PLC安全新思路：PLCHound算法可降低互联网暴露设备数量

2024年10月11日，佐治亚理工学院的网络物理安全实验室发布消息，称该团队研发了一种名为PLCHound的算法，该算法通过更准确地识别易受远程网络攻击的设备，显著提升了关键基础设施的安全性。PLCHound利用先进的自然语言处理（NLP）和机器学习（ML）技术，筛选大型互联网记录数据库，记录互联网连接设备的IP地址和安全性。该团队通过这些数据联系了机场、医院和政府办公室等暴露的实体，告知他们存在的漏洞。一个月后的后续扫描显示，全球范围内扫描的34%的不安全IP地址不再暴露PLC设备。该算法由博士生Ryan Pickren领导的团队开发，该团队正在为PLCHound算法申请专利，以确保其得到广泛使用并保护关键基础设施。Pickren的研究表明，全球范围内的易受攻击系统比之前认为的要多得多，这凸显了持续存在的风险以及加强安全措施以保护关键服务免受网络攻击的重要性。

PLCHound算法概况

据佐治亚理工学院的网络物理安全实验室的消息，PLCHound算法的开发初衷是为了应对日益严峻的网络安全威胁，尤其是针对工业控制系统(ICS)的攻击。ICS系统是许多关键基础设施的核心，包括水处理、电力供应、交通系统等，其能够控制远程传感器和制造仪器等数千个部件。而这些系统中的关键设备——可编程逻辑控制器(PLC)——往往通过互联网连接，暴露在潜在的网络攻击风险中。

然而，由于传统物联网搜索引擎无法全面准确地捕捉这些设备的连接信息，很多PLC设备在不知情的情况下暴露在互联网上，缺乏适当的安全防护，成为攻击者的目标。PLCHound的算法通过识别这些互联网连接设备的IP地址及其安全状况，帮助机构及时发现并修补潜在漏洞。

PLCHound的核心在于其对网络协议的深入解析。Pickren指出，现代PLC遵循多种不同的网络协议，每种协议都具有独特的“指纹”，这些指纹会随着固件版本和客户自定义设置的变化而发生改变。因此，简单的网络查询手段已不足以应对这一复杂情况。PLCHound通过其强大的NLP和ML能力，能够在嘈杂的网络数据中筛选出易受攻击的设备，从而实现比传统手段更高效的设备识别。根据实验结果，PLCHound能够识别出比之前估计多出37倍的互联网连接设备。

这一算法的另一个重要成果是其全球扫描的不安全IP地址中，有34%在一个月后已经不再暴露其PLC设备。这表明，PLCHound不仅能够识别漏洞，还能够促使暴露的实体（如机场、医院、政府办公室等）采取有效措施来修复漏洞，从而大大提升了全球关键基础设施的安全性。

PLCHound算法的未来应用前景

随着IT、CT、ET、OT等融合演进，越来越多的设备连接到互联网，网络攻击者也在不断发展新型OT攻击技术。因此，PLCHound的开发对于确保未来关键基础设施的安全开启了另外一条途径，缩小暴露设备数量。

PLCHound的应用能够大幅降低PLC设备暴露在互联网上的风险。通过识别并通知暴露的实体，PLCHound不仅能够修补漏洞，还能够在更早的阶段预防攻击的发生。这对提升全球范围内的网络安全具有积极的影响。

PLCHound算法的思想和技术，可以复制并推广到其他类型的工业控制系统或物联网设备。随着物联网设备的普及，各类传感器、智能家居设备等都可能成为潜在的攻击目标。PLCHound的算法可以应用于这些设备的识别和保护，进一步扩大其使用范围。

PLCHound还在美国政府和工业界引起了极大的兴趣。2023年，一个国会小组曾参观Zonouz的网络物理系统安全实验室，亲眼目睹了这一算法的运作。而PLCHound的研究成果也将在2024年计算机协会计算机和通信安全会议上展示，这将进一步推动其在全球范围内的推广应用。

