一種面向工業(yè)控制系統(tǒng)的改進CUSUM入侵檢測方法*

李紹暉，劉紀偉

（國家計算機網絡與信息安全管理中心河北分中心，河北 石家莊 050021）

一種面向工業(yè)控制系統(tǒng)的改進CUSUM入侵檢測方法*

李紹暉，劉紀偉

（國家計算機網絡與信息安全管理中心河北分中心，河北 石家莊 050021）

針對CUSUM異常檢測算法在入侵檢測應用中存在的固定偏移常數(shù)和固定檢測門限的問題，結合工業(yè)控制系統(tǒng)高實時性和高可用性的要求，提出一種面向工業(yè)控制系統(tǒng)、具有自適應特征的改進非參數(shù) CUSUM（D-CUSUM）入侵檢測方法。與以往憑經驗設置固定值不同，算法基于概率論中著名的柯爾莫哥洛夫不等式理論重新設計了非參數(shù)CUSUM偏移常數(shù)β的生成方法，通過外部參數(shù)-告警控制參數(shù)動態(tài)設置 CUSUM算法的檢測門限τN，使β和τN具有自適應特性。在基于 MATLAB Simulink的溫度控制系統(tǒng)攻擊仿真實驗中，證明改進的非參數(shù) CUSUM異常檢測算法能夠改善檢測的實時性和誤報率，實現(xiàn)對工業(yè)控制系統(tǒng)的低誤報率實時入侵檢測。

工業(yè)控制系統(tǒng)；入侵檢測；非參數(shù)CUSUM算法；自適應檢測

0　引言

工業(yè)控制系統(tǒng)（Industry Control Systems，ICS）是國家基礎設施的重要組成部分，被廣泛應用于電力、交通、水利、石油化工、核能、航空等領域，是這些重要基礎設施穩(wěn)定運行的“大腦”。隨著信息技術的發(fā)展以及工業(yè)與信息化的深度融合，現(xiàn)代工業(yè)控制系統(tǒng)越來越多地采用通用的TCP/IP協(xié)議及操作系統(tǒng)，同辦公系統(tǒng)等其他信息系統(tǒng)的連接也越來越多。由于工業(yè)控制系統(tǒng)在實時性、穩(wěn)定性方面的特殊性，造成了在應用信息技術時忽略了網絡安全因素，加之工業(yè)控制系統(tǒng)自身的漏洞并未得到足夠的重視，使得目前工業(yè)控制系統(tǒng)面臨的安全威脅日益嚴重。2010年爆發(fā)的“震網病毒”（Stuxnet）是第一個被檢測出來專門攻擊破壞工業(yè)控制系統(tǒng)的病毒，“震網病毒”造成伊朗鈾濃縮工廠多臺離心機損壞，布什爾核電站因此推遲啟動[1]。2011年和 2012年，又相繼發(fā)現(xiàn)了“Duqu病毒”和“火焰病毒”，但與“震網病毒”不同的是，前者主要目的是造成工業(yè)破壞，而后兩者則被用來收集與其攻擊目標有關的各種情報。由此充分說明，針對工業(yè)控制系統(tǒng)的復雜信息安全攻擊已經成為現(xiàn)實。

ICS系統(tǒng)安全防護技術手段主要有防火墻技術、入侵檢測技術、ICS系統(tǒng)漏洞挖掘技術、風險評估技術等。后兩者并不能提供實時的網絡安全防護，防火墻雖然能夠有效地阻止來自外部的攻擊，但不能防止來自ICS系統(tǒng)內部的攻擊，入侵檢測技術被稱為防火墻之后的第二道安全閘門，可實現(xiàn)對內、外部入侵的實時檢測。

本文對異常檢測技術中的非參數(shù)CUSUM算法進行改進，重新設計算法中偏移常數(shù)的生成方法，提出具有自適應特征的動態(tài)檢測門限設置規(guī)則，給出改進算法（D-CUSUM）在 ICS系統(tǒng)入侵檢測中的應用，通過仿真實驗給出算法的檢測性能分析。

