面向工業嵌入式設備的漏洞分析方法研究

尚文利 萬 明 趙劍明 喬全勝 曾 鵬

(中國科學院沈陽自動化研究所1，遼寧 沈陽 110016；中科院網絡化控制系統重點實驗室2，遼寧 沈陽 110016；沈陽建筑大學信息與控制工程學院3，遼寧 沈陽 110168)

面向工業嵌入式設備的漏洞分析方法研究

尚文利1,2萬 明1,2趙劍明1,2喬全勝2,3曾 鵬1,2

(中國科學院沈陽自動化研究所1，遼寧 沈陽 110016；中科院網絡化控制系統重點實驗室2，遼寧 沈陽 110016；沈陽建筑大學信息與控制工程學院3，遼寧 沈陽 110168)

目前現役和在售的嵌入式電子設備大多處于不設防狀態，系統安全面臨威脅。針對工業嵌入式設備自身防護能力較弱的特點，以PLC為例說明嵌入式設備存在的漏洞風險。設計了石化液位控制系統，演示了工業病毒利用漏洞進行攻擊的方法與途徑。設計了漏洞分析系統，包括工業協議狀態模型、未知漏洞挖掘、已知漏洞掃描、漏洞識別模型、安全評估分析和監測與控制等六個部分，為工業控制系統漏洞分析系統開發提供了理論方法。

工業嵌入式設備 漏洞分析 PLC 工業病毒 安全測試

0 引言

嵌入式電子設備是實現工業測控系統控制功能的核心。以PLC為代表的嵌入式電子設備自身防護能力弱，已經成為影響我國工業控制系統安全的主要問題[1-2]。現役和在售的嵌入式電子設備大多處于不設防狀態，而且可編程嵌入式電子設備越來越多地采用通用協議、通用硬件和通用軟件，并且全面實現數字化和網絡化，為惡意入侵提供了更多的可能。如2010年出現的伊朗“震網”事件，直接攻擊了西門子的S7 300和400系列PLC設備，導致嚴重的系統安全問題[3]。

本文分析了國內外針對工業嵌入式設備漏洞分析的研究工作，闡述了工業嵌入式設備漏洞存在的關鍵因素，以PLC為例說明了工業病毒如何利用漏洞進行攻擊。介紹了設計與開發的面向工業嵌入式設備的漏洞分析系統，以及涉及的關鍵技術、求解方法。

1 國內外研究現狀

工業嵌入式設備產生安全攻擊的根源在于網絡、系統、設備或主機，甚至管理中存在各種安全漏洞。工業控制系統自身的漏洞和攻擊面的日益增大也是由于工業控制系統設計時未考慮安全、長生命周期、采用商業IT產品和系統以及同外界連網等趨勢所導致，因此關于工業控制系統的漏洞研究也成為當前工業控制信息安全風險評估的重點。一般可將工業控制系統的漏洞分為策略和指南漏洞、平臺漏洞(包括平臺配置漏洞、平臺硬件漏洞、平臺軟件漏洞和平臺惡意軟件防護漏洞)和網絡漏洞(包括網絡配置漏洞、網絡硬件漏洞、網絡邊界漏洞、網絡監測和記錄漏洞、通信漏洞和無線連接漏洞)。

目前漏洞分析與挖掘主要集中在操作系統、數據庫軟件和傳輸協議三個大方向，還有新興的基于以下幾個方面的漏洞分析與挖掘，如基于ActiveX的漏洞挖掘、基于即時通信的漏洞挖掘、基于虛擬技術的漏洞挖掘、基于設備硬件驅動的漏洞挖掘、基于移動應用的漏洞挖掘等。美國國土安全部控制系統安全計劃(CSSP)、美國能源部國家SCADA系統測試床計劃(NSTB)等根據其所執行的工業系統評估發布了工業控制系統漏洞分析報告，詳細描述了工業控制系統中的主要共性漏洞、漏洞分類、具體漏洞描述、相關漏洞來源以及漏洞評分方法等。美國在信息安全方面起步較早，2002年即將“控制系統安全”作為需要“緊急關注”的事項[4]，并分別于2004年、2006年、2009年發布相關計劃并成立專項[5-8]。歐共體委員會則在2004年～2010年發布一系列關于關鍵基礎設施保護的報告[9-11]。我國也于2013年建設成立了工業控制系統安全技術國家工程重點實驗室。由此可見，工業系統中的安全問題已成為世界廣泛關注的重要問題。

