面向工控的協(xié)議解析方法應(yīng)用研究*

董 健 ，韓鵬軍

(1.公安部第三研究所，北京100004；2.國家能源集團(tuán)，北京100007）

0 引言

伴隨著互聯(lián)網(wǎng)信息技術(shù)、工業(yè)自動化技術(shù)的革命性突破和兩化深度融合，工業(yè)控制系統(tǒng)(ICS)從原先獨立、封閉的環(huán)境逐漸走向開放。 企業(yè)也越來越意識到除了自動化技術(shù)，信息安全也決定著工控系統(tǒng)的質(zhì)量和可持續(xù)發(fā)展。 工控系統(tǒng)的安全性很大程度上取決于所采用的工控協(xié)議。 工控協(xié)議種類繁多且缺少固有安全驗證機制，而通過對工控協(xié)議的解析能夠從指令級和語義級對潛在網(wǎng)絡(luò)攻擊進(jìn)行檢測、感知和防護(hù)[1]，研究面向工控的協(xié)議解析方法，對促進(jìn)工控安全具有重大意義。 目前，工控網(wǎng)絡(luò)安全行業(yè)內(nèi)對協(xié)議解析方面的研究深度還不夠，大部分方法不具備對協(xié)議的深度解析能力，對協(xié)議通信內(nèi)容的語義級解析則更是難以實現(xiàn)。因此，本文在分析現(xiàn)有的協(xié)議解析方法的基礎(chǔ)上，提出兩種面向工控的協(xié)議解析方法：網(wǎng)絡(luò)報文序列解析法和二進(jìn)制代碼分析法，實現(xiàn)對工控協(xié)議的語義級解析。

1 相關(guān)知識介紹

1.1 工控協(xié)議

網(wǎng)絡(luò)協(xié)議即網(wǎng)絡(luò)上設(shè)備之間的通信規(guī)則，它對通信時信息必須采用的格式以及這些格式的意義進(jìn)行了規(guī)定。 現(xiàn)有的網(wǎng)絡(luò)協(xié)議由一些專門的組織(如IEC、ISO 等)制定或者從早期的實驗室協(xié)議(如TCP/IP 協(xié)議)中演進(jìn)而來。 根據(jù)這些協(xié)議是否應(yīng)用于工業(yè)互聯(lián)網(wǎng)領(lǐng)域，可以劃分為傳統(tǒng)互聯(lián)網(wǎng)協(xié)議和工控協(xié)議。 常見的傳統(tǒng)互聯(lián)網(wǎng)協(xié)議主要有HTTP、FTP、TCP/IP、VPN 等協(xié)議；常見的工控協(xié)議主要有S7、Modbus、GOOSE、MMS 等協(xié)議。

1.2 協(xié)議解析

1.2.1 協(xié)議識別技術(shù)

在協(xié)議解析前需要通過協(xié)議識別技術(shù)準(zhǔn)確識別網(wǎng)絡(luò)協(xié)議，識別網(wǎng)絡(luò)協(xié)議對于基于通信數(shù)據(jù)的網(wǎng)絡(luò)安全檢測和防御有著重要的意義。 網(wǎng)絡(luò)協(xié)議識別的主流技術(shù)主要有：基于行為特征的識別技術(shù)、基于報文負(fù)載特征的識別技術(shù)、基于TCP/UDP 端口的識別技術(shù)以及基于關(guān)聯(lián)分析的檢測和識別技術(shù)。

(1)基于行為特征的識別技術(shù)

不同的應(yīng)用協(xié)議有不同的會話連接狀態(tài)或者數(shù)據(jù)流狀態(tài)[2]。 例如，在統(tǒng)計學(xué)特征上，基于P2P 下載應(yīng)用的流量表現(xiàn)為長流大報文，下載時間長，連接速率高，且平均包長都在450 B 以上。 基于行為特征的識別技術(shù)利用了統(tǒng)計學(xué)原理，根據(jù)應(yīng)用協(xié)議數(shù)據(jù)流的統(tǒng)計學(xué)特征，實現(xiàn)識別應(yīng)用類型，即所使用的協(xié)議類型。

