劉 睿 ，洪 晟 ，李 偉 ，王 欣

(1.北京京航計(jì)算通訊研究所，北京100073；2.北京市涉密信息載體安全管理工程技術(shù)研究中心，北京100073；3.北京航天航空大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京100083)

0 引言

5G 網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)的發(fā)展，促進(jìn)工業(yè)向智能化轉(zhuǎn)變，即工業(yè)控制系統(tǒng)(Industrial Control System，ICS)正朝著復(fù)雜、精密、智能和自動(dòng)化的方向進(jìn)步。設(shè)備功能、規(guī)模以及網(wǎng)絡(luò)環(huán)境的改變，致使ICS 固有的安全漏洞不斷被利用，安全威脅顯著增加[1]。若不能及時(shí)檢測(cè)并發(fā)現(xiàn)安全隱患，潛在入侵可能會(huì)造成系統(tǒng)停止工作、數(shù)據(jù)泄露等，輕則影響ICS 穩(wěn)定運(yùn)行，重則對(duì)國(guó)家利益、公共安全造成嚴(yán)重破壞。2020 年新冠肺炎疫情突然爆發(fā)，企業(yè)數(shù)字化轉(zhuǎn)型更為迫切， 導(dǎo)致網(wǎng)絡(luò)安全攻擊事件頻發(fā)， 如2020 年以色列供水部門(mén)設(shè)備遭黑客攻擊事件、巴西電力公司受Sodinokibi 勒索軟件攻擊事件、印度新冠疫苗制造廠受黑客攻擊致使數(shù)據(jù)泄露[2]。 同年，我國(guó)的工控漏洞也持有上升趨勢(shì)。 ICS 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分外部非法目的攻擊和 ICS 正常運(yùn)轉(zhuǎn)威脅[3]，有意無(wú)意地對(duì)系統(tǒng)造成影響；同時(shí)，由于ICS 自身存在歷時(shí)性的先天脆弱性[4]，通信、終端、設(shè)備均易受到入侵。因此，如何更有效地監(jiān)控和維護(hù)ICS 信息安全在工業(yè)信息化轉(zhuǎn)型中成為重大課題。

對(duì) ICS 的安全防護(hù)技術(shù)研究表明，ICS 的安全防護(hù)機(jī)制有三種，即防火墻、入侵檢測(cè)技術(shù)和加密技術(shù)[5]。 隨著 ICS 環(huán)境復(fù)雜度增加，繞過(guò)防火墻攻擊、系統(tǒng)內(nèi)部攻擊和密碼爆破攻擊技術(shù)也迅速發(fā)展，基本的防火墻和加密技術(shù)無(wú)法滿足當(dāng)前ICS 的安防需求。 與其他安全防護(hù)機(jī)制不同的是，入侵檢測(cè)技術(shù)是對(duì)系統(tǒng)的流量、協(xié)議、主機(jī)采取的主動(dòng)防御技術(shù)[6]，實(shí)時(shí)監(jiān)控系統(tǒng)工作并感知系統(tǒng)的異常行為，具有數(shù)據(jù)分析和告警的功能。 其既可滿足ICS 的整體防護(hù)，又可滿足安全策略要求；既可實(shí)現(xiàn)ICS 的內(nèi)部防護(hù)，還可抵御外部攻擊入侵，在工控安全領(lǐng)域得到廣泛應(yīng)用。

在網(wǎng)絡(luò)入侵檢測(cè)領(lǐng)域，已有大量相關(guān)技術(shù)研究得到了較好的應(yīng)用，如入侵檢測(cè)過(guò)程應(yīng)用[4]、基于特征的入侵檢測(cè)技術(shù)[7-8]、入侵檢測(cè)算法的改進(jìn)[9]等。 雖然這些工作實(shí)現(xiàn)了入侵檢測(cè)的目標(biāo)且具有良好的效果，但隨著ICS 結(jié)構(gòu)日益復(fù)雜，規(guī)模日益擴(kuò)大，攻擊多元化和隱蔽性問(wèn)題日益嚴(yán)重，造成系統(tǒng)的檢測(cè)成本隨之升高。 因此，為了順利開(kāi)展工控領(lǐng)域的網(wǎng)絡(luò)和設(shè)備檢測(cè)任務(wù)，保證檢測(cè)的準(zhǔn)確性和完整性，工控安全防護(hù)領(lǐng)域的入侵檢測(cè)技術(shù)仍需進(jìn)一步梳理和總結(jié)。 本文分別對(duì)誤用入侵檢測(cè)技術(shù)[10-11]、異常入侵檢測(cè)技術(shù)[12-15]、流量入侵檢測(cè)技術(shù)[16-24]、協(xié)議入侵檢測(cè)技術(shù)[25-28]、主機(jī)入侵檢測(cè)技術(shù)[29-35]現(xiàn)狀進(jìn)行概況和分析，直觀展示ICS 入侵檢測(cè)領(lǐng)域的最新研究動(dòng)態(tài)，并指出未來(lái)的研究方向。

