張雷, 解侖, 金良辰, 王志良

(北京科技大學(xué) 計(jì)算機(jī)與通信工程學(xué)院，北京 100083)

工業(yè)控制系統(tǒng)(ICS)的信息化和網(wǎng)絡(luò)化給工業(yè)生產(chǎn)帶來(lái)了極大的推動(dòng)作用，同時(shí)也為工業(yè)控制系統(tǒng)帶來(lái)了巨大的安全挑戰(zhàn). 通信協(xié)議種類(lèi)多樣，工業(yè)控制系統(tǒng)的數(shù)據(jù)控制更復(fù)雜,傳統(tǒng)的網(wǎng)絡(luò)信息更多，同時(shí)工業(yè)控制系統(tǒng)的定制化和實(shí)時(shí)性要求更高，傳統(tǒng)的網(wǎng)絡(luò)防火墻、身份認(rèn)證、殺毒軟件無(wú)法深層次防護(hù)，不能起到良好的保護(hù)作用. 從深層次角度探索問(wèn)題，一直是研究的重點(diǎn)，入侵檢測(cè)系統(tǒng)能夠從底層掌握工業(yè)控制系統(tǒng)的特點(diǎn). 根據(jù)ICS協(xié)議的理論和運(yùn)行特點(diǎn)，設(shè)計(jì)一個(gè)符合ICS要求的入侵檢測(cè)系統(tǒng)是非常重要的.

1 入侵檢測(cè)模型及系統(tǒng)設(shè)計(jì)

基于COM Express(COM-E)緊湊型PCIe主板主要應(yīng)用于工業(yè)領(lǐng)域，設(shè)計(jì)前參考了緊湊型PCIe和PICMG的電氣和結(jié)構(gòu)規(guī)范. 基于COM-E計(jì)算機(jī)功能特性，緊湊型PCIe主板提供了以下接口：一路擴(kuò)展的PCI總線(xiàn)，100/1 000 M自適應(yīng)網(wǎng)絡(luò)端口，一對(duì)PS2鍵盤(pán)鼠標(biāo)接口，一路模擬顯示VGA接口和一路DVI接口.

根據(jù)工業(yè)控制系統(tǒng)的行為和狀態(tài)特征，結(jié)合數(shù)據(jù)包協(xié)議的深度分析和工業(yè)控制系統(tǒng)工藝控制模型設(shè)計(jì)，控制指令的規(guī)則匹配的檢測(cè)方法，單類(lèi)支持向量機(jī)分類(lèi)的異常檢測(cè)模型相結(jié)合的檢測(cè)方案，過(guò)程控制規(guī)則來(lái)制定具體的入侵檢測(cè)模型，圖1為入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu).

圖1 入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)圖Fig.1 Intrusion detection system structure diagram

基于特征匹配規(guī)則的檢測(cè)機(jī)制控制模型，具有良好的檢測(cè)率和較低的誤報(bào)率，可作為應(yīng)急響應(yīng)的基礎(chǔ). 其缺點(diǎn)是，對(duì)未知入侵行為和規(guī)則缺乏有效性監(jiān)控；OCSVM異常檢測(cè)分類(lèi)通過(guò)建立“正?！钡男袨槊枋? 通過(guò)對(duì)“正?！毙袨榈钠x程度和對(duì)象的統(tǒng)計(jì)分析，找出“異?！毙袨?，可檢測(cè)出未知的入侵，不足以彌補(bǔ)工業(yè)檢測(cè)模型的規(guī)則. 根據(jù)兩類(lèi)檢測(cè)的特點(diǎn)，以過(guò)程模型的檢測(cè)為主，檢測(cè)系統(tǒng)對(duì)輔助體的異常檢測(cè)是互補(bǔ)的，兩者互補(bǔ)能有效提高系統(tǒng)的檢測(cè)率，圖2為入侵檢測(cè)系統(tǒng)的整體檢測(cè)過(guò)程.

圖2 入侵檢測(cè)系統(tǒng)流程圖Fig.2 Intrusion detection system work flow diagram

將入侵檢測(cè)技術(shù)與嵌入式技術(shù)相結(jié)合，形成現(xiàn)場(chǎng)設(shè)備級(jí)嵌入式可信網(wǎng)關(guān). 網(wǎng)關(guān)連接不同的網(wǎng)絡(luò)設(shè)備，控制網(wǎng)絡(luò)的有效數(shù)據(jù)可以通過(guò)截取工業(yè)控制系統(tǒng)數(shù)據(jù)的方法獲得，并進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)操作而不影響工業(yè)控制系統(tǒng)的數(shù)據(jù)通信的性能.

采用高集成標(biāo)準(zhǔn)的嵌入式計(jì)算機(jī)模塊建立核心的緊湊型PCIe板卡式COM Express計(jì)算機(jī). 緊湊型PCIe板卡主要是基于嵌入式計(jì)算機(jī)模塊、先天性抗惡劣環(huán)境設(shè)計(jì)方式，接口集成濾波器的保護(hù)裝置，并根據(jù)PCB熱設(shè)計(jì)、電磁兼容性和信號(hào)完整性設(shè)計(jì)規(guī)則進(jìn)行設(shè)計(jì). 嵌入式計(jì)算機(jī)模塊集成CPU，圖形和存儲(chǔ)器控制器，本地總線(xiàn)控制器，外設(shè)接口控制器，內(nèi)部使用標(biāo)準(zhǔn)連接器和標(biāo)準(zhǔn)定義信號(hào). 在設(shè)計(jì)過(guò)程中，嵌入式計(jì)算機(jī)模塊由一個(gè)緊湊型PCIe主板，并且是獨(dú)立的單元模塊，利于維修和更換. 通過(guò)兩個(gè)標(biāo)準(zhǔn)連接器的嵌入式計(jì)算機(jī)模塊可輸出PCI-E總線(xiàn)，PCI總線(xiàn)，以及VGA、SATA、SERIAL、LPC、USB和其他外圍接口信號(hào).

