蔣　臣　王華忠　凌志浩　路　偉

(華東理工大學(xué)化工過(guò)程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室1，上?！?00237；吉林石化公司檢測(cè)中心2，吉林 吉林　132021)

?

Modbus/TCP多層訪(fǎng)問(wèn)控制過(guò)濾技術(shù)

蔣臣1王華忠1凌志浩1路偉2

(華東理工大學(xué)化工過(guò)程先進(jìn)控制和優(yōu)化技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室1，上海200237；吉林石化公司檢測(cè)中心2，吉林 吉林132021)

摘要：針對(duì)典型工控網(wǎng)絡(luò)協(xié)議——Modbus協(xié)議在信息安全上存在的缺陷，提出了一種基于Modbus/TCP協(xié)議的多層訪(fǎng)問(wèn)控制過(guò)濾技術(shù)，利用分層過(guò)濾策略處理網(wǎng)絡(luò)數(shù)據(jù)包以抵御網(wǎng)絡(luò)攻擊。該策略包含分析階段和配置階段。分析階段主要負(fù)責(zé)收集合法報(bào)文并按照規(guī)則進(jìn)行解析，建立三層白名單；配置階段對(duì)關(guān)鍵可寫(xiě)參數(shù)的允許范圍進(jìn)行配置，過(guò)濾越限參數(shù)，防止該參數(shù)被寫(xiě)入控制器。通過(guò)對(duì)所建試驗(yàn)平臺(tái)的測(cè)試，驗(yàn)證了多層訪(fǎng)問(wèn)控制過(guò)濾技術(shù)有效抵御針對(duì)協(xié)議應(yīng)用層的網(wǎng)絡(luò)攻擊的能力，有助于消除操作人員誤操作所帶來(lái)的影響，提高系統(tǒng)安全性。

關(guān)鍵詞：Modbus/TCP信息安全訪(fǎng)問(wèn)控制策略數(shù)據(jù)處理兩化融合PLCSCADA

Programmable logic controller(PLC)Supervisory control and data acquisition system(SCADA)

0引言

隨著兩化融合的不斷推進(jìn)，工業(yè)控制系統(tǒng)開(kāi)始連接到企業(yè)網(wǎng)以及互聯(lián)網(wǎng)。連接的增加與標(biāo)準(zhǔn)協(xié)議的使用有助于優(yōu)化制造過(guò)程和擴(kuò)展網(wǎng)絡(luò)分布，但也使工控系統(tǒng)暴露于互聯(lián)網(wǎng)安全威脅之下，作為工業(yè)領(lǐng)域應(yīng)用廣泛的Modbus更是首當(dāng)其沖[1]。因此，如何防范針對(duì)Modbus協(xié)議的網(wǎng)絡(luò)攻擊已成為當(dāng)前研究熱點(diǎn)。文獻(xiàn)[2]針對(duì)Modbus協(xié)議，給出了50條特征檢測(cè)規(guī)則。Niv Goldenberg等人提出一種對(duì)Modbus/TCP報(bào)文精確建模的方法[3]，根據(jù)人機(jī)界面和PLC之間的周期性通信構(gòu)建DFA模型，具有較低誤報(bào)率。文獻(xiàn)[4]通過(guò)對(duì)Modbus/TCP報(bào)文的深度解析，提出基于入侵檢測(cè)規(guī)則和白名單相結(jié)合的工業(yè)監(jiān)控與數(shù)據(jù)采集系統(tǒng)(supervisory control and data acquisition system,SCADA)安全防御模型。Valdes A等針對(duì)過(guò)程控制系統(tǒng)提出了基于模式和流量?jī)煞N異常檢測(cè)方法[5]。Steven Cheung等人認(rèn)為工控網(wǎng)絡(luò)具有相對(duì)固定的拓?fù)浣Y(jié)構(gòu)、通信模式及應(yīng)用協(xié)議，提出了三種基于模型的技術(shù)，對(duì)網(wǎng)絡(luò)特征行為建模并監(jiān)測(cè)那些引起系統(tǒng)行為偏離的攻擊[6]。

不同的方法有其自身適用環(huán)境和制約條件，網(wǎng)絡(luò)信息安全無(wú)疑需要從不同的角度加強(qiáng)。本文以Modbus通信協(xié)議為研究對(duì)象，針對(duì)其易受應(yīng)用層攻擊的缺陷，提出多層訪(fǎng)問(wèn)控制過(guò)濾策略，以提高系統(tǒng)安全防護(hù)水平。

