摘要：面對(duì)復(fù)雜的生產(chǎn)過(guò)程和日益增加的網(wǎng)絡(luò)安全威脅，快速定位并解決工控網(wǎng)絡(luò)故障成為亟待解決的問(wèn)題，基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)技術(shù)通過(guò)實(shí)時(shí)監(jiān)控和分析通信數(shù)據(jù)，能快速準(zhǔn)確地發(fā)現(xiàn)和定位安全威脅，為系統(tǒng)安全運(yùn)行提供支持。提出的基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)技術(shù)，通過(guò)全量數(shù)據(jù)包采集、全協(xié)議棧分析等手段，全面反映工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和通信行為，為未來(lái)故障檢測(cè)與安全防護(hù)提供了新思路，具有理論意義和應(yīng)用價(jià)值。

關(guān)鍵詞：工業(yè)控制系統(tǒng)；故障定位；數(shù)字化轉(zhuǎn)型；工控安全

中圖分類(lèi)號(hào)：TN915.08；TP393.02 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

工控網(wǎng)絡(luò)的安全和穩(wěn)定運(yùn)行對(duì)于現(xiàn)代工業(yè)生產(chǎn)至關(guān)重要。隨著工業(yè)4.0的推進(jìn)，工控網(wǎng)絡(luò)逐步開(kāi)放，并與多種系統(tǒng)交叉融合，如何保證其穩(wěn)定性成為一項(xiàng)復(fù)雜且重要的任務(wù)。隨著工業(yè)數(shù)字化轉(zhuǎn)型的深入，傳統(tǒng)的封閉式工業(yè)控制系統(tǒng)逐漸被開(kāi)放式、互聯(lián)互通的系統(tǒng)取代。現(xiàn)代工業(yè)系統(tǒng)不僅要應(yīng)對(duì)復(fù)雜的生產(chǎn)過(guò)程問(wèn)題，還要面對(duì)日益增加的網(wǎng)絡(luò)安全威脅。如何快速定位并解決工控網(wǎng)絡(luò)故障，確保生產(chǎn)過(guò)程的連續(xù)性和系統(tǒng)的安全性，成為工業(yè)領(lǐng)域亟待解決的問(wèn)題。

目前，傳統(tǒng)的故障檢測(cè)方法主要依賴(lài)于設(shè)備自身的診斷功能和人工經(jīng)驗(yàn)，這種方法在面對(duì)復(fù)雜多變的工控網(wǎng)絡(luò)環(huán)境時(shí)顯得力不從心。基于網(wǎng)絡(luò)流量分析的工控網(wǎng)絡(luò)安全審計(jì)可以通過(guò)實(shí)時(shí)監(jiān)控和分析網(wǎng)絡(luò)中的通信數(shù)據(jù)，快速、準(zhǔn)確地發(fā)現(xiàn)和定位網(wǎng)絡(luò)安全威脅，為網(wǎng)絡(luò)安全事件的快速處理和系統(tǒng)的安全運(yùn)行提供了有力支持。

本文提出了一種基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)技術(shù)。通過(guò)全量的數(shù)據(jù)包采集、全協(xié)議棧分析、全工業(yè)數(shù)據(jù)的解析和全日志留存，全面反映工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及通信行為。同時(shí)，該技術(shù)也為未來(lái)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的故障檢測(cè)與安全防護(hù)提供了新的思路和方法，具有重要的理論意義和實(shí)際應(yīng)用價(jià)值。

1 工控網(wǎng)絡(luò)流量分析技術(shù)

1.1 工控網(wǎng)絡(luò)流量采集與存儲(chǔ)

由于工控的通信技術(shù)、網(wǎng)絡(luò)特性與IT網(wǎng)絡(luò)有較大的差異，采集工控網(wǎng)絡(luò)鏡像流量時(shí)，采集軟件需旁路部署在可編程邏輯控制器（programmable logic controller，PLC）、遠(yuǎn)程終端單元等重要設(shè)備的交換機(jī)上。同時(shí)，利用工控協(xié)議深度解析引擎，對(duì)西門(mén)子、施耐德、艾默生、貝加萊等主流工控廠商的網(wǎng)絡(luò)流量進(jìn)行采集，并識(shí)別解碼Modbus、S7COMM、IEC104等協(xié)議流量。流量采集、分析、存儲(chǔ)、管理的軟件均屬于科來(lái)網(wǎng)絡(luò)分析系統(tǒng)[1]。