1　相關研究

目前，對ICS網絡安全的研究整體還處于起步階段，本節(jié)主要介紹CUSUM算法在入侵檢測技術以及ICS入侵檢測中應用的相關研究。

文獻[2]通過將網絡劃分成多個簇，在各簇設置單獨的自治網絡管理單元，在各自治網絡管理單元上部署基于CUSUM算法的入侵檢測系統(tǒng)，實現(xiàn)檢測DDoS攻擊的目的。文獻[3]針對無線傳感器網絡的特征，分別研究多級CUSUM算法、基于信噪比的CUSUM算法以及統(tǒng)計CUSUM算法，用于對無線傳感器網絡攻擊的檢測。張云貴等在文獻[4－5]中研究了 CUSUM異常檢測算法在工業(yè)控制系統(tǒng)入侵檢測中的應用。

上述研究中采用的都是基于固定檢測門限的CUSUM算法，并且通常憑經驗值設置固定的偏移常數(shù)。針對這一問題，本文基于概率論理論提出一種自適應的偏移常數(shù)生成方法，給出具有自適應特征的動態(tài)檢測門限設置規(guī)則。仿真結果證明本文算法明顯提升了ICS入侵檢測技術的性能。

2　算法的改進

2.1CUSUM算法描述

CUSUM異常檢測算法是一種序貫分析法，由劍橋大學的 E.S.Page于1954年提出，是工業(yè)控制過程異常監(jiān)控的常用算法，它可以檢測到一個統(tǒng)計過程均值的變化。CUSUM算法基于這樣一個事實：如果有變化發(fā)生，則隨機序列的概率分布也會發(fā)生改變。

令 X={x1，x2，…，xt，xt+1，xt+2，xt+3，…}為獨立隨機變量序列，其中 X1={x1，x2，…，xt}服從 N(0，1)分布，X2={xt+1，xt+2，xt+3，…}服從 N(δ，1)分布，t為未知變點。令 φ(x)表示標準正態(tài)分布 N(0，1)的概率密度函數(shù)，即 φ(x)=，對于給定的觀察序列={x1，x2，…，xn}，假設t=v(v＜n)，則隨機序列對于t=∞情形的似然比統(tǒng)計量為：

假設序列X1與X2有偏移，那么序列的對數(shù)似然統(tǒng)計量為：

假設檢測的為向上偏移，即δ＞0，則上述的對數(shù)似然統(tǒng)計量等價于如下結果：

式(3)是CUSUM算法的標準形式。

以上為標準CUSUM算法。

2.2非參數(shù)CUSUM算法

應用CUSUM算法需要事先知道隨機序列的參數(shù)模型（如隨機序列服從標準正態(tài)分布等），以便使用概率密度函數(shù)來監(jiān)控序列。正常情況下，工業(yè)控制系統(tǒng)中傳感器的預測值可通過數(shù)學模型或經驗公式獲得，但網絡攻擊的概率分布卻難以獲得，也就無法得知攻擊狀態(tài)下監(jiān)控序列的概率分布，所以需要一種模型無關的檢測算法。而非參數(shù)CUSUM算法主要是累積明顯比正常情況下的平均水平高的Xn值，不需要具體的模型，并且能夠以連續(xù)方式監(jiān)控輸入的隨機變量，從而達到實時檢測。非參數(shù)CUSUM算法的定義為：

由式(4)可知：

即得到：

上式為非參數(shù)CUSUM算法的遞歸形式。

非參數(shù)CUSUM算法不要求檢測序列的概率分布，但要求檢測序列{xn}在正常情況下具有負的期望值E(X)＜0，變化發(fā)生后具有正的期望值 E(X)＞0，這是應用非參數(shù)CUSUM算法的前提條件。

