入侵檢測技術(shù)在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的應(yīng)用研究

孫 遜

(上海儀電(集團(tuán))有限公司，上海 200233)

0 引言

在我國“互聯(lián)網(wǎng)+”戰(zhàn)略部署和“兩化深度融合”的大趨勢下，工業(yè)控制系統(tǒng)越來越多地采用互聯(lián)網(wǎng)及通用協(xié)議進(jìn)行數(shù)據(jù)交換和運(yùn)行管理[1-2]。這在極大地提高工業(yè)生產(chǎn)效率及效益的同時(shí)，也因工控網(wǎng)絡(luò)的開放性帶來了諸如病毒、木馬以及網(wǎng)絡(luò)攻擊等安全問題[3]。據(jù)國家工信安全中心統(tǒng)計(jì)，近兩年工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)主要集中在智能制造、能源、交通等關(guān)鍵行業(yè)領(lǐng)域。其中，制造業(yè)安全風(fēng)險(xiǎn)數(shù)量較上一年增長86%。雖然工業(yè)互聯(lián)網(wǎng)企業(yè)布署了防火墻、主機(jī)衛(wèi)士等安全設(shè)備，但是防護(hù)的重點(diǎn)主要還是在應(yīng)用層，對信號和流量的產(chǎn)生之初產(chǎn)生的安全問題關(guān)注不足。因此，在流量和信號產(chǎn)生之初檢測出惡意代碼并作相應(yīng)的報(bào)警，對于工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全而言尤為重要。

本文提出了一種基于奇異值分解的入侵檢測技術(shù)，從入侵檢測的工作原理和檢測過程兩個(gè)角度分析了檢測技術(shù)與傳統(tǒng)入侵檢測技術(shù)的區(qū)別。為了驗(yàn)證入侵的有效性，在工業(yè)控制系統(tǒng)模擬環(huán)境中進(jìn)行了數(shù)據(jù)重放試驗(yàn)。試驗(yàn)證明，入侵檢測技術(shù)可以有效規(guī)避數(shù)據(jù)擾動產(chǎn)生的誤報(bào)警，提高檢測準(zhǔn)確率。

1 入侵檢測技術(shù)概念

高級可持續(xù)攻擊(advanced persistent threat，APT)作為常用的攻擊手段，往往用于工業(yè)互聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)攻擊。攻擊者為了隱藏自己的攻擊行為，通常將惡意腳本整合成虛假數(shù)據(jù)，并在底層鏈路進(jìn)行傳輸。為了長期存在于被感染的網(wǎng)絡(luò)或系統(tǒng)中，攻擊者的惡意流量攻擊值相對較弱。對于工業(yè)互聯(lián)網(wǎng)企業(yè)而言，安全防護(hù)設(shè)備因功能單一或檢測能力不足，對正常攻擊的防護(hù)能力不夠強(qiáng)，更檢測不出底層產(chǎn)生的惡意攻擊。

入侵檢測是實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)中的流量，在出現(xiàn)異常問題時(shí)進(jìn)行相應(yīng)處理的一種網(wǎng)絡(luò)安全技術(shù)[4]。傳統(tǒng)入侵檢測流程如圖1所示。

圖1 傳統(tǒng)入侵檢測流程圖

傳統(tǒng)入侵檢測流程主要分為采集、分析、處理三個(gè)步驟，依次執(zhí)行。在數(shù)據(jù)采集階段，收集底層檢測設(shè)備產(chǎn)生的流量。在分析階段，根據(jù)數(shù)據(jù)類型的不同，參考線性動態(tài)系統(tǒng)(linear dynamic system,LDS)模型，對采集的流量進(jìn)行計(jì)算、對比、分析、反饋，從而判斷系統(tǒng)中是否隱藏惡意流量。在處理階段，通過預(yù)制或個(gè)性化配置安全策略，對產(chǎn)生的惡意流量進(jìn)行處置，生成報(bào)警信息。目前，市場上各安全公司大多采用這類方式進(jìn)行產(chǎn)品研發(fā)，在分析模型的建立階段需要花費(fèi)大量的精力，最終形成各企業(yè)特有的安全產(chǎn)品。但是，針對工業(yè)互聯(lián)網(wǎng)企業(yè)的物理模型目前尚不完善。因此，在生成采樣數(shù)據(jù)的階段，必須判斷傳感器當(dāng)前的讀數(shù)和歷史讀數(shù)是否有偏差，以此研判系統(tǒng)中是否存在異常行為。