1 ICS 入侵檢測(cè)技術(shù)研究

入侵檢測(cè)可對(duì)影響計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)正常運(yùn)行的關(guān)鍵部位或關(guān)鍵點(diǎn)的信息實(shí)現(xiàn)監(jiān)測(cè)，從中抽絲剝繭找出可能影響系統(tǒng)安全性的行為或跡象[10]。 在不影響ICS 正常運(yùn)行的前提下，利用現(xiàn)有的設(shè)備資源，盡可能地采集工控設(shè)備、ICS 中的信息數(shù)據(jù)，然后對(duì)數(shù)據(jù)的完整性和業(yè)務(wù)邏輯等進(jìn)行各方面分析，得出ICS 當(dāng)前運(yùn)行狀態(tài)是否正常和是否存在潛在風(fēng)險(xiǎn)的結(jié)論。

1.1 ICS 通信網(wǎng)絡(luò)結(jié)構(gòu)

近幾年，伴隨計(jì)算機(jī)技術(shù)、控制技術(shù)和通信技術(shù)的飛速發(fā)展，衍生出了工業(yè)網(wǎng)絡(luò)控制系統(tǒng)，實(shí)現(xiàn)了工業(yè)生產(chǎn)自動(dòng)化控制和網(wǎng)絡(luò)化控制。 ICS 的結(jié)構(gòu)層[36]主要包括企業(yè)網(wǎng)絡(luò)環(huán)境、監(jiān)控網(wǎng)絡(luò)環(huán)境和控制網(wǎng)絡(luò)環(huán)境及執(zhí)行終端，如圖1 所示。主要的工作過(guò)程為：ICS 控制器發(fā)出指令，通過(guò)防火墻至現(xiàn)場(chǎng)儀表燈控制設(shè)備，保證系統(tǒng)正常工作；通過(guò)傳感器將獲取的實(shí)時(shí)數(shù)據(jù)經(jīng)過(guò)防火墻傳達(dá)到監(jiān)視端和控制器。上述控制指令的發(fā)送和實(shí)時(shí)數(shù)據(jù)的傳輸過(guò)程形成一個(gè)閉環(huán)，均需經(jīng)過(guò)防火墻的“安檢”。由此可見(jiàn)，工業(yè)防火墻的安全防護(hù)是ICS 正常運(yùn)行的關(guān)鍵，它直接決定能否準(zhǔn)確進(jìn)行入侵檢測(cè)，進(jìn)而影響整個(gè) ICS 的安全。 但隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，可繞過(guò)防火墻的網(wǎng)絡(luò)攻擊問(wèn)題越來(lái)越普遍，且病毒可通過(guò)移動(dòng)設(shè)備的接入(非網(wǎng)絡(luò)傳播)數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，直接入侵工控主機(jī)，致使設(shè)備癱瘓等。 因此，保證 ICS 正常運(yùn)行的前提下，實(shí)現(xiàn)ICS 的實(shí)時(shí)監(jiān)控與檢測(cè)，發(fā)現(xiàn)異常操作行為或入侵行為的跡象，是保證系統(tǒng)安全穩(wěn)定運(yùn)行的首要任務(wù)。

圖1 工業(yè)控制系統(tǒng)結(jié)構(gòu)層

1.2 ICS 入侵檢測(cè)技術(shù)的分類(lèi)

本文借助通用ICS 入侵檢測(cè)分類(lèi)方法，針對(duì)不同的檢測(cè)對(duì)象，將 ICS 入侵檢測(cè)技術(shù)分為[4]：基于流量的入侵檢測(cè)、基于協(xié)議的入侵檢測(cè)和基于主機(jī)的入侵檢測(cè)。 按照檢測(cè)方法和攻擊屬性的區(qū)別，可劃分為誤用和異常入侵檢測(cè)。 ICS 的入侵檢測(cè)技術(shù)分類(lèi)如圖 2 所示。

