段濤 向軍 張宏 李千目

摘? ?要：近些年工業(yè)控制系統(tǒng)逐步向通用化、標準化發(fā)展，原有封閉性和專有性被打破，造成易被攻擊，各種滲透、病毒、木馬等安全威脅向工控領(lǐng)域迅速擴散，導致了日益嚴重的信息安全問題。文章結(jié)合滲透測試技術(shù)，在傳統(tǒng)網(wǎng)絡(luò)攻擊測試模擬基礎(chǔ)上，設(shè)計并實現(xiàn)工控系統(tǒng)攻擊測試模擬方法。該方法包含三個功能：一是提出一種基于攻擊期望的攻擊路徑生成算法;二是實現(xiàn)基于白盒和黑盒測試的漏洞攻擊測試模擬;三是結(jié)合工業(yè)以太網(wǎng)基于特征碼進行請求應(yīng)答通信的特征，對工控設(shè)備進行信息探測。這種方法具有三個優(yōu)勢：從不同角度提供工控系統(tǒng)攻擊試驗?zāi)M;無需對攻擊建模分析;系統(tǒng)操作簡單。實驗結(jié)果顯示，與傳統(tǒng)探測工具相比，基于該方法實現(xiàn)的系統(tǒng)檢測率更高。

關(guān)鍵詞：工業(yè)控制系統(tǒng);測試模擬;白盒測試;黑盒測試

中圖分類號：TP391? ? ? ? ? 文獻標識碼：A

Abstract： In recent years， industrial control systems have gradually developed towards generalization and standardization. The original closeness and exclusiveness have been broken， which makes them vulnerable to attack. Various security threats such as penetration， virus and Trojan horse have spread rapidly to the field of industrial control， resulting in increasingly serious information security problems. Based on penetration test technology and traditional network attack test simulation， this paper designs and implements an attack test simulation method for industrial control system. This method includes three functions： one is to propose an attack path generation algorithm based on attack expectation; the other is to realize vulnerability test simulation based on white-box and black-box test; the third is to detect the information of industrial control equipment by combining the characteristics of industrial Ethernet based on signature-based request-response communication. This method has three advantages： providing attack test simulation of industrial control system from different angles; no need for attack modeling and analysis; and simple operation of the system. The experimental results show that the detection rate of the system based on this method is higher than that of the traditional detection tools.

Key words： industrial control system; test simulation; white box test; black box test

1 引言

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是一種用于描述工業(yè)領(lǐng)域各種類型的控制系統(tǒng)和相關(guān)設(shè)備的整體概念，它具有網(wǎng)絡(luò)通信、監(jiān)控和自動化工業(yè)過程的能力[1]。工業(yè)控制系統(tǒng)對各國的工業(yè)設(shè)施發(fā)展至關(guān)重要，對基礎(chǔ)設(shè)施建設(shè)尤為重要。工業(yè)控制系統(tǒng)常見威脅包括弱訪問控制、弱用戶身份驗證、未經(jīng)身份驗證的協(xié)議、遠程訪問、較差的網(wǎng)絡(luò)安全性和可見性以及高級管理層的缺乏。

目前，ICS面臨的安全威脅來源于五個方面。一是MES和HMI等關(guān)鍵工業(yè)控制系統(tǒng)組件越來越多使用商用硬件、通用操作系統(tǒng)（例如Windows和Unix）、TCP/IP協(xié)議套件和開源環(huán)境。二是有關(guān)工業(yè)控制系統(tǒng)服務(wù)、協(xié)議及其漏洞的工控知識文檔在Internet上被廣泛傳播。三是工業(yè)控制系統(tǒng)直接或間接連接到公共網(wǎng)絡(luò)，部分工業(yè)控制系統(tǒng)甚至可以由遠程的平板電腦控制HMI。這使得特洛伊木馬和蠕蟲很容易在網(wǎng)絡(luò)連接中發(fā)現(xiàn)工控漏洞并感染工控服務(wù)器和HMI等。通過Shodan搜索引擎，黑客可以通過服務(wù)和制造商非常有效地找到Internet可以訪問和易受攻擊的工控設(shè)備。四是ICS已經(jīng)成為企業(yè)內(nèi)部個別人員和黑客的攻擊目標。即使他們中有人并不是專業(yè)的黑客，也可以通過Metasploit等工具執(zhí)行攻擊。這些工具往往是公開可用的，不僅適用于系統(tǒng)和安全工程師，同樣也適用于黑客攻擊。五是人為因素。用戶在使用工業(yè)控制系統(tǒng)過程中，網(wǎng)絡(luò)安全意識薄弱，在不知情的情況下泄露工業(yè)控制系統(tǒng)的關(guān)鍵信息。同時部分工作站的員工通過連接工控組件的USB電線為手機充電，USB插頭和連接的個人設(shè)備可能攜帶惡意軟件，這在工業(yè)控制系統(tǒng)環(huán)境中是一個被忽視的問題。

