張雷, 解侖, 金良辰, 王志良

(北京科技大學(xué) 計(jì)算機(jī)與通信工程學(xué)院，北京 100083)

工業(yè)控制系統(tǒng)(ICS)的信息化和網(wǎng)絡(luò)化給工業(yè)生產(chǎn)帶來了極大的推動作用，同時(shí)也為工業(yè)控制系統(tǒng)帶來了巨大的安全挑戰(zhàn). 通信協(xié)議種類多樣，工業(yè)控制系統(tǒng)的數(shù)據(jù)控制更復(fù)雜,傳統(tǒng)的網(wǎng)絡(luò)信息更多，同時(shí)工業(yè)控制系統(tǒng)的定制化和實(shí)時(shí)性要求更高，傳統(tǒng)的網(wǎng)絡(luò)防火墻、身份認(rèn)證、殺毒軟件無法深層次防護(hù)，不能起到良好的保護(hù)作用. 從深層次角度探索問題，一直是研究的重點(diǎn)，入侵檢測系統(tǒng)能夠從底層掌握工業(yè)控制系統(tǒng)的特點(diǎn). 根據(jù)ICS協(xié)議的理論和運(yùn)行特點(diǎn)，設(shè)計(jì)一個(gè)符合ICS要求的入侵檢測系統(tǒng)是非常重要的.

1 入侵檢測模型及系統(tǒng)設(shè)計(jì)

基于COM Express(COM-E)緊湊型PCIe主板主要應(yīng)用于工業(yè)領(lǐng)域，設(shè)計(jì)前參考了緊湊型PCIe和PICMG的電氣和結(jié)構(gòu)規(guī)范. 基于COM-E計(jì)算機(jī)功能特性，緊湊型PCIe主板提供了以下接口：一路擴(kuò)展的PCI總線，100/1 000 M自適應(yīng)網(wǎng)絡(luò)端口，一對PS2鍵盤鼠標(biāo)接口，一路模擬顯示VGA接口和一路DVI接口.

根據(jù)工業(yè)控制系統(tǒng)的行為和狀態(tài)特征，結(jié)合數(shù)據(jù)包協(xié)議的深度分析和工業(yè)控制系統(tǒng)工藝控制模型設(shè)計(jì)，控制指令的規(guī)則匹配的檢測方法，單類支持向量機(jī)分類的異常檢測模型相結(jié)合的檢測方案，過程控制規(guī)則來制定具體的入侵檢測模型，圖1為入侵檢測系統(tǒng)的體系結(jié)構(gòu).

圖1 入侵檢測系統(tǒng)體系結(jié)構(gòu)圖Fig.1 Intrusion detection system structure diagram

基于特征匹配規(guī)則的檢測機(jī)制控制模型，具有良好的檢測率和較低的誤報(bào)率，可作為應(yīng)急響應(yīng)的基礎(chǔ). 其缺點(diǎn)是，對未知入侵行為和規(guī)則缺乏有效性監(jiān)控；OCSVM異常檢測分類通過建立“正?！钡男袨槊枋? 通過對“正?！毙袨榈钠x程度和對象的統(tǒng)計(jì)分析，找出“異?！毙袨椋蓹z測出未知的入侵，不足以彌補(bǔ)工業(yè)檢測模型的規(guī)則. 根據(jù)兩類檢測的特點(diǎn)，以過程模型的檢測為主，檢測系統(tǒng)對輔助體的異常檢測是互補(bǔ)的，兩者互補(bǔ)能有效提高系統(tǒng)的檢測率，圖2為入侵檢測系統(tǒng)的整體檢測過程.

圖2 入侵檢測系統(tǒng)流程圖Fig.2 Intrusion detection system work flow diagram

將入侵檢測技術(shù)與嵌入式技術(shù)相結(jié)合，形成現(xiàn)場設(shè)備級嵌入式可信網(wǎng)關(guān). 網(wǎng)關(guān)連接不同的網(wǎng)絡(luò)設(shè)備，控制網(wǎng)絡(luò)的有效數(shù)據(jù)可以通過截取工業(yè)控制系統(tǒng)數(shù)據(jù)的方法獲得，并進(jìn)行網(wǎng)絡(luò)入侵檢測操作而不影響工業(yè)控制系統(tǒng)的數(shù)據(jù)通信的性能.

采用高集成標(biāo)準(zhǔn)的嵌入式計(jì)算機(jī)模塊建立核心的緊湊型PCIe板卡式COM Express計(jì)算機(jī). 緊湊型PCIe板卡主要是基于嵌入式計(jì)算機(jī)模塊、先天性抗惡劣環(huán)境設(shè)計(jì)方式，接口集成濾波器的保護(hù)裝置，并根據(jù)PCB熱設(shè)計(jì)、電磁兼容性和信號完整性設(shè)計(jì)規(guī)則進(jìn)行設(shè)計(jì). 嵌入式計(jì)算機(jī)模塊集成CPU，圖形和存儲器控制器，本地總線控制器，外設(shè)接口控制器，內(nèi)部使用標(biāo)準(zhǔn)連接器和標(biāo)準(zhǔn)定義信號. 在設(shè)計(jì)過程中，嵌入式計(jì)算機(jī)模塊由一個(gè)緊湊型PCIe主板，并且是獨(dú)立的單元模塊，利于維修和更換. 通過兩個(gè)標(biāo)準(zhǔn)連接器的嵌入式計(jì)算機(jī)模塊可輸出PCI-E總線，PCI總線，以及VGA、SATA、SERIAL、LPC、USB和其他外圍接口信號.