1Modbus/TCP協(xié)議及安全機(jī)制分析

Modbus是OSI模型最上層的應(yīng)用層報(bào)文傳輸協(xié)議，是工業(yè)領(lǐng)域通信協(xié)議的業(yè)界標(biāo)準(zhǔn)，為工控系統(tǒng)中的設(shè)備提供主從式的通信方式[7]。其實(shí)現(xiàn)方式有基于串行鏈路的實(shí)現(xiàn)(Modbus/RTU與Modbus/ASCII)和基于以太網(wǎng)的實(shí)現(xiàn)(Modbus/TCP)。本文主要關(guān)注Modbus基于以太網(wǎng)TCP/IP的安全。

1.1Modbus/TCP數(shù)據(jù)幀

常見(jiàn)的Modbus RTU應(yīng)用數(shù)據(jù)單元(application data unit,ADU)由從機(jī)地址、功能碼、數(shù)據(jù)域和校驗(yàn)碼組成。以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP校驗(yàn)機(jī)制保證了數(shù)據(jù)傳輸?shù)恼_性，因此Modbus/TCP去除了校驗(yàn)碼，添加了MBAP報(bào)文頭。Modbus/TCP ADU格式如圖1所示。

圖1　Modbus/TCP 應(yīng)用數(shù)據(jù)單元格式示意圖Fig.1　Format of Modbus/TCP ADU

MBAP Header是Modbus在以太網(wǎng)TCP/IP中的報(bào)文頭，用來(lái)識(shí)別Modbus的應(yīng)用數(shù)據(jù)單元ADU。該部分主要包含事務(wù)處理標(biāo)志符 (Transaction ID)、協(xié)議標(biāo)志符(Protocol ID)、長(zhǎng)度(Length)、單元標(biāo)志符 (Unit ID )四部分。功能碼是Modbus主機(jī)向從機(jī)指示所要進(jìn)行操作的標(biāo)志字，規(guī)定了要執(zhí)行的Modbus相關(guān)功能，能夠表達(dá)主機(jī)的操作意圖。數(shù)據(jù)域是可變長(zhǎng)的字段，需要主機(jī)根據(jù)具體功能碼進(jìn)行配置；然后由主機(jī)發(fā)出請(qǐng)求，等待從機(jī)響應(yīng)。

1.2安全機(jī)制分析

Modbus/TCP是通過(guò)在TCP/IP協(xié)議中嵌入Modbus數(shù)據(jù)幀實(shí)現(xiàn)的。因此，其底層協(xié)議在安全層面上的缺陷也被保留下來(lái)，既適用于以太網(wǎng)的攻擊手段，也同樣適用于工控系統(tǒng)。針對(duì)傳統(tǒng)IT攻擊，工控系統(tǒng)開(kāi)始采取邊界防護(hù)策略，即在網(wǎng)絡(luò)分層、層級(jí)之間安裝防火墻[8]。然而，防火墻無(wú)法識(shí)別針對(duì)Modbus應(yīng)用層的攻擊，其主要原因在于應(yīng)用層攻擊往往隱藏在幀數(shù)據(jù)域之中。因?yàn)镸odbus協(xié)議沒(méi)有考慮安全方面的問(wèn)題，其協(xié)議的簡(jiǎn)單性使得Modbus從機(jī)易受到針對(duì)應(yīng)用層的攻擊：僅需明確從機(jī)設(shè)備所支持的功能碼和Modbus地址即可進(jìn)行通信，且報(bào)文使用明文傳輸?shù)姆绞?，易于竊聽(tīng)分析。若攻擊者通過(guò)入侵攻擊獲取了網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限進(jìn)入Modbus主機(jī)，即可監(jiān)聽(tīng)TCP鏈接上的通信報(bào)文。經(jīng)過(guò)分析可獲取某些關(guān)鍵變量的寄存器信息，并根據(jù)公開(kāi)的協(xié)議即可構(gòu)建虛假數(shù)據(jù)包，向從機(jī)發(fā)送非法命令，竊取工業(yè)過(guò)程中的參數(shù)或更改系統(tǒng)的配置，從而影響系統(tǒng)正常運(yùn)行。

