工業控制系統IDS技術研究綜述

嚴益鑫　鄒春明

摘? ?要：工業控制系統（Industrial Control System，ICS）作為工業大腦，與互聯網連接的趨勢越來越明顯，但是開放的同時也暴露出嚴重的脆弱性問題。入侵檢測作為重要的安全防御措施，能及時發現可能或潛在的入侵行為。論文從ICS網絡安全現狀及國家法律政策入手，首先介紹了ICS系統架構及其特點，給出了IDS入侵檢測系統（Intrusion Detection System，IDS）的介紹，其次從誤用入侵檢測、異常入侵檢測兩個方面，對現有的ICS IDS的技術、算法的研究現狀進行分析，最后針對當前ICS IDS的發展與應用現狀，對整個ICS IDS的研究趨勢進行了展望。

關鍵詞：工業控制系統;入侵檢測系統;誤用入侵檢測;異常入侵檢測

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

An overview of intrusion detection systems in industrial control system

Yan Yixin， Zou Chunming

（The Third Research Institute of Ministry of Public Security/Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： As an industrial brain， the industrial control system （ICS） has become more and more open on the Internet. Therefore， the network security of industrial control systems has received more and more attention from the state. This paper starts with the current situation and national legal policy of ICS network security. Firstly， it introduces the architecture and characteristics of ICS system. Secondly， according to the two aspects of misuse intrusion detection and abnormal intrusion detection， this paper analyzes the current research status of ICS IDS technology and algorithm. Finally， the current development and application status of ICS IDS and research trend have been prospected.

Key words： industrial control system; intrusion detection system; misuse of intrusion detection; abnormal intrusion detection

1 引言

隨著工業控制系統信息化發展的需求，工業控制系統日漸趨于形成了一個開放式的網絡環境。由于傳統工業控制系統是基于物理隔離的，主要關注系統的功能安全，缺乏對信息安全的考慮，缺少專門的安全防御措施[1]。

2010 年“震網（Stuxnet）”病毒的爆發讓世界明白工業控制系統已成為黑客的主要目標[2]，隨后“毒區”（DuQu）和“火焰”（Flame）病毒又相繼出現，與“震網”共同形成“網絡戰”攻擊群。2014 年，功能更為強大的Havex 以不同工業領域為目標進行攻擊，至2016年已發展到88個變種。2015 年底發生的烏克蘭大面積停電事件又一次為工控安全拉響警報。2017年5月發生的WannaCry勒索病毒全球大爆發事件，至少150個國家、30萬用戶受害，造成損失達80億美元，事件中受損的工控系統數量占總數的13.4%。2017年9月賽門鐵克宣稱，一年來美國、土耳其和瑞士的數百電網遭到大規模攻擊，掌握電網登錄憑證的黑客有可能具備制造斷電事件的能力。高頻率的工控安全事件引起了國家高度的重視。

國家發改委在2011年-2013年間發布信息安全專項指南時，均將工業控制安全保障列為重要研究方向[3，4]。2016 年，科技部將“工業控制系統深度安全技術”列入“網絡空間安全”重點專項計劃[5]。2017年12月，工業和信息化部正式印發了《工業控制系統信息安全行動計劃（2018-2020）》（以下簡稱《行動計劃》），旨在深入落實國家安全戰略，加快工控安全保障體系建設，促進工業信息安全產業發展。

入侵檢測作為一種主動的安全防護技術，通過對系統通信行為的實時監視、分析，以檢測出異常的攻擊行為操作，并在攻擊行為產生危害之前進行攔截、報警、系統恢復等操作[6]。針對工業控制系統入侵檢測的研究與應用，相關學者根據工控系統信息安全特點進行了大量的理論研究。本文對當前的工控入侵檢測研究進行總結、歸納與分析，首先介紹了工控系統結構與安全脆弱性問題，對入侵檢測技術在工控系統異常行為檢測中的應用進行分析，討論工控環境下異常行為檢測的關鍵問題，最后對工控系統入侵檢測研究進行展望，提出相關問題的研究發展方向。

