擊，攻擊者可以在沒有先驗知識的情況下進行高精確度的端到端攻擊.

2.2 防 御

2.2.1 霧計算

霧計算是一種水平的系統架構，將計算、存儲、控制和網絡功能分布到更接近用戶的地方[17].霧計算可以被認為是云計算的擴展.霧計算定義的系統要符合安全性、可伸縮性、開放性、自主性、可靠性等.霧節點可以放置在本地，是實現霧計算服務的物理和邏輯網絡元素.當數據量特別大時，霧節點也可以作為外部云存儲之間的中間件，對存儲在云中的數據進行加密/解密.對于邊緣設備則不需要知道底層存儲和安全機制[18].霧計算可以緩解傳統云計算模型中由于數據傳輸造成的高延遲問題，同時也有益于保持隱私數據及安全敏感數據的機密性[19].

2.2.2 蜜罐

蜜罐已經被證明是收集真實數據的非常有價值的工具，例如惡意軟件的有效載荷，可以幫助更好地理解攻擊者使用的攻擊方法和策略.本文對基于蜜罐的防御方法進行了歸納總結，如表2所示，常見的研究角度有收集攻擊數據、識別攻擊源、分析攻擊影響、交互擴展性和偽裝真實設備.文獻[20]提出了HoneyPLC，它是一個高交互、可擴展和惡意軟件收集的蜜罐，支持廣泛的PLC模型和供應商.該工具表現出了高水平的偽裝:它被多種廣泛使用的偵察工具識別為真實設備，包括Nmap，Shodan，Siemens Step7 Manager等.文獻[21]開發了幾十個蜜罐來收集與工業控制系統相關的攻擊數據，分析了工業控制系統面臨的主要攻擊方法和攻擊模式，識別出7個確定的攻擊源.文獻[22]設計了一個高交互的工業控制系統蜜罐網絡，可以識別和分析針對工業控制系統設備的攻擊.在一年多的時間里，作者收集了80 000個蜜罐交互，并進行了詳細分析，其中只有9個針對工業控制系統的惡意攻擊.惡意攻擊包括DOS、重放攻擊、操縱邏輯、協議攻擊和緩沖區溢出攻擊.文獻[23]設計了一種基于功能代碼和流量特征的分層DFA-SVM識別模型來識別Shodan掃描，并從掃描時間、掃描頻率、掃描端口、區域偏好、工業控制系統協議偏好、工業控制系統協議功能比例等方面評估Shodan掃描對工業控制系統的影響.

Table 2 The Work Comparison of Honeypot Defense

2.2.3 工業防火墻安全檢測

文獻[24]對2個商用工業控制系統防火墻進行安全測試，測試范圍覆蓋了功能測試、異常測試和滲透測試.文獻[25]提出了一種主機入侵檢測體系結構，允許執行IDS的多種常見功能(例如集中式Host IDS配置和管理、日志收集、系統審計、事件觸發或監控分析)，同時還支持被動入侵檢測 (例如日志和警報生成).

2.2.4 區塊鏈技術的應用

文獻[26]利用區塊鏈保證數據的完整性，采用高效的復制機制實現數據備份，使數據在遭受攻擊后能夠恢復.文獻[27]提出了一個基于區塊鏈的工業控制系統通信協議，以處理通信安全和系統設備存儲約束問題.文獻[28]提出了一種新的用于硬實時控制系統數據完整性驗證的遞歸水印算法，該文作者利用水印密鑰，將水印噪聲應用于硬實時信號，并通過未加密的硬實時通道發送，通過加密的非實時通道將相同的密鑰傳輸給接收方，因此使用相同的密鑰，接收方可以檢測數據是否被攻擊者修改.文獻[29]提出了基于區塊鏈的工業控制系統數據保護框架，該框架應用多簽名技術完成多方認證，實驗表明其適用于實時協同的工業控制系統.

3 HMI-設備通信安全

人機交互界面和設備的通信過程中存在較多的安全隱患，本節從攻擊和防御2個角度對HMI-設備通信安全進行了分析.

