徐海洲，周純杰

（華中科技大學(xué) 人工智能與自動(dòng)化學(xué)院，武漢 430074）

0 引言

隨著工業(yè)4.0、《中國(guó)制造2025》戰(zhàn)略不斷推動(dòng)工業(yè)控制系統(tǒng)向網(wǎng)絡(luò)化、智能化升級(jí)，許多新興網(wǎng)絡(luò)技術(shù)逐漸應(yīng)用到工業(yè)控制系統(tǒng)中，工業(yè)控制系統(tǒng)從封閉走向互聯(lián)，也引入了很多的安全問(wèn)題。從2010年伊朗核電站遭受震網(wǎng)病毒攻擊，再到2018年臺(tái)積電感染勒索病毒損失17億，2019年3月委內(nèi)瑞拉遭受網(wǎng)絡(luò)攻擊全國(guó)停電，工業(yè)控制系統(tǒng)的信息安全問(wèn)題日益突出，成為不可回避的關(guān)鍵問(wèn)題[1]。SDN（軟件定義網(wǎng)絡(luò)）作為一項(xiàng)網(wǎng)絡(luò)架構(gòu)，由應(yīng)用層、控制層和轉(zhuǎn)發(fā)層構(gòu)成，其核心在于控制與轉(zhuǎn)發(fā)的分離，以其靈活性、開(kāi)放性、實(shí)時(shí)性、高效集中管控的特點(diǎn)得到了廣泛應(yīng)用[2]。隨著技術(shù)的發(fā)展，SDN技術(shù)也逐漸應(yīng)用到工業(yè)控制系統(tǒng)中，實(shí)現(xiàn)生產(chǎn)線的動(dòng)態(tài)重構(gòu)等功能[3]。

本文深度結(jié)合工業(yè)控制系統(tǒng)防護(hù)特點(diǎn)和需求，提出一種基于SDN的工控信息安全防護(hù)系統(tǒng)架構(gòu)，通過(guò)軟件定義網(wǎng)絡(luò)建立工控系統(tǒng)信息安全防護(hù)框架，形成入侵檢測(cè)到安全響應(yīng)閉環(huán)，實(shí)現(xiàn)工控系統(tǒng)的動(dòng)態(tài)安全防護(hù)。本文的剩余內(nèi)容組織如下：第一節(jié)分析了工控系統(tǒng)信息安全防護(hù)的特點(diǎn)和需求；第二節(jié)，基于軟件定義網(wǎng)絡(luò)設(shè)計(jì)了工控系統(tǒng)的動(dòng)態(tài)安全防護(hù)架構(gòu)；第三節(jié)，利用Mininet仿真環(huán)境對(duì)防護(hù)系統(tǒng)的性能進(jìn)行了測(cè)試，并基于雙容水箱實(shí)驗(yàn)平臺(tái)進(jìn)行攻防實(shí)驗(yàn)，驗(yàn)證了防護(hù)框架的有效性；第四節(jié)對(duì)全文的研究成果進(jìn)行了總結(jié)，并對(duì)后續(xù)可能的研究方向進(jìn)行了分析。

1 工控信息安全防護(hù)的特點(diǎn)和需求

工控系統(tǒng)信息安全防護(hù)最初沿用IT領(lǐng)域的防護(hù)思想，采用基于分區(qū)、分域、隔離的靜態(tài)防護(hù)技術(shù)[4,5]，通過(guò)漏洞掃描[6]特征匹配等方法對(duì)系統(tǒng)進(jìn)行識(shí)別、保護(hù)和評(píng)測(cè)。然而，這種靜態(tài)防護(hù)具有滯后性，無(wú)法應(yīng)對(duì)層出不窮的未知攻擊。針對(duì)工控系統(tǒng)的攻擊，一旦突破到系統(tǒng)現(xiàn)場(chǎng)層，輕則引起產(chǎn)品的減產(chǎn)降質(zhì)，重則造成重特大安全事故，引起人員傷亡、環(huán)境污染，危及公共生活乃至國(guó)家安全[7]。工業(yè)過(guò)程系統(tǒng)的信息安全防護(hù)的核心和焦點(diǎn)是保證過(guò)程系統(tǒng)的安全運(yùn)行，它的防護(hù)必須是深度結(jié)合系統(tǒng)運(yùn)行特點(diǎn)，在傳統(tǒng)的靜態(tài)防護(hù)的基礎(chǔ)上，進(jìn)行動(dòng)態(tài)防護(hù)。因此只有建立入侵檢測(cè)到安全響應(yīng)的安全閉環(huán)控制，才能有保障系統(tǒng)的運(yùn)行安全。

