基于油氣集輸半實物仿真平臺的工控網(wǎng)絡安全測試研究

何戡 陳金喆 宗學軍 齊濟 孫永超

基金項目：遼寧省“興遼英才”計劃（批準號：XLYC2002085）資助的課題；遼寧省教育廳2020年度科學研究經(jīng)費項目（批準號：LJ2020020）資助的課題。

作者簡介：何戡（1978-），副教授，從事工業(yè)過程控制、機器學習等的研究。

通訊作者：陳金喆（1996-），碩士研究生，從事工業(yè)信息安全的研究，1159125190@qq.com。

引用本文：何戡，陳金喆，宗學軍，等.基于油氣集輸半實物仿真平臺的工控網(wǎng)絡安全測試研究［J］.化工自動化及儀表，2024，51（2）：274-283.

DOI：10.20030/j.cnki.1000-3932.202402017

摘 要 由于無法在實際環(huán)境中對工業(yè)控制網(wǎng)絡進行安全測試，提出一種基于油氣集輸半實物仿真平臺的網(wǎng)絡安全測試方法。該方法通過分析真實環(huán)境中工業(yè)控制網(wǎng)絡的結構和脆弱性，構建網(wǎng)絡安全測試模型，分別采用DoS攻擊、重放攻擊和虛假數(shù)據(jù)注入攻擊方式對仿真平臺進行網(wǎng)絡攻擊測試，并通過組態(tài)操作界面和沙盤模型對攻擊效果進行驗證；同時，對測試過程中出現(xiàn)的網(wǎng)絡安全問題進行總結并提出了防御措施，可為工業(yè)控制網(wǎng)絡安全防護提供重要參考。

關鍵詞 工業(yè)控制網(wǎng)絡 半實物平臺 工控協(xié)議 網(wǎng)絡安全測試 ARP欺騙

中圖分類號 TP393.08? 文獻標志碼 A? ?文章編號 1000-3932（2024）02-0274-10

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是對工業(yè)生產(chǎn)制造過程中各類自動化組件和實時數(shù)據(jù)采集、監(jiān)控等過程控制組件的總稱，廣泛應用于我國電力、石化、交通及燃氣等關鍵基礎設施和生產(chǎn)制造領域［1］。近年來，隨著工業(yè)化和信息化兩化融合的不斷推進，大量ICS設備開始接入互聯(lián)網(wǎng)，逐漸形成開放式工業(yè)控制網(wǎng)絡（以下簡稱工控網(wǎng)絡）［2］。在帶來便捷性的同時，也引發(fā)了越來越多的網(wǎng)絡安全問題［3］。2015年12月，烏克蘭3家供電公司的信息系統(tǒng)遭到黑客攻擊，造成約23萬人斷電［4］；2017年5月，全球爆發(fā)的WannaCry勒索病毒，使100多個國家和地區(qū)的電腦受到攻擊［5］；2021年5月，美國最大精煉油管道系統(tǒng)公司Colonial遭到勒索攻擊，被迫關閉多條供油網(wǎng)絡［6］。工控網(wǎng)絡安全至關重要，一旦受到攻擊將會造成難以承受的后果。

因此，開展工控網(wǎng)絡安全測試是保障其安全性的重要手段［7］。但由于工控網(wǎng)絡具有實時性強、可靠性高等特點，并與實際物理流程緊密相連，導致無法在實際生產(chǎn)環(huán)境中直接進行網(wǎng)絡安全測試［8］。在這一情況下，ICS仿真平臺便成了開展工控網(wǎng)絡安全測試研究的重要抓手［9］。

關于仿真平臺的研究，一網(wǎng)站［10］介紹了在美國能源部資助下建立的NSTB大型測試平臺，其通過全實物的形式將電網(wǎng)控制系統(tǒng)復現(xiàn)，用于開展攻擊測試、安全防護等研究。MORRIS T等介紹的密西西比州立大學創(chuàng)建的關鍵基礎設施測試平臺，包括燃氣管道在內(nèi)的7個物理過程和控制系統(tǒng)，研究人員通過平臺開發(fā)出一個串行Modbus和DNP3記錄器［11］。URIAS V等介紹的LVC測試床，通過物理硬件+仿真軟件形式對電力行業(yè)SCADA系統(tǒng)進行復現(xiàn)，用于安全評估和網(wǎng)絡攻擊類別研究［12］。近年來，隨著國家對工控安全的不斷重視，國內(nèi)多家科研機構和高校院所也開始了關于測試平臺的研究。北京威努特技術有限公司開發(fā)的工控網(wǎng)絡攻防演練平臺［13］，集攻防演練、安全評測、科研培訓多種功能于一體。朱文華等設計的基于RobotStudio的工業(yè)機器人工藝仿真平臺，可以用于工藝仿真結果的可行性測試［14］。楊輝等設計的重載列車輔助駕駛系統(tǒng)半實物仿真平臺，完成了輔助駕駛相關軟件的設計，并將軟件與硬件平臺相結合，驗證了半實物仿真平臺對軟件功能測試的實用性和有效性［15］。由此可見，ICS仿真平臺不僅可以在ICS的設計研發(fā)、功能測試及故障診斷等方面提供真實的工業(yè)環(huán)境，還能針對不同的工業(yè)場景進行模擬攻擊、漏洞挖掘及風險評估等系統(tǒng)健壯性研究，對提升ICS的安全監(jiān)測和防護能力具有重大意義［16］。

