廖文璇，梁旭清，杜 鑫，周纯杰

（华中科技大学 人工智能与自动化学院，武汉 430074）

0 引言

随着工业互联网和5G等技术的发展和应用，工业控制系统逐渐由封闭、孤立转向开放互联，在网络化、智能化的同时也面临着更多网络攻击的威胁。例如，2010年“震网病毒”攻击伊朗核设施，导致大量离心机损坏[1]；2016年乌克兰电网遭遇黑客攻击，造成大范围停电[2]。风险评估技术能够定量或定性分析攻击对整个系统造成的风险，在攻击引发严重后果之前发现潜在风险，从而起到告警的作用并辅助决策者采取防护措施[3]。

面向工业控制系统信息层的攻击往往具有较强的隐蔽性，攻击一旦经过信息层传播至物理层，可对生产过程造成巨大的破坏[4]，因此对风险从信息层向物理层之间的传播过程进行分析预测是工控系统安全防护研究的重点。文献[5]中通过分析电力CPS系统的信息物理结构和运行机理，建立信息物理一体化的CPS风险传递模型，从而评估信息风险对配电网设备的影响。但是这种方法复杂度较高，不适用于更加复杂的系统。文献[6]中结合专家知识和历史数据建立贝叶斯网络，通过先验概率推理网络攻击入侵概率以及对物理设备造成的影响。但是这种方法未结合系统的控制过程，不能准确描述风险从信息层向物理层传播的具体过程。

因此，基于工业控制系统的典型信息物理架构，本文提出基于IEC61499标准[7]建立系统的控制层模型，通过系统的控制层模型对网络攻击风险的跨域传播过程进行分析。最后以催化裂化装置为对象验证本文给出的风险跨域传播分析方法的有效性。

1 网络攻击下工业控制系统的跨域风险

1.1 工业控制系统典型架构

工业控制系统是信息层与物理层紧密结合的系统，典型的工业控制系统架构可以划分为5层，如图1所示。工业控制系统的企业层、管理层和监控层统属于信息层，设备层以及系统的受控对象属于物理层。信息层设备主要负责决策、生产管理、调度执行以及现场数据的监控与处理；物理层设备主要负责执行信息层指令，根据实时性要求正确、高效地完成生产制造工作。工业控制系统中信息物理层高度耦合，物理层的传感器采集到的数据会被采集到信息层中进行监控和处理，信息层下发的指令也会通过控制层作用于物理层，对物理设备的运行产生影响。

图1 工业控制系统典型架构示意图

1.2 工业控制系统中风险的跨域传播

由于工业控制系统信息物理域高度耦合，从信息层设备入侵的网络攻击造成的风险很可能从信息域跨域传播至物理域。以2010年“震网病毒”攻击伊朗核浓缩工厂事件为例：病毒首先从工厂的办公电脑入侵，并经信息层设备最终传播至PLC；然后，病毒修改PLC内部程序，从而修改离心机的旋转频率，同时上传伪造的正常工作数据导致监控层设备未能发现离心机工作异常；最后攻击者成功让工厂中的大量离心机因疲劳工作而报废。由此可见，网络攻击对信息层发起攻击之后，可在信息层中传播并通过影响控制层设备使风险传播至物理层设备，最终影响物理生产过程并造成巨大的损失。

2 基于IEC61499的跨域攻击风险传播分析方法

2.1 跨域攻击风险传播分析方法框架

本文提出的工业控制系统跨域攻击风险传播分析框架如图2所示，主要分为两个部分：基于IEC61499标准的工业控制系统控制层建模和基于控制层模型的跨域攻击风险传播分析。前者基于IEC61499标准构建工业控制系统的控制层模型；后者使用控制层模型替代系统的控制层设备，并将网络攻击经过信息层传播最终对控制层的影响作为该模型的输入，预测此时控制层对物理层设备的影响，从而得出攻击风险跨信息物理域的传播过程。

图2 跨域攻击风险传播分析方法框架

2.2 基于IEC61499的工业控制系统控制层建模

IEC61499是用于分布式工业过程测量与控制系统功能块的标准，它提供了将控制系统模块化处理的新思路。IEC61499标准定义了以功能块（Function Block，FB）作为分布式应用的主要模块，功能块将控制算法进行封装，系统设计者可根据控制功能的需要选择特定功能块，并按照IEC61499标准将输入输出互连，从而形成完整的工业应用[8]。

IEC61499标准对功能块和应用的定义如下：功能块由执行控制逻辑和内置算法组成，功能块接收的数据与事件相互绑定，执行控制逻辑依据功能块接收的事件来执行对应的内置算法，内置算法读取事件绑定的数据进行处理；应用由多个功能块组成，以完成某个特定的功能，构成同一个应用的各个功能块可部署到不同的设备之中。几种常见的功能块结构及其功能见如表1所示。

表1 几种常见的功能块

基于IEC61499标准构建工业控制系统控制层模型的主要步骤如下：

1）将整个控制层划分为多个控制回路；

2）对于控制回路，将其作为一个应用来设计，可将其划分为控制器功能块、时钟功能块、模拟输入（Analog Input，AI）功能块、模拟输出（Analog Output，AO）功能块等；

