倪雄軍，李健俊，李鈺靚，文德明，姜學(xué)峰，張益南，李 威，張曉東

1. 浙江中煙工業(yè)有限責(zé)任公司生產(chǎn)管理部，杭州市中山南路77 號(hào) 310008

2. 浙江中煙工業(yè)有限責(zé)任公司信息中心，杭州市中山南路77 號(hào) 310008

3. 浙江中煙工業(yè)有限責(zé)任公司杭州卷煙廠，杭州市科海路118 號(hào) 310008

4. 常德煙草機(jī)械有限責(zé)任公司，湖南省常德市武陵區(qū)長(zhǎng)庚路999 號(hào) 415000

5. 杭州優(yōu)穩(wěn)自動(dòng)化系統(tǒng)有限公司，杭州市余杭區(qū)臨港路6 號(hào) 311107

工業(yè)互聯(lián)網(wǎng)作為新型基礎(chǔ)設(shè)施建設(shè)的重要內(nèi)容，在推動(dòng)信息技術(shù)（Information Technology，IT）與操作技術(shù)（Operation Technology，OT）融合時(shí)，打破了工控系統(tǒng)的隔離邊界，使工控網(wǎng)絡(luò)從封閉、孤立逐步走向開放化、互聯(lián)化、通用化和標(biāo)準(zhǔn)化［1-3］。卷接設(shè)備IPC（Industrial Personal Computer）控制系統(tǒng)是基于工業(yè)PC控制技術(shù)的開放式自動(dòng)化控制系統(tǒng)，具有運(yùn)行速度快、控制精度高、通用性好、可維護(hù)性強(qiáng)等優(yōu)點(diǎn)，目前正在逐步取代傳統(tǒng)的PLC控制系統(tǒng)，并已在高速、超高速卷接包設(shè)備中廣泛應(yīng)用。卷接設(shè)備IPC 控制系統(tǒng)的生產(chǎn)網(wǎng)與管理網(wǎng)相連，除邊界防護(hù)外，內(nèi)部基本無(wú)安全防護(hù)措施，因此無(wú)法防御高級(jí)持續(xù)威脅攻擊和從控制系統(tǒng)內(nèi)部發(fā)起的攻擊。針對(duì)此問(wèn)題，西門子、施耐德等控制系統(tǒng)的生產(chǎn)廠商提出分層部署邊界防御、防火墻、入侵檢測(cè)等技術(shù)來(lái)構(gòu)建縱深防御體系［4-5］。該體系是卷煙企業(yè)采用的主流防御方法，但難以適應(yīng)新形勢(shì)下高端、持續(xù)、隱蔽式攻擊。馮濤等［6］提出一種基于有色Petri 網(wǎng)理論和Dolev-Yao 攻擊方法的檢測(cè)模型，并對(duì)EtherCAT 協(xié)議進(jìn)行了安全性評(píng)估，但該模型的建模過(guò)程較復(fù)雜，且未在實(shí)際應(yīng)用中得到驗(yàn)證。為此，基于卷接設(shè)備IPC控制系統(tǒng)的典型攻擊鏈模型，設(shè)計(jì)了一種能夠覆蓋卷接設(shè)備控制系統(tǒng)核心設(shè)備及通信網(wǎng)絡(luò)的安全監(jiān)測(cè)模型，旨在實(shí)現(xiàn)卷接設(shè)備IPC 控制系統(tǒng)的多層安全監(jiān)測(cè)，提高卷接設(shè)備運(yùn)行的安全性。

1 問(wèn)題分析

以ZJ17E卷接機(jī)組為例，其IPC控制系統(tǒng)被攻擊過(guò)程可分為3 個(gè)階段，見圖1。①威脅感染與傳播。威脅源可能存在于廣域網(wǎng)和便攜設(shè)備中，主要通過(guò)網(wǎng)絡(luò)釣魚、U盤擺渡等方式進(jìn)行感染與傳播［7］。②向IPC 控制器滲透。計(jì)算機(jī)被感染后，向人機(jī)界面HMI、編程器等外圍設(shè)備發(fā)起攻擊，成為攻擊IPC 控制器的跳板。③控制網(wǎng)實(shí)質(zhì)攻擊。木馬病毒成功入侵 IPC 控制器后，通過(guò) EtherCAT 總線、IO 設(shè)備等對(duì)物理設(shè)備進(jìn)行攻擊，進(jìn)而達(dá)到破壞生產(chǎn)活動(dòng)的目的。病毒在入侵的同時(shí)向HMI等設(shè)備發(fā)送錯(cuò)誤的運(yùn)行狀態(tài)信息，蒙蔽現(xiàn)場(chǎng)操作人員，存在長(zhǎng)期潛伏、蓄意破壞等安全隱患。