1.2 智慧梳理與識(shí)別

業(yè)務(wù)梳理是后續(xù)安全分析的基礎(chǔ)，其基本操作包括：對(duì)流量里的設(shè)備、操作、參數(shù)、通信關(guān)系進(jìn)行梳理；對(duì)重要的設(shè)備進(jìn)行重點(diǎn)防護(hù)；對(duì)影響重大的操作，如PLC啟停、組態(tài)變更等及時(shí)預(yù)警；對(duì)控制與被控關(guān)系，建立最小控制權(quán)限。

梳理的結(jié)果和目的是建立業(yè)務(wù)規(guī)范，由于工控系統(tǒng)封閉性強(qiáng)、自動(dòng)化程度高、業(yè)務(wù)輪廓清晰等特性，使控制業(yè)務(wù)規(guī)范易于構(gòu)建，并且通過(guò)對(duì)設(shè)備進(jìn)行全天候、多維度畫(huà)像，保證設(shè)備的訪問(wèn)行為和操作行為可見(jiàn)可管。同時(shí)，采用智能學(xué)習(xí)算法構(gòu)建參數(shù)的智能基線，及時(shí)發(fā)現(xiàn)參數(shù)的波動(dòng)；對(duì)訪問(wèn)關(guān)系進(jìn)行業(yè)務(wù)化的翻譯，即業(yè)務(wù)組網(wǎng)，并且跟蹤組網(wǎng)狀態(tài)，一旦發(fā)現(xiàn)變更及時(shí)告警。

1.3 持續(xù)審計(jì)與監(jiān)視

工控網(wǎng)絡(luò)行為包括操作、設(shè)備、組網(wǎng)、參數(shù)等4個(gè)維度。①操作維度是工控業(yè)務(wù)最基礎(chǔ)的行為，通過(guò)對(duì)操作的分析，可以深入了解工控業(yè)務(wù)的運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)異常操作，預(yù)防潛在故障。②設(shè)備維度包括工業(yè)控制系統(tǒng)中的各種硬件，如PLC、分布式控制系統(tǒng)（distributed control system，DCS）等，負(fù)責(zé)具體的控制任務(wù)，通過(guò)對(duì)設(shè)備控制指令的網(wǎng)絡(luò)流量維度進(jìn)行分析，可以監(jiān)控設(shè)備的運(yùn)行狀態(tài)，檢測(cè)設(shè)備故障，提高系統(tǒng)的可靠性。③組網(wǎng)維度指的是工業(yè)控制系統(tǒng)中的通信關(guān)系，這種關(guān)系在工廠建設(shè)時(shí)已經(jīng)確定，組網(wǎng)維度包括工廠的機(jī)組配置、機(jī)組間的通信方式以及子流程的數(shù)量和關(guān)系。通過(guò)對(duì)組網(wǎng)維度的分析，可以監(jiān)控整個(gè)網(wǎng)絡(luò)的通信情況，發(fā)現(xiàn)異常通信行為，保障網(wǎng)絡(luò)的安全性和穩(wěn)定性。④參數(shù)維度包括工業(yè)生產(chǎn)過(guò)程中的各種工藝數(shù)據(jù)，如液位、水溫、水壓等，這些參數(shù)直接關(guān)系到生產(chǎn)的穩(wěn)定性和安全性。通過(guò)對(duì)參數(shù)維度的分析，可以實(shí)時(shí)監(jiān)控生產(chǎn)過(guò)程中的關(guān)鍵指標(biāo)，及時(shí)發(fā)現(xiàn)異常情況，確保生產(chǎn)過(guò)程的順利進(jìn)行。

