久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★王相茗西安交通大學

★劉鵬飛西安熱工院

★劉楊，劉烴西安交通大學

1　工業控制系統的架構

工業控制系統（Industrial Control System，ICS）是工業領域中以生產、制造和運行過程為中心的自動控制系統，涵蓋了電力能源、石油化工、航空航天、水利交通等城市公用設施行業。在ICS的發展歷程中，分布式控制、計算機網絡、智能傳感等先進科學技術的融入對ICS組成結構的演變起到了重要的推動作用。當前來看，ICS的層級結構可以簡單劃分為過程監控層、現場控制層和現場設備層，如圖1所示。

圖1 工業控制系統的層級結構劃分

1.1　過程監控層

過程監控層主要由工程師站、操作員站及各類工控服務器等組成，以具備高寬帶高速率的工業以太網為核心，負責將生產現場的實時數據進行整合、分析和處理，實現對工業生產過程的監測與控制。自21世紀以來，互聯網技術不斷深入ICS的各個應用領域，工業以太網基于以Ethernet/IP為主的通信協議支持海量數據高速、可靠的傳輸。

1.2　現場控制層

現場控制層作為ICS中監控站與現場設備的連接橋梁，其核心裝置為現場控制器，如可編程邏輯控制器（Programmable Logic Controller，PLC），負責接收來自現場傳感器的數據，并根據預設的組態程序和執行策略生成相應控制指令發送給現場執行器。

1.3　現場設備層

現場設備層包含生產現場的各類傳感器、執行器、變送器等基礎設施，通常采用現場總線網絡來進行組建與實現。為了克服分布式控制系統中點對點布線復雜且高成本的缺點，現場設備層利用協議開放、互操作性強的現場總線網絡在現場設備之間實現雙向、串行、一對多的數字通信，極大降低了安裝成本與維護費用。由于不同生產廠商所制定的總線協議間存在較大差異，因此不同應用領域中系統所使用的現場總線網絡存在協議不兼容、標準不統一的實際問題。此外，在分布式控制系統的架構下，底層系統的現場總線網絡大多相對封閉隔離，因此底層系統之間較難實現網絡互聯與數據共享。盡管如此，為了確保底層設備間高效、實時且穩定的數據通信，在基礎設施計算資源和存儲資源受限的底層系統中，現場總線仍然廣泛應用于現如今的ICS中，并利用PLC或者協議轉換類網關來實現工業以太網和現場總線網絡中的數據與指令轉換。

2　工業控制系統的物理入侵威脅

在ICS的發展歷程中，信息網絡技術對ICS結構和模式的轉變起到了重要的推動作用，同時帶來的固有漏洞和受攻擊面也日益增加。盡管國際上制定了相關標準指南以提升ICS的信息安全保障能力，例如NISTSP800-82、IEC62443、NAMURNA115^[2]等，但在全世界各地諸如電力能源系統等工控領域仍然發生過多起嚴重的信息安全事件。

2.1　工業控制系統所面臨威脅的演變趨勢

2010年伊朗核電站遭遇“震網”（Stuxnet）蠕蟲病毒入侵^[3]及2015年烏克蘭電力系統遭遇“BlackEnergy”病毒入侵的典型案例引起了全世界網絡黑客以及政治軍事家的極大關注。過去十年的安全事件表明，信息安全的脆弱性使得ICS在面對網絡入侵攻擊時難以進行抵御和抗衡。為此，多數研究學者與業內人員都在網絡入侵的攻擊威脅上開展了大量信息安全防護的基礎研究，尤其針對關乎數據采集與分析系統（Supervisory Control and Data Acquisition，SCADA），不少研究都提出了入侵檢測系統（Intrusion Detection System，IDS）的部署方案以檢測惡意攻擊、提升ICS網絡安全。由此，隨著邊界防火墻技術的不斷完善與信息防護技術措施的不斷加強，現如今在ICS中實施網絡入侵攻擊的成本越來越高。

