0 引言

    工業(yè)控制系統(tǒng)（Industrial Control System,，ICS）廣泛應(yīng)用在工業(yè)、能源,、交通,、水利以及市政等重點(diǎn)領(lǐng)域，用于控制生產(chǎn)設(shè)備的運(yùn)行,。典型的工業(yè)控制系統(tǒng)包括可編程邏輯控制器（Programmable Logic Controller,，PLC）、分布式控制系統(tǒng)（Distribute Control System,，DCS）及數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory Control And Data Acquisition,，SCADA）等。工業(yè)控制系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,，其安全問題直接關(guān)系到國民經(jīng)濟(jì)的正常運(yùn)行和社會穩(wěn)定^[1],。

    隨著我國“互聯(lián)網(wǎng)+”、“中國制造2025”等戰(zhàn)略的推進(jìn)實(shí)施,，互聯(lián)網(wǎng),、物聯(lián)網(wǎng)、云計(jì)算,、大數(shù)據(jù)等信息技術(shù)對工業(yè)生產(chǎn)的各環(huán)節(jié)和城市關(guān)鍵基礎(chǔ)設(shè)施建設(shè)的滲透越來越深,，從而加劇了工業(yè)控制系統(tǒng)的信息安全風(fēng)險(xiǎn)。

    近年來,，工業(yè)控制系統(tǒng)信息安全事件不斷發(fā)生,，從伊朗核電站感染Stuxnet病毒事件，到Havex入侵了歐美1 000多家能源系統(tǒng),，再到烏克蘭電力系統(tǒng)被BlackEnergy惡意軟件攻擊等事件,，充分反映了工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢。研究工業(yè)控制系統(tǒng)的攻擊檢測方法,，對及時(shí)發(fā)現(xiàn)并阻止黑客的入侵攻擊和避免造成物理損失具有重大意義,。

1 背景

    隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展及普及，網(wǎng)絡(luò)安全問題越發(fā)凸顯,，尤其是拒絕服務(wù)攻擊（Denial of Service,，DoS）,，盡管方式簡單，但是攻擊非常有效,。它能夠短時(shí)間內(nèi)使服務(wù)網(wǎng)絡(luò)中充斥大量的信息,，消耗帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)趨于癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù),。其中,，分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)作為DoS的特殊形式,，它采用一種分布,、協(xié)作方式對網(wǎng)絡(luò)進(jìn)行攻擊。在眾多的攻擊方式中,，分布式拒絕服務(wù)攻擊的危害最大,，最易于達(dá)到攻擊效果，并且最難進(jìn)行抵御和追蹤,，同時(shí)它也是現(xiàn)今網(wǎng)絡(luò)面臨的主要威脅之一,。

    針對網(wǎng)絡(luò)DDoS攻擊的檢測研究由來已久，目前的檢測方法大概可以分為兩大類,，大多數(shù)的檢測方法或采用其中一種,，或兩種方法結(jié)合使用。其中一種是對服務(wù)/控制網(wǎng)絡(luò)中流量進(jìn)行建模分析,，利用網(wǎng)絡(luò)遭受DDoS攻擊時(shí),，與模型相關(guān)的參數(shù)變化來識別出DDoS攻擊，如文獻(xiàn)[2-6],；另外一種是利用網(wǎng)絡(luò)在遭受DDoS攻擊時(shí)網(wǎng)絡(luò)表現(xiàn)出來的特性（如：IP地址集聚等）來進(jìn)行攻擊判斷，如文獻(xiàn)[7-10],。