圖1 卷接設(shè)備IPC控制系統(tǒng)被攻擊過(guò)程示意圖Fig.1 Schematic diagram of IPC control system of filtered cigarette maker being attacked

通過(guò)研究卷接設(shè)備IPC 控制系統(tǒng)的攻擊路徑，可知其安全問(wèn)題的核心在于系統(tǒng)網(wǎng)、IPC 控制器和EtherCAT控制網(wǎng)3類關(guān)鍵設(shè)備。①系統(tǒng)網(wǎng)。卷接設(shè)備控制系統(tǒng)的系統(tǒng)網(wǎng)中未部署安全防護(hù)措施，利用惡意代碼、木馬、病毒等都可以發(fā)起身份鑒別請(qǐng)求攻擊、中間人攻擊等［8］，這類攻擊的網(wǎng)絡(luò)鏈接有可能變成完全被人監(jiān)聽控制的鏈接，無(wú)法保障網(wǎng)絡(luò)鏈接的安全性。因此，需要結(jié)合工控協(xié)議的深度解析和白名單策略的防護(hù)機(jī)制，應(yīng)對(duì)針對(duì)網(wǎng)絡(luò)的已知和未知的惡意攻擊行為，降低控制系統(tǒng)受損風(fēng)險(xiǎn)。②IPC控制器。為了滿足工業(yè)環(huán)境運(yùn)行需求，IPC控制器通常采用可靠性高、抗干擾能力強(qiáng)的嵌入式微處理器模塊，并使用經(jīng)過(guò)深度定制的操作系統(tǒng)［9］。例如，ZJ17E 卷接機(jī)組配套使用的Windows 系統(tǒng)預(yù)留給通用程序的運(yùn)行資源有限，因此無(wú)法通過(guò)安裝殺毒軟件、更新補(bǔ)丁、實(shí)時(shí)更新病毒庫(kù)等手段來(lái)保持攻防力量的平衡［10］。由于操作系統(tǒng)的版本以及應(yīng)用類型不同，利用非侵入式安全監(jiān)測(cè)方法能夠提升安全配置、增強(qiáng)安全機(jī)制、減少被入侵的風(fēng)險(xiǎn)。③EtherCAT 控制網(wǎng)。木馬病毒成功入侵IPC 控制器后，可通過(guò)EtherCAT 總線攻擊物理設(shè)備，進(jìn)而破壞生產(chǎn)活動(dòng)。EtherCAT 數(shù)據(jù)包經(jīng)過(guò)從站的物理層、數(shù)據(jù)鏈路層到達(dá)應(yīng)用層，期間有大量EtherCAT 特有的處理邏輯，同時(shí)也存在多個(gè)攻擊路徑。主要攻擊方法包括影響EtherCAT 數(shù)據(jù)包的傳遞路徑、篡改邏輯地址和實(shí)際數(shù)據(jù)空間地址的映射關(guān)系、影響數(shù)據(jù)包讀寫過(guò)程的一致性、影響控制系統(tǒng)各I/O 終端協(xié)同控制的一致性、影響操作命令的有效讀寫、修改應(yīng)用層業(yè)務(wù)數(shù)據(jù)等。因此，需要對(duì)EtherCAT 控制網(wǎng)的控制行為進(jìn)行深度分析，結(jié)合控制網(wǎng)功能安全和信息安全的一體化防護(hù)措施［11］，對(duì)EtherCAT 控制網(wǎng)進(jìn)行安全監(jiān)測(cè)，降低卷接設(shè)備被攻擊的風(fēng)險(xiǎn)。

2 卷接設(shè)備IPC控制系統(tǒng)安全監(jiān)測(cè)模型設(shè)計(jì)

