基于流量分析的工控網絡安全審計技術研究

摘要：面對復雜的生產過程和日益增加的網絡安全威脅，快速定位并解決工控網絡故障成為亟待解決的問題，基于流量分析的工控網絡安全審計技術通過實時監控和分析通信數據，能快速準確地發現和定位安全威脅，為系統安全運行提供支持。提出的基于流量分析的工控網絡安全審計技術，通過全量數據包采集、全協議棧分析等手段，全面反映工業控制系統網絡結構和通信行為，為未來故障檢測與安全防護提供了新思路，具有理論意義和應用價值。

關鍵詞：工業控制系統；故障定位；數字化轉型；工控安全

中圖分類號：TN915.08；TP393.02 文獻標識碼：A

0 引言

工控網絡的安全和穩定運行對于現代工業生產至關重要。隨著工業4.0的推進，工控網絡逐步開放，并與多種系統交叉融合，如何保證其穩定性成為一項復雜且重要的任務。隨著工業數字化轉型的深入，傳統的封閉式工業控制系統逐漸被開放式、互聯互通的系統取代。現代工業系統不僅要應對復雜的生產過程問題，還要面對日益增加的網絡安全威脅。如何快速定位并解決工控網絡故障，確保生產過程的連續性和系統的安全性，成為工業領域亟待解決的問題。

目前，傳統的故障檢測方法主要依賴于設備自身的診斷功能和人工經驗，這種方法在面對復雜多變的工控網絡環境時顯得力不從心。基于網絡流量分析的工控網絡安全審計可以通過實時監控和分析網絡中的通信數據，快速、準確地發現和定位網絡安全威脅，為網絡安全事件的快速處理和系統的安全運行提供了有力支持。

本文提出了一種基于流量分析的工控網絡安全審計技術。通過全量的數據包采集、全協議棧分析、全工業數據的解析和全日志留存，全面反映工業控制系統網絡結構及通信行為。同時，該技術也為未來工業控制系統網絡的故障檢測與安全防護提供了新的思路和方法，具有重要的理論意義和實際應用價值。

1 工控網絡流量分析技術

1.1 工控網絡流量采集與存儲

由于工控的通信技術、網絡特性與IT網絡有較大的差異，采集工控網絡鏡像流量時，采集軟件需旁路部署在可編程邏輯控制器（programmable logic controller，PLC）、遠程終端單元等重要設備的交換機上。同時，利用工控協議深度解析引擎，對西門子、施耐德、艾默生、貝加萊等主流工控廠商的網絡流量進行采集，并識別解碼Modbus、S7COMM、IEC104等協議流量。流量采集、分析、存儲、管理的軟件均屬于科來網絡分析系統[1]。

1.2 智慧梳理與識別

業務梳理是后續安全分析的基礎，其基本操作包括：對流量里的設備、操作、參數、通信關系進行梳理；對重要的設備進行重點防護；對影響重大的操作，如PLC啟停、組態變更等及時預警；對控制與被控關系，建立最小控制權限。

梳理的結果和目的是建立業務規范，由于工控系統封閉性強、自動化程度高、業務輪廓清晰等特性，使控制業務規范易于構建，并且通過對設備進行全天候、多維度畫像，保證設備的訪問行為和操作行為可見可管。同時，采用智能學習算法構建參數的智能基線，及時發現參數的波動；對訪問關系進行業務化的翻譯，即業務組網，并且跟蹤組網狀態，一旦發現變更及時告警。

1.3 持續審計與監視

工控網絡行為包括操作、設備、組網、參數等4個維度。①操作維度是工控業務最基礎的行為，通過對操作的分析，可以深入了解工控業務的運行狀態，及時發現異常操作，預防潛在故障。②設備維度包括工業控制系統中的各種硬件，如PLC、分布式控制系統（distributed control system，DCS）等，負責具體的控制任務，通過對設備控制指令的網絡流量維度進行分析，可以監控設備的運行狀態，檢測設備故障，提高系統的可靠性。③組網維度指的是工業控制系統中的通信關系，這種關系在工廠建設時已經確定，組網維度包括工廠的機組配置、機組間的通信方式以及子流程的數量和關系。通過對組網維度的分析，可以監控整個網絡的通信情況，發現異常通信行為，保障網絡的安全性和穩定性。④參數維度包括工業生產過程中的各種工藝數據，如液位、水溫、水壓等，這些參數直接關系到生產的穩定性和安全性。通過對參數維度的分析，可以實時監控生產過程中的關鍵指標，及時發現異常情況，確保生產過程的順利進行。

1.4 協議棧分析

設計和實現一套多協議棧解析引擎，支持主流工控協議的識別與解析，如Modbus、Profinet等，通過對協議棧的深度解析，提取有意義的控制命令和狀態信息，為后續的故障分析提供數據支撐。

解析引擎原理的計算公式：

P（x）=pi·fi（x）。" " " " " " " " " " " " " " " " " " （1）

式中，P（x）為總解析結果，pi為每個子協議i的權重，fi（x）為對特定子協議的解析函數。

2 基于流量分析的工控網絡安全審計步驟

2.1 核心設備梳理

為更精確地反映設備在網絡中的角色和功能，設備的網絡身份應根據其執行的業務功能進行細致的劃分， 在對網絡設備管理和監控時，應將具有多重業務功能的單一IP地址視為多個邏輯設備，這種方法允許網絡管理員和安全專家對每個業務流程進行精確的梳理和監控。例如，若PLC的控制業務因故障停止，但其數據共享業務仍然活躍，按照傳統的單一IP或MAC地址管理方法，該PLC可能仍被視為在線狀態[2]。然而，若采用業務功能劃分的方法，該PLC的控制業務將被標記為離線，而數據共享業務則保持在線狀態。

