馬霄 袁留記

(天融信科技集團股份有限公司，北京 100193)

0 引言

隨著近些年信息化技術(shù)在控制領(lǐng)域的深度發(fā)展[1-2]，信息安全威脅[3]也逐步從傳統(tǒng)信息領(lǐng)域滲透至控制過程。在這一過程中傳統(tǒng)信息安全技術(shù)表現(xiàn)出較多的不適性。傳統(tǒng)的五元組+黑名單檢測、防護措施，因其高誤報、兼容性弱、計算資源占用高等問題，普遍不被應用于控制領(lǐng)域。以行為分析[4]+白名單[5-7]的技術(shù)手段被廣泛應用于控制過程信息安全的威脅識別與處置。在這一過程中，通過對報文中數(shù)據(jù)相關(guān)字節(jié)的還原解析[8-9]，將其中的計算指令、寄存器地址、寄存器數(shù)值(點位數(shù)據(jù))與實際控制過程進行比對、判別，可對超出限定的指令、數(shù)據(jù)形成處置方法。上述方式可在對控制流程不造成干擾的情況下，構(gòu)建最小化控制流程，抵御面向控制單元的越限攻擊。若攻擊過程始終保持在限定界限內(nèi)，則無法被有效識別，且控制單元自身的保護程序同樣無法生效，從而促成攻擊過程的閉環(huán)。因此，需要構(gòu)建一種方法，可在合法路徑、合法內(nèi)容的場景中，通過目標數(shù)值的內(nèi)容，對控制環(huán)境通信過程中存在的威脅進行判別。且考慮到控制過程的實時性、不可逆性，判別過程需置于底層進行，以此確保處置的實時性。

1 對象場景說明

本文介紹的方法建立在行為分析+白名單的技術(shù)基礎(chǔ)之上，主要面向合法路徑、合法內(nèi)容下的組合非法攻擊過程。如震網(wǎng)病毒(Stuxnet)類惡意代碼形成的攻擊方式，通過破解目標設(shè)備實時數(shù)據(jù)庫權(quán)限，利用實時數(shù)據(jù)庫發(fā)起對相關(guān)控制器的寫操作。寫入數(shù)據(jù)始終位于應告警區(qū)間內(nèi)(HA-n；LA+n)，造成控制設(shè)備通過其輸入輸出(Input/Output，IO)對物理設(shè)備發(fā)送錯誤執(zhí)行指令，最終形成物理設(shè)備的超載。該破壞控制流程如圖1所示。

上述環(huán)境中，攻擊發(fā)起的路徑合法(破解實時數(shù)據(jù)權(quán)限后，攻擊動作從操作員站發(fā)起)，協(xié)議合法(非控制器可識別的協(xié)議，報文自動丟棄，不做解析)，內(nèi)容合法(如圖1所示，實際數(shù)據(jù)始終在上、下限區(qū)間，未觸發(fā)告警)，因此若基于獨立報文進行判定，無論傳統(tǒng)五元組+黑名單或行為分析+白名單方式，均無法識別出異常?？梢姡R別與判定過程需要綜合多包報文中的內(nèi)容進行綜合定義。

2 算法說明

控制環(huán)境中外部干涉對過程形成的影響通常以指數(shù)型(過程控制)與階梯型(離散控制)為主，具體如圖2所示?？梢钥闯?，隨著額定值寫入，物理數(shù)值存在一個變化過程，該過程與工藝相關(guān)(如化學反應、加速度運行等)，其中數(shù)據(jù)變化趨勢從寫入至平穩(wěn)運行保持一致，即數(shù)據(jù)變化率始終保持在第二(上升)、第四(下降)象限，因此可以得出，在常規(guī)操作過程中，數(shù)據(jù)變化率的絕對值在90°以內(nèi)。