圖2 ICS 入侵檢測(cè)技術(shù)劃分

2 入侵檢測(cè)技術(shù)概況和現(xiàn)狀

依據(jù)上述ICS 入侵檢測(cè)技術(shù)分類(lèi)方法，本小節(jié)對(duì)每種ICS 入侵檢測(cè)技術(shù)進(jìn)行詳細(xì)說(shuō)明。

2.1 基于攻擊屬性的入侵檢測(cè)技術(shù)

2.1.1 誤用入侵檢測(cè)技術(shù)概況和現(xiàn)狀

基于工控的誤用入侵檢測(cè)技術(shù)具有檢測(cè)精度較高和有參照明確的檢測(cè)結(jié)果的特點(diǎn)(入侵檢測(cè)過(guò)程如圖3 所示)，通過(guò)對(duì)待測(cè)的工控系統(tǒng)進(jìn)行監(jiān)測(cè)，提取出待測(cè)數(shù)據(jù)的特征值，然后與已知的各種入侵行為簽名庫(kù)進(jìn)行特征匹配，若匹配成功，異常檢測(cè)成功。 但該檢測(cè)方法因需已知異常行為，即先創(chuàng)建簽名庫(kù)，難以檢測(cè)未知的異常檢測(cè)行為。

圖3 誤用入侵檢測(cè)的ICS 的應(yīng)用

李塞峰[10]采用誤用入侵檢測(cè)技術(shù)中的狀態(tài)遷移法，將動(dòng)態(tài)規(guī)則設(shè)置腳本與函數(shù)響應(yīng)機(jī)制相融合，從而達(dá)到了實(shí)時(shí)阻斷工控系統(tǒng)中異常流量入侵的效果。 但該方法的實(shí)驗(yàn)是基于創(chuàng)建的攻擊模擬環(huán)境，且基于簡(jiǎn)單的 Web 攻擊進(jìn)行驗(yàn)證，而 ICS 的一般環(huán)境和設(shè)備具有復(fù)雜性，基于事件序列的狀態(tài)轉(zhuǎn)換方法較不適用。

VOLLMER T[11]等采用多模態(tài)遺傳算法求解自主規(guī)則問(wèn)題。主要過(guò)程為，已知異常攻擊行為，系統(tǒng)一旦發(fā)現(xiàn)入侵便創(chuàng)建規(guī)則過(guò)程，而非通過(guò)規(guī)則演化提供入侵檢測(cè)的解決方案。 該算法在異常ICMP 網(wǎng)絡(luò)數(shù) 據(jù)包(輸入)和 Snort 規(guī)則(輸出)上進(jìn)行 了驗(yàn)證 。 輸出規(guī)則根據(jù)適應(yīng)值進(jìn)行排序，并刪除任何重復(fù)項(xiàng)。 實(shí)驗(yàn)得知，該方法的誤報(bào)率很低，檢測(cè)精度很高。但不足在于，每種攻擊的檢測(cè)規(guī)則為 3～8 條，檢測(cè)性能較低。 誤用檢測(cè)部分方法解決問(wèn)題對(duì)比如表1 所示。

表1 誤用檢測(cè)部分方法解決問(wèn)題比對(duì)

2.1.2 異常入侵檢測(cè)技術(shù)概況和現(xiàn)狀

異常入侵檢測(cè)技術(shù)[5]從字面意思理解為，檢測(cè)的對(duì)象是異常行為檢測(cè)。從數(shù)學(xué)意義上理解為可使用“反正法”，即找到不是正常行為或與正常行為偏離較大的則定義為異常行為。 具體監(jiān)測(cè)過(guò)程如圖4所示，通過(guò)對(duì)待測(cè)數(shù)據(jù)的特征提取，定義異常入侵檢測(cè)的訓(xùn)練集和待測(cè)集，然后輸入已創(chuàng)建的檢測(cè)模型實(shí)現(xiàn)檢測(cè)和訓(xùn)練。 與誤用入侵檢測(cè)相比，異常入侵檢測(cè)系統(tǒng)可隨用戶行為進(jìn)行自調(diào)整和優(yōu)化。

