工業控制系統入侵檢測技術研究綜述

馬 標 金映言 那幸儀 賈俊鋮 唐 文

1(蘇州大學計算機科學與技術學院 江蘇 蘇州 215006) 2(西門子(中國)有限公司 北京 100102)

0 引 言

傳統的工業生產環境中,工業控制系統(Industrial Control System,ICS)主要負責協調和控制各種設備按照生產要求執行各種任務。隨著信息化的不斷發展和普及,德國在2013年提出工業4.0的概念,旨在利用信息化促進產業變革,從而提高工業的競爭力。在2015年,我國國務院提出《中國制造2025》戰略部署,全面推進建設制造強國的偉大戰略。目前,中德兩國已經簽署《中德合作行動綱要》,共同推進工業4.0的建設,推動第四次工業革命。

工業4.0帶來機遇的同時也面臨著挑戰。在工業4.0的生產中,ICS在完成工業生產任務的基礎上,還需要具有數據分析、遠程操控等功能,這些功能都需要將ICS接入互聯網才能實現,因此,越來越多的工控系統與互聯網融合,走向了信息化。由于傳統的工業控制網絡的主要功能是完成工業生產,在設計時缺乏安全考慮,在開放的網絡環境中容易遭受攻擊[1]。從網絡安全方面看,傳統工控系統在物理隔離環境下,采用私有的通信協議和軟硬件設施來保證網絡安全,接入互聯網后物理隔離被打破,系統的一些固有漏洞容易被攻擊者利用,從而進行破壞性攻擊[2]。從物理安全方面看[3],攻擊者通過網絡在工業設備中植入惡意軟件可以造成復雜的語義攻擊[4],攻擊可以直接修改傳感器設備的返回值,執行器的執行順序等影響整個物理空間的生產邏輯,造成重大生產事故。2001年澳大利亞污水處理廠入侵事件,2010年伊朗核燃料提煉工廠攻擊事件[5]等多起非法攻擊事件都給工業生產和國家財產造成了巨大損失。

目前,針對ICS的安全問題,相關研究人員嘗試通過借鑒互聯網領域的防護技術來解決,并結合ICS本身的特性進行改良,創造了工業防火墻,PLC漏洞挖掘等安全防護技術[6]。但是這些技術是被動防御的安全技術,容易被找到漏洞進行攻擊,也無法防御ICS內部攻擊。入侵檢測方法是一種主動防護技術,通過對ICS中通信行為的實時檢測、分析來檢測異常攻擊,可以檢測ICS內部攻擊和更加復雜的語義攻擊。

針對ICS入侵檢測的研究,研究人員根據ICS的特性從不同角度提出了很多有效的方法。本文對前人的方法進行歸納總結,首先對ICS結構進行介紹并分析ICS面臨的安全問題。然后將入侵檢測方法分成兩個大類,第一類為基于特征的入侵檢測方法,第二類是基于行為周期的入侵檢測方法,從這兩個方向對入侵檢測中具體方法進行總結分析。最后對ICS入侵檢測方法進行展望,提出相關問題的研究發展方向。

1 ICS概述

工業控制系統是各種類型的控制系統的總稱,包括數據采集和監視控制系統(Supervisory Control and Data Acquisition,SCADA)、分布式控制系統(Distributed Control System,DCS)和其他控制系統,如由PLC組成的控制系統。

1.1 ICS架構

SCADA控制系統常用于地理上較為分散的工業設備,DCS集成控制系統則被廣泛應用于過程生產。以上兩系統在控制工業設備和生產過程時,都需要PLC控制組件的支持。ICS通過整合DCS和SCADA系統的屬性而模糊了兩者之間的差異,因此實際的ICS可能是混合的控制系統。在ICS統一領域,ANSI/ISAG99[7]和IEC62443[8]等國際標準命名了5層結構。本文將其簡化為三層結構,包括過程網絡、控制網絡和物理過程,網絡架構如圖1所示[67]。

圖1 ICS網絡架構圖

過程網絡層包含HMI、SCADA服務器、工程師工作站等設施負責監控反饋、信息展示,為企業信息網提供連接、生產信息的收集和生產管理的能力。

控制網絡層由PLC和遠程終端單元(Remote Terminal Unit,RTU)構成,負責連接物理過程中的傳感器、執行器或其他設備,使用各種工業控制協議與傳感器等設備進行通信,為物理設施提供控制、監控、管理功能。

