淺談入侵檢測系統(tǒng)在工業(yè)以太網中的應用

集團楊柳煤礦信息中心，安徽 淮北 235000;4.兗礦國宏化工有限公司，山東 濟寧 272100)

摘要:通過對煤礦工業(yè)以太網中存在的安全隱患問題的分析，簡單論述了入侵檢測系統(tǒng)在工業(yè)以太網中的應用。

關鍵詞:煤礦;工業(yè)以太網;安全隱患;入侵檢測系統(tǒng)

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3655-02

Simply Discuss the Intrusion Detection System used in Industrial Ethernet

ZHANG Yan-jun1， LOU Wei2， HUANG He3， ZHANG Yao4

(1. Shanxi Datong Yunxiao New Technology Company， Datong 0370032， China; 2.Hebi Coal Mining Group，Hebi 458000，China; 3.Yangliu Coal Mining Information Center of Huaibei Mining Group， Hefei 235000， China; 4.Yankuang Guohong Chemical Co.， Ltd. ，Jinan 272100，China)

Abstract: Through analyzed the hidden troubles that exist in industrial ethernet， discussed the intrusion detection system used in industrial ethernet simply.

Key words: coal mining; hidden trouble; industrial ethernet; intrusion detection system

1 引言

隨著信息化推動工業(yè)化進程的加速，越來越多的計算機和網絡通信技術被應用于工業(yè)控制網絡中。近年來，一直被廣泛用于商業(yè)網絡的以太網技術在高速發(fā)展，正從商業(yè)化走向工業(yè)自動化，發(fā)展成為被工業(yè)控制網絡廣泛使用的工業(yè)以太網技術。工業(yè)以太網的應用不但可降低成本，還可實現(xiàn)更緊密的系統(tǒng)集成，有利于更大范圍的信息共享和管理。[3]但由于在工業(yè)以太網控制系統(tǒng)中遠程用戶可以通過Internet對現(xiàn)場設備的運行狀態(tài)進行監(jiān)控，因此在系統(tǒng)中必然存在著現(xiàn)場設備、現(xiàn)場監(jiān)控機、數(shù)據(jù)庫服務器、Web服務器以及遠程監(jiān)控主機之間的數(shù)據(jù)通信，在各個數(shù)據(jù)通信環(huán)節(jié)中都可能存在著被未授權的用戶入侵和數(shù)據(jù)被竊取等安全隱患，特別是遠程監(jiān)控主機通過Internet與現(xiàn)場工業(yè)以太網控制系統(tǒng)之間的數(shù)據(jù)通信必將面臨著嚴峻的網絡安全的考驗。

2 工業(yè)以太網的簡單介紹及其安全分析

一個完整的工業(yè)控制系統(tǒng)大體上可以分為三個層次，從上到下依次分為信息管理層、過程監(jiān)控層和現(xiàn)場設備層，如圖1所示。信息管理層主要用于企業(yè)的生產調度，企業(yè)經營管理等各方面信息的傳輸;過程監(jiān)控層主要是將現(xiàn)場的各種信息保存在實時數(shù)據(jù)庫中，實現(xiàn)現(xiàn)場數(shù)據(jù)的存儲、管理、查詢等;現(xiàn)場設備層主要用于控制系統(tǒng)中大量現(xiàn)場設備之間測量與控制信息的傳輸。[4]由于技術上的陳舊及使用傳輸協(xié)議的不同，導致傳統(tǒng)的工業(yè)控制網絡中層與層，甚至同層的不同設備之間相互通信非常不方便，這在很多場合已不能滿足現(xiàn)實的需要，大大限制了生產效率的提高，束縛了企業(yè)的發(fā)展。而工業(yè)以太網以其“成本低，帶寬高，易連接，易管理”等優(yōu)勢在工業(yè)控制領域發(fā)展很快，工業(yè)以太網取代傳統(tǒng)的現(xiàn)場總線控制系統(tǒng)已成為業(yè)界的共識。

工業(yè)以太網在繼承以太網優(yōu)勢的同時也給控制網絡帶來了諸多的安全問題，這些問題有些是工業(yè)以太網自身的缺陷造成的(如CSMA/CD機制本身的限制)，有些卻是來自人為的攻擊。但總體上來講，工業(yè)以太網的安全威脅主要可以分為內部和外部兩個方面。內部的威脅主要有網絡本身故障、本地用戶對設備控制系統(tǒng)的攻擊或技術資料的竊取等。外部的威脅主要有非授權用戶(如黑客)對網絡的入侵，對網絡中敏感數(shù)據(jù)的盜取，惡意程序或病毒對網絡的破壞等。不管是外部的入侵還是內部的破壞，都會工業(yè)生產帶來不利的影響，嚴重時甚至造成生產事故。

為了保護工業(yè)以太網的安全，除了在網絡內部署防病毒等軟件，大多數(shù)的企業(yè)把網絡的安全放在了防火墻身上。防火墻在目前的工業(yè)以太網安全方面功不可沒，但隨著攻擊技術的日趨成熟，攻擊工具與方法的日趨復雜多樣，防火墻己無法滿足對安全高度敏感的工業(yè)以太網的需要，在使用的過程中也逐漸暴露出了其不足和弱點，主要有以下幾個方面:

