工業控制系統入侵檢測技術綜述

楊　安　孫利民　王小山　石志強

1(物聯網信息安全技術北京市重點實驗室(中國科學院信息工程研究所)　北京　100093)2　　　(中國科學院大學　北京　100049)

?

工業控制系統入侵檢測技術綜述

楊安1,2孫利民1王小山1,2石志強1

1(物聯網信息安全技術北京市重點實驗室(中國科學院信息工程研究所)北京100093)2(中國科學院大學北京100049)

(yangan@iie.ac.cn)

隨著工業控制系統(industrial control systems, ICS)的逐漸開放，暴露出嚴重的脆弱性問題.入侵檢測作為重要的安全防御措施，根據誤用和行為檢測，可及時發現可能或潛在的入侵行為.首先，介紹了ICS的系統架構及特性，并對ICS的安全理念進行闡釋;其次，依據ICS的特性，給出了對工業控制入侵檢測系統(intrusion detection system, IDS)(簡寫為ICS IDS)的需求和解釋;再次，基于檢測對象角度，從流量檢測、協議檢測、設備狀態檢測3個方面，對現有的ICS IDS技術、算法進行了分類及詳細的分析;最后，從檢測性能指標、檢測技術、檢測架構3個方面，對整個ICS IDS的研究趨勢進行了展望.

工業控制系統；入侵檢測系統；流量檢測；協議檢測；設備狀態檢測

工業控制系統(industrial control system, ICS)是一類用于工業生產的控制系統的統稱，它包含監視控制與數據采集系統(supervisory control and data acquisition, SCADA)、分布式控制系統和其他一些常見于工業部門與關鍵基礎設施的小型控制系統(如可編程邏輯控制器)等[1].它是電力、交通、水利等傳統國家關鍵基礎設施的核心[2-3].美國政府把國家關鍵基礎設施分為信息處理、通信系統、金融系統、政府系統、關鍵制造業、水利系統、核電系統、應急響應系統、能源系統、國防軍工、交通運輸、食品系統、化工系統、商業系統、衛生系統、供水系統共16個領域，ICS涉及到其中絕大多數領域[4-5].當前，大國間軍事對抗日益升級，恐怖主義活動和社會不穩定因素不斷增加，ICS安全與否已直接關系到國家關鍵基礎設施的安危.

然而隨著技術的發展及業務需求的增加，ICS在近十多年間引入了工業以太網和TCPIP等開放性通信協議，系統平臺趨于開放化和標準化，與外部網絡的連接變得更為緊密與頻繁，特別是新近提出的工業4.0概念融合了智能工廠、智能生產、智能物流等思想.這些現象使得ICS的系統固有漏洞和攻擊面日益增加，互聯網面臨的安全攻擊被引入到ICS中.從2010年出現攻擊ICS的超級病毒——“震網”病毒到“Duqu”病毒、“火焰”病毒、“Havex”病毒，以及俄羅斯輸氣管道爆炸、德國鋼廠事故等，都顯示出ICS面臨著越來越多的復雜攻擊.據權威統計信息，僅在2010—2013年間，美國ICS網絡應急響應小組(Industrial Control Systems Cyber Emergency Response Team， ICS-CERT)累計響應了600多起ICS安全事件，且年平均安全事件呈現急劇上升的趨勢[6].傳統ICS安全措施無法應對上述威脅，亟需加深對ICS安全的理解，從設備故障和信息數據安全2方面保障ICS安全.

針對受到的安全威脅，ICS采用入侵檢測技術監控系統運行狀態，實時發現可疑行為，便于安全人員及時采取應對措施，抵御已知和未知攻擊.入侵檢測是系統防御的核心技術，眾多保護技術的實施依賴于入侵檢測技術的效率，即是否能夠實時發現入侵行為.然而ICS具有實時性高、資源受限、更新困難等特殊性，導致傳統入侵檢測系統(intrusion detection system, IDS)無法直接應用于ICS中.目前針對ICS的IDS技術受到研究人員的廣泛關注.然而由于不同研究人員自身研究背景等諸多原因，現有ICS IDS測技術參差不齊.鑒于此，本文旨在對現有工業控制IDS技術進行總結、歸納與分析，以便于未來對工業控制防御措施的深入研究.

1　工業控制系統(ICS)

1.1ICS架構

ICS與物理世界關系緊密，為監控真實設備的正常生產，人們建立了由企業網絡、控制網絡、現場網絡3級網絡組成的工業控制網絡，如圖1所示[7].

1) 企業網絡包括以企業資源計劃(enterprise resource planning， ERP)系統為代表的管理信息系統(management information system， MIS)以及制造執行系統(manufacturing execution system， MES).管理信息系統融合信息服務、決策支持于一體；制造執行系統負責生產管理和調度執行.管理者可及時掌握和了解生產工藝各流程的運行狀況以及工藝參數的變化，實現對工藝的過程監視與控制.

2) 控制網絡包括眾多監控站、工程師站、OPC(OLE for process control)[8]服務器以及歷史實時數據庫服務器等設備.該網絡的主要任務是監視底層現場網絡的行為，并負責企業網絡與現場網絡之間信息的傳遞和存儲.

3) 現場網絡包括可編程邏輯控制器(progr-ammable logic controller， PLC)、可編程自動化控制器(programmable automation controller， PAC)、遠程終端單元(remote terminal unit， RTU)等現場設備.它負責感知工業過程的現場信息，并根據實時性要求控制系統正確、高效地運行.

Fig. 1　Industrial control system.圖1　工業控制系統

1.2ICS的特點

ICS的目標及體系架構與傳統信息技術有著根本的不同，導致其具有特殊性.ICS的特點可歸納為“明確的工作人員按照確定的業務邏輯操作特定的設備”，具體可從參與人員、操作對象與工作流程等多個方面進行闡述.

1) 處理真實設備.傳統信息技術管理的是系統中的數據信息；而ICS處理的是直接面對人員和生態環境、能對物理世界產生重大影響的真實設備.

2) 設備種類繁多.傳統信息技術處理的是虛擬數據，對設備本身沒有過多需求，因此設備種類少，以計算機、路由器、服務器等為主；而ICS面對物理環境中各種過程控制，針對不同的物理環境和業務需求，需要種類眾多的工業控制設備.

3) 業務流程固定.由于信息技術系統的開放性等原因，存在大量突發情況，需采用觸發式機制處理相關信息；而ICS相對封閉，針對某個特定目標，具有固定的業務流程，采用自動、時間驅動的閉環處理方式.

4) 安全理念不同.傳統信息技術系統遵循CIA(confidentiality，integrity，availability)原則，其首要目標是保證信息的機密性；而ICS與物理世界緊密聯系，其首要目標是保障系統的穩定運行，即遵循AIC(availability，integrity，confidentiality)原則.

5) 私有協議眾多.由于互聯網的開放性，其絕大多數協議為公有協議；而ICS最初是個封閉系統，各企業依靠自身開發的私有協議進行競爭，導致工業控制網絡私有協議眾多.

1.3ICS安全與傳統信息技術安全的差異

ICS中對安全的理解與信息技術系統有本質的區別.ANSIISA-99(American National Standards InstituteInternational Society of Automation)和IEC62443(International Electrotechnical Commission)等早期國際ICS標準對安全的理解是safety，即主要考慮由于隨機硬件故障所導致的組件或系統失效對健康、安全或環境(health，safety，environment， HSE)的影響.而傳統信息技術系統中認為安全是security，即一系列包含敏感和有價值的信息和服務的進程和機制，不被未得到授權和不被信任的個人、團體或事件公開、修改或損壞[9].現有ICS安全對上述2個方面都有需求，具體來說，ICS的安全特征如下：

1) 高實時性

在ICS中各個設備需按照業務邏輯在固定時間完成特定動作，不能有絲毫差錯，否則將威脅設備、系統的正常運行，甚至對物理世界產生破壞.由于ICS處理流程固定，一旦產生延遲則會產生突發情況，難以處理，易導致業務邏輯的斷裂；且ICS處理的是真實物理世界，業務邏輯斷裂會導致設備毀壞，造成資源、時間消耗巨大以及嚴重的生態環境破壞.

2) 工業控制設備資源受限

ICS包含大量執行特定操作的傳感器和執行器，為降低成本，其擁有的計算、存儲資源通常十分有限.當ICS運行時，空閑資源所剩無幾，難以支持審計、安全等其他程序的運行.

