工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究綜述

倪 旻，范 菁，李晨光，吳元凱，李 鴻

(1.云南民族大學(xué) 電氣信息工程學(xué)院，云南 昆明 650504；2.云南民族大學(xué) 云南省高校信息與通信安全災(zāi)備重點實驗室， 云南 昆明 650504；3.云南民族大學(xué) 云南省高校無線傳感器網(wǎng)絡(luò)重點實驗室，云南 昆明 650504)

工業(yè)控制系統(tǒng)(industrial control system，ICS)由監(jiān)測控制和數(shù)據(jù)采集系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)、人機界面(HMI)、傳感器等組成.這些組件通過現(xiàn)場總線或基于IP的協(xié)議相互連接.在制造業(yè)中，自動化確保了滿足生產(chǎn)需求的能力.此外，ICS還應(yīng)用于電力、汽車生產(chǎn)、石油和天然氣基礎(chǔ)設(shè)施、造紙廠、采礦工業(yè)和私營企業(yè)制造系統(tǒng)等領(lǐng)域.

傳統(tǒng)的工業(yè)控制系統(tǒng)僅僅基于機械或電子技術(shù)設(shè)備和封閉系統(tǒng).近年來，提出了“工業(yè)互聯(lián)網(wǎng)”計劃和“中國制造2025”戰(zhàn)略，使得我國工業(yè)智能化建設(shè)步入新的臺階，工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施互聯(lián)互通的需求不斷增強.2010年，震網(wǎng)病毒(Stuxnet)襲擊了伊朗核電站的核濃縮離心機，它主要針對西門子公司的SCADA系統(tǒng)SIMATICWinCC進行攻擊.它是第一個針對工業(yè)基礎(chǔ)設(shè)施的惡意代碼[1].2019年3月委內(nèi)瑞拉電網(wǎng)工業(yè)控制系統(tǒng)遭攻擊導(dǎo)致大規(guī)模停電，2019年12月美國加州IT服務(wù)商Synoptek遭勒索軟件Sodinokibi攻擊，2020年1月巴林國家石油公司Bapco遭到疑似伊朗黑客組織的數(shù)據(jù)擦除惡意軟件Dustman攻擊.這些安全事故將造成相當大的資產(chǎn)損失、人員傷亡以及失去對工業(yè)關(guān)鍵基礎(chǔ)設(shè)施的支持.本文介紹了工業(yè)控制系統(tǒng)安全獨特性，并分析了工業(yè)控制系統(tǒng)的安全威脅、安全性能，下一步深入探討ICS的信息安全防護技術(shù)，最后闡述ICS信息安全防護技術(shù)的研究展望.

1 工業(yè)控制系統(tǒng)與IT系統(tǒng)的區(qū)別

雖然工業(yè)控制系統(tǒng)越來越多地使用現(xiàn)成的商業(yè)軟件，但與IT系統(tǒng)相比，它們有著根本的區(qū)別.工業(yè)控制系統(tǒng)與IT系統(tǒng)的比較如表1所示.

1) 從系統(tǒng)特性來看，工業(yè)控制系統(tǒng)屬于信息物理融合系統(tǒng)，而IT系統(tǒng)通常屬于信息系統(tǒng).

2) 從安全理念來看，工業(yè)控制系統(tǒng)與物理世界緊密聯(lián)系，它的首要目標是保障系統(tǒng)的穩(wěn)定運行，就是遵循可用性、完整性、保密性原則；而IT系統(tǒng)遵循保密性、完整性、可用性原則，首要目標是保證信息的機密性.

3) 從防護對象來看，工業(yè)控制系統(tǒng)既包含服務(wù)器、計算機等信息基礎(chǔ)設(shè)施，又包含生產(chǎn)設(shè)備、控制系統(tǒng)等，且設(shè)備種類多、差異大、通用性低，即使是同一型號的設(shè)備，在不同行業(yè)、不同場景，也有不同的配置方式和不同的零件[2]；而IT系統(tǒng)主要保護計算機、網(wǎng)絡(luò)設(shè)施等，每個設(shè)備根據(jù)統(tǒng)一標準制造出來，應(yīng)用規(guī)范化零件.

