電力工控系統(tǒng)網(wǎng)絡(luò)入侵和攻擊典型模型研究

郭志民,呂　卓,陳　岑

(國網(wǎng)河南省電力公司電力科學研究院，河南 鄭州 450052)

0　引言

隨著“大云物移”等新技術(shù)在電力系統(tǒng)的應(yīng)用以及智能電網(wǎng)的發(fā)展，電力工控系統(tǒng)中大量使用智能設(shè)備、嵌入式操作系統(tǒng)和各種專用協(xié)議，具有集成度高、行業(yè)性強、內(nèi)核不對外開放、數(shù)據(jù)交互接口無法進行技術(shù)管控等特點[1-2]。傳統(tǒng)的安全防護手段(如防火墻、入侵檢測、安全漏洞探測、虛擬專用網(wǎng)等技術(shù))在應(yīng)對黑客攻擊的過程中發(fā)揮了巨大的作用，但是在層出不窮的網(wǎng)絡(luò)攻擊技術(shù)面前，這些傳統(tǒng)的安全防御手段顯得有些力不從心。對網(wǎng)絡(luò)入侵行為和網(wǎng)絡(luò)攻擊技術(shù)進行充分的了解和透徹的研究是確保電力工控系統(tǒng)網(wǎng)絡(luò)安全的關(guān)鍵[3]。深入研究其原理、方法和規(guī)律，建立入侵和攻擊的模型，對于特定應(yīng)用環(huán)境下的重要信息獲取以及工控系統(tǒng)應(yīng)用安全監(jiān)控具有重要的理論意義和實用價值[4]。

1　現(xiàn)狀分析

近年來，網(wǎng)絡(luò)攻擊的方式和方法已經(jīng)從早期的粗糙、單一的攻擊方法發(fā)展到今天的復雜、綜合的攻擊方法。從以口令破解、泛洪式拒絕服務(wù)和特洛伊木馬為主，發(fā)展到當前以網(wǎng)絡(luò)信息探測、網(wǎng)絡(luò)漏洞探測、網(wǎng)絡(luò)欺騙攻擊、分布式網(wǎng)絡(luò)病毒攻擊等[5-6]為主。我國已經(jīng)開始考慮如何有效地開展工控安全的建設(shè)，通過與現(xiàn)有的工控安全技術(shù)進行有效結(jié)合，加強在電力工控安全方面的建設(shè)投入。一些省級電力公司已經(jīng)開始在一些生產(chǎn)環(huán)節(jié)嘗試引入新的方法和思路來構(gòu)建工業(yè)控制系統(tǒng)安全體系，如在系統(tǒng)邊界，通過監(jiān)聽等方式結(jié)合數(shù)據(jù)分析平臺，制定相關(guān)的工控系統(tǒng)安全檢測和評估基線，形成一整套針對工控系統(tǒng)的安全預警機制等。但想要從根本上解決電力工控系統(tǒng)網(wǎng)絡(luò)安全的問題，需要對網(wǎng)絡(luò)入侵和攻擊行為進行建模，結(jié)合電力工控系統(tǒng)運行特征，構(gòu)建特征完善的網(wǎng)絡(luò)入侵行為特征庫，從而更好地實現(xiàn)對于攻擊行為的應(yīng)對，并防患于未然[7-8]。

2　電力工控系統(tǒng)網(wǎng)絡(luò)入侵和攻擊典型模型研究

2.1　電力工控系統(tǒng)網(wǎng)絡(luò)入侵特征分析

電力工控系統(tǒng)網(wǎng)絡(luò)入侵研究分為兩個方面，一是對電力工控協(xié)議典型漏洞，包括協(xié)議設(shè)計方面的漏洞和協(xié)議實現(xiàn)方面的漏洞，研究每類漏洞的利用技術(shù)，包括分析每種漏洞可能導致的攻擊，以及研究攻擊對漏洞的利用機理和可能導致的后續(xù)攻擊；二是結(jié)合業(yè)務(wù)場景，分析業(yè)務(wù)所涉及的工控協(xié)議類型，結(jié)合工控協(xié)議漏洞，研究工控協(xié)議漏洞風險以及利用漏洞產(chǎn)生攻擊對業(yè)務(wù)系統(tǒng)造成的影響。

