協議安全測試在工業DCS系統測評中的應用

姬勝凱，劉仁輝，董 偉，許鳳凱

(華北計算機系統工程研究所 工業控制系統信息安全技術國家工程實驗室，北京 100083)

協議安全測試在工業DCS系統測評中的應用

姬勝凱，劉仁輝，董 偉，許鳳凱

(華北計算機系統工程研究所 工業控制系統信息安全技術國家工程實驗室，北京 100083)

為了發現工業控制系統的信息安全問題，需要對工業DCS系統的私有通信協議進行安全測試。面對自動化工具無法準確測試私有協議安全性的問題，提出了DCS系統私有通信協議的分析方法。基于協議分析編寫測試用例對被測DCS系統進行安全性測試，有效發現被測DCS系統協議的安全問題，為DCS系統的安全測試和防護提供了研究的基礎。研究表明，在工業DCS系統安全測評中，通過人工協議分析、協議測試能夠有效發現系統的安全問題。

工控系統；信息安全；DCS；協議分析；協議測試

0 引言

以2010年發生的席卷全球的“震網病毒”事件為爆發點，工業控制系統領域的安全威脅越來越多[1]。面對諸多威脅，在DCS系統的開發階段必須充分考慮系統的安全性。為了提高系統安全性，必須進行專業的信息安全測試，以檢測系統的風險與脆弱性[2]。對公開的工控DCS系統協議的脆弱性進行測試，可以使用如加拿大Wurldtech的Achilles等自動化測試工具[3]，但對私有協議的測試使用自動化測試工具則準確率較低，所以對私有的工控通信協議的測試必須基于通信協議的人工深度分析。目前工控私有協議安全測試才剛發展，技術和方法還未成熟，對私有工控通信協議人工深度分析的研究還在起步階段[4]。工控通信協議測試需要對協議的狀態空間中的每一個狀態和協議的每一個功能碼段進行測試[5]，而協議的狀態路徑和功能碼段需要對協議進行深度分析，本文提出了私有DCS通信協議狀態與功能碼段的分析方法，并基于分析結果對被測系統進行了測試驗證，為DCS系統的安全測試和防護提供了研究的基礎。

1 工業DCS系統通信協議

工業網絡使用一系列專用的總線協議來實現系統的功能，重點關注操作同步和實時性[6]。同時各種不同的協議擁有不同程度的內在的安全性與可靠機制，為了保證系統的安全，測試時必須考慮這些系統本身的屬性。通常，由于工業網絡協議缺少足夠的授權和加密，一個簡單的網絡攻擊，比如中間人攻擊，就可以干擾協議正常運作或篡改協議消息以竊取信息、進行欺詐或引發控制進程本身的故障。所以對工控系統通信協議在使用前，必須進行專門的審核與測試[7]。

自動化測試工具使用模糊測試的方法對私有協議進行測試[8]，主要利用逆向提取的協議規范編寫測試腳本，但工控系統通信協議為有狀態的協議，需要依據協議的狀態機信息編寫測試用例，才能向被測系統發送可被協議所處狀態接受的測試報文序列。自動化測試工具對主流的工控協議，比如Modbus/TCP、Profinet、DNP3等能夠進行應用層協議測試[9]，而對私有工控協議的灰盒測試，需要對系統通信協議進行抓包分析，根據系統本身的狀態機信息，按照抓包、分析、檢測驗證、再分析的過程進行測試，其中的難點和重點是分析的過程。分析過程主要分析協議的狀態空間和協議的功能碼段。

工控DCS系統通信協議的測試不同于傳統網絡協議的測試，因為工控系統的通信協議是一種有狀態的協議[10]，對有狀態的通信協議進行測試必須基于協議自身相關的報文序列，測試需要對協議的每一個狀態和功能碼段進行測試，編寫的測試腳本需要覆蓋所有的協議狀態路徑和功能碼段。例如，在未知系統通信協議認證方式時，自動化的協議測試工具無法對協議認證的可靠性和安全性進行測試[11]。

圖2 系統數據流

2 工業DCS系統通信協議分析

本文研究對象為國內某企業自主開發的DCS系統，其中在操作員站與控制器之間的通信為私有協議。要進行協議的安全測試，除了要分析協議的格式信息，還需要分析出協議報文的時序關系，即協議狀態機[12]，這里主要體現在系統的數據流分析過程中。根據以上要求，對該系統的通信協議進行測試主要分為協議數據流分析、協議功能碼段分析、協議測試。

工控系統對數據的實時性要求特別嚴格，直接接入工控系統中的檢測設備勢必對數據傳輸實時性造成影響，工業控制系統的數據一般通過交換機鏡像端口抓取[13]。通過交換機鏡像端口獲取工控網絡流量，對數據進行分析，數據的分析流程如圖1所示。

