分布式入侵檢測系統在煙草生產工業控制 網絡中的應用研究

張書凡

【摘要】? ? 入侵檢測系統是一種有效的網絡安全防護手段，已在工業控制網絡得到廣泛應用。然而，隨著網絡技術的發展，網絡攻擊變得多樣化和復雜化，使得入侵檢測系統需要具有更強的檢測性能。本文從煙草生產工業控制網絡的特點著手結合了分布式入侵檢測系統的優勢，構建了一種分布式的煙草生產工業控制網絡入侵檢測模型。

【關鍵詞】? ? 網絡安全? ? 煙草生產工業控制網絡? ? 分布式入侵檢測

Abstract： Intrusion detection system is an effective network security protection method， which has been widely used in industrial control networks. However， with the development of network technology， network attacks have become diversified and complicated， making intrusion detection systems need to have stronger detection performance. This paper starts from the characteristics of the industrial control network of the tobacco shovel and combines the advantages of the distributed intrusion detection system to construct a distributed intrusion detection model of the tobacco production industrial control network.

Key words： Network security; Tobacco production industry control network; Distributed intrusion detection

引言：

工業控制網絡[1]（Industrial Control Network）目前已經廣泛的應用在電力系統、石油化工生產、煙草生產、水利工程、軍事、醫療以及國家各類重點企業的生產制造中。工業控制網絡已成為企業生產制造過程中不可或缺的一部分。然而，在工業控制系統大大提高企業生產能力的同時，工業控制網絡的安全性防護問題也越來越突出。如受到網絡外部或者網絡內部的木馬病毒、蠕蟲以及人為的攻擊等，給企業造成巨大的損失。針對煙草生產工業控制系統網絡面臨的安全問題，文章設計了一種分布式入侵檢測系統。

一、入侵檢測技術概述

入侵檢測系統[2]是一種主動式的網絡系統安全保護措施，它是對防火墻等被動防御系統的補充。入侵檢測系統不僅可以檢測到來自網絡外部的入侵，也能對網絡內部的非授權等行為進行檢測。入侵檢測系統監控網絡中的流量和計算機的日志信息，分析相關數據，發現是否存在惡意攻擊行為。如圖1為入侵檢測系統工作的流程圖。

二、入侵檢測系統分類

現有的入侵檢測系統按照檢測功能和檢測對象進行分類，可分為基于主機的檢測系統、基于網絡的檢測系統、基于異常的檢測系統、基于誤用的檢測以及混合檢測系統。

2.1基于主機的入侵檢測

基于主機的入侵檢測系統，主要是檢測系統日志和其他的應用程序日志來進行信息收集與分析。從而發現是否存在攻擊。

2.2基于網絡的入侵檢測

基于網絡的入侵檢測是主要是以網絡數據包為檢測對象，通過對網絡數據進行實時分析，來發現網絡流量數據是否存在異常。

2.3基于異常的入侵檢測系統

異常檢測是對用戶的行為或者是對資源的使用情況進行分析，從而是否有入侵發生。

2.4基于誤用的入侵檢測系統

誤用檢測技術的基本原理是假定所有的網絡攻擊都具有一定的模式或特征，然后根據該模式或特征分析處理建立一個特定類型的數據庫，最后把收集到的數據和信息與己知類型的網絡入侵和系統誤用的模式數據庫進行匹配操作，如果匹配，則認為發生入侵。

2.5混合檢測

混合檢測是將異常檢測和誤用檢測結合起來的一種檢測技術，通常入侵檢測系統在做出決策之前，有時候既要分析系統的正常行為，又要判斷可疑的入侵行為，所以比普通的檢測方式更加全面、準確和可靠。

三、工業控制網絡體系結構及其面臨的網絡威脅

3.1分布式入侵檢測系統

隨著計算機網絡系統結構變的越來越復雜，網絡規模已經很好的滿足網絡安全發展的需要。由此，分布式入侵檢測系統[3]應運而生。分布式入侵檢測系統的策略由控制中心定義和管理。控制中心根據分配協議的原則將策略分配給各個監控人員，由各個監控人員實現具體的策略。同時，每個監控器可以根據需要使用不同類型的入侵檢測系統。

3.2煙草生產工業控制網絡體系結構

煙草生產工業控制網絡具有明顯的結構體系，以甘肅省煙草公司蘭州市公司為例。如圖2所示為整個公司生產控制系統的網絡拓撲結構：

1.控制系統與外部通信網絡的連接部分：通過路由器將整個網絡接入外部主干網絡中;

2.監控平臺：負責監視其他各個工作區域內的設備以及人員工作狀態;

3.安全管理區域：主要部署日志審計服務器、漏洞掃描設備、系統備份服務器等設備;

4.辦公區域：主要部署用于員工工作和操作的主機;

