0 引言
工業(yè)控制系統(tǒng)(Industry Control Systems,ICS)是國家基礎(chǔ)設(shè)施的重要組成部分,被廣泛應(yīng)用于電力、交通、水利、石油化工、核能、航空等領(lǐng)域,是這些重要基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行的“大腦”。隨著信息技術(shù)的發(fā)展以及工業(yè)與信息化的深度融合,現(xiàn)代工業(yè)控制系統(tǒng)越來越多地采用通用的TCP/IP協(xié)議及操作系統(tǒng),同辦公系統(tǒng)等其他信息系統(tǒng)的連接也越來越多。由于工業(yè)控制系統(tǒng)在實(shí)時(shí)性、穩(wěn)定性方面的特殊性,造成了在應(yīng)用信息技術(shù)時(shí)忽略了網(wǎng)絡(luò)安全因素,加之工業(yè)控制系統(tǒng)自身的漏洞并未得到足夠的重視,使得目前工業(yè)控制系統(tǒng)面臨的安全威脅日益嚴(yán)重。2010年爆發(fā)的“震網(wǎng)病毒”(Stuxnet)是第一個(gè)被檢測出來專門攻擊破壞工業(yè)控制系統(tǒng)的病毒,“震網(wǎng)病毒”造成伊朗鈾濃縮工廠多臺離心機(jī)損壞,布什爾核電站因此推遲啟動(dòng)[1]。2011年和2012年,又相繼發(fā)現(xiàn)了“Duqu病毒”和“火焰病毒”,但與“震網(wǎng)病毒”不同的是,前者主要目的是造成工業(yè)破壞,而后兩者則被用來收集與其攻擊目標(biāo)有關(guān)的各種情報(bào)。由此充分說明,針對工業(yè)控制系統(tǒng)的復(fù)雜信息安全攻擊已經(jīng)成為現(xiàn)實(shí)。
ICS系統(tǒng)安全防護(hù)技術(shù)手段主要有防火墻技術(shù)、入侵檢測技術(shù)、ICS系統(tǒng)漏洞挖掘技術(shù)、風(fēng)險(xiǎn)評估技術(shù)等。后兩者并不能提供實(shí)時(shí)的網(wǎng)絡(luò)安全防護(hù),防火墻雖然能夠有效地阻止來自外部的攻擊,但不能防止來自ICS系統(tǒng)內(nèi)部的攻擊,入侵檢測技術(shù)被稱為防火墻之后的第二道安全閘門,可實(shí)現(xiàn)對內(nèi)、外部入侵的實(shí)時(shí)檢測。
本文對異常檢測技術(shù)中的非參數(shù)CUSUM算法進(jìn)行改進(jìn),重新設(shè)計(jì)算法中偏移常數(shù)的生成方法,提出具有自適應(yīng)特征的動(dòng)態(tài)檢測門限設(shè)置規(guī)則,給出改進(jìn)算法(D-CUSUM)在ICS系統(tǒng)入侵檢測中的應(yīng)用,通過仿真實(shí)驗(yàn)給出算法的檢測性能分析。
1 相關(guān)研究
目前,對ICS網(wǎng)絡(luò)安全的研究整體還處于起步階段,本節(jié)主要介紹CUSUM算法在入侵檢測技術(shù)以及ICS入侵檢測中應(yīng)用的相關(guān)研究。
文獻(xiàn)[2]通過將網(wǎng)絡(luò)劃分成多個(gè)簇,在各簇設(shè)置單獨(dú)的自治網(wǎng)絡(luò)管理單元,在各自治網(wǎng)絡(luò)管理單元上部署基于CUSUM算法的入侵檢測系統(tǒng),實(shí)現(xiàn)檢測DDoS攻擊的目的。文獻(xiàn)[3]針對無線傳感器網(wǎng)絡(luò)的特征,分別研究多級CUSUM算法、基于信噪比的CUSUM算法以及統(tǒng)計(jì)CUSUM算法,用于對無線傳感器網(wǎng)絡(luò)攻擊的檢測。張?jiān)瀑F等在文獻(xiàn)[4-5]中研究了CUSUM異常檢測算法在工業(yè)控制系統(tǒng)入侵檢測中的應(yīng)用。
上述研究中采用的都是基于固定檢測門限的CUSUM算法,并且通常憑經(jīng)驗(yàn)值設(shè)置固定的偏移常數(shù)。針對這一問題,本文基于概率論理論提出一種自適應(yīng)的偏移常數(shù)生成方法,給出具有自適應(yīng)特征的動(dòng)態(tài)檢測門限設(shè)置規(guī)則。仿真結(jié)果證明本文算法明顯提升了ICS入侵檢測技術(shù)的性能。
2 算法的改進(jìn)
2.1 CUSUM算法描述
CUSUM異常檢測算法是一種序貫分析法,由劍橋大學(xué)的E.S.Page于1954年提出,是工業(yè)控制過程異常監(jiān)控的常用算法,它可以檢測到一個(gè)統(tǒng)計(jì)過程均值的變化。CUSUM算法基于這樣一個(gè)事實(shí):如果有變化發(fā)生,則隨機(jī)序列的概率分布也會(huì)發(fā)生改變。
