0 引言
工業(yè)控制系統(tǒng)(Industry Control Systems,,ICS)是國家基礎(chǔ)設(shè)施的重要組成部分,,被廣泛應(yīng)用于電力、交通,、水利,、石油化工、核能,、航空等領(lǐng)域,,是這些重要基礎(chǔ)設(shè)施穩(wěn)定運行的“大腦”。隨著信息技術(shù)的發(fā)展以及工業(yè)與信息化的深度融合,,現(xiàn)代工業(yè)控制系統(tǒng)越來越多地采用通用的TCP/IP協(xié)議及操作系統(tǒng),,同辦公系統(tǒng)等其他信息系統(tǒng)的連接也越來越多。由于工業(yè)控制系統(tǒng)在實時性,、穩(wěn)定性方面的特殊性,,造成了在應(yīng)用信息技術(shù)時忽略了網(wǎng)絡(luò)安全因素,加之工業(yè)控制系統(tǒng)自身的漏洞并未得到足夠的重視,,使得目前工業(yè)控制系統(tǒng)面臨的安全威脅日益嚴重,。2010年爆發(fā)的“震網(wǎng)病毒”(Stuxnet)是第一個被檢測出來專門攻擊破壞工業(yè)控制系統(tǒng)的病毒,“震網(wǎng)病毒”造成伊朗鈾濃縮工廠多臺離心機損壞,,布什爾核電站因此推遲啟動[1],。2011年和2012年,又相繼發(fā)現(xiàn)了“Duqu病毒”和“火焰病毒”,,但與“震網(wǎng)病毒”不同的是,,前者主要目的是造成工業(yè)破壞,而后兩者則被用來收集與其攻擊目標有關(guān)的各種情報。由此充分說明,,針對工業(yè)控制系統(tǒng)的復(fù)雜信息安全攻擊已經(jīng)成為現(xiàn)實,。
ICS系統(tǒng)安全防護技術(shù)手段主要有防火墻技術(shù)、入侵檢測技術(shù),、ICS系統(tǒng)漏洞挖掘技術(shù),、風險評估技術(shù)等。后兩者并不能提供實時的網(wǎng)絡(luò)安全防護,,防火墻雖然能夠有效地阻止來自外部的攻擊,,但不能防止來自ICS系統(tǒng)內(nèi)部的攻擊,入侵檢測技術(shù)被稱為防火墻之后的第二道安全閘門,,可實現(xiàn)對內(nèi),、外部入侵的實時檢測。
本文對異常檢測技術(shù)中的非參數(shù)CUSUM算法進行改進,,重新設(shè)計算法中偏移常數(shù)的生成方法,,提出具有自適應(yīng)特征的動態(tài)檢測門限設(shè)置規(guī)則,給出改進算法(D-CUSUM)在ICS系統(tǒng)入侵檢測中的應(yīng)用,,通過仿真實驗給出算法的檢測性能分析,。
1 相關(guān)研究
目前,對ICS網(wǎng)絡(luò)安全的研究整體還處于起步階段,,本節(jié)主要介紹CUSUM算法在入侵檢測技術(shù)以及ICS入侵檢測中應(yīng)用的相關(guān)研究,。
文獻[2]通過將網(wǎng)絡(luò)劃分成多個簇,在各簇設(shè)置單獨的自治網(wǎng)絡(luò)管理單元,,在各自治網(wǎng)絡(luò)管理單元上部署基于CUSUM算法的入侵檢測系統(tǒng),實現(xiàn)檢測DDoS攻擊的目的,。文獻[3]針對無線傳感器網(wǎng)絡(luò)的特征,,分別研究多級CUSUM算法、基于信噪比的CUSUM算法以及統(tǒng)計CUSUM算法,,用于對無線傳感器網(wǎng)絡(luò)攻擊的檢測,。張云貴等在文獻[4-5]中研究了CUSUM異常檢測算法在工業(yè)控制系統(tǒng)入侵檢測中的應(yīng)用。
上述研究中采用的都是基于固定檢測門限的CUSUM算法,,并且通常憑經(jīng)驗值設(shè)置固定的偏移常數(shù),。針對這一問題,本文基于概率論理論提出一種自適應(yīng)的偏移常數(shù)生成方法,,給出具有自適應(yīng)特征的動態(tài)檢測門限設(shè)置規(guī)則,。仿真結(jié)果證明本文算法明顯提升了ICS入侵檢測技術(shù)的性能。
2 算法的改進
2.1 CUSUM算法描述
CUSUM異常檢測算法是一種序貫分析法,,由劍橋大學的E.S.Page于1954年提出,,是工業(yè)控制過程異常監(jiān)控的常用算法,它可以檢測到一個統(tǒng)計過程均值的變化,。CUSUM算法基于這樣一個事實:如果有變化發(fā)生,,則隨機序列的概率分布也會發(fā)生改變,。
