卷接設備IPC 控制系統(tǒng)網(wǎng)絡安全監(jiān)測模型的構(gòu)建

倪雄軍，李健俊，李鈺靚，文德明，姜學峰，張益南，李 威，張曉東

1. 浙江中煙工業(yè)有限責任公司生產(chǎn)管理部，杭州市中山南路77 號 310008

2. 浙江中煙工業(yè)有限責任公司信息中心，杭州市中山南路77 號 310008

3. 浙江中煙工業(yè)有限責任公司杭州卷煙廠，杭州市科海路118 號 310008

4. 常德煙草機械有限責任公司，湖南省常德市武陵區(qū)長庚路999 號 415000

5. 杭州優(yōu)穩(wěn)自動化系統(tǒng)有限公司，杭州市余杭區(qū)臨港路6 號 311107

工業(yè)互聯(lián)網(wǎng)作為新型基礎設施建設的重要內(nèi)容，在推動信息技術(shù)（Information Technology，IT）與操作技術(shù)（Operation Technology，OT）融合時，打破了工控系統(tǒng)的隔離邊界，使工控網(wǎng)絡從封閉、孤立逐步走向開放化、互聯(lián)化、通用化和標準化［1-3］。卷接設備IPC（Industrial Personal Computer）控制系統(tǒng)是基于工業(yè)PC控制技術(shù)的開放式自動化控制系統(tǒng)，具有運行速度快、控制精度高、通用性好、可維護性強等優(yōu)點，目前正在逐步取代傳統(tǒng)的PLC控制系統(tǒng)，并已在高速、超高速卷接包設備中廣泛應用。卷接設備IPC 控制系統(tǒng)的生產(chǎn)網(wǎng)與管理網(wǎng)相連，除邊界防護外，內(nèi)部基本無安全防護措施，因此無法防御高級持續(xù)威脅攻擊和從控制系統(tǒng)內(nèi)部發(fā)起的攻擊。針對此問題，西門子、施耐德等控制系統(tǒng)的生產(chǎn)廠商提出分層部署邊界防御、防火墻、入侵檢測等技術(shù)來構(gòu)建縱深防御體系［4-5］。該體系是卷煙企業(yè)采用的主流防御方法，但難以適應新形勢下高端、持續(xù)、隱蔽式攻擊。馮濤等［6］提出一種基于有色Petri 網(wǎng)理論和Dolev-Yao 攻擊方法的檢測模型，并對EtherCAT 協(xié)議進行了安全性評估，但該模型的建模過程較復雜，且未在實際應用中得到驗證。為此，基于卷接設備IPC控制系統(tǒng)的典型攻擊鏈模型，設計了一種能夠覆蓋卷接設備控制系統(tǒng)核心設備及通信網(wǎng)絡的安全監(jiān)測模型，旨在實現(xiàn)卷接設備IPC 控制系統(tǒng)的多層安全監(jiān)測，提高卷接設備運行的安全性。

1 問題分析

以ZJ17E卷接機組為例，其IPC控制系統(tǒng)被攻擊過程可分為3 個階段，見圖1。①威脅感染與傳播。威脅源可能存在于廣域網(wǎng)和便攜設備中，主要通過網(wǎng)絡釣魚、U盤擺渡等方式進行感染與傳播［7］。②向IPC 控制器滲透。計算機被感染后，向人機界面HMI、編程器等外圍設備發(fā)起攻擊，成為攻擊IPC 控制器的跳板。③控制網(wǎng)實質(zhì)攻擊。木馬病毒成功入侵 IPC 控制器后，通過 EtherCAT 總線、IO 設備等對物理設備進行攻擊，進而達到破壞生產(chǎn)活動的目的。病毒在入侵的同時向HMI等設備發(fā)送錯誤的運行狀態(tài)信息，蒙蔽現(xiàn)場操作人員，存在長期潛伏、蓄意破壞等安全隱患。

圖1 卷接設備IPC控制系統(tǒng)被攻擊過程示意圖Fig.1 Schematic diagram of IPC control system of filtered cigarette maker being attacked