2Modbus/TCP多層訪(fǎng)問(wèn)控制策略

通過(guò)上述分析，提出一種防御策略：通過(guò)分析初始化后的網(wǎng)絡(luò)通信數(shù)據(jù)包自動(dòng)生成白名單，并結(jié)合可寫(xiě)參數(shù)配置，對(duì)通信流量中的讀、寫(xiě)報(bào)文執(zhí)行多層訪(fǎng)問(wèn)控制過(guò)濾操作。假設(shè)分析階段收集到的數(shù)據(jù)僅有正常通信報(bào)文，而不包含攻擊者發(fā)出的含有攻擊行為的報(bào)文。由于工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接有限，攻擊發(fā)生頻率不高且分析階段位于設(shè)備初始化后一段很短時(shí)間內(nèi)，因此這一假設(shè)無(wú)疑是合理的。多層訪(fǎng)問(wèn)控制過(guò)濾策略的實(shí)現(xiàn)建立在如下基礎(chǔ)：工控網(wǎng)絡(luò)主、從機(jī)建立通信連接后，主機(jī)在所設(shè)定時(shí)間內(nèi)通過(guò)讀命令讀取所有必須監(jiān)控的數(shù)據(jù)，其后在配置階段對(duì)可寫(xiě)參數(shù)進(jìn)行配置，將其允許范圍寫(xiě)到對(duì)應(yīng)保持寄存器。利用白名單匹配讀操作報(bào)文中的攻擊行為，預(yù)先配置的閾值參數(shù)匹配寫(xiě)操作中的攻擊行為，實(shí)現(xiàn)對(duì)通信報(bào)文的全面過(guò)濾。

2.1基于白名單的安全策略及實(shí)施

分析階段是建立白名單的初始訓(xùn)練階段，抓取Modbus主機(jī)與現(xiàn)場(chǎng)設(shè)備間的通信報(bào)文進(jìn)行分析。這一階段在預(yù)定義的時(shí)間內(nèi)進(jìn)行，通過(guò)分析正常Modbus/TCP報(bào)文建立白名單，Modbus服務(wù)器根據(jù)其判斷接收到的讀操作是否合法。白名單是一系列正常讀操作通信報(bào)文的集合，分為如圖2所示的三個(gè)層次。

圖2　白名單層次組成示意圖Fig.2　The hierarchical composition of whitelist

系統(tǒng)白名單包含網(wǎng)絡(luò)層與傳輸層的信息，即源、目的IP地址、目的端口號(hào)以及源MAC地址，在之后的檢測(cè)階段可將其用作授權(quán)系統(tǒng)。MBAP白名單針對(duì)MBAP報(bào)文頭內(nèi)關(guān)鍵字段，即Transaction ID、Protocol ID、Length、Unit ID。其中：Protocol ID用于判斷報(bào)文是否為Modbus通信協(xié)議；Length的值表示數(shù)據(jù)的總長(zhǎng)度，用于判斷是否為非法數(shù)據(jù)包；Unit ID表示Modbus串行鏈路上的地址。PDU白名單是整個(gè)白名單策略的核心，包含了最能代表主機(jī)操作意圖的功能碼，以及功能碼所對(duì)應(yīng)的數(shù)據(jù)域。不同的功能碼可能操作單個(gè)或多個(gè)數(shù)據(jù)對(duì)象，數(shù)據(jù)域可拆分為寄存器的起始地址和操作數(shù)量。在分析階段，每條報(bào)文的內(nèi)容按不同層次存儲(chǔ)以建立白名單，其體系結(jié)構(gòu)如圖3所示。一旦白名單建立完畢，在檢測(cè)階段會(huì)監(jiān)控讀入的數(shù)據(jù)包，利用分析階段結(jié)果自動(dòng)識(shí)別異常報(bào)文。

配置階段緊鄰分析階段。在工控系統(tǒng)中，Modbus主機(jī)不僅要讀取從機(jī)數(shù)據(jù)進(jìn)行監(jiān)控，還會(huì)在監(jiān)控過(guò)程中根據(jù)不同需求向從機(jī)寫(xiě)數(shù)據(jù)，以實(shí)現(xiàn)對(duì)變送器的重新配置，例如更改變送器工作模式、報(bào)警閾值等。僅使用白名單無(wú)法實(shí)現(xiàn)對(duì)寫(xiě)操作報(bào)文的過(guò)濾，因此在分析階段將寄存器按性質(zhì)分為可寫(xiě)和只讀，對(duì)可寫(xiě)數(shù)據(jù)先行設(shè)定。對(duì)于主機(jī)可寫(xiě)的參數(shù)，事先將所有與其相關(guān)的允許值寫(xiě)入到自定義寄存器，為以后檢測(cè)階段所涉及的寫(xiě)操作報(bào)文提供合法與否的識(shí)別依據(jù)。若在允許范圍內(nèi)，則寫(xiě)操作成功；否則失敗。而對(duì)于只讀屬性的狀態(tài)值，則不允許對(duì)其所在寄存器寫(xiě)入數(shù)據(jù)。這些預(yù)先設(shè)定用于比較的數(shù)值只能在配置階段寫(xiě)入，超過(guò)允許時(shí)間則無(wú)法再修改。