嵌入式計(jì)算機(jī)模塊支持4路COM-E66MHz PCI 64位和PCIe設(shè)備擴(kuò)展. 嵌入式計(jì)算機(jī)模塊作為緊湊型PCIe系統(tǒng)板實(shí)現(xiàn)緊湊型PCIe總線擴(kuò)展核心使用，向嵌入式計(jì)算機(jī)模塊提供4路PCIe信號到背板，PCIe信號將通過嵌入式計(jì)算機(jī)模傳輸?shù)街靼迳希ㄟ^背板轉(zhuǎn)接后，最終連接到緊湊型PCIe總線的擴(kuò)展功能卡. 電纜傳輸?shù)那闆r會導(dǎo)致PCI信號，尤其是時(shí)鐘信號，產(chǎn)生嚴(yán)重的衰減，從而影響器件的穩(wěn)定性和魯棒性. 緊湊型PCIe板卡的應(yīng)用情況，對PCI總線的嵌入式計(jì)算機(jī)模塊擴(kuò)展必須通過橋接信號完成對PCI總線的增強(qiáng). 在主板上使用PCIe-PCIe橋技術(shù)，一方面可以使PCIe信號在背板上得到增強(qiáng)，另一方面，可靈活擴(kuò)展支持PCIe設(shè)備的數(shù)量.

設(shè)計(jì)采用PCI2050B和緊湊型PCIe板橋芯片進(jìn)行設(shè)計(jì)，圖3為對緊湊型PCIe接口擴(kuò)展的邏輯框圖.

圖3 緊湊型PCIe接口橋接擴(kuò)展圖Fig.3 Compact PCIe interface bridge extended diagram

緊湊型PCIe主板雙顯示輸出，除了嵌入式計(jì)算機(jī)模塊的方式直接提供VGA接口輸出，緊湊型PCIe主板設(shè)計(jì)，采用嵌入式計(jì)算機(jī)模塊提供SDVO接口擴(kuò)展第二個(gè)顯示接口. SDVO(串行數(shù)字視頻)是英特爾定義的標(biāo)準(zhǔn)顯示接口，主要強(qiáng)調(diào)16通道PCI Express總線系統(tǒng)的使用，以顯示通用的圖像輸出信號，再加上一個(gè)規(guī)范的系統(tǒng). 采用SDVO輸出VGA，DVI，從Express x16 PCI總線的系統(tǒng)組件和高清晰度視頻信號. 為了通過PCI Express x16 SDVO輸出顯示信號，需要使用串行數(shù)字視頻輸出信號到芯片的專用轉(zhuǎn)換輸出信號，即使用ch7307c為核心芯片的接口轉(zhuǎn)換電路，其支持標(biāo)準(zhǔn)DVI接口，最大可支持1 600×1 200分辨率，最大功耗控制在1 W之內(nèi).

嵌入式計(jì)算機(jī)模塊不再直接輸出通用串行端口和PS/2信號，從LPC(low pin count)總線擴(kuò)展到LPC接口，再擴(kuò)展出上述二種低速信號，這樣設(shè)計(jì)的目的是用更少的引腳來實(shí)現(xiàn)接口傳輸速率.

2 過程控制模型的規(guī)則檢測

工業(yè)控制系統(tǒng)的漏洞往往反映在物理系統(tǒng)和生產(chǎn)過程容易遭受破壞或干擾，以及黑客攻擊，最終將反映在系統(tǒng)的狀態(tài)序列[Y1,Y2,…,Yn][1]. 根據(jù)這一特點(diǎn)，以工業(yè)控制系統(tǒng)網(wǎng)絡(luò)層數(shù)據(jù)為研究對象，結(jié)合狀態(tài)序列和特定的過程控制模型、數(shù)據(jù)分析，檢測入侵?jǐn)?shù)據(jù)產(chǎn)生控制規(guī)則和行為，以達(dá)到系統(tǒng)的安全生產(chǎn)和保護(hù)系統(tǒng)的目的.

2.1 工業(yè)網(wǎng)絡(luò)控制系統(tǒng)

工業(yè)網(wǎng)絡(luò)控制系統(tǒng)由執(zhí)行器、控制器、傳感器和控制網(wǎng)絡(luò)共同組成，一個(gè)典型的網(wǎng)絡(luò)控制系統(tǒng)如圖4所示：C為控制器，A為執(zhí)行器，S為傳感器的首字母[2]. 箭頭表示信息流而不是網(wǎng)絡(luò)拓?fù)? 執(zhí)行器和傳感器的信息流是單向的，控制器的信息流是雙向的，控制器應(yīng)該根據(jù)物理系統(tǒng)的反饋狀態(tài)來控制相應(yīng)系統(tǒng)數(shù)據(jù)的輸出.

