可視化優(yōu)化技術(shù)在工業(yè)控制系統(tǒng)入侵檢測(cè)中的研究與應(yīng)用

郭慶，寧玲玲

（1.濟(jì)南沃茨數(shù)控機(jī)械有限公司，山東濟(jì)南，250001；2.山東工程職業(yè)技術(shù)大學(xué)，山東濟(jì)南，250200）

作為信息安全的重要組成部分，入侵檢測(cè)技術(shù)不同于傳統(tǒng)的被動(dòng)保護(hù)防火墻技術(shù)。入侵檢測(cè)技術(shù)可以抵御實(shí)時(shí)攻擊，包括實(shí)時(shí)監(jiān)視和分析數(shù)據(jù)。通過節(jié)流或模擬來檢測(cè)已知和未知的攻擊，并早期警告一些威脅或異常系統(tǒng)行為，以便安全管理員可以及時(shí)采取保護(hù)措施。

1 工業(yè)控制系統(tǒng)入侵檢測(cè)可視化優(yōu)化系統(tǒng)需求分析

本文中預(yù)期的詳細(xì)工業(yè)防盜所需的可視化優(yōu)化系統(tǒng)功能包括：(1)收集信息的一般功能。當(dāng)在各種工業(yè)控制系統(tǒng)中使用時(shí)，應(yīng)該包括系統(tǒng)數(shù)據(jù)的收集。(2) 對(duì)系統(tǒng)狀態(tài)數(shù)據(jù)、過程數(shù)據(jù)和其他相關(guān)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，使用戶能更容易測(cè)試各種系統(tǒng)操作模式。(3)離線模擬是一種交互式的入侵檢測(cè)可視化功能，可以提供一個(gè)交互式的仿真界面，在第一次檢測(cè)到入侵時(shí)打開黑盒模式，并將角色引入系統(tǒng)，始終通過人機(jī)交互進(jìn)行優(yōu)化。(4) 利用在線異常檢測(cè)活動(dòng)，離線建模，優(yōu)化入侵檢測(cè)模型。(5) 數(shù)據(jù)記錄、報(bào)警和響應(yīng)功能。當(dāng)系統(tǒng)檢測(cè)到攻擊時(shí)，需要記錄相應(yīng)的異常信息，及時(shí)發(fā)送警告信號(hào)，并在必要時(shí)采取適當(dāng)?shù)拇胧?6)功能數(shù)據(jù)存儲(chǔ)。此功能使用集中式存儲(chǔ)庫存儲(chǔ)系統(tǒng)中的各種數(shù)據(jù)，并根據(jù)需要向其他模塊提供數(shù)據(jù)資源。

2 工業(yè)控制系統(tǒng)入侵檢測(cè)可視化優(yōu)化系統(tǒng)架構(gòu)設(shè)計(jì)

可視化優(yōu)化系統(tǒng)架構(gòu)旨在根據(jù)圖1所示系統(tǒng)的基本功能和其他要求，采用分層結(jié)構(gòu)的模式來檢測(cè)工業(yè)控制系統(tǒng)中的干擾。