2.3自適應設置檢測門限的改進非參數(shù) CUSUM算法（D-CUSUM）

2.3.1數(shù)據預處理

令獨立隨機變量序列 X={x1，x2，x3，…}表示輸入數(shù)據。由2.2節(jié)可知，非參數(shù)CUSUM算法要求樣本序列的數(shù)學期望值為負值，為了保證滿足這一條件，需要對數(shù)據進行預處理，通常做法是設置一個偏移常數(shù) β，令= X－β，使?jié)M足正常狀態(tài)下 E()＜0。目前 ICS系統(tǒng)非參數(shù)CUSUM入侵檢測算法大多設置固定的偏移常數(shù)，本文算法與其不同，基于概率論中著名的柯爾莫哥洛夫（Kolmogorov）不等式生成偏移常數(shù)β。主要步驟如下：

(1)對原始數(shù)據 X的均值 μn(n=2，3，…)和方差(n=2，3，…)進行在線估計和更新。具體方法為：

其中 α為指數(shù)加權滑動平均 EWMA(Exponentially Weighted Moving Average)系數(shù)。

當數(shù)據出現(xiàn)異常并產生告警時，μn=μn－1，σn=σn－1。

(2)生成偏移常數(shù) β，對原始數(shù)據 X進行預處理，得到序列={，n=1，2，3，…}，使 E()＜0。具體方法如下：

由柯爾莫哥洛夫不等式可知，對任意的ε＞0，有：

2.3.2自適應設置檢測門限

為了降低處理開銷，本文算法采用非參數(shù)CUSUM算法的遞歸形式，處理過程如下：由式(9)可知：

其中，T0表示系統(tǒng)處于正常狀態(tài)，T1表示系統(tǒng)處于異常狀態(tài)。表示在時刻n針對閾值τN的檢測結果。令N表示算法停止時間，即檢測到異常發(fā)生的時間，可得：

具體的異常檢測步驟如下：

(2)讀取 xn(n≥L)，令 xL=xn，利用數(shù)據預處理模塊計算{x1，x2，x3，…，xL}的均值 μn與標準偏差 σn(n=1，2，3，…，L)，生成偏移常數(shù)，得到，由計算累積和。

(3)設置 τN的值，如果，重新賦值K；如果，重新賦值 τN=ρ×(τN+×K)。

(4)計算 dN，若≥τN，dN=T1，產生告警；若＜τN，dN= T0，系統(tǒng)正常。

(5)讀取 xn+1，重復步驟(2)～(4)，開始下一輪檢測。

(6)算法結束。

需要指出的是，在步驟(4)中算法設計引入了閾值系數(shù)ρ與告警控制參數(shù)K。對這兩個參數(shù)的設置要求比較寬松，取決于用戶對虛警概率和異常檢測時延的要求。增大ρ、K的取值，可以在一定范圍內降低虛警概率，但同時也增加了檢測時延。

3　算法的應用及仿真

本節(jié)研究了上述改進算法（D－CUSUM）在溫度控制系統(tǒng)入侵檢測中的應用。實驗應用MATLAB Simulink仿真環(huán)境搭建溫度控制系統(tǒng)，模擬攻擊者對某一溫度傳感器實施攻擊。

令xn和τN表示該溫度傳感器在時刻n的測量值和告警閾值。正常情況下，序列{xn}是均值平穩(wěn)序列，攻擊發(fā)生時，病毒修改傳感器的測量值，序列均值發(fā)生明顯變化。實驗仿真針對 ICS的幾何攻擊[8]，其攻擊特征為：=xn+ηγn-k，其中 0＜γ＜1。攻擊從 k=0時刻開始。開始時，傳感器信號變化微小，當 k＞n后，攻擊突然大幅增加，傳感器的測量信號會突然變大，如果在這之前，沒有檢測到攻擊的發(fā)生，會對 ICS的安全帶來威脅，甚至對實際生產過程造成損害。

假設正常情況下溫度傳感器的測量值為(1 000±20)℃，超過1 020℃就會造成物理損壞。幾何攻擊參數(shù)設置為：η=20，n=100，γ=0.817。EWMA平滑因子α=0.98，累積和計算長度L=50，采樣周期 Ts=100 s。圖1給出了(ρ，K)= (0.5，4)時的結果。

