牛剛 李煒琪 陳春明

摘要：工控系統(tǒng)是工業(yè)互聯(lián)網(wǎng)皇冠上的明珠，它直接決定了系統(tǒng)的穩(wěn)定性、安全性等指標。技術的發(fā)展給工控系統(tǒng)帶來技術紅利的同時，也帶來了一些隱患。在工業(yè)控制系統(tǒng)的使用過程當中，遭受到來自傳統(tǒng)IT/IP網(wǎng)絡的病毒、木馬日益增加。本文就工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的相關工作進行了系統(tǒng)性的回顧，相對于歐美扥國家，我國工控系統(tǒng)安全研究上的相對滯緩。在國家政策的導向下，現(xiàn)階段工控系統(tǒng)得到了長足的發(fā)展，在工控系統(tǒng)的安全監(jiān)測及溯源系統(tǒng)的設計上也得到了不錯的發(fā)展?；诋斍肮た叵到y(tǒng)安全監(jiān)測和溯源系統(tǒng)的開發(fā)現(xiàn)狀，在功能開發(fā)和性能提升的導向下實現(xiàn)了工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的設計。該系統(tǒng)有兩大部分組成，一是由職能采集探針為主的前端采集系統(tǒng)，二是有數(shù)據(jù)分析中心為主的后臺集中分析處理系統(tǒng)。同時，就設計當中采集系統(tǒng)和分析系統(tǒng)的配置、性能及工作原理進行了深度的解讀。在工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的設計實測中，該設計較好地實現(xiàn)了預期的設定目標，可以進行設計推廣。

關鍵詞：工控系統(tǒng)、安全監(jiān)測;溯源設計

數(shù)字技術的不斷發(fā)展正在無比深刻地影響著人們的生活。隨著工業(yè)互聯(lián)網(wǎng)系統(tǒng)的不斷成熟，其在工業(yè)體系當中的應用得到了長遠的發(fā)展。工控系統(tǒng)是工業(yè)互聯(lián)網(wǎng)皇冠上的明珠，它直接決定了系統(tǒng)的穩(wěn)定性、安全性等指標。隨著工控系統(tǒng)的不斷深入發(fā)展工控系統(tǒng)的復雜程度也在不斷地上升。工業(yè)控制系統(tǒng)逐步實現(xiàn)了由封閉網(wǎng)絡系統(tǒng)向IT/IP網(wǎng)絡的融合。這雖然是一種技術上的進步，但同時也誘發(fā)了新的問題，傳統(tǒng)IT/IP網(wǎng)絡的病毒、木馬等攻擊行為也通過互聯(lián)網(wǎng)這一通道開始向工控系統(tǒng)內(nèi)蔓延。在工業(yè)控制系統(tǒng)的使用過程當中，遭受到來自傳統(tǒng)IT/IP網(wǎng)絡的病毒、木馬日益增加。就當前攻擊的類型來看主要出現(xiàn)在兩個方面，一方面是針對工業(yè)協(xié)議漏洞的攻擊，另一方面是針對系統(tǒng)軟件的攻擊。工業(yè)控制系統(tǒng)的安全性面臨著極大的挑戰(zhàn)。不同于一般的家庭系統(tǒng)或企業(yè)系統(tǒng)，一旦工業(yè)控制系統(tǒng)遭受到了沖擊，其所帶來的危害及經(jīng)濟損失時難以估量的。在對這一問題的有效解決過程當中，從源頭控制的思維出發(fā)來有效降低外部危害是提升工控系統(tǒng)安全性的一個重要途徑。因此，基于對工控系統(tǒng)安全性的威脅而展開對安全金監(jiān)測及溯源系統(tǒng)的設計就新的十分地關鍵。

