工業(yè)互聯(lián)網(wǎng)環(huán)境下的漏洞挖掘技術(shù)研究

趙振學(xué) 石永杰 于慧超 張 暢

（1.武漢大學(xué)經(jīng)濟(jì)與管理學(xué)院；2.中國(guó)石油天然氣股份有限公司西北銷售公司；3.北京啟明星辰信息安全技術(shù)有限公司）

我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的ICS 及其控制流程工藝基本上強(qiáng)依賴于歐美、 日本等工業(yè)發(fā)達(dá)國(guó)家，涉及SCADA、DCS、PCS、PLC 及FCS 等系統(tǒng)，“兩化”融合使得這些ICS 更加互聯(lián)開放，也導(dǎo)致ICS系統(tǒng)被病毒感染和網(wǎng)絡(luò)攻擊事件逐年增多。 漏洞、后門作為一種網(wǎng)絡(luò)攻擊資源，其挖掘與反利用已成為當(dāng)前工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的重要研究方向， 據(jù)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心（ICSCERT）公布的工控漏洞信息顯示，我國(guó)在石油能源、高端智能制造及航天航空工業(yè)等關(guān)鍵行業(yè)的ICS，每年發(fā)現(xiàn)的漏洞數(shù)量同比增加10%以上，中高危漏洞占比95%以上，還有被黑客和恐怖組織利用的一些未被公布的隱藏的漏洞和后門，在當(dāng)前網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)不斷增加的復(fù)雜網(wǎng)絡(luò)空間形勢(shì)下，利用漏洞、后門的攻擊行為和竊密方式已成為“中國(guó)制造2025”的巨大威脅。

針對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施的核心工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)，通過(guò)融合多智能Fuzzing 測(cè)試技術(shù)、逆向工程技術(shù)等分析可能存在的后門和漏洞，研究切實(shí)可行有效的后門/漏洞防利用、網(wǎng)絡(luò)與數(shù)據(jù)防竊取技術(shù)，阻止黑客、間諜等不法分子的網(wǎng)絡(luò)入侵，防止通過(guò)WLAN、國(guó)外定位系統(tǒng)等非Internet方式潛入我國(guó)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中竊取信息，提升工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，已迫在眉睫。

1 工控漏洞挖掘的現(xiàn)狀分析

面對(duì)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的漏洞挖掘，以美國(guó)、以色列為代表的技術(shù)最為先進(jìn)，主要是漏洞挖掘的自動(dòng)化水平高、規(guī)?；瘏f(xié)同性強(qiáng)以及漏洞挖掘技術(shù)先進(jìn)等。 具體表現(xiàn)為：美國(guó)、以色列主要研究多種漏洞挖掘技術(shù)相互融合的方法以此提高挖掘分析能力，自動(dòng)發(fā)現(xiàn)二進(jìn)制代碼中的可利用漏洞，采用提高并發(fā)節(jié)點(diǎn)數(shù)，以“群智”方式，規(guī)模化協(xié)同來(lái)提升漏洞挖掘的效率，同時(shí)美國(guó)國(guó)家漏洞庫(kù)(NVD)也是國(guó)際上漏洞發(fā)布量最多、最具權(quán)威性的漏洞庫(kù)。

由于我國(guó)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)特有的環(huán)境，相比美國(guó)、以色列等國(guó)家，我國(guó)漏洞挖掘技術(shù)相對(duì)滯后。 在研究國(guó)外漏洞挖掘技術(shù)的基礎(chǔ)上，國(guó)內(nèi)安全機(jī)構(gòu)也陸續(xù)推出了能夠支持多種典型控制協(xié)議的工控漏洞挖掘和掃描工具，但漏洞挖掘僅以開源代碼分析、 逆向分析和人工分析為主，效率與準(zhǔn)確度均較低，無(wú)法適應(yīng)目前工業(yè)互聯(lián)網(wǎng)漏洞威脅形勢(shì)。 為此饒志宏提出了群智漏洞挖掘技術(shù)［1］，付夢(mèng)琳等提出了智能合約安全漏洞挖掘技術(shù)［2］，意在利用協(xié)作、智能模式構(gòu)建“群智”理念的漏洞挖掘平臺(tái)和生態(tài)鏈，促進(jìn)我國(guó)漏洞挖掘的協(xié)同水平，提升國(guó)家對(duì)漏洞戰(zhàn)略資源的把控力。

