基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法*

孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學(xué) 國(guó)防工程學(xué)院,江蘇 南京 210007)

基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法*

孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學(xué) 國(guó)防工程學(xué)院,江蘇 南京 210007)

工業(yè)控制系統(tǒng)隨時(shí)都面臨遭到攻擊的風(fēng)險(xiǎn)，為了保障其安全可靠的運(yùn)行，文章在前人提出的入侵防御系統(tǒng)的基礎(chǔ)上做出了改進(jìn)，簡(jiǎn)化了原本的防御邏輯流程，提高了入侵防御的效率，并以時(shí)間為自適應(yīng)目標(biāo)，突出了時(shí)間在工業(yè)控制系統(tǒng)中的重要性，提出了一種基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法。然后用UPPAAL對(duì)其建模，分別驗(yàn)證了其安全性、可達(dá)性、活性，充分證明了該基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)是高效可行的。

控制理論；入侵防御

0 引言

工業(yè)控制系統(tǒng)(Industrial Control System,ICS)被廣泛應(yīng)用在國(guó)家關(guān)鍵基礎(chǔ)設(shè)施中,是石化、冶金、交通等有效運(yùn)行的重要環(huán)節(jié)[1]。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與ICS的深度融合,使得原本相對(duì)孤立封閉的工業(yè)控制系統(tǒng)變得越來(lái)越開(kāi)放,面臨日趨嚴(yán)重的信息安全問(wèn)題[2]。為此人們開(kāi)發(fā)出了許多針對(duì)具體安全問(wèn)題的安全技術(shù)和系統(tǒng)。防火墻和入侵檢測(cè)是其中兩種主要的網(wǎng)絡(luò)安全技術(shù)[3]。但這兩者都存在著各自的缺陷，不能很好地解決目前面臨的網(wǎng)絡(luò)安全問(wèn)題[4-5]。在此背景下，人們提出入侵防御系統(tǒng)(Intrusion Prevention System，IPS)的解決方案[6-7]。

IPS是一種主動(dòng)的、智能的入侵檢測(cè)、防范、阻止系統(tǒng),其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性行為進(jìn)行攔截,避免其造成任何損失,而不是簡(jiǎn)單地在惡意行為傳送時(shí)或傳送后才發(fā)出警報(bào)。簡(jiǎn)單地理解,可認(rèn)為IPS就是防火墻和入侵檢測(cè)系統(tǒng)的組合[8-10]。入侵防御系統(tǒng)同時(shí)具備防火墻和入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)的功能。

在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的入侵防御系統(tǒng)中，構(gòu)建自適應(yīng)結(jié)構(gòu)模型是一個(gè)重要的研究方向[11]。實(shí)現(xiàn)基于自適應(yīng)的網(wǎng)絡(luò)入侵防御系統(tǒng)，在能夠防御入侵的同時(shí)還擁有自適應(yīng)的能力，這樣才能有效地提高入侵防御系統(tǒng)的性能[12]。本文結(jié)合控制理論和軟件自適應(yīng)的知識(shí)，提出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御方法。

1 入侵防御系統(tǒng)

入侵防御系統(tǒng)是最近幾年產(chǎn)生的一種安全產(chǎn)品，它是隨著網(wǎng)絡(luò)的高速發(fā)展而產(chǎn)生的。IPS 是在入侵檢測(cè)系統(tǒng)的基礎(chǔ)之上發(fā)展起來(lái)的，它不僅具有入侵檢測(cè)系統(tǒng)檢測(cè)攻擊行為的能力，而且具有防火墻攔截攻擊并且阻斷攻擊的功能，但是 IPS 并不是 IDS 的功能與防火墻功能的簡(jiǎn)單組合，IPS 在攻擊響應(yīng)上采取的是主動(dòng)、全面、深層次的防御[13]。