嵌入式計(jì)算機(jī)模塊支持4路COM-E66MHz PCI 64位和PCIe設(shè)備擴(kuò)展. 嵌入式計(jì)算機(jī)模塊作為緊湊型PCIe系統(tǒng)板實(shí)現(xiàn)緊湊型PCIe總線(xiàn)擴(kuò)展核心使用，向嵌入式計(jì)算機(jī)模塊提供4路PCIe信號(hào)到背板，PCIe信號(hào)將通過(guò)嵌入式計(jì)算機(jī)模傳輸?shù)街靼迳希ㄟ^(guò)背板轉(zhuǎn)接后，最終連接到緊湊型PCIe總線(xiàn)的擴(kuò)展功能卡. 電纜傳輸?shù)那闆r會(huì)導(dǎo)致PCI信號(hào)，尤其是時(shí)鐘信號(hào)，產(chǎn)生嚴(yán)重的衰減，從而影響器件的穩(wěn)定性和魯棒性. 緊湊型PCIe板卡的應(yīng)用情況，對(duì)PCI總線(xiàn)的嵌入式計(jì)算機(jī)模塊擴(kuò)展必須通過(guò)橋接信號(hào)完成對(duì)PCI總線(xiàn)的增強(qiáng). 在主板上使用PCIe-PCIe橋技術(shù)，一方面可以使PCIe信號(hào)在背板上得到增強(qiáng)，另一方面，可靈活擴(kuò)展支持PCIe設(shè)備的數(shù)量.

設(shè)計(jì)采用PCI2050B和緊湊型PCIe板橋芯片進(jìn)行設(shè)計(jì)，圖3為對(duì)緊湊型PCIe接口擴(kuò)展的邏輯框圖.

圖3 緊湊型PCIe接口橋接擴(kuò)展圖Fig.3 Compact PCIe interface bridge extended diagram

緊湊型PCIe主板雙顯示輸出，除了嵌入式計(jì)算機(jī)模塊的方式直接提供VGA接口輸出，緊湊型PCIe主板設(shè)計(jì)，采用嵌入式計(jì)算機(jī)模塊提供SDVO接口擴(kuò)展第二個(gè)顯示接口. SDVO(串行數(shù)字視頻)是英特爾定義的標(biāo)準(zhǔn)顯示接口，主要強(qiáng)調(diào)16通道PCI Express總線(xiàn)系統(tǒng)的使用，以顯示通用的圖像輸出信號(hào)，再加上一個(gè)規(guī)范的系統(tǒng). 采用SDVO輸出VGA，DVI，從Express x16 PCI總線(xiàn)的系統(tǒng)組件和高清晰度視頻信號(hào). 為了通過(guò)PCI Express x16 SDVO輸出顯示信號(hào)，需要使用串行數(shù)字視頻輸出信號(hào)到芯片的專(zhuān)用轉(zhuǎn)換輸出信號(hào)，即使用ch7307c為核心芯片的接口轉(zhuǎn)換電路，其支持標(biāo)準(zhǔn)DVI接口，最大可支持1 600×1 200分辨率，最大功耗控制在1 W之內(nèi).

嵌入式計(jì)算機(jī)模塊不再直接輸出通用串行端口和PS/2信號(hào)，從LPC(low pin count)總線(xiàn)擴(kuò)展到LPC接口，再擴(kuò)展出上述二種低速信號(hào)，這樣設(shè)計(jì)的目的是用更少的引腳來(lái)實(shí)現(xiàn)接口傳輸速率.

2 過(guò)程控制模型的規(guī)則檢測(cè)

工業(yè)控制系統(tǒng)的漏洞往往反映在物理系統(tǒng)和生產(chǎn)過(guò)程容易遭受破壞或干擾，以及黑客攻擊，最終將反映在系統(tǒng)的狀態(tài)序列[Y1,Y2,…,Yn][1]. 根據(jù)這一特點(diǎn)，以工業(yè)控制系統(tǒng)網(wǎng)絡(luò)層數(shù)據(jù)為研究對(duì)象，結(jié)合狀態(tài)序列和特定的過(guò)程控制模型、數(shù)據(jù)分析，檢測(cè)入侵?jǐn)?shù)據(jù)產(chǎn)生控制規(guī)則和行為，以達(dá)到系統(tǒng)的安全生產(chǎn)和保護(hù)系統(tǒng)的目的.

2.1 工業(yè)網(wǎng)絡(luò)控制系統(tǒng)

工業(yè)網(wǎng)絡(luò)控制系統(tǒng)由執(zhí)行器、控制器、傳感器和控制網(wǎng)絡(luò)共同組成，一個(gè)典型的網(wǎng)絡(luò)控制系統(tǒng)如圖4所示：C為控制器，A為執(zhí)行器，S為傳感器的首字母[2]. 箭頭表示信息流而不是網(wǎng)絡(luò)拓?fù)? 執(zhí)行器和傳感器的信息流是單向的，控制器的信息流是雙向的，控制器應(yīng)該根據(jù)物理系統(tǒng)的反饋狀態(tài)來(lái)控制相應(yīng)系統(tǒng)數(shù)據(jù)的輸出.

圖4 網(wǎng)絡(luò)控制系統(tǒng)組成Fig.4 Network control system constitution diagram

假設(shè)系統(tǒng)在ti時(shí)間的執(zhí)行狀態(tài)為

Ai={a1ti,a2ti,…,anti}，

系統(tǒng)狀態(tài)的傳感器的值為

Si={s1ti,s2ti,s3ti,…,s4ti}，

該傳感器的控制值輸出為

Ci={c1ti,c2ti,…,c3ti}.

