◆李帥 陸勝東 朱義杰 戴寧 郭陽

一種聯(lián)動分析的工控安全審計系統(tǒng)研究及設(shè)計

◆李帥 陸勝東 朱義杰 戴寧 郭陽

（貴州航天計量測試技術(shù)研究所（貴州省功率元器件可靠性重點實驗室） 貴州 550009）

隨著網(wǎng)絡(luò)安全形勢的嚴峻，工控安全問題逐漸進入公眾視野，而工控網(wǎng)絡(luò)尤其是重要基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)所面臨的外部威脅多以APT攻擊為主，這種攻擊潛伏期長、危害大，同時很難被審計和發(fā)現(xiàn)。針對這個問題，本文研究設(shè)計了一種智能聯(lián)動分析的工控安全審計系統(tǒng)，該系統(tǒng)能夠通過綜合審計網(wǎng)絡(luò)流量異常行為及工控設(shè)備控制端異常行為，分析兩種異常行為與工控設(shè)備狀態(tài)之間的聯(lián)系，更好的定位和識別潛在的風險。

工控安全；審計系統(tǒng)；聯(lián)動分析；行為審計

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，越來越多的工控系統(tǒng)被建立起來投入生產(chǎn)，但面臨的風險也越來越高。重要工業(yè)生產(chǎn)領(lǐng)域遭到破壞帶來影響是巨大的，輕則導(dǎo)致企業(yè)虧損破產(chǎn)，重則影響社會的穩(wěn)定。工控安全事件主要有直接攻擊類型和APT類型，前者帶來的攻擊容易察覺，而后者往往具有長期潛伏特性和隱蔽性的特點，也是目前工控網(wǎng)絡(luò)面臨最多的安全威脅。無論是直接攻擊類型還是APT類型的攻擊，所帶來的危害都大大超過了我們的想象，典型的如2010年震網(wǎng)病毒事件、2015年波蘭航空公司事件、2015年烏克蘭電網(wǎng)等事件[1]，讓各國深刻認識到工控安全的重要性，對工控安全也不斷加大研究和投入。

針對工控網(wǎng)絡(luò)安全，以美國、俄羅斯等國為代表，均有完善工控安全標準體系、設(shè)備制造體系和強大的工控安全力量保障。國內(nèi)雖然起步較晚，但仍在積極推進工控安全。胡晨[2]等提出了一種針對電力和石化行業(yè)的集審計與漏洞掃描于一體的工控審計系統(tǒng)，該系統(tǒng)通過Fuzzing漏洞挖掘技術(shù)實現(xiàn)對工控系統(tǒng)的漏洞挖掘和風險的確定，通過聯(lián)合工控防火墻、IDS等安全產(chǎn)品安全事件聯(lián)合分析審計；陳莊[3]等人設(shè)計實現(xiàn)了一種通過鏡像分析上位機、工控機和各種網(wǎng)絡(luò)設(shè)備之間的狀態(tài)、通信和指令數(shù)據(jù)等進行工控安全審計的系統(tǒng)。

以上方法都是對工控網(wǎng)絡(luò)中流量進行審計或漏洞挖掘，未對工控設(shè)備控制端的運行狀態(tài)進行實時監(jiān)測，無法滿足對APT攻擊的審計要求。本文設(shè)計了一種包括客戶端和服務(wù)端兩個部分的審計系統(tǒng)，通過增加對工控設(shè)備控制端異常狀態(tài)的監(jiān)控提高審計可靠性。

1 工控安全現(xiàn)狀

目前，工業(yè)控制系統(tǒng)面臨著更加多樣的安全威脅，主要有以下幾個方面[2-3]：

（1）工控通信協(xié)議安全威脅。工控系統(tǒng)為了實現(xiàn)快速高效的指令發(fā)送，在協(xié)議的使用和認證上犧牲了一定的安全性。隨著TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來越多地應(yīng)用在工業(yè)控制系統(tǒng)中，各種各樣的通信協(xié)議安全漏洞問題逐漸凸顯，同時由于工控系統(tǒng)越來越多接入互聯(lián)網(wǎng)，工控通信協(xié)議安全威脅問題更加凸顯。

