電力物聯網設備安全檢測系統設計與應用

劉冬蘭，張 昊，盧思翰，張方哲，孫莉莉

（1.國網山東省電力公司電力科學研究院，山東 濟南 250003；2.國家電力投資集團，北京 100032）

0 引言

電力行業是國民經濟的基礎產業，是國民經濟發展和人民生活極其重要的基礎設施之一［1-3］。電力系統作為涉及國家安全的關鍵基礎設施，成為安全生產工作的重中之重。隨著能源互聯網建設，大量的電力物聯網設備被應用到電網的設備控制、數據采集、環境監測等工作中。一方面提升了電網的信息化和智能化水平，但同時也引入了大量的信息安全漏洞，對電力系統的安全穩定運行產生極大威脅。

隨著物聯網產業和應用加速發展，一些新問題日益突出，數以億計的設備接入物聯網，針對用戶隱私、基礎網絡環境等的安全攻擊不斷增多［4-8］。由于電力物聯網設備數量巨大、物理部署范圍更廣，目前面臨的風險主要包括三方面：第一，終端設備通常散布在無人值守區域或者各類不安全的物理環境中，可能遭到物理破壞或者俘獲。第二，終端操作系統可能存在弱口令、程序漏洞、大量開放端口等安全風險，易感染惡意軟件，遭受破壞性攻擊或者拒絕服務攻擊，甚至被非法控制，構成僵尸網絡。第三，終端采用的通信協議類型豐富多樣，部分網絡通信協議在設計之初未考慮安全，或者存在安全設計缺陷，導致數據在信道傳輸過程中存在被中間人竊聽、劫持、篡改、破解、重放等安全風險。第四，設備存在的未修復安全漏洞，可能被不法人員或組織利用，引起電力系統大面積故障，給經濟和社會的穩定運行帶來重大影響。

目前，國家電網有限公司在電力物聯網設備檢測方面，主要包括功能性能及質量層面的檢測，缺乏安全性檢測體系［9-11］。但是，電力系統物聯網設備所引入的安全漏洞實質上處于無法評估的“黑洞”狀態，嚴重威脅了電網系統的安全穩定運行［12-17］。基于上述原因，亟須對電力系統中應用的物聯網設備在信息安全維度對其設備安全性、網絡安全性等進行系統性體系化的測評系統。

1 關鍵技術

為保證電力物聯網系統安全穩定運行，對入網的物聯網設備進行安全檢測，識別設備上存在的安全問題，確保設備安全性處于合理且可控的范圍內是非常重要的。為了實現高效、準確的電力物聯網設備安全檢測，離不開在設備指紋識別、網絡協議識別和固件安全性分析等方面關鍵技術的研究進展。

1.1 設備指紋識別

由于電力物聯網設備眾多，為實現對系統的安全檢測，首先需要解決的是系統內設備識別的問題。設備指紋是不同設備在通信過程中所攜帶的標志性信息，可以用于辨識各種不同的設備。目前主流的設備指紋識別技術，從實現方式上分為以下3種。

1）主動式。

主動采集設備的各類信息，比如媒體存取控制位址（Media Access Control Address，MAC）、設備國際移動設備識別碼（International Mobile Equipment Identity，IMEI）、廣告追蹤ID 等與客戶端上生成唯一的device_id。

主動式設備指紋識別技術的局限性在于：不同生態的平臺對用戶隱私數據開放權限不同，很難統一生成唯一識別碼，且無法實現Web 和App 跨域統一；由于強依賴客戶端代碼，這種方式生成的指紋在反欺詐的場景中對抗性較弱。

2）被動式。

被動式設備指紋技術在終端設備與服務器通信的過程中，從數據報文的開放系統互聯（Open System Interconnection，OSI）七層協議中，提取出該終端設備的操作系統、協議棧和網絡狀態相關的特征集，并結合機器學習算法以標識和跟蹤具體的終端設備。