基于上述背景，筆者通過對工控網(wǎng)絡結構及其脆弱性進行分析，建立網(wǎng)絡安全測試模型，并通過該模型對油氣集輸半實物仿真平臺開展工控網(wǎng)絡安全測試，以攻擊者角度，通過分析平臺網(wǎng)絡存在的安全薄弱點，先后對其發(fā)起DoS攻擊、重放攻擊和虛假數(shù)據(jù)注入（False Date Injection，F(xiàn)DI）攻擊；并在明確攻擊路徑后，又以防御者角度對測試過程中暴露的網(wǎng)絡安全問題進行總結，提出了以平臺為代表的ICS網(wǎng)絡安全加固方案，以期為后續(xù)工控網(wǎng)絡安全建設提供參考。

1 相關工作

本節(jié)主要介紹油氣集輸半實物仿真平臺ICS網(wǎng)絡的基本結構及其薄弱點，并闡明了通過油氣集輸半實物仿真平臺進行ICS網(wǎng)絡安全測試研究的可行性。

1.1 ICS網(wǎng)絡的基本結構

ICS適用于多種行業(yè)，但由于各行業(yè)控制工藝不盡相同，工控網(wǎng)絡結構也會存在較大差異，但總體會呈現(xiàn)出明顯的網(wǎng)絡層次結構［17］，且一般都會包含以下3層：

a. 現(xiàn)場設備層。由各類過程傳感器和執(zhí)行設備組成，用于對生產(chǎn)過程中產(chǎn)生的數(shù)據(jù)進行采集和通過執(zhí)行器進行生產(chǎn)過程操作。

b. 現(xiàn)場控制層。由分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、控制單元等工控設備組成，用于對生產(chǎn)過程中各執(zhí)行設備進行控制。

c. 過程監(jiān)控層。主要通過數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）對生產(chǎn)過程中的參數(shù)進行采集和監(jiān)控，并通過人機交互界面（HMI）對整個ICS進行監(jiān)視和控制。

1.2 ICS網(wǎng)絡薄弱點

工控網(wǎng)絡主要由各類工控設備通過有線或者無線的方式與控制器連接組成［18］。由此，工控設備自身漏洞與設備間信息傳輸協(xié)議漏洞將是工控網(wǎng)絡威脅的主要突破點。

1.2.1 工控協(xié)議

由于早期ICS運行在物理隔離環(huán)境下，相關設計人員很少考慮協(xié)議安全因素，導致大量工控協(xié)議采用明文傳輸，并缺少安全驗證機制［19］。攻擊者在具有一定協(xié)議相關背景下，通過協(xié)議分析工具進行逆向分析，便能實現(xiàn)對傳輸數(shù)據(jù)的監(jiān)聽，甚至對數(shù)據(jù)進行篡改。

1.2.2 工控設備漏洞

由于工業(yè)環(huán)境的密閉性，ICS設備對應的軟硬件更新緩慢，無法做到及時升級，導致一些安全漏洞得不到及時修補；同時，ICS面對的是直接生產(chǎn)過程，對其設備進行升級存在一定的安全隱患，企業(yè)不敢輕易嘗試，這便使攻擊者可以借助暴露的軟、硬件漏洞實施對ICS的攻擊和破壞。

