基于油氣集輸半實(shí)物仿真平臺的工控網(wǎng)絡(luò)安全測試研究

何戡 陳金喆 宗學(xué)軍 齊濟(jì) 孫永超

基金項(xiàng)目：遼寧省“興遼英才”計劃（批準(zhǔn)號：XLYC2002085）資助的課題；遼寧省教育廳2020年度科學(xué)研究經(jīng)費(fèi)項(xiàng)目（批準(zhǔn)號：LJ2020020）資助的課題。

作者簡介：何戡（1978-），副教授，從事工業(yè)過程控制、機(jī)器學(xué)習(xí)等的研究。

通訊作者：陳金喆（1996-），碩士研究生，從事工業(yè)信息安全的研究，1159125190@qq.com。

引用本文：何戡，陳金喆，宗學(xué)軍，等.基于油氣集輸半實(shí)物仿真平臺的工控網(wǎng)絡(luò)安全測試研究［J］.化工自動化及儀表，2024，51（2）：274-283.

DOI：10.20030/j.cnki.1000-3932.202402017

摘 要 由于無法在實(shí)際環(huán)境中對工業(yè)控制網(wǎng)絡(luò)進(jìn)行安全測試，提出一種基于油氣集輸半實(shí)物仿真平臺的網(wǎng)絡(luò)安全測試方法。該方法通過分析真實(shí)環(huán)境中工業(yè)控制網(wǎng)絡(luò)的結(jié)構(gòu)和脆弱性，構(gòu)建網(wǎng)絡(luò)安全測試模型，分別采用DoS攻擊、重放攻擊和虛假數(shù)據(jù)注入攻擊方式對仿真平臺進(jìn)行網(wǎng)絡(luò)攻擊測試，并通過組態(tài)操作界面和沙盤模型對攻擊效果進(jìn)行驗(yàn)證；同時，對測試過程中出現(xiàn)的網(wǎng)絡(luò)安全問題進(jìn)行總結(jié)并提出了防御措施，可為工業(yè)控制網(wǎng)絡(luò)安全防護(hù)提供重要參考。

關(guān)鍵詞 工業(yè)控制網(wǎng)絡(luò) 半實(shí)物平臺 工控協(xié)議 網(wǎng)絡(luò)安全測試 ARP欺騙

中圖分類號 TP393.08? 文獻(xiàn)標(biāo)志碼 A? ?文章編號 1000-3932（2024）02-0274-10

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是對工業(yè)生產(chǎn)制造過程中各類自動化組件和實(shí)時數(shù)據(jù)采集、監(jiān)控等過程控制組件的總稱，廣泛應(yīng)用于我國電力、石化、交通及燃?xì)獾汝P(guān)鍵基礎(chǔ)設(shè)施和生產(chǎn)制造領(lǐng)域［1］。近年來，隨著工業(yè)化和信息化兩化融合的不斷推進(jìn)，大量ICS設(shè)備開始接入互聯(lián)網(wǎng)，逐漸形成開放式工業(yè)控制網(wǎng)絡(luò)（以下簡稱工控網(wǎng)絡(luò)）［2］。在帶來便捷性的同時，也引發(fā)了越來越多的網(wǎng)絡(luò)安全問題［3］。2015年12月，烏克蘭3家供電公司的信息系統(tǒng)遭到黑客攻擊，造成約23萬人斷電［4］；2017年5月，全球爆發(fā)的WannaCry勒索病毒，使100多個國家和地區(qū)的電腦受到攻擊［5］；2021年5月，美國最大精煉油管道系統(tǒng)公司Colonial遭到勒索攻擊，被迫關(guān)閉多條供油網(wǎng)絡(luò)［6］。工控網(wǎng)絡(luò)安全至關(guān)重要，一旦受到攻擊將會造成難以承受的后果。

因此，開展工控網(wǎng)絡(luò)安全測試是保障其安全性的重要手段［7］。但由于工控網(wǎng)絡(luò)具有實(shí)時性強(qiáng)、可靠性高等特點(diǎn)，并與實(shí)際物理流程緊密相連，導(dǎo)致無法在實(shí)際生產(chǎn)環(huán)境中直接進(jìn)行網(wǎng)絡(luò)安全測試［8］。在這一情況下，ICS仿真平臺便成了開展工控網(wǎng)絡(luò)安全測試研究的重要抓手［9］。