與主動式設備指紋技術相比，被動式設備指紋并不必須在設備終端上嵌入用于收集設備特征信息的JS（Javascript）代碼或軟件開發工具包（Software Development Kit，SDK），其所需要的設備特征都是從終端設備發送過來的數據報文中提取，這也是其所謂“被動式”的原因。其適用范圍更廣，一些無法植入SDK 和JS 的場景也可以使用。同時跨Web/App，以及同步瀏覽器同一兼容性識別，主動式設備指紋技術，因為相對來說更為簡單直接，所以業界大部分設備指紋技術廠商提供的都是該類設備指紋服務。

被動式設備指紋技術，由于其需要使用機器學習技術構建設備指紋分類算法模型，具有較高的技術壁壘，因而還處于推廣起步階段。

3）混合式。

混合式設備指紋識別技術既有主動采集部分，又有服務端算法生成部分。通過植入SDK和JS，埋點在固定的業務場景，被動觸發時的主動去采集要素，并與服務端交互，通過算法混淆加密后，在服務端生成唯一的設備指紋ID，同時寫入唯一ID 存于App 應用緩存或瀏覽器cookie 中。一定時間內，用戶再次使用對應業務埋點頁面時，無須大量重新上傳采集要素，只用比對要素變化比例，通過加權比對，計算得出置信度數值，并通過閾值判斷是否重新生成設備指紋碼。正常用戶在使用時理論上是無感知且很少會主動篡改設備指紋唯一ID。

混合式設備指紋技術克服了主動式設備指紋和被動式設備指紋技術各自的固有的缺點，在準確識別設備的同時擴大了設備指紋技術的適用范圍。對于Web頁面或App內部的應用場景，可以通過主動式設備指紋技術進行快速的設備識別；而對于不同的瀏覽器之間、Web 頁面與App 之間的設備識別與比對關聯，則可以利用被動式設備指紋的技術優勢來實現。

1.2 網絡協議識別

網絡協議識別對于基于通信數據的網絡安全檢測和防御有著重要的意義。一般情況下，網絡協議是同質化的、標準化的，但實際上各種網絡協議在應用過程中存在一些差別。基于這些差別，通過協議指紋匹配和協議規則驗證可以實現網絡協議的識別。其中，網絡協議的指紋特征描述和匹配識別可基于快速哈希表方法實現。

網絡協議識別的技術主要包括：

1）基于TCP/UDP端口的識別技術。

傳統的應用協議識別算法僅使用傳輸控制協議/用戶數據報協議（Transport Control Protocol/User Data Protocol，TCP/UDP）端 口 進 行 識 別 協 議。在Internet 編號分配管理機構互聯網驅動器等權限（Internet Assigned Numbes Authority，IANA）中有各個協議詳細的注冊端口號。例如，常用的工業互聯網協議OPC 基于的DCERPC 協議的端口號是135，Modbus 的端口號是502，IEC104 的端口號是2 404。由于基于TCP/UDP 端口的識別算法簡單，需要的相關信息少，基于TCP/UDP 端口的識別算法的時間復雜度和空間復雜度是所有協議識別算法中最低的。

在工業網絡中，網絡環境是封閉的，網絡中可連接的設備、服務、拓撲結構等都是已知的。在封閉的網絡中，不會大量出現未知的新應用，已知服務的端口號變更情況也是可以獲取的，基于TCP/UDP 端口的識別技術完全可以保證報文的覆蓋率和識別率。另外，工控網絡對網絡安全設備的處理速度有比較高的要求，基于TCP/UDP 端口的識別技術是目前常用的協議識別技術中效率最高的，它可以有效提高網絡安全設備的處理速度，因此，基于TCP/UDP端口的識別技術比較適用于工業網絡環境。

2）基于報文負載特征的識別技術。

為了提高應用協議識別的準確性，可以通過利用網絡數據報文的負載部分對應用層協議進行識別。此方法需要事先詳細分析待識別的應用協議的報文負載內容，找出其通信過程中不同于其他任何應用協議的內容作為該應用協議的特征，也稱作該應用協議的“指紋”特征。在應用協議識別過程中，該類算法檢查數據流中每個數據包TCP首部或UDP首部之上的應用層負載部分，若匹配到某應用協議的指紋特征，則將該數據流標記為相應的應用協議。

