基于遙測的工控系統(tǒng)入侵檢測算法優(yōu)化與實(shí)現(xiàn)分析

王成彥

（上海航天測控通信研究所，上海 201109）

1 工業(yè)控制系統(tǒng)的相關(guān)內(nèi)容

1.1 基本構(gòu)成

工業(yè)控制系統(tǒng)是我們?nèi)粘Ｉ钪薪?jīng)常會(huì)接觸到的，例如一些智能電表，門禁系統(tǒng)監(jiān)控系統(tǒng)等，這些或大或小的設(shè)備充斥著我們的日常生活，在享受智能便利的同時(shí)，也會(huì)存在一些安全隱患問題。工業(yè)控制系統(tǒng)分為可編輯邏輯控制器和數(shù)據(jù)采集堅(jiān)實(shí)控制系統(tǒng)，前者主要是用來修正被控制設(shè)備的行為，通常是用來接收信息的一些小型的處理器。而后者通常是完整的監(jiān)督控制系統(tǒng)，我們?nèi)粘Ｉ钪幸姷降拇笮偷谋O(jiān)督控制系統(tǒng)都屬于這個(gè)范疇[1]。

1.2 基本特點(diǎn)

工業(yè)控制系統(tǒng)如今與互聯(lián)網(wǎng)的聯(lián)系十分的緊密，通過一些智能的網(wǎng)絡(luò)設(shè)備，可以完成大范圍的控制和應(yīng)用工作。因而工業(yè)控制系統(tǒng)開始逐漸的擺脫物理?xiàng)l件的限制，成為了網(wǎng)絡(luò)控制下的高效運(yùn)行系統(tǒng)，這樣一來，很多的系統(tǒng)問題能夠及時(shí)的被發(fā)現(xiàn)，并在網(wǎng)絡(luò)狀態(tài)中得到修復(fù)和完善，缺點(diǎn)就是造成被威脅和被破壞的幾率有所增高。

2 基于遙感的入侵檢測系統(tǒng)概述

2.1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)其實(shí)就是被納入到工業(yè)控制系統(tǒng)之中的一個(gè)軟件公祖，他擁有授權(quán)訪問等權(quán)利，實(shí)質(zhì)上就是一個(gè)動(dòng)態(tài)的監(jiān)測系統(tǒng)，用來尋找各種異常問題和入侵情況，在防火墻功能基礎(chǔ)之上，還具備有通信的功能，在既定的外部檢測環(huán)境中，入侵檢測系統(tǒng)可以對(duì)既定事件進(jìn)行分析，一旦分析出現(xiàn)情況，便會(huì)完成最終相應(yīng)，這也是檢測的完整過程。這其中事件盒子是監(jiān)控目標(biāo)系統(tǒng)的傳感器，它通過傳輸信息來完成儲(chǔ)存，交由儲(chǔ)存盒子處理相關(guān)事件，分析是否存在入侵危機(jī)，最后分析結(jié)構(gòu)在必要時(shí)候會(huì)觸動(dòng)警報(bào)，從而走向最后的響應(yīng)盒子，響應(yīng)盒子負(fù)責(zé)總結(jié)歸納以上情況并執(zhí)行相關(guān)的相應(yīng)措施，來組織入侵行為的發(fā)生。

2.2 基于遙感的入侵檢測模型

和其他的入侵檢測模型將比較而言，基于遙感的入侵檢測模型，不惜要進(jìn)行網(wǎng)絡(luò)對(duì)接，直接可以對(duì)問題進(jìn)行分析，這樣一來大大的提升了效率，降低了問題解決的時(shí)間。且基于遙感的入侵檢測模型的檢測率很高，通過內(nèi)外網(wǎng)的比較檢測實(shí)驗(yàn)，內(nèi)網(wǎng)的惡意流量識(shí)別達(dá)到了95%，外網(wǎng)的甚至達(dá)到了99%。因此，其實(shí)際的使用效率很高，實(shí)用性很強(qiáng)。不進(jìn)入工業(yè)控制系統(tǒng)是遙測入侵檢測模型的最大特點(diǎn)，通過對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證，該模型能夠直接實(shí)現(xiàn)入侵檢測。

