郭慶，寧玲玲

（1.濟南沃茨數(shù)控機械有限公司，山東濟南，250001；2.山東工程職業(yè)技術(shù)大學(xué)，山東濟南，250200）

作為信息安全的重要組成部分，入侵檢測技術(shù)不同于傳統(tǒng)的被動保護(hù)防火墻技術(shù)。入侵檢測技術(shù)可以抵御實時攻擊，包括實時監(jiān)視和分析數(shù)據(jù)。通過節(jié)流或模擬來檢測已知和未知的攻擊，并早期警告一些威脅或異常系統(tǒng)行為，以便安全管理員可以及時采取保護(hù)措施。

1 工業(yè)控制系統(tǒng)入侵檢測可視化優(yōu)化系統(tǒng)需求分析

本文中預(yù)期的詳細(xì)工業(yè)防盜所需的可視化優(yōu)化系統(tǒng)功能包括：(1)收集信息的一般功能。當(dāng)在各種工業(yè)控制系統(tǒng)中使用時，應(yīng)該包括系統(tǒng)數(shù)據(jù)的收集。(2) 對系統(tǒng)狀態(tài)數(shù)據(jù)、過程數(shù)據(jù)和其他相關(guān)數(shù)據(jù)進(jìn)行實時監(jiān)控，使用戶能更容易測試各種系統(tǒng)操作模式。(3)離線模擬是一種交互式的入侵檢測可視化功能，可以提供一個交互式的仿真界面，在第一次檢測到入侵時打開黑盒模式，并將角色引入系統(tǒng)，始終通過人機交互進(jìn)行優(yōu)化。(4) 利用在線異常檢測活動，離線建模，優(yōu)化入侵檢測模型。(5) 數(shù)據(jù)記錄、報警和響應(yīng)功能。當(dāng)系統(tǒng)檢測到攻擊時，需要記錄相應(yīng)的異常信息，及時發(fā)送警告信號，并在必要時采取適當(dāng)?shù)拇胧?6)功能數(shù)據(jù)存儲。此功能使用集中式存儲庫存儲系統(tǒng)中的各種數(shù)據(jù)，并根據(jù)需要向其他模塊提供數(shù)據(jù)資源。

2 工業(yè)控制系統(tǒng)入侵檢測可視化優(yōu)化系統(tǒng)架構(gòu)設(shè)計

可視化優(yōu)化系統(tǒng)架構(gòu)旨在根據(jù)圖1所示系統(tǒng)的基本功能和其他要求，采用分層結(jié)構(gòu)的模式來檢測工業(yè)控制系統(tǒng)中的干擾。

如圖1所示，該系統(tǒng)結(jié)構(gòu)主要由數(shù)據(jù)收集層、業(yè)務(wù)績效層和應(yīng)用程序屏幕層組成，每層的功能如下：數(shù)據(jù)收集層主要從節(jié)點收集數(shù)據(jù)，通過輪詢對象調(diào)度實時數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)，并將其存儲在用于業(yè)務(wù)功能層和系統(tǒng)顯示層操作的輪詢數(shù)據(jù)庫。業(yè)務(wù)績效水平是系統(tǒng)的重要組成部分，基本上由三個部分組成：離線視覺系統(tǒng)仿真、入侵檢測和系統(tǒng)數(shù)據(jù)的實時監(jiān)控。離線建模系統(tǒng)的一部分是基于歷史數(shù)據(jù)庫數(shù)據(jù)創(chuàng)建模型，包括四個過程：數(shù)據(jù)處理映射、關(guān)鍵屬性選擇、可視化的交互式映射以及完成評估?；ヂ?lián)網(wǎng)搜索需要使用獨立組件的模型，組件發(fā)布的記錄模型實時顯示系統(tǒng)收集的數(shù)據(jù)。當(dāng)檢測到異常時，會觸發(fā)適當(dāng)?shù)木瘓?，并指示相關(guān)人員采取適當(dāng)?shù)陌踩胧?。實時跟蹤主要關(guān)注涉及到的物理對象，實時過程數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)在已處理的應(yīng)用程序級別顯示。應(yīng)用程序屏幕層主要包含可視化模擬部分、過程控制部分、實時系統(tǒng)狀態(tài)數(shù)據(jù)記錄、警報屏幕共享以及通過交互式屏幕界面與用戶系統(tǒng)進(jìn)行交互等功能。交互主要包括與用戶登錄系統(tǒng)相關(guān)的參數(shù)，例如配置模擬過程和輪詢過程中的交互用戶人員。

