卷接设备IPC 控制系统网络安全监测模型的构建

倪雄军，李健俊，李钰靓，文德明，姜学峰，张益南，李 威，张晓东

1. 浙江中烟工业有限责任公司生产管理部，杭州市中山南路77 号 310008

2. 浙江中烟工业有限责任公司信息中心，杭州市中山南路77 号 310008

3. 浙江中烟工业有限责任公司杭州卷烟厂，杭州市科海路118 号 310008

4. 常德烟草机械有限责任公司，湖南省常德市武陵区长庚路999 号 415000

5. 杭州优稳自动化系统有限公司，杭州市余杭区临港路6 号 311107

工业互联网作为新型基础设施建设的重要内容，在推动信息技术（Information Technology，IT）与操作技术（Operation Technology，OT）融合时，打破了工控系统的隔离边界，使工控网络从封闭、孤立逐步走向开放化、互联化、通用化和标准化［1-3］。卷接设备IPC（Industrial Personal Computer）控制系统是基于工业PC控制技术的开放式自动化控制系统，具有运行速度快、控制精度高、通用性好、可维护性强等优点，目前正在逐步取代传统的PLC控制系统，并已在高速、超高速卷接包设备中广泛应用。卷接设备IPC 控制系统的生产网与管理网相连，除边界防护外，内部基本无安全防护措施，因此无法防御高级持续威胁攻击和从控制系统内部发起的攻击。针对此问题，西门子、施耐德等控制系统的生产厂商提出分层部署边界防御、防火墙、入侵检测等技术来构建纵深防御体系［4-5］。该体系是卷烟企业采用的主流防御方法，但难以适应新形势下高端、持续、隐蔽式攻击。冯涛等［6］提出一种基于有色Petri 网理论和Dolev-Yao 攻击方法的检测模型，并对EtherCAT 协议进行了安全性评估，但该模型的建模过程较复杂，且未在实际应用中得到验证。为此，基于卷接设备IPC控制系统的典型攻击链模型，设计了一种能够覆盖卷接设备控制系统核心设备及通信网络的安全监测模型，旨在实现卷接设备IPC 控制系统的多层安全监测，提高卷接设备运行的安全性。

1 问题分析

以ZJ17E卷接机组为例，其IPC控制系统被攻击过程可分为3 个阶段，见图1。①威胁感染与传播。威胁源可能存在于广域网和便携设备中，主要通过网络钓鱼、U盘摆渡等方式进行感染与传播［7］。②向IPC 控制器渗透。计算机被感染后，向人机界面HMI、编程器等外围设备发起攻击，成为攻击IPC 控制器的跳板。③控制网实质攻击。木马病毒成功入侵 IPC 控制器后，通过 EtherCAT 总线、IO 设备等对物理设备进行攻击，进而达到破坏生产活动的目的。病毒在入侵的同时向HMI等设备发送错误的运行状态信息，蒙蔽现场操作人员，存在长期潜伏、蓄意破坏等安全隐患。

图1 卷接设备IPC控制系统被攻击过程示意图Fig.1 Schematic diagram of IPC control system of filtered cigarette maker being attacked

通过研究卷接设备IPC 控制系统的攻击路径，可知其安全问题的核心在于系统网、IPC 控制器和EtherCAT控制网3类关键设备。①系统网。卷接设备控制系统的系统网中未部署安全防护措施，利用恶意代码、木马、病毒等都可以发起身份鉴别请求攻击、中间人攻击等［8］，这类攻击的网络链接有可能变成完全被人监听控制的链接，无法保障网络链接的安全性。因此，需要结合工控协议的深度解析和白名单策略的防护机制，应对针对网络的已知和未知的恶意攻击行为，降低控制系统受损风险。②IPC控制器。为了满足工业环境运行需求，IPC控制器通常采用可靠性高、抗干扰能力强的嵌入式微处理器模块，并使用经过深度定制的操作系统［9］。例如，ZJ17E 卷接机组配套使用的Windows 系统预留给通用程序的运行资源有限，因此无法通过安装杀毒软件、更新补丁、实时更新病毒库等手段来保持攻防力量的平衡［10］。由于操作系统的版本以及应用类型不同，利用非侵入式安全监测方法能够提升安全配置、增强安全机制、减少被入侵的风险。③EtherCAT 控制网。木马病毒成功入侵IPC 控制器后，可通过EtherCAT 总线攻击物理设备，进而破坏生产活动。EtherCAT 数据包经过从站的物理层、数据链路层到达应用层，期间有大量EtherCAT 特有的处理逻辑，同时也存在多个攻击路径。主要攻击方法包括影响EtherCAT 数据包的传递路径、篡改逻辑地址和实际数据空间地址的映射关系、影响数据包读写过程的一致性、影响控制系统各I/O 终端协同控制的一致性、影响操作命令的有效读写、修改应用层业务数据等。因此，需要对EtherCAT 控制网的控制行为进行深度分析，结合控制网功能安全和信息安全的一体化防护措施［11］，对EtherCAT 控制网进行安全监测，降低卷接设备被攻击的风险。

