工业工程应用人工智能的工控安全系统设计

金钊，张蔚涛，汪剑东，郭鹏

（东方汽轮机有限公司，四川 德阳 618000）

1 引言

工业控制系统（Industrial control system，ICS）是现代工业生产过程中的重要组成部分， 随着工业自动化和信息化的不断发展，工控系统面临着越来越严峻的网络安全挑战[1]。 传统的安全防护手段往往无法应对复杂和不断变化的网络攻击，而工控系统的安全性对于保障工业生产的连续性和稳定性至关重要。 近年来，人工智能（Artificial Intelligence，AI）技术在许多领域取得了显著进步，包括图像识别、自然语言处理、预测分析等。 这些进步为AI 在工控系统安全防护中的应用提供了可能性[2]。 通过利用AI 的强大分析和处理能力，可以对工控系统中的数据和流量进行深入分析， 及时发现并阻止潜在的威胁。 此次研究致力于探讨人工智能在工控安全系统设计中的应用，介绍和评估一系列先进的AI 技术及其在增强工控系统安全性方面的作用。 研究将探讨基于机器学习的网络攻击检测， 说明其如何通过自动化建模和学习网络流量来检测潜在的攻击。 然后提出基于随机森林的恶意加密流量检测方法，并阐述其在处理加密流量时如何区分正常和恶意行为。 最后，提出基于长短期记忆神经网络（Long Short-Term Memory，LSTM） 的域名检测方法， 分析其在识别通过域名生成算法（Domain Generation Algorithm，DGA）生成的恶意域名方面的优势。 通过这些技术的综合应用，为工控安全系统设计提供一个更加有效的解决方案，以应对当前和未来的安全挑战。 这不仅有助于保护工业生产免受网络攻击的影响， 而且为实现更加智能和自适应的工控安全系统奠定了基础。

2 面向工业工程应用的工控安全系统设计

工业工程是一门致力于系统、组织、流程和设备优化以提高效率和效果的工程学科。 其目的是提高生产效率， 降低成本，提高产品质量和可持续性，目前在制造业、物流、运营管理等领域都得到了广泛的应用。 而工控系统是一种帮助监控和控制工业生产过程的计算机系统。 其组成部分包括传感器、控制器和执行器[3]。 此次构建的面向工业工程应用的工控安全平台设计架构如图1 所示。

图1 工控网络安全防护总体部署

通过图1 展示的架构， 可以为工业工程生产专用网络中的分布式控制系统（Distributed Control System，DCS）、安全仪表系统（Safety Instrumented System，SIS）、网络化直驱控制系统（Networked Direct Drive Control System，GDS）以及可编程逻辑控制器（Programmable Logic Controller，PLC）等系统提供安全防护。

2.1 工业网闸系统部署

工业网闸系统被部署于生产专用网络和数据中心业务网之间， 借助其独特的私有协议数据摆渡能力来确保两者之间的物理隔离。 这一系统作为信息安全设备，连接两个独立的主机系统， 通过使用带有多种控制功能的开关读写介质在内外网之间进行通信。 工业网闸的传输方式一般具有两种形式。 其一是单向传输模式， 该模式下， 数据仅允许在一个方向上流动， 反方向的流动会被截断。 此模式通过隔离单元拆解数据包， 阻止基于传输控制协议（Transmission Control Protocol，TCP）TCP、网际协议（Internet Protocol，IP）等网络协议的攻击。其二是双向传输模式，该模式允许数据在两个方向上流动，但通过私有通信并在隔离单元中拆解和重组数据包确保安全性。 这种方式在保持物理隔离的同时，允许数据高速交换，且使基于TCP、IP 等网络协议的攻击失效。

2.2 工业白名单软件部署

研究在生产专用网的服务器和工程师工作站上， 部署了工业白名单软件，以加强安全防护。 与常见的防病毒软件所采用的 “黑名单机制” 不同，工业白名单软件使用 “白名单机制”，这种机制仅允许已知的可信软件运行， 从而消除了依赖实时互联网访问和定期扫描的需要。 通过这种方式，在 “白名单” 中的相关软件能顺利运行，并且具有足够的安全性，不在 “白名单” 中的相关软件，在启动运行时则会被强制停止。 这不仅增强了主机的安全性，还提升了合规管理标准，符合有关等级保护要求。 因此，使用工业白名单软件进行病毒和恶意软件防护是更合适的选择。 这种防护在主机级别上实施，确保数据采集服务器的运行环境保持纯净， 并对服务器的外部设备进行管理，例如，禁止使用U 盘或仅允许授权的U 盘接入。