通過研究卷接設備IPC 控制系統(tǒng)的攻擊路徑，可知其安全問題的核心在于系統(tǒng)網(wǎng)、IPC 控制器和EtherCAT控制網(wǎng)3類關(guān)鍵設備。①系統(tǒng)網(wǎng)。卷接設備控制系統(tǒng)的系統(tǒng)網(wǎng)中未部署安全防護措施，利用惡意代碼、木馬、病毒等都可以發(fā)起身份鑒別請求攻擊、中間人攻擊等［8］，這類攻擊的網(wǎng)絡鏈接有可能變成完全被人監(jiān)聽控制的鏈接，無法保障網(wǎng)絡鏈接的安全性。因此，需要結(jié)合工控協(xié)議的深度解析和白名單策略的防護機制，應對針對網(wǎng)絡的已知和未知的惡意攻擊行為，降低控制系統(tǒng)受損風險。②IPC控制器。為了滿足工業(yè)環(huán)境運行需求，IPC控制器通常采用可靠性高、抗干擾能力強的嵌入式微處理器模塊，并使用經(jīng)過深度定制的操作系統(tǒng)［9］。例如，ZJ17E 卷接機組配套使用的Windows 系統(tǒng)預留給通用程序的運行資源有限，因此無法通過安裝殺毒軟件、更新補丁、實時更新病毒庫等手段來保持攻防力量的平衡［10］。由于操作系統(tǒng)的版本以及應用類型不同，利用非侵入式安全監(jiān)測方法能夠提升安全配置、增強安全機制、減少被入侵的風險。③EtherCAT 控制網(wǎng)。木馬病毒成功入侵IPC 控制器后，可通過EtherCAT 總線攻擊物理設備，進而破壞生產(chǎn)活動。EtherCAT 數(shù)據(jù)包經(jīng)過從站的物理層、數(shù)據(jù)鏈路層到達應用層，期間有大量EtherCAT 特有的處理邏輯，同時也存在多個攻擊路徑。主要攻擊方法包括影響EtherCAT 數(shù)據(jù)包的傳遞路徑、篡改邏輯地址和實際數(shù)據(jù)空間地址的映射關(guān)系、影響數(shù)據(jù)包讀寫過程的一致性、影響控制系統(tǒng)各I/O 終端協(xié)同控制的一致性、影響操作命令的有效讀寫、修改應用層業(yè)務數(shù)據(jù)等。因此，需要對EtherCAT 控制網(wǎng)的控制行為進行深度分析，結(jié)合控制網(wǎng)功能安全和信息安全的一體化防護措施［11］，對EtherCAT 控制網(wǎng)進行安全監(jiān)測，降低卷接設備被攻擊的風險。

2 卷接設備IPC控制系統(tǒng)安全監(jiān)測模型設計

為實現(xiàn)卷接設備IPC 控制系統(tǒng)的多層安全監(jiān)測，設計了系統(tǒng)網(wǎng)偽控制指令安全監(jiān)測（Monitoring of pseudo control command in system network）、IPC控制器非侵入式安全監(jiān)測（Monitoring of IPC Controller by non-intrusive method）和控制網(wǎng)異常控制行為安全監(jiān)測（Monitoring of abnormal behavior in control network）3個安全監(jiān)測模塊，結(jié)合數(shù)據(jù)無擾采集（Acquisition without disturbance for data）和安全風險預警（Alarm of security risk）技術(shù)，構(gòu)建了能夠覆蓋卷接機組核心控制設備和通信網(wǎng)絡的A3MA安全監(jiān)測模型，見圖2。

圖2 卷接設備IPC控制系統(tǒng)A3MA安全監(jiān)測模型結(jié)構(gòu)框圖Fig.2 Structure of A3MA security monitoring model for IPC control system of filtered cigarette maker

