基于異構條件的NIDS網絡安全技術研究

李 健，陳 為

(中國食品藥品檢定研究院信息中心,北京 100050)

基于異構條件的NIDS網絡安全技術研究

李 健，陳 為

(中國食品藥品檢定研究院信息中心,北京 100050)

異構條件下構建工業可信安全環境，需要對網絡入侵檢測系統(NIDS)進行全方位研究。在異構條件下構建信息行業可信安全環境的研究主要從網絡的結構安全、通訊網絡、區域邊界和安全區域四個方面展開。為此，從抗網絡攻擊的需求出發，在分析六種工業信息安全技術并詳細研究可信網絡關于藥品領域工業總線入侵檢測系統的基礎上，針對數據采集與監視控制(SCADA)系統信息安全，提出了一種基于嵌入式麒麟Linux操作系統的防護模型。該模型綜合使用網絡通信、防火墻iptables、入侵檢測Ssnort以及加密算法等技術，設計并實現了一套服務于分布式控制系統(DCS)工業設備的安全防御平臺。基于Matlab軟件的Simulink進行了數據安全傳輸機制的設計和仿真驗證，NIDS順利通過了試驗測試。實驗結果表明，所提出的模型有效可行，所構建平臺采用的技術具有較高的有效性和可靠性。

異構條件；網絡入侵檢測系統；可信網絡安全；網格空間加密算法

0 引 言

現如今，異構條件下工業控制系統廣泛地應用在核心生產應用領域，已成為航空、高鐵、電力等交通行業，水處理、空氣凈化、地鐵等城市公用設施行業，以及食品和藥品等其他國家關鍵基礎設施的中樞神經和最強“大腦”。

以前在國內藥品及醫療器械生產領域中，自動化系統之間并沒有緊密的聯系，也沒連接到互聯網、辦公網等公共網絡。現在醫藥生產信息安全技術的研究正在進一步深化，隨著信息技術的發展，現代化藥品工業控制系統越來越依靠于商業IT和Internet領域的實時Linux操作系統，而且與同行業務管理信息系統等其他信息系統的連接也是越來越多，工業控制系統(ICS)受攻擊面和常見的固有漏洞日益增加。因此，在國內藥品及醫療器械領域，異構條件下的工業控制系統信息安全顯得越來越重要。

信息系統在網絡環境、應用環境和數據環境中的狀態是異構且復雜的。在如此復雜條件下，需要合理有效的管理方式和技術來保證網絡、應用、數據環境三個層面的安全性。為此，在全面剖析太極公司異構條件的基礎上，針對數據采集與監視控制(SCADA)系統的信息安全，提出了一種基于嵌入式麒麟Linux操作系統的防護模型，實現了網絡、應用和數據安全整合與交互的關鍵技術，包括基于行業異構特點的身份認證、訪問控制、內容安全、監控審計以及備份恢復等。

1 信息安全相關技術

1.1技術介紹

現如今，在國際范圍內應用較多的信息安全技術有以下幾種：

(1)防火墻防護技術。

眾所周知,防火墻相關防護技術是在食品藥品企業內部網絡與外部不安全的網絡之間設置隔離措施，中斷或阻止外界對內部資源的非法訪問，防止計算機病毒、各種破壞性木馬和網絡黑客的入侵[1]；同時防止內部對外部鏈接的不安全訪問或非法向外傳遞內部信息，也防止這類非法和惡意的網絡行為導致內部網絡運行遭到破壞。

防火墻目前應用的主要技術有：應用網關技術、包過濾技術和代理服務技術。有效的防火墻能夠對數據流進行監控、過濾、記錄和報告，很好地阻止黑客利用安全漏洞對內部網絡進行攻擊，當出現不符合安全策略的行為時，可以阻斷外部網絡與內部網絡的連接。

(2)網絡入侵檢測技術。

工業現代化階段,網絡入侵檢測是實時的、主動檢測的技術，它對計算機系統或網絡的非法入侵行為進行立即檢測并能夠即時響應。

通過加解密算法和加解密公鑰，密鑰保障了網絡中信息數據傳輸的機密性。通訊網絡需要進行端到端加密,從特定系統及通信數據定級、評估、設計、建設、測評的所有文件均用到了加密解密技術手段[2]。

非對稱密鑰加密需要兩個密鑰：私有密鑰(private-key)和公開密鑰(public-key)。私有密鑰與公開密鑰是一對,這種算法主要包括ECC(橢圓曲線加密算法)、D-H、Rabin[3]。

