工业控制系统入侵检测技术
2022-11-23 来源: 智造苑
随着计算机技术和网络的发展,政府、经济、军事、社会、文化和人们生活等各方面都越来越依赖于网络。但是由于早期网络协议设计对安全问题的忽视,以及使用和管理上的无政府状态,使得网络安全隐患始终难以解决,尽管目前已经有许多防火墙产品,但由于防火墙技术本身的局限性,无法彻底地防护智能化侵袭者如黑客对系统的攻击。
目前,有多种方法可以检测到网络入侵行为,但是几乎所有这些方法都要使用日志文件或跟踪文件。但是,这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来,则入侵行为很难检测。在1980James Anderson就提出了入侵检测(intrusion detection system,IDS)的概念,随后入侵检测被不断地发展。现在入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
「 1. 入侵检测系统原理」
入侵检测是一个动态的防御系统,可以识别防火墙不能识别的攻击,它是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。目前,针对大多数企业网络存在外部入侵、恶意攻击、信息泄漏、资源滥用等现状。入侵检测技术是防火墙技术合理而有效的补充,可以弥补防火墙的不足,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
对于入侵的行为检测可以分为两种模式[1]:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。第一种异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高。误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。入侵检测的信息来源一般来自4个方面:系统和网络日志、目录和文件中不期待的改变、程序行为中不期待的行为、物理形式的入侵信息。检测的内容主要针对有3种攻击:侦探型攻击、漏洞型攻击、拒绝服务型攻击。入侵检测包含了4个组件:事件产生器、事件分析器、响应单元、事件数据库。
如何去评价入侵检测系统,尚无形成规定的评估标准。一般可以从以下几个方面去评价:
(1)能保证自身的安全。和其他系统一样,入侵检测系统本身也往往存在安全漏洞。若对入侵检测系统攻击成功,则直接导致其报警失灵。因此入侵检测系统首先必须保证自己的安全性。
(2)运行与维护系统的开销。即消耗较少的资源,不影响受保护主机或网络的正常运行。
(3)入侵检测系统报警准确率。即误报和漏报的情况尽量少。
(4)网络入侵检测系统负载能力以及可支持的网络类型。
(5)支持的入侵特征数。
(6)是否支持IP碎片重组。入侵检测中,分析单个的数据包会导致误报和漏报,IP碎片的重组可以提高检测的精确度。
(7)是否支持TCP流重组。TCP流重组是为了对完整的网络对话进行分析,它是网格入侵检测系统对应用层防护的基础。
「 2. 工业入侵检测技术」
工业控制系统 (industrial control system,ICS) 是一类用于工业生产的控制系统的统称[2],是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合,包括数据采集与监控系统(SCADA),分布式控制系统(DCS)和执行控制功能的其他系统。工业控制系统广泛应用于各行各业,包括能源、电力、石油、交通、化工等,在国家基础设施中扮演着至关重要的角色,关系着国计民生。因此,一旦被攻击成功,将会为国家带来极其严重甚至不可挽回的损失,很容易成为攻击者的目标。传统的工业控制系统是基于物理隔离的,其主要关注点是系统的本身安危,这就不可避免地会造成对网络安全信息的考虑不到位和对专业安全防御措施缺乏的现象,所以现阶段的工业控制系统正面临着巨大的挑战。目前,在工业控制系统下安全防护技术应用中,采用安全架构和策略进行系统设计,并对系统进行安全漏洞扫描、信息传输加密、认证处理,同时采用访问控制和入侵检测等技术进行安全防御,以保障其安全、可靠、稳定的运行。工控系统入侵检测是根据正常行为操作与入侵攻击行为的模式差别,提取反映系统行为的数据特征,并通过设计的检测算法对入侵攻击行为数据进行识别,以实现对攻击行为的异常检测或攻击类型分类.由于工控入侵检测技术是基于系统行为数据建立异常攻击的检测系统,能够对异常行为模式进行识别,对工控系统的安全防御具有重要的作用。
1)工控系统入侵检测性能评价
典型的入侵检测系统测试指标有检测率(TPR)、漏报率(FNR)、误报率(FPR)。其中,检测率表示了对系统行为正确检测的性能,一般代表入侵检测的整体性能[3]。工控系统入侵检测研究需要根据实际应用环境综合考虑系统的检测性能。同时根据工业控制实时性的要求,降低模型复杂度和检测时间也是检测性能评价的一个重要标准。
2)工控系统入侵检测技术的研究对象