圖4 網(wǎng)絡(luò)控制系統(tǒng)組成Fig.4 Network control system constitution diagram

假設(shè)系統(tǒng)在ti時(shí)間的執(zhí)行狀態(tài)為

Ai={a1ti,a2ti,…,anti}，

系統(tǒng)狀態(tài)的傳感器的值為

Si={s1ti,s2ti,s3ti,…,s4ti}，

該傳感器的控制值輸出為

Ci={c1ti,c2ti,…,c3ti}.

控制輸出Ci、執(zhí)行器狀態(tài)與傳感器值之間的對應(yīng)關(guān)系標(biāo)記為：Ci?[Ai,Si]. 在t1時(shí)間點(diǎn)的狀態(tài)可以表示為C1?[A1,S1]，t2時(shí)間點(diǎn)的狀態(tài)可以表示為C2?[A2,S2]. 如果被黑客通過延遲、重放等信道攻擊手段會造成時(shí)序控制的混亂、生產(chǎn)過程信道的紊亂. 盡管C2報(bào)文控制信息是正常的，但在[A1,S1]狀態(tài)下卻是異常的控制指令，例如在時(shí)間t1誤用時(shí)間t2的控制指令C2?[A1,S1]，雖然這兩個(gè)均屬正常的控制指令，但在該時(shí)間點(diǎn)不正常的控制指令，會破壞正常生產(chǎn)，這是引發(fā)系統(tǒng)的物理障礙的原因，而傳統(tǒng)的網(wǎng)絡(luò)檢測系統(tǒng)是無能為力的. 提出的一種過程控制模型能夠滿足基于ICS系統(tǒng)的時(shí)序要求的入侵檢測系統(tǒng)，同時(shí)滿足工業(yè)控制網(wǎng)絡(luò)對系統(tǒng)實(shí)時(shí)、可靠性的要求，可有效地防止黑客篡改、信道插入、通信消息重放攻擊. 入侵檢測模型主要是基于特定的控制模型和過程模型的規(guī)則，根據(jù)三維指針鏈表樹系統(tǒng)的關(guān)系狀態(tài)和控制映射規(guī)則集，實(shí)時(shí)檢測系統(tǒng)，三維指針遍歷列表，根據(jù)系統(tǒng)狀態(tài)控制的動態(tài)控制指令檢測列表，當(dāng)系統(tǒng)檢測到網(wǎng)絡(luò)傳輸中的控制指令，實(shí)時(shí)檢測并捕捉入侵指令.

工業(yè)控制系統(tǒng)根據(jù)實(shí)際需求變化，檢測規(guī)則應(yīng)根據(jù)系統(tǒng)的變化而更新和完善. 為了滿足系統(tǒng)的要求，為用戶提供文本文件的規(guī)則，根據(jù)協(xié)議格式指定規(guī)則的用戶，并寫出相應(yīng)的關(guān)鍵詞檢測規(guī)則[3]；同時(shí)提供內(nèi)部控制系統(tǒng)數(shù)據(jù)庫變量映射的文本文件，用戶可以控制相應(yīng)數(shù)據(jù)庫系統(tǒng)的變量并將實(shí)際關(guān)系數(shù)寫入文件，為開展基于具體模型和控制系統(tǒng)的深度數(shù)據(jù)分析[4]. 檢測系統(tǒng)啟動時(shí)將讀取系統(tǒng)中的規(guī)則庫文件和變量映射文件，并分析形成特定系統(tǒng)的規(guī)則列表. 當(dāng)文件可通過匹配規(guī)則，修改和更新文件的規(guī)則[5]，這個(gè)規(guī)則匹配會導(dǎo)致系統(tǒng)檢測效率的下降，以適應(yīng)大規(guī)模的檢測規(guī)則，提高了系統(tǒng)的檢測性能，減少無用的規(guī)則匹配. 該系統(tǒng)的用戶將根據(jù)動作響應(yīng)變量的類型規(guī)則，具體的檢測規(guī)則，分類、存儲在三維鏈表樹結(jié)構(gòu)的規(guī)則. 根據(jù)實(shí)時(shí)檢測數(shù)據(jù)，找到相應(yīng)的檢測規(guī)則樹節(jié)點(diǎn)，動態(tài)更新控制指令入侵檢測列表. 當(dāng)檢測到工業(yè)控制數(shù)據(jù)時(shí)，根據(jù)檢測規(guī)則判斷控制數(shù)據(jù)是否為入侵?jǐn)?shù)據(jù)，根據(jù)決策結(jié)果處理相應(yīng)的應(yīng)急響應(yīng)[6].

