The result of tag: (3 results)

我的工控安全学习路线

by LauCyun Jun 13 14:06:53 3,435 views

一、概述

随着德国的“工业 4.0”、美国的“再工业化”风潮、“中国制造 2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患,伊朗核电站遭受“震网”病毒攻击事件、乌克兰电网遭受持续攻击事件和委内瑞拉大规模停电事件等更为我们敲响了警钟。

工业控制系统已成为国家关键基础设施的“中枢神经”,其安全关系到国家的战略安全、社会稳定。工业控制系统所面临的安全威胁是全世界面临的一个共同难题,工业设备的高危漏洞、后门、工业网络病毒、高级持续性威胁以及无线技术应用带来的风险,给工业控制系统的安全防护带来巨大挑战。

1.1 什么是工控安全

所谓工控即是工业控制,工业控制系统(ICS,Industrial Control System)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)以及确保各组件通信的接口技术。

如图1所示,工业控制系统可简单划分为过程控制网络和现场控制网络两部分。过程控制网络中部署多种关键工业控制组件,通过 SCADA 服务器(MTU)与远程终端单元(RTU)组成远程传输链路。


图 1 典型工业控制系统结构(来源:计算机网络安全公众号)

过程控制网络向下与现场控制网络相连接。现场总线的控制和采集设备(PLC或RTU)一方面将现场设备状态传送到过程控制网络,另一方面还可以自行处理一些简单的逻辑程序,完成现场控制网络的大部分控制逻辑功能,如控制流量和温度、读取传感器数据等。

过程控制网络向上与企业信息网络相连接。在企业信息网络中,企业资源计划(ERP)服务器和制造执行系统(MES)服务器与工业控制系统紧密相连。

在企业信息网络中,邮件、Web、ERP 等业务都需要与互联网相连接,而 MES 需要与工业控制系统相连接,以获得生产过程的各种数据,并下达生产任务。各种病毒和木马就是利用这个通道进入企业信息系统,进而进入到工业控制系统中,这已经成为工业控制系统的主要安全威胁来源。随着信息技术的快速发展,工业控制系统中的无线连接、移动存储介质(U盘)、远程维护和升级等新兴技术和应用的广泛使用,为工业控制系统引入了更多的安全风险。

目前工业控制系统广泛的应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造行业,其中超过 80% 的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。

1.2 工控安全与传统安全的区别

工业控制系统以“可用性”为第一安全需求,而传统安全以“机密性”为第一安全需求。在信息安全的三个属性(机密性、完整性、可用性)中,传统安全的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。这一差异,导致工业控制系统中的信息安全产品,必须从软硬件设计上达到更高的可靠性,例如硬件要求无风扇设计(风扇平均无故障时间不到 3 年)。另外,导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接,不适用于工业控制系统,工业控制系统的需求是防火墙故障时保证网络畅通。

为了进一步比较二者,总结如下表所示:


图 2 工控安全与传统安全的对比

1.3 工控安全特点

1.3.1 工业控制系统固有漏洞

各大厂商工控产品都或多或少存在着漏洞,工业领域存在着软、硬件的更新、升级、换代困难等问题。

工业控制系统协议在设计之初就缺乏安全性考虑,存在明文设计、缺乏认证、功能码滥用等安全威胁。

缺乏完善信息安全管理规定,存在U盘管理、误操作、恶意操作等安全威胁。

1.3.2 工业控制系统建设周期长

一般一个大型工业项目建设周期长达 5-10 年,一套工业系统建设调试到稳定需要的周期很长,无法频繁升级。

1.3.3 其他原因

两化融合使得工控系统而临着更多传统IT网络的威胁。

二、学习路线

上面介绍了工控安全的概念、与传统安全的区别和特点,那么接下来将讨论如何学习工控安全的问题。

工控安全是一个多学科,多技术,多领域的交叉门类。本身工控行业的基础专业是自动化专业,自动化专业就是一个多学科的交叉专业,它涉及计算机专业,电气电子专业、仪表专业、通信专业和信息专业等内容。工控网络涉及多个行业,如能源、交通、水利等。多技术包含控制技术、工艺技术、信息技术、网络技术、通信技术、存储技术等等。