    對于具體的研究方法,，文獻(xiàn)[2]利用網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí)，攻擊網(wǎng)絡(luò)的目的地址或者目的端口過于集中的特性,，以及發(fā)生DDoS攻擊時(shí)的協(xié)議特征建立基于聚集和協(xié)議分布防御分布式拒絕服務(wù)攻擊（Aggregat-based Protocal Analysis,，ATA-ANTI-DDoS)模型，來檢測DDoS攻擊,；文獻(xiàn)[3]利用網(wǎng)絡(luò)特性建立自回歸系統(tǒng)模型,，以此模型來估計(jì)參數(shù)分形維數(shù)和自相似系數(shù)，同時(shí)利用基于最大似然估計(jì)的改變點(diǎn)檢測方法來檢測DDoS攻擊,；文獻(xiàn)[4]認(rèn)為網(wǎng)絡(luò)數(shù)據(jù)包具有多位屬性,，提出使用利用主成份分析(Principal Component Analysis，PCA)來降低主干網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)采集維數(shù),，同時(shí),，對網(wǎng)絡(luò)中的OD流量和物理鏈路流量進(jìn)行建模和特征進(jìn)行分析,；文獻(xiàn)[5]在骨干網(wǎng)絡(luò)中，在網(wǎng)絡(luò)應(yīng)用層的DDoS攻擊（Application Distributed Denial of Service,，AL-DDoS）中,，構(gòu)造了一個(gè)實(shí)時(shí)變頻矢量，并建立實(shí)時(shí)的業(yè)務(wù)模型,。通過檢查AL-DDoS攻擊流量的熵值,，實(shí)時(shí)業(yè)務(wù)模型可以設(shè)別出真實(shí)的AL-DDoS攻擊；文獻(xiàn)[6]通過檢測網(wǎng)絡(luò)中的數(shù)據(jù)包地址來建立檢測矩陣模型,，同時(shí)運(yùn)用遺傳算法（Genetic Algorithm,，GA）來減少模型中的地址劃分沖突問題，以此提高對DDoS攻擊的檢測效率,；文獻(xiàn)[7]提出的方法主要是針對網(wǎng)絡(luò)的物理層中的流量,，利用數(shù)據(jù)包的維數(shù)來檢測DDoS攻擊；文獻(xiàn)[8]提出從歷史網(wǎng)絡(luò)流量中抽取合法用戶的IP地址建立數(shù)據(jù)庫,，以檢查流經(jīng)路由器當(dāng)前數(shù)據(jù)包中的源IP地址是否在合法的IP數(shù)據(jù)庫作為DDoS的檢測手段,；文獻(xiàn)[9]使用累積和（Cumulative Sum，CUSUM）方法來統(tǒng)計(jì)路由器中進(jìn)出各端口的流量,，并以進(jìn)出口流量比率作為檢測DDoS攻擊的統(tǒng)計(jì)量,；文獻(xiàn)[10]提出一種基于卡爾曼濾波的低速率分布式拒絕服務(wù)攻擊（Low-rate Distribute Denial of Service，LDDoS）攻擊檢測方法,，該方法根據(jù)網(wǎng)絡(luò)流量矩陣估算理論以及網(wǎng)絡(luò)在遭受DDoS攻擊時(shí)流量突然減小的事實(shí),，對流量矩陣進(jìn)行有效的預(yù)測和估算，然后通過比較預(yù)測與估算的誤差就可以有效地檢測LDDoS攻擊,。

    本文在充分分析了工業(yè)系統(tǒng)中DDoS攻擊的特點(diǎn)和傳統(tǒng)DDoS檢測方法的基礎(chǔ)上,，提出一種擴(kuò)展Kalman濾波和控制系統(tǒng)的模型參數(shù)識別的算法來檢測DDoS的攻擊。通過在搭建的SCADA工業(yè)控制仿真系統(tǒng)平臺中進(jìn)行測試和實(shí)驗(yàn),，驗(yàn)證了本文提出的算法可以有效識別出針對特定工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的DDoS攻擊,。

2 基于擴(kuò)展Kalman濾波的工業(yè)控制系統(tǒng)DDoS攻擊檢測

2.1 典型的工業(yè)控制系統(tǒng)結(jié)構(gòu)圖

    典型的工業(yè)控制系統(tǒng)結(jié)構(gòu)如圖1所示。

    在上述的常用工業(yè)控制系統(tǒng)中,，最具有代表性意義的當(dāng)屬在石油石化,、電力等能源行業(yè)應(yīng)用最多SCADA系統(tǒng)。常見的SCADA系統(tǒng)的網(wǎng)絡(luò)體系構(gòu)架如圖2所示,。

