深度洞察：工控协议DPI在工业互联网安全态势感知中的实战应用

深度包检测（DPI）是一种网络流量监控技术，通过对数据包的内容进行详细检查，识别出数据包的应用层协议、应用程序、设备类型等信息。DPI技术可以用于多种场景，包括但不限于恶意网站检测、病毒检测、入侵检测、应用识别和设备识别等。

图1.1 什么是DPI

1. 数据包解析

图2.1.1 数据包解析过程

DPI技术首先对网络数据包进行全面的解析。首先，数据包通过入口进行初步的过滤和分类。接着，数据包进入核心处理模块，在这里进行更深入的分析。它会按照网络协议栈的层次结构，从底层的物理层、数据链路层，逐步向上解析到应用层。在解析过程中，提取出每个层次的关键信息，如源地址、目的地址、端口号、协议类型等。对于工控协议，还会解析特定协议的字段。例如远动规约IEC60870-5-104。

随着电力调度数据网的逐步建成并投入使用，网络通信已经成为主站与厂站之间信息传输的主要方式。基于网络通信的IEC60870-5-104电力网络通信协议为电力信息的传输提供了一套完备的通信规范。目前，IEC60870-5-104协议已广泛应用于主站与子站之间的信息传输。因此，深入理解并掌握这一规约对于电力自动化系统和设备的运行维护具有重大意义。DPI技术能够详细解析数据包中包含的设备标识和控制指令等信息，通过这种深入的解析，可以更准确地理解数据包的含义和用途。

图2.1.2 IEC60870-5-104应用层部分数据结构

2. 告警检测

图2.2 态势感知基于DPI检测架构

在工业网络安全产品架构中，数据解析发挥着至关重要的作用，它通过提取流量中的元数据，为复杂事件处理CEP规则检测提供基础，使网络能够实时识别和响应异常行为和攻击模式。同时，流会话数据的分析为网络入侵检测系统NIDS引擎提供了必要的信息，以识别潜在的入侵行为和异常流量。流量还原技术则允许我们将网络流量转换为可分析的文件，这对于病毒检测和恶意软件分析至关重要。元数据的收集和分析不仅支持了实时检测，还为审计、合规性检查和深度分析提供了基础，帮助识别潜在的安全漏洞和改进网络防御策略。

当检测到潜在威胁时，系统会生成告警并发送到威胁中心，会利用ATT&CK知识图谱、攻杀链模型以及资产情报等信息进行综合分析，以评估威胁的严重性和紧迫性。运营中心则整合威胁中心的分析结果，进行综合研判，制定应对策略和响应计划，最终生成研判结果和分析报告，为管理层提供决策支持，帮助他们理解当前的安全态势并制定长期的安全策略和投资计划。这一流程确保了工业网络的安全性，提高了对已知和新兴威胁的防御能力。

1.流量监控与网络故障诊断

在长扬科技工业安全流量审计日志分析系统中，DPI技术是流量监控和数据采集的核心组件。它可以实时监控工业网络中的所有流量，包括不同工控协议的流量、设备之间的通信流量等。通过在网络关键节点部署DPI引擎，系统能够全面采集网络数据包，为后续的分析提供数据基础。如下两个是全流量日志采集与分析系统基于DPI技术的两个示例应用。

• 服务质量和合规性监控：DPI可用于根据网络流量的内容或来源确定其优先级，确保关键业务应用程序和用户获得必要的带宽。这提高了整体网络性能和用户体验。DPI还可用于确保策略合规性，并检测和标记任何违反法规的流量。

• 故障排除：DPI可用于通过精细分析网络流量来确定网络流量问题的根本原因，例如数据包丢失过多、延迟或抖动。

图3.1.1 ARP网络风暴检测

图3.1.2 IEC60870-5-104链路监控

IEC60870-5-104协议的U帧报文用于在通信开始前进行握手，基于TCP传输协议之上，建立应用层连接，并在通信结束后进行断开。它可以用来发送连接请求、确认连接、发送心跳信号、请求断开连接等。DPI可以确保这些通信的可靠性，通过监控和分析应用层会话，可以检测到错误或异常行为，并采取相应的措施。