圖3　生成白名單的體系結(jié)構(gòu)Fig.3　The architecture for generating whitelist

2.2多層訪(fǎng)問(wèn)控制過(guò)濾技術(shù)

為了達(dá)到信息安全防護(hù)的目的，多層訪(fǎng)問(wèn)控制過(guò)濾策略分為三個(gè)層級(jí)和兩條分支。首先，系統(tǒng)過(guò)濾層通過(guò)對(duì)照系統(tǒng)白名單，對(duì)物理層、網(wǎng)絡(luò)層與傳輸層的Ethernet Header、IP Header、TCP Header所蘊(yùn)含的信息進(jìn)行判斷，識(shí)別出傳入數(shù)據(jù)包的合法性，進(jìn)而執(zhí)行Modbus幀的接收或丟棄的動(dòng)作。接下來(lái)，MBAP過(guò)濾層判斷Protocol ID是否符合Modbus通信協(xié)議，Unit ID是否符合鏈路從機(jī)地址，以及Length數(shù)值是否與其后的字節(jié)數(shù)相符。若均相符，則該幀數(shù)據(jù)通過(guò)此過(guò)濾層；否則丟棄。在檢測(cè)階段，PDU檢測(cè)是核心部分。對(duì)于通過(guò)前兩層過(guò)濾的數(shù)據(jù)包，按照主機(jī)操作意圖分成讀和寫(xiě)兩個(gè)分支進(jìn)行PDU檢測(cè)。其中，讀操作報(bào)文查詢(xún)PDU白名單。只有功能碼、寄存器起始地址與寄存器數(shù)目能夠在PDU白名單內(nèi)找到完全匹配，讀操作才允許執(zhí)行；不完全匹配則一律丟棄。對(duì)于寫(xiě)操作報(bào)文，要識(shí)別欲寫(xiě)入的寄存器位置及數(shù)值。根據(jù)寄存器位置可以了解其代表的數(shù)據(jù)含義，與此數(shù)據(jù)含義對(duì)應(yīng)的自定義寄存器內(nèi)保存有其允許值，將欲寫(xiě)入的數(shù)值與允許值進(jìn)行比較，滿(mǎn)足條件則成功寫(xiě)入數(shù)據(jù)，否則丟棄數(shù)據(jù)包。多層訪(fǎng)問(wèn)控制過(guò)濾策略的處理流程如圖4所示。

圖4　數(shù)據(jù)包處理流程圖Fig.4　The processing flow of data packet

該過(guò)程主要由以下步驟構(gòu)成：

①接收到一幀數(shù)據(jù)后對(duì)當(dāng)前階段是否處在分析階段進(jìn)行判斷。若處在分析階段，則執(zhí)行步驟②，否則轉(zhuǎn)而執(zhí)行步驟③。

②處于分析階段，利用接收到的報(bào)文按層次自動(dòng)生成白名單，增加其對(duì)應(yīng)白名單內(nèi)容后，執(zhí)行步驟⑩。

③繼續(xù)判斷當(dāng)前所處在的階段是否為配置階段，若處在配置階段，則執(zhí)行步驟④；否則執(zhí)行步驟⑤。

④對(duì)寫(xiě)敏感的寄存器狀態(tài)值進(jìn)行安全配置，結(jié)束后跳轉(zhuǎn)到步驟⑩。

⑤當(dāng)前處于對(duì)網(wǎng)絡(luò)報(bào)文的檢測(cè)階段，利用系統(tǒng)白名單對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾操作。