這方面工作過程總結(jié)如下：

① 系統(tǒng)啟動時(shí)，將進(jìn)行初始化和命令行分析等；

② 讀取用戶規(guī)則庫文件和系統(tǒng)變量映射文件，文件解析和生成系統(tǒng)在系統(tǒng)狀態(tài)和控件之間的映射規(guī)則、集中檢測鏈表樹的規(guī)則；

③ 數(shù)據(jù)采集周期捕獲工業(yè)網(wǎng)絡(luò)數(shù)據(jù)使用Libpcap，結(jié)合工業(yè)控制協(xié)議和變量的映射文件解析，深度數(shù)據(jù)控制數(shù)據(jù)包分析；

④ 檢測網(wǎng)絡(luò)數(shù)據(jù)，如果是系統(tǒng)狀態(tài)數(shù)據(jù)，經(jīng)過預(yù)處理后遍歷鏈表樹的三維檢測，然后動態(tài)更新指令檢測列表，返回到步驟③執(zhí)行；

⑤ 網(wǎng)絡(luò)數(shù)據(jù)的檢測，若數(shù)據(jù)是控制指令遍歷列表的指令，如果發(fā)現(xiàn)入侵事件相應(yīng)的應(yīng)急響應(yīng)，返回并繼續(xù)執(zhí)行步驟③.

2.2 檢測規(guī)則的設(shè)計(jì)

該系統(tǒng)采用模式匹配和區(qū)域邊界相結(jié)合的方法，結(jié)合工業(yè)控制系統(tǒng)的實(shí)時(shí)性和時(shí)序性[7]，對數(shù)據(jù)庫進(jìn)行編譯和更新. 入侵檢測是根據(jù)規(guī)則的動態(tài)區(qū)域邊界對控制數(shù)據(jù)進(jìn)行檢測，以判斷控制系統(tǒng)是否被入侵或控制系統(tǒng)正常.

規(guī)則設(shè)計(jì)由規(guī)則頭和規(guī)則選項(xiàng)兩部分組成，規(guī)則選項(xiàng)包括狀態(tài)判斷條件部分和指令檢測規(guī)則部分.

① 規(guī)則頭部.

規(guī)則頭部包含輸出類型和指令類型，其中包括警報(bào)、日志、類型傳遞、丟棄、應(yīng)急響應(yīng)[8-9]這5種可選行為.

② 狀態(tài)判斷規(guī)則選項(xiàng).

③ 入侵指令檢測規(guī)則.

檢測系統(tǒng)根據(jù)系統(tǒng)的實(shí)時(shí)狀態(tài)和狀態(tài)判斷規(guī)則，實(shí)時(shí)的把指令檢測規(guī)則添加到指令檢測鏈表或動態(tài)性的將其刪除，進(jìn)而實(shí)現(xiàn)指令檢測的實(shí)時(shí)性和順序性[12].

指令檢測規(guī)則由指令檢測集、告警信息、規(guī)則優(yōu)先級和規(guī)則數(shù)組成. 檢測指令關(guān)系集表示為{c1,c2,c3,…,cn}. 一組指令關(guān)系集合的值是對每一個(gè)測試變量進(jìn)行“或運(yùn)算”操作,即C={c1||c2||c3…||cn}，只要其中有一個(gè)測試指令C為真，即判斷發(fā)現(xiàn)并檢測出了入侵行為. 其中控制量ci包含信息控制值、控制趨勢、最大值、最小值，可表示為ci=(setvalue,trend,max,min).

2.3 規(guī)則列表設(shè)計(jì)

規(guī)則列表選用文本文件格式的規(guī)則體系，具有較強(qiáng)的可讀性和可修改性，缺點(diǎn)是不能作為數(shù)據(jù)結(jié)構(gòu)，讓檢測引擎程序直接調(diào)用[13]，每次啟動程序時(shí)需要讀取并解析規(guī)則庫相關(guān)文件，如何有效提高數(shù)據(jù)結(jié)構(gòu)檢索效率成為該系統(tǒng)的關(guān)鍵問題，覆蓋效率的規(guī)則將直接影響整個(gè)系統(tǒng)的運(yùn)行效率. 最簡單的組織規(guī)則方式是把每一個(gè)讀取的規(guī)則排列構(gòu)建成含有多個(gè)節(jié)點(diǎn)的一維鏈表，方法雖簡單但不會被采納，當(dāng)有許多規(guī)則節(jié)點(diǎn)時(shí)，檢測效率會很低，不能滿足工業(yè)控制系統(tǒng)對實(shí)時(shí)性的要求. 為了提高規(guī)則系統(tǒng)的檢測效率，提出了數(shù)據(jù)的三維指針鏈表樹的規(guī)則結(jié)構(gòu)[14]，根據(jù)每個(gè)規(guī)則的第一部分來決定其在樹中規(guī)則鏈表節(jié)點(diǎn)的具體位置.

首先把規(guī)則通過行動動作分為應(yīng)急響應(yīng)、丟棄、警報(bào)、日志、通過這5類，每類行為根據(jù)檢測模型分類成7種過程；壓力pressure、檢測值value、溫度temperature、電機(jī)motor、流量flow、水位water_level和alliance.

2.4 協(xié)議解析

檢測模型依賴于數(shù)據(jù)包的深度數(shù)據(jù)分析，然后得到系統(tǒng)中特定變量的物理意義，最終可以根據(jù)規(guī)則進(jìn)一步得到控制系統(tǒng)的運(yùn)行狀態(tài). 獲取深度數(shù)據(jù)包分析的關(guān)鍵條件是解析ICS控制協(xié)議，對于公開的協(xié)議如Hostlink、MODBUS/TCP等通信協(xié)議[15]可以根據(jù)明文協(xié)議直接分析[16]. 但有很多的控制器控制協(xié)議是不公開的，當(dāng)前研究對象是一款國產(chǎn)DCS控制器，通信協(xié)議是UDP協(xié)議，應(yīng)用層封裝的控制數(shù)據(jù)和狀態(tài)數(shù)據(jù)通過UDP協(xié)議傳輸[17]，并且為非公開協(xié)議，這為系統(tǒng)的使用和解析增加了障礙[18]. 為此，需要對DCS控制器的通信協(xié)議進(jìn)行解析. 解析步驟如圖5所示.