面對愈加嚴峻的工控攻擊安全形式，相關(guān)研究也越來越受到國內(nèi)外的關(guān)注。工控系統(tǒng)的模擬測試攻擊涉及到兩大關(guān)鍵技術(shù)：測試方案生成和攻擊方法研究。測試方案生成主要研究工控系統(tǒng)漏洞威脅量化方法及攻擊路徑生成。評價標準[2-4]包括攻擊成功率（或攻擊期望）、攻擊步數(shù)、攻擊時間消耗等，評價指標[4-6]包括資產(chǎn)價值，脆弱性水平和威脅頻度，評價方法包括層次分析法、灰色關(guān)聯(lián)分析、主成分分析法等。目前，工控脆弱性量化方面的研究在評價指標求解方面還比較模糊，相關(guān)影響因子大都直接賦值，缺少一定的合理性和科學性。攻擊方法研究側(cè)重于工業(yè)控制漏洞掃描，漏洞挖掘和測試驗證技術(shù)。

工控測試驗證技術(shù)目前的研究方向有兩種，一種是通過對攻擊建模，實現(xiàn)對真實系統(tǒng)和設(shè)備的攻擊。有許多類型的工控系統(tǒng)攻擊模型，包括擴展攻擊、添加攻擊、替換攻擊、最大和最小攻擊等[7，8]，可以針對水利灌溉和電力系統(tǒng)等進行攻擊研究。另一種是對工業(yè)控制系統(tǒng)的攻擊模擬。該方法通常與滲透測試相關(guān)。研究人員通過開源工具（如Metasoloit）對系統(tǒng)進行滲透，利用特定腳本完成攻擊[9]。本文主要研究攻擊模擬。目前，國內(nèi)在攻擊模擬方面主要的研究還是集中在傳統(tǒng)互聯(lián)網(wǎng)，針對工控系統(tǒng)的研究較少，主要思路還是利用現(xiàn)有攻擊工具，如Metasploit、W3AF、SQLmap等進行攻擊，還沒有開發(fā)出用于工業(yè)控制系統(tǒng)和協(xié)議的攻擊模擬工具。為此，本文提出一種工控系統(tǒng)攻擊的測試模擬方法，旨在提高針對工控模擬的測試效率，保障工控系統(tǒng)可靠性和系統(tǒng)防護能力。

2 工控漏洞攻擊期望求解方法設(shè)計

攻擊期望指的是通過工控漏洞成功入侵的概率，也稱為攻擊成功概率。根據(jù)研究發(fā)現(xiàn)，攻擊成功率與漏洞利用概率和漏洞危害性相關(guān)[10]。

定義1：攻擊成功概率（）指的是在全面量化漏洞利用概率（）和漏洞危害性（）的同時，針對某一漏洞攻擊發(fā)生的概率。攻擊成功概率遵循公式（1）。

基于此，可以計算出攻擊概率最大的攻擊路徑。作為攻擊成功率最高的一條路徑，可以作為衡量整個工控系統(tǒng)安全性的指標性路徑。在該路徑基礎(chǔ)上實施模擬攻擊成功率更高。

漏洞全局利用率是指利用漏洞發(fā)起的攻擊的可能性。通常意義上，結(jié)合安全漏洞評估系統(tǒng)CVSS，漏洞全局利用率可以通過漏洞被利用的難易程度p來表示，即公式（2）。

其中，表示攻擊向量，反映漏洞被利用的方式。表示攻擊復雜度，反映了當攻擊者獲得對目標節(jié)點的訪問權(quán)限時利用漏洞的難度。表示身份認證，它反映了攻擊者在成功利用漏洞時必須經(jīng)過的身份驗證頻度。

