分布式入侵檢測系統(tǒng)在煙草生產(chǎn)工業(yè)控制 網(wǎng)絡(luò)中的應(yīng)用研究

張書凡

【摘要】? ? 入侵檢測系統(tǒng)是一種有效的網(wǎng)絡(luò)安全防護手段，已在工業(yè)控制網(wǎng)絡(luò)得到廣泛應(yīng)用。然而，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊變得多樣化和復(fù)雜化，使得入侵檢測系統(tǒng)需要具有更強的檢測性能。本文從煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)的特點著手結(jié)合了分布式入侵檢測系統(tǒng)的優(yōu)勢，構(gòu)建了一種分布式的煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)入侵檢測模型。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)? ? 分布式入侵檢測

Abstract： Intrusion detection system is an effective network security protection method， which has been widely used in industrial control networks. However， with the development of network technology， network attacks have become diversified and complicated， making intrusion detection systems need to have stronger detection performance. This paper starts from the characteristics of the industrial control network of the tobacco shovel and combines the advantages of the distributed intrusion detection system to construct a distributed intrusion detection model of the tobacco production industrial control network.

Key words： Network security; Tobacco production industry control network; Distributed intrusion detection

引言：

工業(yè)控制網(wǎng)絡(luò)[1]（Industrial Control Network）目前已經(jīng)廣泛的應(yīng)用在電力系統(tǒng)、石油化工生產(chǎn)、煙草生產(chǎn)、水利工程、軍事、醫(yī)療以及國家各類重點企業(yè)的生產(chǎn)制造中。工業(yè)控制網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)制造過程中不可或缺的一部分。然而，在工業(yè)控制系統(tǒng)大大提高企業(yè)生產(chǎn)能力的同時，工業(yè)控制網(wǎng)絡(luò)的安全性防護問題也越來越突出。如受到網(wǎng)絡(luò)外部或者網(wǎng)絡(luò)內(nèi)部的木馬病毒、蠕蟲以及人為的攻擊等，給企業(yè)造成巨大的損失。針對煙草生產(chǎn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)面臨的安全問題，文章設(shè)計了一種分布式入侵檢測系統(tǒng)。

一、入侵檢測技術(shù)概述

入侵檢測系統(tǒng)[2]是一種主動式的網(wǎng)絡(luò)系統(tǒng)安全保護措施，它是對防火墻等被動防御系統(tǒng)的補充。入侵檢測系統(tǒng)不僅可以檢測到來自網(wǎng)絡(luò)外部的入侵，也能對網(wǎng)絡(luò)內(nèi)部的非授權(quán)等行為進行檢測。入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡(luò)中的流量和計算機的日志信息，分析相關(guān)數(shù)據(jù)，發(fā)現(xiàn)是否存在惡意攻擊行為。如圖1為入侵檢測系統(tǒng)工作的流程圖。

二、入侵檢測系統(tǒng)分類

現(xiàn)有的入侵檢測系統(tǒng)按照檢測功能和檢測對象進行分類，可分為基于主機的檢測系統(tǒng)、基于網(wǎng)絡(luò)的檢測系統(tǒng)、基于異常的檢測系統(tǒng)、基于誤用的檢測以及混合檢測系統(tǒng)。

2.1基于主機的入侵檢測

基于主機的入侵檢測系統(tǒng)，主要是檢測系統(tǒng)日志和其他的應(yīng)用程序日志來進行信息收集與分析。從而發(fā)現(xiàn)是否存在攻擊。

2.2基于網(wǎng)絡(luò)的入侵檢測

基于網(wǎng)絡(luò)的入侵檢測是主要是以網(wǎng)絡(luò)數(shù)據(jù)包為檢測對象，通過對網(wǎng)絡(luò)數(shù)據(jù)進行實時分析，來發(fā)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)是否存在異常。

2.3基于異常的入侵檢測系統(tǒng)

異常檢測是對用戶的行為或者是對資源的使用情況進行分析，從而是否有入侵發(fā)生。

2.4基于誤用的入侵檢測系統(tǒng)

誤用檢測技術(shù)的基本原理是假定所有的網(wǎng)絡(luò)攻擊都具有一定的模式或特征，然后根據(jù)該模式或特征分析處理建立一個特定類型的數(shù)據(jù)庫，最后把收集到的數(shù)據(jù)和信息與己知類型的網(wǎng)絡(luò)入侵和系統(tǒng)誤用的模式數(shù)據(jù)庫進行匹配操作，如果匹配，則認為發(fā)生入侵。

2.5混合檢測

混合檢測是將異常檢測和誤用檢測結(jié)合起來的一種檢測技術(shù)，通常入侵檢測系統(tǒng)在做出決策之前，有時候既要分析系統(tǒng)的正常行為，又要判斷可疑的入侵行為，所以比普通的檢測方式更加全面、準確和可靠。

三、工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)及其面臨的網(wǎng)絡(luò)威脅

3.1分布式入侵檢測系統(tǒng)