近期頻繁發(fā)生的工業(yè)互聯(lián)網(wǎng)攻擊事故，如委內(nèi)瑞拉電力攻擊事件，印證了“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”這一網(wǎng)絡(luò)安全理念，也說(shuō)明網(wǎng)絡(luò)空間安全是一場(chǎng)輸不起的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。 面對(duì)日益復(fù)雜的國(guó)際網(wǎng)絡(luò)空間安全環(huán)境，研究高效化、規(guī)?；ⅰ叭褐菂f(xié)同”的漏洞挖掘方法，提升國(guó)家對(duì)漏洞資源的掌控和管理能力，已成為維護(hù)國(guó)家安全的重要保障和迫切需求。

2 工業(yè)漏洞挖掘及其防利用技術(shù)研究

2.1 工業(yè)互聯(lián)網(wǎng)漏洞挖掘方向

面對(duì)工業(yè)互聯(lián)網(wǎng)的任何一種網(wǎng)絡(luò)攻擊事件，無(wú)一例外是利用網(wǎng)絡(luò)及其設(shè)備的漏洞、 后門、錯(cuò)誤設(shè)置等發(fā)起的。 我國(guó)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的漏洞，有別于通用的常規(guī)IT 系統(tǒng)漏洞，大部分控制系統(tǒng)來(lái)源于國(guó)外，尤其是美國(guó)、日本、德國(guó)及法國(guó)等，這些控制系統(tǒng)相對(duì)封閉，且控制通信協(xié)議相對(duì)私有，深度研究其通信協(xié)議和安全特性是極其困難的，漏洞涵蓋網(wǎng)絡(luò)安全中的安全計(jì)算環(huán)境漏洞、控制協(xié)議自身漏洞、應(yīng)用系統(tǒng)漏洞及PLC 等控制器自身漏洞與后門等， 針對(duì)我國(guó)重點(diǎn)行業(yè)ICS 的漏洞挖掘研究對(duì)象主要有：

a. 軟件漏洞。 包括西門子WinCC、Iconics GENESIS32、GE ProficyiFix 及亞控組態(tài)王等國(guó)內(nèi)外主流的ICS 控制軟件漏洞類型、機(jī)理和漏洞反利用方法。

b. 協(xié)議漏洞。 除了常規(guī)的Ethernet、ARP、IP、ICMP、IGMP、UDP 和TCP 外， 還有針對(duì)Modbus、S7Comm、Profinet、DNP3.0、V.net、OPC（AE/DA/UA）、IEC 60870-5、IEC 60870-6、IEC 61850、IEC 104、MMS 及DeltaV 等主流ICS 專用通信協(xié)議的漏洞類型、機(jī)理和漏洞反利用方法。

c. 設(shè)備漏洞。 包括我國(guó)占有率較高的控制設(shè)備和系統(tǒng)，例如S7-300/400、Quantum PLC、Rockwell ControlLogix、Centum-CS300 及 Honeywell PKS 等主流工業(yè)控制系統(tǒng)控制器的漏洞類型、機(jī)理和漏洞反利用方法。

正是由于我國(guó)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的多樣性、復(fù)雜性以及獨(dú)特的國(guó)際網(wǎng)絡(luò)空間環(huán)境，所以需要多種組合且深度融合的漏洞挖掘技術(shù)，以確保我國(guó)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)在采購(gòu)、 上線部署、版本升級(jí)的全生命周期階段能夠進(jìn)行快速、準(zhǔn)確的漏洞威脅挖掘和漏洞風(fēng)險(xiǎn)管理，避免國(guó)家基礎(chǔ)設(shè)施因各類工控設(shè)備的漏洞利用遭受攻擊，從而造成重大社會(huì)影響。