PLCHound 在许多设备上进行了测试，例如上图所示的设备。

目前关于该算法的关键细节信息还很有限，但随着PLCHound的专利申请的通过，其技术细节披露更多，为外界所理解和借鉴。因此，该算法有望被广泛应用于不同类型的关键基础设施中。未来，PLCHound将不仅限于保护PLC设备，还可以扩展到水处理、电力、交通等各类关键行业中，帮助这些行业更好地抵御潜在的网络攻击。

研究团队简介

PLCHound的开发得益于一个多学科、多背景的优秀团队。他们不仅在网络安全领域具备深厚的研究经验，还在学术界和工业界都获得了重要的认可和支持。佐治亚理工学院网络物理安全实验室隶属于网络安全与隐私学院（SCP）和电气与计算机工程学院（ECE），专注于开发保障网络物理系统（CPS）安全和可靠的理论与工具。实验室主要研究方向包括CPS系统的建模与验证、安全监控与攻击检测，以及实时恢复与入侵响应。其研究领域涵盖智能电网、物联网、无人机等，并与多个联邦机构和行业巨头如NSF、DHS、埃森哲、西门子、Google等合作，推动信息物理系统的安全发展。

团队的领导者Ryan Pickren是佐治亚理工学院的博士生，其研究方向集中在网络物理系统的安全性上。他不仅领导了PLCHound算法的开发，还在此前与德国工业自动化解决方案提供商WAGO的合作中发现了其控制器中的零日漏洞，促使该公司在2023年发布了相关的安全补丁。这一发现奠定了Pickren团队继续探索和评估全球范围内ICS系统安全问题的基础。

副教授Saman Zonouz是团队中的另一位核心成员，负责监督PLCHound的技术实现及其在DerGuard项目中的应用。他不仅在美国能源部网络安全和技术创新会议上向来自学术界和工业界的众多专家介绍了这一算法，还为PLCHound未来的专利申请提供了支持。

助理教授Frank Li在PLCHound的开发中负责网络协议和设备识别方面的研究。他的工作确保了PLCHound能够精准地识别不同网络协议下的设备，从而为PLCHound的高效性提供了技术保障。

团队中的工程学院教授兼院长Raheem Beyah和研究科学家Animesh Chhotaray同样为PLCHound的成功作出了重要贡献。Beyah作为院长，负责团队的管理和资源调配，而Chhotaray则负责PLCHound的机器学习算法和数据处理模块的开发。

这支多元化的团队凭借其在网络安全、机器学习和工业控制系统等领域的深厚积累，不仅推动了PLCHound的成功开发，还为全球关键基础设施的安全性研究做出了重要贡献。

简评

随着工业4.0和物联网（IoT）技术的兴起，云化PLC、虚拟PLC纷纷涌现并投入应用，PLC产品的发展不仅增强了其传统的控制功能，还融入了数据分析、远程监控和智能决策等先进能力。然而，技术的演进同样带来了新的安全威胁。据安帝科技研究团队跟踪，发现了若干针对PLC的攻击技术，例如DM-PLC、Evil PLC和PLC的C2化，这些攻击技术的策略、目的、实现方式不尽相同。DM-PLC通过建立隐蔽监控网络并利用“死亡开关”机制对物理过程产生直接影响，而不是通过加密数据来实施勒索。Evil PLC则将PLC作为攻击跳板，攻击和入侵其他网络系统。PLC设备被用作C2服务器，已在现实中成为攻击案例。这些进展不仅对OT环境的安全构成严重威胁，还对物理世界的安全带来挑战。

PLCHound算法的开发和应用为全球关键基础设施的网络安全带来了全新的解决方案。它不仅能够有效识别和修补潜在的安全漏洞，还能够为未来的网络防御提供强有力的技术支持。在未来，随着该算法的进一步优化和推广，PLCHound有望成为保护全球关键基础设施免受网络攻击的重要支撑。

参考资源

‍1、https://industrialcyber.co/control-device-security/georgia-techs-cyber-physical-security-lab-develops-plchound-algorithm-to-boost-critical-infrastructure-security/

2、https://sites.gatech.edu/capcpsec/

https://ece.gatech.edu/news/2024/10/new-algorithm-identifies-increase-critical-infrastructure-security-vulnerabilities-0