衛(wèi) 霞 ?；矍?李 茹 李 婧

（西安明德理工學(xué)院，陜西 西安710024）

隨著中國(guó)制造2025、互聯(lián)網(wǎng)+、兩化融合進(jìn)程的快速發(fā)展，信息技術(shù)快速應(yīng)用到工業(yè)制造領(lǐng)域，各種智能制造設(shè)備和系統(tǒng)進(jìn)行網(wǎng)絡(luò)互聯(lián)互通的趨勢(shì)加快。當(dāng)前，智能制造系統(tǒng)覆蓋面極廣，產(chǎn)業(yè)鏈龐大，已廣泛應(yīng)用于武器制造、航空航天、車(chē)輛制造、船舶制造、3C 智能制造等各個(gè)關(guān)鍵領(lǐng)域中，成為直接影響國(guó)防安全、經(jīng)濟(jì)安全和社會(huì)安全的基礎(chǔ)技術(shù)。同時(shí)，智能制造設(shè)備聯(lián)網(wǎng)進(jìn)程的加快導(dǎo)致了傳統(tǒng)信息網(wǎng)絡(luò)的各種黑客攻擊和惡意代碼等安全威脅快速進(jìn)入到智能制造網(wǎng)絡(luò)。智能制造設(shè)備的故障、加工代碼的泄露將會(huì)導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失，危及人身安全甚至國(guó)家安全。工業(yè)控制系統(tǒng)（Industrial Control Systems，ICS）網(wǎng)絡(luò)安全已經(jīng)成為國(guó)家基礎(chǔ)設(shè)施網(wǎng)絡(luò)空間安全的重要組成部分，已被提升到國(guó)家戰(zhàn)略層面[1]。

異常檢測(cè)和防護(hù)是保障工控系統(tǒng)的一種重要的防護(hù)手段，可有效防護(hù)網(wǎng)絡(luò)上的各種不法訪(fǎng)問(wèn)、惡意攻擊或無(wú)意地破壞[2]，有效的擴(kuò)展了系統(tǒng)管理員的安全管理能力，信息安全異常事件檢測(cè)與防護(hù)成為工控系統(tǒng)研究熱點(diǎn)[3][4]。

1 研究現(xiàn)狀

2010 年之前，基于Snort 軟件的入侵檢測(cè)方法被認(rèn)為是安全的，但震網(wǎng)病毒的出現(xiàn)表明，工業(yè)控制系統(tǒng)也能遭受網(wǎng)絡(luò)攻擊，且已經(jīng)成為黑客的主要目標(biāo)[5]，需要增加入侵檢測(cè)系統(tǒng)以保護(hù)連接在總線(xiàn)網(wǎng)絡(luò)上的RTU、智能電子設(shè)備（IED）和PLC 設(shè)備。所以基于Snort 的協(xié)議分析和檢測(cè)系統(tǒng)利用Snort 規(guī)則檢測(cè)上下行數(shù)據(jù)進(jìn)行，可高效識(shí)別Modbus 協(xié)議中的非法數(shù)據(jù)包，但對(duì)未知攻擊的漏檢率很高[6]。Barbosa 等對(duì)SCADA 流量的特性進(jìn)行研究，提出了基于網(wǎng)絡(luò)流量的周期性檢測(cè)方法，但由于控制網(wǎng)絡(luò)的配置功能的流量的周期性無(wú)法保證，產(chǎn)生很高的誤報(bào)率[7]。

呂佩吾等人提出了基于卷積神經(jīng)網(wǎng)絡(luò)的Modbus/TCP 異常報(bào)文檢測(cè)方法，實(shí)現(xiàn)對(duì)Modbus/TCP 異常報(bào)文檢測(cè)[8]；邵俊杰等人使用n-gram 算法從Modbus 正常報(bào)文幀的有效載荷中進(jìn)行特征提取，結(jié)合單類(lèi)支持向量機(jī)(OCSVM)算法，完成了異常識(shí)別[9]。王偉等人提出一種基于PU 學(xué)習(xí)的工業(yè)控制系統(tǒng)異常檢測(cè)方法，根據(jù)狀態(tài)轉(zhuǎn)換圖和孤立森林模型分別判斷狀態(tài)轉(zhuǎn)換關(guān)系和狀態(tài)自循環(huán)的正確性[10]。總體而言，雖然學(xué)術(shù)界已經(jīng)獲得相當(dāng)?shù)难芯窟M(jìn)展和積累，但是當(dāng)前工控系統(tǒng)安全保障方案一方面無(wú)法滿(mǎn)足工控系統(tǒng)準(zhǔn)確性和實(shí)時(shí)性要求高的特點(diǎn)，另一方面隨著攻擊方法的升級(jí)，工業(yè)領(lǐng)域安全的要求不斷提高，從而帶來(lái)新的挑戰(zhàn)。

