新闻资讯
企业动态
行业资讯
物安视角
首页 / 新闻资讯 / 物安视角

工业控制系统入侵检测技术

时间:2018-07-12 来源: 中科物安
工业控制系统(industrial control system,ICS)是电力、交通、水利等传统国家关键基础设施的核心。随着信息技术的发展,ICS 越来越多的采用工业以太网和 TCP/IP 等通用的网络协议,系统平台也越来越趋于标准化,与外部的连接也越来越普遍。该现象导致ICS面临着越来越多的复杂攻击。同时 ICS 是重要的控制系统,涉及到对设备的控制与操作,在受到攻击时易导致设备损毁,甚至造成人员伤亡、生态破坏等重大事故。针对受到的安全威胁,ICS采用入侵检测技术监控系统运行状态,实时发现可疑行为,便于安全人员及时采取应对措施,抵御已知和未知攻击。入侵检测是系统防御的核心技术,众多保护技术的实施依赖于入侵检测技术的效率,因此针对ICS的入侵检测技术受到了研究人员的广泛关注。本文将重点介绍ICS 入侵检测技术相关内容。
 

1. ICS入侵检测技术定义


目前仍未有明确的工控IDS定义,考虑到工控高实时性等特性,我们将工控IDS理解为针对种类众多的工控设备,在不影响实时性的前提下,充分利用有限的设备资源收集设备、系统、物理世界的信息,依据数据完整性以及业务逻辑等对上述信息进行分析,从中发现是否存在违反数据安全策略或物理操作流程的行为和被攻击的迹象。其核心目标是在保证自身不影响物理世界正常、稳定生产的前提下,发现数据或系统生产逻辑的异常。


2. ICS入侵检测技术分类


基于对大量ICS IDS文献的分析和理解,考虑工控系统的特点,本文将现有工控IDS技术划分成基于流量检测、协议检测、设备状态检测3大类。首先,针对ICS中特定的业务流量特征,从宏观上对流量信息进行分析与控制;其次,在流量分析基础上,对每个报文分组进行协议方面的深度解析;再次,针对真实的物理设备,分析协议报文在设备、系统中的具体执行,根据系统、物理世界反馈的执行结果发现异常行为。综合来看,该分类方法对流量信息逐步深入分析,且在每类检测中均对应多个工控特性,充分考虑了工控系统的特性。


2.1 基于流量的IDS


基于流量的IDS依据工控系统不同安全区域的流量特征,针对外部攻击和内部攻击的流量特征,通过多检测点间协同合作,在不解析具体协议格式的情况下,利用数学模型构造“正常模式”,对流量进行实时检测,发现网络的异常流量。其主要检测方法包括神经网络、模糊逻辑和支持向量机。
 
神经网络具有非线性适应性信息处理能力,可通过学习/训练过程建立工控系统特定流量模式与系统安全状态之间的映射关系,以此对实时数据进行分析,检测出异常行为。Vollmer等人采用滑动窗口技术,动态精确、提取真实包序列中的IP地址数目等16种网络特征,利用BP(back propagation)和LM(Levenberg-Marquardt)算法训练神经网络,检测异常流量事件。
为克服神经网络训练开销大的缺点,采用模糊逻辑实现了一系列入侵检测机制。模糊逻辑采用模糊隶属度来描述不精确、不确定的事件和现象,并通过近似推理技术提升检测系统的容错性。 此外,研究人员还采用支持向量机(support vector machine,SVM)技术,将原本线性不可分的流量特征向量借助核函数映射到高维空间,并构造1个分类面以区分正常流量与入侵流量。 
 

2.2 基于协议的IDS


基于协议的IDS由于设计之初未考虑安全性,公开/私有工控协议存在大量的安全隐患,易遭受如包篡改、伪装等攻击,这些攻击无法通过流量进行检测,因此需要通过对流量中的报文分组进行深度解析,依靠工控协议规范,采用成熟的协议格式分析和状态协议分析技术,对报文中协议格式及协议状态的变化进行检测,发现异常行为。
早在2007年,Cheung针对ICS协议提出了1种基于模型的IDS。根据公开的协议规范及业务逻辑,对报文中功能码等特定域的取值范围、多域间的数值关系等协议格式,对通信对象构造传输方向、端口等通信模式,对特定事件等服务内容进行检测,识别潜在攻击。为节省设计、开发时的资源消耗,研究人员对传统IDS进行改进以适应工控环境。Lin等人针对Bro进行改进(如图1所示),构建支持DNP3等工控协议的报文解析器模块,并根据工控协议分组各域的含义、取值范围以及请求/应答操作序列等信息制定对应协议的安全策略,使其增添对SCADA私有协议的支持。
图1基于Bro的ICS 入侵检测系统