在理論研究方面，國內外已有關于信息安全方面的研究工作。Ten使用攻擊樹對一個工業SCADA系統的信息安全脆弱性進行了評估[12]。Park[13]利用攻擊樹模型來分析一個反應器保護系統的信息安全。Byres[14]使用攻擊樹建模方法對一個基于Modbus協議棧的工業控制SCADA系統的通信系統進行了漏洞分析。在威脅建模方面，Howard等人[15]提出了一種面向過程的威脅建模方法，采用拓展活動圖和統一威脅模型作為基礎，利用威脅樹進行威脅模型的建立，用DREAD方法評估風險等級。王華忠[16]等人采用攻擊樹建模方法，建立污水處理廠計算機控制系統攻擊樹模型，對該控制系統的信息安全進行分析，最后提出了提高該控制系統信息安全水平的措施。向騻[17]等人提出了一種改進的Fuzzing架構，通過引入置信度的概念對測試用例進行量化,將其作為分類器的輸入進行分類,從而預先篩選出可能有效的測試用例,實現了減少輸入空間、增加命中率的目的。

在安全產品方面，國際上知名的工業安全測試公司主要有加拿大Wurldtech和芬蘭科諾康Codenomicon Defensics。其中加拿大 Wurldtech的Achilles 測試工具采用的是漏洞掃描和模糊測試的方法，主要測試工控系統中設備和軟件的安全問題。芬蘭科諾康Codenomicon Defensics工控健壯性/安全性測試平臺，則采用基于主動性安全漏洞挖掘的健壯性評估與管理方案的方法，并與ISA Secure合作，遵循IEC 62443標準。Achilles與Defensics均支持IP網絡的工業嵌入式設備，如PLC、RTU、DCS Controller、SIS、Smart Meter等，并均可對工控設備的應用層協議進行安全性測試，支持協議包括Modbus TCP、Profinet、DNP3、IEC 60870-5-101/104、IEC 61850等。

2 工業嵌入式設備漏洞風險

本節以PLC為例說明嵌入式設備存在的漏洞問題。基于美國國家漏洞庫(National Vulnerability Database，NVD)[18]與國家信息安全漏洞共享平臺(China National Vulnerability Database，CNVD)[19]兩個漏洞庫中關于PLC設備的漏洞庫數據，針對PLC設備的漏洞信息可以分為拒絕服務漏洞、遠程代碼執行漏洞、用戶訪問權限漏洞、信息泄漏漏洞四類。

① 拒絕服務漏洞。如Siemens Simatic S7-1200拒絕服務漏洞、Siemens Simatic S7-1500 1.x拒絕服務漏洞、Siemens Simatic S7-1200 PLCs 2.x and 3.x 拒絕服務漏洞、Siemens Simatic TCP報文拒絕服務漏洞、Nano-10 PLC遠程拒絕服務漏洞、Galil RIO-47100 'Pocket PLC'組件拒絕服務漏洞、Schneider Electric M340 PLC模塊拒絕服務漏洞、Schneider Electric M340 BMXNOE01xx/BMXP3420xx PLC模塊拒絕服務漏洞、OPTIMA PLC死循環拒絕服務漏洞、Triangle Research Nano-10 PLC特制報文數據長度處理遠程拒絕服務漏洞等。

② 遠程代碼執行漏洞。如Siemens Simatic S7-1500存在未明跨站請求偽造漏洞、Siemens Simatic S7-1500重定向漏洞、Siemens Simatic 網絡服務器跨站腳本漏洞、Schneider Electric多個產品跨站請求偽造漏洞等。

③ 用戶訪問權限漏洞。如Siemens Simatic S7 PLC系統密碼泄漏漏洞、Siemens Simatic S7-300硬編碼證書安全繞過漏洞、Rockwell Automation RSLogix 5000安全繞過漏洞、Schneider Electric Modicon M340多個默認賬戶漏洞、Schneider Electric多個產品不正確驗證漏洞等。