物理過程層是工業生產過程使用的各種工業設備,其中還包含了各類傳感器、執行器或其他工業生產所需電子設備。

1.2 ICS安全性分析

由于ICS在設計之初強調的是可用性和有效性,安全方面考慮欠佳。ICS與遠程網絡的連接沒有完善的安全邊界準入機制,使得基于TCP/IP通信的工業互聯網極易受到來自IT網絡的入侵,比如中間人攻擊、拒絕服務攻擊等。攻擊者通過互聯網入侵到過程網絡,并通過過程網絡或系統漏洞將惡意程序植入到PLC等控制設備中,進而直接干擾物理過程的生產,給工業生產造成嚴重破壞。表1總結了典型的工控系統各類攻擊。

表1 攻擊種類表

在真實的工業生產中,ICS除了面對傳統的網絡攻擊外,還要面臨一種專門針對ICS的語義攻擊。攻擊者對工業生產流程和物理設備有著詳細的了解,可以通過構造一組看似“合法”的消息序列來有針對性地對工業設備或者工業生產造成破壞。

ICS在通信協議、操作系統和應用軟件上都存在漏洞,經常被攻擊者利用并進行攻擊。為了保障工業生產的安全穩定,實時的入侵檢測就顯得格外重要。

2 ICS入侵檢測方法

入侵檢測在傳統互聯網中已經被廣泛研究和使用,它主要分為誤用檢測和異常檢測[16]。誤用檢測是對攻擊行為本身進行分析,提取攻擊行為的特征,建立攻擊行為知識庫,通過對比知識庫來發現入侵。異常檢測是對正常的通信行為進行建模,通過建立的正常行為模型來發現入侵。

在ICS中,IDS是確保ICS安全穩定的防護系統,通過對ICS中的設備和網絡信息進行分析、識別,從而判斷ICS是否正常運行,如果發現異常則進行相應的預警和處理。IDS[68]使用數據跟蹤的方法檢測入侵。入侵檢測專家系統(Intrusion Detection Expert System,IDES)被提出,IDES根據工業系統的特征建立相應規則來檢測入侵行為,可以做到實時檢測。隨著攻擊對抗的升級[72],語義攻擊開始出現,攻擊者學會隱藏攻擊行為,為了檢測語義攻擊,基于模型的入侵檢測[69]方法被提出。目前,為了檢測更加復雜的攻擊類型,越來越多的研究者提出多層次結構的IDS,即將不同類型的方法組合起來分別檢測不同類型的攻擊行為。由于ICS與傳統的互聯網系統在入侵檢測的要求和側重點上有很大的不同,互聯網的入侵檢測側重保證信息的安全性而ICS主要目標是保證工業生產的穩定性。同時ICS流量有高周期性、私有性等特點。針對不同的ICS,研究人員提出多種入侵檢測技術分類方法,涵蓋了結構層次、檢測方法、攻擊種類等。

本文分析總結大量研究成果,按照ICS的獨特性和高周期性將入侵檢測方法分為兩大類:基于特征的入侵檢測方法和基于行為周期的入侵檢測方法。基于特征的入侵檢測方法是通過分析ICS的數據特征比如攻擊流量特征、日志文件、傳感器數值范圍等來判斷ICS中是否存在入侵。基于行為周期的入侵檢測方法是在ICS正常運行的狀態下建立系統正常行為模式的行為模型,并通過正常行為模型來匹配要檢測的流量行為,如果流量行為不符合模型則認為發生入侵并進行報警。

2.1 基于特征的入侵檢測方法

與傳統IT網絡相比,ICS使用特有的協議規范、操作系統和應用軟件,在正常生產運行中遵循嚴格的標準。如圖2所示,基于特征的入侵檢測利用了正常行為下的系統特性、協議規范和行為特征,建立起對攻擊操作的檢測特征規則,從而實現了對不符合正常數據規范的攻擊行為的有效檢測。