（2）有組織的黑客攻擊威脅。每一個國家關(guān)系國計民生的重要基礎(chǔ)設(shè)施都由工控系統(tǒng)控制著，工控系統(tǒng)一旦被入侵，那么其所控制的重要基礎(chǔ)設(shè)施將面臨故障、停擺甚至自我損壞的威脅，在一定程度上影響一個國家的正常運轉(zhuǎn)。因此，工控網(wǎng)絡(luò)已經(jīng)成為各個國家的重點關(guān)注的領(lǐng)域，國際上已經(jīng)存在有組織或者由國家力量支持的特定黑客團體，這些黑客團體可以針對某個目標實施長達幾年時間的情報收集工作，從中尋找目標的脆弱點實施APT攻擊并潛伏在目標系統(tǒng)中，在某個特定的時間點開展實質(zhì)性攻擊已達到某種特殊需求。

（3）工控設(shè)備控制端安全威脅。工控設(shè)備控制端的操作系統(tǒng)主要分為Windows、Linux和嵌入式操作系統(tǒng)三種，其中絕大部分的工控設(shè)備控制端安裝的是Windows操作系統(tǒng)，且大多為舊版本的Win95和Win2k系統(tǒng)。每種操作系統(tǒng)都公布有各種安全漏洞，工控系統(tǒng)為了保持兼容性和可用性往往不會及時升級，尤其是舊版本操作系統(tǒng)，因此工控系統(tǒng)中的控制端往往存在較多的系統(tǒng)安全漏洞，同時由國家支持的黑客團體可能還掌握有未公布的安全漏洞，這些因素都為工控網(wǎng)絡(luò)安全帶來了不同程度的安全威脅。

（4）內(nèi)部人員誤操作。隨著工控網(wǎng)絡(luò)各種系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工的違規(guī)或誤操作導(dǎo)致的系統(tǒng)安全問題日益突出。針對外部威脅，工業(yè)防火墻等常規(guī)的安全產(chǎn)品可以攔截一部分安全攻擊事件，但對于內(nèi)部人員的誤操作卻無能為力。

綜上所述，無論是外部威脅還是內(nèi)部威脅，當安全事件發(fā)生時需要有相關(guān)的日志去進行安全事件的分析、追查和定位。尤其是針對外部APT攻擊，因其具有潛伏性、隱蔽性和不定時攻擊的特點，因此急需一套能夠通過綜合分析各種異常行為確定APT攻擊中所控制主機的安全審計系統(tǒng)。

2 聯(lián)動分析的工控審計系統(tǒng)研究與設(shè)計

工控網(wǎng)絡(luò)所受的攻擊大致可以分為兩種：一種是直接受到外部的黑客攻擊；另一種是內(nèi)部工控設(shè)備控制端被植入木馬，通過木馬進行攻擊，也是常見的APT攻擊。

對于第一種攻擊，黑客通常構(gòu)造一些攻擊包視圖控制工控設(shè)備，此時工控網(wǎng)絡(luò)的異常狀態(tài)為網(wǎng)絡(luò)流量增多，異常的控制協(xié)議包增多等，特征比較明顯。對于第二種攻擊，黑客通過植入木馬控制工控設(shè)備控制端，定期通過木馬發(fā)送異常指令進行破壞操作。這種攻擊方式比較隱蔽且通常根據(jù)一些經(jīng)濟甚至是政治需要才擇時爆發(fā)，而令其難以發(fā)現(xiàn)的原因是指令是由內(nèi)部可信控制端發(fā)出，且不會造成明顯的流量波動。同時由于很多的企業(yè)用的都是破解版的工控軟件，這進一步增加了被植入木馬的風險。

因此本審計系統(tǒng)設(shè)計包括客戶端和服務(wù)端兩個部分，由客戶端實現(xiàn)對工控設(shè)備控制端的運行狀態(tài)進行監(jiān)控審計，當APT攻擊發(fā)生時，客戶端可以審計到異常進程的運行，并由服務(wù)端結(jié)合工控系統(tǒng)內(nèi)其他異常事件聯(lián)合分析，有效定位和識別風險。

2.1 審計系統(tǒng)總體架構(gòu)

本審計系統(tǒng)在功能上層次上與其他審計系統(tǒng)基本一致，共分為三層，分別是數(shù)據(jù)收集層、行為綜合分析層、結(jié)果展示層[2]，具體結(jié)構(gòu)如圖1所示：

圖1 聯(lián)動分析審計系統(tǒng)結(jié)構(gòu)

