鄭伊伶鄭　松，，3江丹玲曾其鋆

（1. 福州大學(xué)電氣工程與自動(dòng)化學(xué)院，福州　350116；2. 中海創(chuàng)研究院，福州　350001；3. 福建省工業(yè)控制信息安全技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室，福州　350008）

?

面向控制平臺(tái)的異常監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

鄭伊伶1鄭松1，2，3江丹玲2曾其鋆2

（1. 福州大學(xué)電氣工程與自動(dòng)化學(xué)院，福州350116；2. 中海創(chuàng)研究院，福州350001；3. 福建省工業(yè)控制信息安全技術(shù)企業(yè)重點(diǎn)實(shí)驗(yàn)室，福州350008）

由于工業(yè)控制系統(tǒng)信息安全問題日趨嚴(yán)峻，國內(nèi)在工業(yè)控制系統(tǒng)信息安全方面的異常監(jiān)測(cè)技術(shù)研究仍處于起步階段，因此，本文以具體的工業(yè)控制系統(tǒng)——IAP控制平臺(tái)作為研究對(duì)象，從控制組態(tài)監(jiān)控、操作指令監(jiān)控、網(wǎng)絡(luò)通信流量監(jiān)測(cè)等方面設(shè)計(jì)了異常監(jiān)測(cè)系統(tǒng)，包含了系統(tǒng)的硬件架構(gòu)設(shè)計(jì)、軟件結(jié)構(gòu)設(shè)計(jì)，同時(shí)，將該系統(tǒng)在IAP控制平臺(tái)上進(jìn)行了驗(yàn)證和測(cè)試。結(jié)果表明，該系統(tǒng)在不影響整個(gè)IAP控制平臺(tái)正常運(yùn)行的情況下能有效監(jiān)測(cè)工業(yè)控制系統(tǒng)中的異常行為及流量。

工業(yè)控制系統(tǒng)；信息安全；異常監(jiān)測(cè)系統(tǒng)

工業(yè)控制系統(tǒng)在能源、石油化工、水利電力、核能、交通運(yùn)輸?shù)刃袠I(yè)發(fā)揮著重要作用。傳統(tǒng)的工業(yè)控制系統(tǒng)相對(duì)封閉，甚少與外界存在通信關(guān)系，似乎不會(huì)有遭受網(wǎng)絡(luò)攻擊的可能性。然而隨著計(jì)算機(jī)與通信技術(shù)的不斷發(fā)展以及“互聯(lián)網(wǎng)+”概念的不斷深入，網(wǎng)絡(luò)化的控制系統(tǒng)越來越多地應(yīng)用到工業(yè)生產(chǎn)中。信息化與工業(yè)化的緊密連接使得傳統(tǒng)的、與物理隔絕的工業(yè)控制系統(tǒng)失去了免遭網(wǎng)絡(luò)攻擊的保護(hù)，工業(yè)控制系統(tǒng)將會(huì)面臨更大的信息安全風(fēng)險(xiǎn)。

