工业控制系统设备指纹识别技术的应用

工业控制系统设备指纹识别技术的应用

王乃青

安天科技集团股份有限公司

    摘要：因为工业互联网的快速发展，传统的工业控制系统架构也逐步由分散式控制系统向集中式控制系统演进，但是却会在网络安全方面面临着新的挑战。据调查显示，大部分的工业控制系统均存在着一定的信息安全问题，针对这些威胁和漏洞，基于设备指纹识别技术实现了对工控网络和可编程控制器设备的远程安全管控。据此，本文对工业控制指纹识别技术在工业控制系统设备中的应用进行了简要研究。

    关键词：工业控制系统；指纹识别；逆向协议；系统设备

    由“数字工厂”向“智能工厂”的转变，使得企业的制造体系和流程逐渐向智能化方向发展，同时，也正在逐步形成“网络分布化”制造设备。在这样的背景下，就对工业现场运行的可操纵性、安全性、稳定性、智能程度提出了更高的要求。同时每个终端装置均有着专属特征，常常会在和外部进行通信的时候得到展示。因此，通过对终端通讯行为进行跟踪与建模研究，来对所具备的特征进行掌握，进而就能实现对设备的精确辨识。

    1.工业控制指纹识别技术在工业控制系统中的应用

    1.1工控协议逆向

    1.1.1指纹识别

    工业控制系统的协议逆向识别主要是指对工业控制系统和技术人员操作后台监控程序的数据传输信息进行精准、深入判断和验证，进而可以利用逆向方法来获取到传输数据中的指纹信息。为此，首先需要通过以下几种方法完成指纹识别。第一，使用无损技术进行识别，可以降低对工作设备的影响，并减少对作业场地网络环境的干扰，这主要是因为在该方法进行应用时，可以通过被动式监听或是通过对报文进行搜索传输，来以获取到的报文数据为依据进行深入分析，从而完成指纹识别。第二，定制识别方法。这种指纹识别手段通常适用于对设备协议存在区别，且各个厂家之间的数据传输机制为私有规约这一情况进行定制化识别。第三，冗余识别。这种方法可针对具有多开放端口的单一设备进行指纹之别，因为这种类型设备的各个端口均有可能具备指纹信息，所以通过冗余识别便能进一步提高识别工作的精准性。

    1.1.2协议逆向解析

    在实际开展工程协议解析工作时，一般需要尽量保证解析能够从不同的角度和方向进行，这样才能良好适应工业控制协议的私有化、定制化特性，保证解析的有效性。针对工业控制协议逆向解析而言，主要包含的解析手段有：第一，字段分析。这种方法的应用原理为对网络中数据传输时各个协议中形成的相应字段频率进行监测，来以此为考量数据对具体的协议字段构成进行判断和研究。第二，流量建模。该种方法一般会以网络实际运行的流量信息为主要目标，对之进行统计分析，来创建相应的模型，进而通过判断流量差异而识别各个协议，所以也仅能对协议种类信息进行获取。第三，字符处理。所谓字符处理主要是根据相应的自然语言处理法、字符串对齐计算法等理论，来掌握网络数据传输信息，自动化依照事先形成的数据排列模板选择适当的会话对网络发送的请求进行应答，但是不能对具体的请求语义进行明确分析。

    1.2指纹数据融合

    在应用工业控制协议的逆向识别技术得到相关工业控制系统的指纹信息后，为良好应对不同协议的多样规约和繁杂的协议指纹参数信息，以保证充分展现出指纹数据二次利用的重大价值和意义，就要实现指纹数据融合。根据指纹信息的特点，主要的融合方向包括有：第一，信息提取。将涉及到装备名称、仪器装备供应厂家、仪器装备规格参数、装备版本型号等信息的重要字段，采用Value、Key等形式来完成储存工作，这样能够让字段信息搜索利用更加便捷。第二，网络节点信息提取。主要将IPv4网络节点作为关键标志，与单一的MAC地址标识信息进行结合，来对相应设备的拓扑构造进行获取。第三，设备开放端口信息提取。在具体实践中需要统计指定设备的端口协议种类、开放端口序列号、端口支持协议名等信息，以能准确对设备安全进行评估。

    2.工业控制指纹识别技术应用实例

    以工业控制系统S7-300设备为研究案例，对工业控制指纹识别技术进行应用实践分析，在这之中，S7-300是由国外某企业制造的可编程控制器，即PLC系列中的一种产品，一般会投入到电力、烟草企业之中使用。

    2.1创建环境

    想要为工业控制指纹识别技术应用提供真实性较高的优良环境，保证对网络报文分析的精准性，就要创建出还原度较大的基本网络拓扑实践条件，如图1所示，为可编程控制器和组态软件Step7的连接图。

图1环境搭建示意图

    2.2挖掘设备指纹信息

    针对该企业的可编程控制器观察显示，组态软件中包含有相应的指纹数据，同时这种Step7V5.5组态软件还具有网络监测和控制作用，能够对网络中的可编程控制器设备进行精准查找和信息收集，所以即可通过这一功能实现指纹信息获取目标。具体操作步骤为：启动Step7→布设PC接口→选择可编程控制器传输接口→展示访问节点→获取可编程控制器数据。

    2.3指纹信息获取

    在Step7呈现出PLC信息数据后，使用Wireshark抓包，然后通过分析交互流程，获取到信息传输流程报文，这样便可开展报文数据研究工作。

    2.4分析通信协议

    作为第7层协议，S7协议的主要作用为进行数据交互，并利用TSAP加载出物理构造各异的网络，且因属于私有协议，在以太网环境中，包含有TPKT、TPDU两种报文。

    2.5验证设备指纹脚本

    通过检测PLC和Step7的交互流程，在进行全面、准确的抓包解析之后，采用脚本对该过程进行再次模拟，来构建相应的协议连接，从而达到获取设备、组件标识数据，研究报文信息的目的。

   结语：工业控制系统指纹识别技术是针对工业控制系统企业协议的多样性和个性化，来对协议及装置进行定制化辨识，确保了该技术辨识的精准度，并且根据工业控制系统长期在线工作和安全性评价的重要程度，实现了非破坏性识别，促进了工业控制系统可以正常运转，且工业控制指纹识别技术还实现了冗余识别，能够提高对单一装置多样端口辨识的正确性。而在社会经济、技术的持续发展过程中，工业控制指纹识别技术也会不断地升级，这就需要有关人员加大对该方面技术的研究力度，推动该领域长久健康发展。

参考文献：

[1]叶水勇.基于指纹的协议识别及安全风险预警[J].黑龙江电力,2020,42(01):84-89+94.

[2]彭勇,向憧,张淼等.工业控制系统场景指纹及异常检测[J].清华大学学报(自然科学版),2016,56(01):14-21.

[3]李沁园,孙歆,戴桦,等.工业控制系统设备指纹识别技术[J].网络空间安全,2017,8(01):60-65.

[4]李鹏程,王浩.工控系统信息化发展趋势下的结构化风险分析[J].品牌与标准化, 2023(4):184-186.

[5]刘虹.指纹识别技术应用[J].中国新通信,2017,19(13):2.