淺析工業(yè)控制系統(tǒng)安全風(fēng)險及入侵檢測算法

◆張一鳴

淺析工業(yè)控制系統(tǒng)安全風(fēng)險及入侵檢測算法

◆張一鳴

（中國刑事警察學(xué)院公安信息技術(shù)與情報學(xué)院 遼寧 110854）

在“深入實施制造強(qiáng)國戰(zhàn)略”的歷史條件下，我國工業(yè)生產(chǎn)能力得到迅速提升，“中國制造”逐步得到了世界的認(rèn)可，我國工業(yè)已經(jīng)衍變成為融合機(jī)械、化學(xué)和互聯(lián)網(wǎng)等技術(shù)于一體的社會物質(zhì)生產(chǎn)部門。在信息化時代的背景中，工業(yè)生產(chǎn)的穩(wěn)定運(yùn)行依賴于安全可靠的工業(yè)控制系統(tǒng)，當(dāng)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)功能無法有效防范網(wǎng)絡(luò)攻擊時，將嚴(yán)重影響工業(yè)生產(chǎn)。本文闡述了工業(yè)控制系統(tǒng)的安全性風(fēng)險，并相應(yīng)地提出有效的入侵檢測算法。

工業(yè)控制系統(tǒng)；工業(yè)生產(chǎn)；信息化；安全性；入侵檢測

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是工業(yè)生產(chǎn)過程的控制網(wǎng)絡(luò)和系統(tǒng)的總稱[1]。我國許多企業(yè)的ICS正逐步與互聯(lián)網(wǎng)相連接以實現(xiàn)生產(chǎn)智能化，然而因歷史原因，ICS在最初設(shè)計中未曾考慮網(wǎng)絡(luò)安全問題，導(dǎo)致其與互聯(lián)網(wǎng)相連后極易受到攻擊。據(jù)以色列Claroty公司的2020年度工控系統(tǒng)安全報告顯示，ICS常面臨非法獲取機(jī)密數(shù)據(jù)和DoS攻擊的威脅。隨著工業(yè)4.0時代的到來，工業(yè)網(wǎng)絡(luò)有著數(shù)據(jù)多維化、底層設(shè)備接口及協(xié)議多樣化等發(fā)展趨勢，傳統(tǒng)的工業(yè)防火墻時常被新型網(wǎng)絡(luò)攻擊攻破，不僅對工業(yè)生產(chǎn)的正常運(yùn)作產(chǎn)生影響，還可能造成設(shè)備損毀和人員傷亡。因此，本文對工業(yè)控制系統(tǒng)信息安全進(jìn)行研究分析，提高其安全運(yùn)行的能力。

1 工業(yè)控制系統(tǒng)概述

ICS是用于監(jiān)控工業(yè)生產(chǎn)過程、收集關(guān)鍵生產(chǎn)數(shù)據(jù)的一類控制與采集系統(tǒng)[2]。它允許用戶對工業(yè)生產(chǎn)進(jìn)行遠(yuǎn)程監(jiān)控，并且為分散的工業(yè)生產(chǎn)控制以及監(jiān)控設(shè)施提供遠(yuǎn)程訪問和控制的服務(wù)[3]。傳統(tǒng)ICS主要包括控制器、傳感器和執(zhí)行器，隨著工業(yè)以太網(wǎng)等技術(shù)的發(fā)展，工控通信協(xié)議能夠?qū)崿F(xiàn)基于TCP/IP技術(shù)的信息傳輸，現(xiàn)代ICS已經(jīng)形成了功能控制與信息傳輸相融合的三級網(wǎng)絡(luò)結(jié)構(gòu)[4]。

企業(yè)層是ICS中的最高層，其通過工業(yè)防火墻與外部互聯(lián)網(wǎng)相連，可與互聯(lián)網(wǎng)相互通信，并利用工業(yè)以太網(wǎng)與監(jiān)控網(wǎng)通信，主要通過生產(chǎn)過程執(zhí)行管理系統(tǒng)（manufacturing execution system，MES）對生產(chǎn)任務(wù)、人員調(diào)度、外界通訊、數(shù)據(jù)分析等進(jìn)行管理。監(jiān)測層是整個ICS的核心層級，通過人機(jī)交互界面（Human MachineInterface，HMI）便于工程師對生產(chǎn)過程進(jìn)行過程控制及運(yùn)行監(jiān)控?？刂茖由?，通常多采用分布式控制系統(tǒng)（Distributed Control System，DCS）對底層機(jī)械設(shè)備等進(jìn)行控制，完成預(yù)期生產(chǎn)功能。

