張書凡

【摘要】? ? 入侵檢測(cè)系統(tǒng)是一種有效的網(wǎng)絡(luò)安全防護(hù)手段，已在工業(yè)控制網(wǎng)絡(luò)得到廣泛應(yīng)用。然而，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊變得多樣化和復(fù)雜化，使得入侵檢測(cè)系統(tǒng)需要具有更強(qiáng)的檢測(cè)性能。本文從煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)的特點(diǎn)著手結(jié)合了分布式入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)，構(gòu)建了一種分布式的煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)入侵檢測(cè)模型。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)? ? 分布式入侵檢測(cè)

Abstract： Intrusion detection system is an effective network security protection method， which has been widely used in industrial control networks. However， with the development of network technology， network attacks have become diversified and complicated， making intrusion detection systems need to have stronger detection performance. This paper starts from the characteristics of the industrial control network of the tobacco shovel and combines the advantages of the distributed intrusion detection system to construct a distributed intrusion detection model of the tobacco production industrial control network.

Key words： Network security; Tobacco production industry control network; Distributed intrusion detection

引言：

工業(yè)控制網(wǎng)絡(luò)[1]（Industrial Control Network）目前已經(jīng)廣泛的應(yīng)用在電力系統(tǒng)、石油化工生產(chǎn)、煙草生產(chǎn)、水利工程、軍事、醫(yī)療以及國(guó)家各類重點(diǎn)企業(yè)的生產(chǎn)制造中。工業(yè)控制網(wǎng)絡(luò)已成為企業(yè)生產(chǎn)制造過程中不可或缺的一部分。然而，在工業(yè)控制系統(tǒng)大大提高企業(yè)生產(chǎn)能力的同時(shí)，工業(yè)控制網(wǎng)絡(luò)的安全性防護(hù)問題也越來越突出。如受到網(wǎng)絡(luò)外部或者網(wǎng)絡(luò)內(nèi)部的木馬病毒、蠕蟲以及人為的攻擊等，給企業(yè)造成巨大的損失。針對(duì)煙草生產(chǎn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)面臨的安全問題，文章設(shè)計(jì)了一種分布式入侵檢測(cè)系統(tǒng)。

一、入侵檢測(cè)技術(shù)概述

入侵檢測(cè)系統(tǒng)[2]是一種主動(dòng)式的網(wǎng)絡(luò)系統(tǒng)安全保護(hù)措施，它是對(duì)防火墻等被動(dòng)防御系統(tǒng)的補(bǔ)充。入侵檢測(cè)系統(tǒng)不僅可以檢測(cè)到來自網(wǎng)絡(luò)外部的入侵，也能對(duì)網(wǎng)絡(luò)內(nèi)部的非授權(quán)等行為進(jìn)行檢測(cè)。入侵檢測(cè)系統(tǒng)監(jiān)控網(wǎng)絡(luò)中的流量和計(jì)算機(jī)的日志信息，分析相關(guān)數(shù)據(jù)，發(fā)現(xiàn)是否存在惡意攻擊行為。如圖1為入侵檢測(cè)系統(tǒng)工作的流程圖。

二、入侵檢測(cè)系統(tǒng)分類

現(xiàn)有的入侵檢測(cè)系統(tǒng)按照檢測(cè)功能和檢測(cè)對(duì)象進(jìn)行分類，可分為基于主機(jī)的檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)、基于異常的檢測(cè)系統(tǒng)、基于誤用的檢測(cè)以及混合檢測(cè)系統(tǒng)。

2.1基于主機(jī)的入侵檢測(cè)

基于主機(jī)的入侵檢測(cè)系統(tǒng)，主要是檢測(cè)系統(tǒng)日志和其他的應(yīng)用程序日志來進(jìn)行信息收集與分析。從而發(fā)現(xiàn)是否存在攻擊。

2.2基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)是主要是以網(wǎng)絡(luò)數(shù)據(jù)包為檢測(cè)對(duì)象，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時(shí)分析，來發(fā)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)是否存在異常。

2.3基于異常的入侵檢測(cè)系統(tǒng)

異常檢測(cè)是對(duì)用戶的行為或者是對(duì)資源的使用情況進(jìn)行分析，從而是否有入侵發(fā)生。

2.4基于誤用的入侵檢測(cè)系統(tǒng)

