工业领域网络入侵检测关键技术

 工业领域网络入侵检测关键技术

刘文忠

广州华南信息安全测评中心   广东省广州市 510000

摘要:当下的国际局势十分严峻，以欧美为首的西方势力全方位对我国实施追拦堵截，针对我国工业发展实施的网络攻击更是层出不穷，而众多工业企业仍处于工业互联网建设的初期阶段，企业工业网络已经从上至下实现了互联互通，但网络安全保障体系建设并不完善，无法有效应对网络攻击威胁。本文从网络安全“事前、事中”的角度，对工业互联网环境下网络入侵检测展开分析。

关键词,故障诊断;神经网络;功能安全;控制系统;Petri网

一、工业控制系统当前面临的主要网络安全问题

1.工业控制系统自身漏洞繁多，且投入生产使用后无法进行补丁升级

2.工业控制系统通信协议基本采用明文传输，缺乏身份鉴别、访问控制和加密机制，且通信内容中包含对工业控制系统的直接控制指令

3.工业控制系统的上位机防护薄弱，由于工业控制软件的原因，上位机无法进行有效的补丁升级，容易成为网络攻击、病毒及恶意代码攻击的对象

4.工业控制系统通信时延、可靠性要求较高，串接防护设备应用场景较少上述情况反映了工业控制系统作为工业互联网基础组成部分存在的种种问题，作为工业互联网的应用个体，工业企业在不同层面面临的安全风险需要综合考虑，根据IEC-62443及国家网络安全等级保护制度，对工业网络的划分，企业不同层级网络面临的实质性网络攻击是具有向下包含的关系。工业网络层次划分模型如图1所示。

图1 工业网络层次划分模型

二、解决思路

2.1防护模式

由于工业生产是链条型活动，致使网络攻击针对链条中各部分的攻击特点和手段也将不同，因此在工业互联网环境下入侵检测系统的防护一定不能采用传统网络中的单点或孤岛模式，应采用总平台+多点探针的防护模式，即在1至4层网络数据交互的重要网络节点、网络区域边界设置入侵检测的探针，用于收集、清洗和预处理流量数据，在企业内部设置统一的分析及展示平台，用于集中分析企业各网络层级面临的攻击和威胁。

2.2.系统构成

作为平台化的入侵检测系统，在传统网络安全威胁特征检测之外，还应具有资产扫描与识别、资产互联通信行为识别、工控系统威胁特征检测、工业协议识别与分析、安全基线以及机器学习和智能处理能力。其中资产的扫描识别、通信行为的识别、工控系统威胁特征检测、工业协议识别与分析、机器学习是重点考虑内容，也是针对工业互联网特点的专属性功能。

2.3技术方向

技术方向上结合行业研究内容，对工控系统资产识别、机器学习和流量分析提出如下看法。

2.3.1对工控系统资产的识别

入侵检测系统的探针要部署到网络的各个重要节点，而实现对资产的识别则应采用指纹识别技术，主要是指利用不同信息描述运行于网络中的设备或者软件的技术。针对工控系统资产指纹的识别，可以采用主动式和被动式两种，主动式指纹提取要求工具主动扫描网络系统获取信息，被动式指纹提取方法则是通过尽可能少的网络侵扰，被动式地监听网络获取信息。通常，主动式指纹识别成功识别系统的概率更大些。这是因为主动式识别意味着收集所有生成指纹所需要的信息，而被动式识别只能收集会话通道信息。但主动式识别并不是任何时候都能够起作用，探测扫描更易造成网络繁忙，且易被检测。如在SCADA系统中，主动式扫描可能造成系统过载。主动调试会使设备处理的frame数量增长，PLCs和RTUs无法支持超出的流量，从而导致正常请求无法响应。而被动式监听网络由于收集信息复杂则存在指纹准确性问题。

