26、工业控制系统安全：SCADA 恶意软件与电力控制测试床分析

工业控制系统安全：SCADA 恶意软件与电力控制测试床分析

在当今数字化时代，工业控制系统（ICS）的安全问题日益凸显。随着信息通信技术（ICT）在生产环境中的广泛应用，关键基础设施面临着越来越多的安全威胁。本文将深入探讨 SCADA 系统恶意软件的相关情况，以及电力控制系统测试床的重要性。

1. SCADA 恶意软件分析

1.1 ModBUS DOS 蠕虫

ModBUS DOS 蠕虫是一种专门针对 SCADA 系统设计的恶意软件。它的感染过程如下：
1. 初始感染 ：蠕虫从互联网感染公司内部网络中的 PC。
2. 网络传播 ：如果受感染的 PC 通过 VPN 连接到发电厂的过程网络（这在发电厂远程管理中是常见操作），蠕虫会通过该 VPN 传播并感染过程网络中的 PC。
3. 攻击 ModBus 从站 ：当蠕虫发现网络中的 ModBus 从站时，会发送 ModBUS 数据包，以破坏主/从 Modbus 命令流的同步或完全中断通信。

实验测试表明，该蠕虫攻击的最终结果是 Modbus 主站和从站之间的通信中断。同时，通信协议的一些设置，如扫描速率和连接超时，对通信性能的下降也有不可忽视的影响。低扫描速率的系统在受到攻击时更容易失去同步，低连接超时的系统也更容易受到此类拒绝服务（DOS）攻击的影响。此外，由于这种蠕虫是“零日蠕虫”，且使用合法的 ModBUS 数据包进行攻击，标准设置的杀毒软件和网络入侵检测系统（NIDS）无法检测到攻击的原因。

以下是不同扫描速率和连接超时设置下，ModBUS DO