2 ICS及IDS概述

當前的工業控制系統在具體部署時通常涉及幾種網絡：企業辦公網絡（簡稱辦公網絡）、過程控制與監控網絡（簡稱監控網絡）以及現場網絡[7]，ICS 拓撲結構如圖1 所示。

2.1 ICS架構

（1） 企業辦公網絡包括以企業資源計劃（ERP）[8]系統為代表的管理信息系統（MIS）以及制造執行系統（MES）。MIS集信息服務、決策支持于一體;MES負責生產管理和調度執行，實現對生產工藝的過程監視與控制。

（2） 監控網絡包括監控站、工程師站、OPC[9]服務器以及歷史/實時數據庫服務器等設備。該網絡的主要任務是監視底層現場網絡的行為，并負責企業網絡與現場網絡之間信息的傳遞和存儲。

（3） 現場網絡包括可編程邏輯控制器（PLC）、可編程自動化控制器（PAC）、遠程終端單元（RTU）等現場設備。該網絡負責感知工業過程的現場信息，并根據實時性要求控制系統正確、高效地運行。

2.2 ICS脆弱性分析

2.2.1 ICS安全與傳統信息系統安全差異

傳統IT信息安全三個目標重要程度排名由高到低為：保密性>完整性>可用性。

對于工業自動化控制系統而言，目標優先級的順序則正好相反。因為系統的可用性將直接影響到企業生產，而工業數據都是原始格式，需要配合有關使用環境進行分析才能獲取其價值，其完整性及保密性則顯得相對次要些。

除此之外，工控系統的實時性指標也非常重要。控制系統要求響應時間大多在1毫秒以內，而傳統IT系統能夠接受1秒或幾秒內完成。工業控制系統還要求保證持續的可操作性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術，以及全生命周期的安全支持。這些要求都是在保證信息安全的同時也必須滿足的。

2.2.2 ICS脆弱性

工控系統主要的漏洞有通信協議漏洞、操作系統漏洞、應用軟件漏洞等，一旦攻擊者利用系統漏洞攻擊工控設施，將給工業生產的生命與財產帶來嚴重的安全挑戰[10]。

典型的攻擊操作有多種情況：

（1）對工業產品生產信息的竊取，獲得生產狀態情況;

（2）改寫系統關鍵數據，如對控制參數、控制方式等的數據竄改，造成控制過程發生故障;

（3）高級持續攻擊等，使得系統停機、重啟或無法正常工作。

基于規則過濾的訪問控制策略能夠對不符合條件的通信行為進行攔截，但無法對潛在入侵攻擊行為進行有效防御，同時過多的規則設計降低了系統性能，影響了系統實時性操作。而入侵檢測技術能夠實現對異常行為及操作的有效檢測。

2.3 ICS IDS概述

入侵檢測機制是發現入侵行為的一種有效途徑。

信息安全中的入侵是指任何危害或可能危害資源完整性、保密性或可用性的行為;而入侵檢測是通過對計算機網絡系統中的若干關鍵點進行信息收集及分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象[11]。

傳統的IDS并未考慮到工控系統的特殊性，不適用于工控系統。工控系統入侵檢測技術研究主要針對相應的工控系統環境，通過采用一定的入侵檢測方法能夠有效對異常攻擊行為進行檢測，同時要滿足系統實時性和檢測精度要求。其核心目標是在保證自身不影響控制系統正常、穩定的前提之下，發現數據或者系統產生邏輯的異常。工控入侵檢測流程如圖2所示，首先是特征提取，得到的訓練集結合檢測算法優化檢測參數，并用特征提取到的測試集進行測試，直至檢測結果滿足檢測率，訓練過程結束。此時入侵檢測系統建成，對行為數據進行檢測。