由于工業(yè)控制系統(tǒng)信息安全關(guān)乎國家經(jīng)濟(jì)、財(cái)產(chǎn)安全，因此國內(nèi)外相關(guān)機(jī)構(gòu)予以高度重視，下達(dá)了相關(guān)文件并制定了一系列標(biāo)準(zhǔn)指南［1-4］，旨在保證工業(yè)控制系統(tǒng)的信息安全。然而工業(yè)控制系統(tǒng)與IT系統(tǒng)在性能需求、通信要求等方面存在差異［5］，使得IT信息安全解決方案不能很好地解決工控領(lǐng)域信息安全問題，再加上工業(yè)控制系統(tǒng)中不同廠商的產(chǎn)品互不兼容，研究人員很難掌握不同產(chǎn)品的控制內(nèi)核，導(dǎo)致國內(nèi)缺乏工控系統(tǒng)安全防御機(jī)制［6］。面臨這種現(xiàn)狀，國內(nèi)相關(guān)研究人員提出了一系列的應(yīng)對(duì)措施，如針對(duì)人機(jī)界面實(shí)施信息安全策略［7］、建立工控環(huán)境的測(cè)試床［8］、針對(duì)整個(gè)系統(tǒng)建立縱深防御的安全防護(hù)體系［9-11］等，但針對(duì)工業(yè)控制系統(tǒng)異常監(jiān)控方面的技術(shù)研究還比較少。因此，為了確保工業(yè)控制系統(tǒng)的安全生產(chǎn)，當(dāng)工廠發(fā)生信息安全問題時(shí)，使工程人員能及時(shí)收到報(bào)警，快速找出異常發(fā)生的位置、原因與解決方法，本文以IAP控制平臺(tái)為具體的研究對(duì)象，設(shè)計(jì)了異常監(jiān)測(cè)系統(tǒng)，著重從控制組態(tài)監(jiān)控、操控指令監(jiān)控和網(wǎng)絡(luò)流量監(jiān)控三方面說明其實(shí)現(xiàn)原理，并進(jìn)行了多次的功能測(cè)試，希望在確保工業(yè)控制系統(tǒng)可用性與實(shí)時(shí)性的同時(shí)能提升整個(gè)系統(tǒng)的安全性。

1　IAP控制平臺(tái)信息安全問題分析

1.1IAP控制平臺(tái)的層次結(jié)構(gòu)

IAP（Industrial Automation Platform）——工業(yè)自動(dòng)化通用技術(shù)平臺(tái)，除了具有傳統(tǒng)工業(yè)控制系統(tǒng)的特點(diǎn)外，還能解決目前控制系統(tǒng)中各廠商DCS（分布式控制系統(tǒng)）的軟硬件不兼容問題，保證了整個(gè)系統(tǒng)的通用性，為異常監(jiān)測(cè)技術(shù)的研究奠定了堅(jiān)實(shí)的基礎(chǔ)。其中，IAP控制平臺(tái)基本的層次結(jié)構(gòu)如圖1所示。

圖1　簡(jiǎn)易IAP控制平臺(tái)架構(gòu)

由圖1可知，IAP控制平臺(tái)由監(jiān)控層、控制層和現(xiàn)場(chǎng)層組成。監(jiān)控層的設(shè)備主要由基于 Windows操作系統(tǒng)的 PC機(jī)和服務(wù)器組成，其中工程師站的IAPplant軟件可用于構(gòu)建控制系統(tǒng)架構(gòu)（含工藝設(shè)備與控制設(shè)備），IAPlogic軟件可通過圖形化組態(tài)方式編寫控制策略，IAPview軟件用于人機(jī)交互畫面的組態(tài)；歷史站的 IAPdata軟件可實(shí)現(xiàn)對(duì)所有操作數(shù)據(jù)的管控。這些軟件與控制站直接通信，以實(shí)現(xiàn)對(duì)系統(tǒng)的組態(tài)、操作和管理?？刂茖拥墓δ苁菆?zhí)行整個(gè)系統(tǒng)的控制算法，其中控制站上的 IAPengi軟件在實(shí)現(xiàn)系統(tǒng)通用性上起著關(guān)鍵作用?，F(xiàn)場(chǎng)層有關(guān)設(shè)備的作用則是執(zhí)行控制信號(hào)的輸入與輸出。

1.2IAP控制平臺(tái)的信息安全問題

IAP控制平臺(tái)雖然具有通用性、跨平臺(tái)等優(yōu)點(diǎn)，為信息安全對(duì)策的研究提供了便利，但根據(jù)分析上述IAP控制平臺(tái)架構(gòu)以及軟件功能發(fā)現(xiàn)，仍存在以下信息安全問題：①工程師站的IAP控制組態(tài)軟件容易遭受攻擊；②操作員站上操控指令容易被人為修改；③監(jiān)控層 PC機(jī)與控制站之間的通信鏈路廣泛使用明文協(xié)議，傳輸數(shù)據(jù)未能很好的受到保護(hù)，易遭受間接的網(wǎng)絡(luò)攻擊。

