分布式入侵检测系统在烟草生产工业控制 网络中的应用研究

张书凡

【摘要】    入侵检测系统是一种有效的网络安全防护手段，已在工业控制网络得到广泛应用。然而，随着网络技术的发展，网络攻击变得多样化和复杂化，使得入侵检测系统需要具有更强的检测性能。本文从烟草生产工业控制网络的特点着手结合了分布式入侵检测系统的优势，构建了一种分布式的烟草生产工业控制网络入侵检测模型。

【关键词】    网络安全    烟草生产工业控制网络    分布式入侵检测

Abstract： Intrusion detection system is an effective network security protection method， which has been widely used in industrial control networks. However， with the development of network technology， network attacks have become diversified and complicated， making intrusion detection systems need to have stronger detection performance. This paper starts from the characteristics of the industrial control network of the tobacco shovel and combines the advantages of the distributed intrusion detection system to construct a distributed intrusion detection model of the tobacco production industrial control network.

Key words： Network security; Tobacco production industry control network; Distributed intrusion detection

引言：

工业控制网络[1]（Industrial Control Network）目前已经广泛的应用在电力系统、石油化工生产、烟草生产、水利工程、军事、医疗以及国家各类重点企业的生产制造中。工业控制网络已成为企业生产制造过程中不可或缺的一部分。然而，在工业控制系统大大提高企业生产能力的同时，工业控制网络的安全性防护问题也越来越突出。如受到网络外部或者网络内部的木马病毒、蠕虫以及人为的攻击等，给企业造成巨大的损失。针对烟草生产工业控制系统网络面临的安全问题，文章设计了一种分布式入侵检测系统。

一、入侵检测技术概述

入侵检测系统[2]是一种主动式的网络系统安全保护措施，它是对防火墙等被动防御系统的补充。入侵检测系统不仅可以检测到来自网络外部的入侵，也能对网络内部的非授权等行为进行检测。入侵检测系统监控网络中的流量和计算机的日志信息，分析相关数据，发现是否存在恶意攻击行为。如图1为入侵检测系统工作的流程图。

二、入侵检测系统分类

现有的入侵检测系统按照检测功能和检测对象进行分类，可分为基于主机的检测系统、基于网络的检测系统、基于异常的检测系统、基于误用的检测以及混合检测系统。

2.1基于主机的入侵检测

基于主机的入侵检测系统，主要是检测系统日志和其他的应用程序日志来进行信息收集与分析。从而发现是否存在攻击。

2.2基于网络的入侵检测

基于网络的入侵检测是主要是以网络数据包为检测对象，通过对网络数据进行实时分析，来发现网络流量数据是否存在异常。

2.3基于异常的入侵检测系统

异常检测是对用户的行为或者是对资源的使用情况进行分析，从而是否有入侵发生。

2.4基于误用的入侵检测系统

误用检测技术的基本原理是假定所有的网络攻击都具有一定的模式或特征，然后根据该模式或特征分析处理建立一个特定类型的数据库，最后把收集到的数据和信息与己知类型的網络入侵和系统误用的模式数据库进行匹配操作，如果匹配，则认为发生入侵。

2.5混合检测

混合检测是将异常检测和误用检测结合起来的一种检测技术，通常入侵检测系统在做出决策之前，有时候既要分析系统的正常行为，又要判断可疑的入侵行为，所以比普通的检测方式更加全面、准确和可靠。

三、工业控制网络体系结构及其面临的网络威胁

3.1分布式入侵检测系统

随着计算机网络系统结构变的越来越复杂，网络规模已经很好的满足网络安全发展的需要。由此，分布式入侵检测系统[3]应运而生。分布式入侵检测系统的策略由控制中心定义和管理。控制中心根据分配协议的原则将策略分配给各个监控人员，由各个监控人员实现具体的策略。同时，每个监控器可以根据需要使用不同类型的入侵检测系统。

3.2烟草生产工业控制网络体系结构

烟草生产工业控制网络具有明显的结构体系，以甘肃省烟草公司兰州市公司为例。如图2所示为整个公司生产控制系统的网络拓扑结构：

1.控制系统与外部通信网络的连接部分：通过路由器将整个网络接入外部主干网络中;

2.监控平台：负责监视其他各个工作区域内的设备以及人员工作状态;

3.安全管理区域：主要部署日志审计服务器、漏洞扫描设备、系统备份服务器等设备;

4.办公区域：主要部署用于员工工作和操作的主机;

