摘要:电力系统的发电、输电、变电、配电、用电以及调度等各环节高度依赖信息化。当前,随着工业控制系统的网络化,其原有的封闭性被打破,各种病毒、木马等随着正常的信息流进入工业控制系统,已严重威胁工业控制系统的安全性,如何做好工业控制系统安全防护已迫在眉睫。异常检测作为一种主动的信息安全防护技术可以有效弥补防火墙等传统安全防护技术的不足,被认为是工业控制系统的第二道安全防线,可以实现对工业控制系统外部和内部入侵的实时检测.当前工控系统入侵检测的研究非常活跃,来自计算机、自动化以及通信等不同领域的研究人员从不同角度提出一系列工业控制系统入侵检测方法,已成为工业控制系统安全领域一个热点研究方向。
关键词:异常检测技术;工控系统;安全;应用
引言
自从计算机完全替代模拟控制的控制系统出现,工业控制系统已历经40多年的发展,在结构上也由最初的集中控制系统发展到分散、分层控制系统,最终发展为目前流行的基于现场总线或以太网的控制系统,而工业控制系统的每一次变革都与计算机系统的发展有着密切的联系。电力工控系统一旦遭受网络攻击,将可能导致大面积停电事故,给国家及社会正常秩序带来严重影响。与传统信息系统相比,电力工控系统具有现场设备复杂且分布广泛、业务连续性和实时性要求高、多采用专用的网络传输协议等特点。为保障工业控制系统的信息安全,2011年9月工业和信息化部专门发文《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号),强调加强工业信息安全的重要性、紧迫性,并明确了重点领域工业控制系统信息安全的管理要求。如何对工业控制系统进行有效的安全防护,并满足行业监管机构的要求,成为大多数行业用户迫切需要解决的问题。基于此,本文主要对异常检测技术在工控系统安全中的成功应用做论述,希望通过本文的分析研究,给行业内人士以借鉴和启发。
1工业控制系统体系结构
传统的工业控制系统系统技术高度专业、网络封闭和协议私有,与外部网络是隔离的,而现代工业控制系统在结构和组织形式上都趋向于与互联网相融合,工业控制系统已经无法保持其封闭、私有、隔离的特性,因此一些恶意入侵者攻击可以通过网络侵入到工业控制系统系统,实施物理破坏。现代工业控制系统的体系结构。从企业管理和综合自动化控制的角度对工业控制系统进行划分,工业控制系统由上到下可以分为三层:信息管理层、生产控制层和现场设备层。(1)信息管理层的主要目的是在分布式网络环境下构建一个安全的网络体系,包括企业内部的局域网和互联网,整个网络采用统一的协议标准。本层的主要系统组件有操作终端、ERP系统、管理服务器等。管理人员通过使用本层组件分析处理下层提供的数据来进行企业整体的管理和决策制定,并对工业生产过程的流程进行统一调度。(2)生产控制层主要是是用于连接现场设备层的控制室网络,也是信息管理层和现场设备层之间进行信息传递、存储的中间纽带。本层的主要系统组件主要有PLC、DCS、SCADA、MES数据库服务器等。本层的控制设备通过通讯线路从现场设备中收集数据,在控制中心完成运行参数的分析运算,并将现场设备运行状态的趋势分析、历史记录、过程报表等数据呈现到HMI,便于用户查看。(3)现场设备层包括现场仪器仪表、传感器、执行器以及其他控制设备,主要用于实现工业控制系统控制器与现场输入输出设备进行信息交换、控制、显示等功能。本层的主要组件包括远程终端单元、智能电子设备、监控终端、变送器、传感器、I/O接口设备等,这些设备负责对现场信号、工业设备的监测和控制,同时将从信息管理层、生产控制层发送过来的数据转换成命令,实现对设备的功能控制。
2工业控制系统入侵检测方法
首先是基于模式匹配的工业控制系统入侵检测方法。
研究人员借鉴传统信息安全领域的入侵检测方法和思路用于解决工业控制系统的入侵检测问题,从检测手段上可将这些方法分为基于异常的检测方法和基于签名的检测方法.基于异常的检测方法获取工业控制系统系统处于正常运行状态下的信息,并对信息加以分析,从中提取正常活动的特征模型,将正常活动状态的系统特征模型与待检测的系统特征一一比较,如果不符合正常特征模型,则认为系统发生入侵.基于签名的检测获取处于攻击状态下的系统信息,对攻击信息进行分析,从中提取入侵行为特征模型,并将该特征模型与待检测系统的特征进行比较,若特征匹配则认为系统发生入侵行为.其次是基于工业控制系统信号时域分析的入侵检测方法。对于工业控制系统系统,无论是传感器和控制器等设备被攻击还是网络传输被破坏、篡改,最终都会导致被控对象的输入输出信号偏离正常工况值,从这一点看,其结果与系统发生故障(如传感器故障)很相似.因此,很多研究人员借鉴故障诊断和坏数据检测的理论和方法以解决工业控制系统的入侵检测问题,如贝叶斯框架下的二元假设检测方法、最小二乘检测方法,基于新息统计特性分析的χ2检测器以及基于残差生成原理的入侵检测方法。
3工控网络异常感知系统中应用的异常检测技术
3.1工控资产设备异常检测技术
工控网络异常感知系统中应用的异常检测技术之一是工控资产设备异常检测技术。主动和被动相结合的设备精准识别和拓扑自动发现技术,对工控资产及网络进行实时监控,并建立IP资产基线。系统可对非法设备的接入及时发现并报警。同时,通过异常行为分析技术,进一步核对资产设备的IP地址网络信息、活跃状态、协议流量分布、应用信息、会话信息等信息。
3.2网络协议流量与速率异常检测技术
工控网络异常感知系统中应用的异常检测技术之二是网络协议流量与速率异常检测技术。基于应用层、传输层、网络层协议对上下行流量进行分析、查看、预警,系统能够统计协议的总流量、总数据包个数、上下行流量、数据包及其占比。如应用层的GOOSE、MMS、SSH、HTTPS等,传输层的TCP和UDP,网络层的IP、ICMP等。
3.3工控系统安全建模技术
工控网络异常感知系统中应用的异常检测技术之三是工控系统安全建模技术。首先是行为列表建模。对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时监控,具备行为列表功能,可按有连接无数据、广播包、行为的合规状态等特殊条件对列表内容进行筛选,可在访问行为的基础上制定检测策略,可对访问行为进行源目的IP、源目的端口和协议等字段进行聚类分析其次是行为拓扑建模。对关键路径、关键资源的业务访问链路、协议、流量、时间等进行实时拓扑展示,拓扑节点可以下钻,拓扑节点和拓扑连线可以表示网络流量和流速的大小,可以按IP地址、合规状态、流量和流速等条件进行交互式地查询过滤。
结语:
总而言之,工控网络异常感知系统是专门针对工业控制网络的信息安全监控与异常检测系统,可应用于电力、石油石化、精密制造、轨道交通等多个行业。因此,我们应大力发展该技术以推动国力的发展。
参考文献:
[1]王冲华,李俊,陈雪鸿。工业互联网平台安全防护体系研究[J]。信息与网络安全,2019,19(9):52-54.
[2]冯文英,郭晓博,何原野,等。基于前馈神经网络的入侵检测模型[J]。信息与网络安全,2019,19(9):41-43.