誤用檢測(cè)技術(shù)的基本原理是假定所有的網(wǎng)絡(luò)攻擊都具有一定的模式或特征，然后根據(jù)該模式或特征分析處理建立一個(gè)特定類型的數(shù)據(jù)庫，最后把收集到的數(shù)據(jù)和信息與己知類型的網(wǎng)絡(luò)入侵和系統(tǒng)誤用的模式數(shù)據(jù)庫進(jìn)行匹配操作，如果匹配，則認(rèn)為發(fā)生入侵。

2.5混合檢測(cè)

混合檢測(cè)是將異常檢測(cè)和誤用檢測(cè)結(jié)合起來的一種檢測(cè)技術(shù)，通常入侵檢測(cè)系統(tǒng)在做出決策之前，有時(shí)候既要分析系統(tǒng)的正常行為，又要判斷可疑的入侵行為，所以比普通的檢測(cè)方式更加全面、準(zhǔn)確和可靠。

三、工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)及其面臨的網(wǎng)絡(luò)威脅

3.1分布式入侵檢測(cè)系統(tǒng)

隨著計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)變的越來越復(fù)雜，網(wǎng)絡(luò)規(guī)模已經(jīng)很好的滿足網(wǎng)絡(luò)安全發(fā)展的需要。由此，分布式入侵檢測(cè)系統(tǒng)[3]應(yīng)運(yùn)而生。分布式入侵檢測(cè)系統(tǒng)的策略由控制中心定義和管理?？刂浦行母鶕?jù)分配協(xié)議的原則將策略分配給各個(gè)監(jiān)控人員，由各個(gè)監(jiān)控人員實(shí)現(xiàn)具體的策略。同時(shí)，每個(gè)監(jiān)控器可以根據(jù)需要使用不同類型的入侵檢測(cè)系統(tǒng)。

3.2煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)體系結(jié)構(gòu)

煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)具有明顯的結(jié)構(gòu)體系，以甘肅省煙草公司蘭州市公司為例。如圖2所示為整個(gè)公司生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

1.控制系統(tǒng)與外部通信網(wǎng)絡(luò)的連接部分：通過路由器將整個(gè)網(wǎng)絡(luò)接入外部主干網(wǎng)絡(luò)中;

2.監(jiān)控平臺(tái)：負(fù)責(zé)監(jiān)視其他各個(gè)工作區(qū)域內(nèi)的設(shè)備以及人員工作狀態(tài);

3.安全管理區(qū)域：主要部署日志審計(jì)服務(wù)器、漏洞掃描設(shè)備、系統(tǒng)備份服務(wù)器等設(shè)備;

4.辦公區(qū)域：主要部署用于員工工作和操作的主機(jī);

5.工控區(qū)域：包括眾多的傳感器、電子設(shè)備、分揀設(shè)備、裝卸設(shè)備以及移動(dòng)終端。

一般可以將煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)分為管理網(wǎng)絡(luò)、過程控制網(wǎng)絡(luò)和現(xiàn)場(chǎng)控制網(wǎng)絡(luò)三層結(jié)構(gòu)。管理網(wǎng)絡(luò)直接與互聯(lián)網(wǎng)連接并進(jìn)行信息交換。過程控制網(wǎng)絡(luò)主要負(fù)責(zé)對(duì)工業(yè)控制系統(tǒng)的檢測(cè)、管理和數(shù)據(jù)保存?，F(xiàn)場(chǎng)網(wǎng)絡(luò)是由一系列的智能電子設(shè)備、傳感器和移動(dòng)端構(gòu)成，實(shí)現(xiàn)了對(duì)工業(yè)生產(chǎn)中流水線的控制。煙草生產(chǎn)工業(yè)網(wǎng)絡(luò)的功能性是按層次性結(jié)構(gòu)進(jìn)行區(qū)分的，各層之間負(fù)責(zé)不同的控制業(yè)務(wù)，各控制層次之間通過相應(yīng)的通信協(xié)議進(jìn)行數(shù)據(jù)的傳輸與交換，實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)的分層管理。煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)與傳統(tǒng)的信息網(wǎng)絡(luò)的主要區(qū)別為：1.對(duì)系統(tǒng)的實(shí)時(shí)性要求不同;2.通信協(xié)議不同;3.安全防護(hù)技術(shù)不同;4.業(yè)務(wù)流程不同。