⑥用MBAP過(guò)濾規(guī)則處理通過(guò)系統(tǒng)白名單過(guò)濾的報(bào)文。

⑦判斷報(bào)文中Modbus功能碼，若為讀功能碼則執(zhí)行步驟⑧，否則執(zhí)行步驟⑨。

⑧通過(guò)在分析階段建立的PDU白名單能否找到匹配來(lái)過(guò)濾讀報(bào)文，結(jié)束后轉(zhuǎn)步驟⑩。

⑨將欲寫(xiě)入寄存器的數(shù)值與其所允許的范圍進(jìn)行比較，判斷是否允許當(dāng)前寫(xiě)操作，結(jié)束后轉(zhuǎn)步驟⑩。

⑩一次完整的數(shù)據(jù)包訪(fǎng)問(wèn)控制過(guò)濾處理流程結(jié)束。

3試驗(yàn)驗(yàn)證

3.1試驗(yàn)環(huán)境搭建與設(shè)計(jì)

為驗(yàn)證本文提出的安全策略，搭建了Modbus/TCP通信試驗(yàn)平臺(tái)。試驗(yàn)平臺(tái)分三層，依次是數(shù)據(jù)監(jiān)控層、協(xié)議轉(zhuǎn)換層以及現(xiàn)場(chǎng)設(shè)備層。數(shù)據(jù)監(jiān)控層包含兩個(gè)Modbus客戶(hù)端，分別是基于組態(tài)王軟件開(kāi)發(fā)的監(jiān)控畫(huà)面和模擬攻擊源的上位機(jī)調(diào)試軟件Modbus Poll。協(xié)議轉(zhuǎn)換層指的是網(wǎng)關(guān)服務(wù)器，該服務(wù)器采用ARM硬件平臺(tái)，以STM32為核心，實(shí)現(xiàn)HART與Modbus/TCP之間的互相轉(zhuǎn)換，同時(shí)在與上位機(jī)的通信中執(zhí)行Modbus/TCP多層訪(fǎng)問(wèn)控制過(guò)濾策略。現(xiàn)場(chǎng)設(shè)備層采用支持HART應(yīng)用層協(xié)議的壓力變送器。

為使上位機(jī)能夠?qū)ψ兯推鬟M(jìn)行監(jiān)控以及配置，在上位機(jī)與變送器之間連入網(wǎng)關(guān)服務(wù)器。STM32為網(wǎng)關(guān)服務(wù)器的核心，具有豐富的片上資源，性?xún)r(jià)比高。其底層通過(guò)RS-232接口與壓力變送器連接，通過(guò)以太網(wǎng)接口與上位機(jī)組態(tài)軟件連接。串行通信采用HART應(yīng)用層協(xié)議，網(wǎng)關(guān)作為主設(shè)備向壓力變送器發(fā)送HART命令請(qǐng)求，變送器作為從設(shè)備回復(fù)HART響應(yīng)；以太網(wǎng)通信采用Modbus/TCP協(xié)議，上位機(jī)作為Modbus主機(jī)，網(wǎng)關(guān)作為從機(jī)。網(wǎng)關(guān)運(yùn)行嵌入式平臺(tái)FreeModbus協(xié)議棧[9]，定義部分保持寄存器存儲(chǔ)變送器上傳的狀態(tài)值以及上位機(jī)對(duì)變送器配置的參數(shù)，并在協(xié)議棧的基礎(chǔ)上增加多層訪(fǎng)問(wèn)控制過(guò)濾策略。網(wǎng)關(guān)負(fù)責(zé)上位機(jī)和變送器之間的通信：一方面將變送器按HART協(xié)議傳送的數(shù)據(jù)提取出來(lái)存放在特定保持寄存器供上位機(jī)讀取監(jiān)控，另一方面將上位機(jī)對(duì)寄存器的寫(xiě)操作轉(zhuǎn)化為HART命令通過(guò)串口發(fā)送給變送器。為簡(jiǎn)化試驗(yàn)，假設(shè)系統(tǒng)中僅存在對(duì)動(dòng)態(tài)變量和主變量電流的讀操作和報(bào)警壓力上限值這一個(gè)可寫(xiě)數(shù)據(jù)對(duì)象。表1列出自定義寄存器地址及其對(duì)應(yīng)關(guān)系。

表1　自定義寄存器的地址及其對(duì)應(yīng)關(guān)系Tab.1　The custom register addresses and corresponding relationship