为提升IDS的检测效率。研究人员提出了误用与异常相结合的入侵检测机制[30-31],依靠误用检测技术,根据入侵行为特征库,快速识别出未授权访问等已知攻击;然后对剩余数据采用基于异常的检测机制(如SVM、神经网络等),实现对未知攻击的入侵检测。
 

2.3 基于设备状态的IDS


基于设备状态的IDS根据业务逻辑和设备操作规程,通过定义设备正常状态或异常状态、判断状态转移趋势、监控操作序列等方法检测入侵行为。在ICS系统中,读取或操作的设备往往是与物理环境或生产过程相关的物理设备,对其攻击会导致ICS设备毁坏,甚至出现重大安全事故,这是ICS不同于现有互联网的显著之处。经分析,除盗取信息外,对ICS实施攻击的核心是通过非法篡改设备配置,非法控制设备的操作,修改业务流程等入侵行为,使设备进入不合理状态、停机状态或损坏。因此检测设备的状态/操作能够有效地检测入侵行为。随着“震网”病毒的发现,传统计算机领域逐渐关注对工控设备的检测并逐步提出多个检测方法,根据具体的检测思路,该检测技术可分为以下3类。

1) 基于配置的设备状态检测方法
每个设备为保证系统的正常运行,会保存1个配置文件,包含明确定义、授权的IP地址、端口、工控协议功能代码/命令、用户等信息。配置文件设定后基本不改变,若发生改变则视为发生入侵行为。基于配置的设备状态检测通过配置,构造相应的白名单,并实时将程序行为与白名单进行比较,发现入侵行为。

2) 基于虚拟执行的设备状态检测方法
与传统 IT 网络不同,ICS 的指令数据(尤其是控制命令)对物理设备的影响重大,如一条简单控制命令即可导致物理设备损毁。为此需对所有的控制指令进行检测,判断其是否对物理设备造成破坏。然而为检测系统搭建、维护与现实相同的物理环境,所耗人力、物力巨大。为降低成本,可构建高仿真的虚拟环境,以较为经济的方法实现控制指令的多次检测。

3) 基于数学模型的设备状态检测方法
针对虚拟执行实时性差、成本高等问题,对现有系统进行分析,依靠数学模型构造“行为白/黑名单”,可实时、低成本地检测出入侵行为。Mitchell等人分别以智能电网和无人飞行器为研究对象,利用合取范式等数学理论构建行为规则状态机,实现对复杂、隐藏攻击的高效检测。Pan等人改进贝叶斯网络,形成用于表示ICS设备、网络行为的因果图,并筛选出所有异常场景形成攻击签名用于检测入侵行为。Caselli 等人针对工控协议(Modbus,IEC104)和日志文件,分别采用离散 Markov 链进行建模,并采用带权重的距离公式计算实时偏移量以识别异常。


3. 工业控制系统IDS检测技术的未来发展


从工控IDS的研究现状中可看出研究人员为保障工控系统的正常运行,从多角度开发出多种不同的IDS技术,但存在准确性差等诸多问题。通过对这些问题进行细致的分析,未来可能的研究内容包括:
1) 针对特定的ICS环境,制定精准、全面评价ICS IDS性能的指标
2) 研究基于稀疏流量的异常检测机制,在大流量中检测出流量稀疏的攻击
3) 针对私有协议,研究可扩展的工控协议IDS机制
4) 精确的设备状态检测,识别复杂设备、系统的状态以及状态转移趋势
5) 加强自身的学习能力和协作能力以提高检测精确度及实现智能化
6) 研究高效节能的数学模型检测机制,以低成本的能耗识别异常
7) 利用多线程、流水线等并行优化技术,提升检测性能