圖4 異常入侵檢測(cè)在ICS 的應(yīng)用

文獻(xiàn)[12]提出了一種多元質(zhì)量控制技術(shù)，通過(guò)創(chuàng)建系統(tǒng)長(zhǎng)期正常運(yùn)行的記錄，作為進(jìn)行入侵檢測(cè)的實(shí)驗(yàn)基礎(chǔ)，且得到了誤報(bào)率較低的實(shí)驗(yàn)結(jié)果。 但該方法無(wú)法得到實(shí)時(shí)和自動(dòng)響應(yīng)的檢測(cè)結(jié)果。 文獻(xiàn)[13]對(duì)已有的模糊關(guān)聯(lián)規(guī)則挖掘算法進(jìn)行了改進(jìn)，定義了模糊頻率集的概念，提出了一種新的模糊頻率集挖掘算法。在模糊關(guān)聯(lián)規(guī)則挖掘過(guò)程中加入了規(guī)范化步驟，應(yīng)用于入侵檢測(cè)系統(tǒng)。 實(shí)驗(yàn)證明該檢測(cè)方法對(duì)已知攻擊行為的入侵檢測(cè)性能和識(shí)別率較高，對(duì)未知異常行為檢測(cè)率較低。 文獻(xiàn)[14]提出一種改進(jìn)粒子群優(yōu)化神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型。解決了單純神經(jīng)網(wǎng)絡(luò)算拓?fù)浣Y(jié)構(gòu)確定較慢而導(dǎo)致的入侵檢測(cè)性能較低的問(wèn)題。 文獻(xiàn)[15]提出一種新的LA-SVM方法自動(dòng)去除冗余特征，可完成在線學(xué)習(xí)并適用于工控環(huán)境， 但該方法無(wú)法識(shí)別出合法和非法流量。異常檢測(cè)部分方法解決問(wèn)題對(duì)比如表2 所示。

表2 異常檢測(cè)部分方法解決問(wèn)題比對(duì)

2.2 基于不同檢測(cè)對(duì)象的入侵檢測(cè)技術(shù)概況和現(xiàn)狀

2.2.1 基于流量的 ICS 入侵檢測(cè)技術(shù)概況和現(xiàn)狀

圖5 基于流量ICS 入侵檢測(cè)方案

針對(duì)網(wǎng)絡(luò)流量判斷入侵檢測(cè)行為的過(guò)程如圖5所示，首先提取網(wǎng)絡(luò)流量?jī)?nèi)容中關(guān)鍵字段的特征值、出現(xiàn)頻率、變動(dòng)閾值等，然后對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包、拓?fù)浣Y(jié)構(gòu)等進(jìn)行實(shí)時(shí)監(jiān)測(cè)。 基于流量的ICS 入侵檢測(cè)方案的核心思想[16]是將采集的流量與特征庫(kù)中的流量進(jìn)行匹配，且依據(jù)數(shù)據(jù)分析進(jìn)行實(shí)時(shí)更新。

國(guó)內(nèi)外針對(duì)ICS 網(wǎng)絡(luò)流量入侵檢測(cè)投入大量的研究：文獻(xiàn)[17]從 DNS 映射關(guān)聯(lián)圖為切入點(diǎn)，選取DNS 流量特征，完成機(jī)器學(xué)習(xí)二分類(lèi)，得到了良好的流量檢測(cè)精確度，但該方法因只選取特定DNS 流量特征，覆蓋面存在不足。 文獻(xiàn)[8]都是完成網(wǎng)絡(luò)流量檢測(cè)的過(guò)程，但提取特征不同。 文獻(xiàn)[18]提出通過(guò)測(cè)量和驗(yàn)證網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，而不是傳輸協(xié)議網(wǎng)絡(luò)遙測(cè)所使用的數(shù)據(jù)，來(lái)檢測(cè)網(wǎng)絡(luò)附加工控網(wǎng)絡(luò)系統(tǒng)入侵的方法。文獻(xiàn)[19]提取網(wǎng)絡(luò)流量數(shù)據(jù)、主機(jī)系統(tǒng)數(shù)據(jù)和測(cè)量過(guò)程參數(shù)，采用自聯(lián)想回歸(AAKR)加強(qiáng)了早期工控系統(tǒng)的入侵檢測(cè)。 文獻(xiàn)[20]通過(guò)利用增量式多核卷積神經(jīng)網(wǎng)絡(luò)， 建立入侵檢測(cè)機(jī)制， 降低因系統(tǒng)結(jié)構(gòu)復(fù)雜對(duì)檢測(cè)率的影響，實(shí)現(xiàn)網(wǎng)絡(luò)流量自適應(yīng)入侵檢測(cè)。