入侵防御系統(tǒng)是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域中最常用的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品，它的主要功能在于檢測(cè)與防御，但是入侵防御系統(tǒng)又不同于入侵檢測(cè)系統(tǒng)，它會(huì)在檢測(cè)到攻擊后采取各種響應(yīng)方式來(lái)進(jìn)行防御；防火墻可以通過(guò)多種途徑阻斷攻擊，包括丟棄數(shù)據(jù)包、阻斷連接、發(fā)送 ICMP 不可達(dá)數(shù)據(jù)包等，但是防火墻無(wú)法檢測(cè)到攻擊，它只能被動(dòng)地通過(guò)用戶(hù)配置規(guī)則來(lái)實(shí)現(xiàn)防御。入侵防御系統(tǒng)同時(shí)兼有入侵檢測(cè)系統(tǒng)和防火墻的功能，可以說(shuō)，入侵防御系統(tǒng)是入侵檢測(cè)系統(tǒng)與防火墻發(fā)展的產(chǎn)物[14]。

與 IDS 及防火墻相比，IPS 有其自身的特點(diǎn)，其主要優(yōu)點(diǎn)有：(1) 積極主動(dòng)防御攻擊：IPS 兼有 IDS 檢測(cè)攻擊的能力和防火墻防御攻擊的能力，但是 IPS 又不是 IDS 與防火墻聯(lián)動(dòng)的組合，IPS 防御攻擊是主動(dòng)的，并且提供了各種防御手段和措施。(2) 防御層次深靈活性強(qiáng)：IPS 提供了多種防御手段，具有強(qiáng)有力的實(shí)時(shí)阻斷功能，能夠提前檢測(cè)出已知攻擊與未知攻擊，并對(duì)網(wǎng)絡(luò)攻擊流量和網(wǎng)絡(luò)入侵活動(dòng)進(jìn)行攔截。入侵防御系統(tǒng)一般重新構(gòu)建協(xié)議棧，通過(guò)重組還原出隱藏在多個(gè)數(shù)據(jù)包中的攻擊特征，并能夠深入多個(gè)數(shù)據(jù)包的內(nèi)容中挖掘攻擊行為，從而檢測(cè)出深層次的攻擊[15-16]。

目前大部分入侵防御系統(tǒng)的功能和模塊比較多，在不同的環(huán)境下，有些功能模塊是不需要的，但一款I(lǐng)PS 在投入使用時(shí)并不能根據(jù)具體環(huán)境來(lái)安裝或是刪除某個(gè)模塊，導(dǎo)致系統(tǒng)龐大而復(fù)雜。此外，大部分入侵防御系統(tǒng)自適應(yīng)性較差，大多數(shù)產(chǎn)品都聚焦在自適應(yīng)學(xué)習(xí)上[17]，而忽略了時(shí)間的重要性。針對(duì)此兩點(diǎn)不足，本文提出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)。該系統(tǒng)以簡(jiǎn)單有效的閉環(huán)控制理論為基礎(chǔ)，結(jié)合自適應(yīng)的相關(guān)知識(shí)，以時(shí)間作為自適應(yīng)目標(biāo)，這使得系統(tǒng)相對(duì)簡(jiǎn)潔，運(yùn)行邏輯清晰，突出了時(shí)間這一關(guān)鍵因素。

2 基于控制理論的入侵防御系統(tǒng)建模與形式化驗(yàn)證

首先結(jié)合控制理論的知識(shí)設(shè)計(jì)出總體架構(gòu)，然后用UPPAAL建立各模塊的模型，各模塊通過(guò)收發(fā)消息鏈接起來(lái)，組成一個(gè)統(tǒng)一的系統(tǒng)。本文以時(shí)間作為自適應(yīng)目標(biāo)，采用了計(jì)時(shí)反饋機(jī)制。從執(zhí)行器接到執(zhí)行命令開(kāi)始計(jì)時(shí)，要求在規(guī)定的時(shí)間內(nèi)處理完問(wèn)題，若反饋時(shí)間超過(guò)規(guī)定的毫秒數(shù)，則立即報(bào)警通知工作人員進(jìn)行處理，這種方法能很好地保持系統(tǒng)的高效穩(wěn)定運(yùn)行程度。

2.1 總體架構(gòu)

