可視化優化技術在工業控制系統入侵檢測中的研究與應用

郭慶，寧玲玲

（1.濟南沃茨數控機械有限公司，山東濟南，250001；2.山東工程職業技術大學，山東濟南，250200）

作為信息安全的重要組成部分，入侵檢測技術不同于傳統的被動保護防火墻技術。入侵檢測技術可以抵御實時攻擊，包括實時監視和分析數據。通過節流或模擬來檢測已知和未知的攻擊，并早期警告一些威脅或異常系統行為，以便安全管理員可以及時采取保護措施。

1 工業控制系統入侵檢測可視化優化系統需求分析

本文中預期的詳細工業防盜所需的可視化優化系統功能包括：(1)收集信息的一般功能。當在各種工業控制系統中使用時，應該包括系統數據的收集。(2) 對系統狀態數據、過程數據和其他相關數據進行實時監控，使用戶能更容易測試各種系統操作模式。(3)離線模擬是一種交互式的入侵檢測可視化功能，可以提供一個交互式的仿真界面，在第一次檢測到入侵時打開黑盒模式，并將角色引入系統，始終通過人機交互進行優化。(4) 利用在線異常檢測活動，離線建模，優化入侵檢測模型。(5) 數據記錄、報警和響應功能。當系統檢測到攻擊時，需要記錄相應的異常信息，及時發送警告信號，并在必要時采取適當的措施。(6)功能數據存儲。此功能使用集中式存儲庫存儲系統中的各種數據，并根據需要向其他模塊提供數據資源。

2 工業控制系統入侵檢測可視化優化系統架構設計

可視化優化系統架構旨在根據圖1所示系統的基本功能和其他要求，采用分層結構的模式來檢測工業控制系統中的干擾。

如圖1所示，該系統結構主要由數據收集層、業務績效層和應用程序屏幕層組成，每層的功能如下：數據收集層主要從節點收集數據，通過輪詢對象調度實時數據網絡數據，并將其存儲在用于業務功能層和系統顯示層操作的輪詢數據庫。業務績效水平是系統的重要組成部分，基本上由三個部分組成：離線視覺系統仿真、入侵檢測和系統數據的實時監控。離線建模系統的一部分是基于歷史數據庫數據創建模型，包括四個過程：數據處理映射、關鍵屬性選擇、可視化的交互式映射以及完成評估。互聯網搜索需要使用獨立組件的模型，組件發布的記錄模型實時顯示系統收集的數據。當檢測到異常時，會觸發適當的警報，并指示相關人員采取適當的安全措施。實時跟蹤主要關注涉及到的物理對象，實時過程數據和系統狀態數據在已處理的應用程序級別顯示。應用程序屏幕層主要包含可視化模擬部分、過程控制部分、實時系統狀態數據記錄、警報屏幕共享以及通過交互式屏幕界面與用戶系統進行交互等功能。交互主要包括與用戶登錄系統相關的參數，例如配置模擬過程和輪詢過程中的交互用戶人員。

圖1 工控系統入侵檢測可視化優化系統架構

3 工業控制系統入侵檢測可視化優化系統主要功能模塊設計及實現

■3.1 數據采集模塊

(1)節點數據采集方法：系統節點可以分為基于Windows的節點和基于Linux的節點。基于Windows系統收集主機數據，例如CPU使用率、內存使用率和性能，可以通過任務管理器間接獲得，也可以直接用于提供系統API應用程序的功能。而基于Linux系統上收集的主機數據，可以使用諸如top之類的命令間接獲得，也可以通過直接在虛擬文件系統/過程下計算信息來獲得。(2)網絡數據采集方法：指示特定網絡的健康狀況，例如用于數據傳輸的網絡連接、狀態數據（例如網絡延遲數據包丟失）和操作數據（例如數據流和負載），此數據收集通常需要接收和發送在線軟件包。工業控制系統的一般結構，開放主要是針對工業以太網和CAN總線。(3)應用數據采集方法：應用程序數據是與平臺操作有關的數據，出于調查目的，應通過捕獲網絡數據包

來獲取此數據。數據管理應用程序可以應用于所有數據生成節點，通過從配對設備收集通信數據來收集。有許多方法可以幫助查找數據，在Linux上，使用libpcap庫程序，在Windows上，使用winpcap庫程序。

■3.2 可視化入侵檢測分析模塊

視覺分析和干擾模塊可以使用此方法根據基本的視覺優化和數據處理技術，交互式選擇來開發工業噪聲控制模型，并實現高精度分析，通過選擇算法并對其進行評估來進行的優化，該模型可用于實時進行詳細的在線入侵。

■3.3 入侵檢測數據可視化模塊

可視化入侵該系統的計算機系統是在以Python語言開發的Django平臺上設計和實現的。Django是一個使用Python編寫的開源在線開發環境，使用MT設計模式。該模型負責與用于定義數據模型的基礎數據庫進行交互。該模板用于存儲各種HTML頁面，并用于由用戶可視地呈現頁面。顯示器是主要組件，負責與單個用戶一起工作，需要業務的需求和邏輯。 MVT之間的邏輯關系如圖2所示。

圖2 顯示典型的應用程序處理流程。

圖2 MVT關系圖

（1）用戶提交HTTP請求進行查看。（2）根據“查看性能”查詢執行業務邏輯處理。（3）如有必要，可以使用顯示模板讀取或保存數據。（4）使用數據庫模型將數據從數據庫取回相關數據。（5）根據需要允許使用HTML頁面模板。（6）模型從視圖返回HTML頁面。（7）將HTML視圖頁面返回給用戶。可視數據模塊主要記錄系統的過程控制過程，實時描述系統狀態的數據和報警信息。