如圖1所示，該系統(tǒng)結(jié)構(gòu)主要由數(shù)據(jù)收集層、業(yè)務(wù)績效層和應(yīng)用程序屏幕層組成，每層的功能如下：數(shù)據(jù)收集層主要從節(jié)點(diǎn)收集數(shù)據(jù)，通過輪詢對(duì)象調(diào)度實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)數(shù)據(jù)，并將其存儲(chǔ)在用于業(yè)務(wù)功能層和系統(tǒng)顯示層操作的輪詢數(shù)據(jù)庫。業(yè)務(wù)績效水平是系統(tǒng)的重要組成部分，基本上由三個(gè)部分組成：離線視覺系統(tǒng)仿真、入侵檢測(cè)和系統(tǒng)數(shù)據(jù)的實(shí)時(shí)監(jiān)控。離線建模系統(tǒng)的一部分是基于歷史數(shù)據(jù)庫數(shù)據(jù)創(chuàng)建模型，包括四個(gè)過程：數(shù)據(jù)處理映射、關(guān)鍵屬性選擇、可視化的交互式映射以及完成評(píng)估?；ヂ?lián)網(wǎng)搜索需要使用獨(dú)立組件的模型，組件發(fā)布的記錄模型實(shí)時(shí)顯示系統(tǒng)收集的數(shù)據(jù)。當(dāng)檢測(cè)到異常時(shí)，會(huì)觸發(fā)適當(dāng)?shù)木瘓?bào)，并指示相關(guān)人員采取適當(dāng)?shù)陌踩胧?。?shí)時(shí)跟蹤主要關(guān)注涉及到的物理對(duì)象，實(shí)時(shí)過程數(shù)據(jù)和系統(tǒng)狀態(tài)數(shù)據(jù)在已處理的應(yīng)用程序級(jí)別顯示。應(yīng)用程序屏幕層主要包含可視化模擬部分、過程控制部分、實(shí)時(shí)系統(tǒng)狀態(tài)數(shù)據(jù)記錄、警報(bào)屏幕共享以及通過交互式屏幕界面與用戶系統(tǒng)進(jìn)行交互等功能。交互主要包括與用戶登錄系統(tǒng)相關(guān)的參數(shù)，例如配置模擬過程和輪詢過程中的交互用戶人員。

圖1 工控系統(tǒng)入侵檢測(cè)可視化優(yōu)化系統(tǒng)架構(gòu)

3 工業(yè)控制系統(tǒng)入侵檢測(cè)可視化優(yōu)化系統(tǒng)主要功能模塊設(shè)計(jì)及實(shí)現(xiàn)

■3.1 數(shù)據(jù)采集模塊

(1)節(jié)點(diǎn)數(shù)據(jù)采集方法：系統(tǒng)節(jié)點(diǎn)可以分為基于Windows的節(jié)點(diǎn)和基于Linux的節(jié)點(diǎn)?；赪indows系統(tǒng)收集主機(jī)數(shù)據(jù)，例如CPU使用率、內(nèi)存使用率和性能，可以通過任務(wù)管理器間接獲得，也可以直接用于提供系統(tǒng)API應(yīng)用程序的功能。而基于Linux系統(tǒng)上收集的主機(jī)數(shù)據(jù)，可以使用諸如top之類的命令間接獲得，也可以通過直接在虛擬文件系統(tǒng)/過程下計(jì)算信息來獲得。(2)網(wǎng)絡(luò)數(shù)據(jù)采集方法：指示特定網(wǎng)絡(luò)的健康狀況，例如用于數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)連接、狀態(tài)數(shù)據(jù)（例如網(wǎng)絡(luò)延遲數(shù)據(jù)包丟失）和操作數(shù)據(jù)（例如數(shù)據(jù)流和負(fù)載），此數(shù)據(jù)收集通常需要接收和發(fā)送在線軟件包。工業(yè)控制系統(tǒng)的一般結(jié)構(gòu)，開放主要是針對(duì)工業(yè)以太網(wǎng)和CAN總線。(3)應(yīng)用數(shù)據(jù)采集方法：應(yīng)用程序數(shù)據(jù)是與平臺(tái)操作有關(guān)的數(shù)據(jù)，出于調(diào)查目的，應(yīng)通過捕獲網(wǎng)絡(luò)數(shù)據(jù)包

來獲取此數(shù)據(jù)。數(shù)據(jù)管理應(yīng)用程序可以應(yīng)用于所有數(shù)據(jù)生成節(jié)點(diǎn)，通過從配對(duì)設(shè)備收集通信數(shù)據(jù)來收集。有許多方法可以幫助查找數(shù)據(jù)，在Linux上，使用libpcap庫程序，在Windows上，使用winpcap庫程序。

■3.2 可視化入侵檢測(cè)分析模塊

視覺分析和干擾模塊可以使用此方法根據(jù)基本的視覺優(yōu)化和數(shù)據(jù)處理技術(shù)，交互式選擇來開發(fā)工業(yè)噪聲控制模型，并實(shí)現(xiàn)高精度分析，通過選擇算法并對(duì)其進(jìn)行評(píng)估來進(jìn)行的優(yōu)化，該模型可用于實(shí)時(shí)進(jìn)行詳細(xì)的在線入侵。

