浅析工业控制系统安全风险及入侵检测算法

2022-12-06张一鸣

网络安全技术与应用 2022年1期

◆张一鸣

浅析工业控制系统安全风险及入侵检测算法

◆张一鸣

（中国刑事警察学院公安信息技术与情报学院辽宁 110854）

在“深入实施制造强国战略”的历史条件下，我国工业生产能力得到迅速提升，“中国制造”逐步得到了世界的认可，我国工业已经衍变成为融合机械、化学和互联网等技术于一体的社会物质生产部门。在信息化时代的背景中，工业生产的稳定运行依赖于安全可靠的工业控制系统，当工业控制系统的网络安全保护功能无法有效防范网络攻击时，将严重影响工业生产。本文阐述了工业控制系统的安全性风险，并相应地提出有效的入侵检测算法。

工业控制系统；工业生产；信息化；安全性；入侵检测

工业控制系统（Industrial Control System，ICS）是工业生产过程的控制网络和系统的总称[1]。我国许多企业的ICS正逐步与互联网相连接以实现生产智能化，然而因历史原因，ICS在最初设计中未曾考虑网络安全问题，导致其与互联网相连后极易受到攻击。据以色列Claroty公司的2020年度工控系统安全报告显示，ICS常面临非法获取机密数据和DoS攻击的威胁。随着工业4.0时代的到来，工业网络有着数据多维化、底层设备接口及协议多样化等发展趋势，传统的工业防火墙时常被新型网络攻击攻破，不仅对工业生产的正常运作产生影响，还可能造成设备损毁和人员伤亡。因此，本文对工业控制系统信息安全进行研究分析，提高其安全运行的能力。

1 工业控制系统概述

ICS是用于监控工业生产过程、收集关键生产数据的一类控制与采集系统[2]。它允许用户对工业生产进行远程监控，并且为分散的工业生产控制以及监控设施提供远程访问和控制的服务[3]。传统ICS主要包括控制器、传感器和执行器，随着工业以太网等技术的发展，工控通信协议能够实现基于TCP/IP技术的信息传输，现代ICS已经形成了功能控制与信息传输相融合的三级网络结构[4]。

企业层是ICS中的最高层，其通过工业防火墙与外部互联网相连，可与互联网相互通信，并利用工业以太网与监控网通信，主要通过生产过程执行管理系统（manufacturing execution system，MES）对生产任务、人员调度、外界通讯、数据分析等进行管理。监测层是整个ICS的核心层级，通过人机交互界面（Human MachineInterface，HMI）便于工程师对生产过程进行过程控制及运行监控。控制层上，通常多采用分布式控制系统（Distributed Control System，DCS）对底层机械设备等进行控制，完成预期生产功能。

2 工业控制系统安全性威胁分析

由于ICS具有特殊的网络层级结构并受到工业生产环境因素的限制，使得针对ICS网络的攻击目的主要为窃取机密数据和破坏硬件设施。本文分析了ICS三层网络结构中所存在的安全隐患，总结出典型的攻击方式。

2.1 工业控制系统安全性分析

企业网是ICS层次架构中的最高层，主要对企业的数据进行处理、存储和检索。目前企业网已经开始与互联网相连以实现工业智能化，但存在防火墙配置不适当、缺乏安全边界控制、联网用户通过网络漏洞获取生产控制网络关键设备的运行控制数据等问题[5]，这大大增加了ICS被传统互联网中存在的恶意程序或者攻击造成破坏的可能性。

监测网对工业生产过程进行监控管理，可直接对控制网发出运行指令。由于企业的ICS普遍更新换代较慢，监测网中管理员站存在着许多漏洞却得不到及时修补或更新；同时我国的ICS及配套的工业设备多采购自外国，工程师在对ICS进行维护时往往采用远程访问的方式，而ICS本身缺乏认证机制，在维护过程中存在着未授权访的风险；另外工业应用软件随着ICS需求的增多而逐渐呈现专业化、规模化，但其高昂的价格使许多中小企业望而却步，转而使用盗版软件，由此带来了许多潜在危险。

