更全的杂志信息网

工业控制系统入侵检测技术研究综述

更新时间:2016-07-05

目前,针对工控网络的安全防护手段主要是传统IT系统防御方法的移植,然而工控系统对实时性的要求和有限的计算与存储资源均对这些防御手段提出了新的要求。入侵检测技术通过对系统内的通信行为进行实时监视、分析并发现可疑行为进行报警,便于安全人员及时采取相应措施。因此,近年来以旁路监听为基础的工控网络流量异常检测得到研究人员的广泛认可。本文将对工控系统入侵检测技术进行深入分析。

一、工控系统安全需求概述

(一)工控系统网络结构特点

为便于对工业生产进行实时监视与控制,人们建立了由企业办公网络(简称企业网络)、控制与监控网络、现场控制网络组成的工控网络,如图1所示[1]。工控网络是以具有通信能力的传感器、执行器、测控仪表为节点,以现场总线或以太网等作为通信介质,联结成开放式、数字化、多节点通信,从而完成测量控制任务的网络[2],因此工控系统与物理世界联系密切。

在工控网络中,企业网络主要根据监控网络提供的数据为管理者进行决策与公司的战略部署提供支持,制造执行系统负责计划安排、调度执行。控制网络包括操作员站、OPC服务器(OLE for Process Ccontrol),操作员可以通过SCADA监视与控制现场网络的行为,并负责现场网络与企业网络之间的信息传递与存储。现场网络主要通过DCS、PLC和RTU对现场设备进行实时控制与数据采集,并简单处理采集的数据,回传到控制网络中的操作员站。

在房屋建设过程,重视开展房建监理工作是必要的,对于此本文重点分析了房建监理开展前的预控工作要点,结合实践总结,提出了相关研究策略,下面具体分析:

(二)工控系统的安全需求

早期的国际标准中对工控系统安全的定义是safety,即主要关注生产过程中不可预计的硬件设备故障与失效对正常生产、生命安全造成的威胁。而信息系统对安全的定义是security,一方面考虑对信息系统的非授权访问导致敏感或有价值信息的泄露,另一方面考虑系统通信的交付能力是否满足需求。工控系统的逐渐网络化与信息化对网络安全提出了更加严格的要求,可以分别从应用安全、网络安全、物理安全层次考虑系统的可用性、保密性与完整性。

研究人员从不同的应用角度开发出各种入侵检测技术,但是依然沿用IT系统入侵检测技术的检测指标,对于准确性和实时性尚无明确衡量标准;此外该如何选取具有代表性的特征、寻求高效的算法仍是研究热点;入侵检测技术作为工控安全防护最关键的技术,其自身的安全性应首先得到保障。

1. 应用安全

工控系统主要对物理环境进行监视与控制,因此物理环境的不同导致了工控系统应用的多样性,如专用的操作系统与应用软件。为满足生产的实时连续性,大多应用采用了轻量化的设计理念,先天安全能力不足,杀毒软件升级更新不及时。存在后门的进程与服务以及自身的漏洞为非授权访问提供支持,导致敏感、有价值的信息泄露。加之工业设备工作的持续性,难以重启、更新,为恶意应用进程与服务的寄生提供了隐蔽环境。

图1 工业控制系统

2. 网络安全

3. 物理安全

从控制领域的观点出发,原有工控系统在物理隔离的环境下,私有协议可以保证工控网络空间的机密性,但是面对逐渐开放的环境,私有协议并不具备抵御来自网络空间各种攻击的能力。此外,还应该考虑控制命令、工业过程信息(如DNC程序)等数据在传输与存储过程中的完整性与保密性。因此网络通信与协议对工控系统安全需求的交付能力应该得到保证。

工控设备对物理空间的操作可以分为执行器、传感器、仪器仪表。执行器的业务流程正确与否直接对人员、生态环境构成巨大威胁。传感器回传数据的正确性则决定工程师控制站对执行器命令的准确性。此外,虽然命令符合规范,若违背了物理空间的生产逻辑,仍会对物理空间造成巨大威胁。因此,从物理安全需求出发,更应该关注终端设备的工作状态。

