工业控制系统入侵检测研究综述（下）【鹏越·工控安全】

准确性和实时性是IDS追求的2个目标，但是这2个目标又是相互矛盾的。

5.1 工业 IDS的准确性保证

提高攻击检出率、降低FPR和FNR是工控系统攻击检测准确性与完备性需求的重要保证。目前，处理该问题的方法分为2类，一类方法是进一步提高检测规则的质量；另一类方法是应用更精确的检测算法，如采用神经元网络技术和数据挖掘技术等人工智能技术，以更大的内存消耗或更多的检测时间来换取检测精度。

提高检测精度的一类方法是建立高质量的检测规则。由于监控网络对实时性要求高，加之受限于资源等因素，需要采用轻量级的入侵检测系统。如Oman等提出了基于SCADA网络的入侵检测和事件监控系统，能帮助操作员识别SCADA设备上错误或恶意的设置。SCADA传感器系统测试床由通信系统、传感器系统、数字故障模拟器和消息系统组成。Oman等使用XML图记录系统中的所有设备信息，如IP地址、Telnet端口号、设备命令码等，使用Perl程序解析XML文件并由此产生SnortIDS特征，用以监测RTU的运行情况。该方法的优点在于自动收集并比较现场设备的配置，对关键信息的修改将产生报警信号，可以有效避免依靠人工识别所产生的漏报。基于Snort的网络监控可以有效阻止已知攻击，但无法对未知攻击进行检测。Linda在上述研究结果的基础上，于2011年提出了一个低成本的基于模糊逻辑的异常检测算法，该算法能快速学习及快速分类，构建了一个基于模糊逻辑的规则库来建模正常的网络行为，使用在线最近邻聚类算法来对数据分组流提取模糊规则。在实验过程中记录了2组数据集，一组是由60661个正常行为的数据分组组成的6个数据集，用于算法训练，训练共用时11.946s，使最大处理速度超过5000个/秒，总共提取了71个模糊规则。另一组是由11个数据集组成的一组测试集，由200000多个异常网络行为的数据分组组成，最后在该数据集上进行系统的性能评估，测试结果表明产生的正确分类率为99.36%，FPR为0，FNR为0.9%。

选择高效的检测算法是提升检测精度的另一种方法。Ponomarev等提出了基于网络遥测技术的IDS，利用网络服务器—客户端会话流模型，监控所有通过ICS网络的数据分组，主要依赖于服务器与客户端间的跳数，通过分析网络遥测数据的特征，识别不同机器设备上的通信来检测入侵。其IDS检测精度高，为94.3%，无漏报；FPR为5.7%。Narsingyani使用基因算法来优化异常入侵检测中的FPR。利用带有DoS攻击的KDDCup99入侵检测数据集来实现该算法。从训练数据中随机选择创建初始化种群，生成一组分类规则，计算其适应值，从中选择具有较高适应值的规则。结果表明，通过增加规则数，可降低FPR。所以，使用带有KDDCup99数据集的特征选择方法，可降低FPR。

