孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學(xué) 國防工程學(xué)院,江蘇 南京 210007)

基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法*

孫 程,邢建春,楊啟亮,韓德帥

(解放軍理工大學(xué) 國防工程學(xué)院,江蘇 南京 210007)

工業(yè)控制系統(tǒng)隨時都面臨遭到攻擊的風(fēng)險，為了保障其安全可靠的運行，文章在前人提出的入侵防御系統(tǒng)的基礎(chǔ)上做出了改進，簡化了原本的防御邏輯流程，提高了入侵防御的效率，并以時間為自適應(yīng)目標(biāo)，突出了時間在工業(yè)控制系統(tǒng)中的重要性，提出了一種基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法。然后用UPPAAL對其建模，分別驗證了其安全性、可達性、活性，充分證明了該基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)是高效可行的。

控制理論；入侵防御

0 引言

工業(yè)控制系統(tǒng)(Industrial Control System,ICS)被廣泛應(yīng)用在國家關(guān)鍵基礎(chǔ)設(shè)施中,是石化、冶金、交通等有效運行的重要環(huán)節(jié)[1]。隨著計算機網(wǎng)絡(luò)技術(shù)與ICS的深度融合,使得原本相對孤立封閉的工業(yè)控制系統(tǒng)變得越來越開放,面臨日趨嚴重的信息安全問題[2]。為此人們開發(fā)出了許多針對具體安全問題的安全技術(shù)和系統(tǒng)。防火墻和入侵檢測是其中兩種主要的網(wǎng)絡(luò)安全技術(shù)[3]。但這兩者都存在著各自的缺陷，不能很好地解決目前面臨的網(wǎng)絡(luò)安全問題[4-5]。在此背景下，人們提出入侵防御系統(tǒng)(Intrusion Prevention System，IPS)的解決方案[6-7]。

IPS是一種主動的、智能的入侵檢測、防范、阻止系統(tǒng),其設(shè)計旨在預(yù)先對入侵活動和攻擊性行為進行攔截,避免其造成任何損失,而不是簡單地在惡意行為傳送時或傳送后才發(fā)出警報。簡單地理解,可認為IPS就是防火墻和入侵檢測系統(tǒng)的組合[8-10]。入侵防御系統(tǒng)同時具備防火墻和入侵檢測系統(tǒng)(Intrusion Detection System，IDS)的功能。

在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的入侵防御系統(tǒng)中，構(gòu)建自適應(yīng)結(jié)構(gòu)模型是一個重要的研究方向[11]。實現(xiàn)基于自適應(yīng)的網(wǎng)絡(luò)入侵防御系統(tǒng)，在能夠防御入侵的同時還擁有自適應(yīng)的能力，這樣才能有效地提高入侵防御系統(tǒng)的性能[12]。本文結(jié)合控制理論和軟件自適應(yīng)的知識，提出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御方法。

1 入侵防御系統(tǒng)

入侵防御系統(tǒng)是最近幾年產(chǎn)生的一種安全產(chǎn)品，它是隨著網(wǎng)絡(luò)的高速發(fā)展而產(chǎn)生的。IPS 是在入侵檢測系統(tǒng)的基礎(chǔ)之上發(fā)展起來的，它不僅具有入侵檢測系統(tǒng)檢測攻擊行為的能力，而且具有防火墻攔截攻擊并且阻斷攻擊的功能，但是 IPS 并不是 IDS 的功能與防火墻功能的簡單組合，IPS 在攻擊響應(yīng)上采取的是主動、全面、深層次的防御[13]。

入侵防御系統(tǒng)是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域中最常用的網(wǎng)絡(luò)安全防護產(chǎn)品，它的主要功能在于檢測與防御，但是入侵防御系統(tǒng)又不同于入侵檢測系統(tǒng)，它會在檢測到攻擊后采取各種響應(yīng)方式來進行防御；防火墻可以通過多種途徑阻斷攻擊，包括丟棄數(shù)據(jù)包、阻斷連接、發(fā)送 ICMP 不可達數(shù)據(jù)包等，但是防火墻無法檢測到攻擊，它只能被動地通過用戶配置規(guī)則來實現(xiàn)防御。入侵防御系統(tǒng)同時兼有入侵檢測系統(tǒng)和防火墻的功能，可以說，入侵防御系統(tǒng)是入侵檢測系統(tǒng)與防火墻發(fā)展的產(chǎn)物[14]。