2.3.1 ICS入侵檢測方法

從檢測方法上看主要有誤用檢測、異常檢測以及綜合檢測的方法[12]。誤用檢測是對異常攻擊行為進行分析、總結，提取相應行為操作的特征，建立異常行為的數據知識庫，通過將新的行為數據特征與已知攻擊行為特征進行匹配，檢測出新的異常攻擊行為操作。該方法的優點是對已知類型攻擊行為檢測率較高，但對新型未知攻擊則檢測能力較弱。異常檢測是利用系統通信行為數據，建立正常行為通信模式的入侵檢測系統，實現異常攻擊操作的有效檢測。該方法的優點是能夠對未知新型攻擊進行檢測，不足之處在于誤報率高，需要進一步研究檢測特征及算法設計。綜合的檢測方法是兩種方法結合應用，充分利用已知類型攻擊行為的特征信息進行異常檢測，以有效提高入侵檢測性能。

2.3.2? ICS入侵檢測性能評價

典型的入侵檢測性能指標有檢測率（TPR）、漏報率（FNR）和誤報率（FPR）。由于工控系統行為是控制工業生產的關鍵操作，誤判并進行攔截會影響系統的正常運行，可能造成比攻擊操作更嚴重的破壞。因此，ICS IDS對誤報率有著更為嚴格的要求，即寧可漏報，不可誤報。同時，根據工業控制實時性的要求，降低模型復雜度和檢測時間也是檢測性能評價的一個重要標準。

3 ICS IDS檢測技術研究現狀

ICS IDS沒有統一的分類方法，目前仍主要采用傳統的IDS分類方法，如Chen等人[13]將IDS從檢測技術和數據源兩個角度進行分析。ICS IDS的數據源可以分為主機型和網絡型，主機型獲取數據的依據是系統運行所在的主機，網絡型獲取數據的依據是網絡傳輸的數據包。檢測技術方面，將ICS IDS主要分為誤用入侵檢測技術和異常入侵檢測技術，本文作為ICS IDS技術研究綜述，對兩種主要的檢測技術做詳細說明。

3.1 ICS IDS特征的研究

ICS入侵檢測是利用系統行為的特征數據檢測異常攻擊操作，提取的數據特征應能夠充分反映系統行為模式的差異[14]。檢測特征的應用是提高異常攻擊行為檢測性能的基礎，如數據包長度的特征能夠檢測不符合正常通信協議異常數據流量，攔截異常網絡操作;利用IP 地址的數據特征能夠識別不合法的主機操作，檢測外部攻擊者的異常行為;關鍵控制參數的數據特征可以用于檢測偏離工控系統行為模式的潛在攻擊等。

研究入侵檢測特征是根據實際工控環境，提取滿足對異常行為入侵檢測性能要求的操作模式特征屬性，同時對不能反映系統行為模式的冗余特征進行約簡處理，以降低檢測模型復雜度和檢測時間。從檢測數據來源看，主要分為基于主機的入侵檢測和基于網絡的入侵檢測。

（1）基于主機的入侵檢測是從系統主機獲取檢測數據，通過監視分析審計記錄、日志文件等對異常行為進行檢測;文獻[15]采用基于主機的入侵檢測方法，通過采集控制系統模型參數為檢測特征，根據控制系統的數學模型，建立異常檢測的變化特征，從而應用到工控系統的入侵檢測。

（2）基于網絡的入侵檢測是對傳輸的網絡數據包進行分析檢測，通過對數據包中的相關特征信息進行提取分析，實時監視來自網絡的異常攻擊行為并進行攔截[15]。文獻[16]采用基于網絡的檢測方法，檢測特征為通信協議，通過實際的通信網絡的協議特征，包括TCP/IP協議和應用層工業通信協議，用作工控系統異常行為的入侵檢測。文獻[16]將通信流量作為檢測特征，通過計算單位時間內傳輸的網絡通信數據流量大小來進行入侵檢測。

