入侵检测技术研究综述

入侵检测技术研究综述

刘洋

湖北工业大学，电气与电子学院，湖北，武汉， 430000

摘 要：工业控制系统安全是重中之重，国计民生的大事,随着互联网、大数据、云计算的技术要求更高等，工业控制系统（ICS)是国家关键基础设施的重要组成部分，作为国家基础设施的核心控制设备，工业控制系统也面临着越来越严峻的信息安全风险。震网病毒爆发以后，工控安全逐渐引起国家、企业、战略安全专家各个层次的的高度重视。入侵检测（intrusion detection system,简称 IDS)是近年来工业网络安全研究的热点.文章首先说明并给出入侵检测的概念，结构布局，总结概述了多种入侵检测方法。最后，讨论了当前该领域存在的问题及今后的研究方向。

关键词：工业控制系统（ICS）；入侵检测； 工控安全

Research on intrusion detection of industrial control system

Abstract: The safety of industrial control systems is the top priority. The national economy and the people’s livelihood matter. With the higher technical requirements of the Internet, big data, and cloud computing, the industrial control system (ICS) is an important part of the country’s key infrastructure and serves as the national foundation The core control equipment and industrial control systems of facilities are also facing increasingly severe information security risks. After the outbreak of the Stuxnet virus, industrial control security has gradually attracted great attention from all levels of the country, enterprises, and strategic security experts. Intrusion detection system (IDS) is a hot spot in the research of industrial network security in recent years. The article first explains and gives the concept of intrusion detection, structure layout, and summarizes a variety of intrusion detection methods. Finally, the current problems in this field and future research directions are discussed.

Keywords: Industrial Control System (ICS); Intrusion Detection ；Industrial Control Security

0 引言

工业控制系统广泛应用于国民经济的各个重要领域，是工业生产和关键基础设施运行必不可少的一个环节。随着互联网、云计算、大数据等信息技术与工业生产的不断融合发展，工业控制系统也面临着越来越严峻的信息安全风险，如果受到入侵，不仅会造成重大经济损失，更严重威胁到国家基础设施和重要生产部门的安全。

2010年伊朗布什尔核电站爆发“震网病毒” 造成设备大面积损坏，2015年乌克兰大面积停电事件再次为工控安全敲响钟声，2019年3月委内瑞拉电力设施古里水电站计算机系统控制中枢遭受到网络攻击，同年7月，委内瑞拉古里水电站再次遭到攻击，2020年4月，黑客攻击了以色列的水利设施，该国的废水处理厂、污水处理得等设施的SCADA系统遭受了网络攻击。多次针对于工业系统的大型攻击引起了世界各国的轰动和对工业安全的从新认识，工业控制系统的网络安全已成为新的研究热点^[1]。

目前，在工业控制系统的保护方面，针对工业控制网络，己有的传统一些安全防护手段包括身份认证与识别、访问控制机制、加密技术、防火墙技术等网络安全防护技术手段^[2]。这些都是静态的安全防御技术，随着信息化的发展需要一种实时检测、自动分析数据、主动反应的动态技术，入侵检测（Intrusion Detection）是对入侵行为的主动检测，它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为主动安全防护技术，起到实时检测、安全审计、主动响应的技术，对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。

本文对当前的工控入侵检测研究进行总结、归纳与分析，首先介绍了工控系统，做出分析归纳，最后对工控系统入侵检测研究进行展望，提出相关问题的研究发展方向。

1 国内外研究现状

在国外，上世纪八十年代初，James Anderson 首次提出入侵检测概念^[3]。1987年Denning 提出了一个入侵检测系统的抽象模型，首次提出入侵检测是一种与传统安全防御不同的安全防御技术，对入侵检测的研究起到推动作用^[4]。1990 年 Hebeflein等人开发了一个网络安全监视器，首次把网络数据包作为入侵检测的主要数据源^[4]，自此入侵检测技术打开了新大门，各路学者基于此技术提出各种检测模型，经过40年的研究发展，西方国家在工控网络安全方面处在世界领先水平，经形成了完整的工控系统信息安全管理体制和技术体系^[5、6]。

在国内，由于研究起步比较晚，基础底子差，随着国家工业的发展，我国的工控安全领域有了很大的进展，但是对工控网络的整体防护技术而言还不如西方发达国家。

2 入侵检测技术的概述

入侵检测技术是一种主动的安全防护技术，入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。一种通用的入侵检测框架模型，简称 CIDF。该模型入由事件产生器、事件分析器、响应单元和事件数据库组成，如图 1所示。

图1 入侵检测通用模型

2.1 入侵检测的三个功能结构^[7]

入侵检测系统包括三个功能部件：信息处理、信息分析、结果处理。入侵检测首先收集网络、系统、用户行为的数据，在计算机网络系统中的不同节点收集信息，然后通过运用模式匹配、统计分析、完整性分析等分析方法进行数据处理，然后处理数据做出反应。