與 IDS 及防火墻相比，IPS 有其自身的特點，其主要優(yōu)點有：(1) 積極主動防御攻擊：IPS 兼有 IDS 檢測攻擊的能力和防火墻防御攻擊的能力，但是 IPS 又不是 IDS 與防火墻聯(lián)動的組合，IPS 防御攻擊是主動的，并且提供了各種防御手段和措施。(2) 防御層次深靈活性強：IPS 提供了多種防御手段，具有強有力的實時阻斷功能，能夠提前檢測出已知攻擊與未知攻擊，并對網(wǎng)絡(luò)攻擊流量和網(wǎng)絡(luò)入侵活動進行攔截。入侵防御系統(tǒng)一般重新構(gòu)建協(xié)議棧，通過重組還原出隱藏在多個數(shù)據(jù)包中的攻擊特征，并能夠深入多個數(shù)據(jù)包的內(nèi)容中挖掘攻擊行為，從而檢測出深層次的攻擊[15-16]。

目前大部分入侵防御系統(tǒng)的功能和模塊比較多，在不同的環(huán)境下，有些功能模塊是不需要的，但一款I(lǐng)PS 在投入使用時并不能根據(jù)具體環(huán)境來安裝或是刪除某個模塊，導(dǎo)致系統(tǒng)龐大而復(fù)雜。此外，大部分入侵防御系統(tǒng)自適應(yīng)性較差，大多數(shù)產(chǎn)品都聚焦在自適應(yīng)學(xué)習(xí)上[17]，而忽略了時間的重要性。針對此兩點不足，本文提出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)。該系統(tǒng)以簡單有效的閉環(huán)控制理論為基礎(chǔ)，結(jié)合自適應(yīng)的相關(guān)知識，以時間作為自適應(yīng)目標(biāo)，這使得系統(tǒng)相對簡潔，運行邏輯清晰，突出了時間這一關(guān)鍵因素。

2 基于控制理論的入侵防御系統(tǒng)建模與形式化驗證

首先結(jié)合控制理論的知識設(shè)計出總體架構(gòu)，然后用UPPAAL建立各模塊的模型，各模塊通過收發(fā)消息鏈接起來，組成一個統(tǒng)一的系統(tǒng)。本文以時間作為自適應(yīng)目標(biāo)，采用了計時反饋機制。從執(zhí)行器接到執(zhí)行命令開始計時，要求在規(guī)定的時間內(nèi)處理完問題，若反饋時間超過規(guī)定的毫秒數(shù)，則立即報警通知工作人員進行處理，這種方法能很好地保持系統(tǒng)的高效穩(wěn)定運行程度。

2.1 總體架構(gòu)

圖1 總體框架圖

該系統(tǒng)以 “感知-規(guī)劃-動作”的控制理論為總體框架，融入基于“感知-決策-調(diào)整”的軟件自適應(yīng)的相關(guān)知識[18]，采用控制理論框架和軟件自適應(yīng)的內(nèi)容來研究入侵檢測系統(tǒng)，稱為IPSC(Intrusion Prevention System based Control Theory )?？傮w框架和模型如圖1、圖2所示。

圖2 總體模型

2.2 感知器

感知器主要是探測存在安全威脅信息的模塊，起著安全風(fēng)險感知的作用。其核心技術(shù)是如何能全面、快速地獲取數(shù)據(jù)信息。根據(jù)目前工業(yè)控制系統(tǒng)數(shù)據(jù)量大、保密要求高等特點，本文結(jié)合網(wǎng)絡(luò)數(shù)據(jù)、主機審計記錄和應(yīng)用程序日志這三條途徑獲取信息來設(shè)計該模塊。感知器的框架和模型如圖3、圖4所示。

圖3 感知器框架

圖4 感知器模型

2.3 控制器模塊

控制器主要是對感知器探測到的數(shù)據(jù)進行整理與分類，判斷出正常行為和入侵行為，起到安全防御決策分析的作用。根據(jù)工業(yè)控制系統(tǒng)的特點和各種分類算法的優(yōu)缺點，發(fā)現(xiàn)樸素貝葉斯分類算法比較適合該系統(tǒng)，因此該模塊利用改進的樸素貝葉斯分類算法做為分類器，以此提高其檢測的準(zhǔn)確性與高效性?？刂破鞯目蚣芎湍Ｐ腿鐖D5、圖6所示。

圖5 控制器框架

圖6 控制器模型

2.4 執(zhí)行器模塊

執(zhí)行器主要是根據(jù)控制器的分析結(jié)果，做出相應(yīng)的處理措施，起到執(zhí)行安全防御控制措施的作用。針對復(fù)雜的工業(yè)控制系統(tǒng)，本文提出一系列簡單、高效的措施，以此提高處理問題的效率。執(zhí)行器的框架和模型如圖7、圖8所示。