(2)基于報文負(fù)載特征的識別技術(shù)

基于報文負(fù)載特征的識別技術(shù)是通過數(shù)據(jù)報文的負(fù)載部分對應(yīng)用協(xié)議進(jìn)行識別[3-5]。 此技術(shù)需要事先找出待識別的應(yīng)用協(xié)議的“指紋”特征，即該應(yīng)用協(xié)議不同于其他任何應(yīng)用協(xié)議的內(nèi)容特征。 在識別過程中，檢查數(shù)據(jù)流中每個數(shù)據(jù)包TCP 或UDP首部之上的應(yīng)用層負(fù)載部分，若匹配到某應(yīng)用協(xié)議的“指紋”特征，則將該數(shù)據(jù)流標(biāo)記為相應(yīng)的應(yīng)用協(xié)議。 這種識別方法準(zhǔn)確性較高。

(3)基于TCP/UDP 端口的識別技術(shù)

基于TCP/UDP 端口的識別技術(shù)是傳統(tǒng)的僅使用TCP/UDP 端口進(jìn)行協(xié)議識別的技術(shù)。 在Internet編號分配管理機構(gòu)IANA 中有各個協(xié)議詳細(xì)的注冊端口號[6]。 由于基于TCP/UDP 端口的識別算法簡單，需要的相關(guān)信息少，因此該識別算法的時間復(fù)雜度和空間復(fù)雜度是所有協(xié)議識別算法中最低的。

(4)基于關(guān)聯(lián)分析的檢測和識別技術(shù)

在網(wǎng)絡(luò)中，有一些應(yīng)用協(xié)議使用不止一條連接流傳輸數(shù)據(jù)。 此類業(yè)務(wù)應(yīng)用的控制通道和數(shù)據(jù)通道是分離的，數(shù)據(jù)通道沒有任何指紋特征和端口特征，因此，需要使用關(guān)聯(lián)分析的識別技術(shù)對數(shù)據(jù)流進(jìn)行識別。 該技術(shù)首先識別出控制通道，其次分析控制通道數(shù)據(jù)流中協(xié)商數(shù)據(jù)通道信息的數(shù)據(jù)，得到數(shù)據(jù)通道的IP 和端口特征，最后，根據(jù)上述IP 和端口特征來識別數(shù)據(jù)流。 常見的FTP、OPC DA 等協(xié)議的數(shù)據(jù)通道就需要靠關(guān)聯(lián)分析的檢測和識別技術(shù)來進(jìn)行識別。

關(guān)聯(lián)分析具有特殊的適用性，因此一般需要和基于TCP/UDP 端口的識別技術(shù)等其他技術(shù)配合使用，能夠很大程度提高應(yīng)用協(xié)議識別的準(zhǔn)確率。 由于工業(yè)網(wǎng)絡(luò)中常見的協(xié)議OPC DA 也使用多條數(shù)據(jù)流的方式傳輸數(shù)據(jù)，因此，此技術(shù)也適用于工業(yè)網(wǎng)絡(luò)。

上述識別技術(shù)對比如表1 所示。

表1 協(xié)議識別技術(shù)對比

1.2.2 應(yīng)用程序分析技術(shù)

應(yīng)用程序分析技術(shù)的主要原理是使用文件掃描工具，識別出ICS 系統(tǒng)(軟件)中網(wǎng)絡(luò)通信相關(guān)的子模塊，采用反匯編工具將前述獲取的網(wǎng)絡(luò)通信子模塊進(jìn)行反匯編，獲得程序腳本進(jìn)行分析并最終獲得該程序所使用的通信協(xié)議幀，再通過逆向技術(shù)對數(shù)據(jù)幀的指令和語義進(jìn)行提取，然后使用程序或腳本對其進(jìn)行格式化處理進(jìn)而可以實現(xiàn)對該應(yīng)用程序所用的通信協(xié)議的解析。