從圖1中可以看出，在時刻k=100Ts時，溫度傳感器達到了ICS允許的最大溫度值。采用本文算法DCUSUM檢測系統(tǒng)，在時刻k=81Ts時檢測到異常，系統(tǒng)告警，ICS遭到攻擊；采用固定門限 CUSUM算法[8]，在時刻k=90Ts系統(tǒng)告警。由此可見，在本文仿真環(huán)境下，本算法能在 ICS系統(tǒng)產生物理損壞前 19Ts=1 900 s發(fā)出告警，在檢測實時性方面優(yōu)于固定門限算法 90Ts-81Ts=9Ts= 900 s。

圖1　入侵檢測仿真結果

4　結論

本文根據工業(yè)控制系統(tǒng)高實時性和高可用性的要求，針對CUSUM異常檢測算法存在的固定偏移常數(shù)和固定檢測門限問題，提出了一種面向工業(yè)控制系統(tǒng)、具有自適應特征的非參數(shù)CUSUM（D-CUSUM）入侵檢測方法。算法的自適應特征體現(xiàn)在兩點：(1)基于柯爾莫哥洛夫不等式理論設置非參數(shù) CUSUM偏移常數(shù) β；(2)通過外部參數(shù)-告警控制參數(shù)動態(tài)設置檢測門限τN。針對溫度控制系統(tǒng)的攻擊仿真實驗結果證明，本文提出的改進算法改善了檢測的實時性和誤報率，能夠實現(xiàn)對工業(yè)控制系統(tǒng)的低誤報率實時入侵檢測。

[1]李戰(zhàn)寶，潘卓.透視“震網”病毒[A].第 26次全國計算機安全學術交流會論文集[C]，2011.

[2]Patrick P C Lee，Tian Bu，Thomas Woo.On the detection of signaling DoS attacks on 3G wireless networks[J].Computer Network，2009，53(15)：2601-2606.

[3]Xiao Zhenghong，Chen Zhigang，Deng Xiaoheng.Anomaly detection based on a multi-class CUSUM algorithm for WSN[J].Journal of Computers，2010，5(2)：306-313.

[4]張云貴，趙華，王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測方法[J].東南大學學報(自然科學版)，2012，42 (A01)：55-59.

[5]張云貴，佟為明，趙永麗.CUSUM異常檢測算法改進及在工控系統(tǒng)入侵檢測中的應用[J].冶金自動化，2014，38 (5)：1-5.

An improved CUSUM algorithm in intrusion detection for industry control systems

Li Shaohui，Liu Jiwei
(Network and Information Security Administration Center Hebei Center，Shijiazhuang 050021，China)

In order to solve the two problems of fixed threshold and offset constant,an improved non-parameter CUSUM(D-CUSUM) intrusion dentection algorithm for industry control systems which require high real-time and availability was proposed in this paper.Unlike to set a fixed value with previous experience,the algorithm redesigned the generation method of non parameter CUSUM offset constant β based on the theory of the famous Kolmogorov inequality.The CUSUM detection threshold τNwas dynamically set using an alarm control parameter.Now,the β and τNhave adaptive characteristics.In the simulation experiment of attacking temperature control system based on MATLAB Simulink,the results prove that the algorithm can improve the real-time and false alarm rate performance of detection and realize the real-time intrusion detection at a low false alarm rate.

industry control system；intrusion detection；non-parameter CUSUM algorithm；adaptive detection

TP309

A

10.16157/j.issn.0258-7998.2015.09.032

河北省互聯(lián)網應急中心創(chuàng)新基金（20150504）

2015-05-14)

李紹暉（1972-），男，碩士，高級工程師，主要研究方向：網絡安全、信息內容安全等。

劉紀偉（1986-），通信作者，男，碩士，工程師，主要研究方向：移動互聯(lián)網關鍵技術、網絡安全等，E-mail：liujiweicn@163.com。

中文引用格式：李紹暉，劉紀偉.一種面向工業(yè)控制系統(tǒng)的改進CUSUM入侵檢測方法[J].電子技術應用，2015，41(9)：118-121.

英文引用格式：Li Shaohui，Liu Jiwei.An improved CUSUM algorithm in intrusion detection for industry control systems[J].Application of Electronic Technique，2015，41(9)：118-121.