圖7 執(zhí)行器框架

圖8 執(zhí)行器模型

2.5 形式化驗證

首先在UPPAAL的模擬器中模擬各個模塊的交互情況，并在得到的巡檢時序圖和消息控制序列圖中，詳細地顯示了各個模塊之間的交互情況以及每個模塊內(nèi)部的運行情況。在模擬Trace列表中，奇數(shù)行表示各個模塊內(nèi)部狀態(tài)的變化情況，偶數(shù)行表示各模塊之間的通信情況。在消息控制序列圖中，第一列記錄了Totalframework的狀態(tài)，第二列記錄了Sensor的狀態(tài),第三列記錄了Controller的狀態(tài)，第四列記錄了Actuator的狀態(tài)。消息控制序列以圖文的形式表示出各模塊的運行及交互情況，縱向表示每個模塊的運行狀況，橫向表示各模塊相互之間的通信情況以及在同一時間每個模塊的運行狀態(tài)。這對于分析入侵防御系統(tǒng)起到了較大的輔助作用。

系統(tǒng)的模擬運行不具有一般性與全面性，不能完全保證系統(tǒng)的可靠運行，因此還需要用 UPPAAL 提供的驗證器對系統(tǒng)的安全性、可達性和活性進行驗證[19]。安全性表示整個入侵防御系統(tǒng)不期望發(fā)生的事件永不發(fā)生；可達性表示在入侵防御系統(tǒng)中，存在從初始狀態(tài)到期望到達的某個狀態(tài)的一條運行軌跡；活性表示系統(tǒng)期望的事件最終能發(fā)生。

(1)安全性驗證

A [] not deadlock，系統(tǒng)無死鎖。

(2)可達性驗證

E<>Sensor.Probe，在Sensor模塊中，Probe狀態(tài)可達，即感知器能啟動開始檢測的功能。

E<> Controller.Classifier，在Controller模塊中, Classifier狀態(tài)可達，即在控制模塊中的分類器能正常工作。

E<>Actuator. Lock，在Actuator模塊中，Lock狀態(tài)可達，即執(zhí)行器能根據(jù)響應(yīng)策略做出鎖定系統(tǒng)的處理措施。

(3)活性驗證

E<>TotalFramework. Sensor imply Sensor. Probe. TotalFramework模塊中感知器啟動，則Sensor模塊中檢測功能啟動，即如果入侵防御系統(tǒng)開始工作,則肯定會檢測系統(tǒng)中有沒有入侵行為。

E<> Controller. Classifier imply Actuator. Execution. Controller模塊分類器開始工作，則Actuator模塊會開始執(zhí)行防御措施，即如果入侵防御系統(tǒng)中分類器開始對收集到的數(shù)據(jù)進行分類，那么執(zhí)行器肯定會根據(jù)具體的分類執(zhí)行相應(yīng)的防御措施。

在UPPAAL的驗證器中對以上性質(zhì)逐個進行驗證，實驗表明所有性質(zhì)均通過驗證，如圖9所示。通過對入侵防御系統(tǒng)模型形式化驗證,證明了該系統(tǒng)的正確性與可靠性,該系統(tǒng)滿足需求設(shè)定。

圖9 性質(zhì)驗證結(jié)果

3 結(jié)束語

為了保證工業(yè)控制系統(tǒng)安全可靠的運行，需要構(gòu)建有效的入侵防御系統(tǒng)。為適應(yīng)日趨復(fù)雜的工業(yè)控制系統(tǒng)，入侵防御系統(tǒng)也需不斷提高效率。針對此狀況，本文設(shè)計出了基于控制理論的工業(yè)控制網(wǎng)絡(luò)入侵防御系統(tǒng)，該系統(tǒng)的主要特點是運行邏輯清晰、入侵防御效率高，把時間這一關(guān)鍵因素作為自適應(yīng)目標(biāo)，保證了被保護系統(tǒng)的時效性。本文用UPPAAL對入侵防御系統(tǒng)進行建模，并進行了形式化驗證，證明了該系統(tǒng)的可行性。

本文雖然在入侵防御的效率和自適應(yīng)目標(biāo)上做了改進，但設(shè)計的響應(yīng)策略還不夠完善。另外面對日趨復(fù)雜的工業(yè)控制系統(tǒng)，研究多目標(biāo)的自適應(yīng)防御系統(tǒng)將是下一步的研究目標(biāo)。

[1] 阮俊杰. 淺談入侵防護系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2016(2):48-49.

[2] 李匯云, 李璇, 張琦,等. 全生命周期工業(yè)控制系統(tǒng)信息安全防護分析及主要對策[J]. 自動化博覽, 2016，33(6)：74-77.

