李 健，陳 為

(中國食品藥品檢定研究院信息中心,北京 100050)

基于異構條件的NIDS網(wǎng)絡安全技術研究

李 健，陳 為

(中國食品藥品檢定研究院信息中心,北京 100050)

異構條件下構建工業(yè)可信安全環(huán)境，需要對網(wǎng)絡入侵檢測系統(tǒng)(NIDS)進行全方位研究。在異構條件下構建信息行業(yè)可信安全環(huán)境的研究主要從網(wǎng)絡的結構安全、通訊網(wǎng)絡、區(qū)域邊界和安全區(qū)域四個方面展開。為此，從抗網(wǎng)絡攻擊的需求出發(fā)，在分析六種工業(yè)信息安全技術并詳細研究可信網(wǎng)絡關于藥品領域工業(yè)總線入侵檢測系統(tǒng)的基礎上，針對數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)信息安全，提出了一種基于嵌入式麒麟Linux操作系統(tǒng)的防護模型。該模型綜合使用網(wǎng)絡通信、防火墻iptables、入侵檢測Ssnort以及加密算法等技術，設計并實現(xiàn)了一套服務于分布式控制系統(tǒng)(DCS)工業(yè)設備的安全防御平臺?；贛atlab軟件的Simulink進行了數(shù)據(jù)安全傳輸機制的設計和仿真驗證，NIDS順利通過了試驗測試。實驗結果表明，所提出的模型有效可行，所構建平臺采用的技術具有較高的有效性和可靠性。

異構條件；網(wǎng)絡入侵檢測系統(tǒng)；可信網(wǎng)絡安全；網(wǎng)格空間加密算法

0 引 言

現(xiàn)如今，異構條件下工業(yè)控制系統(tǒng)廣泛地應用在核心生產應用領域，已成為航空、高鐵、電力等交通行業(yè)，水處理、空氣凈化、地鐵等城市公用設施行業(yè)，以及食品和藥品等其他國家關鍵基礎設施的中樞神經(jīng)和最強“大腦”。

以前在國內藥品及醫(yī)療器械生產領域中，自動化系統(tǒng)之間并沒有緊密的聯(lián)系，也沒連接到互聯(lián)網(wǎng)、辦公網(wǎng)等公共網(wǎng)絡?，F(xiàn)在醫(yī)藥生產信息安全技術的研究正在進一步深化，隨著信息技術的發(fā)展，現(xiàn)代化藥品工業(yè)控制系統(tǒng)越來越依靠于商業(yè)IT和Internet領域的實時Linux操作系統(tǒng)，而且與同行業(yè)務管理信息系統(tǒng)等其他信息系統(tǒng)的連接也是越來越多，工業(yè)控制系統(tǒng)(ICS)受攻擊面和常見的固有漏洞日益增加。因此，在國內藥品及醫(yī)療器械領域，異構條件下的工業(yè)控制系統(tǒng)信息安全顯得越來越重要。

信息系統(tǒng)在網(wǎng)絡環(huán)境、應用環(huán)境和數(shù)據(jù)環(huán)境中的狀態(tài)是異構且復雜的。在如此復雜條件下，需要合理有效的管理方式和技術來保證網(wǎng)絡、應用、數(shù)據(jù)環(huán)境三個層面的安全性。為此，在全面剖析太極公司異構條件的基礎上，針對數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)的信息安全，提出了一種基于嵌入式麒麟Linux操作系統(tǒng)的防護模型，實現(xiàn)了網(wǎng)絡、應用和數(shù)據(jù)安全整合與交互的關鍵技術，包括基于行業(yè)異構特點的身份認證、訪問控制、內容安全、監(jiān)控審計以及備份恢復等。

1 信息安全相關技術

1.1技術介紹

現(xiàn)如今，在國際范圍內應用較多的信息安全技術有以下幾種：

(1)防火墻防護技術。

眾所周知,防火墻相關防護技術是在食品藥品企業(yè)內部網(wǎng)絡與外部不安全的網(wǎng)絡之間設置隔離措施，中斷或阻止外界對內部資源的非法訪問，防止計算機病毒、各種破壞性木馬和網(wǎng)絡黑客的入侵[1]；同時防止內部對外部鏈接的不安全訪問或非法向外傳遞內部信息，也防止這類非法和惡意的網(wǎng)絡行為導致內部網(wǎng)絡運行遭到破壞。