2 工業(yè)控制系統(tǒng)安全性威脅分析

由于ICS具有特殊的網(wǎng)絡(luò)層級結(jié)構(gòu)并受到工業(yè)生產(chǎn)環(huán)境因素的限制，使得針對ICS網(wǎng)絡(luò)的攻擊目的主要為竊取機(jī)密數(shù)據(jù)和破壞硬件設(shè)施。本文分析了ICS三層網(wǎng)絡(luò)結(jié)構(gòu)中所存在的安全隱患，總結(jié)出典型的攻擊方式。

2.1 工業(yè)控制系統(tǒng)安全性分析

企業(yè)網(wǎng)是ICS層次架構(gòu)中的最高層，主要對企業(yè)的數(shù)據(jù)進(jìn)行處理、存儲和檢索。目前企業(yè)網(wǎng)已經(jīng)開始與互聯(lián)網(wǎng)相連以實現(xiàn)工業(yè)智能化，但存在防火墻配置不適當(dāng)、缺乏安全邊界控制、聯(lián)網(wǎng)用戶通過網(wǎng)絡(luò)漏洞獲取生產(chǎn)控制網(wǎng)絡(luò)關(guān)鍵設(shè)備的運(yùn)行控制數(shù)據(jù)等問題[5]，這大大增加了ICS被傳統(tǒng)互聯(lián)網(wǎng)中存在的惡意程序或者攻擊造成破壞的可能性。

監(jiān)測網(wǎng)對工業(yè)生產(chǎn)過程進(jìn)行監(jiān)控管理，可直接對控制網(wǎng)發(fā)出運(yùn)行指令。由于企業(yè)的ICS普遍更新?lián)Q代較慢，監(jiān)測網(wǎng)中管理員站存在著許多漏洞卻得不到及時修補(bǔ)或更新；同時我國的ICS及配套的工業(yè)設(shè)備多采購自外國，工程師在對ICS進(jìn)行維護(hù)時往往采用遠(yuǎn)程訪問的方式，而ICS本身缺乏認(rèn)證機(jī)制，在維護(hù)過程中存在著未授權(quán)訪的風(fēng)險；另外工業(yè)應(yīng)用軟件隨著ICS需求的增多而逐漸呈現(xiàn)專業(yè)化、規(guī)?；?，但其高昂的價格使許多中小企業(yè)望而卻步，轉(zhuǎn)而使用盜版軟件，由此帶來了許多潛在危險。

在控制網(wǎng)層級中，各類機(jī)械設(shè)備、傳感器均需通過現(xiàn)場總線與控制器連接以進(jìn)行數(shù)據(jù)交換。在車間生產(chǎn)環(huán)境中，為避免錯誤報警、人為破壞等事件的發(fā)生，傳感器常被部署在人員難以接觸之處，但這為外界提供了竊聽的便利，同時并不利于傳感器的維護(hù)修理；工業(yè)生產(chǎn)在過程連續(xù)性和可靠性上有著較高要求，部分精密設(shè)備一旦停機(jī)將造成永久性損毀，因此即使發(fā)現(xiàn)安全隱患，也不能夠停機(jī)進(jìn)行維護(hù)；最后工業(yè)通信協(xié)議在設(shè)計時因與互聯(lián)網(wǎng)存在物理隔離而未曾考慮網(wǎng)絡(luò)安全問題，因此協(xié)議缺乏安全認(rèn)證機(jī)制，并且通信過程中命令碼通常采用明文傳輸，這使得底層數(shù)據(jù)容易被抓包并破解，為命令碼濫用攻擊埋下禍端。