[3] 張然，錢德沛.防火墻與入侵檢測技術(shù)[J].計算機應(yīng)用研究，2001，18(1)：4-7.

[4] 李紹暉, 劉紀(jì)偉. 一種面向工業(yè)控制系統(tǒng)的改進CUSUM入侵檢測方法[J]. 電子技術(shù)應(yīng)用, 2015, 41(9):118-121.

[5] 葉振新.防火墻與入侵檢測系統(tǒng)聯(lián)動模型的研究[D].上海：上海交通大學(xué),2008.

[6] SCHULTZ E. Intrusion prevention[J]. Computers and Security,2004,23(4):265-266.

[7] 盧娜.基于聯(lián)動的網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計與實現(xiàn)[D].武漢:武漢科技大學(xué),2008.

[8] 劉偉, 李泉林, 芮力. 一種入侵防御系統(tǒng)性能分析方法[J]. 信息網(wǎng)絡(luò)安全, 2015(9):46-49.

[9] 康曉梅. 打造防火墻與IDS入侵檢測系統(tǒng)雙防護的安全網(wǎng)絡(luò)辦公模式[J]. 工程技術(shù):全文版, 2016(5):284.

[10] 邵誠, 鐘梁高. 一種基于可信計算的工業(yè)控制系統(tǒng)信息安全解決方案[J]. 信息與控制, 2015, 44(5):628-633.

[11] 袁奇. 一種自適應(yīng)入侵防御系統(tǒng)的研究和設(shè)計[D]. 無錫：江南大學(xué), 2007.

[12] 青華平, 傅彥. 一個自適應(yīng)網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)的研究與實現(xiàn)[J]. 成都信息工程學(xué)院學(xué)報, 2005, 20(6):682-685.

[13] 彭釗.基于聯(lián)動的網(wǎng)絡(luò)入侵防御系統(tǒng)研究與實現(xiàn)[D].北京:北京郵電大學(xué),2010.

[14] 孟范立. 網(wǎng)絡(luò)入侵檢測與防御系統(tǒng)設(shè)計與連接[J]. 技術(shù)與教育, 2016(1):20-23.

[15] 李艷. 軍隊級入侵防御系統(tǒng)中數(shù)據(jù)通信與監(jiān)控技術(shù)研究[J]. 中外交流, 2016(10):27.

[16] 王嬋瓊, 高青. 入侵防御系統(tǒng)的實現(xiàn)與核心技術(shù)淺析[J]. 科技傳播, 2015(16):119,150.

[17] 邢亮. 基于自適應(yīng)的網(wǎng)絡(luò)入侵防御系統(tǒng)的設(shè)計與實現(xiàn)[D]. 成都：電子科技大學(xué), 2014.

[18] 楊啟亮, 馬曉星, 邢建春, 等. 軟件自適應(yīng):基于控制理論的方法[J]. 計算機學(xué)報, 2016，39(11)：2189-2215.

[19] BEHRMANN G, DAVID A, LARSEN K G. A tutorial on UPPAAL[J]. Proc. of the Formal Methods for the Design of Real-Time Systems, Springer-Verlag, 2004,3185:200-236.

孫 程(1990-)，男，碩士研究生，主要研究方向：軟件安全。

邢建春(1964-)，男，博士，教授，CCF高級會員,主要研究方向：復(fù)雜智能信息系統(tǒng)、信息物理融合系統(tǒng)。

楊啟亮(1975-)，男，博士，副教授，CCF高級會員,主要研究方向：自適應(yīng)軟件、信息物理融合系統(tǒng)。

An intrusion prevention method in industrial control system based on control theory

Sun Cheng,Xing Jianchun,Yang Qiliang,Han Deshuai

(College of Defense Engineering, PLA University of Science and Technology, Nanjing 210007， China)

Industrial control system at the risk of attack at all times. In order to guarantee the system operation safety and reliably, we make improvements in intrusion prevention system on the basis of predecessor. We simplify the original prevention logical process and improve the efficiency of intrusion prevention. We take time as adaptive target and highlight the importance of time in industrial control system. We propose an intrusion prevention method for industrial control system based on control theory. Then we build the model with UPPAAL and verify the safety，accessibility and activity. This reflects the rationality of making time as adaptive object and makes full proof of the intrusion prevention method in industrial control system based on control theory is efficient and feasible.

control theory;intrusion prevention

江蘇省自然科學(xué)基金(BK20151451)

TP31

A

10.19358/j.issn.1674- 7720.2017.03.002

孫程,邢建春,楊啟亮，等.基于控制理論的工業(yè)控制系統(tǒng)入侵防御方法[J].微型機與應(yīng)用，2017,36(3)：4-7,15.

2016-10-10)