2.2 審計系統(tǒng)功能設(shè)計

2.2.1數(shù)據(jù)收集層

審計系統(tǒng)的數(shù)據(jù)收集主要包括兩個方面：客戶端收集、鏡像網(wǎng)絡(luò)流量。

客戶端收集：工控設(shè)備控制端等安裝審計系統(tǒng)的客戶端程序，通過客戶端程序?qū)崟r監(jiān)控控制設(shè)備的運行狀態(tài)，包括CPU、內(nèi)存使用量、進程、通信等信息，并將這些信息實時傳遞給服務(wù)端。

鏡像網(wǎng)絡(luò)流量：對工控系統(tǒng)中的網(wǎng)絡(luò)流量、協(xié)議和工控設(shè)備狀態(tài)等通信信息進行收集，結(jié)合客戶端監(jiān)控數(shù)據(jù)共同構(gòu)成當前工控系統(tǒng)狀態(tài)信息。

2.2.2行為分析層

本系統(tǒng)的行為分析主要特點為綜合考慮工控設(shè)備控制端狀態(tài)、網(wǎng)絡(luò)流量狀態(tài)和工控設(shè)備狀態(tài)三個部分的相互關(guān)系，將多個異常狀態(tài)信息進行聯(lián)合分析，根據(jù)行為庫準確分析異常行為模式和定位攻擊來源，提高工控網(wǎng)絡(luò)安全審計能力和風險識別能力。構(gòu)建以控制端狀態(tài)、網(wǎng)絡(luò)流量狀態(tài)為輸入，以工控狀態(tài)為輸出的審計模型，通過該模型對工控網(wǎng)絡(luò)狀態(tài)進行實時監(jiān)控。審計模型如下：

2.2.3結(jié)果展示層

本層主要對審計結(jié)果和內(nèi)容進行直觀清晰的展示，以實時展示和結(jié)果報表兩種形式為管理人員提供工控系統(tǒng)安全狀態(tài)分析結(jié)果，同時客戶端與服務(wù)端采取不同的展示方法。

客戶端：客戶端主要監(jiān)測工控設(shè)備控制端的運行狀態(tài)，很多工控安全事件通常從控制端開始，因此當控制端某個進程頻繁出現(xiàn)、某個程序突然占用大量計算資源時及時進行彈框提醒，第一時間將異常情況告知使用者。

服務(wù)端：服務(wù)端主要根據(jù)行為分析層的分析結(jié)果進行展示，以時間、異常事件、工控設(shè)備異常結(jié)果等進行鏈式展示，即將某段時間內(nèi)的異常情況及異常結(jié)果進行圖形化展示，可以使管理人員及時發(fā)現(xiàn)和定位風險。同時，提供歷史同種異常情況的查詢，為分析工控網(wǎng)絡(luò)內(nèi)異常情況的爆發(fā)周期、導(dǎo)致的工控設(shè)備的異常結(jié)果等提供支撐。

3 結(jié)束語

本文通過研究工業(yè)控制系統(tǒng)中風險點的來源，設(shè)計了一套分為客戶端和服務(wù)端的審計系統(tǒng)，該系統(tǒng)通過綜合分析工控系統(tǒng)網(wǎng)絡(luò)流量、工控設(shè)備控制端和工控設(shè)備狀態(tài)的審計系統(tǒng)，通過監(jiān)控各個異常之間的聯(lián)系更好的識別和定位風險，提高審計的準確性。

[1]曾瑜，郭金全. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[A]. 中國計算機學(xué)會.第31次全國計算機安全學(xué)術(shù)交流會論文集[C].中國計算機學(xué)會：2016：4.

[2]胡晨，陳凱. 工業(yè)控制系統(tǒng)行為審計方案設(shè)計與部署[J]. 軟件導(dǎo)刊，2017，16（01）：120-123.

[3]陳莊，黃勇，鄒航. 工業(yè)控制系統(tǒng)信息安全審計系統(tǒng)分析與設(shè)計[J]. 計算機科學(xué)，2013，40（S1）：340-343.

[4]北京網(wǎng)藤科技有限公司.基于工業(yè)流程分析的工控網(wǎng)絡(luò)安全審計系統(tǒng)研究[J]. 自動化博覽，2018，35（S2）：110-113.

[5]張帥. 工業(yè)控制系統(tǒng)安全現(xiàn)狀與風險分析——ICS工業(yè)控制系統(tǒng)安全風險分析之一[J]. 計算機安全，2012（01）：15-19.

[6]王文宇，劉玉紅. 工控系統(tǒng)安全威脅分析及防護研究[J]. 信息安全與通信保密，2012（02）：33-35.