针对异常攻击行为检测的目标,工控入侵检测技术的应用是利用系统行为数据建立异常攻击行为的检测系统。首先根据入侵检测特征提取系统数据,建立入侵检测的训练数据集和测试数据集,并利用设计的入侵检测算法进行训练与测试,以达到相应的检测性能标准。随着工业控制系统网络化与信息化的深入发展,对异常行为的检测也具有更高的要求,相关的理论研究主要为检测特征选择和检测算法设计,由于实时分析对工控网络安全非常重要。为了提高入侵检测的实际应用能力,需要进一步研究对系统主机和网络行为数据的实时分析与处理,并降低模型复杂度和检测时间[4]。工控系统入侵检测技术应用如图1所示。
目前,有多种方法可以检测到网络入侵行为,但是几乎所有这些方法都要使用日志文件或跟踪文件。但是,这些文件记录的绝大多数数据是在系统正常运行时产生的。如果没有第三方工具把正常情形与异常情形时的记录内容区分开来,则入侵行为很难检测。在1980James Anderson就提出了入侵检测(intrusion detection system,IDS)的概念,随后入侵检测被不断地发展。现在入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
「 1. 入侵检测系统原理」
入侵检测是一个动态的防御系统,可以识别防火墙不能识别的攻击,它是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。目前,针对大多数企业网络存在外部入侵、恶意攻击、信息泄漏、资源滥用等现状。入侵检测技术是防火墙技术合理而有效的补充,可以弥补防火墙的不足,它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
对于入侵的行为检测可以分为两种模式[1]:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。第一种异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高。误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。入侵检测的信息来源一般来自4个方面:系统和网络日志、目录和文件中不期待的改变、程序行为中不期待的行为、物理形式的入侵信息。检测的内容主要针对有3种攻击:侦探型攻击、漏洞型攻击、拒绝服务型攻击。入侵检测包含了4个组件:事件产生器、事件分析器、响应单元、事件数据库。
如何去评价入侵检测系统,尚无形成规定的评估标准。一般可以从以下几个方面去评价:
(1)能保证自身的安全。和其他系统一样,入侵检测系统本身也往往存在安全漏洞。若对入侵检测系统攻击成功,则直接导致其报警失灵。因此入侵检测系统首先必须保证自己的安全性。
(2)运行与维护系统的开销。即消耗较少的资源,不影响受保护主机或网络的正常运行。
(3)入侵检测系统报警准确率。即误报和漏报的情况尽量少。
(4)网络入侵检测系统负载能力以及可支持的网络类型。
(5)支持的入侵特征数。
(6)是否支持IP碎片重组。入侵检测中,分析单个的数据包会导致误报和漏报,IP碎片的重组可以提高检测的精确度。
(7)是否支持TCP流重组。TCP流重组是为了对完整的网络对话进行分析,它是网格入侵检测系统对应用层防护的基础。
「 2. 工业入侵检测技术」
工业控制系统 (industrial control system,ICS) 是一类用于工业生产的控制系统的统称[2],是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合,包括数据采集与监控系统(SCADA),分布式控制系统(DCS)和执行控制功能的其他系统。工业控制系统广泛应用于各行各业,包括能源、电力、石油、交通、化工等,在国家基础设施中扮演着至关重要的角色,关系着国计民生。因此,一旦被攻击成功,将会为国家带来极其严重甚至不可挽回的损失,很容易成为攻击者的目标。传统的工业控制系统是基于物理隔离的,其主要关注点是系统的本身安危,这就不可避免地会造成对网络安全信息的考虑不到位和对专业安全防御措施缺乏的现象,所以现阶段的工业控制系统正面临着巨大的挑战。目前,在工业控制系统下安全防护技术应用中,采用安全架构和策略进行系统设计,并对系统进行安全漏洞扫描、信息传输加密、认证处理,同时采用访问控制和入侵检测等技术进行安全防御,以保障其安全、可靠、稳定的运行。工控系统入侵检测是根据正常行为操作与入侵攻击行为的模式差别,提取反映系统行为的数据特征,并通过设计的检测算法对入侵攻击行为数据进行识别,以实现对攻击行为的异常检测或攻击类型分类.由于工控入侵检测技术是基于系统行为数据建立异常攻击的检测系统,能够对异常行为模式进行识别,对工控系统的安全防御具有重要的作用。
1)工控系统入侵检测性能评价
典型的入侵检测系统测试指标有检测率(TPR)、漏报率(FNR)、误报率(FPR)。其中,检测率表示了对系统行为正确检测的性能,一般代表入侵检测的整体性能[3]。工控系统入侵检测研究需要根据实际应用环境综合考虑系统的检测性能。同时根据工业控制实时性的要求,降低模型复杂度和检测时间也是检测性能评价的一个重要标准。
2)工控系统入侵检测技术的研究对象