結(jié)合CVSS以及工控系統(tǒng)的特殊性，列出與脆弱性全局利用率相關(guān)的10條指標以及對應(yīng)的打分[8]，如表1所示。

漏洞全局危害性是指漏洞被攻擊者成功利用后造成的損失。這里的損失通常包括物理損失和信息損失。物理損失和組件有關(guān)，組件越關(guān)鍵，被利用后造成的物理損失越大。信息損失參考CVSS標準，從信息的機密性、完整性和可用性來衡量。

（1）物理損失

在工控系統(tǒng)中，每個組件的地位不一樣，導致組件的資產(chǎn)價值也不一樣。例如，在工控系統(tǒng)中PLC控制器的資產(chǎn)價值顯然要高于用于監(jiān)控的普通用戶機。因此，在充分考慮工控組件在整個系統(tǒng)中的地位后，參考《集散控制系統(tǒng)安全評估指南》，對常見的工控設(shè)備進行等級劃分及資產(chǎn)價值打分，如表2所示。

物理損失除了與設(shè)備資產(chǎn)價值有關(guān)，還與設(shè)備中漏洞利用方式影響系數(shù)以及組件資的可支配權(quán)值有關(guān)，因此給出定義2。

定義2：物理損失（）是設(shè)備資產(chǎn)價值（）與漏洞利用方式影響系數(shù)（）以及設(shè)備可支配權(quán)值（）的乘積，即公式（3）。

（2）信息損失

攻擊者攻擊工控系統(tǒng)的意圖除了對組件造成破壞，最主要的目的是竊取工控系統(tǒng)中的信息資產(chǎn)，例如從數(shù)據(jù)庫中竊取生產(chǎn)數(shù)據(jù)。信息損失參考CVSS中的機密性影響（C）、完整性影響（I）和可用性影響（A）[11]。

機密性影響（C）：該指標衡量成功利用漏洞后對機密性的影響。機密性是指向授權(quán)用戶限制信息訪問，以及防止未授權(quán)用戶的訪問。表3中列出了該指標的可能值。機密性越高，對信息損失影響越大。

完整性影響（I）：該指標衡量成功利用漏洞后對完整性的影響。完整性是指信息的可靠性和準確性。表4中列出了該指標的可能值。完整性越高，對信息損失影響越大。

可用性影響（A）：該指標衡量成功利用漏洞后對可用性的影響。可用性是指信息資源的可訪問性。針對網(wǎng)絡(luò)帶寬、處理器周期或磁盤容量的攻擊都會影響系統(tǒng)的可用性。表5中列出了該指標的可能值?？捎眯栽礁?，對信息損失影響越大。

信息損失值與組件機密性影響、完整性影響和可用性影響有關(guān)，因此給出定義3。

定義3：信息損失（）是機密性影響（ ）、完整性影響（）和可用性影響（）的有機組合，即公式4。

根據(jù)攻擊成功概率求解方法可知，需要分別求解漏洞全局利用率和漏洞全局危害性，因此本文采用灰色關(guān)聯(lián)分析方法求解這兩個值。

（1）漏洞全局利用率求解

對漏洞全局利用率求解的步驟。

1）建立原始數(shù)據(jù)矩陣。假設(shè)實際拓撲包括個組件，每個組件包含一個漏洞，即個漏洞。對于每個漏洞有加密、認證等10項指標。則可以建立一個的初始矩陣。

2）確定參考數(shù)據(jù)列。根據(jù)漏洞10項指標，選擇評分最高的作為參考值，因此參考序列表示為。

3）計算的矩陣。求解漏洞初始矩陣序列與參考序列對應(yīng)元素間差的絕對值。

（5）

4）求最值。最大值即為上式中矩陣中的最大值，最小值即為上式中矩陣中的最小值。

5）計算漏洞的關(guān)聯(lián)系數(shù)。對矩陣中的每一項按照灰色關(guān)聯(lián)度計算方法進行計算，得到關(guān)聯(lián)系數(shù)矩陣。

6）求解每個漏洞的關(guān)聯(lián)度，即為漏洞全局利用率。取每個漏洞的10項指標，相應(yīng)的權(quán)重值為（0.2，0.05，0.1，0.05，0.15，0.2，0.05，0.05，0.05，0.1）。以關(guān)聯(lián)系數(shù)矩陣第一行為例。

