工業控制系統的特殊性與防禦測試的困境

工業控制系統（ICS），包括監控與資料採集系統（SCADA）和分散式控制系統（DCS），是水處理廠、電網、石油天然氣管道和製造設施等關鍵基礎設施的運作核心。這些系統的獨特性在於它們直接管理和控制著物理流程，任何系統中斷或錯誤操作都可能導致嚴重的物理損害、環境災難、經濟損失，甚至危及人身安全。

相較於傳統的資訊技術（IT）網路，ICS/OT 網路具有截然不同的特性：它們依賴於專有協定（如 Modbus、DNP3），系統運行壽命長達數十年，且對延遲和連續性有極高的要求。在這樣的環境中，傳統的網路安全測試方法，如滲透測試或主動掃描，極易造成營運中斷或設備損壞。對於負責維護這些關鍵系統的網路安全團隊而言，尋找一個既能模擬真實世界威脅，又無需將營運系統置於風險中的測試環境，一直是安全防禦發展的重大瓶頸。

許多組織要麼依賴過時或單一類型的資料集來開發防禦策略，要麼僅能進行狹隘的模擬，無法全面反映多樣化的工業架構和複雜的攻擊路徑。這種局限性嚴重阻礙了針對工業網路設計和驗證高效入侵偵測系統（IDS）的進程。

 

ICS-SimLab：容器化模擬框架的創新解決方案

為了克服在不造成中斷風險的情況下測試工業控制系統防禦措施的難題，網路安全團隊常常難以在不造成中斷風險的情況下測試工業控制系統的防禦措施。科廷大學的一組研究人員開發出一種方法，他們的工作引入了一個基於容器的框架，讓研究人員和從業人員能夠模擬真實的控制系統環境，並安全地對其進行網路攻擊。

這項創新的核心在於利用輕量級的容器化技術，來虛擬化複雜的工業環境。研究人員設計了一套軟體套件，可以重現可程式邏輯控制器（PLC）、人機介面（HMI）、感測器和執行器等工業控制系統組件的行為。它使用 Docker 容器來隔離這些元件，允許使用者在一台電腦上建置和運行不同的工業環境。相較於設置實體硬體或需要大量資源的虛擬機，這種容器化的設計提供了一種更快、資源消耗更低的方式來模型化和測試控制系統。

科廷大學的研究人員指出，這種方法為ICS研究和培訓帶來了新的實用性。他們提出的 ICS-SimLab 提供了高可配置性和靈活性，研究人員無需重新編寫程式碼或重建硬體，即可模擬多樣化的ICS架構。其輕量級的部署特性意味著整個模擬可以在單一主機電腦上運行，即使對於小型實驗室或培訓中心也易於使用。此外，ICS-SimLab 還支援將歷史資料整合到其模組化模擬中，研究人員可以在受控條件下重現真實世界的安全事件，例如重演類似於在水設施中發生的 Modbus 命令注入攻擊，然後測試入侵偵測解決方案或培訓操作人員在服務中斷發生前識別異常。

 

實現真實性的架構基石：普渡企業參考架構的應用

在模擬工業網路環境時，僅僅複製單一設備的行為是遠遠不夠的。一個成功的模擬必須反映真實世界中不同控制層級之間複雜的通訊和互動模式。在工業網絡中廣泛使用的普渡企業參考架構（Purdue Enterprise Reference Architecture）正是實現這一目標的關鍵。

該系統遵循普渡企業參考架構，該架構被廣泛用於工業網絡，有助於確保控制層和企業系統之間通訊的真實模擬。普渡模型將工業網絡劃分為多個邏輯層級，從最底層的現場設備和感測器（第0級、第1級），到控制系統（第2級）、營運管理（第3級），再到企業網路（第4級、第5級）。

透過在模擬框架中嚴格遵循這一架構，ICS-SimLab 能夠確保虛擬的控制層和企業層之間的通訊行為具有高度的真實性。這種架構保真度對於模擬進階持續性威脅（APT）至關重要，因為許多複雜的攻擊，例如著名的 BlackEnergy 攻擊，都涉及從 IT 層次（企業網路）滲透，然後橫向移動並過渡到 OT 層次（控制網路），最終破壞物理流程。若沒有普渡架構的指導，模擬環境將無法捕捉到這些跨層級攻擊的細微差別，從而降低防禦測試的有效性。

 

多樣化網路攻擊情境的模擬與實戰演練

為了展示該模擬框架的實際功效，研究團隊創建了三種具體且具有代表性的工業模擬情境，包括：模擬帶有轉換開關的太陽能電池板電網、模擬水瓶灌裝設施（包含水箱、閥門和輸送帶），以及複製使用智慧電子設備（IEDs）管理電力流動的變電站式設置。

