面向控制平臺的異常監測系統的設計與實現

鄭伊伶鄭　松，，3江丹玲曾其鋆

（1. 福州大學電氣工程與自動化學院，福州　350116；2. 中海創研究院，福州　350001；3. 福建省工業控制信息安全技術企業重點實驗室，福州　350008）

?

面向控制平臺的異常監測系統的設計與實現

鄭伊伶1鄭松1，2，3江丹玲2曾其鋆2

（1. 福州大學電氣工程與自動化學院，福州350116；2. 中海創研究院，福州350001；3. 福建省工業控制信息安全技術企業重點實驗室，福州350008）

由于工業控制系統信息安全問題日趨嚴峻，國內在工業控制系統信息安全方面的異常監測技術研究仍處于起步階段，因此，本文以具體的工業控制系統——IAP控制平臺作為研究對象，從控制組態監控、操作指令監控、網絡通信流量監測等方面設計了異常監測系統，包含了系統的硬件架構設計、軟件結構設計，同時，將該系統在IAP控制平臺上進行了驗證和測試。結果表明，該系統在不影響整個IAP控制平臺正常運行的情況下能有效監測工業控制系統中的異常行為及流量。

工業控制系統；信息安全；異常監測系統

工業控制系統在能源、石油化工、水利電力、核能、交通運輸等行業發揮著重要作用。傳統的工業控制系統相對封閉，甚少與外界存在通信關系，似乎不會有遭受網絡攻擊的可能性。然而隨著計算機與通信技術的不斷發展以及“互聯網+”概念的不斷深入，網絡化的控制系統越來越多地應用到工業生產中。信息化與工業化的緊密連接使得傳統的、與物理隔絕的工業控制系統失去了免遭網絡攻擊的保護，工業控制系統將會面臨更大的信息安全風險。

由于工業控制系統信息安全關乎國家經濟、財產安全，因此國內外相關機構予以高度重視，下達了相關文件并制定了一系列標準指南［1-4］，旨在保證工業控制系統的信息安全。然而工業控制系統與IT系統在性能需求、通信要求等方面存在差異［5］，使得IT信息安全解決方案不能很好地解決工控領域信息安全問題，再加上工業控制系統中不同廠商的產品互不兼容，研究人員很難掌握不同產品的控制內核，導致國內缺乏工控系統安全防御機制［6］。面臨這種現狀，國內相關研究人員提出了一系列的應對措施，如針對人機界面實施信息安全策略［7］、建立工控環境的測試床［8］、針對整個系統建立縱深防御的安全防護體系［9-11］等，但針對工業控制系統異常監控方面的技術研究還比較少。因此，為了確保工業控制系統的安全生產，當工廠發生信息安全問題時，使工程人員能及時收到報警，快速找出異常發生的位置、原因與解決方法，本文以IAP控制平臺為具體的研究對象，設計了異常監測系統，著重從控制組態監控、操控指令監控和網絡流量監控三方面說明其實現原理，并進行了多次的功能測試，希望在確保工業控制系統可用性與實時性的同時能提升整個系統的安全性。

1　IAP控制平臺信息安全問題分析

1.1IAP控制平臺的層次結構

IAP（Industrial Automation Platform）——工業自動化通用技術平臺，除了具有傳統工業控制系統的特點外，還能解決目前控制系統中各廠商DCS（分布式控制系統）的軟硬件不兼容問題，保證了整個系統的通用性，為異常監測技術的研究奠定了堅實的基礎。其中，IAP控制平臺基本的層次結構如圖1所示。

圖1　簡易IAP控制平臺架構

由圖1可知，IAP控制平臺由監控層、控制層和現場層組成。監控層的設備主要由基于 Windows操作系統的 PC機和服務器組成，其中工程師站的IAPplant軟件可用于構建控制系統架構（含工藝設備與控制設備），IAPlogic軟件可通過圖形化組態方式編寫控制策略，IAPview軟件用于人機交互畫面的組態；歷史站的 IAPdata軟件可實現對所有操作數據的管控。這些軟件與控制站直接通信，以實現對系統的組態、操作和管理。控制層的功能是執行整個系統的控制算法，其中控制站上的 IAPengi軟件在實現系統通用性上起著關鍵作用。現場層有關設備的作用則是執行控制信號的輸入與輸出。

1.2IAP控制平臺的信息安全問題

IAP控制平臺雖然具有通用性、跨平臺等優點，為信息安全對策的研究提供了便利，但根據分析上述IAP控制平臺架構以及軟件功能發現，仍存在以下信息安全問題：①工程師站的IAP控制組態軟件容易遭受攻擊；②操作員站上操控指令容易被人為修改；③監控層 PC機與控制站之間的通信鏈路廣泛使用明文協議，傳輸數據未能很好的受到保護，易遭受間接的網絡攻擊。

2　IAP控制平臺的異常監測系統的設計

由于現有的工業控制平臺的信息安全防護能力十分薄弱，因此，為了防范上述提到的信息安全問題，結合IAP控制平臺的具體特點，本文研究并設計了面向IAP控制平臺的異常監測系統。