3.2 誤用入侵檢測技術

誤用入侵檢測是對異常攻擊行為進行分析、總結，提取相應行為操作的特征，建立異常行為的數據知識庫，通過將新的行為數據特征與已知攻擊行為特征進行匹配，檢測出新的異常攻擊行為操作。誤用入侵檢測過程如圖3所示，當監測的用戶或系統行為與庫中的記錄相匹配時，系統就認為這種行為是入侵。該方法的優點是對已知類型攻擊行為檢測率較高，但對新型未知攻擊則檢測能力較弱。

在工業控制系統中，學者對誤用入侵檢測技術展開了廣泛研究。

Liu等[16]利用變電站頻率檢測來檢測網絡攻擊對智能電網的影響。文中通過實驗模擬了水電站發電廠，當入侵者進入其中一個變電站局域網并控制與輸電線斷開連接，剩余兩座發電廠則必須滿負荷發電，這就使變電站頻率降低。所以，針對該攻擊能夠盡早發現入侵事件并找出相應的策略，恢復系統狀態。

Barbosa等[17]對SCADA 流量的特性進行研究分析，并得出基于網絡流量的周期性檢測方法，可以成功檢測出如拒絕服務（DoS）攻擊、掃描信息攻擊的同時，根據數據流量周期的變化來檢測異常流量。檢測效率高，但在準確率上存在較大的問題。因為工業網絡的周期性存在不確定性，比如在配置期間網絡流量的周期性無法保證，容易引起誤報。因此，單純依靠周期性進行檢測，將會產生很高的誤報率。

侯重遠等[18]提出了工業網絡流量異常檢測的概率主成分分析法（PPCA），分析了誤報的原因是源于隨機突發流量，建立了工業控制網絡流量矩陣的概率主成分分析模型，并描述了隨機突發流量對主成分分析法（PCA）的影響;接著利用變分貝葉斯理論對PPCA模型的秩進行推斷，通過檢測秩的變化判斷異常流量，從而抑制隨機突發流量對異常檢測的干擾。實驗中模擬震網病毒在傳播和攻擊時的網絡通信行為來實現對攻擊流量的模擬。證實了基于PPCA模型的算法能有效降低誤報率，平均下降率達到32%，這種方法僅在攻擊流量特征與正常業務類型差異比較大的情況下才有指導意義。

工業系統中也存在著慢滲透的攻擊方式，僅統計網絡流量特性已不能滿足需求，研究者們開始采用基于行為的分析方法進行檢測。

Vollmer等[19]應用一種改進的遺傳算法去自動提取異常行為，可以為已知入侵行為建立規則。此工作通過使用遺傳算法，為基于行為的系統檢測到的特殊異常生成一組最優的IDS 規則，此規則要滿足完整性規則匹配、部分規則匹配和語法檢查。通過輸入數據流量分組，利用遺傳算法，輸出一組規則以及各自的適應值;通過實驗仿真表明此算法生成的規則的誤報率很低，算法的精確度較高。但是該方法對于每一種攻擊至少生成3條檢測規則，有些行為多達8條規則，影響了檢測性能。

Morris等[20]針對Modbus RTU/ASCII協議，設計了一種基于Snort軟件的入侵檢測方法，利用Snort規則對上行數據和下行數據進行檢測，該方法可以有效檢測Modbus協議中出現的非法數據分組，但對檢測規則的制定要求非常高。Morris于2013年對其進行了改進，仔細分析了Modbus協議的漏洞，提出了50個基于入侵檢測系統的簽名規則，檢測精度得到了很大的提升。

Hong等[21]綜合基于特征檢測和行為檢測的優點，提出一種基于主機和網絡的混合型異常檢測系統，基于主機的異常檢測通過分析日志信息以檢測應用層攻擊，基于網絡的異常檢測分析網絡層的異常行為攻擊。在變電站WSU網絡安全試驗臺上測試，使用試驗臺模擬重放攻擊，通過篡改數據分組、中間人和DoS等不同類型的網絡入侵，來驗證提出的異常檢測算法。測試結果表明基于主機的異常檢測系統的誤報率（FPR）和漏報率（FNR）分別為0.013%和0.02%，基于網絡的異常檢測系統的FPR和FNR分別為0.013%和0.016%。