當上層信息網絡變得越來越安全可靠時，底層現場設備層就越可能成為惡意攻擊者的首選目標。2017年，塔爾薩大學的研究團隊入侵了美國中部的風力發電場^[4]，并成功獲取了風力渦輪機發電葉片的控制權限。該團隊在現場撬開了渦輪機底部的金屬門鎖，并在服務器機柜內的控制網絡中接入了自制的樹莓派微型電腦，事后他們通過竊聽通信指令破解了風力發電場內所有渦輪發電機的地址信息，并通過設計攻擊指令對各風力渦輪機的轉速實現了任意控制。此次安全事件表明，即使在ICS的上層信息網絡中加強了防護措施，也難以確保底層現場總線網絡中基礎設施的運行安全。

隨著各類ICS向數字化與智能化方向的不斷轉型，在業務頻繁交互的需求背景下，海量分布式的現場感知與執行終端被廣泛接入現場總線網絡。這些終端包括新型設備與遺留系統中的老舊設備，二者共存并相互連接，導致終端類型多樣、功能各異。由此構成的現場總線網絡呈現出以下特征：物理域空間邊界分布廣泛、無人值守、物理保護措施薄弱。此外，常見的現場總線協議（如Modbus、DNP3、CAN等）普遍缺乏加密與身份認證機制。對于日益復雜的分布式ICS系統而言，保護廣泛分布的現場設備及其基礎設施組件的物理安全面臨巨大的挑戰與防護成本，并且目前針對關鍵基礎設施的安全防護研究仍較為有限。在這種情況下，攻擊者可以更為輕易地對底層現場總線網絡的物理邊界防護進行破壞，利用直接接入非授權入侵設備的物理入侵手段獲得底層系統封閉內網的訪問權限來實現信息竊取與惡意攻擊。

2.2　物理入侵的定義及起效流程

結合上述分析，物理入侵指通過物理抵近、社會工程等方式，繞過ICS現場總線網絡的物理訪問限制、橫向隔離等安全保護機制，非授權接入入侵設備，造成基礎設施終端被違規外聯、非法訪問和惡意控制的攻擊行為。

如圖2所示，攻擊者在非授權接入入侵設備后發起攻擊的實施流程可以分為兩個階段：

圖2 物理入侵的威脅模型

（1）靜默監聽：首先，入侵設備在網絡中長期潛伏，竊聽設備地址、寄存器數據、請求間隔和響應延遲等系統關鍵信息。在這個階段，入侵設備不主動參與總線通信，不發出任何異常通信流量。

（2）消息注入：在收集到足夠的通信數據后，攻擊者可以推斷系統的關鍵隱私信息，事后通過模仿正常終端地址信息及指令上傳頻率等的欺騙行為來發送虛假消息，最終實現對現場總線網絡中量測數據、決策參數或控制指令篡改的攻擊目的。

相比于傳統普遍受到關注的網絡入侵方式，突破物理防護的物理入侵方式同樣會對ICS造成嚴重破壞，它能夠以更低攻擊成本的方式危及系統的穩定運行。例如，在電力系統中，攻擊者可以通過物理入侵方式控制配電柜中的電力設備造成局部斷電，或者篡改智能電表的電力量測數據和歷史用電數據進行竊電，影響國家電網的安全、經濟運行。

3　物理入侵的防御措施及挑戰

IDS是應對ICS入侵攻擊的主流防御手段。IDS以旁路監控的方式部署在ICS的各層網絡，通過觀察通信幀之間的異常延遲、流量的異常周期或信息熵的波動來檢測在消息注入階段（圖2中階段（2））由入侵設備發出的惡意流量^[7]。然而，這類IDS主要依賴于對網絡內異常通信流量的分析，在識別具備高度偽裝特性的隱蔽型注入攻擊時會存在較大的漏報機率，并且無法發現靜默監聽階段（圖2中階段（1））中不主動參與通信的非授權靜默入侵設備

為在階段（1）盡早發現還未主動參與通信的靜默入侵設備，現有物理防護措施主要依賴于視頻監控對人員異常行為進行識別，存在因視頻監控系統值守人員疏忽或脫崗導致設施機柜被入侵人員破壞并接入帶病毒設備的風險。

