Modbus/TCP多層訪問控制過濾技術

蔣　臣　王華忠　凌志浩　路　偉

(華東理工大學化工過程先進控制和優(yōu)化技術教育部重點實驗室1，上?！?00237；吉林石化公司檢測中心2，吉林 吉林　132021)

?

Modbus/TCP多層訪問控制過濾技術

蔣臣1王華忠1凌志浩1路偉2

(華東理工大學化工過程先進控制和優(yōu)化技術教育部重點實驗室1，上海200237；吉林石化公司檢測中心2，吉林 吉林132021)

摘要：針對典型工控網(wǎng)絡協(xié)議——Modbus協(xié)議在信息安全上存在的缺陷，提出了一種基于Modbus/TCP協(xié)議的多層訪問控制過濾技術，利用分層過濾策略處理網(wǎng)絡數(shù)據(jù)包以抵御網(wǎng)絡攻擊。該策略包含分析階段和配置階段。分析階段主要負責收集合法報文并按照規(guī)則進行解析，建立三層白名單；配置階段對關鍵可寫參數(shù)的允許范圍進行配置，過濾越限參數(shù)，防止該參數(shù)被寫入控制器。通過對所建試驗平臺的測試，驗證了多層訪問控制過濾技術有效抵御針對協(xié)議應用層的網(wǎng)絡攻擊的能力，有助于消除操作人員誤操作所帶來的影響，提高系統(tǒng)安全性。

關鍵詞：Modbus/TCP信息安全訪問控制策略數(shù)據(jù)處理兩化融合PLCSCADA

Programmable logic controller(PLC)Supervisory control and data acquisition system(SCADA)

0引言

隨著兩化融合的不斷推進，工業(yè)控制系統(tǒng)開始連接到企業(yè)網(wǎng)以及互聯(lián)網(wǎng)。連接的增加與標準協(xié)議的使用有助于優(yōu)化制造過程和擴展網(wǎng)絡分布，但也使工控系統(tǒng)暴露于互聯(lián)網(wǎng)安全威脅之下，作為工業(yè)領域應用廣泛的Modbus更是首當其沖[1]。因此，如何防范針對Modbus協(xié)議的網(wǎng)絡攻擊已成為當前研究熱點。文獻[2]針對Modbus協(xié)議，給出了50條特征檢測規(guī)則。Niv Goldenberg等人提出一種對Modbus/TCP報文精確建模的方法[3]，根據(jù)人機界面和PLC之間的周期性通信構建DFA模型，具有較低誤報率。文獻[4]通過對Modbus/TCP報文的深度解析，提出基于入侵檢測規(guī)則和白名單相結合的工業(yè)監(jiān)控與數(shù)據(jù)采集系統(tǒng)(supervisory control and data acquisition system,SCADA)安全防御模型。Valdes A等針對過程控制系統(tǒng)提出了基于模式和流量兩種異常檢測方法[5]。Steven Cheung等人認為工控網(wǎng)絡具有相對固定的拓撲結構、通信模式及應用協(xié)議，提出了三種基于模型的技術，對網(wǎng)絡特征行為建模并監(jiān)測那些引起系統(tǒng)行為偏離的攻擊[6]。

不同的方法有其自身適用環(huán)境和制約條件，網(wǎng)絡信息安全無疑需要從不同的角度加強。本文以Modbus通信協(xié)議為研究對象，針對其易受應用層攻擊的缺陷，提出多層訪問控制過濾策略，以提高系統(tǒng)安全防護水平。

1Modbus/TCP協(xié)議及安全機制分析

Modbus是OSI模型最上層的應用層報文傳輸協(xié)議，是工業(yè)領域通信協(xié)議的業(yè)界標準，為工控系統(tǒng)中的設備提供主從式的通信方式[7]。其實現(xiàn)方式有基于串行鏈路的實現(xiàn)(Modbus/RTU與Modbus/ASCII)和基于以太網(wǎng)的實現(xiàn)(Modbus/TCP)。本文主要關注Modbus基于以太網(wǎng)TCP/IP的安全。