3.2試驗(yàn)過(guò)程與結(jié)果

抵御應(yīng)用層攻擊的方法，就是在試驗(yàn)環(huán)境中網(wǎng)關(guān)服務(wù)器能夠按照多層過(guò)濾控制的邏輯正常工作，建立白名單，明確Modbus客戶(hù)端與服務(wù)器之間讀操作通信的最小集合，以及寫(xiě)操作對(duì)象的允許值。網(wǎng)關(guān)服務(wù)器的注冊(cè)IP是192.168.1.7，子網(wǎng)掩碼是255.255.255.0，僅192.168.1.X網(wǎng)段內(nèi)主機(jī)可與其通信。在實(shí)際工業(yè)環(huán)境中，服務(wù)器與上位機(jī)之間的網(wǎng)絡(luò)地址分配在同網(wǎng)段中，而外部攻擊者的IP地址往往是不同的。外部攻擊者要先偽裝成與注冊(cè)IP同網(wǎng)段的主機(jī)之一，然后才能通過(guò)Modbus數(shù)據(jù)包與服務(wù)器通信，并對(duì)其展開(kāi)攻擊。試驗(yàn)過(guò)程如下。

(1)組態(tài)監(jiān)控上位機(jī)IP為192.168.1.101，與網(wǎng)關(guān)服務(wù)器建立TCP連接后周期性讀取動(dòng)態(tài)變量和主變量電流值，并利用PacketSniffer抓取Mdobus/TCP通信報(bào)文。

控制策略在分析階段捕獲網(wǎng)絡(luò)報(bào)文生成如下白名單。

①系統(tǒng)白名單：

[SourceMAC:0x90,0xe6,0xba,0x7d,0x8c,0x22 ]

[Source IP :192.168.1.101]

[Destination IP:192.168.1.7][Destination Port:502]

②MBAP白名單：[Protocol ID:0][Unit ID:1]

③PDU白名單：[Function Code:03]

[Reference Num:43][Word Count:14]

(2)配置階段內(nèi)，預(yù)定義寄存器地址寫(xiě)入報(bào)警壓力上限值允許的波動(dòng)范圍，0x0080寄存器存允許最大值0x0045，0x0081寄存器存允許最小值0x0040。配置階段結(jié)束后，利用多層訪(fǎng)問(wèn)控制過(guò)濾策略對(duì)數(shù)據(jù)包進(jìn)行處理。

(3)攻擊者通過(guò)三次握手建立TCP偽連接，偽裝成注冊(cè)IP網(wǎng)段的一個(gè)主機(jī)，IP為192.168.1.110。向服務(wù)器發(fā)送包含讀、寫(xiě)信息攻擊指令的Modbus數(shù)據(jù)包，其中攻擊者篡改報(bào)警壓力上限值欲寫(xiě)入數(shù)據(jù)0x0042。

(4)組態(tài)上位機(jī)模擬操作人員的誤操作，向存儲(chǔ)報(bào)警壓力上限值的0x0070寄存器寫(xiě)入0x0100。

試驗(yàn)結(jié)果表明，攻擊者通過(guò)IP地址偽裝與服務(wù)器建立TCP連接，Modbus Poll可以向服務(wù)器發(fā)Modbus數(shù)據(jù)包，但因其IP地址不在系統(tǒng)白名單而被控制邏輯所丟棄。步驟(3)中的攻擊者企圖篡改報(bào)警壓力上限值，盡管寫(xiě)入值在允許范圍內(nèi)，但寫(xiě)操作并未成功。Modbus Poll不具有對(duì)服務(wù)器的讀、寫(xiě)權(quán)限，無(wú)法攻擊變送器。組態(tài)上位機(jī)則能夠利用03功能碼，從0x0043開(kāi)始讀取連續(xù)14個(gè)保持寄存器，16功能碼執(zhí)行對(duì)0x0070地址的寫(xiě)操作，但欲寫(xiě)入數(shù)據(jù)必須在0x0080與0x0081兩個(gè)寄存器存儲(chǔ)數(shù)值范圍內(nèi)。步驟(4)的寫(xiě)操作并未成功，其操作也受多層過(guò)濾策略制約，從而消除了操作人員誤操作對(duì)變送器的影響。即使攻擊者能夠冒充組態(tài)上位機(jī)或完全獲取上位機(jī)權(quán)限，也無(wú)法對(duì)變送器關(guān)鍵參數(shù)進(jìn)行修改。這種將白名單與參數(shù)配置相結(jié)合的多層訪(fǎng)問(wèn)控制過(guò)濾策略，能夠有效抵御針對(duì)應(yīng)用層的網(wǎng)絡(luò)攻擊，保障系統(tǒng)的安全運(yùn)行。