圖2 基于特征的入侵檢測系統流程

2.1.1基于工控系統特性、流量特征和傳感器狀態的入侵檢測方法

ICS正常運行時需要滿足工業生產規則,通過對比ICS運行狀態、流量特征、日志信息和傳感器狀態等可以發現不符合ICS正常運行特征的攻擊行為。文獻[17]從系統描述文件中提取信息來生成綜合通信模型,然后使用通信模型生成安全措施的配置文件用以檢測入侵。文獻[18]通過分析基于IEC 61850的網絡流量來檢測異常事件,利用靜態特征和動態特征這兩個主要特征檢測異常流量。文獻[19]采用結構化方法來自動化PLC二進制文件的逆向工程,同時考慮到PLC二進制文件中固有的獨特特性,讓PLC特征挖掘更易實現。文獻[20]提出了一個可信賴的PLC驗證平臺——TSV,它允許在控制命令影響物理系統之前對控制命令進行最后一步安全驗證。文獻[21-22]比較了SCADA系統和傳統IT系統,發現SCADA流量在很大程度上不同于傳統的IT流量,主要區別在于SCADA流量有明顯周期性和自相似性。根據固定的網絡設備數、有限的協議數和規則的通信模式三個重要特征來建立IDS。文獻[23]通過研究典型SCADA系統內網絡流量的周期性和遙測模式設計了一個名為PT-IDS的IDS,可以有效地處理針對SCADA系統的四類攻擊:偵察、響應注入、命令注入和拒絕服務。文獻[24]針對現場設備檢索數據的輪詢機制導致數據傳輸高度周期性的情況,提出了一種基于SCADA流量高度周期性觀察的異常檢測方法。文獻[25]依賴于嵌入在幾何空間中的傳輸層分組有效載荷之間相似性的計算,提出了一種快速有效的基于有效載荷的異常檢測系統,該方法可用于檢測網絡流量中的未知攻擊。文獻[26]提出了一種基于改進灰色關聯分析的數據完整性攻擊檢測算法。FDI攻擊是最常見的數據完整性攻擊之一,也是ICS中最嚴重的威脅之一,該算法通過相關性分析來識別工業控制系統中的隱蔽FDI攻擊,并與基于數據分析的現有檢測方法進行了比較。文獻[27]提出一種基于自適應變異的粒子群優化算法,用于解決支持向量機參數尋優過程中標準粒子群優化算法易陷入局部最優的問題。文獻[28]利用離散時間馬爾可夫鏈(Discrete Time Markov Chain,DTMC)對從網絡消息和日志條目中獲取的若干ICS設備操作進行分析建模,可以檢測序列攻擊。文獻[29]提出了蜜罐這種經典的檢測機制,用蜜罐代替真實ICS來讓攻擊者攻擊從而達到保護真實ICS的目的。文獻[30]使用隱身攻擊檢測機制實時監控傳感器測量的時間序列,從而發現改變工業生產過程的攻擊行為。文獻[31]提出了兩種設備指紋識別方法,旨在增強ICS環境中現有的入侵檢測方法。第一種方法測量數據響應處理時間,并利用專用ICS網絡的靜態和低延性來開發精確的指紋,而第二種方法使用物理操作時間為每種設備類型開發唯一的簽名。文獻[32]提出了一種基于物理質詢響應的傳感器主動防御方法——PyCRA,通過隨機的物理刺激和子序列行為分析能夠確定傳感器是否受到攻擊。研究結果表明,物理質詢響應身份驗證可以準確可靠地檢測和減輕模擬傳感器級別的惡意攻擊。文獻[33]提出一種基于增量單類支持向量機(One-class Support Vector Machine,OCSVM)的ICS入侵檢測方法,解決工控入侵檢測系統建立速度慢、模型更新代價高和擴展性差等不足問題。

上述方法主要通過兩種方式檢測異常:第一種是利用ICS正常運行下系統特性、正常流量的特征和傳感器數值變化狀態與攻擊行為進行對比來發現攻擊行為;第二種是通過匹配已有攻擊的特征庫進行異常檢測。此類方法誤報率低,可以有效檢測功能碼異常、緩沖區溢出等攻擊,但是對符合特征規范的語義攻擊無法進行有效檢測。