3.1 攻 擊

3.1.1 控制邏輯注入攻擊

現有的控制邏輯攻擊側重于通過網絡向目標PLC注入惡意控制邏輯，在工業控制系統中，PLC通常用于直接與傳感器和執行器交互，并執行局部自動控制.PLC上運行2種軟件:固件(即操作系統)和控制邏輯(類似于應用程序)，PLC基本架構如圖4所示.在PLC固件上運行的邏輯通常可以通過網絡或本地USB進行修改.控制邏輯注入攻擊面臨2個關鍵問題:1)攻擊PLC控制邏輯的程序；2)從控制中心中隱藏攻擊.

Fig. 4 PLC architecture圖4 PLC基本架構

文獻[30]提出了一個工業控制系統勒索軟件，它可以對文件和數據進行加密，修改PLC的邏輯控制.作者在SIEMENS S7-300 PLC上證明了攻擊的可行性.文獻[31]通過網絡操縱傳輸到PLC的數據包，進而對控制邏輯進行修改，該文作者在2個不同廠商的PLC上實現了攻擊，并證明這些攻擊可以成功躲避入侵檢測.文獻[32]提出了梯形邏輯編寫的惡意程序，通過持續改變行為或等待特定的觸發信號來激活惡意程序，進而中斷PLC的正常操作.文獻[33]研究了PLC梯形邏輯代碼或程序中存在的關鍵漏洞，并提出了相應的解決方案，以保證PLC的安全性.文獻[34]提出了針對單個PLC的虛假數據注入攻擊，攻擊者通過分析目標PLC的I/O軌跡，以產生一組輸入來控制PLC輸出，只需要子系統的部分信息，就可以達到想要的惡意結果.文獻[35]證明了PLC蠕蟲的可行性，其中PLC是攻擊的源頭，可能會在PLC內部傳播，不需要PC或服務器，因此不會被防病毒產品檢測到.文獻[36]分析了XGB PLC的內存和網絡協議結構，并利用發現的漏洞發起重放攻擊，在已有的存儲結構的基礎上，對PLC進行了內存調制攻擊并造成了致命錯誤.文獻[37]提出了一種針對PLC控制邏輯引擎的攻擊，利用PLC固有的編程方式和啟動/停止引擎的特點，通過網絡攻擊可以成功地使控制邏輯引擎失效.文獻[38]提出了一種新的反編譯工具，可以從網絡捕獲重構攻擊代碼.

3.1.2 ICS專有通信協議攻擊

工業控制系統專有協議用于工業軟件和工業設備之間的通信，指定了消息到功能的映射關系.除了標準協議規定的功能外，許多工業制造商還對其產品的功能進行了擴展，超出了原協議規定的范圍，同時這些操作很可能造成通信接口的暴露，在擴展功能實施的過程中沒有很好地考慮安全問題.文獻[39]通過對工業控制系統的重要組成部分PLC實施拒絕服務攻擊、啟動/停止攻擊和中間人攻擊來揭示攻擊的結構.文獻[40]通過操縱HMI和多個PLC之間的Modbus通信使人機界面顯示一致的系統假視圖，該攻擊成功地欺騙了操作人員，并使系統處于停電狀態.然而，文獻[41]指出文獻[40]中攻擊者只是隨機選擇一些指令進行反向操作，并不能保證攻擊目標的實現.因此，文獻[41]設計了一種增強的、策略性的多級語義攻擊，該攻擊依賴系統狀態轉換規則來精確地決定要反轉哪個控制指令，該方法可以在保持其隱蔽性的同時顯著提高攻擊成功率.文獻[42]提出了啟發式推理攻擊，攻擊者能夠對來自HMI和PLC之間的網絡請求和響應報文按照周期性發送順序進行排序，再根據報文長度進行分類推斷出PLC信號命令.

