郑伊伶郑　松，，3江丹玲曾其鋆

（1. 福州大学电气工程与自动化学院，福州　350116；2. 中海创研究院，福州　350001；3. 福建省工业控制信息安全技术企业重点实验室，福州　350008）



面向控制平台的异常监测系统的设计与实现

郑伊伶1郑松1，2，3江丹玲2曾其鋆2

（1. 福州大学电气工程与自动化学院，福州350116；2. 中海创研究院，福州350001；3. 福建省工业控制信息安全技术企业重点实验室，福州350008）

由于工业控制系统信息安全问题日趋严峻，国内在工业控制系统信息安全方面的异常监测技术研究仍处于起步阶段，因此，本文以具体的工业控制系统——IAP控制平台作为研究对象，从控制组态监控、操作指令监控、网络通信流量监测等方面设计了异常监测系统，包含了系统的硬件架构设计、软件结构设计，同时，将该系统在IAP控制平台上进行了验证和测试。结果表明，该系统在不影响整个IAP控制平台正常运行的情况下能有效监测工业控制系统中的异常行为及流量。

工业控制系统；信息安全；异常监测系统

工业控制系统在能源、石油化工、水利电力、核能、交通运输等行业发挥着重要作用。传统的工业控制系统相对封闭，甚少与外界存在通信关系，似乎不会有遭受网络攻击的可能性。然而随着计算机与通信技术的不断发展以及“互联网+”概念的不断深入，网络化的控制系统越来越多地应用到工业生产中。信息化与工业化的紧密连接使得传统的、与物理隔绝的工业控制系统失去了免遭网络攻击的保护，工业控制系统将会面临更大的信息安全风险。

由于工业控制系统信息安全关乎国家经济、财产安全，因此国内外相关机构予以高度重视，下达了相关文件并制定了一系列标准指南［1-4］，旨在保证工业控制系统的信息安全。然而工业控制系统与IT系统在性能需求、通信要求等方面存在差异［5］，使得IT信息安全解决方案不能很好地解决工控领域信息安全问题，再加上工业控制系统中不同厂商的产品互不兼容，研究人员很难掌握不同产品的控制内核，导致国内缺乏工控系统安全防御机制［6］。面临这种现状，国内相关研究人员提出了一系列的应对措施，如针对人机界面实施信息安全策略［7］、建立工控环境的测试床［8］、针对整个系统建立纵深防御的安全防护体系［9-11］等，但针对工业控制系统异常监控方面的技术研究还比较少。因此，为了确保工业控制系统的安全生产，当工厂发生信息安全问题时，使工程人员能及时收到报警，快速找出异常发生的位置、原因与解决方法，本文以IAP控制平台为具体的研究对象，设计了异常监测系统，着重从控制组态监控、操控指令监控和网络流量监控三方面说明其实现原理，并进行了多次的功能测试，希望在确保工业控制系统可用性与实时性的同时能提升整个系统的安全性。

1　IAP控制平台信息安全问题分析

1.1IAP控制平台的层次结构

IAP（Industrial Automation Platform）——工业自动化通用技术平台，除了具有传统工业控制系统的特点外，还能解决目前控制系统中各厂商DCS（分布式控制系统）的软硬件不兼容问题，保证了整个系统的通用性，为异常监测技术的研究奠定了坚实的基础。其中，IAP控制平台基本的层次结构如图1所示。

图1　简易IAP控制平台架构

由图1可知，IAP控制平台由监控层、控制层和现场层组成。监控层的设备主要由基于 Windows操作系统的 PC机和服务器组成，其中工程师站的IAPplant软件可用于构建控制系统架构（含工艺设备与控制设备），IAPlogic软件可通过图形化组态方式编写控制策略，IAPview软件用于人机交互画面的组态；历史站的 IAPdata软件可实现对所有操作数据的管控。这些软件与控制站直接通信，以实现对系统的组态、操作和管理。控制层的功能是执行整个系统的控制算法，其中控制站上的 IAPengi软件在实现系统通用性上起着关键作用。现场层有关设备的作用则是执行控制信号的输入与输出。

1.2IAP控制平台的信息安全问题

IAP控制平台虽然具有通用性、跨平台等优点，为信息安全对策的研究提供了便利，但根据分析上述IAP控制平台架构以及软件功能发现，仍存在以下信息安全问题：①工程师站的IAP控制组态软件容易遭受攻击；②操作员站上操控指令容易被人为修改；③监控层 PC机与控制站之间的通信链路广泛使用明文协议，传输数据未能很好的受到保护，易遭受间接的网络攻击。

2　IAP控制平台的异常监测系统的设计

由于现有的工业控制平台的信息安全防护能力十分薄弱，因此，为了防范上述提到的信息安全问题，结合IAP控制平台的具体特点，本文研究并设计了面向IAP控制平台的异常监测系统。

