工業(yè)控制系統(tǒng)異常檢測方法研究與應用方案

　　傳統(tǒng)的工業(yè)控制系統(tǒng)不同于互聯(lián)網開放的體系，而是個體封閉的。但是隨著工業(yè)互聯(lián)網平臺的應用，越來越多的設備連接到企業(yè)網絡，從而引發(fā)了越來越多的網絡安全問題。傳統(tǒng)采用網絡流量的方法，出現了異常檢測困難、難以檢測APT 等動態(tài)威脅、檢測結果不準確等問題。本文列舉了國內外眾多廠商和研究學者在工業(yè)控制系統(tǒng)異常檢測方法的研究和應用情況，并分析其優(yōu)缺點，為工業(yè)控制系統(tǒng)自動異常檢測方法的選擇提供依據。

　　典型工業(yè)控制系統(tǒng)(Industrial ControlSystem， ICS)架構的Purdue 模型如圖1 所示。

　　該架構模型為工業(yè)互聯(lián)網平臺互連信息技術(InternetTechnology，IT) 和操作技術(OperaTIon TransformaTIon，OT)設備提供了六個級別：0 級，傳感器和執(zhí)行器等現場設備;1 級，可編程邏輯控制器(PLC) 等本地控制器;2 級，監(jiān)控和數據采集(SCADA)組件和分布式控制系統(tǒng)(DCSs);3 級，控制中心和處理局域網;4 級和5 級，企業(yè)區(qū)。2 級SCADA 系統(tǒng)用于關鍵基礎設施的高級監(jiān)控和管理。DCS 是分布式網絡的控制設備， 是一個或多個工業(yè)過程的一部分。PLC 是與物理設備交互的早期控制系統(tǒng)，他們通過反饋控制設備(如傳感器和執(zhí)行器)對正在運行的過程進行本地管理。

　　隨著工業(yè)互聯(lián)網技術的發(fā)展，越來越多的ICS 設備連接到公司傳統(tǒng)信息網絡中，便于用戶來遠程訪問，統(tǒng)籌規(guī)劃。然而，這將工業(yè)控制系統(tǒng)暴露在互聯(lián)網之下，使其容易受到網絡攻擊。研究表明，近年來有記錄的針對工業(yè)控制基礎設施的攻擊數量急劇增加，導致用戶對工業(yè)控制系統(tǒng)安全性的關注日益增長。高級工控系統(tǒng)攻擊可能會危及工業(yè)基礎設施，因此，工業(yè)設備的惡意活動可能會反映在不同的工控系統(tǒng)數據源中，如網絡流量(從基于以太網的組件捕獲)和設備日志。

　　工控網絡檢測現狀

　　監(jiān)控ICS 網絡中的所有數據源有助于安全分析師盡早地檢測到攻擊，避免造成不可挽回的損失。然而，過去幾年中提出的大多數異常檢測方法都是基于工業(yè)控制系統(tǒng)結構局部分析的，并且這類檢測方法并不適用于具有不同類型數據源的大規(guī)模和多級工業(yè)控制網絡。因此，許多學者和企業(yè)開始研究針對全局和多維度的工控網絡的檢測方法，如成分分析法。然而，這類研究多是針對單一類型數據源進行異常檢測，通過不同算法的優(yōu)化，來提升工控設備異常檢測的準確性。

　　此外， 針對IT 和ICS 網絡中的APT 攻擊導致的異常檢測也是工業(yè)控制系統(tǒng)自動異常檢測方法的一個研究熱點。APT 攻擊具有動態(tài)行為特征，具備一定的隨機性，他們遵循不同的攻擊技術和策略來達到他們的目標。基于攻擊特征的異常檢測方法是一種專門針對APT 攻擊的檢測方法。但經驗證，該檢測方法對于0-day 漏洞仍是無效的。在這種情況下， 采用一種耦合相關性分析和因果關系分析的檢測方法來進行異常檢測。該方法要求對網絡進行切片化處理， 每層網絡預先存入異常檢測策略，雖然這些方法來檢測APT 攻擊，但是大多數研究假設網絡已經在每個層中預先存在入侵檢測策略，以時間為函數進行關聯(lián)安全和非安全日志來可視化攻擊者的路徑并預測未來的行動。