工業(yè)互聯(lián)網(wǎng)控制網(wǎng)絡(luò)現(xiàn)有的控制協(xié)議、控制軟件在設(shè)計(jì)之初主要是基于IT 和OT 相對(duì)隔離以及OT 環(huán)境相對(duì)獨(dú)立而設(shè)計(jì)的， 但目前IT 和OT 的深度融合打破了傳統(tǒng)安全可信的環(huán)境，網(wǎng)絡(luò)攻擊可能從IT 層滲透到OT 層，進(jìn)而滲透到生產(chǎn)工廠。 因此，面對(duì)工業(yè)互聯(lián)網(wǎng)的漏洞挖掘不能獨(dú)立于傳統(tǒng)IT 的漏洞挖掘， 應(yīng)該是IT 和OT 融合環(huán)境下的漏洞挖掘思維； 同時(shí)，OT 環(huán)境運(yùn)行時(shí)，控制系統(tǒng)有強(qiáng)實(shí)時(shí)性、可靠性和穩(wěn)定性的嚴(yán)格要求， 不能有任何外部干涉干擾其工藝控制，所以面對(duì)工業(yè)互聯(lián)網(wǎng)是無(wú)法在正在運(yùn)行的控制系統(tǒng)中實(shí)施漏洞發(fā)現(xiàn)與挖掘工作的。 參比國(guó)外的工業(yè)互聯(lián)網(wǎng)漏洞挖掘經(jīng)驗(yàn)以及近期我國(guó)頒布的《網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）》，針對(duì)我國(guó)不同行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施， 應(yīng)根據(jù)其工藝、網(wǎng)絡(luò)結(jié)構(gòu)及控制系統(tǒng)等，搭建滿足不同行業(yè)、不同控制工藝、不同生產(chǎn)過(guò)程要求的仿真環(huán)境，采用網(wǎng)絡(luò)博弈攻擊的思維作為漏洞觸發(fā)的誘因，在攻擊雙方各自采用自有安全策略的情況下，利用組合的漏洞挖掘技術(shù)，發(fā)現(xiàn)控制系統(tǒng)的漏洞及其利用過(guò)程，并將此策略用于真實(shí)的工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的安全防御之中，以此增強(qiáng)工控系統(tǒng)的安全防御能力。

2.2 工業(yè)漏洞挖掘技術(shù)研究

工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)承擔(dān)著生產(chǎn)運(yùn)營(yíng)的重要任務(wù)，生產(chǎn)安全首要保證其可用性，我國(guó)大量控制系統(tǒng)均攜帶各種漏洞風(fēng)險(xiǎn)在線運(yùn)行，一旦發(fā)生惡意攻擊事件將導(dǎo)致生產(chǎn)系統(tǒng)癱瘓、 工藝破壞，導(dǎo)致生產(chǎn)安全等不可預(yù)估的問(wèn)題。

針對(duì)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的漏洞挖掘，需要在對(duì)控制系統(tǒng)網(wǎng)絡(luò)特性、生產(chǎn)過(guò)程控制及其控制協(xié)議進(jìn)行分析的基礎(chǔ)上，采用融合的有針對(duì)性的Fuzzing 測(cè)試技術(shù)， 針對(duì)控制協(xié)議可能的異變情況， 對(duì)控制協(xié)議的每一個(gè)字段進(jìn)行正交變換，按照控制協(xié)議的定義規(guī)則構(gòu)建不同工藝和控制狀態(tài)條件下的畸形協(xié)議測(cè)試報(bào)文，動(dòng)態(tài)分析工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)回饋信號(hào)的異常狀態(tài)、 動(dòng)態(tài)解析，還原可被利用的漏洞和后門的軌跡過(guò)程，進(jìn)而進(jìn)一步分析其運(yùn)行狀態(tài)的正確性和可靠性，以此達(dá)到深度挖掘工業(yè)互聯(lián)網(wǎng)系統(tǒng)存在的各類未知漏洞的目的。

工業(yè)互聯(lián)網(wǎng)系統(tǒng)的漏洞挖掘原理為：融合控制系統(tǒng)的控制協(xié)議深度解析（DPI）和深度流量分析（DFI）技術(shù)，針對(duì)不同行業(yè)控制系統(tǒng)的控制協(xié)議特點(diǎn)，構(gòu)造特定的畸形測(cè)試報(bào)文，分析控制系統(tǒng)的各種異常響應(yīng)情況，達(dá)到漏洞挖掘及其被利用分析的目的。 漏洞挖掘測(cè)試系統(tǒng)架構(gòu)如圖1 所示，其過(guò)程為向特定的控制系統(tǒng)發(fā)送特定的控制系統(tǒng)協(xié)議報(bào)文，對(duì)ICS 設(shè)備和計(jì)算系統(tǒng)進(jìn)行智能Fuzzing 測(cè)試［3］，監(jiān)視工控設(shè)備的響應(yīng)報(bào)文，并分析報(bào)文的錯(cuò)誤信息， 進(jìn)而發(fā)現(xiàn)ICS 的漏洞或后門。

圖1 漏洞挖掘測(cè)試系統(tǒng)架構(gòu)

如何針對(duì)特定的控制系統(tǒng)， 構(gòu)建比較完整的、可擴(kuò)展的漏洞挖掘測(cè)試報(bào)文是漏洞挖掘快速性、準(zhǔn)確性的關(guān)鍵。 一般而言，正常的控制報(bào)文包括控制字段、協(xié)議類型、數(shù)據(jù)字段、校驗(yàn)和及長(zhǎng)度等， 只有與正常生產(chǎn)的報(bào)文不一致 （畸形報(bào)文）時(shí)，才有可能導(dǎo)致控制系統(tǒng)的不正常應(yīng)答，這就需要融合測(cè)試用例含有潛在漏洞的報(bào)文語(yǔ)句。 基于融合測(cè)試用例的生成技術(shù)流程如圖2 所示。