4結(jié)束語(yǔ)

針對(duì)工控系統(tǒng)破壞性更強(qiáng)的應(yīng)用層數(shù)據(jù)攻擊，本文提出一種Modbus多層訪(fǎng)問(wèn)控制過(guò)濾技術(shù)。此過(guò)濾技術(shù)能夠輔助管理者監(jiān)測(cè)網(wǎng)絡(luò)上的報(bào)文，并具有極低的誤報(bào)率。經(jīng)過(guò)報(bào)文分析階段和配置階段，系統(tǒng)監(jiān)測(cè)控制中心與現(xiàn)場(chǎng)設(shè)備間的通信報(bào)文，利用所建立的白名單匹配讀操作報(bào)文中的異常行為，并利用配置參數(shù)匹配寫(xiě)操作報(bào)文中的攻擊行為，能有效防御針對(duì)應(yīng)用層的網(wǎng)絡(luò)攻擊。該安全策略具有簡(jiǎn)潔清晰、易于推廣的特點(diǎn)，適用于工控系統(tǒng)這類(lèi)網(wǎng)絡(luò)中通信模式相對(duì)固定的場(chǎng)合，試驗(yàn)結(jié)果也驗(yàn)證了該策略的有效性。

參考文獻(xiàn)：

[1] GARITANO I,URIBEETXEBERRIA R,ZURUTUZA U.A review of SCADA anomaly detection systems[C]// Soft Computing Models in Industrial and Environmental Applications,6th International Conference SOCO 2011Springer Berlin Heidelberg,2011:357-366.

[2] MORRIS T H,JONES B A,VAUGHN R B,et al.Deterministic intrusion detection rules for MODBUS protocols[C]//System Sciences (HICSS),2013 46th Hawaii International Conference on.IEEE,2013: 1773-1781.

[3] GOLDENBERG N,WOOL A.Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems[J].International Journal of Critical Infrastructure Protection,2013,6(2): 63-75.

[4] 張盛山,尚文利,萬(wàn)明,等.基于區(qū)域/邊界規(guī)則的 Modbus TCP 通訊安全防御模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(11): 3701-3707.

[5] VALDES A,CHEUNG S.Communication pattern anomaly detection in process control systems[C]// Technologies for Homeland Security.IEEE Conference on IEEE,2009:22-29.

[6] CHEUNG S,DUTERTRE B,FONG M,et al.Using model-based intrusion detection for SCADA networks[C]//Proceedings of the SCADA Security Scientific Symposium,2007: 1-12.

[7] 祝木田,師勇.Modbus協(xié)議通訊的應(yīng)用[J].微計(jì)算機(jī)信息：測(cè)控儀表自動(dòng)化,2004,20(6):9-11.

[8] 劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[C]// 第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2012:41-43.

[9] 王貫兵,陳潔,李新偉,等.基于μC/OS-Ⅲ的FreeModbus通信協(xié)議的實(shí)現(xiàn)[J].工業(yè)控制計(jì)算機(jī),2015(11):21-23.

中圖分類(lèi)號(hào)：TH-39;TP309

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201607020

Multilayer Access Control Filtering Technique Based on Modbus/TCP Protocol

Abstract：In view of the information security defects existing in typical industrial control protocol of Modbus,the multilayer access control filtering technique based on Modbus/TCP protocol is proposed.The network data packets are processed by adopting hierarchical filtering strategy,to resist cyber attacks.The strategy consists of two phases,i.e.,analysis phase and configuration phase.In analysis phase,the legal messages are collected and analyzed in accordance with the rules,and the three-tier whitelist is established.In configuration phase,the allowable range of critical writable parameters is configured and the over limit parameters are filtered for preventing them to be written in controller.Through tests on the experimental platform built,the capability of the multiple access control filtering technique for effectively resisting the network attacks aiming at application layer of the protocol is verified.It is helpful to eliminate the influence comes from erroneous handling of operators,thus the system security is improved.

Keywords:Modbus/TCPInformation securityAccess control strategyData processingIntegration of information and industrialization

修改稿收到日期：2016-02-26。

第一作者蔣臣(1990—)，男，現(xiàn)為華東理工大學(xué)控制科學(xué)與工程專(zhuān)業(yè)在讀碩士研究生；主要從事工業(yè)信息安全方向的研究。