　　工控安全異常檢測中的常用方法

　　目前國內外在工業(yè)控制系統(tǒng)異常檢測方法主要分為三種：第一種是基于深度學習算法的異常檢測方法，結合工業(yè)控制網絡自身的時序特性，其中最為常用的是無監(jiān)督學習的非線性時間序列“ARIMA+GARCH”混合模型;第二種方法是基于多層網絡流量的異常檢測方法， 其結合工業(yè)控制系統(tǒng)的工業(yè)過程進行分層，并基于有效負載的分析和基于報文頭數據的分析;第三種是耦合深度學習算法的多層網絡流量的異常檢測方法。隨著深度學習算法的不斷優(yōu)化，工業(yè)互聯(lián)網促進工業(yè)控制數據多源融合，該類方法必將成為主要的工業(yè)控制系統(tǒng)異常檢測的方法。

　　（1）基于深度學習算法的異常檢測方法

　　監(jiān)督學習是深度學習算法中最為常見的一種，也是對應算法模型最多的。雖然異常檢測中的監(jiān)督學習方法可以提供更高的異常檢測精度，但該類方法的數據標記過程非常煩瑣和耗時，因此，對于現實世界中的多源異構的復雜工業(yè)控制系統(tǒng)并不實用。因此，一般采用無監(jiān)督的方法進行對工業(yè)控制系統(tǒng)實現自動異常檢測。例如，在Oliveira 等人的多層工業(yè)控制系統(tǒng)異常檢測方法中，第一層是用于識別惡意網絡流記錄的無監(jiān)督聚類方法;第二層是基于物理設備的行為模式分析。其采用的算法模型ARIMA/GARCH，用于創(chuàng)建正常行為模型和預測未來值。在其模型中實際值與預測值的任何偏差都被視為異常，即當前工業(yè)控制系統(tǒng)遭受攻擊。

　　實際上，基于深度學習算法的異常檢測方法中，多數都采用非線性時間序列“ARIMA+GARCH”模型用于從相關變量預測PLC 日志的預期未來值。因為該模型很好地耦合了ARIMA 模型的線性特征和GARCH 模型的非線性特征。當不同時間段的值之間存在相關性時，ARIMA 模型可用于時間序列預測。GARCH 模型更好地描述了時間序列的非線性特征，包括更多的波動前信息，并允許條件方差依賴于以前的值。“ARIMA+GARCH” 混合模型是ARIMA 模型和GARCH 模型的結合，可以顯著提高異常檢測的預測精度。

　　實際檢測過程中，ICS 設備日志遵循預期行為的可預測模型。一般使用手動調參來發(fā)現該行為模型，并且該過程需要耦合ICS 及其相關的工業(yè)過程。因此，它可以檢測與預期行為模型的偏差，并發(fā)送異常行為警報。PLC 日志可以存儲在設備上或通過HMI存儲，HMI根據命令和日志與PLC 通信。Wireshark 是一種常見的網絡流量分析器，安裝在工廠自動化數據集的HMI 上可以用來捕捉PLC 日志。

　　（2）基于多層網絡流量的異常檢測方法

　　網絡流量分析分為基于有效負載的分析和基于報文頭的分析。ICS 環(huán)境中基于有效載荷的異常檢測是一個研究得很好的領域。基于網絡流量的分析可用于檢測影響網絡流量的網絡攻擊。這種方法能夠檢測端口掃描、DNS 中毒、DoS 和DDoS 攻擊等攻擊。有效載荷分析的缺乏使得基于NetFlow 的方法對于異常檢測來說是可擴展的、快速的和具有成本效益的。因此，基于NetFlow 的分析可以在泛洪攻擊影響整個網絡之前的最早階段檢測到他們。該方法可以作為基于有效載荷的異常檢測方法的補充方法。