圖5 DCS控制協(xié)議解析過程Fig.5 DCS control protocol parsing process diagram

根據(jù)數(shù)據(jù)結(jié)構(gòu)和變量存儲的原理，浮點(diǎn)型數(shù)據(jù)在計(jì)算機(jī)內(nèi)部存儲4個(gè)字節(jié)，需要找出浮點(diǎn)型通信數(shù)據(jù)在數(shù)據(jù)表中的位置，第一個(gè)數(shù)據(jù)包，從一開始就將連續(xù)4個(gè)有效數(shù)據(jù)字節(jié)從原始類型數(shù)據(jù)轉(zhuǎn)換為浮點(diǎn)型數(shù)據(jù)，并結(jié)合映射和浮點(diǎn)數(shù)，DCS控制器獲取內(nèi)部數(shù)據(jù)庫數(shù)據(jù)，用變量表示數(shù)據(jù)庫中的變量數(shù)，用變量的值來表示映射之間的關(guān)系，并對DCS數(shù)據(jù)庫中所有浮點(diǎn)變量進(jìn)行映射. 在與深度關(guān)系的浮點(diǎn)數(shù)b值的數(shù)據(jù)，所有的數(shù)字和表格編號，映射已經(jīng)在數(shù)據(jù)中的DCS數(shù)據(jù)庫變量的對應(yīng)位置，反映了所有變量之間的解析關(guān)系，將匹配表輸出，為協(xié)議分析的可靠性提供重要參考.

3 主功能接口設(shè)計(jì)

該模型是基于系統(tǒng)功能，將系統(tǒng)分為系統(tǒng)調(diào)用，數(shù)據(jù)采集，規(guī)則文件中狀態(tài)信息的讀取和規(guī)則分析，動態(tài)更新規(guī)則，入侵檢測，數(shù)據(jù)傳輸，實(shí)現(xiàn)了工業(yè)控制網(wǎng)絡(luò)的控制指令檢測系統(tǒng)和預(yù)警功能.

各部分功能接口之間的關(guān)系如下.

① 系統(tǒng)的主要部分是主系統(tǒng)調(diào)用模塊，主要包括系統(tǒng)調(diào)用的主要功能、系統(tǒng)初始化、命令行解析、循環(huán)控制和資源恢復(fù)清洗功能等.

② 該規(guī)則文件讀?。涸摵瘮?shù)主要負(fù)責(zé)讀取文件，字符串分解，匹配，解析，數(shù)據(jù)類型轉(zhuǎn)換等功能，然后實(shí)現(xiàn)對規(guī)則文件的解析.

③ 規(guī)則分析部分：狀態(tài)分析和階次分析，負(fù)責(zé)對鏈表的創(chuàng)建、插入、刪除規(guī)則，更新等操作，包括規(guī)則分析、指令類型的分類，狀態(tài)變量、控制變量和報(bào)警信息的分析，優(yōu)先處理哪些功能的規(guī)則.

④ 數(shù)據(jù)讀?。褐饕?fù)責(zé)讀取網(wǎng)絡(luò)文件，包括必要的捕捉配置功能，數(shù)據(jù)采集功能，網(wǎng)絡(luò)數(shù)據(jù)分析等功能，然后實(shí)現(xiàn)采集工業(yè)數(shù)據(jù)的功能.

⑤ 入侵檢測：檢測主要是負(fù)責(zé)指揮和控制，通過檢測功能的控制指令的分析，通過遍歷列表檢測指令，當(dāng)發(fā)現(xiàn)入侵行為，根據(jù)日志的記錄，規(guī)定相應(yīng)的動作報(bào)警輸出，相應(yīng)的處理等.

⑥ 數(shù)據(jù)輸出：主要包括檢測結(jié)果的加密功能，客戶端程序的建立，網(wǎng)絡(luò)數(shù)據(jù)和函數(shù)的發(fā)送和接收，數(shù)據(jù)庫連接，數(shù)據(jù)庫插入功能，實(shí)現(xiàn)數(shù)據(jù)的傳輸和存儲.

4 入侵檢測過程

工業(yè)控制網(wǎng)絡(luò)指令檢測是系統(tǒng)設(shè)計(jì)的初衷，系統(tǒng)對入侵檢測的詳細(xì)過程如下.

