基于IEC61499的工業控制系統跨域攻擊風險傳播分析

廖文璇，梁旭清，杜 鑫，周純杰

（華中科技大學 人工智能與自動化學院，武漢 430074）

0 引言

隨著工業互聯網和5G等技術的發展和應用，工業控制系統逐漸由封閉、孤立轉向開放互聯，在網絡化、智能化的同時也面臨著更多網絡攻擊的威脅。例如，2010年“震網病毒”攻擊伊朗核設施，導致大量離心機損壞[1]；2016年烏克蘭電網遭遇黑客攻擊，造成大范圍停電[2]。風險評估技術能夠定量或定性分析攻擊對整個系統造成的風險，在攻擊引發嚴重后果之前發現潛在風險，從而起到告警的作用并輔助決策者采取防護措施[3]。

面向工業控制系統信息層的攻擊往往具有較強的隱蔽性，攻擊一旦經過信息層傳播至物理層，可對生產過程造成巨大的破壞[4]，因此對風險從信息層向物理層之間的傳播過程進行分析預測是工控系統安全防護研究的重點。文獻[5]中通過分析電力CPS系統的信息物理結構和運行機理，建立信息物理一體化的CPS風險傳遞模型，從而評估信息風險對配電網設備的影響。但是這種方法復雜度較高，不適用于更加復雜的系統。文獻[6]中結合專家知識和歷史數據建立貝葉斯網絡，通過先驗概率推理網絡攻擊入侵概率以及對物理設備造成的影響。但是這種方法未結合系統的控制過程，不能準確描述風險從信息層向物理層傳播的具體過程。

因此，基于工業控制系統的典型信息物理架構，本文提出基于IEC61499標準[7]建立系統的控制層模型，通過系統的控制層模型對網絡攻擊風險的跨域傳播過程進行分析。最后以催化裂化裝置為對象驗證本文給出的風險跨域傳播分析方法的有效性。

1 網絡攻擊下工業控制系統的跨域風險

1.1 工業控制系統典型架構

工業控制系統是信息層與物理層緊密結合的系統，典型的工業控制系統架構可以劃分為5層，如圖1所示。工業控制系統的企業層、管理層和監控層統屬于信息層，設備層以及系統的受控對象屬于物理層。信息層設備主要負責決策、生產管理、調度執行以及現場數據的監控與處理；物理層設備主要負責執行信息層指令，根據實時性要求正確、高效地完成生產制造工作。工業控制系統中信息物理層高度耦合，物理層的傳感器采集到的數據會被采集到信息層中進行監控和處理，信息層下發的指令也會通過控制層作用于物理層，對物理設備的運行產生影響。

圖1 工業控制系統典型架構示意圖

1.2 工業控制系統中風險的跨域傳播

由于工業控制系統信息物理域高度耦合，從信息層設備入侵的網絡攻擊造成的風險很可能從信息域跨域傳播至物理域。以2010年“震網病毒”攻擊伊朗核濃縮工廠事件為例：病毒首先從工廠的辦公電腦入侵，并經信息層設備最終傳播至PLC；然后，病毒修改PLC內部程序，從而修改離心機的旋轉頻率，同時上傳偽造的正常工作數據導致監控層設備未能發現離心機工作異常；最后攻擊者成功讓工廠中的大量離心機因疲勞工作而報廢。由此可見，網絡攻擊對信息層發起攻擊之后，可在信息層中傳播并通過影響控制層設備使風險傳播至物理層設備，最終影響物理生產過程并造成巨大的損失。

2 基于IEC61499的跨域攻擊風險傳播分析方法

2.1 跨域攻擊風險傳播分析方法框架

本文提出的工業控制系統跨域攻擊風險傳播分析框架如圖2所示，主要分為兩個部分：基于IEC61499標準的工業控制系統控制層建模和基于控制層模型的跨域攻擊風險傳播分析。前者基于IEC61499標準構建工業控制系統的控制層模型；后者使用控制層模型替代系統的控制層設備，并將網絡攻擊經過信息層傳播最終對控制層的影響作為該模型的輸入，預測此時控制層對物理層設備的影響，從而得出攻擊風險跨信息物理域的傳播過程。

圖2 跨域攻擊風險傳播分析方法框架

2.2 基于IEC61499的工業控制系統控制層建模

IEC61499是用于分布式工業過程測量與控制系統功能塊的標準，它提供了將控制系統模塊化處理的新思路。IEC61499標準定義了以功能塊（Function Block，FB）作為分布式應用的主要模塊，功能塊將控制算法進行封裝，系統設計者可根據控制功能的需要選擇特定功能塊，并按照IEC61499標準將輸入輸出互連，從而形成完整的工業應用[8]。

IEC61499標準對功能塊和應用的定義如下：功能塊由執行控制邏輯和內置算法組成，功能塊接收的數據與事件相互綁定，執行控制邏輯依據功能塊接收的事件來執行對應的內置算法，內置算法讀取事件綁定的數據進行處理；應用由多個功能塊組成，以完成某個特定的功能，構成同一個應用的各個功能塊可部署到不同的設備之中。幾種常見的功能塊結構及其功能見如表1所示。

表1 幾種常見的功能塊

基于IEC61499標準構建工業控制系統控制層模型的主要步驟如下：

1）將整個控制層劃分為多個控制回路；

2）對于控制回路，將其作為一個應用來設計，可將其劃分為控制器功能塊、時鐘功能塊、模擬輸入（Analog Input，AI）功能塊、模擬輸出（Analog Output，AO）功能塊等；

