引 言

工業(yè)控制系統(tǒng)（Industrial Control System，ICS）指能夠?qū)I(yè)生產(chǎn)起到調(diào)控作用的系統(tǒng)，包含監(jiān)視控制與數(shù)據(jù)采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）及其他工業(yè)有關(guān)部門和生產(chǎn)現(xiàn)場的小型控制系統(tǒng)（PLC）等，是電力、能源、化工等國家關(guān)鍵基礎設施的核心 [1-2]。

互聯(lián)與共享成為工業(yè)控制系統(tǒng)新的發(fā)展方向，工控系統(tǒng)與企業(yè)辦公網(wǎng)和互聯(lián)網(wǎng)逐漸相連，工業(yè)控制網(wǎng)絡環(huán)境變得越來越開放。而由于傳統(tǒng)工業(yè)控制系統(tǒng)本身缺乏對網(wǎng)絡信息安全的保障，缺乏專門的安全防御措施 [3]。近年來，工業(yè)控制系統(tǒng)新型攻擊手段層出不窮，尤其是震網(wǎng)（Stuxnet）病毒事件發(fā)生后，鑒于工業(yè)控制系統(tǒng)的安全直接關(guān)系到國家關(guān)鍵基礎設施的安危，影響社會穩(wěn)定，因此引起各國高度重視。

工業(yè)控制系統(tǒng)需從設備安全和信息數(shù)據(jù)安全兩方面保障系統(tǒng)穩(wěn)定運行，從 ICS 自身結(jié)構(gòu)看，由于通信協(xié)議相對簡單、操作系統(tǒng)和軟件沒有相應的防護措施，這些漏洞都可被利用進行破壞性的操作 ；從外部網(wǎng)絡環(huán)境看，ICS 廣泛使用 TCP/IP等通信協(xié)議，導致傳統(tǒng)的 IT系統(tǒng)攻擊行為蔓延到工控網(wǎng)絡， 致使工業(yè)控制系統(tǒng)面臨更大的安全威脅 [4]。

1 工業(yè)控制系統(tǒng)入侵檢測技術(shù)發(fā)展現(xiàn)狀

目前，工業(yè)控制入侵檢測系統(tǒng)（IDS）是依據(jù)安全架構(gòu)和策略進行設計，并對系統(tǒng)進行安全漏洞掃描、安全配置加強、身份認證處理，同時采用訪問控制、滲透檢測等技術(shù)進行安全防御，保障工控系統(tǒng)安全穩(wěn)定運行 [5]。入侵檢測是一種主動的安全防護技術(shù)，通過對系統(tǒng)通信行為的實時監(jiān)視、分析， 以檢測出異常的攻擊行為操作，并在攻擊行為產(chǎn)生危害前進行攔截、報警、系統(tǒng)恢復等操作 [6]。

當前，已經(jīng)有很多面向 ICS 的安全產(chǎn)品，如殺毒軟件、工控火墻、網(wǎng)閘等。但安全產(chǎn)品的研發(fā)需考慮 ICS 的特殊性， 若直接使用IT 領域原有的產(chǎn)品，不但達不到期望的效果，反而會帶來新的適應性問題。

2 基于流量的入侵檢測設計

目前廣泛應用的 ICS 入侵檢測主要采用基于特征和基于異常兩種原理?；谔卣鞯臋z測技術(shù)類似殺毒軟件，對于已發(fā)生的攻擊方式檢測效率較高，但無法識別新類型的攻擊方式 ；基于異常的入侵檢測與攻擊方式無關(guān)，因此具有更高的安全性[7]。但由于技術(shù)發(fā)展尚不成熟，誤報率和漏報率相比前者要高。對于傳統(tǒng)的 TCP/IP 網(wǎng)絡，入侵檢測系統(tǒng)是一個研究成熟的領域，但由于通信協(xié)議和工業(yè)安全要求的特殊性，傳統(tǒng)的入侵檢測系統(tǒng)不能提供針對工業(yè)控制系統(tǒng)攻擊的有效安全防護。以 SCADA 系統(tǒng)為例，最近發(fā)布了一些可檢測針對SCADA 協(xié)議的攻擊的規(guī)則和預程序模型，利用這些規(guī)則的IDS 能夠確定基于單包的攻擊。然而，針對 SCADA 的攻擊不僅基于單包，需要一個攻擊的關(guān)聯(lián)機制。本文提出了一種基于流量的入侵檢測方法，其原理是根據(jù)通過數(shù)據(jù)包的 IP 地址和端口號來確定不同的通信雙方，從而可更加準確地檢測通過的數(shù)據(jù)包，提高入侵檢測系統(tǒng)的準確性。

2.1 入侵檢測技術(shù)的原理

實際的工業(yè)生產(chǎn)基本都具有周期性特點，這也是 ICS 網(wǎng)絡跟傳統(tǒng) IT 網(wǎng)絡之間的區(qū)別。IT 網(wǎng)絡由于使用者的隨機性很強，比如在某個辦公網(wǎng)內(nèi)，不能保證各時間段內(nèi)使用人數(shù)不變， 因此網(wǎng)絡流量呈現(xiàn)出不確定的特點 ；但針對工業(yè)控制系統(tǒng)通信網(wǎng)絡來說，由于生產(chǎn)流程需預先設定，因此周期性特點較突出， 而這也是將流量特征作為檢測特征的原因。