圖1　電力工控協(xié)議漏洞利用研究步驟

圖2　業(yè)務(wù)系統(tǒng)協(xié)議漏洞分布及攻擊路徑圖

2.1.1工控協(xié)議漏洞利用技術(shù)研究

工控協(xié)議漏洞包括了協(xié)議設(shè)計方面的漏洞和協(xié)議實現(xiàn)方面的漏洞，因此，對漏洞利用技術(shù)的研究可以從這兩個方面進行展開。

(1)工控協(xié)議設(shè)計方面漏洞利用技術(shù)研究

協(xié)議設(shè)計方面的漏洞主要是由于在傳輸規(guī)約設(shè)計之初，設(shè)計者未考慮或者很少考慮信息安全防護措施，在協(xié)議設(shè)計中未設(shè)計相應(yīng)的安全機制。目前協(xié)議安全機制主要有完整性保護機制、機密性保護機制、身份認證機制，因此，工控協(xié)議安全設(shè)計方面的漏洞主要包括完整性保護缺失、機密性保護缺失、身份認證缺失三類。協(xié)議設(shè)計方面的漏洞將導致對業(yè)務(wù)數(shù)據(jù)采集和傳輸過程中的惡意篡改，對關(guān)鍵系統(tǒng)控制指令報文的仿造，針對規(guī)約實現(xiàn)漏洞構(gòu)造的非法格式報文，以及基于重放技術(shù)的拒絕服務(wù)攻擊。

(2)工控協(xié)議實現(xiàn)方面漏洞利用技術(shù)研究

工控協(xié)議實現(xiàn)方面的漏洞主要是指協(xié)議代碼編寫實現(xiàn)中造成的漏洞。工控協(xié)議實現(xiàn)過程中潛在的漏洞會導致針對工控系統(tǒng)主站和智能終端的攻擊(異常)?；趨f(xié)議實現(xiàn)方面的漏洞，一般是由于代碼的邏輯錯誤或含有漏洞的底層函數(shù)導致。工控協(xié)議安全實現(xiàn)方面的漏洞主要包括存儲區(qū)域檢查缺失、字段值范圍檢查缺失、特殊字符檢查缺失、針對正常請求的限制缺失、針對錯誤請求的限制缺失五大類。協(xié)議實現(xiàn)方面的漏洞將導致對業(yè)務(wù)數(shù)據(jù)采集和傳輸過程中的惡意篡改，對關(guān)鍵系統(tǒng)控制指令報文的仿造，針對主站的權(quán)限提升，針對智能終端的超級權(quán)限獲取，以及基于資源耗盡型的拒絕服務(wù)攻擊等。

2.1.2工控協(xié)議漏洞攻擊路徑分析

針對電力工控業(yè)務(wù)系統(tǒng)，首先，分析具體工控業(yè)務(wù)系統(tǒng)的工控協(xié)議應(yīng)用和協(xié)議漏洞分布情況，以及利用工控協(xié)議漏洞在業(yè)務(wù)系統(tǒng)中可能導致的攻擊路徑。然后，結(jié)合工控協(xié)議承載的業(yè)務(wù)指令數(shù)據(jù)，分析攻擊對工控業(yè)務(wù)系統(tǒng)造成的影響。