作为初学者想开始学习时,却发现无从下手,因为工控安全涉及的知识面太广也太多了,为了广大初学者能够快速学习,特此整理本学习路线,而本学习路线仅展示了工控安全的冰山一角,还希望大家一起学习,一起交流,一起探讨,一起进步。

接下来,将重点介绍如何由浅入深、循序渐进的 Get 工控安全技能。

2.1 基础篇

正所谓万丈高楼平地起,所以基础的重要不言而喻。首先,无论是做工控安全还是程序员,都需要掌握的基本技能,那就是编程语言,建议从汇编、C/C++ 到 Python 的路线学习。

推荐书目:

  • 《汇编语言(第3版)》王爽·清华大学出版社
  • 《C Primer Plus(第6版)中文版》
  • 《Python编程:从入门到实践》
  • 《Python教程》廖雪峰·https://www.liaoxuefeng.com

除了,学习编程语言之外,还需要学习自动化相关知识,比如:自动化设备的基本原理、组成等。

推荐书目:

  • 《传感器与自动检测技术》
  • 《自动控制原理》
  • 《可编程逻辑控制器(PLC)》默里斯·机械工业出版社
  • 《工业控制网络》
  • 《信号与系统》

2.2 进阶篇

经过上面的基础学习,已经有了一定的知识储备,那接下来将学习自动化软件、协议解析两方面内容。

首先,介绍的是自动化软件,自动化软件分为编程软件、组态软件(SCADA 软件)、实时数据库等,具体可按照行业、厂家进行归类了解,深入了解后,再进行跨厂家、跨行业的深度学习。

至于,需要掌握到何程度,比如:会编写 S7 系列 PLC 梯形图、上载、下载等常用的操作。

计算机与计算机、人交流都涉及到协议,协议的重要就不言而喻,所以我们需要学习网络协议,网络协议分为基础协议和私有协议两大类。


图 3 OSI模型(来源:互联网)

基础协议主要涉及 TCP/IP 分层模型有关的内容,包括常见协议的工作原理和特点、缺陷、保护或替代措施等。学习 TCP/IP 方面的知识有很多原因,比如:要适当地实施防火墙过滤,安全管理员必须对于 TCP/IP 的IP层和 TCP/UDP 层有很深的理解、黑客经常使用 TCP/IP 堆栈中一部分区或来破坏网络安全等。

私有协议主要涉及应用层相关内容,常见的工业协议有 Modbus、S7、Ethernet/IP、DNP3、OMRON FINS、IEC104、OPC UA、OPC DA 等,需要学习、分析它的协议结构、工作原理和特点、缺陷、保护或替代措施等,为后续的漏洞挖掘做相应的铺垫。

推荐书目:

  • 《TCP/IP详解 卷1:协议》

既然我们是搞工控安全,那么下面的书籍很有必要读一读:

  • 《工业控制网络安全技术与实践》姚羽等·机械工业出版社
  • 《工业SCADA系统信息安全技术》饶志宏等·国防工业出版社
  • 《工业控制系统信息安全》肖建荣·电子工业出版社
  • 《工业控制系统安全等级保护方案与应用》蔡皖东·国防工业出版社
  • 《工业网络安全—智能电网,SCADA和其他工业控制系统等关键基础设施的网络安全》[美] Eric D.Knapp·国防工业出版社
  • 《智能电网安全:下一代电网安全》 托尼•弗里克·国防工业出版社

2.3 高手篇

经过以上阶段的学习,先想必对工控安全有一定的认识。本阶段主要学习的内容是固件分析和漏洞挖掘两部分。

2.3.1 固件分析

首先,固件逆向分析是在不对嵌入式系统进行实际运行的情况下,通过对固件文件进行逆向解析,分析固件中各代码模块的调用关系及代码内容,从而发现嵌入式系统中可能存在的漏洞及后门的一种技术手段。分析过程中,将会涉及到固件的识别和解压、固件的静态分析等技术。

固件的识别和解压,可以借用一些成熟的工具软件,如:Binwalk、BAT(Binary Analysis Toolkit)等。对二进制可执行文件进行反汇编分析,可以借用一些成熟的工具软件,如:IDA Pro、Capstone 等。

2.3.2 漏洞挖掘

最后,就是漏洞挖掘,也是最为高阶的学习内容,通过前面学习的基础基本就可进入此阶段了,综合利用上述内容对工业控制系统中的设备、软件、网络等内容进行渗透测试。

目前工控漏洞挖掘方法有很多种,常见的方法包括:基于工控协议的模糊测试漏洞挖掘方法、基于固件逆向分析的漏洞挖掘方法、基于工控软件 ActiveX 控件的漏洞挖掘方法、基于 VxWorks 操作系统的漏洞挖掘方法等,我们将会一一进行学习和研究。

三、如何加入?

