面向工业控制系统的入侵检测技术综述*

刘 睿 ，洪 晟 ，李 伟 ，王 欣

(1.北京京航计算通讯研究所，北京100073；2.北京市涉密信息载体安全管理工程技术研究中心，北京100073；3.北京航天航空大学 网络空间安全学院，北京100083)

0 引言

5G 网络和工业互联网的发展，促进工业向智能化转变，即工业控制系统(Industrial Control System，ICS)正朝着复杂、精密、智能和自动化的方向进步。设备功能、规模以及网络环境的改变，致使ICS 固有的安全漏洞不断被利用，安全威胁显著增加[1]。若不能及时检测并发现安全隐患，潜在入侵可能会造成系统停止工作、数据泄露等，轻则影响ICS 稳定运行，重则对国家利益、公共安全造成严重破坏。2020 年新冠肺炎疫情突然爆发，企业数字化转型更为迫切， 导致网络安全攻击事件频发， 如2020 年以色列供水部门设备遭黑客攻击事件、巴西电力公司受Sodinokibi 勒索软件攻击事件、印度新冠疫苗制造厂受黑客攻击致使数据泄露[2]。 同年，我国的工控漏洞也持有上升趋势。 ICS 网络安全风险分外部非法目的攻击和 ICS 正常运转威胁[3]，有意无意地对系统造成影响；同时，由于ICS 自身存在历时性的先天脆弱性[4]，通信、终端、设备均易受到入侵。因此，如何更有效地监控和维护ICS 信息安全在工业信息化转型中成为重大课题。

对 ICS 的安全防护技术研究表明，ICS 的安全防护机制有三种，即防火墙、入侵检测技术和加密技术[5]。 随着 ICS 环境复杂度增加，绕过防火墙攻击、系统内部攻击和密码爆破攻击技术也迅速发展，基本的防火墙和加密技术无法满足当前ICS 的安防需求。 与其他安全防护机制不同的是，入侵检测技术是对系统的流量、协议、主机采取的主动防御技术[6]，实时监控系统工作并感知系统的异常行为，具有数据分析和告警的功能。 其既可满足ICS 的整体防护，又可满足安全策略要求；既可实现ICS 的内部防护，还可抵御外部攻击入侵，在工控安全领域得到广泛应用。

在网络入侵检测领域，已有大量相关技术研究得到了较好的应用，如入侵检测过程应用[4]、基于特征的入侵检测技术[7-8]、入侵检测算法的改进[9]等。 虽然这些工作实现了入侵检测的目标且具有良好的效果，但随着ICS 结构日益复杂，规模日益扩大，攻击多元化和隐蔽性问题日益严重，造成系统的检测成本随之升高。 因此，为了顺利开展工控领域的网络和设备检测任务，保证检测的准确性和完整性，工控安全防护领域的入侵检测技术仍需进一步梳理和总结。 本文分别对误用入侵检测技术[10-11]、异常入侵检测技术[12-15]、流量入侵检测技术[16-24]、协议入侵检测技术[25-28]、主机入侵检测技术[29-35]现状进行概况和分析，直观展示ICS 入侵检测领域的最新研究动态，并指出未来的研究方向。

1 ICS 入侵检测技术研究

入侵检测可对影响计算机网络或系统正常运行的关键部位或关键点的信息实现监测，从中抽丝剥茧找出可能影响系统安全性的行为或迹象[10]。 在不影响ICS 正常运行的前提下，利用现有的设备资源，尽可能地采集工控设备、ICS 中的信息数据，然后对数据的完整性和业务逻辑等进行各方面分析，得出ICS 当前运行状态是否正常和是否存在潜在风险的结论。