3) 業務邏輯固定

ICS具有特定的生產目標，為達到此目標制定了明確的生產邏輯，并在實際運行中嚴格遵守.修改相應的操作流程可導致設備狀態超過設計的安全運行參數，造成關鍵服務(如電力供應等)失效，甚至導致威脅生命的事故(如有害物質泄漏等)或直接威脅國家安全.

4) 運行時間長、遺留系統多

在ICS發展過程中，穩定是首要任務.由于成本昂貴，ICS通常數月甚至數年不間斷運行，其生命周期可能長達數十年.因此，目前運行的ICS中存在大量遺留設備(legacy device)，即陳舊的設備,這些設備本身存在眾多安全問題且對目前的檢測技術造成嚴重的阻礙。例如遺留設備大多不存在日志文件，當系統異常時，安全系統無法根據日志對設備進行分析，進而無法判斷出導致系統異常的原因.

5) 工業控制設備難以更新、重啟

在ICS中，所有設備均需持續運行且與物理世界聯系緊密.為保持系統物理參數的穩定，ICS無法暫停工作，否則會對整個工業控制系統、人員、環境造成嚴重的危害.因此，設備無法暫停運行以進行軟件版本更新或漏洞修補，導致系統中存在眾多系統漏洞.如在2010年，Red Tiger Security對北美近100個電廠進行滲透測試，發現超過38000個安全警告和漏洞[10].

6) 私有協議安全措施差

原有ICS采用隔離形式，并大量采用私有協議保證機密性.根據控制領域人員的理念，私有協議完全能保證自身數據的機密性，無需其他安全措施.然而隨著ICS開放性的提升以及協議逆向技術的發展，原有安全的私有協議逐漸變成無安全保護機制、極易受到攻擊的公有協議，使整個系統及其機密信息直接暴露在網絡上.

2　ICS IDS概述

2.1ICS IDS定義

從“震網”病毒發現后，ICS的安全問題受到全球研究人員的關注.隨著研究人員對該領域的探索，大量安全問題被披露出來.針對目前ICS出現的眾多安全問題，為保障ICS穩定運行，需采取入侵檢測機制發現入侵行為.入侵是任何危害或可能危害資源完整性、保密性或可用性的行為；而入侵檢測是為通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象[11].

上述通用的IDS定義并未考慮ICS的特殊性，不適應于ICS.雖然國際上對制定ICS IDS的呼聲急劇增加，然而目前仍未有明確的ICS IDS定義.考慮到ICS高實時性等特性，經對大量的文獻解讀、分析后，本文將ICS IDS理解為針對種類眾多的工業控制設備，在不影響實時性的前提下，充分利用有限的設備資源收集設備、系統、物理世界的信息，依據數據完整性以及業務邏輯等對上述信息進行分析，從中發現是否存在違反數據安全策略或物理操作流程的行為和被攻擊的跡象.其核心目標是在保證自身不影響物理世界正常、穩定生產的前提下，發現數據或系統生產邏輯的異常.

2.2ICS IDS分類

ICS IDS沒有統一明確的分類方法，目前仍主要采用傳統分類方法進行分類，如Chen等人[12]將ICS IDS從檢測技術和數據源2個維度進行劃分,如圖2所示:

具體來說，根據數據來源的不同，ICS IDS可分成網絡和主機2種類型.網絡IDS通過網絡不同區域設置的檢測點，獲取全局網絡流量并進行挖掘、分析，發現網絡異常現象，實現全局信息檢測，缺點是無法對特定節點的數據進行檢測；主機IDS主要監控系統設置、配置文件、應用程序和敏感文件，發現系統異常情況，但缺乏對ICS全局信息的檢測.

同時，根據檢測技術的不同，ICS IDS可分成誤用檢測和異常檢測2類.誤用檢測采用特征匹配技術，將檢測數據與已知攻擊行為特征庫進行比對，發現入侵行為，其缺點在于無法檢測未知攻擊；異常檢測將實時行為與正常行為模型進行匹配，發現違反該模型的行為即判定為入侵行為，缺點在于無法對攻擊進行精確識別、劃分.此外，根據ICS業務流程固定的特性，Chen在異常檢測中又進一步劃分出新的子類——基于行為規范的檢測方法.該檢測方法依據特定工業控制環境、行為規范，對系統行為進行更加精準的檢測.

上述ICS IDS分類仍是采用傳統IDS分類方法，沒有充分考慮ICS的特點，未能體現ICS與真實物理世界聯系緊密等特性，如未考慮ICS的報文亂序除造成邏輯混亂外可對物理設備造成損害.

基于對大量ICS IDS文獻的分析和理解，本文考慮ICS的特點，嘗試從檢測對象角度提出新的分類方法，將現有ICS IDS技術劃分成基于流量檢測、協議檢測、設備狀態檢測3大類.首先，針對ICS中特定的業務流量特征，從宏觀上對流量信息進行分析與控制；其次，在流量分析基礎上，對每個報文分組進行協議方面的深度解析；再次，針對真實的物理設備，分析協議報文在設備、系統中的具體執行，根據系統、物理世界反饋的執行結果發現異常行為.綜合來看，該分類方法對流量信息逐步深入分析，且在每類檢測中均對應多個ICS特性.因此，該分類方法充分考慮了ICS的特性.

2.3ICS IDS性能

在ICS中，誤報率、漏報率和檢測率等傳統IDS性能指標仍適用.其中，誤報率是將正常行為誤判斷為異常行為的概率；漏報率是將異常行為誤判斷為正常行為的概率；檢測率是檢測出真實異常行為的概率.傳統信息技術領域對這3個指標均沒有特定的限制條件，也沒有考慮檢測率、漏報率、誤報率之間的關系.然而，由于ICS具有高實時性、難暫停更新等特點，不能因誤報導致系統停滯，否則會給系統、資源等帶來巨大的損害.因此對ICS IDS的誤報率提出更嚴格的要求，即寧可漏報也不允許誤報.

同時，研究人員針對ICS的高實時性和資源受限等特點，對ICS IDS提出新的性能指標.如Striki等人[13]提出了“檢測時延”評價指標，即入侵行為從開始攻擊到被IDS識別的時間間隔；Misra等人[14]提出了系統功耗、通信開銷和處理器負載等指標.

3　ICS IDS檢測技術

目前研究人員基于神經網絡、支持向量機、模式匹配、虛擬仿真，提出了眾多ICS IDS技術，涵蓋了設備生產車間、智能電網、國家基礎設施等眾多領域.本節將對現有的ICS IDS技術，按照本文提出的基于檢測對象的分類方法進行分類，并對各檢測方法及其關鍵技術進行分析.

3.1基于流量的IDS

基于流量的IDS依據ICS不同安全區域的流量特征，針對外部攻擊和內部攻擊的流量特征，通過多檢測點間協同合作，在不解析具體協議格式的情況下，發現網絡的異常流量，實現IDS.

傳統基于流量的檢測方法是通過提取5元組(源IP、目的IP、傳輸層協議、源port、目的port)、IP選項域、流量持續時間、平均包間隔等指標，從時間、空間分布上構造“正常模式”；將“正常模式”作為檢測基準，將實時通信數據與檢測基準進行比較，實現對未授權訪問、中間人攻擊、拒絕服務(denial of service, DOS)攻擊等入侵行為的檢測.然而經過幾十年的發展，信息技術系統變得極為復雜，開放性導致系統拓撲變化劇烈，多應用支持使系統中充斥種類繁多的應用程序和協議，需采用復雜方法獲取全面的數據信息協同進行檢測.

由于各設備所處的位置、功能以及人員所處的部門、職能不同，將設備和人員劃分成多個不同的安全區域.在各安全區域中，應考慮內部或外部攻擊，需對安全區域進行全方位的保護.ICS的參與人員、操作對象與工作流程相對固定，致使ICS具有明顯的流量特征；同時ICS業務固定，采用靜態拓撲且所使用的應用程序及協議數量較少，導致流量模式穩定不變.因此，基于流量的檢測適用于ICS安全區域，可精確檢測出大流量攻擊或誤用特征明顯的攻擊.

3.1.1流量檢測內容的選取

研究人員在對流量信息檢測之初，必須確定在工業控制網絡中提取何種數據進行分析.為此，Stavroulakis等人[15]詳細討論了流量分析在ICS IDS方面的應用，分析比較了主動式和被動式測量方法，把ICS流量劃分為：由獨立的源IP、目的IP、TCPUDP端口等信息組成的流量矩陣(traffic matrix)，表示網絡中各個會話的流量信息；由所有流量、字節數組成的總流量(traffic volume)，表示一定時間內網絡發送、接收的流量總和；由報文延遲變化、可用帶寬變化等組成的流量變化(traffic dynamics)，表示網絡流量隨時間的變化.