防火墻目前應用的主要技術有：應用網(wǎng)關技術、包過濾技術和代理服務技術。有效的防火墻能夠對數(shù)據(jù)流進行監(jiān)控、過濾、記錄和報告，很好地阻止黑客利用安全漏洞對內部網(wǎng)絡進行攻擊，當出現(xiàn)不符合安全策略的行為時，可以阻斷外部網(wǎng)絡與內部網(wǎng)絡的連接。

(2)網(wǎng)絡入侵檢測技術。

工業(yè)現(xiàn)代化階段,網(wǎng)絡入侵檢測是實時的、主動檢測的技術，它對計算機系統(tǒng)或網(wǎng)絡的非法入侵行為進行立即檢測并能夠即時響應。

通過加解密算法和加解密公鑰，密鑰保障了網(wǎng)絡中信息數(shù)據(jù)傳輸?shù)臋C密性。通訊網(wǎng)絡需要進行端到端加密,從特定系統(tǒng)及通信數(shù)據(jù)定級、評估、設計、建設、測評的所有文件均用到了加密解密技術手段[2]。

非對稱密鑰加密需要兩個密鑰：私有密鑰(private-key)和公開密鑰(public-key)。私有密鑰與公開密鑰是一對,這種算法主要包括ECC(橢圓曲線加密算法)、D-H、Rabin[3]。

加密算法之對稱密鑰在傳輸加密信息時就不用擔心偵聽。這樣，只有SCADA主機和遠端單元可以進行交流通信。流行的對稱密鑰加解密算法主要包括：IDEA、3DES、DES、BLOWFISH、FEAL等[4]。

1.2ICS安全防護目標

工業(yè)控制系統(tǒng)信息安全是一項持久的任務，從網(wǎng)絡的結構安全、通訊網(wǎng)絡、區(qū)域邊界和安全區(qū)域等幾個方面展開。對網(wǎng)絡、應用、數(shù)據(jù)實現(xiàn)安全整合、交互的關鍵技術，其中基于行業(yè)異構特點的身份認證、訪問控制、內容安全、監(jiān)控審計以及備份恢復是網(wǎng)絡、應用、數(shù)據(jù)環(huán)境的關鍵技術[5]。

在此基礎上，從數(shù)據(jù)安全和管理安全兩個維度討論了工業(yè)控制系統(tǒng)安全防護技術的設計原則，給出了區(qū)域劃分、終端防護、通信管控、安全設備選擇、安全操作策略和流程，如圖1所示。

圖1 ICS安全防護方案設計流程

為最大程度地確保異構條件下食品藥品檢定系統(tǒng)的安全，需用實施具體且有理論支撐的防衛(wèi)措施。身份鑒別是技術體系的前提保障，訪問控制是用來實施對資源訪問加以限制的策略和機制，這種策略把對資源的訪問只限于那些被授權用戶，內容安全是指各個層面使用不同的安全技術來確保數(shù)據(jù)的機密性與完整性，對信息資產和網(wǎng)絡資源狀態(tài)和信息安全狀況的監(jiān)控審計;備份是對數(shù)據(jù)進行可用性的有效保護，當數(shù)據(jù)被破壞時能夠快速恢復[6]。

2 基于防火墻的網(wǎng)絡安全研究

2.1防火墻iptables技術設計

在麒麟Linux系統(tǒng)下，防火墻最廣泛的實現(xiàn)方法之一就是使用Linux系統(tǒng)下自帶的防火墻管理程序iptables。

iptables是用戶與防火墻之間的接口，最大程度上起到防火墻作用的是運行在Linux內核中的netfilter。如圖2所示，麒麟Linux平臺的packet過濾防火墻包括iptables和netfilter兩個組件[7]。

2.2輸入供電設計

針對IPv4協(xié)議，netfilter定義了五個hook點[8]，如表1所示。

圖2 Linux包過濾防火墻的基本結構圖

hook調用時機NF_IP_PRE_ROUTING在完整性校驗之后,選路確定之前NF_IP_LOCAL_IN在選路確定之后,且數(shù)據(jù)包的目的是本地主機NF_IP_FORWARD目的地是其他主機的數(shù)據(jù)包NF_IP_LOCAL_OUT來自本地計算機進程的DataPacket在其離開本地計算機主機的過程中NF_IP_POST_ROUTING在DataPacket離開本地計算機主機“上線”之前

