張云貴 趙華 王麗娜

(1哈爾濱工業(yè)大學(xué)電氣工程及自動化學(xué)院，哈爾濱 150001)(2冶金自動化研究設(shè)計院混合流程工業(yè)自動化系統(tǒng)及裝備技術(shù)國家重點實驗室，北京 100071)

由于工業(yè)過程與信息化系統(tǒng)的連接越來越緊密，使得原本物理隔絕的ICS網(wǎng)絡(luò)化，增加了遭受網(wǎng)絡(luò)病毒攻擊的可能性［1］.2010年ICS的Stuxnet病毒［2］席卷全球，伊朗布什爾核電站因遭此攻擊延期運行，從此ICS的信息安全引起世界的關(guān)注.與互聯(lián)網(wǎng)不同的是工業(yè)網(wǎng)絡(luò)與物理世界緊密相連，一旦遭到攻擊，不僅造成經(jīng)濟(jì)損失、影響企業(yè)生產(chǎn)力而且危害生命財產(chǎn)，甚至對各國安全構(gòu)成潛在威脅，因此需要有效的方法確保ICS的信息安全.

ICS一般有防火墻、殺毒軟件等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段，但是殺毒軟件與某些工業(yè)應(yīng)用軟件不兼容，防火墻不能防止來自ICS內(nèi)部的攻擊.入侵檢測系統(tǒng)［3］被認(rèn)為是防火墻之后的第二道安全閘門，作為一種動態(tài)防御技術(shù)，可提供對內(nèi)部、外部和誤操作的實時保護(hù)，在ICS受到危害之前攔截和響應(yīng)入侵，是解決ICS網(wǎng)絡(luò)安全的可行方法之一，也是當(dāng)今國內(nèi)外研究的前沿課題，針對基于ICS入侵檢測方法的研究還剛剛起步，其基礎(chǔ)理論和實際應(yīng)用尚待進(jìn)一步探索.

入侵檢測技術(shù)分為特征檢測和異常檢測2種［3］.特征檢測根據(jù)主體活動是否匹配已知入侵模式來判斷是否存在入侵行為，此方法可以有效檢測已知攻擊，對新的攻擊檢測能力弱，漏報率較高；異常檢測［4］根據(jù)主體活動是否匹配正?；顒有袨槟Ｊ絹砼袛嗍欠翊嬖谌肭中袨椋朔椒梢詸z測已知攻擊和新的攻擊，漏報率低，但誤報率較高.目前統(tǒng)計到的對工業(yè)網(wǎng)絡(luò)的入侵?jǐn)?shù)據(jù)有限，不能提取出足夠的信息建立入侵特征庫，但是工業(yè)網(wǎng)絡(luò)主體活動相對簡單和穩(wěn)定，許多生產(chǎn)過程可通過機(jī)理建模，將異常檢測技術(shù)應(yīng)用到ICS網(wǎng)絡(luò)中來，可以實現(xiàn)對控制系統(tǒng)的實時監(jiān)控，一旦發(fā)現(xiàn)異常及時報警，同時不影響系統(tǒng)的正常運行.本文提出基于ICS典型模型，應(yīng)用異常檢測技術(shù)中的非參數(shù)CUSUM算法檢測針對ICS的入侵攻擊.

1 ICS和入侵攻擊型

ICS的基本操作流程［5］和入侵途徑如圖1所示，典型的ICS包括大量的控制回路、HMI、工程師站、遠(yuǎn)程診斷及維護(hù)和各種協(xié)議控制器.攻擊者一般通過優(yōu)盤、網(wǎng)絡(luò)傳播等途徑將病毒植入ICS網(wǎng)絡(luò)中的各環(huán)節(jié)去，針對ICS的主要攻擊有數(shù)據(jù)欺騙、拒絕服務(wù)、控制器命令篡改等.

圖1 ICS網(wǎng)絡(luò)和入侵結(jié)構(gòu)圖

工業(yè)控制網(wǎng)絡(luò)攻擊的一般模型［6］如下:

假設(shè)一個系統(tǒng)的狀態(tài)由p個傳感器組成的傳感網(wǎng)絡(luò)來確定，測量向量為 y(k)=(y1(k)，…，yp(k))，式中yi(k)∈Rp表示k時刻傳感器i的測量值.隨著k的變化，傳感器有一個由yi(k)定義的動態(tài)范圍，即 ?k，yi(k)∈［］，令 Yi(k)=［］.控制系統(tǒng)根據(jù)這些測量值做出相應(yīng)控制行為，來完成某些操作目標(biāo).