3.1 加入条件

招收要求:

  • 热衷于信息安全,对信息安全有着不可磨灭的热情;
  • 对工控系统有一定的认知,熟悉或了解一种或多种工控协议 ModBus、S7、Ethernet/IP、DNP3、OMRON FINS、IEC104、OPC UA、OPC DA 等;
  • 熟悉主流的漏洞利用框架及扫描工具,懂得 Fuzz 技术;
  • 英语能力较强,对国外文章进行翻译复现;
  • 掌握至少一门编程语言,如 Python,Java、Lua 等,至少能上手写代码;
  • 人品良好,不将团队内部资料外泄;
  • 有分享精神,每周输出一篇短文章,每月输出一篇长文章(包含但不限于学习经验、学习笔记、总结知识、分析漏洞原理、靶机实验报告);
  • 执行力强,不推诿分内之事,能及时完成分配的任务;
  • 此未参加任何黑产、非法事项。

加分项:

  • 具备攻防能力者优先;
  • 具备设备漏洞挖掘能力者优先;
  • 掌握国内 DCS 相关协议者优先。

3.2 你能得到

加入我们有什么好处呢?

  • 拥有一群志同道合的朋友;
  • 个人技术提升、团队归属感、职业发展;
  • 获得各大公开课、沙龙的参与演讲机会;
  • 在日后工作中可多出一份项目经验;
  • 获得许多团队的内部资料(学习资料、测试环境(PLC、DCS、RTU等)等)及内部福利;
  • 参与论文、团队安全系列图书的撰写。

3.3 加入方式

我是 Ms08067 实验室工控安全小组的 laucyun,如果您想加入我们,一起成长、学习,并且符合以上条件。

请将个人简介发送至 liu#laucyun.com(替换#为@即可),抄送 8946723#qq.com(替换#为@即可),邮件标题为 “[加入申请]-工控安全-xxx”,并包含如下内容:

  • 个人基本情况介绍;
  • 研究方向;
  • 相关技能;
  • 原创文章、研究成果、项目经历等。

...

Tags Read More


工业环境常见勒索病毒的解密工具汇总

by LauCyun May 29 00:36:00 2,234 views

本文转载于https://github.com/jiansiting/Decryption-Tools/,感谢团队成员@剑思庭的分享。

最近应急服务的时候,总是在工控用户方碰上各种勒索病毒,感染工控系统的计算机,以下为日常搜集的勒索病毒解密工具的汇总。

参考链接

...

Tags Read More


工业控制系统场景指纹及异常检测

by LauCyun Jun 05,2017 23:09:43 12,601 views

工业控制系统(ICS)是监测和控制电力、水务、石油天然气、化工、交通运输、关键制造等国家关键基础设施行业物理过程运行的信息物理系统(CPS)。基于ICS系统中控制通信数据流的持续性和稳定性, 该文提出了从ICS系统工业控制协议交互模式中提取系统级行为特征来作为ICS场景指纹的创新思路和方法。ICS场景指纹不仅能用于识别特定ICS系统, 而且还能用于建立ICS系统正常行为基准并进一步用于识别系统的异常行为。该文构建了采用真实工控设备和软件以及仿真物理过程的实验系统并进行了相关实验验证测试。实验结果表明, ICS场景指纹是ICS系统安全研究方面的一种非常有前景的方法。

工业控制系统(ICS)是数据采集系统(SCADA)、 分布控制系统(DCS)、 可编程逻辑控制器(PLC)等多种类型控制系统的统称[12]。由于工控系统在线长期运行及其安全后果的重要性,工控安全问题日益成为关注重点。近年来震网[3]、 毒区[4]、 火焰[5]等病毒也展示了人们面临的严重信息安全现实威胁。

