电力工业控制系统安全技术综述

 0 引言

工业控制系统广泛应用于电力、水力、石化等工业领域。其中,超过80%的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已经成为国家关键基础设施的重要组成部分^[1-2]。随着工业控制和基础设施智能化迅速发展,信息技术被广泛应用到工业领域,工业控制系统越来越开放、多变,使得传统相对封闭的工业控制系统面临新的网络安全威胁。从20l0年的“震网病毒”、2014年的Havex病毒、2015和2016年的乌克兰停电等几起重大安全攻击事件可以看出,目前针对工控系统的攻击不再需要复杂攻击手段、完整还原业务系统运行状态,就能直接影响工控系统的正常运行,攻击成本在降低,而攻击所带来的影响却进一步加重。

电力工业控制系统支撑发、输、变、配、用以及调度等各环节,一旦遭受破坏,可能影响国家和社会安全。国家、电力企业对电力工控系统安全问题高度重视,并提出相关配套技术文件,为全行业建立电力工控系统安全防护体系提供政策保障。国内学者也对电力工控系统安全积极展开研究,但研究工作刚刚起步,而且大部分研究是将公共信息网络安全理论和安全技术直接应用到对电力工业控制系统的安全保护中^[3-4],目前已有的相关安全技术不足以应对日新月异的攻击手段。

 1 电力工业控制系统安全特点及风险分析

1.1 电力工业控制系统安全的特点

与传统信息系统的安全相比,电力工业控制系统的安全主要具有以下特点。

1）安全要求不同。工业控制系统的首要原则是保障业务连续性^[5],生产过程中任何的中断都不能被允许,而传统信息系统在运行过程中的中断或重启能够被容忍。因此,在考虑电力工控系统安全时要优先保证可用性。

2）通信规约安全性不同。传统信息系统采用统一的TCP/IP协议和HTTP等标准协议;工控系统有大量专用和私有协议,适用于多种应用需求,其在设计之初并未考虑足够的安全需求,存在严重的安全漏洞。

3）智能终端安全性差。智能电网业务系统使用大量嵌入式终端设备,在使电网更加网络化、智能化、多功能的同时,也带来了更多的安全风险。研究表明大部分智能终端设备存在大量安全隐患和安全漏洞,如大量终端设备中存在命令注入、硬编码等漏洞,相关终端设备的固件同时还存在厂商植入的后门。一旦遭受攻击,将导致电力设备故障,后果不堪设想。

4）安全危害程度严重。传统信息系统攻击主要影响虚拟资产,而针对电力工控系统的攻击可能直接破坏物理设备,例如利用缓冲区溢出执行非法授权指令,从而对工业现场设备下发非法控制指令（例如修改运行参数、关闭阀门开关等）,极易引起工业现场生产设备的突然中断,导致重大安全事故。

与其他工控系统相比,电力工控系统还具有规模大、距离远、覆盖范围广、交叉感染性强的特点。电力工控系统网络范围覆盖全国,从逻辑架构上划分发电、输电、变电、配电、用电、调度6个环节,各环节紧密关联,一个环节出现安全问题,可能造成其他环节的连锁反应,对故障范围控制、系统自愈能力、实时响应及灾备等要求更高,安全顶层设计的难度更大。

1.2 电力工业控制系统的安全风险

分析工控系统历史安全事件,电力工控系统存在的安全风险主要源于以下几方面。

1）工控通信协议缺乏安全设计。专用工控通信协议在设计阶段仅强调通信实时性与可用性,普遍欠缺安全机制,很可能会造成工控协议漏洞,例如表1列出部分工控通信协议在设计阶段存在的安全漏洞^[6],这些漏洞很有可能受到攻击者的利用;再如控制中心同站控系统之间主要采用IEC60870-5-101/104规约进行通信,但104规约欠缺加密与认证等安全机制,且一直采用固定的2404端口,存在被窃听、替换的安全风险^[7]。

表1 工控通信协议在设计阶段存在的安全漏洞Tab.1 Several vulnerabilities in the design of industrial communication protocol

