陳志文 張偉燕 蘇靖峰 員天佑 郭照新

摘 ?要： 由于PLC控制系統(tǒng)有別于傳統(tǒng)的計算機網(wǎng)絡系統(tǒng)，傳統(tǒng)的病毒檢測、網(wǎng)絡入侵檢測技術無法有效檢測PLC控制系統(tǒng)攻擊。設計一種非介入式的PLC控制系統(tǒng)入侵檢測方法，采用以太網(wǎng)數(shù)據(jù)監(jiān)聽與現(xiàn)場控制網(wǎng)數(shù)據(jù)監(jiān)聽技術相結(jié)合的方法，通過PLC控制系統(tǒng)輸入輸出業(yè)務信息一致性檢測，實現(xiàn)PLC惡意代碼篡改數(shù)據(jù)攻擊檢測，通過業(yè)務規(guī)則檢測實現(xiàn)違反業(yè)務約束的惡意控制指令檢測。完成了PLC控制系統(tǒng)入侵檢測系統(tǒng)開發(fā)，測試表明系統(tǒng)可以有效檢測PLC系統(tǒng)的惡意代碼攻擊和惡意控制指令攻擊。

關鍵詞： PLC控制系統(tǒng); 業(yè)務規(guī)則; 篡改攻擊; 入侵檢測; 以太網(wǎng)監(jiān)聽; Profibus總線監(jiān)聽

中圖分類號： TN915.08?34; TP309.1 ? ? ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2020）01?0072?04

Research on intrusion detection technology for PLC control system

CHEN Zhiwen， ZHANG Weiyan， SU Jingfeng， YUN Tianyou， GUO Zhaoxin

Abstract： Because PLC control systems are different from the traditional computer network systems， the traditional virus detection technology and network intrusion detection technology fail to effectively detect the attacks to PLC control system. In view of the above， a non?intrusive intrusion detection method for PLC control system is designed， which adopts the method combining the Ethernet data monitoring and field control network data monitoring technologies to realize the detection of malicious code tampering data attack to PLC by the consistency detection of input and output business information of PLC control system， and implement the detection of malicious control instructions violating business constraints by business rule detection. The intrusion detection system for PLC control system has been developed. The testing results show that the system can effectively detect malicious codes and malicious control commands that attack the PLC control system.

Keywords： PLC control system; business rule; tampering attack; intrusion detection; Ethernet monitoring; Profibus monitoring

0 ?引 ?言

隨著信息技術的發(fā)展和網(wǎng)絡開放性的提高，工業(yè)控制網(wǎng)絡面臨的安全風險日益嚴重[1]。“震網(wǎng)”病毒（Stuxnet）的曝光為關鍵工業(yè)基礎設施的安全防護拉響了警鐘[2?3]，工業(yè)控制網(wǎng)絡的安全問題也受到了廣泛的關注。美國將工業(yè)控制系統(tǒng)（ICS）列入國家重點保護關鍵基礎設施，逐步將工控系統(tǒng)安防提升至國家戰(zhàn)略高度，有六家國家實驗室對工業(yè)控制系統(tǒng)安全開展了系統(tǒng)、全面的研究[4]。

PLC（Programmable Logic Controller）控制系統(tǒng)是很多工業(yè)控制系統(tǒng)的核心部件[5]，由于PLC控制系統(tǒng)的封閉性以及控制系統(tǒng)對可靠性的要求極高，經(jīng)常導致控制系統(tǒng)存在漏洞或后門修復難度大，難以根除控制系統(tǒng)的安全隱患[1]。由于針對PLC控制系統(tǒng)進行攻擊檢測難以采用介入式方法[6]，因此提出一種采用非介入式的攻擊檢測方法，實現(xiàn)的系統(tǒng)初步驗證了提出的入侵檢測方法可以檢測工業(yè)控制系統(tǒng)中PLC篡改控制參數(shù)、篡改運行狀態(tài)監(jiān)測參數(shù)等惡意攻擊。