關(guān)于仿真平臺的研究，一網(wǎng)站［10］介紹了在美國能源部資助下建立的NSTB大型測試平臺，其通過全實(shí)物的形式將電網(wǎng)控制系統(tǒng)復(fù)現(xiàn)，用于開展攻擊測試、安全防護(hù)等研究。MORRIS T等介紹的密西西比州立大學(xué)創(chuàng)建的關(guān)鍵基礎(chǔ)設(shè)施測試平臺，包括燃?xì)夤艿涝趦?nèi)的7個物理過程和控制系統(tǒng)，研究人員通過平臺開發(fā)出一個串行Modbus和DNP3記錄器［11］。URIAS V等介紹的LVC測試床，通過物理硬件+仿真軟件形式對電力行業(yè)SCADA系統(tǒng)進(jìn)行復(fù)現(xiàn)，用于安全評估和網(wǎng)絡(luò)攻擊類別研究［12］。近年來，隨著國家對工控安全的不斷重視，國內(nèi)多家科研機(jī)構(gòu)和高校院所也開始了關(guān)于測試平臺的研究。北京威努特技術(shù)有限公司開發(fā)的工控網(wǎng)絡(luò)攻防演練平臺［13］，集攻防演練、安全評測、科研培訓(xùn)多種功能于一體。朱文華等設(shè)計的基于RobotStudio的工業(yè)機(jī)器人工藝仿真平臺，可以用于工藝仿真結(jié)果的可行性測試［14］。楊輝等設(shè)計的重載列車輔助駕駛系統(tǒng)半實(shí)物仿真平臺，完成了輔助駕駛相關(guān)軟件的設(shè)計，并將軟件與硬件平臺相結(jié)合，驗(yàn)證了半實(shí)物仿真平臺對軟件功能測試的實(shí)用性和有效性［15］。由此可見，ICS仿真平臺不僅可以在ICS的設(shè)計研發(fā)、功能測試及故障診斷等方面提供真實(shí)的工業(yè)環(huán)境，還能針對不同的工業(yè)場景進(jìn)行模擬攻擊、漏洞挖掘及風(fēng)險評估等系統(tǒng)健壯性研究，對提升ICS的安全監(jiān)測和防護(hù)能力具有重大意義［16］。

基于上述背景，筆者通過對工控網(wǎng)絡(luò)結(jié)構(gòu)及其脆弱性進(jìn)行分析，建立網(wǎng)絡(luò)安全測試模型，并通過該模型對油氣集輸半實(shí)物仿真平臺開展工控網(wǎng)絡(luò)安全測試，以攻擊者角度，通過分析平臺網(wǎng)絡(luò)存在的安全薄弱點(diǎn)，先后對其發(fā)起DoS攻擊、重放攻擊和虛假數(shù)據(jù)注入（False Date Injection，F(xiàn)DI）攻擊；并在明確攻擊路徑后，又以防御者角度對測試過程中暴露的網(wǎng)絡(luò)安全問題進(jìn)行總結(jié)，提出了以平臺為代表的ICS網(wǎng)絡(luò)安全加固方案，以期為后續(xù)工控網(wǎng)絡(luò)安全建設(shè)提供參考。

1 相關(guān)工作

本節(jié)主要介紹油氣集輸半實(shí)物仿真平臺ICS網(wǎng)絡(luò)的基本結(jié)構(gòu)及其薄弱點(diǎn)，并闡明了通過油氣集輸半實(shí)物仿真平臺進(jìn)行ICS網(wǎng)絡(luò)安全測試研究的可行性。

1.1 ICS網(wǎng)絡(luò)的基本結(jié)構(gòu)

ICS適用于多種行業(yè)，但由于各行業(yè)控制工藝不盡相同，工控網(wǎng)絡(luò)結(jié)構(gòu)也會存在較大差異，但總體會呈現(xiàn)出明顯的網(wǎng)絡(luò)層次結(jié)構(gòu)［17］，且一般都會包含以下3層：

a. 現(xiàn)場設(shè)備層。由各類過程傳感器和執(zhí)行設(shè)備組成，用于對生產(chǎn)過程中產(chǎn)生的數(shù)據(jù)進(jìn)行采集和通過執(zhí)行器進(jìn)行生產(chǎn)過程操作。

b. 現(xiàn)場控制層。由分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、控制單元等工控設(shè)備組成，用于對生產(chǎn)過程中各執(zhí)行設(shè)備進(jìn)行控制。

c. 過程監(jiān)控層。主要通過數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）對生產(chǎn)過程中的參數(shù)進(jìn)行采集和監(jiān)控，并通過人機(jī)交互界面（HMI）對整個ICS進(jìn)行監(jiān)視和控制。

1.2 ICS網(wǎng)絡(luò)薄弱點(diǎn)

工控網(wǎng)絡(luò)主要由各類工控設(shè)備通過有線或者無線的方式與控制器連接組成［18］。由此，工控設(shè)備自身漏洞與設(shè)備間信息傳輸協(xié)議漏洞將是工控網(wǎng)絡(luò)威脅的主要突破點(diǎn)。

1.2.1 工控協(xié)議

由于早期ICS運(yùn)行在物理隔離環(huán)境下，相關(guān)設(shè)計人員很少考慮協(xié)議安全因素，導(dǎo)致大量工控協(xié)議采用明文傳輸，并缺少安全驗(yàn)證機(jī)制［19］。攻擊者在具有一定協(xié)議相關(guān)背景下，通過協(xié)議分析工具進(jìn)行逆向分析，便能實(shí)現(xiàn)對傳輸數(shù)據(jù)的監(jiān)聽，甚至對數(shù)據(jù)進(jìn)行篡改。

1.2.2 工控設(shè)備漏洞

由于工業(yè)環(huán)境的密閉性，ICS設(shè)備對應(yīng)的軟硬件更新緩慢，無法做到及時升級，導(dǎo)致一些安全漏洞得不到及時修補(bǔ)；同時，ICS面對的是直接生產(chǎn)過程，對其設(shè)備進(jìn)行升級存在一定的安全隱患，企業(yè)不敢輕易嘗試，這便使攻擊者可以借助暴露的軟、硬件漏洞實(shí)施對ICS的攻擊和破壞。