2 工業(yè)控制系統(tǒng)信息安全防護(hù)體系架構(gòu)

工業(yè)控制系統(tǒng)通常包含企業(yè)辦公網(wǎng)絡(luò)、過(guò)程控制、監(jiān)控網(wǎng)絡(luò)以及現(xiàn)場(chǎng)控制系統(tǒng)幾個(gè)部分，主要由可編程邏輯控制器（PLC）設(shè)備、遠(yuǎn)程終端單元（RTU）、分布式控制系統(tǒng)(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）和傳感器等設(shè)備組成，通過(guò)OPC（OLE for Process Control）、Modbus、DNP3 等專(zhuān)有協(xié)議進(jìn)行信息通信，使用WinCE 等嵌入式系統(tǒng)，軟硬件升級(jí)困難、系統(tǒng)兼容性差，流量具有突發(fā)性和周期性，且對(duì)實(shí)時(shí)性要求較高。

圖1 工控系統(tǒng)安全防護(hù)架構(gòu)

本文對(duì)工業(yè)控制系統(tǒng)實(shí)施架構(gòu)分層，使其在不影響控制系統(tǒng)與企業(yè)系統(tǒng)業(yè)務(wù)模式前提下，能夠全面阻擋、記錄、控制、預(yù)警工控環(huán)境中的安全風(fēng)險(xiǎn)行為。提出的工控系統(tǒng)安全防護(hù)架構(gòu)包括了數(shù)據(jù)采集層、處理層、服務(wù)層三層體系架構(gòu)，首先利用采集層的威脅探測(cè)設(shè)備、安全監(jiān)測(cè)設(shè)備、工業(yè)運(yùn)行數(shù)據(jù)導(dǎo)入等方式獲取數(shù)據(jù)，然后通過(guò)處理層的機(jī)器學(xué)習(xí)、模式匹配、深度報(bào)文解析等方法對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行綜合分析，可提供異常事件的檢測(cè)識(shí)別、漏洞及攻擊預(yù)警、工控安全預(yù)測(cè)等服務(wù)。

3 工控系統(tǒng)信息安全異常事件檢測(cè)及安全防御架構(gòu)

3.1 工控系統(tǒng)入侵檢測(cè)模型及機(jī)制概述

針對(duì)控制系統(tǒng)檢測(cè)以及防護(hù)多變性的問(wèn)題，通過(guò)數(shù)據(jù)驅(qū)動(dòng)歸納、逆向工程、協(xié)議樹(shù)等協(xié)議分析理論，研究基于機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析的異常行為的智能分析與識(shí)別技、工業(yè)協(xié)議的深度安全解析與策略防護(hù)技術(shù)，最終實(shí)現(xiàn)對(duì)智能裝備系統(tǒng)信息進(jìn)行快速有效檢測(cè)以及防護(hù)，避免安全事故發(fā)生。

設(shè)計(jì)工控網(wǎng)絡(luò)的異常檢測(cè)模型，利用聚類(lèi)算法獲得的分類(lèi)情況生成的檢測(cè)規(guī)則，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行檢測(cè)。具體實(shí)現(xiàn)時(shí)，可以將檢測(cè)過(guò)程分為訓(xùn)練和運(yùn)行兩個(gè)工作階段。首先在訓(xùn)練階段，系統(tǒng)初始化后將分別獲取正常通訊及遭受攻擊時(shí)的網(wǎng)絡(luò)數(shù)據(jù)，并將獲得的數(shù)據(jù)打上相應(yīng)的標(biāo)簽作為訓(xùn)練樣本，然后再對(duì)樣本進(jìn)行聚類(lèi)，進(jìn)而建立分類(lèi)模型；其次在運(yùn)行階段，根據(jù)訓(xùn)練階段生成的分類(lèi)模型對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測(cè)，有效識(shí)別異常數(shù)據(jù)并及時(shí)進(jìn)行輸出。

