陳志文 張偉燕 蘇靖峰 員天佑 郭照新

摘 ?要： 由于PLC控制系統(tǒng)有別于傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，傳統(tǒng)的病毒檢測(cè)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)無(wú)法有效檢測(cè)PLC控制系統(tǒng)攻擊。設(shè)計(jì)一種非介入式的PLC控制系統(tǒng)入侵檢測(cè)方法，采用以太網(wǎng)數(shù)據(jù)監(jiān)聽與現(xiàn)場(chǎng)控制網(wǎng)數(shù)據(jù)監(jiān)聽技術(shù)相結(jié)合的方法，通過(guò)PLC控制系統(tǒng)輸入輸出業(yè)務(wù)信息一致性檢測(cè)，實(shí)現(xiàn)PLC惡意代碼篡改數(shù)據(jù)攻擊檢測(cè)，通過(guò)業(yè)務(wù)規(guī)則檢測(cè)實(shí)現(xiàn)違反業(yè)務(wù)約束的惡意控制指令檢測(cè)。完成了PLC控制系統(tǒng)入侵檢測(cè)系統(tǒng)開發(fā)，測(cè)試表明系統(tǒng)可以有效檢測(cè)PLC系統(tǒng)的惡意代碼攻擊和惡意控制指令攻擊。

關(guān)鍵詞： PLC控制系統(tǒng); 業(yè)務(wù)規(guī)則; 篡改攻擊; 入侵檢測(cè); 以太網(wǎng)監(jiān)聽; Profibus總線監(jiān)聽

中圖分類號(hào)： TN915.08?34; TP309.1 ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? 文章編號(hào)： 1004?373X（2020）01?0072?04

Research on intrusion detection technology for PLC control system

CHEN Zhiwen， ZHANG Weiyan， SU Jingfeng， YUN Tianyou， GUO Zhaoxin

Abstract： Because PLC control systems are different from the traditional computer network systems， the traditional virus detection technology and network intrusion detection technology fail to effectively detect the attacks to PLC control system. In view of the above， a non?intrusive intrusion detection method for PLC control system is designed， which adopts the method combining the Ethernet data monitoring and field control network data monitoring technologies to realize the detection of malicious code tampering data attack to PLC by the consistency detection of input and output business information of PLC control system， and implement the detection of malicious control instructions violating business constraints by business rule detection. The intrusion detection system for PLC control system has been developed. The testing results show that the system can effectively detect malicious codes and malicious control commands that attack the PLC control system.

Keywords： PLC control system; business rule; tampering attack; intrusion detection; Ethernet monitoring; Profibus monitoring

0 ?引 ?言

隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)開放性的提高，工業(yè)控制網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)日益嚴(yán)重[1]?！罢鹁W(wǎng)”病毒（Stuxnet）的曝光為關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的安全防護(hù)拉響了警鐘[2?3]，工業(yè)控制網(wǎng)絡(luò)的安全問題也受到了廣泛的關(guān)注。美國(guó)將工業(yè)控制系統(tǒng)（ICS）列入國(guó)家重點(diǎn)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施，逐步將工控系統(tǒng)安防提升至國(guó)家戰(zhàn)略高度，有六家國(guó)家實(shí)驗(yàn)室對(duì)工業(yè)控制系統(tǒng)安全開展了系統(tǒng)、全面的研究[4]。

PLC（Programmable Logic Controller）控制系統(tǒng)是很多工業(yè)控制系統(tǒng)的核心部件[5]，由于PLC控制系統(tǒng)的封閉性以及控制系統(tǒng)對(duì)可靠性的要求極高，經(jīng)常導(dǎo)致控制系統(tǒng)存在漏洞或后門修復(fù)難度大，難以根除控制系統(tǒng)的安全隱患[1]。由于針對(duì)PLC控制系統(tǒng)進(jìn)行攻擊檢測(cè)難以采用介入式方法[6]，因此提出一種采用非介入式的攻擊檢測(cè)方法，實(shí)現(xiàn)的系統(tǒng)初步驗(yàn)證了提出的入侵檢測(cè)方法可以檢測(cè)工業(yè)控制系統(tǒng)中PLC篡改控制參數(shù)、篡改運(yùn)行狀態(tài)監(jiān)測(cè)參數(shù)等惡意攻擊。