1.3 半實(shí)物仿真平臺

1.3.1 油氣集輸半實(shí)物仿真平臺

油氣集輸半實(shí)物仿真平臺［20］模擬某地區(qū)天然氣配氣站工藝流程，主要包含仿真沙盤、PLC控制模組及組態(tài)監(jiān)控等環(huán)節(jié)，其中PLC控制模組和組態(tài)監(jiān)控采用真實(shí)物理組件，工藝場景采用沙盤進(jìn)行仿真模擬。最終，可以通過組態(tài)界面實(shí)現(xiàn)對整個天然氣配氣站生產(chǎn)流程的監(jiān)控，以數(shù)值變化、狀態(tài)動畫形式來表現(xiàn)閥門開度、電機(jī)啟停等控制過程，以數(shù)值顯示形式表現(xiàn)管內(nèi)壓力、流量統(tǒng)計等過程。圖1為油氣集輸半實(shí)物仿真平臺全景圖。

天然氣配氣站作為我國關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，包含ICS基本的網(wǎng)絡(luò)層次結(jié)構(gòu)，對應(yīng)的工控設(shè)備和組件也具有一定的工業(yè)通用性，對其進(jìn)行網(wǎng)絡(luò)安全測試具有一定的工業(yè)代表性。筆者對所述平臺根據(jù)實(shí)際工藝流程進(jìn)行簡化設(shè)計，主要圍繞四大模塊進(jìn)行仿真，各模塊及具體功能如下：

a. 進(jìn)站截斷閥組模塊。模擬在站內(nèi)發(fā)生緊急情況或重大事故的情況下，立即關(guān)斷進(jìn)站閥門與去用戶閥門，同時放空站場內(nèi)氣體。

b. 分離過濾模塊。模擬進(jìn)站氣體過濾環(huán)節(jié)，主要通過兩級過濾分離器實(shí)現(xiàn)，且每個過濾分離器支路都設(shè)有流量計。

c. 調(diào)壓系統(tǒng)模塊。模擬去用戶和城市門站的天然氣調(diào)壓供給環(huán)節(jié)，采用安全截斷閥門和電動調(diào)壓閥串聯(lián)而成的設(shè)計方案。

d. 計量系統(tǒng)模塊。模擬去用戶和城市門站的天然氣流量計量功能，且采用一主一備雙路設(shè)計，保證為下游用戶不間斷供氣。

1.3.2 仿真平臺網(wǎng)絡(luò)架構(gòu)

根據(jù)“分散控制、集中操作、分級管理”的原則進(jìn)行版式仿真平臺網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計［21］。結(jié)合天然氣配氣站工藝流程，將平臺網(wǎng)絡(luò)劃分為過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層3層結(jié)構(gòu)，分別與ICS網(wǎng)絡(luò)層級關(guān)系相對應(yīng)。過程監(jiān)控層采用高配置計算機(jī)作為工程師站和操作員站，安裝有FactoryTalk View Studio和SIMATIC WinCC雙組態(tài)軟件，用于對ICS進(jìn)行監(jiān)視和操作。現(xiàn)場控制層采用主流PLC作為控制器，型號包括Siemens S7-300、Siemens S7-1200、CompactLogix L30ER、MicroLogix 1400、MELSEC FX5U-32M等，分別與不同工藝環(huán)節(jié)相對應(yīng)。現(xiàn)場設(shè)備層通過仿真沙盤對工藝場景進(jìn)行復(fù)現(xiàn)，采用LED燈的亮滅來模擬工業(yè)現(xiàn)場閥門狀態(tài)、電機(jī)啟停等數(shù)字量變化情況，采用無線顯示屏模擬工藝現(xiàn)場流量、壓力等模擬量變化。工程師站與操作員站之間基于TCP/IP通信協(xié)議進(jìn)行通信；過程監(jiān)控層與現(xiàn)場控制層采用Modbus、S7Comm、TCP/IP、OPC等工控協(xié)議與IT協(xié)議實(shí)現(xiàn)組態(tài)軟件與PLC之間的通信。圖2為天然氣配氣站半實(shí)物仿真平臺網(wǎng)絡(luò)結(jié)構(gòu)。

圖2 天然氣配氣站半實(shí)物仿真平臺網(wǎng)絡(luò)結(jié)構(gòu)

2 安全測試模型

通過分析油氣集輸半實(shí)物仿真平臺網(wǎng)絡(luò)結(jié)構(gòu)，并結(jié)合ICS薄弱環(huán)節(jié)，構(gòu)建了具有普適性的ICS網(wǎng)絡(luò)安全測試模型，其結(jié)構(gòu)如圖3所示。模型主要由設(shè)備掃描模塊、流量監(jiān)聽模塊和數(shù)據(jù)篡改模塊3部分組成，各模塊間相互遞進(jìn)配合完成攻擊測試。設(shè)備掃描模塊負(fù)責(zé)掃描網(wǎng)絡(luò)內(nèi)存活的工控設(shè)備和組件，通過分析掃描結(jié)果鎖定攻擊目標(biāo)；流量監(jiān)聽模塊負(fù)責(zé)對目標(biāo)設(shè)備的通信數(shù)據(jù)進(jìn)行監(jiān)聽，并通過協(xié)議解析工具提取流量中的控制指令；數(shù)據(jù)篡改模塊通過對監(jiān)聽數(shù)據(jù)進(jìn)行深度協(xié)議解析，完成數(shù)據(jù)傳輸過程中具體數(shù)值的讀取與篡改任務(wù)。