為實(shí)現(xiàn)卷接設(shè)備IPC 控制系統(tǒng)的多層安全監(jiān)測(cè)，設(shè)計(jì)了系統(tǒng)網(wǎng)偽控制指令安全監(jiān)測(cè)（Monitoring of pseudo control command in system network）、IPC控制器非侵入式安全監(jiān)測(cè)（Monitoring of IPC Controller by non-intrusive method）和控制網(wǎng)異?？刂菩袨榘踩O(jiān)測(cè)（Monitoring of abnormal behavior in control network）3個(gè)安全監(jiān)測(cè)模塊，結(jié)合數(shù)據(jù)無(wú)擾采集（Acquisition without disturbance for data）和安全風(fēng)險(xiǎn)預(yù)警（Alarm of security risk）技術(shù)，構(gòu)建了能夠覆蓋卷接機(jī)組核心控制設(shè)備和通信網(wǎng)絡(luò)的A3MA安全監(jiān)測(cè)模型，見圖2。

圖2 卷接設(shè)備IPC控制系統(tǒng)A3MA安全監(jiān)測(cè)模型結(jié)構(gòu)框圖Fig.2 Structure of A3MA security monitoring model for IPC control system of filtered cigarette maker

2.1 系統(tǒng)網(wǎng)偽控制指令安全監(jiān)測(cè)模塊設(shè)計(jì)

偽控制指令安全監(jiān)測(cè)模塊具有學(xué)習(xí)和校驗(yàn)兩種模式，主要包括協(xié)議解析、異常識(shí)別、模型庫(kù)學(xué)習(xí)3部分。通過(guò)監(jiān)聽和分析所有流向IPC 的數(shù)據(jù)，實(shí)現(xiàn)非法控制指令識(shí)別、非法程序注入預(yù)警等功能，并實(shí)時(shí)監(jiān)測(cè)HMI等節(jié)點(diǎn)向IPC控制器的滲透過(guò)程。利用機(jī)器學(xué)習(xí)與人工梳理結(jié)合的方式，從訪控權(quán)限、協(xié)議命令、過(guò)程參數(shù)、控制行為等角度建立訪問(wèn)控制庫(kù)、合法命令庫(kù)、參數(shù)規(guī)則庫(kù)、安全行為庫(kù)等安全通信規(guī)則校驗(yàn)庫(kù)，構(gòu)建系統(tǒng)網(wǎng)安全通信模型。實(shí)時(shí)分析系統(tǒng)網(wǎng)數(shù)據(jù)包，依次校驗(yàn)通信數(shù)據(jù)包對(duì)安全模型的符合性，進(jìn)而實(shí)現(xiàn)偽控制指令的識(shí)別與預(yù)警。

2.1.1 協(xié)議解析

針對(duì) HMI 等節(jié)點(diǎn)與 IPC 通信的 ADS 協(xié)議，按照協(xié)議數(shù)據(jù)包的封裝格式進(jìn)行拆包，根據(jù)報(bào)文頭部信息確定數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層信息，再按照應(yīng)用層協(xié)議格式進(jìn)行解碼，獲取應(yīng)用層信息并檢查報(bào)文是否符合協(xié)議規(guī)范，從而實(shí)現(xiàn)協(xié)議解析。

2.1.2 異常識(shí)別

異常識(shí)別的作用是基于安全通信規(guī)則校驗(yàn)庫(kù)校驗(yàn)系統(tǒng)網(wǎng)數(shù)據(jù)，識(shí)別通信網(wǎng)絡(luò)中的偽控制指令，并產(chǎn)生報(bào)警信號(hào)。模塊先對(duì)系統(tǒng)網(wǎng)數(shù)據(jù)進(jìn)行訪控權(quán)限校驗(yàn)，識(shí)別未授權(quán)節(jié)點(diǎn)、未授權(quán)用戶和未授權(quán)操作；然后對(duì)數(shù)據(jù)進(jìn)行操作命令校驗(yàn)，識(shí)別非法命令；再對(duì)數(shù)據(jù)進(jìn)行參數(shù)合法性校驗(yàn)，識(shí)別非法操作參數(shù)；最后結(jié)合通信交互行為和網(wǎng)絡(luò)狀態(tài)遷移情況，識(shí)別偽控制指令。

2.1.3 模型庫(kù)學(xué)習(xí)