控制輸出Ci、執(zhí)行器狀態(tài)與傳感器值之間的對(duì)應(yīng)關(guān)系標(biāo)記為：Ci?[Ai,Si]. 在t1時(shí)間點(diǎn)的狀態(tài)可以表示為C1?[A1,S1]，t2時(shí)間點(diǎn)的狀態(tài)可以表示為C2?[A2,S2]. 如果被黑客通過(guò)延遲、重放等信道攻擊手段會(huì)造成時(shí)序控制的混亂、生產(chǎn)過(guò)程信道的紊亂. 盡管C2報(bào)文控制信息是正常的，但在[A1,S1]狀態(tài)下卻是異常的控制指令，例如在時(shí)間t1誤用時(shí)間t2的控制指令C2?[A1,S1]，雖然這兩個(gè)均屬正常的控制指令，但在該時(shí)間點(diǎn)不正常的控制指令，會(huì)破壞正常生產(chǎn)，這是引發(fā)系統(tǒng)的物理障礙的原因，而傳統(tǒng)的網(wǎng)絡(luò)檢測(cè)系統(tǒng)是無(wú)能為力的. 提出的一種過(guò)程控制模型能夠滿(mǎn)足基于ICS系統(tǒng)的時(shí)序要求的入侵檢測(cè)系統(tǒng)，同時(shí)滿(mǎn)足工業(yè)控制網(wǎng)絡(luò)對(duì)系統(tǒng)實(shí)時(shí)、可靠性的要求，可有效地防止黑客篡改、信道插入、通信消息重放攻擊. 入侵檢測(cè)模型主要是基于特定的控制模型和過(guò)程模型的規(guī)則，根據(jù)三維指針鏈表樹(shù)系統(tǒng)的關(guān)系狀態(tài)和控制映射規(guī)則集，實(shí)時(shí)檢測(cè)系統(tǒng)，三維指針遍歷列表，根據(jù)系統(tǒng)狀態(tài)控制的動(dòng)態(tài)控制指令檢測(cè)列表，當(dāng)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)傳輸中的控制指令，實(shí)時(shí)檢測(cè)并捕捉入侵指令.

工業(yè)控制系統(tǒng)根據(jù)實(shí)際需求變化，檢測(cè)規(guī)則應(yīng)根據(jù)系統(tǒng)的變化而更新和完善. 為了滿(mǎn)足系統(tǒng)的要求，為用戶(hù)提供文本文件的規(guī)則，根據(jù)協(xié)議格式指定規(guī)則的用戶(hù)，并寫(xiě)出相應(yīng)的關(guān)鍵詞檢測(cè)規(guī)則[3]；同時(shí)提供內(nèi)部控制系統(tǒng)數(shù)據(jù)庫(kù)變量映射的文本文件，用戶(hù)可以控制相應(yīng)數(shù)據(jù)庫(kù)系統(tǒng)的變量并將實(shí)際關(guān)系數(shù)寫(xiě)入文件，為開(kāi)展基于具體模型和控制系統(tǒng)的深度數(shù)據(jù)分析[4]. 檢測(cè)系統(tǒng)啟動(dòng)時(shí)將讀取系統(tǒng)中的規(guī)則庫(kù)文件和變量映射文件，并分析形成特定系統(tǒng)的規(guī)則列表. 當(dāng)文件可通過(guò)匹配規(guī)則，修改和更新文件的規(guī)則[5]，這個(gè)規(guī)則匹配會(huì)導(dǎo)致系統(tǒng)檢測(cè)效率的下降，以適應(yīng)大規(guī)模的檢測(cè)規(guī)則，提高了系統(tǒng)的檢測(cè)性能，減少無(wú)用的規(guī)則匹配. 該系統(tǒng)的用戶(hù)將根據(jù)動(dòng)作響應(yīng)變量的類(lèi)型規(guī)則，具體的檢測(cè)規(guī)則，分類(lèi)、存儲(chǔ)在三維鏈表樹(shù)結(jié)構(gòu)的規(guī)則. 根據(jù)實(shí)時(shí)檢測(cè)數(shù)據(jù)，找到相應(yīng)的檢測(cè)規(guī)則樹(shù)節(jié)點(diǎn)，動(dòng)態(tài)更新控制指令入侵檢測(cè)列表. 當(dāng)檢測(cè)到工業(yè)控制數(shù)據(jù)時(shí)，根據(jù)檢測(cè)規(guī)則判斷控制數(shù)據(jù)是否為入侵?jǐn)?shù)據(jù)，根據(jù)決策結(jié)果處理相應(yīng)的應(yīng)急響應(yīng)[6].

這方面工作過(guò)程總結(jié)如下：

① 系統(tǒng)啟動(dòng)時(shí)，將進(jìn)行初始化和命令行分析等；

② 讀取用戶(hù)規(guī)則庫(kù)文件和系統(tǒng)變量映射文件，文件解析和生成系統(tǒng)在系統(tǒng)狀態(tài)和控件之間的映射規(guī)則、集中檢測(cè)鏈表樹(shù)的規(guī)則；

③ 數(shù)據(jù)采集周期捕獲工業(yè)網(wǎng)絡(luò)數(shù)據(jù)使用Libpcap，結(jié)合工業(yè)控制協(xié)議和變量的映射文件解析，深度數(shù)據(jù)控制數(shù)據(jù)包分析；

④ 檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)，如果是系統(tǒng)狀態(tài)數(shù)據(jù)，經(jīng)過(guò)預(yù)處理后遍歷鏈表樹(shù)的三維檢測(cè)，然后動(dòng)態(tài)更新指令檢測(cè)列表，返回到步驟③執(zhí)行；

⑤ 網(wǎng)絡(luò)數(shù)據(jù)的檢測(cè)，若數(shù)據(jù)是控制指令遍歷列表的指令，如果發(fā)現(xiàn)入侵事件相應(yīng)的應(yīng)急響應(yīng)，返回并繼續(xù)執(zhí)行步驟③.

