工控系統(tǒng)入侵檢測及安全防御架構(gòu)探討

衛(wèi) 霞 保慧琴 李 茹 李 婧

（西安明德理工學(xué)院，陜西 西安710024）

隨著中國制造2025、互聯(lián)網(wǎng)+、兩化融合進(jìn)程的快速發(fā)展，信息技術(shù)快速應(yīng)用到工業(yè)制造領(lǐng)域，各種智能制造設(shè)備和系統(tǒng)進(jìn)行網(wǎng)絡(luò)互聯(lián)互通的趨勢加快。當(dāng)前，智能制造系統(tǒng)覆蓋面極廣，產(chǎn)業(yè)鏈龐大，已廣泛應(yīng)用于武器制造、航空航天、車輛制造、船舶制造、3C 智能制造等各個關(guān)鍵領(lǐng)域中，成為直接影響國防安全、經(jīng)濟(jì)安全和社會安全的基礎(chǔ)技術(shù)。同時，智能制造設(shè)備聯(lián)網(wǎng)進(jìn)程的加快導(dǎo)致了傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到智能制造網(wǎng)絡(luò)。智能制造設(shè)備的故障、加工代碼的泄露將會導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失，危及人身安全甚至國家安全。工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）網(wǎng)絡(luò)安全已經(jīng)成為國家基礎(chǔ)設(shè)施網(wǎng)絡(luò)空間安全的重要組成部分，已被提升到國家戰(zhàn)略層面[1]。

異常檢測和防護(hù)是保障工控系統(tǒng)的一種重要的防護(hù)手段，可有效防護(hù)網(wǎng)絡(luò)上的各種不法訪問、惡意攻擊或無意地破壞[2]，有效的擴(kuò)展了系統(tǒng)管理員的安全管理能力，信息安全異常事件檢測與防護(hù)成為工控系統(tǒng)研究熱點[3][4]。

1 研究現(xiàn)狀

2010 年之前，基于Snort 軟件的入侵檢測方法被認(rèn)為是安全的，但震網(wǎng)病毒的出現(xiàn)表明，工業(yè)控制系統(tǒng)也能遭受網(wǎng)絡(luò)攻擊，且已經(jīng)成為黑客的主要目標(biāo)[5]，需要增加入侵檢測系統(tǒng)以保護(hù)連接在總線網(wǎng)絡(luò)上的RTU、智能電子設(shè)備（IED）和PLC 設(shè)備。所以基于Snort 的協(xié)議分析和檢測系統(tǒng)利用Snort 規(guī)則檢測上下行數(shù)據(jù)進(jìn)行，可高效識別Modbus 協(xié)議中的非法數(shù)據(jù)包，但對未知攻擊的漏檢率很高[6]。Barbosa 等對SCADA 流量的特性進(jìn)行研究，提出了基于網(wǎng)絡(luò)流量的周期性檢測方法，但由于控制網(wǎng)絡(luò)的配置功能的流量的周期性無法保證，產(chǎn)生很高的誤報率[7]。

呂佩吾等人提出了基于卷積神經(jīng)網(wǎng)絡(luò)的Modbus/TCP 異常報文檢測方法，實現(xiàn)對Modbus/TCP 異常報文檢測[8]；邵俊杰等人使用n-gram 算法從Modbus 正常報文幀的有效載荷中進(jìn)行特征提取，結(jié)合單類支持向量機(jī)(OCSVM)算法，完成了異常識別[9]。王偉等人提出一種基于PU 學(xué)習(xí)的工業(yè)控制系統(tǒng)異常檢測方法，根據(jù)狀態(tài)轉(zhuǎn)換圖和孤立森林模型分別判斷狀態(tài)轉(zhuǎn)換關(guān)系和狀態(tài)自循環(huán)的正確性[10]。總體而言，雖然學(xué)術(shù)界已經(jīng)獲得相當(dāng)?shù)难芯窟M(jìn)展和積累，但是當(dāng)前工控系統(tǒng)安全保障方案一方面無法滿足工控系統(tǒng)準(zhǔn)確性和實時性要求高的特點，另一方面隨著攻擊方法的升級，工業(yè)領(lǐng)域安全的要求不斷提高，從而帶來新的挑戰(zhàn)。

2 工業(yè)控制系統(tǒng)信息安全防護(hù)體系架構(gòu)

工業(yè)控制系統(tǒng)通常包含企業(yè)辦公網(wǎng)絡(luò)、過程控制、監(jiān)控網(wǎng)絡(luò)以及現(xiàn)場控制系統(tǒng)幾個部分，主要由可編程邏輯控制器（PLC）設(shè)備、遠(yuǎn)程終端單元（RTU）、分布式控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）和傳感器等設(shè)備組成，通過OPC（OLE for Process Control）、Modbus、DNP3 等專有協(xié)議進(jìn)行信息通信，使用WinCE 等嵌入式系統(tǒng)，軟硬件升級困難、系統(tǒng)兼容性差，流量具有突發(fā)性和周期性，且對實時性要求較高。

圖1 工控系統(tǒng)安全防護(hù)架構(gòu)

本文對工業(yè)控制系統(tǒng)實施架構(gòu)分層，使其在不影響控制系統(tǒng)與企業(yè)系統(tǒng)業(yè)務(wù)模式前提下，能夠全面阻擋、記錄、控制、預(yù)警工控環(huán)境中的安全風(fēng)險行為。提出的工控系統(tǒng)安全防護(hù)架構(gòu)包括了數(shù)據(jù)采集層、處理層、服務(wù)層三層體系架構(gòu)，首先利用采集層的威脅探測設(shè)備、安全監(jiān)測設(shè)備、工業(yè)運行數(shù)據(jù)導(dǎo)入等方式獲取數(shù)據(jù)，然后通過處理層的機(jī)器學(xué)習(xí)、模式匹配、深度報文解析等方法對系統(tǒng)數(shù)據(jù)進(jìn)行綜合分析，可提供異常事件的檢測識別、漏洞及攻擊預(yù)警、工控安全預(yù)測等服務(wù)。