2.被动设备指纹识与漏洞检测

图3.2.1 S7COMM设备指纹信息

深度包检测（DPI）技术在被动设备指纹识别和漏洞检测中发挥着重要作用。在被动设备指纹识别方面，DPI通过捕获网络中的数据包并分析其特征，如TCP/IP栈的实现细节、操作系统特定的行为、应用程序的网络签名等，来识别网络设备和软件的类型及版本。这种识别过程不依赖于设备的主动响应，而是通过模式匹配和行为分析来实现。DPI系统会将提取的特征与一个包含已知设备和软件指纹的数据库进行比较，从而识别出设备和软件的确切类型和版本，即使在加密流量中也能进行识别。

在漏洞检测方面，DPI利用被动设备指纹识别出的详细版本信息来识别可能存在的安全漏洞。由于不同版本的软件可能存在不同的已知漏洞，DPI系统会维护一个包含这些漏洞特征的数据库。当DPI检测到特定版本的设备或软件时，它会检查该版本是否与数据库中的已知漏洞相匹配。如果匹配，DPI系统可以触发警报并采取相应的安全措施，如联动防火墙阻断可疑流量或通知网络管理员。此外，DPI还能够通过分析网络流量中的异常行为来检测潜在的漏洞利用尝试，即使这些尝试没有明显的特征或签名。通过这种方式，DPI不仅能够基于设备和软件的版本信息进行漏洞检测，还能够通过行为分析来识别零日漏洞或其他未知威胁。

由图3.2.1示例中可知，长扬科技工业安全流量审计日志分析系统发现了CPU 315-2 PN/DP设备指纹信息，s7-300 CPU 315-2PN/DP是西门子工业自动化系列中的一款核心处理器。这款CPU型号因其广泛的应用和普及度而受到关注。它的命名中的各个部分都代表着特定的含义：

• '3'指的是它属于s7-300系列，这是西门子的一款中型PLC（可编程逻辑控制器）系列。

•  '1'指明了这是一个CPU模块，而不是其他类型的模块，如电源模块或通讯模块。

• '5'表示CPU的性能级别，数字越大，性能越强，功能也越丰富。

• '2PN/DP'说明该CPU配备了两种通讯接口：PN（Profinet）和DP（Profibus）。其中，Profinet是西门子推出的工业以太网标准，可实现设备间的高速通讯；而Profibus则是一种常用的现场总线标准，适用于各种工业自动化应用。

图3.2.2 西门子PLC漏洞搜索信息

PLC的远程内存查看漏洞（PLC Remote Memory Viewer）可能意味着攻击者可以通过某种方式（如利用Metasploit框架相关模块）远程查看PLC的内存内容，这可能会导致敏感信息泄露，例如控制逻辑、运行状态数据或者其他存储在内存中的关键信息被获取，从而为进一步的攻击提供基础。

对于Siemens SIMATIC S7 - 300 CPU的远程拒绝服务（Remote Denial of Service）漏洞，这表示攻击者可以从远程（可能是通过网络连接）利用特定的条件使PLC的CPU进入拒绝服务状态。在这种状态下，PLC可能无法正常执行其控制功能，导致依赖于该PLC控制的工业过程或设备出现故障，例如生产线停止运行、设备异常等情况。

Siemens Simatic S7 - 300/400的CPU START/STOP模块漏洞可能允许攻击者远程操作PLC的CPU启动或停止功能。这是非常危险的，因为攻击者可以恶意地停止正在运行的关键工业流程，或者在不适当的时候启动某些操作，从而引发设备损坏、生产事故或者其他安全风险。

