摘要:PLC控制系统入侵检测技术在PLC控制系统的日常运行中有着极为重要的作用。基于此,本文将会从入侵检测技术的意义和其主要技术类型与发展方向,例如,工业防火墙技术,工控蜜罐技术,非介入检测技术等几个方面展开论述,更好的帮助我国工业领域的编程从业者。
关键词:编程;工业控制系统;入侵检测
引言:我国的PLC控制系统入侵检测技术往往有着所耗时间长,检测效率低,检测方式单一等弊端。当前的PLC控制系统检测技术则有着效率高,检测时间短,检测方法多种多样等巨大优势,希望经过本文的论述,可以帮助到我国的相关从业者,提高他们的工作效率,保障控制系统的安全。
一、PLC控制系统入侵检测技术的意义
PLC是可编程控制器的英文缩写,这种系统已经被广泛应用到各类工业领域,如大型的机械设备,水电站,电网中,在保证工业生产平稳运行方面有着极为重要的作用。随着信息技术的发展与互联网的进一步开放,工业控制领域受到的威胁也越来越多,也有很多国家重视起PLC控制系统的安全方面,美国的国防实验室就将PLC控制系统入侵检测技术列为了国家重点保护的关键技术。伊朗的核工程制备机械就曾经遭到震网病毒的攻击,因缺乏有效的安全检测技术,最终导致伊朗的核计划推迟。而入侵检测技术就是保证PLC控制系统的安全运行的重要方法。目前针对PLC控制系统入侵检测主要分为基于统计的入侵检测技术和基于机器学习的检测技术,和基于知识的检测技术等。这些检测技术在提高入侵检测效率和降低误报成本上有着极为重要的作用,可以帮助我国的从业者更好的完成检测工作,提高PLC控制系统的整体安全系数与工作效率。
二、PLC控制系统入侵检测技术探析
(一)工业防火墙技术
工业防火墙技术是应用到PLC控制系统中最为广泛的一种入侵检测技术。这种技术起源于传统互联网,逐渐被应用到控制系统领域。工业防火墙与应用在传统信息领域的网络防火墙不同,工业防火墙若想安全运行,就需要加载支持其服务的工业控制系统中的专用协议。如ICCP,DNP3协议等,同时工业防火墙需要在一些比较恶劣的工业现场如,高温,高湿度等环境下依旧能维持正常工作,不但对其软件方面有着比较高的要求,其在硬件方面也需要比较耐用。当工业控制系统中安装了工业防火墙,就可以对普通的大范围网络入侵进行检测,保障整个工业控制系统的安全性,下面以加拿大的多芬诺防火墙技术为例说明。这种防火墙技术是参照国际通用标准所建立的工业领域防火墙技术,可以满足市场上绝大部分流行的工业控制系统的安全性需求,它通过将同类型,同种功能的控制设备划分到同一种管理区域,区域之间设备不互相联通而是依靠防火墙配有的传输管道进行通信交流。有效减少了与外界的通信管道数量,降低了被外界攻击的概率,同时该防火墙搭配有自动记录检测结构,可以检测那些遭受攻击的设备,并对其进行断网处理,保证整体的安全性,提高了效率,不需要人为断网,降低了人工成本。
(二)工控蜜罐技术
工控蜜罐技术是一种情报收集系统,本质上一种对于攻击方进行欺骗的技术。主要是通过布置一些诱导性的智能设备或者网络IP地址作为诱饵,来诱骗攻击方进行攻击,在对方进行攻击时,对攻击方进行捕获,并通过对其攻击手段的数据分析来了解攻击方所使用的具体工具和手法,并对其最终的攻击目的进行分析,进而对关键部位和外接设备进行加强的相关一种技术。其与传统的入侵检测方法有所不同,是通过故意暴露或者伪装成漏洞的方式来保护整个工业控制系统,这种技术相对于传统的入侵检测技术可以获得更多关于攻击方的资源信息,并最终保证整个系统的安全性。以美国的SCADA蜜罐技术为例,这种技术主要由两种虚拟机构成,第一台虚拟机为主要的陷阱虚拟机,可以伪装成工业控制系统的漏洞或者直接伪装成工业控制系统的主体,第二台虚拟机则可以在第一个虚拟机被攻击时对其进行检测,在使用这种技术时,安全员要操作第二台虚拟机对第一台虚拟机所遭受的攻击进行数据检测与收集,这种技术不但可以保护工业控制系统还可以收集攻击者的大量数据信息,为接下来的防护与检测提供帮助,提高了整体的检测效率。
(三)非介入检测技术
非介入性检测技术是当前针对控制系统的主要检测技术,其主要的技术原理是依靠全体的工业控制系统主站与维护端,客户端,终端设备的信息交换,并通过交换的信息来进行分析。具体做法是收集现场设备通信所产生的信息数据包,并对得到的数据包进行解码分析,所得到的数据与工作手册的标准参数进行比对。如果发现得到的数据包与手册上的标准参数不符合时,就代表着主站系统遭受了外界的网络攻击。不同的参数代表着不同的智能设备与客户端和外部接入应用,通过比对,不但可以发现主站系统遭到了网络攻击,还可以检测出具体是哪个工作单位的设备业务端遭受到了攻击[1]。在攻击结束后,就可以自动修补业务端的漏洞,避免下次同种类型的网络攻击,提高了检测效率,保证了检测数据的结果与质量。
(四)IDS检测技术
IDS又名入侵检测系统,这种检测技术是专门开发来对网络数据传输的一种系统。在发现网络攻击通过设备与主站连接的数据传输管道来进行扩大攻击范围时,就可以采取相对应的安全措施进行反制处理。这种技术系统主要由四个元件所构成,分别是,事件形成器和事件分析器,响应元件和数据库。事件形成器可以获得系统内传输的所有数据,分析器则对可疑数据进行分析,将分析结果发送到相应元件中,并进行处理,而数据库则是记载该系统遭受的所有攻击,便于安全员进行攻击次数的汇总与数据的比对,这种技术可以拦截,并检测大部分的网络攻击,保证PLC系统的整体安全性,提高了处理效率,降低了人力成本,并加强了整体系统的安全性。
结论:综上所述,针对PLC系统的攻击检测技术在保障整个系统平稳运行方面有着重要的意义。经过本文的介绍与分析,相信我国安全领域的相关从业者对国际通用的检测技术有了最基本的了解与掌握,并知晓该技术的未来发展方向,为我国的安全检测领域尽一份绵薄之力。
参考文献:
[1]陈志文,张伟燕,苏靖峰.PLC控制系统入侵检测技术研究[J].现代电子技术,2020,43(01):72-75.
[2]何阳. 针对工控系统入侵检测的对抗学习研究[D].浙江大学,2019.