1.3 半實物仿真平臺

1.3.1 油氣集輸半實物仿真平臺

油氣集輸半實物仿真平臺［20］模擬某地區(qū)天然氣配氣站工藝流程，主要包含仿真沙盤、PLC控制模組及組態(tài)監(jiān)控等環(huán)節(jié)，其中PLC控制模組和組態(tài)監(jiān)控采用真實物理組件，工藝場景采用沙盤進行仿真模擬。最終，可以通過組態(tài)界面實現(xiàn)對整個天然氣配氣站生產(chǎn)流程的監(jiān)控，以數(shù)值變化、狀態(tài)動畫形式來表現(xiàn)閥門開度、電機啟停等控制過程，以數(shù)值顯示形式表現(xiàn)管內(nèi)壓力、流量統(tǒng)計等過程。圖1為油氣集輸半實物仿真平臺全景圖。

天然氣配氣站作為我國關鍵基礎設施的重要組成部分，包含ICS基本的網(wǎng)絡層次結構，對應的工控設備和組件也具有一定的工業(yè)通用性，對其進行網(wǎng)絡安全測試具有一定的工業(yè)代表性。筆者對所述平臺根據(jù)實際工藝流程進行簡化設計，主要圍繞四大模塊進行仿真，各模塊及具體功能如下：

a. 進站截斷閥組模塊。模擬在站內(nèi)發(fā)生緊急情況或重大事故的情況下，立即關斷進站閥門與去用戶閥門，同時放空站場內(nèi)氣體。

b. 分離過濾模塊。模擬進站氣體過濾環(huán)節(jié)，主要通過兩級過濾分離器實現(xiàn)，且每個過濾分離器支路都設有流量計。

c. 調(diào)壓系統(tǒng)模塊。模擬去用戶和城市門站的天然氣調(diào)壓供給環(huán)節(jié)，采用安全截斷閥門和電動調(diào)壓閥串聯(lián)而成的設計方案。

d. 計量系統(tǒng)模塊。模擬去用戶和城市門站的天然氣流量計量功能，且采用一主一備雙路設計，保證為下游用戶不間斷供氣。

1.3.2 仿真平臺網(wǎng)絡架構

根據(jù)“分散控制、集中操作、分級管理”的原則進行版式仿真平臺網(wǎng)絡結構設計［21］。結合天然氣配氣站工藝流程，將平臺網(wǎng)絡劃分為過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層3層結構，分別與ICS網(wǎng)絡層級關系相對應。過程監(jiān)控層采用高配置計算機作為工程師站和操作員站，安裝有FactoryTalk View Studio和SIMATIC WinCC雙組態(tài)軟件，用于對ICS進行監(jiān)視和操作?，F(xiàn)場控制層采用主流PLC作為控制器，型號包括Siemens S7-300、Siemens S7-1200、CompactLogix L30ER、MicroLogix 1400、MELSEC FX5U-32M等，分別與不同工藝環(huán)節(jié)相對應。現(xiàn)場設備層通過仿真沙盤對工藝場景進行復現(xiàn)，采用LED燈的亮滅來模擬工業(yè)現(xiàn)場閥門狀態(tài)、電機啟停等數(shù)字量變化情況，采用無線顯示屏模擬工藝現(xiàn)場流量、壓力等模擬量變化。工程師站與操作員站之間基于TCP/IP通信協(xié)議進行通信；過程監(jiān)控層與現(xiàn)場控制層采用Modbus、S7Comm、TCP/IP、OPC等工控協(xié)議與IT協(xié)議實現(xiàn)組態(tài)軟件與PLC之間的通信。圖2為天然氣配氣站半實物仿真平臺網(wǎng)絡結構。

圖2 天然氣配氣站半實物仿真平臺網(wǎng)絡結構

2 安全測試模型

通過分析油氣集輸半實物仿真平臺網(wǎng)絡結構，并結合ICS薄弱環(huán)節(jié)，構建了具有普適性的ICS網(wǎng)絡安全測試模型，其結構如圖3所示。模型主要由設備掃描模塊、流量監(jiān)聽模塊和數(shù)據(jù)篡改模塊3部分組成，各模塊間相互遞進配合完成攻擊測試。設備掃描模塊負責掃描網(wǎng)絡內(nèi)存活的工控設備和組件，通過分析掃描結果鎖定攻擊目標；流量監(jiān)聽模塊負責對目標設備的通信數(shù)據(jù)進行監(jiān)聽，并通過協(xié)議解析工具提取流量中的控制指令；數(shù)據(jù)篡改模塊通過對監(jiān)聽數(shù)據(jù)進行深度協(xié)議解析，完成數(shù)據(jù)傳輸過程中具體數(shù)值的讀取與篡改任務。