模型庫(kù)學(xué)習(xí)采用人工梳理與機(jī)器學(xué)習(xí)相結(jié)合的方式。先通過(guò)人工對(duì)通信數(shù)據(jù)包進(jìn)行離線分析，經(jīng)過(guò)分析通信參與方的身份和協(xié)議，構(gòu)建通信模型白名單；再通過(guò)機(jī)器學(xué)習(xí)實(shí)時(shí)分析線上流量，識(shí)別其通信行為；收集符合正常通信特征、不在現(xiàn)有通信模型內(nèi)的數(shù)據(jù)包，構(gòu)建新的模型規(guī)則。

2.2 IPC非侵入式安全監(jiān)測(cè)模塊設(shè)計(jì)

IPC 非侵入式安全監(jiān)測(cè)模塊主要從IPC 狀態(tài)安全、行為安全、通信安全3 方面對(duì)IPC 進(jìn)行安全監(jiān)測(cè)。采用非侵入式監(jiān)測(cè)方法資源消耗小，且能夠滿足IPC控制器在線運(yùn)行對(duì)穩(wěn)定性和實(shí)時(shí)性的要求。

2.2.1 IPC狀態(tài)安全監(jiān)測(cè)

根據(jù)核心控制器面臨的安全威脅，監(jiān)測(cè)IPC 的安全狀態(tài)，如惡意開放端口、工控相關(guān)進(jìn)程狀態(tài)、關(guān)鍵工控文件或系統(tǒng)文件狀態(tài)等都會(huì)影響系統(tǒng)的穩(wěn)定運(yùn)行。其主要功能包括狀態(tài)安全數(shù)據(jù)采集和狀態(tài)預(yù)期度量。狀態(tài)安全數(shù)據(jù)采集功能：①為避免影響卷接設(shè)備IPC 控制系統(tǒng)正常運(yùn)行，以非侵入方式采集IPC 多維靜態(tài)安全數(shù)據(jù)；②獲取IPC 配置文件、應(yīng)用軟件安裝、用戶賬戶、安全策略、注冊(cè)表等數(shù)據(jù)以及IPC 中定制的工控軟件、軟件配置文件及庫(kù)文件、工控組態(tài)包等。狀態(tài)預(yù)期度量功能：對(duì)IPC 控制器的配置文件、庫(kù)文件、編程文件以及操作系統(tǒng)的關(guān)鍵系統(tǒng)文件等內(nèi)容進(jìn)行度量。

2.2.2 IPC行為安全監(jiān)測(cè)

對(duì)影響IPC 安全的動(dòng)態(tài)行為數(shù)據(jù)進(jìn)行監(jiān)測(cè)，如惡意代碼注入后啟動(dòng)未知進(jìn)程篡改工控文件或系統(tǒng)文件、啟動(dòng)U 盤等未知設(shè)備。其主要功能包括動(dòng)態(tài)行為安全數(shù)據(jù)采集和動(dòng)態(tài)行為預(yù)期獲取。動(dòng)態(tài)行為安全數(shù)據(jù)采集功能：①為避免影響卷接設(shè)備IPC 控制系統(tǒng)正常運(yùn)行，以非侵入方式采集IPC動(dòng)態(tài)數(shù)據(jù)；②根據(jù)預(yù)先采集的IPC安全特征集合，對(duì)IPC的進(jìn)程創(chuàng)建、設(shè)備添加和刪除、電源狀態(tài)更改以及注冊(cè)表修改等行為進(jìn)行監(jiān)測(cè)，并對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)獲取。動(dòng)態(tài)行為預(yù)期獲取功能：對(duì)獲取的動(dòng)態(tài)行為數(shù)據(jù)進(jìn)行處理，將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)交互接口傳入IPC 威脅智能分析與評(píng)估模塊。

2.2.3 IPC通信安全監(jiān)測(cè)

從IPC 通信過(guò)程面臨的威脅入手監(jiān)測(cè)IPC 與HMI、編程器之間的交互狀況，排除IP 異常、端口異常等威脅因素。其主要功能包括通信安全數(shù)據(jù)采集和通信安全數(shù)據(jù)預(yù)期獲取。通信安全數(shù)據(jù)采集功能：實(shí)時(shí)獲取IPC 與HMI 進(jìn)行交互發(fā)送的指令參數(shù)或監(jiān)控?cái)?shù)據(jù)狀態(tài)時(shí)的網(wǎng)絡(luò)通信數(shù)據(jù)，具體包括交互雙方的數(shù)據(jù)流量特征、數(shù)據(jù)包特征以及IPC 與編程器之間的網(wǎng)絡(luò)通信數(shù)據(jù)（上傳下載的文件信息、編程器IP 和端口等）。通信安全數(shù)據(jù)預(yù)期獲取功能：在IPC 中獲取正常通信行為時(shí)HMI 以及編程器IP、端口、MAC地址、所采用協(xié)議等數(shù)據(jù)。