在传统IT领域中,指纹识别的技术通常采用主动方式,并主要用于渗透性测试、基础设施保护以及辅助入侵检测系统等。正如Caselli等人[6]所讨论的,工业控制系统的设备异构性、专用协议、设备计算能力以及长期运行的TCP会话都使传统设备指纹识别变得更具挑战性。而另一方面,在系统视角上,同传统互联网和IT系统相比,工业控制系统通常展现出规律和可预测的通信模式,它具有长生命周期、稳定的拓扑和规律可预测等行为特性。与IT系统相比,每个工业控制系统都是根据其特定物理过程、使用不同控制设备和软件定制开发的系统,每个工业控制系统在系统层面上更具唯一性。

本文的主要目的是探索建立工业控制系统在系统层面上的指纹,从而为工控系统异常检测、流量分析等运行和安全工作开拓一种新的方向。就作者的知识而言,在这个方向上目前尚未有此类研究。 本文的主要创新包括:

  • 同传统的基于IP和TCP级的流量分析不同,本文认为工控协议级的特性更能反映工控系统物理过程的特性,因此提出基于工控协议级网络流量分析思想;
  • 同采用纯仿真方式缺少真实性以及采用现场流量数据包含大量噪声干扰的方式不同,本文采用了基于场景的混合仿真方式构建了“真实”、“纯净”的工控实验环境,从而能在此环境中更方便地分析反映工控系统物理过程特性的流量特性;
  • 本文提出了基于工控协议双向包长、包到达间隔时间、包方向、包序列向量的工控系统基于场景指纹的系统级特征量,这种特征量更具有泛化性,能更语义地执行工控异常检测,并通过实验验证了其初步有效性。

 

1 相关工作

本文的主要思想源自于工业控制系统同传统IT系统所不同的严格规范性特性(图1)。在这方面,已经有大量综述文献[127]从系统层面上讨论了同传统IT系统相比,工业控制系统具有更长生命周期、更层次化和结构化的体系结构、更稳定的系统拓扑、更低的系统组件变动性等特性。同时,Barbosa等人[8]、 Pleijsier等人[9]实证展示了工业控制系统在网络流量所显示的以高度周期性方式产生流量、有非常稳定的连接图等特性。这些促发了我们寻求工控系统层相对简单、稳定指纹的思考。

图1 工业控制系统典型体系结构图

在传统网络流量分析和指纹辨识方面,Caselli等人[6]提出IT领域中广泛接受的指纹识别技术。Crotti等人[10]的工作,从包大小、到达间隔时间和到达顺序这3种特征出发提出了指纹的概念并用它来实现辨识目的。本文基于这两种方案,提出了新的工控场景指纹概念,建立工控场景模式的行为特征并用于识别工控系统运行中的异常行为。

在工控网络流量分析中,Garitano等人[11]研究建立整体工业控制系统应用网络流量模型的方法,本文则通过真实工业控制软件、硬件以及物理过程的仿真,研究利用网络数据的交互模式来验证特定的工控系统以及异常状态的可行性。在工控系统异常检测方面,Cheung[12]、 Goldenberg[13]和Morris[14]提出针对Modbus协议的入侵检测系统。Barbosa等人[15]使用白名单来描述合法交互。与他们不同的是,本文的研究专注于系统级的流量特征,这是一个工控系统信息安全的新研究方向。

此外,工控系统模型和参考体系结构等为描述和理解工业控制系统提供了公共的框架和术语,是工业控制系统信息安全工作的基础。在工业控制系统领域,ANSI/ISA-99[16]和IEC62443[17]等国际标准给出了5层结构。在本文中,为更好地理解工业控制系统,将工业控制系统简化成过程网络、控制网络和物理过程3部分,参见图1

 

2 实验设置

在工控信息安全研究中,一种方式是使用现实工控系统中采集的网络流量进行分析,它们提供了更现实的复杂环境下的工控研究成果。但这些网络流量包含了各种环境噪声,不能纯净地提供系统在未受干扰和攻击下正常行为特征,而且在真实环境中也无法开展各种攻击和检测流程。另一种情况对工控系统的网际部分,即上位机、 PLC等工控设备,采用仿真方法,虽然它能提供纯净的正常行为,但由于缺少真实网际部分设备,其结果的真实性仍然需要进一步验证。本文聚焦于上位机和PLC等下位机之间的控制系统通信交易这一工控系统最关键的部分,在这方面采用完全真实的软件和硬件构建,而其物理部分采用仿真的物理过程。通过这种方式,确保了工控实验测试床的真实性和有效性,参见图2