2）长期“带病”作业。工控系统安全威胁的根本原因是普遍存在的漏洞和后门。截止2016年底,公开发布的工控系统漏洞数量累计已超过900多个。据统计^[8],2010年以前工控系统漏洞数量相对较少（每年新增至多5个）,2010年以后快速增长,2011年公开的工控系统漏洞多达200个,此后几年均超过100多个,并且这些漏洞普遍存在于当前应用广泛的主流工控产品中。鉴于电力工控系统持续性业务要求、工控协议种类繁多、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,发现安全漏洞后,无法及时处理威胁严重的漏洞,安装安全补丁,电力工控设备长期处于“带病”作业状态。例如施耐德ConneXium系列工业防火墙产品的Web管理接口被某安全公司检测出缓冲区溢出漏洞,攻击者能够利用该漏洞在目标设备中远程执行任意代码,并干扰正常的网络通信。然而,据安全公司透露的信息,施耐德目前已开发出能够修复该漏洞的更新补丁,但是厂商目前由于种种原因还未能向用户推送这个修复补丁^[8]。

3）安全审计功能欠缺。来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作是电力工控系统面临的主要安全风险之一。据统计^[9],对企业造成的严重攻击事件中,有70%来自企业的内部人员。部分工控系统不具备安全审计功能、或安全审计功能不完善、或因性能原因安全审计功能不开启导致工控系统违规操作缺乏有效的监控、管理和审计,给工控系统埋下极大的安全隐患。

4）安全管理机制亟待完善。缺失或不够完善的安全管理成为导致电力工业控制系统安全风险的一个重要因素：①终端、计算机接口等接入限定不够明确,不同版本、安全要求、通信要求的设备直接或间接互联,导致工控系统内部感染、快速传播病毒几率倍增;②缺乏安全机制实施方面的管理机制,缺少针对工控系统不间断操作或者灾难恢复机制,导致工业现场容易留下安全隐患;③电力工控系统的运行维护严重依赖厂商人员,现场操作与维护人员安全意识浅薄,无意或故意的错误操作都有可能给变电站/电网运行带来致命灾难。

5）高级可持续性威胁（Advanced Persistent Threat,APT）攻击等新型攻击手段层出不穷。APT主要利用最新的0-day漏洞,与工控系统的正常业务过程进行贴合,采用多种攻击技术或组合攻击模式达到其目的,其攻击过程缓慢,具有针对性、持续性、隐蔽性。一旦进入目标系统后,为了达到有效的攻击,会持续寻找攻击的宿主目标。现有的技术手段很难有效发现APT攻击,在工业现场普遍缺乏安全防护手段的情况下,利用0-day漏洞的这类新型攻击正成为电力工控系统安全防护的新挑战。

 2 国内外研究现状

2.1 工业控制系统的安全形势

受近年来各类工控网络安全事件的影响,世界各国纷纷加大对国内工控安全的投入。

美国政府在多个政策和文件中把工业控制系统安全保护作为重要的工作任务。2008年美国在相关信息和网络安全计划中,将工业控制系统列入国家需重点保护的关键基础设施范畴;2009年美国《第44届总统的保护网络空间安全的报告》明确要求“保护工业控制系统,特别是SCADA系统的安全”;2015年6月美国国家标准与技术研究院发布第二版工业控制系统（ICS）安全指南。2013年4月法国总统府发布《国防与国家安全白皮书》,重点关注关键数字基础设施安全;2013年西班牙成立工业网络安全中心（ICC）,并发布《西班牙工业网络安全路线图》、《西班牙工业网络安全现状》等文件,以解决该国关键信息和通信技术中存在的网络安全漏洞;2013年10月欧洲网络与信息安全局ENISA发布《工业控制系统网络安全白皮书》;2013年以色列国家电力公司发起一项培训计划,以提高关键基础设施和民用设备的安全性;2014年3月卡塔尔发布国家ICS安全标准。