    越來越多的工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)采用基于TCP/IP的工業(yè)以太網(wǎng)協(xié)議,。第一，由于企業(yè)的信息管理網(wǎng)絡(luò)已經(jīng)廣泛采用了基于TCP/IP協(xié)議的以太網(wǎng)交互技術(shù),，這使得控制系統(tǒng)更加集成化,。第二，控制網(wǎng)絡(luò)采用以太網(wǎng),，大大提高了信息傳輸速率,。第三,，控制網(wǎng)絡(luò)采用以太網(wǎng)，大大提高了不同設(shè)備和系統(tǒng)之間的信息交換效率,。下面以Modbus/TCP協(xié)議為例,，簡要說明工業(yè)控制系統(tǒng)使用的協(xié)議特點(diǎn)。

    Modbus協(xié)議廣泛使用在SCADA系統(tǒng)中,，它通常負(fù)責(zé)人機(jī)交互界面和控制器等的數(shù)據(jù)通信?，F(xiàn)在Modbus已經(jīng)成為工業(yè)控制事實(shí)上的標(biāo)準(zhǔn)，很多Modbus系統(tǒng)使用TCP作為通信層協(xié)議,。Modbus/TCP使用了TCP/IP協(xié)議棧的五層,，分別為：物理層、數(shù)據(jù)鏈路層,、網(wǎng)絡(luò)層,、傳輸層和應(yīng)用層。在TCP/IP以太網(wǎng)上傳輸,，支持Ethernet II和802.3兩種幀格式,，其數(shù)據(jù)幀包含報(bào)文頭、功能碼和數(shù)據(jù)3部分,其使用的端口號是502,。

    Modbus使用主從通信模式,。主設(shè)備負(fù)責(zé)發(fā)起查詢?nèi)蝿?wù)，從設(shè)備負(fù)責(zé)進(jìn)行響應(yīng),。但同一時(shí)刻,，只有一個(gè)設(shè)備作為主設(shè)備。在異構(gòu)型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中,，包含有Modbus/TCP和串口Modbus設(shè)備,，常使用網(wǎng)關(guān)或網(wǎng)橋?qū)⑵溥B接到IP網(wǎng)絡(luò)中。

    從使用最廣泛的Modbus/TCP協(xié)議的特征,，可以看到工業(yè)控制系統(tǒng)所使用的協(xié)議相對互聯(lián)網(wǎng)HTTP等協(xié)議較簡單,，功能碼較少，信息交互機(jī)制簡單,，處理高效，沒有加入加密等安全機(jī)制,?？梢姡た叵到y(tǒng)的協(xié)議特點(diǎn)決定了工控系統(tǒng)對網(wǎng)絡(luò)攻擊的承受力很低,。

2.2 工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)區(qū)別

    根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology, NIST）發(fā)布的《工業(yè)控制系統(tǒng)（ICS）信息安全指南》可以清楚地看到傳統(tǒng)信息系統(tǒng)與工業(yè)控制系統(tǒng)之間的區(qū)別,，如表1^[11]所示。

    通過表1中的對比可以看到,，工業(yè)控制系統(tǒng)因?yàn)樾枰影踩?、可靠,、平穩(wěn)的運(yùn)行環(huán)境，而對實(shí)時(shí)性和數(shù)據(jù)準(zhǔn)確性要求更高,。由此,，傳統(tǒng)的信息系統(tǒng)和工業(yè)控制系統(tǒng)對于DDoS攻擊的承受能力和防范要求是不一樣的。工業(yè)控制系統(tǒng)因其獨(dú)特的特點(diǎn),，就使得系統(tǒng)在檢測DDoS攻擊方面必須更加高效,、準(zhǔn)確、實(shí)時(shí),、高速和及時(shí),。同時(shí)，發(fā)生DDoS攻擊時(shí),，要保證數(shù)據(jù)的有效和準(zhǔn)確,，特別是不能破壞控制系統(tǒng)的控制類數(shù)據(jù)。

