◆李帅 陆胜东 朱义杰 戴宁 郭阳

一种联动分析的工控安全审计系统研究及设计

◆李帅 陆胜东 朱义杰 戴宁 郭阳

（贵州航天计量测试技术研究所（贵州省功率元器件可靠性重点实验室） 贵州 550009）

随着网络安全形势的严峻，工控安全问题逐渐进入公众视野，而工控网络尤其是重要基础设施的工控网络所面临的外部威胁多以APT攻击为主，这种攻击潜伏期长、危害大，同时很难被审计和发现。针对这个问题，本文研究设计了一种智能联动分析的工控安全审计系统，该系统能够通过综合审计网络流量异常行为及工控设备控制端异常行为，分析两种异常行为与工控设备状态之间的联系，更好的定位和识别潜在的风险。

工控安全；审计系统；联动分析；行为审计

随着网络信息技术的发展，越来越多的工控系统被建立起来投入生产，但面临的风险也越来越高。重要工业生产领域遭到破坏带来影响是巨大的，轻则导致企业亏损破产，重则影响社会的稳定。工控安全事件主要有直接攻击类型和APT类型，前者带来的攻击容易察觉，而后者往往具有长期潜伏特性和隐蔽性的特点，也是目前工控网络面临最多的安全威胁。无论是直接攻击类型还是APT类型的攻击，所带来的危害都大大超过了我们的想象，典型的如2010年震网病毒事件、2015年波兰航空公司事件、2015年乌克兰电网等事件[1]，让各国深刻认识到工控安全的重要性，对工控安全也不断加大研究和投入。

针对工控网络安全，以美国、俄罗斯等国为代表，均有完善工控安全标准体系、设备制造体系和强大的工控安全力量保障。国内虽然起步较晚，但仍在积极推进工控安全。胡晨[2]等提出了一种针对电力和石化行业的集审计与漏洞扫描于一体的工控审计系统，该系统通过Fuzzing漏洞挖掘技术实现对工控系统的漏洞挖掘和风险的确定，通过联合工控防火墙、IDS等安全产品安全事件联合分析审计；陈庄[3]等人设计实现了一种通过镜像分析上位机、工控机和各种网络设备之间的状态、通信和指令数据等进行工控安全审计的系统。

以上方法都是对工控网络中流量进行审计或漏洞挖掘，未对工控设备控制端的运行状态进行实时监测，无法满足对APT攻击的审计要求。本文设计了一种包括客户端和服务端两个部分的审计系统，通过增加对工控设备控制端异常状态的监控提高审计可靠性。

1 工控安全现状

目前，工业控制系统面临着更加多样的安全威胁，主要有以下几个方面[2-3]：

（1）工控通信协议安全威胁。工控系统为了实现快速高效的指令发送，在协议的使用和认证上牺牲了一定的安全性。随着TCP/IP协议和OPC协议等通用协议越来越多地应用在工业控制系统中，各种各样的通信协议安全漏洞问题逐渐凸显，同时由于工控系统越来越多接入互联网，工控通信协议安全威胁问题更加凸显。

（2）有组织的黑客攻击威胁。每一个国家关系国计民生的重要基础设施都由工控系统控制着，工控系统一旦被入侵，那么其所控制的重要基础设施将面临故障、停摆甚至自我损坏的威胁，在一定程度上影响一个国家的正常运转。因此，工控网络已经成为各个国家的重点关注的领域，国际上已经存在有组织或者由国家力量支持的特定黑客团体，这些黑客团体可以针对某个目标实施长达几年时间的情报收集工作，从中寻找目标的脆弱点实施APT攻击并潜伏在目标系统中，在某个特定的时间点开展实质性攻击已达到某种特殊需求。

（3）工控设备控制端安全威胁。工控设备控制端的操作系统主要分为Windows、Linux和嵌入式操作系统三种，其中绝大部分的工控设备控制端安装的是Windows操作系统，且大多为旧版本的Win95和Win2k系统。每种操作系统都公布有各种安全漏洞，工控系统为了保持兼容性和可用性往往不会及时升级，尤其是旧版本操作系统，因此工控系统中的控制端往往存在较多的系统安全漏洞，同时由国家支持的黑客团体可能还掌握有未公布的安全漏洞，这些因素都为工控网络安全带来了不同程度的安全威胁。

（4）内部人员误操作。随着工控网络各种系统变得日益复杂，由内部员工的违规或误操作导致的系统安全问题日益突出。针对外部威胁，工业防火墙等常规的安全产品可以拦截一部分安全攻击事件，但对于内部人员的误操作却无能为力。