3.1.3 傳感器欺騙攻擊

基于聲學、射頻、激光和其他物理模式的模擬干擾會誘發故障，甚至控制傳感器的輸出.傳感器輸出的可用性和完整性受損，會給基于可靠傳感器測量進行自動化決策的關鍵安全系統帶來重大風險.文獻[43]提出了一種傳感器數據欺騙攻擊，攻擊者可以攔截傳感器測量值，通過讀取和修改通信信道中傳感器讀數，誘導系統達到不安全狀態，從而對系統造成破壞.文獻[44]在文獻[43]的基礎上提出了一種攻擊方案，其放寬了攻擊條件，允許更多類別的攻擊策略.文獻[45]提出了傳感器數據欺騙隱形攻擊，該攻擊不會被操作人員發現.文獻[46]提出并建立了離散事件系統的執行器攻擊模型,證明了正態攻擊者的存在性，并給出了其特征.文獻[47]合成了3種傳感器欺騙攻擊，使用一個離散的結構來模擬監督者和環境的交互.文獻[48]利用系統學習到的物理約束來操縱傳感器讀數的子集以躲避基于重構的異常探測器，從而隱藏攻擊.文獻[49]提出了第一個可證明的隱蔽通道，攻擊者使用高質量/低噪聲傳感器和計算單元構造一個隱蔽傳感器，隱蔽通信被編碼在秘密傳輸傳感器的輸出噪聲中，其分布與良性傳感器(具有可比規格)難以區分.

3.2 防 御

3.2.1 基于協議分析的異常檢測

文獻[50]利用了工業控制系統特定應用程序操作的周期性，測量協議不同階段執行中的偏差，以檢測在工業控制系統體系結構中的各層次上的異常事件.文獻[51]通過分析工業控制系統中網絡數據包的結構，從中提取工業控制系統中協議的特征，并應用無監督學習神經網絡方法進行工業控制系統異常檢測.文獻[52]提出了一種分析工業私有協議結構的方法，來提取控制設備的信息，實現對工業協議的有效網絡流量監控.由于工業協議的多樣性和缺乏統一的標準，使入侵檢測技術適應大量不同的協議有很大的困難.文獻[53]提出了將工業協議轉換為抽象的協議消息，以實現基于不同工業協議的獨立于協議的語義入侵檢測.

3.2.2 基于機器學習算法的異常檢測

目前主要的基于機器學習算法的異常監測工作如表3所示，具體描述如下.文獻[54]利用卷積神經網絡提出了特征處理算法，將傳統IT網絡的異常檢測知識轉移到工業控制系統網絡中，能夠充分挖掘流量數據的特征，并準確地識別異常行為.文獻[55]提出利用遞歸神經網絡對工業控制系統的網絡流量進行建模和預測，并用于異常檢測，以天然氣管道數據集為例，對2種遞歸神經網絡結構(LSTM和GRU)進行了測試.文獻[56]提出了一種基于深度神經網絡的集成電路異常檢測框架，該框架使用擴張卷積和長短期記憶(LSTM)層來學習工業控制系統中傳感器和驅動器數據的時間特征，在安全水處理試驗臺上得到了驗證.文獻[57]提出了一個異常檢測框架，利用機器學習和數據挖掘技術，從工業控制系統操作數據日志中提取規則，進行異常檢測.文獻[58]提出了一種新型的半監督雙隔離森林攻擊檢測系統，該系統由2個獨立的隔離森林模型組成，分別使用歸一化原始數據(執行器信號和傳感器測量的正常數據)和主成分分析對數據進行預處理，通過分離異常來檢測攻擊.

Table 3 Comparison of Attack Detection Based on Machine Learning Algorithm

3.2.3 基于軟件定義網絡的異常檢測

文獻[59]提出了基于云的入侵檢測和防御系統，利用軟件定義網絡和網絡功能虛擬化來檢測任何惡意網絡活動.文獻[60]針對工業控制系統的通信需求設計了一個基于軟件定義網絡和網絡功能虛擬化的通信基礎設施，開發了一種針對雙向工業控制系統流的攻擊檢測和定位算法，并設計了一種最佳干預策略，以滿足工業應用的通信和安全需求.文獻[61]在SDN控制器上執行深度包檢測來識別惡意網絡數據包.