5.工控區域：包括眾多的傳感器、電子設備、分揀設備、裝卸設備以及移動終端。

一般可以將煙草生產工業控制網絡分為管理網絡、過程控制網絡和現場控制網絡三層結構。管理網絡直接與互聯網連接并進行信息交換。過程控制網絡主要負責對工業控制系統的檢測、管理和數據保存。現場網絡是由一系列的智能電子設備、傳感器和移動端構成，實現了對工業生產中流水線的控制。煙草生產工業網絡的功能性是按層次性結構進行區分的，各層之間負責不同的控制業務，各控制層次之間通過相應的通信協議進行數據的傳輸與交換，實現對工業控制系統的分層管理。煙草生產工業控制網絡與傳統的信息網絡的主要區別為：1.對系統的實時性要求不同;2.通信協議不同;3.安全防護技術不同;4.業務流程不同。

3.2面臨的網絡威脅

工業控制網絡在實現數據通信過程時通常使用業界常用的標準協議。然而，在提高工業系統控制能力的同時，也存在著許多安全風險：

1.企業所使用的辦公網絡與主干互聯網連接，很大概率存在來自外部互聯網的安全威脅，如木馬病毒、不安全的遠程支持。

2.企業內部員工等人員在操作過程中將不安全的移動設備（如個人PC、U盤等）在沒有經過安全檢查或者授權的情況下直接接入，這很大可能造成木馬病毒在整個工業控制網絡中的傳播，嚴重時甚至會造成重大的工業事故。

3.工業控制網絡之中RTU/PLC之間建立的無線通信，缺乏有效的安全機制，存在很大的安全隱患，極易受到攻擊。

4.控制網絡通常位于工業控制的生產現場，設備運行的環境相對較復雜，通常使用無線、微波等接入技術作為對現有的網絡外擴延伸方法，這也可能會存在一定的安全風險。

四、分布式入侵檢測系統在煙草生產工業控制網絡中的應用

分布式入侵檢測系統[4]檢測的數據來源于網絡中的數據包和主機中的數據。它主要的工作模式是分布式檢測、集中式管理。本系統的檢測方式是結合了基于主機的檢測系統和基于網絡的檢測系統的混合檢查方式。

4.1基本工作原理

部署在網絡節點中的各個監測器在監聽網絡上的數據的同時，也統計流量信息。利用已經設置好的攻擊行為檢測規則來檢測網絡中存在的攻擊活動，實現第一層檢測。

分析處理后的流量信息需要進行分類操作，然后將這些數據集中存放到統計服務中心的相關數據庫中，最后，通過管理服務器對這些數據進行分析檢測處理并且向管理員進行報警，實現了第二層檢測。

管理員通過管理服務器對整個系統進行相應的運行控制和監控，管理員通過對服務器管理從而達到對整個系統進行相應的運行控制和監控的目的。必要時，可以通過統計服務中心的數據庫中提取出相關的數據來分析，實現第三層檢測。

4.2系統的整體部署

以甘肅省煙草公司蘭州是公司的工業生產控制系統為例進行部署。系統由監測器、統計分析服務中心和管理服務器三大部分組成，如圖3所示。

按照工業控制網絡的特性去部署所設計的分布式入侵檢測系統的監測設備、監控中心以及統計服務器。首先，在外網與最外層防火墻之間安裝監測器用于監測來自外部網絡的入侵。

在防火墻與管理網之間部署監測器以監視和分析管理網與外網的數據流。分別在過程控制網絡和現場控制網絡中部署一臺或一臺以上的監測器監視各網段的流量數據。統計分析中心部署在管理網中，并用交換機將連接各層網絡中的各個監測器，最后通過交換機與統計分析中心服務器連接。通過收集各個監測器的流量數據進行統計分析。管理服務器部署在管理網中，主要的作用是監測統計服務器和各個監測器的工作狀態，此外，還可以對部署的所有監測器進行統一的管理和維護。此外，檢測中心能夠對系統配置管理，也可以與統計分析中心進行數據交互，獲取統計分析結果，便于網絡管理人員進行查詢和監控。

五、結束語

本文首先對工業控制網的安全現狀進行了分析，簡明的介紹了入侵檢測技術的相關理論知識，然后通過分析煙草生產工業控制網的安全現狀和體系結構，設計了一種分布式入侵檢測系統。系統主要由監測器、分析統計服務中心和管理服務器三大部分組成，通過三層檢測模式，對整個控制網絡實現由容易識別到不容易識別威脅的分布式管理。在后續的研究中，將結合最新的智能檢測技術，如用機器學習的方式，實現智能化的檢測方式，進一步的提高對工業控制網的安全防護。

參? 考? 文? 獻

[1]石永杰，于慧超，呂峰，張暢，吳亞萍.工業控制系統網絡安全的主動防御技術研究與實踐[J].信息技術與網絡安全，2020，39（04）：13-18.

[2]李威， 楊忠明. 入侵檢測系統的研究綜述[J]. 吉林大學學報（信息科學版）， 2016， 34（5）：657-662.

[3] Song Deng，Ai-Hua Zhou，Dong Yue，Bin Hu，Li-Peng Zhu. Distributed intrusion detection based on hybrid gene expression programming and cloud computing in a cyber physical power system[J]. IET Control Theory & Applications，2017，11（11）.

[4]張小奇， 蔡冠群， 蘇文明. 數字化校園中入侵檢測系統的研究與應用[J].吉林農業科技學院學報， 2019， 028（001）：71-73，93.