如果有傳感器被攻擊了，~y(k)可能不同于實際測量值y(k)，假設(shè)被攻擊后的信號~y(k)同樣在Yi的范圍內(nèi)(不在這個范圍內(nèi)的信號很容易被容錯算法檢測出來).

測量信號的一般模型如下:

式中ai(k)為攻擊時的測量信號，Ka={ks，…，ke}表示時間序列，ks為攻擊開始時刻，ke是攻擊結(jié)束時刻.

2 檢測方法

對于ICS來說，被控對象的輸入u(k)決定輸出y(k)，那么理論上任何導(dǎo)致傳感器數(shù)據(jù)發(fā)生改變的攻擊例如數(shù)據(jù)欺騙等都能通過比較期望輸出^y(k)與實際輸出(可能遭受攻擊)~y(k)被檢測出來.基于工業(yè)控制模型的異常檢測系統(tǒng)結(jié)構(gòu)圖如圖2所示.

給定輸入量u(k)，應(yīng)用被控系統(tǒng)的近似模型獲得期望輸出，被控系統(tǒng)的模型通常是線性且動態(tài)的［7］，模型如下:

圖2 異常檢測系統(tǒng)模型

式中，x(k)=(x1(k)，…，xn(k))表示k時刻系統(tǒng)的狀態(tài)；u(k)=(u1(k)，…，um(k))表示k時刻系統(tǒng)的控制輸入；y(k)=(y1(k)，…，yp(k))，yi(k)表示k時刻傳感器i的測量值；n階方陣A表示不同狀態(tài)間的關(guān)系；輸入矩陣Bn×m表示控制輸入與狀態(tài)的關(guān)系；C為輸出矩陣.考慮實際環(huán)境，加入噪聲量w(k)，w(k)是均值和協(xié)方差都為0的向量.

比較系統(tǒng)期望輸出與實際輸出得到比較差Δ(k)=‖~y(k)－^y(k)‖，正常情況下比較差是一個平穩(wěn)序列，攻擊發(fā)生時，比較差會發(fā)生變化.將比較差Δ(k)作為未被確認(rèn)安全的統(tǒng)計序列，應(yīng)用檢測算法對其進(jìn)行檢測，在盡量短的時間內(nèi)判斷是否發(fā)生攻擊.這樣針對ICS的異常檢測問題就可以數(shù)學(xué)化成給定一個時間序列z(1)，z(2)，…，z(N)，例如由Δ(k)組成，目標(biāo)就是應(yīng)用最小的樣本點N決定異常檢測結(jié)果，即最優(yōu)停止問題.

變化檢測的算法主要包括CUSUM算法、Bayes-type算法、離線變化檢測等［8］.其中CUSUM算法能夠?qū)CS視作一個隨機(jī)模型，一旦有入侵，系統(tǒng)數(shù)據(jù)發(fā)生異常，實際的輸出就會變化，檢測出變化就等于檢測出了攻擊，能較快檢測過程數(shù)據(jù)的改變，并且適合檢測變化比較小的序列.考慮到異常檢測技術(shù)的2個關(guān)鍵參數(shù):檢測結(jié)果的誤報率和檢測時間，解決最優(yōu)停止問題，本文應(yīng)用變化檢測中的CUSUM算法，該算法在縮短檢測時間和降低誤報率方面效果較好［8］.

3 非參數(shù)CUSUM算法

應(yīng)用CUSUM算法要求知道隨機(jī)序列的參數(shù)模型，并用概率密度函數(shù)來監(jiān)控序列，實際中很難獲得攻擊狀態(tài)下被檢測序列的概率分布.非參數(shù)CUSUM算法不要求概率分布，只要求檢測序列z(k)在正常情況下具有負(fù)的均值 E(Z)＜0，變化發(fā)生后具有正的均值E(Z)＞0.本文借鑒文獻(xiàn)［6］的思想，應(yīng)用非參數(shù)CUSUM算法，能夠累計明顯比正常運行情況下平均水平高的值，同時可以累計攻擊開始時變化較小的值，在攻擊造成實際損失前，捕捉入侵.并且它以連續(xù)方式檢測輸入隨機(jī)序列，可實時檢測，避免因比較差Δ(k)偶然增大或減小而誤報.