軟件定義網(wǎng)絡(luò)作為一種架構(gòu)，其核心在于控制和轉(zhuǎn)發(fā)的分離：SDN交換機(jī)只負(fù)責(zé)按照流表進(jìn)行轉(zhuǎn)發(fā)，控制器通過(guò)修改SDN交換機(jī)流表，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)報(bào)文的細(xì)粒度控制。SDN的靈活性為實(shí)現(xiàn)工控系統(tǒng)的動(dòng)態(tài)安全防護(hù)提供了基礎(chǔ)平臺(tái)。

1 防護(hù)系統(tǒng)設(shè)計(jì)

1.1 總體架構(gòu)

基于SDN的工業(yè)控制信息安全防護(hù)系統(tǒng)分為物理層、現(xiàn)場(chǎng)層、轉(zhuǎn)發(fā)層、控制層和應(yīng)用層五層，如圖1所示。其中：

1）物理層為工控系統(tǒng)的各種物理對(duì)象。

2）現(xiàn)場(chǎng)層為由傳感器、控制器、執(zhí)行器組成的控制系統(tǒng)以及操作員站。

3）轉(zhuǎn)發(fā)層由SDN交換機(jī)構(gòu)成，現(xiàn)場(chǎng)層設(shè)備通過(guò)轉(zhuǎn)發(fā)層進(jìn)行數(shù)據(jù)通信傳輸，SDN交換機(jī)根據(jù)流表將對(duì)應(yīng)的報(bào)文進(jìn)行轉(zhuǎn)發(fā)，并將網(wǎng)絡(luò)中的通信數(shù)據(jù)鏡像發(fā)送到應(yīng)用層進(jìn)行安全分析。

4）控制層由SDN控制器構(gòu)成，通過(guò)OpenFlow協(xié)議對(duì)轉(zhuǎn)發(fā)層SDN交換機(jī)進(jìn)行集中管理和控制，執(zhí)行應(yīng)用層下發(fā)的防護(hù)策略。

5）應(yīng)用層包含安全監(jiān)測(cè)和安全響應(yīng)兩個(gè)模塊，安全監(jiān)測(cè)模塊通過(guò)SDN鏡像獲取的網(wǎng)絡(luò)流量，對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，當(dāng)檢測(cè)到異常時(shí)，安全響應(yīng)模塊通過(guò)REST API向控制器發(fā)送防護(hù)指令，實(shí)現(xiàn)系統(tǒng)的動(dòng)態(tài)安全防護(hù)。

系統(tǒng)的核心在于，通過(guò)SDN有選擇的鏡像獲取工控系統(tǒng)網(wǎng)絡(luò)中的通信流量進(jìn)行監(jiān)測(cè)和分析，當(dāng)系統(tǒng)發(fā)生異常后，再通過(guò)SDN執(zhí)行相應(yīng)的防護(hù)策略，實(shí)現(xiàn)檢測(cè)到響應(yīng)的防護(hù)閉環(huán)，保障系統(tǒng)的動(dòng)態(tài)安全。

圖1 基于SDN的工業(yè)控制信息安全防護(hù)系統(tǒng)架構(gòu)

1.2 安全監(jiān)測(cè)模塊

安全監(jiān)測(cè)模塊由可視化監(jiān)控、入侵檢測(cè)和哨兵節(jié)點(diǎn)構(gòu)成，通過(guò)對(duì)鏡像獲得流量以及流表信息，對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)的安全監(jiān)測(cè)。

1.2.1 可視化監(jiān)控

傳統(tǒng)網(wǎng)絡(luò)交換機(jī)、路由器內(nèi)部流量如何交換很難展現(xiàn)，進(jìn)而無(wú)法對(duì)于網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)測(cè)和管理。基于SDN實(shí)現(xiàn)網(wǎng)絡(luò)流量可視化[8]，將網(wǎng)絡(luò)數(shù)據(jù)以圖形圖像的方式表現(xiàn)出來(lái)，可以更加高效快速地識(shí)別非法網(wǎng)絡(luò)設(shè)備和異常通信行為。通過(guò)SDN拓?fù)浒l(fā)現(xiàn)形成的連接關(guān)系[9]，結(jié)合網(wǎng)絡(luò)通信數(shù)據(jù)包的特征，可以有效地對(duì)工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)的監(jiān)控，防止惡意設(shè)備的非法接入，發(fā)現(xiàn)系統(tǒng)的流量異常，并對(duì)通信設(shè)備進(jìn)行統(tǒng)一管理。

