魏巍巍

(北京信息職業(yè)技術(shù)學(xué)院 數(shù)字商務(wù)學(xué)院，北京 100015)

0 引言

近年來，工業(yè)控制網(wǎng)絡(luò)的入侵和攻擊事件日益增多，信息安全受到破壞，為此研究工業(yè)控制網(wǎng)絡(luò)入侵檢測系統(tǒng)具有重要意義[1]。具體地說，入侵檢測系統(tǒng)在保障工控網(wǎng)絡(luò)安全方面起著重要作用。例如，防火墻只能允許或阻止特定的端口訪問，但卻無法阻止開發(fā)端口的攻擊入侵[2]。工控網(wǎng)絡(luò)內(nèi)部攻擊往往比外部攻擊更加強(qiáng)大和具有破壞性，而入侵檢測系統(tǒng)能夠阻止網(wǎng)絡(luò)內(nèi)部的攻擊，因此入侵檢測系統(tǒng)能夠?qū)I(yè)控制網(wǎng)絡(luò)的安全保護(hù)起到很大的作用[3]。

當(dāng)前相關(guān)領(lǐng)域?qū)W者已對工控入侵檢測系統(tǒng)做出了研究。文獻(xiàn)[4]提出了基于深度Q網(wǎng)絡(luò)的工控網(wǎng)絡(luò)異常檢測系統(tǒng)，融合深度學(xué)習(xí)算法及Q-learning方法對工控網(wǎng)絡(luò)進(jìn)行訓(xùn)練，及時發(fā)現(xiàn)入侵攻擊行為并作出預(yù)警。然而由于工業(yè)控制網(wǎng)絡(luò)對于網(wǎng)絡(luò)操作具有特殊要求，如果只對正常運行狀態(tài)下的工控網(wǎng)絡(luò)進(jìn)行訓(xùn)練，會導(dǎo)致入侵行為漏報現(xiàn)象，一旦入侵行為稍作調(diào)整，就可以躲避系統(tǒng)檢測；文獻(xiàn)[5]提出基于優(yōu)化極限學(xué)習(xí)機(jī)的工業(yè)控制系統(tǒng)入侵檢測模型，利用混合自適應(yīng)量子粒子群算法，對入侵行為輸入權(quán)值和隱含層結(jié)點閾值進(jìn)行優(yōu)化，增強(qiáng)了算法的全局優(yōu)化能力，建立了基于 HAQPSO優(yōu)化的工業(yè)控制入侵檢測模型。雖然使用該系統(tǒng)的全局尋優(yōu)能力較強(qiáng)，但一旦出現(xiàn)邊緣入侵問題，那么使用該系統(tǒng)就無法有效檢測，導(dǎo)致檢測效果較差。

基于上述檢測系統(tǒng)存在的無法及時準(zhǔn)確檢測到邊緣入侵行為，威脅工控系統(tǒng)網(wǎng)絡(luò)安全的問題，提出了基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)設(shè)計，分別對系統(tǒng)硬件模塊及軟件流程做出設(shè)計。利用邊緣計算將云計算的計算能力滲透到數(shù)據(jù)端，將邊緣云協(xié)作融入混合隨機(jī)邊緣計算中，通過混合隨機(jī)邊緣計算得到入侵檢測信號的能量，構(gòu)建動態(tài)模型實現(xiàn)工控入侵檢測。

1 工控入侵檢測系統(tǒng)硬件結(jié)構(gòu)設(shè)計

鑒于工業(yè)控制系統(tǒng)的特殊性，系統(tǒng)中的每一種設(shè)備都需要根據(jù)業(yè)務(wù)邏輯在固定的時間內(nèi)完成其具體的操作，對實時性要求很高，不能有任何差錯，否則將威脅工控系統(tǒng)的正常運行，甚至破壞系統(tǒng)的功能[6]。為了避免工業(yè)控制環(huán)境下的入侵檢測系統(tǒng)受到外界干擾影響，提出了一種基于混合隨機(jī)邊緣計算的工業(yè)入侵檢測系統(tǒng)，并對其進(jìn)行了詳細(xì)的設(shè)計。系統(tǒng)硬件結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