為進一步提升網絡對設備連接狀態的監管能力，有研究者提出了基于網絡信道狀態指紋的入侵設備檢測方法。如圖3所示，入侵設備的非授權接入和替換行為均會對通信網絡的拓撲結構產生影響，從而不可避免地導致網絡負載發生變化。即使入侵設備處于長期靜默潛伏狀態，其接入或替換行為在網絡負載或信道功率上的變化仍可以通過信道通信信號的物理特征加以觀測。因此，此類研究主要挖掘通信信號中能夠反映網絡設備連接狀態的物理特征，構建能夠表明網絡信道安全性的信道狀態指紋，然后通過識別信道狀態指紋上產生的變化來檢測外部惡意設備的非授權接入及替換行為。此類方法不依賴于異常流量數據，可發現網絡中仍處于潛伏階段的靜默入侵設備。根據信道狀態指紋構建時所使用的信號或物理特征，現有研究中的信道狀態指紋主要可分為方波信號指紋^[8]、幅值特征指紋^[9]和脈沖信號指紋^[10]三類。

圖3 利用信道狀態指紋的異常來檢測網絡中的入侵設備

3.1　方波信號指紋

方波信號指紋的構建需要在總線網絡的空閑時間內利用信號發生器來發送周期性方波。在固定的觀測位置，由示波器充當的觀測設備所接收到的觀測信號仍然為方波信號，且觀測信號在高電平和低電平電壓幅值上均與源方波信號的電壓幅值之間存在一定的比例關系，這一比例關系由網絡中各個電子元件的阻抗集合決定。如果現場總線網絡遭到了物理入侵攻擊，那么攻擊者必然要在網絡中非授權地接入入侵設備，入侵設備的接入會影響網絡的阻抗集合，進而改變整個方波信號電壓幅值在網絡中的傳遞過程。

基于方波信號指紋的檢測流程可以總結為：首先，在網絡初始狀態（例如網絡的初始部署階段或經嚴格安全檢查后階段）下利用指定參數（包括幅值、頻率、相位等）的平穩方波信號來生成包含信道安全狀態信息的信道指紋。其次，在網絡待測狀態下，再次發送指定參數方波信號，利用在網絡初始狀態中相同觀測位置所獲得的觀測信號與信道指紋進行時域對齊及差分，從而獲得待測的差異信號。如果網絡遭受物理入侵，那么差異信號將會是包含有入侵幅值的方波信號。如果網絡未遭受入侵，那么差異信號將會是包含量測誤差的白噪聲信號。最后的檢測判決則可以采用基于信號樣本訓練的支持向量機、神經網絡等分類器。

3.2　幅值特征指紋

幅值特征指紋則只依賴于總線網絡中正常通信信號的高電平幅值特征。根據現場總線物理層的電氣規范，數字TTL電平信號會轉換為幅值恒定的電壓信號在傳輸線上傳播，當信號處于高電平的穩定狀態時，傳輸線可以視作恒定的直流阻抗與網絡中各個設備的輸入阻抗一同參與不同位置上穩態信號的電壓幅值傳遞。由此可以看出，網絡中傳輸線以及各個設備在阻抗分布上所呈現的固定關系能夠反映在信號穩態情況下的高電平電壓幅值中。

當現場總線網絡處于初始狀態時，觀測設備被動地對任意授權終端的正常通信信號進行采樣，然后僅提取其中的高電平采樣點作為信道指紋。在網絡待測狀態下，再次采樣所得的高電平采樣點與信道指紋直接進行差分，獲得差異信號。如果網絡遭受物理入侵，那么差異信號將會是包含有入侵幅值的直流電壓信號。如果網絡未遭受入侵，那么差異信號將會是包含量測誤差的白噪聲信號。由于該差異信號不包含波形特征，直流電壓特征分析簡單，因此可基于假設檢驗原理，在恒虛警率約束的條件下構建基于動態閾值的輕量級檢測模型來完成檢測判決。

3.3　脈沖信號指紋

脈沖信號指紋的構建需要在總線網絡的空閑時間內利用信號發生器來發送短時脈沖信號。由于脈沖信號的瞬態傳播特性，其會在網絡中設備的連接位置上因傳輸線阻抗的不連續而發生必然的反射，而每一個反射信號傳輸到固定觀測位置的時間延遲包含了對應設備的位置信息。

