金釗，張蔚濤，汪劍東，郭鵬

（東方汽輪機有限公司，四川 德陽 618000）

1 引言

工業(yè)控制系統(tǒng)（Industrial control system，ICS）是現(xiàn)代工業(yè)生產(chǎn)過程中的重要組成部分， 隨著工業(yè)自動化和信息化的不斷發(fā)展，工控系統(tǒng)面臨著越來越嚴峻的網(wǎng)絡(luò)安全挑戰(zhàn)[1]。 傳統(tǒng)的安全防護手段往往無法應(yīng)對復(fù)雜和不斷變化的網(wǎng)絡(luò)攻擊，而工控系統(tǒng)的安全性對于保障工業(yè)生產(chǎn)的連續(xù)性和穩(wěn)定性至關(guān)重要。 近年來，人工智能（Artificial Intelligence，AI）技術(shù)在許多領(lǐng)域取得了顯著進步，包括圖像識別、自然語言處理、預(yù)測分析等。 這些進步為AI 在工控系統(tǒng)安全防護中的應(yīng)用提供了可能性[2]。 通過利用AI 的強大分析和處理能力，可以對工控系統(tǒng)中的數(shù)據(jù)和流量進行深入分析， 及時發(fā)現(xiàn)并阻止?jié)撛诘耐{。 此次研究致力于探討人工智能在工控安全系統(tǒng)設(shè)計中的應(yīng)用，介紹和評估一系列先進的AI 技術(shù)及其在增強工控系統(tǒng)安全性方面的作用。 研究將探討基于機器學習的網(wǎng)絡(luò)攻擊檢測， 說明其如何通過自動化建模和學習網(wǎng)絡(luò)流量來檢測潛在的攻擊。 然后提出基于隨機森林的惡意加密流量檢測方法，并闡述其在處理加密流量時如何區(qū)分正常和惡意行為。 最后，提出基于長短期記憶神經(jīng)網(wǎng)絡(luò)（Long Short-Term Memory，LSTM） 的域名檢測方法， 分析其在識別通過域名生成算法（Domain Generation Algorithm，DGA）生成的惡意域名方面的優(yōu)勢。 通過這些技術(shù)的綜合應(yīng)用，為工控安全系統(tǒng)設(shè)計提供一個更加有效的解決方案，以應(yīng)對當前和未來的安全挑戰(zhàn)。 這不僅有助于保護工業(yè)生產(chǎn)免受網(wǎng)絡(luò)攻擊的影響， 而且為實現(xiàn)更加智能和自適應(yīng)的工控安全系統(tǒng)奠定了基礎(chǔ)。

2 面向工業(yè)工程應(yīng)用的工控安全系統(tǒng)設(shè)計

工業(yè)工程是一門致力于系統(tǒng)、組織、流程和設(shè)備優(yōu)化以提高效率和效果的工程學科。 其目的是提高生產(chǎn)效率， 降低成本，提高產(chǎn)品質(zhì)量和可持續(xù)性，目前在制造業(yè)、物流、運營管理等領(lǐng)域都得到了廣泛的應(yīng)用。 而工控系統(tǒng)是一種幫助監(jiān)控和控制工業(yè)生產(chǎn)過程的計算機系統(tǒng)。 其組成部分包括傳感器、控制器和執(zhí)行器[3]。 此次構(gòu)建的面向工業(yè)工程應(yīng)用的工控安全平臺設(shè)計架構(gòu)如圖1 所示。

圖1 工控網(wǎng)絡(luò)安全防護總體部署

通過圖1 展示的架構(gòu)， 可以為工業(yè)工程生產(chǎn)專用網(wǎng)絡(luò)中的分布式控制系統(tǒng)（Distributed Control System，DCS）、安全儀表系統(tǒng)（Safety Instrumented System，SIS）、網(wǎng)絡(luò)化直驅(qū)控制系統(tǒng)（Networked Direct Drive Control System，GDS）以及可編程邏輯控制器（Programmable Logic Controller，PLC）等系統(tǒng)提供安全防護。

2.1 工業(yè)網(wǎng)閘系統(tǒng)部署

工業(yè)網(wǎng)閘系統(tǒng)被部署于生產(chǎn)專用網(wǎng)絡(luò)和數(shù)據(jù)中心業(yè)務(wù)網(wǎng)之間， 借助其獨特的私有協(xié)議數(shù)據(jù)擺渡能力來確保兩者之間的物理隔離。 這一系統(tǒng)作為信息安全設(shè)備，連接兩個獨立的主機系統(tǒng)， 通過使用帶有多種控制功能的開關(guān)讀寫介質(zhì)在內(nèi)外網(wǎng)之間進行通信。 工業(yè)網(wǎng)閘的傳輸方式一般具有兩種形式。 其一是單向傳輸模式， 該模式下， 數(shù)據(jù)僅允許在一個方向上流動， 反方向的流動會被截斷。 此模式通過隔離單元拆解數(shù)據(jù)包， 阻止基于傳輸控制協(xié)議（Transmission Control Protocol，TCP）TCP、網(wǎng)際協(xié)議（Internet Protocol，IP）等網(wǎng)絡(luò)協(xié)議的攻擊。其二是雙向傳輸模式，該模式允許數(shù)據(jù)在兩個方向上流動，但通過私有通信并在隔離單元中拆解和重組數(shù)據(jù)包確保安全性。 這種方式在保持物理隔離的同時，允許數(shù)據(jù)高速交換，且使基于TCP、IP 等網(wǎng)絡(luò)協(xié)議的攻擊失效。

