基于控制理論的工業控制系統入侵防御方法*

孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學 國防工程學院,江蘇 南京 210007)

基于控制理論的工業控制系統入侵防御方法*

孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學 國防工程學院,江蘇 南京 210007)

工業控制系統隨時都面臨遭到攻擊的風險，為了保障其安全可靠的運行，文章在前人提出的入侵防御系統的基礎上做出了改進，簡化了原本的防御邏輯流程，提高了入侵防御的效率，并以時間為自適應目標，突出了時間在工業控制系統中的重要性，提出了一種基于控制理論的工業控制系統入侵防御方法。然后用UPPAAL對其建模，分別驗證了其安全性、可達性、活性，充分證明了該基于控制理論的工業控制網絡入侵防御系統是高效可行的。

控制理論；入侵防御

0 引言

工業控制系統(Industrial Control System,ICS)被廣泛應用在國家關鍵基礎設施中,是石化、冶金、交通等有效運行的重要環節[1]。隨著計算機網絡技術與ICS的深度融合,使得原本相對孤立封閉的工業控制系統變得越來越開放,面臨日趨嚴重的信息安全問題[2]。為此人們開發出了許多針對具體安全問題的安全技術和系統。防火墻和入侵檢測是其中兩種主要的網絡安全技術[3]。但這兩者都存在著各自的缺陷，不能很好地解決目前面臨的網絡安全問題[4-5]。在此背景下，人們提出入侵防御系統(Intrusion Prevention System，IPS)的解決方案[6-7]。

IPS是一種主動的、智能的入侵檢測、防范、阻止系統,其設計旨在預先對入侵活動和攻擊性行為進行攔截,避免其造成任何損失,而不是簡單地在惡意行為傳送時或傳送后才發出警報。簡單地理解,可認為IPS就是防火墻和入侵檢測系統的組合[8-10]。入侵防御系統同時具備防火墻和入侵檢測系統(Intrusion Detection System，IDS)的功能。

在工業控制系統網絡的入侵防御系統中，構建自適應結構模型是一個重要的研究方向[11]。實現基于自適應的網絡入侵防御系統，在能夠防御入侵的同時還擁有自適應的能力，這樣才能有效地提高入侵防御系統的性能[12]。本文結合控制理論和軟件自適應的知識，提出了基于控制理論的工業控制網絡入侵防御方法。

1 入侵防御系統

入侵防御系統是最近幾年產生的一種安全產品，它是隨著網絡的高速發展而產生的。IPS 是在入侵檢測系統的基礎之上發展起來的，它不僅具有入侵檢測系統檢測攻擊行為的能力，而且具有防火墻攔截攻擊并且阻斷攻擊的功能，但是 IPS 并不是 IDS 的功能與防火墻功能的簡單組合，IPS 在攻擊響應上采取的是主動、全面、深層次的防御[13]。

入侵防御系統是當今網絡安全領域中最常用的網絡安全防護產品，它的主要功能在于檢測與防御，但是入侵防御系統又不同于入侵檢測系統，它會在檢測到攻擊后采取各種響應方式來進行防御；防火墻可以通過多種途徑阻斷攻擊，包括丟棄數據包、阻斷連接、發送 ICMP 不可達數據包等，但是防火墻無法檢測到攻擊，它只能被動地通過用戶配置規則來實現防御。入侵防御系統同時兼有入侵檢測系統和防火墻的功能，可以說，入侵防御系統是入侵檢測系統與防火墻發展的產物[14]。

與 IDS 及防火墻相比，IPS 有其自身的特點，其主要優點有：(1) 積極主動防御攻擊：IPS 兼有 IDS 檢測攻擊的能力和防火墻防御攻擊的能力，但是 IPS 又不是 IDS 與防火墻聯動的組合，IPS 防御攻擊是主動的，并且提供了各種防御手段和措施。(2) 防御層次深靈活性強：IPS 提供了多種防御手段，具有強有力的實時阻斷功能，能夠提前檢測出已知攻擊與未知攻擊，并對網絡攻擊流量和網絡入侵活動進行攔截。入侵防御系統一般重新構建協議棧，通過重組還原出隱藏在多個數據包中的攻擊特征，并能夠深入多個數據包的內容中挖掘攻擊行為，從而檢測出深層次的攻擊[15-16]。

目前大部分入侵防御系統的功能和模塊比較多，在不同的環境下，有些功能模塊是不需要的，但一款IPS 在投入使用時并不能根據具體環境來安裝或是刪除某個模塊，導致系統龐大而復雜。此外，大部分入侵防御系統自適應性較差，大多數產品都聚焦在自適應學習上[17]，而忽略了時間的重要性。針對此兩點不足，本文提出了基于控制理論的工業控制網絡入侵防御系統。該系統以簡單有效的閉環控制理論為基礎，結合自適應的相關知識，以時間作為自適應目標，這使得系統相對簡潔，運行邏輯清晰，突出了時間這一關鍵因素。