以上為標(biāo)準(zhǔn)CUSUM算法。
2.2 非參數(shù)CUSUM算法
應(yīng)用CUSUM算法需要事先知道隨機(jī)序列的參數(shù)模型(如隨機(jī)序列服從標(biāo)準(zhǔn)正態(tài)分布等),以便使用概率密度函數(shù)來監(jiān)控序列。正常情況下,工業(yè)控制系統(tǒng)中傳感器的預(yù)測值可通過數(shù)學(xué)模型或經(jīng)驗(yàn)公式獲得,但網(wǎng)絡(luò)攻擊的概率分布卻難以獲得,也就無法得知攻擊狀態(tài)下監(jiān)控序列的概率分布,所以需要一種模型無關(guān)的檢測算法。而非參數(shù)CUSUM算法主要是累積明顯比正常情況下的平均水平高的Xn值,不需要具體的模型,并且能夠以連續(xù)方式監(jiān)控輸入的隨機(jī)變量,從而達(dá)到實(shí)時(shí)檢測。
非參數(shù)CUSUM算法的定義為:
上式為非參數(shù)CUSUM算法的遞歸形式。
非參數(shù)CUSUM算法不要求檢測序列的概率分布,但要求檢測序列{xn}在正常情況下具有負(fù)的期望值E(X)<0,變化發(fā)生后具有正的期望值E(X)>0,這是應(yīng)用非參數(shù)CUSUM算法的前提條件。
2.3 自適應(yīng)設(shè)置檢測門限的改進(jìn)非參數(shù)CUSUM算法(D-CUSUM)
2.3.1 數(shù)據(jù)預(yù)處理
令獨(dú)立隨機(jī)變量序列X={x1,x2,x3,…}表示輸入數(shù)據(jù)。由2.2節(jié)可知,非參數(shù)CUSUM算法要求樣本序列的數(shù)學(xué)期望值為負(fù)值,為了保證滿足這一條件,需要對數(shù)據(jù)進(jìn)行預(yù)處理,通常做法是設(shè)置一個(gè)偏移常數(shù)β,令
=X-β,使
滿足正常狀態(tài)下![Y56M_]QQ$N[{Q`I$}JRXPZ2.png](http://files.chinaaet.com/images/2017/01/12/6361983035575053858410747_w.png "Y56M_]QQ$N[{Q`I$}JRXPZ2.png")
。目前ICS系統(tǒng)非參數(shù)CUSUM入侵檢測算法大多設(shè)置固定的偏移常數(shù),本文算法與其不同,基于概率論中著名的柯爾莫哥洛夫(Kolmogorov)不等式生成偏移常數(shù)β。主要步驟如下:
(1)對原始數(shù)據(jù)X的均值μn(n=2,3,…)和方差
(n=2,3,…)進(jìn)行在線估計(jì)和更新。具體方法為:
![BO1LD)STUE)H@R$]~59K57N.png](http://files.chinaaet.com/images/2017/01/12/6361983051071653851618451_w.png "BO1LD)STUE)H@R$]~59K57N.png")
2.3.2 自適應(yīng)設(shè)置檢測門限
為了降低處理開銷,本文算法采用非參數(shù)CUSUM算法的遞歸形式,處理過程如下:
由式(9)可知:![24E51[0Q)X$5HX4IT1_3B]9.png](http://files.chinaaet.com/images/2017/01/12/6361983064115453851452572_w.png "24E51[0Q)X$5HX4IT1_3B]9.png")
![3)YKWE1GKZPZO]}9FRX}F%X.png](http://files.chinaaet.com/images/2017/01/12/6361983070150453855140459_w.png "3)YKWE1GKZPZO]}9FRX}F%X.png")
(5)讀取xn+1,重復(fù)步驟(2)~(4),開始下一輪檢測。
(6)算法結(jié)束。
需要指出的是,在步驟(4)中算法設(shè)計(jì)引入了閾值系數(shù)ρ與告警控制參數(shù)K。對這兩個(gè)參數(shù)的設(shè)置要求比較寬松,取決于用戶對虛警概率和異常檢測時(shí)延的要求。增大ρ、K的取值,可以在一定范圍內(nèi)降低虛警概率,但同時(shí)也增加了檢測時(shí)延。
3 算法的應(yīng)用及仿真