3.1.2基于數學模型的檢測方法

目前針對上述流量信息，在業務固定的ICS中通常采用大量計算資源，利用數學模型構造“正常模式”，對流量進行實時檢測來識別出異常流量.

神經網絡具有非線性適應性信息處理能力，可通過對大量訓練樣本進行分析，獲得對未知異常行為的識別.在流量檢測中，神經網絡可通過學習訓練過程建立ICS特定流量模式與系統安全狀態之間的映射關系，以此對實時數據進行分析，檢測出異常行為.

例如Vollmer等人[16]利用單個分組流量進行入侵檢測，提取網絡流量負載，ICMP協議的ID域、序列號、代碼域，以及IP協議ID域、IP選項域等特征量,并采用誤差反向傳播(back propagation，BP)算法訓練神經網絡，使神經網絡的總誤差最小；在檢測時實時提取特征量并導入該神經網絡中進行分析，以實現對attempted-dos，attempted-recon，bad-unknown，attempted-user，misc-activity等多種網絡入侵的檢測.在此基礎上，Vollmer等人[17]又采用滑動窗口技術，動態、精確地提取真實包序列中的IP地址數目、單IP地址包數、平均包間隔、標識碼數目、數據長度置0的包數目等16種網絡特征，利用BP和LM(Levenberg-Marquardt)算法訓練神經網絡，檢測異常流量事件.

為克服神經網絡訓練開銷大的缺點，Manic等人[18-20]采用模糊邏輯實現了一系列入侵檢測機制.模糊邏輯采用模糊隸屬度來描述不精確、不確定的事件和現象，并通過近似推理技術提升檢測系統的容錯性.

文獻[18]針對由滑動窗口技術在線提取的真實報文特征，將其中正常行為模式通過最近鄰聚類算法聚合成多個簇，再通過非對稱高斯模糊關系函數將簇轉化成模糊邏輯規則集，形成正常的網絡流量模式.在檢測時，該方案根據模糊邏輯輸出的最大觸發強度取值與合法閾值之間的比較，判斷入侵行為.

文獻[19]針對訓練數據的不確定導致檢測性能下降的問題，采用TYPE-2模糊邏輯，先將輸入數據進行模糊化后，再通過文獻[18]的思路形成正常網絡流量模式.該方案與文獻[18]的區別在于其輸出的觸發強度是一個范圍[ymin(x)，ymax(x)].在檢測時，該方案根據實時數據生成的觸發強度取值范圍與合法閾值之間的比較，若該范圍在閾值之上則認為異常；在閾值之下則認為正常；包含該閾值則認為存疑.

文獻[20]則提出了基于模糊邏輯的異常檢測架構.該架構利用TYPE-2模糊邏輯分析具體工業場景和網絡環境下的潛在知識，并根據分析結果動態調節后續異常檢測算法的閾值，提升異常檢測的精度.

此外，研究人員還采用支持向量機(support vector machine， SVM)技術，將原本線性不可分的流量特征向量借助核函數映射到高維空間，并構造1個分類面以區分正常流量與入侵流量.Maglaras等人[21]采用單類支持向量機(one-class support vector machine， OCSVM)為DNS，FTP，MDNS，Modbus，TCP，UDP等協議建立流量模型，無需攻擊相關的先驗知識和異常數據，可檢測中間人攻擊、同步洪泛等入侵行為.然而，普通SVM僅能區分出異常，無法精確地識別出異常的類別，為此文獻[22]采用多個SVM二值分類器，將其結合起來，構建層次SVMs，先檢測出異常數據，再依次采用特定攻擊SVM以實現對入侵行為的類別劃分，如圖3所示:

Fig. 3　The hierarchical SVM IDS (take the detection of 2 attacks for example).　圖3　層次SVM入侵檢測流程(以檢測2種特定攻擊為例)

3.2基于協議的IDS

基于協議的IDS依靠工業控制通信協議規范，采用成熟的協議格式分析和狀態協議分析技術，對報文中協議格式及協議狀態的變化進行檢測，發現異常行為.

3.2.1常用工業控制通信協議的安全性

工業控制通信協議是為了提高效率與可靠性而設計的，以便滿足ICS的經濟性和運作需求.早期大多數工業控制通信協議為提升效率，很少考慮所有非必需的特性與功能，如要求額外開銷的認證和加密等安全措施.常用的開放工業控制通信協議包括Modbus，ICCPTASE.2(inter-control center communications protocoltelecontrol application service element 2)，DNP3(distributed network protocol)等，均存在諸多安全性問題.

Fig. 4　The transformation between Modbus RTUASCII and ModbusTCP.圖4　Modbus RTUASCII與ModbusTCP的轉換

Modbus[23]是歷史最悠久、應用最廣泛的工業控制通信協議.該協議直接使用無認證等額外開銷的原始消息通信，是一種開放標準.基于請求應答方式，該協議僅采用Modbus請求、應答和異常應答3種不同的協議數據單元，實現互連設備間的高效通信.由于處理開銷非常小，Modbus適合作為PLC和RTU與SCADA間傳遞監控數據的協議.然而正是由于開銷小的特點，導致其存在嚴重的安全問題：缺乏認證，僅通過有效Modbus地址和功能碼進行驗證，易遭受泛洪等攻擊；明文傳輸，易于竊取、篡改、偽造報文數據；ModbusTCP無消息驗證機制，易于篡改、偽造數據；具有可編程性，易被利用向RTU和PLC注入惡意代碼.

ICCP[24]是用于電力等能源工業中控制中心間通信的協議，它采用客戶端服務器模式，通過構造客戶端可訪問數據元素的訪問控制類表——雙邊表，實現可靠的標準化數據交換.該協議相對于Modbus有部分安全改進：雙邊表顯示定義ICCP客戶端和服務器的通信權限，提供了對通信路徑的基本控制.但是ICCP的安全機制十分有限，仍存在重大安全隱患：缺少認證與加密，易受假冒、會話劫持等攻擊；雙邊表未進行隱藏，易被利用來直接破壞ICCP服務器和客戶端的安全性.

DNP3[25]最初用于主控站和從設備(或子站)間，以及控制站內部RTU與IED(intelligent electronic device)間的串行通信.該協議支持模擬數據、2進制數據等多種數據對象，并通過雙向通信實現實時數據傳輸.與上述2種協議相比，DNP3具有更高的可靠性：支持數據時間戳，提高實時傳輸的可靠性；頻繁使用CRC校驗，單個DNP3幀中最多包含17個CRC.然而，在引入安全機制的同時協議復雜度增加，提升了在協議實現上出現漏洞的可能.目前ICS-CERT已報告多個DNP3漏洞.此外該協議仍未采用授權或加密機制，易受中間人攻擊.

通過對上述3種工業控制通信協議的分析可知，由于設計之初未考慮安全性，公開私有工業控制通信協議存在大量的安全隱患，易遭受如包篡改、偽裝等攻擊，這些攻擊無法通過流量進行檢測，因此需要通過對流量中的報文分組進行深度解析，根據協議格式、協議狀態機以及協議分組生成的事件事件序列，檢測入侵行為.

3.2.2基于協議的檢測方法

1) 針對通用開放工業控制通信協議的檢測機制

在ICS中，少量協議是公開的，研究人員可以直接獲得這些協議的規范.在規范中詳細定義了其自身的報文格式以及通信模式.因此研究人員可依據規范制定檢測規則，對協議進行檢測.

早在2007年，Cheung等人[26]針對工業控制通信協議提出了一種基于模型的IDS.該方案針對ModbusTCP等基于TCPIP的現場總線協議，根據公開的協議規范及業務邏輯，對報文中功能碼等特定域的取值范圍、多域間的數值關系構造基于協議格式的模型；根據ICS劃分的安全區域，對通信對象構造傳輸方向、端口等通信模式模型；根據系統需求，對如檢測到新Modbus ID等特定事件構造基于服務的模型.依靠上述3個模型，該方案可檢測出潛在攻擊，但易導致較高的誤報率.

工業控制現場網絡采用現場總線結構實現數據交換，無法采用傳統、基于信息技術的入侵檢測方法.為適應現場總線數據的入侵檢測需求，Morris等人[27]將Modbus RTUASCII等現場總線數據轉化成ModbusTCP 等TCPIP報文，并依靠協議規范白名單、業務邏輯白名單構造內聯旁路檢測模式，可識別出DoS、命令注入、響應注入等入侵行為.