4) 從性能要求來看，工業(yè)控制系統(tǒng)的可用性和實時性較高，在工業(yè)通信時延上應(yīng)保持在較低水平，使生產(chǎn)系統(tǒng)能夠連續(xù)運行 7 d×24 h；而IT系統(tǒng)實時性較低，可忍受可用性缺陷，可承受高時延和延遲抖動以及重新啟動系統(tǒng).

5) 從系統(tǒng)運行來看，工業(yè)控制系統(tǒng)兼容性差[3]，軟硬件升級困難，使用專用工具進行系統(tǒng)升級，升級前必須進行全面的測試，用的是專用通信協(xié)議和私有協(xié)議，如Modbus、OPC、等，生命周期通常是15—20年；而IT系統(tǒng)兼容性好，軟硬件升級頻繁，生命周期通常在3—5年.

表1 工業(yè)控制系統(tǒng)與IT系統(tǒng)對比

2 工業(yè)控制系統(tǒng)的安全威脅

ICS面臨的安全威脅會使ICS陷入崩潰，而導(dǎo)致ICS資產(chǎn)損失的根源，由此分成了5個類別，如圖1所示.

文獻[4]指出在現(xiàn)場儀表網(wǎng)絡(luò)和本地控制網(wǎng)絡(luò)中針對PLC等工控組件的攻擊主要可以歸納為勒索軟件、PLC蠕蟲、跳板機等幾種形式.賴英旭等[5]提出造成ICS威脅根源有4個方面：工業(yè)網(wǎng)絡(luò)運行環(huán)境復(fù)雜，工業(yè)網(wǎng)絡(luò)流量具有沖擊特性，傳統(tǒng)解決方案無法移植，硬件設(shè)計先天不足.ICS-CERT、陳星、賈卓生[6]與文獻[7]統(tǒng)計具有主觀惡意威脅如下：蠅蛆網(wǎng)絡(luò)運行者、犯罪團伙、恐怖分子、黑客、國外的智能服務(wù)、內(nèi)部人員、釣魚客與 Spammers、競爭對手產(chǎn)業(yè)間諜與不滿的顧客.文獻[8]指出了工業(yè)控制系統(tǒng)的威脅因素，其因素包括①受信任的雇員，承包商，供應(yīng)商或客戶；②上有不適當行為的受信任的雇員，承包商，供應(yīng)商或客戶；③前職雇員，承包商，供應(yīng)商或客戶；④非法外部人員或組織；⑤自然因素.

3 工業(yè)控制系統(tǒng)的安全性能

在動態(tài)系統(tǒng)的環(huán)境下，穩(wěn)定性是一個基本的要求.對比于傳統(tǒng)的工業(yè)控制系統(tǒng)，由于來自環(huán)境的不確定性、物理建模誤差和軟件運行、不理想的網(wǎng)絡(luò)誘發(fā)現(xiàn)象、和攻擊與干擾的挑戰(zhàn)，尤其是在理論層面工業(yè)控制系統(tǒng)的性能分析還處于初級階段.

作為最有用的屬性之一，魯棒性是指在異常和危險情況下系統(tǒng)生存的能力.工業(yè)控制系統(tǒng)安全性顯示了管理惡意行為或意外事件的能力.

值得指出的是，魯棒性和安全性的要求通常是預(yù)先確定的，系統(tǒng)是在攻擊發(fā)生之前進行離線設(shè)計.因此，針對所有可能的攻擊都是不切實際的.這樣自然產(chǎn)生了一種新的需求，稱為彈性力，指的是遭受敵對攻擊后的在線恢復(fù)能力.

