郭慶,寧玲玲
(1.濟(jì)南沃茨數(shù)控機(jī)械有限公司,山東濟(jì)南,250001;2.山東工程職業(yè)技術(shù)大學(xué),山東濟(jì)南,250200)
作為信息安全的重要組成部分,入侵檢測(cè)技術(shù)不同于傳統(tǒng)的被動(dòng)保護(hù)防火墻技術(shù)。入侵檢測(cè)技術(shù)可以抵御實(shí)時(shí)攻擊,包括實(shí)時(shí)監(jiān)視和分析數(shù)據(jù)。通過節(jié)流或模擬來檢測(cè)已知和未知的攻擊,并早期警告一些威脅或異常系統(tǒng)行為,以便安全管理員可以及時(shí)采取保護(hù)措施。
本文中預(yù)期的詳細(xì)工業(yè)防盜所需的可視化優(yōu)化系統(tǒng)功能包括:(1)收集信息的一般功能。當(dāng)在各種工業(yè)控制系統(tǒng)中使用時(shí),應(yīng)該包括系統(tǒng)數(shù)據(jù)的收集。(2) 對(duì)系統(tǒng)狀態(tài)數(shù)據(jù)、過程數(shù)據(jù)和其他相關(guān)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控,使用戶能更容易測(cè)試各種系統(tǒng)操作模式。(3)離線模擬是一種交互式的入侵檢測(cè)可視化功能,可以提供一個(gè)交互式的仿真界面,在第一次檢測(cè)到入侵時(shí)打開黑盒模式,并將角色引入系統(tǒng),始終通過人機(jī)交互進(jìn)行優(yōu)化。(4) 利用在線異常檢測(cè)活動(dòng),離線建模,優(yōu)化入侵檢測(cè)模型。(5) 數(shù)據(jù)記錄、報(bào)警和響應(yīng)功能。當(dāng)系統(tǒng)檢測(cè)到攻擊時(shí),需要記錄相應(yīng)的異常信息,及時(shí)發(fā)送警告信號(hào),并在必要時(shí)采取適當(dāng)?shù)拇胧?6)功能數(shù)據(jù)存儲(chǔ)。此功能使用集中式存儲(chǔ)庫存儲(chǔ)系統(tǒng)中的各種數(shù)據(jù),并根據(jù)需要向其他模塊提供數(shù)據(jù)資源。
可視化優(yōu)化系統(tǒng)架構(gòu)旨在根據(jù)圖1所示系統(tǒng)的基本功能和其他要求,采用分層結(jié)構(gòu)的模式來檢測(cè)工業(yè)控制系統(tǒng)中的干擾。
如圖1所示,該系統(tǒng)結(jié)構(gòu)主要由數(shù)據(jù)收集層、業(yè)務(wù)績效層和應(yīng)用程序屏幕層組成,每層的功能如下:數(shù)據(jù)收集層主要從節(jié)點(diǎn)收集數(shù)據(jù),通過輪詢對(duì)象調(diào)度實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù),并將其存儲(chǔ)在用于業(yè)務(wù)功能層和系統(tǒng)顯示層操作的輪詢數(shù)據(jù)庫。業(yè)務(wù)績效水平是系統(tǒng)的重要組成部分,基本上由三個(gè)部分組成:離線視覺系統(tǒng)仿真、入侵檢測(cè)和系統(tǒng)數(shù)據(jù)的實(shí)時(shí)監(jiān)控。離線建模系統(tǒng)的一部分是基于歷史數(shù)據(jù)庫數(shù)據(jù)創(chuàng)建模型,包括四個(gè)過程:數(shù)據(jù)處理映射、關(guān)鍵屬性選擇、可視化的交互式映射以及完成評(píng)估?;ヂ?lián)網(wǎng)搜索需要使用獨(dú)立組件的模型,組件發(fā)布的記錄模型實(shí)時(shí)顯示系統(tǒng)收集的數(shù)據(jù)。當(dāng)檢測(cè)到異常時(shí),會(huì)觸發(fā)適當(dāng)?shù)木瘓?bào),并指示相關(guān)人員采取適當(dāng)?shù)陌踩胧?。?shí)時(shí)跟蹤主要關(guān)注涉及到的物理對(duì)象,實(shí)時(shí)過程數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)在已處理的應(yīng)用程序級(jí)別顯示。應(yīng)用程序屏幕層主要包含可視化模擬部分、過程控制部分、實(shí)時(shí)系統(tǒng)狀態(tài)數(shù)據(jù)記錄、警報(bào)屏幕共享以及通過交互式屏幕界面與用戶系統(tǒng)進(jìn)行交互等功能。交互主要包括與用戶登錄系統(tǒng)相關(guān)的參數(shù),例如配置模擬過程和輪詢過程中的交互用戶人員。