在工業網絡中，常見的工業協議的指紋特征都比較弱，即可以用來識別的負載特征比較短，例如OPC，Modbus，IEC104，可以用來作為指紋特征的字段長度不多于2 Byte，如果使用基于報文負載特征的識別技術，將帶來比較高的誤報率。但是，當使用基于TCP/UDP 端口的識別技術無法識別協議時，例如S7協議和微軟媒體服務器協議（Microsoft Media Server Protocol，MMS）協議使用了相同的端口，這時就需要使用報文負載特征的識別技術來區分它們了。

3）基于關聯分析的檢測和識別技術。

在網絡中，有一些應用協議使用不止一條連接流傳輸數據。此類業務應用的控制通道和數據通道是分離的，數據通道沒有任何指紋特征和端口特征，因此，需要使用關聯分析的識別技術對數據流進行識別。該技術首先識別出控制通道，其次分析控制通道數據流中協商數據通道信息的數據，得到數據通道的IP 和端口特征，最后，根據上述IP 和端口特征來識別數據流。常見的文件傳輸協議（File Transfer Protocol，FTP）等協議的數據通道就需要靠關聯分析的檢測和識別技術來進行識別。

關聯分析具有特殊的適用性，因此一般需要和基于TCP/UDP 端口的識別技術等其他技術配合使用，能夠很大的提高應用協議識別的準確率。由于工業網絡中常見的對象鏈接與嵌入的過程控制數據訪問協議（Object Linking and Embedding for Process Control Data Access，OPCDA）也使用多條數據流的方式傳輸數據，因此，此技術依然適用于工業網絡。

4）基于行為特征的識別技術。

基于行為特征的識別技術利用統計學原理，根據應用協議數據流的統計學特征，即：不同的應用協議體現在會話連接狀態或者數據流上的狀態各有不同。例如，基于對等網絡（Peer to Peer，P2P）下載應用的流量的統計學特征為長流大報文，平均包長都在450 Byte以上，下載時間長，連接速率高，優先使用的傳輸層協議為TCP 等。在基于行為特征的識別技術的使用過程中，通過分析數據連接流的包長、連接速率、傳輸字節量、包與包之間的時間間隔等信息來與已知標準答案的流量特征模型對比，從而實現識別應用類型，即所使用的協議類型。因此，該方法要進行多元判斷分析。同時，由于該方法不需要逐包讀取報文內容，其識別速度也比較快。

1.3 固件安全性分析

嵌入式設備通過驅動軟件來執行指定的任務，這個驅動軟件就是固件。固件與傳統的應用程序軟件相比，主要區別包括：1）固件通常直接與底層硬件交互以執行其任務；2）固件通常被集成到嵌入式設備中，存儲在只讀存儲器（Read-Only Memory，ROM）或帶電可擦可編程只讀存儲器（Electrically Erasable Programmable Read Only Memory，EEPROM）中；3）嵌入式系統固件的格式復雜多樣，沒有統一的標準，通常其數據和代碼是交織在一起的，執行的入口點可能硬編碼在固件中便于CPU直接使用。

根據嵌入式設備所使用的操作系統類型，固件主要可分為三類：1）I型，基于通用目的操作系統，通常具有較強大的處理器性能和高容量的內存，其固件格式和文件系統相對健全；2）II 型，基于嵌入式操作系統，通常適用于一些計算能力較低的設備，內存管理功能不健全，有較為簡單的文件系統，常用于單用途的用戶電子設備；3）III 型，不具備操作系統抽象，不存在內存管理和文件系統，功能相對簡單。

嵌入式設備通常由硬件、固件/系統、應用軟件和網絡服務組件組成，固件在這幾個層面上均存在被攻擊的可能，這對于嵌入式設備的運行安全存在巨大的威脅，因此對固件的安全性進行分析是非常重要的。