圖1 總體框架圖

該系統(tǒng)以 “感知-規(guī)劃-動(dòng)作”的控制理論為總體框架，融入基于“感知-決策-調(diào)整”的軟件自適應(yīng)的相關(guān)知識(shí)[18]，采用控制理論框架和軟件自適應(yīng)的內(nèi)容來(lái)研究入侵檢測(cè)系統(tǒng)，稱(chēng)為IPSC(Intrusion Prevention System based Control Theory )?？傮w框架和模型如圖1、圖2所示。

圖2 總體模型

2.2 感知器

感知器主要是探測(cè)存在安全威脅信息的模塊，起著安全風(fēng)險(xiǎn)感知的作用。其核心技術(shù)是如何能全面、快速地獲取數(shù)據(jù)信息。根據(jù)目前工業(yè)控制系統(tǒng)數(shù)據(jù)量大、保密要求高等特點(diǎn)，本文結(jié)合網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)審計(jì)記錄和應(yīng)用程序日志這三條途徑獲取信息來(lái)設(shè)計(jì)該模塊。感知器的框架和模型如圖3、圖4所示。

圖3 感知器框架

圖4 感知器模型

2.3 控制器模塊

控制器主要是對(duì)感知器探測(cè)到的數(shù)據(jù)進(jìn)行整理與分類(lèi)，判斷出正常行為和入侵行為，起到安全防御決策分析的作用。根據(jù)工業(yè)控制系統(tǒng)的特點(diǎn)和各種分類(lèi)算法的優(yōu)缺點(diǎn)，發(fā)現(xiàn)樸素貝葉斯分類(lèi)算法比較適合該系統(tǒng)，因此該模塊利用改進(jìn)的樸素貝葉斯分類(lèi)算法做為分類(lèi)器，以此提高其檢測(cè)的準(zhǔn)確性與高效性。控制器的框架和模型如圖5、圖6所示。

圖5 控制器框架

圖6 控制器模型

2.4 執(zhí)行器模塊

執(zhí)行器主要是根據(jù)控制器的分析結(jié)果，做出相應(yīng)的處理措施，起到執(zhí)行安全防御控制措施的作用。針對(duì)復(fù)雜的工業(yè)控制系統(tǒng)，本文提出一系列簡(jiǎn)單、高效的措施，以此提高處理問(wèn)題的效率。執(zhí)行器的框架和模型如圖7、圖8所示。

圖7 執(zhí)行器框架

圖8 執(zhí)行器模型

2.5 形式化驗(yàn)證

首先在UPPAAL的模擬器中模擬各個(gè)模塊的交互情況，并在得到的巡檢時(shí)序圖和消息控制序列圖中，詳細(xì)地顯示了各個(gè)模塊之間的交互情況以及每個(gè)模塊內(nèi)部的運(yùn)行情況。在模擬Trace列表中，奇數(shù)行表示各個(gè)模塊內(nèi)部狀態(tài)的變化情況，偶數(shù)行表示各模塊之間的通信情況。在消息控制序列圖中，第一列記錄了Totalframework的狀態(tài)，第二列記錄了Sensor的狀態(tài),第三列記錄了Controller的狀態(tài)，第四列記錄了Actuator的狀態(tài)。消息控制序列以圖文的形式表示出各模塊的運(yùn)行及交互情況，縱向表示每個(gè)模塊的運(yùn)行狀況，橫向表示各模塊相互之間的通信情況以及在同一時(shí)間每個(gè)模塊的運(yùn)行狀態(tài)。這對(duì)于分析入侵防御系統(tǒng)起到了較大的輔助作用。

系統(tǒng)的模擬運(yùn)行不具有一般性與全面性，不能完全保證系統(tǒng)的可靠運(yùn)行，因此還需要用 UPPAAL 提供的驗(yàn)證器對(duì)系統(tǒng)的安全性、可達(dá)性和活性進(jìn)行驗(yàn)證[19]。安全性表示整個(gè)入侵防御系統(tǒng)不期望發(fā)生的事件永不發(fā)生；可達(dá)性表示在入侵防御系統(tǒng)中，存在從初始狀態(tài)到期望到達(dá)的某個(gè)狀態(tài)的一條運(yùn)行軌跡；活性表示系統(tǒng)期望的事件最終能發(fā)生。