2.2 檢測(cè)規(guī)則的設(shè)計(jì)

該系統(tǒng)采用模式匹配和區(qū)域邊界相結(jié)合的方法，結(jié)合工業(yè)控制系統(tǒng)的實(shí)時(shí)性和時(shí)序性[7]，對(duì)數(shù)據(jù)庫(kù)進(jìn)行編譯和更新. 入侵檢測(cè)是根據(jù)規(guī)則的動(dòng)態(tài)區(qū)域邊界對(duì)控制數(shù)據(jù)進(jìn)行檢測(cè)，以判斷控制系統(tǒng)是否被入侵或控制系統(tǒng)正常.

規(guī)則設(shè)計(jì)由規(guī)則頭和規(guī)則選項(xiàng)兩部分組成，規(guī)則選項(xiàng)包括狀態(tài)判斷條件部分和指令檢測(cè)規(guī)則部分.

① 規(guī)則頭部.

規(guī)則頭部包含輸出類(lèi)型和指令類(lèi)型，其中包括警報(bào)、日志、類(lèi)型傳遞、丟棄、應(yīng)急響應(yīng)[8-9]這5種可選行為.

② 狀態(tài)判斷規(guī)則選項(xiàng).

③ 入侵指令檢測(cè)規(guī)則.

檢測(cè)系統(tǒng)根據(jù)系統(tǒng)的實(shí)時(shí)狀態(tài)和狀態(tài)判斷規(guī)則，實(shí)時(shí)的把指令檢測(cè)規(guī)則添加到指令檢測(cè)鏈表或動(dòng)態(tài)性的將其刪除，進(jìn)而實(shí)現(xiàn)指令檢測(cè)的實(shí)時(shí)性和順序性[12].

指令檢測(cè)規(guī)則由指令檢測(cè)集、告警信息、規(guī)則優(yōu)先級(jí)和規(guī)則數(shù)組成. 檢測(cè)指令關(guān)系集表示為{c1,c2,c3,…,cn}. 一組指令關(guān)系集合的值是對(duì)每一個(gè)測(cè)試變量進(jìn)行“或運(yùn)算”操作,即C={c1||c2||c3…||cn}，只要其中有一個(gè)測(cè)試指令C為真，即判斷發(fā)現(xiàn)并檢測(cè)出了入侵行為. 其中控制量ci包含信息控制值、控制趨勢(shì)、最大值、最小值，可表示為ci=(setvalue,trend,max,min).

2.3 規(guī)則列表設(shè)計(jì)

規(guī)則列表選用文本文件格式的規(guī)則體系，具有較強(qiáng)的可讀性和可修改性，缺點(diǎn)是不能作為數(shù)據(jù)結(jié)構(gòu)，讓檢測(cè)引擎程序直接調(diào)用[13]，每次啟動(dòng)程序時(shí)需要讀取并解析規(guī)則庫(kù)相關(guān)文件，如何有效提高數(shù)據(jù)結(jié)構(gòu)檢索效率成為該系統(tǒng)的關(guān)鍵問(wèn)題，覆蓋效率的規(guī)則將直接影響整個(gè)系統(tǒng)的運(yùn)行效率. 最簡(jiǎn)單的組織規(guī)則方式是把每一個(gè)讀取的規(guī)則排列構(gòu)建成含有多個(gè)節(jié)點(diǎn)的一維鏈表，方法雖簡(jiǎn)單但不會(huì)被采納，當(dāng)有許多規(guī)則節(jié)點(diǎn)時(shí)，檢測(cè)效率會(huì)很低，不能滿(mǎn)足工業(yè)控制系統(tǒng)對(duì)實(shí)時(shí)性的要求. 為了提高規(guī)則系統(tǒng)的檢測(cè)效率，提出了數(shù)據(jù)的三維指針鏈表樹(shù)的規(guī)則結(jié)構(gòu)[14]，根據(jù)每個(gè)規(guī)則的第一部分來(lái)決定其在樹(shù)中規(guī)則鏈表節(jié)點(diǎn)的具體位置.

首先把規(guī)則通過(guò)行動(dòng)動(dòng)作分為應(yīng)急響應(yīng)、丟棄、警報(bào)、日志、通過(guò)這5類(lèi)，每類(lèi)行為根據(jù)檢測(cè)模型分類(lèi)成7種過(guò)程；壓力pressure、檢測(cè)值value、溫度temperature、電機(jī)motor、流量flow、水位water_level和alliance.

2.4 協(xié)議解析

檢測(cè)模型依賴(lài)于數(shù)據(jù)包的深度數(shù)據(jù)分析，然后得到系統(tǒng)中特定變量的物理意義，最終可以根據(jù)規(guī)則進(jìn)一步得到控制系統(tǒng)的運(yùn)行狀態(tài). 獲取深度數(shù)據(jù)包分析的關(guān)鍵條件是解析ICS控制協(xié)議，對(duì)于公開(kāi)的協(xié)議如Hostlink、MODBUS/TCP等通信協(xié)議[15]可以根據(jù)明文協(xié)議直接分析[16]. 但有很多的控制器控制協(xié)議是不公開(kāi)的，當(dāng)前研究對(duì)象是一款國(guó)產(chǎn)DCS控制器，通信協(xié)議是UDP協(xié)議，應(yīng)用層封裝的控制數(shù)據(jù)和狀態(tài)數(shù)據(jù)通過(guò)UDP協(xié)議傳輸[17]，并且為非公開(kāi)協(xié)議，這為系統(tǒng)的使用和解析增加了障礙[18]. 為此，需要對(duì)DCS控制器的通信協(xié)議進(jìn)行解析. 解析步驟如圖5所示.