综上所述，无论是外部威胁还是内部威胁，当安全事件发生时需要有相关的日志去进行安全事件的分析、追查和定位。尤其是针对外部APT攻击，因其具有潜伏性、隐蔽性和不定时攻击的特点，因此急需一套能够通过综合分析各种异常行为确定APT攻击中所控制主机的安全审计系统。

2 联动分析的工控审计系统研究与设计

工控网络所受的攻击大致可以分为两种：一种是直接受到外部的黑客攻击；另一种是内部工控设备控制端被植入木马，通过木马进行攻击，也是常见的APT攻击。

对于第一种攻击，黑客通常构造一些攻击包视图控制工控设备，此时工控网络的异常状态为网络流量增多，异常的控制协议包增多等，特征比较明显。对于第二种攻击，黑客通过植入木马控制工控设备控制端，定期通过木马发送异常指令进行破坏操作。这种攻击方式比较隐蔽且通常根据一些经济甚至是政治需要才择时爆发，而令其难以发现的原因是指令是由内部可信控制端发出，且不会造成明显的流量波动。同时由于很多的企业用的都是破解版的工控软件，这进一步增加了被植入木马的风险。

因此本审计系统设计包括客户端和服务端两个部分，由客户端实现对工控设备控制端的运行状态进行监控审计，当APT攻击发生时，客户端可以审计到异常进程的运行，并由服务端结合工控系统内其他异常事件联合分析，有效定位和识别风险。

2.1 审计系统总体架构

本审计系统在功能上层次上与其他审计系统基本一致，共分为三层，分别是数据收集层、行为综合分析层、结果展示层[2]，具体结构如图1所示：

图1 联动分析审计系统结构

2.2 审计系统功能设计

2.2.1数据收集层

审计系统的数据收集主要包括两个方面：客户端收集、镜像网络流量。

客户端收集：工控设备控制端等安装审计系统的客户端程序，通过客户端程序实时监控控制设备的运行状态，包括CPU、内存使用量、进程、通信等信息，并将这些信息实时传递给服务端。

镜像网络流量：对工控系统中的网络流量、协议和工控设备状态等通信信息进行收集，结合客户端监控数据共同构成当前工控系统状态信息。

2.2.2行为分析层

本系统的行为分析主要特点为综合考虑工控设备控制端状态、网络流量状态和工控设备状态三个部分的相互关系，将多个异常状态信息进行联合分析，根据行为库准确分析异常行为模式和定位攻击来源，提高工控网络安全审计能力和风险识别能力。构建以控制端状态、网络流量状态为输入，以工控状态为输出的审计模型，通过该模型对工控网络状态进行实时监控。审计模型如下：

2.2.3结果展示层

本层主要对审计结果和内容进行直观清晰的展示，以实时展示和结果报表两种形式为管理人员提供工控系统安全状态分析结果，同时客户端与服务端采取不同的展示方法。

客户端：客户端主要监测工控设备控制端的运行状态，很多工控安全事件通常从控制端开始，因此当控制端某个进程频繁出现、某个程序突然占用大量计算资源时及时进行弹框提醒，第一时间将异常情况告知使用者。

服务端：服务端主要根据行为分析层的分析结果进行展示，以时间、异常事件、工控设备异常结果等进行链式展示，即将某段时间内的异常情况及异常结果进行图形化展示，可以使管理人员及时发现和定位风险。同时，提供历史同种异常情况的查询，为分析工控网络内异常情况的爆发周期、导致的工控设备的异常结果等提供支撑。

3 结束语

本文通过研究工业控制系统中风险点的来源，设计了一套分为客户端和服务端的审计系统，该系统通过综合分析工控系统网络流量、工控设备控制端和工控设备状态的审计系统，通过监控各个异常之间的联系更好的识别和定位风险，提高审计的准确性。

[1]曾瑜，郭金全. 工业控制系统信息安全现状分析[A]. 中国计算机学会.第31次全国计算机安全学术交流会论文集[C].中国计算机学会：2016：4.

[2]胡晨，陈凯. 工业控制系统行为审计方案设计与部署[J]. 软件导刊，2017，16（01）：120-123.

[3]陈庄，黄勇，邹航. 工业控制系统信息安全审计系统分析与设计[J]. 计算机科学，2013，40（S1）：340-343.

[4]北京网藤科技有限公司.基于工业流程分析的工控网络安全审计系统研究[J]. 自动化博览，2018，35（S2）：110-113.

[5]张帅. 工业控制系统安全现状与风险分析——ICS工业控制系统安全风险分析之一[J]. 计算机安全，2012（01）：15-19.

[6]王文宇，刘玉红. 工控系统安全威胁分析及防护研究[J]. 信息安全与通信保密，2012（02）：33-35.