2.1 系統(tǒng)網(wǎng)偽控制指令安全監(jiān)測模塊設計

偽控制指令安全監(jiān)測模塊具有學習和校驗兩種模式，主要包括協(xié)議解析、異常識別、模型庫學習3部分。通過監(jiān)聽和分析所有流向IPC 的數(shù)據(jù)，實現(xiàn)非法控制指令識別、非法程序注入預警等功能，并實時監(jiān)測HMI等節(jié)點向IPC控制器的滲透過程。利用機器學習與人工梳理結(jié)合的方式，從訪控權(quán)限、協(xié)議命令、過程參數(shù)、控制行為等角度建立訪問控制庫、合法命令庫、參數(shù)規(guī)則庫、安全行為庫等安全通信規(guī)則校驗庫，構(gòu)建系統(tǒng)網(wǎng)安全通信模型。實時分析系統(tǒng)網(wǎng)數(shù)據(jù)包，依次校驗通信數(shù)據(jù)包對安全模型的符合性，進而實現(xiàn)偽控制指令的識別與預警。

2.1.1 協(xié)議解析

針對 HMI 等節(jié)點與 IPC 通信的 ADS 協(xié)議，按照協(xié)議數(shù)據(jù)包的封裝格式進行拆包，根據(jù)報文頭部信息確定數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層及應用層信息，再按照應用層協(xié)議格式進行解碼，獲取應用層信息并檢查報文是否符合協(xié)議規(guī)范，從而實現(xiàn)協(xié)議解析。

2.1.2 異常識別

異常識別的作用是基于安全通信規(guī)則校驗庫校驗系統(tǒng)網(wǎng)數(shù)據(jù)，識別通信網(wǎng)絡中的偽控制指令，并產(chǎn)生報警信號。模塊先對系統(tǒng)網(wǎng)數(shù)據(jù)進行訪控權(quán)限校驗，識別未授權(quán)節(jié)點、未授權(quán)用戶和未授權(quán)操作；然后對數(shù)據(jù)進行操作命令校驗，識別非法命令；再對數(shù)據(jù)進行參數(shù)合法性校驗，識別非法操作參數(shù)；最后結(jié)合通信交互行為和網(wǎng)絡狀態(tài)遷移情況，識別偽控制指令。

2.1.3 模型庫學習

模型庫學習采用人工梳理與機器學習相結(jié)合的方式。先通過人工對通信數(shù)據(jù)包進行離線分析，經(jīng)過分析通信參與方的身份和協(xié)議，構(gòu)建通信模型白名單；再通過機器學習實時分析線上流量，識別其通信行為；收集符合正常通信特征、不在現(xiàn)有通信模型內(nèi)的數(shù)據(jù)包，構(gòu)建新的模型規(guī)則。

2.2 IPC非侵入式安全監(jiān)測模塊設計

IPC 非侵入式安全監(jiān)測模塊主要從IPC 狀態(tài)安全、行為安全、通信安全3 方面對IPC 進行安全監(jiān)測。采用非侵入式監(jiān)測方法資源消耗小，且能夠滿足IPC控制器在線運行對穩(wěn)定性和實時性的要求。

2.2.1 IPC狀態(tài)安全監(jiān)測

根據(jù)核心控制器面臨的安全威脅，監(jiān)測IPC 的安全狀態(tài)，如惡意開放端口、工控相關(guān)進程狀態(tài)、關(guān)鍵工控文件或系統(tǒng)文件狀態(tài)等都會影響系統(tǒng)的穩(wěn)定運行。其主要功能包括狀態(tài)安全數(shù)據(jù)采集和狀態(tài)預期度量。狀態(tài)安全數(shù)據(jù)采集功能：①為避免影響卷接設備IPC 控制系統(tǒng)正常運行，以非侵入方式采集IPC 多維靜態(tài)安全數(shù)據(jù)；②獲取IPC 配置文件、應用軟件安裝、用戶賬戶、安全策略、注冊表等數(shù)據(jù)以及IPC 中定制的工控軟件、軟件配置文件及庫文件、工控組態(tài)包等。狀態(tài)預期度量功能：對IPC 控制器的配置文件、庫文件、編程文件以及操作系統(tǒng)的關(guān)鍵系統(tǒng)文件等內(nèi)容進行度量。