1.2.2 入侵檢測(cè)

Snort作為一款非常優(yōu)秀的開(kāi)源軟件工具，能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析，并根據(jù)事先定義的規(guī)則進(jìn)行響應(yīng)及處理，被很多安全公司用做入侵檢測(cè)模塊的核心引擎[10]，支持自定義檢測(cè)規(guī)則。本文擬通過(guò)Snort實(shí)時(shí)分析網(wǎng)絡(luò)鏡像流量，實(shí)現(xiàn)入侵檢測(cè)。

1.2.3 哨兵節(jié)點(diǎn)

哨兵節(jié)點(diǎn)，指通過(guò)軟件定義網(wǎng)絡(luò)部署大量虛擬主機(jī)，開(kāi)放容易被攻擊者利用的敏感服務(wù)端口對(duì)攻擊者進(jìn)行誘捕[11]。一旦非正常的流量訪問(wèn)哨兵節(jié)點(diǎn)，即可觸發(fā)安全防護(hù)策略。Conpot作為一款輕量級(jí)低交互工控蜜罐，支持一系列通用工業(yè)控制協(xié)議，能夠模擬復(fù)雜的工業(yè)基礎(chǔ)設(shè)施。本文擬利用Conpot作為工業(yè)網(wǎng)絡(luò)中的哨兵節(jié)點(diǎn)，實(shí)現(xiàn)對(duì)攻擊者的迷惑和誘捕。

1.3 安全防護(hù)模塊

1.3.1 隔離、流量清洗

隔離、流量清洗技術(shù)主要通過(guò)修改交換機(jī)流表，對(duì)非法的報(bào)文進(jìn)行丟棄。由于SDN的靈活性，可以有針對(duì)性的對(duì)某一類型的數(shù)據(jù)包進(jìn)行丟棄，從而實(shí)現(xiàn)通信授權(quán)、流量清洗等功能。通過(guò)流量清洗可以防止SYN洪水攻擊、惡意掃描、遠(yuǎn)程登錄等攻擊。具體的流程如下：應(yīng)用層生成隔離指令，利用REST API下發(fā)給SDN控制器，控制器通過(guò)OpenFlow協(xié)議修改SDN交換機(jī)流表，SDN交換機(jī)根據(jù)流表對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)，對(duì)于正常的報(bào)文進(jìn)行轉(zhuǎn)發(fā)，對(duì)于異常的報(bào)文直接進(jìn)行丟棄等操作，從而實(shí)現(xiàn)對(duì)非法設(shè)備的隔離，異常報(bào)文的清洗。

1.3.2 地址/端口跳變

現(xiàn)有工業(yè)控制系統(tǒng)中通信雙方大多使用固定的IP和端口進(jìn)行通訊，攻擊者能夠很好的判斷工控設(shè)備的角色（PLC、操作員站、WEB服務(wù)器）以及型號(hào)，分析存在的漏洞，進(jìn)而確定攻擊方法與攻擊路線。攻擊者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)，收集并分析發(fā)送報(bào)文數(shù)據(jù)，能夠輕而易舉的獲得通信主機(jī)的真實(shí)IP和端口，從而發(fā)動(dòng)各種網(wǎng)絡(luò)攻擊，如拒絕服務(wù)、重返攻擊、中間人攻擊等。端口跳變是一種典型的移動(dòng)防御技術(shù)，通過(guò)持續(xù)改變服務(wù)端口、IP等信息迷惑攻擊者，使其難以發(fā)動(dòng)攻擊，從根源上防止攻擊的發(fā)生，實(shí)現(xiàn)系統(tǒng)的主動(dòng)防御。工業(yè)控制系統(tǒng)中存在著大量的PLC、DTU等設(shè)備，運(yùn)算資源有限，更不允許去直接修改它的程序，傳統(tǒng)端口跳變技術(shù)需要在發(fā)送方和接收方增加額外的程序，無(wú)法直接應(yīng)用在工業(yè)控制系統(tǒng)中。本文針對(duì)工業(yè)控制系統(tǒng)的特殊條件，通過(guò)SDN交換機(jī)修改報(bào)文傳輸過(guò)程中的IP、端口進(jìn)行端口跳變，在不修改雙方通信程序的基礎(chǔ)上，實(shí)現(xiàn)通信雙方在端口跳變下的透明通信。