1 ?典型工業(yè)控制系統(tǒng)模擬環(huán)境構建

為開展PLC控制系統(tǒng)入侵檢測技術研究，構建了一個使用PLC的典型工業(yè)控制系統(tǒng)網(wǎng)絡模擬環(huán)境，如圖1所示。典型工業(yè)控制系統(tǒng)網(wǎng)絡包含PLC的典型工業(yè)控制系統(tǒng)為三層網(wǎng)絡結(jié)構，包括集中監(jiān)控層、現(xiàn)場控制層、設備層。

模擬環(huán)境包括控制系統(tǒng)和設備層工藝設備模擬系統(tǒng)。控制系統(tǒng)由PLC和遠程操作員站組成，PLC用于現(xiàn)場控制和數(shù)據(jù)采集，操作員站用于遠程監(jiān)控、數(shù)據(jù)管理、參數(shù)配置和系統(tǒng)組態(tài)，兩者之間通過TCP/IP協(xié)議進行通信。工藝設備除主軸電機以外，其他設備均通過模擬器進行模擬。模擬器由單獨的一臺PLC擔當，負責模擬工藝設備的電氣接口和運行過程，同時用于故障信號的注入和傳感器信號的模擬輸出，它與PLC主站之間通過I/O信號連接。

2 ?非介入式PLC控制系統(tǒng)入侵檢測方法

2.1 ?PLC控制系統(tǒng)入侵檢測總體方案

由于PLC設備環(huán)境的特殊性，很難通過在攻擊點上部署安全防護措施進行檢測和防御。傳統(tǒng)的以太網(wǎng)網(wǎng)絡旁路監(jiān)聽方式的入侵檢測只能檢測以太網(wǎng)的入侵攻擊[7]，無法針對PLC控制系統(tǒng)篡改欺騙攻擊進行檢測，例如，“震網(wǎng)”病毒惡意代碼植入PLC后，由于惡意代碼篡改控制參數(shù)后同時篡改了監(jiān)控參數(shù)，使得從以太網(wǎng)操作員站進行觀察時，一切都是正常的。

為了實現(xiàn)PLC控制系統(tǒng)入侵檢測，設計了一種非介入式的入侵檢測方案，如圖2所示。系統(tǒng)采用的檢測方法是通過PLC主站信息交互兩端的網(wǎng)絡進行通信數(shù)據(jù)采集分析，即采集現(xiàn)場控制網(wǎng)通信數(shù)據(jù)及集中監(jiān)控層網(wǎng)絡通信數(shù)據(jù)包，并通過深度包解析技術識別應用層業(yè)務，通過業(yè)務指令參數(shù)的一致性比較，發(fā)現(xiàn)主站上的信息篡改攻擊，同時，通過業(yè)務規(guī)則先驗知識發(fā)現(xiàn)違背業(yè)務邏輯的非法控制命令。

2.2 ?數(shù)據(jù)采集與業(yè)務指令解析

以太網(wǎng)數(shù)據(jù)采集與解析技術較為成熟，直接采用普通網(wǎng)卡與libpcap即可實現(xiàn)信息采集[8?9]。針對現(xiàn)場控制網(wǎng)數(shù)據(jù)采集，設計了現(xiàn)場控制網(wǎng)數(shù)據(jù)采集探針，支持總線（Profibus?DP）數(shù)據(jù)采集[10]、開關量I/O采集、模擬量I/O采集[11]。采集硬件解決方案如圖3所示，總線數(shù)據(jù)采集采用NI PCI?8431/1采集卡實現(xiàn)，開關量、模擬量采用NI PCIe?6320采集卡實現(xiàn)，支持1條Profibus總線、16個模擬量、24個開關量的數(shù)據(jù)采集。

PLC控制系統(tǒng)的通信數(shù)據(jù)主要是控制指令下傳、監(jiān)測數(shù)據(jù)上傳，為了便于入侵檢測算法設計，將控制指令與監(jiān)測數(shù)據(jù)均抽象為統(tǒng)一結(jié)構的業(yè)務指令。業(yè)務指令是指業(yè)務流程的原子性的活動，只能一次性完成?？刂葡到y(tǒng)的一條業(yè)務指令[C]可以用五元組表示為：