在這些虛擬環境中，研究人員對系統進行了多種網路攻擊的實戰演練。實施的攻擊類型涵蓋偵察、注入、命令執行和阻斷服務（Denial-of-Service, DoS）等主要類別。例如，某些攻擊會掃描 Modbus 設備的地址或試圖將虛假的感測器數據注入控制迴路；其他攻擊則會以大量流量淹沒網絡，使通訊通道超載。

這些實驗使團隊能夠監測不同控制架構在遭受壓力時的反應。透過使用 Wireshark 等工具，他們從正常運行和攻擊條件下捕捉了流量數據，從而產生了反映多種ICS設計在威脅下的行為數據集。這種基於實戰的數據收集方法是傳統測試方法難以比擬的，它不僅提供了攻擊發生的結果，更提供了完整的攻擊過程與環境背景。

 

結構化資料集的戰略價值：賦能新一代入侵偵測系統

透過這些模擬收集的數據旨在支援開發針對工業控制系統(ICS) 環境的入侵偵測系統，資料集中的每個資料包都被標記為良性或惡意，並包含攻擊類型和所用協定的資訊。這種方法為機器學習研究提供了結構化的基礎，可以訓練模型識別網路活動中的細微差異。

目前現有的 ICS 資料集大多集中於單一控制環境，這往往會導致模型過度擬合（Overfitting）——一個在特定系統上訓練出的偵測模型，在應用到另一種不同的工業系統時可能失效。ICS-SimLab 透過從多個模擬系統中生成數據，旨在減輕這種單一系統偏見，從而顯著提高 IDS 模型的泛化能力和穩健性。

這種結構化、經過標記的數據集對於訓練基於機器學習的入侵偵測系統至關重要。有了這些「地面實況」（Ground Truth），安全團隊可以建立精確的檢測規則，例如針對異常的 Modbus 使用情況，或訓練模型來識別 IT 到 OT 轉換過程中不尋常的活動模式。這種方法允許防禦系統從大量樣本中學習正常和異常行為的界限，從而能夠在攻擊初期或在面對新型變種攻擊時，準確地發出警報。

 

實務應用與前瞻部署：安全團隊訓練和營運規劃的未來

對於負責營運技術的首席資訊安全長 (CISO) 來說，此類模擬研究預示著未來防禦測試可以安全且大規模地進行。這項工作通過降低創建逼真 ICS 環境的技術門檻，允許更多的研究人員和防禦者進行實驗、共享數據集，並在威脅到達生產系統之前驗證入侵偵測系統。它有助於彌合理論與實踐之間的鴻溝，讓團隊能夠在真實的設定中觀察攻擊的發展過程，而無需危及實際的基礎設施。

除了支持 IDS 研究之外，該專案在培訓和營運規劃方面也具有極大的實用潛力。安全團隊可以利用此類模擬來排練事件響應流程，而無需涉及現有設備。工程師可以在部署新系統之前，探索不同配置在遭受攻擊時的行為表現。由於這套設置可以在標準電腦上運行，它可被其他研究人員或工業營運商複製，無需昂貴的專門硬體。

此外，研究團隊計劃持續擴展該項目，包括未來共享一個攻擊腳本庫，用於模擬文獻中記載的各種類型 ICS 攻擊。這將使全球研究人員能夠使用 ICS-SimLab 安排多樣化的情景，並嚴格測試其檢測模型的有效性和穩健性。

 

邁向更深層次的模擬：硬體與物理流程的整合展望

儘管基於容器的模型在網路層級攻擊的模擬（例如利用 Modbus 漏洞的攻擊）方面表現出色，但研究人員也意識到現有方法的局限性。要模擬更深層次的設備特定漏洞，例如韌體篡改或緩衝區溢位攻擊，將需要更詳細的虛擬化技術。

研究團隊的未來工作計劃將探索這些領域，並進一步整合更為精確的建模工具，例如 Matlab 或 Simulink，以更精確地模擬物理流程。這種整合將使模擬不僅限於網路流量和邏輯控制，還能準確反映網路攻擊對物理世界（如馬達轉速、壓力變化、閥門開啟程度）造成的精確影響，從而提供一個真正全面的「網路-物理」系統（Cyber-Physical System, CPS）模擬環境。透過這種不斷的技術推進，ICS 模擬將從一個實驗室概念，逐步轉變為工業安全防禦工具箱中不可或缺的一部分。

資料來源：https://www.helpnetsecurity.com/2025/10/15/industrial-control-system-simulation-cybersecurity/