图3.2.3 西门子PLC停止风险操作检测      

图3.2.4 西门子PLC篡改IP风险行为

长扬科技安全态势感知产品可以在网络层面收集流量数据，对于涉及Siemens Simatic S7 - 300相关设备的通信流量进行深度包检测。例如，当有异常的流量模式指向PLC设备的特定端口（这些端口可能与上述漏洞相关的功能模块有关）时，如大量异常的请求包发往与远程内存查看、CPU控制相关的端口，就可能被识别。

3.工业数据采集与设备状态监控

在工业数据采集领域，深度包检测（DPI）技术通过实时监控和分析工业网络中的通信流量，能够捕获由各种设备和传感器产生的数据包。DPI系统能够识别并解析多种工业通信协议，如Modbus、Profibus、OPC等，从而提取出关键的工业数据，例如温度、压力、流量和设备状态等。这些数据随后被整合到中央数据库或监控系统中，用于进一步的分析和处理。DPI的实时监控能力确保了工业数据的及时捕获和处理，这对于快速响应生产过程中的变化至关重要。

图3.3.1 全流量采集OPC网关机中的点位数据

图3.3.2 全流量采集博途组态中数据库DB1中的点位数据

在设备状态监控方面，DPI技术通过分析网络流量来识别与设备状态相关的信息，如设备的启动、停止、组态变更和故障报警等。DPI系统通过学习正常操作期间的网络行为模式，能够识别出偏离这些模式的行为，这可能表明设备状态的变化或潜在的故障。通过比较实时数据与预设的阈值或正常行为模式，DPI系统可以检测到异常情况，并在检测到设备状态变化或异常时触发报警，通知维护人员。此外，通过长期收集和分析数据，DPI系统还能帮助预测设备可能出现的故障，实现预测性维护，从而减少意外停机时间。

图3.3.3 西门子PLC组态变更状态监控

深度包检测（DPI）在工业数据采集和设备状态监控中提供了显著的优势。首先，DPI的高精度分析能力使其能够深入数据包内容，提供比传统基于端口或IP地址的检测方法更准确的识别和检测能力。

其次，DPI的适应性允许它处理加密流量和复杂的工业协议，通过行为分析来识别潜在的威胁。

最后，DPI的实时性确保了网络流量的即时处理，使得系统能够快速识别和响应安全事件。这些优势使得DPI成为工业企业提高生产效率、降低维护成本以及增强工业控制系统安全性的有力工具。然而，DPI的实施也需要考虑性能影响、隐私问题和逃避检测等挑战，以确保其有效性和合规性。

4.特征匹配与行为基线分析

在解析数据包之后，DPI技术会将数据包的特征与预定义的特征库进行匹配。这些特征库包含了已知的正常工控协议特征以及恶意行为的特征模式。同时，DPI还会分析数据包的行为模式，例如通信的频率、数据流向、数据量等。如果发现数据包的特征与恶意特征匹配或者行为模式异常，如某个设备突然发送大量异常数据，DPI就会判定为潜在的安全威胁。

图3.3.4 西门子PLC异常行为基线检测

如上图，如果一台PLC设备在短时间内频繁发送超出正常范围的控制指令数据包，DPI技术通过特征匹配和行为分析就能识别出这种异常行为，可能是设备被恶意控制或者出现故障的信号。

图3.3.5 PT100传感器特征曲线             

图3.3.6 线性回归温度值示例  

PT100传感器的检测原理基于铂材料的电阻随温度变化而变化的特性，其电阻值与温度之间存在一个近似线性的关系。从PT100温度响应曲线图中，可以看到电阻值随着温度的升高而线性增加，这种线性响应在一定的温度范围内非常稳定，为精确测量提供了基础。通过线性回归分析，可以得到一个最佳拟合直线，这条直线代表了电阻值与温度之间的线性关系。在实际应用中，通过测量PT100传感器的电阻值，然后利用这个线性回归模型，将电阻值准确地转换为对应的温度值。这种方法不仅具有高精度和良好的稳定性，而且响应速度快，适用于各种需要精确温度测量的工业和科学应用场景。线性回归模型的运用，进一步优化了电阻值到温度值的转换过程，确保了温度读数的准确性和可靠性。

