勒索病毒威脅工控資安　輕量AI即時檢測動態預警

工業4.0（Industry 4.0）在製造層面上是一種新型態的生態鏈，這種新型態的生態鏈與過去的工業3.0在製造層面最大的不同，在於增加了整個營運流程的資訊互通性，資訊互通性包含了生產材料的庫存與規劃、財務、客戶關係、供應鏈管理等上中下游製造資訊的整合。在此生態鏈中，最重要的關鍵是虛實整合（Cyber-Physical System，CPS），虛實整合指的是工業4.0技術的製造環境中，可透過物聯網、雲端運算、大數據收集及分析與人工智慧（AI）來達成即時智慧製造的資料處理的能力。

然而，企業主在追求產業升級的同時，卻往往忽略了資訊安全的環節。過去的製造業，企業主管採用實體隔離為基本保護策略，機器只要能夠穩定運行就儘量不更新或延後更新，若加上物聯網系統組合成的智慧製造，將使得內部系統充滿漏洞，風險極高。

近年來，網路上出現了新型態的加密勒索軟體（Ransomware），其威脅的方式是將檔案加密後，要求使用者付款以取得解除加密的金鑰，否則使用者將永遠無法開啟檔案或者被公開檔案。勒索軟體也隨著世代的演變，手法也越來越多元化。

從過去的案例中發現，對散播勒索病毒的駭客而言，智慧工廠是一個非常誘人的目標。首先，因為大部分的自動化或智慧製造的工廠系統都有相同之處，因此容易做複製攻擊。另外，因為智慧工廠本身是營利的，所以當工廠運作停擺時，對企業主而言，每天都遭受很大的損失。因此，一般而言企業主都會儘快交付贖金以讓工廠繼續正常運作。對攻擊者而言，勒索病毒還可以複製來對付不同的工廠，因此對智慧製造的工廠影響甚鉅。

相關背景知識介紹

工業4.0（Industry 4.0）一詞，意思是「第四次工業革命」。最早在2011年世界上規模最大的工業技術博覽會「德國漢諾威工業博覽會」（Hannover Messe）被提出。2012年由德國國家科學與工程院院長（Henning Kagermann）和全球最大汽車零件廠Robert Bosch GmbH為代表，組成工業4.0工作小組，並於2013年的漢諾威工業博覽會提出報告。2013年德國聯邦政府已將工業4.0納入「高科技戰略2020行動計畫（High-Tech Strategy 2020 Action Plan）」的十大未來計畫。將投資2億歐元，讓德國持續在全球的製造方面保有優勢。工業4.0的名詞在全世界持續被熱烈搜尋與討論，工業4.0的時代儼然已經來臨。

綜觀工業歷史有三次工業革命，工業1.0（第一次工業革命，18世紀至19世紀中期）時，使用蒸氣為動力，讓工廠開始以機械代替勞力；工業2.0（第二次工業革命，19世紀後半期至20世紀初）時，以電氣為主要動力用於大量生產；工業3.0（第三次工業革命，20世紀後半期）時，以電腦協助人力製造，進入數位控制時代，讓工業製造自動化。

如圖1所示，而工業4.0可能帶來的第四次工業革命，則是以智慧網實系統（Cyber-Physical System，簡稱CPS）為核心，以智慧製造為革命重點，透過工業物聯網互聯的溝通，達成資料的交換與統整，並透過雲端與大數據的分析，進而控制與改善實體工廠生產過程。工業4.0的實現可能需要10至20年的時間，即使如此，工業4.0的發展仍是世界趨勢。

工業4.0對製造業層面而言是一種新型態的生態系統，此生態系統和過去的工業3.0增加了整個營運流程的互連互通性，亦包括生產材料的庫存與規劃、財務、客戶關係、供應鏈管理，以及製造執行。而這個生態系統中虛實整合是非常關鍵的，虛實整合指的是工業4.0技術的製造環境中，能透過物聯網、雲端運算、大數據收集及分析、人工智慧、即時資料處理的能力，並希望未來能達成整體的網路與資訊安全，如圖2所示。接著，將個別關鍵技術說明如下：

物聯網（IoT）

物聯網是一種相互網路連線運算裝置系統，通常這些運算裝置具備唯一辨識碼（UID），並可以透過無線網路、RFID辨識技術、紅外線感應、定位系統等技術，連結所有物品，讓彼此之間訊息能夠交流，無須人與人、或是人與設備的互動。物聯網將現實世界數位化，讓彼此之間訊息能夠交流，建立智慧識別、定位管理的工作系統，應用範圍十分廣泛。