2.2 工業(yè)白名單軟件部署

研究在生產(chǎn)專用網(wǎng)的服務(wù)器和工程師工作站上， 部署了工業(yè)白名單軟件，以加強安全防護。 與常見的防病毒軟件所采用的 “黑名單機制” 不同，工業(yè)白名單軟件使用 “白名單機制”，這種機制僅允許已知的可信軟件運行， 從而消除了依賴實時互聯(lián)網(wǎng)訪問和定期掃描的需要。 通過這種方式，在 “白名單” 中的相關(guān)軟件能順利運行，并且具有足夠的安全性，不在 “白名單” 中的相關(guān)軟件，在啟動運行時則會被強制停止。 這不僅增強了主機的安全性，還提升了合規(guī)管理標準，符合有關(guān)等級保護要求。 因此，使用工業(yè)白名單軟件進行病毒和惡意軟件防護是更合適的選擇。 這種防護在主機級別上實施，確保數(shù)據(jù)采集服務(wù)器的運行環(huán)境保持純凈， 并對服務(wù)器的外部設(shè)備進行管理，例如，禁止使用U 盤或僅允許授權(quán)的U 盤接入。

2.3 工業(yè)審計系統(tǒng)部署

在生產(chǎn)專用網(wǎng)中， 報文審計方法以及入侵檢測方法均能通過工業(yè)審計系統(tǒng)的多種功能來實現(xiàn)。 工業(yè)審計系統(tǒng)的信息安全策略則是來自 “白名單” 機制，這樣的信息解決方式可稱為 “白環(huán)境”。 “白環(huán)境” 是對工控的相關(guān)信息進行監(jiān)控，這樣能獲取工控的網(wǎng)絡(luò)數(shù)據(jù)與主機狀態(tài)等，對獲取的信息進行分析，進而設(shè)置工控安全狀態(tài)的基線。 借助 “白環(huán)境”，工控網(wǎng)絡(luò)的安全得以加固。 工控網(wǎng)絡(luò)中，只有被賦予信任標識的設(shè)備能進行連接；在網(wǎng)絡(luò)傳輸中，數(shù)據(jù)信息同樣需要被經(jīng)過賦予信任后才能傳輸；相關(guān)軟件的運行與執(zhí)行，也需要被賦予信任標識后才能運行。 當檢測到來自辦公網(wǎng)絡(luò)或能源環(huán)網(wǎng)的工控安全威脅，或者發(fā)現(xiàn)工業(yè)通信協(xié)議的異常時， 系統(tǒng)將自動觸發(fā)報警并進行審計。 這種方法確保了工控網(wǎng)絡(luò)的穩(wěn)定性和安全性。

3 工控安全系統(tǒng)設(shè)計中人工智能技術(shù)的應(yīng)用

3.1 基于機器學習的網(wǎng)絡(luò)攻擊檢測

在建模過程中，很難對報文的差異性、相似性進行兼顧。因此，可利用機器學習的特征提取功能對報文進行分析，提取相關(guān)特征后，利用相似性對報文進行聚類，以此方式實現(xiàn)報文的差異性與相似性識別。 利用機器學習構(gòu)建的模型，通過網(wǎng)絡(luò)環(huán)境的業(yè)務(wù)流量對模型進行充分訓(xùn)練與學習， 當模型發(fā)生收斂時，可判定模型完成訓(xùn)練。 模型收斂的判斷方式通過報文是否出現(xiàn)新的分類。 學習過程結(jié)束后，最終的學習成果包括各個分類的特征和參數(shù)，這些將作為異常檢測的依據(jù)。 模型在檢測過程中， 首先利用訓(xùn)練階段得到的相關(guān)特征與參數(shù)對報文進行檢測，并對報文的異常情況進行預(yù)測。 當預(yù)測值不在安全閾值范圍內(nèi)，則表明報文的標識屬于異常情況。 表示為異常的報文，其相關(guān)信息均將被記錄，能對相同異常報文進行更精準識別。 在異常檢測中，當報文被賦予異常標識時，其報文狀態(tài)均處于攻擊中，而攻擊中的效果絕大部分屬于無效攻擊。 對于有效攻擊，研究可進行二次判斷，具體方式是采用Kill Chain 方法，該方法能在攻擊鏈路上的關(guān)鍵點進行分析。 如果這些節(jié)點能夠相互關(guān)聯(lián)，那么說明這是一次成功的攻擊。 Kill Chain 方法可以將攻擊過程進行了分解，如圖2 所示。