3 Ssnort技術

Ssnort是一個單線程應用程序，具有四種運行模式：Packet Logger、IPS、Sniffer和NIDS。主要針對Ssnort的NIDS運行模式進行了研究。

3.1Ssnort整體框架

NIDS模式下的Ssnort是一個輕量級的入侵檢測系統(tǒng)，采用模塊化的編程架構[9-10]。

NIDS模式下，Ssnort是一個基于模式匹配的網(wǎng)絡入侵檢測系統(tǒng)。模式匹配的網(wǎng)絡入侵檢測工作流程見圖3。

圖3 模式匹配的網(wǎng)絡入侵檢測工作流程

Ssnort除了圖3中最基本的操作步驟外，還包括以下幾個步驟：

1)檢測系統(tǒng)的初始化，含如下兩方面：

(1)在初始化運行階段，分析初始化配置文件、設置一些標志變量等。

(2)Linux下的工具大多是基于命令行，Ssnort也不例外，所以需要食品藥品方面用戶輸入命令參數(shù)進行解析。

2)初始化規(guī)則檢測引擎。

若要進行入侵檢測規(guī)則的匹配，則需要把規(guī)則從文件讀取到系統(tǒng)的內存中，并規(guī)則地進行合理分類。

3)構建入侵檢測規(guī)則的快速匹配引擎。

快速匹配這一概念是從2.0版本的Ssnort開始出現(xiàn)的，其目的是為了縮短規(guī)則匹配所用時間，將規(guī)則按一定方式進行二次分類，提高了Ssnort的檢測效率[11]。

4)預處理引擎。

網(wǎng)絡通信中有某些非常規(guī)的數(shù)據(jù)包,首先要對數(shù)據(jù)包完成特殊處理才能進行匹配，若非這樣，它將繞過Ssnort的入侵檢測，如分片包就要先進行重組。在Ssnort檢測中，此類的工作被定義為預處理，調用數(shù)據(jù)包要在進入檢測引擎之前。

5)截獲接口，打開數(shù)據(jù)包。

Ssnort中截獲數(shù)據(jù)包，使用的是libpcap庫[12]。進行數(shù)據(jù)包截獲之前，Ssnort程序會先設置查找網(wǎng)卡，然后設置過濾條件等工作。

綜上，Ssnort會依次執(zhí)行相應操作，在Ssnort成功啟動后，進行的四個操作是截獲數(shù)據(jù)包、數(shù)據(jù)包預處理、規(guī)則匹配和日志輸出，它會一直循環(huán)上面的這四個操作。

3.2Ssnort規(guī)則編寫

所有的Ssnort規(guī)則的基本結構都有邏輯組成兩個成分：規(guī)則體和規(guī)則頭。

規(guī)則頭表明該條規(guī)則所做行為動作的相關信息，以及一些與數(shù)據(jù)包所對比的條件。規(guī)則體通常包含一個警告消息以及被用于產生該消息的數(shù)據(jù)包部分。一條Ssnort規(guī)則可用于檢測一個或多個類型的入侵行為，一個好的規(guī)則可以同時檢測多種入侵特征[13]。

地址部分用于指明匹配的源或目的地址。該地址可以是一個主機，多個主機的地址或者一個網(wǎng)絡地址。需要注意的是，在規(guī)則中有兩個地址段，源或目的地址的區(qū)別依賴于方向段。

對規(guī)則文件進行處理時，Ssnort采用三維鏈表來存儲規(guī)則信息。三維鏈表一旦構建好，就通過查找三維鏈表與數(shù)據(jù)包進行匹配并及時響應。Ssnort對數(shù)據(jù)包進行匹配后，需要將結果進行輸出。

3.3Ssnort輸出插件

為了能夠實現(xiàn)入侵檢測Ssnort和防火墻iptables之間的聯(lián)動，對Ssnort的輸出機制進行了一定的研究。Ssnort的輸出結果主要有日志和警報兩種，而輸出插件使得Ssnort在輸出形式上更加多樣化，其會在調用Ssnort的報警或記錄子系統(tǒng)時被調用。