2.2 工業(yè)控制系統(tǒng)入侵方式

受ICS的網(wǎng)絡(luò)環(huán)境及物理環(huán)境限制，對ICS攻擊的目的主要為破壞硬件設(shè)施和竊取機(jī)密數(shù)據(jù)兩種，因此常見的ICS攻擊方式有DoS攻擊和IP欺騙，其中DoS攻擊的數(shù)量較多，造成的危害也更大。

DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)?；ヂ?lián)網(wǎng)中常見的DoS攻擊方法有淚滴攻擊、UDP洪泛、SYN洪泛等。而在工業(yè)環(huán)境下，DoS攻擊常見方法為洪泛攻擊和命令碼濫用。洪泛攻擊主要通過大量偽造數(shù)據(jù)對服務(wù)器主機(jī)發(fā)動進(jìn)攻，達(dá)到占用內(nèi)存或消耗CPU目的，致使無法對外部提供正常的網(wǎng)絡(luò)服務(wù)[6]，并失去對下層的控制能力，常用于對ICS企業(yè)網(wǎng)和監(jiān)測網(wǎng)的攻擊；命令碼濫用則是攻擊者通過黑客技術(shù)，獲取監(jiān)測網(wǎng)中管理員站的使用權(quán)限，將大量不合理的指令碼封裝至命令數(shù)據(jù)包并發(fā)送到控制網(wǎng)中，而控制網(wǎng)中的設(shè)備不具備識別上層指令是否合理的能力，若執(zhí)行了惡意指令，便可能影響底層設(shè)備運(yùn)行甚至致其損毀。

IP欺騙攻擊是一種獲取對計算機(jī)未經(jīng)許可的訪問的技術(shù)，即攻擊者通過偽IP地址向計算機(jī)發(fā)送信息，并顯示該信息來自真實主機(jī)[7]。IP地址欺騙攻擊者可以通過手動修改地址或者運(yùn)行一個實施地址欺騙的程序來假冒一個合法IP地址。在工業(yè)環(huán)境下，由于設(shè)備維護(hù)升級、工程師發(fā)送控制命令等工作常需使用遠(yuǎn)程登錄的方式接入ICS，IP欺騙攻擊者便可假冒合法的IP地址接入ICS然后獲取數(shù)據(jù)庫訪問權(quán)限，達(dá)到竊取機(jī)密數(shù)據(jù)的目的。

3 工業(yè)控制系統(tǒng)入侵檢測算法

由ICS的安全性分析可發(fā)現(xiàn)，在工業(yè)設(shè)備無法停機(jī)維護(hù)的情況下，能否在ICS遭受入侵的第一時間檢測出攻擊數(shù)據(jù)流，對于保護(hù)ICS穩(wěn)定運(yùn)行有著至關(guān)重要的意義。本文總結(jié)分析了幾種適用于ICS環(huán)境的機(jī)器學(xué)習(xí)入侵檢測算法，將其應(yīng)用至ICS防火墻中可顯著提高入侵檢測效率。

3.1 支持向量機(jī)（SVM）

SVM是一種基于Vapnik-Chervonenkis維和結(jié)構(gòu)風(fēng)險最小化原理的有監(jiān)督學(xué)習(xí)模型，在人臉識別、文字識別、圖像處理等各方面都得到了廣泛應(yīng)用[8]。SVM通過尋找集合邊緣上的支持向量并依此求得一個平面，使得支持向量到該平面的距離最大。支持向量機(jī)的學(xué)習(xí)策略就是間隔最大化，其算法就是求解凸二次規(guī)劃的最優(yōu)化算法，關(guān)鍵在于求得分類間隔最大值的目標(biāo)解[9]。與傳統(tǒng)回歸相比，傳統(tǒng)回歸需要回歸函數(shù)完全等于結(jié)果，即回歸公式必須加上損失。但SVM回歸認(rèn)為回歸函數(shù)不是一條線而是一個區(qū)域，即原始結(jié)果只要在回歸模型內(nèi)，便可認(rèn)為預(yù)測正確，不計算損失。支持向量機(jī)模型與許多機(jī)器學(xué)習(xí)算法能夠很好地聯(lián)合應(yīng)用，使得支持向量機(jī)有著眾多性能更佳的改進(jìn)模型，有著較強(qiáng)的適應(yīng)性和可升級性。