2 卷接设备IPC控制系统安全监测模型设计

为实现卷接设备IPC 控制系统的多层安全监测，设计了系统网伪控制指令安全监测（Monitoring of pseudo control command in system network）、IPC控制器非侵入式安全监测（Monitoring of IPC Controller by non-intrusive method）和控制网异常控制行为安全监测（Monitoring of abnormal behavior in control network）3个安全监测模块，结合数据无扰采集（Acquisition without disturbance for data）和安全风险预警（Alarm of security risk）技术，构建了能够覆盖卷接机组核心控制设备和通信网络的A3MA安全监测模型，见图2。

图2 卷接设备IPC控制系统A3MA安全监测模型结构框图Fig.2 Structure of A3MA security monitoring model for IPC control system of filtered cigarette maker

2.1 系统网伪控制指令安全监测模块设计

伪控制指令安全监测模块具有学习和校验两种模式，主要包括协议解析、异常识别、模型库学习3部分。通过监听和分析所有流向IPC 的数据，实现非法控制指令识别、非法程序注入预警等功能，并实时监测HMI等节点向IPC控制器的渗透过程。利用机器学习与人工梳理结合的方式，从访控权限、协议命令、过程参数、控制行为等角度建立访问控制库、合法命令库、参数规则库、安全行为库等安全通信规则校验库，构建系统网安全通信模型。实时分析系统网数据包，依次校验通信数据包对安全模型的符合性，进而实现伪控制指令的识别与预警。

2.1.1 协议解析

针对 HMI 等节点与 IPC 通信的 ADS 协议，按照协议数据包的封装格式进行拆包，根据报文头部信息确定数据链路层、网络层、传输层及应用层信息，再按照应用层协议格式进行解码，获取应用层信息并检查报文是否符合协议规范，从而实现协议解析。

2.1.2 异常识别

异常识别的作用是基于安全通信规则校验库校验系统网数据，识别通信网络中的伪控制指令，并产生报警信号。模块先对系统网数据进行访控权限校验，识别未授权节点、未授权用户和未授权操作；然后对数据进行操作命令校验，识别非法命令；再对数据进行参数合法性校验，识别非法操作参数；最后结合通信交互行为和网络状态迁移情况，识别伪控制指令。

2.1.3 模型库学习

模型库学习采用人工梳理与机器学习相结合的方式。先通过人工对通信数据包进行离线分析，经过分析通信参与方的身份和协议，构建通信模型白名单；再通过机器学习实时分析线上流量，识别其通信行为；收集符合正常通信特征、不在现有通信模型内的数据包，构建新的模型规则。

2.2 IPC非侵入式安全监测模块设计

IPC 非侵入式安全监测模块主要从IPC 状态安全、行为安全、通信安全3 方面对IPC 进行安全监测。采用非侵入式监测方法资源消耗小，且能够满足IPC控制器在线运行对稳定性和实时性的要求。

2.2.1 IPC状态安全监测

根据核心控制器面临的安全威胁，监测IPC 的安全状态，如恶意开放端口、工控相关进程状态、关键工控文件或系统文件状态等都会影响系统的稳定运行。其主要功能包括状态安全数据采集和状态预期度量。状态安全数据采集功能：①为避免影响卷接设备IPC 控制系统正常运行，以非侵入方式采集IPC 多维静态安全数据；②获取IPC 配置文件、应用软件安装、用户账户、安全策略、注册表等数据以及IPC 中定制的工控软件、软件配置文件及库文件、工控组态包等。状态预期度量功能：对IPC 控制器的配置文件、库文件、编程文件以及操作系统的关键系统文件等内容进行度量。