基于業務功能的設備識別和管理方法，本文提供了更為細致和準確的網絡狀態評估，其允許網絡運維團隊對設備的每個業務組件進行獨立監控，從而更有效地識別故障、配置資源和響應安全事件。此外，這種方法也有助于區分IP離線與設備離線。IP離線僅指網絡層面的連接丟失，而設備離線則指一個或多個業務功能的中斷，通過業務功能劃分，可以更準確地判斷和響應設備的實際運行狀態，從而提高網絡的可靠性和安全性。

2.2 規范梳理

規范梳理旨在整理和記錄工控網絡中的設備訪問和操作規范，通過對核心設備的運行狀態、網絡行為以及重要操作進行持續監視，及時發現偶發的可疑行為和違規操作。規范梳理不僅有助于提高系統的安全性和穩定性，還為故障定位和系統優化提供了基礎數據支持，確保工業生產過程的順暢和安全。規范梳理包含兩個部分，分別為訪問規范梳理和操作規范梳理，具體內容如下。

（1）訪問規范梳理：工控生產的自動化程度較高，網絡邊界和業務輪廓較為清晰，設備間控制與被控關系也較為明確和固定。針對特定的環境，訪問關系可以形成一種規范，任何偏離訪問規范的訪問行為，都會進行提示和告警，訪問規范梳理不只針對IP對IP的關系，還包含IP+服務。

（2）操作規范梳理：工控生產網中設備與設備間的控制命令傳遞都是按照工業生產流程事先進行編程，大部分可以按照編程指令自動執行，具有確定性和固定性，任何偏離操作規范的操作，都會進行提示或告警。

制定設備間的訪問控制策略和操作規范，確保每個設備的通信和操作都在可控范圍內，建立基線行為模型，對設備正常行為進行定義，便于后續檢測，設備訪問關系可定義為鄰接矩陣：

。" " " " " " " " " " " " " " " " " " "（2）

式中，aij為設備i與設備j之間的訪問關系。

2.3 行為監視與審計

行為監視與審計旨在實時追蹤和記錄系統中所有用戶和設備的操作行為，通過細粒度的行為記錄與分析，能夠識別異常活動，預防潛在威脅，為事后審計提供詳盡的數據支持，該方法不僅提高了系統的安全性，還增強了故障追溯和合規管理能力。行為監視與審計包含5個部分，分別為網絡流量采集策略、全協議解析技術、全維度監測分析、全數操作日志和實時跟蹤設備運行狀態[3]。

通過整合設備性能指標、網絡行為分析、用戶活動日志等多種數據源，可以構建一個全面的設備運行狀況畫像，這種多維度的分析方法有助于從不同層面監測和評估設備的健康狀況和潛在風險。部署網絡流量監控設備，實時采集并分析工控網絡中的數據流，使用多協議棧解析技術對流量數據進行深度解析，提取關鍵控制信息和狀態變化，通過實時監控和日志記錄，及時發現異常行為并進行告警。異常檢測算法zi計算公式：

zi= 。" " " " " " " " " " " " " " " " " " " " " " " " " " " " "（3）

式中，xi為數據集中第i個數據點的瞬時數值，μ為數據集均值，σ為數據集標準差。

通過計算每個數據點的z-score，可以確定該數據點與均值之間的距離，若某個數據點的z-score絕對值大于預設閾值，則認為該數據點異常。

3 基于流量分析的工控網絡安全審計效果評估

3.1 評估指標體系的構建

通過虛擬機和相應的軟件搭建EtherNet/IP協議的仿真工控網絡環境，使用Windows 7 64位虛擬機、WINCC 7.3、Studio 5000 和 Softlogix 5800等工具進行配置，實現PLC的仿真運行。利用科來網絡分析系統抓取網絡流量數據包并解析日志。

通過模擬異常指令、工控端口掃描、泛洪攻擊、弱口令探測、工控內網遠程端口控制等5種以上攻擊破壞行為，對網絡流量解析日志進行深度分析，評估基于流量分析的工控網絡安全審計技術的應用效果。

3.2 效果評估分析

在核心設備梳理與規范梳理中，本文提出的技術能有效識別PLC設備及其協議，通過梳理網絡行為，利用流量分析對PLC設備進行審計分析。通過全面識別和發現5種攻擊行為（修改指令行為；使用工具如Nmap或Shodan等進行端口掃描的行為；大量請求耗盡PLC資源，使其無法響應正常請求的攻擊行為；破壞PLC固件，通過修改固件來獲得對底層系統的惡意控制行為；口令字典爆破行為）及其網絡流量，成功實現了工控網絡安全審計。基于流量分析的工控網絡安全審計技術效果評估，以流量分析為基礎，實現全天候、全維度、無死角的安全監視，對工控業務進行智能梳理、組網監視、參數監視，保障工控業務安全。

4 結論與展望

本文針對基于流量分析的工控網絡安全審計技術進行了深入探討與實證研究，經過理論分析、技術探討與構建、評估測試，基于流量分析能實現對工控網絡的核心設備梳理；并對設備的訪問關系、操作行為等進行安全審計。最后，實現針對工控網絡的安全威脅行為的發現和審計。隨著工業控制系統的不斷發展和技術的持續進步，未來的研究將更加注重系統的自動化、智能化，以及如何提升新威脅的檢測能力。

參考文獻

[1] 科來網絡分析系統（便攜式）V9.0正式發布[J].信息網絡安全，2016（8）：89.

[2] 陳志文，張偉燕，蘇靖峰，等. PLC控制系統入侵檢測技術研究[J].現代電子技術，2020，43（1）：72-75.

[3] 郝志強，劉冬，王沖華.工業領域網絡流量安全分析關鍵技術研究[J].工業信息安全，2022（3）：27-35.