图2 工控CSTR场景实验拓扑图

实验场景根据图1所描述的工业控制系统体系结构来构建。该实验场景是建设中的关键基础设施综合实验平台(CPS-based critical infrastructure integrated experiment platform,C2I2EP)的一个组成部分。实验场景包含工控系统和实验分析系统两部分: 实验分析系统用于检测网络流量,执行数据分析任务; 工控系统部分构成如下:

  • 过程网络(上位机): Intouch;
  • 控制网络(PLC): 采用西门子PLC,它同上位机之间通过ISO-over-TCP协议进行通信;
  • 物理过程: 使用Matalab仿真运行CSTR化工模型。

在实验中采用一个标准连续搅拌釜式反应器(CSTR),产生一个一阶不可逆放热反应。过程如图3所示。

图3 CSTR模型

以上物理过程描述如下。

\(dCAdt=qV(CAf−CA)−k0exp(−ERT)CA,\\dTdt=qV(Tf−T)\\−ΔHρCpk0exp(−ERT)CA\\+UAVρCp(Tc−T).\)

 

3 工业控制系统场景指纹

工业控制系统种类繁多,不同的工业控制系统最大的区别在于其所实现的物理过程不同。每一个工控系统(场景)都是一种逻辑和数据的组合[11],工控系统的设计者设计控制逻辑,植入PLC,为监控人员设计HMI系统。最后,HMI和PLC与传感变量和控制变量通过工业控制协议进行交互。通过分析工业控制协议交互行为特征,可以获取工控系统的场景指纹。

接下来对工业控制系统场景指纹进行定义和实验验证。 在本文中,工控系统场景指纹是HMI和PLC之间交易模式的集合,其中交易是通过包时序、包到达间隔时间、包方向、包大小来进行区分的HMI和PLC之间交换的工控协议包的集合。工控场景指纹获取流程如图4所示。

图4 工控系统场景指纹获取流程

步骤1 获取HMI与PLC之间的交互情况。

在步骤1中,可以使用Wireshark等网络流量捕获软件来获取HMI和PLC之间的交互情况,获取的PCAP文件如图5所示。

图5 获取的网络流量PCAP文件

步骤2 协议特征的提取和预处理。

实验采用定义的数据分析工具,如scapy等来提取数据包特征量: 包时序、包大小、包间隔时间和包方向。然后对特征量进行过滤和预处理,最终得到工控协议特征向量集合 \(Pi\)

\(Pi={si,Δti,di},i=1,2,….\)           (1)

其中: 是 HMI⇆⇆PLC 之间交换的第 个包的序号; Δt代表第 个包和前一个包之间的包间隔时间; d代表 HMI⇆⇆PLC 的数据发送方向,即当包属于 HMI→PLC 的流 FHMI 时 d为“+1”,而当包属于 HMI←PLC 流 FPLC 时 d为“-1”。

需要指出的是,在这里已经将包到达间隔时间进行了离散化处理,极大地方便了后续的相关分析工作。

通过对CSTR场景的6 h的运行监控和实验数据分析,初步发现工控协议交互的数据包具有如下特性:

1) 场景中的工控协议中存在长时间的TCP连接,该连接可以持续数个h(可能更长),参见图6。这验证了Caselli等人[6]的观点,并证实了无法使用TCP连接特征来分析工控系统场景。

图6 HMI和PLC之间的TCP长连接

2) 工控协议数据包的包到达间隔时间存在明显的特征,可以用来分辨HMI和PLC之间的交易模式。根据对Δti的观察,存在3种数量级的交互时差: 100ms、 10ms、 1ms。参见表1。

表1 不同数量级的交互时差

序号 包大小 包方向 包向量 间隔时间
1 90 1 90 0ms
2 60 -1 -60 1ms
3 76 -1 -76 20ms
4 60 1 60 200ms
5 133 1 133 100ms
6 60 -1 -60 1ms
7 227 -1 -227 30ms
8 133 1 133 1ms
9 60 -1 -60 1ms
10 90 1 90 10ms

