工业控制系统入侵检测研究综述（上）【鹏越·工控安全 】

摘 要：

工业控制系统是国家关键基础设施的重要组成部分，一旦遭受网络攻击，会造成财产损失、人员伤亡等严重后果。为向工控安全领域的研究人员提供理论支持，对工控系统攻击的特点和检测难点进行了分析，报告了工业系统中入侵检测技术的研究现状，并对不同检测技术的性能和特点进行了比较，最后生成了一份工业入侵检测研究综述。

关键词：工业控制系统；入侵检测；误用检测；异常检测

1 引言

工业控制系统（ICS,industrialcontrolsystem）是国家关键基础设施中的重要组成部分，全球每年会发生几百起针对ICS系统的攻击事件，虽然数量远低于互联网，但每一次事件都会使生产受到巨大影响，经济遭受重大损失。2010年“震网”(stuxnet)病毒的爆发，让全球再一次明白，工业控制系统已成为黑客的主要目标，随后“毒区”（duqu）和“火焰”（flame）病毒又相继出现，与“震网”共同形成“网络战”攻击群。2014年，功能更为强大的Havex以不同工业领域为目标进行攻击，至2016年已发展到88个变种。2015年底发生的乌克兰大面积停电事件又一次为工控安全拉响警报。

随着德国工业4.0战略进一步实施，工业控制系统的安全问题将更加严重。全球多数国家都将工业控制系统的网络攻击列为国家间战略制约手段，美国早在20世纪就开始关注此问题，由能源部和国土安全部成立了多个国家实验室，建立了关键基础设施测试靶场。2009年，出台了国家基础设施保护计划（NIPP），2011年，发布了“实现能源供应系统信息安全路线图”，2012年，推动了2个国家级专项计划（国家SCADA测试床计划NSTB和控制系统安全计划CSSP），为顺利开展工控系统信息安全问题的研究提供了坚实的基础平台。

虽然在中国尚未出现较大范围工业系统安全事件报道，但我国有高达91％的ICS系统采用国外品牌，存在着极大感染工业病毒的潜在隐患。“十一五”期间，我国就将制定的ICS安全标准作为《信息化安全标准化“十一五”规划》的工作重点。2011年9月，工信部又发布了《关于加强工业控制系统信息安全管理的通知》，旨在强调加强工业信息安全的重要性、紧迫性，并明确了重点领域工业控制系统信息安全的管理要求。随后，国务院又发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号），明确提出要保障工业控制系统安全。国家发改委在2011年~2013年间发布信息安全专项指南时，均将工业控制安全保障列为重要研究方向。2016年，科技部将“工业控制系统深度安全技术”列入“网络空间安全”重点专项计划，这足以显示我国对工控安全发展的重视。

早期提出的多种ICS安全保障方案主要是移植传统的主动防御解决方案，然而无法在高实时性与资源受限条件下进行有效预测与控制，因此，近年来，工业网络流量异常检测是这一领域的研究热点。本文对工业控制系统入侵检测技术进行了概述。首先，针对工控系统攻击的特点和检测难点，介绍了工控系统的特点；其次，分析了现有的工控系统IDS架构，讨论了它们的优缺点；最后，分析了工控系统IDS研究所面临的挑战，并对工业IDS的技术发展和应用实现进行了展望。

2 工业控制系统概述

当前的工业控制系统在具体部署时通常涉及如下几种网络：企业办公网络（简称办公网络）、过程控制与监控网络（简称监控网络）以及现场控制系统，ICS拓扑结构如图1所示。

办公室网络中管理者根据监控网络提供的数据对企业进行管理和决策，通过工厂信息管理系统（PIMS）等工控管理系统对企业的计划产排、仓储管理、生产调度等流程活动进行统一部署。监控网络中，操作员可使用数据采集与监控系统（SCADA）对现场运行的设备进行监测和控制，在调度控制方面有极高的可靠性。在现场控制层中，分布式控制系统（DCS）、可编程逻辑控制器（PLC）或远程终端单元（RTU）进行现场设备的逻辑控制、数据采样、指令执行等工业操作。

由此可见，传统计算机系统绝大多数都是由PC机、服务器通过TCP/IP协议通信，通用的操作系统有Windows、Linux等，系统兼容性好，软件升级频繁。而工业控制系统主要由PLC、RTU、DCS、SCADA和传感器等设备组成，通过OPC、Modbus、DNP3等专有协议信息通信，使用WinCE等嵌入式系统，系统兼容性差、软硬件升级困难。在性能特征等方面，传统计算机系统对实时性要求不高，运行有一定的延时，可停机或重启，需要高吞吐量，系统具有足够的资源支持。而工业控制系统实时性要求高，流量具有突发性和周期性，没有足够的升级资源和安保功能，并且必须具备容错功能，不能停机或重启。