該方案主要針對具有串行、以太網2種傳輸方式且報文結構相似的工業控制通信協議．如圖4所示，依據報文結構的相似性生成2種報文格式的對應關系(如ModbusTCP報文中的Unit Identifier，FC，Payload域分別與Modbus RTUASCII的Address，FC，Payload域一一對應)，研究人員可快速、直接地將串行報文(Modbus RTUASCII)轉換成TCPIP報文(ModbusTCP)，便于傳統IDS檢測.

為節省設計、開發時的資源消耗，研究人員對傳統IDS進行改進以適應工業控制環境.Bro是五大免費企業網絡IDS之一，它以旁路模式捕獲所有數據包，依賴協議解析器對網絡層、傳輸層乃至應用層協議進行深度解析，并根據數據包的內容形成相應的事件，最后根據策略腳本對事件做詳細的分析，檢測出異常、入侵行為.

Lin等人[28]針對Bro進行改進,如圖5所示，構建支持DNP3等工業控制通信協議的報文解析器模塊，并根據工業控制通信協議分組各域的含義、取值范圍以及請求應答操作序列等信息制定對應協議的安全策略，使其增添對SCADA私有協議的支持.

Fig. 5　The ICS IDS based on Bro.圖5　基于Bro的ICS IDS

2) 其他工業控制通信協議檢測機制

除對公有工業控制通信協議的檢測技術進行研究外，研究人員還針對特定行業、私有協議進行分析，研制特定的入侵檢測機制.比如Hong等人[29]對智能電網中的子站自動化系統進行分析，通過對IEC 61850標準下的GOOSE(generic object oriented substation event)和SV(sampled value)多播協議包進行深度解析，并根據由協議規范和設備狀態之間的關系制定的白名單規則，實現對包篡改、重放、DoS等入侵行為的檢測.

3) 工業控制通信協議檢測優化機制

上述2類協議檢測方案均是采用白名單的形式，在檢測時需要對所有報文進行深度包檢測，影響IDS的檢測效率.因此研究人員提出了誤用與異常相結合的入侵檢測機制[30-31].該機制首先依靠誤用檢測技術，根據入侵行為特征庫，快速識別出未授權訪問、偽裝、緩沖區溢出等已知攻擊；然后對剩余數據結合協議規范生成的協議模型、通信模型，采用基于異常的檢測機制(如SVM、神經網絡等)，實現對未知攻擊的入侵檢測.經分析，該方案可大幅度地提升整體IDS檢測效率.

此外，流量檢測往往只處理傳輸層(含)以下的數據信息，而工業控制通信協議往往是應用層協議且在規范中規定了報文的傳輸周期等時間信息.因此，協議檢測也可和流量檢測進行聯動，依據工業控制通信協議規范中指定的會話通信標準以及具體的業務邏輯，制定相應的規則并交給流量檢測機制進行檢測，提升流量檢測的精度.Hadeli等人[32]針對電力系統，提出了基于協議的流量檢測方案.該方案根據IEC61850標準，從協議規范以及各節點的ICS配置文件中提取合法的通信數據、傳輸時間間隔等信息(如IEC61850中規定每200 ms發送一條MMS(manufacturing message specification)協議報文)，構造正常流量模型并將其轉化成Snort規則庫(如圖6所示)，依賴Snort開源軟件對流量進行檢測，準確判斷出系統流量是否發生異常.

Fig. 6　An Snort traffic rule based on protocol.圖6　基于協議的流量檢測規則

3.3基于設備狀態的IDS

基于設備狀態的IDS根據業務邏輯和設備操作規程，通過定義設備正常狀態或異常狀態、判斷狀態轉移趨勢、監控操作序列等方法檢測入侵行為.在ICS中，讀取或操作的設備往往是與物理環境或生產過程相關的物理設備，對其攻擊會導致工業控制設備毀壞，甚至出現重大安全事故，這是ICS不同于現有互聯網的顯著之處.經分析，除盜取信息外，對ICS實施攻擊的核心是通過非法篡改設備配置、非法控制設備的操作、修改業務流程等入侵行為，使設備進入不合理狀態、停機狀態或損壞.因此檢測設備的狀態操作能夠有效地檢測入侵行為.

3.3.1自動化領域設備狀態檢測技術

在自動化領域為保障系統的正常運作，在發生元件故障時能將其隔離，保證剩余系統的正常運行，提出了故障檢測與診斷(fault detection and diagnosis, FDD)技術.FDD從1971年誕生到現在已成為自控界的重要研究方向之一，取得了大量的研究成果[33].

FDD是一種相對獨立發展的技術，同時又是一門應用型邊緣學科，其理論基礎涉及現代控制理論、可靠性理論、數理統計、信號處理、模式識別、人工智能等多門學科，與容錯控制、魯棒控制、自適應控制、智能控制等具有密切的聯系[34].

國際上通用將故障檢測劃分為基于信號處理的檢測、基于解析模型的檢測、基于知識的檢測和基于離散事件的檢測4大類.

1) 基于信號處理的檢測

基于信號處理的檢測是直接對可測信號進行處理，采用頻譜、自回歸滑動平均等信號模型，提取方差、幅度、頻率等特征值，從而檢測故障的發生.

最初的檢測方法是設定正常數值范圍(閾值)進行檢測[35].為解決噪聲污染以及增強通用性，學術界提出了歸一化滑動窗口協方差格形濾波器.該濾波器采用滑動窗口提取系統輸入和輸出，采用自適應格形濾波器計算殘差序列，判斷該序列是否為零均值固定方差的高斯過程，是則處于正常狀態，否則發生了故障[36].

小波變換是一種有前途的故障診斷方法，它無需構建數學模型，計算量較低，可實時檢測且靈敏度高.該方法的基本思路是對被診斷對象的輸入輸出信號進行小波變換，計算出輸入輸出信號的所有奇異點，再剔除由于輸入突變引起的極值點，剩下的極值點即表示被診斷對象存在故障并分別對應了相應的故障狀態.

此外基于信號處理的檢測方法還存在基于信息融合的檢測方法、基于Kullback信息準則的檢測方法、基于信息校核的檢測方法等.這些方法實現簡單，但只能當故障發生到相當程度并影響到外部特征時才有效，且難以直接定位故障.

2) 基于解析模型的檢測

基于解析模型的檢測即將被測對象的可測信息和系統先驗信息模型進行比較，生成殘差并對其進行分析以實現故障檢測的技術.殘差是與正常運行狀態無關、由輸入輸出信息構成的線性非線性函數.正常狀態下，殘差應等于或近似為零；一旦發生故障，殘差應顯著偏離零點[37].

根據殘差產生形式的不同，基于解析模型的檢測又可細分為狀態估計方法、等價空間方法和參數估計方法.

狀態估計方法是根據解析模型和可測信息設計檢測濾波器，選取某個可測變量，由該濾波器的輸出與真實系統輸出的差值作為殘差，并根據殘差的取值實現系統的故障檢測.例如，文獻[38]通過構造與原系統系統相似的線性時不變系統及對應的檢測濾波器，實現對部分線性時變系統的故障檢測.

又如，Sridhar等人[39]針對智能電網，根據電力系統相關知識預測發電負載，并通過對區域控制誤差的預測值和實時值比較來判斷異常，最后通過控制策略切換機制消除攻擊影響，實現對變尺度攻擊和漸變攻擊的檢測和防御.

等價空間法是構造被檢測對象的輸入、輸出之間的數學關系，再根據系統的實際輸入、輸出值判斷這些數值是否符合上述數學關系來實現故障檢測.例如，文獻[40]采用等價方程方法構造基本殘差，再對基本殘差進行線性變換以消除干擾因素，提高檢測準確性.

參數估計方法是根據系統模型參數及故障參數變化的統計特性來檢測故障.該方法主要有濾波器方法和最小二乘法.例如文獻[41]提出了一種非線性系統偏差型故障檢測算法.該算法首先根據卡爾曼濾波器計算出殘差序列并用殘差加權平方和算法實現故障的快速檢測；然后，根據強跟蹤濾波器取得系統狀態與非線性時變參數的聯合估計；最后，采用貝葉斯分類算法檢驗各參數估計值，實現對故障的檢測.

3) 基于知識的檢測

基于知識的檢測是引入如人類專家的經驗知識及被檢測對象的模型知識等相關信息，通過推理來獲取診斷結果，使其能對某個征兆集合的產生原因做最佳解釋.