2.2入侵检测的必要性

随着信息化技术的飞速发展，网络攻击带来的后果越来越严重，日益增长的网络流量、利用加密传播恶意代码、入侵手段的复杂化、隐蔽化等传统防火墙技术已经无法满足当前工业控制系统所需要的安全保障，入侵检测技术的优点恰好能解决如今面临的网络安全难题^[8、9]。

2.3 入侵检测技术

目前，入侵检测技术主要可以从如下四个方面分类^[10]：

（1）根据检测方法的不同，分为异常检测和误用检测。

（2）根据体系结构的不同，分为集中式入侵检测和分布式入侵检测；

（3）根据反应机制的不同，分为被动型入侵检测和主动型入侵检测；

（4）根据检测对象的不同，分为基于网络的入侵检测和基于主机的入侵检测；

鉴于本文主要进行工控系统入侵检测方法的研究，下面从检测方法角度加以介绍。

2.4 异常检测技术

异常入侵检测技术能够搭建用户或系统的正常行为特征，在初始的异常检测系统中通常是用统计模型，通过统计模型计算出随机变量的观察值落在一定区间内的概率，并且根据以往经验规定一个临界值，超过该临界值则认为发生了入侵，流程图如图2。常见的异常检测技术有统计学理论的异常检测、神经网络、遗传算法、贝叶斯网络、支持向量机的异常检测等九种检测技术。

图2异常检测技术

1）基于统计学理论的异常检测

统计模型的基础是收集系统对象大量的数据，在数据中获得各个特征的取值范围划分统计区间，从而确定系统特征的统计度量值，并推测出统计测量度, 如 果任何一个观察值落在正常范围以外, 就认为有入侵发生。统计方法依赖于大量的已知数据，但是这种方法不能反映所识别出的事件在时间上的先后顺序，阈值的设置也是影响系统准确率的因素之一。入侵检测统计模型大致说来有操作模型、平均和标准方差模型、多变量模型、马尔柯夫过程模型、时间序列分析模型五种模型^[11]。

2）基于神经网络的异常检测

首先根据一定的学习规则对输入变量和输出变量的关系进行学习，然后判断新的输入变量和输出变量之间的关系，进而判别是否异常^[12]。论文^[13]中将训练过的神经网络应用到网络入侵检测中，采用改进的 BP 算法，提高了系统的检测速度和入侵检测的准确率，并降低了系统入侵检测的误报率。计算结果与期望值相同率达到 94.2%，这说明本系统神经网络入侵检测模型是符合实时检测的要求。

3）基于遗传算法的异常检测

遗传算法是一种采用自然优化选择和自然遗传选择的搜索算法，可以用于异常检测中的审查跟踪和记录选择^[14]，该算法实现了群体策略和个体间互相交换信息，它的搜索是不依赖梯度信息的，同时能够自主的获得和累积搜索时的有关信息，并能够自适应的优化搜索从而达到最优，此算法是一种全局搜索算法，常与其他算法一起处理信息。论文^[15]遗传算法和隐马尔科夫模型相结合的入侵检测算法，来解决针对隐马尔科夫模型λ=(A, B,ω)对初始参数敏感问题，通过模型设计，实验分析，得出检测率得到提高，同时减小了入侵检测的误检率。

2.5误用入侵检测技术

基于误用的入侵检测技术的研究主要是从世纪年代中期开始,误用检测首先对标识特定入侵的行为模式进行编码,建立入侵模式库,然后对检测过程中得到的审计事件数据进行过滤,检查是否包含入侵模式来发检测攻击。常用的方法有专家系统、模型推理、状态转换分析、)条件概率、键盘监控等技术。流程图如图3

图3 误用检测流程图

1. 基于状态迁移分析的误用入侵检测方法

状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转到被入侵状态，状态迁移分析方法将攻击表示成一系列被监控的系统状态迁移，攻击模式的状态对应于系统状态,并具有迁移到另外状态的条件。导致出现入侵操作的事件，用用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中,允许事件类型被植入到模型并且无须同审计记录一一对应。^[16]文中给出此方法的模型，运用状态分析方法，并基TE仿真模型进行了各项实验,该方法具有较小的时空消耗,且考虑了系统运行的动态特性,能够快速检测出异常, 因而适用于资源受限和 对实时性要求较高的工业控制系统。

2. 基于专家系统的误用入侵检测

基于专家系统的入侵检测是一种对多目标系统的用户活动进行实时监控的全方位入侵检测方法^[17]，前提数据库已经收集攻击的一组规则，专家系统的规则就是系统关于入侵的知识, 它的建立于知识库的完备。入侵检测专家系统数据库设计的核心是定义一个能够实时匹配到已知网络入侵特征的模式数据库和一个能够反映已往典型网络入侵事件的事例数据库^[18]。