2.1異常監測系統的硬件架構設計

為了不影響通用IAP控制平臺對實時性與可用性的高要求，本文將異常監控站（ADS站）采用與操作員站相同的接入方式接入到控制平臺中。如圖2所示，ADS站與原有的工程師站、操作員站類似，是控制平臺功能節點的一個重要組成部分。ADS站僅從原有控制系統中提取相關信息，不對原有系統進行任何寫操作，從而確保控制系統的運行不受異常監測技術的干擾。

圖2　異常監測系統的硬件架構圖

2.2異常監控系統的軟件結構設計

為了能實時采集系統中的異常狀態，本文在原有IAP控制系統中的工程師站、操作員站及 ADS站上分別開發了ADS探測器，其中包含各采集軟件與通信軟件，將實時采集到的數據存儲在控制站的數據引擎中，運用ADS站上的IAP組態軟件，對所采集到的數據進行異常狀態監測算法組態及畫面組態，以實現對原控制系統控制組態、操作指令及網絡通信的異常實時監控。軟件架構如圖3所示。

圖3　異常監測系統的軟件架構

3　IAP控制平臺的異常監控系統的實現

3.1控制組態變更安全監測的實現

由于IAP控制平臺的控制組態最終以文件形式保存，所以對IAP平臺的控制組態異常狀態的監測實際上等同于對控制文件內容變動的監測。控制組態編輯、分析、鏈接形成組態文件的流程示意圖如圖4所示。

圖4　控制組態編輯、分析、鏈接流程及采集原理

根據圖4所示的組態流程，本文所采用的監測控制組態異常變化的方法是將組態變化的采集軟件與工程師站的控制組態文件及控制站側的控制組態數據對接，組態文件采集模塊讀取工程師站上控制組態文件內容的變化，并將出現差異的組態內容及時發送到ADS站。組態數據采集模塊對組態數據的校驗碼進行判斷，用于組態內容一致性的監測。

本文將組態文件采集軟件與組態數據采集軟件讀取的變化內容作為ADS站邏輯組態的輸入點，在ADS站的組態軟件中進行異常監測算法的邏輯組態與畫面組態，以實現控制組態變更狀況的報警。運用圖形化組態方法實現工程師站組態文件變更報警的部分邏輯組態如圖5所示。

圖5　控制組態文件變更邏輯組態圖

圖5實現的功能是計算工程文件變更等相應的模擬輸入信號的變化率，若存在相應的變更則輸出報警信號。表1為圖5中邏輯組態所用元件列表。

表1　控制組態文件變更報警所有元件列表

3.2操控指令變更安全監測的實現

在操作員站上，運行人員操控生產過程的操控指令涉及工業設備的起停、執行機構的控制輸出、運行方式的選擇和控制回路的設定值輸入等。圖 6是操控指令采集原理示意圖。當操作員輸入操控指令時，在最短時間內能實現與相應控制站的優先通信。在操控指令序列進入通信緩存時，同時可被操控指令采集模塊軟件訪問，操控指令采集模塊軟件繼而將采集到的信息發送給ADS站。

在ADS站上運行組態軟件對控制指令采集模塊采集到的數據進行控制邏輯策略組態，即可實現操控指令變更的報警與異常事件次數的記錄功能。通過控制邏輯組態實現相應報警功能的原理同

3.1部分所述。

圖6　操控指令采集原理圖

3.3網絡流量異常監測的實現

實時通信網絡狀態采集軟件利用工業以太網中的管理型交換機，周期性采集上行流量、下行流量、廣播率等數據，實現對工業以太網狀態的實時監測。同時，網絡流量異常監測算法通過組態軟件的邏輯組態實現，通過引入實時采集的工業以太網數據，計算出特定監測端口的監測流量數據，從而實現對工業以太網異常狀態的判定和報告。例如，某網絡端口流量在一個時間段內出現超常暴漲，就可以判定出該位置可能出現流量攻擊或蠕蟲病毒，發出報警信號，供專業人員進行后續處理。其實現原理圖如下圖7所示。

圖7　網絡流量異常監測原理圖

由于工業以太網中網絡流量的規律性比較強，波動幅度小，因此，容易確定系統正常運行狀態下的流量閾值。由圖形化組態方式所計算出的端口網絡流量如果超過正常閾值范圍則在人機界面中輸出報警，同時說明該系統能監測到異常網絡流量。

4　IAP控制平臺異常監測系統的功能測試

本文所設計的面向控制平臺的異常監測系統已通過中國信息安全測評中心的測試。現僅從工程師站組態變更、操作員站操控指令變更以及網絡流量變更三個方面的功能測試說明該異常監測系統的可行性與有效性。