据普华永道发布的2016年全球信息安全状况调查报告显示^[10],中国工控系统领域的安全事件呈暴涨趋势,相比于2015年增长了2 213%。工业控制系统安全引起我国的高度重视,已提升到国家安全战略的地步。国家及行业主管部门一直以来高度重视电力工控系统安全工作：2004年国家电力监管委员会发布5号令《电力二次系统安全防护规定》^[11];2011年工信部发布工信部协451号《关于加强工业控制系统信息安全管理的通知》^[12];2013电监会发布50号文《电力工控信息安全专项监管工作方案》;2014年发改委发布第14号令《电力监控系统安全防护规定》^[13];2014、2015年能源局分别颁布《电力行业信息安全等级保护管理办法》及《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》（国能安全〔2015〕36号）;2016年11月年全国人大常委会经表决通过《中华人民共和国网络安全法》,明确规定了关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面;2016年工信部印发《工业控制系统信息安全防护指南》,应对新时期工控安全形势,指导工业企业开展工控安全防护工作。

目前,国家电网公司已建立了栅格状纵深电力工控系统安全防护体系。为了全面贯彻落实国家和行业网络安全要求,在“十三五”期间,国家电网公司拟定了“可管可控、精准防护、可视可信、智能防御”的信息安全智能防护体系,打造下一代智能电网安全主动防御保障体系。

2.2 工业控制系统的安全技术演进

早期针对工控系统安全技术的研究主要借鉴传统信息系统的相关安全技术,例如防火墙技术、入侵检测技术等,以安全防护为主,辅以检测与监测技术。与传统防火墙相比,工业防火墙技术^[14]需要支持专用工业控制协议,具有状态检测与状态分析功能,并能满足系统实时性要求。目前主要通过规则更新来兼容支持DNP3、Profibus、控制中心间通信协议（Inter Control-Center Communication Protocol,ICCP）等典型工控协议,或采用类似深度报文检测技术^[15]实现对封装在TCP/IP协议负载内的工业协议进行检测,从而对工业协议实现数据级深度过滤。

针对传统信息系统的入侵检测技术研究较为成熟,由于工控系统实用性要求,不能直接将传统入侵检测技术应用于工控系统。目前,研究人员主要基于支持向量机、神经网络、模式识别等对工控系统入侵检测技术展开研究,并根据检测对象分为基于流量的入侵检测、基于协议的入侵检测、基于状态设备的入侵检测^[16]。目前基于协议的工控系统入侵检测技术需要针对某种特定工控协议格式进行大量研究,无法进行扩展,缺乏普遍性。

目前,针对工控协议的安全研究成为工控安全的核心研究内容。工控协议安全技术包括工控协议解析及脆弱性分析。工控协议解析方面,研究人员主要基于网络流量的协议逆向分析和基于执行轨迹的协议逆向分析技术开展深入研究^[17],其中基于网络流量的协议逆向分析与平台无关,实现简单,但对样本的数量和多样性要求很高,协议状态机复原难,准确性较低;基于执行轨迹的协议逆向分析协议状态机复原准确,准确性较高,但是依赖协议实体的运行环境,效率低,耗时长。协议的脆弱性分析技术主要包括模糊测试技术和程序分析技术,模糊测试技术准确性较高,覆盖率低;程序分析技术具有高覆盖率,但准确性较低,漏洞需要人工再次确认。

 3 电力工业控制系统安全防护体系

在深入分析典型工控安全事件、调研电力工控系统的相关安全技术的基础上,本文从安全检测、安全监测、安全防护3方面归纳总结了一套针对电力工业控制系统的安全防护体系（见图1）。

图1 电力工业控制系统的安全防护体系Fig.1 Security protection architecture of power industry control system

3.1 安全检测

从漏洞检测、恶意代码检测、恶意行为检测、APT检测等方面建立安全的检测能力,及时发现电力工控系统的异常情况。

1）漏洞检测。针对智能电网工控系统中的现场测控设备、网络设备、计算机设备、安全设备、工控通信协议等,结合污点传播分析、符号执行、动态二进制分析、软件逆向工程、渗透测试等技术手段实现漏洞检测与挖掘。结合来自国家专业机构、安全厂商、CS-CERT、CVE等国内外知名机构发布的漏洞信息,形成电力工控系统漏洞库核心资源。设置专门的补丁管理人员,针对上述漏洞及时完成补丁的制作与发布,严格管理补丁安装。