圖3 網(wǎng)絡安全測試模型

2.1 設備掃描模塊

設備掃描是網(wǎng)絡安全測試中必不可少的環(huán)節(jié)，通過設備掃描可以了解通信設備配置信息，并為下一步測試操作提供指導。

設備掃描模塊通過Nmap掃描和PLC Scan掃描腳本實現(xiàn)。Nmap用于查看網(wǎng)絡內(nèi)主機在線及端口開放情況，并用PLC Scan掃描腳本查看目標PLC設備型號、版本信息等。然后，根據(jù)所收集的設備信息，鎖定攻擊目標，搜集該版本PLC存在的安全漏洞。筆者在設備掃描模塊根據(jù)掃描信息開展了DoS攻擊網(wǎng)絡安全測試。圖4為通過PLC Scan掃描腳本對PLC進行設備掃描，可以收集到設備名稱、版本型號、CPU型號等信息。

2.2 流量監(jiān)聽模塊

流量監(jiān)聽模塊利用ARP協(xié)議缺陷實現(xiàn)［22］。ARP協(xié)議的作用是根據(jù)目標主機IP地址對目標主機MAC地址進行查詢，并建立緩存表，從而保證局域網(wǎng)內(nèi)各設備間的正常通信。ARP數(shù)據(jù)包分為請求包和應答包。當主機接收到ARP應答包后，不會對應答者身份進行驗證，也不會判斷是否發(fā)送過ARP請求包，而是直接對ARP緩存表進行更新。

如圖5所示，攻擊主機、工程師站主機與西門子PLC控制設備同屬于一個網(wǎng)段。攻擊主機（192.168.0.5）主動向工程師站（192.168.0.250）發(fā)送虛假的ARP應答包，工程師站主機在不經(jīng)身份驗證的情況下，直接對ARP緩存表進行更新，將PLC的IP地址（192.168.0.9）與攻擊主機的MAC地址（00-0c-29-2c-3c-2d）建立對應關系。同理，對PLC發(fā)送虛假的ARP應答包，將工程師站與攻擊主機建立ARP欺騙。這時，工程師站與PLC之間的通信數(shù)據(jù)都會經(jīng)過攻擊主機進行轉發(fā)，并保持工程師站與PLC之間通信不中斷，以此達到流量監(jiān)聽的目的。

2.3 數(shù)據(jù)篡改模塊

數(shù)據(jù)篡改模塊將根據(jù)上一步流量監(jiān)聽模塊所監(jiān)聽到的數(shù)據(jù)進行具體目標字段的篡改。首先，通過對捕獲到的數(shù)據(jù)包進行分層協(xié)議解析，尋找要篡改的目標字段。然后，在保持原有數(shù)據(jù)包頭部結構的基礎上，僅對目標字段進行篡改。最后，對篡改完成的數(shù)據(jù)包按頭部地址信息重組發(fā)送。在達到對目標數(shù)據(jù)篡改目的的同時，使攻擊過程更加隱蔽、篡改效率更高、延時更小，大幅提升了攻擊成功率。圖6為西門子S7Comm工控協(xié)議字段篡改模型。

圖6 S7Comm工控協(xié)議字段篡改模型

3 網(wǎng)絡安全測試

網(wǎng)絡安全測試以油氣集輸半實物仿真平臺為測試環(huán)境。首先，通過掃描工具Nmap和Ettercap掃描平臺工控網(wǎng)絡設備信息，選中攻擊目標Smart-200 PLC并對其發(fā)起DoS攻擊；隨后，選取西門子S7-300 PLC作為攻擊目標發(fā)起ARP欺騙，監(jiān)聽工程師站與PLC間傳輸信息并發(fā)起重放攻擊；最后，對S7-300 PLC監(jiān)聽流量進行協(xié)議解析，并發(fā)起FDI攻擊。所有攻擊測試默認已完成系統(tǒng)入侵，并可以訪問目標端口。

攻擊主機為搭載Linux Kali虛擬機的Win10主機，ARP欺騙軟件為Ettercap 0.8.3.1，且攻擊主機預裝有Wireshark協(xié)議分析工具。攻擊主機及工控設備地址信息見表1。

表1 測試設備地址信息

3.1 DoS攻擊測試

3.1.1 DoS攻擊原理

DoS攻擊是利用網(wǎng)絡協(xié)議漏洞發(fā)送大量連接請求，占用設備的網(wǎng)絡資源使其資源被消耗殆盡，最終導致無法對合法用戶提供服務。

3.1.2 攻擊行為驗證

在Kali攻擊主機命令行窗口鍵入攻擊命令發(fā)動對Smart-200 PLC的攻擊，如圖7所示。發(fā)動攻擊后不久，再次通過工程師站對Smart-200 PLC進行操控，發(fā)現(xiàn)已無法建立連接，同時觀察WinCC組態(tài)界面，已與Smart-200 PLC斷開連接，且沙盤無法正常表示該PLC所控工藝流程的變化情況。