限于篇幅问题只列举以上几点。

3 ICS入侵检测性能评价

为了评估一个模式是否可靠，引用了入侵检测性能指标有检测率（TPR）、漏报率（FNR）和误报率（FPR）同时还有准确性、处理性能、完备性、容错性、及时性等指标。由于工控系统行为是控制工业生产的关键操作，误判并进行拦截会影响系统的正常运行，可能造成比攻击操作更严重的破坏。因此，IDS对误报率有着更为严格的要求，根据工业控制实时性的要求，降低模型复杂度和检测时间也是检测性能评价的一个重要标准。

4展望

随着政府提倡的互联网+”概念，新一代信息技术与现代制造业融合创新，为工控系统带来了巨大的生产力和创造力的提升， 同时也带来相同的风险。

当前,高级持续性威胁已成为高安全等级网络的最主要威胁之一，其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别，因此新型攻击检测技术成为 APT 攻击防御领域的研究热点，误用入侵检测技术及异常入侵检测技术的合理结合也可以作为未来的一个研究方向。入侵检测技术的可扩展性、和网络管理系统的融合和可用性的提高都需要加大研究力度。如何提取高效的异常行为入侵检测特征、 提高入侵检测算法对攻击行为的检测能力也可作为将来的研究热点。^[19]

本文在对工控系统入侵检测技术研究现状分析的基础上，提出三点工业控制系统入侵检测技术的发展方向，一是分布式入侵检测，使用分布式的方法来检测可以极大提高检测效率，提高准确性。二是智能化入侵检测，利用如神经网络、遗传算法、模糊技术、等方法实现了知识库的自我更新与填充，使其具备新的防御能力。。三是宽带高速网络的实时入侵检测技术，大量高速网络技术如千兆位以太网、5G技术的成熟与推广运用，在高速网络下的实时入侵检测系统成为一个现实的问题^[20]。

5结束语

本文就入侵检测的概念、必要性、异常和误用检测的主要方法、入侵检测系统的结构等做了概括。随着网络入侵技术的不断发展，5G高速网络的普及，入侵检测会延伸到很多方面，涉及的领域也会越来越多,如何高效率的检测算法、入侵模式确认、高速网络中的入侵检测、IDS与其他系统的协同工作等一系列问题都将是未来几年研究的重点。

参考文献

1. Cox D P. The application of autonomic computing for the protection of industrial control systems[J]. 2011.

2. 陶耀东，李 宁，曾广圣. 工业控制系统安全综述[J]. 计算机工程与应用, 2016，52（13）.

3. Anderson J P. Computer security threat monitoring and surveillance [R],Technical Report, James P. Anderson Company, 1980.

4. Denning D E.An intrusion-detection model[J].IEEE Transactions on software engineering, 1987 (2): 222-232.

5. Heberlein L T, Dias G V,Levitt K N, et al. A network security monitor [C].In: 1990 IEEE Computer Society Symposium on Research in Security and Privacy. USA, 1990, 296-304.

6. Snapp S R, Brentano J, Dias G V, et al. DIDS (distributed intrusion detection system)-motivation, architecture, and an early prototype[C]. In: Proceedings of the 14th national computer security conference. 1991,167-176.

7. 王伶任.基于支持向量机的DoS 攻击入侵检测算法研究[D]. 海南:海南大学， 2020.

8. 肖建华,张建忠,吴功宜.基于移动Agent 的分布式入侵检测系统的体系研究[J].计算机科学,2002,(8):39-40.

9. 杨智君,田地,马骏骁等.入侵检测技术研究综述[J].计算机工程与设计,2006,27(12):2119-2123.

10. 刘伟.基于行为模式的平台入侵检测系统的设计与实现[D].北京:北京邮电大学，2013.

11. 鲁宏伟,罗 钢.基于专家系统的入侵检测方法[J]. 武钢技术,2003,41(1) .

12. 李鑫.基于贝叶斯网络入侵检测系统的设计与实现[D].西安:西安电子科技大学,2019.

13. 欧阳光.基于神经网络BP 算法的网络入侵检测系统研究与实现[D].南京:东南大学，2006.

14. 汪海燕，黎建辉，杨风雷,支持向量机理论及算法研究综述[J].计算机应用研究,2014,31(5).

15. 张倩倩.基于隐马尔科夫模型的入侵检测方法研究[D].长沙：中南民族大学，2012.

16. 吕雪峰,谢耀滨.一种基于状态迁移图的工业控制系统异常检测方法[J].自动化学 报, 2018,44(19).

17. 张人上.基于专家系统和神经网络的网络入侵检测系统[J]. 计算机仿 真,2012,29(9).

18. 刘冬，程曦，杨帅锋，孙军. 加强我国工业信息安全的思考. 信息安全与通信保密[A],北京，2019.

19. 侯重远，江汉红，芮万智，刘亮.工业网络流量异常检测的概率主成分分析法[J]. 西安交通大学学报, 2012,46(2).

20. 尚文利，安攀峰,万 明，赵剑明，曾 鹏.工业控制系统入侵检测技术的研究及发展综述[J]. 计算机应用研究,2017,34(2).