2　IAP控制平臺(tái)的異常監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)

由于現(xiàn)有的工業(yè)控制平臺(tái)的信息安全防護(hù)能力十分薄弱，因此，為了防范上述提到的信息安全問題，結(jié)合IAP控制平臺(tái)的具體特點(diǎn)，本文研究并設(shè)計(jì)了面向IAP控制平臺(tái)的異常監(jiān)測(cè)系統(tǒng)。

2.1異常監(jiān)測(cè)系統(tǒng)的硬件架構(gòu)設(shè)計(jì)

為了不影響通用IAP控制平臺(tái)對(duì)實(shí)時(shí)性與可用性的高要求，本文將異常監(jiān)控站（ADS站）采用與操作員站相同的接入方式接入到控制平臺(tái)中。如圖2所示，ADS站與原有的工程師站、操作員站類似，是控制平臺(tái)功能節(jié)點(diǎn)的一個(gè)重要組成部分。ADS站僅從原有控制系統(tǒng)中提取相關(guān)信息，不對(duì)原有系統(tǒng)進(jìn)行任何寫操作，從而確?？刂葡到y(tǒng)的運(yùn)行不受異常監(jiān)測(cè)技術(shù)的干擾。

圖2　異常監(jiān)測(cè)系統(tǒng)的硬件架構(gòu)圖

2.2異常監(jiān)控系統(tǒng)的軟件結(jié)構(gòu)設(shè)計(jì)

為了能實(shí)時(shí)采集系統(tǒng)中的異常狀態(tài)，本文在原有IAP控制系統(tǒng)中的工程師站、操作員站及 ADS站上分別開發(fā)了ADS探測(cè)器，其中包含各采集軟件與通信軟件，將實(shí)時(shí)采集到的數(shù)據(jù)存儲(chǔ)在控制站的數(shù)據(jù)引擎中，運(yùn)用ADS站上的IAP組態(tài)軟件，對(duì)所采集到的數(shù)據(jù)進(jìn)行異常狀態(tài)監(jiān)測(cè)算法組態(tài)及畫面組態(tài)，以實(shí)現(xiàn)對(duì)原控制系統(tǒng)控制組態(tài)、操作指令及網(wǎng)絡(luò)通信的異常實(shí)時(shí)監(jiān)控。軟件架構(gòu)如圖3所示。

圖3　異常監(jiān)測(cè)系統(tǒng)的軟件架構(gòu)

3　IAP控制平臺(tái)的異常監(jiān)控系統(tǒng)的實(shí)現(xiàn)

3.1控制組態(tài)變更安全監(jiān)測(cè)的實(shí)現(xiàn)

由于IAP控制平臺(tái)的控制組態(tài)最終以文件形式保存，所以對(duì)IAP平臺(tái)的控制組態(tài)異常狀態(tài)的監(jiān)測(cè)實(shí)際上等同于對(duì)控制文件內(nèi)容變動(dòng)的監(jiān)測(cè)。控制組態(tài)編輯、分析、鏈接形成組態(tài)文件的流程示意圖如圖4所示。

圖4　控制組態(tài)編輯、分析、鏈接流程及采集原理

根據(jù)圖4所示的組態(tài)流程，本文所采用的監(jiān)測(cè)控制組態(tài)異常變化的方法是將組態(tài)變化的采集軟件與工程師站的控制組態(tài)文件及控制站側(cè)的控制組態(tài)數(shù)據(jù)對(duì)接，組態(tài)文件采集模塊讀取工程師站上控制組態(tài)文件內(nèi)容的變化，并將出現(xiàn)差異的組態(tài)內(nèi)容及時(shí)發(fā)送到ADS站。組態(tài)數(shù)據(jù)采集模塊對(duì)組態(tài)數(shù)據(jù)的校驗(yàn)碼進(jìn)行判斷，用于組態(tài)內(nèi)容一致性的監(jiān)測(cè)。