1.1 ICS 通信网络结构

近几年，伴随计算机技术、控制技术和通信技术的飞速发展，衍生出了工业网络控制系统，实现了工业生产自动化控制和网络化控制。 ICS 的结构层[36]主要包括企业网络环境、监控网络环境和控制网络环境及执行终端，如图1 所示。主要的工作过程为：ICS 控制器发出指令，通过防火墙至现场仪表灯控制设备，保证系统正常工作；通过传感器将获取的实时数据经过防火墙传达到监视端和控制器。上述控制指令的发送和实时数据的传输过程形成一个闭环，均需经过防火墙的“安检”。由此可见，工业防火墙的安全防护是ICS 正常运行的关键，它直接决定能否准确进行入侵检测，进而影响整个 ICS 的安全。 但随着计算机网络技术的发展，可绕过防火墙的网络攻击问题越来越普遍，且病毒可通过移动设备的接入(非网络传播)数据采集与监视控制系统，直接入侵工控主机，致使设备瘫痪等。 因此，保证 ICS 正常运行的前提下，实现ICS 的实时监控与检测，发现异常操作行为或入侵行为的迹象，是保证系统安全稳定运行的首要任务。

图1 工业控制系统结构层

1.2 ICS 入侵检测技术的分类

本文借助通用ICS 入侵检测分类方法，针对不同的检测对象，将 ICS 入侵检测技术分为[4]：基于流量的入侵检测、基于协议的入侵检测和基于主机的入侵检测。 按照检测方法和攻击属性的区别，可划分为误用和异常入侵检测。 ICS 的入侵检测技术分类如图 2 所示。

图2 ICS 入侵检测技术划分

2 入侵检测技术概况和现状

依据上述ICS 入侵检测技术分类方法，本小节对每种ICS 入侵检测技术进行详细说明。

2.1 基于攻击属性的入侵检测技术

2.1.1 误用入侵检测技术概况和现状

基于工控的误用入侵检测技术具有检测精度较高和有参照明确的检测结果的特点(入侵检测过程如图3 所示)，通过对待测的工控系统进行监测，提取出待测数据的特征值，然后与已知的各种入侵行为签名库进行特征匹配，若匹配成功，异常检测成功。 但该检测方法因需已知异常行为，即先创建签名库，难以检测未知的异常检测行为。

图3 误用入侵检测的ICS 的应用

李塞峰[10]采用误用入侵检测技术中的状态迁移法，将动态规则设置脚本与函数响应机制相融合，从而达到了实时阻断工控系统中异常流量入侵的效果。 但该方法的实验是基于创建的攻击模拟环境，且基于简单的 Web 攻击进行验证，而 ICS 的一般环境和设备具有复杂性，基于事件序列的状态转换方法较不适用。

VOLLMER T[11]等采用多模态遗传算法求解自主规则问题。主要过程为，已知异常攻击行为，系统一旦发现入侵便创建规则过程，而非通过规则演化提供入侵检测的解决方案。 该算法在异常ICMP 网络数 据包(输入)和 Snort 规则(输出)上进行 了验证 。 输出规则根据适应值进行排序，并删除任何重复项。 实验得知，该方法的误报率很低，检测精度很高。但不足在于，每种攻击的检测规则为 3～8 条，检测性能较低。 误用检测部分方法解决问题对比如表1 所示。

表1 误用检测部分方法解决问题比对

2.1.2 异常入侵检测技术概况和现状

异常入侵检测技术[5]从字面意思理解为，检测的对象是异常行为检测。从数学意义上理解为可使用“反正法”，即找到不是正常行为或与正常行为偏离较大的则定义为异常行为。 具体监测过程如图4所示，通过对待测数据的特征提取，定义异常入侵检测的训练集和待测集，然后输入已创建的检测模型实现检测和训练。 与误用入侵检测相比，异常入侵检测系统可随用户行为进行自调整和优化。

图4 异常入侵检测在ICS 的应用

文献[12]提出了一种多元质量控制技术，通过创建系统长期正常运行的记录，作为进行入侵检测的实验基础，且得到了误报率较低的实验结果。 但该方法无法得到实时和自动响应的检测结果。 文献[13]对已有的模糊关联规则挖掘算法进行了改进，定义了模糊频率集的概念，提出了一种新的模糊频率集挖掘算法。在模糊关联规则挖掘过程中加入了规范化步骤，应用于入侵检测系统。 实验证明该检测方法对已知攻击行为的入侵检测性能和识别率较高，对未知异常行为检测率较低。 文献[14]提出一种改进粒子群优化神经网络的入侵检测模型。解决了单纯神经网络算拓扑结构确定较慢而导致的入侵检测性能较低的问题。 文献[15]提出一种新的LA-SVM方法自动去除冗余特征，可完成在线学习并适用于工控环境， 但该方法无法识别出合法和非法流量。异常检测部分方法解决问题对比如表2 所示。