（6）

同理，可以得出其他漏洞的關(guān)聯(lián)度。每個漏洞的關(guān)聯(lián)度表示為該漏洞的全局利用率。

（2）漏洞全局危害性求解

對漏洞全局利用率求解的步驟。

1）求解物理損失值和信息損失值。漏洞全局危害性有兩項指標：物理損失和信息損失。

2）建立原始矩陣。同樣假設(shè)實際拓撲包括個組件，每個組件包含一個漏洞，即個漏洞。對于每個漏洞有物理損失值和信息損失值兩項指標，則可以建立一個的初始矩陣。

3）確定參考數(shù)據(jù)列。根據(jù)2項指標，選擇評分最高的作為參考值。參考值隨拓撲中的漏洞而變化。

4）計算的矩陣。逐個求解每個漏洞指標序列（比較序列）與參考序列的相應(yīng)元素之間的絕對差值以組成矩陣。

5）求最值。最大值即為上式中矩陣中的最大值，最小值即為上式中矩陣中的最小值。

6）計算漏洞的關(guān)聯(lián)系數(shù)。對矩陣中的每一項按照灰色關(guān)聯(lián)度計算方法計算，得到關(guān)聯(lián)系數(shù)矩陣。

7）求解每個漏洞的關(guān)聯(lián)度，即為漏洞全局危害性。取每個漏洞的兩項指標，相應(yīng)的權(quán)重值為（0.7，0.3）。以關(guān)聯(lián)系數(shù)矩陣第一行為例。

（7）

同理可以計算得出其他漏洞的關(guān)聯(lián)度。每個漏洞的關(guān)聯(lián)度表示為該漏洞的全局危害性。

（3）攻擊期望求解

按照公式1，第一個漏洞的攻擊期望表示為，第二個漏洞的攻擊期望表示為 ，…，第個漏洞的攻擊期望表示為

3 工控系統(tǒng)的漏洞攻擊測試模擬方法

3.1 基于白盒測試的漏洞攻擊模擬

基于白盒測試的漏洞攻擊模擬，結(jié)合工控系統(tǒng)的漏洞分析，識別工控系統(tǒng)網(wǎng)絡(luò)拓撲、資產(chǎn)等信息計算漏洞安全等級，完成工業(yè)控制系統(tǒng)的可行攻擊路徑生成。然后，建立測試序列，利用腳本進行攻擊，基本包括四個步驟。

第一，結(jié)合工控協(xié)議的脆弱性分析技術(shù)，在獲知工控系統(tǒng)拓撲、資產(chǎn)等信息前提下，對收集的數(shù)據(jù)進行預處理，形成XML數(shù)據(jù)格式。拓撲信息包括網(wǎng)絡(luò)中組件的配置信息（如防火墻等）和主機的訪問規(guī)則、主機間可達關(guān)系等。資產(chǎn)信息包括主機、服務(wù)和端口等信息。

第二，在獲取工控漏洞信息后，利用攻擊圖生成工具產(chǎn)生攻擊圖，在此基礎(chǔ)上，結(jié)合量化漏洞威脅值指標，采用深度遍歷搜索方法用于建立從攻擊節(jié)點到目的節(jié)點的可行攻擊路徑。

第三，基于測試路徑的生成，設(shè)計形式化描述語言來描述攻擊測試序列。

第四，在攻擊測試序列生成后，根據(jù)序列順序調(diào)用攻擊腳本完成攻擊的實施。

本文采用Mulval進行攻擊圖生成，通過將Nessus工具掃描到的漏洞信息和其他相關(guān)信息加工編碼，可以生成復雜的邏輯攻擊圖。在此基礎(chǔ)上，對邏輯攻擊圖進行聚合，得到更加容易理解的表現(xiàn)攻擊圖，如圖1所示。

在攻擊圖生成的基礎(chǔ)上，根據(jù)上一節(jié)設(shè)計的相關(guān)指標，計算每個漏洞的威脅值，得出最具威脅的可行攻擊路徑，把此路徑作為測試路徑。對于基于漏洞威脅值的測試路徑生成，該算法的基本步驟如圖2所示。

步驟1：反向深度優(yōu)先搜索攻擊圖，生成從目標節(jié)點到初始節(jié)點的所有可能的攻擊路徑，組成集合。

步驟2：初始化最短集合，令其為空集，搜索中的最短路徑并加入集合。

步驟3：搜索并去掉中包含的路徑以形成中轉(zhuǎn)集合。如果判斷不為空，則中還有其他測試路徑可以達到目標。令，重新計算新的最短路徑并將其添加到最小攻擊路徑集合。