④ 信息泄漏漏洞。如Siemens Simatic S7-1200信息泄漏漏洞、Siemens Simatic S7-1500不充分熵漏洞等。

下面以PLC為例說明工業病毒如何利用漏洞進行攻擊。石化液位控制系統演示平臺如圖1所示。

圖1 石化液位控制系統演示平臺

液位控制系統演示平臺模擬煉油、化工生產工藝中液體凈化中液位控制過程。上游凈化罐中液體達到警戒線后進行一次凈化處理，處理完畢后向下游凈化罐輸送，其中，凈化罐中液位在警戒線以上是危險的。此演示平臺針對上位機軟件的漏洞，模擬“Stuxnet”病毒攻擊的效果，使底層凈化罐設備液位失控，但是上位機監控畫面仍然顯示正常。

漏洞信息如表1所示。

表1 SCADA系統漏洞信息

漏洞簡介：KingView中存在基于堆的緩沖區溢出漏洞，該漏洞源于對用戶提供的輸入未經正確驗證。攻擊者可利用該漏洞在運行應用程序的用戶上下文中執行任意代碼，攻擊失敗時可能導致拒絕服務。KingView 6.53.2010.18018版本中存在該漏洞，其他版本也可能受影響。攻擊者可以借助對TCP端口777的超長請求執行任意代碼。

當插入帶有病毒的U盤后，系統感染工業病毒，系統運行狀態如圖2所示。

從以上的例子可以得出結論，由于KingView中存在基于堆的緩沖區溢出漏洞，病毒利用該漏洞執行惡意代碼，使得上位機人機接口(human machine interface,HMI)顯示與實際顯示不符。當液位控制系統可能出現液位已經超過警戒線時，該漏洞的存在可

使在中控室中的HMI仍然顯示正常，在工作人員無法察覺的情況下，造成一定的經濟損失，嚴重時可能導致重大安全事故。

圖2 系統被病毒感染后運行狀態圖

3 面向工業嵌入式設備的漏洞分析方法

通過以PLC為例說明工業病毒攻擊嵌入式設備的過程與結論，本文設計如下的漏洞分析系統，如圖3所示。系統分為工業協議狀態模型、未知漏洞挖掘、已知漏洞掃描、漏洞識別模型、安全評估分析和監測與控制軟件等六個部分。

① 工業協議狀態模型。采用有限狀態機(finite state machine,FSM)，建立工業通信協議狀態模型，提供完整的協議狀態轉移圖，構造和維護全面的協議狀態空間，為測試用例的生成提供基本條件。

圖3 漏洞分析框架

工業通信協議的測試具有特殊性。首先，工業通信協議是一種有狀態的協議，無狀態協議測試的測試用例僅僅是一個文件或網絡報文，而狀態協議的測試用例則是一組相關的報文序列。其次，對工業通信協議的測試需要對其狀態空間中的每一個狀態進行測試，生成測試用例需要能夠盡可能地覆蓋所有協議狀態路徑。因此，需要在測試之初，建立完整的工業協議狀態模型，使得測試用例能夠遍歷每個協議狀態，保障測試用例的全面性。

協議狀態空間如圖4所示。

圖4 協議狀態空間

② 未知漏洞挖掘。基于異常變異樹，通過工業通信協議狀態模型，構造未知漏洞挖掘的Fuzzing測試用例，挖掘“零日”漏洞，解決工業通信協議實現缺陷的問題。基于異常變異樹的未知漏洞挖掘流圖如圖5所示。

圖5 基于異常變異樹的未知漏洞挖掘

采用人工分析與計算機輔助相結合的建樹方法，構造異常變異樹，降低測試用例規模，提高執行效率。

未知漏洞挖掘框架是一種面向工業通信協議規約的Fuzzing測試框架。該測試框架完成了基于缺陷注入的自動測試，通常以大小相關的部分、字符串、標志字符串開始或結束的二進制塊等為重點，使用邊界值附近的值對目標進行測試。Fuzzing的輸入可以是完全隨機的或精心構造的。

③ 已知漏洞掃描。基于工業通信協議狀態模型，利用已知漏洞人工分析以及病毒攻擊自動模擬的方式，構造測試用例，發現已知漏洞，排除安全隱患。

利用病毒樣本確認攻擊源的行為，通過序列聯配方法跟蹤病毒過程，解決工業病毒的行為分析、狀態跟蹤的難題。

自主構建工業控制系統已知漏洞庫信息，按需提取、分類漏洞攻擊字段信息，如漏洞名稱、漏洞日期、漏洞類型與端口、漏洞確認狀態、漏洞特征值等。通過專家知識分析，按照公布的漏洞攻擊字段特征，構造攻擊數據包，生成測試用例。