1工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的相關工作

工控系統(tǒng)的研究無論是從起步還是成熟度上都要早于、優(yōu)于我國的工控系統(tǒng)。時至今日，我國在工控系統(tǒng)的設計上距離歐美等發(fā)達國家仍有著一定的差距。在針對工控系統(tǒng)安全監(jiān)測及溯源的研究上也具有著很大的優(yōu)勢。如歐美等國在本世紀初就開始了在工控系統(tǒng)技術標準及防御措施等方面的研究，并建立起來具有高水平的工控系統(tǒng)攻防實驗室。其中較為有名的工控系統(tǒng)攻防實驗室有美國愛荷達等。我國在2010年左右實現(xiàn)了工控系統(tǒng)安全研究上的發(fā)力，在國家政策的導向下，我國工控系統(tǒng)得到了長足的發(fā)展，在工控系統(tǒng)的安全監(jiān)測及溯源系統(tǒng)的設計上也得到了不錯的發(fā)展。當前，基于系統(tǒng)安全而設計的工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的設計主要有以下三種類型，主要是從特征匹配、流量分析、工控協(xié)議三個維度來展開。其中，以特征匹配庫而設計的工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)，只要是通過對在工控系統(tǒng)內(nèi)部運行的數(shù)據(jù)進行監(jiān)測，并就此對未來數(shù)據(jù)進行模型的匹配。若匹配不上則認定為入侵數(shù)據(jù)。而后會啟動相應的預警系統(tǒng)進行干預。以流量分析而設計的工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)，是通過采集工控系統(tǒng)運轉(zhuǎn)時的正常流量并作為原始通信系統(tǒng)的數(shù)據(jù)計入到風險控制模塊當中，一旦發(fā)現(xiàn)工控系統(tǒng)內(nèi)部單元的流量超過了預警線，將對異常流量展開相應的追蹤和監(jiān)測。以工控協(xié)議而設計的工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)，采用系統(tǒng)還原的方式來監(jiān)測系統(tǒng)內(nèi)部的協(xié)議是否存在惡意篡改，并通過打補丁的方式實現(xiàn)對工控系統(tǒng)協(xié)議漏洞的修復。從對以上三種安全監(jiān)測和溯源系統(tǒng)的分析當中可以發(fā)現(xiàn)，這些系統(tǒng)處在一個相對低級的階段，對危險的識別能力及處置能力相對不高，與當前所能夠提供的軟硬件水平相較很多功能沒能夠得到深度的開發(fā)，如機器學習、風險算法等，這也是當前工控系統(tǒng)安全監(jiān)測、風險溯源能力不足的主要成因。

2. 工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)設計

技術的不斷發(fā)展為工控系統(tǒng)的升級提供了可能。此次研究當中所設計的安全監(jiān)測及溯源系統(tǒng)是在現(xiàn)有的軟硬件基礎之上而采用全新的分布式結(jié)構，它能夠?qū)嵭到y(tǒng)內(nèi)各模塊的最大化系統(tǒng)，提升工控系統(tǒng)的集成化管理能力，同時眼能夠?qū)崿F(xiàn)既有軟硬件的虛擬分布系統(tǒng)。在應用設計上也相對較為簡單，主要是采用流量采集的方式來進行。具體的實現(xiàn)過程當中，主要是在工控系統(tǒng)的網(wǎng)絡鏈路當中布置監(jiān)測探針，這些探針具有較高的靈敏性且監(jiān)測性能好，能夠?qū)た叵到y(tǒng)網(wǎng)絡鏈路當中的異常數(shù)據(jù)進行采集和預處理。

2.1工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)構成

工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)組成有兩大部分組成，一是由采集探針為主的前端采集系統(tǒng)，二是有數(shù)據(jù)分析中心為主的后臺集中分析處理系統(tǒng)。這樣的前臺探測+后臺處理的分布式布局，能夠在精準的采集基礎上實現(xiàn)對異常數(shù)據(jù)的可視化分析，便于工作人員基于工控系統(tǒng)提示而采用及時的干預措施。此次設計當中的前臺探測層包括有：數(shù)據(jù)包、業(yè)務流、工業(yè)協(xié)議指令、網(wǎng)絡會話指令、業(yè)務性能測試、工業(yè)協(xié)議測試及主動探測系統(tǒng)等組成，能夠?qū)た叵到y(tǒng)網(wǎng)絡行為展開分析，也能夠?qū)崿F(xiàn)對工控系統(tǒng)中網(wǎng)絡安全及異常行為的分析。后臺的處理層又可分為分析調(diào)度層和交互層兩大版塊。其中，交互層主要包括了主動探測、多維度動態(tài)關系、數(shù)據(jù)監(jiān)測、攻擊監(jiān)測、異常監(jiān)測、大數(shù)據(jù)平臺、安全知識庫、通信行為監(jiān)測、任務調(diào)度、數(shù)據(jù)存儲、數(shù)據(jù)采集、二次分析、網(wǎng)絡預警、網(wǎng)絡報警等功能單元構成。交互層包括了態(tài)勢圖與人際交互、分析視圖查詢、分析視圖報表、分析視圖事件、配置管理以及事件告警等部分組成。