2）恶意代码检测。恶意代码是电力工控系统的主要威胁之一。随着安全技术的发展,工控系统攻击者逐渐将攻击对象转移至底层系统,从而逃避检测,例如Rootkit木马能够入侵PLC系统中的底层组件^[18]。因此,生产控制大区内主站端和重要的厂站端、企业管理信息大区内分别部署一套恶意代码检测与防护系统,对关键工控设备、底层组件、临时接入设备、远控协议等实施多层次的恶意代码扫描检测,及时更新恶意代码特征码,查看查杀记录,采取防范恶意代码措施。

3）恶意行为检测。搜集智能电网工控系统已知的恶意行为,形成业务安全威胁样本库,并提取相关特征。基于恶意行为动态审计等技术手段,及时发现工控系统中组态软件、应用软件、现场测控终端、移动终端等的恶意行为,并提供实时告警和拦截,生成审计报告。

4）APT检测。针对APT安全威胁行为的检测,需要针对整个电力工控系统中的站控系统、关键监测设备、现场终端、安全设备、工控协议等进行持续的数据采集与监测,结合行为模式、白名单分析等对异常行为进行多层次分析,尽快识别APT恶意行为并采取相应的安全防范措施。

3.2 安全监测

建立对电力工控系统运行状态、网络流量、通信协议、外部交互等多层次的综合监测,全面掌握智能电网工控系统安全状况。

1）运行状态监测。实现资产的分组管理,对电力工控系统的关键控制设备、现场设备的运行状态、软硬件配置变更、设备资源占用情况、各关键控制模块的状态等进行监测。当系统发现监控的某些状态达到峰值,采取措施进行降级处理,避免系统在高负荷下运行发生故障或崩溃。

2）网络流量监测。对电力工控系统内网络流量进行实时监测,通过采集、识别、存储与诊断,能够通过异常的网络流量识别发现非法外联,异常的网络应用和通信行为,对异常网络流量进行实时报警,从而发现工控内网中存在的安全隐患。通过深入的分析加以甄别判定,全面掌握内网主机、设备工作运行状态。

3）工控通信协议监测。对常用的电力工控通信协议通信过程及状态的监测,从协议攻击、协议可信性、异常数据包、数据重放、协议可用性、协议类型等方面监测电力工控通信协议的安全,监控并统计数据传输的成功与失败,根据不同的协议类型和用户进行流量统计,并提供常见电力工控协议和所监控协议的详细信息,针对工控协议的异常进行实时
告警。

4）外部交互监测。生产控制大区应当逐步推广内网安全监测功能,收集边界处的安全设备和网络设备的日志信息,利用网络流量分析技术监测电力监控系统与外部系统的交互行为与数据,及时发现非法外联、外部入侵等安全事件并告警。

3.3 安全防护

从主机/终端、网络、数据、应用等方面提高电力工控系统的安全防护能力,提升对各类威胁的发现与防御能力。

1）主机/终端防护。生产控制大区站控系统、现场终端、企业管理信息大区移动终端等操作系统应当通过安全配置、安全补丁等方式进行安全加固,采用专用软件强化操作系统访问控制能力以及配置安全的应用程序。对于电力工控系统中的关键控制系统软件升级、补丁安装前进行安全评估和验证,避免补丁引入新漏洞。

2）网络防护。由于目前电力工控系统中采用的工控设备厂商众多,工控协议私有,需要基于动态二进制分析、软件逆向工程技术来深度解析工控协议,并部署专用工业防火墙,有效拦截病毒及其他非法访问,保护关键控制器件。在编制工业防火墙规则时,只允许专用工控协议通过,拦截来自操作站的非法访问。在生产控制大区内统一部署工控专用网络入侵检测（Intrusion Detection Systems,IDS）系统,合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进行安全审计。

