魏戰(zhàn)紅，王展鵬，王 安，宋玉寶，趙國新

(1.北京石油化工學(xué)院 信息工程學(xué)院，北京 102617；2.北京化工大學(xué) 信息科學(xué)與技術(shù)學(xué)院，北京 100029；3.北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國家重點(diǎn)實(shí)驗(yàn)室信息安全中心，北京 100876)

0 引 言

針對工業(yè)控制系統(tǒng)(industrial control system，ICS)面臨的信息安全威脅[1-5]，入侵檢測系統(tǒng)可以有效監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，檢測入侵行為，為下一步采取安全應(yīng)對措施，提供依據(jù)[6,7]。

入侵檢測在ICS環(huán)境有如下特殊要求：不能影響ICS本身的可用性、穩(wěn)定性[8]；實(shí)時性高，檢測速度快[9]；ICS節(jié)點(diǎn)的CPU計(jì)算能力往往較弱，檢測算法需要簡單高效[10]。針對以上要求，CUSUM(cumulative sum)算法檢測速度快，計(jì)算簡便，適用于ICS。CUSUM算法不斷改進(jìn)，李等[11]使用柯爾莫哥夫不等式對CUSUM偏移常數(shù)β進(jìn)行改進(jìn)。周[12]提出了基于變點(diǎn)CUSUM方法的正態(tài)過程方差的CUSUM控制圖，在檢測大漂移上效率高。張[13]針對非參數(shù)CUSUM算法，設(shè)計(jì)了自適應(yīng)偏移常數(shù)β。但是目前的研究往往不能滿足ICS高可用性、高實(shí)時性、高檢測速度的要求。

本文分析了ICS特點(diǎn)，改進(jìn)了CUSUM算法，給出了一個基于改進(jìn)CUSUM算法新的入侵檢測方法。該方法首先以傳感器獲取的實(shí)際值和模型的預(yù)測值之間的差值為統(tǒng)計(jì)序列。然后根據(jù)3σ原則設(shè)計(jì)偏移常數(shù)β，并決定門限值τ的取值。最后使用偏差攻擊和幾何攻擊對該入侵檢測方法進(jìn)行實(shí)驗(yàn)，驗(yàn)證改進(jìn)的CUSUM算法能夠準(zhǔn)確快速地檢測出入侵，其誤報(bào)率較低，適用于ICS環(huán)境。

1 ICS入侵模型

當(dāng)ICS被攻擊時，被攻擊的傳感器測量信號y′將出現(xiàn)偏差。若y′超過上下限，將檢測到異常，觸發(fā)上下限報(bào)警。若y′仍然在上下限范圍內(nèi)，測量值如下

(1)

式中：Ka表示被攻擊的時間序列，ai(k)是被攻擊時的測量值，其仍在上下限范圍內(nèi)。ICS中被控對象的輸入uk決定了輸出y(k)。給定被控對象的輸入uk，通過下式ICS模型可求得期望輸出

(2)

式中：x(k)=(x1(k),…,xn(k))為k時刻系統(tǒng)輸入，y(k)=(y1(k),…ym(k))為k時刻傳感器的測量值，矩陣A為狀態(tài)矩陣，矩陣B輸入矩陣，C為輸出矩陣。

2 改進(jìn)CUSUM入侵檢測方法

2.1 CUSUM算法

CUSUM算法是一種變化檢測方法，它可以檢測到統(tǒng)計(jì)過程均值的變化。CUSUM算法原理是：如果從某點(diǎn)開始有異常出現(xiàn)，則序列的概率分布會發(fā)生改變。整個數(shù)列的均值或者方差也發(fā)生變化，可判定從該點(diǎn)起為異常。

假設(shè)變量x，在無攻擊的正常時刻，其統(tǒng)計(jì)分布概率為P0，攻擊發(fā)生后，其統(tǒng)計(jì)分布概率為P1。CUSUM算法中N為停止時間，S為累加和。假設(shè)S(0)=0，則有

(3)

函數(shù)a為

(4)

停止時間N為

N=inf{n:S(n)≥τ}

(5)

式中：inf為下確界，取滿足條件的最小值。檢測的判定公式

(6)

d(N)用于判斷檢測序列是否發(fā)生變化，τ作為判定入侵的門限值。在n時刻，S(k)>τ，則檢測到異常，發(fā)出警報(bào)。可以看出，CUSUM算法將變化檢測問題轉(zhuǎn)化為S(k)和τ的大小比較問題。報(bào)警門限值τ決定誤報(bào)率，τ越小，誤報(bào)率越高，檢測性能越靈敏。

當(dāng)CUSUM算法用于ICS入侵檢測時，存在一定的局限性：由于log[p0(x(k))/p1(x(k))]計(jì)算復(fù)雜，占用CPU資源較多，很難獲得統(tǒng)計(jì)分布概率P0、P1。而且ICS中各節(jié)點(diǎn)CPU能力較弱，使得檢測時間較長，無法滿足ICS入侵檢測對高實(shí)時性的要求。