针对异常攻击行为检测的目标,工控入侵检测技术的应用是利用系统行为数据建立异常攻击行为的检测系统。首先根据入侵检测特征提取系统数据,建立入侵检测的训练数据集和测试数据集,并利用设计的入侵检测算法进行训练与测试,以达到相应的检测性能标准。随着工业控制系统网络化与信息化的深入发展,对异常行为的检测也具有更高的要求,相关的理论研究主要为检测特征选择和检测算法设计,由于实时分析对工控网络安全非常重要。为了提高入侵检测的实际应用能力,需要进一步研究对系统主机和网络行为数据的实时分析与处理,并降低模型复杂度和检测时间[4]。工控系统入侵检测技术应用如图1所示。
图1 工控系统入侵检测技术应用图
「 3. 工控系统入侵检测技术分类」
ICS没有一个明确的分类方法[5],目前仍主要采用传统分类方法进行分类,可从检测技术和数据源2个维度进行划分,如图2所示。
图2 工控系统入侵检测技术分类图
1)基于不同数据来源分类
入侵检测系统(IDS)通过监视和分析主机或网络上的活动来检测内部和外部攻击对系统的威胁[6]。在这种威胁下,主机或网络的机密性、完整性或可用性将遭受到影响。在传统 IT 系统中,根据收集到的数据的位置和来源,IDS 可以分为基于网络的 IDS 和基于主机的 IDS。这种分类与工控系统有相似之处,然而由于工控系统在架构、功能、使用设备等方面的不同,可以将针对工控系统的 IDS 分为基于网络的 IDS 和基于应用的 IDS。
(1)基于网络的 IDS。基于网络的 IDS也称为基于流量的IDS,系统通信过程中的数据流量进行分析,针对不同的流量特征,建立检测模型并对系统中的异常行为进行检测。通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。可检测协议攻击、特定环境的攻击等多种攻击。但是他只能检测本网段的活动,且进度较差,在交换网络环境下难于配置,防欺骗能力较差。基于串口的 Modbus 网络上存在的4类可以被攻击者利用以发起攻击的漏洞,并据此提出了 Snort 规则来检测和防御这些漏洞。基于工业网络中的网络数据包和节点数据,给出了一种基于多模型的异常检测方法,设计了一种新型的基于嵌入式智能和弹性协调的多模式异常入侵检测系统,并利用智能隐马尔可夫模型的分类器来区分实际的攻击与故障,来克服异常检测的缺点。
一个基于层次结构的序列感知 IDS,系统最底层的 Reader 层负责捕获数据信息(如文件、网络数据包、数据流等)。基于网络流量,除了基于半监督 K-means 算法的异常检测方法。针对工控系统的不同结构层提出了相应的入侵检测方法。其中,将多分类 SVM 算法用于工控系统的过程监控层的检测[7]。其次,根据 ICS 现场设备层的网络特性和入侵特点,给出了一种3层入侵检测方法.基于串口的 Modbus 网络(Modbus RTU 模式和 Modbus ASCII 模式)上存在的四类可以被攻击者利用以发起攻击的漏洞,并据此提出了 Snort 规则来检测和防御这些漏洞。基于工业网络中的网络数据包和节点数据,给出了一种基于多模型的异常检测方法,设计了一种新型的基于嵌入式智能和弹性协调的多模式异常入侵检测系统,并利用智能隐马尔可夫模型的分类器来区分实际的攻击与故障,来克服异常检测的缺点提出了一个基于层次结构的序列感知IDS,系统最底层的 Reader 层负责捕获数据信息(如文件、网络数据包、数据流等)。
基于 SCADA 系统的系统知识,包括系统组件,通信流量,系统关键状态和系统组件的脆弱性,通过分析系统知识及系统状态,提出了一种适用于 Modbus、DNP3等协议的入侵检测方法。许多学者还研究了工控系统安全防御问题以及工控网络防御资源分配问题,基于网络流量提出了基于半监督 K-means 算法的异常检测方法。对工控系统的不同结构层提出了相应的入侵检测方法。其中,作者将多分类 SVM 算法用于工控系统的过程监控层的检测其次,根据 ICS 现场设备层的网络特性和入侵特点,给出了一种3层入侵检测方法。SVM对入侵行为的类别划分如图3所示。
图3 SVM对入侵行为的类别划分图
(2)基于应用的 IDS。工业控制系统的应用程序通常会记录相关受监督和受控流程的有价值信息,并将其存储在历史记录服务器中,以便用于系统维护、执行业务、保留历史数据等。ICS应用数据是由传感器和执行器产生的控制数据和测量数据,这些数据作为应用程序数据的主要部分。基于应用的一种无监督学习的异常检测方法。该方法主要包括两个阶段:第一,对正常和异常操作状态进行自动分类。第二,自动取这些状态的邻近。有的方法提出了模拟热风炉拱顶温度控制系统,然后改进了非参数 CUSUM 算法,针对模拟系统实现入侵检测并报警。为了监测核电站等关键过程系统提出了一种异常入侵检测方法,该方法使用与自动关联核回归(AAKR)模型结合的顺序概率比测试(SPRT)来实现。现在提出了一种新颖的基于域感知的异常检测系统,可以检测 SCADA 控制寄存器值的不规则变化。用数据驱动的方法来检测工业设备中的异常行为,其中两个多元分析技术,即主成分分析(PCA)[8]和偏最小二乘法(PLS)相结合来建立检测模型。
2)基于检测技术分类