數(shù)據(jù)變化率的識別可以通過如圖3所示的方式，即任意取一個時間節(jié)點對數(shù)值趨勢曲線做切割，其中割線與數(shù)據(jù)變化趨勢切線的夾角α即數(shù)據(jù)變化率。

所求α公式為

(1)

其中，V′(n)為t(n)時刻的曲線斜率，即

(2)

數(shù)據(jù)變化率的識別與判定根據(jù)計算得出的α進行判定。首先是對單次數(shù)據(jù)變化率進行檢測，在這一過程中識別單次數(shù)據(jù)變化率|α|>90°(時間狀態(tài)不可逆)。隨后以單次數(shù)據(jù)變化率作為檢測基礎(chǔ)，獲得數(shù)據(jù)變化率α在某個時間段內(nèi)的最大值|α|上限和最小值|α|下限，數(shù)據(jù)變化率閾值Ra(n)即可參考最大值|α|上限和最小值|α|下限進行自定義設(shè)定。設(shè)定變化率閾值Ra(n)。由于單次數(shù)據(jù)變化率的判定存在誤判的概率，實際應用中采用短周期內(nèi)多次取樣對比的方式，計算|α|>Ra(n)的次數(shù)。判定次數(shù)>取樣次數(shù)×20%(經(jīng)驗值)則判定異常。

圖1 合法區(qū)間內(nèi)異常數(shù)據(jù)趨勢曲線

圖3 數(shù)據(jù)變化率識別算法

圖2 過程控制與離散控制趨勢模型

3 模型說明

3.1 應用流程模型

控制環(huán)境中可編程邏輯控制器(Programmable Logic Controller，PLC)、分布式控制系統(tǒng)(Distributed Control System，DCS)與數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(Supervisory Control and Data Acquisition，SCADA)等上位交互普遍采用同步類型協(xié)議，但從經(jīng)濟成本考慮，檢測節(jié)點可部署在高一級的網(wǎng)絡(luò)節(jié)點上，通過多重鏡像方式獲取信息，所以在實際應用中，識別、檢測的對象會以多線程方式進行。該應用的流程模型如圖4所示。

圖4 數(shù)據(jù)變化率檢測流程模型

3.1.1 常規(guī)安全判定部分

根據(jù)控制系統(tǒng)通信與控制過程特點，圍繞場景下的通信關(guān)系與控制邏輯，可采用與傳統(tǒng)信息安全不同的白名單手段作為評判依據(jù)。同時，考慮到白名單技術(shù)在交付過程中對控制與安全融合理解程度較高，策略設(shè)置不可避免存在疏漏，可增加黑名單技術(shù)手段作為驗證。黑名單技術(shù)由于誤報率、離線更新困難等問題，其應用過程中的安全級別要低于白名單技術(shù)。

3.1.2 數(shù)據(jù)內(nèi)容行為分析

數(shù)據(jù)內(nèi)容行為分析主要面向報文中的數(shù)據(jù)部分，旨在將數(shù)據(jù)解析還原。采用此類技術(shù)的原因主要在于控制領(lǐng)域攻擊過程通常利用合法路徑、合法的協(xié)議對控制器進行寫操作，若要判定是否為攻擊行為，并針對攻擊對象進行定義，及時響應，需對行為進行分析并形成有效的途徑識別、檢測、處置能力。數(shù)據(jù)內(nèi)容行為分析可以分為以下3步。

第一步是指令分析，通過指令，區(qū)分報文的讀寫屬性。以Modbus TCP為例：當監(jiān)測到報文(3)時，可以根據(jù)其標記字節(jié)，識別其指令。

[01][00][00][00][00][06]
[01][03][00][00][00][0A]

(3)

01/02/03/04為讀取操作、05/06/15/16為寫入操作，以此作為判定條件，結(jié)合控制環(huán)境中的通信與控制邏輯，對于不具備操作權(quán)限的地址進行限定，可用來補充大部分控制系統(tǒng)缺少訪問控制的缺陷(當前大部分控制器系統(tǒng)缺少基礎(chǔ)的訪問控制能力，網(wǎng)絡(luò)可達即可讀寫)。