1.3.3 拓?fù)渥儞Q

拓?fù)渥儞Q旨在通過(guò)改變通信網(wǎng)絡(luò)結(jié)構(gòu)，給攻擊者呈現(xiàn)出動(dòng)態(tài)變化的網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)的復(fù)雜程度，使其無(wú)法定位攻擊目標(biāo)，發(fā)起攻擊[12]。一方面通過(guò)拓?fù)渥儞Q可以有效阻斷攻擊者的攻擊鏈條，另一方面可以將攻擊者的報(bào)文導(dǎo)入到蜜網(wǎng)中，對(duì)攻擊進(jìn)行追根溯源。由于SDN的集中控制結(jié)構(gòu)使得多個(gè)SDN交換機(jī)可以在同一個(gè)控制器的控制下協(xié)同動(dòng)作，改變邏輯網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，從而實(shí)現(xiàn)全局的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變換。本文擬結(jié)合拓?fù)涮兣cConpot組成工控蜜網(wǎng)，保障系統(tǒng)安全。

2 實(shí)驗(yàn)驗(yàn)證

本文首先通過(guò)Mininet仿真環(huán)境對(duì)端口跳變、拓?fù)涮兊确雷o(hù)手段對(duì)通信性能的影響進(jìn)行了測(cè)試，隨后搭建了實(shí)體環(huán)境，基于雙容水箱控制系統(tǒng)實(shí)際對(duì)象進(jìn)行攻防實(shí)驗(yàn)驗(yàn)證了防護(hù)框架的有效性。

2.1 性能測(cè)試

2.1.1 仿真環(huán)境

本文采用Mininet作為實(shí)驗(yàn)的仿真環(huán)境，RYU作為SDN控制器，對(duì)系統(tǒng)的通信性能進(jìn)行測(cè)試。Mininet作為一個(gè)完整的軟件定義網(wǎng)絡(luò)仿真開(kāi)發(fā)平臺(tái)，能夠進(jìn)行開(kāi)發(fā)、測(cè)試和演示，具有良好的可移植性。RYU是一款開(kāi)源的基于Python開(kāi)發(fā)的控制器，因其架構(gòu)簡(jiǎn)單，部署方便，得到了廣泛的應(yīng)用。

2.1.2 地址/端口跳變

1）為了驗(yàn)證系統(tǒng)在進(jìn)行端口/地址跳變時(shí)對(duì)工控系統(tǒng)通信的影響，在Mininet中創(chuàng)建如圖2所示的網(wǎng)絡(luò)結(jié)構(gòu)。

圖2 地址/端口跳變仿真原理圖

2）通過(guò)REST接口對(duì)流表進(jìn)行修改。使SDN交換機(jī)在轉(zhuǎn)發(fā)的同時(shí)對(duì)報(bào)文的IP地址進(jìn)行修改，實(shí)現(xiàn)傳輸過(guò)程中的跳變。

3）經(jīng)過(guò)測(cè)試，在進(jìn)行端口跳變時(shí)主機(jī)h1能夠和h2進(jìn)行正常的數(shù)據(jù)通信，通過(guò)抓包驗(yàn)證了通信過(guò)程中報(bào)文的IP不斷變化，能夠有效的迷惑攻擊者。經(jīng)過(guò)實(shí)驗(yàn)發(fā)現(xiàn)IP跳變前后通信系統(tǒng)的延遲基本相同，僅在切換的一瞬間延遲增大到0.11ms，能夠滿足工業(yè)控制系統(tǒng)通信實(shí)效性的要求，如圖3所示。

圖3 地址/端口跳變網(wǎng)絡(luò)延時(shí)變化曲線

2.1.3 拓?fù)涮?/p>

1）為了驗(yàn)證系統(tǒng)在拓?fù)涮儠r(shí)對(duì)工業(yè)控制系統(tǒng)通信的影響，在Mininet中創(chuàng)建如圖4所示的網(wǎng)絡(luò)結(jié)構(gòu)，驗(yàn)證拓?fù)涮儭?/p>

圖4 拓?fù)涮兎抡嬖韴D

2）通過(guò)REST接口對(duì)流表進(jìn)行修改，使得原本由S1直接發(fā)送到S2的報(bào)文，經(jīng)由S3再發(fā)送到S2，實(shí)現(xiàn)通信鏈路拓?fù)涞淖儞Q。