隨著人工智能的快速發展，眾多先進技術被用在故障檢測中，如專家系統、神經網絡和模糊數學等.

專家系統是根據專家的經驗、知識進行推理判斷，模擬專家決策過程的智能程序.專家系統在故障檢測領域應用較早，是定性故障檢測技術中的一個重要方向.典型的故障檢測應用技術可歸納為：首先將專家經驗和設備參數用規則表示，建立故障信息知識庫、規則庫和推理機；然后在檢測時將信息輸入到推理機進行推理，檢測系統故障.例如Tan等人[42]將斷路器的動作邏輯和操作員的檢測經驗用規則表示并形成知識庫，通過正向推理將實時數據與知識庫中的規則進行匹配，檢測出故障信息.

神經網絡在故障檢測中具有廣泛的應用，例如直接作為分類器進行故障檢測或與其他檢測方法相結合進行復合故障檢測.具體來說，神經網絡在故障檢測中主要有4種形式[43]：

① 用神經網絡產生殘差

該方法是將神經網絡用于替代描述系統正常運行時的解析模型，通過采用真實測量的輸入、輸出對其進行訓練；在故障檢測時輸入實時數據后，計算生成相應的殘差供后續處理.

② 用神經網絡評價殘差

該方法是采用殘差和故障庫的數據對神經網絡進行訓練；在檢測時將實時生成的殘差作為輸入并進行處理，根據神經網絡的輸出判斷是否產生故障.

③ 用神經網絡做進一步檢測

該方法是將故障征兆和檢測結果分別作為神經網絡的輸入和輸出進行訓練，獲取它們之間的對應關系；在檢測時，以真實數據為輸入，根據輸出的檢測結果確定具體故障.

④ 用神經網絡作自適應誤差補償

該方法針對檢測時出現的誤差，采用神經網絡技術消除模型誤差對檢測準確度的影響，如可通過神經網絡自適應補償方法消除誤差對殘差的影響.

雖然神經網絡具有自學習、魯棒性好等特點，但其仍存在訓練樣本需求量大且獲取困難等嚴重缺陷.

上述故障檢測方法較少考慮信息的不確定性，影響檢測的精確性.當難以獲得精確模型時，可采用模糊理論進行故障檢測.例如Monsef等人[44]針對電網系統，將所有輸入信息模糊化，再通過神經網絡專家系統計算輸出模糊數，最后采用反模糊系統對此模糊數進行解釋以生成最終的檢測結果.

此外基于知識的檢測方法還存在基于貝葉斯網絡的檢測方法、基于優化技術的檢測方法、基于支持向量機的檢測方法、基于Petri網技術的檢測方法、基于信息融合技術的檢測方法、基于多智能體技術的檢測方法等.這些方法彌補數學模型檢測方法的不足，實現檢測智能化，但它們各有優缺點和應用限制，有些仍處于理論狀態.

4) 基于離散事件的檢測

基于離散事件的檢測將正常狀態和故障(異常)狀態共同形成一個集合并互為補集，通過構造的離散事件模型判斷系統是否處于故障狀態來實現對故障的檢測.

3.3.2計算機領域設備狀態檢測技術

隨著“震網”病毒的發現，傳統計算機領域逐漸關注對工業控制設備的檢測并逐步提出多個檢測方法，根據具體的檢測思路，該檢測技術可分為以下3類:

1) 基于配置的設備狀態檢測方法

每個設備為保證系統的正常運行，會保存一個配置文件，包含明確定義、授權的IP地址、端口、工業控制通信協議功能代碼命令、用戶等信息.配置文件設定后基本不改變，若發生改變則視為發生入侵行為.

基于配置的設備狀態檢測通過配置，構造相應的白名單，并實時將程序行為與白名單進行比較，發現入侵行為.Paul等人[45]根據設備自身的XML(extensible markup language)文件構造設備配置信息，獲取設備允許的IP地址、協議端口號和命令等信息，形成合法配置列表；系統運行時，實時收集設備的配置信息與已形成的合法配置列表進行比對，及時發現重要信息的異常變動，并視該變動為發生入侵行為，然后依據后臺分析(關聯分析等方法)識別具體的入侵行為.

除實時檢測自身狀態變化外，設備之間還可以相互協作進行檢測.在正常的通信中，通信雙方的數據應該是一致的(忽略傳輸延遲).然而中間人攻擊可偽造發布控制指令或截斷反饋信息，導致通信雙方的狀態、控制命令列表不同，即通信雙方的數據不一致.然而單看通信一方，無法發現狀態、控制命令列表的缺失，難以檢測中間人攻擊.

因此，文獻[46]從系統全局進行檢測，監控系統中的所有設備，實時獲取各設備節點的狀態信息和控制命令列表，并按照通信列表劃分成多個通信集合;然后在每個通信集合中對獲取的數據進行比對，若發現不一致的地方，則認為發生了中間人攻擊.

2) 基于虛擬執行的設備狀態檢測方法

與傳統信息技術網絡不同，ICS的指令數據(尤其是控制命令)對物理設備的影響重大，如一條簡單控制命令即可導致物理設備損毀.為此需對所有的控制指令進行檢測，判斷其是否對物理設備造成破壞.然而為檢測系統搭建、維護與現實相同的物理環境，所耗人力、物力巨大.為降低成本，可構建高仿真的虛擬環境，以較為經濟的方法實現控制指令的多次檢測.

首先，可通過對系統收到的單個控制命令進行虛擬執行，分析命令執行后虛擬環境的狀態變化，檢測入侵行為.Fovino等人[47]提出了基于設備臨界狀態的SCADA系統入侵檢測機制.該機制將ICS或設備進入的停機、損毀等狀態稱為臨界狀態，并按照當前系統構建一個高仿真的虛擬鏡像.在運行過程中，檢測機制實時提取控制命令并將其放入到虛擬鏡像中進行執行，然后周期性地將虛擬鏡像與實際設備進行同步，以獲取該控制命令在虛擬鏡像中的執行結果.最后根據執行結果判斷此控制命令是否正常，實現對導致系統或設備進入臨界狀態的復雜攻擊的檢測.

為提早發現入侵行為，Carcano等人[48]提出了基于設備狀態變化趨勢的入侵檢測機制.該機制定義了用于描述SCADA系統基本信息、臨界狀態的ISML語言，并通過設定多個狀態參數的閾值來表示系統的臨界狀態.在檢測時，該機制首先實時捕獲當前狀態，計算當前狀態與臨界狀態的曼哈頓距離，并以此確定當前狀態的危險等級；其次根據該距離的變化趨勢來判斷系統是否正向臨界狀態演變；最后根據虛擬鏡像的輸入日志判別是入侵還是故障導致系統向臨界狀態的轉變，并以此發出警報.

Fig. 7　The ICS IDS based on contingency analysis.圖7　基于故障分析軟件的ICS IDS

通過虛擬執行進行入侵判別，需構造與真實系統高度相似的仿真系統，開發難度大，所需資源多.考慮到自動控制領域發展了幾十年，擁有眾多成熟的故障檢測工具.因此可改造這些檢測工具以發現入侵行為，節約開發成本.如圖7所示，Lin等人[49]在控制中心和子站分別部署檢測代理，針對能影響現場設備狀態的寫、執行等重要命令，首先利用檢測代理之間的專用通道，獲取現場設備與控制中心之間傳輸的控制命令或狀態數據，通過完整性檢測保障數據傳輸的正確性；其次將這些控制命令發往傳統電力系統的故障分析軟件，由該軟件對命令進行評估，判斷該命令對設備產生的影響及影響程度；最后根據軟件分析結果識別出針對設備、系統狀態的攻擊行為.

3) 基于數學模型的設備狀態檢測方法

針對虛擬執行實時性差、成本高等問題，對現有系統進行分析，依靠數學模型構造“行為白黑名單”，可實時、低成本地檢測出入侵行為.

Mitchell等人[50-51]分別以智能電網和無人飛行器為研究對象，以合取范式等數學理論、方法構建行為規則狀態機，并利用監測器周期性地檢查鄰居節點狀態來檢測入侵行為，實現對復雜、隱藏攻擊的高效檢測.

該方案的核心是將行為規范轉換成行為規則狀態機.首先根據設備的行為規范，將違背行為規范的行為認定為攻擊行為；其次，將每條攻擊行為分解成合取范式，并將所有合取范式聚合成1條析取范式形式的布爾表達式；再次，根據布爾表達式提取狀態機的狀態參數并設置其對應的取值范圍；最后通過合并、壓縮狀態參數及其取值范圍解決狀態爆炸問題，形成行為規則狀態機.