步驟4：重復步驟3直至集合為空，此時集合即是最小攻擊路徑集合。

根據(jù)測試路徑，用XML語言描述測試序列。XML具有屬性靈活，易于描述復雜數(shù)據(jù)結(jié)構(gòu)的特點。根據(jù)模型需要，為序列定義屬性：序列標號、類型（目的）、攻擊機理、攻擊實施過程。所謂測試序列類似于攻擊活動中的攻擊動作，在執(zhí)行攻擊行動之前需要對攻擊序列進行分解，對每個攻擊動作，漏洞庫中尋找對應(yīng)的攻擊腳本。

首先，對每個攻擊動作，也就是每個漏洞做形式化描述。為每個漏洞定義屬性：CVE編號、攻擊腳本編號、漏洞成功利用后頁面顯示的輸出信息。與CNVD等漏洞庫相比，描述性的利用過程被轉(zhuǎn)換為特定的執(zhí)行腳本，成功時的輸出信息與對應(yīng)的漏洞進行綁定。

下面是測試用例信息描述的XML模式：

3.2 基于黑盒測試的漏洞攻擊模擬

基于黑盒測試的漏洞攻擊模擬，結(jié)合滲透測試流程，攻擊者首先需要對目標進行網(wǎng)絡(luò)偵察，基于偵察結(jié)果，利用攻擊腳本執(zhí)行滲透操作?；景ㄈ齻€步驟。

第一，攻擊者基于工控協(xié)議對目標進行系統(tǒng)探測，獲取系統(tǒng)的指紋信息和各種服務(wù)的版本信息。指紋信息包括設(shè)備的模塊類型、固件版本等設(shè)備識別信息。

第二，基于漏洞庫，將探測信息與漏洞庫信息進行數(shù)據(jù)比對，探查該目標系統(tǒng)已知的漏洞信息，并根據(jù)漏洞的可利用性展開下一步工作。

第三，在獲知目標系統(tǒng)漏洞后，利用漏洞腳本進行攻擊。

工控系統(tǒng)與傳統(tǒng)網(wǎng)絡(luò)在特征上存在諸多區(qū)別，因此傳統(tǒng)網(wǎng)絡(luò)的探測方法無法有效探測出網(wǎng)絡(luò)中存在的工控設(shè)備，即使能夠探測，在信息偵察的能力上也比較弱。因此，本文提出一種基于工控協(xié)議的工控設(shè)備系統(tǒng)探測方法。

工控系統(tǒng)探測的主要目標是發(fā)現(xiàn)連接到傳統(tǒng)網(wǎng)絡(luò)中的常見工控設(shè)備及其信息，我們將其稱為指紋信息。指紋信息一般包括探測設(shè)備的模塊名、基礎(chǔ)硬件信息、版本、模塊類型、序列號、版權(quán)等。

工控系統(tǒng)常用協(xié)議包括Modbus、Ethernet、S7 Comm等協(xié)議，本文以S7 Comm協(xié)議為例介紹工控系統(tǒng)探測。

（1）S7通信協(xié)議分析

S7通信協(xié)議是Siemens專有協(xié)議，在Siemens S7系列的可編程邏輯控制器（PLC）之間運行。它用于PLC編程，PLC之間的數(shù)據(jù)交換。如表6所示，S7協(xié)議是一種類似OSI七層模型的以太網(wǎng)通信協(xié)議。

S7協(xié)議包含在TPKT與COTP協(xié)議中，允許PDU（協(xié)議數(shù)據(jù)單元）通過TCP承載。TPKT，即應(yīng)用層數(shù)據(jù)傳輸協(xié)議，運行于TCP之上來模擬ISO傳輸服務(wù)COTP。TPKT報文格式如圖3所示。COTP協(xié)議同TCP類似，都用來保證網(wǎng)絡(luò)可靠地傳輸用戶數(shù)據(jù)。區(qū)別在于TCP連續(xù)傳輸，因此TCP之上的協(xié)議需要自己添加數(shù)據(jù)邊界。而COTP將數(shù)據(jù)包從一個用戶傳輸?shù)搅硪粋€用戶，接收方將獲得與發(fā)送方傳輸?shù)財?shù)據(jù)邊界完全相同的數(shù)據(jù)邊界。COTP報文格式如圖4所示。S7 Comm數(shù)據(jù)作為COTP數(shù)據(jù)包的有效負載。第一個字節(jié)始終為0x32作為協(xié)議標識符。