3）数据防护。电力工控系统中的数据安全主要包括数据本身安全和数据防护的安全,分别从加密算法和备份恢复2方面展开数据安全防护：一方面,生产控制大区内部通信、生产控制大区与企业管理信息大区间的通信应当综合对称、非对称加密算法保证数据传输过程中的机密性与完整性;另一方面,通过信息存储的方式保证数据的安全（例如磁盘阵列、云存储等）,冗余配置关键主机设备、网络设备或关键部件,对于电力调度自动化系统等,应当逐步实现实时数据、电力监控系统、实时调度业务3个层面的备用,形成分布式备用调度体系,保障重要业务数据的安全性。

4）应用防护。应用安全是信息系统整体防御中的重要组成部分^[19]。为了提高电力工控系统的安全性,应当采用数字证书、安全标签实现应用运行过程中的安全授权和强制执行控制及强制访问控制。基于公钥技术的数字证书能够为电力工控系统中的关键应用、关键设备提供高强度的身份认证,保障数据传输的安全性。

 4 电力工业控制系统安全技术研究契机

随着智能电网建设的深入推进,电力工控系统的安全正面临着新的挑战。工业控制系统信息安全问题具有一定的复杂性,仅依赖于单一的安全技术和解决方案无法实现系统整体安全。未来提升电力工控系统的安全性,必须综合多种安全技术,分层分域地部署各种安全防护措施,以提升电力工控系统的整体安全防御能力。鉴于目前针对电力工控系统安全的关键技术的相关研究仍有很多空白之处,现将一些有价值的相关技术研究问题予以展望。

4.1 基于大数据的态势感知

针对工控系统的安全防护已逐步向纵深防护方向发展,其核心技术之一是态势感知技术。基于大数据的态势感知技术通过针对电力工业控制系统运行状态、网络流量、通信协议、外部交互等方面建立多层次、持续化的数据采集与监测,全面掌握电力工控系统安全状况数据,基于海量数据的融合关联分析与恶意行为检测算法,识别高风险行为集群,全面获得潜在威胁的整个过程和整体背景,使得这些海量监测数据能够成为上层安全决策的有效资源。另外,基于大数据的态势感知技术能够更准确地检测恶意攻击,将在电力工控系统中的APT攻击安全检测与防御方面扮演重要角色。

4.2 可信计算

可信计算是电力工控系统主动防御的重要技术手段之一,主要基于密码技术建立可信根、安全存储和信任链,采用软硬件协同设计构建的平台安全体系,是一种计算与防护并存的新型计算模式。与传统的安全防护相比,基于可信计算技术的安全防护在安全机制、防护强度和防护层次方面都有明显优势,可以防范软件层后门、硬件层后门、密码破解、火焰病毒、震网病毒、未知木马等方式攻击。例如：嵌入式可信计算密码技术研究能够提供程序防篡改、恶意代码免疫、应用级版本固化、身份识别、数据保护等安全保障。

4.3 拟态安全防御

我国科学家提出的“拟态安全防御”技术是革命性的主动防御技术之一,是突破信息物理双网融合网络空间安全防御的有效途径。该技术在主动和被动触发条件下,通过在运行平台、运行环境、应用软件、网络、数据5个层面引入异构化、动态化和随机化等机制,例如采用动态路由^[20]、动态IP^[21-24]、地址空间随机化^[25]、代码随机化^[26]、数据随机化^[27]等,从而破坏攻击手段对被攻击目标的环境依赖,大幅提升攻击难度和攻击成本,从主动防御的技术角度出发,增强系统的安全性。基于拟态安全技术原理研发的系统,并不能消除漏洞和后门,而是让系统本身处于动态性异构冗余空间中不断变化,使攻击者很难利用漏洞和后门实施攻击。

拟态安全防御技术能够解决电力工控系统现在面临的最大安全风险——不确定性威胁。拟态安全防御作为新兴的主动防御技术,能够用相对较少的资源开销实现相对较高的安全防御能力^[28],为电力工控系统防范未知漏洞、后门、木马、病毒、软硬件及协议、网络、平台、数据等潜在的安全风险开创新途径。