圖1 工控系統(tǒng)入侵檢測(cè)可視化優(yōu)化系統(tǒng)架構(gòu)
(1)節(jié)點(diǎn)數(shù)據(jù)采集方法:系統(tǒng)節(jié)點(diǎn)可以分為基于Windows的節(jié)點(diǎn)和基于Linux的節(jié)點(diǎn)?;赪indows系統(tǒng)收集主機(jī)數(shù)據(jù),例如CPU使用率、內(nèi)存使用率和性能,可以通過任務(wù)管理器間接獲得,也可以直接用于提供系統(tǒng)API應(yīng)用程序的功能。而基于Linux系統(tǒng)上收集的主機(jī)數(shù)據(jù),可以使用諸如top之類的命令間接獲得,也可以通過直接在虛擬文件系統(tǒng)/過程下計(jì)算信息來獲得。(2)網(wǎng)絡(luò)數(shù)據(jù)采集方法:指示特定網(wǎng)絡(luò)的健康狀況,例如用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)連接、狀態(tài)數(shù)據(jù)(例如網(wǎng)絡(luò)延遲數(shù)據(jù)包丟失)和操作數(shù)據(jù)(例如數(shù)據(jù)流和負(fù)載),此數(shù)據(jù)收集通常需要接收和發(fā)送在線軟件包。工業(yè)控制系統(tǒng)的一般結(jié)構(gòu),開放主要是針對(duì)工業(yè)以太網(wǎng)和CAN總線。(3)應(yīng)用數(shù)據(jù)采集方法:應(yīng)用程序數(shù)據(jù)是與平臺(tái)操作有關(guān)的數(shù)據(jù),出于調(diào)查目的,應(yīng)通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包
來獲取此數(shù)據(jù)。數(shù)據(jù)管理應(yīng)用程序可以應(yīng)用于所有數(shù)據(jù)生成節(jié)點(diǎn),通過從配對(duì)設(shè)備收集通信數(shù)據(jù)來收集。有許多方法可以幫助查找數(shù)據(jù),在Linux上,使用libpcap庫程序,在Windows上,使用winpcap庫程序。
視覺分析和干擾模塊可以使用此方法根據(jù)基本的視覺優(yōu)化和數(shù)據(jù)處理技術(shù),交互式選擇來開發(fā)工業(yè)噪聲控制模型,并實(shí)現(xiàn)高精度分析,通過選擇算法并對(duì)其進(jìn)行評(píng)估來進(jìn)行的優(yōu)化,該模型可用于實(shí)時(shí)進(jìn)行詳細(xì)的在線入侵。
可視化入侵該系統(tǒng)的計(jì)算機(jī)系統(tǒng)是在以Python語言開發(fā)的Django平臺(tái)上設(shè)計(jì)和實(shí)現(xiàn)的。Django是一個(gè)使用Python編寫的開源在線開發(fā)環(huán)境,使用MT設(shè)計(jì)模式。該模型負(fù)責(zé)與用于定義數(shù)據(jù)模型的基礎(chǔ)數(shù)據(jù)庫進(jìn)行交互。該模板用于存儲(chǔ)各種HTML頁面,并用于由用戶可視地呈現(xiàn)頁面。顯示器是主要組件,負(fù)責(zé)與單個(gè)用戶一起工作,需要業(yè)務(wù)的需求和邏輯。 MVT之間的邏輯關(guān)系如圖2所示。
圖2 顯示典型的應(yīng)用程序處理流程。
圖2 MVT關(guān)系圖
(1)用戶提交HTTP請(qǐng)求進(jìn)行查看。(2)根據(jù)“查看性能”查詢執(zhí)行業(yè)務(wù)邏輯處理。(3)如有必要,可以使用顯示模板讀取或保存數(shù)據(jù)。(4)使用數(shù)據(jù)庫模型將數(shù)據(jù)從數(shù)據(jù)庫取回相關(guān)數(shù)據(jù)。(5)根據(jù)需要允許使用HTML頁面模板。(6)模型從視圖返回HTML頁面。(7)將HTML視圖頁面返回給用戶??梢晹?shù)據(jù)模塊主要記錄系統(tǒng)的過程控制過程,實(shí)時(shí)描述系統(tǒng)狀態(tài)的數(shù)據(jù)和報(bào)警信息。