3.2 重放攻擊測試

3.2.1 重放攻擊原理

重放攻擊是指攻擊者通過網(wǎng)絡監(jiān)聽或者其他途徑獲取目的主機已經(jīng)接收過的數(shù)據(jù)信息，并將信息重新發(fā)送給目的主機，以達到對目的主機欺騙的目的［23］。由于重放攻擊不需要知道竊聽的具體信息是什么，只需要將竊聽數(shù)據(jù)原封不動地轉發(fā)給接收方即可，所以對于經(jīng)過加密的數(shù)據(jù)，攻擊者在僅知道數(shù)據(jù)作用前提下，依然能夠發(fā)起網(wǎng)絡攻擊。

本攻擊測試主要完成對S7-300 PLC控制命令的重放。首先，通過ARP欺騙實施對工程師站與S7-300 PLC通信數(shù)據(jù)的監(jiān)聽；然后，通過Wireshark篩選出包含PLC控制命令的數(shù)據(jù)包并進行協(xié)議逆向分析；最后，根據(jù)分析結果完成攻擊腳本編寫，實施攻擊。

3.2.2 攻擊行為驗證

使用Ettercap進行主機掃描，生成掃描列表，分別將上位機及S7-300 PLC添加到Target1和Target2中，如圖8所示。在發(fā)起攻擊之前，將攻擊主機流量轉發(fā)功能打開，防止設備間通信傳輸被截斷。這樣S7-300 PLC與工程師站之間的通信流量都會經(jīng)由攻擊主機，且前兩者之間通信不中斷，為后續(xù)重放攻擊和FDI攻擊做好準備。

在ARP欺騙成功實施后，通過查看ARP緩存表可以發(fā)現(xiàn)，工程師站和S7-300 PLC的MAC地址已經(jīng)被修改為攻擊主機的MAC地址，如圖9所示。

借助Wireshark抓取監(jiān)聽數(shù)據(jù)包，并對S7-300 PLC與工程師站的通信數(shù)據(jù)進行過濾，篩選出包含控制命令的數(shù)據(jù)包，生成攻擊腳本，其偽代碼如下：

1 Begin

2 #應用插件

3 import socket

4 import time

5 import sys

6 #定義目標IP及端口變量

7 target_host=″目標主機″

8 target_port=″目標端口″

9 #設置重放條件及間隔

10 sock= socket.socket（socket.AF_INET，socket.

SOCK_STREAM）

11 sock.settimeout（5）

12 try：

13? ?sock.connect（（target_host，target_port））

14 except：

15? ? ? ?print（′DUT連接失敗′）

16? ? ? ?sys.exit（）

17 #重放劫持數(shù)據(jù)包負載數(shù)據(jù)流

18 req =′cotp連接Hex stream′

19 sock.send（bytearray.fromhex（req））

20 sock.recv（4096）

21 req1 = ′S7Comm連接Hex stream′

22 sock.send（bytearray.fromhex（req1））

23 sock.recv（4096）

24 req2 = ′STOP指令Hex stream′

25 sock.send（bytearray.fromhex（req2））

26 sock.recv（4096）

27 End

在攻擊腳本執(zhí)行之前，將平臺設備置于運行狀態(tài)，隨后發(fā)起攻擊，發(fā)現(xiàn)S7-300 PLC運行狀態(tài)由RUN切換為STOP，對應的沙盤仿真也相繼停止，重放PLC STOP命令驗證成功。

3.3 FDI攻擊測試

3.3.1 FDI攻擊原理

在仿真平臺控制層中，多臺西門子PLC控制器采用S7Comm協(xié)議進行通信。本研究中的FDI攻擊主要利用S7Comm通信協(xié)議缺少安全認證的漏洞，理論上重構或者殘缺的數(shù)據(jù)包只要在接收格式上符合協(xié)議規(guī)范，PLC依然能夠完成接收并讀取，從而使虛假數(shù)據(jù)注入成為可能。本次攻擊測試以模擬量氣罐儲氣量設定值為攻擊目標。