4.4 量子加密通信

量子加密通信是电力工控系统安全防护发展的一个重要方向。量子加密通信技术是通过发送方随机选择发送光量子的状态,接收方随机选择对接收光量子的测量方式,协商共享密钥实现密钥分发的密码通信解决方案。其安全性基于量子力学的基本原理：单光子不可再分,不可复制的特性,确保了窃听者无法通过窃取和复制等方式截获光子状态;量子测不准原理则确保窃听者无法通过测量的方式截获光子状态而不被发现。

基于经典密码学的现代保密通信系统在实际应用中存在不同程度的安全问题,其安全性基础是基于某类数学问题的复杂度,原则是可以求解,随着计算能力的提高,求解速度越来越快。而量子密钥的随机性不依赖任何算法,具有绝对的随机性,不会因为计算能力和数学水平的提高而受到威胁,从原理上是不可破解的。未来量子加密通信技术可应用于电力工控设备间的通信,从而提升电力工控系统的主动安全防护能力。

 5 结语

电力工控系统的安全是电网安全稳定运行的技术保障,关系着国计民生和经济社会发展,是国家建设坚强智能电网的核心。本文通过分析典型工控系统安全事件并探讨电力工控系统所面临的安全风险,结合国内外已有的研究现状,从安全检测、安全监测、安全防护3方面归纳总结了一套电力工控系统安全防护体系,并深入分析了未来全面提升电力工控系统安全性的几项关键研究技术。电力工控系统安全技术研究是一个长期过程,随着新技术、新形势的发展而发展,与黑客攻击技术相对立,互为博弈。目前,电力工控系统的安全研究正处于起步阶段,还有广阔的空间供学术界和工业界的研究人员探索。

(编辑:张京娜)

参考文献

[1] NIST special publication 800-82. Guide to industrial control systems(ICS) security 800-82. Guide to industrial control systems(ICS) security[S]. 2011.

[2] Cárdenas A A, AMIN S, LIN Z S, et al.Attacks against process control systems: risk assessment, detection, and response[C]// Proceedings of the 6th ACM symposium on information, computer and communications security, ACM, 2011: 355-366.

[3] 廖建容, 段斌, 谭步学, 等. 基于口令的变电站数据与通信安全认证[J]. 电力系统自动化, 2007, 31(10):71-75. 
LIAO Jian-rong, DUAN Bin, TAN Bu-xue, et al.Authentication of substation automation data and communication security based on password[J]. Automation of Electric Power Systems, 2007, 31(10): 71-75.

[4] 刘念, 张建华, 段斌, 等. 网络环境下变电站自动化通信系统脆弱性评估[J]. 电力系统自动化, 2008,32(8): 28-33. 
LIU Nian, ZHANG Jian-hua, DUAN Bin, et al.Vulnerability assessment for communication system of betwork-based substation automation system[J]. Automation of Electric Power Systems, 2008, 32(8): 28-33.

[5] 李鸿培, 于旸, 忽朝俭, 等. 工业控制系统及其安全性研究报告[R]. 绿盟科技技术报告, 2012.

[6] MITRE. 公共漏洞和暴露[DB/OL].[2017-10-11]. .

[7] INGRAM DM, SCHAUB P, TAYLOR RR, et al.Performance analysis of IEC 61850 sampled value process bus networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9(3): 1445-1454.

[8] 匡恩网络. 2016年工业控制网络安全态势报告[R]. 2016.

[9] 陈庄, 黄勇, 邹航. 工业控制系统信息安全审计系统分析与设计[J]. 计算机科学, 2013, 40(6a): 340-343. 
CHEN Zhuang, HUANG Yong, ZOU Hang.Analysis and design of ICS information security audit system[J].Computer Science, 2013, 40(6a): 340-343.

[10] 普华永道. 2016年全球信息安全状况调查报告[DB/OL]. [2017-11-14]. https://www.pwc.com/us/en/cybersecurity/information-security-survey.html.

