优化随机森林模型的工控网络异常检测

针对现有Modbus TCP协议的异常检测效率和准确率低的问题,提出了一种基于混合鲸鱼算法优化的随机森林异常检测模型。该模型将柯西变异和自适应动态惯性权重相结合,利用柯西变异算子增加种群多样性,避免算法陷入局部最优;引用自适应动态惯性权重因子提高种群的全局搜索能力,使算法的收敛速度加快。仿真实验结果表明,该模型相较于其他分类算法有着更高的准确率和较强的适应性,证明了模型在实际应用中具有较高的检测精度。

ICS中虚假数据注入攻击研究

工业控制系统(Industrial Control System,ICS)的安全保障能力与其关乎国计民生的重要地位,具有极不协调的反差。为了揭示ICS潜在的攻击结构和方法,使得ICS防御策略研究更具实用性和针对性,将虚假数据注入(False Data Injection,FDI)攻击研究面向ICS,建立一种隐蔽的FDI攻击模型,可以在不影响ICS正常通信情况下注入虚假数据篡改监控变量。遵循该攻击模型,在煤制甲醇仿真工厂进行了验证实验,证明威胁切实存在,且难以察觉;同时,分析了威胁的严重性并讨论了防御措施。

基于油气集输半实物仿真平台的工控网络安全测试研究

由于无法在实际环境中对工业控制网络进行安全测试,提出一种基于油气集输半实物仿真平台的网络安全测试方法。该方法通过分析真实环境中工业控制网络的结构和脆弱性,构建网络安全测试模型,分别采用DoS攻击、重放攻击和虚假数据注入攻击方式对仿真平台进行网络攻击测试,并通过组态操作界面和沙盘模型对攻击效果进行验证;同时,对测试过程中出现的网络安全问题进行总结并提出了防御措施,可为工业控制网络安全防护提供重要参考。

Automatic protocol reverse engineering for industrial control systems with dynamic taint analysis

Proprietary(or semi-proprietary)protocols are widely adopted in industrial control systems(ICSs).Inferring protocol format by reverse engineering is important for many network security applications,e.g.,program tests and intrusion detection.Conventional protocol reverse engineering methods have been proposed which are considered time-consuming,tedious,and error-prone.Recently,automatical protocol reverse engineering methods have been proposed which are,however,neither effective in handling binary-based ICS protocols based on network traffic analysis nor accurate in extracting protocol fields from protocol implementations.In this paper,we present a framework called the industrial control system protocol reverse engineering framework(ICSPRF)that aims to extract ICS protocol fields with high accuracy.ICSPRF is based on the key insight that an individual field in a message is typically handled in the same execution context,e.g.,basic block(BBL)group.As a result,by monitoring program execution,we can collect the tainted data information processed in every BBL group in the execution trace and cluster it to derive the protocol format.We evaluate our approach with six open-source ICS protocol implementations.The results show that ICSPRF can identify individual protocol fields with high accuracy(on average a 94.3%match ratio).ICSPRF also has a low coarse-grained and overly fine-grained match ratio.For the same metric,ICSPRF is more accurate than AutoFormat(88.5%for all evaluated protocols and 80.0%for binary-based protocols).

A new real-time ethernet MAC protocol for time-critical applications

The authors propose a new persistent transmission based real time Ethernet MAC protocol that provides a predictable upper bound for the delivery delay of real time frames. Moreover, it is compatible with the protocol used by the existing Ethernet controllers for conventional datagram traffic and thus standard Ethernet stations can be used in the system without any modification. The paper describes the protocol in detail and analyses the maximum delivery delay for real time traffic and the efficiency of the channel.