當現場總線網絡處于初始狀態時，利用信號發生器向網絡中發送指定參數（包括幅值、脈寬、上升沿時間等）的短時脈沖信號，在觀測位置所接收到的觀測信號可以反映網絡當前狀態下各個設備的阻抗特性與絕對位置，因此可以將此時的觀測信號視為信道指紋。如果網絡中出現了非授權的入侵設備，在入侵位置的連接點處會形成一個新的反射節點，那么在相同脈沖信號以及觀測位置的前提下，觀測信號中必然產生新的由入侵設備引起的反射信號，同時伴隨著其他正常反射信號在幅值上的異常變化。因此可以使用觀測信號中的這些異常特征來檢測網絡中入侵設備的存在，并進一步確定出入侵設備在現場總線網絡中的空間位置。異常反射分量的提取可以依賴于基于特征序列的匹配算法，通過打分和罰分機制在兩個序列中找到多個最長公共子序列，以此識別出不匹配或出現空匹配的異常序列位置，例如尼德曼-翁施匹配算法。

3.4　比較與挑戰

本節從構建方式、資源需求和檢測能力方面評估不同的信道狀態指紋構建方法。評估概述如表1所示。

表1 不同信道狀態指紋的比較評估

基于方波信號指紋的檢測方法需要利用總線通信的空閑時間，不僅會對ICS正常的作業流程產生影響，所發送的方波檢測信號還有可能會使其它授權終端錯誤地產生非預期動作。此外，檢測需要在總線網絡中串接部署專用的信號發生器，并且需要在特定觀測位置部署數字示波器，整套檢測裝置需分離式部署且硬件成本較高。在實際工作環境中，設備長期工作運行時的硬件老化和磨損會導致其阻抗特性的變化，同時外界環境因素例如溫度、濕度等變化也會影響物理信道的電氣特性?；诜讲ㄐ盘栔讣y的檢測模型的構建依賴于數據樣本的訓練，那么模型的更新意味著大量數據樣本的重獲取，過高的計算成本和時間開銷使得其在實際工作環境下的可用性較差。

基于幅值特征指紋的檢測方法則實現了以被動監聽無打擾模式的物理入侵檢測。由于其僅關注于正常通信指令的高電平幅值特征，因此檢測設備的采樣無需對通信信號的波形進行還原，較低采樣頻率的硬件需求可以使檢測方法擺脫專用數字示波器的依賴，滿足板卡級檢測裝置的硬件設計條件。此外，由于通信指令的高電平幅值特征與通信協議無關，因此檢測方法在不同總線協議場景中應用時無需方法適配性調節，檢測裝置可實現即插即用。在外界環境因素的變化下，幅值特征指紋及基于動態閾值的檢測模型由于其低計算成本均可實現輕量級快速更新。

從本質上來說，方波信號指紋和幅值特征指紋都是反映現場總線網絡阻抗分布特性的穩態信道指紋，然而穩態信道指紋卻不能給物理入侵攻擊的定位提供幫助。在ICS中，受端子排布線環境和設計方案的約束，多數現場總線網絡都采取樓宇內繞線組網的形式而拉長了實際的通信傳輸距離。為了解決復雜場景中入侵設備的定位需求，利用瞬態傳播特性產生反射信號來反映設備位置信息的脈沖信號指紋被提出，從而更有利于運維人員及時檢修系統、排查物理入侵威脅。然而，基于脈沖信號指紋的檢測方法除了同樣會干擾總線的正常通信外，納秒級短時脈沖信號的采樣依賴于極高硬件成本的專用示波器設備，再加上包含發送短時脈沖功能的信號發生器，整套檢測裝置的成本將會十分昂貴，而所應對的物理入侵威脅的攻擊成本卻十分低廉。

為實現對物理入侵的低成本被動定位，本文認為可以利用幅值特征指紋獲取及處理流程簡單、低成本的特性，分析入侵設備接入位置對不同位置授權終端的信號高電平幅值特征的不同影響，基于每個授權終端正常通信信號的高電平幅值特征構建信道狀態組指紋，協同利用空間上不同位置信號源產生的信道狀態指紋對入侵設備進行定位。