3.2 基于SVM及改進(jìn)D-S 證據(jù)融合的工控系統(tǒng)入侵檢測(cè)

工控網(wǎng)絡(luò)安全的異常行為分析如流程圖2 所示。首先將訓(xùn)練數(shù)據(jù)集和預(yù)測(cè)數(shù)據(jù)集的數(shù)據(jù)按特征屬性分為基本特征、內(nèi)容特征、流量特征三類(lèi)，并在各類(lèi)數(shù)據(jù)集特征屬性后添加代表攻擊類(lèi)型和正常類(lèi)型的標(biāo)簽，然后分別訓(xùn)練基本特征集訓(xùn)練SVM1，內(nèi)容特征集訓(xùn)練SVM2，流量特征集訓(xùn)練SVM3，得到三類(lèi)訓(xùn)練標(biāo)簽。將三類(lèi)特征屬性的訓(xùn)練標(biāo)簽作為各類(lèi)特征屬性預(yù)測(cè)時(shí)所需的標(biāo)簽，并加上分好類(lèi)的預(yù)測(cè)數(shù)據(jù)集進(jìn)行預(yù)測(cè)，便可以得出測(cè)試數(shù)據(jù)集的各類(lèi)測(cè)試數(shù)據(jù)標(biāo)簽。

圖2 SVM 及改進(jìn)D-S 證據(jù)融合的入侵檢測(cè)模型

其中m(N)、m(A)和m({N，A})分別表示當(dāng)前特征支持正常行為、當(dāng)前特征支持異常行為、無(wú)法確定當(dāng)前行為屬于正常或者異常行為的可信度。

如果三組結(jié)果均判定為異常，則設(shè)定該數(shù)據(jù)對(duì)異常行為和正常行為的基本函數(shù)值分別為1 和0，即該數(shù)據(jù)為異常數(shù)據(jù)；假設(shè)三組結(jié)果都判定為正常數(shù)據(jù)，則設(shè)定該數(shù)據(jù)對(duì)正常行為和異常行為的基本函數(shù)值分別為1 和0，即該數(shù)據(jù)為正常數(shù)據(jù)；而對(duì)于其他數(shù)據(jù)則按判定比例相應(yīng)計(jì)算出在[0，1]之間信任度對(duì)應(yīng)的數(shù)值，然后進(jìn)行整體加權(quán)融合，對(duì)融合后的結(jié)果進(jìn)行判定，以此進(jìn)行檢測(cè)。

3.3 工控系統(tǒng)主動(dòng)防御安全預(yù)警模型構(gòu)建

對(duì)采集到的工業(yè)數(shù)據(jù)進(jìn)行分類(lèi)，獲取準(zhǔn)確度最高的數(shù)學(xué)模型。數(shù)學(xué)模型分為正常數(shù)據(jù)行為模型、異常數(shù)據(jù)行為模型兩大類(lèi)，正常數(shù)據(jù)模型應(yīng)用到保護(hù)設(shè)備中作為設(shè)備的白名單，進(jìn)行流量放行；異常數(shù)據(jù)行為模型應(yīng)用到工業(yè)安全防護(hù)設(shè)備中作為黑名單，進(jìn)行流量控制。通過(guò)對(duì)多地域、多行業(yè)、多種網(wǎng)絡(luò)的攻擊手段、漏洞信息、組網(wǎng)連接、運(yùn)行控制等信息進(jìn)行攻擊路徑、風(fēng)險(xiǎn)設(shè)備分析，建立工控安全預(yù)警模型，預(yù)警模型如圖3 所示：

圖3 基于D-S 證據(jù)融合的安全預(yù)警模型

4 結(jié)論

本文結(jié)合我國(guó)工業(yè)控制系統(tǒng)所存在的具體安全風(fēng)險(xiǎn)，分析并建立一套從技術(shù)角度和管理制度上都能有效防范安全攻擊的防護(hù)體系，并提出D-S 證據(jù)融合的工控系統(tǒng)安全主動(dòng)防御預(yù)警模型。下一步，依據(jù)該技術(shù)模型進(jìn)行更深層次的測(cè)試及產(chǎn)品研制，為識(shí)別防范攻擊和攻擊者提供決策支持。