圖1 工控協議分析流程

協議分析包括協議數據包處理，分為通信協議數據流分析、協議數據包內容分析和協議特征提取三個階段，重點是協議數據包內容分析。在分析之前，還需要剔除原始數據中的冗余和干擾，如報文序列中可能出現的重傳、亂序、分片。通信協議數據流的分析，根據系統中所有設備的IP、端口、數據 包類型進行區分，按照系統正常工作時的通信狀態，理清系統通信數據方向、交互方式。在分析出系統數據交互方式后，根據系統正常工作時的操作內容，對協議數據包進行分析，例如，對控制器進行寫操作時的數據包進行分析，以此分析寫操作數據包的結構和語義。在協議分析的基礎上，提取系統通信協議特征，針對不同的協議特征需要編寫不同的測試腳本。

2.1 通信協議數據流分析

協議分析的第一步是通信協議數據流分析，基于協議的狀態機推斷技術，獲得協議實體處理狀態遷移的邏輯及行為語義[14]。實際分析過程中根據系統的通信數據抓包，依據系統的設備IP、端口、數據包類型，還原系統實際運行時的IP、端口、服務等信息，然后應用基于報文序列的協議狀態推斷方法推斷協議數據流。首先對協議進行狀態標注，把一個或多個連續的多個協議對話標注為一個狀態；然后把這些狀態進行分類；最后通過化簡得出系統的協議數據流。系統數據流向詳細信息如圖2所示。

系統雙網段、雙控制器冗余實現系統的可靠性，下行數據主要包括組態下裝數據包、系統控制數據包等TCP數據包和UDP數據包；上行數據包分為UDP廣播數據包和EGD組播數據包，實現控制器實時數據的上傳。DCS系統和其他外部設備的通信通過MODBUS和OPC協議實現。

2.2 協議數據包內容分析

協議測試用例的編寫既需要知道協議狀態空間的時序,同時也需要詳盡的數據包功能碼段的語義。數據包內容的分析，需要把DCS系統本身的功能特點與協議逆向分析相結合，包括先驗知識的應用與人工糾正過程。通過先驗知識分析協議的長度字段、FD字段、序號字段等相對位置和長度固定的字段，分析后根據相應字段編寫測試腳本，驗證先驗知識的正確性，進一步進行人工糾正，糾正后再編寫測試腳本驗證猜測的協議數據包內容的正確性。

協議數據包功能碼段的逆向分析基于不同數據包的對比、數據包自身的碼段特征的對比。運行DCS的組態配置、實時測量數據采集、控制指令輸出等操作過程，確認DCS按照正常的流程安全運行，實時抓取上述操作過程的系統數據包，分析對比進行不同操作時數據包的異同點。對比的主要內容包括：(1)對系統操作員站進行多次操作，分析各次操作數據包中各功能碼段的區別，以此發現數據包中序列號、時間等字符段；(2)對系統操作員站進行不同操作，比如讀/寫操作，分析不同操作時，數據包的長度、字符段等區別。對于功能碼段序列位置一樣、數值相近的字符字段，進行重點分析；(3)對系統數據包中的大量重復出現的字符段進行分析，一般為系統傳輸的數據，主要有輸入數字量、輸出數字量、輸入模擬量、輸出模擬量等。對系統通信數據抓包，進行協議深度分析，嘗試解析數據包的結構、語義和字段。分析得知，系統通過不同功能碼下發不同的指令，例如0130、0230、0530等功能碼。每種功能碼下存在多個功能指令，如0130下有01、07、08、09、0f等指令，0530下有02、04等。圖3為數據包中的0530功能碼段下的02功能指令。

圖3 數據包功能碼段

協議逆向分析中發現該系統通信協議沒有進行加密傳輸，只是在建立連接時通過認證來實現數據的安全，在協議測試中協議的認證分析是協議逆向分析的一個難點。結合系統的狀態空間中的數據流信息，分析協議得出組態軟件與控制器之間存在賬戶和密碼的認證，系統的認證方式如圖4所示。

圖4 協議認證交互方式

首先建立TCP握手連接，然后控制器返回一個時間戳信息，接著組態軟件對時間戳字段進行加密，將加密后的密碼和賬戶發送給控制器進行驗證，驗證成功時返回驗證成功字段，驗證錯誤時返回驗證錯誤字段并主動斷開連接。同時控制器通過UDP3300端口向外發出組播數據包說明登錄驗證情況。