3 工控系統(tǒng)信息安全異常事件檢測及安全防御架構(gòu)

3.1 工控系統(tǒng)入侵檢測模型及機(jī)制概述

針對控制系統(tǒng)檢測以及防護(hù)多變性的問題，通過數(shù)據(jù)驅(qū)動歸納、逆向工程、協(xié)議樹等協(xié)議分析理論，研究基于機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析的異常行為的智能分析與識別技、工業(yè)協(xié)議的深度安全解析與策略防護(hù)技術(shù)，最終實現(xiàn)對智能裝備系統(tǒng)信息進(jìn)行快速有效檢測以及防護(hù)，避免安全事故發(fā)生。

設(shè)計工控網(wǎng)絡(luò)的異常檢測模型，利用聚類算法獲得的分類情況生成的檢測規(guī)則，對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測。具體實現(xiàn)時，可以將檢測過程分為訓(xùn)練和運行兩個工作階段。首先在訓(xùn)練階段，系統(tǒng)初始化后將分別獲取正常通訊及遭受攻擊時的網(wǎng)絡(luò)數(shù)據(jù)，并將獲得的數(shù)據(jù)打上相應(yīng)的標(biāo)簽作為訓(xùn)練樣本，然后再對樣本進(jìn)行聚類，進(jìn)而建立分類模型；其次在運行階段，根據(jù)訓(xùn)練階段生成的分類模型對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實時檢測，有效識別異常數(shù)據(jù)并及時進(jìn)行輸出。

3.2 基于SVM及改進(jìn)D-S 證據(jù)融合的工控系統(tǒng)入侵檢測

工控網(wǎng)絡(luò)安全的異常行為分析如流程圖2 所示。首先將訓(xùn)練數(shù)據(jù)集和預(yù)測數(shù)據(jù)集的數(shù)據(jù)按特征屬性分為基本特征、內(nèi)容特征、流量特征三類，并在各類數(shù)據(jù)集特征屬性后添加代表攻擊類型和正常類型的標(biāo)簽，然后分別訓(xùn)練基本特征集訓(xùn)練SVM1，內(nèi)容特征集訓(xùn)練SVM2，流量特征集訓(xùn)練SVM3，得到三類訓(xùn)練標(biāo)簽。將三類特征屬性的訓(xùn)練標(biāo)簽作為各類特征屬性預(yù)測時所需的標(biāo)簽，并加上分好類的預(yù)測數(shù)據(jù)集進(jìn)行預(yù)測，便可以得出測試數(shù)據(jù)集的各類測試數(shù)據(jù)標(biāo)簽。

圖2 SVM 及改進(jìn)D-S 證據(jù)融合的入侵檢測模型

其中m(N)、m(A)和m({N，A})分別表示當(dāng)前特征支持正常行為、當(dāng)前特征支持異常行為、無法確定當(dāng)前行為屬于正常或者異常行為的可信度。

如果三組結(jié)果均判定為異常，則設(shè)定該數(shù)據(jù)對異常行為和正常行為的基本函數(shù)值分別為1 和0，即該數(shù)據(jù)為異常數(shù)據(jù)；假設(shè)三組結(jié)果都判定為正常數(shù)據(jù)，則設(shè)定該數(shù)據(jù)對正常行為和異常行為的基本函數(shù)值分別為1 和0，即該數(shù)據(jù)為正常數(shù)據(jù)；而對于其他數(shù)據(jù)則按判定比例相應(yīng)計算出在[0，1]之間信任度對應(yīng)的數(shù)值，然后進(jìn)行整體加權(quán)融合，對融合后的結(jié)果進(jìn)行判定，以此進(jìn)行檢測。

3.3 工控系統(tǒng)主動防御安全預(yù)警模型構(gòu)建

對采集到的工業(yè)數(shù)據(jù)進(jìn)行分類，獲取準(zhǔn)確度最高的數(shù)學(xué)模型。數(shù)學(xué)模型分為正常數(shù)據(jù)行為模型、異常數(shù)據(jù)行為模型兩大類，正常數(shù)據(jù)模型應(yīng)用到保護(hù)設(shè)備中作為設(shè)備的白名單，進(jìn)行流量放行；異常數(shù)據(jù)行為模型應(yīng)用到工業(yè)安全防護(hù)設(shè)備中作為黑名單，進(jìn)行流量控制。通過對多地域、多行業(yè)、多種網(wǎng)絡(luò)的攻擊手段、漏洞信息、組網(wǎng)連接、運行控制等信息進(jìn)行攻擊路徑、風(fēng)險設(shè)備分析，建立工控安全預(yù)警模型，預(yù)警模型如圖3 所示：

圖3 基于D-S 證據(jù)融合的安全預(yù)警模型

4 結(jié)論

本文結(jié)合我國工業(yè)控制系統(tǒng)所存在的具體安全風(fēng)險，分析并建立一套從技術(shù)角度和管理制度上都能有效防范安全攻擊的防護(hù)體系，并提出D-S 證據(jù)融合的工控系統(tǒng)安全主動防御預(yù)警模型。下一步，依據(jù)該技術(shù)模型進(jìn)行更深層次的測試及產(chǎn)品研制，為識別防范攻擊和攻擊者提供決策支持。