1 ?典型工業(yè)控制系統(tǒng)模擬環(huán)境構(gòu)建

為開展PLC控制系統(tǒng)入侵檢測(cè)技術(shù)研究，構(gòu)建了一個(gè)使用PLC的典型工業(yè)控制系統(tǒng)網(wǎng)絡(luò)模擬環(huán)境，如圖1所示。典型工業(yè)控制系統(tǒng)網(wǎng)絡(luò)包含PLC的典型工業(yè)控制系統(tǒng)為三層網(wǎng)絡(luò)結(jié)構(gòu)，包括集中監(jiān)控層、現(xiàn)場(chǎng)控制層、設(shè)備層。

模擬環(huán)境包括控制系統(tǒng)和設(shè)備層工藝設(shè)備模擬系統(tǒng)。控制系統(tǒng)由PLC和遠(yuǎn)程操作員站組成，PLC用于現(xiàn)場(chǎng)控制和數(shù)據(jù)采集，操作員站用于遠(yuǎn)程監(jiān)控、數(shù)據(jù)管理、參數(shù)配置和系統(tǒng)組態(tài)，兩者之間通過(guò)TCP/IP協(xié)議進(jìn)行通信。工藝設(shè)備除主軸電機(jī)以外，其他設(shè)備均通過(guò)模擬器進(jìn)行模擬。模擬器由單獨(dú)的一臺(tái)PLC擔(dān)當(dāng)，負(fù)責(zé)模擬工藝設(shè)備的電氣接口和運(yùn)行過(guò)程，同時(shí)用于故障信號(hào)的注入和傳感器信號(hào)的模擬輸出，它與PLC主站之間通過(guò)I/O信號(hào)連接。

2 ?非介入式PLC控制系統(tǒng)入侵檢測(cè)方法

2.1 ?PLC控制系統(tǒng)入侵檢測(cè)總體方案

由于PLC設(shè)備環(huán)境的特殊性，很難通過(guò)在攻擊點(diǎn)上部署安全防護(hù)措施進(jìn)行檢測(cè)和防御。傳統(tǒng)的以太網(wǎng)網(wǎng)絡(luò)旁路監(jiān)聽方式的入侵檢測(cè)只能檢測(cè)以太網(wǎng)的入侵攻擊[7]，無(wú)法針對(duì)PLC控制系統(tǒng)篡改欺騙攻擊進(jìn)行檢測(cè)，例如，“震網(wǎng)”病毒惡意代碼植入PLC后，由于惡意代碼篡改控制參數(shù)后同時(shí)篡改了監(jiān)控參數(shù)，使得從以太網(wǎng)操作員站進(jìn)行觀察時(shí)，一切都是正常的。

為了實(shí)現(xiàn)PLC控制系統(tǒng)入侵檢測(cè)，設(shè)計(jì)了一種非介入式的入侵檢測(cè)方案，如圖2所示。系統(tǒng)采用的檢測(cè)方法是通過(guò)PLC主站信息交互兩端的網(wǎng)絡(luò)進(jìn)行通信數(shù)據(jù)采集分析，即采集現(xiàn)場(chǎng)控制網(wǎng)通信數(shù)據(jù)及集中監(jiān)控層網(wǎng)絡(luò)通信數(shù)據(jù)包，并通過(guò)深度包解析技術(shù)識(shí)別應(yīng)用層業(yè)務(wù)，通過(guò)業(yè)務(wù)指令參數(shù)的一致性比較，發(fā)現(xiàn)主站上的信息篡改攻擊，同時(shí)，通過(guò)業(yè)務(wù)規(guī)則先驗(yàn)知識(shí)發(fā)現(xiàn)違背業(yè)務(wù)邏輯的非法控制命令。