2.1.2基于規則挖掘的入侵檢測方法

由于基礎設施的詳細信息通常用于規范和配置文件,通過收集這些信息可以有效了解工業生產的實際運作模式,制定相應的規則來檢測流量行為是否符合要求。文獻[34]研究了如何選擇高斯核參數以及如何將其應用于故障檢測。高斯核是支持向量機(SVM)中最常用的核函數之一,而選擇高斯核參數對分類器的性能影響很大。該論文提出了兩種不同的方法來優化高斯核參數,這些方法分別屬于該領域中的兩類方法。文獻[35]通過挖掘傳感器和執行器的狀態規則提出了一種針對順序控制系統的過程用戶序列攻擊的入侵檢測方法。方法分兩個階段:挖掘過濾階段和檢測階段。所提出的方法在實際環境中可以有效檢測序列攻擊。文獻[36]介紹了一種基于規則的入侵檢測傳感器,專用于監控AMI通信流量。該解決方案依賴于協議規范,安全要求和全面的安全策略來檢測入侵行為,并在系統發生可疑行為時觸發警報。文獻[37]提出了一個基于Bro的入侵檢測框架,它由三部分組成:DNP3解析器、事件處理程序、協議驗證策略。在DNP3解析器的幫助下,分析儀能夠觀察與SCADA系統相關的所有DNP3事件。事件處理程序用于分析每個DNP3網絡數據包的解析生成的網絡事件,在解析過程中提取與每個事件有關的語義信息。針對提取出的語義信息,Bro框架通過設計準確的協議驗證策略能有效檢測入侵行為。文獻[38]使用語法歸納算法來進行入侵檢測,而無需任何先驗知識。算法將連續的時間序列值離散化為符號形式,推斷出上下文無關語法,并利用其層次結構有效地發現與異常相關的不規則性。

基于規則挖掘的入侵檢測方法通過挖掘ICS運行過程的特征關系來判斷當前的ICS運作是否如何正常工業生產要求,并對異常行為進行攔截預警。此方法可行性高,能直接部署在Snort、Bro等現有IDS中,并且可以在攻擊行為產生實際影響前進行攔截,但是面對符合規則的語義攻擊檢測能力有限。

2.1.3基于機器學習的入侵檢測方法

機器學習是人工智能的核心,廣泛應用于數據挖掘、計算機視覺、模式識別等領域。工控網絡入侵檢測中所使用的基于機器學習的方法主要包含基于單類支持向量機和基于神經網絡的方法。

傳統的SVM屬于監督學習方法,多被應用于多分類問題,需要多類帶標簽的樣本作為訓練數據,但是ICS中的數據有相關性高、數據維度高等特點,且多為正常數據,基于真實攻擊捕獲的異常數據很少。

而OCSVM算法可以只根據一類樣本來訓練異常檢測模型,該算法時間復雜度低,對樣本數量要求低,針對噪聲有很好的魯棒性。文獻[39-40]提出基于PSO粒子群優化算法的PSO-OCSVM模型,模型只需要一類樣本即可完成訓練,可用于ICS通信模式的異常檢測。文獻[41]使用樸素的貝葉斯分類創建攻擊識別模型,通過計算正常流量與異常流量的離群值來識別異常。文獻[42]通過分析現有基礎設施中的真實網絡數據和人為合成的入侵數據,提出了基于特定窗口的特征提取方法。它通過計算有限數量的相鄰分組的統計特征,在單個描述矢量中捕獲分組流的時間序列性質,然后使用BP(Error-Back Propagation)和LM(Levenberg-Marquardt)兩種神經網絡算法的組合來進行建模。在深度學習訓練中經常出現正常數據遠多于異常數據,且異常數據間數量差異也很大,文獻[70-71]使用生成對抗網絡(Generative Adversarial Networks,GAN)來解決異常檢測中數據不平衡問題,使用GAN來生成更加豐富的數據,進一步提高了IDS識別準確率。