1.4 協(xié)議棧分析

設(shè)計(jì)和實(shí)現(xiàn)一套多協(xié)議棧解析引擎，支持主流工控協(xié)議的識(shí)別與解析，如Modbus、Profinet等，通過(guò)對(duì)協(xié)議棧的深度解析，提取有意義的控制命令和狀態(tài)信息，為后續(xù)的故障分析提供數(shù)據(jù)支撐。

解析引擎原理的計(jì)算公式：

P（x）=pi·fi（x）。" " " " " " " " " " " " " " " " " " （1）

式中，P（x）為總解析結(jié)果，pi為每個(gè)子協(xié)議i的權(quán)重，fi（x）為對(duì)特定子協(xié)議的解析函數(shù)。

2 基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)步驟

2.1 核心設(shè)備梳理

為更精確地反映設(shè)備在網(wǎng)絡(luò)中的角色和功能，設(shè)備的網(wǎng)絡(luò)身份應(yīng)根據(jù)其執(zhí)行的業(yè)務(wù)功能進(jìn)行細(xì)致的劃分， 在對(duì)網(wǎng)絡(luò)設(shè)備管理和監(jiān)控時(shí)，應(yīng)將具有多重業(yè)務(wù)功能的單一IP地址視為多個(gè)邏輯設(shè)備，這種方法允許網(wǎng)絡(luò)管理員和安全專(zhuān)家對(duì)每個(gè)業(yè)務(wù)流程進(jìn)行精確的梳理和監(jiān)控。例如，若PLC的控制業(yè)務(wù)因故障停止，但其數(shù)據(jù)共享業(yè)務(wù)仍然活躍，按照傳統(tǒng)的單一IP或MAC地址管理方法，該P(yáng)LC可能仍被視為在線狀態(tài)[2]。然而，若采用業(yè)務(wù)功能劃分的方法，該P(yáng)LC的控制業(yè)務(wù)將被標(biāo)記為離線，而數(shù)據(jù)共享業(yè)務(wù)則保持在線狀態(tài)。

基于業(yè)務(wù)功能的設(shè)備識(shí)別和管理方法，本文提供了更為細(xì)致和準(zhǔn)確的網(wǎng)絡(luò)狀態(tài)評(píng)估，其允許網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)對(duì)設(shè)備的每個(gè)業(yè)務(wù)組件進(jìn)行獨(dú)立監(jiān)控，從而更有效地識(shí)別故障、配置資源和響應(yīng)安全事件。此外，這種方法也有助于區(qū)分IP離線與設(shè)備離線。IP離線僅指網(wǎng)絡(luò)層面的連接丟失，而設(shè)備離線則指一個(gè)或多個(gè)業(yè)務(wù)功能的中斷，通過(guò)業(yè)務(wù)功能劃分，可以更準(zhǔn)確地判斷和響應(yīng)設(shè)備的實(shí)際運(yùn)行狀態(tài)，從而提高網(wǎng)絡(luò)的可靠性和安全性。

2.2 規(guī)范梳理

規(guī)范梳理旨在整理和記錄工控網(wǎng)絡(luò)中的設(shè)備訪問(wèn)和操作規(guī)范，通過(guò)對(duì)核心設(shè)備的運(yùn)行狀態(tài)、網(wǎng)絡(luò)行為以及重要操作進(jìn)行持續(xù)監(jiān)視，及時(shí)發(fā)現(xiàn)偶發(fā)的可疑行為和違規(guī)操作。規(guī)范梳理不僅有助于提高系統(tǒng)的安全性和穩(wěn)定性，還為故障定位和系統(tǒng)優(yōu)化提供了基礎(chǔ)數(shù)據(jù)支持，確保工業(yè)生產(chǎn)過(guò)程的順暢和安全。規(guī)范梳理包含兩個(gè)部分，分別為訪問(wèn)規(guī)范梳理和操作規(guī)范梳理，具體內(nèi)容如下。