1.1Modbus/TCP數(shù)據(jù)幀

常見的Modbus RTU應用數(shù)據(jù)單元(application data unit,ADU)由從機地址、功能碼、數(shù)據(jù)域和校驗碼組成。以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP校驗機制保證了數(shù)據(jù)傳輸?shù)恼_性，因此Modbus/TCP去除了校驗碼，添加了MBAP報文頭。Modbus/TCP ADU格式如圖1所示。

圖1　Modbus/TCP 應用數(shù)據(jù)單元格式示意圖Fig.1　Format of Modbus/TCP ADU

MBAP Header是Modbus在以太網(wǎng)TCP/IP中的報文頭，用來識別Modbus的應用數(shù)據(jù)單元ADU。該部分主要包含事務處理標志符 (Transaction ID)、協(xié)議標志符(Protocol ID)、長度(Length)、單元標志符 (Unit ID )四部分。功能碼是Modbus主機向從機指示所要進行操作的標志字，規(guī)定了要執(zhí)行的Modbus相關功能，能夠表達主機的操作意圖。數(shù)據(jù)域是可變長的字段，需要主機根據(jù)具體功能碼進行配置；然后由主機發(fā)出請求，等待從機響應。

1.2安全機制分析

Modbus/TCP是通過在TCP/IP協(xié)議中嵌入Modbus數(shù)據(jù)幀實現(xiàn)的。因此，其底層協(xié)議在安全層面上的缺陷也被保留下來，既適用于以太網(wǎng)的攻擊手段，也同樣適用于工控系統(tǒng)。針對傳統(tǒng)IT攻擊，工控系統(tǒng)開始采取邊界防護策略，即在網(wǎng)絡分層、層級之間安裝防火墻[8]。然而，防火墻無法識別針對Modbus應用層的攻擊，其主要原因在于應用層攻擊往往隱藏在幀數(shù)據(jù)域之中。因為Modbus協(xié)議沒有考慮安全方面的問題，其協(xié)議的簡單性使得Modbus從機易受到針對應用層的攻擊：僅需明確從機設備所支持的功能碼和Modbus地址即可進行通信，且報文使用明文傳輸?shù)姆绞?，易于竊聽分析。若攻擊者通過入侵攻擊獲取了網(wǎng)絡訪問權限進入Modbus主機，即可監(jiān)聽TCP鏈接上的通信報文。經(jīng)過分析可獲取某些關鍵變量的寄存器信息，并根據(jù)公開的協(xié)議即可構建虛假數(shù)據(jù)包，向從機發(fā)送非法命令，竊取工業(yè)過程中的參數(shù)或更改系統(tǒng)的配置，從而影響系統(tǒng)正常運行。

2Modbus/TCP多層訪問控制策略

通過上述分析，提出一種防御策略：通過分析初始化后的網(wǎng)絡通信數(shù)據(jù)包自動生成白名單，并結合可寫參數(shù)配置，對通信流量中的讀、寫報文執(zhí)行多層訪問控制過濾操作。假設分析階段收集到的數(shù)據(jù)僅有正常通信報文，而不包含攻擊者發(fā)出的含有攻擊行為的報文。由于工控網(wǎng)絡與外部網(wǎng)絡的連接有限，攻擊發(fā)生頻率不高且分析階段位于設備初始化后一段很短時間內(nèi)，因此這一假設無疑是合理的。多層訪問控制過濾策略的實現(xiàn)建立在如下基礎：工控網(wǎng)絡主、從機建立通信連接后，主機在所設定時間內(nèi)通過讀命令讀取所有必須監(jiān)控的數(shù)據(jù)，其后在配置階段對可寫參數(shù)進行配置，將其允許范圍寫到對應保持寄存器。利用白名單匹配讀操作報文中的攻擊行為，預先配置的閾值參數(shù)匹配寫操作中的攻擊行為，實現(xiàn)對通信報文的全面過濾。