2.3 工业审计系统部署

在生产专用网中， 报文审计方法以及入侵检测方法均能通过工业审计系统的多种功能来实现。 工业审计系统的信息安全策略则是来自 “白名单” 机制，这样的信息解决方式可称为 “白环境”。 “白环境” 是对工控的相关信息进行监控，这样能获取工控的网络数据与主机状态等，对获取的信息进行分析，进而设置工控安全状态的基线。 借助 “白环境”，工控网络的安全得以加固。 工控网络中，只有被赋予信任标识的设备能进行连接；在网络传输中，数据信息同样需要被经过赋予信任后才能传输；相关软件的运行与执行，也需要被赋予信任标识后才能运行。 当检测到来自办公网络或能源环网的工控安全威胁，或者发现工业通信协议的异常时， 系统将自动触发报警并进行审计。 这种方法确保了工控网络的稳定性和安全性。

3 工控安全系统设计中人工智能技术的应用

3.1 基于机器学习的网络攻击检测

在建模过程中，很难对报文的差异性、相似性进行兼顾。因此，可利用机器学习的特征提取功能对报文进行分析，提取相关特征后，利用相似性对报文进行聚类，以此方式实现报文的差异性与相似性识别。 利用机器学习构建的模型，通过网络环境的业务流量对模型进行充分训练与学习， 当模型发生收敛时，可判定模型完成训练。 模型收敛的判断方式通过报文是否出现新的分类。 学习过程结束后，最终的学习成果包括各个分类的特征和参数，这些将作为异常检测的依据。 模型在检测过程中， 首先利用训练阶段得到的相关特征与参数对报文进行检测，并对报文的异常情况进行预测。 当预测值不在安全阈值范围内，则表明报文的标识属于异常情况。 表示为异常的报文，其相关信息均将被记录，能对相同异常报文进行更精准识别。 在异常检测中，当报文被赋予异常标识时，其报文状态均处于攻击中，而攻击中的效果绝大部分属于无效攻击。 对于有效攻击，研究可进行二次判断，具体方式是采用Kill Chain 方法，该方法能在攻击链路上的关键点进行分析。 如果这些节点能够相互关联，那么说明这是一次成功的攻击。 Kill Chain 方法可以将攻击过程进行了分解，如图2 所示。

图2 Kill Chain 分解的攻击过程

3.2 基于随机森林的恶意加密流量检测

在工控系统的安全防护中， 基于随机森林的恶意加密流量检测是一种极具价值的技术。 随机森林是一种集成学习方法， 它构建多个决策树并将它们的结果结合起来以获得更准确和稳定的预测。 在检测恶意加密流量方面，随机森林能够处理大量的网络特征，包括包大小、时间间隔、流量方向等，即使流量是加密的， 这些特征也可以提供足够的信息来区分正常与恶意行为。 通过训练随机森林模型使用历史网络流量数据，它可以学会识别恶意流量的潜在模式和特征。 在实际部署时，该模型可以实时分析传入的网络流量， 快速识别并标记可能的恶意加密流量。 此外，由于随机森林具有处理高维数据和避免过拟合的能力， 它对于在复杂的工控系统环境中检测精细和混合型攻击特别有效。 此方法能够增强工控系统的安全性，通过及时检测和响应恶意加密流量， 有效防范潜在的网络威胁。 互联网络中，加密的网络数据集流不断增多，使恶意软件逐渐通过超文本传输安全协议以确保其自身通讯的安全性。对于安全分析专家来说，这无疑带来了巨大的挑战，因为数据流本身是经过加密的，而且在大多数情况下，其外观与正常的数据流无异。 然而，基于态势感知的技术可在不需要解密数据流的前提下， 通过使用随机森林来检测超文本传输安全协议下的恶意软件数据流。 恶意加密流量检测流程如图3 所示。

图3 恶意加密流量检测流程

3.3 基于SLTM的DGA域名检测

DGA 是一种常见的网络攻击手段，通过DGA，恶意软件或攻击者能够动态生成大量的域名， 以绕过传统的域名黑名单过滤，从而建立命令和控制通道。 此次研究根据工业工程应用的特征，提出基于LSTM 的DGA 域名检测算法。 LSTM 独特的记忆单元使其能够存储和检索过去的信息， 这对于学习域名字符串中的依赖关系和模式是至关重要的。 在DGA 域名检测的背景下，LSTM 网络能学习DGA 域名通常具有的诸如字符组合、长度和结构等特征，并区分它们与正常域名的不同之处。 研究通过前向传播和反向传播过程调整权重，以使模型的预测与实际标签尽可能接近。 然后使用一个独立的测试数据集来评估模型的性能。 检查准确性、 召回率和其他评价指标，以确保模型能够有效地检测DGA 域名。 最后保存模型，以此可完成深度学习模型的建立。

4 结语

在当今工业生产环境中， 工控系统的安全性至关重要。任何潜在的威胁或攻击都可能对生产造成严重中断和损失。此次研究设计了工业工程应用人工智能的工控安全系统，着重介绍了基于机器学习的网络攻击检测、 基于随机森林的恶意加密流量检测，以及基于长短期记忆神经网络的域名检测。通过结合不同的人工智能技术， 可以有效提高工控系统的安全性，实时检测和应对各种网络威胁。 这不仅有助于保障工业生产的稳定性和连续性， 还为更加智能和自适应的工控安全系统设计提供了参考和启示。