3）對于每個功能塊，按照IEC61499標準來對其進行設計，根據其需要完成的功能分別設計執行控制邏輯以及內置的算法。

基于IEC61499標準功能塊模型構建的一個PID控制回路如圖3所示。

圖3 基于IEC61499構建的控制回路

2.3 基于控制層模型的工業控制系統跨域攻擊風險傳播分析

工業控制系統具有特定的生產目標，信息層負責根據實時的生產目標對物理層設備進行調控，并實時監測物理層設備的狀態。但是，信息層設備一般不直接與物理設備交互，而是向控制層設備下發指令，通過控制層設備來間接控制物理設備。因此，本文通過控制層模型來分析網絡攻擊風險從信息域向物理域的傳播過程。

如圖4所示，信息層的攻擊風險通過控制層跨域傳播至物理層的路徑主要包括三種：

圖4 跨域攻擊風險傳播過程示意圖

1）攻擊者通過中間人攻擊或者拒絕訪問攻擊等手段使得控制層設備無法接受到信息層的調控指令或者接受到錯誤的調控指令，從而做出錯誤或者不及時的響應。

2）攻擊通過信息層設備進行傳播并最終篡改控制層設備，導致其對物理層下發攻擊者期望的錯誤指令。

3）攻擊篡改控制層設備采集到的物理層設備的生產數據，使得控制層對物理層設備的狀態產生錯判，最終導致控制層下發錯誤的控制指令。

對于攻擊路徑2，控制層向物理層下發的錯誤控制指令即為攻擊對物理層造成的影響；對于攻擊路徑1和攻擊路徑3，通過控制層模型預測攻擊影響下控制層向物理層下發的錯誤指令，從而得出攻擊對物理層造成的影響。

3 實例驗證

3.1 實驗對象

本文選取催化裂化裝置仿真平臺中的精餾塔及其控制層作為實驗對象。催化裂化是石油煉制過程之一，催化裂化裝置是主要的汽油生產裝置，其安全對整個煉油行業都起著舉足輕重的作用[9]。本文根據石油化工行業催化裂化的一般流程搭建了一個簡化的仿真平臺，抽象形成的拓撲圖如圖5所示。

圖5 催化裂化裝置拓撲圖

該仿真平臺中精餾塔對象的控制層主要包含五個控制回路，分別為兩個液位控制回路、一個流量控制回路、一個壓力控制回路和一個溫度控制回路，如表2所示。

表2 精餾塔控制層中的控制回路

3.2 控制層建模實驗及結果

本文使用Java語言對IC61499標準的功能塊進行實現。由功能塊組成的控制回路的工作流程如下：首先，各個功能塊接收初始化事件，完成初始化動作；然后，時鐘功能塊定時使能AI功能塊，AI功能塊采集過程變量的值發送給PID功能塊；接著，PID功能塊通過內置控制算法計算操縱變量的更新值并將其發送給AO功能塊；最后，AO功能塊等待時鐘功能塊使能，將操縱變量更新到物理對象。

將基于IEC61499標準構建的控制回路組成的控制層模型對物理設備直接進行控制，整體結構如圖6所示。

圖6 控制層模型結合物理對象示意圖

運行控制層模型并啟動物理設備，對物理設備的受控參數如冷凝器和再沸器液位、進料摩爾流量和冷凝器壓力等進行實時控制，結果如圖7所示。實驗結果表明，基于IEC61499標準所構建的控制層模型可以替換控制層設備與物理設備進行對接，控制算法使得各個物理設備能夠穩定工作在期望的狀態下。

圖7 基于IEC61499的控制模型的控制效果

3.3 跨域風險分析實驗及結果

本文設計了兩種攻擊場景，分別是網絡攻擊導致信息層向PLC下發錯誤指令，以及網絡攻擊導致PLC采集到的過程變量數據被篡改，兩種攻擊場景的具體說明如表3所示。

表3 兩種攻擊場景的說明

在實驗平臺中預設兩種攻擊場景，然后使用3.2中構建的控制層模型對攻擊風險從信息層向物理層的傳遞過程進行仿真，結果如圖8所示。第一種攻擊場景下，預設網絡攻擊入侵信息層，并控制信息層設備在t1時向PLC下發錯誤指令，導致PLC中再沸器液位的期望值從51%修改為47%，此時由于過程變量期望值被修改，PLC會下發控制指令使得過程變量的值與攻擊者的期望值相符，導致精餾塔的運行偏離正常工作狀態，到t2時攻擊風險已完全從信息層傳遞到物理設備；在第二種攻擊場景下，預設網絡攻擊入侵信息層，并最終在t3時刻篡改PLC采集到的過程變量的值。由于采集到的過程變量的值為篡改后的值，與PLC預設的期望值不符，PLC會下發控制指令進行調節，但是此時過程變量的實際值即為期望值，在受到調節之后反而會偏離期望值，如t3至t4所示，攻擊風險因此從信息層傳遞到物理設備。

圖8 跨域攻擊風險分析實驗結果

實驗結果表明，基于控制層模型可以準確地分析網絡攻擊造成的風險如何通過控制層從信息層跨域傳播至物理層，并預測物理層設備受到的影響。

4 結語

針對工業控制系統網絡攻擊風險跨信息物理域傳播的問題，本文提出了一種基于控制層模型的分析方法。首先，基于IEC61499標準構建系統的控制層模型；然后，通過控制層模型預測網絡攻擊的風險如何向物理層傳播。實驗結果表明，所建立的模型能夠控制物理對象穩定工作；在該模型的基礎上，所提出的方法可以分析信息層攻擊風險向物理層的傳播過程，提前預測物理層受到的影響。