根據(jù)工業(yè)控制系統(tǒng)實時性的要求，檢測處理數(shù)據(jù)的速度以及建立模型的速度關(guān)系到能否快速響應(yīng)攻擊的能力，實時性指標包括訓(xùn)練時間、檢測時間等.可靠性是指系統(tǒng)在規(guī)定條件下，規(guī)定時間內(nèi)完成規(guī)定功能的能力，可靠性指標包括準確率、漏報率、誤報率等；

圖1 工業(yè)控制系統(tǒng)面臨的安全威脅

4 工業(yè)控制系統(tǒng)信息安全防護技術(shù)

隨著ICS安全形勢的日益嚴峻，國內(nèi)外安全機構(gòu)和企業(yè)針對工業(yè)控制系統(tǒng)提出了一系列的安全解決方案，包括工業(yè)防火墻、入侵檢測、態(tài)勢感知、安全審計等防護技術(shù).

4.1 工業(yè)防火墻

工業(yè)防火墻是基于內(nèi)置的工業(yè)通信協(xié)議保護模式，實現(xiàn)端口保護、數(shù)據(jù)包深度檢查、協(xié)議識別和分析(其結(jié)構(gòu)如圖2所示)，它的功能模塊主要由數(shù)據(jù)包采集和控制模塊、訪問控制模塊、過濾和報警模塊組成.工業(yè)防火墻與普通防火墻最大的區(qū)別是加裝了工業(yè)協(xié)議深度過濾模塊.該技術(shù)具有在線修改配置的功能，可以對配置的防火墻策略進行實時修改，不影響工業(yè)實時通訊，避免停電、重啟等[9].工業(yè)防火墻的吞吐量測試不應(yīng)僅停留在流量大小的測試[10]，而更應(yīng)考慮細節(jié)，這樣才能進一步增強工業(yè)控制系統(tǒng)的可靠性.此外，工業(yè)防火墻要保證工業(yè)應(yīng)用場景的低延遲率，該變量體現(xiàn)了穩(wěn)定性.

圖2 工業(yè)防火墻結(jié)構(gòu)圖

4.1.1 工業(yè)防火墻的研究進展

工業(yè)防火墻作為工業(yè)控制網(wǎng)絡(luò)的安全衛(wèi)士，控制著網(wǎng)絡(luò)之間的通信，防止未經(jīng)授權(quán)的用戶訪問內(nèi)部重要的信息資源.學(xué)者們已經(jīng)對工業(yè)防火墻的設(shè)計進行了不同層次的理論研究.

潘峰[11]就支持向量機(support vector machines，SVM)的內(nèi)核參數(shù)以及特征選擇均會影響分類準確性的問題，提出了一種基于改進的粒子群優(yōu)化算法和SVM相結(jié)合的白名單自學(xué)習(xí)算法，正常數(shù)據(jù)類的準確率最大程度提高了20%，識別異常數(shù)據(jù)的準確率最大程度提高了22% .

該文獻就粒子群優(yōu)化算法效率低且收斂速度不快的問題，將其中的加速系數(shù)c1，c2和線性權(quán)重參數(shù)w進行了改進，以此找尋SVM中的c,g參數(shù)，方法如下：

(7)

(8)

式中wmin為最小慣性權(quán)重值，wmax為最大慣性權(quán)重值，itermax最大迭代數(shù)，iteri為當前迭代次數(shù)，ctmax為迭代終值.

徐毅凱[12]研究了工業(yè)狀態(tài)防火墻的工作原理，并提出了動態(tài)閾值檢測算法和SYN Cookie防御技術(shù)作為其內(nèi)置檢測與防御引擎，實現(xiàn)針對SYN Flood攻擊的狀態(tài)檢測防火墻的設(shè)計.在智能變電站中搭建了相應(yīng)的實驗測試平臺，改善了網(wǎng)絡(luò)傳輸性能，提高了吞吐量.