由圖1可知，本系統(tǒng)采用一臺中央服務(wù)器和分布在各個工控子網(wǎng)上的多路網(wǎng)探頭分布式結(jié)構(gòu)，通過獨立交換機(jī)構(gòu)成網(wǎng)絡(luò)入侵檢測系統(tǒng)，利用分布式網(wǎng)絡(luò)探針，將網(wǎng)絡(luò)流量接入系統(tǒng)，實現(xiàn)系統(tǒng)的零干擾。中央服務(wù)器能夠?qū)崿F(xiàn)工控網(wǎng)絡(luò)數(shù)據(jù)大容量存儲并提供性能良好的處理器，實現(xiàn)數(shù)據(jù)的高速處理；分布式網(wǎng)絡(luò)探針包括網(wǎng)絡(luò)流量采集器、數(shù)據(jù)預(yù)處理器及入侵檢測引擎，能夠?qū)崿F(xiàn)工控網(wǎng)絡(luò)入侵的實時、可靠檢測；核心交換機(jī)可實現(xiàn)的網(wǎng)絡(luò)流量數(shù)據(jù)的可靠、高速傳輸。

1.1 中央服務(wù)器

系統(tǒng)采用一臺中央服務(wù)器作為管理和控制中心，通過任務(wù)分配機(jī)制實現(xiàn)對網(wǎng)絡(luò)探測器的管理，探測器通過網(wǎng)絡(luò)發(fā)送和接收報警信息，形成一個統(tǒng)一的報警日志，并在一個友好的可視世界中為管理人員顯示各種報警統(tǒng)計數(shù)據(jù)[7]。

中央服務(wù)器結(jié)構(gòu)如圖2所示。

圖2 中央服務(wù)器結(jié)構(gòu)

由圖2可知，中央服務(wù)器是通過代理服務(wù)器連接到互聯(lián)網(wǎng)上的局域網(wǎng)，主板使用了Catalina型號緩沖器，可擴(kuò)展CPU通道，將2個擴(kuò)展成8個，每條通道內(nèi)包含DDR3內(nèi)存子通道，每條內(nèi)存通道有兩個 CPU，因此總共有48個內(nèi)存插槽[8]。中央服務(wù)器需要多個網(wǎng)卡接口，以及大容量存儲和一個性能良好的處理器。采用多種網(wǎng)卡接口連接不同的網(wǎng)絡(luò)探頭，采用大容量存儲器存儲各種報警信息和日志記錄[9]。另外，為了保證良好的用戶體驗，還必須對處理器的性能提出了要求。

1.2 分布式網(wǎng)絡(luò)探針

分布式網(wǎng)絡(luò)探頭部署在各種工控子網(wǎng)上，具有監(jiān)聽、捕獲、解析網(wǎng)絡(luò)包的功能。選用JY211-QTQ-04型光纜檢測儀，它由一臺變送器和一臺接收機(jī)組成，能夠自動檢測并顯示電池的電壓，在低于10 V時報警迅速停止。關(guān)電后，阻抗匹配自動啟動，啟動時實時顯示信號強(qiáng)度。接收者接收來自光纖的信號，并檢測線路和深度。操作人員根據(jù)指針顯示，蜂鳴器發(fā)出聲音提示確認(rèn)電纜線路，埋設(shè)部門進(jìn)行埋深[10]。

經(jīng)晶形振子處理后，產(chǎn)生5 M的正弦波，再將其分解為7.8 k左右的正弦波，電流通過晶體管和線圈發(fā)出強(qiáng)大的電磁波。每一區(qū)域的線圈都可以接收到電磁波，而中心控制器在電磁波發(fā)送期間，可以掃描5張采集卡，并在界面上顯示其結(jié)構(gòu)。每個網(wǎng)絡(luò)檢測器至少有兩個端口，一個端口用于工控交換機(jī)鏡像通信，另一個用于連接中央服務(wù)器[11]。

1.2.1 網(wǎng)絡(luò)流量采集器

為了提高網(wǎng)絡(luò)流量捕獲效率，使用網(wǎng)絡(luò) I/O結(jié)構(gòu)，避免數(shù)據(jù)丟失，結(jié)合開源函數(shù)庫，在1 000 MHz單核 CPU下處理10 G網(wǎng)絡(luò)流量?；诹銖?fù)制思想，結(jié)合網(wǎng)絡(luò)地圖設(shè)計的網(wǎng)絡(luò)流量采集器，相對于傳統(tǒng)的網(wǎng)絡(luò)流量采集方式，可以顯著提高網(wǎng)絡(luò)數(shù)據(jù)采集速度，有效地節(jié)約了系統(tǒng)設(shè)計費用。網(wǎng)絡(luò)流量采集器中，網(wǎng)卡通過網(wǎng)卡環(huán)對入站和出站組進(jìn)行管理。每個網(wǎng)卡都要維護(hù)至少幾個小空間，每一個空間都包含大量的緩沖信息，主機(jī)網(wǎng)絡(luò)堆棧通過一個網(wǎng)卡直接訪問緩沖區(qū)存儲區(qū)域，使數(shù)據(jù)按順序依次進(jìn)行接收[12]。