隨著計算機網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)變的越來越復(fù)雜，網(wǎng)絡(luò)規(guī)模已經(jīng)很好的滿足網(wǎng)絡(luò)安全發(fā)展的需要。由此，分布式入侵檢測系統(tǒng)[3]應(yīng)運而生。分布式入侵檢測系統(tǒng)的策略由控制中心定義和管理?？刂浦行母鶕?jù)分配協(xié)議的原則將策略分配給各個監(jiān)控人員，由各個監(jiān)控人員實現(xiàn)具體的策略。同時，每個監(jiān)控器可以根據(jù)需要使用不同類型的入侵檢測系統(tǒng)。

3.2煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)

煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)具有明顯的結(jié)構(gòu)體系，以甘肅省煙草公司蘭州市公司為例。如圖2所示為整個公司生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)：

1.控制系統(tǒng)與外部通信網(wǎng)絡(luò)的連接部分：通過路由器將整個網(wǎng)絡(luò)接入外部主干網(wǎng)絡(luò)中;

2.監(jiān)控平臺：負責監(jiān)視其他各個工作區(qū)域內(nèi)的設(shè)備以及人員工作狀態(tài);

3.安全管理區(qū)域：主要部署日志審計服務(wù)器、漏洞掃描設(shè)備、系統(tǒng)備份服務(wù)器等設(shè)備;

4.辦公區(qū)域：主要部署用于員工工作和操作的主機;

5.工控區(qū)域：包括眾多的傳感器、電子設(shè)備、分揀設(shè)備、裝卸設(shè)備以及移動終端。

一般可以將煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)分為管理網(wǎng)絡(luò)、過程控制網(wǎng)絡(luò)和現(xiàn)場控制網(wǎng)絡(luò)三層結(jié)構(gòu)。管理網(wǎng)絡(luò)直接與互聯(lián)網(wǎng)連接并進行信息交換。過程控制網(wǎng)絡(luò)主要負責對工業(yè)控制系統(tǒng)的檢測、管理和數(shù)據(jù)保存?，F(xiàn)場網(wǎng)絡(luò)是由一系列的智能電子設(shè)備、傳感器和移動端構(gòu)成，實現(xiàn)了對工業(yè)生產(chǎn)中流水線的控制。煙草生產(chǎn)工業(yè)網(wǎng)絡(luò)的功能性是按層次性結(jié)構(gòu)進行區(qū)分的，各層之間負責不同的控制業(yè)務(wù)，各控制層次之間通過相應(yīng)的通信協(xié)議進行數(shù)據(jù)的傳輸與交換，實現(xiàn)對工業(yè)控制系統(tǒng)的分層管理。煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)的信息網(wǎng)絡(luò)的主要區(qū)別為：1.對系統(tǒng)的實時性要求不同;2.通信協(xié)議不同;3.安全防護技術(shù)不同;4.業(yè)務(wù)流程不同。

3.2面臨的網(wǎng)絡(luò)威脅

工業(yè)控制網(wǎng)絡(luò)在實現(xiàn)數(shù)據(jù)通信過程時通常使用業(yè)界常用的標準協(xié)議。然而，在提高工業(yè)系統(tǒng)控制能力的同時，也存在著許多安全風險：

1.企業(yè)所使用的辦公網(wǎng)絡(luò)與主干互聯(lián)網(wǎng)連接，很大概率存在來自外部互聯(lián)網(wǎng)的安全威脅，如木馬病毒、不安全的遠程支持。

2.企業(yè)內(nèi)部員工等人員在操作過程中將不安全的移動設(shè)備（如個人PC、U盤等）在沒有經(jīng)過安全檢查或者授權(quán)的情況下直接接入，這很大可能造成木馬病毒在整個工業(yè)控制網(wǎng)絡(luò)中的傳播，嚴重時甚至?xí)斐芍卮蟮墓I(yè)事故。

3.工業(yè)控制網(wǎng)絡(luò)之中RTU/PLC之間建立的無線通信，缺乏有效的安全機制，存在很大的安全隱患，極易受到攻擊。

4.控制網(wǎng)絡(luò)通常位于工業(yè)控制的生產(chǎn)現(xiàn)場，設(shè)備運行的環(huán)境相對較復(fù)雜，通常使用無線、微波等接入技術(shù)作為對現(xiàn)有的網(wǎng)絡(luò)外擴延伸方法，這也可能會存在一定的安全風險。

四、分布式入侵檢測系統(tǒng)在煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用

分布式入侵檢測系統(tǒng)[4]檢測的數(shù)據(jù)來源于網(wǎng)絡(luò)中的數(shù)據(jù)包和主機中的數(shù)據(jù)。它主要的工作模式是分布式檢測、集中式管理。本系統(tǒng)的檢測方式是結(jié)合了基于主機的檢測系統(tǒng)和基于網(wǎng)絡(luò)的檢測系統(tǒng)的混合檢查方式。