[C=]{type，direction，command，object，data}

type：業(yè)務指令[C]的“指令類型”，分為以太網(wǎng)（用“eth”表示）和現(xiàn)場控制網(wǎng)（用“field”表示）兩類。以太網(wǎng)類是指以太網(wǎng)數(shù)據(jù)采集探針抓取并解析業(yè)務指令;現(xiàn)場控制網(wǎng)類是指現(xiàn)場控制網(wǎng)探針在現(xiàn)場控制網(wǎng)采集和解析的業(yè)務指令。

direction：業(yè)務指令[C]傳輸方向，分為上傳業(yè)務指令（用“up”表示）和下傳業(yè)務指令（用“down”表示）兩種。上傳業(yè)務指令是指“現(xiàn)場控制網(wǎng)→PLC主站→上位機”流向的指令，主要是各種監(jiān)測業(yè)務指令;下傳業(yè)務指令是指“上位機→PLC主站→現(xiàn)場控制網(wǎng)”流向的指令，主要是各種控制業(yè)務指令。

command：業(yè)務指令[C]的業(yè)務名稱，如“setSpeed”代表速度設置，“retSpeed”代表速度反饋。

object：業(yè)務指令[C]作用對象，如電機。

data：業(yè)務指令[C]的參數(shù)值。

業(yè)務指令五元組只是為了方便入侵檢測算法設計進行的一種數(shù)據(jù)抽象，實際的通信數(shù)據(jù)并不會完全包含這些屬性，而是由數(shù)據(jù)采集探針根據(jù)已知的通信協(xié)議和業(yè)務規(guī)則，將采集的數(shù)據(jù)翻譯轉(zhuǎn)換成統(tǒng)一的五元組數(shù)據(jù)結(jié)構。由于具體業(yè)務場景下的PLC控制系統(tǒng)的業(yè)務指令（控制業(yè)務指令、監(jiān)測數(shù)據(jù)指令）是有限的，且業(yè)務指令數(shù)據(jù)包結(jié)構一般較為簡單，采用人工方法事先建立通信數(shù)據(jù)幀結(jié)構知識，作為已知協(xié)議進行解析。探針對采集的數(shù)據(jù)進行業(yè)務解析時，采用以下規(guī)則完成業(yè)務指令五元組轉(zhuǎn)換：

1） 數(shù)據(jù)采集探針根據(jù)探針類型、數(shù)據(jù)流向自動填充type，direction，數(shù)據(jù)流向通過源地址和目標地址確認。

2） 以太網(wǎng)數(shù)據(jù)和Profibus?DP的數(shù)據(jù)包解析，通過指令數(shù)據(jù)包特征匹配或“編碼?命令轉(zhuǎn)換表” 翻譯設定command，根據(jù)數(shù)據(jù)包特征匹配設定object，根據(jù)指令數(shù)據(jù)包結(jié)構提取data。

3） 現(xiàn)場控制網(wǎng)的開關量和模擬量由探針根據(jù)預先設定的“I/O地址?命令轉(zhuǎn)換表”翻譯設定command，根據(jù)“I/O地址?對象轉(zhuǎn)換表”翻譯設定object，根據(jù)采集卡采集的具體值設定data。

2.3 ?入侵檢測方法

PLC惡意代碼進行控制參數(shù)篡改、監(jiān)測數(shù)據(jù)篡改，以及上位機下發(fā)的違背業(yè)務邏輯的惡意控制是需要重點解決的PLC控制系統(tǒng)的攻擊風險。當PLC被植入惡意代碼時，精心構造的惡意代碼可以根據(jù)用戶下發(fā)的業(yè)務指令，自動計算和篡改反饋的監(jiān)測數(shù)據(jù)，使工程師從上位機監(jiān)測系統(tǒng)觀察到的數(shù)據(jù)始終符合預期，具有極大的隱蔽性?！罢鹁W(wǎng)”病毒植入PLC的惡意代碼正是采用這種方式實現(xiàn)惡意控制離心機轉(zhuǎn)速，并通過篡改反饋轉(zhuǎn)速實現(xiàn)欺騙攻擊破壞離心機。