3.2.4 基于流量和日志分析的異常檢測

文獻[62]提出了一種通過流量識別工業控制系統網絡攻擊的方法，該方法還可以通過流量分析評估惡意攻擊的意圖并提出了防御攻擊的建議.文獻[63]研究了影響工業系統的4種攻擊類型：直接攻擊、順序攻擊、時間攻擊和超請求攻擊，通過分析發送數據順序，提出了基于濾波器的攻擊檢測方法，并且具有良好的檢測結果.文獻[64]提出了一種基于行為模型的異常檢測方法，該方法從工業控制網絡流量中提取行為數據序列，建立控制器和工業控制系統受控過程的正常行為模型，并比較測試行為數據和預測行為數據，以檢測異常.文獻[65]提出了一種用于工業PLC的時序指紋識別技術，通過對PLC的輸入/輸出作為請求/響應消息的函數進行建模，從而對掃描周期和控制邏輯之間的關系進行建模來檢測重放攻擊.文獻[66]提出了一種新的方法對IEC-60870-5-104網絡中自發事件的時序特性進行建模，并利用該模型進行異常檢測.文獻[67]中基于自回歸綜合移動平均的流量預測模型可以對工業控制系統網絡的短期流量進行預測，并根據流量模式的異常變化準確檢測滲透攻擊.此外，該異常檢測模型采用單類支持向量機，能夠通過分析以太網/IP數據包中的關鍵字段來檢測惡意控制指令.文獻[68]提出了一種主機異常檢測系統，通過該系統可以實施過濾策略，以保護網絡主機.

文獻[69]提出了一種基于自編碼器的新方法，用于檢測工業控制系統運行中的異常情況，并且訓練了幾個基于具有不同架構的自動編碼器的神經網絡，并評估了它們中的每一個在檢測過程控制系統工作中的異常問題中的有效性.文獻[70]提出了一種基于時域和頻域分析的數據驅動入侵檢測方法，利用了閉環控制所需的傳感器測量，不消耗額外的系統資源，也不依賴系統模型,同時提取時域和頻域特征，利用工業控制系統正常運行條件下的特征向量建立隱式馬爾可夫模型用于實時入侵檢測.文獻[71]以系統的監控控制和數據采集日志作為輸入，利用數據驅動結構學習將系統的控制不變量抽象為控制圖，然后監控圖邊緣的權值以檢測異常.文獻[72]提出了一種基于復合自編碼器模型的學習正態模式的異常檢測方法，與一般的自編碼器神經網絡對數據進行預測和重構不同，該模型對輸入數據同時進行預測和重構，克服了單獨使用每一個數據的缺點，此外，利用模型得到的誤差，提出一個變化率來定位最可能受到攻擊的設備.

3.2.5 傳感器欺騙攻擊檢測

文獻[73]提出了檢測傳感器欺騙攻擊的檢測模型，傳感器系統通過關閉傳感器來監測傳感器輸出中的攻擊信號，一旦微控制器檢測到攻擊信號的存在，微控制器就拒絕進一步處理傳感器輸出.與其他檢測方法相比，該方法不僅成本低、節省空間，而且部署速度快.文獻[74]采用概率有限狀態自動機進行系統建模，根據成功達到不安全狀態的可能性，從概率的角度量化攻擊策略.文獻[75]提出了一種全分布式自適應控制策略，并獲得了漸近輸出一致性.文獻[76]提出了一種混淆方法，使控制器對執行器使能攻擊具有彈性，從而保持原有閉環系統的行為.

3.2.6 工業控制系統協議模糊測試

工業控制系統協議模糊測試可以有效地檢測協議的漏洞，表4對相關的研究工作進行了比較.文獻[77]介紹了一種基于差異感知的工業控制系統協議模糊種子選擇方法DSS.DSS比較工業控制系統消息以確定它們是否觸發相同的執行路徑，從而選擇包含少量種子但獲得高邊緣覆蓋率的高質量種子集.文獻[78]在目前應用最廣泛的協議模糊測試工具Peach的基礎上構建了Peach*，并在Modbus和DNP3等多個工業控制系統協議上進行了實驗.結果表明，與原Peach相比，Peach*的速度更快，發現的路徑更多.文獻[79]提出了一個函數代碼感知的模糊框架Polar，該框架通過實現新的語義感知突變和選擇策略對模糊過程進行優化.與AFL和AFLFast相比，Polar以1.5～12倍的速度實現相同的代碼覆蓋率和錯誤檢測數量，在24 h內發現的路徑數量增加了0～91%.文獻[80]提出了一個模糊系統ICPFuzze，該系統使用長短期記憶網絡學習協議的特征并自動生成突變測試數據，還利用測試的響應，調整權重策略，以發現更多導致異常連接狀態的數據.通過與開源和商用模糊測試工具的比較，驗證了該方法的有效性.