圖1 工控系統(tǒng)入侵檢測可視化優(yōu)化系統(tǒng)架構(gòu)

3 工業(yè)控制系統(tǒng)入侵檢測可視化優(yōu)化系統(tǒng)主要功能模塊設(shè)計及實現(xiàn)

■3.1 數(shù)據(jù)采集模塊

(1)節(jié)點數(shù)據(jù)采集方法：系統(tǒng)節(jié)點可以分為基于Windows的節(jié)點和基于Linux的節(jié)點。基于Windows系統(tǒng)收集主機數(shù)據(jù)，例如CPU使用率、內(nèi)存使用率和性能，可以通過任務(wù)管理器間接獲得，也可以直接用于提供系統(tǒng)API應(yīng)用程序的功能。而基于Linux系統(tǒng)上收集的主機數(shù)據(jù)，可以使用諸如top之類的命令間接獲得，也可以通過直接在虛擬文件系統(tǒng)/過程下計算信息來獲得。(2)網(wǎng)絡(luò)數(shù)據(jù)采集方法：指示特定網(wǎng)絡(luò)的健康狀況，例如用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)連接、狀態(tài)數(shù)據(jù)（例如網(wǎng)絡(luò)延遲數(shù)據(jù)包丟失）和操作數(shù)據(jù)（例如數(shù)據(jù)流和負(fù)載），此數(shù)據(jù)收集通常需要接收和發(fā)送在線軟件包。工業(yè)控制系統(tǒng)的一般結(jié)構(gòu)，開放主要是針對工業(yè)以太網(wǎng)和CAN總線。(3)應(yīng)用數(shù)據(jù)采集方法：應(yīng)用程序數(shù)據(jù)是與平臺操作有關(guān)的數(shù)據(jù)，出于調(diào)查目的，應(yīng)通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包

來獲取此數(shù)據(jù)。數(shù)據(jù)管理應(yīng)用程序可以應(yīng)用于所有數(shù)據(jù)生成節(jié)點，通過從配對設(shè)備收集通信數(shù)據(jù)來收集。有許多方法可以幫助查找數(shù)據(jù)，在Linux上，使用libpcap庫程序，在Windows上，使用winpcap庫程序。

■3.2 可視化入侵檢測分析模塊

視覺分析和干擾模塊可以使用此方法根據(jù)基本的視覺優(yōu)化和數(shù)據(jù)處理技術(shù)，交互式選擇來開發(fā)工業(yè)噪聲控制模型，并實現(xiàn)高精度分析，通過選擇算法并對其進(jìn)行評估來進(jìn)行的優(yōu)化，該模型可用于實時進(jìn)行詳細(xì)的在線入侵。

■3.3 入侵檢測數(shù)據(jù)可視化模塊

可視化入侵該系統(tǒng)的計算機系統(tǒng)是在以Python語言開發(fā)的Django平臺上設(shè)計和實現(xiàn)的。Django是一個使用Python編寫的開源在線開發(fā)環(huán)境，使用MT設(shè)計模式。該模型負(fù)責(zé)與用于定義數(shù)據(jù)模型的基礎(chǔ)數(shù)據(jù)庫進(jìn)行交互。該模板用于存儲各種HTML頁面，并用于由用戶可視地呈現(xiàn)頁面。顯示器是主要組件，負(fù)責(zé)與單個用戶一起工作，需要業(yè)務(wù)的需求和邏輯。 MVT之間的邏輯關(guān)系如圖2所示。

圖2 顯示典型的應(yīng)用程序處理流程。

圖2 MVT關(guān)系圖

（1）用戶提交HTTP請求進(jìn)行查看。（2）根據(jù)“查看性能”查詢執(zhí)行業(yè)務(wù)邏輯處理。（3）如有必要，可以使用顯示模板讀取或保存數(shù)據(jù)。（4）使用數(shù)據(jù)庫模型將數(shù)據(jù)從數(shù)據(jù)庫取回相關(guān)數(shù)據(jù)。（5）根據(jù)需要允許使用HTML頁面模板。（6）模型從視圖返回HTML頁面。（7）將HTML視圖頁面返回給用戶?？梢晹?shù)據(jù)模塊主要記錄系統(tǒng)的過程控制過程，實時描述系統(tǒng)狀態(tài)的數(shù)據(jù)和報警信息。