2.2.2 IPC行为安全监测

对影响IPC 安全的动态行为数据进行监测，如恶意代码注入后启动未知进程篡改工控文件或系统文件、启动U 盘等未知设备。其主要功能包括动态行为安全数据采集和动态行为预期获取。动态行为安全数据采集功能：①为避免影响卷接设备IPC 控制系统正常运行，以非侵入方式采集IPC动态数据；②根据预先采集的IPC安全特征集合，对IPC的进程创建、设备添加和删除、电源状态更改以及注册表修改等行为进行监测，并对数据进行实时获取。动态行为预期获取功能：对获取的动态行为数据进行处理，将数据通过网络交互接口传入IPC 威胁智能分析与评估模块。

2.2.3 IPC通信安全监测

从IPC 通信过程面临的威胁入手监测IPC 与HMI、编程器之间的交互状况，排除IP 异常、端口异常等威胁因素。其主要功能包括通信安全数据采集和通信安全数据预期获取。通信安全数据采集功能：实时获取IPC 与HMI 进行交互发送的指令参数或监控数据状态时的网络通信数据，具体包括交互双方的数据流量特征、数据包特征以及IPC 与编程器之间的网络通信数据（上传下载的文件信息、编程器IP 和端口等）。通信安全数据预期获取功能：在IPC 中获取正常通信行为时HMI 以及编程器IP、端口、MAC地址、所采用协议等数据。

2.3 控制网异常控制行为监测模块设计

结合EtherCAT 高速总线网络的通信特征，建立控制网异常控制行为监测模块。该模块包括EtherCAT无扰侦听、EtherCAT安全监测和EtherCAT安全模型构建3部分，见图3。以数据包完整性和合法性校验、协议深度解析为基础，设计EtherCAT 控制网的关键点重点监测、数据包分类节奏检测、场景行为关联分析3类安全监测策略，对控制行为进行实时分析与检测，及时发现异常控制行为和未知威胁。

图3 控制网异常控制行为监测模块示意图Fig.3 Schematic diagram of monitoring module for abnormal control behavior of control network

2.3.1 EtherCAT无扰侦听

由于EtherCAT 控制网要求强实时性，常规的端口镜像、流量转发等方式会影响IPC 控制系统的运行效率。因此，在物理层上采用流量环回的EtherCAT 数据无扰侦听模块，仅增加物理线路的通信延时，进而在获得EtherCAT 数据包镜像的同时不影响EtherCAT 的强实时性。为避免受到攻击时无扰侦听模块的数据镜像功能失效，将无扰侦听模块装载在EtherCAT 主站出口位置，确保无扰侦听模块传送给EtherCAT安全监测模块的数据包完整。

2.3.2 EtherCAT安全监测

EtherCAT 安全监测模块接收到EtherCAT 数据包后，进行完整性和合法性校验以及协议深度解析；根据协议解析结果分别进行关键点重点监测、数据包分类节奏检测和场景行为关联分析，并对分析和检测结果进行EtherCAT 网络异常控制行为识别、定位和预警。由表1可见，关键点重点监测功能通过分析EtherCAT 通信原理，剖析协议中存在的弱点，进而识别针对协议弱点的攻击行为；数据包分类节奏检测通过分析不同功能数据包的适用场景、触发条件和触发频率，将EtherCAT 数据包分成周期型、触发型和场景型，结合生产场景监测数据包的分类频率，进而识别异常攻击行为；场景行为关联分析通过分析网络数据包的前后关联，进行网络行为识别与网络行为序列诊断，进而识别异常控制行为。

表1 EtherCAT控制网异常控制行为安全监测策略Tab.1 Security monitoring strategy for abnormal control behavior of EtherCAT control network