2.2.2 IPC行為安全監(jiān)測

對影響IPC 安全的動態(tài)行為數(shù)據(jù)進行監(jiān)測，如惡意代碼注入后啟動未知進程篡改工控文件或系統(tǒng)文件、啟動U 盤等未知設備。其主要功能包括動態(tài)行為安全數(shù)據(jù)采集和動態(tài)行為預期獲取。動態(tài)行為安全數(shù)據(jù)采集功能：①為避免影響卷接設備IPC 控制系統(tǒng)正常運行，以非侵入方式采集IPC動態(tài)數(shù)據(jù)；②根據(jù)預先采集的IPC安全特征集合，對IPC的進程創(chuàng)建、設備添加和刪除、電源狀態(tài)更改以及注冊表修改等行為進行監(jiān)測，并對數(shù)據(jù)進行實時獲取。動態(tài)行為預期獲取功能：對獲取的動態(tài)行為數(shù)據(jù)進行處理，將數(shù)據(jù)通過網(wǎng)絡交互接口傳入IPC 威脅智能分析與評估模塊。

2.2.3 IPC通信安全監(jiān)測

從IPC 通信過程面臨的威脅入手監(jiān)測IPC 與HMI、編程器之間的交互狀況，排除IP 異常、端口異常等威脅因素。其主要功能包括通信安全數(shù)據(jù)采集和通信安全數(shù)據(jù)預期獲取。通信安全數(shù)據(jù)采集功能：實時獲取IPC 與HMI 進行交互發(fā)送的指令參數(shù)或監(jiān)控數(shù)據(jù)狀態(tài)時的網(wǎng)絡通信數(shù)據(jù)，具體包括交互雙方的數(shù)據(jù)流量特征、數(shù)據(jù)包特征以及IPC 與編程器之間的網(wǎng)絡通信數(shù)據(jù)（上傳下載的文件信息、編程器IP 和端口等）。通信安全數(shù)據(jù)預期獲取功能：在IPC 中獲取正常通信行為時HMI 以及編程器IP、端口、MAC地址、所采用協(xié)議等數(shù)據(jù)。

2.3 控制網(wǎng)異?？刂菩袨楸O(jiān)測模塊設計

結(jié)合EtherCAT 高速總線網(wǎng)絡的通信特征，建立控制網(wǎng)異?？刂菩袨楸O(jiān)測模塊。該模塊包括EtherCAT無擾偵聽、EtherCAT安全監(jiān)測和EtherCAT安全模型構(gòu)建3部分，見圖3。以數(shù)據(jù)包完整性和合法性校驗、協(xié)議深度解析為基礎，設計EtherCAT 控制網(wǎng)的關(guān)鍵點重點監(jiān)測、數(shù)據(jù)包分類節(jié)奏檢測、場景行為關(guān)聯(lián)分析3類安全監(jiān)測策略，對控制行為進行實時分析與檢測，及時發(fā)現(xiàn)異常控制行為和未知威脅。

圖3 控制網(wǎng)異常控制行為監(jiān)測模塊示意圖Fig.3 Schematic diagram of monitoring module for abnormal control behavior of control network

2.3.1 EtherCAT無擾偵聽

由于EtherCAT 控制網(wǎng)要求強實時性，常規(guī)的端口鏡像、流量轉(zhuǎn)發(fā)等方式會影響IPC 控制系統(tǒng)的運行效率。因此，在物理層上采用流量環(huán)回的EtherCAT 數(shù)據(jù)無擾偵聽模塊，僅增加物理線路的通信延時，進而在獲得EtherCAT 數(shù)據(jù)包鏡像的同時不影響EtherCAT 的強實時性。為避免受到攻擊時無擾偵聽模塊的數(shù)據(jù)鏡像功能失效，將無擾偵聽模塊裝載在EtherCAT 主站出口位置，確保無擾偵聽模塊傳送給EtherCAT安全監(jiān)測模塊的數(shù)據(jù)包完整。