基于機器學習的入侵檢測方法可以通過訓練模型或網絡來挖掘工業流量隱藏特征來進行入侵檢測,不需要對ICS運行機制和獨特特征有深入的理解,降低了研究成本。

2.2 基于行為周期的入侵檢測方法

ICS的運行是為了完成固定的工業生產任務,它遵循著嚴格的生產邏輯,由于工業生產是高周期性的,所以ICS的行為模式也是高周期性的,通過對正常行為進行建模分析可以有效檢測入侵攻擊。如圖3所示,基于行為周期的入侵檢測主要利用ICS正常運行時的通信、運行、操作行為構建正常行為模型,對要檢測的行為與模型進行實時對比發現異常。基于模型的一個優點是它可以檢測未知的攻擊。

圖3 基于行為周期的入侵檢測系統流程

2.2.1基于預測模型的入侵檢測方法

在ICS的控制網絡中,PLC根據編程邏輯發送指令來操作執行器和傳感器。由于PLC的指令間是有邏輯關系的,所以根據前幾個指令可以預測下一個指令。這些指令是通過ICS流量進行發送,根據流量的關系構建預測模型能進行異常檢測。

滲透攻擊會導致異常的流量波動,因此可以使用流量預測模型進行檢測。文獻[43]提出了一種名為HML-IDS的混合多級異常預測方法,用于SCADA系統中的入侵檢測。該方法將包內容級別檢測與另一個基于實例的學習器相結合,以檢測新的攻擊。使用從天然氣管道SCADA系統生成的真實大規模數據集進行的實驗結果表明,該方法的準確率達到了97%。文獻[44]提出一個多層次化的IDS,其中包括流量預測模型和異常檢測模型,基于整合移動平均自回歸模型(Autoregressive Integrated Moving Average model,ARIMA)的流量預測模型,可以預測短期內的ICS網絡流量,并根據流量模式的異常變化準確檢測滲透攻擊。使用OCSVM的異常檢測模型能夠通過分析IP數據包中的關鍵字段來檢測惡意控制指令。為了保證網絡的穩定性,文獻[45]通過基于ARIMA的隨機方法對網絡流量建模,并以基于高帶寬的傳輸協議(DSTP)為例進行驗證,模型可以對時間敏感的控制器任務進行準確的時間規范,確保了控制回路的穩定性。文獻[46]根據服務器I/O流和硬件信息,利用自相關回歸模型(Autoassociative Kernel Regression,AAKR)對檢測樣本進行預測輸出,并與實際樣本值比較,通過偏差計算判別輸入特征樣本是否為異常行為模式。ICS的生產過程可能會很復雜,針對整個生成過程中的時間序列數據進行建模預測比較困難。文獻[47]為了在不同的時間尺度上預測復雜的多分量時間序列數據,使用數字信號處理技術將復雜的多分量時間序列分解為幾個基本分量,然后分別用不同的神經網絡來對各個分量構建預測模型。不同類型的ICS攻擊具有不同的強度和攻擊側重點,同樣地,不同種類的預測模型也有各自的側重,因此使用單類預測模型來檢測所有類別的異常行為效果不佳,文獻[48]將多個單類預測模型的預測結果集成在一起構建組合預測模型,以提高整體預測準確性,組合模型的權重由每個模型的均方誤差確定。

基于預測模型的工控系統異常行為檢測方法,根據ICS正常運行時的時間序列構建預測模型。檢測時,預測模型根據預測的正常輸出和實際值的絕對偏差檢測異常攻擊,可以檢測出未知攻擊和簡單的語義攻擊,但是當檢測到異常行為時,工控系統已經遭到攻擊。

2.2.2基于狀態機和狀態圖的入侵檢測方法

通過分析ICS流量可以了解ICS運行模式,根據流量的出入關系和頻率構建狀態圖可以有效識別流量的周期模式。狀態機是有限狀態之間轉換的計算模型,可以用于表示周期性流量的轉換關系,運行效率極高。文獻[46]使用確定性有限自動機(Deterministic Finite Automaton,DFA)來構建IDS,為了縮短DFA的長度,文獻[50]通過將第一層DFA識別為未知的流量用來構建第二層DFA,此方法在簡單流量中有不錯的效果,但是面對復雜周期的流量會形成超長DFA,誤報率也偏高。在許多情況下,可以通過DFA對每個單獨的PLC和SCADA服務器之間的流量進行建模,但是文獻[51]對美國自來水廠中網絡流量的分析表明,網絡中所有通道上的通信都是以數據包突發形式進行的,針對這樣的情況提出一種新的Burst-DFA模型,對每個通道構建一個Burst-DFA,匹配該通道的所有突發流量。此模型成功地解釋了數據語料庫中95%到99%的數據包,并且在構建實際異常檢測系統方面取得了很大進步。