當Ssnort配置文件中指定了多個輸出插件時，在默認情況下通過使用-l命令行參數(shù)輸出到用戶指定的目錄文件中或把數(shù)據(jù)包發(fā)送到/var/log/Ssnort文件[14]。

4 加密技術

為了防止網(wǎng)絡攻擊者對傳輸數(shù)據(jù)進行竊聽，需要對傳輸數(shù)據(jù)進行加密操作。而加密操作涉及到的一個重要問題，就是加密密鑰的管理分配問題。

在對稱加密算法中，加解密這兩個過程使用相同的密鑰。而為了有效地確保數(shù)據(jù)的安全性，加解密所使用的密鑰應該定時或不定時更新。針對對稱加密算法中密鑰的更新問題，許多學者使用非對稱加解密算法來對重置后的密鑰進行管理。非對稱加解密算法使用一對密鑰：共有密鑰和私有密鑰。使用食品藥品私有密鑰進行加密，則只有針對性的共有密鑰才能進行解密；相應地，使用共有密鑰進行加密，只有使用私有密鑰才能進行解密。

非對稱加密算法可以有效地解決密鑰的分配管理問題，這一結論是基于攻擊在知道非對稱加密算法的公有密鑰的前提下，依然無法破解其私有密鑰這一前提上的。然而，隨著計算機系統(tǒng)計算能力的日漸增強，私有密鑰面臨著被暴力破解的危機。針對對密碼攻擊的情形，一種途徑是提高密鑰的長度，使破解密鑰的代價遠大于攻擊所獲取的利益；另一種途徑則是選用其他方法來解決密鑰的分配管理問題。

為了有效地解決加密操作中的密鑰分配管理問題，采用第二種途徑，提出了一種與事件同步的動態(tài)密鑰生成機制。

為了彌補協(xié)議上安全控制的缺失，提出了一種數(shù)據(jù)安全傳輸機制(Data Security Transmission Mechanism，DSTM)。該機制由兩部分組成：安全發(fā)送單元和安全接收單元[15]。

5 實驗結果

在藥品行業(yè)異構條件下構建工業(yè)可信安全平臺，需要進行入侵檢測實驗來驗證，步驟如下：

(1)將DCS設備、通信代理嵌入式裝置和程序連接上；

(2)在嵌入式安全裝置上，創(chuàng)建Ssnort的警報輸出文件和聯(lián)動程序的日志文件，使用命令“touch /var/log/Ssnort/alert”和“touch /var/log/Ssnort/guardian.pl”；

(3)使用命令“/usr/lcoal/arm/Ssnort/bin/Ssnort -c /usr/local/Ssnort.conf -i eth1 -D”后臺運行Ssnort，對與用戶端相連接的網(wǎng)口eth1進行監(jiān)測。防火墻的初始規(guī)則設置完成，默認規(guī)則為拒絕所有的外部用戶的訪問，利用白名單允許用戶網(wǎng)中的一部分已授權的IP地址的訪問連接。

切換到聯(lián)動程序所在的文件目錄下，使用指令“guardian.conf”啟動聯(lián)動程序，網(wǎng)絡用戶程序的顯示圖顯示應用合格。

由以上步驟得出，實驗結果合格，實驗有效地達到了研究的目的。

6 結束語

基于嵌入式麒麟Linux的硬件平臺，綜合利用網(wǎng)絡通信技術、多進程技術、TCP/UDP通信技術等，實現(xiàn)了針對藥品和醫(yī)療器械DCS現(xiàn)場工業(yè)設備的通信代理模塊，并結合ICS及SCADA系統(tǒng)的特點，將防火墻、入侵檢測規(guī)則部署于該醫(yī)藥硬件平臺，提出并實現(xiàn)了一個針對SCADA系統(tǒng)的安全防御系統(tǒng)。在嵌入式Linux硬件平臺上利用防火墻加解密模塊對通信代理模塊與網(wǎng)絡用戶之間的通信數(shù)據(jù)進行了安全保護，完成了驗證實驗。融合了多種入侵檢測技術，設計實現(xiàn)了一個針對藥品DCS工業(yè)設備的SCADA系統(tǒng)的安全防御平臺。通過實驗的合格結果證明了NIDS方法的有效性，目前此技術在世界范圍內仍進行著更深層次的拓展研究。

[1] 張曉倩,宋曉茹,曹建建.基于CAN總線的網(wǎng)絡控制系統(tǒng)的仿真研究[J].計算機技術與發(fā)展,2016,26(7):192-195.