2.2工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的智能探針設計

智能采集探針是該工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)設計當中的核心單元，其性能的高低直接決定了數(shù)據(jù)采集的精度及預警實施的效率。此次研究當中所設計的智能探針在捕獲工控系統(tǒng)鏈路流量的時候，采用的是鏡像或分光的方式來進行，能夠?qū)崿F(xiàn)對全鏈路的覆蓋。對于不同的監(jiān)測口會采用不同的分析板卡以保證智能采集探針的監(jiān)測質(zhì)量。同時，為了降低鏈路傳播中的延時問題，采用更為有效的采集、轉(zhuǎn)發(fā)及數(shù)據(jù)分析的三分離設計，保證各探針在采集數(shù)據(jù)后能夠輸送至中央處理單元來實現(xiàn)對于安全風險的預警。探針系統(tǒng)采用深度包檢測技術、Suricata + PFRING 技術，對大流量、高并發(fā)網(wǎng)絡進行全流量采集和初步分析。這是該系統(tǒng)能夠有著較高安全監(jiān)測能力和溯源能力的關鍵。

2.3工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)部署

工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)部署體現(xiàn)出較高的通用性。用戶不需要專門地進行網(wǎng)絡的改造，可依托傳統(tǒng)的以太網(wǎng)來實現(xiàn)工控系統(tǒng)風險監(jiān)測及溯源的功能。其中，探針的部署中覆蓋面較大，通常地在各單位的網(wǎng)絡入口，主干線路及工控現(xiàn)場要進行安裝，為保障采集的質(zhì)量建議用戶在匯聚層和接入層也需要安裝智慧探針。對于分析數(shù)據(jù)中心的系統(tǒng)配置而言，要依據(jù)企業(yè)工控的風險預設進行合理的配置。一般地，需要配備多臺服務器及客戶終端。這將依據(jù)客戶的工控規(guī)模而定。這是確保工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的設計具有較高適用性的關鍵。

2.4工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的關鍵技術

工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的關鍵技術主要體現(xiàn)在三個方面。首先是工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的協(xié)議深度分析系統(tǒng)。在對當前的工控系統(tǒng)安全風險的深度分析當中可以發(fā)現(xiàn)，工控系統(tǒng)的多半攻擊選定的目標都是工控協(xié)議。在對工控系統(tǒng)安全監(jiān)測系統(tǒng)的設計實踐當中也表明，工控系統(tǒng)的安全監(jiān)測若采用單一的協(xié)議解析辦法往往不能夠起到全面的預警效果，很難保證對于工控系統(tǒng)網(wǎng)絡鏈路中協(xié)議的準確識別。因此，此次研究的過程中，工控系統(tǒng)的協(xié)議采用的是特征串、協(xié)議特征及業(yè)務行為匹配三種方式來進行，這樣的一種設計能夠基本涵蓋了主流的工控系統(tǒng)協(xié)議。能夠在實現(xiàn)對主流業(yè)務層協(xié)議識別的同時，對于新出現(xiàn)的工控系統(tǒng)協(xié)議有著一定的拓展識別能力。這在很大程度上提升了工控系統(tǒng)的適配性，也使得這一系統(tǒng)的分析和解決能力得到了快速的升級。其次是工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的安全預警挖掘。此次設計當中在流量分析的基礎上，著力構建了安全預告模塊和關聯(lián)引擎模塊。在運行的過程當中，將結(jié)合工控系統(tǒng)網(wǎng)絡的流量、性能等展開數(shù)據(jù)建模，并采用關聯(lián)分析、時序模式分析等多種方式來實現(xiàn)對預警數(shù)據(jù)的處理。如在工控系統(tǒng)安全監(jiān)測系統(tǒng)的運行過程當中，一旦出現(xiàn)了工控網(wǎng)絡中的實時流量與正常的流量值存在著偏差，將通過對異常流量的監(jiān)測和分析，并上傳分析，而后由系統(tǒng)對是否感染了木馬或病毒進行確認。