2.3 控制網(wǎng)異常控制行為監(jiān)測(cè)模塊設(shè)計(jì)

結(jié)合EtherCAT 高速總線網(wǎng)絡(luò)的通信特征，建立控制網(wǎng)異?？刂菩袨楸O(jiān)測(cè)模塊。該模塊包括EtherCAT無(wú)擾偵聽、EtherCAT安全監(jiān)測(cè)和EtherCAT安全模型構(gòu)建3部分，見圖3。以數(shù)據(jù)包完整性和合法性校驗(yàn)、協(xié)議深度解析為基礎(chǔ)，設(shè)計(jì)EtherCAT 控制網(wǎng)的關(guān)鍵點(diǎn)重點(diǎn)監(jiān)測(cè)、數(shù)據(jù)包分類節(jié)奏檢測(cè)、場(chǎng)景行為關(guān)聯(lián)分析3類安全監(jiān)測(cè)策略，對(duì)控制行為進(jìn)行實(shí)時(shí)分析與檢測(cè)，及時(shí)發(fā)現(xiàn)異常控制行為和未知威脅。

圖3 控制網(wǎng)異?？刂菩袨楸O(jiān)測(cè)模塊示意圖Fig.3 Schematic diagram of monitoring module for abnormal control behavior of control network

2.3.1 EtherCAT無(wú)擾偵聽

由于EtherCAT 控制網(wǎng)要求強(qiáng)實(shí)時(shí)性，常規(guī)的端口鏡像、流量轉(zhuǎn)發(fā)等方式會(huì)影響IPC 控制系統(tǒng)的運(yùn)行效率。因此，在物理層上采用流量環(huán)回的EtherCAT 數(shù)據(jù)無(wú)擾偵聽模塊，僅增加物理線路的通信延時(shí)，進(jìn)而在獲得EtherCAT 數(shù)據(jù)包鏡像的同時(shí)不影響EtherCAT 的強(qiáng)實(shí)時(shí)性。為避免受到攻擊時(shí)無(wú)擾偵聽模塊的數(shù)據(jù)鏡像功能失效，將無(wú)擾偵聽模塊裝載在EtherCAT 主站出口位置，確保無(wú)擾偵聽模塊傳送給EtherCAT安全監(jiān)測(cè)模塊的數(shù)據(jù)包完整。

2.3.2 EtherCAT安全監(jiān)測(cè)

EtherCAT 安全監(jiān)測(cè)模塊接收到EtherCAT 數(shù)據(jù)包后，進(jìn)行完整性和合法性校驗(yàn)以及協(xié)議深度解析；根據(jù)協(xié)議解析結(jié)果分別進(jìn)行關(guān)鍵點(diǎn)重點(diǎn)監(jiān)測(cè)、數(shù)據(jù)包分類節(jié)奏檢測(cè)和場(chǎng)景行為關(guān)聯(lián)分析，并對(duì)分析和檢測(cè)結(jié)果進(jìn)行EtherCAT 網(wǎng)絡(luò)異?？刂菩袨樽R(shí)別、定位和預(yù)警。由表1可見，關(guān)鍵點(diǎn)重點(diǎn)監(jiān)測(cè)功能通過(guò)分析EtherCAT 通信原理，剖析協(xié)議中存在的弱點(diǎn)，進(jìn)而識(shí)別針對(duì)協(xié)議弱點(diǎn)的攻擊行為；數(shù)據(jù)包分類節(jié)奏檢測(cè)通過(guò)分析不同功能數(shù)據(jù)包的適用場(chǎng)景、觸發(fā)條件和觸發(fā)頻率，將EtherCAT 數(shù)據(jù)包分成周期型、觸發(fā)型和場(chǎng)景型，結(jié)合生產(chǎn)場(chǎng)景監(jiān)測(cè)數(shù)據(jù)包的分類頻率，進(jìn)而識(shí)別異常攻擊行為；場(chǎng)景行為關(guān)聯(lián)分析通過(guò)分析網(wǎng)絡(luò)數(shù)據(jù)包的前后關(guān)聯(lián)，進(jìn)行網(wǎng)絡(luò)行為識(shí)別與網(wǎng)絡(luò)行為序列診斷，進(jìn)而識(shí)別異?？刂菩袨椤?/p>