非參數(shù)CUSUM算法的正式定義為

式中，yn用于判斷序列是否發(fā)生變化.為便于計算，降低在線檢測的開銷，本文簡化使用非參數(shù)CUSUM算法的遞歸版本，對于每個傳感器i有

式中，inf為下確界，停止時間N就是算法檢測到攻擊的時間.

非參數(shù)CUSUM算法的判決函數(shù)dN(Si(k))為

式中，H0表示系統(tǒng)處于正常狀態(tài)，H1表示系統(tǒng)處于攻擊狀態(tài)，τi是針對每個傳感器i選定的閾值，dN(Si(k))表示針對傳感器i在時刻k的檢測結(jié)果，如果 Si(k)大于 τi，表示有攻擊發(fā)生，否則正常.

在ICS系統(tǒng)中，正常情況下，比較差Δ(k)是一個接近于零的序列，其均值接近于零；而發(fā)生入侵攻擊時，Δ(k)就會發(fā)生一定變化，其均值會有所增大.因此根據(jù)前面論述的非參數(shù)CUSUM算法的條件要求，針對ICS，本文定義:

作為被檢測序列.其中β是一個很小的正常數(shù)，其值需要滿足正常狀態(tài)下

在非參數(shù)CUSUM算法中，τ用來判斷攻擊與否，τ越大，S(k)累積到大于τ的時間越長，會延長檢測時間；τ越小，由于ICS系統(tǒng)正常波動，累積到S(k)中的部分增大到τ的可能性越大，引起誤報的可能性越大.β用來將Δ(k)偏移到z(k)，β越大，在序列z(k)中出現(xiàn)正值的可能性越小，S(k)累積到大于τ的值來發(fā)現(xiàn)攻擊的可能性越??；β越小，由于ICS系統(tǒng)的正常波動，在序列z(k)中出現(xiàn)正值的可能性就越大，S(k)累積到大于τ的值并誤報警的可能性越大.

4 仿真實驗及結(jié)果

入侵檢測面臨的基本問題是自適應(yīng)對手的存在，這種對手會盡全力規(guī)避檢測方案.所以本文中假設(shè)對手了解所用異常檢測方法，確切知道被控系統(tǒng)模型(即知道矩陣A、B、C)，檢測算法，控制命令.實驗應(yīng)用Matlab仿真環(huán)境，搭建溫度控制系統(tǒng)，針對一溫度傳感器進(jìn)行攻擊.攻擊者的目標(biāo)就是在不被檢測到的前提下，實施攻擊.

4.1 算法的參數(shù)

在非參數(shù)CUSUM算法中參數(shù)τ和β決定算法的性能，工業(yè)系統(tǒng)不同決定了參數(shù)的不同.

首先，本文通過計算ICS正常情況下的實際輸出與期望輸出絕對差的分布，并且求出均值.試驗中，仿真10000組數(shù)據(jù)，得到如下分布(見圖3).

圖3 正常狀態(tài)下Δ(k)的分布

Δ(k)的均值 E(Δ(k))=0.7963，選擇 Δ(k)的均值作為β，能夠保證正常狀態(tài)下的z(k)在0附近，不造成誤報，同時又不會大幅降低在序列z(k)中出現(xiàn)正值的可能性.

然后，在沒有攻擊的情況下，針對不同的τ值，仿真系統(tǒng)運行100次，統(tǒng)計誤報警的次數(shù)，實驗結(jié)果如圖4所示，當(dāng)τ值取2.4是誤報警數(shù)為1，后面均為0.從圖中可以看出隨著τ增加，誤報率呈指數(shù)下降，驗證了本文前面的結(jié)論.那么理論上τ取2.6就可以保證不存在誤報警.

下面通過實驗研究τ值與檢測時間關(guān)系.分別仿真存在AWGN(additive white gaussian noise)攻擊和縮放攻擊情況下，系統(tǒng)檢測出攻擊所需時間和τ的關(guān)系，仿真結(jié)果如圖5所示.