雲端運算

雲端運算是一種基於網際網路的運算方式，可以隨時隨地配置運算、網路與儲存資源，並能夠以最低成本管理、使用共享的軟硬體資源和資訊，可以按需求提供給電腦各種終端和其他裝置，使用服務商提供的電腦基建做運算和資源。雲端運算是指使用寄存在網際網路上、彼此互相連線之遠端伺服器來儲存、管理及處理資料的做法。大致可分為公共雲、私有雲、混合雲三類。

大數據

隨著科技發展，數據資料量呈現爆炸性成長，電腦的處理能力也遠超過人類所及，因此大數據成為產業發展的顯學。大數據是指可以編譯、儲存、整理及分析，以揭示模式、趨勢、關聯及機遇的大組數據，不論其是否有所架構。進入數位化時代，人的一舉一動都會留下數據，因此從數據中可以窺見人類行為模式，從中找出市場需求，成為企業未來提高競爭力、創新力與盈餘的關鍵。

人工智慧（AI）

人工智慧主要是在研究如何使用電腦的功能來做一些本來必須由人類執行才能完成的工作，以及如何使電腦能做一些目前人類做得較好的事。簡單地說，就是藉由電腦來執行人類智慧的過程，機器在經過程式設計之後具備聰明特性，能表現出與人類類似的智慧，將人類對各種問題及事物（例如人類的思考、判斷、推理、解決問題、計畫及決策等過程）分解成一連串的基本步驟，利用程式設計的方法，將過程公式化，讓電腦具有結構化的方法，並透用此方法來解決或處理各種更複雜的問題。

即時資料的處理

即時資料處理是指電腦系統和機器要在一個固定時間內做出正確反應，以及對時序及穩定度的要求十分嚴格，它會按照排序執行、管理系統資源，並為開發應用程式提供一致的基礎。硬即時作業系統首要標的不是大量的資料輸出，而是保證給定的任務或工作必須在特定時間內完成，例如要達到硬即時性能的要求，其反應時間必須要在150微秒（μs）以內。而在工業4.0的要求中，包括即時的提供資料及分析處理資料的能力。

工業控制系統安全

由於製造業儀器設備環境很少現代化、具備獨特的生產網路以及鮮少更新且缺乏防護能力的通訊協定，加上工廠採用越來越多的工業物聯網（Industrial Internet of Things，IIoT）設備和系統，這反而增加了工業控制系統與工業基礎架構駭客入侵關鍵流程的威脅。

然而，智慧工廠或智慧製造的企業主管以往採用的實體隔離為基本保護策略，對於機器只要穩定運行就儘量不更新或延後更新，使得內部系統充滿漏洞，風險極高。若要停機來執行安全更新相當困難，也可能會因此耗費許多成本。使得設備對於資安的防禦能力明顯不足，無法偵測與處理惡意攻擊，而這些原因都因工業物聯網的普及而讓各式工業物連網感測器與設備成為駭客首要的攻擊目標。

勒索軟體簡介

勒索軟體（Ransomware）的歷史已超過十年，一開始的勒索軟體僅限於瀏覽器綁架、系統核心功能鎖定或是螢幕鎖定。隨後強制導引用戶到付款介面，並威脅若不付款則毀壞系統。而近年來網路上出現了新型態的加密勒索軟體，其方式並非鎖定系統或瀏覽器，而是將檔案加密後，威脅使用者付款以取得解除加密的金鑰，而勒索病毒的主要特徵是當受害者的工廠設備不幸植入勒索病毒後，設備上重要的參數或檔案將會被加密（Encrypt）或限制存取作業系統控制權，並在受害者顯示設備上出現勒索訊息，告知受害者必須支付一定的贖金才能拿到解密金鑰（Decrypt Key），否則使用者將永遠無法開啟檔案或會被公開檔案。

目前常見的勒索軟體種類大致有CryptoLocker、CryptoWall、WannaCrypt、Petya等等。以下使用CryptoLocker的勒索流程圖來做介紹，如圖3所示。隨著世代的演變，勒索軟體不斷地改進更新，手法也是越來越多元化。

勒索病毒常見傳播途徑

圖4所示為簡單的工廠構造，最下層通常會綁著各種感測器（Sensor），連接著可程式邏輯控制（PLC），勒索惡意軟體比較可能有兩種方法來傳遞。

第一種是經由網路傳下來，也就是從交換器（Switch）層之上把病毒帶到圖4中的下層，便有極大的可能導致PLC、Sensors被勒索，或衍生出對工廠有更嚴重的後果，例如機器被停掉、各個行程中出現差錯。