3 入侵檢測誤報(bào)率降低策略

3.1 誤報(bào)產(chǎn)生的原因

誤報(bào)是入侵檢測過程中無法避免的一個(gè)問題，也是目前在入侵檢測發(fā)展領(lǐng)域中直面的技術(shù)難題。對(duì)于工業(yè)控制系統(tǒng)的入侵檢測來說，誤報(bào)和漏報(bào)一樣都需要承擔(dān)嚴(yán)重的后果，不僅僅是信息傳遞的失誤那么簡單。目前我們更新的基于遙感的入侵檢測模型，已經(jīng)能夠在一定范圍內(nèi)降低誤報(bào)率，但是并不代表誤報(bào)的情況不會(huì)發(fā)生。目前我們通過對(duì)模型進(jìn)行進(jìn)一步分析，得出了三類可能出現(xiàn)的誤報(bào)情況發(fā)生原因：一是無效報(bào)文的產(chǎn)生，無效報(bào)文的產(chǎn)生涉及到了各個(gè)方面，其存在會(huì)影響到數(shù)據(jù)的運(yùn)行。通行過程中的TCP報(bào)文、網(wǎng)絡(luò)原因引起的異常報(bào)文，以及惡意流量報(bào)文等，都是報(bào)文產(chǎn)生的主要原因[2]。二是機(jī)器存在不可知的弱點(diǎn)，該弱點(diǎn)在目前狀態(tài)下尚未得到明確，因而我們無法對(duì)所有的部分和漏洞展開調(diào)查，這些弱點(diǎn)會(huì)直接降低系統(tǒng)的分辨能力，對(duì)于部分無效的攻擊無法進(jìn)行準(zhǔn)確篩除，進(jìn)而產(chǎn)生一些虛假警報(bào)行為。三是未得到反饋的異常信息，一般情況下系統(tǒng)是能夠?qū)δ繕?biāo)行為給出相應(yīng)的，因?yàn)樵诠暨M(jìn)行的同時(shí)，系統(tǒng)會(huì)直接判斷其攻擊是否失效，以此來作出相對(duì)回應(yīng)，但是異常的反饋信息缺少這一些要素，在受到攻擊時(shí)，目標(biāo)主機(jī)會(huì)出現(xiàn)異常的回應(yīng)信息，進(jìn)而影響到后續(xù)的判斷。

3.2 降低誤報(bào)率的具體措施

根據(jù)已知模型和數(shù)據(jù)，我們可以得出的實(shí)驗(yàn)方案中，能夠?qū)⒔档蛨?bào)錯(cuò)率的措施分為四個(gè)部分，第一部分是無效報(bào)文的過濾，首先是在通信過程中出現(xiàn)的TCP報(bào)文，可以修改其display filter的參數(shù)，使數(shù)據(jù)包內(nèi)的協(xié)議可以進(jìn)行自動(dòng)解析匹配，進(jìn)而過濾到Modbus協(xié)議意外的所有數(shù)據(jù)包，這樣我們只用保留需求之內(nèi)的數(shù)據(jù)報(bào)文，很大程度上避免了不必要報(bào)文的產(chǎn)生。面對(duì)由于網(wǎng)絡(luò)抖動(dòng)原因而出現(xiàn)的錯(cuò)誤報(bào)文，可以將偏差閾值進(jìn)行重新的定義，這樣在正常流量相應(yīng)時(shí)間內(nèi)出現(xiàn)的保溫，就能夠具備相應(yīng)的提取時(shí)間，將時(shí)間的均值作為標(biāo)準(zhǔn)值，就能夠逐條判斷出保溫的實(shí)際響應(yīng)時(shí)間是否超出了預(yù)期的設(shè)定，超出或者偏差過大的報(bào)文都可以被定義為異常報(bào)文處理。面對(duì)其他情況出現(xiàn)的異常報(bào)文，可以利用pyshark解析數(shù)據(jù)包，得到Modbus核心功能碼即可。第二步是進(jìn)行已知弱點(diǎn)的掃描工作，面對(duì)已知弱點(diǎn)的掃描可以利用數(shù)據(jù)分析將其進(jìn)行等級(jí)的評(píng)分，進(jìn)而利用分析軟件將系統(tǒng)資料中存在的弱點(diǎn)進(jìn)行監(jiān)視并獲取，根據(jù)弱點(diǎn)的相關(guān)信息分析其是否存在有效攻擊能力，如果不存在則判定為無效攻擊。我們進(jìn)行操作的中心思想是根據(jù)每一類攻擊的基本特性進(jìn)行歸類，利用這些攻擊的弱點(diǎn)進(jìn)行劃分，并對(duì)應(yīng)給出判斷。第三步是進(jìn)行反饋和異常情況的分析，在異常情況發(fā)生之后，優(yōu)先利用tcpdump對(duì)服務(wù)器流量的流動(dòng)和分布情況進(jìn)行監(jiān)測，一旦遇到惡意的流量，服務(wù)器的監(jiān)測系統(tǒng)便會(huì)出現(xiàn)很明顯的異常情況，因而我們可以根據(jù)當(dāng)時(shí)服務(wù)器的變化情況來確認(rèn)其是否受到了惡意的攻擊，并且同時(shí)利用pyshark對(duì)以及捕獲的部分流量數(shù)據(jù)包進(jìn)行分析解讀，得到最為直觀的反饋信息之后，我們就能夠把握真實(shí)信息的來源以及反饋情況，觀察其信息是否已經(jīng)被傳送到服務(wù)器的端口，以此來作為控制服務(wù)器異常并進(jìn)行反饋的一個(gè)手段[3]。