(三)工控系统的攻击分析

1. 工控系统攻击的种类与特点

1. 入侵检测技术性能指标

2. 工控系统入侵检测的难点

针对工控系统受到的安全威胁,研究人员通过入侵检测技术对系统运行状态、网络通信状态进行实时监测,以保证第一时间发现异常,协助安全人员及时做好防范工作,抵御已知和未知的网络攻击。入侵检测技术是各类网络防护措施的核心,但是工控系统具有实时性高、计算资源有限、系统升级困难等特点,导致基于网络的入侵检测技术无法直接应用在工控系统中。在入侵检测方案设计过程中需要充分考虑不同攻击的特征,分析各种攻击的特点,同时还要兼顾系统的实时性和可用性要求。但是现实中攻击变种逐渐增加,攻击者更善于利用现场设备或系统进行伪装(如Trisis),实施隐蔽过程攻击[8]

综上所述,从工控系统控制命令、检测算法、入侵检测技术性能3方面考虑,工控系统入侵检测技术还存在以下难点:

(1)通过控制命令的语义分析以及上下文来检测执行器操作是否符合生产逻辑,需要对通信、控制、计算机领域均有扎实基础的人员来完成;

(2)为了保证检测的准确性,为不同的入侵检测技术选取合适的算法较为困难;

±800 kV极导线与接地极线共塔线路耐雷性能及双极闭锁反事故措施分析 李倩,王学军,汪晶毅,潘春平,刘俊翔(86)

(3)当工控系统运行时,运算和存储资源几乎没有剩余,需要轻量化的入侵检测技术来满足工控系统的实时性要求。

二、工业入侵检测技术研究

(一)工业入侵检测技术定义

在保证入侵检测的准确率和实时性的前提下,将智能机器学习算法应用到入侵检测中,不仅能够降低基于模型检测的误报率,同时入侵检测技术具有自学习能力,可以针对不同的工控系统或在同一个系统生产计划发生改变的情况下通过自学习记录系统的行为特征与属性。目前,研究人员基于神经网络、支持向量机、模式匹配等技术提出了多种工业入侵检测技术。有研究者使用朴素贝叶斯、Ripple-Down Rule、REPTree等智能分类方法,对客户端响应时间、客户端丢包数量、服务器端丢包数量、丢包重发时间进行学习,对系统内的流量进行遥测分类,可以识别出数据包来源主机与应用是否合法。实验证明,该方法对未知的攻击具有较高的检测率。表2总结了部分研究人员在入侵检测技术中应用机器学习算法的实例,不同的算法对各种协议的适用性不同,但是均可有效检测未知攻击,实验证明均有较高的检测率。虽然此类算法具有自学习能力,但是缺乏鲁棒性,对于协议/设备类型的支持具有局限性。因此寻找灵活的算法,研究具有自适应能力的工业入侵检测技术意义重大。

(四)王重民《金门诏别传》谓金门诏“乾隆十七年,年八十卒”(《图书馆学季刊》1932年第1期),其依据未作说明。

基于异常的检测方法记录正常行为的阈值,当网络行为超出阈值时产生报警。此方法可有效检测出新的恶意攻击,但是任何与正常行为不匹配的行为均被认为是入侵,所以通常具有较高的误报率。规则,是预先定义的规范或阈值。对于节点、协议、路由表来说,当网络行为偏离规则时,系统会产生报警,与基于异常的检测方法不同的是规则和阈值需要专家和操作站员进行人工定义。

(二)工业入侵检测技术的架构与分类

针对不同的工控系统,研究人员提出了多种入侵检测技术分类办法,涵盖了架构策略、检测方法、威胁种类、验证手段,如图2所示。入侵检测技术的分布式布局架构主要将设备配置在车间的路由器或交换机,通过端口镜像对通过的流量进行分析处理。集中式入侵检测技术主要针对工控主机系统、应用的安全运行进行实时监测。混合式架构是将二者结合,既能够同时监控网络和主机,又能适应工控系统计算资源缺乏的特点。

目前研究人员基于不同的攻击,均提出专用的检测方法,入侵检测技术提取各种攻击签名存储在内部数据库中。基于签名的检测方法将系统网络活动的签名与入侵检测技术中存储的攻击签名进行匹配来确定活动的合法性。