3.2面臨的網(wǎng)絡(luò)威脅

工業(yè)控制網(wǎng)絡(luò)在實(shí)現(xiàn)數(shù)據(jù)通信過程時(shí)通常使用業(yè)界常用的標(biāo)準(zhǔn)協(xié)議。然而，在提高工業(yè)系統(tǒng)控制能力的同時(shí)，也存在著許多安全風(fēng)險(xiǎn)：

1.企業(yè)所使用的辦公網(wǎng)絡(luò)與主干互聯(lián)網(wǎng)連接，很大概率存在來自外部互聯(lián)網(wǎng)的安全威脅，如木馬病毒、不安全的遠(yuǎn)程支持。

2.企業(yè)內(nèi)部員工等人員在操作過程中將不安全的移動(dòng)設(shè)備（如個(gè)人PC、U盤等）在沒有經(jīng)過安全檢查或者授權(quán)的情況下直接接入，這很大可能造成木馬病毒在整個(gè)工業(yè)控制網(wǎng)絡(luò)中的傳播，嚴(yán)重時(shí)甚至?xí)斐芍卮蟮墓I(yè)事故。

3.工業(yè)控制網(wǎng)絡(luò)之中RTU/PLC之間建立的無線通信，缺乏有效的安全機(jī)制，存在很大的安全隱患，極易受到攻擊。

4.控制網(wǎng)絡(luò)通常位于工業(yè)控制的生產(chǎn)現(xiàn)場(chǎng)，設(shè)備運(yùn)行的環(huán)境相對(duì)較復(fù)雜，通常使用無線、微波等接入技術(shù)作為對(duì)現(xiàn)有的網(wǎng)絡(luò)外擴(kuò)延伸方法，這也可能會(huì)存在一定的安全風(fēng)險(xiǎn)。

四、分布式入侵檢測(cè)系統(tǒng)在煙草生產(chǎn)工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用

分布式入侵檢測(cè)系統(tǒng)[4]檢測(cè)的數(shù)據(jù)來源于網(wǎng)絡(luò)中的數(shù)據(jù)包和主機(jī)中的數(shù)據(jù)。它主要的工作模式是分布式檢測(cè)、集中式管理。本系統(tǒng)的檢測(cè)方式是結(jié)合了基于主機(jī)的檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)的混合檢查方式。

4.1基本工作原理

部署在網(wǎng)絡(luò)節(jié)點(diǎn)中的各個(gè)監(jiān)測(cè)器在監(jiān)聽網(wǎng)絡(luò)上的數(shù)據(jù)的同時(shí)，也統(tǒng)計(jì)流量信息。利用已經(jīng)設(shè)置好的攻擊行為檢測(cè)規(guī)則來檢測(cè)網(wǎng)絡(luò)中存在的攻擊活動(dòng)，實(shí)現(xiàn)第一層檢測(cè)。

分析處理后的流量信息需要進(jìn)行分類操作，然后將這些數(shù)據(jù)集中存放到統(tǒng)計(jì)服務(wù)中心的相關(guān)數(shù)據(jù)庫中，最后，通過管理服務(wù)器對(duì)這些數(shù)據(jù)進(jìn)行分析檢測(cè)處理并且向管理員進(jìn)行報(bào)警，實(shí)現(xiàn)了第二層檢測(cè)。

管理員通過管理服務(wù)器對(duì)整個(gè)系統(tǒng)進(jìn)行相應(yīng)的運(yùn)行控制和監(jiān)控，管理員通過對(duì)服務(wù)器管理從而達(dá)到對(duì)整個(gè)系統(tǒng)進(jìn)行相應(yīng)的運(yùn)行控制和監(jiān)控的目的。必要時(shí)，可以通過統(tǒng)計(jì)服務(wù)中心的數(shù)據(jù)庫中提取出相關(guān)的數(shù)據(jù)來分析，實(shí)現(xiàn)第三層檢測(cè)。

4.2系統(tǒng)的整體部署

以甘肅省煙草公司蘭州是公司的工業(yè)生產(chǎn)控制系統(tǒng)為例進(jìn)行部署。系統(tǒng)由監(jiān)測(cè)器、統(tǒng)計(jì)分析服務(wù)中心和管理服務(wù)器三大部分組成，如圖3所示。