通過應(yīng)用程序分析實現(xiàn)對其通信協(xié)議的解析，其關(guān)鍵在于能夠從程序的反匯編語言中分析出該程序在進(jìn)行通信時所采用的通信協(xié)議，進(jìn)而實現(xiàn)對目標(biāo)協(xié)議的解析。

1.2.3 逆向解析技術(shù)

逆向解析技術(shù)是一種設(shè)計技術(shù)再現(xiàn)過程，即對一項目標(biāo)產(chǎn)品進(jìn)行逆向分析及研究，從而演繹并得出該產(chǎn)品的處理流程、組織結(jié)構(gòu)、功能特性及技術(shù)規(guī)格等設(shè)計要素。

在協(xié)議解析過程中，最常用的逆向解析技術(shù)即分析通過信息交換所得的觀察。 在接入計算機總線或網(wǎng)絡(luò)并成功截取通信數(shù)據(jù)后，對總線或網(wǎng)絡(luò)行為進(jìn)行分析，將獲取的通信數(shù)據(jù)進(jìn)行指令級和語義級的解析。

2 面向工控的協(xié)議解析方法

2.1 網(wǎng)絡(luò)報文序列解析法

網(wǎng)絡(luò)報文解析的技術(shù)路線主要是直接從網(wǎng)絡(luò)通信的數(shù)據(jù)包出發(fā)，通過數(shù)據(jù)包的獲取、協(xié)議的識別、協(xié)議封頭的剝除和必要的逆向技術(shù)等手段進(jìn)行網(wǎng)絡(luò)協(xié)議解析。

(1)數(shù)據(jù)包采集

基于網(wǎng)絡(luò)通信的基本原理，在進(jìn)行網(wǎng)絡(luò)協(xié)議解析時需要首先通過專門的網(wǎng)絡(luò)工具獲取足夠數(shù)量的數(shù)據(jù)包。

(2)數(shù)據(jù)包預(yù)處理

數(shù)據(jù)包預(yù)處理是指在對收集到的數(shù)據(jù)包進(jìn)行分類、分組前所進(jìn)行的審核、篩選、排序等處理。

(3)網(wǎng)絡(luò)協(xié)議識別與分析

即采用1.2.1 節(jié)所述的協(xié)議識別技術(shù)對網(wǎng)絡(luò)通信所使用的協(xié)議進(jìn)行識別。

(4)協(xié)議解析

對于公有通信協(xié)議，其相關(guān)的管理組織會將報文結(jié)構(gòu)文檔和詳細(xì)的說明文檔等技術(shù)資料公開，供廣大廠商進(jìn)行研究和應(yīng)用，例如Modbus 協(xié)議。 對于這類公有通信協(xié)議的解析而言，基本思路是：基于OSI 的七層協(xié)議模型，協(xié)議數(shù)據(jù)在發(fā)送時，是經(jīng)過從上到下層層封裝的，因而在解析時，需要從下至上層層去除封頭。 在對網(wǎng)絡(luò)層的協(xié)議進(jìn)行識別、組包還原后，首先去除網(wǎng)絡(luò)層協(xié)議封頭，將里面的數(shù)據(jù)交給傳輸層，然后層層去除封頭，直至應(yīng)用層，即可以獲取相應(yīng)通信的內(nèi)容。 然后再通過對大量通信數(shù)據(jù)的分析和逆向解析等，實現(xiàn)對目標(biāo)協(xié)議的最終解析。

基于網(wǎng)絡(luò)報文的私有通信協(xié)議解析方法主要是在通過抓包工具抓取現(xiàn)場設(shè)備和其上位軟件之間的通信報文之后，利用相關(guān)工具對報文進(jìn)行逐字節(jié)的分析比較，找出其規(guī)律，摸索各個報文之間的不同之處以及與界面配置參數(shù)的關(guān)系。