2.5工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的存儲回溯方案。

此次設計的過程當中，極大了對于溯源系統(tǒng)的設計，這是之前多數(shù)工控系統(tǒng)所欠缺的。這一方式能夠較好地實現(xiàn)對于異常數(shù)據(jù)的深度識別、解碼及分析，這對于安全事件的調(diào)查取證有著重要的意義。當前所設計的這一套系統(tǒng)能夠?qū)崿F(xiàn)對150多種工控網(wǎng)絡常見運行協(xié)議的兼容。這一系統(tǒng)與傳統(tǒng)的工控系統(tǒng)相比在數(shù)據(jù)檢索回放上也具有著很大的優(yōu)勢。操作人員通過控制菜單的操作能夠隨時調(diào)閱不同控制單元的歷史流量數(shù)據(jù)、預警信息等。系統(tǒng)中的采集器將對鏈路中的數(shù)據(jù)進行實施的捕獲，在捕獲后為避免產(chǎn)生演示特意添加了KAFKA作為工控系統(tǒng)數(shù)據(jù)采集的緩沖層。離線的批處理模塊主要是對系統(tǒng)中的數(shù)據(jù)進行深度的挖掘，并將所挖掘到的數(shù)據(jù)存儲到數(shù)據(jù)的緩沖層。實時在線的處理模塊主要對流數(shù)據(jù)進行處理，并進行在線的分析，同時也會將擴圍數(shù)據(jù)中的非正常數(shù)據(jù)放到系統(tǒng)的數(shù)據(jù)存儲層當中。實施警告分析模塊，主要是在實時在線處理的基礎之上來實現(xiàn)退所發(fā)現(xiàn)異常數(shù)據(jù)進行推動，并通過大數(shù)據(jù)的后期跟蹤實現(xiàn)對數(shù)據(jù)存儲的溯源。

3工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的系統(tǒng)實現(xiàn)

為更好地工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)的實效，特選取某企業(yè)就這一新研發(fā)的系統(tǒng)進行了實測。本企業(yè)是一個中小型企業(yè)工控系統(tǒng)相對較小。在應用的過程當中記憶這樣的一種情況進行了優(yōu)化。從配置上而言，某企業(yè)的工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)所用的數(shù)據(jù)包括了以下設備，有互聯(lián)網(wǎng)探針1探，工控探針1探，數(shù)據(jù)管理中心1個。數(shù)據(jù)管理中心設置，主動探測、數(shù)據(jù)監(jiān)測、攻擊監(jiān)測、異常監(jiān)測、大數(shù)據(jù)平臺、通信行為監(jiān)測、任務調(diào)度、數(shù)據(jù)存儲、數(shù)據(jù)采集、二次分析、網(wǎng)絡預警、網(wǎng)絡報警等功能單元各一。分析視圖查詢、分析視圖報表、配置管理以及事件告警等功能單元各一。系統(tǒng)搭建完成之后，較好的完成了對于工控網(wǎng)絡鏈路的全流程檢測，實現(xiàn)了對工控指令攻擊、攻擊參數(shù)篡改、非法設備接入等行為的記錄和存儲。在運行的3個月中共發(fā)現(xiàn)工控指令攻擊1次、攻擊參數(shù)篡改2次，非法設備接入6次，實現(xiàn)了對工控系統(tǒng)攻擊的有效預防。同時，工控協(xié)議攻擊預防當中，也發(fā)揮出了巨大的為例，在運行的過程當中成功捕獲一些異常工控協(xié)議時間，通過匹配分析最終認定為攻擊行為。工控系統(tǒng)協(xié)議遭受攻擊后，直觀的試圖分析也使得人員對這一問題有了更為從容的應對。在采取相應的干預措施之后，通過對流量趨勢的持續(xù)性觀測得到了干預措施的直接反饋，實現(xiàn)了對這一問題的妥善解決。同時，通過事后分析系統(tǒng)，對這一攻擊行為的來源進行了確定，將相關的攻擊數(shù)據(jù)按流程進行了上報。這次所設計的工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)在溯源能力上也顯示出了巨大的進步，由上文所提及的在遇到攻擊行為之后，鏈路中的數(shù)據(jù)開始記錄，對原數(shù)據(jù)包進行存儲的同時，對歷史數(shù)據(jù)包也進行了回溯。這為上文中所提及的安全事件的取證提供了巨大的支撐?？傮w而言，此次工控系統(tǒng)安全監(jiān)測和溯源系統(tǒng)在實際運行中運作正常能夠較好地幫助企業(yè)應對來自網(wǎng)絡的攻擊行為。同時，能夠在溯源模塊的支撐下實現(xiàn)對攻擊源頭的定位，并對整個過程進行數(shù)據(jù)取證。該系統(tǒng)可進行大面積的推廣。