以上為標準CUSUM算法。
2.2 非參數(shù)CUSUM算法
應(yīng)用CUSUM算法需要事先知道隨機序列的參數(shù)模型(如隨機序列服從標準正態(tài)分布等),,以便使用概率密度函數(shù)來監(jiān)控序列,。正常情況下,工業(yè)控制系統(tǒng)中傳感器的預(yù)測值可通過數(shù)學模型或經(jīng)驗公式獲得,,但網(wǎng)絡(luò)攻擊的概率分布卻難以獲得,,也就無法得知攻擊狀態(tài)下監(jiān)控序列的概率分布,所以需要一種模型無關(guān)的檢測算法,。而非參數(shù)CUSUM算法主要是累積明顯比正常情況下的平均水平高的Xn值,,不需要具體的模型,并且能夠以連續(xù)方式監(jiān)控輸入的隨機變量,,從而達到實時檢測,。
非參數(shù)CUSUM算法的定義為:
上式為非參數(shù)CUSUM算法的遞歸形式。
非參數(shù)CUSUM算法不要求檢測序列的概率分布,,但要求檢測序列{xn}在正常情況下具有負的期望值E(X)<0,,變化發(fā)生后具有正的期望值E(X)>0,這是應(yīng)用非參數(shù)CUSUM算法的前提條件,。
2.3 自適應(yīng)設(shè)置檢測門限的改進非參數(shù)CUSUM算法(D-CUSUM)
2.3.1 數(shù)據(jù)預(yù)處理
令獨立隨機變量序列X={x1,,x2,x3,,…}表示輸入數(shù)據(jù),。由2.2節(jié)可知,非參數(shù)CUSUM算法要求樣本序列的數(shù)學期望值為負值,,為了保證滿足這一條件,,需要對數(shù)據(jù)進行預(yù)處理,通常做法是設(shè)置一個偏移常數(shù)β,,令
=X-β,,使
滿足正常狀態(tài)下![Y56M_]QQ$N[{Q`I$}JRXPZ2.png](http://files.chinaaet.com/images/2017/01/12/6361983035575053858410747_w.png "Y56M_]QQ$N[{Q`I$}JRXPZ2.png")
。目前ICS系統(tǒng)非參數(shù)CUSUM入侵檢測算法大多設(shè)置固定的偏移常數(shù),,本文算法與其不同,,基于概率論中著名的柯爾莫哥洛夫(Kolmogorov)不等式生成偏移常數(shù)β。主要步驟如下:
(1)對原始數(shù)據(jù)X的均值μn(n=2,,3,,…)和方差
(n=2,3,,…)進行在線估計和更新,。具體方法為:
![BO1LD)STUE)H@R$]~59K57N.png](http://files.chinaaet.com/images/2017/01/12/6361983051071653851618451_w.png "BO1LD)STUE)H@R$]~59K57N.png")
2.3.2 自適應(yīng)設(shè)置檢測門限
為了降低處理開銷,本文算法采用非參數(shù)CUSUM算法的遞歸形式,處理過程如下:
由式(9)可知:![24E51[0Q)X$5HX4IT1_3B]9.png](http://files.chinaaet.com/images/2017/01/12/6361983064115453851452572_w.png "24E51[0Q)X$5HX4IT1_3B]9.png")
![3)YKWE1GKZPZO]}9FRX}F%X.png](http://files.chinaaet.com/images/2017/01/12/6361983070150453855140459_w.png "3)YKWE1GKZPZO]}9FRX}F%X.png")
(5)讀取xn+1,,重復(fù)步驟(2)~(4),,開始下一輪檢測。
(6)算法結(jié)束,。
需要指出的是,,在步驟(4)中算法設(shè)計引入了閾值系數(shù)ρ與告警控制參數(shù)K。對這兩個參數(shù)的設(shè)置要求比較寬松,,取決于用戶對虛警概率和異常檢測時延的要求,。增大ρ、K的取值,,可以在一定范圍內(nèi)降低虛警概率,,但同時也增加了檢測時延。
3 算法的應(yīng)用及仿真