2.2 改進(jìn)CUSUM算法

(7)

正常狀態(tài)下，傳感器測量值與預(yù)測值幾乎相同，差值Δk是一組接近于0的序列；當(dāng)攻擊發(fā)生時，Δk將產(chǎn)生較大變化。Δk與log[p0(x(k))/p1(x(k))]有相似的變化，可將log[p0(x(k))/p1(x(k))]簡化為差值Δk。

根據(jù)CUSUM算法要求，正常狀態(tài)下，需要S(k)<0；攻擊發(fā)生后，需要S(k)>0。所以引入一個正值常數(shù)β，讓大部分Δk-β<0，定義

x(k)=Δk-β

(8)

x(k)作為被檢測序列，β是一個比較小的正值常數(shù)，使得在正常狀態(tài)下，期望E(x(k))<0；在攻擊發(fā)生后，期望E(x(k))>0。累加和S(k)計(jì)算如下

(9)

根據(jù)式(4)定義的函數(shù)a+，式(9)中累加和S(k)只累計(jì)x(k+1)+S(k)為正的值，所以正常狀態(tài)下，S(k)=0。攻擊發(fā)生時，Δk變大，x(k)>0，S(k)開始累加。

根據(jù)式(6)，當(dāng)S(k)>τ時，判別函數(shù)d(N)=H1，表示系統(tǒng)處于被攻擊狀態(tài)；S(k)≤τ時，d(N)=H0，表示系統(tǒng)處于正常狀態(tài)。τ越小，約束越嚴(yán)格，檢測時間越短，越容易誤報(bào)。

2.3 參數(shù)選取

算法參數(shù)β和τ的取值直接影響檢測算法的性能。液位控制系統(tǒng)的液位量在正常運(yùn)行時，預(yù)測值Δ和測量值y的差值Δk符合正態(tài)分布，則Δk在(μ-3σ,μ+3σ)中的概率為0.9974(μ為期望，σ為標(biāo)準(zhǔn)差)。式(8)中x(k)的期望值需要滿足E(x(k))<0，假設(shè)β取值為3σ，則x(k)=Δk-β<0的概率為0.9974，期望E(x(k))<0。

圖1 液位測量值分布

圖2 測量值與預(yù)測值的差值分布

τ為報(bào)警門限值，若S(k)>τ，則檢測出異常。τ越小，S(k)越快到達(dá)τ報(bào)警門限值，檢測時間N越短，其誤報(bào)率越高(液位控制系統(tǒng)的要求液位320 mm以內(nèi)，在此偏差內(nèi)報(bào)警屬于誤報(bào))。τ的取值要綜合考慮檢測時間和誤報(bào)率。在正常狀態(tài)下，檢測系統(tǒng)根據(jù)不同的τ值計(jì)算誤報(bào)率。如圖3所示，在τ值為19.8時，誤報(bào)率為0.1%，理論上取τ值為19.8，即可保持低誤報(bào)率。

由于S(k)與采樣周期有關(guān)，如果采樣周期很小，即使小偏差也可以使S(k)很大。本系統(tǒng)選用1 s的采樣周期，采用比例攻擊仿真來選擇τ值。τ取值與檢測時間關(guān)系如圖4所示，檢測時間隨τ變大而變長。τ取值19.8時，檢測時間為5 s。對于液位控制系統(tǒng)，5 s的檢測時長滿足要求。綜合考慮了檢測時間和誤報(bào)率后，選取τ值為19.8。

圖3 τ取值與誤報(bào)率關(guān)系

圖4 τ取值與檢測時間關(guān)系

3 方法檢驗(yàn)和結(jié)果分析

通過模擬攻擊者對控制系統(tǒng)攻擊，檢驗(yàn)改進(jìn)CUSUM入侵檢測方法的性能。攻擊目標(biāo)是液位傳感器，使用欺騙手段，對傳感器測量值進(jìn)行修改。

3.1 偏差攻擊

偏差攻擊是指傳感器測量值y(k)被引入了偏差δ(偏差不足以觸發(fā)上下限報(bào)警)，使得控制效果不理想，甚至造成現(xiàn)場危險。液位傳感器的正常范圍在[0,320]，超過320 mm觸發(fā)上限報(bào)警。加入偏差δ后，液位傳感器值為

(10)