考慮到工控協(xié)議的特點， 提出包含預(yù)處理、單報文處理、多報文處理、語義推斷四個階段的工控協(xié)議分析方法，如圖1 所示。

圖1 工控協(xié)議解析圖

2.2 二進(jìn)制代碼分析法

二進(jìn)制代碼分析法主要是有針對性地對目標(biāo)工控網(wǎng)絡(luò)所采用的上位機軟件通信模塊進(jìn)行分析，通過工具軟件對其通信相關(guān)的內(nèi)容進(jìn)行交叉引用分析、協(xié)議幀重構(gòu)、語義提取、格式化處理等，進(jìn)而實現(xiàn)對目標(biāo)協(xié)議的解析工作。

(1)文件掃描

工控軟件通常由眾多功能模塊構(gòu)成，體積較為龐大。 若對工控軟件的所有功能模塊執(zhí)行協(xié)議解析算法，則不但造成了較高的時間開銷，且降低了分析的準(zhǔn)確度。 其實，只對其中的通信模塊執(zhí)行協(xié)議解析算法是更好的選擇。 文件掃描就是為協(xié)議分析過濾掉與通信無關(guān)的內(nèi)容，其目的即在眾多功能模塊中定位協(xié)議分析的對象：通信模塊。

(2)協(xié)議提取①數(shù)據(jù)預(yù)處理

通過反匯編器IDA Pro 將目標(biāo)代碼轉(zhuǎn)換為匯編代碼，讀取匯編代碼，對DLL 中的函數(shù)進(jìn)行標(biāo)記處理，剔除與通信過程無關(guān)的函數(shù)。 具體采用兩種方法進(jìn)行篩選，第一種方法利用了函數(shù)調(diào)用的層次結(jié)構(gòu)，依據(jù)向上的代碼交叉引用進(jìn)行篩選；第二種方法源于動態(tài)二進(jìn)制逆向分析中常用的污點算法，經(jīng)修改后基于數(shù)據(jù)交叉引用實現(xiàn)，用于此處的靜態(tài)二進(jìn)制分析場景。

交叉引用分析階段即通過函數(shù)之間的引用信息推斷函數(shù)類型。 調(diào)用IDC 函數(shù)獲取交叉引用信息，對獲得的引用信息進(jìn)行統(tǒng)計分析以推斷函數(shù)類型。 例如，一般與控制幀相關(guān)的函數(shù)被調(diào)用的次數(shù)少，其與底層函數(shù)間的距離短，調(diào)用底層函數(shù)的次數(shù)多。 函數(shù)類型推斷時使用的分界值與協(xié)議的復(fù)雜度有關(guān)，具體根據(jù)協(xié)議復(fù)雜度指定分界值。

③協(xié)議幀重構(gòu)

以獲得的函數(shù)調(diào)用關(guān)系和推定的函數(shù)類型為參考，在協(xié)議幀重構(gòu)階段判斷函數(shù)代碼特征，對目標(biāo)協(xié)議中存在的幀進(jìn)行重構(gòu)與分類。 涉及的函數(shù)代碼特征主要包括與底層函數(shù)的距離是否為1、是否定長、是否存在較多的函數(shù)賦值操作等。

④識別協(xié)議字段信息

協(xié)議的字段信息包括：分隔符、關(guān)鍵字、校驗域、長度域、指示域等，通過檢索處理協(xié)議幀字段的二進(jìn)制代碼是否存在相關(guān)的特征，可以提取到協(xié)議幀的字段信息。 例如：分隔符和關(guān)鍵字會涉及常量賦值操作，主要區(qū)別在于，分隔符的值通常可以映射成 ASCII 表中的特定字符，關(guān)鍵字通常為一般數(shù)據(jù)；校驗域通常伴隨著大量的移位運算。 對于一些不存在顯著特征的代碼段，直接提取相關(guān)的二進(jìn)制代碼，轉(zhuǎn)儲到文件后，在數(shù)據(jù)結(jié)構(gòu)中記錄該二進(jìn)制代碼段與對應(yīng)的協(xié)議字段的關(guān)聯(lián)。