雷艷晴等[13]針對傳統(tǒng)工業(yè)防火墻規(guī)則的人工配置困難和管理繁復(fù)的問題，利用改進的BP神經(jīng)網(wǎng)絡(luò)對防火墻的日志文件進行深度分析，學(xué)習(xí)出正常數(shù)據(jù)流的通訊模式，根據(jù)提取的數(shù)據(jù)包特征信息，推理相應(yīng)防火墻規(guī)則策略，自動生成新的防火墻規(guī)則.

Shang等[14]基于工業(yè)控制網(wǎng)絡(luò)的“有限狀態(tài)”和“有限行為”，將“白名單”策略應(yīng)用于工業(yè)防火墻，利用深度包檢測技術(shù)構(gòu)建防火墻.在Linux平臺上對該方法可行性的良好測試結(jié)果表明，工業(yè)防火墻能夠更好地分析網(wǎng)絡(luò)流量，合理攔截非法流量.

所以從上述文獻的分析中可以發(fā)現(xiàn)，針對安全性、可靠性和穩(wěn)定性，我們可以利用工業(yè)防火墻來解決工業(yè)控制系統(tǒng)的安全問題.

4.1.2 工業(yè)防火墻的優(yōu)缺點分析

工業(yè)防火墻技術(shù)目前普遍采用自學(xué)習(xí)方法，生成新的防火墻規(guī)則，提高工業(yè)防火墻的自學(xué)習(xí)能力；運用白名單策略，可以有效降低防火墻的負荷；同時為了提高攔截的效率，也實現(xiàn)了分散部署集中管控，基于應(yīng)用層上數(shù)據(jù)包的深度檢查和協(xié)議分析.但是不足之處在于很難通過真實世界中的白名單來確定是否僅在內(nèi)部網(wǎng)絡(luò)中傳輸了經(jīng)過身份驗證的流量，同時防火墻規(guī)則提取未包括工控協(xié)議應(yīng)用層數(shù)據(jù)的值及合理取值范圍等參數(shù)，以及關(guān)聯(lián)規(guī)則等，這是后面進一步的研究內(nèi)容.

4.2 入侵檢測

入侵檢測(intrusion detection，ID)是對入侵行為的發(fā)覺，并對此做出反應(yīng)的過程[15].在ICS信息安全架構(gòu)中，入侵檢測位于防護線之后，作為第二道防線，可以及時發(fā)現(xiàn)入侵和破壞，以彌補靜態(tài)防護技術(shù)的不足，減少工業(yè)控制系統(tǒng)安全事件造成的損失.

4.2.1 入侵檢測的研究進展

入侵檢測是工業(yè)過程自動化安全防護的基礎(chǔ)，它的質(zhì)量直接影響到工業(yè)過程自動化的安全性和效率.入侵檢測的主要目的是通過檢測入侵、有害攻擊和惡意節(jié)點來保護工業(yè)控制網(wǎng)絡(luò)的可用性、機密性和完整性.

根據(jù)已有的文獻總結(jié)，工控入侵檢測可以分為以下類別，如表2所示.賴英旭，劉增輝等[5]將變種攻擊檢測分為誤用入侵檢測技術(shù)和異常入侵檢測技術(shù)，誤用入侵檢測技術(shù)優(yōu)點是檢測正確率高，缺點是變種攻擊行為的檢測能力有限，異常入侵檢測技術(shù)優(yōu)點是可以檢測變種大的攻擊，缺點是會產(chǎn)生誤報率.尚文利，安攀峰等[18]詳細說明了基于主機的入侵檢測是從系統(tǒng)主機獲取檢測數(shù)據(jù)，通過對審計記錄、日志文件等進行監(jiān)控分析，檢測異常行為；基于網(wǎng)絡(luò)的入侵檢測是對傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包進行分析檢測，通過對數(shù)據(jù)包中的相關(guān)的特征信息進行提取分析，實時監(jiān)控和攔截來自網(wǎng)絡(luò)的異常攻擊行為.