2.3.2 EtherCAT安全監(jiān)測

EtherCAT 安全監(jiān)測模塊接收到EtherCAT 數(shù)據(jù)包后，進行完整性和合法性校驗以及協(xié)議深度解析；根據(jù)協(xié)議解析結(jié)果分別進行關(guān)鍵點重點監(jiān)測、數(shù)據(jù)包分類節(jié)奏檢測和場景行為關(guān)聯(lián)分析，并對分析和檢測結(jié)果進行EtherCAT 網(wǎng)絡異常控制行為識別、定位和預警。由表1可見，關(guān)鍵點重點監(jiān)測功能通過分析EtherCAT 通信原理，剖析協(xié)議中存在的弱點，進而識別針對協(xié)議弱點的攻擊行為；數(shù)據(jù)包分類節(jié)奏檢測通過分析不同功能數(shù)據(jù)包的適用場景、觸發(fā)條件和觸發(fā)頻率，將EtherCAT 數(shù)據(jù)包分成周期型、觸發(fā)型和場景型，結(jié)合生產(chǎn)場景監(jiān)測數(shù)據(jù)包的分類頻率，進而識別異常攻擊行為；場景行為關(guān)聯(lián)分析通過分析網(wǎng)絡數(shù)據(jù)包的前后關(guān)聯(lián)，進行網(wǎng)絡行為識別與網(wǎng)絡行為序列診斷，進而識別異?？刂菩袨?。

表1 EtherCAT控制網(wǎng)異?？刂菩袨榘踩O(jiān)測策略Tab.1 Security monitoring strategy for abnormal control behavior of EtherCAT control network

2.3.3 EtherCAT安全模型構(gòu)建

利用EtherCAT 協(xié)議深度解析和機器學習，結(jié)合規(guī)則化狀態(tài)遷移、場景化關(guān)聯(lián)規(guī)則、自動化網(wǎng)絡梳理等技術(shù)，對網(wǎng)絡歷史數(shù)據(jù)進行分析、建模和狀態(tài)演化，通過抽取演化規(guī)則形成網(wǎng)絡安全模型。EtherCAT安全模型庫包括寄存器庫、拓撲模型庫、配置模型庫和行為模型庫。寄存器庫是其他模型庫的基礎，通過協(xié)議深度解析形成寄存器地址列表與訪問規(guī)則等；拓撲模型庫決定了EtherCAT 鏈路層控制方式，并影響分布式時鐘同步、EtherCAT異常診斷等行為，根據(jù)鏈路層控制方式反向推導可得到系統(tǒng)拓撲模型；通過分析各從站配置數(shù)據(jù)包，可反向推導從站的類型、默認配置、實際配置等信息，形成配置模型庫；通過深度剖析EtherCAT 協(xié)議，結(jié)合現(xiàn)場獲取的歷史數(shù)據(jù)包，分析數(shù)據(jù)包訪問控制規(guī)則、分類頻度閾值以及各種數(shù)據(jù)包結(jié)構(gòu)和邏輯關(guān)系，構(gòu)建EtherCAT行為模型庫。

3 模型驗證

3.1 驗證方法

（1）以杭州卷煙廠使用的ZJ17E 卷接機組為對象，在不影響正常生產(chǎn)的前提下部署安全監(jiān)測原型系統(tǒng)進行測試，見圖4。其中，無擾偵聽組件為獨立的硬件組件，部署在卷接機組IPC 控制系統(tǒng)控制箱交換機附近位置，連入IPC 系統(tǒng)的系統(tǒng)網(wǎng)絡和控制網(wǎng)絡中，與交換機、IPC 控制器相連。安全監(jiān)控組件用于高速總線網(wǎng)絡異?？刂菩袨楸O(jiān)測和偽控制指令識別預警，部署在IPC系統(tǒng)控制箱側(cè)板上，采用旁路部署方式，與無擾偵聽組件相連，接收無擾偵聽組件發(fā)送的單向數(shù)據(jù)并進行安全分析。IPC 安全監(jiān)視子模塊作為獨立的軟件模塊，部署在IPC 控制器運行系統(tǒng)中，采用非侵入式安全監(jiān)測方法采集IPC 系統(tǒng)數(shù)據(jù)，確保與原有控制運算邏輯進行解耦分離和獨立運行，并可適應IPC控制器運行資源受限等環(huán)境。