使用Matlab進(jìn)行仿真攻擊，使用不同δ值，先討論在上升期的情況下。上升期，罐內(nèi)進(jìn)行注水操作，液位不斷升高至設(shè)定值313 mm。攻擊者對液位傳感器使用偏差攻擊，偏差攻擊值δ分別取0、5、30、100，時間范圍[0,1200]。偏差攻擊下的液位曲線如圖5所示，偏差攻擊使液位無法到達(dá)設(shè)定值，設(shè)定值和實(shí)際值的差值即為δ值。攻擊危害出現(xiàn)時刻是液位到達(dá)篡改值的時刻(即設(shè)定值減去攻擊偏差δ值)。攻擊下液位與預(yù)測液位之間的差值曲線如圖6所示，從攻擊威脅出現(xiàn)時刻起，差值Δk開始變大，直到Δk=δ。當(dāng)Δk>β后，S(k)開始累加。在偏差攻擊δ值分別取0、5、30、100時，改進(jìn)CUSUM算法檢測時間見表1。當(dāng)δ=0時，相當(dāng)于沒有攻擊，是系統(tǒng)正常狀態(tài)；當(dāng)δ=5時，在641 s實(shí)際值與預(yù)測值產(chǎn)生偏差，偏差攻擊開始產(chǎn)生威脅，檢測系統(tǒng)在649 s處報(bào)警，檢測時間為8 s；當(dāng)δ=30時，檢測時間為5 s；當(dāng)δ=100時，檢測時間為2 s。結(jié)果表明，在上升期改進(jìn)CUSUM算法對偏差攻擊檢測有效，攻擊幅度越大，檢測越迅速。

圖5 偏差攻擊下的液位曲線(上升期)

圖6 預(yù)測值與實(shí)際值的差值曲線(上升期)

平穩(wěn)期，罐內(nèi)液位保持在313 mm微小波動，在平穩(wěn)狀態(tài)下，從800 s開始，攻擊者對液位傳感器使用偏差攻擊δ，δ分別為0、5、30、100。偏差攻擊下的液位曲線如圖7所示，偏差攻擊使液位快速下降，攻擊發(fā)動便開始產(chǎn)生威脅，液位將偏離原定的設(shè)定值。圖8表示攻擊下實(shí)際值與預(yù)測值之間的差值曲線，從攻擊產(chǎn)生危害開始，Δk迅速變大，直到Δk=δ。改進(jìn)CUSUM算法檢測時間見表2。當(dāng)δ=0時，相當(dāng)于沒有攻擊，是系統(tǒng)正常狀態(tài)，沒有報(bào)警；當(dāng)δ=5時，在800 s實(shí)際液位與預(yù)測值產(chǎn)生偏差，偏差攻擊開始產(chǎn)生危害，檢測系統(tǒng)在806 s處報(bào)警，檢測時間為6 s；當(dāng)δ=30時，檢測時間為3 s；當(dāng)δ=100時，檢測時間為2 s。結(jié)果表明，在平穩(wěn)期改進(jìn)CUSUM算法對偏差攻擊檢測有效，檢測速度快。

表1 偏差攻擊下的報(bào)警時間(上升期)

圖7 攻擊下的液位曲線(平穩(wěn)期)

圖8 預(yù)測值與實(shí)際值的差值曲線(平穩(wěn)期)

表2 偏差攻擊下的報(bào)警時間(平穩(wěn)期)

3.2 幾何攻擊

幾何攻擊具有初始變化緩慢不易偵查，一段時間后幾何式爆發(fā)的特點(diǎn)，對工業(yè)控制系統(tǒng)造成巨大影響。幾何攻擊可以表示為

(11)

nk時，攻擊呈幾何式增長。選定參數(shù)η=1.8,γ=0.75,k=10。幾何攻擊下的液位如圖9所示。

圖9 幾何攻擊下液位實(shí)際值分布

攻擊從10 s開始產(chǎn)生威脅，改進(jìn)CUSUM在15 s報(bào)警，檢測時間為5 s；液位上限報(bào)警在19 s觸發(fā)，歷時9 s。在幾何攻擊下改進(jìn)CUSUM算法5 s便能快速做出反應(yīng)，檢測速度較快。

4 結(jié)束語

工業(yè)控制系統(tǒng)的入侵檢測有高可用性、高實(shí)時性的要求。針對工業(yè)控制系統(tǒng)的特點(diǎn)，提出了一種基于改進(jìn)CUSUM算法的ICS入侵檢測方法。該方法以模型預(yù)測值與實(shí)際測量值之間的差值作為檢測序列，根據(jù)3σ原則設(shè)計(jì)偏移常數(shù)β，并決定門限值τ的取值。通過偏差攻擊和幾何攻擊實(shí)驗(yàn)，檢驗(yàn)改進(jìn)CUSUM入侵檢測方法性能。實(shí)驗(yàn)結(jié)果表明，改進(jìn)CUSUM入侵檢測方法檢測時間較短，誤報(bào)率低，檢測率高，在工業(yè)控制系統(tǒng)入侵檢測中有實(shí)際應(yīng)用價值。由于β參數(shù)和門限值τ與誤報(bào)率、檢測時間、檢測率相互關(guān)聯(lián)，進(jìn)一步優(yōu)化對參數(shù)的選取，是接下來的研究方向。