■3.4 數(shù)據(jù)存儲模塊

數(shù)據(jù)存儲模塊在系統(tǒng)架構(gòu)中占有比較重要的位置，直接影響到系統(tǒng)功能模塊的數(shù)據(jù)訪問效率。由于MySQL數(shù)據(jù)庫具有降低開發(fā)成本的優(yōu)勢，因此本文選擇了MySQL數(shù)據(jù)庫和InnoDB數(shù)據(jù)庫引擎。

4 信息層入侵檢測可視化優(yōu)化的實驗驗證及分析

■4.1 實驗對象及數(shù)據(jù)介紹

主要介紹了測試系統(tǒng)的多功能性和合理性，本文檔中的信息層使用可公開獲得的CDD99數(shù)據(jù)集來使用數(shù)據(jù)檢測常見的網(wǎng)絡(luò)干擾。 CDD99數(shù)據(jù)集通常用于干擾檢測，品牌培訓(xùn)數(shù)據(jù)集包含大約490萬個數(shù)據(jù)點。由于存在大量數(shù)據(jù)，因此官方數(shù)據(jù)包由kddcup.data_10_percent.gz提供，可以提供大約490,000個數(shù)據(jù)樣本。本文提供的系統(tǒng)用于選擇數(shù)據(jù)集中的樣本數(shù)量，由于實驗室資源有限，因此這部分實驗還針對100,000人進(jìn)行測試，同時更加有意地加快實驗過程。我們從490,000個數(shù)據(jù)中選擇數(shù)據(jù)，然后從實踐中獲得100,000個數(shù)據(jù)（75,000個數(shù)據(jù)），并將其余14個（25,000個數(shù)據(jù)）用作測試集。

■4.2 實驗驗證及分析

在將CDD99數(shù)據(jù)庫放入數(shù)據(jù)庫之前，分析師會做一個簡單的工作。首先，卡號是數(shù)據(jù)集中的一組變量，以協(xié)議類型為例，涉及三種協(xié)議：TCP和UDP、ICMP，依此類推，有兩種方法來管理標(biāo)簽。第一種是將標(biāo)簽分為兩類，總體匹配為1，攻擊率為0，目標(biāo)是測試系統(tǒng)，其他人具有檢測攻擊的能力。五個類別為：正常1，DOS；攻擊2，U2R；攻擊3，R2L；攻擊4；調(diào)查攻擊5，目的是測試系統(tǒng)檢測某些類型的攻擊的能力。數(shù)據(jù)映射完成后，我們將數(shù)據(jù)保存在本文介紹的數(shù)據(jù)庫中，并根據(jù)系統(tǒng)建模過程以可視方式對其進(jìn)行優(yōu)化，整個過程的步驟如下：根據(jù)第一種處理方式使用第一個標(biāo)記（通常，總體匹配1，攻擊0）。首先，通過單擊“標(biāo)準(zhǔn)化”按鈕對數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，完成后，通過單擊“樣本數(shù)據(jù)”按鈕選擇，下拉菜單中的數(shù)據(jù)量意味著從訓(xùn)練和測試數(shù)據(jù)集中隨機選擇了100,000個數(shù)據(jù)。完成測試后，單擊“數(shù)據(jù)清理”以加快觀察速度，然后從下拉菜單中選擇“ 33矩陣傳播圖形狀”以直接查看和放大由系統(tǒng)或其主要組件運行產(chǎn)生的圖像。