2.2 ?數(shù)據(jù)采集與業(yè)務(wù)指令解析

以太網(wǎng)數(shù)據(jù)采集與解析技術(shù)較為成熟，直接采用普通網(wǎng)卡與libpcap即可實(shí)現(xiàn)信息采集[8?9]。針對(duì)現(xiàn)場(chǎng)控制網(wǎng)數(shù)據(jù)采集，設(shè)計(jì)了現(xiàn)場(chǎng)控制網(wǎng)數(shù)據(jù)采集探針，支持總線（Profibus?DP）數(shù)據(jù)采集[10]、開關(guān)量I/O采集、模擬量I/O采集[11]。采集硬件解決方案如圖3所示，總線數(shù)據(jù)采集采用NI PCI?8431/1采集卡實(shí)現(xiàn)，開關(guān)量、模擬量采用NI PCIe?6320采集卡實(shí)現(xiàn)，支持1條Profibus總線、16個(gè)模擬量、24個(gè)開關(guān)量的數(shù)據(jù)采集。

PLC控制系統(tǒng)的通信數(shù)據(jù)主要是控制指令下傳、監(jiān)測(cè)數(shù)據(jù)上傳，為了便于入侵檢測(cè)算法設(shè)計(jì)，將控制指令與監(jiān)測(cè)數(shù)據(jù)均抽象為統(tǒng)一結(jié)構(gòu)的業(yè)務(wù)指令。業(yè)務(wù)指令是指業(yè)務(wù)流程的原子性的活動(dòng)，只能一次性完成?？刂葡到y(tǒng)的一條業(yè)務(wù)指令[C]可以用五元組表示為：

[C=]{type，direction，command，object，data}

type：業(yè)務(wù)指令[C]的“指令類型”，分為以太網(wǎng)（用“eth”表示）和現(xiàn)場(chǎng)控制網(wǎng)（用“field”表示）兩類。以太網(wǎng)類是指以太網(wǎng)數(shù)據(jù)采集探針抓取并解析業(yè)務(wù)指令;現(xiàn)場(chǎng)控制網(wǎng)類是指現(xiàn)場(chǎng)控制網(wǎng)探針在現(xiàn)場(chǎng)控制網(wǎng)采集和解析的業(yè)務(wù)指令。

direction：業(yè)務(wù)指令[C]傳輸方向，分為上傳業(yè)務(wù)指令（用“up”表示）和下傳業(yè)務(wù)指令（用“down”表示）兩種。上傳業(yè)務(wù)指令是指“現(xiàn)場(chǎng)控制網(wǎng)→PLC主站→上位機(jī)”流向的指令，主要是各種監(jiān)測(cè)業(yè)務(wù)指令;下傳業(yè)務(wù)指令是指“上位機(jī)→PLC主站→現(xiàn)場(chǎng)控制網(wǎng)”流向的指令，主要是各種控制業(yè)務(wù)指令。

command：業(yè)務(wù)指令[C]的業(yè)務(wù)名稱，如“setSpeed”代表速度設(shè)置，“retSpeed”代表速度反饋。

object：業(yè)務(wù)指令[C]作用對(duì)象，如電機(jī)。

data：業(yè)務(wù)指令[C]的參數(shù)值。

業(yè)務(wù)指令五元組只是為了方便入侵檢測(cè)算法設(shè)計(jì)進(jìn)行的一種數(shù)據(jù)抽象，實(shí)際的通信數(shù)據(jù)并不會(huì)完全包含這些屬性，而是由數(shù)據(jù)采集探針根據(jù)已知的通信協(xié)議和業(yè)務(wù)規(guī)則，將采集的數(shù)據(jù)翻譯轉(zhuǎn)換成統(tǒng)一的五元組數(shù)據(jù)結(jié)構(gòu)。由于具體業(yè)務(wù)場(chǎng)景下的PLC控制系統(tǒng)的業(yè)務(wù)指令（控制業(yè)務(wù)指令、監(jiān)測(cè)數(shù)據(jù)指令）是有限的，且業(yè)務(wù)指令數(shù)據(jù)包結(jié)構(gòu)一般較為簡(jiǎn)單，采用人工方法事先建立通信數(shù)據(jù)幀結(jié)構(gòu)知識(shí)，作為已知協(xié)議進(jìn)行解析。探針對(duì)采集的數(shù)據(jù)進(jìn)行業(yè)務(wù)解析時(shí)，采用以下規(guī)則完成業(yè)務(wù)指令五元組轉(zhuǎn)換：