表1 攻击种类

病毒名称 攻击形式 攻击目标层 使用的漏洞 攻击结果T r i s i s(T r i t o n)[3] 渗透攻击现场控制网络与执行终端—T r i c o n e x S I S逻辑控制器安全仪表系统0 D a y漏洞与监控进程状态的安全仪表进行交互,使其参数处于异常状态,导致石油天然气厂停运S t u x n e t[4] U盘和局域网 控制与监控网络—S C A D A W i n d o w s和S I M A T I C W i n C C系统漏洞严重破坏浓缩铀离心机,近2 0%离心机报废,导致产量下降3 0%,致使伊朗核计划至少倒退两年H a v e x[5] 渗透攻击 控制与监控网络—S C A D A O P C标准搜集工控情报信息,能够禁用水电大坝,使核电站过载,甚至关闭一个国家的电网B l a c k e n e r g y[6] 邮件欺骗现场控制网络与执行终端—H M I软件监视管理系统O f f i c e漏洞(C V E-2 0 1 4-4 1 1 4)至少有3个电力区域被攻击,导致了数小时的停电事故,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时I n d u s t r o y e r[7]通过内置后门在目标系统执行命令现场控制网络与执行终端—变电站的开关和断路器I E C 6 0 8 7 0-5-1 0 1、I E C 6 0 8 7 0-5-1 0 4、I E C 6 1 8 5 0、O P C D A通过邮件、办公网络等入侵一台主机,直接与R T U或P L C通信,并控制其操作

图2 工业入侵检测技术分类

汉字以其博大精深的内涵,记录下中华民族睿智的观察,细腻的体验,卓越的思考,恢弘的想象,精确的表现。在识字教学过程中,我们只有采用形式多样的识字方法来激发学生学习兴趣,才能使学生掌握多样的识字方法,促进学生识记效果的提高;我们只有因地制宜、灵活多变的选择恰当的识字方法,才能使学生更加热爱语言文字,真正享受到语言文字带来的实实在在的快乐。

完善的入侵检测技术需要通过验证来判断系统的性能,根据不同的验证手段可以对入侵检测技术的性能进行定性分析和客观评价。考虑到入侵检测技术的复杂程度和验证的准确性,可以将多种验证手段综合使用[10]

目前研究人员针对不同工控系统提出了多种入侵检测方法,涵盖了智能制造、石油石化、智能电网等国家关键基础设施的各个领域。按照检测方法可以分为误用入侵检测、异常入侵检测以及综合的检测方法。依据不同的检测对象可以分为基于流量的入侵检测技术、基于协议的入侵检测技术、基于设备的入侵检测技术。此外,根据攻击的属性又可分为变种攻击检测、隐蔽过程攻击检测。通过分析大量研究成果,本文从以下3个方面对入侵检测技术给出总结。

1.基于特征的入侵检测技术

“傻丫头啊!熬过了这一次,你就成名了啊!有多少人梦想着这一天啊!有多少人做梦也想着这么多摄像机对着自己、却不能成真!你熬了那么久,被底下那些下三滥的摄影爱好者纠缠了多久,你的苦、你的难堪,难道我没有看在眼里、放在心里吗?经过了这个活动,你就不一样了,你就身价百倍、你就是大腕、你就是名人了啊!你可以完全把他们踩在脚下了!——有多少人做梦都想着这一天呢!你还在犹豫什么啊?”

通过分析识别系统的数据特征、行为特征来判断系统主体活动是否合法,如图3所示。一方面,提取分析审计记录、日志文件中相关数据包的相关特征(TCP/IP协议、应用层通信协议、单位时间内流量、CPU和内存占用率),实时监测报文中协议格式和状态的变化,以发现来自内部和外部的异常行为。例如,有研究者根据常见的攻击特点对SCADA的流量特性进行研究,可以根据流量的周期性来检测异常行为,通过验证成功地检测出DoS攻击和端口扫描攻击。另一方面,即所谓的误用入侵检测技术,通过对已知攻击进行特征提取,实时提取网络内相对应的特征与特征库进行比对以发现异常。例如,有研究者将蜜罐捕获的行为定义为异常行为库,将用户定义的网络行为作为正常行为特征。以校园网络为实验环境,对异常行为库中ICMP、TCP、UDP数据分组进行分类测试。结果表明,所有虚拟的主机设备均会被识别并报警。

图3 基于特征的入侵检测技术

图4 基于模型的入侵检测技术

2.基于模型的入侵检测技术

如图4所示,通过建立系统、应用、设备状态的正常通信、运行、操作行为轮廓,对系统内的行为与该轮廓进行实时比较,从而发现异常。该方法可以有效检测出变种攻击和未知的恶意代码,但是具有较高的误报率。早期的入侵检测技术通常使用统计模型,统计出随机变量在不同区域的概率,根据经验给这些随机变量设定阈值,将实时监测变量与阈值比较以确定是否发生入侵事件。有研究者通过服务器轮询来模拟具有周期性特征的S C A D A网络流量,进而分析流量之间的关系,建立正常的行为轮廓。然后,通过实时监测SCADA系统的工作流量与正常的行为轮廓进行比对,以发现入侵行为。还有研究者针对大型工控系统的入侵检测技术,提出多主体的入侵检测框架,采用蚁群算法进行无监督特征提取,以建立正常的行为轮廓。采用KDDCup99IDS数据集进行实验,评估学习模型。实验证明该方法对已知和未知的攻击均有较高的检测率。