通過研究病毒行為特征提取與攻擊模擬的方法，根據網絡流量情況、具體協議內容、交互模式以及設備行為，實現工控環境特種工業病毒行為判定。基于工業通信協議狀態模型，提取工業病毒行為特征，解決工業病毒的行為分析、狀態跟蹤的難題，同時解決人工分析方式難于構建工業病毒利用漏洞的測試用例生成問題。如圖6所示為基于通信協議的已知漏洞掃描。

圖6 基于通信協議的已知漏洞掃描

④ 漏洞識別模型。通過以太網信號和工業特有電平信號的融合分析，實現雙重漏洞識別，全面分析檢測漏洞測試反饋信號，解決電平信號異常導致的漏報問題。利用非線性回歸校正、自由定標校正等方法，構建精準漏洞識別模型，提高對目標漏洞識別結果的準確性。 漏洞模型識別如圖7所示。

圖7 漏洞模型識別

針對工業嵌入式設備的漏洞識別，較傳統IT增加了特有的電平信號輸出。電平信號的正常與否同樣是判斷設備是否存在漏洞的重要標志。通過以太網信號和工業特有電平信號的融合分析，全面分析檢測漏洞測試反饋信號，解決電平信號異常導致的漏報問題。

在測試過程中，主要研究一種精確的漏洞識別模型，對返回應答數據包與漏洞數據庫中的漏洞特征進行比較，監測返回應答數據包，檢測電平信號的阻態波形，監測電平信號。通過校正模型，提高對被測目標漏洞識別結果的準確率。

⑤ 安全評估與分析。安全評估與分析系統主要包括安全漏洞報告、安全評估、安全建議三個部分。已知漏洞掃描與未知漏洞挖掘的測試結果，用于生成安全漏洞報告，提取安全漏洞報告的屬性信息，用于安全評估，之后對安全漏洞給出合理的建議。

安全漏洞報告通過可擴展標志語言(extensible markup language,XML)傳輸測試結果，以樹形方式組織測試結果的保存，并提供自動保存PDF格式文件功能。

安全評估先對被測對象資產信息進行設置，同時自動提取安全漏洞報告中的漏洞信息安全等級、漏洞信息被利用可能性、漏洞信息生命周期等屬性信息。設置各個屬性信息評估參數，將測試發現的漏洞信息針對以上各個屬性進行權重分配。計算測試的漏洞信息的評估結果，提供整體風險評估和對比風險情況呈現。

安全建議首選構建輔助決策專家知識庫，針對已知漏洞，通過漏洞的精確定位獲取已知漏洞庫中公布的修復建議。針對未知漏洞，通過Fuzzing測試結果定位，給出數據包應用層數據構造，指導用戶修復。根據安全漏洞報告和安全評估的結果，定位問題產生的原因，查詢輔助決策專家知識庫匹配項，給出修復建議。

⑥ 監測與控制軟件。監測與控制軟件主要由C/S通信模塊、用戶交互與顯示模塊、核心控制模塊、漏洞管理模塊以及實時狀態監測模塊等部分組成。

C/S通信模塊采用客戶端/服務器結構，應用“請求/響應”的應答模式，在監測與控制軟件系統與安全測試儀器之間建立通信信道，完成對安全測試儀器的管理、控制和監測。用戶交互與顯示模塊構造合理的用戶界面，綜合多模塊功能，實現與用戶友好的交互和簡潔的操作。核心控制模塊用于控制變異測試用例的構造，制定測試的過程及執行步驟，管理測試報文的交互流程，并對測試用例的工作狀態進行監視。漏洞管理模塊基于自主構建的已知漏洞庫，實現對已知漏洞庫的漏洞信息的管理，以及對漏洞信息的更新、刪除、修改等操作。實時狀態監測模塊在測試用例執行時，實現對被測對象活躍狀態的監測。

4 結束語

本文以PLC為例分析了嵌入式設備存在的漏洞問題，利用石化液位控制系統闡述了工業病毒利用漏洞進行攻擊的過程，說明了漏洞信息的危害性和潛在的安全威脅。針對漏洞發現問題，設計與開發了面向工業嵌入式設備的漏洞分析系統，包括工業協議狀態模型、未知漏洞挖掘、已知漏洞掃描、漏洞識別模型、安全評估分析和監測與控制軟件等模塊，為工業控制系統漏洞分析系統開發提供了理論方法。

[1] 彭勇, 江常青, 謝豐,等.工業控制系統信息安全研究進展[J].清華大學學報:自然科學版,2012(10):1396-1408.