圖3 網(wǎng)絡(luò)安全測試模型

2.1 設(shè)備掃描模塊

設(shè)備掃描是網(wǎng)絡(luò)安全測試中必不可少的環(huán)節(jié)，通過設(shè)備掃描可以了解通信設(shè)備配置信息，并為下一步測試操作提供指導(dǎo)。

設(shè)備掃描模塊通過Nmap掃描和PLC Scan掃描腳本實(shí)現(xiàn)。Nmap用于查看網(wǎng)絡(luò)內(nèi)主機(jī)在線及端口開放情況，并用PLC Scan掃描腳本查看目標(biāo)PLC設(shè)備型號、版本信息等。然后，根據(jù)所收集的設(shè)備信息，鎖定攻擊目標(biāo)，搜集該版本PLC存在的安全漏洞。筆者在設(shè)備掃描模塊根據(jù)掃描信息開展了DoS攻擊網(wǎng)絡(luò)安全測試。圖4為通過PLC Scan掃描腳本對PLC進(jìn)行設(shè)備掃描，可以收集到設(shè)備名稱、版本型號、CPU型號等信息。

2.2 流量監(jiān)聽模塊

流量監(jiān)聽模塊利用ARP協(xié)議缺陷實(shí)現(xiàn)［22］。ARP協(xié)議的作用是根據(jù)目標(biāo)主機(jī)IP地址對目標(biāo)主機(jī)MAC地址進(jìn)行查詢，并建立緩存表，從而保證局域網(wǎng)內(nèi)各設(shè)備間的正常通信。ARP數(shù)據(jù)包分為請求包和應(yīng)答包。當(dāng)主機(jī)接收到ARP應(yīng)答包后，不會對應(yīng)答者身份進(jìn)行驗(yàn)證，也不會判斷是否發(fā)送過ARP請求包，而是直接對ARP緩存表進(jìn)行更新。

如圖5所示，攻擊主機(jī)、工程師站主機(jī)與西門子PLC控制設(shè)備同屬于一個網(wǎng)段。攻擊主機(jī)（192.168.0.5）主動向工程師站（192.168.0.250）發(fā)送虛假的ARP應(yīng)答包，工程師站主機(jī)在不經(jīng)身份驗(yàn)證的情況下，直接對ARP緩存表進(jìn)行更新，將PLC的IP地址（192.168.0.9）與攻擊主機(jī)的MAC地址（00-0c-29-2c-3c-2d）建立對應(yīng)關(guān)系。同理，對PLC發(fā)送虛假的ARP應(yīng)答包，將工程師站與攻擊主機(jī)建立ARP欺騙。這時，工程師站與PLC之間的通信數(shù)據(jù)都會經(jīng)過攻擊主機(jī)進(jìn)行轉(zhuǎn)發(fā)，并保持工程師站與PLC之間通信不中斷，以此達(dá)到流量監(jiān)聽的目的。

2.3 數(shù)據(jù)篡改模塊

數(shù)據(jù)篡改模塊將根據(jù)上一步流量監(jiān)聽模塊所監(jiān)聽到的數(shù)據(jù)進(jìn)行具體目標(biāo)字段的篡改。首先，通過對捕獲到的數(shù)據(jù)包進(jìn)行分層協(xié)議解析，尋找要篡改的目標(biāo)字段。然后，在保持原有數(shù)據(jù)包頭部結(jié)構(gòu)的基礎(chǔ)上，僅對目標(biāo)字段進(jìn)行篡改。最后，對篡改完成的數(shù)據(jù)包按頭部地址信息重組發(fā)送。在達(dá)到對目標(biāo)數(shù)據(jù)篡改目的的同時，使攻擊過程更加隱蔽、篡改效率更高、延時更小，大幅提升了攻擊成功率。圖6為西門子S7Comm工控協(xié)議字段篡改模型。

圖6 S7Comm工控協(xié)議字段篡改模型

3 網(wǎng)絡(luò)安全測試

網(wǎng)絡(luò)安全測試以油氣集輸半實(shí)物仿真平臺為測試環(huán)境。首先，通過掃描工具Nmap和Ettercap掃描平臺工控網(wǎng)絡(luò)設(shè)備信息，選中攻擊目標(biāo)Smart-200 PLC并對其發(fā)起DoS攻擊；隨后，選取西門子S7-300 PLC作為攻擊目標(biāo)發(fā)起ARP欺騙，監(jiān)聽工程師站與PLC間傳輸信息并發(fā)起重放攻擊；最后，對S7-300 PLC監(jiān)聽流量進(jìn)行協(xié)議解析，并發(fā)起FDI攻擊。所有攻擊測試默認(rèn)已完成系統(tǒng)入侵，并可以訪問目標(biāo)端口。

攻擊主機(jī)為搭載Linux Kali虛擬機(jī)的Win10主機(jī)，ARP欺騙軟件為Ettercap 0.8.3.1，且攻擊主機(jī)預(yù)裝有Wireshark協(xié)議分析工具。攻擊主機(jī)及工控設(shè)備地址信息見表1。