2.1基于白名單的安全策略及實施

分析階段是建立白名單的初始訓練階段，抓取Modbus主機與現(xiàn)場設備間的通信報文進行分析。這一階段在預定義的時間內(nèi)進行，通過分析正常Modbus/TCP報文建立白名單，Modbus服務器根據(jù)其判斷接收到的讀操作是否合法。白名單是一系列正常讀操作通信報文的集合，分為如圖2所示的三個層次。

圖2　白名單層次組成示意圖Fig.2　The hierarchical composition of whitelist

系統(tǒng)白名單包含網(wǎng)絡層與傳輸層的信息，即源、目的IP地址、目的端口號以及源MAC地址，在之后的檢測階段可將其用作授權系統(tǒng)。MBAP白名單針對MBAP報文頭內(nèi)關鍵字段，即Transaction ID、Protocol ID、Length、Unit ID。其中：Protocol ID用于判斷報文是否為Modbus通信協(xié)議；Length的值表示數(shù)據(jù)的總長度，用于判斷是否為非法數(shù)據(jù)包；Unit ID表示Modbus串行鏈路上的地址。PDU白名單是整個白名單策略的核心，包含了最能代表主機操作意圖的功能碼，以及功能碼所對應的數(shù)據(jù)域。不同的功能碼可能操作單個或多個數(shù)據(jù)對象，數(shù)據(jù)域可拆分為寄存器的起始地址和操作數(shù)量。在分析階段，每條報文的內(nèi)容按不同層次存儲以建立白名單，其體系結構如圖3所示。一旦白名單建立完畢，在檢測階段會監(jiān)控讀入的數(shù)據(jù)包，利用分析階段結果自動識別異常報文。

配置階段緊鄰分析階段。在工控系統(tǒng)中，Modbus主機不僅要讀取從機數(shù)據(jù)進行監(jiān)控，還會在監(jiān)控過程中根據(jù)不同需求向從機寫數(shù)據(jù)，以實現(xiàn)對變送器的重新配置，例如更改變送器工作模式、報警閾值等。僅使用白名單無法實現(xiàn)對寫操作報文的過濾，因此在分析階段將寄存器按性質(zhì)分為可寫和只讀，對可寫數(shù)據(jù)先行設定。對于主機可寫的參數(shù)，事先將所有與其相關的允許值寫入到自定義寄存器，為以后檢測階段所涉及的寫操作報文提供合法與否的識別依據(jù)。若在允許范圍內(nèi)，則寫操作成功；否則失敗。而對于只讀屬性的狀態(tài)值，則不允許對其所在寄存器寫入數(shù)據(jù)。這些預先設定用于比較的數(shù)值只能在配置階段寫入，超過允許時間則無法再修改。

圖3　生成白名單的體系結構Fig.3　The architecture for generating whitelist

2.2多層訪問控制過濾技術

為了達到信息安全防護的目的，多層訪問控制過濾策略分為三個層級和兩條分支。首先，系統(tǒng)過濾層通過對照系統(tǒng)白名單，對物理層、網(wǎng)絡層與傳輸層的Ethernet Header、IP Header、TCP Header所蘊含的信息進行判斷，識別出傳入數(shù)據(jù)包的合法性，進而執(zhí)行Modbus幀的接收或丟棄的動作。接下來，MBAP過濾層判斷Protocol ID是否符合Modbus通信協(xié)議，Unit ID是否符合鏈路從機地址，以及Length數(shù)值是否與其后的字節(jié)數(shù)相符。若均相符，則該幀數(shù)據(jù)通過此過濾層；否則丟棄。在檢測階段，PDU檢測是核心部分。對于通過前兩層過濾的數(shù)據(jù)包，按照主機操作意圖分成讀和寫兩個分支進行PDU檢測。其中，讀操作報文查詢PDU白名單。只有功能碼、寄存器起始地址與寄存器數(shù)目能夠在PDU白名單內(nèi)找到完全匹配，讀操作才允許執(zhí)行；不完全匹配則一律丟棄。對于寫操作報文，要識別欲寫入的寄存器位置及數(shù)值。根據(jù)寄存器位置可以了解其代表的數(shù)據(jù)含義，與此數(shù)據(jù)含義對應的自定義寄存器內(nèi)保存有其允許值，將欲寫入的數(shù)值與允許值進行比較，滿足條件則成功寫入數(shù)據(jù)，否則丟棄數(shù)據(jù)包。多層訪問控制過濾策略的處理流程如圖4所示。