3）对于每个功能块，按照IEC61499标准来对其进行设计，根据其需要完成的功能分别设计执行控制逻辑以及内置的算法。

基于IEC61499标准功能块模型构建的一个PID控制回路如图3所示。

图3 基于IEC61499构建的控制回路

2.3 基于控制层模型的工业控制系统跨域攻击风险传播分析

工业控制系统具有特定的生产目标，信息层负责根据实时的生产目标对物理层设备进行调控，并实时监测物理层设备的状态。但是，信息层设备一般不直接与物理设备交互，而是向控制层设备下发指令，通过控制层设备来间接控制物理设备。因此，本文通过控制层模型来分析网络攻击风险从信息域向物理域的传播过程。

如图4所示，信息层的攻击风险通过控制层跨域传播至物理层的路径主要包括三种：

图4 跨域攻击风险传播过程示意图

1）攻击者通过中间人攻击或者拒绝访问攻击等手段使得控制层设备无法接受到信息层的调控指令或者接受到错误的调控指令，从而做出错误或者不及时的响应。

2）攻击通过信息层设备进行传播并最终篡改控制层设备，导致其对物理层下发攻击者期望的错误指令。

3）攻击篡改控制层设备采集到的物理层设备的生产数据，使得控制层对物理层设备的状态产生错判，最终导致控制层下发错误的控制指令。

对于攻击路径2，控制层向物理层下发的错误控制指令即为攻击对物理层造成的影响；对于攻击路径1和攻击路径3，通过控制层模型预测攻击影响下控制层向物理层下发的错误指令，从而得出攻击对物理层造成的影响。

3 实例验证

3.1 实验对象

本文选取催化裂化装置仿真平台中的精馏塔及其控制层作为实验对象。催化裂化是石油炼制过程之一，催化裂化装置是主要的汽油生产装置，其安全对整个炼油行业都起着举足轻重的作用[9]。本文根据石油化工行业催化裂化的一般流程搭建了一个简化的仿真平台，抽象形成的拓扑图如图5所示。

图5 催化裂化装置拓扑图

该仿真平台中精馏塔对象的控制层主要包含五个控制回路，分别为两个液位控制回路、一个流量控制回路、一个压力控制回路和一个温度控制回路，如表2所示。

表2 精馏塔控制层中的控制回路

3.2 控制层建模实验及结果

本文使用Java语言对IC61499标准的功能块进行实现。由功能块组成的控制回路的工作流程如下：首先，各个功能块接收初始化事件，完成初始化动作；然后，时钟功能块定时使能AI功能块，AI功能块采集过程变量的值发送给PID功能块；接着，PID功能块通过内置控制算法计算操纵变量的更新值并将其发送给AO功能块；最后，AO功能块等待时钟功能块使能，将操纵变量更新到物理对象。

将基于IEC61499标准构建的控制回路组成的控制层模型对物理设备直接进行控制，整体结构如图6所示。

图6 控制层模型结合物理对象示意图

运行控制层模型并启动物理设备，对物理设备的受控参数如冷凝器和再沸器液位、进料摩尔流量和冷凝器压力等进行实时控制，结果如图7所示。实验结果表明，基于IEC61499标准所构建的控制层模型可以替换控制层设备与物理设备进行对接，控制算法使得各个物理设备能够稳定工作在期望的状态下。

图7 基于IEC61499的控制模型的控制效果

3.3 跨域风险分析实验及结果

本文设计了两种攻击场景，分别是网络攻击导致信息层向PLC下发错误指令，以及网络攻击导致PLC采集到的过程变量数据被篡改，两种攻击场景的具体说明如表3所示。

表3 两种攻击场景的说明

在实验平台中预设两种攻击场景，然后使用3.2中构建的控制层模型对攻击风险从信息层向物理层的传递过程进行仿真，结果如图8所示。第一种攻击场景下，预设网络攻击入侵信息层，并控制信息层设备在t1时向PLC下发错误指令，导致PLC中再沸器液位的期望值从51%修改为47%，此时由于过程变量期望值被修改，PLC会下发控制指令使得过程变量的值与攻击者的期望值相符，导致精馏塔的运行偏离正常工作状态，到t2时攻击风险已完全从信息层传递到物理设备；在第二种攻击场景下，预设网络攻击入侵信息层，并最终在t3时刻篡改PLC采集到的过程变量的值。由于采集到的过程变量的值为篡改后的值，与PLC预设的期望值不符，PLC会下发控制指令进行调节，但是此时过程变量的实际值即为期望值，在受到调节之后反而会偏离期望值，如t3至t4所示，攻击风险因此从信息层传递到物理设备。

图8 跨域攻击风险分析实验结果

实验结果表明，基于控制层模型可以准确地分析网络攻击造成的风险如何通过控制层从信息层跨域传播至物理层，并预测物理层设备受到的影响。

4 结语

针对工业控制系统网络攻击风险跨信息物理域传播的问题，本文提出了一种基于控制层模型的分析方法。首先，基于IEC61499标准构建系统的控制层模型；然后，通过控制层模型预测网络攻击的风险如何向物理层传播。实验结果表明，所建立的模型能够控制物理对象稳定工作；在该模型的基础上，所提出的方法可以分析信息层攻击风险向物理层的传播过程，提前预测物理层受到的影响。