⑤去冗余及格式化處理

經(jīng)以上過程處理后，得到的協(xié)議格式有可能存在冗余，例如，同一種變長幀可能因個別字段值不同而被記錄為多種幀。 在該階段，通過比對已知語義實現(xiàn)對幀的去冗余。 同一種變長幀之間雖然具有不同的長度和字段值，但通過已知語義比對能發(fā)現(xiàn)其較高的重復(fù)率。 將重復(fù)率超過閾值的兩種幀判定為同一種幀，對二者執(zhí)行合并操作，實現(xiàn)去冗余。最后，通過對幀進(jìn)行格式化處理，將協(xié)議信息以一種標(biāo)準(zhǔn)格式輸出。

3 實驗

3.1 網(wǎng)絡(luò)報文序列解析實驗

(1)數(shù)據(jù)包抓取

主要教學(xué)內(nèi)容：針對某一具體裝配對象進(jìn)行系統(tǒng)研究，完成裝配流程設(shè)計、視頻采集、達(dá)寶易軟件分析、標(biāo)準(zhǔn)作業(yè)指導(dǎo)書制訂等，加強培養(yǎng)學(xué)生的實踐應(yīng)用能力。教學(xué)地點：實驗室；教學(xué)課時：1周。

通過wireshark 抓包軟件抓取工業(yè)網(wǎng)絡(luò)數(shù)據(jù)包，在工作站執(zhí)行指令前，啟動wireshark，指令執(zhí)行完畢后，關(guān)閉wireshark。 對wireshark 抓取到的數(shù)據(jù)包，如圖2 所示，先通過篩選地址過濾掉部分無關(guān)數(shù)據(jù)包，再根據(jù)指令的唯一性找出對應(yīng)的數(shù)據(jù)包。 通過上述方法， 獲取下發(fā)不同指令時對應(yīng)的數(shù)據(jù)包。圖3、圖4 分別為下發(fā)繼電器閉合、斷開指令時獲得的數(shù)據(jù)包。

圖2 工控協(xié)議數(shù)據(jù)包

(2)語義解析和格式推斷

圖3 繼電器閉合

圖4 繼電器斷開

排除數(shù)值與位置相同的部分，重點關(guān)注同一位置發(fā)生變化的部分。 利用先驗知識，以及整型數(shù)據(jù)轉(zhuǎn)換、浮點數(shù)據(jù)轉(zhuǎn)換、十六進(jìn)制轉(zhuǎn)換成 ASCII 碼等方式解析發(fā)生變化的字段的含義。 圖3、圖4 中有兩處位置的數(shù)值發(fā)生了變化，第一處d4 變?yōu)閐5，第二處00 變?yōu)?1。 此時難以確定控制繼電器閉合斷開的位置是哪處。 繼續(xù)重復(fù)執(zhí)行閉合、斷開指令抓取數(shù)據(jù)包，發(fā)現(xiàn)處于第一處位置上的數(shù)值會繼續(xù)增加，第二處位置上的00、01 繼續(xù)交替出現(xiàn)。 因此可以確定第一處變化是一種遞增關(guān)系，由第二處控制繼電器狀態(tài)。 按照上述方法不斷進(jìn)行實驗比對后，解析出協(xié)議格式，如圖5 所示。

圖5 協(xié)議格式

3.2 二進(jìn)制代碼分析實驗

(1)搭建環(huán)境

首先，在Ubuntu 系統(tǒng)中啟動搭建好的TEMU 分析平臺，同時啟動QEMU 仿真器中安裝的客戶機系統(tǒng)Windows XP2；然后，加載TEMU 插件，通過命令“l(fā)oad_plugin”加載指定路徑下的跟蹤插件，調(diào)用回調(diào)函數(shù)處理和監(jiān)控某些對應(yīng)的指令操作行為；最后，通過使能仿真系統(tǒng)模擬真實操作系統(tǒng)所有的CPU、存儲、IO 設(shè)備等功能模塊。