文獻(xiàn)[21]提出基于四角星的可視化特征提取方法，解決了大數(shù)據(jù)量和復(fù)雜數(shù)據(jù)計(jì)算問(wèn)題，但該研究在分類(lèi)準(zhǔn)確性和可視化生成規(guī)則空間的效果不佳。 而文獻(xiàn)[22]通過(guò) 3D 網(wǎng)絡(luò)化可視化數(shù)據(jù)技術(shù)解決了機(jī)器學(xué)習(xí)分類(lèi)算法準(zhǔn)確性較低的問(wèn)題，但未實(shí)現(xiàn)可視化入侵檢測(cè)分析。

近幾年，大量機(jī)器學(xué)習(xí)的改進(jìn)算法被應(yīng)用到ICS入侵檢測(cè)中。王健[23]將深度學(xué)習(xí)技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中，對(duì)傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行改進(jìn)，加強(qiáng)了CNN 對(duì)待測(cè)數(shù)據(jù)的特征提取，有效判斷了網(wǎng)絡(luò)流量入侵行為。 但該方法在實(shí)際工控系統(tǒng)環(huán)境中無(wú)法實(shí)現(xiàn)攻擊模型快速學(xué)習(xí)，實(shí)時(shí)檢測(cè)效果不好?；诹髁繖z測(cè)部分方法解決問(wèn)題對(duì)比如表3 所示。 VINAYAKUMAR R 等[24]采用深度神經(jīng)網(wǎng)絡(luò) DNN設(shè)計(jì)了入侵檢測(cè)系統(tǒng)，通過(guò)無(wú)監(jiān)督或有監(jiān)督的預(yù)訓(xùn)練技術(shù)進(jìn)行初始化，對(duì)不可預(yù)見(jiàn)和不可預(yù)測(cè)的網(wǎng)絡(luò)攻擊進(jìn)行提取和分類(lèi)。 雖然實(shí)現(xiàn)了 MLP 的權(quán)重完全連接，但計(jì)算復(fù)雜度較高。

2.2.2 基于協(xié)議的ICS 入侵檢測(cè)技術(shù)概況和現(xiàn)狀

最初，工業(yè)控制系統(tǒng)通信協(xié)議為了保證ICS 的運(yùn)行和經(jīng)濟(jì)效益，僅僅考慮提高效率和可靠性，避免了非必要的功能與特性，因此往往忽略認(rèn)證和加密等安全措施。常用的工控通信協(xié)議存在著被篡改和偽裝攻擊等安全問(wèn)題，流量檢測(cè)無(wú)法監(jiān)控這些攻擊，因此需要深度解析流量中的報(bào)文，如協(xié)議格式、協(xié)議狀態(tài)和協(xié)議分組等，從而完成監(jiān)測(cè)入侵行為。具體基于協(xié)議的ICS 入侵檢測(cè)過(guò)程如圖 6 所示。 通過(guò)傳感器監(jiān)測(cè)到ICS 網(wǎng)絡(luò)通信數(shù)據(jù)，并將捕獲的數(shù)據(jù)構(gòu)造正常的ICS 協(xié)議數(shù)據(jù)包，解析后與施加變異策略進(jìn)行匹配，完成協(xié)議字段的分析，生成異常數(shù)據(jù)包，達(dá)到對(duì)待測(cè)ICS 進(jìn)行監(jiān)控與防護(hù)的目標(biāo)。

表3 基于流量檢測(cè)部分方法解決問(wèn)題比對(duì)

圖6 ICS 協(xié)議入侵檢測(cè)過(guò)程

文獻(xiàn)[25]采用網(wǎng)絡(luò)安全基線方法對(duì)ICS 系統(tǒng)中的網(wǎng)絡(luò)協(xié)議進(jìn)行解析，若發(fā)現(xiàn)基線以外的數(shù)據(jù)，則認(rèn)定為入侵行為發(fā)生。 趙貴成[26]模擬生產(chǎn)環(huán)境，搭建工控網(wǎng)絡(luò)入侵檢測(cè)平臺(tái)，在該平臺(tái)上采集滲透攻擊實(shí)驗(yàn)產(chǎn)生的協(xié)議解析數(shù)據(jù)，通過(guò)建立神經(jīng)異常網(wǎng)絡(luò)檢測(cè)模型，并通過(guò)實(shí)驗(yàn)驗(yàn)證了檢測(cè)能力，但該研究只限于網(wǎng)絡(luò)應(yīng)用層，存在協(xié)議深度解析上的局限性。文獻(xiàn)[27]通過(guò)解析 IEC61850 后，將通信數(shù)據(jù)類(lèi)型和傳輸時(shí)間間隔信息融合建立入侵檢測(cè)模型，形成規(guī)則庫(kù)，借用入侵檢測(cè)工具 SNORf37[28]，實(shí)現(xiàn)系統(tǒng)的入侵檢測(cè)。