Linda等采用神经元网络模型构建了IDS系统并应用于电网中。由于数据流可以看成一个时间序列，现有的神经元网络模型是不适合处理时间序列的，Linda等提出了一个基于特征提取方法的滑动窗模型，采集监控网络流量，通过滑动窗选取IP地址数、分组平均间隔、协议数量等参数作为模型的特征向量。实验结果表明，该模型在没有FPR的情况下具有非常高的检测精度，不仅能检测长报文的入侵攻击，还能检测出多个分组组合成的攻击。虽然这种方法可以在一定程度上检测未知攻击，但是必须首先进行模型离线学习，而嵌入式设备的学习能力十分有限，不利于模型及时更新。Dussel等提出了一种快速有效的基于负载的异常检测，能够检测未知攻击。该方法能够计算传输层数据分组的负载嵌入几何空间的相似性，包含网络数据采集、特征提取、计算相似性、异常检测4个阶段。通过对现代工业控制系统上出现的网络流量进行实验，用2组数据集进行测试，第一个数据集捕获的是HTTP流量，包含1000000个TCP数据分组，有42种相应的攻击集，11种漏洞；第二个数据集是捕获RPC流量，包含2组数据，一组包含57100个TCP数据分组，另一组包含765103个TCP数据分组，共19种攻击，8种漏洞。其FPR为0.2%，模型的检测率为88%~92%，表明该方法能用于检测网络流量的未知攻击，但是还不能完全满足工业需求。王海凤针对工业控制系统易受到攻击，设计了面向工业控制网络的异常检测模型，能提高检测精度、降低FPR，具有学习能力，能够检测出未知攻击；模型分为数据预处理、网络建模和异常检测模块。在数据预处理模块，设计了基于时间窗口的特征提取方法；网络建模模块，针对工业控制网络的已知攻击和正常流量，提出了基于不完备信息的半监督K-means网络异常检测算法。根据已知的部分攻击类型，充分挖掘有效信息，结合半监督思想，提出了基于不完备信息的K-means算法，该算法选择标记样本作为训练集，将半监督技术与异常检测算法有机的结合，从而使系统在保持较高的检测率的同时具有较强的学习能力，能有效检测未知攻击，并模拟了工业网络常见攻击，如欺骗攻击、DoS攻击、中间人攻击和端口扫描攻击，使用获取的2种训练数据进行测试，其中，用工业现场数据作为样本集，来验证设计方法的实时性、检测精度和FPR；用KDDCup99数据集样本，验证对未知攻击的检测能力。结果表明该算法可以避免半监督K-means的缺点，适用于工业网络的异常检测。

Shang等使用改进的单类SVM建立了正常的通信行为控制模型，设计了基于粒子群算法的PSO-OCSVM来优化参数，并模拟实验证明粒子群算法的优化效率很高，提出的OCSVM有较强的学习能力和泛化能力，PSO-OCSVM能满足工业控制系统的异常检测。Ambusaidi等于2016年提出了基于交互信息的特征选择算法（FMIFS），来为分类器选择最优特征。提出的基于最小二乘支持向量机（LSSVM）的入侵检测框架分为收集数据、数据预处理、分类器训练和攻击识别4个阶段，并利用KDDCup99、NSL-KDD和Kyoto2006+这3个入侵检测评估数据集来评估其性能。在实验中，

LSSVM-IDS结合FMIFS的检测模型，与结合其他算法的检测模型进行比较，表明该检测模型具有较高的检测率和较低的FPR。

准确率提升技术的研究进展如表4所示。从表4中可以看出，入侵检测技术的准确率仍不尽人意，无论是在学术领域还是在工业界，高效的工控系统入侵检测算法是一个关键课题。

5.2 工业 IDS 的实时性保证

及时准确报警是工业系统安全实时性需求的重要保证，但由于采用了基于语义的分析方法，会增加入侵检测系统的滞后时间。解决此问题的有效方法包括2类，一类是提升硬件设备的计算能力；另一类方法是进行预估报警，提取预测系统的行为趋势，根据预测值进行预警。

Premaratneu等以模拟攻击智能电子设备（IED）为基础，为自动化变电站使用基于规则的IDS来应对威胁，与其他研究者方案的不同之处在于他设计的IDS是部署在一台独立主机上的，提升了IDS的计算能力，而大部分研究者的IDS是部署在现有设备上。同时，为了能够快速响应，Premratneu等讨论了部署IDS的位置。IDS是在真实场景（如FTP会话、远程登录会话、HTTP浏览、ICMPpings和ARP流量）上，模拟恶意攻击（如密码破解攻击、DoS攻击、ARP分组嗅探攻击），测试系统的检测能力，证实系统能检测到恶意攻击，对于攻击能做出快速报警响应，并为基于已知攻击的统计分析，提出了入侵时间风险评估方法。