固件獲取和解析通常是進行固件安全性分析的第一步。不同于傳統計算機，嵌入式設備固件通常存儲在閃存上，需要通過特殊方法進行提取，主要有以下幾類：1）通過調試接口獲取，如聯合測試工作組（Joint Test Action Group，JTAG）接口或通用異步收發傳輸器（Universal Asynchronous Receiver/Transmitter，UART）調試口；2）通過模擬設備行為獲取，在通信的數據格式和交互協議的基礎上，通過修改設備型號或版本號等參數欺騙云端，發送空中下載技術（Over-the-Air Technology，OTA）更新請求，獲取固件的下載鏈接；3）在線獲取，主要通過訪問設備廠商網站，獲取公開可用的固件，通過分析網絡通信流量即可得到，但很多設備廠商并未開放公開下載渠道。

目前主流的固件安全性分析工作包括：1）漏洞檢測，基于已知的固件漏洞，通過相似度檢測或關聯算法，判斷新的固件中是否存在類似漏洞，后門漏洞主要檢測固件中是否存在弱口令、硬編碼等高危配置選項；2）分析方法，包括靜態分析和動態分析技術，靜態分析技術是目前的主流，適用性也較好，但存在誤報的問題，需要結合動態分析技術進行彌補；3）符號執行，依賴于反匯編引擎、插樁引擎、求解器等分析組件，生成固件的約束條件集，由分析器分析約束條件以輸出分析結果。

2 電力物聯網設備安全檢測系統設計

基于上述的設備指紋識別、網絡協議識別和固件安全性分析等關鍵性技術，本文設計并實現了電力物聯網設備安全檢測系統，包括設備識別、漏洞掃描、配置核查、固件檢測等核心安全檢測模塊。知識庫模塊主要包括設備庫、漏洞庫、配置庫、固件庫。

2.1 功能架構

電力物聯網設備安全檢測系統包括系統首頁、安全檢測模塊、知識庫模塊、報告模塊和系統管理模塊，如圖1所示。

圖1 電力物聯網設備安全檢測系統功能架構

系統首頁主要用于用戶查看系統的各項指標數據，包括知識庫條數、檢測任務及檢測問題統計等。

安全檢測模塊是電力物聯網設備安全檢測系統的核心功能模塊，具備設備識別、漏洞掃描、配置核查和固件檢測等功能。設備識別基于多種不同的設備識別技術來實現對種類繁多的電力物聯網設備的識別，目前支持自動識別、手動添加和批量導入功能。漏洞掃描支持空間資產探測、系統漏洞掃描、工控漏洞掃描等功能，能夠準確地檢測設備存在的安全漏洞。配置核查主要是根據安全配置核查基線對典型電力業務場景中的設備進行檢測，查找不安全的配置策略。固件檢測支持對上傳的設備固件進行自動分析及安全檢測。