本文將組態(tài)文件采集軟件與組態(tài)數(shù)據(jù)采集軟件讀取的變化內(nèi)容作為ADS站邏輯組態(tài)的輸入點(diǎn)，在ADS站的組態(tài)軟件中進(jìn)行異常監(jiān)測(cè)算法的邏輯組態(tài)與畫面組態(tài)，以實(shí)現(xiàn)控制組態(tài)變更狀況的報(bào)警。運(yùn)用圖形化組態(tài)方法實(shí)現(xiàn)工程師站組態(tài)文件變更報(bào)警的部分邏輯組態(tài)如圖5所示。

圖5　控制組態(tài)文件變更邏輯組態(tài)圖

圖5實(shí)現(xiàn)的功能是計(jì)算工程文件變更等相應(yīng)的模擬輸入信號(hào)的變化率，若存在相應(yīng)的變更則輸出報(bào)警信號(hào)。表1為圖5中邏輯組態(tài)所用元件列表。

表1　控制組態(tài)文件變更報(bào)警所有元件列表

3.2操控指令變更安全監(jiān)測(cè)的實(shí)現(xiàn)

在操作員站上，運(yùn)行人員操控生產(chǎn)過程的操控指令涉及工業(yè)設(shè)備的起停、執(zhí)行機(jī)構(gòu)的控制輸出、運(yùn)行方式的選擇和控制回路的設(shè)定值輸入等。圖 6是操控指令采集原理示意圖。當(dāng)操作員輸入操控指令時(shí)，在最短時(shí)間內(nèi)能實(shí)現(xiàn)與相應(yīng)控制站的優(yōu)先通信。在操控指令序列進(jìn)入通信緩存時(shí)，同時(shí)可被操控指令采集模塊軟件訪問，操控指令采集模塊軟件繼而將采集到的信息發(fā)送給ADS站。

在ADS站上運(yùn)行組態(tài)軟件對(duì)控制指令采集模塊采集到的數(shù)據(jù)進(jìn)行控制邏輯策略組態(tài)，即可實(shí)現(xiàn)操控指令變更的報(bào)警與異常事件次數(shù)的記錄功能。通過控制邏輯組態(tài)實(shí)現(xiàn)相應(yīng)報(bào)警功能的原理同

3.1部分所述。

圖6　操控指令采集原理圖

3.3網(wǎng)絡(luò)流量異常監(jiān)測(cè)的實(shí)現(xiàn)

實(shí)時(shí)通信網(wǎng)絡(luò)狀態(tài)采集軟件利用工業(yè)以太網(wǎng)中的管理型交換機(jī)，周期性采集上行流量、下行流量、廣播率等數(shù)據(jù)，實(shí)現(xiàn)對(duì)工業(yè)以太網(wǎng)狀態(tài)的實(shí)時(shí)監(jiān)測(cè)。同時(shí)，網(wǎng)絡(luò)流量異常監(jiān)測(cè)算法通過組態(tài)軟件的邏輯組態(tài)實(shí)現(xiàn)，通過引入實(shí)時(shí)采集的工業(yè)以太網(wǎng)數(shù)據(jù)，計(jì)算出特定監(jiān)測(cè)端口的監(jiān)測(cè)流量數(shù)據(jù)，從而實(shí)現(xiàn)對(duì)工業(yè)以太網(wǎng)異常狀態(tài)的判定和報(bào)告。例如，某網(wǎng)絡(luò)端口流量在一個(gè)時(shí)間段內(nèi)出現(xiàn)超常暴漲，就可以判定出該位置可能出現(xiàn)流量攻擊或蠕蟲病毒，發(fā)出報(bào)警信號(hào)，供專業(yè)人員進(jìn)行后續(xù)處理。其實(shí)現(xiàn)原理圖如下圖7所示。

圖7　網(wǎng)絡(luò)流量異常監(jiān)測(cè)原理圖

由于工業(yè)以太網(wǎng)中網(wǎng)絡(luò)流量的規(guī)律性比較強(qiáng)，波動(dòng)幅度小，因此，容易確定系統(tǒng)正常運(yùn)行狀態(tài)下的流量閾值。由圖形化組態(tài)方式所計(jì)算出的端口網(wǎng)絡(luò)流量如果超過正常閾值范圍則在人機(jī)界面中輸出報(bào)警，同時(shí)說明該系統(tǒng)能監(jiān)測(cè)到異常網(wǎng)絡(luò)流量。