要建立與S7 PLC的連接，需要通過三個步驟：使用PLC地址，在TCP 102端口連接到PLC;COTP發(fā)起連接請求;在S7 Comm層上連接，用于協(xié)商S7 Comm的具體細節(jié)（PDU大小）。

（2）設(shè)備指紋信息發(fā)掘

為了達到通過實際環(huán)境中的網(wǎng)絡(luò)消息識別工業(yè)控制設(shè)備的指紋信息的目的，有必要分析真實PLC的數(shù)據(jù)包?？梢酝ㄟ^Shodan搜索到聯(lián)網(wǎng)設(shè)備，如圖5所示。

使用Nmap對Shodan上的公開PLC發(fā)起掃描，Wireshark對報文進行抓取。信息獲取流程報文如圖6所示。

讀取寄存器信息（組件標識讀?。﹫笪脑敿毥Y(jié)果如圖7所示。

（3）針對工控系統(tǒng)的指紋獲取

根據(jù)主機和PLC之間的交互過程，在數(shù)據(jù)包捕獲分析之后，通過腳本模擬組態(tài)軟件與PLC之間的通信流程。該腳本實現(xiàn)S7連接的建立，發(fā)送設(shè)備標識和組件標識信息以讀取數(shù)據(jù)包，并解析PLC以返回報文。

1） 根據(jù)TPKT和COTP協(xié)議的幀結(jié)構(gòu)構(gòu)造S7協(xié)議數(shù)據(jù)包。

2）啟動捕獲數(shù)據(jù)包線程，用于捕獲網(wǎng)絡(luò)中的數(shù)據(jù)包。

3）通過S7協(xié)議（TCP/102）建立TCP Ocket連接。

4）協(xié)商Source TSAP和Destination TASP。

5）建立S7協(xié)議連接。

6）發(fā)送S7請求查詢數(shù)據(jù)包。

7）提取Ethernet Type為0x0800的回復數(shù)據(jù)包（S7報文）。

8）根據(jù)S7協(xié)議的幀結(jié)構(gòu)分析提取的數(shù)據(jù)包，并提取所需的工業(yè)控制設(shè)備信息。

4 實驗驗證

4.1 實驗1

在已知現(xiàn)實環(huán)境拓撲和漏洞信息的前提下，采用基于漏洞威脅的測試路徑生成算法找出測試路徑，并依托路徑實現(xiàn)某些攻擊。文中實驗的網(wǎng)絡(luò)拓撲類似文獻[10]的實驗網(wǎng)絡(luò)拓撲，如圖8所示。拓撲包含六個組件，每個組件中包含的漏洞信息如表7所示。

（1）測試路徑生成

1）漏洞攻擊期望計算

根據(jù)公式1，求解漏洞全局利用率和漏洞全局危害性。

① 求解漏洞全局利用率

根據(jù)漏洞全局利用率的求解過程，因為拓撲包含6個組件，因此算法中n=6。

由此計算出漏洞的關(guān)聯(lián)系數(shù)矩陣為

其中橫軸表示漏洞編號，縱軸表示各指標的關(guān)聯(lián)系數(shù)。

根據(jù)表8漏洞全局利用率指標量化和關(guān)聯(lián)度的計算公式求解出每個漏洞的漏洞全局利用率，如表9所示。表中的漏洞關(guān)聯(lián)度即為漏洞全局利用率值。

② 求解漏洞全局危害性

如表10所示，根據(jù)設(shè)備的資產(chǎn)價值、可支配權(quán)值以及漏洞利用方式影響系數(shù)對利用漏洞造成的物理損失進行計算。

同樣，采用灰色關(guān)聯(lián)分析方法，相應(yīng)權(quán)重分別為0.7和0.3，可以得到漏洞危害性的關(guān)聯(lián)度，如表12所示。