Table 4 Comparison of Fuzzing ICS Communication Protocols

3.2.7 遠程認證技術

文獻[81]提出了一種將混合遠程認證技術與基于物理的模型相結合的方法，以保持工業控制系統的控制行為完整性，并評估了它對針對安全水處理設施的各種攻擊的有效性.文獻[82]提出了一種用于工業控制系統控制過程的新型遠程認證方案，它將基于軟件的認證與物理行為關聯.該方案能夠檢測到在訓練階段未見過的攻擊，并通過計算控制過程驗證產生的加密哈希距離來測量異常.文獻[83]提出、實現并評估了一種委托認證協議，它是第一種用于缺乏對遠程認證硬件支持的商品設備的安全遠程認證技術，以實現對可能受到損害的遠程嵌入式設備的軟件狀態進行安全遠程驗證.

4 設備固件安全

在3.1.1節中描述的控制邏輯注入攻擊的主要目標是工業控制系統中的控制軟件及其通信過程，而不是直接修改底層設備固件.本節重點介紹了通過修改設備固件來執行遠程觸發攻擊以及針對此類攻擊的緩解方案.

4.1 攻 擊

攻擊者通過發現易受攻擊的程序內存，進而劫持程序的執行流程.哈佛結構的CPU廣泛應用于工業物聯網設備，文獻[84]利用程序漏洞永久地將任何代碼片段注入到哈佛結構的CPU程序內存中.文獻[85]研究了PLC固件漏洞，提出了一種通用的固件分析和遠程代碼注入攻擊方法，并進行實驗來演示如何更新和上傳固件.文獻[86]通過遠程修改目標PLC中運行的控制邏輯以自動中斷物理進程，還采用了一種新的虛擬PLC方法，通過將工程軟件與捕獲的原始控制邏輯的網絡流量結合起來，隱藏惡意修改操作.文獻[87]提出了一種對PLC的攻擊，進而實現了對電網控制系統的物理感知隱身攻擊.該程序可以在PLC的輸出模塊將控制命令發送到物理設備執行器之前修改控制命令，以最大限度地破壞物理電源設備，導致設備大規模故障.文獻[88]展示了攻擊者如何利用嵌入式設備引腳控制設備操作和相關的硬件中斷，篡改嵌入式系統I/O的完整性和可用性.文獻[89]介紹了針對智能電網的固件修改攻擊，通過修改中繼上運行的固件，進而利用中繼的設計缺陷使設備級聯斷電.在文獻[90]中，作者演示了如何使用常用的工具將固件加載到2個不同的現場設備的以太網卡，并指出攻擊者可以編寫自己的惡意固件，然后惡意固件加載到現場設備以太網卡，進而可以對被控制的進程、其他現場設備和控制系統網絡上的其他系統發起攻擊.

4.2 防 御

本文對設備固件安全相關的研究工作進行了歸納和整理，具體如表5所示.

4.2.1 靜態分析

文獻[91]將3.2萬份固件圖像分解成170萬個獨立文件，然后對其進行靜態分析，在超過693個固件映像中發現了38個以前未知的漏洞.文獻[92]介紹了工業物聯網領域的靜態程序分析工具，并對PLC程序進行了安全測試.文獻[93]開發了模塊化的工業控制程序逆向工程框架，用于工業控制系統二進制程序逆向分析.文獻[94]提出了一種PLC固件分析技術，將可疑的固件與原始固件進行靜態分析，檢測代碼差異，例如刪除、添加和修改函數等.文獻[95]提出了一種基于程序分析和時間上下文的自動安全審查方法，通過執行靜態程序分析創建定時事件因果關系圖，分析PLC代碼和事件之間的因果關系，生成事件序列，可用于自動檢測隱藏的安全違規.

Table 5 Summary of Device Firmware Security

4.2.2 固件安全更新

文獻[96]提出了一個確保固件更新的完整性和真實性的工具，該工具能夠成功提取正在傳輸的固件信息，及時識別和阻止被篡改的固件.文獻[97]開發了一個工業控制系統模糊測試框架，用于評估PLC二進制文件和控制器交互的安全性.文獻[98]利用設備固有的物理特性和集成的加密模塊對固件包進行身份驗證，以確保固件的保密性和完整性.文獻[99]提出了一個確保PLC固件更新完整性的方案，通過監控固件更新命令，進而捕獲固件，在固件傳遞給PLC之前進行驗證.文獻[100]提出了一個嵌入式系統固件安全更新的框架.該框架基于硬件原語和加密模塊，可以部署在通信通道不安全的環境中.