3.基于机器学习的入侵检测技术

对Stuxnet等病毒的研究发现,传统的入侵检测定义并不适用工控系统的特殊情况,考虑到工控系统的高实时性要求,研究人员总结了国内外大量研究成果,针对工控系统入侵检测技术给出如下定义:针对种类繁多的工控设备,在不影响实时性的前提下,充分利用有限的设备资源收集设备、系统、物理世界的信息,依据数据完整性以及业务逻辑等对上述信息进行分析,从中发现是否存在违反数据安全策略或物理操作流程的行为和被攻击的迹象[9]

表2 基于不同算法的入侵检测技术

算 法 支持协议、设备类型是否可检测未知攻击 检测攻击类型 检测效果O C S V M M o d b u s/T C P 是 异常流量 检测率9 8%误报率2%P E P T r e e S C A D A 是 来自非授权的主机或应用的数据包检测率9 4.3%误报率5.7%漏报率0%D F A S C A D A/P L C/M o d b u s是异常流量检测率9 9.9 9 7 5%误报率0.1 6 1%S E N A M I S i e m e n s S 7 是 D o S、端口扫描、代码注入、欺骗 检测率9 6%H A M I D S S C A D A/P L C 是 针对S C A D A/P L C相关的攻击可检测出:I P/端口扫描;A R P欺骗;D H C P攻击;泛洪攻击;P L C-D O S;C P U S t o p/C r a s h;H I M/S C A D A C r a s h

三、工业入侵检测技术发展趋势

4.中英文的缩写。中英文的缩写是指用英文单词的首字母表示该单词,用每个汉字汉语拼音的第一个字母表示该字。例如:

由于工控协议设计之初没有考虑安全性,并且与企业网的连接尚无较为完备的安全边界准入控制机制,所以极易受到来自IT网络的攻击,如拒绝服务攻击、端口扫描攻击、中间人攻击等。表1总结了典型工控系统攻击的详细信息。攻击者主要通过系统或应用漏洞将恶意代码植入工控网络,进而非法获取权限执行恶意操作。因此严格的准入机制和实时的异常监控就显得尤为重要。

可是,有人幸福感还是不甚高,有的甚至比较低,原因不同,有客观的原因,也有主观的原因。所谓主观原因就是很少从自身找原因,而是过多地强调客观因素,尽管他已经从社会公共产品中获得了不少红利,却还是认为他人乃至整个社会对他的帮助和关怀很不够,这,大概也就是常言说的“人心不足蛇吞象”吧。(类似的人和事屡见不鲜,兹不赘述)须知,如果一门心思地把着眼点放在靠他人靠社会上,肯定是“靠”不出来自己所期望实现的人生目标的。幸运之神只会降临到自力更生艰苦奋斗者的头上,她怎会眷顾那些依赖心太强的人呢?从这个角度说,钱思进教授所言“主要靠自己”,实乃人生铁律。

提高系统的检测率、降低误报和漏报率是入侵检测技术准确性和完备性的基本要求。全面提高以上指标有利于入侵检测技术应用的进一步推广。一方面,提升工控设备硬件的计算能力,在工控设备硬件设计过程中考虑入侵检测技术的使用量;另一方面,对系统行为趋势进行预测,实现预测报警。此外,对工控系统特性的考虑和研究重视程度不够,仍然没有对入侵检测技术实时性的衡量指标。虽然部分研究人员提出了新的性能指标,但是缺乏实践的验证,因此入侵检测技术的实时性衡量指标必将是一大研究重点。

2. 入侵检测技术检测效率

林全很抱歉地看着我,我只是微微一笑,便避开他的视线去看窗外。我住的是12楼,从窗外看出去可以看见一座高高的塔,听说那里有一个公园,叫塔子山公园,来这里半年了,我也一直没有去过。

检测技术的准确性、计算资源占用量、检测效率仍是研究的重点。准确性方面,可以探索新的特征提取办法、如何选取有代表性的特征,比如建立基于稀疏流量的异常检测机制。此外,可以建立多模式、多层次的入侵检测系统,结合工控环境特点,采用高效的算法仍是提高检测效率和准确性的一个方向。最后,在特征提取、算法使用过程中结合机器学习等相关理论,实现具有自适应能力的入侵检测技术进行智能化检测。

