基于混合隨機邊緣計算的工控入侵檢測系統設計

魏巍巍

(北京信息職業技術學院 數字商務學院，北京 100015)

0 引言

近年來，工業控制網絡的入侵和攻擊事件日益增多，信息安全受到破壞，為此研究工業控制網絡入侵檢測系統具有重要意義[1]。具體地說，入侵檢測系統在保障工控網絡安全方面起著重要作用。例如，防火墻只能允許或阻止特定的端口訪問，但卻無法阻止開發端口的攻擊入侵[2]。工控網絡內部攻擊往往比外部攻擊更加強大和具有破壞性，而入侵檢測系統能夠阻止網絡內部的攻擊，因此入侵檢測系統能夠對工業控制網絡的安全保護起到很大的作用[3]。

當前相關領域學者已對工控入侵檢測系統做出了研究。文獻[4]提出了基于深度Q網絡的工控網絡異常檢測系統，融合深度學習算法及Q-learning方法對工控網絡進行訓練，及時發現入侵攻擊行為并作出預警。然而由于工業控制網絡對于網絡操作具有特殊要求，如果只對正常運行狀態下的工控網絡進行訓練，會導致入侵行為漏報現象，一旦入侵行為稍作調整，就可以躲避系統檢測；文獻[5]提出基于優化極限學習機的工業控制系統入侵檢測模型，利用混合自適應量子粒子群算法，對入侵行為輸入權值和隱含層結點閾值進行優化，增強了算法的全局優化能力，建立了基于 HAQPSO優化的工業控制入侵檢測模型。雖然使用該系統的全局尋優能力較強，但一旦出現邊緣入侵問題，那么使用該系統就無法有效檢測，導致檢測效果較差。

基于上述檢測系統存在的無法及時準確檢測到邊緣入侵行為，威脅工控系統網絡安全的問題，提出了基于混合隨機邊緣計算的工控入侵檢測系統設計，分別對系統硬件模塊及軟件流程做出設計。利用邊緣計算將云計算的計算能力滲透到數據端，將邊緣云協作融入混合隨機邊緣計算中，通過混合隨機邊緣計算得到入侵檢測信號的能量，構建動態模型實現工控入侵檢測。

1 工控入侵檢測系統硬件結構設計

鑒于工業控制系統的特殊性，系統中的每一種設備都需要根據業務邏輯在固定的時間內完成其具體的操作，對實時性要求很高，不能有任何差錯，否則將威脅工控系統的正常運行，甚至破壞系統的功能[6]。為了避免工業控制環境下的入侵檢測系統受到外界干擾影響，提出了一種基于混合隨機邊緣計算的工業入侵檢測系統，并對其進行了詳細的設計。系統硬件結構如圖1所示。

圖1 系統硬件結構

由圖1可知，本系統采用一臺中央服務器和分布在各個工控子網上的多路網探頭分布式結構，通過獨立交換機構成網絡入侵檢測系統，利用分布式網絡探針，將網絡流量接入系統，實現系統的零干擾。中央服務器能夠實現工控網絡數據大容量存儲并提供性能良好的處理器，實現數據的高速處理；分布式網絡探針包括網絡流量采集器、數據預處理器及入侵檢測引擎，能夠實現工控網絡入侵的實時、可靠檢測；核心交換機可實現的網絡流量數據的可靠、高速傳輸。

1.1 中央服務器

系統采用一臺中央服務器作為管理和控制中心，通過任務分配機制實現對網絡探測器的管理，探測器通過網絡發送和接收報警信息，形成一個統一的報警日志，并在一個友好的可視世界中為管理人員顯示各種報警統計數據[7]。

中央服務器結構如圖2所示。

圖2 中央服務器結構

由圖2可知，中央服務器是通過代理服務器連接到互聯網上的局域網，主板使用了Catalina型號緩沖器，可擴展CPU通道，將2個擴展成8個，每條通道內包含DDR3內存子通道，每條內存通道有兩個 CPU，因此總共有48個內存插槽[8]。中央服務器需要多個網卡接口，以及大容量存儲和一個性能良好的處理器。采用多種網卡接口連接不同的網絡探頭，采用大容量存儲器存儲各種報警信息和日志記錄[9]。另外，為了保證良好的用戶體驗，還必須對處理器的性能提出了要求。

1.2 分布式網絡探針

分布式網絡探頭部署在各種工控子網上，具有監聽、捕獲、解析網絡包的功能。選用JY211-QTQ-04型光纜檢測儀，它由一臺變送器和一臺接收機組成，能夠自動檢測并顯示電池的電壓，在低于10 V時報警迅速停止。關電后，阻抗匹配自動啟動，啟動時實時顯示信號強度。接收者接收來自光纖的信號，并檢測線路和深度。操作人員根據指針顯示，蜂鳴器發出聲音提示確認電纜線路，埋設部門進行埋深[10]。