4.2.3 其他方法

文獻[101]通過測量固件執行過程中發生的低級硬件事件的數量來檢測嵌入式控制系統固件中的惡意修改.文獻[102]提出對合法的PLC有效負載程序的運行行為進行建模，并在PLC固件中使用運行行為監控來檢測有效負載攻擊，并通過監控I/O訪問模式、網絡訪問模式以及負載程序的時序特征，檢測惡意PLC負載的異常行為.文獻[103]提出了VulHunter，即在分析已知漏洞補丁包的基礎上發現未知漏洞，設計并實現了二進制比較、包提取和背景語義求解等算法.文獻[104]提出了一個分布式工業控制系統的控制行為完整性解決方案，該方案可以精確地模擬所有PLC的狀態，通過監控整個ICS的輸入和輸出行為，檢測出PLC行為中的不一致性.

5 其他研究

5.1 高級持續威脅的防護

高級持續威脅是一種針對特定組織的復雜攻擊類型，攻擊者擁有豐富的經驗和資源，可以在長時間不被發現的情況下滲透到受害者網絡[105].文獻[106]提出一種基于意見動力學的新技術，該技術允許跟蹤攻擊的所有階段，通過關聯不同的異常測量隨時間的變化，從而估計威脅的持久性和資源的臨界值.由此產生的信息對于監測控制系統的整體健康狀況和部署相應的響應程序至關重要.文獻[107]建立了傳播模型來探索PLC-PC蠕蟲在PLC-PC耦合網絡中的傳播行為，并提出了抑制PLC-PC蠕蟲傳播和降低工業控制系統網絡安全威脅的建議.

5.2 對抗樣本攻擊

基于機器學習的入侵檢測系統的普及和應用使得工業控制系統的網絡攻擊檢測更加靈活和高效.然而，也引入了一個額外的攻擊向量——對抗樣本攻擊.目前關于對抗機器學習的研究主要集中在互聯網領域，它給CPS應用帶來的風險還沒有得到很好的研究.文獻[108]利用生成對抗網絡和工業控制系統的攻擊數據自動生產攻擊.文獻[109]研究了應用于CPS的機器學習的潛在漏洞，提出了約束對抗機器學習算法，該算法可以有效地生成對抗性的樣本，即使在實際約束下也會顯著降低機器學習模型的性能.文獻[110]通過使用基于雅可比矩陣的顯著映射攻擊生成對抗樣本，同時探索分類行為，探討了對抗學習如何用于目標監督模型.

5.3 工業控制系統實驗臺

在實際操作現場開發或驗證安全技術是相當困難的，為了保證工業控制系統的安全性，需要創建與實際環境相似的實驗環境.數學模型能夠準確量化維持特定工業控制系統的系統動態和控制回路穩定性所需的開銷.文獻[111]設計了基于實際工業控制系統的實驗測試平臺，提出了用數學模型來評估工業控制系統中安全解決方案的效率和彈性，并對所提出模型的有效性進行了評估.文獻[112-113]針對各種攻擊場景的工業控制系統數據集進行了比較分析，并討論了將數據集應用于工業控制系統安全研究的注意事項，建立了用于實驗環境的工業控制系統試驗臺，為應用機器學習和人工智能算法的IDS系統提供數據集.文獻[114]設計了一個配電自動化實驗平臺，并利用該平臺發現多個SCADA基礎設施漏洞.

5.4 軟件定義網絡安全

軟件定義網絡(software defined network, SDN)允許軟件對網絡流進行實時控制.在工業控制系統中，SDN可以提供負載均衡、防火墻、流量監控等常規路由之外的特定功能.現在越來越多的研究中使用了SDN.文獻[115]對現有的SDN攻擊進行了整理，通過SDN測試臺來評估這些攻擊的嚴重性.文獻[116]研究了工業控制系統環境中SDN的攻擊.網絡控制的集中化使工業控制系統成為主要的攻擊目標，可能導致系統內出現單點故障，控制SDN控制器的攻擊者幾乎獲得對網絡的完全控制，作者描述并演示了一些簡單但高效的攻擊.