數(shù)據(jù)存儲(chǔ)模塊在系統(tǒng)架構(gòu)中占有比較重要的位置,直接影響到系統(tǒng)功能模塊的數(shù)據(jù)訪問效率。由于MySQL數(shù)據(jù)庫具有降低開發(fā)成本的優(yōu)勢(shì),因此本文選擇了MySQL數(shù)據(jù)庫和InnoDB數(shù)據(jù)庫引擎。
主要介紹了測(cè)試系統(tǒng)的多功能性和合理性,本文檔中的信息層使用可公開獲得的CDD99數(shù)據(jù)集來使用數(shù)據(jù)檢測(cè)常見的網(wǎng)絡(luò)干擾。 CDD99數(shù)據(jù)集通常用于干擾檢測(cè),品牌培訓(xùn)數(shù)據(jù)集包含大約490萬個(gè)數(shù)據(jù)點(diǎn)。由于存在大量數(shù)據(jù),因此官方數(shù)據(jù)包由kddcup.data_10_percent.gz提供,可以提供大約490,000個(gè)數(shù)據(jù)樣本。本文提供的系統(tǒng)用于選擇數(shù)據(jù)集中的樣本數(shù)量,由于實(shí)驗(yàn)室資源有限,因此這部分實(shí)驗(yàn)還針對(duì)100,000人進(jìn)行測(cè)試,同時(shí)更加有意地加快實(shí)驗(yàn)過程。我們從490,000個(gè)數(shù)據(jù)中選擇數(shù)據(jù),然后從實(shí)踐中獲得100,000個(gè)數(shù)據(jù)(75,000個(gè)數(shù)據(jù)),并將其余14個(gè)(25,000個(gè)數(shù)據(jù))用作測(cè)試集。
在將CDD99數(shù)據(jù)庫放入數(shù)據(jù)庫之前,分析師會(huì)做一個(gè)簡單的工作。首先,卡號(hào)是數(shù)據(jù)集中的一組變量,以協(xié)議類型為例,涉及三種協(xié)議:TCP和UDP、ICMP,依此類推,有兩種方法來管理標(biāo)簽。第一種是將標(biāo)簽分為兩類,總體匹配為1,攻擊率為0,目標(biāo)是測(cè)試系統(tǒng),其他人具有檢測(cè)攻擊的能力。五個(gè)類別為:正常1,DOS;攻擊2,U2R;攻擊3,R2L;攻擊4;調(diào)查攻擊5,目的是測(cè)試系統(tǒng)檢測(cè)某些類型的攻擊的能力。數(shù)據(jù)映射完成后,我們將數(shù)據(jù)保存在本文介紹的數(shù)據(jù)庫中,并根據(jù)系統(tǒng)建模過程以可視方式對(duì)其進(jìn)行優(yōu)化,整個(gè)過程的步驟如下:根據(jù)第一種處理方式使用第一個(gè)標(biāo)記(通常,總體匹配1,攻擊0)。首先,通過單擊“標(biāo)準(zhǔn)化”按鈕對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,完成后,通過單擊“樣本數(shù)據(jù)”按鈕選擇,下拉菜單中的數(shù)據(jù)量意味著從訓(xùn)練和測(cè)試數(shù)據(jù)集中隨機(jī)選擇了100,000個(gè)數(shù)據(jù)。完成測(cè)試后,單擊“數(shù)據(jù)清理”以加快觀察速度,然后從下拉菜單中選擇“ 33矩陣傳播圖形狀”以直接查看和放大由系統(tǒng)或其主要組件運(yùn)行產(chǎn)生的圖像。
物理級(jí)別的實(shí)驗(yàn)數(shù)據(jù)發(fā)布了計(jì)劃,該計(jì)劃使用田納西-伊士曼平臺(tái)(一種工業(yè)控制系統(tǒng)的典型化學(xué)工業(yè))和田納西-伊斯特實(shí)驗(yàn)室的半物理建模平臺(tái)來收集研究數(shù)據(jù)。物理過程平臺(tái)包含一個(gè)簡單的田納西州化學(xué)反應(yīng)模型,以模擬實(shí)際的工業(yè)生產(chǎn),主要由四個(gè)閉環(huán)控制器、一個(gè)反應(yīng)器(用于化學(xué)反應(yīng)和氣體分離)和兩個(gè)入口管線組成。包括2個(gè)出口,4個(gè)閥。在數(shù)據(jù)收集過程中,通過中間模仿人的攻擊(在數(shù)據(jù)集中標(biāo)記為modbus)和在平臺(tái)上執(zhí)行的感官攻擊(通過對(duì)數(shù)據(jù)集進(jìn)行分類)收集了總共10,860個(gè)數(shù)據(jù)集。與信息層類似,提取3/4(8145數(shù)據(jù))作為訓(xùn)練集,其余的1/4(2715數(shù)據(jù))用作測(cè)試集。