誤用入侵檢測技術的關鍵問題是入侵行為的獲取和表示，這種檢測方法的優點是檢測正確率高，缺點是變種攻擊行為的檢測能力有限。但是，這個缺點并未影響其實際應用價。

3.3 異常入侵檢測技術

異常入侵檢測技術能夠建立用戶或系統的正常行為輪廓，早期的異常檢測通常用統計模型，通過統計模型計算出隨機變量的值落在一定區間內的概率，并且根據經驗規定一個閾值，超過閾值則認為發生了入侵。異常入侵監測過程如圖4所示，系統能對用戶行為的改變進行自我調整和優化。后來很多人工智能技術應用于異常檢測，如神經網絡技術和數據挖掘技術等。但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源。異常入侵檢測技術能夠檢測到未知威脅，但誤報率高于誤用入侵檢測。

基于工控系統狀態、協議和行為的入侵檢測方法：文獻[22]研究了基于入侵檢測系統的網絡安全防護問題，通過白名單和基于行為的協議分析，建立應用于新的SCADA 系統入侵檢測規則及方法。文獻[22]通過對智能電網系統的通信行為及協議規范進行分析并研究，利用傳統網絡特征統計分析和基于規范檢測的方法提出基于行為的入侵檢測系統。在基于狀態、協議和行為的入侵檢測方法應用中，利用正常行為下系統狀態、協議規范和行為模式建立對攻擊操作的檢測特征規則，實現對不符合正常數據規范攻擊行為的有效檢測，但對利用系統漏洞、符合協議規范等的潛在攻擊操作，檢測效果不是很好。

Kwon等[22]針對IEC61850協議，提出了基于行為的IDS，它使用多個網絡特性的統計分析，得到高精度的檢測。采用從智能變電站環境中捕獲的真實的網絡數據流量，通過分析網絡流量，利用靜態特征和動態特征，來檢測異常流量。測試了288個場景，包括261個正常操作場景，以及27個已知攻擊。結果表明，提出的算法不僅能檢測到24個已知攻擊，還能檢測出未知攻擊，即使漏報了3個攻擊，但是并無誤報，并且算法精確度很高，為99.0%。所以，該基于行為的IDS 能有效識別出給定的實驗中異常數據，并且無誤報，檢測率高。但是，實驗缺乏開放的可用網絡數據集，無法檢驗其性能和精確度。

基于模型的入侵檢測方法：基于模型的異常行為檢測是根據工控系統模型參數及檢測特征等建立入侵檢測數學模型，并利用該模型對系統狀態預測輸出。文獻[23]利用一種基于乘積季節ARIMA 模型的方法對正常工業控制網絡流量進行建模，并通過該模型預測正常流量，實現對異常流量的檢測。但該方法是根據預測的正常輸出和實際檢測值的偏差檢測異常攻擊，當檢測到異常參數改變時，實際工控系統已經遭受到異常攻擊，并影響了系統運行的狀態參數。文獻[23]利用自聯想核回歸模型（AAKR） 對觀測特征進行預測輸出，并與實際樣本值比較，通過偏差的檢測處理判別輸入特征樣本是否為異常行為模式。文獻[23]研究了基于控制系統模型建立傳感器的輸出預測模型，通過實際傳感器的測量值比較，利用累計和異常檢測方法（CUSUM）對傳感器的偏差值分析，檢測出攻擊行為的影響