圖4 誤報率與τ值關(guān)系

圖5 檢測時間與τ值的關(guān)系

從圖中5可以看出隨著τ的增加，檢測時間變長.不同的攻擊檢測時間變化不同，實際環(huán)境中需要根據(jù)具體的ICS系統(tǒng)要求來權(quán)衡取值，τ=10，既能保證檢測時間，又有力地降低算法的誤報率.確定算法的參數(shù)β和τ，算法的檢測性能即確定了.

4.2 實驗結(jié)果

常見的針對ICS的攻擊包括浪涌攻擊、貝葉斯攻擊和幾何攻擊等，幾何攻擊［6］具有開始變化緩慢，結(jié)尾突然增大的特點，是上面幾種攻擊中效果最強(qiáng)的.當(dāng)病毒入侵到ICS網(wǎng)絡(luò)中，修改了傳感器的測量值.試驗中仿真幾何特征，其特征為~y=^yηαn－k，其中 α∈(0，1)，攻擊從 k=0 時刻開始，攻擊者想要入侵攻擊在k=n時刻之前不被發(fā)現(xiàn).

幾何攻擊模型的參數(shù) η=20，n=100，α=0.817578，傳感器測量值為1000℃，允許溫度變化范圍±20℃.攻擊開始時，傳感信號的變化微小，當(dāng)時間接近入侵者設(shè)定的時間時，傳感器的測量信號突然變大，如果這種改變不被檢測，會對ICS的實際生產(chǎn)過程造成傷害.

應(yīng)用非參數(shù)CUSUM算法檢測上述受攻擊的傳感器測量信號，算法中參數(shù) β=0.7963，τ=10.從圖6中可以看出，在k=100時刻，測量值為被控系統(tǒng)允許的最大值1020℃，k＞100時攻擊突然大幅增加，威脅ICS安全.應(yīng)用本文所述算法檢測系統(tǒng)，在k=89時刻，報警輸出alarm=1，提示測量信號異常，ICS系統(tǒng)遭受了入侵.實驗表明該方法有效、快速.本文提出的方法不僅能夠檢測內(nèi)部、外部的入侵攻擊，也可以檢測操作員的誤操作.

圖6 幾何攻擊系統(tǒng)傳感器

5 結(jié)論

本文研究了將ICS過程控制模型與異常檢測技術(shù)結(jié)合的ICS網(wǎng)絡(luò)安全防護(hù)方法，提出了基于ICS近似模型的入侵檢測方法.采用非參數(shù)CUSUM算法檢測ICS入侵攻擊，該方法合理應(yīng)用了ICS的特點，能夠在入侵攻擊對工業(yè)過程造成實際傷害之前，發(fā)現(xiàn)攻擊跡象，及時通知操作員，有效避免可能引起的損失.仿真結(jié)果表明所采用方法能有效檢測ICS入侵攻擊，為工業(yè)過程信息安全保護(hù)提供了新思路.

References)

［1］Ralston P A S，Graham J H，Hieb J L.Cyber security risk assessment for SCADA and DCS networks［J］.ISA Transactions，2007，46(4):583-594.

［2］Falliere N，Murchu L O，Chien E.W32.Stuxnet dossier［R］.Version 1.3.Symantec Security Response，2010.

［3］Verwoerd T，Hunt R.Intrusion detection techniques and approaches［J］.Computer Communications，2002，25(15):1356-1365.

［4］Garci'a-Teodoro P，Di'az-Verdejo J，Macia'-Ferna'ndez G，et al.Anomaly-based network intrusion detection:techniques，systems and challenges［J］.Computers and Security，2009，28(1/2):18-28.

［5］Stouffer K，F(xiàn)alco J，Scarfon K.SP 800_82-2012 Guide to industrial control systems(ICS)security［S］.NIST，2010.

［6］Cárdenas A A，Amin S，Lin Z S，et al.Attacks against process control systems:risk assessment，detection，and response［C］//Proceedings of the 6th ACM Symposium on Information，Computer and Communications Security.New York:Association for Computing Machinery，2011:355-366.

［7］Quin S J，Badgwell T A.A survey of industrial model predictive control technology［J］.Control Engineering Practice，2003，11(7):733-764.

［8］Basseville M，Nikiforov I V.Detection of abrupt changes:theory and application［M］.New Jersey，USA:Prentice Hall，1993:25-65.