(1)安全性驗(yàn)證

A [] not deadlock，系統(tǒng)無(wú)死鎖。

(2)可達(dá)性驗(yàn)證

E<>Sensor.Probe，在Sensor模塊中，Probe狀態(tài)可達(dá)，即感知器能啟動(dòng)開(kāi)始檢測(cè)的功能。

E<> Controller.Classifier，在Controller模塊中, Classifier狀態(tài)可達(dá)，即在控制模塊中的分類(lèi)器能正常工作。

E<>Actuator. Lock，在Actuator模塊中，Lock狀態(tài)可達(dá)，即執(zhí)行器能根據(jù)響應(yīng)策略做出鎖定系統(tǒng)的處理措施。

(3)活性驗(yàn)證

E<>TotalFramework. Sensor imply Sensor. Probe. TotalFramework模塊中感知器啟動(dòng)，則Sensor模塊中檢測(cè)功能啟動(dòng)，即如果入侵防御系統(tǒng)開(kāi)始工作,則肯定會(huì)檢測(cè)系統(tǒng)中有沒(méi)有入侵行為。

E<> Controller. Classifier imply Actuator. Execution. Controller模塊分類(lèi)器開(kāi)始工作，則Actuator模塊會(huì)開(kāi)始執(zhí)行防御措施，即如果入侵防御系統(tǒng)中分類(lèi)器開(kāi)始對(duì)收集到的數(shù)據(jù)進(jìn)行分類(lèi)，那么執(zhí)行器肯定會(huì)根據(jù)具體的分類(lèi)執(zhí)行相應(yīng)的防御措施。

在UPPAAL的驗(yàn)證器中對(duì)以上性質(zhì)逐個(gè)進(jìn)行驗(yàn)證，實(shí)驗(yàn)表明所有性質(zhì)均通過(guò)驗(yàn)證，如圖9所示。通過(guò)對(duì)入侵防御系統(tǒng)模型形式化驗(yàn)證,證明了該系統(tǒng)的正確性與可靠性,該系統(tǒng)滿(mǎn)足需求設(shè)定。

圖9 性質(zhì)驗(yàn)證結(jié)果

3 結(jié)束語(yǔ)

為了保證工業(yè)控制系統(tǒng)安全可靠的運(yùn)行，需要構(gòu)建有效的入侵防御系統(tǒng)。為適應(yīng)日趨復(fù)雜的工業(yè)控制系統(tǒng)，入侵防御系統(tǒng)也需不斷提高效率。針對(duì)此狀況，本文設(shè)計(jì)出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)，該系統(tǒng)的主要特點(diǎn)是運(yùn)行邏輯清晰、入侵防御效率高，把時(shí)間這一關(guān)鍵因素作為自適應(yīng)目標(biāo)，保證了被保護(hù)系統(tǒng)的時(shí)效性。本文用UPPAAL對(duì)入侵防御系統(tǒng)進(jìn)行建模，并進(jìn)行了形式化驗(yàn)證，證明了該系統(tǒng)的可行性。

本文雖然在入侵防御的效率和自適應(yīng)目標(biāo)上做了改進(jìn)，但設(shè)計(jì)的響應(yīng)策略還不夠完善。另外面對(duì)日趨復(fù)雜的工業(yè)控制系統(tǒng)，研究多目標(biāo)的自適應(yīng)防御系統(tǒng)將是下一步的研究目標(biāo)。

[1] 阮俊杰. 淺談入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2016(2):48-49.

[2] 李匯云, 李璇, 張琦,等. 全生命周期工業(yè)控制系統(tǒng)信息安全防護(hù)分析及主要對(duì)策[J]. 自動(dòng)化博覽, 2016，33(6)：74-77.

[3] 張然，錢(qián)德沛.防火墻與入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)應(yīng)用研究，2001，18(1)：4-7.

[4] 李紹暉, 劉紀(jì)偉. 一種面向工業(yè)控制系統(tǒng)的改進(jìn)CUSUM入侵檢測(cè)方法[J]. 電子技術(shù)應(yīng)用, 2015, 41(9):118-121.

[5] 葉振新.防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型的研究[D].上海：上海交通大學(xué),2008.