1） 數(shù)據(jù)采集探針根據(jù)探針類型、數(shù)據(jù)流向自動(dòng)填充type，direction，數(shù)據(jù)流向通過(guò)源地址和目標(biāo)地址確認(rèn)。

2） 以太網(wǎng)數(shù)據(jù)和Profibus?DP的數(shù)據(jù)包解析，通過(guò)指令數(shù)據(jù)包特征匹配或“編碼?命令轉(zhuǎn)換表” 翻譯設(shè)定command，根據(jù)數(shù)據(jù)包特征匹配設(shè)定object，根據(jù)指令數(shù)據(jù)包結(jié)構(gòu)提取data。

3） 現(xiàn)場(chǎng)控制網(wǎng)的開關(guān)量和模擬量由探針根據(jù)預(yù)先設(shè)定的“I/O地址?命令轉(zhuǎn)換表”翻譯設(shè)定command，根據(jù)“I/O地址?對(duì)象轉(zhuǎn)換表”翻譯設(shè)定object，根據(jù)采集卡采集的具體值設(shè)定data。

2.3 ?入侵檢測(cè)方法

PLC惡意代碼進(jìn)行控制參數(shù)篡改、監(jiān)測(cè)數(shù)據(jù)篡改，以及上位機(jī)下發(fā)的違背業(yè)務(wù)邏輯的惡意控制是需要重點(diǎn)解決的PLC控制系統(tǒng)的攻擊風(fēng)險(xiǎn)。當(dāng)PLC被植入惡意代碼時(shí)，精心構(gòu)造的惡意代碼可以根據(jù)用戶下發(fā)的業(yè)務(wù)指令，自動(dòng)計(jì)算和篡改反饋的監(jiān)測(cè)數(shù)據(jù)，使工程師從上位機(jī)監(jiān)測(cè)系統(tǒng)觀察到的數(shù)據(jù)始終符合預(yù)期，具有極大的隱蔽性?！罢鹁W(wǎng)”病毒植入PLC的惡意代碼正是采用這種方式實(shí)現(xiàn)惡意控制離心機(jī)轉(zhuǎn)速，并通過(guò)篡改反饋轉(zhuǎn)速實(shí)現(xiàn)欺騙攻擊破壞離心機(jī)。

依據(jù)圖2設(shè)計(jì)的入侵檢測(cè)方案，由于同時(shí)采集了現(xiàn)場(chǎng)控制網(wǎng)和集中監(jiān)控層網(wǎng)絡(luò)的數(shù)據(jù)并進(jìn)行了業(yè)務(wù)指令解析，因此，針對(duì)PLC植入惡意代碼的篡改攻擊，采用基于業(yè)務(wù)信息一致性檢查的方法進(jìn)行檢測(cè)，針對(duì)違背業(yè)務(wù)邏輯的規(guī)則采用業(yè)務(wù)指令約束條件檢查進(jìn)行檢測(cè)，具體檢測(cè)規(guī)則如下：

1） 設(shè)定延時(shí)閾值[dt]，對(duì)于[t1]時(shí)刻接收到的[c1]，且[c1].type=“eth”，[c1].direction=“down”，根據(jù)業(yè)務(wù)規(guī)則，[c1]指令將在現(xiàn)場(chǎng)控制網(wǎng)產(chǎn)生[c2]指令，則在[t1+dt]時(shí)刻對(duì)[c1]進(jìn)行檢測(cè)。查詢?cè)赱（t1-dt，t1+dt）]時(shí)間段內(nèi)是否存在指令[c2]，且[c2].type=“field”，[c2].direction=“down”，[c1].command=[c2].command，[c1].object=[c2].object，[c1].data=[c2].data。滿足條件則正常，如果[c1].data ！=[c2].data，則告警“控制參數(shù)篡改”。