本節(jié)研究了上述改進(jìn)算法(D-CUSUM)在溫度控制系統(tǒng)入侵檢測中的應(yīng)用。實(shí)驗(yàn)應(yīng)用MATLAB Simulink仿真環(huán)境搭建溫度控制系統(tǒng),模擬攻擊者對某一溫度傳感器實(shí)施攻擊。
令xn和τN表示該溫度傳感器在時(shí)刻n的測量值和告警閾值。正常情況下,序列{xn}是均值平穩(wěn)序列,攻擊發(fā)生時(shí),病毒修改傳感器的測量值,序列均值發(fā)生明顯變化。實(shí)驗(yàn)仿真針對ICS的幾何攻擊[8],其攻擊特征為:![@QJB[]$O7J9J2~RO`4N[QYS.png](http://files.chinaaet.com/images/2017/01/12/6361983079651353858058597_w.png "@QJB[]$O7J9J2~RO`4N[QYS.png")
,其中0<γ<1。攻擊從k=0時(shí)刻開始。開始時(shí),傳感器信號變化微小,當(dāng)k>n后,攻擊突然大幅增加,傳感器的測量信號會(huì)突然變大,如果在這之前,沒有檢測到攻擊的發(fā)生,會(huì)對ICS的安全帶來威脅,甚至對實(shí)際生產(chǎn)過程造成損害。
假設(shè)正常情況下溫度傳感器的測量值為(1 000±20)℃,超過1 020 ℃就會(huì)造成物理損壞。幾何攻擊參數(shù)設(shè)置為:η=20,n=100,γ=0.817。EWMA平滑因子α=0.98,累積和計(jì)算長度L=50,采樣周期Ts=100 s。圖1給出了(ρ,K)=(0.5,4)時(shí)的結(jié)果。
圖1 入侵檢測仿真結(jié)果
從圖1中可以看出,在時(shí)刻k=100Ts時(shí),溫度傳感器達(dá)到了ICS允許的最大溫度值。采用本文算法D-CUSUM檢測系統(tǒng),在時(shí)刻k=81Ts時(shí)檢測到異常,系統(tǒng)告警,ICS遭到攻擊;采用固定門限CUSUM算法[8],在時(shí)刻k=90Ts系統(tǒng)告警。由此可見,在本文仿真環(huán)境下,本算法能在ICS系統(tǒng)產(chǎn)生物理損壞前19Ts=1 900 s發(fā)出告警,在檢測實(shí)時(shí)性方面優(yōu)于固定門限算法90Ts-81Ts=9Ts=900 s。
4 結(jié)論
本文根據(jù)工業(yè)控制系統(tǒng)高實(shí)時(shí)性和高可用性的要求,針對CUSUM異常檢測算法存在的固定偏移常數(shù)和固定檢測門限問題,提出了一種面向工業(yè)控制系統(tǒng)、具有自適應(yīng)特征的非參數(shù)CUSUM(D-CUSUM)入侵檢測方法。算法的自適應(yīng)特征體現(xiàn)在兩點(diǎn):(1)基于柯爾莫哥洛夫不等式理論設(shè)置非參數(shù)CUSUM偏移常數(shù)β;(2)通過外部參數(shù)-告警控制參數(shù)動(dòng)態(tài)設(shè)置檢測門限τN。針對溫度控制系統(tǒng)的攻擊仿真實(shí)驗(yàn)結(jié)果證明,本文提出的改進(jìn)算法改善了檢測的實(shí)時(shí)性和誤報(bào)率,能夠?qū)崿F(xiàn)對工業(yè)控制系統(tǒng)的低誤報(bào)率實(shí)時(shí)入侵檢測。
參考文獻(xiàn)
[1] 李戰(zhàn)寶,潘卓.透視“震網(wǎng)”病毒[A].第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C],2011.
[2] Patrick P C Lee,Tian Bu,Thomas Woo.On the detection of signaling DoS attacks on 3G wireless networks[J].Computer Network,2009,53(15):2601-2606.
[3] Xiao Zhenghong,Chen Zhigang,Deng Xiaoheng.Anomaly detection based on a multi-class CUSUM algorithm for WSN[J].Journal of Computers,2010,5(2):306-313.
[4] 張?jiān)瀑F,趙華,王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,42(A01):55-59.
[5] 張?jiān)瀑F,佟為明,趙永麗.CUSUM異常檢測算法改進(jìn)及在工控系統(tǒng)入侵檢測中的應(yīng)用[J].冶金自動(dòng)化,2014,38(5):1-5.