依據(jù)圖2設計的入侵檢測方案，由于同時采集了現(xiàn)場控制網(wǎng)和集中監(jiān)控層網(wǎng)絡的數(shù)據(jù)并進行了業(yè)務指令解析，因此，針對PLC植入惡意代碼的篡改攻擊，采用基于業(yè)務信息一致性檢查的方法進行檢測，針對違背業(yè)務邏輯的規(guī)則采用業(yè)務指令約束條件檢查進行檢測，具體檢測規(guī)則如下：

1） 設定延時閾值[dt]，對于[t1]時刻接收到的[c1]，且[c1].type=“eth”，[c1].direction=“down”，根據(jù)業(yè)務規(guī)則，[c1]指令將在現(xiàn)場控制網(wǎng)產(chǎn)生[c2]指令，則在[t1+dt]時刻對[c1]進行檢測。查詢在[（t1-dt，t1+dt）]時間段內(nèi)是否存在指令[c2]，且[c2].type=“field”，[c2].direction=“down”，[c1].command=[c2].command，[c1].object=[c2].object，[c1].data=[c2].data。滿足條件則正常，如果[c1].data ！=[c2].data，則告警“控制參數(shù)篡改”。

2） 對于[c1].type=“field”，且[c1].direction=“up”的上行監(jiān)測參數(shù)的篡改與規(guī)則1）類似。

3） 由于控制系統(tǒng)的控制業(yè)務應遵循的業(yè)務規(guī)則是已知的，且業(yè)務指令是有限的，業(yè)務規(guī)則是可以描述的，因此可以建立每條業(yè)務指令的約束條件以及一些業(yè)務指令之間的約束關系作為業(yè)務規(guī)則先驗知識。入侵檢測對網(wǎng)絡通信數(shù)據(jù)解析提取的業(yè)務指令進行業(yè)務規(guī)則先驗知識符合性檢測，滿足則正常，否則產(chǎn)生相應的異常告警。例如，先驗知識[c].direction = “down”與[c].command=“setSpeed”的指令有先驗知識[c].data<1 000，則當檢測到指令[c].data>1 000時則進行告警。

3 ?系統(tǒng)實現(xiàn)與驗證

3.1 ?系統(tǒng)實現(xiàn)

PLC入侵檢測系統(tǒng)實現(xiàn)方案如圖4所示，系統(tǒng)由現(xiàn)場控制網(wǎng)探針、以太網(wǎng)探針、入侵檢測分析系統(tǒng)、入侵檢測管理系統(tǒng)組成。現(xiàn)場控制網(wǎng)探針、以太網(wǎng)探針采集數(shù)據(jù)完成業(yè)務指令解析后，通過UDP發(fā)送給入侵檢測分析系統(tǒng)。以太網(wǎng)探針采用Linux系統(tǒng)，C語言開發(fā)實現(xiàn)。現(xiàn)場控制網(wǎng)探針采用Windows系統(tǒng)，LabVIEW開發(fā)實現(xiàn)。入侵檢測分析系統(tǒng)、管理系統(tǒng)采用Linux系統(tǒng)，采用C語言和Java語言開發(fā)實現(xiàn)。

3.2 ?實驗驗證

為了驗證入侵檢測規(guī)則的有效性，設置了兩個測試用例。一個是設定業(yè)務規(guī)則電機轉(zhuǎn)速給定值<1 000 r/s，測試超過參數(shù)上限的給定值是否告警。另一個是參考“震網(wǎng)”病毒植入PLC惡意代碼的攻擊原理，開發(fā)PLC惡意代碼程序，惡意代碼程序?qū)⒖刂齐姍C轉(zhuǎn)速的參數(shù)篡改為用戶給定值的2倍，篡改上傳電機轉(zhuǎn)速值為監(jiān)測值的[12]，測試植入惡意代碼程序入侵檢測是否告警。實驗結(jié)果產(chǎn)生了預期的告警。以PLC惡意代碼篡改參數(shù)的入侵檢測為例，植入惡意代碼后，上位機工程師站界面截圖如圖5a）所示，速度給定為600 r/s，監(jiān)測到的實際轉(zhuǎn)速為598 r/s，監(jiān)測值與預期值在正常的浮動范圍內(nèi)。現(xiàn)場控制網(wǎng)探針系統(tǒng)截圖如圖5b）所示，采集到實際給定轉(zhuǎn)速為篡改后的1 200 r/s，實際電機反饋速度為1 197 r/s。入侵檢測系統(tǒng)產(chǎn)生了相應的控制參數(shù)和檢測參數(shù)篡改告警，部分告警截圖如圖6所示。