表2 工控入侵檢測的分類

近年來，許多學(xué)者提出了一些新型的入侵檢測方法.Wang等[19]提出一個改進的動態(tài)免疫算法(IDIA)，由用于移位變異方法的改進反向選擇算法(iNSA)和用于隨機分組策略的改進動態(tài)克隆選擇算法(iDCS)組成，前者用于產(chǎn)生檢測器，后者用于更新檢測器，經(jīng)過實驗發(fā)現(xiàn)IDIA能夠較準確地檢測非自樣本，并具有較高的識別精度.

該文獻為了評估入侵檢測的性能，定義了幾個度量指標，即a、l、e，其中a代表準確率，l代表漏報率，e代表誤報率.通常，定義4個變量來測試檢測性能，分別是FN(未正確識別異常數(shù)據(jù)的數(shù)目)、FP(錯誤識別正常數(shù)據(jù)的數(shù)目)、TP(正確識別的異常數(shù)據(jù)數(shù)目)、TN(正確識別的正常數(shù)據(jù)數(shù)目).

(3)

(4)

(5)

陳萬志等[20]為了改善未知通信異常行為的檢測能力，提出了結(jié)合白名單過濾和神經(jīng)網(wǎng)絡(luò)無監(jiān)督學(xué)習(xí)算法的入侵檢測方法(AMPSO-BP)，應(yīng)用在管理網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)服務(wù)器間的路由器上，該算法的檢測率和誤報率均優(yōu)于白名單-PSO-BP方法.

張瑞等[21]針對工控網(wǎng)絡(luò)數(shù)據(jù)具有高維性和非線性等特點，應(yīng)用Fisher分值和核主成分分析法對工控網(wǎng)絡(luò)數(shù)據(jù)進行預(yù)處理，對于支持向量機的參數(shù)辨識以及標準粒子群算法易陷入局部最優(yōu)的問題，利用自適應(yīng)變異粒子群(SVPSO)算法進行支持向量機的參數(shù)尋優(yōu)，從而建立了工業(yè)控制系統(tǒng)入侵檢測模型.下一步將采用深度學(xué)習(xí)的方法優(yōu)化數(shù)據(jù)特征，挖掘其中有效信息，同時提高分類精度.

趙國新等[22]提出混合自適應(yīng)量子粒子群(HAQPSO)優(yōu)化算法對輸入權(quán)值和隱含層結(jié)點的閾值進行參數(shù)尋優(yōu).在量子粒子群優(yōu)化算法的基礎(chǔ)上，加入差分策略和Levy飛行策略，采用自適應(yīng)改變的控制方法控制收縮-擴張系數(shù)，有效避免算法的早熟，增強算法全局尋優(yōu)能力，解決了極限學(xué)習(xí)機(ELM)隨機給定輸入權(quán)值和隱含層結(jié)點的閾值，導(dǎo)致泛化能力和精度不理想的問題.

從以上文獻可以得出，入侵檢測技術(shù)滿足了工業(yè)控制系統(tǒng)的實時性、可靠性、安全性.

4.2.2 入侵檢測的優(yōu)缺點分析

在工業(yè)控制系統(tǒng)中智能化的入侵檢測技術(shù)普遍提高了系統(tǒng)的檢測率，降低了誤報率、漏報率，加快了檢測速度.運用的AMPSO-BP方法在缺少樣本條件下，缺乏穩(wěn)定性以及檢測的時效性[20]；建立基于SVPSO的工控入侵檢測模型在挖掘其中有效信息時缺乏說服力，因此需優(yōu)化數(shù)據(jù)特征，同時提高分類精度是其下一步需要思考的工作.此外，目前普遍存在數(shù)據(jù)不平衡的情況，往往導(dǎo)致少數(shù)類入侵樣本的檢測效果較差，目前在工業(yè)控制系統(tǒng)的領(lǐng)域中，是有待解決的問題.