工業(yè)控制系統(tǒng)通信網(wǎng)絡具有周期性特點，這是基于流量特征的入侵檢測模塊的適用條件。基于流量特征的入侵檢測模塊選取的檢測特征是流量特征，具體來說即某個時間段內(nèi)， 由IP 地址和端口號確定通信雙方通過的數(shù)據(jù)包數(shù)量。流量特征的選取意味著要求工業(yè)控制系統(tǒng)通信網(wǎng)絡需要具有周期性特點假設工業(yè)控制系統(tǒng)通信網(wǎng)絡不具有周期性特點，即任意時間段內(nèi)，由 IP 地址和端口號確定的通信雙方之間通過的數(shù)據(jù)包數(shù)量是隨機的，將會導致流量特征失效，無法使用流量特征作為入侵模塊的檢測特征。

根據(jù)工業(yè)控制系統(tǒng)環(huán)境中通信的周期性特點，將實際的通信流量和時間的對應關(guān)系作為一種檢測特征，根據(jù)生產(chǎn)工藝特征，計算出不同時間段內(nèi)通過流量的上限閾值和下限閾值。檢測過程中，若某個時間段內(nèi)出現(xiàn)數(shù)值不在上、下閾值范圍內(nèi)的情況則報警。

2.2 入侵檢測流程

本文提出了一種基于流量特征的入侵檢測方法，先記錄下控制端和執(zhí)行端的 IP 和端口號等，再處理數(shù)據(jù)，將流量和時間對應的特征建立向量集合，最后進行入侵檢測 ；若發(fā)現(xiàn)有未知 IP 地址或端口進行通信，且某個時間段內(nèi)的通信流量大于或小于學習階段的閾值，則報警。這種方法能極大地提高系統(tǒng)的通信安全性，具體流程如圖 1 所示。

                                                                                       圖1 基于流量統(tǒng)計的入侵檢測流程圖

當系統(tǒng)數(shù)據(jù)包經(jīng)過基于流量特征的入侵檢測模塊時，檢測模塊會統(tǒng)計對應時間段內(nèi)通過的數(shù)據(jù)包數(shù)量，并跟預先設定的對應數(shù)據(jù)包數(shù)量做比對，若檢測合法則令其通過，否則報警。

該流程為基于流量特征的入侵檢測流程，其中數(shù)據(jù)包截取字段后需要處理成（YIP，Yd，DIP，Dd，T，N）向量格式。YIP是通信數(shù)據(jù)包的源 IP 地址 ；Yd為通信數(shù)據(jù)包源端口；DIP為通信數(shù)據(jù)包目的IP 地址 ；Dd為通信數(shù)據(jù)包目的端口；T 為時刻值 ； N 為T 時間段內(nèi)通過的數(shù)據(jù)包數(shù)量。超過統(tǒng)計合法數(shù)據(jù)包范圍， 判斷為通信異常，這代表攻擊者通過對服務器端發(fā)送大量的請求數(shù)據(jù)包使得服務器端無法正常響應。

2.3 檢測技術(shù)的應用

假設主設備 1 的 IP 地址是 192.10.16.222， 端口號是228，跟 3個不同的從設備通信分別使用 3個不同的端口1228，2228，3228，3個從設備的 IP地址分別為 192.10.16.101，192.10.16.102，192.10.16.103，此處從設備通信對待檢測的工業(yè)控制系統(tǒng)通信進行數(shù)據(jù)包檢測、識別和分析。首先進行數(shù)據(jù)包截取，提取的字段包括源 IP 地址、源端口號、目的 IP 地址、目的端口號等。

根據(jù)雙方通信的數(shù)據(jù)包數(shù)量進行統(tǒng)計分析，而此處的通信雙方不僅是不同的主設備和從設備組合，還包含同樣的主設備、從設備組合中的不同端口組合。通信數(shù)據(jù)包的上限為 60， 下限為 30，第 3行中通信數(shù)據(jù)包的數(shù)量是 120，遠遠超過了統(tǒng)計合法數(shù)據(jù)包范圍，判斷為通信異常，這代表攻擊者通過對通信的服務器端發(fā)送大量的請求數(shù)據(jù)包，使得服務器端無法響應流量數(shù)據(jù)包樣本見表 1所列。

對于多設備間互相傳輸?shù)墓I(yè)控制系統(tǒng)來說，可將數(shù)據(jù)包組合成 M×N 組向量的形式。在 M×N 組數(shù)據(jù)中，分別將每組數(shù)據(jù)組成向量（YIP，Yd，DIP，Dd，T，N），再將 M×N 組向量傳入檢測模塊，基于兩個條件判斷其是否異常：

基于時間流量的入侵檢測模塊監(jiān)測某一組向量是否出現(xiàn)非法 IP，非法端口或非法組合，若出現(xiàn)非法的數(shù)據(jù)包流向， 則判斷該組向量異常；

根據(jù)源 IP地址和設備端口號確定通信雙方，若時刻值 T通信雙方的通信數(shù)據(jù)包數(shù)量 N在合法的通信數(shù)據(jù)包上、下限閾值之間，則判斷該組向量正常，否則判斷該組向量異常， 并報警。

3 結(jié) 語

針對當今工業(yè)控制系統(tǒng)入侵檢測技術(shù)針對性不強的問題， 本文根據(jù)工業(yè)生產(chǎn)周期性的特點，提出了一種基于流量特征的入侵檢測技術(shù)，通過 IP地址和端口號將不同的通信方區(qū)分開， 針對工業(yè)控制網(wǎng)絡設備多、線路多的特點，先通過數(shù)據(jù)流向判斷其是否合法，再根據(jù)流量的上、下限閾值識別出異常數(shù)據(jù)， 提高檢測的準確性，經(jīng)驗證，該方法有效、可靠。