在工业设备的状态监测与故障诊断领域，采用合适的机器学习算法能够显著提升检测的效率和准确性。除了线性回归这一常用方法外，还可以根据具体的应用场景选择逻辑回归、决策树、朴素贝叶斯等算法，以达到事半功倍的检测效果。

通过精心选择和应用这些算法，工业设备的状态监测系统能够更加精准地识别和预测潜在问题，从而实现预防性维护，减少意外停机时间，提高生产效率。这种基于数据驱动的方法，不仅提升了工业设备的可靠性和维护的智能化水平，也为工业4.0的实现提供了强有力的技术支持。

5.安全事件运营举证回溯 

图5.1 告警举证高亮

通过运用深度包检测（DPI）技术，可以对网络中的告警流量进行精细化分析。DPI技术能够智能地识别并提取告警流量中的有效载荷（payload），并根据预设的关键字如“offect”和“len”进行快速回溯和举证。这一过程不仅提高了告警信息的可读性和可操作性，而且通过高亮显示关键信息，极大地提升了网络运营的效率。

在实际应用中，DPI技术的应用可以显著优化网络监控和管理流程。例如，在网络安全领域，DPI技术能够实时监测网络流量，一旦发现异常或告警信息，便能够迅速定位到具体的payload内容。通过对这些关键信息的高亮显示，网络管理员可以更直观地识别潜在的安全威胁，从而采取及时有效的应对措施。

DPI技术在告警流量分析中的应用，不仅提升了网络管理的智能化水平，也为网络运营的高效性提供了有力保障。通过这种先进的技术手段，网络运营商能够更加从容地应对各种网络挑战，确保网络环境的安全与稳定。

在工业互联网的快速发展中，深度包检测（DPI）技术与安全态势感知的结合，为工业互联网安全提供了强有力的保障。DPI技术通过深入分析网络流量，能够精确识别工控协议和设备状态，从而在工业互联网安全态势感知中发挥着核心作用。

态势感知系统利用DPI技术，实时监控和分析工业网络中的通信流量，提取关键元数据，为工业互联网的安全运营提供了全面的数据支持。这种能力使得工业企业能够及时识别和响应潜在的安全威胁，如恶意入侵、数据窃取和拒绝服务攻击等，从而保障了工业生产的连续性、稳定性以及数据的安全性。

在工业数据采集与设备状态监控方面，DPI技术的应用极大地提高了数据收集的效率和准确性。通过精确监测设备性能和预测潜在故障，工业企业能够实现预防性维护，减少意外停机时间，提升生产效率。同时，DPI技术在特征匹配与行为基线分析中的应用，进一步增强了对异常行为的识别能力，为工业控制系统的安全性提供了额外的保障。

安全事件运营举证与回溯方面，DPI技术通过对告警流量中的payload进行智能识别和提取，使得网络管理员能够快速定位问题源头，提高告警信息的可读性和可操作性。这种能力在网络安全领域尤为重要，它使得网络管理员能够更直观地识别潜在的安全威胁，并采取及时有效的应对措施。

综上所述，DPI技术与态势感知的结合在工业互联网安全中扮演着至关重要的角色。随着工业4.0的不断推进，这种技术将继续在保障工业互联网安全、优化网络监控和管理流程中发挥其核心作用，成为工业企业不可或缺的技术支撑。通过不断优化和升级DPI技术，工业企业能够更好地应对日益复杂的网络安全挑战，确保工业互联网的稳定运行和持续发展。态势感知系统作为网络安全管理的大脑，将确保工业互联网的安全态势始终处于可控状态，为工业企业的长远发展提供坚实的安全基础。