工控系統(tǒng)一般由主站層、網(wǎng)絡(luò)通道層、終端層組成。主站層包含業(yè)務(wù)自動化系統(tǒng)、通信系統(tǒng)、對時系統(tǒng)等子系統(tǒng)，主站層功能高度集成，可在一臺計算機或嵌入式裝置實現(xiàn)，也可分布在多臺計算機或嵌入式裝置中。網(wǎng)絡(luò)通道層，主要包含多種不同網(wǎng)絡(luò)傳輸通道，采用各種工控傳輸協(xié)議。終端層主要包含各種工控現(xiàn)場智能終端設(shè)備，譬如智能變電站的智能設(shè)備、合并單元和智能終端等。

電力工業(yè)系統(tǒng)中，現(xiàn)場層及過程控制層通信的方式以及采用協(xié)議，根據(jù)應(yīng)用領(lǐng)域及實際條件的不同會有較大差別，因此對電力工控業(yè)務(wù)系統(tǒng)協(xié)議漏洞分布及攻擊路徑的分析要結(jié)合每個具體的業(yè)務(wù)系統(tǒng)開展研究，通用的業(yè)務(wù)系統(tǒng)協(xié)議漏洞分布及攻擊路徑分析方法見圖2，根據(jù)業(yè)務(wù)系統(tǒng)工控協(xié)議漏洞分布情況，以及前面協(xié)議漏洞利用技術(shù)的研究成果，分析具體業(yè)務(wù)系統(tǒng)可能遭受的攻擊以及攻擊路徑。

攻擊路徑的分析：網(wǎng)絡(luò)攻擊路徑是對引起網(wǎng)絡(luò)系統(tǒng)狀態(tài)變遷的攻擊序列的一種描述，體現(xiàn)了網(wǎng)絡(luò)狀態(tài)和攻擊動作之間的依賴關(guān)系。網(wǎng)絡(luò)攻擊路徑的早期發(fā)現(xiàn)能夠幫助網(wǎng)絡(luò)安全人員有針對性地提高網(wǎng)絡(luò)安全性，成為網(wǎng)絡(luò)安全評估系統(tǒng)中的重要環(huán)節(jié)。

通過對業(yè)務(wù)系統(tǒng)漏洞分布及攻擊路徑分析，在此基礎(chǔ)上，進一步研究業(yè)務(wù)系統(tǒng)協(xié)議承載的業(yè)務(wù)指令及業(yè)務(wù)邏輯，分析由協(xié)議漏洞導致的攻擊對工控系統(tǒng)的影響。

主站系統(tǒng)主要是各種電力工控業(yè)務(wù)系統(tǒng)，實現(xiàn)面向全站或一個以上一次設(shè)備的測量和控制功能，完成數(shù)據(jù)采集和監(jiān)視控制(SCADA)等相關(guān)功能。攻擊對站控層的影響主要是攻擊導致的業(yè)務(wù)系統(tǒng)宕機。終端層主要是各種現(xiàn)場智能終端設(shè)備，完成電能分配、變換、傳輸及其測量、控制、保護、計量、狀態(tài)監(jiān)測等相關(guān)功能。攻擊對終端層的影響集中于對智能終端設(shè)備的惡意操作上。

2.2　電力工控系統(tǒng)攻擊模型研究

在對電力工控系統(tǒng)攻擊特征進行分類整理的基礎(chǔ)上，需要構(gòu)建電力工控系統(tǒng)的攻擊模型，為攻擊驗證平臺對攻擊過程進行模擬驗證提供基礎(chǔ)數(shù)據(jù)。本文采用面向?qū)ο蟮姆椒▉順?gòu)建攻擊模型，引入具體攻擊行為、安全狀態(tài)、代碼實例和安全漏洞等對象類來描述攻擊過程。攻擊行為之間可以有關(guān)聯(lián)關(guān)系。對引入的對象類描述如下：

(1)具體攻擊行為：具體攻擊行為描述的是攻擊者完成一個攻擊步驟所進行的操作，可以抽象為對目標建立連接并發(fā)送攻擊數(shù)據(jù)包。

(2)攻擊特征：在攻擊行為發(fā)生時表現(xiàn)出來的系統(tǒng)/數(shù)據(jù)特征，包括網(wǎng)絡(luò)流量異常、安全事件報警、網(wǎng)絡(luò)數(shù)據(jù)包和主機日志等。