（1）訪問(wèn)規(guī)范梳理：工控生產(chǎn)的自動(dòng)化程度較高，網(wǎng)絡(luò)邊界和業(yè)務(wù)輪廓較為清晰，設(shè)備間控制與被控關(guān)系也較為明確和固定。針對(duì)特定的環(huán)境，訪問(wèn)關(guān)系可以形成一種規(guī)范，任何偏離訪問(wèn)規(guī)范的訪問(wèn)行為，都會(huì)進(jìn)行提示和告警，訪問(wèn)規(guī)范梳理不只針對(duì)IP對(duì)IP的關(guān)系，還包含IP+服務(wù)。

（2）操作規(guī)范梳理：工控生產(chǎn)網(wǎng)中設(shè)備與設(shè)備間的控制命令傳遞都是按照工業(yè)生產(chǎn)流程事先進(jìn)行編程，大部分可以按照編程指令自動(dòng)執(zhí)行，具有確定性和固定性，任何偏離操作規(guī)范的操作，都會(huì)進(jìn)行提示或告警。

制定設(shè)備間的訪問(wèn)控制策略和操作規(guī)范，確保每個(gè)設(shè)備的通信和操作都在可控范圍內(nèi)，建立基線行為模型，對(duì)設(shè)備正常行為進(jìn)行定義，便于后續(xù)檢測(cè)，設(shè)備訪問(wèn)關(guān)系可定義為鄰接矩陣：

。" " " " " " " " " " " " " " " " " " "（2）

式中，aij為設(shè)備i與設(shè)備j之間的訪問(wèn)關(guān)系。

2.3 行為監(jiān)視與審計(jì)

行為監(jiān)視與審計(jì)旨在實(shí)時(shí)追蹤和記錄系統(tǒng)中所有用戶(hù)和設(shè)備的操作行為，通過(guò)細(xì)粒度的行為記錄與分析，能夠識(shí)別異?；顒?dòng)，預(yù)防潛在威脅，為事后審計(jì)提供詳盡的數(shù)據(jù)支持，該方法不僅提高了系統(tǒng)的安全性，還增強(qiáng)了故障追溯和合規(guī)管理能力。行為監(jiān)視與審計(jì)包含5個(gè)部分，分別為網(wǎng)絡(luò)流量采集策略、全協(xié)議解析技術(shù)、全維度監(jiān)測(cè)分析、全數(shù)操作日志和實(shí)時(shí)跟蹤設(shè)備運(yùn)行狀態(tài)[3]。

通過(guò)整合設(shè)備性能指標(biāo)、網(wǎng)絡(luò)行為分析、用戶(hù)活動(dòng)日志等多種數(shù)據(jù)源，可以構(gòu)建一個(gè)全面的設(shè)備運(yùn)行狀況畫(huà)像，這種多維度的分析方法有助于從不同層面監(jiān)測(cè)和評(píng)估設(shè)備的健康狀況和潛在風(fēng)險(xiǎn)。部署網(wǎng)絡(luò)流量監(jiān)控設(shè)備，實(shí)時(shí)采集并分析工控網(wǎng)絡(luò)中的數(shù)據(jù)流，使用多協(xié)議棧解析技術(shù)對(duì)流量數(shù)據(jù)進(jìn)行深度解析，提取關(guān)鍵控制信息和狀態(tài)變化，通過(guò)實(shí)時(shí)監(jiān)控和日志記錄，及時(shí)發(fā)現(xiàn)異常行為并進(jìn)行告警。異常檢測(cè)算法zi計(jì)算公式：

zi= 。" " " " " " " " " " " " " " " " " " " " " " " " " " " " "（3）

式中，xi為數(shù)據(jù)集中第i個(gè)數(shù)據(jù)點(diǎn)的瞬時(shí)數(shù)值，μ為數(shù)據(jù)集均值，σ為數(shù)據(jù)集標(biāo)準(zhǔn)差。

通過(guò)計(jì)算每個(gè)數(shù)據(jù)點(diǎn)的z-score，可以確定該數(shù)據(jù)點(diǎn)與均值之間的距離，若某個(gè)數(shù)據(jù)點(diǎn)的z-score絕對(duì)值大于預(yù)設(shè)閾值，則認(rèn)為該數(shù)據(jù)點(diǎn)異常。