按照检测策略的不同,工业控制系统入侵检测又可以分为两大类:基于误用的检测和基于异常的检测。
(1)基于误用的IDS。基于误用的IDS,也称为基于知识的检测,它是指运用已知攻击方法,根据已定义好的入侵模式,通过分析入侵模式是否出现来检测。它通过分析入侵过程的特征、条件、排列以及事件间的关系来描述入侵行为的迹象。误用检测技术首先要定义违背安全策略事件的特征,判别所搜集到的数据特征是否在所搜集到的入侵模式库中出现。这种方法与大部分杀毒软件采用的特征码匹配原理类似。它包括几种方法:专家系统、模型推理、转化状态分析、模式匹配、键盘监控。
另外,建模技术的类型,检测模型的建立过程以及异常的阈值的定义等一些因素对工控系统异常检测的性能有重要影响。通常,根据数据集是否有标签数据将机器学习的方法分为3类:监督、半监督和无监督。在监督学习中[9],基于异常的IDS需要带有正常和异常行为的类别标签的数据,然而,识别大量数据的类别标签是昂贵且花费时间的.因此,半监督学习作为替代方案被提出,然而这种学习方式的主要缺点是难以获得全面,“纯粹”的正常数据。这是因为收集正常数据需要目标系统较长一段时间内保证在正常的条件下运行,然而在这一数据收集过程中仍然可能会发生入侵事件。另一方面,由于未来可能出现的异常行为无法预知,所以仅仅依赖异常数据建立异常情况是不可行的。而采用无监督学习的 IDS能够从未标记的数据中建立正常或异常数据的模型,这是一种节约成本的方法,虽然效率低,准确性差。
(2)基于异常的 IDS。基于工控系统异常的 IDS ,也称为行为的检测,是指根据使用者的行为或资源使用情况来判断是否发生入侵,而不依赖于具体行为是否出现来检查。该技术首先假设网络攻击行为是不正常的或者是异常的,区别于正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离正常的行为轨迹,就可以被检测出来。它主要包括几种方法:用户行为概率统计模型、预测模式生成、神经网络[9]。
参考文献
[1] 尚文利,安攀峰,万明,等. 工业控制系统入侵检测技术的研究及发展综述[J]. 计算机应用研究,2017(02).[2] 杨安,孙利民,王小山,等. 工业控制系统入侵检测技术综述[J]. 计算机研究与发展,2016(09).[3] 冯凯. 工业控制网络入侵检测系统的设计与实现[D]. 郑州:郑州大学,2018.[4] 严益鑫,邹春明. 工业控制系统IDS技术研究综述[J]. 网络空间安全,2019(02).[5] COELLA A. Industrial control system cyber threats indicators in smart grid technology. Proceedings of the International Conference on Network-Based Information Systems,2014.[6] ZHANG X W,ZHANG W,GUO X W. Design and implementation of industrial firewall configuration management system. Proceedings of the 2nd International Forum on Management, Education and Information Technology Application,2017.[7] SAHU S K,KATIYAR A,KUMARI K M,et al. An SVM-Based Ensemble Approach for Intrusion Detection[J]. International Journal of Information Technology a,2019 (1).[8] SALO F,NASSIF A B,ESSEX A. Dimensionality Reduction with IG-PCA and Ensemble Classifier for Network Intrusion Detection[J]. Computer Networks,2018.[9] 吴峻,李洋. 基于BP神经网络和特征选择的入侵检测模型[J]. 计算机工程与应用,2008(30).
引自:《智能制造信息安全技术》(作者:秦志光, 聂旭云, 秦臻)
相关新闻
版权声明
1、凡本网注明“来源:中国轻工业网” 的作品,版权均属于中国轻工业网,未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国轻工业网”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明 “来源:XXX(非中国轻工业网)” 的作品,均转载自其它媒体,转载目的在于信息之传播,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其它问题需要同本网联系的,请于转载之日起30日内进行。
4、免责声明:本站信息及数据均为非营利用途,转载文章版权归信息来源网站或原作者所有。