[2] IEC 62443 Network and system security for industrial-process measurement and control[S].2012.

[3] 蒲石, 陳周國, 祝世雄. 震網病毒分析與防范[J]. 信息網絡安全, 2012(2): 40-43.

[4] The National Research Council. Making the nation safer: the role of science and technology in countering terrorism[R].Washington DC, USA: the National Research Council, 2002.

[5] United States General Accounting Office. Critical infrastructure protection: challenges and efforts to secure control systems, GAO-04-354[R].Washington DC, USA: General Accounting Office (GAO), 2004.

[6] Eisenhauer J, Donnelly P, Ellis M, et al. Roadmap to secure control systems in the energy sector[R].Washington DC, USA: Energetic Incorporated, the US Department of Energy and the US Department of Homeland Security, 2006.

[7] Department of Homeland Security. National infrastructure protection plan[R].Washington DC, USA: Department of Homeland Security, 2009.

[8] Energy Sector Control Systems Working Group (ESCSWG). Roadmap to achieve energy delivery systems cyber security[R].Washington DC, USA: Office of Electricity Delivery and Energy Reliability, 2011.

[9] Commission of the European Communities, Communication from the Commission to the Council and the European Parliament. Critical infrastructure protection in the fight against terrorism, COM (2004) 702 final[R].Brussels, Belgium: Commission of the European communicaties, 2004.

[10]Commission of the European Communities. Communication from the commission on a european programme for critical infrastructure protection, COM (2006) 786 Final[R].Brussels, Belgium: Commission of the European communicaties, 2006.

[11]Commission of the European Communities. Communication from the commission to the european parliament, the council, The european economic and social committee and the committee of the regions-a digital agenda for Europe, COM (2010) 245 Final[R].Brussels, Belgium: Commission of the European Communicaties, 2010.

[12]Chee-W T, Chen C L. Vulnerability assessment of cybersecurity for SCADA systems using attack trees. Power Engineering Society General Meeting. IEEE,2007:1-8.

[13]Park G Y, Lee C K, Choi J G,et al. Cyber security analysis by attack trees for a reactor protection system [C]//Proceedings of the Korean Nuclear Society, 2008.

[14]Byres E J, Franz Miller. The use of attack trees in assessing vulnerabilities in SCADA system[C]// International Infrastructure Survivability Workshop (IISW’04). Lisbon, Portugal: Institute of Electrical Electronics Engineering, 2008.

[15]Howard M, LeBlanc D.Writing secure code [M].Remond, Washington; Microsoft Press, 2005.

[16]王華忠, 顏秉勇, 夏春明. 基于攻擊樹模型的工業控制系統信息安全分析[J]. 化工自動化及儀表, 2013(2): 219-221.

[17]向騻, 趙波, 紀祥敏, 等. 一種基于改進Fuzzing架構的工業控制設備漏洞挖掘框架[J]. 武漢大學學報: 理學版, 2013(5): 411-415.

[18]National Institute of Standards and Techonology.National vulnerability database(NVD)[EB/OL][2014-12-25]. http://nvd.nist.gov.

[19]CNCERT.China national vulnerability database(CNVD)[EB/OL][2014-12-25]. http://www.cnvd.org.cn.

Study on the Vulnerability Analysis Method for Industrial Embedded Devices

At present, most of the embedded electronic devices, active duty or commercial available, are in undefended state, the system security is facing threats. In accordance with the feature of industrial embedded devices, i.e., the self-protection capability is weak, the vulnerability risks exist in embedded devices are described with PLC as example. The level control system for petrochemical industry is designed, and the attack method and path of industrial viruses through loopholes are demonstrated. The vulnerability analysis system is designed, including six parts: industrial protocol state model, unknown vulnerability mining, known vulnerability scanning, vulnerability identification model, security evaluation analysis and monitoring and control; it provides theoretical method for developing vulnerability analysis system of industrial control systems.

Industrial embedded device Vulnerability analysis PLC Industrial virus Security test

TP29;TH6

A

10.16086/j.cnki.issn1000-0380.201510016