电力工业控制系统DDoS攻击防御技术研究

电力工业控制系统 DDoS攻击防御技术研究

柳然

天达人力资源服务（河北）有限责任公司

摘要：2016年以来，我国加快实施制造模式转型，加快产业结构升级创新，网络信息技术与各种传统制造业的融合进入新时期，使生产过程更加智能化、可视化化。在工厂和智能化生产的背景下，工业控制系统之间的网络连接已成为发展的必然趋势，网络连接在生产力和创造力方面的好处使得工业生产中能源和资源的消耗得到充分控制。然而，我国工业控制领域的网络互联保障水平仍存在安全漏洞，缺乏安全防护体系对工业生产构成严重挑战。分析当前网络攻击的发展趋势，对工业控制系统的攻击已成为影响中国战略安全的重要因素。

关键词：工业控制系统；攻击防范；攻击检测；攻击缓解

引言

“互联网＋”、“工业4.0”的提出推动着工业领域的信息技术革命，ICS得到了快速发展，同时原本相对独立和封闭的系统越来越多与互联网发生联系，安全性问题变得尤为突出。电力工控系统作为基础设施的重要组成部分，关系到国家的经济命脉，成为网络攻击的重要目标。

1.电力工控系统DDoS攻击威胁

1.1工业智能化发展引入设备增多。

随着智能化和工业领域的深度融合，新的智能化设备不断引入到电力系统中，为电力行业生产带来便利，但同时也引入了新的网络安全隐患，给电力网络带来了更大的安全挑战。由此可见，计算机网络的发展给电力行业生产和发展带来了新的技术和手段，但同时也带来了一些安全隐患。因此，对电力行业网络安全机制的研究非常迫切与必要。

1.2系统结构复杂

工业控制系统通常涉及PLC，数控机床，工业机器人，工业主机，数据采集和监控系统。基于现代技术的发展，PLC是该行业的主要控制系统。然而，随着智能工具数量的增加，安全威胁正在逐渐出现。工业控制系统包括生产管理设备、网络通信设备、基础设备、生产信息系统和网络安全设备。在实际业务运营中，工业生产管理水平较低。根据机器人行业的需求和需求分析，工业机器人越来越受欢迎。这个行业是高度智能化的，所以我们需要把重点放在行业的发展和产品的安全性上。在安全责任方面，要建立工业控制系统的管理机制，也要根据业务范围指定安全责任人。在应急预案方面，要制定安全事故应急预案，并按计划定期开展安全培训，有效应对应急处置。但是，基于工业控制的整体发展，行业组织对系统信息安全重视不够，因此有必要加强对行业信息安全的监管。

2.工业控制系统DDoS攻击特点

DDoS攻击的最大特点是：攻击控制端与受控僵尸主机之间是一对多的关系，而受控僵尸主机与被攻击的目标主机之间又是多对一的关系。DD〇S攻击是一种分散性强、相互协作完成、分层次实施的大规模攻击方式。攻击源不是直接对受害者实时攻击，而是通过大量的僵尸主机来发起的，这样做有以下“好处”：第一，不管受害者的服务器安全性有多好，主机性能有多么强大，只要攻击者控制的僵尸主机足够多，发动攻击的次数足够频繁，就可以轻松将某台目标服务器摧毁，使之不能提供正常的服务而拒绝服务，即充分利用其分布式优势来实现对受害者的高强度、高密度精确打击；第二，DDoS攻击能够实现对某个域名服务器下属的服务器集群的泛洪攻击，甚至严重拥塞互联网的某些骨干链路等；第三，由于从发起攻击到受害者之间经历了两层，这就给IP源地址伪造提供了便利条件，从而给DD〇S攻击的追踪溯源带来极大困难。