圖5 DCS控制協(xié)議解析過(guò)程Fig.5 DCS control protocol parsing process diagram

根據(jù)數(shù)據(jù)結(jié)構(gòu)和變量存儲(chǔ)的原理，浮點(diǎn)型數(shù)據(jù)在計(jì)算機(jī)內(nèi)部存儲(chǔ)4個(gè)字節(jié)，需要找出浮點(diǎn)型通信數(shù)據(jù)在數(shù)據(jù)表中的位置，第一個(gè)數(shù)據(jù)包，從一開(kāi)始就將連續(xù)4個(gè)有效數(shù)據(jù)字節(jié)從原始類(lèi)型數(shù)據(jù)轉(zhuǎn)換為浮點(diǎn)型數(shù)據(jù)，并結(jié)合映射和浮點(diǎn)數(shù)，DCS控制器獲取內(nèi)部數(shù)據(jù)庫(kù)數(shù)據(jù)，用變量表示數(shù)據(jù)庫(kù)中的變量數(shù)，用變量的值來(lái)表示映射之間的關(guān)系，并對(duì)DCS數(shù)據(jù)庫(kù)中所有浮點(diǎn)變量進(jìn)行映射. 在與深度關(guān)系的浮點(diǎn)數(shù)b值的數(shù)據(jù)，所有的數(shù)字和表格編號(hào)，映射已經(jīng)在數(shù)據(jù)中的DCS數(shù)據(jù)庫(kù)變量的對(duì)應(yīng)位置，反映了所有變量之間的解析關(guān)系，將匹配表輸出，為協(xié)議分析的可靠性提供重要參考.

3 主功能接口設(shè)計(jì)

該模型是基于系統(tǒng)功能，將系統(tǒng)分為系統(tǒng)調(diào)用，數(shù)據(jù)采集，規(guī)則文件中狀態(tài)信息的讀取和規(guī)則分析，動(dòng)態(tài)更新規(guī)則，入侵檢測(cè)，數(shù)據(jù)傳輸，實(shí)現(xiàn)了工業(yè)控制網(wǎng)絡(luò)的控制指令檢測(cè)系統(tǒng)和預(yù)警功能.

各部分功能接口之間的關(guān)系如下.

① 系統(tǒng)的主要部分是主系統(tǒng)調(diào)用模塊，主要包括系統(tǒng)調(diào)用的主要功能、系統(tǒng)初始化、命令行解析、循環(huán)控制和資源恢復(fù)清洗功能等.

② 該規(guī)則文件讀?。涸摵瘮?shù)主要負(fù)責(zé)讀取文件，字符串分解，匹配，解析，數(shù)據(jù)類(lèi)型轉(zhuǎn)換等功能，然后實(shí)現(xiàn)對(duì)規(guī)則文件的解析.

③ 規(guī)則分析部分：狀態(tài)分析和階次分析，負(fù)責(zé)對(duì)鏈表的創(chuàng)建、插入、刪除規(guī)則，更新等操作，包括規(guī)則分析、指令類(lèi)型的分類(lèi)，狀態(tài)變量、控制變量和報(bào)警信息的分析，優(yōu)先處理哪些功能的規(guī)則.

④ 數(shù)據(jù)讀?。褐饕?fù)責(zé)讀取網(wǎng)絡(luò)文件，包括必要的捕捉配置功能，數(shù)據(jù)采集功能，網(wǎng)絡(luò)數(shù)據(jù)分析等功能，然后實(shí)現(xiàn)采集工業(yè)數(shù)據(jù)的功能.

⑤ 入侵檢測(cè)：檢測(cè)主要是負(fù)責(zé)指揮和控制，通過(guò)檢測(cè)功能的控制指令的分析，通過(guò)遍歷列表檢測(cè)指令，當(dāng)發(fā)現(xiàn)入侵行為，根據(jù)日志的記錄，規(guī)定相應(yīng)的動(dòng)作報(bào)警輸出，相應(yīng)的處理等.

⑥ 數(shù)據(jù)輸出：主要包括檢測(cè)結(jié)果的加密功能，客戶(hù)端程序的建立，網(wǎng)絡(luò)數(shù)據(jù)和函數(shù)的發(fā)送和接收，數(shù)據(jù)庫(kù)連接，數(shù)據(jù)庫(kù)插入功能，實(shí)現(xiàn)數(shù)據(jù)的傳輸和存儲(chǔ).

4 入侵檢測(cè)過(guò)程

工業(yè)控制網(wǎng)絡(luò)指令檢測(cè)是系統(tǒng)設(shè)計(jì)的初衷，系統(tǒng)對(duì)入侵檢測(cè)的詳細(xì)過(guò)程如下.

