核電工控網絡私有協(xié)議安全高效解析方法的實現

劉 元1，李紅霞1，權小康2，褚 瑞3

（1.北京廣利核系統(tǒng)工程有限公司，北京 100094；2.北京威努特技術有限公司，北京 100085；3.上海中廣核工程科技有限公司，上海 200241）

工業(yè)控制系統(tǒng)等級保護安全設計技術框架[1]體系中第0層、第1層、第2層的邊界通信以及通信網絡之間，工控系統(tǒng)均會使用各類工業(yè)協(xié)議。針對核電工業(yè)控制系統(tǒng)，涉及的工業(yè)協(xié)議大多屬于私有協(xié)議，協(xié)議的各種規(guī)范和格式屬于核心商密。而網絡安全防護設備如監(jiān)測審計系統(tǒng)、工業(yè)防火墻等需要采取網絡安全措施[2]實現相應的網絡安全功能，需要在工業(yè)協(xié)議數據分析時對應用層的通信數據進行深度解析，建立應用層通信協(xié)議基線，及時識別未知風險。如何既能解決協(xié)議保密性又能達到網絡安全設備深度協(xié)議解析的目的，通過研究本文給出了一種方法，可實現快速、安全及可靠的通信協(xié)議解析。

1 核電行業(yè)網絡安全防護背景

為應對國內外日益復雜嚴峻的網絡安全形勢，國家及部委相繼出臺網絡安全相關政策法規(guī)，要求并指導企業(yè)做好國家關鍵信息基礎設施的網絡安全防護工作。結合核電工控系統(tǒng)特點，基于信息安全技術網絡安全等級保護基本要求[3]，即“一個中心，三重防護”設計理念，采用程序白名單、外設白名單及網絡通信行為白名單[4]等技術，構建核電工控系統(tǒng)網絡安全的“白環(huán)境”，實現核電工控系統(tǒng)積極防御、綜合防范、本質安全[5]的縱深防御體系的建立。

白名單是一種安全結構模型，是合法的程序、IP、通信行為規(guī)則等生成的安全列表，白名單上的所有內容都可以建立通信訪問系統(tǒng)資源，而不在白名單上的部分則被拒絕訪問。相對于黑名單而言，白名單強調“確定的安全”，所有的未知都不允許。

網絡通信行為白名單技術是應用于核電工控系統(tǒng)安全通信網絡及安全區(qū)域邊界的重要的防護手段。通過網絡通信行為白名單技術，可及時發(fā)現不在白名單內的違反協(xié)議規(guī)約、非法攻擊及異常操作的行為并進行審計和告警，以便電廠及時進行告警處理或應急響應。而核電工控系統(tǒng)私有協(xié)議解析技術是實現核電工業(yè)協(xié)議應用層數據深度解析，建立核電工業(yè)協(xié)議網絡通信行為白名單的基礎。

核電工控系統(tǒng)網絡通信協(xié)議除了標準的工業(yè)協(xié)議，如Modbus協(xié)議、IEC-104協(xié)議等，更有許多私有的工業(yè)協(xié)議。核電工控系統(tǒng)網絡通信協(xié)議的多樣性、復雜性與保密性造成了針對工控網絡安全問題而設計的網絡安全防護或審計產品往往無法覆蓋所有的工業(yè)協(xié)議，網絡安全設備也就無法完成對未知協(xié)議通訊的安全防護與審計。如何高效、可靠地解析核電工控系統(tǒng)私有網絡通信協(xié)議，并且確保解析過程安全保密是重點要解決的技術問題。

2 私有協(xié)議解析流程

目前，許多網絡安全防護或審計產品都支持使用描述語法方式來實現協(xié)議的解析。結合核電工控系統(tǒng)特點，本文重點研究論證一種通過描述語法方式填寫協(xié)議解析規(guī)則，并采用安全加密技術、協(xié)議解碼與熱切換技術來實現私有工業(yè)協(xié)議安全可靠、快速適配解析的方法。

實現流程如圖1，主要包括4個方面的內容。

圖1 協(xié)議解析流程Fig.1 Protocol analysis process

私有協(xié)議解析流程包括：①確認通信關鍵字段；②定義協(xié)議解析規(guī)則；③使用安全加密技術對協(xié)議解析規(guī)則文件加密；④防護設備使用協(xié)議解碼與熱切換技術實現協(xié)議解析功能。