4結(jié)束語

工控系統(tǒng)安全性極為關鍵，一旦出現(xiàn)問題將給企業(yè)帶來不可估量的損失。隨著技術的不但發(fā)展工控系統(tǒng)的鏈路變得更為開放，依托于現(xiàn)有互聯(lián)網(wǎng)網(wǎng)絡而搭建起的工控系統(tǒng)獲得更大技術加持的同時，也遇到了一些隱性的問題。如傳統(tǒng)IT/IP網(wǎng)絡的病毒、木馬等攻擊行為也通過互聯(lián)網(wǎng)這一通道開始向工控系統(tǒng)內(nèi)蔓延。因此，需要設計出更加靈敏、更加準確的安全監(jiān)測和溯源系統(tǒng)來應對這一挑戰(zhàn)。此次研究中設計了一個新型的安全監(jiān)測和溯源系統(tǒng)，它是由采集探針為主的前端采集系統(tǒng)和有數(shù)據(jù)分析中心為主的后臺集中分析處理系統(tǒng)共同組成。探針的部署中覆蓋面較大，通常地在各單位的網(wǎng)絡入口，主干線路及工控現(xiàn)場要進行安裝，為安全監(jiān)測和溯源提供了強大的支撐。在對這一設計的實測當中發(fā)現(xiàn)，該系統(tǒng)能夠較好地實現(xiàn)了對工控指令攻擊、攻擊參數(shù)篡改、非法設備接入等行為的記錄和存儲，完成了對于協(xié)議攻擊的原始數(shù)據(jù)取證工作。同時顯現(xiàn)出來較高的穩(wěn)定性。在工控系統(tǒng)分析不斷加大的今天，這一系統(tǒng)將擁有更為廣闊的應用空間，值得大面積的推廣，能夠誒工控系統(tǒng)提供強有力的保障。

參考文獻：

[1]顧志華，樓立，王小棟，王巧.自動化碼頭岸邊集裝箱起重機工控系統(tǒng)信息網(wǎng)絡安全防護設計[J].港口裝卸，2021（04）：24-26.

[2]劉剛，林棋，邊學文.工業(yè)控制網(wǎng)絡安全性分析——以中亞某天然氣管道為例[J].石油工業(yè)技術監(jiān)督，2021，37（08）：29-32.

[3]唐嘉，趙詠，韓濤.某石油化工企業(yè)基于等保2.0的工控系統(tǒng)網(wǎng)絡安全評估與建議[J].網(wǎng)絡安全和信息化，2021（07）：127-129.

[4]王琦. 基于隱半馬爾科夫模型的工控系統(tǒng)入侵檢測方法研究[D].廣東技術師范大學，2021.

[5]張春杰. 基于博弈理論的工控系統(tǒng)信息安全風險評估技術研究[D].長春工業(yè)大學，2021.

[6]陳實.淺談機械制造修理企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡面臨的安全挑戰(zhàn)[J].中國管理信息化，2021，24（09）：129-132.

[7]于寅虎.工控信息安全體系建設筑牢“新基建”安全底座——專訪北京神州慧安科技有限公司首席科學家 張友平[J].信息技術與網(wǎng)絡安全，2021，40（03）：6-8.

[8]王新，胡良，劉建軍，劉虎天，燕云，朱寶巖.主動型全面風險防控系統(tǒng)在整合煤礦安全管理中的應用[J].內(nèi)蒙古煤炭經(jīng)濟，2021（04）：76-78.

[9]楊丙紅.探討基于網(wǎng)絡流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術[J].通信電源技術，2021，38（03）：235-238.

[10]景峰，張雪芹.工業(yè)控制系統(tǒng)低干擾風險評估技術研究[J].山西電力，2020（06）：41-43.

[11]楊航，劉益松，劉貴恒，周飛艷.基于網(wǎng)絡流量異常檢測的電網(wǎng)工控系統(tǒng)安全監(jiān)測技術[J].電子技術與軟件工程，2020（22）：259-260.

[12]李世斌，李婧，唐剛，李藝.基于HMM的工業(yè)控制系統(tǒng)網(wǎng)絡安全狀態(tài)預測與風險評估方法[J].信息網(wǎng)絡安全，2020，20（09）：57-61.

項目基金：本文系2017年度湖南省教育廳重點科研項目：基于監(jiān)測及控制系統(tǒng)升級設計的軸承壓裝機改造（項目編號：17A060）研究成果。