4　IAP控制平臺(tái)異常監(jiān)測(cè)系統(tǒng)的功能測(cè)試

本文所設(shè)計(jì)的面向控制平臺(tái)的異常監(jiān)測(cè)系統(tǒng)已通過中國信息安全測(cè)評(píng)中心的測(cè)試。現(xiàn)僅從工程師站組態(tài)變更、操作員站操控指令變更以及網(wǎng)絡(luò)流量變更三個(gè)方面的功能測(cè)試說明該異常監(jiān)測(cè)系統(tǒng)的可行性與有效性。

1）工程師站組態(tài)變更監(jiān)測(cè)測(cè)試

在系統(tǒng)正常運(yùn)行的過程中，對(duì)工程師站的IAPlogic組態(tài)軟件進(jìn)行修改，ADS站中的畫面能監(jiān)測(cè)相應(yīng)報(bào)警。

在工程師站的IAPlogic軟件上對(duì)組態(tài)文件進(jìn)行異常編譯鏈接及離線傳送，如圖8所示，ADS站畫面中的工程文件變更、編譯文件變更、IO數(shù)據(jù)庫變更、離線參數(shù)設(shè)置與本地?cái)?shù)據(jù)庫變更所對(duì)應(yīng)的報(bào)警指示燈變紅，且報(bào)警次數(shù)加1。該測(cè)試結(jié)果表明ADS站能及時(shí)監(jiān)測(cè)組態(tài)文件變更的異常行為。

圖8　組態(tài)文件變更報(bào)警界面

2）操作員站操控指令變更監(jiān)測(cè)測(cè)試

對(duì)操作員站的人機(jī)界面 IAPview進(jìn)行變更操作，ADS站的畫面能監(jiān)測(cè)出相應(yīng)指示燈與報(bào)警信息的變化，并能生成相應(yīng)變更的操作記錄與日志。

當(dāng)操作員站上存在啟動(dòng)人機(jī)界面、對(duì)現(xiàn)場(chǎng)生產(chǎn)過程進(jìn)行寫值操作的變更行為，如圖9所示，ADS站的人機(jī)界面寫值操作信號(hào)燈、運(yùn)行啟動(dòng)信號(hào)燈發(fā)生變化，同時(shí)報(bào)警次數(shù)加1。該測(cè)試結(jié)果表明ADS站能監(jiān)測(cè)操作員站人機(jī)界面的變更行為。

3）網(wǎng)絡(luò)流量變更監(jiān)測(cè)測(cè)試

當(dāng)以太網(wǎng)上的流量發(fā)生異常時(shí)，ADS站的監(jiān)控界面可顯示異常變化及其報(bào)警信息。

圖9　操作員站操控指令變更報(bào)警界面

當(dāng)監(jiān)控層 PC機(jī)向控制器下載大量非法控制邏輯時(shí)，工程師站與控制器端口流量出現(xiàn)異常，圖10展示了此種狀況下異常流量的報(bào)警，圖11為此狀況下出現(xiàn)流量超常暴漲的趨勢(shì)圖。由圖可知異常流量發(fā)生的位置、大小以及時(shí)間?？蓭椭嚓P(guān)人員快速做出應(yīng)急響應(yīng)。