4.3 態(tài)勢感知

態(tài)勢感知是由Endsley[23]定義，在一定時間和空間范圍內(nèi)對環(huán)境中元素的感知，對其現(xiàn)狀的理解，以及對其在未來狀態(tài)的預(yù)測.將其分為3個級別.

第1級:對環(huán)境中元素的感知.實現(xiàn)態(tài)勢感知的第一步是感知環(huán)境中相關(guān)元素的條件、特征和動態(tài).

第2級:對現(xiàn)狀的理解.對不連貫的第1級元素的綜合，以形成對環(huán)境和特定對象、事件或格式塔模式意義的整體理解.

第3級:未來狀態(tài)的投射.綜合要素的特征和動態(tài)以及對形勢的理解(一級和二級態(tài)勢感知)，以提供環(huán)境要素未來行動的預(yù)測，以支持決策.

態(tài)勢感知作為1種幫助主動網(wǎng)絡(luò)防御的技術(shù)，特別是在面對有針對性的攻擊時，近年來吸引了安全研究社區(qū)相當大的興趣.工業(yè)控制網(wǎng)絡(luò)安全的態(tài)勢感知(ICNSSA)是工控系統(tǒng)入侵檢測后工業(yè)控制系統(tǒng)信息安全防護的另一個研究熱點.

4.3.1 態(tài)勢感知的研究進展

態(tài)勢感知在工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用即結(jié)合實時獲取的工控系統(tǒng)安全態(tài)勢信息以預(yù)測在一定條件下網(wǎng)絡(luò)環(huán)境中的安全發(fā)展趨勢，不僅有助于預(yù)測風(fēng)險和提高工控系統(tǒng)的穩(wěn)定性與安全性，還可以提高敵人襲擊后的在線恢復(fù)能力，對基礎(chǔ)資源的保護有著切實的意義.岳巍[24]將ICNSSA分為3個階段，如圖3所示：

圖3 ICNSSA模型

在ICNSSA模型預(yù)測的3個階段中，完整的工控安全態(tài)勢信息獲取階段需要主動獲取特定的特征信息.對工控態(tài)勢信息的理解則是基于獲取的特征信息，提取相關(guān)的脆弱性信息(例如工控設(shè)備、協(xié)議)，為下一階段的態(tài)勢信息預(yù)測做準備.工控安全態(tài)勢預(yù)測基于對工控態(tài)勢理解的數(shù)據(jù)分析，對相關(guān)設(shè)備或協(xié)議的安全等級、攻擊手段變化趨勢或來源等進行預(yù)測分析.

敖建松等[25]提出一種針對工業(yè)控制系統(tǒng)的態(tài)勢理解算法，以FCM算法對系統(tǒng)正常運行狀態(tài)空間進行建模，通過ARIMA預(yù)測出未來部分時刻的狀態(tài)數(shù)據(jù)信息作為修正，再根據(jù)滑動窗口做融合處理，數(shù)據(jù)仿真實驗證明，該方法為安全管理人員提供可靠的決策依據(jù)，提高工業(yè)控制系統(tǒng)的彈性力.

陸耿虹等[26]提出了基于粒子濾波輸入估計的態(tài)勢理解算法，在建模的過程中提出了態(tài)勢指標M={MR,FR}，它包含了2個元素，表示在進行粒子濾波狀態(tài)估計時出現(xiàn)的錯誤率和漏檢率.

(6)

(7)

其中，I為誤測特征個數(shù)，S為測得特征個數(shù)，C為正確測得的危險態(tài)勢特征個數(shù)，W為期望得到的危險態(tài)勢特征個數(shù).

綜上所述，針對彈性力、安全性、穩(wěn)定性，應(yīng)當使用工控安全態(tài)勢感知技術(shù)對工業(yè)控制系統(tǒng)進行防護.