檢測(cè)程序首先使用Libpcap數(shù)據(jù)包的捕獲，并進(jìn)行相應(yīng)的數(shù)據(jù)分析和詳細(xì)的數(shù)據(jù)檢查，具體過(guò)程為：

① 調(diào)用pcap_loop()功能函數(shù)，注冊(cè)ProcessPacket的數(shù)據(jù)采集和處理回調(diào)函數(shù)；

② 驗(yàn)證網(wǎng)絡(luò)數(shù)據(jù)的有效性，如果遇到錯(cuò)誤或不相關(guān)的數(shù)據(jù)，則舍棄數(shù)據(jù)重新采集并判斷，否則進(jìn)入下一步；

③ 從網(wǎng)絡(luò)的應(yīng)用層中提取數(shù)據(jù)，并確定數(shù)據(jù)類(lèi)型，如果是系統(tǒng)變量數(shù)據(jù)，將數(shù)據(jù)灌入相應(yīng)的變量類(lèi)型的數(shù)組中；三維鏈表樹(shù)逐層遍歷，發(fā)現(xiàn)規(guī)則與狀態(tài)相匹配的，則將該條規(guī)則指令加入入侵檢測(cè)樹(shù)繼續(xù)檢測(cè)規(guī)則列表；若在指令表和狀態(tài)檢測(cè)樹(shù)的規(guī)則不符合入侵檢測(cè)規(guī)則，從指令表數(shù)中檢測(cè)并刪除檢測(cè)規(guī)則，到達(dá)實(shí)時(shí)更新入侵檢測(cè)指令，來(lái)檢測(cè)規(guī)則鏈表樹(shù)，達(dá)到測(cè)試內(nèi)容和系統(tǒng)狀態(tài)相匹配的目的；

④ 如果控制指令的數(shù)據(jù)類(lèi)型相匹配的入侵檢測(cè)規(guī)則樹(shù)列表根據(jù)指令類(lèi)型、指令編號(hào)，若找到相應(yīng)的節(jié)點(diǎn)和數(shù)據(jù)匹配控制命令是一個(gè)入侵指令，檢測(cè)結(jié)果將被發(fā)送到報(bào)警輸出模塊并輸出.

5 數(shù)據(jù)輸出模塊

實(shí)驗(yàn)設(shè)備和數(shù)據(jù)傳輸主要分為兩部分：第一部分是嵌入式可信網(wǎng)關(guān)終端；第二部分是基于COME技術(shù)的服務(wù)器端，即上位機(jī).

嵌入式可信網(wǎng)絡(luò)端的數(shù)據(jù)傳輸主要包括以下功能：

① 可信網(wǎng)關(guān)RJ45網(wǎng)絡(luò)口1通過(guò)libpcap網(wǎng)絡(luò)數(shù)據(jù)采集程序采集現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)數(shù)據(jù)包；并通過(guò)加入U(xiǎn)DP組播向現(xiàn)場(chǎng)設(shè)備發(fā)送控制命令；

② 可信網(wǎng)關(guān)RJ45網(wǎng)絡(luò)接口2和服務(wù)器端的TCP/IP通信；

③ 在可信網(wǎng)關(guān)和USBKEY加密芯片間USB協(xié)議的數(shù)據(jù)交互.

在這個(gè)系統(tǒng)中，TCP/UDP通信是通過(guò)socket實(shí)現(xiàn)的，其中可信網(wǎng)關(guān)與上位機(jī)之間的通信使用TCP/IP網(wǎng)絡(luò)應(yīng)用中常用的C/S模式(客戶(hù)端/服務(wù)器模式). 在C/S模式下，客戶(hù)端首先向服務(wù)器發(fā)送鏈接請(qǐng)求，服務(wù)器根據(jù)客戶(hù)端請(qǐng)求內(nèi)容響應(yīng)，并提供服務(wù)；因此在這種模式下，服務(wù)器應(yīng)優(yōu)先啟動(dòng)，以保證正常為客戶(hù)端服務(wù).

① 服務(wù)器啟動(dòng)，創(chuàng)建一個(gè)socket網(wǎng)絡(luò)套接字，并且綁定本地IP地址和端口號(hào)；

② 調(diào)用listen()函數(shù)回路偵聽(tīng)綁定端口，等待客戶(hù)端的連接請(qǐng)求；

③ 服務(wù)器接收客戶(hù)端的請(qǐng)求，處理該信號(hào)和發(fā)送響應(yīng)信號(hào)，使用一個(gè)新的線(xiàn)程來(lái)處理客戶(hù)變化的請(qǐng)求，通信鏈路的服務(wù)完全斷開(kāi)，并關(guān)閉服務(wù)流程；

④ 等待另一個(gè)新的客戶(hù)端請(qǐng)求，并重復(fù)第③步操作；

⑤ 服務(wù)程序接受，關(guān)閉服務(wù)器，清理系統(tǒng)資源.

5.1 單類(lèi)支持向量機(jī)(OCSVM)的入侵檢測(cè)的過(guò)程

單類(lèi)支持向量機(jī)OCSVM的入侵檢測(cè)方法主要包含以下幾個(gè)方面，檢測(cè)流程如圖6所示.

圖6 入侵檢測(cè)方法流程圖Fig.6 Flow chart intrusion detection method

數(shù)據(jù)采集模塊：采集訓(xùn)練數(shù)據(jù)，并抓取網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)控制. 數(shù)據(jù)處理主要采用Libpcap網(wǎng)絡(luò)訪(fǎng)問(wèn)控制數(shù)據(jù)采集.

數(shù)據(jù)預(yù)處理模塊：根據(jù)協(xié)議對(duì)原始數(shù)據(jù)進(jìn)行分析，依據(jù)相關(guān)性分析進(jìn)行數(shù)據(jù)抽取和降維，以訓(xùn)練模型的準(zhǔn)確性和需要對(duì)數(shù)據(jù)進(jìn)行歸一化操作.