1.2.2 數(shù)據(jù)預(yù)處理器

主要包括會話解析數(shù)據(jù)處理、工業(yè)控制協(xié)議數(shù)據(jù)處理、協(xié)議解析數(shù)據(jù)處理等，其中會話解析數(shù)據(jù)處理主要包括對提取源 IP、源數(shù)據(jù)、目的 IP、目標(biāo)日期、傳輸層協(xié)議等信息進(jìn)行處理；工業(yè)控制協(xié)議數(shù)據(jù)處理主要包括對用于識別行業(yè)協(xié)議的特征域進(jìn)行處理；協(xié)議解析數(shù)據(jù)處理主要包括對開放源碼的處理以及工控協(xié)議代碼。

1.2.3 入侵檢測引擎

入侵檢測引擎為系統(tǒng)的核心引擎，具備實時、可靠檢測功能，入侵檢測引擎如圖3所示。

圖3 入侵檢測引擎

由圖3可知，入侵檢測引擎通過獲取和分析通信數(shù)據(jù)包，采用規(guī)則自學(xué)習(xí)、特征提取、分類、入侵檢測等技術(shù)，建立了一個工業(yè)控制系統(tǒng)，以實現(xiàn)分布式入侵檢測功能。

1.3 核心交換機(jī)

采用S5720S-28P-SI-AC型號，24口全千兆網(wǎng)絡(luò)核心交換機(jī)，可直接與網(wǎng)絡(luò)用戶連接。核交換接入層與核心層之間設(shè)有匯合層，其中接入層的作用是支持終端用戶直接接入網(wǎng)絡(luò)，其特點是端口高、密度低；匯流層的作用是將多個節(jié)點數(shù)據(jù)匯合到一層，處理所有從接入層傳送的流量數(shù)據(jù)；核心層的作用是提供可靠的網(wǎng)絡(luò)流量傳輸結(jié)構(gòu)，實現(xiàn)數(shù)據(jù)高速傳輸[13]。

2 基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)軟件設(shè)計

在硬件結(jié)構(gòu)的基礎(chǔ)上，設(shè)計工控入侵檢測系統(tǒng)軟件流程?？蛻魴C(jī)根據(jù)所需完成的服務(wù)生成任務(wù)來執(zhí)行請求包，在這個請求包中，使用跟蹤身份表示正在執(zhí)行服務(wù)，而邊緣計算會將云計算的計算能力滲透到數(shù)據(jù)端。所以，局部邊緣計算具有高實時性，能夠存儲短期數(shù)據(jù)，而云計算則能存儲大量數(shù)據(jù)，遠(yuǎn)距離進(jìn)行大數(shù)據(jù)分析，以及本地支持邊緣計算的決策能力[14]。本文通過邊緣計算和云計算在入侵檢測業(yè)務(wù)中的應(yīng)用，分析了邊緣云協(xié)作在入侵檢測業(yè)務(wù)中的作用。

設(shè)計的基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)，主要步驟包括：

步驟1：由于網(wǎng)絡(luò)中可以有多個節(jié)點處理某項任務(wù)中的一個步驟，因此請求包中任務(wù)執(zhí)行的每一個服務(wù)也需要指明它將在哪個節(jié)點上執(zhí)行。當(dāng)發(fā)送給網(wǎng)絡(luò)的任務(wù)執(zhí)行請求包時，如果是按串行順序執(zhí)行的，那么服務(wù)序列中的每個項都是連續(xù)執(zhí)行的[15]。在邊緣節(jié)點上，跟蹤標(biāo)志指向子服務(wù)序列中的下一個服務(wù)。