4.3.2 態(tài)勢感知的優(yōu)缺點分析

運用在工業(yè)控制系統(tǒng)領(lǐng)域的態(tài)勢感知技術(shù)能有效地利用數(shù)據(jù)源中的信息對系統(tǒng)內(nèi)存在的危險態(tài)勢進行感知[26]，可以很好的反映出系統(tǒng)實時的安全狀況，為安全管理人員提供可靠的決策依據(jù)，并且通過降低數(shù)據(jù)維度，實現(xiàn)了時間復(fù)雜度的降低.但是不足的地方在于工控系統(tǒng)態(tài)勢感知研究領(lǐng)域目前尚處于起步階段，在態(tài)勢感知的工控獨特要求及針對性方法設(shè)計方面還有待完善.

4.4 安全審計

安全審計是基于第三方審核員來檢查數(shù)據(jù)完整性和監(jiān)控異常數(shù)據(jù)的1種方法.工業(yè)控制安全審計和傳統(tǒng)信息安全審計技術(shù)舉措，通常都直接選擇監(jiān)聽模式，實時地安全監(jiān)測和審計工業(yè)控制系統(tǒng)，相對而言工業(yè)控制系統(tǒng)的安全審計覆蓋面會比傳統(tǒng)的信息系統(tǒng)來的更加廣泛，涉及到更多的工業(yè)控制設(shè)備、協(xié)議、網(wǎng)絡(luò)和系統(tǒng)漏洞信息.加上多個歷史和實時數(shù)據(jù)庫的應(yīng)用，審計取證的工作也會顯得更加復(fù)雜[27].所以運用安全審計技術(shù)提升工控系統(tǒng)在異常情況下的生存能力是很有效的.

4.4.1 安全審計的研究進展

安全審計技術(shù)是實現(xiàn)工業(yè)控制網(wǎng)絡(luò)安全的基礎(chǔ)技術(shù)，是工業(yè)防火墻和入侵檢測之后的第3道防線，有效的保障工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全.系統(tǒng)主要功能一般包括工業(yè)控制網(wǎng)絡(luò)行為審計、工業(yè)控制網(wǎng)絡(luò)流量審計、確保審計進程被保護、未知設(shè)備接入記錄、豐富的報表功能.

陳莊等[28]針對ICS的數(shù)據(jù)特點以及協(xié)議特點設(shè)計了一款I(lǐng)CS信息安全審計系統(tǒng)，該審計系統(tǒng)主要由數(shù)據(jù)采集模塊、內(nèi)容檢測模塊、異常行為判斷模塊、行為處理模塊、審計響應(yīng)模塊等組成.崔傳金[29]提出了分層分布式網(wǎng)絡(luò)部署方案，并構(gòu)建了針對IP協(xié)議分布式工業(yè)網(wǎng)絡(luò)行為審計系統(tǒng)模型，首先從工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)入手，分析工業(yè)網(wǎng)絡(luò)的各種安全問題和行為，最后設(shè)計了基于這些內(nèi)容的工業(yè)網(wǎng)絡(luò)綜合行為審計系統(tǒng)，包括網(wǎng)絡(luò)行為數(shù)據(jù)收集和預(yù)處理、審計分析、審計數(shù)據(jù)庫和審計響應(yīng)等模塊.

以上可以觀察出，為了滿足工業(yè)控制系統(tǒng)的魯棒性、實時性，需采取安全審計技術(shù)來解決工業(yè)控制系統(tǒng)的安全問題.

4.4.2 安全審計的優(yōu)缺點分析

就目前所研究的安全審計技術(shù)而言，設(shè)計的ICS信息安全審計系統(tǒng)能夠提供十分豐富的審計報告；構(gòu)建的基于IP協(xié)議分布式工業(yè)網(wǎng)絡(luò)行為審計系統(tǒng)模型能夠?qū)崿F(xiàn)工業(yè)網(wǎng)絡(luò)設(shè)備的IP化，全面采集到行為數(shù)據(jù)發(fā)送到審計中心，但是復(fù)雜的審計算法影響了處理速度，需要更高的網(wǎng)絡(luò)吞吐量，未來加速對審計系統(tǒng)的處理，減少對網(wǎng)絡(luò)吞吐量和服務(wù)器數(shù)量依賴也是今后研究的重點[29].