3.3.2 攻擊行為驗證

前期流程同重放攻擊操作一致，首先完成對攻擊PLC的ARP欺騙，完成流量監(jiān)聽。然后，借助Wireshark工具對工程師站發(fā)往PLC的數(shù)據(jù)進行監(jiān)聽過濾并借助協(xié)議規(guī)范進行協(xié)議逆向分析，判定設定值數(shù)據(jù)段采用單精度浮點型進行傳輸，轉換為十進制即為輸入設定值。根據(jù)篡改數(shù)據(jù)所在傳輸層Payload數(shù)據(jù)流完成過濾規(guī)則的編寫，隨后對編寫規(guī)則進行編譯，生成可被Ettercap識別并執(zhí)行的二進制文件。最后，依照編寫規(guī)則尋找攻擊PLC IP與MAC地址，并對通信數(shù)據(jù)進行過濾并篡改，完成FDI攻擊。攻擊腳本偽代碼如下：

1 Begin

2 #定義變量

3 ip_proto=′目標協(xié)議′

4 ip_src=′源IP地址′

5 true_field=′真實有效字段′

6 false_field=′虛假設定字段′

7 #檢查數(shù)據(jù)包是否使用目標協(xié)議且IP地址

為源IP地址

8 #符合進一步篩選，不符合跳過

9 if（′數(shù)據(jù)包傳輸協(xié)議′==ip_proto & ′數(shù)據(jù)

包源IP地址′==ip_src）

10 #檢查數(shù)據(jù)包是否包含真實有效字段

11? ?if（search（DATA.data，true_field））

12? #數(shù)據(jù)包包含有效字段，進行下一步篩選

13? ? ? ?replace（true_field，false_field）

14 #完成數(shù)據(jù)篡改并轉發(fā)

15 End

為驗證攻擊效果，明確攻擊原理，使用Wireshark對篡改過程進行抓包分析，如圖10所示。觀察第57和第58兩條數(shù)據(jù)包可發(fā)現(xiàn)問題所在，這兩條數(shù)據(jù)包在IP層面都是由工程師站發(fā)往S7-300 PLC，但其MAC地址卻不一致。通過MAC分析發(fā)現(xiàn)，第57條為工程師站發(fā)往攻擊主機，第58條為攻擊主機發(fā)往PLC，證明工程師站與PLC之間的通信都將經(jīng)過攻擊主機，驗證了ARP攻擊。再觀察這兩條數(shù)據(jù)包的TCP Payload負載，發(fā)現(xiàn)其最后數(shù)據(jù)段部分發(fā)生篡改，由42480000篡改為43160000，轉換為十進制是由數(shù)值50篡改為150，與組態(tài)界面儲氣罐儲氣反饋值相對應，驗證了FDI攻擊。

4 漏洞分析與防御措施

4.1 漏洞分析

通過對半實物仿真平臺進行網(wǎng)絡安全測試，總結分析了平臺存在的安全漏洞及其脆弱性，主要包括：

a. ARP攻擊漏洞。訪問控制安全強度低，沒有加密口令，使攻擊者輕易完成對通信設備間的入侵。

b. 通信協(xié)議漏洞。通信協(xié)議采用明文傳輸，攻擊者通過竊取數(shù)據(jù)便能查看通信內(nèi)容；并且缺乏身份校驗和權限管理，使得攻擊者通過偽裝便能對工控設備發(fā)送控制命令，甚至篡改通信內(nèi)容。

c. PLC固件漏洞。由于PLC在設計時，存在安全缺陷，加之工控環(huán)境升級困難，使得攻擊者通過獲取設備信息，便能針對漏洞發(fā)起攻擊。上述測試便借助Siemens S7-300/400 PLC權限繞過停機漏洞（CNVD-2016-05901），對S7-300 PLC成功發(fā)起重放攻擊。

4.2 防御措施

明確了仿真平臺存在的安全漏洞，下一步防護重點應根據(jù)漏洞進行防御措施的部署。以下是結合仿真平臺ICS網(wǎng)絡結構，提出的幾項防御措施：

a. IP-MAC綁定。IP-MAC是指在ICS網(wǎng)絡設備的ARP緩存表中將IP地址與MAC地址綁定，實現(xiàn)對報文的過濾控制［24］。該方法能夠防御ARP攻擊，有效過濾攻擊者偽裝合法用戶IP和MAC地址向工控設備發(fā)送偽造數(shù)據(jù)包。

b. 入侵態(tài)勢感知系統(tǒng)。未來工業(yè)安全戰(zhàn)場取勝的關鍵在于對威脅態(tài)勢的感知，通過在工控網(wǎng)絡中部署安全態(tài)勢感知系統(tǒng)，對整個ICS的系統(tǒng)行為進行監(jiān)控審計，以實現(xiàn)在出現(xiàn)網(wǎng)絡攻擊或惡意行為時，能夠及時告警并做出判斷。態(tài)勢感知還能實現(xiàn)對工業(yè)控制系統(tǒng)的資產(chǎn)管理、攻擊分析及追蹤溯源等服務。

c. 主機安全防護。在設備主機中安裝殺毒軟件，并保證病毒庫的及時更新。同時，關注操作系統(tǒng)和工控軟件的漏洞修復、補丁安裝，并在系統(tǒng)升級和補丁修復之前進行安全評估。開啟日志審查功能，對日常維護操作進行安全記錄［25］。