2 基于控制理論的入侵防御系統建模與形式化驗證

首先結合控制理論的知識設計出總體架構，然后用UPPAAL建立各模塊的模型，各模塊通過收發消息鏈接起來，組成一個統一的系統。本文以時間作為自適應目標，采用了計時反饋機制。從執行器接到執行命令開始計時，要求在規定的時間內處理完問題，若反饋時間超過規定的毫秒數，則立即報警通知工作人員進行處理，這種方法能很好地保持系統的高效穩定運行程度。

2.1 總體架構

圖1 總體框架圖

該系統以 “感知-規劃-動作”的控制理論為總體框架，融入基于“感知-決策-調整”的軟件自適應的相關知識[18]，采用控制理論框架和軟件自適應的內容來研究入侵檢測系統，稱為IPSC(Intrusion Prevention System based Control Theory )。總體框架和模型如圖1、圖2所示。

圖2 總體模型

2.2 感知器

感知器主要是探測存在安全威脅信息的模塊，起著安全風險感知的作用。其核心技術是如何能全面、快速地獲取數據信息。根據目前工業控制系統數據量大、保密要求高等特點，本文結合網絡數據、主機審計記錄和應用程序日志這三條途徑獲取信息來設計該模塊。感知器的框架和模型如圖3、圖4所示。

圖3 感知器框架

圖4 感知器模型

2.3 控制器模塊

控制器主要是對感知器探測到的數據進行整理與分類，判斷出正常行為和入侵行為，起到安全防御決策分析的作用。根據工業控制系統的特點和各種分類算法的優缺點，發現樸素貝葉斯分類算法比較適合該系統，因此該模塊利用改進的樸素貝葉斯分類算法做為分類器，以此提高其檢測的準確性與高效性。控制器的框架和模型如圖5、圖6所示。

圖5 控制器框架

圖6 控制器模型

2.4 執行器模塊

執行器主要是根據控制器的分析結果，做出相應的處理措施，起到執行安全防御控制措施的作用。針對復雜的工業控制系統，本文提出一系列簡單、高效的措施，以此提高處理問題的效率。執行器的框架和模型如圖7、圖8所示。

圖7 執行器框架

圖8 執行器模型

2.5 形式化驗證

首先在UPPAAL的模擬器中模擬各個模塊的交互情況，并在得到的巡檢時序圖和消息控制序列圖中，詳細地顯示了各個模塊之間的交互情況以及每個模塊內部的運行情況。在模擬Trace列表中，奇數行表示各個模塊內部狀態的變化情況，偶數行表示各模塊之間的通信情況。在消息控制序列圖中，第一列記錄了Totalframework的狀態，第二列記錄了Sensor的狀態,第三列記錄了Controller的狀態，第四列記錄了Actuator的狀態。消息控制序列以圖文的形式表示出各模塊的運行及交互情況，縱向表示每個模塊的運行狀況，橫向表示各模塊相互之間的通信情況以及在同一時間每個模塊的運行狀態。這對于分析入侵防御系統起到了較大的輔助作用。

系統的模擬運行不具有一般性與全面性，不能完全保證系統的可靠運行，因此還需要用 UPPAAL 提供的驗證器對系統的安全性、可達性和活性進行驗證[19]。安全性表示整個入侵防御系統不期望發生的事件永不發生；可達性表示在入侵防御系統中，存在從初始狀態到期望到達的某個狀態的一條運行軌跡；活性表示系統期望的事件最終能發生。

(1)安全性驗證

A [] not deadlock，系統無死鎖。

(2)可達性驗證

E<>Sensor.Probe，在Sensor模塊中，Probe狀態可達，即感知器能啟動開始檢測的功能。

E<> Controller.Classifier，在Controller模塊中, Classifier狀態可達，即在控制模塊中的分類器能正常工作。

E<>Actuator. Lock，在Actuator模塊中，Lock狀態可達，即執行器能根據響應策略做出鎖定系統的處理措施。

(3)活性驗證

E<>TotalFramework. Sensor imply Sensor. Probe. TotalFramework模塊中感知器啟動，則Sensor模塊中檢測功能啟動，即如果入侵防御系統開始工作,則肯定會檢測系統中有沒有入侵行為。

E<> Controller. Classifier imply Actuator. Execution. Controller模塊分類器開始工作，則Actuator模塊會開始執行防御措施，即如果入侵防御系統中分類器開始對收集到的數據進行分類，那么執行器肯定會根據具體的分類執行相應的防御措施。

在UPPAAL的驗證器中對以上性質逐個進行驗證，實驗表明所有性質均通過驗證，如圖9所示。通過對入侵防御系統模型形式化驗證,證明了該系統的正確性與可靠性,該系統滿足需求設定。