第二步是寄存器地址分析，控制過程多基于實時數(shù)據(jù)，以寄存器形式存在，對于寄存器地址的區(qū)分旨在明確訪問對象是否具備對應數(shù)據(jù)的訪問、操作權(quán)限。仍以報文(3)為例，[00][00][00][0A]代表了訪問的對象首寄存器地址與數(shù)據(jù)長度。通過對寄存器地址的限制，可落實基于數(shù)據(jù)的訪問控制。

第三步是數(shù)據(jù)內(nèi)容解析，該部分建立在數(shù)據(jù)字典基礎(chǔ)上，即將寄存器與物理點位進行對應，根據(jù)數(shù)據(jù)內(nèi)容與物理閾值區(qū)間進行判斷。

3.1.3 數(shù)據(jù)變化率檢測分析

數(shù)據(jù)變化率識別與檢測技術(shù)的出現(xiàn)旨在補充數(shù)據(jù)內(nèi)容行為分析過程中的不足。該技術(shù)通過鏡像流量(為保證控制過程的可用性，通常不在控制單元內(nèi)部署訪問控制措施，行為監(jiān)測過程多以鏡像流量旁路審計方式實現(xiàn))獲取多線程控制場景通信報文。數(shù)據(jù)變化率檢測分析過程以實際數(shù)據(jù)數(shù)值作為參考值，在識別異常數(shù)據(jù)變化后，對數(shù)據(jù)異常變化區(qū)間進行閾值比對(變化率閾值需自定義)，比對結(jié)果若超出設(shè)定閾值范圍，則對其通信鏈路進行取樣檢測，如近10條(需自定義)報文中分別提取數(shù)值內(nèi)容進行變化率分析。這一過程中，若取樣檢測變化率相對恒定，誤差<2%，則可判定為控制過程處于邏輯正常的合理狀態(tài)，檢測過程關(guān)閉；若取樣檢測變化率存在較大波動，特別是變化率出現(xiàn)正負兩種狀態(tài)，則可斷定數(shù)據(jù)處于抖動變化中。前文已提及，正常的控制過程不會存在高頻的數(shù)據(jù)抖動過程。

對于抖動變化數(shù)據(jù)，為保證識別與檢測結(jié)果的有效性，降低誤報率，可從寫操作內(nèi)容識別進行輔助驗證。在寫操作內(nèi)容識別方面主要是在數(shù)據(jù)變化率發(fā)生改變的時間區(qū)間內(nèi)，確認是否存在更改數(shù)據(jù)額定值的寫操作行為，對比相鄰的3～5次寫操作內(nèi)容，若存在較大偏差，則可確認為異常威脅，發(fā)出告警(誤操作的修正過程也會造成對應的數(shù)據(jù)變化模型，但該過程僅會出現(xiàn)2～3次偏差較大的寫操作過程，故對寫操作內(nèi)容的對比設(shè)置為3～5次)。