針對半實物仿真平臺網(wǎng)絡結構，可以在現(xiàn)場控制層與過程監(jiān)控層之間部署工業(yè)防火墻、工業(yè)網(wǎng)閘、工控監(jiān)測與審計系統(tǒng)等安全防護產(chǎn)品。ARP攻擊、DoS攻擊、重放攻擊和FDI攻擊作為工控網(wǎng)絡的常見攻擊，是工控網(wǎng)絡安全防護的重點。針對前兩種攻擊方式可以采用IP-MAC綁定的防御措施，后兩種針對工控協(xié)議的攻擊方式，可以通過入侵檢測、異常檢測［26］等安全防護設備，或通過部署工控運營中心實現(xiàn)對威脅的檢測與防御。

5 結束語

工控網(wǎng)絡安全事關國計民生，確保工控網(wǎng)絡安全，防患于未然是工控網(wǎng)絡安全建設的基本底線。筆者通過對工控網(wǎng)絡運行環(huán)境和結構特點進行分析，明確了在實際工控環(huán)境進行安全測試的困難性。為提高工控網(wǎng)絡安全測試的真實性、靈活性，提出一種基于半實物仿真平臺的網(wǎng)絡安全測試方法。通過對工控網(wǎng)絡結構及其薄弱點進行分析，建立網(wǎng)絡安全測試模型，依據(jù)測試模型在油氣集輸半實物仿真平臺進行工控領域常見攻擊方式測試，包括DoS攻擊、重放攻擊和FDI攻擊，并通過仿真模擬沙盤和組態(tài)界面驗證了威脅切實存在；同時，對攻擊測試過程發(fā)現(xiàn)的工控安全問題進行總結，并提出了相應的防御措施，為后續(xù)基于半實物的仿真平臺網(wǎng)絡安全測試提供參考，對類似油氣集輸ICS網(wǎng)絡安全防護具有重大借鑒意義。下一步研究工作，將加強半實物仿真平臺防御措施，并利用更隱蔽的攻擊方式進行網(wǎng)絡安全測試研究。

參 考 文 獻

［1］ 楊婷，張嘉元，黃在起，等.工業(yè)控制系統(tǒng)安全綜述［J］.計算機研究與發(fā)展，2022，59（5）：1035-1053.

［2］ GALLOWAY B，HANCKE G P.Introduction to Industrial Control Networks［J］.IEEE Communications Surveys & Tutorials，2013，15（2）：860-880.

［3］ BHAMARE D，ZOLANVARI M，ERBAD A，et al.Cybersecurity for Industrial Control Systems： A Survey［J］. Computers & Security，2019，89：101677.

［4］ LIANG G Q，WELLER S R，ZHAO J H，et al.The 2015 Ukraine Blackout：Implications for False Data Injection Attacks［J］.IEEE Transactions on Power Systems，2017，32（4）：3317-3318.

［5］ AKBANOV M，VASSILAKIS V G，LOGOTHETIS M D.Ransomware detection and mitigation using software-defined networking：The case of WannaCry［J］.Computers & Electrical Engineering，2019，76：111-121.

［6］ 李平.從美燃油管道商遭勒索病毒攻擊看關鍵基礎設施網(wǎng)絡安全防護［J］.網(wǎng)信軍民融合，2021（5）：26.

［7］ AL-HAWAWREH M，SITNIKOVA E.Developing a Security Testbed for Industrial Internet of Things［J］.IEEE Internet of Things Journal，2021（7）.DOI：10.1109/JIOT.2020.3032093.

［8］ 張仁斌，趙季翔，楊戩，等.基于容器的輕量級工業(yè)控制系統(tǒng)網(wǎng)絡安全測試床研究［J］.計算機應用研究，2021，38（2）：506-509.

［9］ XU W，TAO Y，YANG C，et al.MSICST： Multiple-Scenario Industrial Control System Testbed for Security Research［J］.Computers， Materials and Continua，2019，58（2）：691-705.

［10］ National SCADA Test Bed［EB/OL］.［2023-03-08］.https：//www.energy.gov/oe/national-scada-test-bed.