2.3 擴(kuò)展Kalman濾波算法

    卡爾曼濾波是一種高效的遞歸濾波器,，它通過對輸入和輸出貫徹?cái)?shù)據(jù),，對系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì)，同時(shí)通過去除一系列的噪聲來還原真實(shí)數(shù)據(jù),。擴(kuò)展卡爾曼濾波算法是在標(biāo)準(zhǔn)卡爾曼濾波算法的基礎(chǔ)上發(fā)展起來的,，它的基本思想是：在濾波值的附近使用泰勒展開式，對于二階以上的高階項(xiàng)全部省去,，從而將原非線性系統(tǒng)近似為線性系統(tǒng),，再利用標(biāo)準(zhǔn)的卡爾曼濾波算法對系統(tǒng)線性化型模型進(jìn)行濾波。

    擴(kuò)展Kalman濾波方程組包含了預(yù)測步驟和更新步驟,。對于離散系統(tǒng),，控制過程可以用微分方程描述為：

    通常，在網(wǎng)絡(luò)流量采樣中,，U(k)為系統(tǒng)的控制量,，如果沒有則為0，W(k)和V(k)可以假設(shè)成白噪聲矩陣來近似處理,，它們的協(xié)方差矩陣分別是Q和R,，卡爾曼濾波器可以結(jié)合k時(shí)刻的預(yù)測值和測量值，得到下一時(shí)刻k+1的估計(jì)值,。

    假設(shè)現(xiàn)在的時(shí)刻為k+1,，利用k時(shí)刻的最優(yōu)估算，記為：X(k|k),，可以得到k的先驗(yàn)估計(jì),，記為：X(k+1|k)，則有：

其中,，H^T是H的轉(zhuǎn)置矩陣,，I為單位矩陣,，當(dāng)系統(tǒng)是單系統(tǒng)模型時(shí)，I=1,；此時(shí)通過k時(shí)刻的觀測值和預(yù)估值即可使系統(tǒng)進(jìn)入k+1的狀態(tài),，Φ和H分別是f和h的雅各比矩陣，其雅各比矩陣的具體求導(dǎo)法則如下：

2.4 基于Kalman濾波的模型參數(shù)識別算法

    網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí),，網(wǎng)絡(luò)中的很多性質(zhì)都發(fā)生了變化,，如網(wǎng)絡(luò)的流量、時(shí)延以及數(shù)據(jù)包量與IP地址的比值等,。要想準(zhǔn)確地判斷工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是否發(fā)生了DDoS攻擊,，只知道流量情況是不夠的，如果知道網(wǎng)絡(luò)發(fā)生DDoS攻擊時(shí)的數(shù)據(jù)包和IP地址等的關(guān)系,，就能大大提高DDoS檢測的準(zhǔn)確性,。

    在網(wǎng)絡(luò)中，采樣時(shí)刻k與流量的關(guān)系描述函數(shù)f和h,，以及系統(tǒng)在發(fā)生DDoS攻擊時(shí),，IP與流量的擬合關(guān)系函數(shù)g等都是未知的，它們都表征著網(wǎng)絡(luò)的性能特點(diǎn),。并且,，這些表征網(wǎng)絡(luò)性質(zhì)的函數(shù)都與具體的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)有關(guān)（如網(wǎng)絡(luò)帶寬、端口數(shù)量,、路由能力等）,。但不論這些函數(shù)是線性的還是非線性的，均可以用泰勒級數(shù)來展開,，并可以對函數(shù)做近似處理：