传统入侵检测在流量过滤和监测时存在细粒度过大、协议类型不兼容的问题，并且工业环境复杂，无法防御中间人或内部人攻击。因此，需要针对工控环境和协议类型制定基于工控环境的入侵检测技术，不能将传统入侵检测技术直接套用。

3 工业控制系统攻击分析

工业系统中的攻击按工业网络部署层次可分为3类：

1)监控网攻击，即来自信息空间的网络攻击，如篡改数据分组，破坏其完整性；

2)系统攻击，注入非法命令破坏现场设备，或违反总线协议中数据分组格式的定义，如篡改其中某些参数，令其超出范围而形成攻击；

3)过程攻击，命令是符合协议规范的，但违背了工控系统的生产逻辑过程，使系统处于危险状态（如反应釜的进料阀与一个出料阀不能同时打开）。

其中，监控网攻击主要来自信息空间，其安全保障可借鉴传统安全技术。但现实中更多的攻击途径集中于系统攻击和过程攻击，且攻击方法已经转向慢渗透方式，仅统计网络流量特性已不能满足需求。目前，有学者提出在检测特征中增加语义描述，如控制命令的相关参数、传感器的可信测量值等信息，可以检测出错误命令注入、篡改报文等系统攻击，取得了阶段性成果。但是由于未考虑控制命令之间的行为依赖关系，检测的准确性有待提高。

3.1 ICS 系统风险根源分析

造成ICS安全风险依然存在的原因主要有以下4个方面。

1)工业网络运行环境复杂。为保证ICS系统向分布化、智能化方面发展，工业网络引入远程控制技术（如图1所示），其中，广泛采用通用TCP/IP技术、无线接入技术和OPC标准等，这些开放、透明的标准化技术为ICS系统开辟出广阔空间，却导致工业网络流量更加复杂，攻击者可以通过工控设备漏洞、TCP/IP协议缺陷和工业软件漏洞等多种安全缺陷，构建更加隐蔽的攻击方法。

2)工业网络流量具有冲击特性。工业网络常常出现冲击性背景流量，即在很短时间段内，流量由各分支节点向控制中心节点或数据中心节点汇聚，此时，背景流量的主成分会急剧增大而后急剧减小，呈现冲击性特点，这种特性与攻击流量特性类似，导致无法有效识别攻击行为。

3)传统解决方案无法移植。网络流量建模及其成因分析是检测异常流量的基础。工业网络流量包含实时流、非实时流和突发流，工业应用一般导致小数据量、高频率的循环数据交换，网络流量的平稳性、相关性、自相似性等特征与传统网络有着明显的不同，因此，无法简单移植传统网络的异常流量检测方案。

4)硬件设计先天不足。应用于控制领域的很多微控制器没有提供硬件安全机制。Intel的X86系列处理器从80286芯片开始就引入了保护模式机制，以后引入的页式存储技术也进行了保护机制的设计，所以通用CPU的保护机制是比较完善的。但是广泛应用于工业领域的ARM7DMI系列芯片，内核和应用程序共享相同的地址空间，这显然不能提供完整的安全保护。

3.2 工业网络攻击检测难点

企业办公网络与外部的互联网通信，存在来自互联网的安全威胁，这就需要具有较完备的安全边界防护措施，如防火墙、严格的身份认证及准入控制机制等。而监控网络通常采用IP或UDP协议，用于控制消息和操作消息的通信，由于协议未考虑安全性，因此极易受到攻击，如欺骗攻击、拒绝服务攻击、中间人攻击和端口扫描攻击等。在设计异常检测方法时，需要结合每类攻击的特点，建立入侵检测系统模型。虽然现有方案分析了攻击的特点，充分利用样本信息，并考虑系统的实时性和可用性要求，为有效检测监控网攻击奠定了基础。但现实中更多的攻击者伪装成现场设备，在现场总线上监听和篡改监测数据，或进行隐蔽的过程攻击。所以，现有的工业入侵检测还存在以下4个难以满足实际应用需求的问题。

1)如何正确理解控制命令的语义信息以检测变种攻击。

2)如何获得控制命令之间的依赖关系以有效检测过程攻击。

3)如何改进IDS检测算法以满足工控网络入侵检测准确性需求。

4)IDS是纯滞后系统，如何保证IDS及时报警以满足工控系统的实时性需求。

总之，由于目前检测技术的局限性，仍存在一些过程攻击无法被有效检测，且未来的变种会更具欺骗性，成为攻击检测的重点和难点，关于准确性这一问题还需要进行更具创新性的研究和更多细致完善的工作。

文/赖英旭 ，刘增辉 ，蔡晓田 ，杨凯翔

（转自： 通信学报 ）