Pan等人[52]針對電力傳輸系統面臨的DoS、數據注入、控制命令注入攻擊，改進貝葉斯網絡，形成用于表示工業控制設備、網絡行為的因果圖，并篩選出所有異常場景形成攻擊簽名用于檢測入侵行為.該因果圖是將貝葉斯網絡中的圖節點表示為可觀測事件，邊表示事件之間的傳遞，則圖中每條唯一路徑對應某個特定真實場景，進而導致一張完整的因果圖窮舉了系統中所有可能出現的場景、事件.然而該方案檢測精度嚴重依賴開發人員對ICS的理解程度，需與其他檢測方法結合以減少漏報率.Yang等人[53]提取網絡流量、表示硬件操作統計信息的內核數據等62種特性，建立狀態矩陣并實時監控，根據狀態矩陣的偏移值發現系統變化，以極低的誤報率識別出jolt2，bubonic等多種DoS攻擊.

4　ICS IDS檢測技術的未來發展

本文第2,3節敘述了ICS IDS的研究現狀，從中可看出研究人員為保障ICS的正常運行，從多角度開發出多種不同的IDS技術，但存在準確性差等諸多問題.通過對這些問題進行細致的分析，本文可從檢測性能指標、檢測技術、檢測架構3個方面歸納出未來的研究趨勢.

4.1檢測性能指標

全面準確地檢測性能指標有利于IDS的深入研究和產品推廣.然而由于缺乏對ICS特性的考慮以及對性能研究的重視程度不足，目前仍采用傳統IDS的性能指標評價ICS IDS的性能，缺乏準確性和全面性.雖然部分研究人員提出了新的性能指標，但這些指標缺乏科學的論證.因此，針對特定的ICS環境，制定精準、全面評價ICS IDS性能的指標必將是未來的一大研究重點.

4.2檢測技術

檢測技術是為發現異常現象所采用的技術方法，其研究趨勢可分為提升準確性和降低能耗2個方面.

4.2.1準確性方面

1) 基于稀疏流量的異常檢測機制

目前針對SCADA等ICS的攻擊手段越來越高明，緩慢滲透的入侵攻擊流量稀少，相對于高維度的檢測模型訓練向量，攻擊樣本呈現稀疏性.傳統機器學習方法處理的數據維度較小，在訓練檢測模型時缺乏對參數本身的限制與優化機制，不利于從稀疏樣本中提取與入侵行為緊密相關的流量特征，從而導致檢測失效.因此，研究人員需要對檢測模型進行優化，提高檢測效率和精度，實現在大流量中檢測出流量稀疏的攻擊.

2) 可擴展的工業控制通信協議IDS機制

目前基于協議的ICS IDS檢測技術對工業控制通信協議格式的檢測進行了大量的研究.然而，此類檢測技術的前提是必須獲得某特定私有協議的規范，無法進行擴展，缺乏普遍性.

因此，如何提升協議檢測的可擴展性是目前研究人員正在思考的問題，如可采用機器學習中的遷移學習[54]技術.遷移學習是在新環境中大量訓練數據難以獲得的情況下，從現有的數據中遷移知識，用來幫助新環境下的學習.在ICS領域，我們可以將在Modbus，DNP3等通用協議下構造的檢測規則和方法，依靠自學習聚類算法等基于特征的無監督遷移學習技術，構造私有協議的檢測規則，以實現協議檢測的可擴展性.

3) 準確的設備狀態IDS機制

① 準確的設備狀態定義

簡單的設備或系統易于定義設備狀態，但復雜設備或系統往往有諸多觀察量，難以將這些觀察量與設備狀態準確關聯.因此，如何依賴諸多觀察量準確判斷出設備(系統)是否處于異常狀態、狀態轉移趨勢，吸引了眾多研究人員去進一步挖掘、分析.比如可采用常用于標注或分析序列資料的條件隨機場技術，通過判別式概率模型，在ICS中精確地確定復雜設備觀測值與真實狀態之間的關系，實現設備狀態的精確判斷.

② 精確的設備狀態檢測

ICS現場設備成本昂貴、種類繁多、資源受限，需要考慮MTU(master terminal unit)RTU控制主機與現場設備的協作.現通常考慮利用鏡像技術來模擬現場設備，然而如何高效地實現設備模擬進而達到系統狀態模擬，還需研究人員深入地分析、研究.比如可采用仿真和物理相結合的方法，在核心節點采用仿真技術，而邊緣執行器部分采用真實物理設備，構建高仿真的工業控制設備環境.

③ 異常行為的成因分析

ICS發生異常的原因可分為遭受入侵或故障2種情況.然而根據目前的研究進展，IDS無法直接判斷異常產生的具體原因，需要依靠其他信息進行判定且準確性差.為此，如何精準地區分異常產生原因是未來的重要研究方向.

4.2.2檢測效率方面

1) 智能化、自適應的IDS機制

2) 高效節能的數學模型檢測機制

目前在ICS中采用的如神經網絡等數學模型，需消耗大量的存儲資源和計算資源，同時隨著檢測精度的提升所需資源成倍數乃至指數增長.因此，越來越多的研究工作專注于節能數學模型的構建.如Schmidt等人[55]提出采用仿生學算法對流量進行檢測，即通過人工免疫算法，以低成本的能耗對網絡流量進行分類，發現異常流量信息.

4.3檢測架構

4.3.1多源融合IDS架構

目前對架構的研究僅在部署和檢測技術2個方面進行了簡單的考慮，如文獻[56]給出的架構只提及在企業網、控制網和現場網邊界及控制網內部進行部署，以及采用訪問控制白名單等進行異常檢測.

這些方案未考慮復雜的工業控制環境，因此如何針對工業控制環境構建合理的檢測架構是值得思考的問題.本文認為檢測架構需從多方面進行思考、分析.比如在檢測方法上，應構建更緊密的綜合誤用和異常這2種基本方法的機制；在檢測對象方面，需考慮操作流程，并與系統的業務邏輯和設備操作規范密切結合；在現場設備、RTU、和服務器等設備上，針對有限的資源，部署不同量級的設備狀態操作的檢測機制.

此外，單點、單類檢測機制檢測能力有限，無法進行全方位的檢測，為此應開始研究多源融合的IDS框架.在該框架中需定義不同源之間傳遞的數據結構，并在后臺構建數據標準化、關聯分析等數據融合技術，以實現節點之間信息的交互.

4.3.2并行ICS 檢測機制

在ICS中，為了提升IDS的檢測效率，需采用多線程、流水線等并行優化技術來提升檢測性能.然而大多數工業控制設備擁有的資源十分有限，無法采用普通的并行技術.為此，如何利用ICS資源實現并行檢測是未來的重要研究方向.比如可依靠CUDA(compute unified device architecture)技術[57]將檢測數據按會話進行分配，在GPU中實現并行處理，有效地提升效率[58-59].又如可根據報文對應的網絡事件，將數據分配到不同的GPU進行并行檢測，規避了會話間的關系，實現對掃描等入侵行為的識別并提高了檢測效率[60].

5　結束語

ICS在國家基礎設施中占據重要地位，但由于ICS與互聯網的逐步融合，暴露出眾多安全問題.IDS作為主要的安全檢測技術，可實時發現系統異常，進而確定可能的入侵行為.然而由于ICS的特殊性，傳統IDS不能很好適用于工業控制領域，需要研究新的IDS技術.本文根據ICS的基本架構及其特性，給出了ICS IDS的解釋、分類以及性能指標.同時，本文根據檢測對象逐步遞進的思想，從基于流量的IDS、基于協議的IDS、基于設備狀態的IDS這3個方面，全面分析了IDS關鍵技術.最后，本文給出了ICS IDS未來的發展趨勢.由于工業控制安全引起人們的關注較晚，學術界對ICS IDS的研究剛起步，還存在廣闊的空間供研究人員探索.