6 工業物聯網安全的挑戰與機遇

本節基于第5節中對安全威脅以及相應的防御方案的分析，提出當前研究面臨的挑戰和機遇.圖5中展示了挑戰和機遇的對應關系.

Fig. 5 Challenges and opportunities圖5 挑戰與機遇

6.1 目前面臨的主要挑戰

6.1.1 安全防御機制缺失

由于早期設計過程中工業控制系統與互聯網隔離，因此安全機制沒有被詳細地考慮，同時工業設備的硬件無法輕易地被替換，導致現有的部分設備沒有通信加密和認證方案.文獻[117]調研了美國工業控制系統網絡應急響應小組發布的關于277家供應商工業控制系統設備的988份漏洞報告，發現最常見的漏洞與“輸入驗證不當”有關，其次是“網頁生成過程中輸入中和不當”和“認證不當”.除此之外，工業控制系統的生命周期比標準計算機系統長，隨著攻擊技術不斷進化，勢必將對工業控制系統安全造成嚴重的威脅.

6.1.2 工業控制系統專有協議安全漏洞較多

文獻[118]指出目前仍有大部分設備使用Modbus TCP，EtherNetIP，Profinet和DNP3協議，在網絡上很容易掃描到這些設備.由于協議存在認證缺失、權限管理缺失、加密缺失等安全問題，設備很容易被攻擊者控制.文獻[119]總結了針對工業通信協議“Modbus協議”的安全攻擊，包括攔截、中斷、修改、偽造.除此之外，在工業控制系統中，部分工業控制系統協議通常是設備專有的，是由供應商或利益相關方保密的，確切的協議規范是不開放的.這給安全人員分析協議的安全性帶來了一定的困難.

6.1.3 高級持續威脅

目前工業控制系統面臨許多安全威脅，其中危害最大的是APT攻擊[120]，并且針對工業控制系統的大型攻擊都屬于APT攻擊，例如Stuxnet，Flame和Havex.APT攻擊的參與者往往是組織良好的且可能是由政府資助的黑客和專業人士，他們有能力開發和維護專門為自己的目的而設計的惡意軟件，并能解讀竊取到的數據.通常APT的攻擊方式較復雜，攻擊范圍相對于其他普通的攻擊方式來說較窄，但是能在更長的時間內保持不被發現，因此使得APT攻擊更難檢測和防御.目前，工業控制系統的安全防御措施并不能有效地抵御APT攻擊，在未來的研究工作中可以結合工業控制系統的特點，制定有針對性的防御方案.

6.1.4 工業控制系統數據安全

數據是第4次工業革命的核心，數字化、自動化、智能化的背后都依賴數據的分析和處理.由于連接的工業設備種類和數量的增加，工業控制系統產生并需要處理的數據在快速增長.工業4.0中最大的問題之一就是如何在不影響系統完整性、不泄露數據隱私和不增加成本的情況下管理大量冗余數據.工業控制系統數據安全主要包括數據存儲安全、數據訪問安全和數據傳輸安全.如果任何環節出現問題，都會給公司帶來巨大的損失，例如，未經授權的訪問或者越權訪問敏感數據，就會導致數據泄露給公司帶來嚴重影響.

6.1.5 內部攻擊或安全配置管理環節薄弱

內部攻擊是指組織內部人員使用工具對工業控制系統發起一系列違規的操作.內部人員對工業控制系統有一定的權限，因此內部攻擊的危害遠大于外部攻擊.工作人員的安全意識薄弱，會導致工業防火墻配置不當、使用設備出廠時統一的安全口令或者密碼強度較弱、沒有及時更新固件或未打補丁的固件等，這些都會給工業控制系統帶來嚴重的安全威脅.