為了提高對底層攻擊流量的檢測能力，觀察傳感器信號需檢測非正常流量中微弱的變化。本文采用檢測技術(shù)的方法。該方法的工作機(jī)制是：首先記錄傳感器正常的流量信號并以此作為基準(zhǔn)，將信號序列化；然后從中分離并提取降噪后的信號；最后對比被測信號和基準(zhǔn)信號的偏差值，若偏差值過大則判斷系統(tǒng)中存在惡意流量。為了更準(zhǔn)確地獲取降噪信號，本文參考了奇異譜分析(singular spectrum analysis，SSA)[5]，引入信號子空間的概念來實(shí)現(xiàn)檢測結(jié)果和預(yù)估值的對比，以此判斷是否存在惡意流量。

2 入侵檢測技術(shù)工作原理

SSA是入侵檢測的技術(shù)之一，主要分為嵌入、分解、分組、重構(gòu)四個(gè)階段[6]。SSA流程如圖2所示。

圖2 SAA流程圖

SSA具體過程如下。

①在歐幾里得空間中嵌入提取信號的序列。

②對生成的時(shí)間序列矩陣進(jìn)行分解。

③識別信號子空間，將觀測值的矢量在子空間上進(jìn)行分組投影，生成偏離分?jǐn)?shù)。

④跟蹤偏離分?jǐn)?shù)，生成對比信息，判斷數(shù)據(jù)是否正常。

2.1 嵌入

設(shè)N為滯后參數(shù)(其中N為自然數(shù)，N∈)，通過形成L個(gè)長度為M的滯后向量T，作為初始子序列嵌入N維空間RN中，T∈RN。

Xi=(xi，xi+1,…,xi+N,xi+N-1)

(1)

式中：Xi為滯后列向量；xi為Xi中的元素，1≤i≤L，L=M-N+1，M為數(shù)據(jù)長度。

進(jìn)一步構(gòu)造軌跡矩陣X，如式(2)所示。

(2)

2.2 分解

針對生成的軌跡矩陣X，采取奇異值分解的處理，輸出N個(gè)特征向量u1，u2，...，uN。然后，將特征向量重組，輸出方差矩陣XXT。最后，進(jìn)行時(shí)間序列維數(shù)t的統(tǒng)計(jì)，輸出變異性、確定性的自由度。

2.3 分組

在獲得信號信息之后，通過對正常過程行為的識別來獲取信號的數(shù)學(xué)表示。設(shè)W為一個(gè)N×t矩陣，其列為t個(gè)特征向量u1，u2，...，ut，對應(yīng)t個(gè)前導(dǎo)特征值。Nt為W的列向量所跨越的子空間。計(jì)算滯后向量xi的樣本均值c(1≤i≤L)，如式(3)所示。

(3)

(4)

式中：P為投影矩陣,P=W(WTW)-1WT=WT。

2.4 重構(gòu)

對于每個(gè)測試向量Xj(j>L),計(jì)算NT中到質(zhì)心的歐幾里德距離的平方值Sj，如式(5)所示。

(5)

每當(dāng)Sj≥θ時(shí)，就生成報(bào)警信息。θ為設(shè)置的報(bào)警閾值，是在正常狀態(tài)下觀測到的信號擾動。

3 工業(yè)互聯(lián)網(wǎng)系統(tǒng)檢測仿真試驗(yàn)