5.工控区域：包括众多的传感器、电子设备、分拣设备、装卸设备以及移动终端。

一般可以将烟草生产工业控制网络分为管理网络、过程控制网络和现场控制网络三层结构。管理网络直接与互联网连接并进行信息交换。过程控制网络主要负责对工业控制系统的检测、管理和数据保存。现场网络是由一系列的智能电子设备、传感器和移动端构成，实现了对工业生产中流水线的控制。烟草生产工业网络的功能性是按层次性结构进行区分的，各层之间负责不同的控制业务，各控制层次之间通过相应的通信协议进行数据的传输与交换，实现对工业控制系统的分层管理。烟草生产工业控制网络与传统的信息网络的主要区别为：1.对系统的实时性要求不同;2.通信协议不同;3.安全防护技术不同;4.业务流程不同。

3.2面临的网络威胁

工业控制网络在实现数据通信过程时通常使用业界常用的标准协议。然而，在提高工业系统控制能力的同时，也存在着许多安全风险：

1.企业所使用的办公网络与主干互联网连接，很大概率存在来自外部互联网的安全威胁，如木马病毒、不安全的远程支持。

2.企业内部员工等人员在操作过程中将不安全的移动设备（如个人PC、U盘等）在没有经过安全检查或者授权的情况下直接接入，这很大可能造成木马病毒在整个工业控制网络中的传播，严重时甚至会造成重大的工业事故。

3.工业控制网络之中RTU/PLC之间建立的无线通信，缺乏有效的安全机制，存在很大的安全隐患，极易受到攻击。

4.控制网络通常位于工业控制的生产现场，设备运行的环境相对较复杂，通常使用无线、微波等接入技术作为对现有的网络外扩延伸方法，这也可能会存在一定的安全风险。

四、分布式入侵检测系统在烟草生产工业控制网络中的应用

分布式入侵检测系统[4]检测的数据来源于网络中的数据包和主机中的数据。它主要的工作模式是分布式检测、集中式管理。本系统的检测方式是结合了基于主机的检测系统和基于网络的检测系统的混合检查方式。

4.1基本工作原理

部署在网络节点中的各个监测器在监听网络上的数据的同时，也统计流量信息。利用已经设置好的攻击行为检测规则来检测网络中存在的攻击活动，实现第一层检测。

分析处理后的流量信息需要进行分类操作，然后将这些数据集中存放到统计服务中心的相关数据库中，最后，通过管理服务器对这些数据进行分析检测处理并且向管理员进行报警，实现了第二层检测。

管理员通过管理服务器对整个系统进行相应的运行控制和监控，管理员通过对服务器管理从而达到对整个系统进行相应的运行控制和监控的目的。必要时，可以通过统计服务中心的数据库中提取出相关的数据来分析，实现第三层检测。

4.2系统的整体部署

以甘肃省烟草公司兰州是公司的工业生产控制系统为例进行部署。系统由监测器、统计分析服务中心和管理服务器三大部分组成，如图3所示。

按照工业控制网络的特性去部署所设计的分布式入侵检测系统的监测设备、监控中心以及统计服务器。首先，在外网与最外层防火墙之间安装监测器用于监测来自外部网络的入侵。

在防火墙与管理网之间部署监测器以监视和分析管理网与外网的數据流。分别在过程控制网络和现场控制网络中部署一台或一台以上的监测器监视各网段的流量数据。统计分析中心部署在管理网中，并用交换机将连接各层网络中的各个监测器，最后通过交换机与统计分析中心服务器连接。通过收集各个监测器的流量数据进行统计分析。管理服务器部署在管理网中，主要的作用是监测统计服务器和各个监测器的工作状态，此外，还可以对部署的所有监测器进行统一的管理和维护。此外，检测中心能够对系统配置管理，也可以与统计分析中心进行数据交互，获取统计分析结果，便于网络管理人员进行查询和监控。

五、结束语

本文首先对工业控制网的安全现状进行了分析，简明的介绍了入侵检测技术的相关理论知识，然后通过分析烟草生产工业控制网的安全现状和体系结构，设计了一种分布式入侵检测系统。系统主要由监测器、分析统计服务中心和管理服务器三大部分组成，通过三层检测模式，对整个控制网络实现由容易识别到不容易识别威胁的分布式管理。在后续的研究中，将结合最新的智能检测技术，如用机器学习的方式，实现智能化的检测方式，进一步的提高对工业控制网的安全防护。

参  考  文  献

[1]石永杰，于慧超，吕峰，张畅，吴亚萍.工业控制系统网络安全的主动防御技术研究与实践[J].信息技术与网络安全，2020，39（04）：13-18.

[2]李威， 杨忠明. 入侵检测系统的研究综述[J]. 吉林大学学报（信息科学版）， 2016， 34（5）：657-662.

[3] Song Deng，Ai-Hua Zhou，Dong Yue，Bin Hu，Li-Peng Zhu. Distributed intrusion detection based on hybrid gene expression programming and cloud computing in a cyber physical power system[J]. IET Control Theory & Applications，2017，11（11）.

[4]张小奇， 蔡冠群， 苏文明. 数字化校园中入侵检测系统的研究与应用[J].吉林农业科技学院学报， 2019， 028（001）：71-73，93.