協議認證數據包中對時間戳進行加密的方式就是系統協議的一個重要特征，按照這個特征編寫測試用例，自組認證數據包，發送給控制器，控制器立即回復認證失敗的數據包，測試結果表明系統協議的這種認證方式安全性相對較高。用于編寫用例的協議特征不但在用例編寫的過程中有重要的作用，而且在系統安全防護時建立協議指紋庫、對系統協議進行實時異常檢測時，也是非常重要的。

3 工業DCS系統通信協議測試

基于分析被測DCS系統通信協議的特征，分析出上行EGD數據包為控制器數據實時上傳，數據的功能碼段為數字信號量、模擬信號量以及對應的上傳數據標示符碼段，測試主機IP地址為192.168.101.124，編寫測試腳本，腳本發送數字量、模擬量、標識符等功能碼段都是“0”的數據包，以高于控制器上傳的頻率發送給操作員站。

如圖5所示，數據包的內容都是00，系統控制器實時數據上傳沒有認證也沒有進行加密，MMI的組態的實時監控數據的數據類型被篡改為“有符號2字節短整數”，實時值為“0”，基本狀態值為“00000000”，被篡改后系統的實時數據趨勢如圖6所示。

圖5 被篡改的數據包

圖6 系統數據趨勢圖

由于控制器也在不停地上行發送數據，所以圖6(a)中的線條部分為控制器上傳的正常數據，而圖中的空白部分，由于數據的值被篡改為0，屬于無效值，在趨勢圖中不顯示。圖6(b)中發送篡改數據，系統數據趨勢圖立馬出現異常，并被篡改，停止數據發送，系統數據實時顯示趨勢圖恢復正常。

基于協議分析的測試還發現其他一些安全問題，比如主副控制器切換數據中的IP地址功能碼段被篡改后，組態失去對控制器的控制。操作員站失去了對控制器的控制能力，同時主控制器的IP地址被篡改為測試主機的IP地址(192.168.101.124)。

基于協議逆向分析的通信協議測試，還發現了其他一些安全問題，這些安全問題在不知道具體的協議狀態空間和協議數據包語義的情況下是不能被驗證的。所以對工控系統通信協議進行安全測試，必須要基于系統通信協議的人工深度分析。

4 總結和建議

針對工業DCS系統信息安全，對其進行通信協議安全測試，必須根據工控DCS系統本身的通信協議的特點，對系統通信協議進行逆向分析，對復雜的通信數據流進行梳理，提取該工控DCS系統的通信協議的特征，基于通信協議的特征，有針對性地對系統進行安全測試，全面、深入的測試能發現系統通信協議的風險與脆弱性。基于測試結果，開發和維護人員才能更好地對系統進行升級和防護，以提高工控系統的安全性。

[1] 謝耀濱，舒輝，常瑞，等.可編程邏輯控制器脆弱性分析關鍵技術研究[J].計算機工程與應用，2016，52(12)：101-107，152.

[2] 李華. DCS工業控制系統信息安全新趨勢[J].網絡安全技術與應用，2016(8)：94-95.

[3] 李航，董偉，朱廣宇.基于Fuzzing測試的工業控制協議漏洞挖掘技術研究[J].電子技術應用，2016，42(7):79-82.

[4] 謝豐，彭勇，趙偉，等.工業控制設備安全測試技術[J].清華大學學報(自然科學版)，2014,54(1)：29-34.

[5] 屈婉瑩，魏為民，朱蘇榕. 工業控制系統通信協議安全研究[C]. 全國智能電網用戶端能源管理學術年會，2015.

[6] 唐文.協議安全測試在工業信息安全領域的應用[J].中國儀器儀表，2014,7(4)：14-16.

[7] KNAPP E D.工業網絡安全：智能電網，SCADA和其他工業控制系統等關鍵基礎設施的網絡安全[M].周秦，郭冰逸，賀惠民，等，譯.北京：國防工業出版，2014.

[8] 王斌.工業控制系統信息安全的安全保障-Achilles認證[J].自動化博覽， 2014(1):50-52.

[9] 熊琦，彭勇，伊勝偉，等. 工控網絡協議Fuzzing測試技術研究綜述[J] 小型微型計算機系統，2015，36(3):497-502.

[10] 萬明，趙劍明，喬全勝，等. 面向工業嵌入式設備的漏洞分析方法研究[J].自動化儀表, 2015,36(10):63-67.

[11] 向登寧，馬增良.工業控制系統安全分析及解決方案[J].信息安全與技術，2013,4(11)：28-30.

[12] 吳禮發，王辰，洪征，等.協議狀態機推斷技術研究進展[J].計算機應用研究，2015,32(7)：1931-1936.

[13] 王灝然，肖玉珺，徐文淵，等. 基于旁路信息的PLC安全監控系統[J]. 工業控制計算機, 2016, 29(6):74-76.