入侵檢測(cè)模塊：根據(jù)預(yù)處理后的數(shù)據(jù)進(jìn)行訓(xùn)練，建立了單類(lèi)支持向量機(jī)的檢測(cè)模型，并利用GridSearch進(jìn)行OCSVM參數(shù)尋優(yōu)，找到提高網(wǎng)格搜索參數(shù)檢測(cè)精度的最佳參數(shù). 根據(jù)訓(xùn)練模型，對(duì)檢測(cè)數(shù)據(jù)進(jìn)行分類(lèi)和預(yù)測(cè)，然后進(jìn)行入侵檢測(cè).

響應(yīng)模塊：對(duì)檢測(cè)結(jié)果進(jìn)行處理，根據(jù)預(yù)設(shè)進(jìn)行記錄、忽略、截取等處理.

5.2 OCSVM入侵檢測(cè)原理

目前，單類(lèi)支持向量機(jī)主要有兩種分類(lèi)方法：超平面的方法和超球面方法，系統(tǒng)采用了超球面方法.

超球面的方法是支持向量數(shù)據(jù)描述方法(SVDD)由TaxD提出的，該方法主要是通過(guò)原始數(shù)據(jù)空間的核函數(shù)映射到高維空間，得到涵蓋邊界樣本點(diǎn)的最小超球面，使采樣數(shù)據(jù)盡可能地包圍在其中，當(dāng)一個(gè)新的數(shù)據(jù)樣本到達(dá)的時(shí)候，若其落在超球體里則是正常樣品，若樣本點(diǎn)落在超球體外則認(rèn)為是在體外的異常樣本. 為了便于展示，二維的樣式如圖7所示.

圖7 OCSVM超球體樣本分類(lèi)Fig.7 OCSVM classification of hypersphere samples

該類(lèi)模型都有一個(gè)優(yōu)化目標(biāo)，優(yōu)化的目標(biāo)是訓(xùn)練球面來(lái)尋求一個(gè)最小半徑R的中心.

(1)

使這個(gè)球面滿(mǎn)足：

(xi-α)T(xi-α)≤R2+ξi,ξi≥0.

(2)

式中：ξi為松弛變量，可調(diào)參數(shù)ν∈(0,1)，用于調(diào)整松弛變量. 利用拉格朗日系數(shù)：

(3)

求解式(1)，(2)約束條件下的最小解. 參數(shù)求導(dǎo)并令導(dǎo)數(shù)等于0.

(4)

帶入拉哥朗日函數(shù)(3)得到

(5)

如果使用內(nèi)核函數(shù):

(6)

上述公式轉(zhuǎn)換為

(7)

然后得到?jīng)Q策函數(shù)：

(8)

如果y(x)≥0則新點(diǎn)為正常數(shù)據(jù)，如果y(x)<0則新點(diǎn)為異常數(shù)據(jù).

5.3 控制指令OCSVM入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

從工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)層檢測(cè)的要求，分類(lèi)可分為單類(lèi)支持向量機(jī)在一定程度上只有正常數(shù)據(jù)和異常數(shù)據(jù)，并可實(shí)現(xiàn)入侵檢測(cè)的進(jìn)一步鑒定，入侵?jǐn)?shù)據(jù)屬于一種入侵，其中的控制電路，根據(jù)入侵操作相應(yīng)的響應(yīng)報(bào)警處理的具體類(lèi)型，以滿(mǎn)足控制網(wǎng)絡(luò)的測(cè)試要求，進(jìn)一步對(duì)入侵檢測(cè)的OCSVM分類(lèi)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn).

為了實(shí)現(xiàn)入侵檢測(cè)分布式的多變量控制系統(tǒng)，根據(jù)各控制變量的相關(guān)分析，提取特征值，然后構(gòu)造OCSVM分類(lèi)模型分別與多個(gè)控制變量，結(jié)合解決入侵檢測(cè)的多變量控制系統(tǒng)的控制指令.

6 算法有效性分析

相關(guān)性分析是關(guān)于研究與具體現(xiàn)象之間存在的關(guān)系，依賴(lài)關(guān)系的現(xiàn)象，探討相關(guān)性的方向和程度，是研究隨機(jī)變量之間關(guān)系的一種統(tǒng)計(jì)方法.

利用相關(guān)性分析并不是為了找出變量之間的線(xiàn)性關(guān)系，而是為了證明變量之間的相關(guān)性，通過(guò)相關(guān)分析的顯著水平驗(yàn)證能很好地證明這一觀點(diǎn).

通過(guò)相關(guān)分析，求得各控制變量的特征值，然后構(gòu)造OCSVM分類(lèi)模型分別與多個(gè)控制變量，結(jié)合解決入侵檢測(cè)的多變量控制系統(tǒng)的控制指令.

算法的整體流程如圖8所示，主要包括數(shù)據(jù)采集部分、數(shù)據(jù)預(yù)處理部分、檢測(cè)模型訓(xùn)練、測(cè)試結(jié)果響應(yīng)4部分.

圖8 單類(lèi)支持向量機(jī)的入侵檢測(cè)的過(guò)程Fig.8 OCSVM intrusion detection process diagram

為了驗(yàn)證算法，該算法是直接使用所收集的樣本來(lái)測(cè)試入侵. 采用一組模擬煤粉鍋爐監(jiān)控系統(tǒng)的核心控制器是DCSUW5101模型. 檢測(cè)數(shù)據(jù)由煤鍋爐控制系統(tǒng)抓取5 000個(gè)真實(shí)數(shù)據(jù)，每個(gè)數(shù)據(jù)樣本包含155個(gè)開(kāi)關(guān)量和131個(gè)模擬量. 選擇最重要的、具有代表性的點(diǎn)火系統(tǒng)，燃燒系統(tǒng)和供水系統(tǒng)，相關(guān)的變量，如爐內(nèi)負(fù)壓，控制引風(fēng)機(jī)、空氣壓縮機(jī)控制和其他控制變量、水位、給水泵、供水閥控制變量等總共15個(gè)開(kāi)關(guān)量和35個(gè)模擬量.