圖9 性質驗證結果

3 結束語

為了保證工業控制系統安全可靠的運行，需要構建有效的入侵防御系統。為適應日趨復雜的工業控制系統，入侵防御系統也需不斷提高效率。針對此狀況，本文設計出了基于控制理論的工業控制網絡入侵防御系統，該系統的主要特點是運行邏輯清晰、入侵防御效率高，把時間這一關鍵因素作為自適應目標，保證了被保護系統的時效性。本文用UPPAAL對入侵防御系統進行建模，并進行了形式化驗證，證明了該系統的可行性。

本文雖然在入侵防御的效率和自適應目標上做了改進，但設計的響應策略還不夠完善。另外面對日趨復雜的工業控制系統，研究多目標的自適應防御系統將是下一步的研究目標。

[1] 阮俊杰. 淺談入侵防護系統在供電局網絡安全建設中的應用[J]. 網絡安全技術與應用, 2016(2):48-49.

[2] 李匯云, 李璇, 張琦,等. 全生命周期工業控制系統信息安全防護分析及主要對策[J]. 自動化博覽, 2016，33(6)：74-77.

[3] 張然，錢德沛.防火墻與入侵檢測技術[J].計算機應用研究，2001，18(1)：4-7.

[4] 李紹暉, 劉紀偉. 一種面向工業控制系統的改進CUSUM入侵檢測方法[J]. 電子技術應用, 2015, 41(9):118-121.

[5] 葉振新.防火墻與入侵檢測系統聯動模型的研究[D].上海：上海交通大學,2008.

[6] SCHULTZ E. Intrusion prevention[J]. Computers and Security,2004,23(4):265-266.

[7] 盧娜.基于聯動的網絡入侵防御系統的設計與實現[D].武漢:武漢科技大學,2008.

[8] 劉偉, 李泉林, 芮力. 一種入侵防御系統性能分析方法[J]. 信息網絡安全, 2015(9):46-49.

[9] 康曉梅. 打造防火墻與IDS入侵檢測系統雙防護的安全網絡辦公模式[J]. 工程技術:全文版, 2016(5):284.

[10] 邵誠, 鐘梁高. 一種基于可信計算的工業控制系統信息安全解決方案[J]. 信息與控制, 2015, 44(5):628-633.

[11] 袁奇. 一種自適應入侵防御系統的研究和設計[D]. 無錫：江南大學, 2007.

[12] 青華平, 傅彥. 一個自適應網絡入侵檢測和防御系統的研究與實現[J]. 成都信息工程學院學報, 2005, 20(6):682-685.

[13] 彭釗.基于聯動的網絡入侵防御系統研究與實現[D].北京:北京郵電大學,2010.

[14] 孟范立. 網絡入侵檢測與防御系統設計與連接[J]. 技術與教育, 2016(1):20-23.

[15] 李艷. 軍隊級入侵防御系統中數據通信與監控技術研究[J]. 中外交流, 2016(10):27.

[16] 王嬋瓊, 高青. 入侵防御系統的實現與核心技術淺析[J]. 科技傳播, 2015(16):119,150.

[17] 邢亮. 基于自適應的網絡入侵防御系統的設計與實現[D]. 成都：電子科技大學, 2014.

[18] 楊啟亮, 馬曉星, 邢建春, 等. 軟件自適應:基于控制理論的方法[J]. 計算機學報, 2016，39(11)：2189-2215.

[19] BEHRMANN G, DAVID A, LARSEN K G. A tutorial on UPPAAL[J]. Proc. of the Formal Methods for the Design of Real-Time Systems, Springer-Verlag, 2004,3185:200-236.

孫 程(1990-)，男，碩士研究生，主要研究方向：軟件安全。

邢建春(1964-)，男，博士，教授，CCF高級會員,主要研究方向：復雜智能信息系統、信息物理融合系統。

楊啟亮(1975-)，男，博士，副教授，CCF高級會員,主要研究方向：自適應軟件、信息物理融合系統。

An intrusion prevention method in industrial control system based on control theory

Sun Cheng,Xing Jianchun,Yang Qiliang,Han Deshuai

(College of Defense Engineering, PLA University of Science and Technology, Nanjing 210007， China)

Industrial control system at the risk of attack at all times. In order to guarantee the system operation safety and reliably, we make improvements in intrusion prevention system on the basis of predecessor. We simplify the original prevention logical process and improve the efficiency of intrusion prevention. We take time as adaptive target and highlight the importance of time in industrial control system. We propose an intrusion prevention method for industrial control system based on control theory. Then we build the model with UPPAAL and verify the safety，accessibility and activity. This reflects the rationality of making time as adaptive object and makes full proof of the intrusion prevention method in industrial control system based on control theory is efficient and feasible.

control theory;intrusion prevention

江蘇省自然科學基金(BK20151451)

TP31

A

10.19358/j.issn.1674- 7720.2017.03.002

孫程,邢建春,楊啟亮，等.基于控制理論的工業控制系統入侵防御方法[J].微型機與應用，2017,36(3)：4-7,15.

2016-10-10)