基于機器學習的入侵檢測方法：文獻[24]研究基于K-means 聚類的無監督學習入侵檢測方法，通過對檢測特征參數的聚類分析處理，提出電力系統的網絡入侵檢測方法;文獻[24]利用不完備信息的半監督K-means 的異常檢測方法，充分挖掘了已知攻擊類型的信息，結合半監督學習方法對工業網絡流量數據進行檢測，提高對異常行為數據的檢測精度。基于監督學習的分類算法廣泛應用于對工控系統異常行為的分類檢測中，文獻[24]利用基于統計學習的智能馬爾可夫模型，建立工業過程自動化多模型入侵檢測系統，根據多模式數據特征分析有效檢測實際攻擊操作。

Jianmin Jiang等人[23]提出了基于SVM的SCADA系統入侵檢測方法，并使用通信網絡的數據集進行實驗，發現該算法具有較高的檢測準確率。王華忠等[24]應用改進的PSO算法優化SVM入侵檢測分類器的參數，構建了PSO-SVM工控入侵檢測框架，并取得了良好的效果。

由此可見，異常入侵檢測技術在對未知入侵的檢測有一定的效果，取得了很多優秀成果，但是這些算法也存在很多的問題，最大的問題就是會產生誤報，且結果缺乏可解釋性。

4 結束語

隨著工業控制系統開放的發展趨勢，工控系統所面臨的安全問題將愈加嚴峻，等級保護2.0時代的到來對工控系統的安全要求也越來越高，針對工控系統入侵防御的研究仍需進一步研究。關于工業控制系統的入侵檢測技術的研究仍然處于起步階段，通過深入了解并學習當前入侵檢測技術的發展，進一步提高入侵檢測前沿技術轉化為實際檢測技術的應用能力，對增強工控系統安全尤為重要。當前，網絡科技的發展使異常行為的攻擊手段和操作更為頻繁，也促進了工業控制系統檢測技術的研究與應用。本文在對工控系統入侵檢測技術研究現狀分析的基礎上，提出兩點工業控制系統入侵檢測技術的發展方向。

在入侵檢測性能方面，對于工業入侵檢測環境，傳統的IDS性能指標檢測率（TPR）、漏報率（FNR）和誤報率（FPR）缺乏準確性和全面性，目前部分學者也就工業入侵檢測提出了一些新的性能指標，但大都缺乏科學論證。科學的性能指標是評價和比較檢測技術的基礎，在工業入侵檢測性能指標方面，還有較大的研究空間。

在檢測技術方面，誤用入侵檢測技術和異常入侵檢測技術各有利弊，誤用入侵檢測技術的關鍵問題是入侵行為的獲取和表示，這種檢測方法的優點是檢測正確率高，缺點是未知攻擊行為的檢測能力有限。異常入侵檢測技術在對未知入侵的檢測有一定的效果，但是會產生誤報，且隨著檢測模型的逐步精確，異常檢測會消耗更多的系統資源。誤用入侵檢測技術及異常入侵檢測技術的合理結合也可以作為未來的一個研究方向。

參考文獻

[1] Knowles W， Prince D， Hutchison D， et al. A survey of cyber security management in industrial control systems[J]. International journal of critical infrastructure protection， 2015， 9： 52-80.

[2] Cox D P. The application of autonomic computing for the protection of industrial control systems[J]. 2011.

[3] 國家發展和改革委員會高技術產業司.國家發展改革委辦公廳關于組織實施2012 年國家信息安全專項有關事項的通知（發改辦高技〔2012〕2019號）[EB/OL].http：//www.bjpc.gov.cn/tztg/ 201208/P020120828415567913703.pdf，2012.

[4] 國家發展和改革委員會高技術產業司.國家發展改革委辦公廳關于組織實施2013 年國家信息安全專項有關事項的通知（發改辦高技〔2013〕1965號）[EB/OL].http：//www.ndrc.gov.cn/zcfb/zcfbtz/ 2013tz/t20130822_554528.htm， 2013.

[5] “工業控制系統深度安全技術”列入科技部發布的“網絡空間安全”重點專項2016 年度項目申報指南[EB/OL]. http：//www.kongzhi.net/news/detail_156575.html， 2016.