2.3.3 EtherCAT安全模型构建

利用EtherCAT 协议深度解析和机器学习，结合规则化状态迁移、场景化关联规则、自动化网络梳理等技术，对网络历史数据进行分析、建模和状态演化，通过抽取演化规则形成网络安全模型。EtherCAT安全模型库包括寄存器库、拓扑模型库、配置模型库和行为模型库。寄存器库是其他模型库的基础，通过协议深度解析形成寄存器地址列表与访问规则等；拓扑模型库决定了EtherCAT 链路层控制方式，并影响分布式时钟同步、EtherCAT异常诊断等行为，根据链路层控制方式反向推导可得到系统拓扑模型；通过分析各从站配置数据包，可反向推导从站的类型、默认配置、实际配置等信息，形成配置模型库；通过深度剖析EtherCAT 协议，结合现场获取的历史数据包，分析数据包访问控制规则、分类频度阈值以及各种数据包结构和逻辑关系，构建EtherCAT行为模型库。

3 模型验证

3.1 验证方法

（1）以杭州卷烟厂使用的ZJ17E 卷接机组为对象，在不影响正常生产的前提下部署安全监测原型系统进行测试，见图4。其中，无扰侦听组件为独立的硬件组件，部署在卷接机组IPC 控制系统控制箱交换机附近位置，连入IPC 系统的系统网络和控制网络中，与交换机、IPC 控制器相连。安全监控组件用于高速总线网络异常控制行为监测和伪控制指令识别预警，部署在IPC系统控制箱侧板上，采用旁路部署方式，与无扰侦听组件相连，接收无扰侦听组件发送的单向数据并进行安全分析。IPC 安全监视子模块作为独立的软件模块，部署在IPC 控制器运行系统中，采用非侵入式安全监测方法采集IPC 系统数据，确保与原有控制运算逻辑进行解耦分离和独立运行，并可适应IPC控制器运行资源受限等环境。

图4 卷接设备IPC控制系统网络安全监测原型系统部署Fig.4 Deployment location of network security monitoring prototype system for IPC control system of filtered cigarette maker

（2）基于控制系统构建典型的攻击链模型，分析嗅探、系统网攻击、IPC漏洞分析与利用、IPC实质攻击、EtherCAT控制网攻击等完整攻击链的各个环节，并进行模拟攻击测试，以验证部署安全监测原型系统后IPC 系统在系统网、IPC 控制器和控制网3 方面的安全监测能力。

3.2 验证结果

由表2可见：①系统网伪控制指令监测模块实现了对HMI 与IPC 之间ADS 通信协议的深度解析，并具有对TCP/IP 标准协议族数据的审计功能；可对未授权网络节点、网络协议、网络端口的非法访问进行预警；对HMI 控制指令的重放攻击和伪造攻击进行识别预警。②IPC 非侵入式安全监测模块实现了对IPC控制器的系统信息、磁盘、内存、工控系统文件指纹、工控程序文件指纹、系统服务列表、非系统服务列表、应用程序列表、用户登录信息、外设列表、进程列表、注册表信息共12项数据的安全监测。③控制网异常控制行为监测模块通过对EtherCAT 网络数据进行深度解析，实现了逻辑地址映射篡改监测、异常控制数据操作监测、分布式时钟伪同步监测、从站配置参数合法性监测、从站运行状态监测、从站初始化序列监测、通信异常连接重试监测以及网络流量异常监测等8项安全监测。

表2 安全监测原型系统监测能力测试结果Tab.2 Test results of monitoring capability of security monitoring prototype system

表2（续）

4 结论

针对卷接设备IPC 控制系统内部缺失安全防护措施等问题，采用构建控制系统典型攻击链模型的方法，建立了一种A3MA安全监测模型，实现了卷接设备IPC控制系统的多层安全监测。在ZJ17E卷接机组生产运行环境中进行模拟攻击测试，验证了安全监测原型系统的监测能力。结果表明：安全监测原型系统可快速发现系统网伪控制指令行为，快速定位针对IPC 控制器的未授权篡改行为，快速识别EtherCAT控制网的异常控制行为。应用A3MA安全监测模型实现了卷接设备IPC控制系统核心控制器与高速实时总线网络的安全监测，为后续安全加固、异常阻断、安全联动等安全防护研究打下了基础。