圖2 漏洞挖掘融合測(cè)試用例構(gòu)造流程

當(dāng)前針對(duì)工業(yè)互聯(lián)網(wǎng)漏洞挖掘的另一關(guān)鍵問(wèn)題是如何提高測(cè)試系統(tǒng)的利用效率和測(cè)試進(jìn)度，這就要求漏洞挖掘系統(tǒng)需要包含不同行業(yè)的控制系統(tǒng)及其工藝控制應(yīng)用軟件，尤其是特殊行業(yè)的控制過(guò)程，例如石油石化行業(yè)的煉化工藝應(yīng)用系統(tǒng)（如PCS、APC、SCADA）、不同系統(tǒng)的控制協(xié) 議 （如Modbus TCP、Profinet、OPC AE/DA/UA等） 以及國(guó)外核心交換機(jī) （如CISCO、Rugged-COM、Siemens 等），以保證測(cè)試環(huán)境的真實(shí)性。 為了提高測(cè)試效率，除了提高測(cè)試系統(tǒng)的硬件配置外，還需要采用多線程的測(cè)試方法滿足加速測(cè)試進(jìn)度的目的。

在采用多線程技術(shù)的智能Fuzzing 測(cè)試過(guò)程中，對(duì)“疑似漏洞”進(jìn)行漏洞標(biāo)識(shí)、信息關(guān)聯(lián)、高危識(shí)別與等級(jí)定義，尤其需要反復(fù)、多層次、不同測(cè)試環(huán)境下的分析測(cè)試，以此對(duì)定制報(bào)文回饋的數(shù)據(jù)包精確定位， 確定漏洞的真實(shí)性和可復(fù)現(xiàn)性，否則誤報(bào)結(jié)果會(huì)對(duì)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全造成災(zāi)難性的影響。

2.3 工業(yè)互聯(lián)網(wǎng)攻擊靶場(chǎng)技術(shù)研究

工信部針對(duì)工業(yè)互聯(lián)網(wǎng)安全的三年規(guī)劃明確指出：在2020 年前實(shí)現(xiàn)“一網(wǎng)一庫(kù)三平臺(tái)”體系的建設(shè)，“三平臺(tái)”中最重要的是建設(shè)工業(yè)互聯(lián)網(wǎng)安全仿真測(cè)試平臺(tái)， 以石油化工煉化生產(chǎn)、油氣管道輸送、水利水務(wù)調(diào)度及核心工業(yè)智能制造等真實(shí)工業(yè)控制場(chǎng)景為基礎(chǔ)，模擬業(yè)務(wù)流程和真實(shí)生產(chǎn)現(xiàn)場(chǎng)，滿足網(wǎng)絡(luò)安全培訓(xùn)、測(cè)試、驗(yàn)證及試驗(yàn)等多元化需求，其意義在于通過(guò)在模擬仿真測(cè)試平臺(tái)上研究漏洞、 后門被利用攻擊行為的特征，為網(wǎng)絡(luò)安全防御提供真實(shí)的防攻擊實(shí)例。

在真實(shí)的工業(yè)互聯(lián)網(wǎng)生產(chǎn)OT 環(huán)境中， 存在大量的Internet 對(duì)企業(yè)網(wǎng)的攻擊、 企業(yè)網(wǎng)對(duì)生產(chǎn)控制OT 環(huán)境的攻擊、OT 內(nèi)部之間互相的攻擊、非合規(guī)外聯(lián)、非法熱點(diǎn)及WiFi 使用、非法外部介質(zhì)的濫用而導(dǎo)致的生產(chǎn)OT 環(huán)境遭勒索病毒感染等網(wǎng)絡(luò)安全事件，工業(yè)互聯(lián)網(wǎng)攻擊靶場(chǎng)建設(shè)就是為了模擬這些網(wǎng)絡(luò)安全事件的發(fā)生條件，從而研究漏洞觸發(fā)的環(huán)境以及被利用的過(guò)程、病毒運(yùn)行的軌跡等。