Identifying and Verifying Vulnerabilities through PLC Network Protocol and Memory Structure Analysis

Cyberattacks on the Industrial Control System(ICS)have recently been increasing,made more intelligent by advancing technologies.As such,cybersecurity for such systems is attracting attention.As a core element of control devices,the Programmable Logic Controller(PLC)in an ICS carries out on-site control over the ICS.A cyberattack on the PLC will cause damages on the overall ICS,with Stuxnet and Duqu as the most representative cases.Thus,cybersecurity for PLCs is considered essential,and many researchers carry out a variety of analyses on the vulnerabilities of PLCs as part of preemptive efforts against attacks.In this study,a vulnerability analysis was conducted on the XGB PLC.Security vulnerabilities were identified by analyzing the network protocols and memory structure of PLCs and were utilized to launch replay attack,memory modulation attack,and FTP/Web service account theft for the verification of the results.Based on the results,the attacks were proven to be able to cause the PLC to malfunction and disable it,and the identified vulnerabilities were defined.

基于主动交互式学习的工控协议逆向分析

作为工业控制系统信息交互的重要基础,工控协议在设计和实现上的规范与完备直接关系到整个工业控制系统的安全运行。针对未知工业控制协议逆向,基于流量样本的协议逆向方法因其无需分析系统固件等优点而受到越来越多的关注。但是该类方法也存在过于依赖样本多样性等缺点,特别是样本多样性不足容易导致字段划分错误、状态识别错误、分析只得到协议规范子集等问题。为此提出一种基于主动交互式学习的工控协议逆向分析方法,在流量样本逆向结果的基础上,依据初始逆向结果构建数据包集合,与真实设备进行交互学习,探测未知协议字段与状态机。与工控模拟软件的交互学习仿真实验结果显示,该方法能有效地验证字段语义、扩充字段取值、扩充异常样本类型,并解决因样本多样性不足而导致的伪长静态字段问题,同时还能有效探测新的状态和状态变迁,极大提高了未知协议逆向的准确性。

核电工控网络私有协议安全高效解析方法的实现

核电厂工业控制系统网络通信协议根据应用系统供应厂商不同,具有多样性及复杂性,且大多为私有协议。如何安全、广泛、准确地覆盖核电工控网络通信协议,实现对使用不同网络协议的通信数据进行保护及审计,是一个必须要解决的问题。本文描述了一种应用在核电工控系统网络安全防护及审计产品上,实现核电工控系统私有网络通信协议安全、高效解析的技术和方法。

基于统计过程控制的水清洗控制系统

为了将水清洗机接入工业网络并实现智能自动化控制,本文提出了一种基于统计过程控制(SPC)可重构程序的水清洗控制系统.该系统根据水清洗设备的参数和组件特性构建了该设备的控制协议;根据协议指令制定了指令判断模块;根据SPC理论设计了过程控制模块.控制协议让该系统的清洗程序具有重构和联网的功能;指令判断模块为重构后的指令提供了安全性保障;过程控制模块让该系统的清洗过程具备动态调整清洗组件的功能.这些功能使得该设备可以实现智能自动化控制.通过测试,该系统比原有系统的清洗次数平均减少了15%,水清洗液的使用率提升了约5%,并扩展了3项功能,提高了设备的利用率和智能化水平,最终满足节能省水、多用途和联网的需求.

基于工控私有协议逆向的黑盒模糊测试方法

工控私有协议的广泛应用给工业控制系统的安全运行带来了很大挑战。由于工控私有协议规范的闭源性,传统的模糊测试工具难以高效地生成测试用例,限制了采用私有工业控制协议的工控设备的模糊测试效率。针对此问题,提出了一种基于私有工控协议逆向的黑盒模糊测试方法。首先,在流量捕获的基础上,采用改进的多序列比对算法与字段划分算法得到协议字段结构;然后,通过定义一系列启发式规则对协议中的常量字段、序列号字段、长度字段、功能码字段进行识别,进而推断协议格式;最后,根据时序及功能码字段构建协议状态机。在模糊测试过程中,根据逆向推断的协议格式,采用多种变异策略生成测试用例,并利用构建的协议状态机指导模糊测试工具与被测设备的深度交互。基于上述方法设计实现了ICPPfuzz工具,并利用真实设备中的3种工控协议(Modbus/TCP,UMAS,S7comm)对ICPPfuzz协议逆向分析能力及模糊测试能力进行了评估。实验结果表明,在协议逆向方面,该工具的字段划分、语义识别和协议状态机构建能力明显强于Netzob;在模糊测试方面,该工具在相同时间内生成的有效测试用例数量为Boofuzz的1.25倍,测试用例的质量以及漏洞发现能力也都优于Boofuzz;同时,在对Modicon TM200/221系列PLC进行测试时,成功发现3个拒绝服务漏洞,证明了该工具的有效性。