[2] 鄧萍麗,朱斌紅,唐春燕,等.信息安全威脅及安全防范策略綜述[J].電子產品可靠性與環(huán)境試驗,2014,32(2):60-64.

[3] 黃偉峰.基于神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)研究與實現(xiàn)[D].貴陽:貴州大學,2008.

[4] 王斯梁,尹一樺.工業(yè)控制系統(tǒng)安全防護技術研究[J].通信技術,2014,47(2):205-209.

[5] 馬振陽.計算機網(wǎng)絡安全[M].北京：科學出版社,2011.

[6] 唐春林.電子商務與電子政務中的數(shù)字證書[J].長沙通信職業(yè)技術學院學報,2006,5(4):38-41.

[7] 陳 潔.E-book中DRM技術的構成和實現(xiàn)[J].圖書館學研究,2004(8):45-47.

[8] 張 雷,陳 康,張在飛.20路多種類串口卡的設計與實現(xiàn)[J].計算機與現(xiàn)代化,2013(8):187-191.

[9] Zhang L，Xie L，Li W,et al.A secure mechanism for networked control systems based on TrueTime[C]//International conference on cyberspace technology.[s.l.]:[s.n.],2013:44-49.

[10] 李早水.電子支付系統(tǒng)的安全問題分析及對策研究[J].信息與電腦:理論版,2011(1):3-4.

[11] 張 雷.加固計算機肋片散熱器的優(yōu)化設計[J].計算機與現(xiàn)代化,2014(6):120-123.

[12] 陳 光．基于Agent的分布式入侵檢測系統(tǒng)的研究與設計[D]．長春：吉林大學，2007．

[13] 王紅梅,劉 永.DES方法與數(shù)字信息資源安全控制[J].情報科學,2005,23(4):544-549.

[14] Li W,Xie L,Deng Z,et al.False sequential logic attack on SCADA system and its physical impact analysis[J].Computers & Security,2016,58(C):149-159.

[15] Li W,Xie L,Liu D,et al.False logic attacks on SCADA control system[C]//Services computing conference.[s.l.]:IEEE,2014:136-140.

Investigation on Network Security Technology of NIDS Based on Heterogeneous Conditions

LI Jian，CHEN Wei

(Information Center of National Institutes for Food and Drug Control,Beijing 100050,China)

To build an industrial trusted security environment under heterogeneous conditions,it is necessary to study the Network Intrusion Detection System (NIDS) of all dimensions.The investigations on information industry credible security conditions in heterogeneous environments are composed of four respects,including structural safety,communication network,area boundary and security zone.In view of requirements on network anti-attack,on the basis of analyzing six kinds of industrial information security techniques and investigation on the trusted network intrusion detection system in medicine field,a protection model,running on embedded-Qilin Linux operating system,is proposed for the information security of SCADA.It adopts a lot of technologies like network communication and firewall,intrusion detection and encryption algorithms.A set of security defense platform for the Distributed Control System (DCS) industrial equipment is implemented.The design of data security transmission mechanism and its simulations for verification have been conducted with Simulink in Matlab,through which NIDS goes for qualification.The results of simulation show that it is effective and feasible and that the techniques adopted in the established platform owns high validity and reliability.

heterogeneous conditions;NIDS;trusted network security;cyber encryption algorithm

2016-10-30

：2017-01-31 < class="emphasis_bold">網(wǎng)絡出版時間

時間：2017-07-05

國家自然科學基金資助項目(61180511)

李 健(1972-)，男，碩士，高級工程師，研究方向為實驗室信息化和信息安全。

http://kns.cnki.net/kcms/detail/61.1450.TP.20170705.1653.088.html

TP309

:A

:1673-629X(2017)09-0106-04

10.3969/j.issn.1673-629X.2017.09.023