[1]Stouffer K, Falco J, Scarfone K. SP 800—82 Guide to Industrial Control Systems (ICS) Security[S]. Gaithersburg, MD: National Institute of Standards and Technology (NIST), 2011[2]Peng Yong, Jiang Changqing, Xie Feng, et al. Industrial control system cybersecurity research[J]. Journal of Tsinghua University: Science and Technology, 2012, 52(10): 1396-1408 (in Chinese)(彭勇, 江常青, 謝豐, 等. 工業控制系統信息安全研究進展[J]. 清華大學學報: 自然科學版, 2012, 52(10): 1396-1408)[3]Knapp E. Industrial Network Security—Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems[M]. Translated by Zhou Qin, Guo Bingyi, He Huimin, et al. Beijing: National Defense Industry Press, 2014 (in Chinese)(Eric D. Knapp.工業網絡安全: 智能電網, SCADA和其他工業控制系統等關鍵基礎設施的安全[M]. 周秦, 郭冰逸, 賀惠民, 等譯. 北京: 國防工業出版社, 2014)[4]US Department of Homeland Security. Executive Order 13636—Improving Critical Infrastructure Cybersecurity[EBOL].[2015-05-31]. http:www.dhs.govpublicationeo-13636-improving-ci-cybersecurity[5]Office of the Press Secretary, The White House. Presidential Policy Directive—Critical Infrastructure Security and Resilience[EBOL]. [2015-05-31]. http:www.whitehouse.govthe-press-office20130212presidential-policy-directive-critical-infrastructure-security-and-resil[6]Industrial Control Systems Cyber Emergency Response Team. ICS-CERT year in review 2013, 13-50369[ROL]. Arlington County, Virginia, USA: National Cybersecurity and Communications Integration Center, 2013 [2015-05-31]. https:ics-cert.us-cert.govICS-CERT-Year-Review-2013[7]Cheminod M, Durante L, Valenzano A. Review of security issues in industrial networks[J]. IEEE Trans on Industrial Informatics, 2013, 9(1): 277-293[8]OPC Foundation. OPC unified architecture specification[S]. Scottsdale, Arizona, USA: OPC Foundation, 2006[9]Computer security[EBOL]. [2015-05-31]. http:en.wikipedia.orgwikiComputer_security[10]Pollet J, Tiger R. Electricity for free? The dirty underbelly of SCADA and smart meters[COL]Proc of BlackHat Technical Conf. 2010 [2015-05-31]. https:media.blackhat.combh-ad-10PolletBlackHat-AD-2010-Pollet-RTS-Electricity-for-Free-wp.pdf[11]National Information Security Standardization Technical Committee. GBT 20275—2006 Information Security Technology Techniques Requirements and Testing and Evaluation Approaches for Intrusion Detection System[S]. Beijing: Standards Press of China, 2006 (in Chinese)(全國信息安全標準化技術委員會. GBT 20275—2006 信息安全技術入侵檢測系統技術要求和測試評價方法[S]. 北京: 中國標準出版社, 2006)[12]Mitchell R, Chen I R. A survey of intrusion detection techniques for cyber physical systems[J]. ACM Computing Survey, 2014, 46(4): 55-84[13]Striki M, Manousakis K, Kindred D, et al. Quantifying resiliency and detection latency of intrusion detection structure[C]Proc of Military Communication Conf. Piscataway, NJ: IEEE, 2009: 1-8[14]Misra S, Krishna P V, Abraham K I. Energy efficient learning solution for intrusion detection in wireless sensor networks[C]Proc of the 2nd Communication Systems and Networks. Piscataway, NJ: IEEE, 2010: 1-6[15]Stavroulakis P, Stamp M. Handbook of Information and Communication Security[M]. Berlin: Springer, 2010: 383-405[16]Vollmer T, Manic M. Computationally efficient neural network intrusion security awareness[C]Proc of the 2nd Int Symp on Resilient Control Systems. Piscataway, NJ: IEEE, 2009: 25-30[17]Linda O, Vollmer T, Manic M. Neural network based intrusion detection system for critical infrastructures[C]Proc of Int Joint Conf on Neural Networks. Piscataway, NJ: IEEE, 2009: 1827-1834[18]Linda O, Manic M, Vollmer T, et al. Fuzzy logic based anomaly detection for embedded network security cyber sensor[C]Proc of IEEE Symp on Computational Intelligence in Cyber Security. Piscataway, NJ: IEEE, 2011: 202-209[19]Linda O, Manic M, Vollmer T, et al. Towards resilient critical infrastructures application of type-2 fuzzy logic in embedded network security cyber sensor[C]Proc of the 4th Int Symp on Resilient Control Systems. Piscataway, NJ: IEEE, 2011: 26-32[20]Linda O, Manic M, Vollmer T. Improving cyber-security of smart grid systems via anomaly detection and linguistic domain knowledge[C]Proc of the 5th Int Symp on Resilient Control Systems. Piscataway, NJ: IEEE, 2012: 48-54[21]Maglaras L A, Jiang Jianmin. Intrusion detection in SCADA systems using machine learning techniques[C]Proc of 2014 Science and Information Conf. Piscataway, NJ: IEEE, 2014: 626-631[22]Luo Yaofeng. Research and design on intrusion detection methods for industrial control system [D]. Hangzhou: Zhejiang University, 2013 (in Chinese)(羅耀鋒. 面向工業控制系統的入侵檢測方法的研究與設計[D]. 杭州: 浙江大學, 2013)[23]Modbus Application Protocol Specification[S]. Hopkinton, MA: The Modbus Organization, 2006[24]TC 57—Power systems management and associated information exchange. IEC 60870-6-501 Telecontrol equipment and systems—Part 6: Telecontrol protocols compatible with ISO standards and ITU-T recommenda-tions—Section 501: TASE.1 Service definitions[S]. Geneva, Switzerland: IEC Central Office, 2005[25]Curtis K. A DNP3 protocol primer[ROL]. Raleigh, North Carolina: The DNP User Group, 2005 [2015-05-31]. http:www.dnp.orgAboutUsDNP3%20Primer%20Rev%20A.pdf[26]Cheung S, Dutertre B, Fong M, et al. Using model-based intrusion detection for SCADA networks[COL]Proc of SCADA Security Scientific Symp, 2007 [2015-05-31]. http:www.csl.sri.compapersscadaIDS07SCADA-IDS-S4-2007.pdf[27]Morris T, Vaughn R, Dandass Y. A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems[C]Proc of the 45th Hawaii Int Conf on System Sciences. Piscataway, NJ: IEEE, 2012: 2338-2345[28]Lin Hui, Slagell A, Martino C D, et al. Adapting Bro into SCADA: Building a specification-based intrusion detection system for the DNP3 protocol[C]Proc of the 8th Annual Cyber Security and Information Intelligence Research Workshop. New York: ACM, 2013: 5[29]Hong Junho, Liu Chen-Ching, Govindarasu M. Detection of cyber intrusions using network-based multicast messages for substation automation[C]Proc of IEEE PES Innovative Smart Grid Technologies Conf. Piscataway, NJ: IEEE, 2014: 1-5[30]Yang Yi, McLaughlin K, Littler T, et al. Rule-based intrusion detection system for SCADA networks[C]Proc of IET Renewable Power Generation Conf. London: The Institution of Engineering and Technology (IET), 2013: 1-4[31]Yang Yi, McLaughlin K, Littler T, et al. Intrusion detection system for IEC 60870-5-104 based SCADA networks[C]Proc of Power and Energy Society General Meeting (PES). Piscataway, NJ: IEEE, 2013: 1-5[32]Hadeli H, Schierholz R, Braendle M, et al. Leveraging determinism in industrial control systems for advanced anomaly detection and reliable security configuration[C]Proc of the Conf on Emerging Technologies Factory Automation. Piscataway, NJ: IEEE, 2009: 1-8[33]Zhang Dengfeng, Wang Zhiquan, Sun Jinsheng. Fault diagnosis technology in control systems[J]. Journal of Data Acquisition and Processing, 2002, 17(3): 293-299 (in Chinese)(張登峰, 王執銓, 孫金生. 控制系統故障診斷的理論與技術[J]. 數據采集與處理, 2002, 17(3): 293-299)[34]Zhou Donghua, Ye Yinzhong. Modern Fault Diagnosis and Fault-Tolerant Control Technology[M]. Beijing: Tsinghua University Press, 2000 (in Chinese)(周東華, 葉銀忠. 現代故障診斷與容錯控制[M]. 北京: 清華大學出版社, 2000)[35]Wen Xin, Zhang Hongyue, Zhou Lu. Fault Diagnosis and Fault Tolerant Control in Control System[M]. Beijing: China Machine Press, 1998 (in Chinese)(聞新, 張洪鉞, 周露. 控制系統的故障診斷和容錯控制[M]. 北京: 機械工業出版社,1998)[36]Li Weihua, Xiao Deyun, Fang Chongzhi. An adaptive sliding window lattice filtering algorithms-based fault detector[J]. Acta Automatica Sinica, 1996, 22(2): 251-253 (in Chinese)(李渭華, 蕭德云, 方崇智. 一種基于自適應滑動窗格形濾波算法的故障檢測器[J]. 自動化學報, 1996, 22(2): 251-253)[37]Patton R J. Robustness in model-based fault diagnosis: 1995 situation[J]. Annual Reviews in Control, 1997, 21: 103-123[38]Edelmayer A, Bokor J, Szigeti F, et al. Robust detection filter design in the presence of time-varying system perturbations[J]. Automatica, 1997, 33(3): 471-475[39]Sridhar S, Govindarasu M. Model-based attack detection and mitigation for automatic generation control[J]. Smart Grid, 2014, 5(2): 580-591[40]Gertler J, Kunwer M. Optimal residual decoupling for robust fault diagnosis[J]. International Journal of Control, 1995, 61(2): 395-421[41]Zhou Donghua, Sun Youxian, Xi Yugeng, et al. Real-time detection and diagnosis of “parameter bias” faults for nonlinear system[J]. Acta Automatica Sinica, 1993, 19(2): 184-189 (in Chinese)(周東華, 孫優賢, 席裕庚, 等. 一類非線性系統參數偏差型故障的實時檢測與診斷[J]. 自動化學報, 1993, 19(2): 184-189)[42]Tan J C, Crssley P A, Goody J. Fault section identification on a transmission network using action factors and expert system technology[COL]Proc of the 13th Power System Computation Conf (PSCC’99). 1999: 820-826 [2015-05-31]. http:www.pscc-central.orguploadstx_ethpublica tionspscc1999_104.pdf[43]Koppen S B, Frank P M. Neural networks in model-based fault diagnosis[C]Proc of 1996 IFAC World Congress. Laxenburg, Wien: Int Federation of Automatic Control (IFAC), 1996: 67-72[44]Monsef H, Ranjbar A M, Jadid S. Fuzzy rule-based expert system for power system fault diagnosis[J]. IEE Proc—Generation, Transmission and Distribution, 1997, 144(2): 186-192[45]Goetz E, Shenoi S. Critical Infrastructure Protection[M]. Berlin: Springer, 2008: 161-173[46]Verba J, Milvich M. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)[C]Proc of Conf on Technologies for Homeland Security. Piscataway, NJ: IEEE, 2008: 469-473[47]Fovino I N, Carcano A, Trombetta A, et al. ModbusDNP3 state-based intrusion detection system advanced information networking and applications (AINA)[C]Proc of the 24th IEEE Int Conf on Advanced Information Networking and Applications. Piscataway, NJ: IEEE, 2010: 729-736[48]Carcano A, Coletta A, Guglielmi M, et al. A multidimensional critical state analysis for detecting intrusions in SCADA systems[J]. Industrial Informatics, 2011, 7(2): 179-186[49]Lin Hui, Slagell A, Kalbarczyk Z, et al. Semantic security analysis of SCADA networks to detect malicious control commands in power grids[C]Proc of Security of Information and Networks. New York: ACM, 2014: 29-34[50]Mitchell R, Chen I-R. Behavior-rule based intrusion detection systems for safety critical smart grid applications[J]. Smart Grid, 2013, 4(3): 1254-1263[51]Mitchell R, Chen I-R. Adaptive intrusion detection of malicious unmanned air vehicles using behavior rule specifications[J]. Systems, Man, and Cybernetics: Systems, 2013, 44(5): 593-604[52]Pan Shengyi, Morris T H, Adhikari U, et al. Causal event graphs cyber-physical system intrusion detection system[C]Proc of the 8th Annual Cyber Security and Information Intelligence Research Workshop. New York: ACM, 2013: 40[53]Yang Dayu, Usynin A, Hines J W. Anomaly-based intrusion detection for SCADA systems[COL]Proc of the 5th Int Topical Meeting on Nuclear Plant Instrumentation, Control and Human Machine Interface Technologies. 2005: 12-16 [2015-05-31]. http:wenku.baidu.comlink?url=t_Tt4k6 YHPFkGcmWaDHGd6f3wu_9tY8Ky4e3Ey56Cdq5Dt1Cy63 HsIC7FNCjatb9YlYNDmDKW1gc-GF-YGWX9zpKd8pIM4H Rzp9GBS5jz7S[54]Pan S J, Yang Qiang. A survey on transfer learning[J]. Knowledge and Data Engineering, 2010, 22(10): 1345-1357[55]Schmidt B, Kountanis D, Al-Fuqaha A. A biologically-inspired approach to network traffic classification for resource-constrained systems[C]Proc of IEEEACM Int Symp on Big Data Computing. Piscataway, NJ: IEEE, 2014: 113-118[56]Yang Yi, McLaughlin K, Sezer S, et al. Multiattribute SCADA-specific intrusion detection system for power networks[J]. IEEE Trans on Power Delivery, 2014, 29(3): 1092-1102[57]Wikimedia Foundation. CUDA[EBOL].[2015-05-31]. http:en.wikipedia.orgwikiCUDA[58]Vasiliadis G, Polychronakis M, Ioannidis S. MIDeA: A multi-parallel intrusion detection architecture[C]Proc of ACM Conf on Computer and Communications Security. New York: ACM, 2011: 297-308[59]Jamshed M, Lee J, Moon S, et al. Kargus: A Highly-scalable software-based intrusion detection system[C]Proc of ACM Conf on Computer and Communications Security. New York: ACM, 2012: 317-328[60]De Carli L, Sommer R, Jha S. Beyond pattern matching: A concurrency model for stateful deep packet inspection[C]Proc of ACM Conf on Computer and Communications Security. New York: ACM, 2014: 1378-1390