2.3.2机器学习

机器学习被认为是一组能够利用经验数据来改善系统自身性能的算法集合，它包括分类、聚类、降维等问题，在入侵检测系统中的一般应用流程也建议沿用行业研究者推荐的六个阶段，即安全问题抽象、数据采集、数据预处理、安全特征提取、模型构建、模型验证、模型效果评估。问题抽象是入侵检测系统应用机器学习的关键环节，主要是网络空间安全问题映射为机器学习能够解决的类别，问题映射的恰当与否直接关系到机器学习技术解决网络空间安全问题成功与否。问题抽象映射关系如图2所示。

图2 问题抽象映射关系

机器学习在工业互联网入侵检测系统中最应该发挥的作用是识别和判断正常的工业业务行为和非正常业务行为，由于工业业务属于重复性工作，具有固定周期、固定通信关系、固定通信内容等特点，包括模型构建等内容应该围绕工业特点进行设置和构建。此外针对工业网络的攻击往往具有可复制性，即同类型攻击针对跨地域的工业网络和工业控制系统，因此在机器学习是也要考虑针对突发性大规模相似事件的分析和研判，如“5.12勒索病毒”在工业网络中的传播。

2.3.3流量分析

网络是工业互联网的核心，网络流量则反映实际资产间的通信情况，入侵检测系统功能的实现也依赖于网络流量，本文建议工业互联网环境下的入侵检测系统优先使用基于流量的分析技术（DFI）和基础深度包的解析技术（DPI）对工业互联网流量进行分析和判断。基于流量的分析技术（DFI）具体来说是基于*Flow数据展开的，最为经典的当属NetFlow，还有sFlow、jFlow、IPFIX等。其特点是处理速度快，不进行解包操作，只需与流量模型比较，维护成本较低，因流量模型变化不大，无需考虑新应用的产生，识别率较高但较粗糙，因只对流量模型进行识别，所以识别率很高，不过也比较粗。例如NetFlow由“源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量”组成，可以检测到DoS、DDoS、网络蠕虫病毒、工具扫描以及其他恶意流量。基础深度包的解析技术（DPI），即“对流量的源IP、目的IP、源端口、目的端口、协议类型、包数量、字节数、连接开始时间、连接持续时间、连接结束时间、探针编号、数据流方向、初始标志位”等13类信息进行深度分析。其特点是处理速度较慢，由于要逐包进行拆包操作，并与后台特征库进行匹配，维护成本较高，新应用的产生，必须要相应更新后台特征库，识别率较低但较细致，因为一定会有新的应用不识别，然而识别的应用则会分析的很细致。上述两项技术均在美国国家态势感知体系中得到了有效的应用，因其发挥的出色作用，在入侵检测系统里应该优先使用。

2.4响应方式

传统入侵检测系统转变入侵防护系统的模式在工业互联网的企业中并不使用，工业网络中生产业务的连续性是第一优先级考虑的，以监代控是入侵检测系统在工业互联网环境下的应用特点，但考虑到工业网络在各层级均有设置监控管理中心，因此入侵检测系统针对安全事件的响应方式建议采取多维度处理。包括：

（1）邮件通知，向安全管理人员、业务管理人员、一线工作人员发送邮件告警。

（2）短信通知，向安全管理人员、业务管理人员、一线工作人员发送短信告警。

（3）现场灯控、声控通知，与现场工业告警装置结合，通过灯光、声音方式对高级别事件发出告警。

3结束语

工业互联网在我国还处于发展的初期阶段，建设内容、建设方向、最终形态仍在不断变化演变，安全行业内目前也尚无成熟的、覆盖全周期的入侵检测系统，工业网络从局域网孤岛互联互通成为“工业互联网”后，前期存留的安全问题在这个阶段集中爆发出来，为新形势下入侵检测系统的发展提出了较大挑战，但针对入侵检测和安全的探索应该矢志不移的不断开展，为我国发展工业互联网、实现网络强国战略提供有力的支撑保障。

参考文献:

[1]张钊谦吴重光.安全控制系统的设计思想[J].安全与环境学报20022(6):21-23.

[2]冯晓升史学玲.功能安全———一种保障安全的新思路[J].中国仪器仪表2005(10):46-56.

[3]苏建元.计算智能主要算法的比较与融合[J].中国电子科学研究院学报20072(1):52-5661.