3. 入侵检测系统自身的防护

作为工控系统安全的关键技术,入侵检测系统存储着工控系统的重要特征以及系统的行为轮廓等重要信息,若被恶意利用,将对工控系统造成巨大损失。所以,在提高检测性能的基础上仍要额外关注入侵检测技术的自身防护能力。

四、结语

国家关键基础设施的稳定运行对于国土安全具有重要意义,随着两化深度融合,工控系统将会暴露出更多的安全问题。作为关键的安全检测技术,入侵检测技术应受到足够重视。本文在介绍工控系统架构与特点的基础上,针对工控系统的安全需求分析了工业入侵检测技术的技术难点,对目前已有的工业入侵检测技术及其应用进行对比分析,并对工业入侵检测技术未来的重点研究方向进行了展望。

通过以上分析可知,要想处理好整数系向有理数系的扩充,关键点在于“测量”与“除法”途径下的分数概念教学.首先,在“测量”途径的分数概念教学中,最好利用度量类问题,使学生发现“测量”途径产生分数的真正目的是找到一数对另一数的度量值,这个过程是为有理数系的产生做铺垫.其次,在“除法”途径下的分数概念教学中,应注意如下两方面内容的教学:一方面,要强调乘法逆元是一个独立的元素;另一方面,则需要在教学过程中体现分数与整数可以在四则运算中反复施行,即分数与整数所构成的集合对于四则运算封闭.

在热误差建模中,定义热误差y=[y1,y2,…,yn],温度变量X=[x1,x2,…,xn],其中xi=[xi1,xi2,…,xip]T(i=1,2,…,n)。基于SIR的建模步骤如下所示:

参考文献:

[1] Cheminod M, Durante L, Valenzano A. Review of Security Issues in Industrial Networks [J]. IEEE Transactions on Industrial Informatics, 2013, 9(01):277~93.

[2] 姚羽,祝烈煌,武传坤. 工业控制网络安全技术与实践 [M]. 北京:机械工业出版社2017.

[3] E安全. 工控系统恶意软件Trisis让安全界"寝食难安" [EB/OL].(2018-01-29)[2018-03-23].https://item.btime.com/m_2s21tmyb6yn.

[4] Masood R, UMEG, Anwar Z. SWAM: Stuxnet Worm Analysis in Metasploit[C].Proceedings of the 2011 Frontiers of Information Technology,2011.

[5] Fubeerf. Havex:以工控设备为狩猎目标的恶意软件 [EB/OL].(2014-07-18)[2018-03-23].http://www.freebuf.com/articles/system/38525.html.

[6] Khan R, Mclaughlin K, Laverty D, et al. Threat Analysis of BlackEnergy Malware for Synchrophasor based Real-time Control and Monitoring in Smart Grid [J]. 2016.

[7] 启明星辰. 启明星辰ADLab针对工业控制系统的新型攻击武器Industroyer深度剖析 [EB/OL]. (2017-06-15)[2018-03-23].https://mp.weixin.qq.com/s/8d8MezUKIGg0fF8t2JQdAQ.

[8] 杨安,孙利民,王小山,等.工业控制系统入侵检测技术综述[J].计算机研究与发展, 2016(09):2039~2054.

[9] 杨凯,翔赖,刘蔡. 工业控制系统入侵检测研究综述 [J]. 通信学报, 2017(02):143~156.

[10] Zarpelão B B, Miani R S, Kawakani C T, et al. A Survey of Intrusion Detection in Internet of Things [J].Journal of Network and Computer Applications,2017, 84:25~37.

金忠峰,李梅梅
《保密科学技术》 2018年第3期
《保密科学技术》2018年第3期文献

服务严谨可靠 7×14小时在线支持 支持宝特邀商家 不满意退款

本站非杂志社官网,上千家国家级期刊、省级期刊、北大核心、南大核心、专业的职称论文发表网站。
职称论文发表、杂志论文发表、期刊征稿、期刊投稿,论文发表指导正规机构。是您首选最可靠,最快速的期刊论文发表网站。
免责声明:本网站部分资源、信息来源于网络,完全免费共享,仅供学习和研究使用,版权和著作权归原作者所有
如有不愿意被转载的情况,请通知我们删除已转载的信息 粤ICP备2023046998号