系統(tǒng)主要用于控制指令的入侵檢測(cè)，引風(fēng)機(jī)是調(diào)節(jié)爐膛負(fù)壓的主要控制變量、真空爐、煤粉鍋爐是幾種重要的檢測(cè)變量，選擇風(fēng)機(jī)控制實(shí)驗(yàn)驗(yàn)證輸出頻率. 結(jié)合控制模型，選擇控制變量提取相關(guān)的開(kāi)關(guān)變量，使用相關(guān)分析來(lái)選擇相關(guān)變量.

皮爾森相關(guān)系數(shù)是用來(lái)衡量變量之間的線(xiàn)性關(guān)系，結(jié)合工業(yè)控制系統(tǒng)之間的耦合變量，則存在變量之間的線(xiàn)性關(guān)系，只有極少數(shù)，這是選擇顯著性水平的評(píng)價(jià)標(biāo)準(zhǔn)，選取Sig為0.01顯著水平，具有很強(qiáng)的相關(guān)性表明，能有效地顯示控制變量與選出的變量有一定的關(guān)系，形成新的樣本集，

R=[YV1YV2YV3YV7…YV43

…YV48YV49CV42]，

其中最后一個(gè)是控制變量的檢測(cè)，即風(fēng)扇變頻控制. 并以關(guān)系集R為標(biāo)準(zhǔn)，從5 000個(gè)樣本中隨機(jī)抽取了1 000個(gè)樣本，提取出相應(yīng)的維度，最終形成訓(xùn)練樣本. 歸一化后，分類(lèi)器模型進(jìn)行訓(xùn)練. 訓(xùn)練精度、誤報(bào)率和入侵檢測(cè)率是3個(gè)關(guān)鍵指標(biāo)，能夠辨別分類(lèi)器模型的好壞.

使用網(wǎng)格搜索圖，內(nèi)核參數(shù)來(lái)自訓(xùn)練的高斯核函數(shù)為0.15，錯(cuò)誤接受率v=0.01. 訓(xùn)練后，分類(lèi)器的準(zhǔn)確率為99.17%.

為了檢測(cè)分類(lèi)器的檢測(cè)精度，選擇700條正常和隨機(jī)生成的500個(gè)異常樣本進(jìn)行分類(lèi)和預(yù)測(cè). 進(jìn)行了分類(lèi)模型驗(yàn)證，結(jié)果合格. 分類(lèi)模型的驗(yàn)證具體結(jié)果如圖9和圖10所示.

正常標(biāo)本假陽(yáng)性率為

1-η= 1-95.571 4%= 4.428 6%；η= 98.20%.

異常樣品檢出準(zhǔn)確率為98.20%.

按照上述方法，給水閥開(kāi)啟，空氣壓縮機(jī)頻率輸出，螺旋送料頻率樣本提取，分類(lèi)器的訓(xùn)練，入侵檢測(cè)實(shí)驗(yàn)結(jié)果如表1所示.

圖9 正常樣品檢出率Fig.9 Normal sample detection accuracy

圖10 異常樣品檢出率Fig.10 Abnormal sample detection accuracy

檢測(cè)變量訓(xùn)練精度/%誤報(bào)率/%入侵檢測(cè)率/%引風(fēng)機(jī)頻率控制99.175.2998.20給水閥開(kāi)度99.335.2096.56空壓機(jī)頻率99.175.2297.78螺旋給料頻率98.835.3396.96

通過(guò)攻擊機(jī)發(fā)送1 000條指令的攻擊檢測(cè)系統(tǒng)模型規(guī)則未能找到有效的基礎(chǔ)攻擊，但OCSVM異常檢測(cè)基于一個(gè)969報(bào)警信息，檢測(cè)率達(dá)到98. 2%，網(wǎng)關(guān)系統(tǒng)還具有檢測(cè)未指定規(guī)則攻擊的能力.

分析涉及OCSVM單分類(lèi)器的測(cè)試結(jié)果，看到通過(guò)變量顯著相關(guān)的變量進(jìn)入新的訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)，經(jīng)過(guò)訓(xùn)練裝置獲得控制變量的相關(guān)分析檢測(cè)精度高，檢測(cè)到入侵?jǐn)?shù)據(jù)和可定位的目標(biāo)，為人工復(fù)驗(yàn)提供一項(xiàng)好的參考模式.

7 結(jié)束語(yǔ)

在緊湊型PCIe COM Express計(jì)算機(jī)控制基礎(chǔ)上，針對(duì)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)和設(shè)計(jì)提出了一種入侵檢測(cè)方法. 入侵檢測(cè)方法包括過(guò)程控制模型規(guī)則，基于協(xié)議分析和深度數(shù)據(jù)分析以及基于OCSVM異常檢測(cè)算法. 其次，詳細(xì)描述了過(guò)程控制模型，從規(guī)則編寫(xiě)格式、規(guī)范設(shè)計(jì)和規(guī)則列表樹(shù)生成3方面討論了具體的實(shí)現(xiàn)方法. 然后，為了提高系統(tǒng)對(duì)未知攻擊類(lèi)型的檢測(cè)能力，基于OCSVM異常檢測(cè)算法的相關(guān)建議，對(duì)樣品單分類(lèi)器生成過(guò)程描述的變化，檢測(cè)算法的特征提取. 最后，結(jié)合DCS模型訓(xùn)練精度檢測(cè)結(jié)果和模擬實(shí)驗(yàn)的數(shù)據(jù)證明了ICS網(wǎng)絡(luò)數(shù)據(jù)異常入侵檢測(cè)模型的有效性.