本節(jié)研究了上述改進算法(D-CUSUM)在溫度控制系統(tǒng)入侵檢測中的應(yīng)用,。實驗應(yīng)用MATLAB Simulink仿真環(huán)境搭建溫度控制系統(tǒng),,模擬攻擊者對某一溫度傳感器實施攻擊。
令xn和τN表示該溫度傳感器在時刻n的測量值和告警閾值,。正常情況下,,序列{xn}是均值平穩(wěn)序列,攻擊發(fā)生時,,病毒修改傳感器的測量值,,序列均值發(fā)生明顯變化。實驗仿真針對ICS的幾何攻擊[8],,其攻擊特征為:![@QJB[]$O7J9J2~RO`4N[QYS.png](http://files.chinaaet.com/images/2017/01/12/6361983079651353858058597_w.png "@QJB[]$O7J9J2~RO`4N[QYS.png")
,,其中0<γ<1。攻擊從k=0時刻開始,。開始時,,傳感器信號變化微小,當k>n后,,攻擊突然大幅增加,傳感器的測量信號會突然變大,,如果在這之前,,沒有檢測到攻擊的發(fā)生,會對ICS的安全帶來威脅,,甚至對實際生產(chǎn)過程造成損害,。
假設(shè)正常情況下溫度傳感器的測量值為(1 000±20)℃,超過1 020 ℃就會造成物理損壞,。幾何攻擊參數(shù)設(shè)置為:η=20,,n=100,γ=0.817。EWMA平滑因子α=0.98,,累積和計算長度L=50,,采樣周期Ts=100 s。圖1給出了(ρ,,K)=(0.5,,4)時的結(jié)果。
圖1 入侵檢測仿真結(jié)果
從圖1中可以看出,,在時刻k=100Ts時,,溫度傳感器達到了ICS允許的最大溫度值。采用本文算法D-CUSUM檢測系統(tǒng),,在時刻k=81Ts時檢測到異常,,系統(tǒng)告警,ICS遭到攻擊,;采用固定門限CUSUM算法[8],,在時刻k=90Ts系統(tǒng)告警。由此可見,,在本文仿真環(huán)境下,,本算法能在ICS系統(tǒng)產(chǎn)生物理損壞前19Ts=1 900 s發(fā)出告警,在檢測實時性方面優(yōu)于固定門限算法90Ts-81Ts=9Ts=900 s,。
4 結(jié)論
本文根據(jù)工業(yè)控制系統(tǒng)高實時性和高可用性的要求,,針對CUSUM異常檢測算法存在的固定偏移常數(shù)和固定檢測門限問題,提出了一種面向工業(yè)控制系統(tǒng),、具有自適應(yīng)特征的非參數(shù)CUSUM(D-CUSUM)入侵檢測方法,。算法的自適應(yīng)特征體現(xiàn)在兩點:(1)基于柯爾莫哥洛夫不等式理論設(shè)置非參數(shù)CUSUM偏移常數(shù)β;(2)通過外部參數(shù)-告警控制參數(shù)動態(tài)設(shè)置檢測門限τN,。針對溫度控制系統(tǒng)的攻擊仿真實驗結(jié)果證明,,本文提出的改進算法改善了檢測的實時性和誤報率,能夠?qū)崿F(xiàn)對工業(yè)控制系統(tǒng)的低誤報率實時入侵檢測,。
參考文獻
[1] 李戰(zhàn)寶,,潘卓.透視“震網(wǎng)”病毒[A].第26次全國計算機安全學術(shù)交流會論文集[C],2011.
[2] Patrick P C Lee,,Tian Bu,,Thomas Woo.On the detection of signaling DoS attacks on 3G wireless networks[J].Computer Network,2009,,53(15):2601-2606.
[3] Xiao Zhenghong,,Chen Zhigang,Deng Xiaoheng.Anomaly detection based on a multi-class CUSUM algorithm for WSN[J].Journal of Computers,,2010,,5(2):306-313.
[4] 張云貴,,趙華,王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測方法[J].東南大學學報(自然科學版),,2012,,42(A01):55-59.
[5] 張云貴,佟為明,,趙永麗.CUSUM異常檢測算法改進及在工控系統(tǒng)入侵檢測中的應(yīng)用[J].冶金自動化,,2014,38(5):1-5.