    將包含參數(shù)的函數(shù)f(x)和h(x)代入擴(kuò)展卡爾曼濾波算法中,，同時(shí)利用網(wǎng)絡(luò)的歷史數(shù)據(jù)，通過使用參數(shù)辨識的方法,，得到流量的具體模型參數(shù)a_i,、b_i和c_i(i=0，1,，2),。

3 實(shí)驗(yàn)平臺說明

3.1 實(shí)驗(yàn)平臺概況

    本實(shí)驗(yàn)的驗(yàn)證平臺是電子一所研究工業(yè)控制系統(tǒng)信息安全所搭建的一套模擬天然氣管道輸送的SCADA系統(tǒng)。除了仿真測試系統(tǒng)的天然氣用壓縮空氣來代替之外,，系統(tǒng)平臺的輸送控制流程和工藝均來自中國某油田的實(shí)際生產(chǎn)運(yùn)行系統(tǒng),，并且系統(tǒng)的控制器、工作站,、數(shù)據(jù)庫等均與實(shí)際運(yùn)行的一樣。圖3所示是簡化的仿真測試系統(tǒng)平臺的結(jié)構(gòu)圖,。

    該SCADA系統(tǒng)具有3個(gè)操作站(本地場,、工程師站,、遠(yuǎn)程中心)、若干個(gè)RTU(遠(yuǎn)程設(shè)備終端,，協(xié)議是Modbus/TCP),、公司上層網(wǎng)以及一個(gè)中心服務(wù)器。其中,，通過RTU將現(xiàn)場的實(shí)時(shí)數(shù)據(jù)傳遞到服務(wù)器中,，各個(gè)操作站和管理網(wǎng)通過網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)數(shù)據(jù)通信和共享；另外,，各個(gè)操作站將依據(jù)各自的控制權(quán)限將控制命令通過服務(wù)器發(fā)送到RTU,，實(shí)現(xiàn)對執(zhí)行機(jī)構(gòu)的實(shí)時(shí)控制。

3.2 攻擊測試說明

    本次攻擊測試針對的是SCADA系統(tǒng)在管道輸送過程中的降壓流程,。具體的DDoS攻擊手段是通過使用1臺高性能計(jì)算機(jī)控制10片刀片式服務(wù)器發(fā)生針對服務(wù)器服務(wù)端口進(jìn)行的,。攻擊測試是在500 s的時(shí)間內(nèi)隨機(jī)進(jìn)行多次攻擊，持續(xù)時(shí)間5 s～10 s不等,，同時(shí)反復(fù)進(jìn)行多次測試,。

4 實(shí)驗(yàn)

4.1 實(shí)驗(yàn)前數(shù)據(jù)預(yù)處理

    實(shí)驗(yàn)前，針對網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)采集,。針對該工業(yè)控制系統(tǒng)所使用的端口號進(jìn)行數(shù)據(jù)統(tǒng)計(jì),，采集時(shí)間隨機(jī)從30 min～24 h等分45組進(jìn)行，得到具體45組數(shù)據(jù),，如圖4,。

    對圖4得到的柱狀圖中的數(shù)據(jù)進(jìn)一步處理，得到如圖5所示數(shù)據(jù)包采樣的均值和平滑處理值,。

    對系統(tǒng)的仿真測試平臺的數(shù)據(jù)包采集值與所采集的報(bào)文的IP地址進(jìn)行處理,，得到報(bào)文數(shù)據(jù)值與IP地址的比值關(guān)系，如圖6所示,。

    從圖4,、圖5和圖6中，可以看出工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的流量數(shù)據(jù)基本是平穩(wěn)的,，這與傳統(tǒng)的IT互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量忽高忽低不同,；同時(shí)，在正常的網(wǎng)絡(luò)運(yùn)行中,，每個(gè)IP地址所對應(yīng)的報(bào)文數(shù)基本也是恒定的,。這些不同于傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)特性，為本文提出的算法提供了很好的適用性和檢測的準(zhǔn)確性,。

4.2 算法實(shí)驗(yàn)