2.1异常监测系统的硬件架构设计

为了不影响通用IAP控制平台对实时性与可用性的高要求，本文将异常监控站（ADS站）采用与操作员站相同的接入方式接入到控制平台中。如图2所示，ADS站与原有的工程师站、操作员站类似，是控制平台功能节点的一个重要组成部分。ADS站仅从原有控制系统中提取相关信息，不对原有系统进行任何写操作，从而确保控制系统的运行不受异常监测技术的干扰。

图2　异常监测系统的硬件架构图

2.2异常监控系统的软件结构设计

为了能实时采集系统中的异常状态，本文在原有IAP控制系统中的工程师站、操作员站及 ADS站上分别开发了ADS探测器，其中包含各采集软件与通信软件，将实时采集到的数据存储在控制站的数据引擎中，运用ADS站上的IAP组态软件，对所采集到的数据进行异常状态监测算法组态及画面组态，以实现对原控制系统控制组态、操作指令及网络通信的异常实时监控。软件架构如图3所示。

图3　异常监测系统的软件架构

3　IAP控制平台的异常监控系统的实现

3.1控制组态变更安全监测的实现

由于IAP控制平台的控制组态最终以文件形式保存，所以对IAP平台的控制组态异常状态的监测实际上等同于对控制文件内容变动的监测。控制组态编辑、分析、链接形成组态文件的流程示意图如图4所示。

图4　控制组态编辑、分析、链接流程及采集原理

根据图4所示的组态流程，本文所采用的监测控制组态异常变化的方法是将组态变化的采集软件与工程师站的控制组态文件及控制站侧的控制组态数据对接，组态文件采集模块读取工程师站上控制组态文件内容的变化，并将出现差异的组态内容及时发送到ADS站。组态数据采集模块对组态数据的校验码进行判断，用于组态内容一致性的监测。

本文将组态文件采集软件与组态数据采集软件读取的变化内容作为ADS站逻辑组态的输入点，在ADS站的组态软件中进行异常监测算法的逻辑组态与画面组态，以实现控制组态变更状况的报警。运用图形化组态方法实现工程师站组态文件变更报警的部分逻辑组态如图5所示。

图5　控制组态文件变更逻辑组态图

图5实现的功能是计算工程文件变更等相应的模拟输入信号的变化率，若存在相应的变更则输出报警信号。表1为图5中逻辑组态所用元件列表。

表1　控制组态文件变更报警所有元件列表

3.2操控指令变更安全监测的实现

在操作员站上，运行人员操控生产过程的操控指令涉及工业设备的起停、执行机构的控制输出、运行方式的选择和控制回路的设定值输入等。图 6是操控指令采集原理示意图。当操作员输入操控指令时，在最短时间内能实现与相应控制站的优先通信。在操控指令序列进入通信缓存时，同时可被操控指令采集模块软件访问，操控指令采集模块软件继而将采集到的信息发送给ADS站。

在ADS站上运行组态软件对控制指令采集模块采集到的数据进行控制逻辑策略组态，即可实现操控指令变更的报警与异常事件次数的记录功能。通过控制逻辑组态实现相应报警功能的原理同

3.1部分所述。

图6　操控指令采集原理图

3.3网络流量异常监测的实现

实时通信网络状态采集软件利用工业以太网中的管理型交换机，周期性采集上行流量、下行流量、广播率等数据，实现对工业以太网状态的实时监测。同时，网络流量异常监测算法通过组态软件的逻辑组态实现，通过引入实时采集的工业以太网数据，计算出特定监测端口的监测流量数据，从而实现对工业以太网异常状态的判定和报告。例如，某网络端口流量在一个时间段内出现超常暴涨，就可以判定出该位置可能出现流量攻击或蠕虫病毒，发出报警信号，供专业人员进行后续处理。其实现原理图如下图7所示。

图7　网络流量异常监测原理图

由于工业以太网中网络流量的规律性比较强，波动幅度小，因此，容易确定系统正常运行状态下的流量阈值。由图形化组态方式所计算出的端口网络流量如果超过正常阈值范围则在人机界面中输出报警，同时说明该系统能监测到异常网络流量。

4　IAP控制平台异常监测系统的功能测试

本文所设计的面向控制平台的异常监测系统已通过中国信息安全测评中心的测试。现仅从工程师站组态变更、操作员站操控指令变更以及网络流量变更三个方面的功能测试说明该异常监测系统的可行性与有效性。

1）工程师站组态变更监测测试

在系统正常运行的过程中，对工程师站的IAPlogic组态软件进行修改，ADS站中的画面能监测相应报警。

在工程师站的IAPlogic软件上对组态文件进行异常编译链接及离线传送，如图8所示，ADS站画面中的工程文件变更、编译文件变更、IO数据库变更、离线参数设置与本地数据库变更所对应的报警指示灯变红，且报警次数加1。该测试结果表明ADS站能及时监测组态文件变更的异常行为。