基于協(xié)議的ICS 入侵檢測(cè)技術(shù)可實(shí)現(xiàn)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)狀態(tài)，獲取更多的特征信息，具有檢測(cè)精度更高、受 ICS 網(wǎng)絡(luò)環(huán)境影響小的特點(diǎn)。 然而，這些均需依賴良好的網(wǎng)絡(luò)環(huán)境，否則會(huì)出現(xiàn)數(shù)據(jù)包丟失情況。 無(wú)論是基于流量還是基于協(xié)議的ICS 入侵檢測(cè)系統(tǒng)均具有采集數(shù)據(jù)量較大的特點(diǎn)，且工控系統(tǒng)的操作系統(tǒng)適配性也存在問(wèn)題?；趨f(xié)議檢測(cè)部分方法解決問(wèn)題對(duì)比如表4 所示。

表4 基于協(xié)議檢測(cè)部分方法解決問(wèn)題比對(duì)

2.3 基于主機(jī)的入侵檢測(cè)技術(shù)概況和現(xiàn)狀

設(shè)備狀態(tài)入侵檢測(cè)主要從業(yè)務(wù)完成邏輯和系統(tǒng)設(shè)備操作兩方面入手。 工業(yè)網(wǎng)絡(luò)控制系統(tǒng)中的設(shè)備主要以物理現(xiàn)實(shí)的狀態(tài)存在，對(duì)它們進(jìn)行攻擊無(wú)疑會(huì)損壞設(shè)備的正常運(yùn)行，不及時(shí)處置可能出現(xiàn)重大安全事故，體現(xiàn)ICS 的特殊之處。 工控安全問(wèn)題不僅限于盜取信息，還有非法篡改設(shè)備配置、修改業(yè)務(wù)流程和非法控制設(shè)備操作等入侵行為， 導(dǎo)致設(shè)備異常狀態(tài)運(yùn)行、停止工作甚至損壞。 常用的設(shè)備檢測(cè)入侵技術(shù)為故障檢測(cè)技術(shù)和計(jì)算機(jī)領(lǐng)域的設(shè)備檢測(cè)技術(shù)。

文獻(xiàn)[29]研究目的在于網(wǎng)絡(luò)流量建模，提出一種基于ARIMA 模型的方法，檢測(cè)電網(wǎng)系統(tǒng)是否存在異常。梁海平等[30]研究?jī)?nèi)容是半監(jiān)督 K-Means 算法的改進(jìn)，通過(guò)動(dòng)態(tài)半監(jiān)督K-Means 的熵算法對(duì)數(shù)據(jù)進(jìn)行特征處理，完成了電網(wǎng)運(yùn)行斷面的相似性研究。 文獻(xiàn)[31]基于對(duì)電力系統(tǒng)網(wǎng)絡(luò)攻擊的分布式安全控制策略進(jìn)行了研究，分布式結(jié)構(gòu)增強(qiáng)了入侵檢測(cè)系統(tǒng)的容錯(cuò)能力，具有更好的適應(yīng)性。 針對(duì)電力控制系統(tǒng)，文獻(xiàn)[32]提取電流相角、幅值、繼電器參數(shù)等作為入侵檢測(cè)數(shù)據(jù)，來(lái)判斷入侵行為是否發(fā)生。 文獻(xiàn)[33]采用基于時(shí)空相關(guān)性的同步相量單元測(cè)量數(shù)據(jù)設(shè)計(jì)了入侵檢測(cè)模型，實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)。 文獻(xiàn)[34]針對(duì)網(wǎng)絡(luò)物理安全問(wèn)題中過(guò)度磨損、破損、報(bào)廢零件或其他設(shè)計(jì)師無(wú)意的改變等，采用機(jī)器學(xué)習(xí)方法進(jìn)行檢測(cè)入侵。 文獻(xiàn)[35]提出一種偽裝攻擊，建立兩個(gè)基于時(shí)鐘偏差的入侵檢測(cè)系統(tǒng)的形式化模型，實(shí)現(xiàn)異常檢測(cè)。