檢測程序首先使用Libpcap數(shù)據(jù)包的捕獲，并進(jìn)行相應(yīng)的數(shù)據(jù)分析和詳細(xì)的數(shù)據(jù)檢查，具體過程為：

① 調(diào)用pcap_loop()功能函數(shù)，注冊ProcessPacket的數(shù)據(jù)采集和處理回調(diào)函數(shù)；

② 驗(yàn)證網(wǎng)絡(luò)數(shù)據(jù)的有效性，如果遇到錯(cuò)誤或不相關(guān)的數(shù)據(jù)，則舍棄數(shù)據(jù)重新采集并判斷，否則進(jìn)入下一步；

③ 從網(wǎng)絡(luò)的應(yīng)用層中提取數(shù)據(jù)，并確定數(shù)據(jù)類型，如果是系統(tǒng)變量數(shù)據(jù)，將數(shù)據(jù)灌入相應(yīng)的變量類型的數(shù)組中；三維鏈表樹逐層遍歷，發(fā)現(xiàn)規(guī)則與狀態(tài)相匹配的，則將該條規(guī)則指令加入入侵檢測樹繼續(xù)檢測規(guī)則列表；若在指令表和狀態(tài)檢測樹的規(guī)則不符合入侵檢測規(guī)則，從指令表數(shù)中檢測并刪除檢測規(guī)則，到達(dá)實(shí)時(shí)更新入侵檢測指令，來檢測規(guī)則鏈表樹，達(dá)到測試內(nèi)容和系統(tǒng)狀態(tài)相匹配的目的；

④ 如果控制指令的數(shù)據(jù)類型相匹配的入侵檢測規(guī)則樹列表根據(jù)指令類型、指令編號，若找到相應(yīng)的節(jié)點(diǎn)和數(shù)據(jù)匹配控制命令是一個(gè)入侵指令，檢測結(jié)果將被發(fā)送到報(bào)警輸出模塊并輸出.

5 數(shù)據(jù)輸出模塊

實(shí)驗(yàn)設(shè)備和數(shù)據(jù)傳輸主要分為兩部分：第一部分是嵌入式可信網(wǎng)關(guān)終端；第二部分是基于COME技術(shù)的服務(wù)器端，即上位機(jī).

嵌入式可信網(wǎng)絡(luò)端的數(shù)據(jù)傳輸主要包括以下功能：

① 可信網(wǎng)關(guān)RJ45網(wǎng)絡(luò)口1通過libpcap網(wǎng)絡(luò)數(shù)據(jù)采集程序采集現(xiàn)場設(shè)備網(wǎng)絡(luò)數(shù)據(jù)包；并通過加入U(xiǎn)DP組播向現(xiàn)場設(shè)備發(fā)送控制命令；

② 可信網(wǎng)關(guān)RJ45網(wǎng)絡(luò)接口2和服務(wù)器端的TCP/IP通信；

③ 在可信網(wǎng)關(guān)和USBKEY加密芯片間USB協(xié)議的數(shù)據(jù)交互.

在這個(gè)系統(tǒng)中，TCP/UDP通信是通過socket實(shí)現(xiàn)的，其中可信網(wǎng)關(guān)與上位機(jī)之間的通信使用TCP/IP網(wǎng)絡(luò)應(yīng)用中常用的C/S模式(客戶端/服務(wù)器模式). 在C/S模式下，客戶端首先向服務(wù)器發(fā)送鏈接請求，服務(wù)器根據(jù)客戶端請求內(nèi)容響應(yīng)，并提供服務(wù)；因此在這種模式下，服務(wù)器應(yīng)優(yōu)先啟動，以保證正常為客戶端服務(wù).

① 服務(wù)器啟動，創(chuàng)建一個(gè)socket網(wǎng)絡(luò)套接字，并且綁定本地IP地址和端口號；

② 調(diào)用listen()函數(shù)回路偵聽綁定端口，等待客戶端的連接請求；

③ 服務(wù)器接收客戶端的請求，處理該信號和發(fā)送響應(yīng)信號，使用一個(gè)新的線程來處理客戶變化的請求，通信鏈路的服務(wù)完全斷開，并關(guān)閉服務(wù)流程；

④ 等待另一個(gè)新的客戶端請求，并重復(fù)第③步操作；

⑤ 服務(wù)程序接受，關(guān)閉服務(wù)器，清理系統(tǒng)資源.

5.1 單類支持向量機(jī)(OCSVM)的入侵檢測的過程

單類支持向量機(jī)OCSVM的入侵檢測方法主要包含以下幾個(gè)方面，檢測流程如圖6所示.

圖6 入侵檢測方法流程圖Fig.6 Flow chart intrusion detection method

數(shù)據(jù)采集模塊：采集訓(xùn)練數(shù)據(jù)，并抓取網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)控制. 數(shù)據(jù)處理主要采用Libpcap網(wǎng)絡(luò)訪問控制數(shù)據(jù)采集.

數(shù)據(jù)預(yù)處理模塊：根據(jù)協(xié)議對原始數(shù)據(jù)進(jìn)行分析，依據(jù)相關(guān)性分析進(jìn)行數(shù)據(jù)抽取和降維，以訓(xùn)練模型的準(zhǔn)確性和需要對數(shù)據(jù)進(jìn)行歸一化操作.

入侵檢測模塊：根據(jù)預(yù)處理后的數(shù)據(jù)進(jìn)行訓(xùn)練，建立了單類支持向量機(jī)的檢測模型，并利用GridSearch進(jìn)行OCSVM參數(shù)尋優(yōu)，找到提高網(wǎng)格搜索參數(shù)檢測精度的最佳參數(shù). 根據(jù)訓(xùn)練模型，對檢測數(shù)據(jù)進(jìn)行分類和預(yù)測，然后進(jìn)行入侵檢測.