图8　组态文件变更报警界面

2）操作员站操控指令变更监测测试

对操作员站的人机界面 IAPview进行变更操作，ADS站的画面能监测出相应指示灯与报警信息的变化，并能生成相应变更的操作记录与日志。

当操作员站上存在启动人机界面、对现场生产过程进行写值操作的变更行为，如图9所示，ADS站的人机界面写值操作信号灯、运行启动信号灯发生变化，同时报警次数加1。该测试结果表明ADS站能监测操作员站人机界面的变更行为。

3）网络流量变更监测测试

当以太网上的流量发生异常时，ADS站的监控界面可显示异常变化及其报警信息。

图9　操作员站操控指令变更报警界面

当监控层 PC机向控制器下载大量非法控制逻辑时，工程师站与控制器端口流量出现异常，图10展示了此种状况下异常流量的报警，图11为此状况下出现流量超常暴涨的趋势图。由图可知异常流量发生的位置、大小以及时间。可帮助相关人员快速做出应急响应。

图10　异常流量报警界面

图11　异常流量趋势图

5　结论

本文分析了IAP控制平台的信息安全问题。结合其特点，初步设计了异常监测系统，使得整个系统具有感知异常的能力。通过利用相应采集软件动态采集数据的方式，并运用图形化组态方法实现了对系统异常状况的监控功能。测试结果表明，该系统能有效地监测控制系统中的异常行为与网络流量，且不影响整个系统的可用性。在之后的研究中，利用IAP平台，通过组态元件的扩展性，结合信息安全理论相关算法，可开发相应的监测、诊断、处理元件，实现异常感知后的进一步处理与防范。希望本文能为工控信息安全防护的研究起到一定的借鉴作用。

［1］ NIST SP800-82 Revision2 Initial Public Draft. Keith Stouffer，Suzanne Lightman，Victoria Pillitteri，Marshall Abrams，Adam Hahn. Guide to Industrial Control Systems （ICS） Security［S］. USA︰National Institute of Standards and Technology （NIST），May 2014.

［2］ ISA99. IEC 62443 Industrial control network & system security standardization［S］. ISA，2011.

［3］ GB/T 30976.1—2014. 工业控制系统信息安全第1部分︰评估规范［S］. 2015.

［4］ 彭勇，江常青，谢丰，等. 工业控制系统信息安全研究进展［J］. 清华大学学报（自然科学版），2012，52（10）︰1396-1408.

［5］ 王玉敏，丁露. 工业控制系统（ICS）概述和与IT系统的比较［J］. 中国仪器仪表，2012（2）︰37-43.

［6］ 唐文. 工业自动化控制系统信息安全研究［J］. 计算机安全，2012（4）︰2-7.

［7］ 李科，黄双，周浩，等. 面向工业人机界面的信息安全策略设计及实现［J］. 计算机工程与设计，2013，34（8）︰2689-2694.

［8］ 王志强，王红凯，张旭东，等. 工业控制系统安全隐患及应对措施研究［J］. 信息网络安全，2014，9（9）︰203-206.

［9］ Eric D. Knapp. Industrial Network Security Securing Critical Infrastructure Networks for Smart Grid，SCADA，and Other Industrial Control Systems［M］. USA︰2011.

［10］ 缪学勤. 采用纵深防御体系架构，确保核电可靠安全［J］. 自动化仪表，2011，32（2）︰1-5.

［11］ 沈昌祥，陈兴蜀. 基于可信计算构建纵深防御的信息安全保障体系［J］. 四川大学学报（工程科学版），2014，46（1）︰1-7.

Design and Implementation of Abnormal State Detection System for Control Platform

Zheng Yiling1Zheng Song1，2，3Jiang Danling2Zeng Qiyun2
（1. College of Electrical Engineering and Automation，Fuzhou University，Fuzhou350116；2. Histron Research Institute，Fuzhou350001；3. Fujian Provincial Enterprise Key Laboratory of Industrial Control Cyber Security Technology，Fuzhou350008）

The cyber security problem of industrial control system becomes increasingly serious，abnormal detection technology in domestic is still at an initial stage，thus，this paper regards the specific industrial control system—Industrial Automation Platform as the object of this research. Abnormal state detection system is designed from the aspect of control configurations，operational instructions and network traffic. Designs of hardware architecture and software structure have been included. The system is simulated and tested on Industrial Automation Platform （IAP）. The result shows that the system can monitor abnormal state and traffic effectively. Moreover，it doesn’t affect the availability of the whole platform.

industrial control system；cyber security；abnormal state detection system

郑伊伶（1990-），女，硕士研究生，研究方向为工业控制系统的信息安全。

2013年国家信息安全专项