表1 EtherCAT控制網(wǎng)異?？刂菩袨榘踩O(jiān)測(cè)策略Tab.1 Security monitoring strategy for abnormal control behavior of EtherCAT control network

2.3.3 EtherCAT安全模型構(gòu)建

利用EtherCAT 協(xié)議深度解析和機(jī)器學(xué)習(xí)，結(jié)合規(guī)則化狀態(tài)遷移、場(chǎng)景化關(guān)聯(lián)規(guī)則、自動(dòng)化網(wǎng)絡(luò)梳理等技術(shù)，對(duì)網(wǎng)絡(luò)歷史數(shù)據(jù)進(jìn)行分析、建模和狀態(tài)演化，通過(guò)抽取演化規(guī)則形成網(wǎng)絡(luò)安全模型。EtherCAT安全模型庫(kù)包括寄存器庫(kù)、拓?fù)淠Ｐ蛶?kù)、配置模型庫(kù)和行為模型庫(kù)。寄存器庫(kù)是其他模型庫(kù)的基礎(chǔ)，通過(guò)協(xié)議深度解析形成寄存器地址列表與訪問(wèn)規(guī)則等；拓?fù)淠Ｐ蛶?kù)決定了EtherCAT 鏈路層控制方式，并影響分布式時(shí)鐘同步、EtherCAT異常診斷等行為，根據(jù)鏈路層控制方式反向推導(dǎo)可得到系統(tǒng)拓?fù)淠Ｐ停煌ㄟ^(guò)分析各從站配置數(shù)據(jù)包，可反向推導(dǎo)從站的類型、默認(rèn)配置、實(shí)際配置等信息，形成配置模型庫(kù)；通過(guò)深度剖析EtherCAT 協(xié)議，結(jié)合現(xiàn)場(chǎng)獲取的歷史數(shù)據(jù)包，分析數(shù)據(jù)包訪問(wèn)控制規(guī)則、分類頻度閾值以及各種數(shù)據(jù)包結(jié)構(gòu)和邏輯關(guān)系，構(gòu)建EtherCAT行為模型庫(kù)。

3 模型驗(yàn)證

3.1 驗(yàn)證方法

（1）以杭州卷煙廠使用的ZJ17E 卷接機(jī)組為對(duì)象，在不影響正常生產(chǎn)的前提下部署安全監(jiān)測(cè)原型系統(tǒng)進(jìn)行測(cè)試，見圖4。其中，無(wú)擾偵聽組件為獨(dú)立的硬件組件，部署在卷接機(jī)組IPC 控制系統(tǒng)控制箱交換機(jī)附近位置，連入IPC 系統(tǒng)的系統(tǒng)網(wǎng)絡(luò)和控制網(wǎng)絡(luò)中，與交換機(jī)、IPC 控制器相連。安全監(jiān)控組件用于高速總線網(wǎng)絡(luò)異?？刂菩袨楸O(jiān)測(cè)和偽控制指令識(shí)別預(yù)警，部署在IPC系統(tǒng)控制箱側(cè)板上，采用旁路部署方式，與無(wú)擾偵聽組件相連，接收無(wú)擾偵聽組件發(fā)送的單向數(shù)據(jù)并進(jìn)行安全分析。IPC 安全監(jiān)視子模塊作為獨(dú)立的軟件模塊，部署在IPC 控制器運(yùn)行系統(tǒng)中，采用非侵入式安全監(jiān)測(cè)方法采集IPC 系統(tǒng)數(shù)據(jù)，確保與原有控制運(yùn)算邏輯進(jìn)行解耦分離和獨(dú)立運(yùn)行，并可適應(yīng)IPC控制器運(yùn)行資源受限等環(huán)境。

圖4 卷接設(shè)備IPC控制系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)原型系統(tǒng)部署Fig.4 Deployment location of network security monitoring prototype system for IPC control system of filtered cigarette maker

