推荐星级:
- 1
- 2
- 3
- 4
- 5
工业控制系统入侵检测研究综述
资料介绍
工业控制系统是国家关键基础设施的重要组成部分,一旦遭受网络攻击,会造成财产损失、人员伤亡等严重后果。为向工控安全领域的研究人员提供理论支持,对工控系统攻击的特点和检测难点进行了分析,报告了工业系统中入侵检测技术的研究现状,并对不同检测技术的性能和特点进行了比较,最后生成了一份工业入侵检测研究综述。
部分文件列表
| 文件名 | 大小 |
| 工业控制系统入侵检测研究综述.pdf | 922K |
部分页面预览
(完整内容请下载后查看)第 38 卷第 2 期
2017 年 2 月
通
信
学
报
Vol.38 No.2
February 2017
Journal on Communications
doi:10.11959/j.issn.1000-436x.2017036
工业控制系统入侵检测研究综述
1
2
1
1
赖英旭 ,刘增辉 ,蔡晓田 ,杨凯翔
(1. 北京工业大学信息学部计算机学院,北京 100124;2. 北京电子科技职业学院自动化工程学院,北京 100176)
摘 要:工业控制系统是国家关键基础设施的重要组成部分,一旦遭受网络攻击,会造成财产损失、人员伤亡等
严重后果。为向工控安全领域的研究人员提供理论支持,对工控系统攻击的特点和检测难点进行了分析,报告了
工业系统中入侵检测技术的研究现状,并对不同检测技术的性能和特点进行了比较,最后生成了一份工业入侵检
测研究综述。
关键词:工业控制系统;入侵检测;误用检测;异常检测
中图分类号:TP309
文献标识码:A
Research on intrusion detection of industrial control system
1
2
1
LAI Ying-xu , LIU Zeng-hui , CAI Xiao-tian , YANG Kai-xiang
1
(1. College of Computer Science, Faculty of Information Technology, Beijing University of Technology, Beijing 100124, China;
2. Automation Engineering Institute, Beijing Polytechnic, Beijing 100176, China)
Abstract: Industrial control system was an important part of national critical infrastructure, once it was suffered from the
cyber attack, it would cause property damage, casualties and other serious disasters. For providing theoretical supports to
industrial security researchers, the features of attacks in an industrial control system and the difficulties of detection to
these attacks were introduced. Then, a survey of intrusion detection technologies used by the industrial control systems
was given. Also, the performance and characteristic were compared for the different types of detection technologies. Fi-
nally, an industrial intrusion detection research was generated.
Key words: industrial control system, intrusion detection, misuse detection, anomaly detection
面积停电事件又一次为工控安全拉响警报。
1 引言
随着德国工业 4.0 战略进一步实施,工业控制
系统的安全问题将更加严重。全球多数国家都将工
业控制系统的网络攻击列为国家间战略制约手段,
美国早在 20 世纪就开始关注此问题,由能源部和
国土安全部成立了多个国家实验室,建立了关键基
础设施测试靶场。2009 年,出台了国家基础设施保
护计划(NIPP),2011 年,发布了“实现能源供应
系统信息安全路线图”,2012 年,推动了 2 个国家
级专项计划(国家 SCADA 测试床计划 NSTB 和控
制系统安全计划 CSSP),为顺利开展工控系统信
息安全问题的研究提供了坚实的基础平台。
工业控制系统(ICS, industrial control system)
是国家关键基础设施中的重要组成部分,全球每年