4.1基本工作原理

部署在網(wǎng)絡(luò)節(jié)點中的各個監(jiān)測器在監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)的同時，也統(tǒng)計流量信息。利用已經(jīng)設(shè)置好的攻擊行為檢測規(guī)則來檢測網(wǎng)絡(luò)中存在的攻擊活動，實現(xiàn)第一層檢測。

分析處理后的流量信息需要進行分類操作，然后將這些數(shù)據(jù)集中存放到統(tǒng)計服務(wù)中心的相關(guān)數(shù)據(jù)庫中，最后，通過管理服務(wù)器對這些數(shù)據(jù)進行分析檢測處理并且向管理員進行報警，實現(xiàn)了第二層檢測。

管理員通過管理服務(wù)器對整個系統(tǒng)進行相應(yīng)的運行控制和監(jiān)控，管理員通過對服務(wù)器管理從而達到對整個系統(tǒng)進行相應(yīng)的運行控制和監(jiān)控的目的。必要時，可以通過統(tǒng)計服務(wù)中心的數(shù)據(jù)庫中提取出相關(guān)的數(shù)據(jù)來分析，實現(xiàn)第三層檢測。

4.2系統(tǒng)的整體部署

以甘肅省煙草公司蘭州是公司的工業(yè)生產(chǎn)控制系統(tǒng)為例進行部署。系統(tǒng)由監(jiān)測器、統(tǒng)計分析服務(wù)中心和管理服務(wù)器三大部分組成，如圖3所示。

按照工業(yè)控制網(wǎng)絡(luò)的特性去部署所設(shè)計的分布式入侵檢測系統(tǒng)的監(jiān)測設(shè)備、監(jiān)控中心以及統(tǒng)計服務(wù)器。首先，在外網(wǎng)與最外層防火墻之間安裝監(jiān)測器用于監(jiān)測來自外部網(wǎng)絡(luò)的入侵。

在防火墻與管理網(wǎng)之間部署監(jiān)測器以監(jiān)視和分析管理網(wǎng)與外網(wǎng)的數(shù)據(jù)流。分別在過程控制網(wǎng)絡(luò)和現(xiàn)場控制網(wǎng)絡(luò)中部署一臺或一臺以上的監(jiān)測器監(jiān)視各網(wǎng)段的流量數(shù)據(jù)。統(tǒng)計分析中心部署在管理網(wǎng)中，并用交換機將連接各層網(wǎng)絡(luò)中的各個監(jiān)測器，最后通過交換機與統(tǒng)計分析中心服務(wù)器連接。通過收集各個監(jiān)測器的流量數(shù)據(jù)進行統(tǒng)計分析。管理服務(wù)器部署在管理網(wǎng)中，主要的作用是監(jiān)測統(tǒng)計服務(wù)器和各個監(jiān)測器的工作狀態(tài)，此外，還可以對部署的所有監(jiān)測器進行統(tǒng)一的管理和維護。此外，檢測中心能夠?qū)ο到y(tǒng)配置管理，也可以與統(tǒng)計分析中心進行數(shù)據(jù)交互，獲取統(tǒng)計分析結(jié)果，便于網(wǎng)絡(luò)管理人員進行查詢和監(jiān)控。

五、結(jié)束語

本文首先對工業(yè)控制網(wǎng)的安全現(xiàn)狀進行了分析，簡明的介紹了入侵檢測技術(shù)的相關(guān)理論知識，然后通過分析煙草生產(chǎn)工業(yè)控制網(wǎng)的安全現(xiàn)狀和體系結(jié)構(gòu)，設(shè)計了一種分布式入侵檢測系統(tǒng)。系統(tǒng)主要由監(jiān)測器、分析統(tǒng)計服務(wù)中心和管理服務(wù)器三大部分組成，通過三層檢測模式，對整個控制網(wǎng)絡(luò)實現(xiàn)由容易識別到不容易識別威脅的分布式管理。在后續(xù)的研究中，將結(jié)合最新的智能檢測技術(shù)，如用機器學(xué)習(xí)的方式，實現(xiàn)智能化的檢測方式，進一步的提高對工業(yè)控制網(wǎng)的安全防護。

參? 考? 文? 獻

[1]石永杰，于慧超，呂峰，張暢，吳亞萍.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主動防御技術(shù)研究與實踐[J].信息技術(shù)與網(wǎng)絡(luò)安全，2020，39（04）：13-18.

[2]李威， 楊忠明. 入侵檢測系統(tǒng)的研究綜述[J]. 吉林大學(xué)學(xué)報（信息科學(xué)版）， 2016， 34（5）：657-662.

[3] Song Deng，Ai-Hua Zhou，Dong Yue，Bin Hu，Li-Peng Zhu. Distributed intrusion detection based on hybrid gene expression programming and cloud computing in a cyber physical power system[J]. IET Control Theory & Applications，2017，11（11）.

[4]張小奇， 蔡冠群， 蘇文明. 數(shù)字化校園中入侵檢測系統(tǒng)的研究與應(yīng)用[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報， 2019， 028（001）：71-73，93.