圖4 卷接設備IPC控制系統(tǒng)網(wǎng)絡安全監(jiān)測原型系統(tǒng)部署Fig.4 Deployment location of network security monitoring prototype system for IPC control system of filtered cigarette maker

（2）基于控制系統(tǒng)構(gòu)建典型的攻擊鏈模型，分析嗅探、系統(tǒng)網(wǎng)攻擊、IPC漏洞分析與利用、IPC實質(zhì)攻擊、EtherCAT控制網(wǎng)攻擊等完整攻擊鏈的各個環(huán)節(jié)，并進行模擬攻擊測試，以驗證部署安全監(jiān)測原型系統(tǒng)后IPC 系統(tǒng)在系統(tǒng)網(wǎng)、IPC 控制器和控制網(wǎng)3 方面的安全監(jiān)測能力。

3.2 驗證結(jié)果

由表2可見：①系統(tǒng)網(wǎng)偽控制指令監(jiān)測模塊實現(xiàn)了對HMI 與IPC 之間ADS 通信協(xié)議的深度解析，并具有對TCP/IP 標準協(xié)議族數(shù)據(jù)的審計功能；可對未授權(quán)網(wǎng)絡節(jié)點、網(wǎng)絡協(xié)議、網(wǎng)絡端口的非法訪問進行預警；對HMI 控制指令的重放攻擊和偽造攻擊進行識別預警。②IPC 非侵入式安全監(jiān)測模塊實現(xiàn)了對IPC控制器的系統(tǒng)信息、磁盤、內(nèi)存、工控系統(tǒng)文件指紋、工控程序文件指紋、系統(tǒng)服務列表、非系統(tǒng)服務列表、應用程序列表、用戶登錄信息、外設列表、進程列表、注冊表信息共12項數(shù)據(jù)的安全監(jiān)測。③控制網(wǎng)異?？刂菩袨楸O(jiān)測模塊通過對EtherCAT 網(wǎng)絡數(shù)據(jù)進行深度解析，實現(xiàn)了邏輯地址映射篡改監(jiān)測、異?？刂茢?shù)據(jù)操作監(jiān)測、分布式時鐘偽同步監(jiān)測、從站配置參數(shù)合法性監(jiān)測、從站運行狀態(tài)監(jiān)測、從站初始化序列監(jiān)測、通信異常連接重試監(jiān)測以及網(wǎng)絡流量異常監(jiān)測等8項安全監(jiān)測。

表2 安全監(jiān)測原型系統(tǒng)監(jiān)測能力測試結(jié)果Tab.2 Test results of monitoring capability of security monitoring prototype system

表2（續(xù)）

4 結(jié)論

針對卷接設備IPC 控制系統(tǒng)內(nèi)部缺失安全防護措施等問題，采用構(gòu)建控制系統(tǒng)典型攻擊鏈模型的方法，建立了一種A3MA安全監(jiān)測模型，實現(xiàn)了卷接設備IPC控制系統(tǒng)的多層安全監(jiān)測。在ZJ17E卷接機組生產(chǎn)運行環(huán)境中進行模擬攻擊測試，驗證了安全監(jiān)測原型系統(tǒng)的監(jiān)測能力。結(jié)果表明：安全監(jiān)測原型系統(tǒng)可快速發(fā)現(xiàn)系統(tǒng)網(wǎng)偽控制指令行為，快速定位針對IPC 控制器的未授權(quán)篡改行為，快速識別EtherCAT控制網(wǎng)的異?？刂菩袨?。應用A3MA安全監(jiān)測模型實現(xiàn)了卷接設備IPC控制系統(tǒng)核心控制器與高速實時總線網(wǎng)絡的安全監(jiān)測，為后續(xù)安全加固、異常阻斷、安全聯(lián)動等安全防護研究打下了基礎。