經晶形振子處理后，產生5 M的正弦波，再將其分解為7.8 k左右的正弦波，電流通過晶體管和線圈發出強大的電磁波。每一區域的線圈都可以接收到電磁波，而中心控制器在電磁波發送期間，可以掃描5張采集卡，并在界面上顯示其結構。每個網絡檢測器至少有兩個端口，一個端口用于工控交換機鏡像通信，另一個用于連接中央服務器[11]。

1.2.1 網絡流量采集器

為了提高網絡流量捕獲效率，使用網絡 I/O結構，避免數據丟失，結合開源函數庫，在1 000 MHz單核 CPU下處理10 G網絡流量?；诹銖椭扑枷?，結合網絡地圖設計的網絡流量采集器，相對于傳統的網絡流量采集方式，可以顯著提高網絡數據采集速度，有效地節約了系統設計費用。網絡流量采集器中，網卡通過網卡環對入站和出站組進行管理。每個網卡都要維護至少幾個小空間，每一個空間都包含大量的緩沖信息，主機網絡堆棧通過一個網卡直接訪問緩沖區存儲區域，使數據按順序依次進行接收[12]。

1.2.2 數據預處理器

主要包括會話解析數據處理、工業控制協議數據處理、協議解析數據處理等，其中會話解析數據處理主要包括對提取源 IP、源數據、目的 IP、目標日期、傳輸層協議等信息進行處理；工業控制協議數據處理主要包括對用于識別行業協議的特征域進行處理；協議解析數據處理主要包括對開放源碼的處理以及工控協議代碼。

1.2.3 入侵檢測引擎

入侵檢測引擎為系統的核心引擎，具備實時、可靠檢測功能，入侵檢測引擎如圖3所示。

圖3 入侵檢測引擎

由圖3可知，入侵檢測引擎通過獲取和分析通信數據包，采用規則自學習、特征提取、分類、入侵檢測等技術，建立了一個工業控制系統，以實現分布式入侵檢測功能。

1.3 核心交換機

采用S5720S-28P-SI-AC型號，24口全千兆網絡核心交換機，可直接與網絡用戶連接。核交換接入層與核心層之間設有匯合層，其中接入層的作用是支持終端用戶直接接入網絡，其特點是端口高、密度低；匯流層的作用是將多個節點數據匯合到一層，處理所有從接入層傳送的流量數據；核心層的作用是提供可靠的網絡流量傳輸結構，實現數據高速傳輸[13]。

2 基于混合隨機邊緣計算的工控入侵檢測系統軟件設計

在硬件結構的基礎上，設計工控入侵檢測系統軟件流程?？蛻魴C根據所需完成的服務生成任務來執行請求包，在這個請求包中，使用跟蹤身份表示正在執行服務，而邊緣計算會將云計算的計算能力滲透到數據端。所以，局部邊緣計算具有高實時性，能夠存儲短期數據，而云計算則能存儲大量數據，遠距離進行大數據分析，以及本地支持邊緣計算的決策能力[14]。本文通過邊緣計算和云計算在入侵檢測業務中的應用，分析了邊緣云協作在入侵檢測業務中的作用。

設計的基于混合隨機邊緣計算的工控入侵檢測系統，主要步驟包括：

步驟1：由于網絡中可以有多個節點處理某項任務中的一個步驟，因此請求包中任務執行的每一個服務也需要指明它將在哪個節點上執行。當發送給網絡的任務執行請求包時，如果是按串行順序執行的，那么服務序列中的每個項都是連續執行的[15]。在邊緣節點上，跟蹤標志指向子服務序列中的下一個服務。

步驟2：根據所構建的業務網絡拓撲圖和當前需要執行的業務，客戶選擇具有最佳指標的邊緣節點，將任務執行請求包發送到相關的邊緣節點。

服務網絡拓撲圖如圖4所示。

圖4 服務網絡拓撲圖

步驟3：關聯邊緣節點解析任務執行請求包，當相關服務出現局部執行結果時，直接讀取相應的執行結果。而且，如果服務隊列中的同一個服務等待執行，那么隊列就跳到請求包執行相關任務的位置[16-18]。不然，在服務隊列之后重復這個過程，直到服務完成。

步驟4：基于混合隨機邊緣計算的入侵檢測動態建模，分析一段待檢測的工控網絡入侵信號W，其計算公式為：

(1)

公式(1)中，λi表示待檢測信號中各個檢測點的有效幅值；m表示待檢測信號的有效長度。

由于工控系統中存在隨機噪聲擾動，通過分數階變換對隨機噪聲擾動進行自相關特征匹配，抑制噪聲輸出，得到去噪后的檢測信號。

(2)

公式(2)中，λ(m)表示去噪后的檢測信號，k為調頻斜率，S(t)為零均值高斯噪聲。

基于混合隨機邊緣算法計算噪聲去除后的功率psl，計算公式為：

(3)