■3.3 入侵檢測(cè)數(shù)據(jù)可視化模塊

可視化入侵該系統(tǒng)的計(jì)算機(jī)系統(tǒng)是在以Python語言開發(fā)的Django平臺(tái)上設(shè)計(jì)和實(shí)現(xiàn)的。Django是一個(gè)使用Python編寫的開源在線開發(fā)環(huán)境，使用MT設(shè)計(jì)模式。該模型負(fù)責(zé)與用于定義數(shù)據(jù)模型的基礎(chǔ)數(shù)據(jù)庫進(jìn)行交互。該模板用于存儲(chǔ)各種HTML頁面，并用于由用戶可視地呈現(xiàn)頁面。顯示器是主要組件，負(fù)責(zé)與單個(gè)用戶一起工作，需要業(yè)務(wù)的需求和邏輯。 MVT之間的邏輯關(guān)系如圖2所示。

圖2 顯示典型的應(yīng)用程序處理流程。

圖2 MVT關(guān)系圖

（1）用戶提交HTTP請(qǐng)求進(jìn)行查看。（2）根據(jù)“查看性能”查詢執(zhí)行業(yè)務(wù)邏輯處理。（3）如有必要，可以使用顯示模板讀取或保存數(shù)據(jù)。（4）使用數(shù)據(jù)庫模型將數(shù)據(jù)從數(shù)據(jù)庫取回相關(guān)數(shù)據(jù)。（5）根據(jù)需要允許使用HTML頁面模板。（6）模型從視圖返回HTML頁面。（7）將HTML視圖頁面返回給用戶?？梢晹?shù)據(jù)模塊主要記錄系統(tǒng)的過程控制過程，實(shí)時(shí)描述系統(tǒng)狀態(tài)的數(shù)據(jù)和報(bào)警信息。

■3.4 數(shù)據(jù)存儲(chǔ)模塊

數(shù)據(jù)存儲(chǔ)模塊在系統(tǒng)架構(gòu)中占有比較重要的位置，直接影響到系統(tǒng)功能模塊的數(shù)據(jù)訪問效率。由于MySQL數(shù)據(jù)庫具有降低開發(fā)成本的優(yōu)勢(shì)，因此本文選擇了MySQL數(shù)據(jù)庫和InnoDB數(shù)據(jù)庫引擎。

4 信息層入侵檢測(cè)可視化優(yōu)化的實(shí)驗(yàn)驗(yàn)證及分析

■4.1 實(shí)驗(yàn)對(duì)象及數(shù)據(jù)介紹

主要介紹了測(cè)試系統(tǒng)的多功能性和合理性，本文檔中的信息層使用可公開獲得的CDD99數(shù)據(jù)集來使用數(shù)據(jù)檢測(cè)常見的網(wǎng)絡(luò)干擾。 CDD99數(shù)據(jù)集通常用于干擾檢測(cè)，品牌培訓(xùn)數(shù)據(jù)集包含大約490萬個(gè)數(shù)據(jù)點(diǎn)。由于存在大量數(shù)據(jù)，因此官方數(shù)據(jù)包由kddcup.data_10_percent.gz提供，可以提供大約490,000個(gè)數(shù)據(jù)樣本。本文提供的系統(tǒng)用于選擇數(shù)據(jù)集中的樣本數(shù)量，由于實(shí)驗(yàn)室資源有限，因此這部分實(shí)驗(yàn)還針對(duì)100,000人進(jìn)行測(cè)試，同時(shí)更加有意地加快實(shí)驗(yàn)過程。我們從490,000個(gè)數(shù)據(jù)中選擇數(shù)據(jù)，然后從實(shí)踐中獲得100,000個(gè)數(shù)據(jù)（75,000個(gè)數(shù)據(jù)），并將其余14個(gè)（25,000個(gè)數(shù)據(jù)）用作測(cè)試集。