另一種則相反過來，不一定需要網路就可以將惡意病毒傳播在該網域中，即使使用的是內網，並沒有與外部網路連結，還是有可能讓惡意軟體入侵。其中，USB就是一個讓惡意程式或病毒方便傳輸資料的方式，網路上也有不少企業發生這種類似的案例，Host端感染病毒，藉由工廠內部人員傳送資料夾帶在其中，往上傳播並沒有接到外部網路。以上兩種為常見的勒索病毒肆虐的途徑。

若是從網路上將病毒傳進來，可以在交換器再拉一個集線器（Hub）出來，該集線器收集著網路封包的資訊及日誌，將其連上病毒資料庫，就可以簡單初步判斷出有問題的封包，當然這是大部分情況，病毒百百種，防不勝防。事實上，與其留意病毒在網路上傳播，更應該注意人為上的疏失，大多數的病毒傳播都是因為人們的惰性、方便，或是沒有跟著SOP流程而出了一些程序上的錯誤，導致問題的發生。

以下是上面提到的第二種傳播途徑，從Host端如何意識到病毒的存在。虛實整合系統（CPS）和工業控制系統（ICS）的網路安全變得越來越重要。儘管一般電腦和網路安全方法適用於CPS，但不一定適合工業控制的系統。因此，這裡提出一種使用簡易的量測硬體效能計數器（Hardware Performance Counters，HPC）方式來檢測是否系統遭受到攻擊。

硬體效能計數器（HPC）是可以嵌入到幾乎所有處理器（包括Intel、ARM以及PowerPC）中的專用暫存器，並且對硬體執行的事件進行計數，例如完全失效指令數、採用的分支數以及處理器上運行的應用程序之其他低級處理器事件。HPC無須修改源程式即可提供軟體的完整效能資料。可用的特定HPC取決於特定的處理器體系結構。HPC測量可以是在連續的HPC測量之間的時間間隔內累積。HPC測量的時間序列提供了正在執行的程式之時間概況。對於給定的已知嵌入式設備，HPC時間序列可在嵌入式處理器運行預期程式時表徵其在程式上的時間特性。

因此，透過硬體效能計數器的模組能力，本文主要是介紹一種輕量級方法，該方法使用即時HPC測量的機器學習分類來檢測異常。雖然此實現了透過嵌入式設備上的軟體考慮HPC測量，但HPC測量也可以中繼到數字輸出上，並進行遠端收集，這可以透過設備上的內部核心模組或專用硬體介面來完成。這項研究的目的之一是證明基於HPC的實時嵌入式過程監控的有效性，並為下一代處理器中的連續HPC監控提供支援。藉由本文概述與相關的演算法預測出受到勒索病毒所造成的效能影響的區間，與ICS系統穩定運作的效能消耗相比較，即可看出是否正在遭受危害。此外，由於測量機制基於硬體效能計數器，因此HPC的資料收集在計算消耗方面非常輕量，即使在小型嵌入式設備上也可以實施基於HPC的監視，而不會影響即時性能。

未來發展

由人工智慧和機器學習將驅動下一代網路分析，有望徹底改變過去的網路基礎架構管理模型，降低成本並提供新的分析與見解。然而，人工智慧的瓶頸是分析正確的資料才能應用於解決適當的問題，也必須確保提供足夠的資料數量，以及正確的機器學習算法來訓練其人工智慧系統，方能達到承諾的收益。

然而，在使用人工智慧判斷網路與系統的初期，難免會一些誤報或漏報，因此後續仍有IT專業人員的輔助處理或是有多層次的分析系統來查明是否遭受攻擊，才能達成較完整的防禦。但隨著人工智慧與深度學習技術到來，人工智慧與深度學習將很快能夠更高效率與更動態地運作在更多智慧工廠的防護與惡意軟體的攔截上。

結語

在本文中，透過輕量化且即時的人工智慧演算法將蒐集來的資料做分析以辨識出勒索病毒運作中造成硬體效能消耗的資料趨勢，藉此判斷當硬體效能消耗是否為勒索病毒的運算型態，以確認工業作業系統是否已遭受感染。然而，本文的作法是輕量化且即時的病毒或惡意軟體的檢測方式，較適合部署在目前的工廠設備與機邊電腦上，仍需要更完整的檢測機制，因此建議工廠營運者除了要重視資安的威脅外，也須建立更完整的資安防護與員工的資安教育訓練，以解決工廠內資訊系統遭受惡意程式或勒索病毒的威脅。

＜本文作者：社團法人台灣E化資安分析管理協會（ESAM, https://www.esam.io/）淡江大學5G通訊與網路安全實驗室創立於2019年，主持人為資訊工程學系副教授張世豪，實驗室的主力研究領域包含資訊與網路安全、物聯網、人工智慧與智慧工廠的等領域。＞