前3項由授權人員完成，授權人員通常指私有協(xié)議權利方指定相關人員。

3 私有協(xié)議解析的實現方法

3.1 確認通信關鍵字段

私有協(xié)議的應用層數據的字段長度、數量、取值范圍根據不同協(xié)議承載的業(yè)務不同而差異較大。協(xié)議解析不需要對所有的字段進行全面深度解析，重點對偽造、篡改后可能造成業(yè)務、生產、安全等危害的相關應用層通信數據

字段納入關鍵字段范圍進行深度解析。授權人員需要基于通信協(xié)議的應用場景的不同，結合工控系統(tǒng)實際情況利用以上關鍵字段選取原則選擇確認需要深度解析的關鍵字段。然后，確定關鍵字段在整個數據包中的所處位置、字段長度、取值范圍等信息，明確協(xié)議解析規(guī)則文件所需填寫的內容。

3.2 定義協(xié)議解析規(guī)則

在協(xié)議解析規(guī)則文件中需要定義及配置的內容包括：待檢測報文的IP地址、端口、傳輸層協(xié)議、報文的指紋特征，待檢測應用層報文的提取規(guī)則、報文的合法值以及檢測到不符合執(zhí)行的動作等。

1）定義協(xié)議的識別特征。即承載所述協(xié)議的報文區(qū)別于其他報文的特征，包括MAC地址、IP地址、傳輸層協(xié)議、端口。

例如，“傳輸層協(xié)議：TCP；端口：1000”的識別特征，按照描述語法方式填寫相應的協(xié)議解析規(guī)則如圖2。

圖2 定義協(xié)議的識別特征Fig.2 Define the identification characteristics of the protocol

2） 定義應用層協(xié)議報文提取規(guī)則。采用顯式表述方式，即按照“核電私有協(xié)議規(guī)范”定義的格式，依次定義應用層協(xié)議的字段數量、順序、長度、讀寫順序，是否需要協(xié)議深度解析。

例如，定義“一個應用層數據包包含4個字段，其中‘CLASS’‘TN’需要深度解析，超過8位的字段都是從小端讀取”，按照描述語法方式填寫相應的協(xié)議解析規(guī)則如圖3。

圖3 定義應用層協(xié)議報文提取規(guī)則Fig.3 Define application layer protocol message extraction rules

3）定義應用層協(xié)議報文的合法值。對于經檢查符合1）、2）中字段要求的應用層數據包，會進一步進行協(xié)議規(guī)約檢查。定義每個應用層字段的取值范圍，然后檢查通信數據是否符合規(guī)定的協(xié)議約束條件，可以及時發(fā)現異構偽造的數據包。若出現不符合約束條件規(guī)定的異常數據，則執(zhí)行規(guī)約告警動作。

例如，定義“CLASS～TN4個字段取值范圍，檢查出不符合后執(zhí)行規(guī)約告警的動作”，按照描述語法方式填寫相應的協(xié)議解析規(guī)則如圖4。

圖4 定義應用層協(xié)議報文的合法值Fig.4 Define the legal value of the application layer protocol message

4）定義白名單學習內容。按照“核電私有協(xié)議規(guī)范”定義的語法格式，對符合1）～3）協(xié)議規(guī)則且需要深度解析的關鍵字段，定義工業(yè)協(xié)議白名單學習并展示的內容。

例如，定義“源IP、目的IP、CLASS、TN”4個關鍵字段的白名單學習并展示的內容，按照描述語法方式填寫相應的協(xié)議解析規(guī)則如圖5。

圖5 定義白名單學習內容Fig.5 Define white list learning content

5）完成協(xié)議解析規(guī)則文件編制。按照描述語法方式填寫1）～4）相應的協(xié)議解析規(guī)則，編制完成協(xié)議解析規(guī)則文件，并記錄版本號。

3.3 使用安全加密技術對協(xié)議解析規(guī)則文件加密

使用指定好的安全加密軟件采用SSL加密技術，采用RSA和SHA512加密算法對協(xié)議解析規(guī)則文件進行加密。對于編輯好的協(xié)議解析規(guī)則文件，按照標準的安全加密流程進行安全加密，安全加密軟件自動生成安全加密指定格式（例如：.pkg）的協(xié)議解析引擎加密文件。協(xié)議解析引擎加密文件可中間傳遞，最終被導入到網絡安全防護設備中使用。傳遞過程中，即使文件被竊取或丟失，也不存在泄密風險，保證了私有協(xié)議核心商密的安全可靠。

3.4 防護設備使用協(xié)議解碼與熱切換技術實現協(xié)議解析功能

通過協(xié)議解碼規(guī)則及協(xié)議規(guī)則熱切換技術[6]實現協(xié)議解析引擎加密文件導入防護設備后，對協(xié)議的自動快速更新、識別與解析。