根據(jù)漏洞全局利用率和漏洞危害性的量化值，得到每個漏洞的攻擊期望，如表13所示。

結(jié)合拓撲結(jié)構(gòu)，輸出攻擊圖，如圖10所示，圖中頂部的雙圓圈表示攻擊者，底部的雙圓圈表示攻擊目標，圓內(nèi)標識代表組件，邊上的信息表示可利用的漏洞以及漏洞的攻擊期望。由此，可計算出每個路徑的總攻擊期望，其被定義為攻擊路徑上預期的每個漏洞攻擊期望總和，結(jié)果如表14所示。

從表15中可以看出h5的可利用漏洞評分更高，但是從攻擊全局來看，評分高的漏洞不一定適合去攻擊。因此，單憑單個漏洞不能對組件的脆弱性進行比較。CVE-2013-3175對應(yīng)的Wincc控制組件，該組件的攻擊期望最高，這也與事實相符，該漏洞最易被利用且威力巨大，如震網(wǎng)病毒。

（2）測試序列生成

從上面可知，編號為2的攻擊路徑攻擊期望最高，因此選擇作為測試路徑?；诖藴y試路徑生成測試序列，如圖11所示。

（3）模擬攻擊

測試序列生成后，模擬系統(tǒng)根據(jù)序列調(diào)用腳本進行滲透攻擊。本文以漏洞CVE-2014-1776為例，演示該漏洞的腳本攻擊。CVE-2014-1776是一種零日漏洞，主要影響Internet Explorer 6 - Internet Explorer 11。該漏洞允許攻擊者繞過ASLR（Address Space Layout Randomization，緩沖區(qū)溢出保護機制）和DEP（Data Execution Prevention，數(shù)據(jù)執(zhí)行保護），執(zhí)行任意代碼或?qū)е翫oS攻擊。如圖12所示，通過抓包發(fā)現(xiàn)，此時的網(wǎng)絡(luò)已經(jīng)崩潰。

4.2 實驗2

為了能在真實環(huán)境中通過網(wǎng)絡(luò)報文達到工控設(shè)備指紋識別的目的，因此實驗環(huán)境也需要真實的基本網(wǎng)絡(luò)拓撲，圖13顯示了用戶和PLC之間的最簡連接關(guān)系圖。在一般場景中，用戶可以選擇工程師站，PLC選擇通用PLC類型。例如，工程師組態(tài)軟件Step7和Siemens SL300。通過組態(tài)軟件監(jiān)控和查看組網(wǎng)中PLC設(shè)備的流程，抓取設(shè)備信息報文，分析協(xié)議。本文采用的PLC為Shodan上公開PLC。

（1）工控設(shè)備系統(tǒng)探測

通過對PLC通信報文的抓取和分析，實現(xiàn)了腳本測試組態(tài)軟件和PLC通信流程，實現(xiàn)了基于S7協(xié)議的連接，發(fā)送設(shè)備ID和組件標識信息以讀取報文，并解析PLC返回數(shù)據(jù)包。腳本的目標IP為104.250.125.*和217.112.105.*的工控設(shè)備結(jié)果如圖14和圖15所示。

將探測結(jié)果與Nmap探測結(jié)果（如圖16和圖17）對比，如表16所示。

表中的結(jié)果對比縱向說明了基于工控協(xié)議的系統(tǒng)探測充分利用工控協(xié)議基于特征碼的狀態(tài)轉(zhuǎn)移（請求和響應(yīng)），構(gòu)建特征碼的請求數(shù)據(jù)包可以最大限度地提高工控目標的探測深度。

（2）模擬攻擊

西門子、施耐德的多款PLC設(shè)備軟件搭載在VxWorks操作系統(tǒng)上。VxWorks是非常有名的嵌入式實時操作系統(tǒng)，已被應(yīng)用在Mars火星車和C-130飛機上，但是VxWorks還是存在嚴重的缺陷。例如，VxWorks的調(diào)試功能使得攻擊者可以完全訪問設(shè)備，包括操作內(nèi)存、竊取數(shù)據(jù)乃至劫持整個操作系統(tǒng);還有VxWorks操作系統(tǒng)存在弱哈希密碼，在對Telnet和FTP進行身份驗證時，使用暴力破解的方式，可以獲得VxWorks設(shè)備的訪問權(quán)限。因此，本文模擬在獲取設(shè)備為西門子產(chǎn)品時，針對操作系統(tǒng)VxWorks的攻擊。此攻擊為拒絕服務(wù)攻擊，主要針對5.x版本，該版本的系統(tǒng)在短時間內(nèi)接收大量的網(wǎng)絡(luò)數(shù)據(jù)包時，會造成網(wǎng)絡(luò)崩潰，導致VxWorks無法再與外界主機通信，結(jié)果如圖18所示。