5 物理層入侵檢測可視化優(yōu)化的實驗驗證及分析

■5.1 實驗對象及數(shù)據(jù)介紹

物理級別的實驗數(shù)據(jù)發(fā)布了計劃，該計劃使用田納西-伊士曼平臺（一種工業(yè)控制系統(tǒng)的典型化學(xué)工業(yè)）和田納西-伊斯特實驗室的半物理建模平臺來收集研究數(shù)據(jù)。物理過程平臺包含一個簡單的田納西州化學(xué)反應(yīng)模型，以模擬實際的工業(yè)生產(chǎn)，主要由四個閉環(huán)控制器、一個反應(yīng)器（用于化學(xué)反應(yīng)和氣體分離）和兩個入口管線組成。包括2個出口，4個閥。在數(shù)據(jù)收集過程中，通過中間模仿人的攻擊（在數(shù)據(jù)集中標(biāo)記為modbus）和在平臺上執(zhí)行的感官攻擊（通過對數(shù)據(jù)集進(jìn)行分類）收集了總共10,860個數(shù)據(jù)集。與信息層類似，提取3/4（8145數(shù)據(jù)）作為訓(xùn)練集，其余的1/4（2715數(shù)據(jù)）用作測試集。

■5.2 實驗驗證及分析

物理級別的實驗對應(yīng)于信息級別的實驗，并且簡要解釋了這一點，以避免重復(fù)。同樣，分析人員最初會觸發(fā)數(shù)據(jù)集中無數(shù)變量數(shù)量的指示，主要是為了進(jìn)行標(biāo)簽匹配。日志數(shù)據(jù)的正態(tài)性和分布更加平衡，可以直接使用第二種處理方法。顯示數(shù)據(jù)完成后，將存儲在數(shù)據(jù)庫中。由于數(shù)據(jù)量很小，因此請標(biāo)準(zhǔn)化數(shù)據(jù)并自行清理。完成后，將自動選擇方法。如果所選功能的數(shù)量為3，則交叉精度達(dá)到最大。在配置遞歸刪除算法的參數(shù)時，功能數(shù)量設(shè)置為3，可以執(zhí)行三個最重要的功能：DATA_11，DATA_24，DATA_29。VM算法和KNN算法的分類效率。對于SVM算法，分析器在具有超參數(shù)的多項式內(nèi)核上定義其主要功能。如果懲罰因子C設(shè)置為1且伽瑪設(shè)置為0.1，則可以獲得較高的Huh管理性能得分。如果數(shù)據(jù)分布相對平衡，則測試用例的匹配率達(dá)到99.24%，根據(jù)完整的分類報告，可以看出該解決方案具有較高的匹配率和較高的恢復(fù)率，可能會識別出特定的AndModbus，攻擊和正常的直接識別能力達(dá)到100%。結(jié)果表明，本文預(yù)測的視覺優(yōu)化系統(tǒng)可以有效地攻擊攻擊者的物理層，并檢測某些類型的攻擊。如果選擇了KNN算法，則可以從KNN獲取分類分析報告，在此不再贅述。

■5.3 在線測試

在田納西州在線測試平臺上實施本文開發(fā)的工業(yè)控制系統(tǒng)入侵檢測器視覺優(yōu)化系統(tǒng)后，我們可以根據(jù)前文介紹的數(shù)據(jù)恢復(fù)模塊簡化平臺處理器和HMI內(nèi)存的使用，可以與控制器和nodetta中的其他節(jié)點集成，例如網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)延遲和網(wǎng)絡(luò)丟包狀態(tài)，指標(biāo)可以被實時跟蹤并在線發(fā)布。為了無縫集成物理對象，在過程監(jiān)視期間，田納西州的模擬直接顯示在實時數(shù)據(jù)中，并且可以識別特定的控制數(shù)據(jù)，例如傳感器和控制器。

6 結(jié)語

隨著工業(yè)控制系統(tǒng)潛在安全威脅的增加，信息安全問題變得越來越重要。入侵檢測是工業(yè)控制系統(tǒng)信息安全的重要組成部分，是研究熱點之一。最近在國內(nèi)外，可視化優(yōu)化技術(shù)旨在通過視頻與人工智能緊密集成，有機地將人類的感知、理解和分析技能與功能強大的計算機和存儲系統(tǒng)的功能結(jié)合在一起，以幫助人們不斷發(fā)現(xiàn)并適應(yīng)當(dāng)前情況。盡管在工業(yè)控制系統(tǒng)的入侵檢測領(lǐng)域中已經(jīng)對視覺優(yōu)化進(jìn)行了研究，但對于實際應(yīng)用而言，在工業(yè)控制系統(tǒng)中實現(xiàn)搜索引擎優(yōu)化非常重要，因為具有高數(shù)據(jù)性能和交互功能的入侵檢測水平。