在控制网层级中，各类机械设备、传感器均需通过现场总线与控制器连接以进行数据交换。在车间生产环境中，为避免错误报警、人为破坏等事件的发生，传感器常被部署在人员难以接触之处，但这为外界提供了窃听的便利，同时并不利于传感器的维护修理；工业生产在过程连续性和可靠性上有着较高要求，部分精密设备一旦停机将造成永久性损毁，因此即使发现安全隐患，也不能够停机进行维护；最后工业通信协议在设计时因与互联网存在物理隔离而未曾考虑网络安全问题，因此协议缺乏安全认证机制，并且通信过程中命令码通常采用明文传输，这使得底层数据容易被抓包并破解，为命令码滥用攻击埋下祸端。

2.2 工业控制系统入侵方式

受ICS的网络环境及物理环境限制，对ICS攻击的目的主要为破坏硬件设施和窃取机密数据两种，因此常见的ICS攻击方式有DoS攻击和IP欺骗，其中DoS攻击的数量较多，造成的危害也更大。

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。互联网中常见的DoS攻击方法有泪滴攻击、UDP洪泛、SYN洪泛等。而在工业环境下，DoS攻击常见方法为洪泛攻击和命令码滥用。洪泛攻击主要通过大量伪造数据对服务器主机发动进攻，达到占用内存或消耗CPU目的，致使无法对外部提供正常的网络服务[6]，并失去对下层的控制能力，常用于对ICS企业网和监测网的攻击；命令码滥用则是攻击者通过黑客技术，获取监测网中管理员站的使用权限，将大量不合理的指令码封装至命令数据包并发送到控制网中，而控制网中的设备不具备识别上层指令是否合理的能力，若执行了恶意指令，便可能影响底层设备运行甚至致其损毁。

IP欺骗攻击是一种获取对计算机未经许可的访问的技术，即攻击者通过伪IP地址向计算机发送信息，并显示该信息来自真实主机[7]。IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法IP地址。在工业环境下，由于设备维护升级、工程师发送控制命令等工作常需使用远程登录的方式接入ICS，IP欺骗攻击者便可假冒合法的IP地址接入ICS然后获取数据库访问权限，达到窃取机密数据的目的。

3 工业控制系统入侵检测算法

由ICS的安全性分析可发现，在工业设备无法停机维护的情况下，能否在ICS遭受入侵的第一时间检测出攻击数据流，对于保护ICS稳定运行有着至关重要的意义。本文总结分析了几种适用于ICS环境的机器学习入侵检测算法，将其应用至ICS防火墙中可显著提高入侵检测效率。

3.1 支持向量机（SVM）

SVM是一种基于Vapnik-Chervonenkis维和结构风险最小化原理的有监督学习模型，在人脸识别、文字识别、图像处理等各方面都得到了广泛应用[8]。SVM通过寻找集合边缘上的支持向量并依此求得一个平面，使得支持向量到该平面的距离最大。支持向量机的学习策略就是间隔最大化，其算法就是求解凸二次规划的最优化算法，关键在于求得分类间隔最大值的目标解[9]。与传统回归相比，传统回归需要回归函数完全等于结果，即回归公式必须加上损失。但SVM回归认为回归函数不是一条线而是一个区域，即原始结果只要在回归模型内，便可认为预测正确，不计算损失。支持向量机模型与许多机器学习算法能够很好地联合应用，使得支持向量机有着众多性能更佳的改进模型，有着较强的适应性和可升级性。

3.2 Boosting算法

Boosting算法是一种可以减小监督学习中偏差的机器学习算法。先从初始训练集训练出一个基学习器，再根据基学习器的表现对训练样本分布进行调整[10]，使得先前基学习器做错的训练样本在后续得到最大的关注；然后基于调整后的样本分布来训练下一个基学习器，如此重复进行，直至基学习器数目达到实现指定的值T为止。再将这T个基学习器进行加权结合得到集成学习器。Boosting算法中最为经典的是AdaBoost算法。AdaBoost算法使用了多次迭代的方法来创建分类器。它会依据每次训练后的样本集分类是否正确和上次分类的准确率，来确定数据集中样本的权值，将修改过权值的新数据集送给下层分类器进行训练，然后将每次训练得到的分类器相融合，得到的结果是一个比弱分类器更加准确的分类器，并作为最终的决策分类器以实现算法[11]。相较于其他机器学习算法，AdaBoost算法虽然对异常值和噪声数据比较敏感，但其具有能够显著改善子分类器预测精度、不需要先验知识、理论扎实、克服了过拟合问题等众多优点[12]。这使AdaBoost算法及其演化算法凭借其优秀性能受到不同领域研究人员的关注，目前被广泛应用于机器视觉、计算机安全、计算生物学等诸多领域[13]。

