多節點融合的工業控制系統網絡安全防護*

鄭孝怡，祝路平

（1.衢州職業技術學院，浙江 衢州 324000；2.浙江巨化熱電有限公司，浙江 衢州 324000）

1 工業控制系統網絡安全現狀

工業控制系統通常指由工業生產控制部件及計算機設備組成的網絡化系統[1]。傳統的工業控制網絡不與外界通信，是一種基于物理隔離的網絡，可以有效地避開來自外界的攻擊。因此傳統的工業控制網絡主要注重運行安全而忽略了對網絡信息安全的防御。隨著工業與信息技術的高度融合，導致工業控制系統更容易遭受網絡攻擊或病毒傳播，給工業控制系統帶來了很大的安全威脅。

來自國家信息安全漏洞共享平臺的數據顯示，截至2020 年2 月18 日，國內上報到漏洞庫的工業控制系統漏洞數達到2362 個，如圖1 所示，2010 年以前每年的工控系統發現的漏洞數量不超過5 個，1970 年數據為此前漏洞發現數量的匯總。2010 年以后，工控漏洞發現數逐年遞增，這表明工控安全真正在逐步受到企業乃至政府的重視。

圖1 工業控制系統漏洞發現年份分布圖

具體到衢州市，來自市國民經濟和社會發展統計公報的數據，截至2019 年末，全市共有規模以上工業企業991家。各企業所用工業控制系統各不相同，有國產的、有進口的，品牌有西門子、艾默生、和利時、南自南瑞等等，相關設備在國家信息安全漏洞共享平臺均有多個漏洞被公布，信息安全形勢非常嚴峻。以巨化集團公司熱電廠為例，作為大型化工聯合企業的全資子公司，共有艾默生的OVION 系統，福克斯波羅的DCS 系統，和利時的M6，西門子的S7-200、300 系統，以及南自南瑞的電氣監控系統。當前公司采用三級網絡架構，分別是生產運行網、信息網以及外網，各級網絡間采用嚴格的隔離措施，數據傳輸采用OPC 協議的單向傳輸方式，同時工作人員的操作權限也采用嚴格的分級機制。然而，工控設備的漏洞、病毒依然存在，且防不勝防，給生產運營帶來了很大的困擾。

2 工業控制系統網絡安全研究簡介

隨著大量網絡威脅涌入工業控制系統，工業控制系統的網絡安全已成為亟需解決的問題之一[2]。在攻擊行為發生早期，對其進行及時診斷以掌握具體準確的攻擊信息，對于開展迅速有效的安全防御起到至關重要的作用。當前工業控制系統的攻擊診斷問題研究主要涉及攻擊檢測和攻擊辨識（又稱攻擊估計或重構）兩方面問題，現有結果主要圍繞攻擊檢測問題展開。攻擊檢測方法用于判斷某個時刻工業控制系統是否遭受攻擊，早期在計算機領域已有不少學者從信息系統角度給出了有效的攻擊檢測方案[3-4]。考慮到工業控制系統的信息系統和物理系統之間存在緊密的相互作用，并且攻擊對象也可能是物理元器件，因而控制領域專家進一步從控制理論角度對攻擊檢測問題進行了探索[5-6]。

然而，應當指出，攻擊檢測方法僅僅關注如何確定攻擊發生的時間。與之相比，攻擊辨識通過在線估計攻擊信號還能獲得攻擊信號的位置、類型和大小等具體信息，更有利于系統管理者開展迅速的攻擊溯源以及針對性防御。

3 工業控制系統網絡安全防護策略

本文針對工業控制系統遭受拒絕服務攻擊、重放攻擊和隨機攻擊構成的組合攻擊情況，設計分布式卡爾曼融合辨識算法實現攻擊的估計與重建。

3.1 攻擊機理分析

考慮一類具有多節點的典型工業控制系統如圖2 所示。由于系統狀態個數較多，一般由分布在不同區域的多個傳感器分別對工業控制系統的部分狀態進行測量，進而形成對工業控制系統物理過程的整體感知。由于匯聚節點具有較強的計算能力和數據傳送能力，通常每個區域內的傳感器需先將測量信息發送至最近的匯聚節點，由匯聚節點對局部測量數據進行初步處理，繼而通過網絡將局部數據處理結果發送至融合中心。控制器根據信息融合結果計算生成控制指令，并通過網絡發送至執行器。在數據傳輸過程中，攻擊者均可通過ARP 攻擊、IP 欺騙或者修改端口鏡像等方式將黑客計算機偽裝成網關，從而保證帶有傳感器測量信息的數據包會抵達黑客計算機網卡，黑客可抓取數據包并解析出測量數值、MAC 和IP 地址、序列號、確認號等信息，進而偽造虛假數據包并轉發至下一級數據接收端。圖2 顯示了工業控制系統可能遭受的攻擊。

圖2 工業控制系統網絡攻擊示意圖

3.2 攻擊信號局部辨識

根據上述攻擊過程，首先將拒絕服務攻擊、重放攻擊、隨機攻擊與正常數據的偏差信號作為攻擊信號，從而對不同攻擊行為進行統一建模。接下來要解決的問題是如何在匯聚節點設計局部攻擊估計器。由于攻擊信號可由攻擊者任意給定，傳統未知輸入觀測器往往是基于固定增益，難以對快時變未知信號進行準確辨識，因而需要發展新的攻擊估計器處理上述問題。為此，設計迭代形式的卡爾曼攻擊估計器，對增益進行實時更新，并充分抑制系統噪聲對攻擊辨識性能的影響，從而實現攻擊信號的局部辨識。

3.3 補償機制下的融合攻擊辨識

基于上述局部攻擊辨識機制，匯聚節點需要進一步將局部估計值發送至遠端融合中心進行融合估計，考慮到信息傳輸過程中受到時延、丟包等網絡不確定性因素影響，同時可能再次遭受網絡攻擊，從而造成融合攻擊辨識性能大幅惡化，因而需要在融合中心設計攻擊辨識補償機制。首先，針對時延和丟包問題，考慮在傳感器端對所有數據包在發送前標記時間戳并進行備份，若某個數據包在傳輸過程中丟失，則在下一個采樣時刻將數據包備份發送給融合中心，進而在融合中心結合迭代函數和信息預測方法設計攻擊補償辨識值。其次，針對二次網絡攻擊問題，需要建立針對虛假數據包的有效識別機制。由網絡攻擊的產生原理可知，偽造數據包的過程通常是對數據的數值信息進行了替換，同時保留了測量數據的其他身份特征信息，如MAC 和IP 地址、序列號、確認號等信息以達到迷惑接收端的目的。為此，需在融合中心端對虛假數據包進行有效識別。可在匯聚節點發送數據包時，在數據包描述數值的字段嵌入一定位數的動態校驗碼。因此，一旦數據包在傳輸過程中被替換，校驗信息則會遺失，融合中心可通過核對校驗信息以確定是否發生攻擊。若判斷發生攻擊，則在融合中心設計基于信息預測的補償攻擊辨識值。基于上述辨識補償機制，最終通過求解融合攻擊辨識性能優化問題找到一組最優加權矩陣。

基于上述方法，對組合攻擊進行融合辨識的流程如圖3 所示。

圖3 融合攻擊辨識流程圖

4 結束語

本文提出了一種多節點融合的工業控制系統網絡安全防護策略，基于該策略對工業控制系統進行安全監控，可以即時確定網絡攻擊發生的時間、位置以及攻擊的方式，以便于及時采取正確的安全防護措施，從而減少因網絡安全引起的停產事故，設備損失以及人員安全風險，進而減少經濟損失。