　　NetFlow 是Cisco 的專有協(xié)議，可在路由器設備上啟用，以提供NetFlow 日志。網絡流記錄被定義為一組具有一些共同特征的數據包，這些數據包在特定的時間間隔內通過一個監(jiān)控點。與基于有效負載的方法相比，基于網絡流的分析方法顯著減少了要處理的流量。例如，在Twente 大學的IT 網絡中，NetFlow 輸出的流量與網絡上的數據包之比為0.1。Dong 等人已經使用了這種基于網絡流量的異常檢測，提出了一種基于使用離散余弦變換和奇異值分解將周期性流量特征映射到散列摘要的入侵檢測方法，其檢測效果更優(yōu)。

　　Markman 等人提出了基于代理的流量模型，其中PLC 和HMI/工程工作站之間的通信周期可以建模為確定性有限自動機模式建模，提升了網絡流量檢測方法的精確性。

　　（3）耦合深度學習算法的多層網絡流量的異常檢測方法

　　常規(guī)的基于網絡流量的異常檢測方法，能夠監(jiān)控包括NetFlow 數據在內的分布式ICS 數據源。由于基于網絡流的檢測方法只是基于報文頭數據，大大減少了數據分析的工作量，同時有效載荷的加密不影響其結果。此外，網絡設備(如路由器和交換機)可以輕松生成和收集網絡流數據，較容易的產生大量的可分析檢測的數據。使用網絡流分析和日志分析，耦合深度學習的網絡流量的異常檢測方法的性能明顯優(yōu)于僅基于網絡數據包或設備日志的異常檢測。

　　傳統(tǒng)信息系統(tǒng)和工業(yè)控制系統(tǒng)的主要區(qū)別在于后者集成到工控物理設備中。由于這種集成，工業(yè)控制系統(tǒng)引入了新類型的漏洞，增加了異常檢測的復雜性，例如，對于多層集成電路網絡，就需要采用耦合深度學習算法的多層網絡流量的異常檢測方法。

　　雖然基于網絡流量的方法可用于ICS 網絡中的異常檢測，但基于網絡流量的異常檢測算法的固有問題是，他們無法在監(jiān)督控制層識別受損工作站的異常行為。例如，攻擊者可以訪問操作員的憑據，并使用他們發(fā)送命令來中斷物理過程。為了應對這一挑戰(zhàn)，研究人員提出了基于物理過程的異常檢測算法。這種方法可以識別來自受損工作站的攻擊。然而，這種算法在檢測影響ICS 網絡頂層的網絡流量的DoS 和分布式拒絕服務(DDoS)攻擊時效率不高。在ICS 上的DDoS 或DoS 攻擊影響物理過程之前，可以在網絡層有效地檢測出來。

　　結束語

　　傳統(tǒng)的工業(yè)控制系統(tǒng)不同于互聯(lián)網開放的體系，而是個體封閉的。但是隨著工業(yè)互聯(lián)網平臺的應用，越來越多的設備連接到企業(yè)網絡，從而引發(fā)了越來越多的網絡安全問題。工業(yè)控制網絡本身具有分布式特性，同時隨著工業(yè)互聯(lián)網等政策的落地實施，工業(yè)控制網絡本身的邊界逐漸模糊，其與工業(yè)過程工藝流程具備更高的關聯(lián)性，工業(yè)過程的強時序性也越發(fā)顯現。傳統(tǒng)采用網絡流量的方法，出現了異常檢測困難，難以檢測APT 等動態(tài)威脅，檢測結果不準確等問題。

　　本文列舉了國內外眾多廠商和研究學者在工業(yè)控制系統(tǒng)異常檢測方法的研究和應用情況，并分析其優(yōu)缺點，為工業(yè)控制系統(tǒng)自動異常檢測在選擇方法時提供依據。并指出，隨著深度學習算法的不斷優(yōu)化，工業(yè)互聯(lián)網促進工業(yè)控制數據多源融合，耦合深度學習算法的多層網絡流量的異常檢測方法必將成為主要的工業(yè)控制系統(tǒng)異常檢測的方法。