6.2 未來研究機遇

6.2.1 工業控制系統模擬

對于大多數研究機構來說，為網絡安全研究構建工業控制系統的成本太高，難以實現.然而，模擬方法允許研究人員輕松部署工業控制系統，以分析它對攻擊的反應.文獻[121]討論了使用Node-RED(一種開源軟件)來模擬工業控制系統的環境，以處理可編程邏輯控制器的任務，并更新和管理Modbus TCP/IP服務器.文獻[122]提出了工業控制系統網絡靶場的開發，該靶場基于實時攻防游戲模型，結合典型工業系統的動態仿真模型.當系統的單個部件因故障或其他原因而無法運行時，由于替換組件與初始組件不同，需要一個完整的工作周期來驗證可替換組件的可用性.將數字雙胞胎包含在對象及其控制系統的生命周期中，可以有效地解決在這種情況下系統修改(單個組件更換)的問題.數字雙胞胎是一個更便宜的模擬系統，可以用于測試.由于某些屬性允許對多個副本進行并行測試，并在某些限制內影響模型時間，因此它提供了更高質量的測試.數字雙胞胎是工業控制系統的虛擬實體，它為安全研究提供了新的平臺，例如模擬和復制系統行為[123].文獻[124]提出了一種基于數字雙胞胎的入侵檢測算法實現方案，通過數字雙胞胎可以精確地反映物理系統的內部行為.該算法放置在數字雙胞胎中能夠及時檢測攻擊，對不同類型的攻擊進行分類，而不會對實際系統造成負面影響.

6.2.2 霧計算

霧計算除了能夠實現工業控制系統到云端的數據安全存儲外，還能實現流量監控和分析.文獻[125]提出了一種基于霧計算的分布式DDoS防御方案，該方案將流量分析工作負載靈活分配到多個分布式位置并根據需要分配虛擬化的網絡計算功能.霧節點由于不受計算資源的嚴格限制，并且響應時間短，因此能夠對本地的安全事件及時響應，更好地維護工業控制系統的安全.

6.2.3 區塊鏈的應用

區塊鏈被廣泛應用于金融領域，例如比特幣、以太坊.區塊鏈能夠有效地記錄分布式點對點網絡上2個或多個參與方之間的交易,存儲的數據由網絡中的所有成員共同擁有,并且永久不可修改[126].區塊鏈為多個實體進行數據交互提供了一個可信和安全的平臺，可以用于工業控制系統中數據的收集和存儲，例如智能能源[127].除此之外，區塊鏈還可以用于工業控制系統中的安全通信[128]、設備管理[129]、異常檢測[130].在過去的幾年中出現了許多區塊鏈項目，但目前區塊鏈的研究還處于起步階段，它還面臨可擴展性、能源和成本效率、資源約束等挑戰.

6.2.4 工業控制系統協議標準化

目前工業控制系統中使用的通信協議存在較多的安全隱患，研究人員除了對當前使用的協議進行安全測試來修復漏洞，還可以根據需求設計安全的通用協議來解決當前面臨的困境.國家相關的部門也可以出臺相應的政策對工業控制系統通信協議進行標準化.

6.2.5 入侵檢測

雖然現在已經有多種入侵檢測方案被提出，例如基于協議分析的檢測方案、基于流量和數據分析的檢測方案等,但是隨著計算能力和攻擊技術的進步，新型攻擊會不斷出現，例如針對機器學習算法的毒化攻擊[131].因此要實時關注攻擊者的動向，更新入侵檢測技術，才能更好地抵御攻擊者的進攻.

7 總 結

由于工業控制系統的開放性、復雜性和多樣性，所以在其發展過程中不可避免地面臨各種各樣的安全威脅，針對各類安全威脅的有效防御是保障工業控制系統安全的重要方式和手段.本文調研了近3年工業控制系統安全研究中的代表性工作，依據工業控制系統的體系結構，從攻擊和防御的角度分別闡述其中的主要類型，并以此為基礎分析了當前工業控制系統領域面臨的挑戰.工業控制系統的模擬、霧計算、區塊鏈的應用以及工業控制系統協議的標準化的進步給未來研究帶來了機遇.隨著“工業4.0”的不斷推進，相應的安全研究也必將不斷深入，為工業控制系統的發展提供保障.

作者貢獻聲明：楊婷設計論文整體調研方案及論文撰寫；張嘉元負責論文部分撰寫及畫圖；黃在起、陳禹劼、黃成龍負責論文素材整理及論文部分撰寫；周威、劉鵬、馮濤負責最終論文的審核及修訂；張玉清提出論文整體研究思路，及最終論文的審核與修訂.