工業(yè)互聯(lián)網(wǎng)常見結(jié)構(gòu)可以分為信息技術(shù)(information technology,IT)層和操作技術(shù)(operation technology,OT)層。OT層包括現(xiàn)場設(shè)備層、現(xiàn)場控制層等，實(shí)現(xiàn)了對企業(yè)資源、流程、工藝及事件的全面管控，覆蓋企業(yè)運(yùn)營的各個(gè)層面，包括生產(chǎn)運(yùn)營、能源運(yùn)營、設(shè)備資產(chǎn)運(yùn)營以及服務(wù)運(yùn)營等[7]。IT層通過采集大量OT層數(shù)據(jù)并加以整合利用，優(yōu)化OT層的生產(chǎn)，從而整體提高工業(yè)互聯(lián)網(wǎng)企業(yè)的生產(chǎn)運(yùn)行效率。工業(yè)互聯(lián)網(wǎng)常見結(jié)構(gòu)如圖3所示。

圖3 工業(yè)互聯(lián)網(wǎng)常見結(jié)構(gòu)圖

3.1 試驗(yàn)環(huán)境搭建

本次試驗(yàn)中，試驗(yàn)環(huán)境涉及的硬件設(shè)備包括兩臺計(jì)算機(jī)(操作員站與管理終端)、交換機(jī)和西門子可編程控制邏輯(programmable logic controller,PLC)套件。操作員站通過與PLC進(jìn)行不斷通信發(fā)送試驗(yàn)數(shù)據(jù)，將交換機(jī)業(yè)務(wù)口的數(shù)據(jù)鏡像到統(tǒng)一端口。管理終端連接鏡像口進(jìn)行數(shù)據(jù)采集并檢測數(shù)據(jù)[8]。

試驗(yàn)環(huán)境如圖4所示。

圖4 試驗(yàn)環(huán)境示意圖

3.2 試驗(yàn)過程

本次試驗(yàn)中，預(yù)先對試驗(yàn)數(shù)據(jù)進(jìn)行編輯。第一階段的數(shù)據(jù)流量為系統(tǒng)正常情況下采集獲取，作為本次檢測的基準(zhǔn)數(shù)據(jù)。第二階段的數(shù)據(jù)流量為高級可持續(xù)攻擊驗(yàn)證腳本。通過操作員站進(jìn)行數(shù)據(jù)包的重放，由入侵檢測程序?qū)χ胤艛?shù)據(jù)進(jìn)行識別和解析。

試驗(yàn)一由操作員站發(fā)送正常流量，管理終端進(jìn)行檢測基準(zhǔn)的學(xué)習(xí)，持續(xù)1 h。

試驗(yàn)二由操作員站發(fā)送攻擊流量，管理終端進(jìn)行異常流量檢測，持續(xù)1 h。

3.3 試驗(yàn)結(jié)果

檢測程序最終會輸出不同的數(shù)值，設(shè)置發(fā)出報(bào)警的最大值為θ。在發(fā)送正常流量數(shù)據(jù)時(shí)，檢測到Sj值小于等于設(shè)定值θ，系統(tǒng)無告警；在攻擊流量通過時(shí)，Sj值大于設(shè)定值θ，系統(tǒng)立即生成告警。試驗(yàn)參數(shù)如表1所示。

表1 試驗(yàn)參數(shù)

表1中：r為特征向量列數(shù)，所有數(shù)據(jù)已作取整處理。

4 結(jié)論

與傳統(tǒng)行業(yè)的應(yīng)用系統(tǒng)相比，針對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的網(wǎng)絡(luò)攻擊越來越普遍。尤其是針對一些關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的網(wǎng)絡(luò)攻擊，往往會造成巨大的經(jīng)濟(jì)損失和社會影響。

本文闡述了一種基于奇異值分解的入侵檢測技術(shù)，并通過數(shù)據(jù)重放試驗(yàn)驗(yàn)證了入侵檢測技術(shù)的有效性和準(zhǔn)確率。在工業(yè)互聯(lián)網(wǎng)環(huán)境中，如何在不影響正常生產(chǎn)的同時(shí)提高工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力，一直是不斷探索的課題。