4 ?結(jié) ?語

由于PLC控制系統(tǒng)的特殊性，難以采用介入式技術進行病毒攻擊檢測，傳統(tǒng)的網(wǎng)絡入侵檢測技術由于關注信息網(wǎng)的數(shù)據(jù)流，無法感知控制系統(tǒng)與物理世界的作用效果，也難以檢測到PLC惡意代碼攻擊。本文設計的PLC控制系統(tǒng)入侵檢測方法，在傳統(tǒng)網(wǎng)絡入侵檢測技術的基礎上，通過增加現(xiàn)場控制網(wǎng)數(shù)據(jù)采集探針，感知控制系統(tǒng)與物理世界的實際作用效果，通過結(jié)合傳統(tǒng)網(wǎng)絡入侵檢測技術實現(xiàn)PLC系統(tǒng)的攻擊檢測。初步實驗結(jié)果表明，系統(tǒng)可以實現(xiàn)對PLC惡意代碼篡改控制參數(shù)或指令的檢測，以及違反業(yè)務規(guī)則的攻擊檢測。

參考文獻

[1] 鎖延鋒，王少杰，秦宇，等.工業(yè)控制系統(tǒng)的安全技術與應用研究綜述[J].計算機科學，2018，45（4）：23?33.

[2] NOURIAN A， MADNICK S E. A systems theoretic approach to the security threats in cyber physical systems applied to Stuxnet [J]. IEEE transactions on dependable and secure compu?ting， 2018， 15（1）： 2?13.

[3] 應歡，劉松華，韓麗芳，等.電力工業(yè)控制系統(tǒng)安全技術綜述[J].電力信息與通信技術，2018（3）：56?63.

[4] 盧坦，林濤，梁頌.美國工控安全保障體系研究及啟示[J].保密科學技術，2014（4）：24?33.

[5] 張厚友.PLC控制技術的優(yōu)勢和抗干擾措施研究[J].儀器儀表用戶，2018（2）：5?6.

[6] LIM B， CHEN D， AN Y， et al. Attack induced common?mode failures on PLC?based safety system in a nuclear power plant： practical experience report [C]// 2017 IEEE 22nd Pacific Rim International Symposium on Dependable Computing. Christchurch， New Zealand： IEEE， 2017： 205?210.

[7] MOHIUDDIN A， MAHMOOD A N， JIANKUN H. A survey of network anomaly detection techniques [J]. Journal of network and computer applications， 2016， 60： 19?31.

[8] 周永福，曾志.Linux下采用Libpcap實現(xiàn)IDS的網(wǎng)絡數(shù)據(jù)包監(jiān)測[J].現(xiàn)代計算機（專業(yè)版），2015（9）：67?71.

[9] CHENG X R， ZHANG B. High speed network data capture based on Linux [C]// Proceedings of the 9th International Symposium on Linear Drives for Industry Applications. [S.l.： s.n.]， 2014： 216?245.

[10] 周志敏. PROFIBUS的協(xié)議結(jié)構及應用領域[J].智慧工廠，2018（2）：35?37.

[11] YANG V， MU S T， HARTMANN， D. PLC DCS analog input module design breaks barriers in channel?to?channel isolation and high density [J]. Analog devices， 2016， 50（4）： 36?40.

作者簡介：陳志文（1979—），男，福建南安人，碩士，高級工程師，研究方向為計算機網(wǎng)絡、信息安全。