3 基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)效果評(píng)估

3.1 評(píng)估指標(biāo)體系的構(gòu)建

通過(guò)虛擬機(jī)和相應(yīng)的軟件搭建EtherNet/IP協(xié)議的仿真工控網(wǎng)絡(luò)環(huán)境，使用Windows 7 64位虛擬機(jī)、WINCC 7.3、Studio 5000 和 Softlogix 5800等工具進(jìn)行配置，實(shí)現(xiàn)PLC的仿真運(yùn)行。利用科來(lái)網(wǎng)絡(luò)分析系統(tǒng)抓取網(wǎng)絡(luò)流量數(shù)據(jù)包并解析日志。

通過(guò)模擬異常指令、工控端口掃描、泛洪攻擊、弱口令探測(cè)、工控內(nèi)網(wǎng)遠(yuǎn)程端口控制等5種以上攻擊破壞行為，對(duì)網(wǎng)絡(luò)流量解析日志進(jìn)行深度分析，評(píng)估基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)技術(shù)的應(yīng)用效果。

3.2 效果評(píng)估分析

在核心設(shè)備梳理與規(guī)范梳理中，本文提出的技術(shù)能有效識(shí)別PLC設(shè)備及其協(xié)議，通過(guò)梳理網(wǎng)絡(luò)行為，利用流量分析對(duì)PLC設(shè)備進(jìn)行審計(jì)分析。通過(guò)全面識(shí)別和發(fā)現(xiàn)5種攻擊行為（修改指令行為；使用工具如Nmap或Shodan等進(jìn)行端口掃描的行為；大量請(qǐng)求耗盡PLC資源，使其無(wú)法響應(yīng)正常請(qǐng)求的攻擊行為；破壞PLC固件，通過(guò)修改固件來(lái)獲得對(duì)底層系統(tǒng)的惡意控制行為；口令字典爆破行為）及其網(wǎng)絡(luò)流量，成功實(shí)現(xiàn)了工控網(wǎng)絡(luò)安全審計(jì)?；诹髁糠治龅墓た鼐W(wǎng)絡(luò)安全審計(jì)技術(shù)效果評(píng)估，以流量分析為基礎(chǔ)，實(shí)現(xiàn)全天候、全維度、無(wú)死角的安全監(jiān)視，對(duì)工控業(yè)務(wù)進(jìn)行智能梳理、組網(wǎng)監(jiān)視、參數(shù)監(jiān)視，保障工控業(yè)務(wù)安全。

4 結(jié)論與展望

本文針對(duì)基于流量分析的工控網(wǎng)絡(luò)安全審計(jì)技術(shù)進(jìn)行了深入探討與實(shí)證研究，經(jīng)過(guò)理論分析、技術(shù)探討與構(gòu)建、評(píng)估測(cè)試，基于流量分析能實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)的核心設(shè)備梳理；并對(duì)設(shè)備的訪問(wèn)關(guān)系、操作行為等進(jìn)行安全審計(jì)。最后，實(shí)現(xiàn)針對(duì)工控網(wǎng)絡(luò)的安全威脅行為的發(fā)現(xiàn)和審計(jì)。隨著工業(yè)控制系統(tǒng)的不斷發(fā)展和技術(shù)的持續(xù)進(jìn)步，未來(lái)的研究將更加注重系統(tǒng)的自動(dòng)化、智能化，以及如何提升新威脅的檢測(cè)能力。

參考文獻(xiàn)

[1] 科來(lái)網(wǎng)絡(luò)分析系統(tǒng)（便攜式）V9.0正式發(fā)布[J].信息網(wǎng)絡(luò)安全，2016（8）：89.

[2] 陳志文，張偉燕，蘇靖峰，等. PLC控制系統(tǒng)入侵檢測(cè)技術(shù)研究[J].現(xiàn)代電子技術(shù)，2020，43（1）：72-75.

[3] 郝志強(qiáng)，劉冬，王沖華.工業(yè)領(lǐng)域網(wǎng)絡(luò)流量安全分析關(guān)鍵技術(shù)研究[J].工業(yè)信息安全，2022（3）：27-35.