4 入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

4.1 系統(tǒng)設(shè)計(jì)

目前我們根據(jù)電子模塊的不同，對(duì)整體系統(tǒng)進(jìn)行設(shè)計(jì)，將其分為了七個(gè)子模塊，分別是①任務(wù)下發(fā)模塊、②流量獲取模塊、③流量檢測模塊、④融合決策模塊、⑤結(jié)果展示模塊、⑥用戶模塊、⑦數(shù)據(jù)儲(chǔ)存模塊。

4.2 整體設(shè)計(jì)

在明確了系統(tǒng)模塊的分配之后，我們需要從總體的角度來考慮各個(gè)模塊之間信息傳遞功能以及數(shù)據(jù)傳遞的通暢性，因而我們選擇以完整結(jié)構(gòu)圖的形式來展示各個(gè)模塊之間的關(guān)系，其中任務(wù)模塊和流量獲取模塊存在直接的關(guān)聯(lián)，流量檢測模塊實(shí)際上與融合決策模塊存在關(guān)聯(lián)，流量模塊可以通過固定技術(shù)來獲取網(wǎng)絡(luò)信息并實(shí)施監(jiān)控，在監(jiān)控和處理過后的信息會(huì)被傳遞到檢測模塊，之后進(jìn)行建模，直到經(jīng)過流量檢測之后被傳輸?shù)綌?shù)據(jù)存儲(chǔ)模塊之中。最終結(jié)果展示的環(huán)節(jié)可以從數(shù)據(jù)存儲(chǔ)和相關(guān)系統(tǒng)監(jiān)控之中尋找到結(jié)果，用戶模塊則是獲取信息的重要模塊，通過用戶模塊，可以直接的將用戶的操作進(jìn)行捕捉，最后順利的完成注冊(cè)、注銷、登入的退出這些步驟的操作。

4.3 系統(tǒng)運(yùn)行結(jié)果展示

我們需要完成系統(tǒng)設(shè)計(jì)和系統(tǒng)實(shí)現(xiàn)之后，根據(jù)相關(guān)系統(tǒng)環(huán)境對(duì)整體系統(tǒng)進(jìn)行建設(shè)任務(wù)，因而最終呈現(xiàn)的系統(tǒng)運(yùn)行效果與環(huán)境搭建效果有直接的關(guān)系。在搭建完成之后即可進(jìn)行入侵檢測，在此我們利用的是Diango框架作為整個(gè)的操作頁面來執(zhí)行，操作頁面中一共分為主頁面，主要展示用戶登記和進(jìn)入系統(tǒng)，該頁面屬于客戶端的基本信息。進(jìn)入頁面，可以在該頁面看到詳細(xì)的機(jī)器操作以及相關(guān)信息，還可以利用傳輸系統(tǒng)完成文件的傳輸任務(wù)。最后來到的是任務(wù)的下發(fā)頁面，該頁面屬于流量檢測任務(wù)的中間環(huán)節(jié)，可以對(duì)執(zhí)行機(jī)器以及運(yùn)行文件進(jìn)行選擇，選中之后會(huì)對(duì)相應(yīng)的任務(wù)機(jī)器發(fā)送請(qǐng)求。最后是結(jié)果展示的頁面，該頁面主要負(fù)責(zé)對(duì)攻擊的檢測結(jié)果進(jìn)行展示，通常有受到攻擊的機(jī)器的IP地址，受到攻擊的時(shí)間，受到攻擊的內(nèi)容等等這些因素。

5 結(jié)束語

工業(yè)控制系統(tǒng)與我們的生活息息相關(guān)，他負(fù)責(zé)我們生活中的安全，因而，在實(shí)際操作過程中，很可能會(huì)受到多種類型的攻擊，而伴隨著互聯(lián)網(wǎng)技術(shù)的普遍應(yīng)用，攻擊能力在逐漸的增強(qiáng)，攻擊的范圍也在逐漸的變大，因而對(duì)工業(yè)控制系統(tǒng)的算法進(jìn)行優(yōu)化，是當(dāng)前應(yīng)對(duì)攻擊的最有效措施。