表1 測試設(shè)備地址信息

3.1 DoS攻擊測試

3.1.1 DoS攻擊原理

DoS攻擊是利用網(wǎng)絡(luò)協(xié)議漏洞發(fā)送大量連接請求，占用設(shè)備的網(wǎng)絡(luò)資源使其資源被消耗殆盡，最終導(dǎo)致無法對合法用戶提供服務(wù)。

3.1.2 攻擊行為驗(yàn)證

在Kali攻擊主機(jī)命令行窗口鍵入攻擊命令發(fā)動對Smart-200 PLC的攻擊，如圖7所示。發(fā)動攻擊后不久，再次通過工程師站對Smart-200 PLC進(jìn)行操控，發(fā)現(xiàn)已無法建立連接，同時觀察WinCC組態(tài)界面，已與Smart-200 PLC斷開連接，且沙盤無法正常表示該P(yáng)LC所控工藝流程的變化情況。

3.2 重放攻擊測試

3.2.1 重放攻擊原理

重放攻擊是指攻擊者通過網(wǎng)絡(luò)監(jiān)聽或者其他途徑獲取目的主機(jī)已經(jīng)接收過的數(shù)據(jù)信息，并將信息重新發(fā)送給目的主機(jī)，以達(dá)到對目的主機(jī)欺騙的目的［23］。由于重放攻擊不需要知道竊聽的具體信息是什么，只需要將竊聽數(shù)據(jù)原封不動地轉(zhuǎn)發(fā)給接收方即可，所以對于經(jīng)過加密的數(shù)據(jù)，攻擊者在僅知道數(shù)據(jù)作用前提下，依然能夠發(fā)起網(wǎng)絡(luò)攻擊。

本攻擊測試主要完成對S7-300 PLC控制命令的重放。首先，通過ARP欺騙實(shí)施對工程師站與S7-300 PLC通信數(shù)據(jù)的監(jiān)聽；然后，通過Wireshark篩選出包含PLC控制命令的數(shù)據(jù)包并進(jìn)行協(xié)議逆向分析；最后，根據(jù)分析結(jié)果完成攻擊腳本編寫，實(shí)施攻擊。

3.2.2 攻擊行為驗(yàn)證

使用Ettercap進(jìn)行主機(jī)掃描，生成掃描列表，分別將上位機(jī)及S7-300 PLC添加到Target1和Target2中，如圖8所示。在發(fā)起攻擊之前，將攻擊主機(jī)流量轉(zhuǎn)發(fā)功能打開，防止設(shè)備間通信傳輸被截斷。這樣S7-300 PLC與工程師站之間的通信流量都會經(jīng)由攻擊主機(jī)，且前兩者之間通信不中斷，為后續(xù)重放攻擊和FDI攻擊做好準(zhǔn)備。

在ARP欺騙成功實(shí)施后，通過查看ARP緩存表可以發(fā)現(xiàn)，工程師站和S7-300 PLC的MAC地址已經(jīng)被修改為攻擊主機(jī)的MAC地址，如圖9所示。

借助Wireshark抓取監(jiān)聽數(shù)據(jù)包，并對S7-300 PLC與工程師站的通信數(shù)據(jù)進(jìn)行過濾，篩選出包含控制命令的數(shù)據(jù)包，生成攻擊腳本，其偽代碼如下：

1 Begin

2 #應(yīng)用插件

3 import socket

4 import time

5 import sys

6 #定義目標(biāo)IP及端口變量

7 target_host=″目標(biāo)主機(jī)″

8 target_port=″目標(biāo)端口″

9 #設(shè)置重放條件及間隔

10 sock= socket.socket（socket.AF_INET，socket.

SOCK_STREAM）

11 sock.settimeout（5）

12 try：

13? ?sock.connect（（target_host，target_port））

14 except：

15? ? ? ?print（′DUT連接失敗′）

16? ? ? ?sys.exit（）

17 #重放劫持?jǐn)?shù)據(jù)包負(fù)載數(shù)據(jù)流

18 req =′cotp連接Hex stream′

19 sock.send（bytearray.fromhex（req））

20 sock.recv（4096）

21 req1 = ′S7Comm連接Hex stream′

22 sock.send（bytearray.fromhex（req1））

23 sock.recv（4096）

24 req2 = ′STOP指令Hex stream′

25 sock.send（bytearray.fromhex（req2））

26 sock.recv（4096）

27 End

在攻擊腳本執(zhí)行之前，將平臺設(shè)備置于運(yùn)行狀態(tài)，隨后發(fā)起攻擊，發(fā)現(xiàn)S7-300 PLC運(yùn)行狀態(tài)由RUN切換為STOP，對應(yīng)的沙盤仿真也相繼停止，重放PLC STOP命令驗(yàn)證成功。

3.3 FDI攻擊測試

3.3.1 FDI攻擊原理

在仿真平臺控制層中，多臺西門子PLC控制器采用S7Comm協(xié)議進(jìn)行通信。本研究中的FDI攻擊主要利用S7Comm通信協(xié)議缺少安全認(rèn)證的漏洞，理論上重構(gòu)或者殘缺的數(shù)據(jù)包只要在接收格式上符合協(xié)議規(guī)范，PLC依然能夠完成接收并讀取，從而使虛假數(shù)據(jù)注入成為可能。本次攻擊測試以模擬量氣罐儲氣量設(shè)定值為攻擊目標(biāo)。