圖4　數(shù)據(jù)包處理流程圖Fig.4　The processing flow of data packet

該過程主要由以下步驟構成：

①接收到一幀數(shù)據(jù)后對當前階段是否處在分析階段進行判斷。若處在分析階段，則執(zhí)行步驟②，否則轉(zhuǎn)而執(zhí)行步驟③。

②處于分析階段，利用接收到的報文按層次自動生成白名單，增加其對應白名單內(nèi)容后，執(zhí)行步驟⑩。

③繼續(xù)判斷當前所處在的階段是否為配置階段，若處在配置階段，則執(zhí)行步驟④；否則執(zhí)行步驟⑤。

④對寫敏感的寄存器狀態(tài)值進行安全配置，結束后跳轉(zhuǎn)到步驟⑩。

⑤當前處于對網(wǎng)絡報文的檢測階段，利用系統(tǒng)白名單對數(shù)據(jù)包進行過濾操作。

⑥用MBAP過濾規(guī)則處理通過系統(tǒng)白名單過濾的報文。

⑦判斷報文中Modbus功能碼，若為讀功能碼則執(zhí)行步驟⑧，否則執(zhí)行步驟⑨。

⑧通過在分析階段建立的PDU白名單能否找到匹配來過濾讀報文，結束后轉(zhuǎn)步驟⑩。

⑨將欲寫入寄存器的數(shù)值與其所允許的范圍進行比較，判斷是否允許當前寫操作，結束后轉(zhuǎn)步驟⑩。

⑩一次完整的數(shù)據(jù)包訪問控制過濾處理流程結束。

3試驗驗證

3.1試驗環(huán)境搭建與設計

為驗證本文提出的安全策略，搭建了Modbus/TCP通信試驗平臺。試驗平臺分三層，依次是數(shù)據(jù)監(jiān)控層、協(xié)議轉(zhuǎn)換層以及現(xiàn)場設備層。數(shù)據(jù)監(jiān)控層包含兩個Modbus客戶端，分別是基于組態(tài)王軟件開發(fā)的監(jiān)控畫面和模擬攻擊源的上位機調(diào)試軟件Modbus Poll。協(xié)議轉(zhuǎn)換層指的是網(wǎng)關服務器，該服務器采用ARM硬件平臺，以STM32為核心，實現(xiàn)HART與Modbus/TCP之間的互相轉(zhuǎn)換，同時在與上位機的通信中執(zhí)行Modbus/TCP多層訪問控制過濾策略。現(xiàn)場設備層采用支持HART應用層協(xié)議的壓力變送器。

為使上位機能夠?qū)ψ兯推鬟M行監(jiān)控以及配置，在上位機與變送器之間連入網(wǎng)關服務器。STM32為網(wǎng)關服務器的核心，具有豐富的片上資源，性價比高。其底層通過RS-232接口與壓力變送器連接，通過以太網(wǎng)接口與上位機組態(tài)軟件連接。串行通信采用HART應用層協(xié)議，網(wǎng)關作為主設備向壓力變送器發(fā)送HART命令請求，變送器作為從設備回復HART響應；以太網(wǎng)通信采用Modbus/TCP協(xié)議，上位機作為Modbus主機，網(wǎng)關作為從機。網(wǎng)關運行嵌入式平臺FreeModbus協(xié)議棧[9]，定義部分保持寄存器存儲變送器上傳的狀態(tài)值以及上位機對變送器配置的參數(shù)，并在協(xié)議棧的基礎上增加多層訪問控制過濾策略。網(wǎng)關負責上位機和變送器之間的通信：一方面將變送器按HART協(xié)議傳送的數(shù)據(jù)提取出來存放在特定保持寄存器供上位機讀取監(jiān)控，另一方面將上位機對寄存器的寫操作轉(zhuǎn)化為HART命令通過串口發(fā)送給變送器。為簡化試驗，假設系統(tǒng)中僅存在對動態(tài)變量和主變量電流的讀操作和報警壓力上限值這一個可寫數(shù)據(jù)對象。表1列出自定義寄存器地址及其對應關系。