文獻[52]根據流量的出入關系構建離散時間馬爾可夫鏈(Discrete Time Markov Chain,DTMC)并根據DTMC狀態圖中符號頻率和節點出入關系將多周期混合的流量分解成多個子周期,并對每個子周期構建DFA模型,檢測時通過DFA選擇器將輸入流量分解復用到子信道并將它們發送到各自的DFA中。狀態圖模型與單DFA模型相比,大大降低了誤報率和學習模型的大小。文獻[53]開發并應用了一種基于頻譜分析的新狀態圖構建方法。首先將捕獲的數據轉換為“信號”,并對其應用傅里葉變換以識別頻域中的主導周期。然后通過切換回時域來確定循環模式,確定模式的符號,并推導模式中每個符號的實例數量以及模式中符號的正確順序。最后為PLC-HMI通道中的每個循環模式(子通道)創建DFA,形成一個多DFA的異常檢測模型。該方法驗證了SCADA流量狀態圖模型的可行性,為實際異常檢測系統提供了堅實的基礎。

基于狀態機和狀態圖的入侵檢測方法根據ICS流量的出入關系對流量行為進行建模,能夠有效檢測入侵行為,模型運行效率高,漏報率低,但是DFA的敏感性高,導致了比較高的誤報率。

2.2.3基于周期性模式挖掘的入侵檢測方法

時間序列是將統一指標的數值或符號按照時間先后排序而成的數列[54]。時間序列周期性模式挖掘是數據挖掘中非常重要的一個研究領域,找出序列數據中所有超過最小支持度閾值的序列模式可以有效挖掘序列的周期關系,周期性模式挖掘的最終目標是從原始數據或轉換后的數據中查找隱藏的信息或知識[55]。工業流量具有高周期性的特點,使用周期性模式挖掘的方法可以有效識別ICS的周期行為,讓建模準確度更高,從而提高入侵檢測準確度。文獻[56]使用多個最佳傅里葉系數來表述每個時間序列,設計了一種能夠自動發現重要周期數的算法,這個算法能夠提供時間序列之間歐氏距離的上限。異步周期性模式挖掘一直是周期性挖掘的一個難點。文獻[57]針對固定時間間隔內包含多個事件的符號序列提出一個通用的異步周期模式模型,使用三個參數min rep、max dis和global rep來指定有效的無中斷模式發生段所需的最小重復次數,兩個連續有效段之間的最大允許干擾,以及有效序列所需的總重復次數。實驗證明此方法性能良好,可擴展性強。文獻[58]也提出了一種挖掘異步周期模式的通用模型,其中每個有效段都需要具有模式的最大和最小連續匹配。文獻[58]將問題分解為有效段發現和異步子序列組合兩個子問題,并提出了一種基于時間序列的漸進驗證算法(PTV),實驗結果表明,該方法在周期事件較多的情況下具有較好的性能。由于傳感器數據流是實時且不斷生成的,對于這類增量式數據的周期性挖掘,文獻[59]提出一種在線的增量算法——STAGGER,算法通過維護最大子模式樹來挖掘數據周期性并提出使用“滯后”閾值來維持挖掘閾值。