表2 异常检测部分方法解决问题比对

2.2 基于不同检测对象的入侵检测技术概况和现状

2.2.1 基于流量的 ICS 入侵检测技术概况和现状

图5 基于流量ICS 入侵检测方案

针对网络流量判断入侵检测行为的过程如图5所示，首先提取网络流量内容中关键字段的特征值、出现频率、变动阈值等，然后对网络中的数据包、拓扑结构等进行实时监测。 基于流量的ICS 入侵检测方案的核心思想[16]是将采集的流量与特征库中的流量进行匹配，且依据数据分析进行实时更新。

国内外针对ICS 网络流量入侵检测投入大量的研究：文献[17]从 DNS 映射关联图为切入点，选取DNS 流量特征，完成机器学习二分类，得到了良好的流量检测精确度，但该方法因只选取特定DNS 流量特征，覆盖面存在不足。 文献[8]都是完成网络流量检测的过程，但提取特征不同。 文献[18]提出通过测量和验证网络传输的数据，而不是传输协议网络遥测所使用的数据，来检测网络附加工控网络系统入侵的方法。文献[19]提取网络流量数据、主机系统数据和测量过程参数，采用自联想回归(AAKR)加强了早期工控系统的入侵检测。 文献[20]通过利用增量式多核卷积神经网络， 建立入侵检测机制， 降低因系统结构复杂对检测率的影响，实现网络流量自适应入侵检测。

文献[21]提出基于四角星的可视化特征提取方法，解决了大数据量和复杂数据计算问题，但该研究在分类准确性和可视化生成规则空间的效果不佳。 而文献[22]通过 3D 网络化可视化数据技术解决了机器学习分类算法准确性较低的问题，但未实现可视化入侵检测分析。

近几年，大量机器学习的改进算法被应用到ICS入侵检测中。王健[23]将深度学习技术应用到入侵检测系统中，对传统卷积神经网络进行改进，加强了CNN 对待测数据的特征提取，有效判断了网络流量入侵行为。 但该方法在实际工控系统环境中无法实现攻击模型快速学习，实时检测效果不好。基于流量检测部分方法解决问题对比如表3 所示。 VINAYAKUMAR R 等[24]采用深度神经网络 DNN设计了入侵检测系统，通过无监督或有监督的预训练技术进行初始化，对不可预见和不可预测的网络攻击进行提取和分类。 虽然实现了 MLP 的权重完全连接，但计算复杂度较高。

2.2.2 基于协议的ICS 入侵检测技术概况和现状

最初，工业控制系统通信协议为了保证ICS 的运行和经济效益，仅仅考虑提高效率和可靠性，避免了非必要的功能与特性，因此往往忽略认证和加密等安全措施。常用的工控通信协议存在着被篡改和伪装攻击等安全问题，流量检测无法监控这些攻击，因此需要深度解析流量中的报文，如协议格式、协议状态和协议分组等，从而完成监测入侵行为。具体基于协议的ICS 入侵检测过程如图 6 所示。 通过传感器监测到ICS 网络通信数据，并将捕获的数据构造正常的ICS 协议数据包，解析后与施加变异策略进行匹配，完成协议字段的分析，生成异常数据包，达到对待测ICS 进行监控与防护的目标。

表3 基于流量检测部分方法解决问题比对

图6 ICS 协议入侵检测过程

文献[25]采用网络安全基线方法对ICS 系统中的网络协议进行解析，若发现基线以外的数据，则认定为入侵行为发生。 赵贵成[26]模拟生产环境，搭建工控网络入侵检测平台，在该平台上采集渗透攻击实验产生的协议解析数据，通过建立神经异常网络检测模型，并通过实验验证了检测能力，但该研究只限于网络应用层，存在协议深度解析上的局限性。文献[27]通过解析 IEC61850 后，将通信数据类型和传输时间间隔信息融合建立入侵检测模型，形成规则库，借用入侵检测工具 SNORf37[28]，实现系统的入侵检测。