表1　自定義寄存器的地址及其對應關系Tab.1　The custom register addresses and corresponding relationship

3.2試驗過程與結果

抵御應用層攻擊的方法，就是在試驗環(huán)境中網(wǎng)關服務器能夠按照多層過濾控制的邏輯正常工作，建立白名單，明確Modbus客戶端與服務器之間讀操作通信的最小集合，以及寫操作對象的允許值。網(wǎng)關服務器的注冊IP是192.168.1.7，子網(wǎng)掩碼是255.255.255.0，僅192.168.1.X網(wǎng)段內(nèi)主機可與其通信。在實際工業(yè)環(huán)境中，服務器與上位機之間的網(wǎng)絡地址分配在同網(wǎng)段中，而外部攻擊者的IP地址往往是不同的。外部攻擊者要先偽裝成與注冊IP同網(wǎng)段的主機之一，然后才能通過Modbus數(shù)據(jù)包與服務器通信，并對其展開攻擊。試驗過程如下。

(1)組態(tài)監(jiān)控上位機IP為192.168.1.101，與網(wǎng)關服務器建立TCP連接后周期性讀取動態(tài)變量和主變量電流值，并利用PacketSniffer抓取Mdobus/TCP通信報文。

控制策略在分析階段捕獲網(wǎng)絡報文生成如下白名單。

①系統(tǒng)白名單：

[SourceMAC:0x90,0xe6,0xba,0x7d,0x8c,0x22 ]

[Source IP :192.168.1.101]

[Destination IP:192.168.1.7][Destination Port:502]

②MBAP白名單：[Protocol ID:0][Unit ID:1]

③PDU白名單：[Function Code:03]

[Reference Num:43][Word Count:14]

(2)配置階段內(nèi)，預定義寄存器地址寫入報警壓力上限值允許的波動范圍，0x0080寄存器存允許最大值0x0045，0x0081寄存器存允許最小值0x0040。配置階段結束后，利用多層訪問控制過濾策略對數(shù)據(jù)包進行處理。

(3)攻擊者通過三次握手建立TCP偽連接，偽裝成注冊IP網(wǎng)段的一個主機，IP為192.168.1.110。向服務器發(fā)送包含讀、寫信息攻擊指令的Modbus數(shù)據(jù)包，其中攻擊者篡改報警壓力上限值欲寫入數(shù)據(jù)0x0042。

(4)組態(tài)上位機模擬操作人員的誤操作，向存儲報警壓力上限值的0x0070寄存器寫入0x0100。

試驗結果表明，攻擊者通過IP地址偽裝與服務器建立TCP連接，Modbus Poll可以向服務器發(fā)Modbus數(shù)據(jù)包，但因其IP地址不在系統(tǒng)白名單而被控制邏輯所丟棄。步驟(3)中的攻擊者企圖篡改報警壓力上限值，盡管寫入值在允許范圍內(nèi)，但寫操作并未成功。Modbus Poll不具有對服務器的讀、寫權限，無法攻擊變送器。組態(tài)上位機則能夠利用03功能碼，從0x0043開始讀取連續(xù)14個保持寄存器，16功能碼執(zhí)行對0x0070地址的寫操作，但欲寫入數(shù)據(jù)必須在0x0080與0x0081兩個寄存器存儲數(shù)值范圍內(nèi)。步驟(4)的寫操作并未成功，其操作也受多層過濾策略制約，從而消除了操作人員誤操作對變送器的影響。即使攻擊者能夠冒充組態(tài)上位機或完全獲取上位機權限，也無法對變送器關鍵參數(shù)進行修改。這種將白名單與參數(shù)配置相結合的多層訪問控制過濾策略，能夠有效抵御針對應用層的網(wǎng)絡攻擊，保障系統(tǒng)的安全運行。

