工控系統入侵檢測及安全防御架構探討

衛 霞 ?；矍?李 茹 李 婧

（西安明德理工學院，陜西 西安710024）

隨著中國制造2025、互聯網+、兩化融合進程的快速發展，信息技術快速應用到工業制造領域，各種智能制造設備和系統進行網絡互聯互通的趨勢加快。當前，智能制造系統覆蓋面極廣，產業鏈龐大，已廣泛應用于武器制造、航空航天、車輛制造、船舶制造、3C 智能制造等各個關鍵領域中，成為直接影響國防安全、經濟安全和社會安全的基礎技術。同時，智能制造設備聯網進程的加快導致了傳統信息網絡的各種黑客攻擊和惡意代碼等安全威脅快速進入到智能制造網絡。智能制造設備的故障、加工代碼的泄露將會導致嚴重的經濟損失，危及人身安全甚至國家安全。工業控制系統（Industrial Control Systems，ICS）網絡安全已經成為國家基礎設施網絡空間安全的重要組成部分，已被提升到國家戰略層面[1]。

異常檢測和防護是保障工控系統的一種重要的防護手段，可有效防護網絡上的各種不法訪問、惡意攻擊或無意地破壞[2]，有效的擴展了系統管理員的安全管理能力，信息安全異常事件檢測與防護成為工控系統研究熱點[3][4]。

1 研究現狀

2010 年之前，基于Snort 軟件的入侵檢測方法被認為是安全的，但震網病毒的出現表明，工業控制系統也能遭受網絡攻擊，且已經成為黑客的主要目標[5]，需要增加入侵檢測系統以保護連接在總線網絡上的RTU、智能電子設備（IED）和PLC 設備。所以基于Snort 的協議分析和檢測系統利用Snort 規則檢測上下行數據進行，可高效識別Modbus 協議中的非法數據包，但對未知攻擊的漏檢率很高[6]。Barbosa 等對SCADA 流量的特性進行研究，提出了基于網絡流量的周期性檢測方法，但由于控制網絡的配置功能的流量的周期性無法保證，產生很高的誤報率[7]。

呂佩吾等人提出了基于卷積神經網絡的Modbus/TCP 異常報文檢測方法，實現對Modbus/TCP 異常報文檢測[8]；邵俊杰等人使用n-gram 算法從Modbus 正常報文幀的有效載荷中進行特征提取，結合單類支持向量機(OCSVM)算法，完成了異常識別[9]。王偉等人提出一種基于PU 學習的工業控制系統異常檢測方法，根據狀態轉換圖和孤立森林模型分別判斷狀態轉換關系和狀態自循環的正確性[10]?？傮w而言，雖然學術界已經獲得相當的研究進展和積累，但是當前工控系統安全保障方案一方面無法滿足工控系統準確性和實時性要求高的特點，另一方面隨著攻擊方法的升級，工業領域安全的要求不斷提高，從而帶來新的挑戰。

2 工業控制系統信息安全防護體系架構

工業控制系統通常包含企業辦公網絡、過程控制、監控網絡以及現場控制系統幾個部分，主要由可編程邏輯控制器（PLC）設備、遠程終端單元（RTU）、分布式控制系統(DCS)、數據采集與監視控制系統（SCADA）和傳感器等設備組成，通過OPC（OLE for Process Control）、Modbus、DNP3 等專有協議進行信息通信，使用WinCE 等嵌入式系統，軟硬件升級困難、系統兼容性差，流量具有突發性和周期性，且對實時性要求較高。

圖1 工控系統安全防護架構

本文對工業控制系統實施架構分層，使其在不影響控制系統與企業系統業務模式前提下，能夠全面阻擋、記錄、控制、預警工控環境中的安全風險行為。提出的工控系統安全防護架構包括了數據采集層、處理層、服務層三層體系架構，首先利用采集層的威脅探測設備、安全監測設備、工業運行數據導入等方式獲取數據，然后通過處理層的機器學習、模式匹配、深度報文解析等方法對系統數據進行綜合分析，可提供異常事件的檢測識別、漏洞及攻擊預警、工控安全預測等服務。

3 工控系統信息安全異常事件檢測及安全防御架構

3.1 工控系統入侵檢測模型及機制概述

針對控制系統檢測以及防護多變性的問題，通過數據驅動歸納、逆向工程、協議樹等協議分析理論，研究基于機器學習和關聯分析的異常行為的智能分析與識別技、工業協議的深度安全解析與策略防護技術，最終實現對智能裝備系統信息進行快速有效檢測以及防護，避免安全事故發生。

設計工控網絡的異常檢測模型，利用聚類算法獲得的分類情況生成的檢測規則，對網絡數據進行檢測。具體實現時，可以將檢測過程分為訓練和運行兩個工作階段。首先在訓練階段，系統初始化后將分別獲取正常通訊及遭受攻擊時的網絡數據，并將獲得的數據打上相應的標簽作為訓練樣本，然后再對樣本進行聚類，進而建立分類模型；其次在運行階段，根據訓練階段生成的分類模型對網絡數據進行實時檢測，有效識別異常數據并及時進行輸出。

3.2 基于SVM及改進D-S 證據融合的工控系統入侵檢測

工控網絡安全的異常行為分析如流程圖2 所示。首先將訓練數據集和預測數據集的數據按特征屬性分為基本特征、內容特征、流量特征三類，并在各類數據集特征屬性后添加代表攻擊類型和正常類型的標簽，然后分別訓練基本特征集訓練SVM1，內容特征集訓練SVM2，流量特征集訓練SVM3，得到三類訓練標簽。將三類特征屬性的訓練標簽作為各類特征屬性預測時所需的標簽，并加上分好類的預測數據集進行預測，便可以得出測試數據集的各類測試數據標簽。

圖2 SVM 及改進D-S 證據融合的入侵檢測模型

其中m(N)、m(A)和m({N，A})分別表示當前特征支持正常行為、當前特征支持異常行為、無法確定當前行為屬于正?；蛘弋惓Ｐ袨榈目尚哦?。

如果三組結果均判定為異常，則設定該數據對異常行為和正常行為的基本函數值分別為1 和0，即該數據為異常數據；假設三組結果都判定為正常數據，則設定該數據對正常行為和異常行為的基本函數值分別為1 和0，即該數據為正常數據；而對于其他數據則按判定比例相應計算出在[0，1]之間信任度對應的數值，然后進行整體加權融合，對融合后的結果進行判定，以此進行檢測。

3.3 工控系統主動防御安全預警模型構建

對采集到的工業數據進行分類，獲取準確度最高的數學模型。數學模型分為正常數據行為模型、異常數據行為模型兩大類，正常數據模型應用到保護設備中作為設備的白名單，進行流量放行；異常數據行為模型應用到工業安全防護設備中作為黑名單，進行流量控制。通過對多地域、多行業、多種網絡的攻擊手段、漏洞信息、組網連接、運行控制等信息進行攻擊路徑、風險設備分析，建立工控安全預警模型，預警模型如圖3 所示：

圖3 基于D-S 證據融合的安全預警模型

4 結論

本文結合我國工業控制系統所存在的具體安全風險，分析并建立一套從技術角度和管理制度上都能有效防范安全攻擊的防護體系，并提出D-S 證據融合的工控系統安全主動防御預警模型。下一步，依據該技術模型進行更深層次的測試及產品研制，為識別防范攻擊和攻擊者提供決策支持。