3.3 人工鱼群算法

人工鱼群算法是一种仿生优化算法，研究鱼类行为模式后发现，鱼群密度较大的地方食物通常较为充裕，以此为依据来模拟鱼群觅食、聚群、追尾等行为，以实现寻优的目的。在人工鱼的活动中，可以分为觅食行为、聚群行为、追尾行为和随机行为这四种行为，如何利用简单有效的方式来构造实现这些行为将是算法实施的主要问题[14]。觅食行为即人工鱼追寻食物多的方向游动的一种行为，在寻优中表示向较优方向进行的迭代；在聚群行为中，对每条人工鱼规定：尽量向邻近伙伴的中心移动同时又避免过分拥挤；追尾行为是一种向临近的最活跃者追逐的行为，在寻优算法中指向附近的最优化伙伴前进的过程；随机行为就是人工鱼在其视野内随机移动的行为，该行为可寻优算法陷入局部寻优。该算法具有对初值不敏感、鲁棒性高、全局搜索能力强且易与其他方法结合等优点，在参数优化和组合优化等工程实践领域有着重要应用。

3.4 随机森林算法

随机森林是一种集成的统计学习分类和回归算法，针对不同特征，组合多个决策树对相同现象产生相似的预测结果，在随机森林回归的过程中，其输出值为随机森林中所有决策树结果的平均值[15]。随机森林回归模型的本质为多个决策树组组成的分类器，最终的分类结果由所有决策树共同投票决定[16]。随机森林算法包含两类重要的参数：RF框架参数与RF决策树参数。随机森林能够处理多维度的数据，不需要做特征选择，在经过随机森林对样本数据进行训练完后，能够得到特征的重要性，同时随机森林算法可以并行运算，而且可以避免单棵决策树出现过拟合现象，其优势较为明显，但是需要较多的运算空间，对于企业硬件的运算能力有着不小挑战。

4 结语

随着工业生产对国家经济的助力作用日趋显著，攻击工业控制系统给社会治安等方面带来的危害也日趋严，工业控制系统的安全防护愈发重要，我国工控系统入侵检测技术起步较晚，工业生产环境具有复杂性等特点，企业需结合自身生产环境及工业控制系统类型，有针对性地进行入侵检测工作，提升企业网络安全防护能力。

[1]吴佩. 基于混合马尔科夫树模型的ICS异常检测方法研究[D].合肥工业大学，2018.

[2]KNOWLES W， PRINCE D， JONES K， et al. A survey of cyber security management in industrial controlsystems[J]. International Journal of Critical Infrastructure Protection.2015， 9（C）：52-80.

[3]尚文利，安攀峰，万明，等.工业控制系统入侵检测技术的研究及发展综述[J].计算机应用研究，2017，34（02）：328 -333+342.

[4]安攀峰. 基于加权SVM的工业控制网络入侵检测算法研究[D].沈阳理工大学，2017.

[5]张靖雯. 基于深度学习的工控异常检测及攻击分类方法研究[D].北京工业大学，2019.

[6]王晨光. 工控环境下DDoS攻击抑制的研究[D].北京交通大学，2018.

[7]张文哲，王璐，崔洪宇.TCP/IP协议的安全问题初探[J].电子技术与软件工程，2014（12）：20.

[8]姜建国，常子敬，吕志强，等.USB HID攻击检测技术研究[J].计算机学报，2019，42（05）：1018-1030.

[9]高妍. 一种基于SVM算法的不平衡数据分类方法[D].厦门大学，2018.

[10]徐军. 基于SDN的应用感知多路径网络资源分配系统[D].北京邮电大学，2019.

[11]王珊. 多类别天气图像分类算法研究[D].北京交通大学，2019.

[12]吴秀. 视频图像中人脸检测算法的研究与实现[D].杭州电子科技大学，2019.

[13]贾宏云. 基于AdaBoost模型的藏文文本分类研究与实现[D].西藏大学，2019.

[14]郭敏. 基于BP神经网络的温湿度传感器补偿算法研究[D].南京信息工程大学，2018.