2） 對(duì)于[c1].type=“field”，且[c1].direction=“up”的上行監(jiān)測(cè)參數(shù)的篡改與規(guī)則1）類似。

3） 由于控制系統(tǒng)的控制業(yè)務(wù)應(yīng)遵循的業(yè)務(wù)規(guī)則是已知的，且業(yè)務(wù)指令是有限的，業(yè)務(wù)規(guī)則是可以描述的，因此可以建立每條業(yè)務(wù)指令的約束條件以及一些業(yè)務(wù)指令之間的約束關(guān)系作為業(yè)務(wù)規(guī)則先驗(yàn)知識(shí)。入侵檢測(cè)對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)解析提取的業(yè)務(wù)指令進(jìn)行業(yè)務(wù)規(guī)則先驗(yàn)知識(shí)符合性檢測(cè)，滿足則正常，否則產(chǎn)生相應(yīng)的異常告警。例如，先驗(yàn)知識(shí)[c].direction = “down”與[c].command=“setSpeed”的指令有先驗(yàn)知識(shí)[c].data<1 000，則當(dāng)檢測(cè)到指令[c].data>1 000時(shí)則進(jìn)行告警。

3 ?系統(tǒng)實(shí)現(xiàn)與驗(yàn)證

3.1 ?系統(tǒng)實(shí)現(xiàn)

PLC入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)方案如圖4所示，系統(tǒng)由現(xiàn)場(chǎng)控制網(wǎng)探針、以太網(wǎng)探針、入侵檢測(cè)分析系統(tǒng)、入侵檢測(cè)管理系統(tǒng)組成。現(xiàn)場(chǎng)控制網(wǎng)探針、以太網(wǎng)探針采集數(shù)據(jù)完成業(yè)務(wù)指令解析后，通過(guò)UDP發(fā)送給入侵檢測(cè)分析系統(tǒng)。以太網(wǎng)探針采用Linux系統(tǒng)，C語(yǔ)言開發(fā)實(shí)現(xiàn)?，F(xiàn)場(chǎng)控制網(wǎng)探針采用Windows系統(tǒng)，LabVIEW開發(fā)實(shí)現(xiàn)。入侵檢測(cè)分析系統(tǒng)、管理系統(tǒng)采用Linux系統(tǒng)，采用C語(yǔ)言和Java語(yǔ)言開發(fā)實(shí)現(xiàn)。

3.2 ?實(shí)驗(yàn)驗(yàn)證

為了驗(yàn)證入侵檢測(cè)規(guī)則的有效性，設(shè)置了兩個(gè)測(cè)試用例。一個(gè)是設(shè)定業(yè)務(wù)規(guī)則電機(jī)轉(zhuǎn)速給定值<1 000 r/s，測(cè)試超過(guò)參數(shù)上限的給定值是否告警。另一個(gè)是參考“震網(wǎng)”病毒植入PLC惡意代碼的攻擊原理，開發(fā)PLC惡意代碼程序，惡意代碼程序?qū)⒖刂齐姍C(jī)轉(zhuǎn)速的參數(shù)篡改為用戶給定值的2倍，篡改上傳電機(jī)轉(zhuǎn)速值為監(jiān)測(cè)值的[12]，測(cè)試植入惡意代碼程序入侵檢測(cè)是否告警。實(shí)驗(yàn)結(jié)果產(chǎn)生了預(yù)期的告警。以PLC惡意代碼篡改參數(shù)的入侵檢測(cè)為例，植入惡意代碼后，上位機(jī)工程師站界面截圖如圖5a）所示，速度給定為600 r/s，監(jiān)測(cè)到的實(shí)際轉(zhuǎn)速為598 r/s，監(jiān)測(cè)值與預(yù)期值在正常的浮動(dòng)范圍內(nèi)?，F(xiàn)場(chǎng)控制網(wǎng)探針系統(tǒng)截圖如圖5b）所示，采集到實(shí)際給定轉(zhuǎn)速為篡改后的1 200 r/s，實(shí)際電機(jī)反饋速度為1 197 r/s。入侵檢測(cè)系統(tǒng)產(chǎn)生了相應(yīng)的控制參數(shù)和檢測(cè)參數(shù)篡改告警，部分告警截圖如圖6所示。