3.工控环境下DDoS攻击防御技术

3.1基于通信长度的HMI识别

由HMI硬件和专用显示配置软件组成，ICS设备通过使用工业控制协议与PLC进行通信。传统的漏洞扫描无法完全检测出来自漏洞的所有信息，因此必须首先识别HMI，而确定的关键是进程级设备的差异。过程控制层历史数据库和HMI的各种功能都会带来超时。使用硬件参数导入、监视和配置数值控制参数等。当HMI SCADA连接时，它是该过程中最长的。根据结果，输入研究HMI等设备是否具有通信长度级别的其他设备。基于连接长度的人机界面识别并不完全可靠，因此在识别HMI时应注意通信频率。HMI定期向PLC发送数据请求，通信环路高于历史数据库。为了测量通信的周期性，对通信数据包进行统计分析。将数据包除以数据包范围并对数据包进行排序。对于每个连接，标准偏差范围和示波器平均值用于设置通信频率。使用计算机通信频率，计算机越大，频率越差。分析过程级硬件过程数据，解决过程级识别混淆。HMI识别主要包括数据分组和链路长度统计。根据分组间隔和通信频率对数据包进行分组，并根据通信持续时间计算和排序每个组中的通信持续时间。HMI算法的输入包括PCAP和IP集，PCAP用于突出通信关联。通信包括源 IP 地址、源端口、目标 IP、目标网关和包裹时间。分组时，将流分组为光线，设备级别的数据收集返回到控制级别，然后根据光线的时间间隔对数据包进行分组。利用通信频率排除历史数据库数据，然后计算出每个流的交换机长度，对源IP求和得到控制层IP和设备层IP的总交换机长度，并使用最大交换机长度确定HMI。

3.2工业控制系统的安全防护能力

（1）攻击目标的演变：攻击者不再局限于利用某些漏洞，而是专注于关键基础设施和重要单位，并将其作为影响整个生产过程的一种方式。（2）攻击等级的演变：攻击者的整体技术层次更加专业化和规模化。黑客组织已成为当前工业控制系统的主要攻击发起者，攻击的影响不断放大。（3）攻击时间的演变：攻击者发起攻击后，往往需要很长时间，有些攻击甚至可能持续数年。如果不能及时控制，工业生产的安全将无从谈起。（4）攻击态度的演变：与传统攻击相比，今天的攻击者变得更有耐心。他们会不断尝试工业控制系统中可能存在的漏洞，长时间隐藏并收集目标系统的关键信息。在不被系统持有者发现的情况下，他们将逐步完成系统的访问。

结束语

随着信息化和工业化的深度融合，电力工控系统与互联网的联系增多，导致电力工控系统DDoS攻击的途径增多，严重破坏了工控系统的业务连续性，因此有必要针对工控环境下的DDoS攻击展开防御研究工作。文中首先分析了电力行业网络面临的安全威胁，揭示了攻击者基于这些隐患威胁实施DDoS攻击的手段和后果。除了传统大流量的DDoS攻击外，面向工控系统的DDos攻击也呈现多样化的特点，新型攻击层出不穷，因此对工控环境下的DDoS攻击进行了分类比较十分必要。然后从攻击防范、攻击检测和攻击缓解３个层面进行了综述，针对每个层面的技术进行评估和比较，并探讨了当前技术在抗DDoS攻击的实践和部署中存在的局限性。在未来的研究方向上，SDN为缓解DDoS攻击提供了有效的途径，由于SDN的用途极为广泛，因此其自身遭受DDoS攻击的问题也是未来需要重点关注的领域。SDN的应用层、控制层和基础设施层均有可能遭受DDoS攻击。如果SDN控制器被攻击，那么攻击者将很容易地打破ＳＤＮ架构。目前，ＳＤＮ中DDoS的攻防研究大多从流表中提取一些直观的特征进行检测，然后通过简单的丢包方式防御攻击。从流表缓存建模、超时机制、拥塞控制等方面应对ＤＤｏＳ攻击是未来值得深入研究的方向。

参考文献

[1]阳小华,张俊杰,罗永坚,马家宇,刘杰,刘华.工业控制系统的信息物理因果流模型[J].计算技术与自动化,2021,40(01):15-22.

[2]李林枫,黄晶晶,李琳.工业控制系统安全分析及渗透测试经验分享[J].自动化博览,2021,38(01):48-53.

[3]孙天宁,邹春明,严益鑫.工业控制系统信息安全防护分析[J].自动化博览,2021,38(01):57-61.

[4]赵东.工业控制传输系统在地铁ATC系统中的应用[J].铁道通信信号,2008(09):7-8.

[5]柯敏毅.工业控制计算机系统中的常见干扰及处理措施[J].工业控制计算机,2000(05):57-59+61.