1）工程師站組態變更監測測試

在系統正常運行的過程中，對工程師站的IAPlogic組態軟件進行修改，ADS站中的畫面能監測相應報警。

在工程師站的IAPlogic軟件上對組態文件進行異常編譯鏈接及離線傳送，如圖8所示，ADS站畫面中的工程文件變更、編譯文件變更、IO數據庫變更、離線參數設置與本地數據庫變更所對應的報警指示燈變紅，且報警次數加1。該測試結果表明ADS站能及時監測組態文件變更的異常行為。

圖8　組態文件變更報警界面

2）操作員站操控指令變更監測測試

對操作員站的人機界面 IAPview進行變更操作，ADS站的畫面能監測出相應指示燈與報警信息的變化，并能生成相應變更的操作記錄與日志。

當操作員站上存在啟動人機界面、對現場生產過程進行寫值操作的變更行為，如圖9所示，ADS站的人機界面寫值操作信號燈、運行啟動信號燈發生變化，同時報警次數加1。該測試結果表明ADS站能監測操作員站人機界面的變更行為。

3）網絡流量變更監測測試

當以太網上的流量發生異常時，ADS站的監控界面可顯示異常變化及其報警信息。

圖9　操作員站操控指令變更報警界面

當監控層 PC機向控制器下載大量非法控制邏輯時，工程師站與控制器端口流量出現異常，圖10展示了此種狀況下異常流量的報警，圖11為此狀況下出現流量超常暴漲的趨勢圖。由圖可知異常流量發生的位置、大小以及時間。可幫助相關人員快速做出應急響應。

圖10　異常流量報警界面

圖11　異常流量趨勢圖

5　結論

本文分析了IAP控制平臺的信息安全問題。結合其特點，初步設計了異常監測系統，使得整個系統具有感知異常的能力。通過利用相應采集軟件動態采集數據的方式，并運用圖形化組態方法實現了對系統異常狀況的監控功能。測試結果表明，該系統能有效地監測控制系統中的異常行為與網絡流量，且不影響整個系統的可用性。在之后的研究中，利用IAP平臺，通過組態元件的擴展性，結合信息安全理論相關算法，可開發相應的監測、診斷、處理元件，實現異常感知后的進一步處理與防范。希望本文能為工控信息安全防護的研究起到一定的借鑒作用。

［1］ NIST SP800-82 Revision2 Initial Public Draft. Keith Stouffer，Suzanne Lightman，Victoria Pillitteri，Marshall Abrams，Adam Hahn. Guide to Industrial Control Systems （ICS） Security［S］. USA︰National Institute of Standards and Technology （NIST），May 2014.

［2］ ISA99. IEC 62443 Industrial control network & system security standardization［S］. ISA，2011.

［3］ GB/T 30976.1—2014. 工業控制系統信息安全第1部分︰評估規范［S］. 2015.

［4］ 彭勇，江常青，謝豐，等. 工業控制系統信息安全研究進展［J］. 清華大學學報（自然科學版），2012，52（10）︰1396-1408.

［5］ 王玉敏，丁露. 工業控制系統（ICS）概述和與IT系統的比較［J］. 中國儀器儀表，2012（2）︰37-43.

［6］ 唐文. 工業自動化控制系統信息安全研究［J］. 計算機安全，2012（4）︰2-7.

［7］ 李科，黃雙，周浩，等. 面向工業人機界面的信息安全策略設計及實現［J］. 計算機工程與設計，2013，34（8）︰2689-2694.

［8］ 王志強，王紅凱，張旭東，等. 工業控制系統安全隱患及應對措施研究［J］. 信息網絡安全，2014，9（9）︰203-206.

［9］ Eric D. Knapp. Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid，SCADA，and Other Industrial Control Systems［M］. USA︰2011.

［10］ 繆學勤. 采用縱深防御體系架構，確保核電可靠安全［J］. 自動化儀表，2011，32（2）︰1-5.

［11］ 沈昌祥，陳興蜀. 基于可信計算構建縱深防御的信息安全保障體系［J］. 四川大學學報（工程科學版），2014，46（1）︰1-7.

Design and Implementation of Abnormal State Detection System for Control Platform

Zheng Yiling1Zheng Song1，2，3Jiang Danling2Zeng Qiyun2
（1. College of Electrical Engineering and Automation，Fuzhou University，Fuzhou350116；2. Histron Research Institute，Fuzhou350001；3. Fujian Provincial Enterprise Key Laboratory of Industrial Control Cyber Security Technology，Fuzhou350008）

The cyber security problem of industrial control system becomes increasingly serious，abnormal detection technology in domestic is still at an initial stage，thus，this paper regards the specific industrial control system—Industrial Automation Platform as the object of this research. Abnormal state detection system is designed from the aspect of control configurations，operational instructions and network traffic. Designs of hardware architecture and software structure have been included. The system is simulated and tested on Industrial Automation Platform （IAP）. The result shows that the system can monitor abnormal state and traffic effectively. Moreover，it doesn’t affect the availability of the whole platform.

industrial control system；cyber security；abnormal state detection system

鄭伊伶（1990-），女，碩士研究生，研究方向為工業控制系統的信息安全。

2013年國家信息安全專項