3.2 Boosting算法

Boosting算法是一種可以減小監(jiān)督學(xué)習(xí)中偏差的機(jī)器學(xué)習(xí)算法。先從初始訓(xùn)練集訓(xùn)練出一個基學(xué)習(xí)器，再根據(jù)基學(xué)習(xí)器的表現(xiàn)對訓(xùn)練樣本分布進(jìn)行調(diào)整[10]，使得先前基學(xué)習(xí)器做錯的訓(xùn)練樣本在后續(xù)得到最大的關(guān)注；然后基于調(diào)整后的樣本分布來訓(xùn)練下一個基學(xué)習(xí)器，如此重復(fù)進(jìn)行，直至基學(xué)習(xí)器數(shù)目達(dá)到實現(xiàn)指定的值T為止。再將這T個基學(xué)習(xí)器進(jìn)行加權(quán)結(jié)合得到集成學(xué)習(xí)器。Boosting算法中最為經(jīng)典的是AdaBoost算法。AdaBoost算法使用了多次迭代的方法來創(chuàng)建分類器。它會依據(jù)每次訓(xùn)練后的樣本集分類是否正確和上次分類的準(zhǔn)確率，來確定數(shù)據(jù)集中樣本的權(quán)值，將修改過權(quán)值的新數(shù)據(jù)集送給下層分類器進(jìn)行訓(xùn)練，然后將每次訓(xùn)練得到的分類器相融合，得到的結(jié)果是一個比弱分類器更加準(zhǔn)確的分類器，并作為最終的決策分類器以實現(xiàn)算法[11]。相較于其他機(jī)器學(xué)習(xí)算法，AdaBoost算法雖然對異常值和噪聲數(shù)據(jù)比較敏感，但其具有能夠顯著改善子分類器預(yù)測精度、不需要先驗知識、理論扎實、克服了過擬合問題等眾多優(yōu)點(diǎn)[12]。這使AdaBoost算法及其演化算法憑借其優(yōu)秀性能受到不同領(lǐng)域研究人員的關(guān)注，目前被廣泛應(yīng)用于機(jī)器視覺、計算機(jī)安全、計算生物學(xué)等諸多領(lǐng)域[13]。

3.3 人工魚群算法

人工魚群算法是一種仿生優(yōu)化算法，研究魚類行為模式后發(fā)現(xiàn)，魚群密度較大的地方食物通常較為充裕，以此為依據(jù)來模擬魚群覓食、聚群、追尾等行為，以實現(xiàn)尋優(yōu)的目的。在人工魚的活動中，可以分為覓食行為、聚群行為、追尾行為和隨機(jī)行為這四種行為，如何利用簡單有效的方式來構(gòu)造實現(xiàn)這些行為將是算法實施的主要問題[14]。覓食行為即人工魚追尋食物多的方向游動的一種行為，在尋優(yōu)中表示向較優(yōu)方向進(jìn)行的迭代；在聚群行為中，對每條人工魚規(guī)定：盡量向鄰近伙伴的中心移動同時又避免過分擁擠；追尾行為是一種向臨近的最活躍者追逐的行為，在尋優(yōu)算法中指向附近的最優(yōu)化伙伴前進(jìn)的過程；隨機(jī)行為就是人工魚在其視野內(nèi)隨機(jī)移動的行為，該行為可尋優(yōu)算法陷入局部尋優(yōu)。該算法具有對初值不敏感、魯棒性高、全局搜索能力強(qiáng)且易與其他方法結(jié)合等優(yōu)點(diǎn)，在參數(shù)優(yōu)化和組合優(yōu)化等工程實踐領(lǐng)域有著重要應(yīng)用。