基于协议的ICS 入侵检测技术可实现实时检测网络状态，获取更多的特征信息，具有检测精度更高、受 ICS 网络环境影响小的特点。 然而，这些均需依赖良好的网络环境，否则会出现数据包丢失情况。 无论是基于流量还是基于协议的ICS 入侵检测系统均具有采集数据量较大的特点，且工控系统的操作系统适配性也存在问题。基于协议检测部分方法解决问题对比如表4 所示。

表4 基于协议检测部分方法解决问题比对

2.3 基于主机的入侵检测技术概况和现状

设备状态入侵检测主要从业务完成逻辑和系统设备操作两方面入手。 工业网络控制系统中的设备主要以物理现实的状态存在，对它们进行攻击无疑会损坏设备的正常运行，不及时处置可能出现重大安全事故，体现ICS 的特殊之处。 工控安全问题不仅限于盗取信息，还有非法篡改设备配置、修改业务流程和非法控制设备操作等入侵行为， 导致设备异常状态运行、停止工作甚至损坏。 常用的设备检测入侵技术为故障检测技术和计算机领域的设备检测技术。

文献[29]研究目的在于网络流量建模，提出一种基于ARIMA 模型的方法，检测电网系统是否存在异常。梁海平等[30]研究内容是半监督 K-Means 算法的改进，通过动态半监督K-Means 的熵算法对数据进行特征处理，完成了电网运行断面的相似性研究。 文献[31]基于对电力系统网络攻击的分布式安全控制策略进行了研究，分布式结构增强了入侵检测系统的容错能力，具有更好的适应性。 针对电力控制系统，文献[32]提取电流相角、幅值、继电器参数等作为入侵检测数据，来判断入侵行为是否发生。 文献[33]采用基于时空相关性的同步相量单元测量数据设计了入侵检测模型，实现实时监测。 文献[34]针对网络物理安全问题中过度磨损、破损、报废零件或其他设计师无意的改变等，采用机器学习方法进行检测入侵。 文献[35]提出一种伪装攻击，建立两个基于时钟偏差的入侵检测系统的形式化模型，实现异常检测。

3 未来展望

准确的入侵检测能够掌握ICS 的安全状态和设备性能，解决有关系统运行或异常行为监测的适用性和有效性，以便应对初期的 ICS 安全问题。 针对ICS 入侵检测的研究现状，未来的研究方向有：

(1)工控安全实验平台研究。物理实验平台环境单一、 实际设备运行和工控网络数据获取不足，使顺利开展有效的入侵检测受到影响。 在选取训练数据与运行数据不平衡的条件下，设计能够真实还原安全事件的工控安全实验平台，可实现针对ICS 风险评估和漏洞挖掘，是该方向的基础研究之一。

(2)通用入侵检测架构研究。 现有 ICS 入侵检测技术架构一般缺乏对异构ICS 和复杂网络环境的检测，且各类入侵检测系统间的无扰协同难以实现。 研究合理的通用入侵检测架构是实现ICS 分布式入侵检测技术的待解决研究方向之一。

(3)入侵检测算法改进研究。现有的基于规则的分析方法无法应对当下多变快速的攻击威胁。 多数研究者对入侵检测算法改进的研究一般只限于检测精度或检测速度的研究，ICS 设备数量和复杂程度均要求入侵检测满足综合的性能指标，因此改进入侵检测算法或与传统算法融合是该方向重要任务之一。

(4)检测实时性研究。 在 ICS 环境中进行入侵检测和数据分析时，研究ICS 入侵检测系统的自学习和自适应能力，实现检测系统自我更新、加快自学习模块训练速度是未来研究中亟需解决问题之一。

(5)可视化工具研究。随着网络安全形势愈来愈复杂和严峻， 入侵检测所产生的告警信息数据繁多，亦将可视化工具辅助入侵检测数据分析作为未来研究方向之一。

4 结论

本文综述ICS 入侵检测技术基础理论，通过对大量文献的整理与分析，证明建立相应的入侵检测系统可以有效提高 ICS 的安全性。 基于ICS 检测技术起步较晚，ICS 环境复杂且具有脆弱性，亟需根据不同工控系统的特点，有针对性地进行入侵检测匹配工作。 本文最后对该领域未来研究方向提出了建议。