核电厂工控网络私有通信协议测试方法研究

核电厂的工控网络结构复杂、设备众多,且大部分采用商业秘密的私有通信协议。通信效率和通信质量是常见的系统故障原因。为解决私有通信协议难以测试的问题,通过研究核电厂工控网络私有协议的特征、应用场景和通信的质量属性,采用嵌套的类型⁃长度⁃数据(TLV)报文描述技术,提出一种通用的工控网络私有通信协议的测试方法。该方法具有灵活度高、适用范围广、自动化程度高等特点,满足了通信质量的测试要求。该方法结合物理层的硬件适配,可用于核电厂工控网络中不同工控设备、不同私有协议的通信质量测试,有效提高网络运行过程中的安全性和稳定性。

工业控制系统网络资产探测技术研究

工业控制系统的安全关系到国计民生,是国家安全的重要组成部分。随着物联网技术不断发展,工业控制系统网络已经深入到各行业,但由于设计的缺陷或安全手段的缺乏,工业控制系统相关资产极易受到黑客的攻击和利用。探测、知晓暴露在互联网环境下的工控资产是实现工业控制系统信息监测、发现安全漏洞和把握网络空间安全态势的重要步骤。本文介绍工业控制系统网络资产探测常用的探测方法,利用端口探测技术扫描目标主机上的端口,根据端口开放情况使用工控协议和通用协议的网络资产探测技术发现工控设备和收集资产信息。通过互联网实验,对探测结果数据进行全面分析,总结工业控制系统网络资产探测技术特点,并指出目前技术存在的问题,对未来的发展进行展望。

基于字符距离聚类的未知工控协议分类方法

未知工控协议分类是实现多类型混合工控协议识别的前提。利用工控协议报文格式精简且广泛采用二进制序列的特点,提出基于字符距离聚类的未知工控协议分类方法。该方法打破传统方法计算文本协议报文的欧氏距离而难以准确反映工控协议报文相似性的问题,通过构建二进制特征序列,计算字符距离,并开展基于字符距离K-means聚类,实现了未知工控协议分类。其中,为确保分类的准确性,提出基于最大平均字符距离的最佳聚类K值确定方法。半物理仿真结果表明,所提方法对未知工控协议分类的准确率可达96.80%,协议类型判别的正确率可达97.07%。

基于工控通信模式的层次识别方法

工控资产探测可以为工控网络安全监控、工控威胁态势感知提供系统认知基础,在提高入侵检测系统的效率、安全威胁分析等方面也起到重要作用。作为工控资产探测的关键一步,设备层次识别能够有效构建控制系统层次结构,对后续识别设备的厂商、型号、版本等详细信息起着至关重要的作用。鉴于工业控制系统中控制通信数据流的持续性以及工控设备之间通信模式的稳定性等特点,提出一种基于工控设备间通信模式的层次识别方法,通过过滤出使用工控协议端口作为目的端口的网络流量,提取工控设备间的交互关系,提高设备层次识别的准确性。最后在4个公开数据集上进行实验,验证该方法能够有效地对典型工控系统中的设备进行层次划分,并且具有通用性。

基于LSTM的Modbus TCP协议模糊测试优化方法

针对工控系统传输协议模糊测试的路径爆炸和约束求解问题,提出一种基于长短时记忆(LSTM)网络的Modbus TCP协议模糊测试优化方法,挖掘出两种工控协议漏洞,分别为非法写入漏洞和数据值边界漏洞。抓取模糊测试数据包形成数据集,并根据状态码将其分为正常用例、异常用例和无效用例三种,通过LSTM识别出无效用例并剔除,提高漏洞挖掘效率。实验结果表明,LSTM识别模糊测试数据集的准确率达到93.87%,经过LSTM优化后的测试用例通过率从30.75%提升至33.99%。