4結束語

針對工控系統(tǒng)破壞性更強的應用層數(shù)據(jù)攻擊，本文提出一種Modbus多層訪問控制過濾技術。此過濾技術能夠輔助管理者監(jiān)測網(wǎng)絡上的報文，并具有極低的誤報率。經(jīng)過報文分析階段和配置階段，系統(tǒng)監(jiān)測控制中心與現(xiàn)場設備間的通信報文，利用所建立的白名單匹配讀操作報文中的異常行為，并利用配置參數(shù)匹配寫操作報文中的攻擊行為，能有效防御針對應用層的網(wǎng)絡攻擊。該安全策略具有簡潔清晰、易于推廣的特點，適用于工控系統(tǒng)這類網(wǎng)絡中通信模式相對固定的場合，試驗結果也驗證了該策略的有效性。

參考文獻：

[1] GARITANO I,URIBEETXEBERRIA R,ZURUTUZA U.A review of SCADA anomaly detection systems[C]// Soft Computing Models in Industrial and Environmental Applications,6th International Conference SOCO 2011Springer Berlin Heidelberg,2011:357-366.

[2] MORRIS T H,JONES B A,VAUGHN R B,et al.Deterministic intrusion detection rules for MODBUS protocols[C]//System Sciences (HICSS),2013 46th Hawaii International Conference on.IEEE,2013: 1773-1781.

[3] GOLDENBERG N,WOOL A.Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems[J].International Journal of Critical Infrastructure Protection,2013,6(2): 63-75.

[4] 張盛山,尚文利,萬明,等.基于區(qū)域/邊界規(guī)則的 Modbus TCP 通訊安全防御模型[J].計算機工程與設計,2014,35(11): 3701-3707.

[5] VALDES A,CHEUNG S.Communication pattern anomaly detection in process control systems[C]// Technologies for Homeland Security.IEEE Conference on IEEE,2009:22-29.

[6] CHEUNG S,DUTERTRE B,FONG M,et al.Using model-based intrusion detection for SCADA networks[C]//Proceedings of the SCADA Security Scientific Symposium,2007: 1-12.

[7] 祝木田,師勇.Modbus協(xié)議通訊的應用[J].微計算機信息：測控儀表自動化,2004,20(6):9-11.

[8] 劉威,李冬,孫波.工業(yè)控制系統(tǒng)安全分析[C]// 第27次全國計算機安全學術交流會論文集,2012:41-43.

[9] 王貫兵,陳潔,李新偉,等.基于μC/OS-Ⅲ的FreeModbus通信協(xié)議的實現(xiàn)[J].工業(yè)控制計算機,2015(11):21-23.

中圖分類號：TH-39;TP309

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201607020

Multilayer Access Control Filtering Technique Based on Modbus/TCP Protocol

Abstract：In view of the information security defects existing in typical industrial control protocol of Modbus,the multilayer access control filtering technique based on Modbus/TCP protocol is proposed.The network data packets are processed by adopting hierarchical filtering strategy,to resist cyber attacks.The strategy consists of two phases,i.e.,analysis phase and configuration phase.In analysis phase,the legal messages are collected and analyzed in accordance with the rules,and the three-tier whitelist is established.In configuration phase,the allowable range of critical writable parameters is configured and the over limit parameters are filtered for preventing them to be written in controller.Through tests on the experimental platform built,the capability of the multiple access control filtering technique for effectively resisting the network attacks aiming at application layer of the protocol is verified.It is helpful to eliminate the influence comes from erroneous handling of operators,thus the system security is improved.

Keywords:Modbus/TCPInformation securityAccess control strategyData processingIntegration of information and industrialization

修改稿收到日期：2016-02-26。

第一作者蔣臣(1990—)，男，現(xiàn)為華東理工大學控制科學與工程專業(yè)在讀碩士研究生；主要從事工業(yè)信息安全方向的研究。