4 ?結(jié) ?語(yǔ)

由于PLC控制系統(tǒng)的特殊性，難以采用介入式技術(shù)進(jìn)行病毒攻擊檢測(cè)，傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)由于關(guān)注信息網(wǎng)的數(shù)據(jù)流，無(wú)法感知控制系統(tǒng)與物理世界的作用效果，也難以檢測(cè)到PLC惡意代碼攻擊。本文設(shè)計(jì)的PLC控制系統(tǒng)入侵檢測(cè)方法，在傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的基礎(chǔ)上，通過(guò)增加現(xiàn)場(chǎng)控制網(wǎng)數(shù)據(jù)采集探針，感知控制系統(tǒng)與物理世界的實(shí)際作用效果，通過(guò)結(jié)合傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)實(shí)現(xiàn)PLC系統(tǒng)的攻擊檢測(cè)。初步實(shí)驗(yàn)結(jié)果表明，系統(tǒng)可以實(shí)現(xiàn)對(duì)PLC惡意代碼篡改控制參數(shù)或指令的檢測(cè)，以及違反業(yè)務(wù)規(guī)則的攻擊檢測(cè)。

參考文獻(xiàn)

[1] 鎖延鋒，王少杰，秦宇，等.工業(yè)控制系統(tǒng)的安全技術(shù)與應(yīng)用研究綜述[J].計(jì)算機(jī)科學(xué)，2018，45（4）：23?33.

[2] NOURIAN A， MADNICK S E. A systems theoretic approach to the security threats in cyber physical systems applied to Stuxnet [J]. IEEE transactions on dependable and secure compu?ting， 2018， 15（1）： 2?13.

[3] 應(yīng)歡，劉松華，韓麗芳，等.電力工業(yè)控制系統(tǒng)安全技術(shù)綜述[J].電力信息與通信技術(shù)，2018（3）：56?63.

[4] 盧坦，林濤，梁頌.美國(guó)工控安全保障體系研究及啟示[J].保密科學(xué)技術(shù)，2014（4）：24?33.

[5] 張厚友.PLC控制技術(shù)的優(yōu)勢(shì)和抗干擾措施研究[J].儀器儀表用戶，2018（2）：5?6.

[6] LIM B， CHEN D， AN Y， et al. Attack induced common?mode failures on PLC?based safety system in a nuclear power plant： practical experience report [C]// 2017 IEEE 22nd Pacific Rim International Symposium on Dependable Computing. Christchurch， New Zealand： IEEE， 2017： 205?210.

[7] MOHIUDDIN A， MAHMOOD A N， JIANKUN H. A survey of network anomaly detection techniques [J]. Journal of network and computer applications， 2016， 60： 19?31.

[8] 周永福，曾志.Linux下采用Libpcap實(shí)現(xiàn)IDS的網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)測(cè)[J].現(xiàn)代計(jì)算機(jī)（專業(yè)版），2015（9）：67?71.

[9] CHENG X R， ZHANG B. High speed network data capture based on Linux [C]// Proceedings of the 9th International Symposium on Linear Drives for Industry Applications. [S.l.： s.n.]， 2014： 216?245.

[10] 周志敏. PROFIBUS的協(xié)議結(jié)構(gòu)及應(yīng)用領(lǐng)域[J].智慧工廠，2018（2）：35?37.

[11] YANG V， MU S T， HARTMANN， D. PLC DCS analog input module design breaks barriers in channel?to?channel isolation and high density [J]. Analog devices， 2016， 50（4）： 36?40.

作者簡(jiǎn)介：陳志文（1979—），男，福建南安人，碩士，高級(jí)工程師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)、信息安全。