3.3.2 攻擊行為驗(yàn)證

前期流程同重放攻擊操作一致，首先完成對攻擊PLC的ARP欺騙，完成流量監(jiān)聽。然后，借助Wireshark工具對工程師站發(fā)往PLC的數(shù)據(jù)進(jìn)行監(jiān)聽過濾并借助協(xié)議規(guī)范進(jìn)行協(xié)議逆向分析，判定設(shè)定值數(shù)據(jù)段采用單精度浮點(diǎn)型進(jìn)行傳輸，轉(zhuǎn)換為十進(jìn)制即為輸入設(shè)定值。根據(jù)篡改數(shù)據(jù)所在傳輸層Payload數(shù)據(jù)流完成過濾規(guī)則的編寫，隨后對編寫規(guī)則進(jìn)行編譯，生成可被Ettercap識別并執(zhí)行的二進(jìn)制文件。最后，依照編寫規(guī)則尋找攻擊PLC IP與MAC地址，并對通信數(shù)據(jù)進(jìn)行過濾并篡改，完成FDI攻擊。攻擊腳本偽代碼如下：

1 Begin

2 #定義變量

3 ip_proto=′目標(biāo)協(xié)議′

4 ip_src=′源IP地址′

5 true_field=′真實(shí)有效字段′

6 false_field=′虛假設(shè)定字段′

7 #檢查數(shù)據(jù)包是否使用目標(biāo)協(xié)議且IP地址

為源IP地址

8 #符合進(jìn)一步篩選，不符合跳過

9 if（′數(shù)據(jù)包傳輸協(xié)議′==ip_proto & ′數(shù)據(jù)

包源IP地址′==ip_src）

10 #檢查數(shù)據(jù)包是否包含真實(shí)有效字段

11? ?if（search（DATA.data，true_field））

12? #數(shù)據(jù)包包含有效字段，進(jìn)行下一步篩選

13? ? ? ?replace（true_field，false_field）

14 #完成數(shù)據(jù)篡改并轉(zhuǎn)發(fā)

15 End

為驗(yàn)證攻擊效果，明確攻擊原理，使用Wireshark對篡改過程進(jìn)行抓包分析，如圖10所示。觀察第57和第58兩條數(shù)據(jù)包可發(fā)現(xiàn)問題所在，這兩條數(shù)據(jù)包在IP層面都是由工程師站發(fā)往S7-300 PLC，但其MAC地址卻不一致。通過MAC分析發(fā)現(xiàn)，第57條為工程師站發(fā)往攻擊主機(jī)，第58條為攻擊主機(jī)發(fā)往PLC，證明工程師站與PLC之間的通信都將經(jīng)過攻擊主機(jī)，驗(yàn)證了ARP攻擊。再觀察這兩條數(shù)據(jù)包的TCP Payload負(fù)載，發(fā)現(xiàn)其最后數(shù)據(jù)段部分發(fā)生篡改，由42480000篡改為43160000，轉(zhuǎn)換為十進(jìn)制是由數(shù)值50篡改為150，與組態(tài)界面儲氣罐儲氣反饋值相對應(yīng)，驗(yàn)證了FDI攻擊。

4 漏洞分析與防御措施

4.1 漏洞分析

通過對半實(shí)物仿真平臺進(jìn)行網(wǎng)絡(luò)安全測試，總結(jié)分析了平臺存在的安全漏洞及其脆弱性，主要包括：

a. ARP攻擊漏洞。訪問控制安全強(qiáng)度低，沒有加密口令，使攻擊者輕易完成對通信設(shè)備間的入侵。

b. 通信協(xié)議漏洞。通信協(xié)議采用明文傳輸，攻擊者通過竊取數(shù)據(jù)便能查看通信內(nèi)容；并且缺乏身份校驗(yàn)和權(quán)限管理，使得攻擊者通過偽裝便能對工控設(shè)備發(fā)送控制命令，甚至篡改通信內(nèi)容。

c. PLC固件漏洞。由于PLC在設(shè)計時，存在安全缺陷，加之工控環(huán)境升級困難，使得攻擊者通過獲取設(shè)備信息，便能針對漏洞發(fā)起攻擊。上述測試便借助Siemens S7-300/400 PLC權(quán)限繞過停機(jī)漏洞（CNVD-2016-05901），對S7-300 PLC成功發(fā)起重放攻擊。