知識庫模塊主要是將物聯網設備檢測工作的專家知識和分析模型進行了固化，目前包括設備庫、漏洞庫、配置庫和固件庫等知識庫構成。

報告模塊根據不同的檢測場景需求，定制化開發了檢測報告模板，目前支持自定義定制設備檢測報告、場景檢測報告、固件檢測報告。

系統管理模塊包含用戶管理、操作記錄和基礎配置等功能，為用戶提供系統配置入口。

2.2 系統部署架構

電力物聯網設備安全檢測系統在系統架構上，自下而上可分為基礎平臺層、系統服務層、系統核心層和系統接入層，如圖2所示。

圖2 電力物聯網設備安全檢測系統整體部署架構示意

基礎平臺層由支撐系統運行的硬件平臺和軟件環境構成。

系統服務層由安全檢測引擎和各類知識庫構成，根據業務流程進行各項安全檢測任務。主要包括設備庫、漏洞庫、配置庫、固件庫。

系統核心層包含設備識別、配置核查、協議檢測、應用檢測、系統檢測、固件檢測、場景檢測等核心檢測功能。

系統接入層由Web 管理界面和數據接口構成，可對外提供標準接口，便于與各項平臺數據融合。

2.3 電力物聯網設備安全檢測業務流程

電力物聯網設備安全性檢測業務流程如圖3所示。

圖3 電力物聯網設備安全性檢測業務流程示意

電力物聯網設備安全檢測業務流程由以下步驟構成：

1）用戶首先創建設備識別任務，添加待檢測的電力物聯網設備，系統利用設備庫中所集成設備指紋信息，對待測設備或系統進行自動掃描，將所識別到的設備添加至設備列表；

2）利用漏洞庫中所集成的漏洞信息，對待測設備進行漏洞掃描和識別；

3）利用標準配置庫中所集成的系統配置標準，對待測設備進行配置核查；

4）單一設備的漏洞掃描和配置核查結果，匯總為設備安全檢測報告；

5）對于系統中存在多個設備的情況，單一設備的檢測結果，會被關聯為場景，形成電力物聯網典型應用場景安全檢測報告；

6）用戶在系統上傳設備的固件文件，系統對固件進行解析后與固件庫中已有信息進行匹配和關聯，形成固件檢測結果，并輸出固件安全檢測報告。

3 實驗結果

3.1 電力物聯網設備安全檢測系統知識庫

目前，電力物聯網設備安全檢測系統已積累了品牌庫23 613條，固件庫11條，協議庫22條，漏洞庫159 763條，威脅特征庫1 028條，用例庫443條，有力地支撐了物聯終端安全性測試驗證。平臺首頁展示了各類知識庫情況，如圖4所示。

圖4 電力物聯網設備安全性檢測系統首頁

3.2 六款5G CPE設備安全性測試分析

利用本文設計研發的電力物聯網設備安全檢測平臺，對5G 標準型終端、5G 工業無線通信終端等六款5G CPE 設備進行了安全性測試驗證，共檢測出高危漏洞、中危漏洞及低危漏洞共計174 個。六款5G CPE設備安全性測試分析結果如表1所示。

表1 六款5G CPE設備安全性測試分析結果

3.3 檢測工具對比分析

利用自研的電力物聯網設備安全檢測系統檢測一臺5G CPE 終端，并與行業內知名的某公司漏洞掃描工具檢測結果進行了對比分析。

電力物聯網設備安全檢測系統共檢測出高風險、中風險、低風險安全漏洞共計110 個；行業知名某公司漏洞掃描工具共檢測出高風險、中風險、低風險安全漏洞共計106個。

從對比結果來看，本文自研的電力物聯網設備安全檢測系統在檢測準確率和覆蓋面方面強于行業上目前已有的漏洞掃描工具。兩臺檢測工具對5G CPE 終端檢測出來的安全風險對比分析如表2所示。

表2 5G CPE終端檢測風險對比分析

3.4 典型電力物聯網應用場景安全檢測分析

利用自研電力物聯網設備安全檢測平臺對三地市公司的啞終端、網關機、變電站智慧物聯示范場景等終端設備進行了安全漏洞檢測，共檢測出各物聯終端設備高危漏洞、中危漏洞及低危漏洞共計590個，終端具體安全問題如表3所示。

表3 三地市終端安全檢測分析結果

4 結語

本文基于設備指紋識別、網絡協議識別和固件安全性檢測等關鍵技術，提出了電力物聯網設備安全檢測系統的設計實現方案。對電力物聯網設備漏洞情況、配置安全性和固件安全性等多個角度進行綜合安全分析，實現了對設備安全性的檢測，自動化的系統設計大大提高了用戶開展物聯網終端設備安全檢測工作的效率。通過本系統，用戶能夠快速、高效地對電力物聯網設備進行安全檢測，并以此為依據決定是否允許該物聯網設備或系統接入電力系統網絡，避免了由于物聯網設備入網所帶來的安全風險和隱患。電力物聯網設備安全檢測系統能夠有效彌補入網設備信息安全維度測評缺失的問題，糾正電力物聯網設備未經過信息安全測評就入網的安全漏洞，有效防止電力物聯網設備應用導致的信息安全威脅，為電網的安全穩定運行提供基礎性的信息安全保障。