步驟2：根據(jù)所構(gòu)建的業(yè)務(wù)網(wǎng)絡(luò)拓?fù)鋱D和當(dāng)前需要執(zhí)行的業(yè)務(wù)，客戶選擇具有最佳指標(biāo)的邊緣節(jié)點，將任務(wù)執(zhí)行請求包發(fā)送到相關(guān)的邊緣節(jié)點。

服務(wù)網(wǎng)絡(luò)拓?fù)鋱D如圖4所示。

圖4 服務(wù)網(wǎng)絡(luò)拓?fù)鋱D

步驟3：關(guān)聯(lián)邊緣節(jié)點解析任務(wù)執(zhí)行請求包，當(dāng)相關(guān)服務(wù)出現(xiàn)局部執(zhí)行結(jié)果時，直接讀取相應(yīng)的執(zhí)行結(jié)果。而且，如果服務(wù)隊列中的同一個服務(wù)等待執(zhí)行，那么隊列就跳到請求包執(zhí)行相關(guān)任務(wù)的位置[16-18]。不然，在服務(wù)隊列之后重復(fù)這個過程，直到服務(wù)完成。

步驟4：基于混合隨機(jī)邊緣計算的入侵檢測動態(tài)建模，分析一段待檢測的工控網(wǎng)絡(luò)入侵信號W，其計算公式為：

(1)

公式(1)中，λi表示待檢測信號中各個檢測點的有效幅值；m表示待檢測信號的有效長度。

由于工控系統(tǒng)中存在隨機(jī)噪聲擾動，通過分?jǐn)?shù)階變換對隨機(jī)噪聲擾動進(jìn)行自相關(guān)特征匹配，抑制噪聲輸出，得到去噪后的檢測信號。

(2)

公式(2)中，λ(m)表示去噪后的檢測信號，k為調(diào)頻斜率，S(t)為零均值高斯噪聲。

基于混合隨機(jī)邊緣算法計算噪聲去除后的功率psl，計算公式為：

(3)

設(shè)maxW1表示待檢測某段R1的最高能量，該段能量所對應(yīng)的信噪比為maxSNR1，maxW2為表示待檢測某段中剩下部分的R2最高能量。

基于上述內(nèi)容，構(gòu)建的入侵檢測動態(tài)模型為：

(4)

當(dāng)入侵信號滿足公式(4)時，則檢測到的R1信號段為入侵信號段，否則R2為入侵信號段。通過該模型實現(xiàn)工控系統(tǒng)入侵檢測。

綜上所述，基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)軟件流程如圖5所示。

圖5 基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)軟件流程

3 實驗結(jié)果與分析

3.1 實驗環(huán)境

為了驗證基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)設(shè)計合理性，利用上位機(jī)結(jié)合具體工況業(yè)務(wù)邏輯，分析燃?xì)夤芫W(wǎng)的工作模式，其拓?fù)浣Y(jié)構(gòu)如圖6所示。

圖6 實驗環(huán)境拓?fù)浣Y(jié)構(gòu)

由圖6可知，為了方便入侵檢測系統(tǒng)移植，在控制層設(shè)置了兩種PLC，并部署在控制子網(wǎng)中。

3.2 實驗數(shù)據(jù)集

KDD CUP 99數(shù)據(jù)集包含了TCP dump網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)，模擬多種用戶種類，使其看起來像是在真實環(huán)境下構(gòu)建的網(wǎng)絡(luò)環(huán)境。其中TCP dump網(wǎng)絡(luò)數(shù)據(jù)主要分為兩個部分，分別是包含5 000 000個訓(xùn)練數(shù)據(jù)和200萬條的測試數(shù)據(jù)。

聯(lián)網(wǎng)連接是指在某一時期內(nèi)，從頭到尾的 TCP數(shù)據(jù)組成序列協(xié)議，將數(shù)據(jù)從源 IP地址傳輸?shù)侥繕?biāo) IP地址。未知攻擊出現(xiàn)在測試集內(nèi)，主要包括4種異常情況，如下所示：