3) 工控协议数据包的包大小 si  和包向量 (si,di) 类型有限,在CSTR场景当中,截取了上百万个数据包也仅存在6类包向量: {(60,+1),(90,+1) ,(133,+1),(60,-1),(76,-1),(227,-1)}。 另外,通过多时间尺度的数据统计,发现几种包向量的数量在不同时间尺度下基本保持不变。参见图7

图7 不同时间尺度下的包向量数量

步骤3 获得工控系统场景交易模式。

通过步骤2的观察,在CSTR场景当中存在交易模式,每一个模式Mj由多个连续特征向量集合组成:

\({{M}_{j}}=\left\{ {{{\dot{P}}}_{0}},{{{\dot{P}}}_{1}},\cdots \right\}.\)                 (2)

获取工控场景交易模式的算法如下所述。

算法1 获取工控场景交易模式
1: input: <Pi={siti,di},I>,
  output: <\({{M}_{j}}=\left\{ {{{\dot{P}}}_{0}},{{{\dot{P}}}_{1}},\cdots \right\}.\) >
2: 通过对场景的分析,发现每个交易都由一个包大小为60的不携带参数的包结束。
3: function Patterns(Pi={siti,di})
4: while(i<I)
5: j=i
6: while(sj !=60)
7: j=j+1
8: if{(si,di),…,(sj,dj)} ¯∈¯M
9: P˙P˙ ={(si,di),…,(sj,dj)}
10: M=M∪{P˙P˙}
11: return M

经算法验证,在CSTR场景当中存在8种交易模式,参见表2和图8

表2 交易模式统计

  交易模式M 数量
M1 {(227,-),(60,+)} 5 021
M2 {(76,-),(60,+)} 47 703
M3 {(90,+),(60,-)} 45 269
M4 {(133,+),(60,-)} 7 475
M5 {(76,-),(90,+),(60,-)} 9 464
M6 {(76,-),(133,+),(60,-)} 13 910
M7 {(227,-),(90,+),(60,-)} 16 366
M8 {(227,-),(133,+),(60,-)} 14 909

图8 CSTR场景交易模式

步骤4 CSTR工控系统场景指纹。

在CSTR场景当中,场景指纹ΦS是交易模式的集合,定义为

ΦS={M1,M2,…,M8}.       (3)

在本次实验中,并未考虑不同的硬件会带来的影响,这将在未来的研究中进一步探讨。

 

4 基于工业控制系统场景指纹的异常检测

4.1 异常检测

通过代表正常系统行为特征的工业控制系统场景指纹,可以有效地检测异常行为。对于新获取的数据流,通过重复步骤1—3获取交易模式并与场景指纹对比,如果出现新的交易模式,就可以判定存在异常行为。下列基于CSTR场景 的异常检测实例可以作为理论研究的例证,在现实的异常检测当中,工业控制系统场景指纹可以作为现有的异常检测手段的一种补充。

4.2 异常检测实验实例

将展示一些实例来验证基于场景指纹的异常检测。在接下来的场景中,假设异常的产生(包括攻击)来自“合法”来源,使用“合法”协议与PLC进行交互。这是工业控制系统当中最难以发现却又最危险的异常情况。

场景1 ISO-on-TCP数据流。

图9中的ISO-on-TCP协议数据流PCAP文件从硬件供应商获得。尽管使用 了相同的协议,但是其中的参数与本文的实验数据并不一致,比如其中包含长度为82的数据包,这在本文的实验场景中从未出现过。

图9 ISO-on-TCP协议数据包

场景2 PLCScan扫描攻击。

图10展示了CSTR实验场景在PLCScan 扫描攻击下的数据流,可以假设攻击者已经拥有了部分权限,可以伪造数据包的参数,比如IP地址、包数据等,以抵抗白名单探测。

图10 PLCScan扫描攻击数据流

但在如图10所示的数据流中,数据包2被伪造成任何大小的数据包都无法匹配已有的场景指纹,这意味着通过基于场景指纹的探测方式可以有效地检测到该攻击的存在。

 

5 结束语

工业控制系统(ICS)信息安全对关键基础设施安全而言是至关重要的。本文认为工业控制系统(ICS)和信息技术(IT)系统之间的最大区别在于:

1) 工业控制系统是信息物理系统,可以直接影响物理世界;