■3.4 數據存儲模塊

數據存儲模塊在系統架構中占有比較重要的位置，直接影響到系統功能模塊的數據訪問效率。由于MySQL數據庫具有降低開發成本的優勢，因此本文選擇了MySQL數據庫和InnoDB數據庫引擎。

4 信息層入侵檢測可視化優化的實驗驗證及分析

■4.1 實驗對象及數據介紹

主要介紹了測試系統的多功能性和合理性，本文檔中的信息層使用可公開獲得的CDD99數據集來使用數據檢測常見的網絡干擾。 CDD99數據集通常用于干擾檢測，品牌培訓數據集包含大約490萬個數據點。由于存在大量數據，因此官方數據包由kddcup.data_10_percent.gz提供，可以提供大約490,000個數據樣本。本文提供的系統用于選擇數據集中的樣本數量，由于實驗室資源有限，因此這部分實驗還針對100,000人進行測試，同時更加有意地加快實驗過程。我們從490,000個數據中選擇數據，然后從實踐中獲得100,000個數據（75,000個數據），并將其余14個（25,000個數據）用作測試集。

■4.2 實驗驗證及分析

在將CDD99數據庫放入數據庫之前，分析師會做一個簡單的工作。首先，卡號是數據集中的一組變量，以協議類型為例，涉及三種協議：TCP和UDP、ICMP，依此類推，有兩種方法來管理標簽。第一種是將標簽分為兩類，總體匹配為1，攻擊率為0，目標是測試系統，其他人具有檢測攻擊的能力。五個類別為：正常1，DOS；攻擊2，U2R；攻擊3，R2L；攻擊4；調查攻擊5，目的是測試系統檢測某些類型的攻擊的能力。數據映射完成后，我們將數據保存在本文介紹的數據庫中，并根據系統建模過程以可視方式對其進行優化，整個過程的步驟如下：根據第一種處理方式使用第一個標記（通常，總體匹配1，攻擊0）。首先，通過單擊“標準化”按鈕對數據庫中的數據進行標準化，完成后，通過單擊“樣本數據”按鈕選擇，下拉菜單中的數據量意味著從訓練和測試數據集中隨機選擇了100,000個數據。完成測試后，單擊“數據清理”以加快觀察速度，然后從下拉菜單中選擇“ 33矩陣傳播圖形狀”以直接查看和放大由系統或其主要組件運行產生的圖像。

5 物理層入侵檢測可視化優化的實驗驗證及分析

■5.1 實驗對象及數據介紹

物理級別的實驗數據發布了計劃，該計劃使用田納西-伊士曼平臺（一種工業控制系統的典型化學工業）和田納西-伊斯特實驗室的半物理建模平臺來收集研究數據。物理過程平臺包含一個簡單的田納西州化學反應模型，以模擬實際的工業生產，主要由四個閉環控制器、一個反應器（用于化學反應和氣體分離）和兩個入口管線組成。包括2個出口，4個閥。在數據收集過程中，通過中間模仿人的攻擊（在數據集中標記為modbus）和在平臺上執行的感官攻擊（通過對數據集進行分類）收集了總共10,860個數據集。與信息層類似，提取3/4（8145數據）作為訓練集，其余的1/4（2715數據）用作測試集。

■5.2 實驗驗證及分析

物理級別的實驗對應于信息級別的實驗，并且簡要解釋了這一點，以避免重復。同樣，分析人員最初會觸發數據集中無數變量數量的指示，主要是為了進行標簽匹配。日志數據的正態性和分布更加平衡，可以直接使用第二種處理方法。顯示數據完成后，將存儲在數據庫中。由于數據量很小，因此請標準化數據并自行清理。完成后，將自動選擇方法。如果所選功能的數量為3，則交叉精度達到最大。在配置遞歸刪除算法的參數時，功能數量設置為3，可以執行三個最重要的功能：DATA_11，DATA_24，DATA_29。VM算法和KNN算法的分類效率。對于SVM算法，分析器在具有超參數的多項式內核上定義其主要功能。如果懲罰因子C設置為1且伽瑪設置為0.1，則可以獲得較高的Huh管理性能得分。如果數據分布相對平衡，則測試用例的匹配率達到99.24%，根據完整的分類報告，可以看出該解決方案具有較高的匹配率和較高的恢復率，可能會識別出特定的AndModbus，攻擊和正常的直接識別能力達到100%。結果表明，本文預測的視覺優化系統可以有效地攻擊攻擊者的物理層，并檢測某些類型的攻擊。如果選擇了KNN算法，則可以從KNN獲取分類分析報告，在此不再贅述。

■5.3 在線測試

在田納西州在線測試平臺上實施本文開發的工業控制系統入侵檢測器視覺優化系統后，我們可以根據前文介紹的數據恢復模塊簡化平臺處理器和HMI內存的使用，可以與控制器和nodetta中的其他節點集成，例如網絡帶寬、網絡延遲和網絡丟包狀態，指標可以被實時跟蹤并在線發布。為了無縫集成物理對象，在過程監視期間，田納西州的模擬直接顯示在實時數據中，并且可以識別特定的控制數據，例如傳感器和控制器。

6 結語

隨著工業控制系統潛在安全威脅的增加，信息安全問題變得越來越重要。入侵檢測是工業控制系統信息安全的重要組成部分，是研究熱點之一。最近在國內外，可視化優化技術旨在通過視頻與人工智能緊密集成，有機地將人類的感知、理解和分析技能與功能強大的計算機和存儲系統的功能結合在一起，以幫助人們不斷發現并適應當前情況。盡管在工業控制系統的入侵檢測領域中已經對視覺優化進行了研究，但對于實際應用而言，在工業控制系統中實現搜索引擎優化非常重要，因為具有高數據性能和交互功能的入侵檢測水平。