1)拒絕攻擊模式，比如受到畸形報文攻擊、協(xié)議缺陷、IP欺騙；

2)遠(yuǎn)程主機(jī)未授權(quán)訪問，比如密碼猜測；

3)未授權(quán)本地用戶訪問，比如緩沖溢出攻擊；

4)端口監(jiān)視，比如端口掃描。

3.3 實驗結(jié)果與分析

在上述4種異常情況下，觸發(fā)基于混合隨機(jī)邊緣計算的工控入侵檢測系統(tǒng)的告警日志記錄，如圖7所示。

圖7 4種異常數(shù)據(jù)下入侵檢測系統(tǒng)的告警日志記錄

由圖7可知，圖7(a)拒絕服務(wù)攻擊下的入侵檢測報告：在局域網(wǎng)中可能存在攻擊畸形報文攻擊、協(xié)議缺陷、IP欺騙行為的主機(jī)，直接通過強(qiáng)制斷網(wǎng)操作，就可阻斷入侵行為；圖7(b)遠(yuǎn)程主機(jī)未授權(quán)訪問下的入侵檢測報告，通過對局域網(wǎng)中運行的影響網(wǎng)速的軟件檢測，可及時發(fā)現(xiàn)入侵行為；圖7(c)未授權(quán)本地用戶訪問，通過在安全工具窗內(nèi)，選擇自動向局域網(wǎng)發(fā)送攻擊免疫信息，由此開啟入侵檢測功能；圖7(d)為端口監(jiān)視，通過將IP地址和MAC進(jìn)行靜態(tài)綁定來實現(xiàn)端口掃描，阻斷入侵行為。

分別采用文獻(xiàn)[4]方法、文獻(xiàn)[5]方法作為實驗對比方法，對比分析不同入侵時間段下系統(tǒng)的潛伏期，對比結(jié)果如圖8所示。

圖8 3種系統(tǒng)不同入侵時間段下系統(tǒng)潛伏期對比分析

由圖8可知，使用文獻(xiàn)[4]方法在入侵時間為13 s時，潛伏期達(dá)到最長為6.4 s，并且隨著入侵時間增加，潛伏期也在5～6.4 s間波動；使用文獻(xiàn)[5]方法的入侵檢測系統(tǒng)在入侵時間為40 s時，潛伏期達(dá)到最長為5.8 s，潛伏期時間較長；使用基于混合隨機(jī)邊緣計算的入侵檢測系統(tǒng)在入侵時間為7 s時，潛伏期達(dá)到最長為2.4 s，隨著入侵時間增加，該系統(tǒng)有效抵抗了黑客入侵，雖然在20～30 s范圍內(nèi)出現(xiàn)小幅度的變化，但最終成功抵抗了外界入侵。分析可知，文獻(xiàn)[4]方法采用深度強(qiáng)化學(xué)習(xí)算法訓(xùn)練工控網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)，輸出入侵攻擊行為數(shù)據(jù)，該方法未對不同運行狀態(tài)下的工控網(wǎng)絡(luò)進(jìn)行訓(xùn)練，因此存在入侵行為漏報現(xiàn)象；文獻(xiàn)[5]方法采用混合自適應(yīng)量子粒子群算法，在HAQPSO的基礎(chǔ)上優(yōu)化入侵行為的輸入權(quán)值和隱含層節(jié)點閾值，增強(qiáng)了算法的全局優(yōu)化能力。但該方法無法有效地檢測出邊緣入侵行為。而本文方法采用混合隨機(jī)邊緣計算方法，將邊緣云協(xié)作融入混合隨機(jī)邊緣計算中，獲取入侵檢測信號的能量并判斷入侵信號段，因此能夠得到準(zhǔn)確的入侵檢測值。

4 結(jié)束語

設(shè)計工控入侵檢測系統(tǒng)，將混合隨機(jī)邊緣計算方式融合到工控入侵檢測系統(tǒng)中，可將檢測任務(wù)劃分到檢測環(huán)節(jié)中，在工控環(huán)境下對入侵信號段進(jìn)行精準(zhǔn)識別與監(jiān)測，實現(xiàn)對工控系統(tǒng)的全面檢測。實驗結(jié)果表明，所設(shè)計系統(tǒng)能夠準(zhǔn)確監(jiān)測到實驗設(shè)置的4種異常情況，其入侵檢測潛伏期最長為2.4 s，能夠成功抵御外界入侵，使其更加適用于工控網(wǎng)絡(luò)。

雖然所設(shè)計系統(tǒng)發(fā)揮了良好的作用，但還存在許多有待改進(jìn)的地方，值得進(jìn)一步研究：在應(yīng)用場景中，如何設(shè)計出適合于工業(yè)網(wǎng)絡(luò)安全的模式匹配算法，對進(jìn)一步提高檢測效率具有重要意義。