    在仿真測試平臺中對所提出的DDoS的檢測算法進(jìn)行實(shí)際的編程測試,，得到圖7所示的實(shí)際攻擊檢測圖。

    在建立的仿真測試平臺中進(jìn)行算法的測試，可以看出在系統(tǒng)平臺發(fā)生DDoS攻擊時(shí),，系統(tǒng)的瞬時(shí)流量急劇增加,，同時(shí)數(shù)據(jù)包量與IP地址的比值也發(fā)生了顯著的變化。實(shí)驗(yàn)結(jié)果表明,，在特定的控制系統(tǒng)網(wǎng)絡(luò)中,，本文提出的算法可以有效檢測出DDoS的攻擊。

5 結(jié)語

    隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,，工業(yè)控制系統(tǒng)產(chǎn)品越來越多采用通用協(xié)議,、通用硬件和通用軟件，并以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,，以DDoS為代表的傳統(tǒng)網(wǎng)絡(luò)攻擊方式也正在向工業(yè)控制系統(tǒng)擴(kuò)散,。由于工業(yè)控制系統(tǒng)高實(shí)時(shí)性、弱防護(hù),、計(jì)算能力有限等特點(diǎn),，傳統(tǒng)信息系統(tǒng)中的入侵檢測方法不適合直接用于工業(yè)控制系統(tǒng)。本文根據(jù)工業(yè)控制網(wǎng)絡(luò)干擾小,、數(shù)據(jù)變化不大等特點(diǎn),，設(shè)計(jì)出適用于工業(yè)系統(tǒng)的入侵檢測方法。實(shí)驗(yàn)證明,，提出的基于擴(kuò)展Kalman濾波和控制系統(tǒng)的模型參數(shù)識別算法可以較好地完成工業(yè)控制系統(tǒng)DDoS的攻擊檢測,。

參考文獻(xiàn)

[1] 周雪．2013工業(yè)控制系統(tǒng)迎來“大考”[J].信息安全與通信保密，2013(9)：10-21．

[2] 孫知信,，姜舉良,，焦琳.DDoS攻擊檢測和防御模型[J].軟件學(xué)報(bào)，2007,，18(9)：2245-2261．

[3] XIA Z,，LU S，LI J.DDoS flood attack detection based on fractal parameters[C].Processing of the 8th International Conference on Wireless Communications Networking and Mobile.Shanghai：IEEE,，2012：1-5.

[4] LAKHINA A,，CROVELLA M，DIOT C.Structural analysis of network traffic flow[C].Processing of the SIGMETRICS/Performance.New York：ACM,，2004：61-72.

[5] ZHOU W,，WEI J，SHENG W,，et al.Detection and defense of application-layer DDoS attacks in backbone web traffic[J].Future Generation Computer Systems,，2014(38)：36-46.

[6] LEE S，KIM D,，LEE J,，et al.Detection of DDoS attacks using optimized traffic matrix[J].Computers and Mathematics with Applications，2012(63)：501-510.

[7] LAKHINA A，CROVELLA M,，DIOT C.Diagnosing network-wide traffic anomalies[C].Processing of the SIGMETRICS’04.Portland：ACM,，2004：219-230.

[8] PENG T，LECKIE C,，RRAMAOHANARAO K.Protection from distributed denial of service attacks using history-based IP filtering[C].Anchorage：IEEE Computer Science，2003：482-486.

[9] PU S.Choosing parameters for detecting DDoS attack[C].Chengdu：IEEE Computer Society,，2012：239-242.

[10] 吳志軍,，岳猛.基于卡爾曼濾波的LDDoS攻擊監(jiān)測方法[J].電子學(xué)報(bào)，2011(22)：1590-1594．

[11] 美國國家標(biāo)準(zhǔn)和技術(shù)研究院.NIST-SP800-82,，《工業(yè)控制系統(tǒng)(ICS)安全指南》[S].北京：國家標(biāo)準(zhǔn)出版社,，2012：15-27.