[6] SCHULTZ E. Intrusion prevention[J]. Computers and Security,2004,23(4):265-266.

[7] 盧娜.基于聯(lián)動(dòng)的網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].武漢:武漢科技大學(xué),2008.

[8] 劉偉, 李泉林, 芮力. 一種入侵防御系統(tǒng)性能分析方法[J]. 信息網(wǎng)絡(luò)安全, 2015(9):46-49.

[9] 康曉梅. 打造防火墻與IDS入侵檢測(cè)系統(tǒng)雙防護(hù)的安全網(wǎng)絡(luò)辦公模式[J]. 工程技術(shù):全文版, 2016(5):284.

[10] 邵誠(chéng), 鐘梁高. 一種基于可信計(jì)算的工業(yè)控制系統(tǒng)信息安全解決方案[J]. 信息與控制, 2015, 44(5):628-633.

[11] 袁奇. 一種自適應(yīng)入侵防御系統(tǒng)的研究和設(shè)計(jì)[D]. 無(wú)錫：江南大學(xué), 2007.

[12] 青華平, 傅彥. 一個(gè)自適應(yīng)網(wǎng)絡(luò)入侵檢測(cè)和防御系統(tǒng)的研究與實(shí)現(xiàn)[J]. 成都信息工程學(xué)院學(xué)報(bào), 2005, 20(6):682-685.

[13] 彭釗.基于聯(lián)動(dòng)的網(wǎng)絡(luò)入侵防御系統(tǒng)研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2010.

[14] 孟范立. 網(wǎng)絡(luò)入侵檢測(cè)與防御系統(tǒng)設(shè)計(jì)與連接[J]. 技術(shù)與教育, 2016(1):20-23.

[15] 李艷. 軍隊(duì)級(jí)入侵防御系統(tǒng)中數(shù)據(jù)通信與監(jiān)控技術(shù)研究[J]. 中外交流, 2016(10):27.

[16] 王嬋瓊, 高青. 入侵防御系統(tǒng)的實(shí)現(xiàn)與核心技術(shù)淺析[J]. 科技傳播, 2015(16):119,150.

[17] 邢亮. 基于自適應(yīng)的網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 成都：電子科技大學(xué), 2014.

[18] 楊啟亮, 馬曉星, 邢建春, 等. 軟件自適應(yīng):基于控制理論的方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2016，39(11)：2189-2215.

[19] BEHRMANN G, DAVID A, LARSEN K G. A tutorial on UPPAAL[J]. Proc. of the Formal Methods for the Design of Real-Time Systems, Springer-Verlag, 2004,3185:200-236.

孫 程(1990-)，男，碩士研究生，主要研究方向：軟件安全。

邢建春(1964-)，男，博士，教授，CCF高級(jí)會(huì)員,主要研究方向：復(fù)雜智能信息系統(tǒng)、信息物理融合系統(tǒng)。

楊啟亮(1975-)，男，博士，副教授，CCF高級(jí)會(huì)員,主要研究方向：自適應(yīng)軟件、信息物理融合系統(tǒng)。

An intrusion prevention method in industrial control system based on control theory

Sun Cheng,Xing Jianchun,Yang Qiliang,Han Deshuai

(College of Defense Engineering, PLA University of Science and Technology, Nanjing 210007， China)

Industrial control system at the risk of attack at all times. In order to guarantee the system operation safety and reliably, we make improvements in intrusion prevention system on the basis of predecessor. We simplify the original prevention logical process and improve the efficiency of intrusion prevention. We take time as adaptive target and highlight the importance of time in industrial control system. We propose an intrusion prevention method for industrial control system based on control theory. Then we build the model with UPPAAL and verify the safety，accessibility and activity. This reflects the rationality of making time as adaptive object and makes full proof of the intrusion prevention method in industrial control system based on control theory is efficient and feasible.

control theory;intrusion prevention

江蘇省自然科學(xué)基金(BK20151451)

TP31

A

10.19358/j.issn.1674- 7720.2017.03.002

孫程,邢建春,楊啟亮，等.基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法[J].微型機(jī)與應(yīng)用，2017,36(3)：4-7,15.

2016-10-10)