加密算法之對稱密鑰在傳輸加密信息時就不用擔心偵聽。這樣，只有SCADA主機和遠端單元可以進行交流通信。流行的對稱密鑰加解密算法主要包括：IDEA、3DES、DES、BLOWFISH、FEAL等[4]。

1.2ICS安全防護目標

工業控制系統信息安全是一項持久的任務，從網絡的結構安全、通訊網絡、區域邊界和安全區域等幾個方面展開。對網絡、應用、數據實現安全整合、交互的關鍵技術，其中基于行業異構特點的身份認證、訪問控制、內容安全、監控審計以及備份恢復是網絡、應用、數據環境的關鍵技術[5]。

在此基礎上，從數據安全和管理安全兩個維度討論了工業控制系統安全防護技術的設計原則，給出了區域劃分、終端防護、通信管控、安全設備選擇、安全操作策略和流程，如圖1所示。

圖1 ICS安全防護方案設計流程

為最大程度地確保異構條件下食品藥品檢定系統的安全，需用實施具體且有理論支撐的防衛措施。身份鑒別是技術體系的前提保障，訪問控制是用來實施對資源訪問加以限制的策略和機制，這種策略把對資源的訪問只限于那些被授權用戶，內容安全是指各個層面使用不同的安全技術來確保數據的機密性與完整性，對信息資產和網絡資源狀態和信息安全狀況的監控審計;備份是對數據進行可用性的有效保護，當數據被破壞時能夠快速恢復[6]。

2 基于防火墻的網絡安全研究

2.1防火墻iptables技術設計

在麒麟Linux系統下，防火墻最廣泛的實現方法之一就是使用Linux系統下自帶的防火墻管理程序iptables。

iptables是用戶與防火墻之間的接口，最大程度上起到防火墻作用的是運行在Linux內核中的netfilter。如圖2所示，麒麟Linux平臺的packet過濾防火墻包括iptables和netfilter兩個組件[7]。

2.2輸入供電設計

針對IPv4協議，netfilter定義了五個hook點[8]，如表1所示。

圖2 Linux包過濾防火墻的基本結構圖

hook調用時機NF_IP_PRE_ROUTING在完整性校驗之后,選路確定之前NF_IP_LOCAL_IN在選路確定之后,且數據包的目的是本地主機NF_IP_FORWARD目的地是其他主機的數據包NF_IP_LOCAL_OUT來自本地計算機進程的DataPacket在其離開本地計算機主機的過程中NF_IP_POST_ROUTING在DataPacket離開本地計算機主機“上線”之前

3 Ssnort技術

Ssnort是一個單線程應用程序，具有四種運行模式：Packet Logger、IPS、Sniffer和NIDS。主要針對Ssnort的NIDS運行模式進行了研究。

3.1Ssnort整體框架

NIDS模式下的Ssnort是一個輕量級的入侵檢測系統，采用模塊化的編程架構[9-10]。

NIDS模式下，Ssnort是一個基于模式匹配的網絡入侵檢測系統。模式匹配的網絡入侵檢測工作流程見圖3。

圖3 模式匹配的網絡入侵檢測工作流程

Ssnort除了圖3中最基本的操作步驟外，還包括以下幾個步驟：

1)檢測系統的初始化，含如下兩方面：

(1)在初始化運行階段，分析初始化配置文件、設置一些標志變量等。

(2)Linux下的工具大多是基于命令行，Ssnort也不例外，所以需要食品藥品方面用戶輸入命令參數進行解析。

2)初始化規則檢測引擎。

若要進行入侵檢測規則的匹配，則需要把規則從文件讀取到系統的內存中，并規則地進行合理分類。

3)構建入侵檢測規則的快速匹配引擎。

快速匹配這一概念是從2.0版本的Ssnort開始出現的，其目的是為了縮短規則匹配所用時間，將規則按一定方式進行二次分類，提高了Ssnort的檢測效率[11]。

4)預處理引擎。

網絡通信中有某些非常規的數據包,首先要對數據包完成特殊處理才能進行匹配，若非這樣，它將繞過Ssnort的入侵檢測，如分片包就要先進行重組。在Ssnort檢測中，此類的工作被定義為預處理，調用數據包要在進入檢測引擎之前。