3.2 應用拓撲模型

在技術(shù)應用過程中，考慮數(shù)據(jù)變化率檢測技術(shù)面向的對象主要為寫操作過程，可以理解為其作用節(jié)點需要在寫操作流程的路徑中，于是需要對控制環(huán)境中寫操作路徑的有效性進行分析。隨著信息化技術(shù)的應用，寫操作路徑主要為3類：一是基于硬接線的控制輸入，該過程主要基于4～20 mA電流，以按鈕、檔桿、旋鈕等物理介質(zhì)進行輸入，通常稱為“現(xiàn)控”，由于其控制過程不涉及通信過程，不在本技術(shù)應用范圍內(nèi)；二是基于通信的本地操作員站輸入，該過程主要基于以太網(wǎng)或總線(RS485/RS232等)通信，操作發(fā)起節(jié)點位于Level2層級的操作員站，該過程通常稱為“遠控”；三是基于通信的調(diào)度操作員站輸入，該過程主要基于以太網(wǎng)通信，與遠控方式相同，但其輸入發(fā)起節(jié)點位于Level3層級的調(diào)度操作員站，該過程通常稱為“集控”。在當前國內(nèi)控制領(lǐng)域中，電力、石油等流程控制類行業(yè)，Level3通常作為生產(chǎn)過程監(jiān)測，即不參與寫操作，控制操作由遠控方式進行。在離散控制類行業(yè)中，如汽車制造、電子制造等信息化程度較高的行業(yè)，其集控與遠控方式并存。但在冶金、有色等傳統(tǒng)行業(yè)，因生產(chǎn)過程風險較大，集控過程響應較慢，故其采用集控方式較少。因此可以判斷，數(shù)據(jù)變化率檢測技術(shù)應用節(jié)點應位于Level2與Level1層級間，考慮到國內(nèi)控制單元運維過程的特殊性，應采用鏡像流量方式進行識別、監(jiān)測與審計，具體如圖5所示。

圖5 數(shù)據(jù)變化率檢測邏輯應用模型

技術(shù)應用在Level1.5層級的接入交換節(jié)點，以鏡像流量獲取數(shù)據(jù)信息，對控制過程零影響。在實際應用過程中，控制單元數(shù)量眾多，在Level1.5節(jié)點會形成大量技術(shù)措施的應用，對于用戶形成較大的經(jīng)濟壓力，為解決此類問題，可采用交換設(shè)備多重鏡像方式，將鏡像流量遞推至上一層交換節(jié)點，降低技術(shù)措施部署數(shù)量，節(jié)約用戶經(jīng)濟成本，具體可參考圖6。

4 應用示例

基于數(shù)據(jù)變化率檢測的控制領(lǐng)域信息安全行為已在多個控制領(lǐng)域進行應用。數(shù)據(jù)變化率檢測技術(shù)應用節(jié)點以鏡像流量獲取控制過程中的數(shù)據(jù)信息，首先在數(shù)據(jù)變化率檢測技術(shù)應用節(jié)點系統(tǒng)內(nèi)配置主機(操作員站)點列表(見圖7)；然后根據(jù)不同應用場景業(yè)務(wù)流程和工藝參數(shù)分別配置主機點表審計規(guī)則，自定義操作員站寫操作變化率范圍及對應的風險等級(見圖8)；完成以上配置信息后，數(shù)據(jù)變化率檢測技術(shù)應用節(jié)點即可依據(jù)審計規(guī)則和識別判定方法對超出閾值的數(shù)據(jù)變化率進行檢測、判定及告警。

5 結(jié)束語

基于數(shù)據(jù)變化率的檢測能力旨在補充當前控制領(lǐng)域信息安全在行為監(jiān)測過程中的不足，該技術(shù)的立足可以理解為在信息安全的基礎(chǔ)上，綜合考慮功能安全的能力與價值，在雙安融合的基礎(chǔ)上，對合法路徑、合法協(xié)議、合法內(nèi)容的行為進行深度分析的能力?；跀?shù)據(jù)變化率的檢測能力作用于控制單元底層，能采用實時的方式識別潛在的風險。隨著工業(yè)產(chǎn)業(yè)結(jié)構(gòu)的調(diào)整，安全技術(shù)也在快速發(fā)展與變革過程中，這其中必然產(chǎn)生紛繁的技術(shù)分支，而產(chǎn)業(yè)需求正是最好的驗證方式。安全技術(shù)不是一種炫技，復雜也好，簡單也罷，其價值就是可以真正滿足用戶的實際需求，從用戶角度出發(fā)，服務(wù)于用戶。

圖6 數(shù)據(jù)變化率檢測物理應用模型

圖7 主機列表

圖8 編輯主機點表審計規(guī)則