[11] 国家电力监管委员会. 电力二次系统安全防护规定(电监会5号令)[Z]. 2004.

[12] 工业和信息化部. 关于加强工业控制系统信息安全管理的通知[Z]. 2011.

[13] 国家发展改革委员会. 电力监控系统安全防护规定(发改委14号令)[Z]. 2014.

[14] 彭勇, 江常青, 谢丰, 等. 工业控制系统信息安全研究进展[J]. 清华大学学报(自然科学版), 2012,52(10): 1396-1408. 
PENG Yong, JIANG Chang-qing, XIE Feng, et al.Industrial control system cybersecurity research[J]. Journal of Tsinghua University(Science and Technology), 2012, 52(10): 1396-1408.

[15] BREMLER-BARR A, HARDCHOL Y, HAY D.Space-time tradeoffs in software-based deep packet inspection[C]// IEEE International Conference on High PERFORMANCE Switching and Routing, 2011: 1-8.

[16] 杨安, 孙利民, 王小山, 等. 工业控制系统入侵检测技术综述[J]. 计算机研究与发展, 2016, 53(9):2039-2054. 
YANG An, SUN Li-min, WANG Xiao-shan, et al.Intrusion detection techniques for industrial control systems[J].Journal of Computer Research and Development, 2016, 53(9): 2039-2054.

[17] 潘璠, 吴礼发, 杜有翔, 等. 协议逆向工程研究进展[J]. 计算机应用研究, 2011, 28(8): 2801-2806. 
PAN Fan, WU Li-fa, DU You-xiang, et al.Overviews on protocol reverse engineering[J]. Application Research of Computers, 2011, 28(8): 2801-2806.

[18] ABBASI A.Ghost in the PLC: stealth on-the-fly manipulation of programmable logic controllers’ I/O[R]. CTIT Technical Report Series, No.TR-CITI-16-02, 2016.

[19] 张盛杰, 顾昊旻, 李祉岐, 等. 电力工业控制系统信息安全风险分析与应对方案[J]. 电力信息与通信技术, 2017, 15(4): 96-102. 
ZHANG Sheng-jie, GU Hao-min, LI Zhi-qi, et al.The Information security risk analysis and response plans in power industry control system[J]. Electric Power Information and Communication Technology, 2017, 15(4): 96-102.

[20] AI-SHAER E, MARRERO W, EI-ATWAY A, et al.Network configuration in a box: towards end-to-end verification of network reach ability and security[C]// In Proceedings of 17th International Conference on Network Communications and Protocol(ICNP’09), 2009: 123-132.

[21] DUNLOP M, GROAT S, URBANSKI W, et al.Mt6d: a moving target ipv6 defense[C]// Military Communications Conference, 2011-Milcom, IEEE, 2011: 1321-1326.

[22] JAFARIAN J H, Al-SHAER E, DUAN Q.Openflow random host mutation: transparent moving target defense using software defined networking[C]// Proceedings of the first workshop on Hot topics in software defined networks, ACM, 2012: 127-132.

[23] JAFARIAN J H, Al-SHAER E, DUAN Q.An effective address mutation approach for disrupting reconnaissance attacks[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(12): 2562-2577.

[24] JAFARIAN J H, Al-SHAER E, DUAN Q. Adversary-aware IP address randomization for proactive agility against sophisticated attackers[C]// 2015 IEEE Conference on Computer Communications(INFOCOM), 2015:738-746.

[25] SHACHAM H, PAGE M, PFAFF B, et al.On the effectiveness of address-space randomization[C]// In ACM Conference on Computer and Communications Security(CCS), CCS ’04, New York, USA, 2004: 298-307.

[26] PORTNER J, KERR J, CHU B.Moving target defense against cross-site scripting attacks(Position Paper)[M]// Foundations and Practice of Security, Springer International Publishing, 2014: 85-91.

[27] NGUYEN-TUONG A, EVANS D, KNIGHT J C.et al.Security through redundant data diversity[C]// In IEEE/IFPF International Conference on Dependable Systems and Networks, 2008.