(2)協(xié)議提取

通過跟蹤指令trace 監(jiān)控目標(biāo)進(jìn)程的運行情況，將跟蹤到的結(jié)果信息存放在指定的文件里。 如圖6所示，圖中“736”是目標(biāo)進(jìn)程server.exe 的id 號，“./temu_tracefiles/server.trace”是存放跟蹤產(chǎn)生的二進(jìn)制信息的指定文件。server.exe 是本文設(shè)計的處理網(wǎng)絡(luò)通信的服務(wù)端程序，具有發(fā)送、接收和處理網(wǎng)絡(luò)數(shù)據(jù)的功能。

在客戶機系統(tǒng)中運行server.exe 應(yīng)用程序，通過指令trace 跟蹤進(jìn)程server.exe 的動態(tài)二進(jìn)制執(zhí)行軌跡，生成一個二進(jìn)制記錄文件：server.trace。 該文件里包含了跟蹤插件監(jiān)控的所有指令對應(yīng)的二進(jìn)制代碼。 通過反匯編器IDA pro 將二進(jìn)制文件轉(zhuǎn)化為匯編代碼。 跟蹤目標(biāo)應(yīng)用程序server.exe 完成后，卸載跟蹤插件，停止模擬跟蹤功能。

通過TEMU 動態(tài)分析后，生成server.exe動態(tài)執(zhí)行的匯編指令文件：trace.asm，繼而按照2.2 節(jié)描述的方法進(jìn)行協(xié)議解析。

查看TEMU 動態(tài)跟蹤生成的匯編文件、顯示應(yīng)用程序server.exe 處理的十六進(jìn)制污點源數(shù)據(jù)以及啟動協(xié)議逆向分析，這些功能都可在讀取協(xié)議數(shù)據(jù)對話框中實現(xiàn)，如圖7 所示。

圖8 是提取協(xié)議語法字段和語義信息的界面示圖，主要由協(xié)議分析結(jié)果呈現(xiàn)和特征信息錄入兩部分構(gòu)成。 協(xié)議分析結(jié)果模塊是呈現(xiàn)通過后臺協(xié)議逆向分析算法所解析出的協(xié)議語法要素和語義信息。 特征信息錄入模塊是對協(xié)議分析結(jié)果的特征信息進(jìn)行錄入操作，以避免重復(fù)分析，提高分析效率。

4 結(jié)論

實驗證明，本文提出的面向工控協(xié)議的網(wǎng)絡(luò)報文序列解析法和二進(jìn)制代碼分析法，均得以在實際環(huán)境中發(fā)揮效用，實現(xiàn)對工控協(xié)議的語義級解析。其中，網(wǎng)絡(luò)報文序列解析法采用報文比對方式，對技術(shù)能力要求較低，但需要獲取大量報文并進(jìn)行比對分析， 公有協(xié)議可配合協(xié)議公開文檔進(jìn)行分析，但私有協(xié)議往往需要靠語義猜測來進(jìn)行解析，解析的完整性、準(zhǔn)確性較低；二進(jìn)制代碼分析法采用固件逆向解析方式，通過直接提取協(xié)議固件、數(shù)據(jù)預(yù)處理、反編譯等一系列的操作解析出協(xié)議格式，實現(xiàn)深度語義級解析，即實現(xiàn)解析到功能碼后面的內(nèi)容或值，但解析周期長，對技術(shù)能力要求較高。

圖6 TEMU 監(jiān)控目標(biāo)進(jìn)程截圖

圖7 讀取協(xié)議數(shù)據(jù)對話框

圖8 協(xié)議分析結(jié)果和特征錄入