按照工業(yè)控制網(wǎng)絡(luò)的特性去部署所設(shè)計(jì)的分布式入侵檢測(cè)系統(tǒng)的監(jiān)測(cè)設(shè)備、監(jiān)控中心以及統(tǒng)計(jì)服務(wù)器。首先，在外網(wǎng)與最外層防火墻之間安裝監(jiān)測(cè)器用于監(jiān)測(cè)來自外部網(wǎng)絡(luò)的入侵。

在防火墻與管理網(wǎng)之間部署監(jiān)測(cè)器以監(jiān)視和分析管理網(wǎng)與外網(wǎng)的數(shù)據(jù)流。分別在過程控制網(wǎng)絡(luò)和現(xiàn)場(chǎng)控制網(wǎng)絡(luò)中部署一臺(tái)或一臺(tái)以上的監(jiān)測(cè)器監(jiān)視各網(wǎng)段的流量數(shù)據(jù)。統(tǒng)計(jì)分析中心部署在管理網(wǎng)中，并用交換機(jī)將連接各層網(wǎng)絡(luò)中的各個(gè)監(jiān)測(cè)器，最后通過交換機(jī)與統(tǒng)計(jì)分析中心服務(wù)器連接。通過收集各個(gè)監(jiān)測(cè)器的流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。管理服務(wù)器部署在管理網(wǎng)中，主要的作用是監(jiān)測(cè)統(tǒng)計(jì)服務(wù)器和各個(gè)監(jiān)測(cè)器的工作狀態(tài)，此外，還可以對(duì)部署的所有監(jiān)測(cè)器進(jìn)行統(tǒng)一的管理和維護(hù)。此外，檢測(cè)中心能夠?qū)ο到y(tǒng)配置管理，也可以與統(tǒng)計(jì)分析中心進(jìn)行數(shù)據(jù)交互，獲取統(tǒng)計(jì)分析結(jié)果，便于網(wǎng)絡(luò)管理人員進(jìn)行查詢和監(jiān)控。

五、結(jié)束語

本文首先對(duì)工業(yè)控制網(wǎng)的安全現(xiàn)狀進(jìn)行了分析，簡(jiǎn)明的介紹了入侵檢測(cè)技術(shù)的相關(guān)理論知識(shí)，然后通過分析煙草生產(chǎn)工業(yè)控制網(wǎng)的安全現(xiàn)狀和體系結(jié)構(gòu)，設(shè)計(jì)了一種分布式入侵檢測(cè)系統(tǒng)。系統(tǒng)主要由監(jiān)測(cè)器、分析統(tǒng)計(jì)服務(wù)中心和管理服務(wù)器三大部分組成，通過三層檢測(cè)模式，對(duì)整個(gè)控制網(wǎng)絡(luò)實(shí)現(xiàn)由容易識(shí)別到不容易識(shí)別威脅的分布式管理。在后續(xù)的研究中，將結(jié)合最新的智能檢測(cè)技術(shù)，如用機(jī)器學(xué)習(xí)的方式，實(shí)現(xiàn)智能化的檢測(cè)方式，進(jìn)一步的提高對(duì)工業(yè)控制網(wǎng)的安全防護(hù)。

參? 考? 文? 獻(xiàn)

[1]石永杰，于慧超，呂峰，張暢，吳亞萍.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的主動(dòng)防御技術(shù)研究與實(shí)踐[J].信息技術(shù)與網(wǎng)絡(luò)安全，2020，39（04）：13-18.

[2]李威， 楊忠明. 入侵檢測(cè)系統(tǒng)的研究綜述[J]. 吉林大學(xué)學(xué)報(bào)（信息科學(xué)版）， 2016， 34（5）：657-662.

[3] Song Deng，Ai-Hua Zhou，Dong Yue，Bin Hu，Li-Peng Zhu. Distributed intrusion detection based on hybrid gene expression programming and cloud computing in a cyber physical power system[J]. IET Control Theory & Applications，2017，11（11）.

[4]張小奇， 蔡冠群， 蘇文明. 數(shù)字化校園中入侵檢測(cè)系統(tǒng)的研究與應(yīng)用[J].吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)， 2019， 028（001）：71-73，93.