ICS運行過程中常常有人工干預的操作,在數據預處理階段,將自動事件與人類活動引起的事件分開,可以改善統計模型構建并增強異常檢測能力。文獻[60]介紹了一種用于識別事件時間周期性變更點的檢測框架。每個子序列的打開事件可以被解釋為人類行為,然后生成自動的周期性過程,解決了由于存在重復和丟失數據而引起的周期難以挖掘的困難。文獻[61]通過采用貪婪搜索來確定模式的周期性規律,其基本思想是通過消除基于次優解的非周期模式來發現所有周期性頻繁模式,確定頻繁模式周期性方法的最佳和最差情況下的時間復雜度分別是O(1)和O(n)。文獻[62]使用簡單傅里葉分析技術識別流量中的輪詢行為,用于檢測周期性行為的方法是對每個IP到IP事件的計數過程依次應用傅里葉分析。文獻[63]提出了一種基于改進的單類支持向量機的工業通信入侵檢測算法。該算法通過使用改進的單類支持向量機和基于粒子群算法的PSO-OCSVM算法來優化參數,建立了一個正常的通信行為控制模型,以實現工業控制網絡中的異常檢測。文獻[64]從不完全觀測中進行周期檢測。首先提出一個周期行為的概率模型,設計了一種新的周期度量方法和一種在實際場景中檢測周期的實用算法。其次應用大數定理給出了一個嚴格證明其有效性的概率框架,最后應用傅里葉變換和自相關進行實驗對比。實驗研究表明,該方法對不完全收集的數據和復雜的周期行為具有較強的魯棒性。文獻[65]提出了一種基于改進支持向量機的新型網絡安全算法,從智慧城市的角度出發,使用單類支持向量機來緩解入侵。文獻[66]使用周期分析器來構建ICS流量模型。周期分析器由三個模塊組成。首先,多路復用器對被監控的網絡流量進行預處理,將流量分為不同的流量。然后,記號賦予器將每個數據包轉換成一種協議相關的格式,稱為記號。最后,學習者處理每個令牌,以識別和描述周期性活動。所有識別周期的信息構成了ICS網絡中的通信模型,周期分析器模型可以有效檢測數據注入攻擊。

數據挖掘中的周期性模式挖掘能夠幫助尋找ICS的周期性模式,發現ICS中各數據流量的內在邏輯關聯,在更高的維度上構建ICS周期行為模型,使得模型能識別更加復雜的語義攻擊。

2.3 不同入侵檢測方法優缺點總結

表2為基于特征的入侵檢測方法的優缺點比較,表3為基于行為周期的入侵檢測方法的優缺點比較。

在ICS的入侵檢測中,基于特征的方法根據系統自身的數值、狀態特征來檢測異常,方法針對已知的攻擊有著很高的識別率并且誤報率低,但是對于符合系統特征但是不符合ICS實際運行邏輯的語義攻擊顯得無能為力;基于行為周期的方法通過挖掘ICS行為周期來發現ICS實際的運行邏輯,然后根據挖掘出的行為周期進行建模檢測異常,此方法可以檢測復雜的語義攻擊,并且能夠檢測未知類型的攻擊,但是在周期挖掘的準確度上需要進行進一步研究。

表2 基于特征的入侵檢測方法分析表

表3 基于行為周期的入侵檢測方法分析表

3 結 語

為了應對越來越復雜的工業生產需求,ICS的網絡化已經是一種必然趨勢,這使得ICS面臨著前所未有的安全威脅。本文首先結合ICS的網絡框架分析了ICS存在的安全隱患,介紹了針對ICS的常見攻擊和語義攻擊。然后在深入分析ICS后,根據ICS的獨特性和高周期性將現有的方法分為基于特征的入侵檢測方法和基于行為周期的入侵檢測方法,針對這兩大類方法中的具體方法進行了詳細介紹。最后比較了這些方法各自的應用場景和優缺點。

與IT系統相比,不同的ICS由于采用不同的生產工藝、設備配置、協議種類等,ICS之間的差異很大,這導致很多入侵檢測方法的普適性較差,針對不同的ICS需要定制不同的入侵檢測系統。為了保障ICS安全生產,很多ICS相關的專有協議和應用軟件都沒有開源,在一定程度上隔絕了外來攻擊,但是也給相關入侵檢測研究增加難度。因為ICS生產涉及很多商業機密,基于實際工業生產的開源數據集很少,所以入侵檢測的相關研究多是在私有數據集上進行,很難有統一的衡量指標,復現難度高。

針對目前入侵檢測方法的研究現狀,將基于特征的入侵檢測方法和基于行為周期的入侵檢測方法結合,構建一個多層次的入侵檢測系統來檢測不同類型ICS的復雜攻擊是以后研究的一個重要方向。同時,倡導一個開源的ICS入侵檢測社區,對推動入侵檢測相關研究的發展有著重要意義。