響應(yīng)模塊：對檢測結(jié)果進(jìn)行處理，根據(jù)預(yù)設(shè)進(jìn)行記錄、忽略、截取等處理.

5.2 OCSVM入侵檢測原理

目前，單類支持向量機(jī)主要有兩種分類方法：超平面的方法和超球面方法，系統(tǒng)采用了超球面方法.

超球面的方法是支持向量數(shù)據(jù)描述方法(SVDD)由TaxD提出的，該方法主要是通過原始數(shù)據(jù)空間的核函數(shù)映射到高維空間，得到涵蓋邊界樣本點(diǎn)的最小超球面，使采樣數(shù)據(jù)盡可能地包圍在其中，當(dāng)一個(gè)新的數(shù)據(jù)樣本到達(dá)的時(shí)候，若其落在超球體里則是正常樣品，若樣本點(diǎn)落在超球體外則認(rèn)為是在體外的異常樣本. 為了便于展示，二維的樣式如圖7所示.

圖7 OCSVM超球體樣本分類Fig.7 OCSVM classification of hypersphere samples

該類模型都有一個(gè)優(yōu)化目標(biāo)，優(yōu)化的目標(biāo)是訓(xùn)練球面來尋求一個(gè)最小半徑R的中心.

(1)

使這個(gè)球面滿足：

(xi-α)T(xi-α)≤R2+ξi,ξi≥0.

(2)

式中：ξi為松弛變量，可調(diào)參數(shù)ν∈(0,1)，用于調(diào)整松弛變量. 利用拉格朗日系數(shù)：

(3)

求解式(1)，(2)約束條件下的最小解. 參數(shù)求導(dǎo)并令導(dǎo)數(shù)等于0.

(4)

帶入拉哥朗日函數(shù)(3)得到

(5)

如果使用內(nèi)核函數(shù):

(6)

上述公式轉(zhuǎn)換為

(7)

然后得到?jīng)Q策函數(shù)：

(8)

如果y(x)≥0則新點(diǎn)為正常數(shù)據(jù)，如果y(x)<0則新點(diǎn)為異常數(shù)據(jù).

5.3 控制指令OCSVM入侵檢測系統(tǒng)的設(shè)計(jì)

從工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)層檢測的要求，分類可分為單類支持向量機(jī)在一定程度上只有正常數(shù)據(jù)和異常數(shù)據(jù)，并可實(shí)現(xiàn)入侵檢測的進(jìn)一步鑒定，入侵?jǐn)?shù)據(jù)屬于一種入侵，其中的控制電路，根據(jù)入侵操作相應(yīng)的響應(yīng)報(bào)警處理的具體類型，以滿足控制網(wǎng)絡(luò)的測試要求，進(jìn)一步對入侵檢測的OCSVM分類進(jìn)行設(shè)計(jì)與實(shí)現(xiàn).

為了實(shí)現(xiàn)入侵檢測分布式的多變量控制系統(tǒng)，根據(jù)各控制變量的相關(guān)分析，提取特征值，然后構(gòu)造OCSVM分類模型分別與多個(gè)控制變量，結(jié)合解決入侵檢測的多變量控制系統(tǒng)的控制指令.

6 算法有效性分析

相關(guān)性分析是關(guān)于研究與具體現(xiàn)象之間存在的關(guān)系，依賴關(guān)系的現(xiàn)象，探討相關(guān)性的方向和程度，是研究隨機(jī)變量之間關(guān)系的一種統(tǒng)計(jì)方法.

利用相關(guān)性分析并不是為了找出變量之間的線性關(guān)系，而是為了證明變量之間的相關(guān)性，通過相關(guān)分析的顯著水平驗(yàn)證能很好地證明這一觀點(diǎn).

通過相關(guān)分析，求得各控制變量的特征值，然后構(gòu)造OCSVM分類模型分別與多個(gè)控制變量，結(jié)合解決入侵檢測的多變量控制系統(tǒng)的控制指令.

算法的整體流程如圖8所示，主要包括數(shù)據(jù)采集部分、數(shù)據(jù)預(yù)處理部分、檢測模型訓(xùn)練、測試結(jié)果響應(yīng)4部分.

圖8 單類支持向量機(jī)的入侵檢測的過程Fig.8 OCSVM intrusion detection process diagram

為了驗(yàn)證算法，該算法是直接使用所收集的樣本來測試入侵. 采用一組模擬煤粉鍋爐監(jiān)控系統(tǒng)的核心控制器是DCSUW5101模型. 檢測數(shù)據(jù)由煤鍋爐控制系統(tǒng)抓取5 000個(gè)真實(shí)數(shù)據(jù)，每個(gè)數(shù)據(jù)樣本包含155個(gè)開關(guān)量和131個(gè)模擬量. 選擇最重要的、具有代表性的點(diǎn)火系統(tǒng)，燃燒系統(tǒng)和供水系統(tǒng)，相關(guān)的變量，如爐內(nèi)負(fù)壓，控制引風(fēng)機(jī)、空氣壓縮機(jī)控制和其他控制變量、水位、給水泵、供水閥控制變量等總共15個(gè)開關(guān)量和35個(gè)模擬量.