3.4 隨機(jī)森林算法

隨機(jī)森林是一種集成的統(tǒng)計學(xué)習(xí)分類和回歸算法，針對不同特征，組合多個決策樹對相同現(xiàn)象產(chǎn)生相似的預(yù)測結(jié)果，在隨機(jī)森林回歸的過程中，其輸出值為隨機(jī)森林中所有決策樹結(jié)果的平均值[15]。隨機(jī)森林回歸模型的本質(zhì)為多個決策樹組組成的分類器，最終的分類結(jié)果由所有決策樹共同投票決定[16]。隨機(jī)森林算法包含兩類重要的參數(shù)：RF框架參數(shù)與RF決策樹參數(shù)。隨機(jī)森林能夠處理多維度的數(shù)據(jù)，不需要做特征選擇，在經(jīng)過隨機(jī)森林對樣本數(shù)據(jù)進(jìn)行訓(xùn)練完后，能夠得到特征的重要性，同時隨機(jī)森林算法可以并行運(yùn)算，而且可以避免單棵決策樹出現(xiàn)過擬合現(xiàn)象，其優(yōu)勢較為明顯，但是需要較多的運(yùn)算空間，對于企業(yè)硬件的運(yùn)算能力有著不小挑戰(zhàn)。

4 結(jié)語

隨著工業(yè)生產(chǎn)對國家經(jīng)濟(jì)的助力作用日趨顯著，攻擊工業(yè)控制系統(tǒng)給社會治安等方面帶來的危害也日趨嚴(yán)，工業(yè)控制系統(tǒng)的安全防護(hù)愈發(fā)重要，我國工控系統(tǒng)入侵檢測技術(shù)起步較晚，工業(yè)生產(chǎn)環(huán)境具有復(fù)雜性等特點(diǎn)，企業(yè)需結(jié)合自身生產(chǎn)環(huán)境及工業(yè)控制系統(tǒng)類型，有針對性地進(jìn)行入侵檢測工作，提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力。

[1]吳佩. 基于混合馬爾科夫樹模型的ICS異常檢測方法研究[D].合肥工業(yè)大學(xué)，2018.

[2]KNOWLES W， PRINCE D， JONES K， et al. A survey of cyber security management in industrial controlsystems[J]. International Journal of Critical Infrastructure Protection.2015， 9（C）：52-80.

[3]尚文利，安攀峰，萬明，等.工業(yè)控制系統(tǒng)入侵檢測技術(shù)的研究及發(fā)展綜述[J].計算機(jī)應(yīng)用研究，2017，34（02）：328 -333+342.

[4]安攀峰. 基于加權(quán)SVM的工業(yè)控制網(wǎng)絡(luò)入侵檢測算法研究[D].沈陽理工大學(xué)，2017.

[5]張靖雯. 基于深度學(xué)習(xí)的工控異常檢測及攻擊分類方法研究[D].北京工業(yè)大學(xué)，2019.

[6]王晨光. 工控環(huán)境下DDoS攻擊抑制的研究[D].北京交通大學(xué)，2018.

[7]張文哲，王璐，崔洪宇.TCP/IP協(xié)議的安全問題初探[J].電子技術(shù)與軟件工程，2014（12）：20.

[8]姜建國，常子敬，呂志強(qiáng)，等.USB HID攻擊檢測技術(shù)研究[J].計算機(jī)學(xué)報，2019，42（05）：1018-1030.

[9]高妍. 一種基于SVM算法的不平衡數(shù)據(jù)分類方法[D].廈門大學(xué)，2018.

[10]徐軍. 基于SDN的應(yīng)用感知多路徑網(wǎng)絡(luò)資源分配系統(tǒng)[D].北京郵電大學(xué)，2019.

[11]王珊. 多類別天氣圖像分類算法研究[D].北京交通大學(xué)，2019.

[12]吳秀. 視頻圖像中人臉檢測算法的研究與實現(xiàn)[D].杭州電子科技大學(xué)，2019.

[13]賈宏云. 基于AdaBoost模型的藏文文本分類研究與實現(xiàn)[D].西藏大學(xué)，2019.

[14]郭敏. 基于BP神經(jīng)網(wǎng)絡(luò)的溫濕度傳感器補(bǔ)償算法研究[D].南京信息工程大學(xué)，2018.

[15]黃新江. 基于TRNSYS地源熱泵系統(tǒng)模擬與優(yōu)化[D].蘇州科技大學(xué)，2019.

[16]王海燕，侯琳娜.基于隨機(jī)森林的統(tǒng)計控制圖模式識別研究[J].工業(yè)工程，2019，22（05）：118-125.

中國刑事警察學(xué)院研究生創(chuàng)新能力提升項目（2020YCYB26）