(3)安全狀態(tài)：安全狀態(tài)包含被攻擊目標的狀態(tài)和攻擊者的狀態(tài)，如攻擊者當前的起始權(quán)限，這是作為攻擊行為的前提條件。攻擊行為發(fā)生后，安全狀態(tài)改變，作為攻擊行為的后果。

(4)代碼實例：代碼實例作為具體攻擊行為的實現(xiàn)將能夠被攻擊過程的模擬平臺在攻擊過程中直接調(diào)用。

(5)安全漏洞：安全漏洞對攻擊行為所依附的漏洞宿主進行描述，包括漏洞宿主的軟硬件、操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用。

(6)攻擊行為間關(guān)聯(lián)關(guān)系：為了對攻擊過程進行模擬，攻擊樣本庫需要對攻擊行為間的前后依賴關(guān)系進行描述，以便正確刻畫攻擊者在某個步驟所能夠選擇的攻擊手段。

攻擊樣本模型構(gòu)建的結(jié)構(gòu)如圖3所示。

圖3　攻擊樣本庫的體系構(gòu)架

3　結(jié)束語

電力工控系統(tǒng)研究的總體目標是在工控系統(tǒng)與信息系統(tǒng)融合發(fā)展趨勢下，針對控制系統(tǒng)與互聯(lián)網(wǎng)技術(shù)的深度融合引發(fā)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全新的重大挑戰(zhàn)，系統(tǒng)性地從理論模型、關(guān)鍵技術(shù)、裝備研制及測試評估等方面開展工業(yè)控制系統(tǒng)深度安全技術(shù)研究，把握工控系統(tǒng)攻擊機理和工程特征，研制具有主動防護能力的工控系統(tǒng)，提高工控系統(tǒng)內(nèi)核及應(yīng)用安全性，并最終形成工控系統(tǒng)深度安全防護整體解決方案。本文在工控入侵與攻擊模型方面的研究工作，針對工控系統(tǒng)的特性，著力突破工控網(wǎng)絡(luò)空間安全基礎(chǔ)理論和關(guān)鍵技術(shù)，建立工控系統(tǒng)網(wǎng)絡(luò)入侵與攻擊模型，深入理解已知和未知工控系統(tǒng)攻擊的機理和工程特征，提高網(wǎng)絡(luò)系統(tǒng)應(yīng)對復雜網(wǎng)絡(luò)環(huán)境下各種突發(fā)網(wǎng)絡(luò)攻擊事件的能力。

[1] 謝彬，賀志強，湯放鳴，等.工控設(shè)備的安全保密風險評估實踐[J].信息安全與技術(shù)，2014(9)：21-24.

[2] 李戰(zhàn)寶,潘卓.透視“震網(wǎng)”病毒[J].信息網(wǎng)絡(luò)安全,2011(9):230-232.

[3] 張帥.工業(yè)控制系統(tǒng)安全風險分析[J].信息安全與通信保密,2012(3)：15-19.

[4] 王華忠.監(jiān)控與數(shù)椐采集(SCADA)系統(tǒng)及其應(yīng)用[M].北京：電子工業(yè)出版社,2010.

[5] 彭勇，江常青，謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報(自然科學版)，2012,52(10)：1396-1408.

[6] 邢栩嘉，林闖，蔣屹新.計算機系統(tǒng)脆弱性評估研究[J].計算機學報,2004,27(1):1-11.

[7] 蔡曉蓮，李平.計算機網(wǎng)絡(luò)安全威脅及防范策略的探討.網(wǎng)絡(luò)與信息，2009(6):30-31.

[8] 劉威，李冬，孫波.工業(yè)控制系統(tǒng)安全分析[J].信息網(wǎng)絡(luò)安全.