系統(tǒng)主要用于控制指令的入侵檢測，引風(fēng)機(jī)是調(diào)節(jié)爐膛負(fù)壓的主要控制變量、真空爐、煤粉鍋爐是幾種重要的檢測變量，選擇風(fēng)機(jī)控制實(shí)驗(yàn)驗(yàn)證輸出頻率. 結(jié)合控制模型，選擇控制變量提取相關(guān)的開關(guān)變量，使用相關(guān)分析來選擇相關(guān)變量.

皮爾森相關(guān)系數(shù)是用來衡量變量之間的線性關(guān)系，結(jié)合工業(yè)控制系統(tǒng)之間的耦合變量，則存在變量之間的線性關(guān)系，只有極少數(shù)，這是選擇顯著性水平的評價(jià)標(biāo)準(zhǔn)，選取Sig為0.01顯著水平，具有很強(qiáng)的相關(guān)性表明，能有效地顯示控制變量與選出的變量有一定的關(guān)系，形成新的樣本集，

R=[YV1YV2YV3YV7…YV43

…YV48YV49CV42]，

其中最后一個(gè)是控制變量的檢測，即風(fēng)扇變頻控制. 并以關(guān)系集R為標(biāo)準(zhǔn)，從5 000個(gè)樣本中隨機(jī)抽取了1 000個(gè)樣本，提取出相應(yīng)的維度，最終形成訓(xùn)練樣本. 歸一化后，分類器模型進(jìn)行訓(xùn)練. 訓(xùn)練精度、誤報(bào)率和入侵檢測率是3個(gè)關(guān)鍵指標(biāo)，能夠辨別分類器模型的好壞.

使用網(wǎng)格搜索圖，內(nèi)核參數(shù)來自訓(xùn)練的高斯核函數(shù)為0.15，錯(cuò)誤接受率v=0.01. 訓(xùn)練后，分類器的準(zhǔn)確率為99.17%.

為了檢測分類器的檢測精度，選擇700條正常和隨機(jī)生成的500個(gè)異常樣本進(jìn)行分類和預(yù)測. 進(jìn)行了分類模型驗(yàn)證，結(jié)果合格. 分類模型的驗(yàn)證具體結(jié)果如圖9和圖10所示.

正常標(biāo)本假陽性率為

1-η= 1-95.571 4%= 4.428 6%；η= 98.20%.

異常樣品檢出準(zhǔn)確率為98.20%.

按照上述方法，給水閥開啟，空氣壓縮機(jī)頻率輸出，螺旋送料頻率樣本提取，分類器的訓(xùn)練，入侵檢測實(shí)驗(yàn)結(jié)果如表1所示.

圖9 正常樣品檢出率Fig.9 Normal sample detection accuracy

圖10 異常樣品檢出率Fig.10 Abnormal sample detection accuracy

檢測變量訓(xùn)練精度/%誤報(bào)率/%入侵檢測率/%引風(fēng)機(jī)頻率控制99.175.2998.20給水閥開度99.335.2096.56空壓機(jī)頻率99.175.2297.78螺旋給料頻率98.835.3396.96

通過攻擊機(jī)發(fā)送1 000條指令的攻擊檢測系統(tǒng)模型規(guī)則未能找到有效的基礎(chǔ)攻擊，但OCSVM異常檢測基于一個(gè)969報(bào)警信息，檢測率達(dá)到98. 2%，網(wǎng)關(guān)系統(tǒng)還具有檢測未指定規(guī)則攻擊的能力.

分析涉及OCSVM單分類器的測試結(jié)果，看到通過變量顯著相關(guān)的變量進(jìn)入新的訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)，經(jīng)過訓(xùn)練裝置獲得控制變量的相關(guān)分析檢測精度高，檢測到入侵?jǐn)?shù)據(jù)和可定位的目標(biāo)，為人工復(fù)驗(yàn)提供一項(xiàng)好的參考模式.

7 結(jié)束語

在緊湊型PCIe COM Express計(jì)算機(jī)控制基礎(chǔ)上，針對工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)和設(shè)計(jì)提出了一種入侵檢測方法. 入侵檢測方法包括過程控制模型規(guī)則，基于協(xié)議分析和深度數(shù)據(jù)分析以及基于OCSVM異常檢測算法. 其次，詳細(xì)描述了過程控制模型，從規(guī)則編寫格式、規(guī)范設(shè)計(jì)和規(guī)則列表樹生成3方面討論了具體的實(shí)現(xiàn)方法. 然后，為了提高系統(tǒng)對未知攻擊類型的檢測能力，基于OCSVM異常檢測算法的相關(guān)建議，對樣品單分類器生成過程描述的變化，檢測算法的特征提取. 最后，結(jié)合DCS模型訓(xùn)練精度檢測結(jié)果和模擬實(shí)驗(yàn)的數(shù)據(jù)證明了ICS網(wǎng)絡(luò)數(shù)據(jù)異常入侵檢測模型的有效性.