基于协议特征的电力工控网络流量异常行为检测方法

随着信息通信技术在电力工控系统中的广泛应用,电力工控系统遭受网络攻击的风险不断增加。电力工控系统的信息传输和交互以通信协议的流量数据为载体,流量数据的应用层报文在传输过程中存在被窃取及篡改等风险。文中以IEC 60870-5-104协议为例,在对其脆弱性分析的基础上提出了基于协议特征的电力工控流量异常行为检测方法。首先,对电力工控流量进行应用层报文的提取及解析,并结合报文字段特征以及典型电力业务特征建立起电力工控流量正常行为模型。其次,依据正常行为模型对流量数据进行单字段畸形校验、多字段耦合逻辑校验、帧与帧时序逻辑校验、帧与帧上下文异常校验,实现流量异常行为的识别。最后,基于某220 kV变电站的实际流量数据集进行仿真,结果表明所提方法对于典型异常行为检测准确率约为99.98%,能够有效辨识电力工控系统流量异常行为,提升电力系统的安全性。

基于CFL的工控系统认证通信方案

针对工控系统(ICS)中广泛采用的中心认证方案所存在的密钥泄露、单点失效、通信开销大的问题,将具有国内自主知识产权的密码基础逻辑(CFL)认证技术引入ICS的认证与通信过程中,并提出一种基于CFL的ICS认证通信方案。首先,通信双方通过交换并验证基于彼此身份标识和权限信息所生成的动态含权证书,实现双方身份的去中心认证和会话密钥的协商;然后,通过会话密钥、CFL动态签名和访问控制规则保证双方的安全通信;最后,将控制过程详细日志进行加密存储,以实现可溯源过程。理论分析和实验结果表明,所提方案在身份验证阶段不再需要远程认证中心的参与,并实现了工控设备间的本地高效认证。在面对大量认证请求时,与公钥基础设施(PKI)方案、基于身份加密(IBE)方案相比,所提方案的系统吞吐量分别至少提升了92.53%和141.37%,意味着所提方案能够更好地满足ICS的大规模认证和毫秒级安全通信的需求。

PLC与单片机之间的串行通信技术分析

阐述串行通信技术是指在信息传输的过程中,需要通过相关的通信渠道保持数据的输入和处理,通过并行的发信和接收,从而保证通信的质量。PLC与单片机是当前工业自动化控制中的重要组成部分,其在应用的过程中具有较强的可靠性,可用于各种设备的控制过程中。而串行通信技术的利用可以使其的处理能力得到有效提升。探讨PLC、单片机之间的串行通信技术,发挥多元的组合控制功能,从而实现PLC与单片机的控制目的。

基于EtherCAT协议的从站运动控制系统设计

针对工业运动控制系统中,传统的现场总线技术实时性差、容量小等缺点,研究了运动控制系统特点,并将EtherCAT通信技术引入其中,利用STM32F427主控芯片、AX58100从站控制器和JY02电机驱动芯片,开发了EtherCAT从站运动控制器的硬件。实验表明,开发的从站控制系统和主站TwinCAT 3通信完全兼容,通信速度和可靠性较传统总线通信技术大幅度提高,可以更好地满足智能化和柔性生产的发展需求。

核电厂现场总线的应用研究

核电虽然部分实现了“数字核工业”,但是现场设备层仍未实现数字化。现场总线专用于解决现场设备层数字化,所以有必要将现场总线技术引入核电。首先,介绍了现场总线标准中的常用总线协议,通过分析核电对总线协议的需求,以及常用总线协议对核电需求的满足情况,明确了适用于核电的总线协议。然后,给出了核电厂现场总线控制系统的设计方案。该方案通过了出厂验收测试。实际应用结果表明,核电厂现场总线控制系统既节省了成本,又提高了系统的精度和核电厂的数字化水平,是核电厂现场总线应用的成功探索。该研究为核电厂现场总线的全面应用提供了宝贵经验。