3 未來(lái)展望

準(zhǔn)確的入侵檢測(cè)能夠掌握ICS 的安全狀態(tài)和設(shè)備性能，解決有關(guān)系統(tǒng)運(yùn)行或異常行為監(jiān)測(cè)的適用性和有效性，以便應(yīng)對(duì)初期的 ICS 安全問(wèn)題。 針對(duì)ICS 入侵檢測(cè)的研究現(xiàn)狀，未來(lái)的研究方向有：

(1)工控安全實(shí)驗(yàn)平臺(tái)研究。物理實(shí)驗(yàn)平臺(tái)環(huán)境單一、 實(shí)際設(shè)備運(yùn)行和工控網(wǎng)絡(luò)數(shù)據(jù)獲取不足，使順利開(kāi)展有效的入侵檢測(cè)受到影響。 在選取訓(xùn)練數(shù)據(jù)與運(yùn)行數(shù)據(jù)不平衡的條件下，設(shè)計(jì)能夠真實(shí)還原安全事件的工控安全實(shí)驗(yàn)平臺(tái)，可實(shí)現(xiàn)針對(duì)ICS 風(fēng)險(xiǎn)評(píng)估和漏洞挖掘，是該方向的基礎(chǔ)研究之一。

(2)通用入侵檢測(cè)架構(gòu)研究。 現(xiàn)有 ICS 入侵檢測(cè)技術(shù)架構(gòu)一般缺乏對(duì)異構(gòu)ICS 和復(fù)雜網(wǎng)絡(luò)環(huán)境的檢測(cè)，且各類(lèi)入侵檢測(cè)系統(tǒng)間的無(wú)擾協(xié)同難以實(shí)現(xiàn)。 研究合理的通用入侵檢測(cè)架構(gòu)是實(shí)現(xiàn)ICS 分布式入侵檢測(cè)技術(shù)的待解決研究方向之一。

(3)入侵檢測(cè)算法改進(jìn)研究?，F(xiàn)有的基于規(guī)則的分析方法無(wú)法應(yīng)對(duì)當(dāng)下多變快速的攻擊威脅。 多數(shù)研究者對(duì)入侵檢測(cè)算法改進(jìn)的研究一般只限于檢測(cè)精度或檢測(cè)速度的研究，ICS 設(shè)備數(shù)量和復(fù)雜程度均要求入侵檢測(cè)滿足綜合的性能指標(biāo)，因此改進(jìn)入侵檢測(cè)算法或與傳統(tǒng)算法融合是該方向重要任務(wù)之一。

(4)檢測(cè)實(shí)時(shí)性研究。 在 ICS 環(huán)境中進(jìn)行入侵檢測(cè)和數(shù)據(jù)分析時(shí)，研究ICS 入侵檢測(cè)系統(tǒng)的自學(xué)習(xí)和自適應(yīng)能力，實(shí)現(xiàn)檢測(cè)系統(tǒng)自我更新、加快自學(xué)習(xí)模塊訓(xùn)練速度是未來(lái)研究中亟需解決問(wèn)題之一。

(5)可視化工具研究。隨著網(wǎng)絡(luò)安全形勢(shì)愈來(lái)愈復(fù)雜和嚴(yán)峻， 入侵檢測(cè)所產(chǎn)生的告警信息數(shù)據(jù)繁多，亦將可視化工具輔助入侵檢測(cè)數(shù)據(jù)分析作為未來(lái)研究方向之一。

4 結(jié)論

本文綜述ICS 入侵檢測(cè)技術(shù)基礎(chǔ)理論，通過(guò)對(duì)大量文獻(xiàn)的整理與分析，證明建立相應(yīng)的入侵檢測(cè)系統(tǒng)可以有效提高 ICS 的安全性。 基于ICS 檢測(cè)技術(shù)起步較晚，ICS 環(huán)境復(fù)雜且具有脆弱性，亟需根據(jù)不同工控系統(tǒng)的特點(diǎn)，有針對(duì)性地進(jìn)行入侵檢測(cè)匹配工作。 本文最后對(duì)該領(lǐng)域未來(lái)研究方向提出了建議。