5)截獲接口，打開數據包。

Ssnort中截獲數據包，使用的是libpcap庫[12]。進行數據包截獲之前，Ssnort程序會先設置查找網卡，然后設置過濾條件等工作。

綜上，Ssnort會依次執行相應操作，在Ssnort成功啟動后，進行的四個操作是截獲數據包、數據包預處理、規則匹配和日志輸出，它會一直循環上面的這四個操作。

3.2Ssnort規則編寫

所有的Ssnort規則的基本結構都有邏輯組成兩個成分：規則體和規則頭。

規則頭表明該條規則所做行為動作的相關信息，以及一些與數據包所對比的條件。規則體通常包含一個警告消息以及被用于產生該消息的數據包部分。一條Ssnort規則可用于檢測一個或多個類型的入侵行為，一個好的規則可以同時檢測多種入侵特征[13]。

地址部分用于指明匹配的源或目的地址。該地址可以是一個主機，多個主機的地址或者一個網絡地址。需要注意的是，在規則中有兩個地址段，源或目的地址的區別依賴于方向段。

對規則文件進行處理時，Ssnort采用三維鏈表來存儲規則信息。三維鏈表一旦構建好，就通過查找三維鏈表與數據包進行匹配并及時響應。Ssnort對數據包進行匹配后，需要將結果進行輸出。

3.3Ssnort輸出插件

為了能夠實現入侵檢測Ssnort和防火墻iptables之間的聯動，對Ssnort的輸出機制進行了一定的研究。Ssnort的輸出結果主要有日志和警報兩種，而輸出插件使得Ssnort在輸出形式上更加多樣化，其會在調用Ssnort的報警或記錄子系統時被調用。

當Ssnort配置文件中指定了多個輸出插件時，在默認情況下通過使用-l命令行參數輸出到用戶指定的目錄文件中或把數據包發送到/var/log/Ssnort文件[14]。

4 加密技術

為了防止網絡攻擊者對傳輸數據進行竊聽，需要對傳輸數據進行加密操作。而加密操作涉及到的一個重要問題，就是加密密鑰的管理分配問題。

在對稱加密算法中，加解密這兩個過程使用相同的密鑰。而為了有效地確保數據的安全性，加解密所使用的密鑰應該定時或不定時更新。針對對稱加密算法中密鑰的更新問題，許多學者使用非對稱加解密算法來對重置后的密鑰進行管理。非對稱加解密算法使用一對密鑰：共有密鑰和私有密鑰。使用食品藥品私有密鑰進行加密，則只有針對性的共有密鑰才能進行解密；相應地，使用共有密鑰進行加密，只有使用私有密鑰才能進行解密。

非對稱加密算法可以有效地解決密鑰的分配管理問題，這一結論是基于攻擊在知道非對稱加密算法的公有密鑰的前提下，依然無法破解其私有密鑰這一前提上的。然而，隨著計算機系統計算能力的日漸增強，私有密鑰面臨著被暴力破解的危機。針對對密碼攻擊的情形，一種途徑是提高密鑰的長度，使破解密鑰的代價遠大于攻擊所獲取的利益；另一種途徑則是選用其他方法來解決密鑰的分配管理問題。

為了有效地解決加密操作中的密鑰分配管理問題，采用第二種途徑，提出了一種與事件同步的動態密鑰生成機制。

為了彌補協議上安全控制的缺失，提出了一種數據安全傳輸機制(Data Security Transmission Mechanism，DSTM)。該機制由兩部分組成：安全發送單元和安全接收單元[15]。

5 實驗結果

在藥品行業異構條件下構建工業可信安全平臺，需要進行入侵檢測實驗來驗證，步驟如下：

(1)將DCS設備、通信代理嵌入式裝置和程序連接上；

(2)在嵌入式安全裝置上，創建Ssnort的警報輸出文件和聯動程序的日志文件，使用命令“touch /var/log/Ssnort/alert”和“touch /var/log/Ssnort/guardian.pl”；

(3)使用命令“/usr/lcoal/arm/Ssnort/bin/Ssnort -c /usr/local/Ssnort.conf -i eth1 -D”后臺運行Ssnort，對與用戶端相連接的網口eth1進行監測。防火墻的初始規則設置完成，默認規則為拒絕所有的外部用戶的訪問，利用白名單允許用戶網中的一部分已授權的IP地址的訪問連接。