物理級(jí)別的實(shí)驗(yàn)對(duì)應(yīng)于信息級(jí)別的實(shí)驗(yàn),并且簡要解釋了這一點(diǎn),以避免重復(fù)。同樣,分析人員最初會(huì)觸發(fā)數(shù)據(jù)集中無數(shù)變量數(shù)量的指示,主要是為了進(jìn)行標(biāo)簽匹配。日志數(shù)據(jù)的正態(tài)性和分布更加平衡,可以直接使用第二種處理方法。顯示數(shù)據(jù)完成后,將存儲(chǔ)在數(shù)據(jù)庫中。由于數(shù)據(jù)量很小,因此請(qǐng)標(biāo)準(zhǔn)化數(shù)據(jù)并自行清理。完成后,將自動(dòng)選擇方法。如果所選功能的數(shù)量為3,則交叉精度達(dá)到最大。在配置遞歸刪除算法的參數(shù)時(shí),功能數(shù)量設(shè)置為3,可以執(zhí)行三個(gè)最重要的功能:DATA_11,DATA_24,DATA_29。VM算法和KNN算法的分類效率。對(duì)于SVM算法,分析器在具有超參數(shù)的多項(xiàng)式內(nèi)核上定義其主要功能。如果懲罰因子C設(shè)置為1且伽瑪設(shè)置為0.1,則可以獲得較高的Huh管理性能得分。如果數(shù)據(jù)分布相對(duì)平衡,則測(cè)試用例的匹配率達(dá)到99.24%,根據(jù)完整的分類報(bào)告,可以看出該解決方案具有較高的匹配率和較高的恢復(fù)率,可能會(huì)識(shí)別出特定的AndModbus,攻擊和正常的直接識(shí)別能力達(dá)到100%。結(jié)果表明,本文預(yù)測(cè)的視覺優(yōu)化系統(tǒng)可以有效地攻擊攻擊者的物理層,并檢測(cè)某些類型的攻擊。如果選擇了KNN算法,則可以從KNN獲取分類分析報(bào)告,在此不再贅述。
在田納西州在線測(cè)試平臺(tái)上實(shí)施本文開發(fā)的工業(yè)控制系統(tǒng)入侵檢測(cè)器視覺優(yōu)化系統(tǒng)后,我們可以根據(jù)前文介紹的數(shù)據(jù)恢復(fù)模塊簡化平臺(tái)處理器和HMI內(nèi)存的使用,可以與控制器和nodetta中的其他節(jié)點(diǎn)集成,例如網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)延遲和網(wǎng)絡(luò)丟包狀態(tài),指標(biāo)可以被實(shí)時(shí)跟蹤并在線發(fā)布。為了無縫集成物理對(duì)象,在過程監(jiān)視期間,田納西州的模擬直接顯示在實(shí)時(shí)數(shù)據(jù)中,并且可以識(shí)別特定的控制數(shù)據(jù),例如傳感器和控制器。
隨著工業(yè)控制系統(tǒng)潛在安全威脅的增加,信息安全問題變得越來越重要。入侵檢測(cè)是工業(yè)控制系統(tǒng)信息安全的重要組成部分,是研究熱點(diǎn)之一。最近在國內(nèi)外,可視化優(yōu)化技術(shù)旨在通過視頻與人工智能緊密集成,有機(jī)地將人類的感知、理解和分析技能與功能強(qiáng)大的計(jì)算機(jī)和存儲(chǔ)系統(tǒng)的功能結(jié)合在一起,以幫助人們不斷發(fā)現(xiàn)并適應(yīng)當(dāng)前情況。盡管在工業(yè)控制系統(tǒng)的入侵檢測(cè)領(lǐng)域中已經(jīng)對(duì)視覺優(yōu)化進(jìn)行了研究,但對(duì)于實(shí)際應(yīng)用而言,在工業(yè)控制系統(tǒng)中實(shí)現(xiàn)搜索引擎優(yōu)化非常重要,因?yàn)榫哂懈邤?shù)據(jù)性能和交互功能的入侵檢測(cè)水平。