3）通過(guò)抓包驗(yàn)證了變換的有效性，h1和h2在變換時(shí)能夠正常通信。通過(guò)對(duì)變換過(guò)程中的通信的時(shí)延進(jìn)行了統(tǒng)計(jì)如圖5所示，拓?fù)渥儞Q過(guò)程中對(duì)于通信系統(tǒng)的時(shí)效性影響較小。僅在切換的一瞬間，系統(tǒng)延時(shí)由0.04ms變?yōu)?.131ms，又變回0.04ms，能夠滿足工業(yè)控制系統(tǒng)通信時(shí)效性的要求。

2.2 攻防實(shí)驗(yàn)

為了驗(yàn)證防護(hù)框架的有效性，利用一臺(tái)多網(wǎng)口工控主機(jī)安裝Ubuntu與Open vSwitch實(shí)現(xiàn)SDN交換機(jī)功能，使用一臺(tái)筆記本作為安全分析主機(jī)，基于雙容水箱控制系統(tǒng)搭建了實(shí)體仿真環(huán)境，對(duì)系統(tǒng)的有效性進(jìn)行驗(yàn)證，實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)如圖6所示。

圖5 拓?fù)渥儞Q網(wǎng)絡(luò)延時(shí)變化曲線

圖6 攻防實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)圖

2.2.1 環(huán)境搭建

1）配置OVS交換機(jī)。通過(guò)ovs-vsctl創(chuàng)建網(wǎng)橋，并將實(shí)體的物理端口添加到網(wǎng)橋上，最后制定交換機(jī)控制器的IP地址。

2）開(kāi)啟RYU控制器，修改交換機(jī)流表，將網(wǎng)絡(luò)數(shù)據(jù)包鏡像發(fā)送到安全控制主機(jī)。

3）開(kāi)啟防護(hù)程序，主要包含Snort入侵檢測(cè)和安全響應(yīng)兩個(gè)部分。安全防護(hù)程序的流程如圖7所示。

圖7 安全防護(hù)程序流程圖

2.2.2 攻防實(shí)驗(yàn)

本文通過(guò)hping3攻擊工具，模擬黑客入侵操作員站之后，對(duì)1號(hào)區(qū)域的PLC發(fā)起拒絕服務(wù)攻擊，造成1#PLC與人機(jī)界面的通信中斷。

Snort根據(jù)檢測(cè)規(guī)則檢查出異常的攻擊報(bào)文，輸出報(bào)警，觸發(fā)安全響應(yīng)程序，發(fā)送流表，對(duì)拒絕服務(wù)的數(shù)據(jù)源進(jìn)行清洗，實(shí)現(xiàn)對(duì)拒絕服務(wù)攻擊的防護(hù)。

經(jīng)驗(yàn)證，在本防護(hù)框架下，能夠在1號(hào)區(qū)域PLC斷連之前，阻斷拒絕服務(wù)攻擊，達(dá)到保障系統(tǒng)安全的效果。如圖8所示，系統(tǒng)正常時(shí)1#PLC的通信數(shù)據(jù)包在每秒40個(gè)左右，在第5秒發(fā)起拒絕服務(wù)攻擊，數(shù)據(jù)包數(shù)量直線上升到60000個(gè)左右，沒(méi)有開(kāi)啟防護(hù)時(shí)在一段時(shí)間后1#PLC發(fā)生斷連；開(kāi)啟防護(hù)措施后，在第7秒數(shù)據(jù)包數(shù)量開(kāi)始下降，能夠保障系統(tǒng)的正常通信。

圖8 攻防實(shí)驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)包曲線圖

3 結(jié)束語(yǔ)

本文綜合分析工業(yè)控制系統(tǒng)安全防護(hù)的需求，基于SDN設(shè)計(jì)了一種工控信息安全防護(hù)架構(gòu)，實(shí)現(xiàn)了檢測(cè)到響應(yīng)的安全防護(hù)閉環(huán)。并在仿真與實(shí)體環(huán)境對(duì)系統(tǒng)的通信性能及防護(hù)效果進(jìn)行了測(cè)試和驗(yàn)證，實(shí)驗(yàn)結(jié)果表明，設(shè)計(jì)系統(tǒng)滿足工業(yè)控制系統(tǒng)通信時(shí)效性要求并且能夠保障系統(tǒng)的安全。由于交換機(jī)數(shù)量的限制，端口跳變、拓?fù)涮兊任茨茉趯?shí)際系統(tǒng)中進(jìn)行驗(yàn)證。在后續(xù)的工作中，將進(jìn)一步開(kāi)展欺騙防御技術(shù)，以及多域入侵檢測(cè)技術(shù)在防護(hù)框架中的應(yīng)用。