4　總結

本文結合近年來的安全案例，探討了ICS所面臨的威脅演變趨勢，并在底層現場總線網絡存在的安全隱患背景下，詳細分析了以外接設備為侵入手段的物理入侵攻擊所帶來的威脅與挑戰。通過對現有基于信道狀態指紋的物理入侵檢測方法的比較，本文總結了這些方法各自的優點和缺點，為研究人員快速評估這些方法的適用性提供了參考。

隨著智能制造、智慧交通、智能物流等應用的推廣，工業控制系統的物理邊界將進一步擴展和模糊，物理入侵防御的需求將持續擴大，并對方法的經濟性和穩定性提出了更高要求。因此，未來的研究與實踐可以考慮以下幾個問題：（1）進一步降低物理入侵檢測及定位所需的硬件配置和計算資源要求，以適應大規模部署需求；（2）將評估擴展到多種現場總線協議的應用場景，并同時觀察更長的時間窗口，深入分析檢測方法在復雜場景下的魯棒性；（3）找到合適的模型更新方法，能夠動態適應因硬件老化或外界環境因素變化而帶來的信道狀態特征漂移。

作者簡介

王相茗（1998-），男，河南焦作人，博士，現就讀于西安交通大學網絡空間安全學院，主要研究方向為工業控制系統信息安全和入侵檢測。

劉鵬飛（1994-），男，內蒙古烏海人，工程師，博士，現就職于西安熱工院，主要從事工業控制系統網絡安全方面的相關工作。

劉　楊（1990-），男，江西撫州人，副教授，博士，現任教于西安交通大學網絡空間安全學院，主要從事信息物理融合系統安全方面的研究。

劉　烴（1981-），男，湖南長沙人，教授，博士，現任教于西安交通大學網絡空間安全學院，主要從事軟件工程和信息物理融合系統安全方面的研究。

參考文獻：

[1] Piggin R S H. Development of industrial cyber security standards: IEC 62443 for SCADA and Industrial Control System security[C]//IET conference on control and automation 2013: Uniting problems and solutions. IET, 2013: 1 - 6.

[2] Stouffer K, Falco J, Scarfone K. Guide to industrial control systems (ICS) security[J]. NIST special publication, 2011, 800 (82) : 16 - 16.

[3] Nourian A, Madnick S. A systems theoretic approach to the security threats in cyber physical systems applied to stuxnet[J]. IEEE Transactions on Dependable and Secure Computing, 2015, 15 (1) : 2 - 13.

[4] Staggs J, Ferlemann D, Shenoi S. Wind farm security: attack surface, targets, scenarios and mitigation[J]. International Journal of Critical Infrastructure Protection, 2017, 17: 3 - 14.

[5] 潘潔. 工業控制系統數據驅動的入侵檢測研究[D]. 杭州: 浙江大學, 2023.

[6] 王振東, 徐振宇, 李大海, 等. 面向入侵檢測的元圖神經網絡構建與分析[J]. 自動化學報, 2023, 49 (7) : 1530 - 1548.

[7] Xu C, Shen J, Du X. A method of few-shot network intrusion detection based on meta-learning framework[J]. IEEE Transactions on Information Forensics and Security, 2020, 15 : 3540 - 3552.

 [8] Liu P, Liu Y, Wang X, et al. Channel-state-based fingerprinting against physical access attack in industrial field bus network[J]. IEEE Internet of Things Journal, 2021, 9 (12) : 9557 - 9573.

[9] Wang X, Liu Y, Jiao K, et al. Intrusion Device Detection in Fieldbus Networks based on Channel-State Group Fingerprint[J]. IEEE Transactions on Information Forensics and Security, 2024.

[10] Liu P, Liu Y, Wang X, et al. A reflection-based channel fingerprint to locate physically intrusive devices in ICS[J]. IEEE Transactions on Industrial Informatics, 2022, 19 (4) : 5495 - 5505.

摘自《自動化博覽》2025年1月刊