4.2 防御措施

明確了仿真平臺存在的安全漏洞，下一步防護(hù)重點(diǎn)應(yīng)根據(jù)漏洞進(jìn)行防御措施的部署。以下是結(jié)合仿真平臺ICS網(wǎng)絡(luò)結(jié)構(gòu)，提出的幾項(xiàng)防御措施：

a. IP-MAC綁定。IP-MAC是指在ICS網(wǎng)絡(luò)設(shè)備的ARP緩存表中將IP地址與MAC地址綁定，實(shí)現(xiàn)對報文的過濾控制［24］。該方法能夠防御ARP攻擊，有效過濾攻擊者偽裝合法用戶IP和MAC地址向工控設(shè)備發(fā)送偽造數(shù)據(jù)包。

b. 入侵態(tài)勢感知系統(tǒng)。未來工業(yè)安全戰(zhàn)場取勝的關(guān)鍵在于對威脅態(tài)勢的感知，通過在工控網(wǎng)絡(luò)中部署安全態(tài)勢感知系統(tǒng)，對整個ICS的系統(tǒng)行為進(jìn)行監(jiān)控審計，以實(shí)現(xiàn)在出現(xiàn)網(wǎng)絡(luò)攻擊或惡意行為時，能夠及時告警并做出判斷。態(tài)勢感知還能實(shí)現(xiàn)對工業(yè)控制系統(tǒng)的資產(chǎn)管理、攻擊分析及追蹤溯源等服務(wù)。

c. 主機(jī)安全防護(hù)。在設(shè)備主機(jī)中安裝殺毒軟件，并保證病毒庫的及時更新。同時，關(guān)注操作系統(tǒng)和工控軟件的漏洞修復(fù)、補(bǔ)丁安裝，并在系統(tǒng)升級和補(bǔ)丁修復(fù)之前進(jìn)行安全評估。開啟日志審查功能，對日常維護(hù)操作進(jìn)行安全記錄［25］。

針對半實(shí)物仿真平臺網(wǎng)絡(luò)結(jié)構(gòu)，可以在現(xiàn)場控制層與過程監(jiān)控層之間部署工業(yè)防火墻、工業(yè)網(wǎng)閘、工控監(jiān)測與審計系統(tǒng)等安全防護(hù)產(chǎn)品。ARP攻擊、DoS攻擊、重放攻擊和FDI攻擊作為工控網(wǎng)絡(luò)的常見攻擊，是工控網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)。針對前兩種攻擊方式可以采用IP-MAC綁定的防御措施，后兩種針對工控協(xié)議的攻擊方式，可以通過入侵檢測、異常檢測［26］等安全防護(hù)設(shè)備，或通過部署工控運(yùn)營中心實(shí)現(xiàn)對威脅的檢測與防御。

5 結(jié)束語

工控網(wǎng)絡(luò)安全事關(guān)國計民生，確保工控網(wǎng)絡(luò)安全，防患于未然是工控網(wǎng)絡(luò)安全建設(shè)的基本底線。筆者通過對工控網(wǎng)絡(luò)運(yùn)行環(huán)境和結(jié)構(gòu)特點(diǎn)進(jìn)行分析，明確了在實(shí)際工控環(huán)境進(jìn)行安全測試的困難性。為提高工控網(wǎng)絡(luò)安全測試的真實(shí)性、靈活性，提出一種基于半實(shí)物仿真平臺的網(wǎng)絡(luò)安全測試方法。通過對工控網(wǎng)絡(luò)結(jié)構(gòu)及其薄弱點(diǎn)進(jìn)行分析，建立網(wǎng)絡(luò)安全測試模型，依據(jù)測試模型在油氣集輸半實(shí)物仿真平臺進(jìn)行工控領(lǐng)域常見攻擊方式測試，包括DoS攻擊、重放攻擊和FDI攻擊，并通過仿真模擬沙盤和組態(tài)界面驗(yàn)證了威脅切實(shí)存在；同時，對攻擊測試過程發(fā)現(xiàn)的工控安全問題進(jìn)行總結(jié)，并提出了相應(yīng)的防御措施，為后續(xù)基于半實(shí)物的仿真平臺網(wǎng)絡(luò)安全測試提供參考，對類似油氣集輸ICS網(wǎng)絡(luò)安全防護(hù)具有重大借鑒意義。下一步研究工作，將加強(qiáng)半實(shí)物仿真平臺防御措施，并利用更隱蔽的攻擊方式進(jìn)行網(wǎng)絡(luò)安全測試研究。

參 考 文 獻(xiàn)

［1］ 楊婷，張嘉元，黃在起，等.工業(yè)控制系統(tǒng)安全綜述［J］.計算機(jī)研究與發(fā)展，2022，59（5）：1035-1053.

［2］ GALLOWAY B，HANCKE G P.Introduction to Industrial Control Networks［J］.IEEE Communications Surveys & Tutorials，2013，15（2）：860-880.

［3］ BHAMARE D，ZOLANVARI M，ERBAD A，et al.Cybersecurity for Industrial Control Systems： A Survey［J］. Computers & Security，2019，89：101677.

［4］ LIANG G Q，WELLER S R，ZHAO J H，et al.The 2015 Ukraine Blackout：Implications for False Data Injection Attacks［J］.IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

［5］ AKBANOV M，VASSILAKIS V G，LOGOTHETIS M D.Ransomware detection and mitigation using software-defined networking：The case of WannaCry［J］.Computers & Electrical Engineering，2019，76：111-121.

［6］ 李平.從美燃油管道商遭勒索病毒攻擊看關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)［J］.網(wǎng)信軍民融合，2021（5）：26.

［7］ AL-HAWAWREH M，SITNIKOVA E.Developing a Security Testbed for Industrial Internet of Things［J］.IEEE Internet of Things Journal，2021（7）.DOI：10.1109/JIOT.2020.3032093.