設maxW1表示待檢測某段R1的最高能量，該段能量所對應的信噪比為maxSNR1，maxW2為表示待檢測某段中剩下部分的R2最高能量。

基于上述內容，構建的入侵檢測動態模型為：

(4)

當入侵信號滿足公式(4)時，則檢測到的R1信號段為入侵信號段，否則R2為入侵信號段。通過該模型實現工控系統入侵檢測。

綜上所述，基于混合隨機邊緣計算的工控入侵檢測系統軟件流程如圖5所示。

圖5 基于混合隨機邊緣計算的工控入侵檢測系統軟件流程

3 實驗結果與分析

3.1 實驗環境

為了驗證基于混合隨機邊緣計算的工控入侵檢測系統設計合理性，利用上位機結合具體工況業務邏輯，分析燃氣管網的工作模式，其拓撲結構如圖6所示。

圖6 實驗環境拓撲結構

由圖6可知，為了方便入侵檢測系統移植，在控制層設置了兩種PLC，并部署在控制子網中。

3.2 實驗數據集

KDD CUP 99數據集包含了TCP dump網絡數據和審計數據，模擬多種用戶種類，使其看起來像是在真實環境下構建的網絡環境。其中TCP dump網絡數據主要分為兩個部分，分別是包含5 000 000個訓練數據和200萬條的測試數據。

聯網連接是指在某一時期內，從頭到尾的 TCP數據組成序列協議，將數據從源 IP地址傳輸到目標 IP地址。未知攻擊出現在測試集內，主要包括4種異常情況，如下所示：

1)拒絕攻擊模式，比如受到畸形報文攻擊、協議缺陷、IP欺騙；

2)遠程主機未授權訪問，比如密碼猜測；

3)未授權本地用戶訪問，比如緩沖溢出攻擊；

4)端口監視，比如端口掃描。

3.3 實驗結果與分析

在上述4種異常情況下，觸發基于混合隨機邊緣計算的工控入侵檢測系統的告警日志記錄，如圖7所示。

圖7 4種異常數據下入侵檢測系統的告警日志記錄

由圖7可知，圖7(a)拒絕服務攻擊下的入侵檢測報告：在局域網中可能存在攻擊畸形報文攻擊、協議缺陷、IP欺騙行為的主機，直接通過強制斷網操作，就可阻斷入侵行為；圖7(b)遠程主機未授權訪問下的入侵檢測報告，通過對局域網中運行的影響網速的軟件檢測，可及時發現入侵行為；圖7(c)未授權本地用戶訪問，通過在安全工具窗內，選擇自動向局域網發送攻擊免疫信息，由此開啟入侵檢測功能；圖7(d)為端口監視，通過將IP地址和MAC進行靜態綁定來實現端口掃描，阻斷入侵行為。

分別采用文獻[4]方法、文獻[5]方法作為實驗對比方法，對比分析不同入侵時間段下系統的潛伏期，對比結果如圖8所示。

圖8 3種系統不同入侵時間段下系統潛伏期對比分析

由圖8可知，使用文獻[4]方法在入侵時間為13 s時，潛伏期達到最長為6.4 s，并且隨著入侵時間增加，潛伏期也在5～6.4 s間波動；使用文獻[5]方法的入侵檢測系統在入侵時間為40 s時，潛伏期達到最長為5.8 s，潛伏期時間較長；使用基于混合隨機邊緣計算的入侵檢測系統在入侵時間為7 s時，潛伏期達到最長為2.4 s，隨著入侵時間增加，該系統有效抵抗了黑客入侵，雖然在20～30 s范圍內出現小幅度的變化，但最終成功抵抗了外界入侵。分析可知，文獻[4]方法采用深度強化學習算法訓練工控網絡入侵數據，輸出入侵攻擊行為數據，該方法未對不同運行狀態下的工控網絡進行訓練，因此存在入侵行為漏報現象；文獻[5]方法采用混合自適應量子粒子群算法，在HAQPSO的基礎上優化入侵行為的輸入權值和隱含層節點閾值，增強了算法的全局優化能力。但該方法無法有效地檢測出邊緣入侵行為。而本文方法采用混合隨機邊緣計算方法，將邊緣云協作融入混合隨機邊緣計算中，獲取入侵檢測信號的能量并判斷入侵信號段，因此能夠得到準確的入侵檢測值。

4 結束語

設計工控入侵檢測系統，將混合隨機邊緣計算方式融合到工控入侵檢測系統中，可將檢測任務劃分到檢測環節中，在工控環境下對入侵信號段進行精準識別與監測，實現對工控系統的全面檢測。實驗結果表明，所設計系統能夠準確監測到實驗設置的4種異常情況，其入侵檢測潛伏期最長為2.4 s，能夠成功抵御外界入侵，使其更加適用于工控網絡。

雖然所設計系統發揮了良好的作用，但還存在許多有待改進的地方，值得進一步研究：在應用場景中，如何設計出適合于工業網絡安全的模式匹配算法，對進一步提高檢測效率具有重要意義。