圖10　異常流量報(bào)警界面

圖11　異常流量趨勢(shì)圖

5　結(jié)論

本文分析了IAP控制平臺(tái)的信息安全問題。結(jié)合其特點(diǎn)，初步設(shè)計(jì)了異常監(jiān)測(cè)系統(tǒng)，使得整個(gè)系統(tǒng)具有感知異常的能力。通過利用相應(yīng)采集軟件動(dòng)態(tài)采集數(shù)據(jù)的方式，并運(yùn)用圖形化組態(tài)方法實(shí)現(xiàn)了對(duì)系統(tǒng)異常狀況的監(jiān)控功能。測(cè)試結(jié)果表明，該系統(tǒng)能有效地監(jiān)測(cè)控制系統(tǒng)中的異常行為與網(wǎng)絡(luò)流量，且不影響整個(gè)系統(tǒng)的可用性。在之后的研究中，利用IAP平臺(tái)，通過組態(tài)元件的擴(kuò)展性，結(jié)合信息安全理論相關(guān)算法，可開發(fā)相應(yīng)的監(jiān)測(cè)、診斷、處理元件，實(shí)現(xiàn)異常感知后的進(jìn)一步處理與防范。希望本文能為工控信息安全防護(hù)的研究起到一定的借鑒作用。

［1］ NIST SP800-82 Revision2 Initial Public Draft. Keith Stouffer，Suzanne Lightman，Victoria Pillitteri，Marshall Abrams，Adam Hahn. Guide to Industrial Control Systems （ICS） Security［S］. USA︰National Institute of Standards and Technology （NIST），May 2014.

［2］ ISA99. IEC 62443 Industrial control network & system security standardization［S］. ISA，2011.

［3］ GB/T 30976.1—2014. 工業(yè)控制系統(tǒng)信息安全第1部分︰評(píng)估規(guī)范［S］. 2015.

［4］ 彭勇，江常青，謝豐，等. 工業(yè)控制系統(tǒng)信息安全研究進(jìn)展［J］. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，52（10）︰1396-1408.

［5］ 王玉敏，丁露. 工業(yè)控制系統(tǒng)（ICS）概述和與IT系統(tǒng)的比較［J］. 中國儀器儀表，2012（2）︰37-43.

［6］ 唐文. 工業(yè)自動(dòng)化控制系統(tǒng)信息安全研究［J］. 計(jì)算機(jī)安全，2012（4）︰2-7.

［7］ 李科，黃雙，周浩，等. 面向工業(yè)人機(jī)界面的信息安全策略設(shè)計(jì)及實(shí)現(xiàn)［J］. 計(jì)算機(jī)工程與設(shè)計(jì)，2013，34（8）︰2689-2694.

［8］ 王志強(qiáng)，王紅凱，張旭東，等. 工業(yè)控制系統(tǒng)安全隱患及應(yīng)對(duì)措施研究［J］. 信息網(wǎng)絡(luò)安全，2014，9（9）︰203-206.

［9］ Eric D. Knapp. Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid，SCADA，and Other Industrial Control Systems［M］. USA︰2011.

［10］ 繆學(xué)勤. 采用縱深防御體系架構(gòu)，確保核電可靠安全［J］. 自動(dòng)化儀表，2011，32（2）︰1-5.

［11］ 沈昌祥，陳興蜀. 基于可信計(jì)算構(gòu)建縱深防御的信息安全保障體系［J］. 四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2014，46（1）︰1-7.

Design and Implementation of Abnormal State Detection System for Control Platform

Zheng Yiling1Zheng Song1，2，3Jiang Danling2Zeng Qiyun2
（1. College of Electrical Engineering and Automation，F(xiàn)uzhou University，F(xiàn)uzhou350116；2. Histron Research Institute，F(xiàn)uzhou350001；3. Fujian Provincial Enterprise Key Laboratory of Industrial Control Cyber Security Technology，F(xiàn)uzhou350008）

The cyber security problem of industrial control system becomes increasingly serious，abnormal detection technology in domestic is still at an initial stage，thus，this paper regards the specific industrial control system—Industrial Automation Platform as the object of this research. Abnormal state detection system is designed from the aspect of control configurations，operational instructions and network traffic. Designs of hardware architecture and software structure have been included. The system is simulated and tested on Industrial Automation Platform （IAP）. The result shows that the system can monitor abnormal state and traffic effectively. Moreover，it doesn’t affect the availability of the whole platform.

industrial control system；cyber security；abnormal state detection system

鄭伊伶（1990-），女，碩士研究生，研究方向?yàn)楣I(yè)控制系統(tǒng)的信息安全。

2013年國家信息安全專項(xiàng)