1) 傳統(tǒng)的防火墻在工作時，入侵者可以仿造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門。

2) 防火墻完全不能防止來自網絡內部的襲擊。

3) 由于防火墻性能上的限制，通常它不具備實時監(jiān)控的能力。

4) 不能防御新出現(xiàn)的威脅，不能防御數(shù)據(jù)驅動的攻擊。

5) 防火墻對病毒的侵襲無能為力。

6) 靜態(tài)安全技術，需要人工來實施和維護，不能主動跟蹤入侵者。

所以，防火墻并不是完全的網絡安全防護手段，要保護工業(yè)以太網的安全，就必須結合其它的安全措施。

3 入侵檢測系統(tǒng)

入侵檢測(Intrusion Detection)，顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點的收集信息并對其進行分析，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(Intrusion Detection System，簡稱IDS)，其系統(tǒng)工作原理如圖2所示。事件信息通過信息收集器進行收集，簡單處理后交給事件分析器進行分析，響應單元根據(jù)分析的結果做出響應。入侵檢測系統(tǒng)不僅可以使系統(tǒng)管理員時刻了解網絡系統(tǒng)(包括程序、文件和硬件設備等)的任何變更，還能給網絡安全策略的制訂提供依據(jù)。概括起來，入侵檢測系統(tǒng)可以提供以下幾個方面的功能:

1) 監(jiān)視、分析系統(tǒng)用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權操作;

2) 監(jiān)測系統(tǒng)安全漏洞，提示管理員修復漏洞;

3) 識別反映已知進攻的活動模式并向相關人士報警;

4) 檢查系統(tǒng)的一致性和正確性;

5) 實時對攻擊行為做出反應;

6) 對操作系統(tǒng)審計跟蹤管理，并識別用戶違反安全策略的行為。

由此我們可以看到入侵檢測系統(tǒng)的許多功能是防火墻和防病毒軟件所不具備的，對于安全性能要求比較高的工業(yè)以太網，IDS是我們一個比較好的選擇。煤礦行業(yè)是一個比較特殊的行業(yè)，對各種設備的要求比較苛刻，在以太網的安全方面更是嚴格，為了保護煤礦工業(yè)以太網的安全，我們看一看IDS在煤礦工業(yè)以太環(huán)中的部署，見圖3。

從圖3我們可以看到在煤礦工業(yè)以太網中，入侵檢測系統(tǒng)分別部署在兩級防火墻之后，對流經防火墻的信息進行實時掃描，當一些外部的攻擊繞過防火墻或一些攻擊防火墻無法阻擋時，入侵檢測系統(tǒng)便會根據(jù)預先制定的安全策略對這些攻擊做出響應。IDS會根據(jù)攻擊特征的不同做出的不同響應，有些是聲音報警提示系統(tǒng)安全人員注意網絡安全，有些則是把檢測到的入侵信息記錄到數(shù)據(jù)庫中供相關工作管理人員查詢參考，為下一步的網絡安全策略制定提供依據(jù)。入侵檢測系統(tǒng)的防護功能彌補了防火墻的一些缺點，使煤礦工業(yè)以太網的安全性能大為增強。

4 結論

工業(yè)以太網已成為當前自動化技術領域的熱門技術，具有遠程監(jiān)控功能的工業(yè)以太網控制系統(tǒng)具有廣闊的應用前景和研究價值，它對自動化系統(tǒng)的體系結構和控制方式的發(fā)展具有巨大的推動作用。然而，工業(yè)以太網控制系統(tǒng)同時也必然存在著各種網絡安全隱患，這些安全隱患隨時威脅著系統(tǒng)的正常運行。因此，在工業(yè)以太網控制系統(tǒng)設計過程中需要采用一些安全技術來盡量消除這些安全隱患。[5]工業(yè)以太網的安全是動態(tài)的系統(tǒng)工程，入侵檢測系統(tǒng)是網絡安全整體解決方案的重要一環(huán)，可以而且應該將其融入到整體防御體系之中與目前的安全設備協(xié)同工作，共同保護我們的網絡安全。本文從工業(yè)以太網的安全狀況、防火墻的缺陷、入侵檢測系統(tǒng)的優(yōu)點等方面入手，簡單分析了入侵檢測系統(tǒng)在工業(yè)以太網中的應用及其具體部署，入侵檢測系統(tǒng)在工業(yè)以太網中的應用必將對網絡系統(tǒng)提供有效的安全性保護。

參考文獻:

[1] 郭孟，錢江.一種工業(yè)以太網的控制網絡安全模型設計[J].微計算機信息，2008.

[2] 李世銀，錢建生.煤礦工業(yè)以太網網絡模型研究及應用[J].華中科技大學學報，2007.

[3] 彭杰，應啟戛.工業(yè)以太網的安全性研究[J].儀器儀表學報，2004.

[4] 任愷.工業(yè)以太網安全性初探[J].科協(xié)論壇，2008.

[5] 康軍，戴冠中.工業(yè)以太網控制系統(tǒng)安全性問題研究[J].信息與控制，2007.