5 工業(yè)控制系統(tǒng)信息安全防護技術(shù)研究探索展望

對未來工控系統(tǒng)信息安全防護技術(shù)的研究發(fā)展方向主要集中在4個方面：

1) 在當前的工業(yè)控制系統(tǒng)中，大多數(shù)采用的防護方法都存在很大的1個問題：它們都是采用離線方式進行的，即訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)都是給出來的.但是真實的應(yīng)用往往不是這樣的：數(shù)據(jù)往往是一點一點源源不斷送來的，最初，只有訓(xùn)練數(shù)據(jù)，隨后測試數(shù)據(jù)要一點一點輸送過來.所以在線學(xué)習(xí)可以達到相應(yīng)的要求，將在線學(xué)習(xí)算法與工控系統(tǒng)防護技術(shù)同時應(yīng)用是未來的發(fā)展趨勢；

2) 目前由于工控系統(tǒng)的數(shù)據(jù)雜亂無章，會存在選取的訓(xùn)練數(shù)據(jù)異常數(shù)據(jù)和正常數(shù)據(jù)比例失衡的狀況.隨著機器學(xué)習(xí)和深度學(xué)習(xí)領(lǐng)域的發(fā)展，出現(xiàn)了嶄新的研究方向遷移學(xué)習(xí)，該研究方向的突出點在于遷移學(xué)習(xí)能夠利用少量標注數(shù)據(jù)訓(xùn)練出準確率較高的模型[30].當前，遷移學(xué)習(xí)與工控系統(tǒng)防護技術(shù)相結(jié)合的研究剛剛起步，此研究方向具有可期的研究前景且蘊含著巨大的潛在效益；

3) 研究智能化的工控系統(tǒng)信息安全防護技術(shù)，提高實時檢測異常行為的能力.攻擊和防護始終是相輔相成的，建立工控防護系統(tǒng)不可能一勞永逸地解決安全防護問題，工控系統(tǒng)信息安全防護技術(shù)需要能夠不斷更新.研究自適應(yīng)和自學(xué)習(xí)方式的工控系統(tǒng)信息安全防護技術(shù)，根據(jù)工控系統(tǒng)檢測環(huán)境和信息變化實時自主調(diào)整系統(tǒng)結(jié)構(gòu)，增強檢測性能；

4) 當前工控系統(tǒng)信息安全防護技術(shù)的應(yīng)用已將理論研究與工程技術(shù)相結(jié)合，但是仍不夠全面.研究如何將理論成果更多的應(yīng)用于實際工程，開發(fā)能夠真實測試工程環(huán)境對提高工業(yè)控制系統(tǒng)的安全防護能力非常重要.

6 結(jié)語

隨著兩化深度融合的推進，工業(yè)控制系統(tǒng)信息安全面臨新的問題，吸引了全球人們的目光.首先將工業(yè)控制系統(tǒng)的安全威脅分為了5大類：環(huán)境和安全威脅、內(nèi)部無意威脅、內(nèi)部有意威脅、外部攻擊、第三方人員；隨后詳細論述了工業(yè)控制系統(tǒng)信息安全的防護技術(shù)，包括工業(yè)防火墻、入侵檢測、態(tài)勢感知、安全審計，并列出了每個技術(shù)中的優(yōu)缺點，以及下一步需要改進的地方.本綜述綜合分析了工業(yè)控制系統(tǒng)信息安全防護技術(shù)的研究進展，并對未來工控系統(tǒng)信息安全防護技術(shù)發(fā)展的趨勢與有待研究的不足之處進行了對比闡述.