2) 在系统层面,工业控制系统是高度规范性和规律性的生产系统,具有更高的规律性以及稳定性。

通过对仿真实验场景的观察和分析实验,可以获得工业控制系统的系统级特征,本文称为“工业控制系统场景指纹”。这种基于工业控制协议交互行为特征的技术对工业控制系统安全研究是一个有前途的新方向。

本文的研究和实验都只是基于理想模型,其结果暂不适用于真实环境中的复杂模型。 在关键基础设施综合实验平台(C2I2EP)的未来搭建计划中,准备构建更加复杂和真实的实验场景,还会从真实的工业控制系统当中获取数据流来进行进一步研究。另外,在对工业控制系统场景指纹进一步研究时,将扩展工业控制协议数据特征集包括一些TCP/IP底层参数,并使用更有效的数据挖掘方法来对真实的工业控制系统环境下产生的复杂数据进行分析。

 

参考文献

[1] Stouffer K, Falco J, Scarfone K. Guide to Industrial Control Systems (ICS) Security, NIST: special publication 800-82 [R]. 2011.
[2] 彭勇, 江常青, 谢丰, 等. 工业控制系统信息安全研究进展 [J]. 清华大学学报: 自然科学版, 2012, 52(10): 1396-1408. PENG Yong, JIANG Changqing, XIE Feng, et al. Industrial control system cybersecurity research [J]. Journal of Tsinghua University: Sci & Technol, 2012, 52(10): 1396-1408. (in Chinese).
[3] Falliere N, Murchu L O, Chien E. W32.Stuxnet dossier, Symantec white paper [R]. 2010.
[4] Bencsáth B, Pék G, Buttyán L, et al. Duqu: A Stuxnet-like malware found in the wild[R/OL]. (2011-10). http://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf.
[5] sKyWIper Analysis Team. sKyWIper (a.k.a. Flame a.k.a. Flamer): A complex malware for targeted attacks[R/OL]. (2012-05). http://www.crysys.hu/skywiper/skywiper.pdf.
[6] Caselli M, Hadiosmanovi D, Zambon E, et al. On the feasibility of device fingerprinting in industrial control systems [C]//8th International Workshop on Critical Information Infrastructures Security, CRITIS. 2013: 155-166.
[7] Cheminod M, Durante L, Valenzano A. Review of security issues in industrial networks [J]. IEEE Transactions on Industrial Informatics, 2013, 9(1): 277-293.
[8] Barbosa R R R, Sadre R, Pras A. A first look into SCADA network traffic [C]//Proceedings of 2012 IEEE Network Operations and Management Symposium, NOMS. 2012.
[9] Pleijsier E. Towards anomaly detection in SCADA networks using connection patterns [C]//18th Twente Student Conference on IT. 2013.
[10] Crotti M, Dusi M, Gringoli F, et al. Traffic classification through simple statistical fingerprinting [J]. SIGCOMM Comput Commun Rev, 2007, 37(1): 5-16.
[11] Garitano I, Siaterlis C, Genge B, et al. A method to construct network traffic models for process control systems [C]//Proceedings of 2012 IEEE 17th International Conference on Emerging Technologies and Factory Automation, ETFA. 2012.
[12] Cheung S, Dutertre B, Fong M, et al. Using model-based intrusion detection for SCADA networks [C]//SCADA Security Scientific Symposium. 2007.
[13] Goldenberg N, Wool A. Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems [J]. International Journal of Critical Infrastructure Protection, 2013, 6(2): 63-75.
[14] Morris T, Vaughn R, Dandass Y. A Retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems [C]//Proceedings of the 2012 45th Hawaii International Conference on System Sciences. 2012.
[15] Barbosa R R R, Sadre R, Pras A. Flow whitelisting in SCADA networks [J]. International Journal of Critical Infrastructure Protection, 2013, 6(3-4): 150-158.
[16] ANSI/ISA-99.01.01-2007. Security for industrial automation and control systems: Terminology, concepts and models [R]. 2007.
[17] IEC/TS 62443-1. Industrial communication networks- Network and system security-Part 1-1: Terminology, concepts and models [R]. 2009.

 

本文转载于彭勇, 向憧, 张淼, 陈冬青, 高海辉, 谢丰, 戴忠华. 工业控制系统场景指纹及异常检测[J]. 清华大学学报(自然科学版), 2016, 56(1): 14-21

(全文完)

...

Tags Read More