網絡安全防護設備導入協(xié)議解析引擎加密文件后需要解決兩個重要問題：一是解析引擎文件的解密及協(xié)議內容解碼；二是如何在原有的正在運行的協(xié)議解析規(guī)則基礎上，實現新的協(xié)議解析規(guī)則的熱切換，熱切換可避免重啟設備等影響，保證切換過程不影響防護設備的正常防護及審計功能。

3.4.1 文件解密及協(xié)議解碼技術的實現

1）協(xié)議解析引擎加密文件導入網絡安全防護設備后，設備側的解密軟件對該加密文件解密，并提取其中的協(xié)議解析規(guī)則內容存放在臨時內存中，供流量解析使用。協(xié)議解析引擎加密文件本身依然為加密文件，即使攻擊者成功地攻擊了網絡安全設備并獲取了后臺權限，也依然無法得到協(xié)議解析規(guī)則文件的明文。

2）網絡安全防護設備讀取臨時內存中協(xié)議解析規(guī)則內容并使用設備支持的協(xié)議解析描述語法方式進行編譯，轉換成程序能夠識別的二進制內容。

具體步驟如下：

步驟1：讀取協(xié)議解析規(guī)則內容，按照規(guī)則描述中指定的語法格式加載規(guī)則內容。

步驟2：計算能夠忽略的字段的長度，更新累計偏移量。由于能夠忽略的字段的值不需要解析出來，只需要根據能夠忽略的字段的長度更新累計偏移量，而不用計算能夠忽略的字段的偏移量。

步驟3：計算關鍵字段的偏移量和長度，此處關鍵字段為解析規(guī)則文件中描述的需要深度解析的字段。

按照如下公式計算有用的字段的偏移量和長度：

其中，Offset是當前計算的有用字段的偏移量；Offset accumulate是累計偏移量，其初始值為0；length是從協(xié)議解析規(guī)則文件中讀取的當前計算的關鍵字段的長度。

步驟4：協(xié)議解碼轉換。根據步驟3計算的關鍵字段的偏移量和長度，依次解析出關鍵字段、取值范圍等信息，并將解析出的規(guī)則信息轉換成設備能夠識別的二進制代碼。當設備接收到報文后，根據加載的二進制代碼對報文內容進行解析處理，實現對接收協(xié)議內容的識別和解析。

3.4.2 協(xié)議解析規(guī)則熱切換技術的實現

解碼后的協(xié)議規(guī)則存放在臨時內存中，需要將設備正在運行的協(xié)議解析規(guī)則切換為臨時內存中的協(xié)議規(guī)則。協(xié)議切換的流程步驟如圖6。

圖6 協(xié)議解碼規(guī)則選擇流程Fig.6 Selection flow of protocol decoding rules

首先，記錄當前正在使用的協(xié)議解析規(guī)則版本信息，在新協(xié)議解析引擎文件導入后記錄新協(xié)議解析規(guī)則的版本號，通過比較版本號確認是否為新協(xié)議導入，并記錄版本號變化開始的流節(jié)點時間。tcontinue是由設備結合當前會話老化時間、剩余待處理數據內容計算出的能夠有效保證當前正在解析流量全部解析完畢的時間。當前時間與流節(jié)點上記錄的時間差值大于tcontinue時，可以將當前協(xié)議解析規(guī)則的內容釋放清空，再使用新的協(xié)議解析規(guī)則進行規(guī)則匹配，從而保證解碼內容的完整性和一致性，實現不同版本的協(xié)議解析引擎加密文件自動實時切換而不需要重新啟動防護設備。

4 結論

本文論述的核電私有協(xié)議解析技術基于選擇私有協(xié)議深度解析的關鍵字段、自定義協(xié)議解析規(guī)則、使用安全加密技術及協(xié)議解碼與熱切換技術，實現了核電工業(yè)協(xié)議尤其是私有協(xié)議在保密情況下的安全可靠、快速及深層解析。這一方法可實現覆蓋核電廠所有工業(yè)協(xié)議的解析，為建立核電工業(yè)協(xié)議網絡通信行為白名單提供了技術支撐。

使用工業(yè)協(xié)議白名單技術的網絡安全監(jiān)測審計設備及工控防火墻設備已在相關核電基地獲得廣泛應用，實現了核電廠工控系統(tǒng)的安全通信網絡及安全區(qū)域邊界的安全防護，有效提升了核電廠工控系統(tǒng)縱深安全防御能力。