Yang An, born in 1988. PhD candidate. Student member of China Computer Federation. His main research interests include intrusion detection and industry control systems security.

Sun Limin, born in 1966. PhD supervisor in the Institute of Information Engineering, Chinese Academy of Sciences. Member of China Computer Federation. His main research interests include IOT and IOT security.

Wang Xiaoshan, born in 1986. PhD candidate. Student member of China Computer Federation. His main research interests include industry control systems security and wireless security (wangxiaoshan@iie.ac.cn).

Shi Zhiqiang, born in 1970. PhD supervisor in the Institute of Information Engineering, Chinese Academy of Sciences. Member of China Computer Federation. His main research interests include network system security and industry control systems security (shizhiqiang@iie.ac.cn).

Intrusion Detection Techniques for Industrial Control Systems

Yang An1,2, Sun Limin1, Wang Xiaoshan1,2, and Shi Zhiqiang1

1(KeyLaboratoryofIOTInformationSecurityTechnology(InstituteofInformationEngineering，ChineseAcademyofSciences),Beijing100093)2(UniversityofChineseAcademyofSciences,Beijing100049)

In recent decades, with the introduction of Ethernet and the more close connection with external network, an increasingly larger number of vulnerabilities have been found in the industrial control system (ICS), exposing its serious security problem. These security issues cannot be handled completely due to the variety of the vulnerability. Therefore, we must construct the defense-in-depth system for ICS. In particular, the intrusion detection system (IDS) is one of the most important parts in the defense-in-depth system of ICS. The IDS is able to discover the potential intrusion by misuse detection and anomaly detection. In this survey, we analyze the architecture and characteristics of ICS and provide the detailed descriptions of the security concept of ICS. Then, according to the characteristics of ICS, we put forward a clear requirement of ICS IDS and elaborate its connotation. Moreover, we categorize the existing IDS methods based on the detection strategy, including traffic detection, protocol detection and equipment state detection. In each category, we analyze the detection technique and discuss the detection algorithm. Finally, for future work, from the perspective of the disadvantages of current solutions and the constraints for ICS applications, we summarize some research trends of ICS IDS from the aspects of performance metric, detection technique and detection architecture.

industrial control system (ICS); intrusion detection system (IDS); traffic detection; protocol detection; equipment state detection

2015-06-09；

2015-10-30

國家自然科學基金項目(61472418)；中國科學院國防科技創新基金重點基金項目(CXJJ-14-Z68)；中國科學院戰略性先導科技專項基金項目(XDA06040101)；新疆維吾爾族自治區科技專項基金項目(201230122)

孫利民(sunlimin@iie.ac.cn)

TP309

This work was supported by the National Natural Science Foundation of China (61472418), the Innovation Foundation of the Chinese Academy of Sciences (CXJJ-14-Z68), the State Priority Research Program of the Chinese Academy of Sciences (XDA06040101), and Xinjiang Uygur Autonomous Region Science and Technology Project (201230122).