［11］ MORRIS T，SRIVASTAVA A，REAVES B，et al.A co- ntrol system testbed to validate critical infrastructure protection concepts［J］.International Journal of Critical Infrastructure Protection，2011，4（2）：88-103.

［12］ URIAS V，LEEUWEN B V，RICHARDSON B.Supervisory Command and Data Acquisition （SCADA） system cyber security analysis using a live，virtual，and constructive （LVC） testbed［C］//Military Communications Conference.Piscataway，NJ：IEEE， 2012：1-8.

［13］ 威努特.工控網(wǎng)絡攻防演練平臺［EB/OL］.（2016-08-06）［2022-12-23］.http：//www.winicssec.com/product/

d32.html.

［14］ 朱文華，史秋雨，蔡寶，等.基于RobotStudio的工業(yè)機器人工藝仿真平臺設計［J］.制造業(yè)自動化，2020，42（12）：28-31；89.

［15］ 楊輝，王志佳，譚暢，等.重載列車輔助駕駛系統(tǒng)半實物仿真平臺設計［J］.控制工程，2021，28（9）：1717-1724.

［16］ GENG Y Y，WANG Y，LIU W W，et al.A survey of industrial control system testbeds［C］∥2nd International Conference on Advanced Materials，Intelligent Manufacturing and Automation.Zhuhai：AMIMA，2019：995-1004.

［17］ 劉煜堃，諸葛建偉，吳一雄.新型工業(yè)控制系統(tǒng)勒索蠕蟲威脅與防御［J］.計算機應用，2018，38（6）：1608-1613.

［18］ 徐麗娟，王佰玲，楊美紅，等.工業(yè)控制網(wǎng)絡多模式攻擊檢測及異常狀態(tài)評估方法［J］.計算機研究與發(fā)展，2021，58（11）：2333-2349.

［19］ ZHANG Y Q，ZHOU W，PENG A.Survey of Internet of Things Security［J］.Journal of Computer Research and Development，2017，54（10）：2130-2143.

［20］ 朱建魯，宋存永，盧興國，等.輸氣管道虛擬仿真實踐教學平臺的構建與應用［J］.實驗技術與管理，2019，36（11）：105-108；112.

［21］ 顧兆軍，姚峰，丁磊，等.基于半實物的機場供油自控系統(tǒng)網(wǎng)絡安全測試［J］.信息網(wǎng)絡安全，2021，21（9）：16-24.

［22］ 秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術綜述［J］.計算機應用研究，2009，26（1）：30-33.

［23］ CHOUGULE M，SOMAN S A.Real-time data-assisted replay attack detection in wide-area protection system［J］.IET Generation，Transmission & Distribution，2020，14（19）： 4021-4032.

［24］ 王曄，靳方略，呂銘心.油田工業(yè)控制系統(tǒng)網(wǎng)絡安全解決方案研究［J］.信息技術與網(wǎng)絡安全，2020，39（10）：38-43.

［25］ 魏可承，李斌，易偉文，等.工業(yè)控制系統(tǒng)信息安全防護體系規(guī)劃研究［J］.自動化儀表，2015，36（2）：49-52.

［26］ MOKHTARI S，ABBASPOUR A，KANG K Y，et al.A Machine Learning Approach for Anomaly Detection in Industrial Control Systems Based on Measurement Data［J］.Electronics，2021，10（4）：407.

（收稿日期：2023-03-08，修回日期：2023-12-22）

Research on Security Testing of the Industrial Control Network Based on Semi-physical Simulation Platform for Oil and Gas Gathering

and Transportation

HE Kan1，2， CHEN Jin-zhe1，2， ZONG Xue-jun1，2， QI Ji3， SUN Yong-chao4

（1. College of Information Engineering， Shenyang University of Chemical Technology；2. Key Laboratory of Information Security for Petrochemical Industry in Liaoning Province； 3. Hubei ABT Networks Co.， Ltd.；

4. Beijing Shuangpai Zhian Technology Co.， Ltd.）

Abstract? ?Considering the difficulty in testing industrial control networks security in real environment， a network security test method based on semi-physical simulation platform for the oil and gas gathering and transportation was proposed， which has industrial control networks structure and vulnerability analyzed in the real environment to construct network security test model; and then， has DoS attack， replay attack and false data injection attack used to test network attack of the simulation platform， as well as has the attack effect verified though configuration operation interface and the sand table model. In addition， the network security problems in the test process were summarized and defense measures were put forward to provide an important reference for protection of the industrial control network security.

Key words? ?industrial control network， semi-physical platform， industrial control protocol， network security test， ARP cheating