5 結(jié)束語

針對當前面向工業(yè)控制系統(tǒng)攻擊測試模擬相關(guān)研究較少的情況，本文設(shè)計一種面向工業(yè)控制系統(tǒng)的攻擊測試模擬方法。首先，設(shè)計了一種基于灰色關(guān)聯(lián)分析的工控漏洞期望求解方法，該方法可以有效地對單步攻擊的脆弱性進行評估。通過關(guān)聯(lián)分析對評價因子的指標進行關(guān)聯(lián)，定量地評估脆弱性影響因子，求解出單步攻擊期望實驗結(jié)果表明，該工具能有效針對工控系統(tǒng)進行脆弱性分析、系統(tǒng)探測和攻擊測試，且結(jié)構(gòu)簡明、易于拓展。其次，設(shè)計了基于白盒測試的漏洞攻擊模擬和基于黑盒測試的漏洞攻擊模擬。實驗結(jié)果表明，本方法適用于工控系統(tǒng)的漏洞攻擊測試模擬。

參考文獻

[1] M. J. Mack. Security and Threat Analysis of Industrial Control Systems and Applicable Solutions[D]. Order No. 10810754， Utica College， Ann Arbor， 2018.

[2] Dave McMillen. Attacks Targeting Industrial Control Systems （ICS） Up 110 Percent[EB/OL]. https：//securityintelligence.com/attacks-targeting-industrial-control-systems-ics-up-110-percent/，2016-12-27.

[3] Kelly Sheridan. Take （Industrial） Control： A Look at the 2018 ICS Threat Landscape[EB/OL]. https：//www.darkreading.com/risk/take-（industrial）-control-a-look-at-the-2018-ics-threat-landscape/d/d-id/1332754，2018-9-6.

[4] N. Falliere， L. OMurchu and E. Chien. W32.Stuxnet Dossier， Symantec， Mountain View， California[EB/OL]. www.symantec.com/content/en/us/enterprise /media/security response/whitepapers/w32 stuxnet dossier.pdf， 2011.

[5] Morris T ， Gao W . Industrial Control System Cyber Attacks[C]. International Symposium on Ics & Scada Cyber Security Research. BCS， 2013.

[6] Sener E，Davraz A.Assessment of groundwater vulnerability based on a modified DRASTIC model，GIS and an analytic hierarchy process（AHP） method：the case of Egirdir Lake basin（Isparta，Turkey）.Hydrogeology Journal，2013，21（3）：701-714.

[7] Formby D， Srinivasan P， Leonard A， et al. Who's in Control of Your Control System？ Device Fingerprinting for Cyber-Physical Systems[C]. Network and Distributed System Security Symposium. 2016.

[8] Amin S， Litrico X， Sastry S S， et al. Stealthy deception attacks on water SCADA systems[C]. ACM International Conference on Hybrid Systems： Computation and Control. ACM， 2010：161-170.

[9] Huang Y L， Cárdenas A A， Amin S， et al. Understanding the physical and economic consequences of attacks on control systems[J]. International Journal of Critical Infrastructure Protection， 2009， 2（3）：73-83.

[10] Teixeira A， Amin S， Sandberg H， et al. Cyber security analysis of state estimators in electric power systems[C]. Decision and Control. IEEE， 2012：5991-5998.

[11] Berhe A B ， Kim K H ， Tizazu G A . [IEEE 2017 Ninth International Conference on Ubiquitous and Future Networks （ICUFN） - Milan， Italy （2017.7.4-2017.7.7）] 2017 Ninth International Conference on Ubiquitous and Future Networks （ICUFN） - Industrial control system security framework for ethiopia[J]. 2017：814-817.

[12] Ritchey， R.W. & Ammann， P. Using model checking to analyze network vulnerabilities. In Proceedings of the IEEE Symposium on Security and Privacy. Washington， DC， USA： IEEE Computer Society， 2000：156-165.

[13] CVSS v2.0.[EB/OL]. https：//nvd.nist.gov/vuln-metrics/cvss/v2-calculator？calculator， 2018.