圖2 Kill Chain 分解的攻擊過程

3.2 基于隨機森林的惡意加密流量檢測

在工控系統(tǒng)的安全防護中， 基于隨機森林的惡意加密流量檢測是一種極具價值的技術(shù)。 隨機森林是一種集成學習方法， 它構(gòu)建多個決策樹并將它們的結(jié)果結(jié)合起來以獲得更準確和穩(wěn)定的預(yù)測。 在檢測惡意加密流量方面，隨機森林能夠處理大量的網(wǎng)絡(luò)特征，包括包大小、時間間隔、流量方向等，即使流量是加密的， 這些特征也可以提供足夠的信息來區(qū)分正常與惡意行為。 通過訓(xùn)練隨機森林模型使用歷史網(wǎng)絡(luò)流量數(shù)據(jù)，它可以學會識別惡意流量的潛在模式和特征。 在實際部署時，該模型可以實時分析傳入的網(wǎng)絡(luò)流量， 快速識別并標記可能的惡意加密流量。 此外，由于隨機森林具有處理高維數(shù)據(jù)和避免過擬合的能力， 它對于在復(fù)雜的工控系統(tǒng)環(huán)境中檢測精細和混合型攻擊特別有效。 此方法能夠增強工控系統(tǒng)的安全性，通過及時檢測和響應(yīng)惡意加密流量， 有效防范潛在的網(wǎng)絡(luò)威脅。 互聯(lián)網(wǎng)絡(luò)中，加密的網(wǎng)絡(luò)數(shù)據(jù)集流不斷增多，使惡意軟件逐漸通過超文本傳輸安全協(xié)議以確保其自身通訊的安全性。對于安全分析專家來說，這無疑帶來了巨大的挑戰(zhàn)，因為數(shù)據(jù)流本身是經(jīng)過加密的，而且在大多數(shù)情況下，其外觀與正常的數(shù)據(jù)流無異。 然而，基于態(tài)勢感知的技術(shù)可在不需要解密數(shù)據(jù)流的前提下， 通過使用隨機森林來檢測超文本傳輸安全協(xié)議下的惡意軟件數(shù)據(jù)流。 惡意加密流量檢測流程如圖3 所示。

圖3 惡意加密流量檢測流程

3.3 基于SLTM的DGA域名檢測

DGA 是一種常見的網(wǎng)絡(luò)攻擊手段，通過DGA，惡意軟件或攻擊者能夠動態(tài)生成大量的域名， 以繞過傳統(tǒng)的域名黑名單過濾，從而建立命令和控制通道。 此次研究根據(jù)工業(yè)工程應(yīng)用的特征，提出基于LSTM 的DGA 域名檢測算法。 LSTM 獨特的記憶單元使其能夠存儲和檢索過去的信息， 這對于學習域名字符串中的依賴關(guān)系和模式是至關(guān)重要的。 在DGA 域名檢測的背景下，LSTM 網(wǎng)絡(luò)能學習DGA 域名通常具有的諸如字符組合、長度和結(jié)構(gòu)等特征，并區(qū)分它們與正常域名的不同之處。 研究通過前向傳播和反向傳播過程調(diào)整權(quán)重，以使模型的預(yù)測與實際標簽盡可能接近。 然后使用一個獨立的測試數(shù)據(jù)集來評估模型的性能。 檢查準確性、 召回率和其他評價指標，以確保模型能夠有效地檢測DGA 域名。 最后保存模型，以此可完成深度學習模型的建立。

4 結(jié)語

在當今工業(yè)生產(chǎn)環(huán)境中， 工控系統(tǒng)的安全性至關(guān)重要。任何潛在的威脅或攻擊都可能對生產(chǎn)造成嚴重中斷和損失。此次研究設(shè)計了工業(yè)工程應(yīng)用人工智能的工控安全系統(tǒng)，著重介紹了基于機器學習的網(wǎng)絡(luò)攻擊檢測、 基于隨機森林的惡意加密流量檢測，以及基于長短期記憶神經(jīng)網(wǎng)絡(luò)的域名檢測。通過結(jié)合不同的人工智能技術(shù)， 可以有效提高工控系統(tǒng)的安全性，實時檢測和應(yīng)對各種網(wǎng)絡(luò)威脅。 這不僅有助于保障工業(yè)生產(chǎn)的穩(wěn)定性和連續(xù)性， 還為更加智能和自適應(yīng)的工控安全系統(tǒng)設(shè)計提供了參考和啟示。