Lin提出了一种新的基于语义的检测方法。依靠以下2个特点来保证其实时性：

1)电网中许多设备的关键执行命令是手动执行的，因此，控制命令的间隔是分钟级的；

2)关键命令的类型和数量有限，因此，IDS语义分析计算量小。

预估报警是保证入侵检测实时性的新趋势。文献讨论了信息物理系统（CPS,cyberphysicalsystem)中的IDS与传统IDS的区别，并指出传统IDS监控主机和用户的行为，而工控网中监测的是物理设备的行为，这些行为大部分是周期的，或是条件触发的，具有可预测性。Samdarshi等对SCADA系统提出了集成的3层IDS模型，其中，包含一个假设模块层，能够预测恶意的命令信号。这3层分别是通信网络保护层、命令和状态认证层、现场数据验证层。对这3层分别进行攻击测试，验证了3层IDS模型的有效性。Singh等针对SCADA网络安全和入侵检测，提出了一个带有比较器模块的测试台。比较器模块包括SCADA应用程序数据解析器、PSAT模拟器和比较器，用于检查RTU上的入侵。当入侵时，比较器模块中的状态估计器会计算当前真实的响应状态，与以PSAT模拟结果为基础计算出的正常理想值比较，如果偏差较高，系统就会发生警报。Sridhar等电力系统频率和电力市场运营方面分析了数据完整性攻击对自动化发电站控制（AGC）的影响，对此提出了基于模型的异常检测和攻击缓解算法，并通过模拟研究对提出的异常检测算法进行性能评估。依据网络攻击的环境，为AGC提出一种结合智能攻击检测和缓解的攻击弹性控制机制，它能够检测出存在的恶意测量值，并阻止控制器执行错误的ACE（区域控制误差）计算；对于不可信测量值，使用基于模型的方法保持生产和需求间的平衡。当发现传输网络和控制中心被攻击时，传感器的测量值将不再可信，控制中心进入了盲区。提出的算法使用实时负载预测方法来预测AGC性能，并获得ACE预测值，采用ACE统计特征和时间特征2个规则来检测异常，如果预测值超过了阈值则进行报警，结果表明，该方法能有效缓解攻击，在攻击期间能有效维持系统频率，改善了IDS的滞后性。但完全按照预估理论进行报警，会有比较高的FPR。

IDS实时性的研究进展如表5所示，从表5中可以看出，工业IDS准确性与实时性之间的矛盾将会一直存在，矛盾的逐步解决也将促进工业IDS检测技术的进步。

针对上述问题的分析，目前的检测技术仍有局限性，还存在一些过程攻击无法被有效检测，且未来的变种会更具欺骗性。本文针对工业控制系统入侵检测技术本身存在的问题，从攻击方法、变种攻击检测、隐蔽过程攻击检测技术等几个方面进行了深入研究。首先讨论了工业控制系统的特点和攻击途径，主要有针对监控网的攻击、系统攻击和过程攻击，并对工业控制网络中攻击检测的根源和难点进行了深入分析；然后阐述了异常检测和误用检测技术的研究现状，分析了已有算法的优缺点；最后对隐蔽过程攻击的检测技术难度以及对基于语义的检测技术现状进行了分析。

工业控制系统入侵检测技术的研究是一个发展迅速的领域。虽然学术界已经获得相当的研究进展和积累，但是随着攻击方法的不断升级，工业领域还在不断地提出更高的新要求，带来新的课题和挑战。

入侵检测就是在追求准确性和实时性这2个目标及不断平衡的过程中发展深入的。基于语义的检测分析准确性好，但计算量大、耗时长，且随着语义描述信息的增加，计算量还在不断增长。为了满足工业控制系统的报警实时性需求，人们在进行及时报警时总是要牺牲一定程度的语义计算。对该方面的研究将有助于跨越传统安全防御技术无法简单移植到工业控制领域的鸿沟，解决工业控制系统安全问题，也可为物联网、云计算、移动互联网等网络安全研究提供新思路。（完结）