[14] 吳禮發，洪征，潘瑤.網絡協議逆向分析及應用[M].北京：國防工業出版社，2016.

劉仁輝(1968-)，男，碩士，高級工程師，碩士生導師，主要研究方向：工控與工控信息安全。

董偉(1986-)，男，碩士，工程師，主要研究方向：計算機、滲透測試、自動控制、工業控制系統信息安全、工控信息安全檢測。

使用超聲波技術進行流量計量

超聲波技術已在民用、醫療和軍事應用中有上百年的歷史。幾乎每個人都經歷過醫療超聲波技術(如B超)。目前，最新的超聲波應用已發展到工業和汽車市場的自動化中。

超聲波技術的非接觸性質使其成為醫療、制藥、軍事和工廠用途的絕佳選擇。此外，其操作環境也大大超出人們所了解的范圍。

流量計量是以每小時升(l/h)或加侖/分鐘(g/m)為單位測量液體或氣體的流量。流量計可用于住宅和工業環境中，包括住宅和工業儀表中的簡易功用表(氣表、水表、熱量計)或危險液體或氣體用混合器(石油、采礦、廢水處理、油漆、化學品)。在結構上，流量計包括三個單元：傳感器單元、計量單元和通信單元。這些單元或功能塊中的每一個都可以是機械式或電子式。

在大部分流量計的設計中，其活動部件都會使用機械感測。例如，使用電感電容器(LC)、巨磁電阻(GMR)、隧道式磁阻(TMR)或霍爾效應傳感器捕獲螺旋槳或葉輪的運動，該運動根據流量而變化，并被轉換成數據并傳遞給測量單元。因為有活動部件，所以可能會出現磨損和不準確的情況。

這些儀表的壽命普遍較短(不到7年)，并且不能檢測到低流量或小泄漏。同時，介質污染、污垢積聚以及部件的結垢和老化也會影響測量精度，很可能導致傳感器結果不準確，因此還需要定期對流量計進行重新校準。

超聲波傳感避免了上述幾個問題。該傳感技術非常精確(<±1%)，具有較長使用壽命(>10年)，可以方便地檢測不同成分的液體或氣體，并調整介質和管道腐蝕污染的影響。超聲波儀表沒有活動部件，因此無需重新校準。

用于流量測量的超聲波頻率范圍為100 kHz～4 MHz。使用一定頻率的電脈沖信號激發超聲波傳感器從而產生相應頻率的超聲波，并使用同一聲波傳輸路徑從兩個對立的方向在不同時段發射聲波并測量聲波傳輸時間(記為上行傳輸時間和下行傳輸時間,TOF,Time of flight)。通過計算上下行傳輸時間的絕對時間差，進而計算出實際流量。

TOF測量的精確度將直接影響流量計量的分辨率和精度。TOF通常以皮秒(ps)或納秒(ns)計量，它的主要參數包括零流量漂移(ZFD)、標準偏差(STD)、最小和最大可檢測流量、流量、流速、體積、絕對值(Abs)TOF和Delta(Δ)TOF。流量表行業標準；最常見的是國際標準化組織(ISO)4064、國際法制計量組織(OIML)R49和歐洲標準(EN)1434。TI的超聲波流量表方案能夠達到符合標準的高水平精度要求。

(TI公司供稿)

Application of protocol security testing in industrial DCS system evaluation

Ji Shengkai, Liu Renhui, Dong Wei, Xu Fengkai

(National Engineering Laboratory for Information Security Technology of Industrial Control System,National Computer System Engineering Research Institute of China, Beijing 100083, China)

In order to find out the information security problem of industrial control system, the private communication protocol of industrial DCS system is tested. Aiming at the problem that the automation tool can not accurately test protocol security problems, this paper puts forward and realizes the analysis method of DCS proprietary communication protocol. Based on the protocol analysis, the test cases are used to test the security of the DCS system, which can effectively detect the security problems of the DCS system, and provide the basis for the research of the DCS system. The results show that the security of the industrial DCS system can be effectively detected by manual protocol analysis and protocol testing.

industrial control system; information safety; DCS; protocol analysis; protocol testing

TP39

A

10.19358/j.issn.1674- 7720.2017.20.003

姬勝凱，劉仁輝，董偉，等.協議安全測試在工業DCS系統測評中的應用[J].微型機與應用，2017,36(19)：10-13,16.

2016-04-18)

姬勝凱(1990-)，通信作者，男，碩士研究生，主要研究方向：工控協議分析、滲透測試、工業控制系統信息安全、工控信息安全檢測。E-mail：18811569089@163.com。