［8］ 張仁斌，趙季翔，楊戩，等.基于容器的輕量級工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全測試床研究［J］.計算機(jī)應(yīng)用研究，2021，38（2）：506-509.

［9］ XU W，TAO Y，YANG C，et al.MSICST： Multiple-Scenario Industrial Control System Testbed for Security Research［J］.Computers， Materials and Continua，2019，58（2）：691-705.

［10］ National SCADA Test Bed［EB/OL］.［2023-03-08］.https：//www.energy.gov/oe/national-scada-test-bed.

［11］ MORRIS T，SRIVASTAVA A，REAVES B，et al.A co- ntrol system testbed to validate critical infrastructure protection concepts［J］.International Journal of Critical Infrastructure Protection，2011，4（2）：88-103.

［12］ URIAS V，LEEUWEN B V，RICHARDSON B.Supervisory Command and Data Acquisition （SCADA） system cyber security analysis using a live，virtual，and constructive （LVC） testbed［C］//Military Communications Conference.Piscataway，NJ：IEEE， 2012：1-8.

［13］ 威努特.工控網(wǎng)絡(luò)攻防演練平臺［EB/OL］.（2016-08-06）［2022-12-23］.http：//www.winicssec.com/product/

d32.html.

［14］ 朱文華，史秋雨，蔡寶，等.基于RobotStudio的工業(yè)機(jī)器人工藝仿真平臺設(shè)計［J］.制造業(yè)自動化，2020，42（12）：28-31；89.

［15］ 楊輝，王志佳，譚暢，等.重載列車輔助駕駛系統(tǒng)半實(shí)物仿真平臺設(shè)計［J］.控制工程，2021，28（9）：1717-1724.

［16］ GENG Y Y，WANG Y，LIU W W，et al.A survey of industrial control system testbeds［C］∥2nd International Conference on Advanced Materials，Intelligent Manufacturing and Automation.Zhuhai：AMIMA，2019：995-1004.

［17］ 劉煜堃，諸葛建偉，吳一雄.新型工業(yè)控制系統(tǒng)勒索蠕蟲威脅與防御［J］.計算機(jī)應(yīng)用，2018，38（6）：1608-1613.

［18］ 徐麗娟，王佰玲，楊美紅，等.工業(yè)控制網(wǎng)絡(luò)多模式攻擊檢測及異常狀態(tài)評估方法［J］.計算機(jī)研究與發(fā)展，2021，58（11）：2333-2349.

［19］ ZHANG Y Q，ZHOU W，PENG A.Survey of Internet of Things Security［J］.Journal of Computer Research and Development，2017，54（10）：2130-2143.

［20］ 朱建魯，宋存永，盧興國，等.輸氣管道虛擬仿真實(shí)踐教學(xué)平臺的構(gòu)建與應(yīng)用［J］.實(shí)驗(yàn)技術(shù)與管理，2019，36（11）：105-108；112.

［21］ 顧兆軍，姚峰，丁磊，等.基于半實(shí)物的機(jī)場供油自控系統(tǒng)網(wǎng)絡(luò)安全測試［J］.信息網(wǎng)絡(luò)安全，2021，21（9）：16-24.

［22］ 秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述［J］.計算機(jī)應(yīng)用研究，2009，26（1）：30-33.

［23］ CHOUGULE M，SOMAN S A.Real-time data-assisted replay attack detection in wide-area protection system［J］.IET Generation，Transmission & Distribution，2020，14（19）： 4021-4032.

［24］ 王曄，靳方略，呂銘心.油田工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全解決方案研究［J］.信息技術(shù)與網(wǎng)絡(luò)安全，2020，39（10）：38-43.

［25］ 魏可承，李斌，易偉文，等.工業(yè)控制系統(tǒng)信息安全防護(hù)體系規(guī)劃研究［J］.自動化儀表，2015，36（2）：49-52.

［26］ MOKHTARI S，ABBASPOUR A，KANG K Y，et al.A Machine Learning Approach for Anomaly Detection in Industrial Control Systems Based on Measurement Data［J］.Electronics，2021，10（4）：407.

（收稿日期：2023-03-08，修回日期：2023-12-22）

Research on Security Testing of the Industrial Control Network Based on Semi-physical Simulation Platform for Oil and Gas Gathering

and Transportation

HE Kan1，2， CHEN Jin-zhe1，2， ZONG Xue-jun1，2， QI Ji3， SUN Yong-chao4

（1. College of Information Engineering， Shenyang University of Chemical Technology；2. Key Laboratory of Information Security for Petrochemical Industry in Liaoning Province； 3. Hubei ABT Networks Co.， Ltd.；

4. Beijing Shuangpai Zhian Technology Co.， Ltd.）

Abstract? ?Considering the difficulty in testing industrial control networks security in real environment， a network security test method based on semi-physical simulation platform for the oil and gas gathering and transportation was proposed， which has industrial control networks structure and vulnerability analyzed in the real environment to construct network security test model; and then， has DoS attack， replay attack and false data injection attack used to test network attack of the simulation platform， as well as has the attack effect verified though configuration operation interface and the sand table model. In addition， the network security problems in the test process were summarized and defense measures were put forward to provide an important reference for protection of the industrial control network security.

Key words? ?industrial control network， semi-physical platform， industrial control protocol， network security test， ARP cheating