（2）基于控制系統(tǒng)構(gòu)建典型的攻擊鏈模型，分析嗅探、系統(tǒng)網(wǎng)攻擊、IPC漏洞分析與利用、IPC實(shí)質(zhì)攻擊、EtherCAT控制網(wǎng)攻擊等完整攻擊鏈的各個(gè)環(huán)節(jié)，并進(jìn)行模擬攻擊測(cè)試，以驗(yàn)證部署安全監(jiān)測(cè)原型系統(tǒng)后IPC 系統(tǒng)在系統(tǒng)網(wǎng)、IPC 控制器和控制網(wǎng)3 方面的安全監(jiān)測(cè)能力。

3.2 驗(yàn)證結(jié)果

由表2可見：①系統(tǒng)網(wǎng)偽控制指令監(jiān)測(cè)模塊實(shí)現(xiàn)了對(duì)HMI 與IPC 之間ADS 通信協(xié)議的深度解析，并具有對(duì)TCP/IP 標(biāo)準(zhǔn)協(xié)議族數(shù)據(jù)的審計(jì)功能；可對(duì)未授權(quán)網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)端口的非法訪問(wèn)進(jìn)行預(yù)警；對(duì)HMI 控制指令的重放攻擊和偽造攻擊進(jìn)行識(shí)別預(yù)警。②IPC 非侵入式安全監(jiān)測(cè)模塊實(shí)現(xiàn)了對(duì)IPC控制器的系統(tǒng)信息、磁盤、內(nèi)存、工控系統(tǒng)文件指紋、工控程序文件指紋、系統(tǒng)服務(wù)列表、非系統(tǒng)服務(wù)列表、應(yīng)用程序列表、用戶登錄信息、外設(shè)列表、進(jìn)程列表、注冊(cè)表信息共12項(xiàng)數(shù)據(jù)的安全監(jiān)測(cè)。③控制網(wǎng)異常控制行為監(jiān)測(cè)模塊通過(guò)對(duì)EtherCAT 網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深度解析，實(shí)現(xiàn)了邏輯地址映射篡改監(jiān)測(cè)、異?？刂茢?shù)據(jù)操作監(jiān)測(cè)、分布式時(shí)鐘偽同步監(jiān)測(cè)、從站配置參數(shù)合法性監(jiān)測(cè)、從站運(yùn)行狀態(tài)監(jiān)測(cè)、從站初始化序列監(jiān)測(cè)、通信異常連接重試監(jiān)測(cè)以及網(wǎng)絡(luò)流量異常監(jiān)測(cè)等8項(xiàng)安全監(jiān)測(cè)。

表2 安全監(jiān)測(cè)原型系統(tǒng)監(jiān)測(cè)能力測(cè)試結(jié)果Tab.2 Test results of monitoring capability of security monitoring prototype system

表2（續(xù)）

4 結(jié)論

針對(duì)卷接設(shè)備IPC 控制系統(tǒng)內(nèi)部缺失安全防護(hù)措施等問(wèn)題，采用構(gòu)建控制系統(tǒng)典型攻擊鏈模型的方法，建立了一種A3MA安全監(jiān)測(cè)模型，實(shí)現(xiàn)了卷接設(shè)備IPC控制系統(tǒng)的多層安全監(jiān)測(cè)。在ZJ17E卷接機(jī)組生產(chǎn)運(yùn)行環(huán)境中進(jìn)行模擬攻擊測(cè)試，驗(yàn)證了安全監(jiān)測(cè)原型系統(tǒng)的監(jiān)測(cè)能力。結(jié)果表明：安全監(jiān)測(cè)原型系統(tǒng)可快速發(fā)現(xiàn)系統(tǒng)網(wǎng)偽控制指令行為，快速定位針對(duì)IPC 控制器的未授權(quán)篡改行為，快速識(shí)別EtherCAT控制網(wǎng)的異?？刂菩袨?。應(yīng)用A3MA安全監(jiān)測(cè)模型實(shí)現(xiàn)了卷接設(shè)備IPC控制系統(tǒng)核心控制器與高速實(shí)時(shí)總線網(wǎng)絡(luò)的安全監(jiān)測(cè)，為后續(xù)安全加固、異常阻斷、安全聯(lián)動(dòng)等安全防護(hù)研究打下了基礎(chǔ)。