切換到聯動程序所在的文件目錄下，使用指令“guardian.conf”啟動聯動程序，網絡用戶程序的顯示圖顯示應用合格。

由以上步驟得出，實驗結果合格，實驗有效地達到了研究的目的。

6 結束語

基于嵌入式麒麟Linux的硬件平臺，綜合利用網絡通信技術、多進程技術、TCP/UDP通信技術等，實現了針對藥品和醫療器械DCS現場工業設備的通信代理模塊，并結合ICS及SCADA系統的特點，將防火墻、入侵檢測規則部署于該醫藥硬件平臺，提出并實現了一個針對SCADA系統的安全防御系統。在嵌入式Linux硬件平臺上利用防火墻加解密模塊對通信代理模塊與網絡用戶之間的通信數據進行了安全保護，完成了驗證實驗。融合了多種入侵檢測技術，設計實現了一個針對藥品DCS工業設備的SCADA系統的安全防御平臺。通過實驗的合格結果證明了NIDS方法的有效性，目前此技術在世界范圍內仍進行著更深層次的拓展研究。

[1] 張曉倩,宋曉茹,曹建建.基于CAN總線的網絡控制系統的仿真研究[J].計算機技術與發展,2016,26(7):192-195.

[2] 鄧萍麗,朱斌紅,唐春燕,等.信息安全威脅及安全防范策略綜述[J].電子產品可靠性與環境試驗,2014,32(2):60-64.

[3] 黃偉峰.基于神經網絡的入侵檢測系統研究與實現[D].貴陽:貴州大學,2008.

[4] 王斯梁,尹一樺.工業控制系統安全防護技術研究[J].通信技術,2014,47(2):205-209.

[5] 馬振陽.計算機網絡安全[M].北京：科學出版社,2011.

[6] 唐春林.電子商務與電子政務中的數字證書[J].長沙通信職業技術學院學報,2006,5(4):38-41.

[7] 陳 潔.E-book中DRM技術的構成和實現[J].圖書館學研究,2004(8):45-47.

[8] 張 雷,陳 康,張在飛.20路多種類串口卡的設計與實現[J].計算機與現代化,2013(8):187-191.

[9] Zhang L，Xie L，Li W,et al.A secure mechanism for networked control systems based on TrueTime[C]//International conference on cyberspace technology.[s.l.]:[s.n.],2013:44-49.

[10] 李早水.電子支付系統的安全問題分析及對策研究[J].信息與電腦:理論版,2011(1):3-4.

[11] 張 雷.加固計算機肋片散熱器的優化設計[J].計算機與現代化,2014(6):120-123.

[12] 陳 光．基于Agent的分布式入侵檢測系統的研究與設計[D]．長春：吉林大學，2007．

[13] 王紅梅,劉 永.DES方法與數字信息資源安全控制[J].情報科學,2005,23(4):544-549.

[14] Li W,Xie L,Deng Z,et al.False sequential logic attack on SCADA system and its physical impact analysis[J].Computers & Security,2016,58(C):149-159.

[15] Li W,Xie L,Liu D,et al.False logic attacks on SCADA control system[C]//Services computing conference.[s.l.]:IEEE,2014:136-140.

Investigation on Network Security Technology of NIDS Based on Heterogeneous Conditions

LI Jian，CHEN Wei

(Information Center of National Institutes for Food and Drug Control,Beijing 100050,China)

To build an industrial trusted security environment under heterogeneous conditions,it is necessary to study the Network Intrusion Detection System (NIDS) of all dimensions.The investigations on information industry credible security conditions in heterogeneous environments are composed of four respects,including structural safety,communication network,area boundary and security zone.In view of requirements on network anti-attack,on the basis of analyzing six kinds of industrial information security techniques and investigation on the trusted network intrusion detection system in medicine field,a protection model,running on embedded-Qilin Linux operating system,is proposed for the information security of SCADA.It adopts a lot of technologies like network communication and firewall,intrusion detection and encryption algorithms.A set of security defense platform for the Distributed Control System (DCS) industrial equipment is implemented.The design of data security transmission mechanism and its simulations for verification have been conducted with Simulink in Matlab,through which NIDS goes for qualification.The results of simulation show that it is effective and feasible and that the techniques adopted in the established platform owns high validity and reliability.

heterogeneous conditions;NIDS;trusted network security;cyber encryption algorithm

2016-10-30

：2017-01-31 < class="emphasis_bold">網絡出版時間

時間：2017-07-05

國家自然科學基金資助項目(61180511)

李 健(1972-)，男，碩士，高級工程師，研究方向為實驗室信息化和信息安全。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170705.1653.088.html

TP309

:A

:1673-629X(2017)09-0106-04

10.3969/j.issn.1673-629X.2017.09.023