工業(yè)互聯(lián)網(wǎng)漏洞挖掘的攻擊靶場(chǎng)環(huán)境不同于一般的IT 仿真環(huán)境，必須以其真實(shí)的運(yùn)行環(huán)境為基礎(chǔ)，應(yīng)滿足如下幾點(diǎn)要求：

a. 運(yùn)行環(huán)境的真實(shí)性。攻擊靶場(chǎng)需要覆蓋工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的生產(chǎn)工藝、加工工序、流程生產(chǎn)環(huán)節(jié)、系統(tǒng)組態(tài)監(jiān)控及控制程序等，必須支持我國(guó)主流且在我國(guó)關(guān)鍵基礎(chǔ)設(shè)施中占有率較高的行業(yè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)， 如Siemens PCS7、艾默生DeltaV、Honeywell PKS 及橫河CS3000 等，且支持多種工控協(xié)議。

b. 攻防博弈的真實(shí)性。只有在真實(shí)的攻防博弈環(huán)境中，發(fā)送特定編排的畸形測(cè)試報(bào)文，才能有效地觸發(fā)漏洞、后門被利用的條件，達(dá)到漏洞挖掘的目的。 因此，工業(yè)靶場(chǎng)除滿足靶場(chǎng)功能業(yè)務(wù)要求外，還需要實(shí)現(xiàn)攻防演練、漏洞挖掘、風(fēng)險(xiǎn)驗(yàn)證、應(yīng)急演練及培訓(xùn)教育等全生命周期的能力提升和技術(shù)保障服務(wù)。

c. 靶場(chǎng)的多功能性。 靶場(chǎng)平臺(tái)需實(shí)現(xiàn)多子系統(tǒng)交互和調(diào)度的接口規(guī)約以及平臺(tái)自身安全保障功能，支持不同的平臺(tái)架構(gòu)，且增加必要的網(wǎng)絡(luò)安全主動(dòng)防御措施，以此滿足主動(dòng)防御安全策略研究的需要。

工控靶場(chǎng)系統(tǒng)架構(gòu)如圖3 所示。

圖3 工控靶場(chǎng)系統(tǒng)架構(gòu)

在目前國(guó)際網(wǎng)絡(luò)空間日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中，工業(yè)互聯(lián)網(wǎng)未知漏洞會(huì)作為一種稀缺的戰(zhàn)略資源，被一些恐怖分子利用，針對(duì)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊， 其網(wǎng)絡(luò)攻擊威力是巨大的，會(huì)給國(guó)家和民生造成不可估量的損失，造成社會(huì)危害，其中委內(nèi)瑞拉電力系統(tǒng)被攻擊便是印證。 任何一類工業(yè)控制系統(tǒng)均不可避免地存在一些威脅漏洞，任何一種漏洞被利用均需要一定的觸發(fā)條件和環(huán)境，利用工控靶場(chǎng)的測(cè)試環(huán)境，在攻防雙方“對(duì)決”的環(huán)境下，漏洞的觸發(fā)條件更為真實(shí)，在大網(wǎng)絡(luò)安全時(shí)代，在此高仿真環(huán)境下，運(yùn)用智能Fuzzing 測(cè)試技術(shù)， 設(shè)計(jì)測(cè)試用例并構(gòu)造變異報(bào)文，挖掘工控協(xié)議漏洞的效率與真實(shí)性更具有現(xiàn)實(shí)意義。

3 結(jié)束語(yǔ)

盡管大部分的工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)不可避免地?cái)y帶某些高危病毒在運(yùn)行，但這些高危病毒被利用是有邊界條件的，如何避免這些邊界條件的發(fā)生， 針對(duì)工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)進(jìn)行漏洞挖掘， 研究它們被利用的過(guò)程和病毒運(yùn)行軌跡，并有針對(duì)性地進(jìn)行安全防御，是抑制漏洞、后門、病毒發(fā)作的有效方法。 近年來(lái)，利用漏洞發(fā)起的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊的事件逐年增多，研究工業(yè)互聯(lián)網(wǎng)漏洞挖掘技術(shù)的現(xiàn)實(shí)意義非凡，有效的漏洞挖掘除了采用融合的智能挖掘技術(shù)外，在攻防博弈的靶場(chǎng)環(huán)境中，研究漏洞挖掘及其被利用的軌跡同樣重要。 工業(yè)靶場(chǎng)的搭建研制不僅能夠?qū)崿F(xiàn)攻防演練、漏洞挖掘、風(fēng)險(xiǎn)驗(yàn)證、應(yīng)急演練及培訓(xùn)教育等全生命周期能力的提升和技術(shù)保障服務(wù)，還可以更好地為確保工業(yè)互聯(lián)網(wǎng)控制系統(tǒng)的運(yùn)行安全提供主動(dòng)安全防御實(shí)例。