会发生几百起针对 ICS 系统的攻击事件,虽然数量
远低于互联网,但每一次事件都会使生产受到巨大
影响,经济遭受重大损失。2010 年“震网”(stuxnet)
病毒的爆发,让全球再一次明白,工业控制系统已
[1]
成为黑客的主要目标 ,随后“毒区”(duqu)和
“火焰”(flame)病毒又相继出现,与“震网”共
同形成“网络战”攻击群。2014 年,功能更为强大
的 Havex 以不同工业领域为目标进行攻击,至 2016
年已发展到 88 个变种。2015 年底发生的乌克兰大
虽然在中国尚未出现较大范围工业系统安全
收稿日期:2016-08-23;修回日期:2016-11-10
基金项目:国家智能制造专项基金资助项目(No.[2015]1170)
Foundation Item: The National Manufacturing Special Program (No.[2015]1170)
2017036-1
·144·
通
学
报
第 38 卷
事件报道,但我国有高达 91%的 ICS 系统采用国外信
品牌,存在着极大感染工业病毒的潜在隐患。“十
一五”期间,我国就将制定的 ICS 安全标准作为《信
办公网络中的管理者根据监控网络提供的数
据对企业进行管理和决策,通过工厂信息管理系统
(PIMS)等工控管理系统对企业的计划产排、仓储
管理、生产调度等流程活动进行统一部署。监控网
络中,操作员可使用数据采集与监控系统(SCADA)
对现场运行的设备进行监测和控制,在调度控制方
面有极高的可靠性。在现场控制层中,分布式控制
系统(DCS)、可编程逻辑控制器(PLC)或远程
终端单元(RTU)进行现场设备的逻辑控制、数据
采样、指令执行等工业操作。
[2]
息化安全标准化“十一五”规划》的工作重点 。
2011 年 9 月,工信部又发布了《关于加强工业控制
系统信息安全管理的通知》,旨在强调加强工业信
息安全的重要性、紧迫性,并明确了重点领域工业
[3]
控制系统信息安全的管理要求 。随后,国务院又
发布了《关于大力推进信息化发展和切实保障信息
安全的若干意见》(国发[2012] 23 号),明确提出要
[4]
保障工业控制系统安全 。国家发改委在 2011 年~
由此可见,传统计算机系统绝大多数都是由 PC
机、服务器通过 TCP/IP 协议通信,通用的操作系
统有 Windows、Linux 等,系统兼容性好,软件升
级频繁。而工业控制系统主要由 PLC、RTU、DCS、
SCADA 和传感器等设备组成,通过 OPC、Modbus、
DNP3 等专有协议信息通信,使用 WinCE 等嵌入式
系统,系统兼容性差、软硬件升级困难。在性能特
征等方面,传统计算机系统对实时性要求不高,运
行有一定的延时,可停机或重启,需要高吞吐量,
系统具有足够的资源支持。而工业控制系统实时性
要求高,流量具有突发性和周期性,没有足够的升
2013 年间发布信息安全专项指南时,均将工业控制
[5,6]
安全保障列为重要研究方向 。2016 年,科技部
将“工业控制系统深度安全技术”列入“网络空间
[7]
安全”重点专项计划 ,这足以显示我国对工控安
全发展的重视。
早期提出的多种 ICS 安全保障方案主要是移植
[8,9]
传统的主动防御解决方案 ,然 而无法在高实时性
与资源受限条件下进行有效预测与控制,因此,近
年来,工业网络流量异常检测是这一领域的研究热
点。本文对工业控制系统入侵检测技术进行了概
述。首先,针对工控系统攻击的特点和检测难点,
介绍了工控系统的特点;其次,分析了现有的工控
系统 IDS 架构,讨论了它们的优缺点;最后,分析
了工控系统 IDS 研究所面临的挑战,并对工业 IDS
的技术发展和应用实现进行了展望。
级资源和安保功能,并且必须具备容错功能,不能
[11]
停机或重启
。
传统入侵检测在流量过滤和监测时存在细粒
度过大、协议类型不兼容的问题,并且工业环境复
杂,无法防御中间人或内部人攻击。因此,需要针
对工控环境和协议类型制定基于工控环境的入侵
检测技术,不能将传统入侵检测技术直接套用。
2 工业控制系统概述
当前的工业控制系统在具体部署时通常涉及
如下几种网络:企业办公网络(简称办公网络)、
过程控制与监控网络(简称监控网络)以及现场控
3 工业控制系统攻击分析
工业系统中的攻击按工业网络部署层次可分
为 3 类:1) 监控网攻击,即来自信息空间的网络攻
击,如篡改数据分组,破坏其完整性;2) 系统攻击,
注入非法命令破坏现场设备,或违反总线协议中数
据分组格式的定义,如篡改其中某些参数,令其超
出范围而形成攻击;3) 过程攻击,命令是符合协议
规范的,但违背了工控系统的生产逻辑过程,使系
统处于危险状态(如反应釜的进料阀与一个出料阀
不能同时打开)。其中,监控网攻击主要来自信息
空间,其安全保障可借鉴传统安全技术。但现实中
更多的攻击途径集中于系统攻击和过程攻击,且攻
击方法已经转向慢渗透方式,仅统计网络流量特性
已不能满足需求。目前,有学者提出在检测特征中
[10]
制系统 ,ICS 拓扑结构如图 1 所示。
图 1 ICS 系统结构
2017036-2
全部评论(0)