■4.2 實(shí)驗(yàn)驗(yàn)證及分析

在將CDD99數(shù)據(jù)庫放入數(shù)據(jù)庫之前，分析師會(huì)做一個(gè)簡單的工作。首先，卡號(hào)是數(shù)據(jù)集中的一組變量，以協(xié)議類型為例，涉及三種協(xié)議：TCP和UDP、ICMP，依此類推，有兩種方法來管理標(biāo)簽。第一種是將標(biāo)簽分為兩類，總體匹配為1，攻擊率為0，目標(biāo)是測(cè)試系統(tǒng)，其他人具有檢測(cè)攻擊的能力。五個(gè)類別為：正常1，DOS；攻擊2，U2R；攻擊3，R2L；攻擊4；調(diào)查攻擊5，目的是測(cè)試系統(tǒng)檢測(cè)某些類型的攻擊的能力。數(shù)據(jù)映射完成后，我們將數(shù)據(jù)保存在本文介紹的數(shù)據(jù)庫中，并根據(jù)系統(tǒng)建模過程以可視方式對(duì)其進(jìn)行優(yōu)化，整個(gè)過程的步驟如下：根據(jù)第一種處理方式使用第一個(gè)標(biāo)記（通常，總體匹配1，攻擊0）。首先，通過單擊“標(biāo)準(zhǔn)化”按鈕對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，完成后，通過單擊“樣本數(shù)據(jù)”按鈕選擇，下拉菜單中的數(shù)據(jù)量意味著從訓(xùn)練和測(cè)試數(shù)據(jù)集中隨機(jī)選擇了100,000個(gè)數(shù)據(jù)。完成測(cè)試后，單擊“數(shù)據(jù)清理”以加快觀察速度，然后從下拉菜單中選擇“ 33矩陣傳播圖形狀”以直接查看和放大由系統(tǒng)或其主要組件運(yùn)行產(chǎn)生的圖像。

5 物理層入侵檢測(cè)可視化優(yōu)化的實(shí)驗(yàn)驗(yàn)證及分析

■5.1 實(shí)驗(yàn)對(duì)象及數(shù)據(jù)介紹

物理級(jí)別的實(shí)驗(yàn)數(shù)據(jù)發(fā)布了計(jì)劃，該計(jì)劃使用田納西-伊士曼平臺(tái)（一種工業(yè)控制系統(tǒng)的典型化學(xué)工業(yè)）和田納西-伊斯特實(shí)驗(yàn)室的半物理建模平臺(tái)來收集研究數(shù)據(jù)。物理過程平臺(tái)包含一個(gè)簡單的田納西州化學(xué)反應(yīng)模型，以模擬實(shí)際的工業(yè)生產(chǎn)，主要由四個(gè)閉環(huán)控制器、一個(gè)反應(yīng)器（用于化學(xué)反應(yīng)和氣體分離）和兩個(gè)入口管線組成。包括2個(gè)出口，4個(gè)閥。在數(shù)據(jù)收集過程中，通過中間模仿人的攻擊（在數(shù)據(jù)集中標(biāo)記為modbus）和在平臺(tái)上執(zhí)行的感官攻擊（通過對(duì)數(shù)據(jù)集進(jìn)行分類）收集了總共10,860個(gè)數(shù)據(jù)集。與信息層類似，提取3/4（8145數(shù)據(jù)）作為訓(xùn)練集，其余的1/4（2715數(shù)據(jù)）用作測(cè)試集。

■5.2 實(shí)驗(yàn)驗(yàn)證及分析

物理級(jí)別的實(shí)驗(yàn)對(duì)應(yīng)于信息級(jí)別的實(shí)驗(yàn)，并且簡要解釋了這一點(diǎn)，以避免重復(fù)。同樣，分析人員最初會(huì)觸發(fā)數(shù)據(jù)集中無數(shù)變量數(shù)量的指示，主要是為了進(jìn)行標(biāo)簽匹配。日志數(shù)據(jù)的正態(tài)性和分布更加平衡，可以直接使用第二種處理方法。顯示數(shù)據(jù)完成后，將存儲(chǔ)在數(shù)據(jù)庫中。由于數(shù)據(jù)量很小，因此請(qǐng)標(biāo)準(zhǔn)化數(shù)據(jù)并自行清理。完成后，將自動(dòng)選擇方法。如果所選功能的數(shù)量為3，則交叉精度達(dá)到最大。在配置遞歸刪除算法的參數(shù)時(shí)，功能數(shù)量設(shè)置為3，可以執(zhí)行三個(gè)最重要的功能：DATA_11，DATA_24，DATA_29。VM算法和KNN算法的分類效率。對(duì)于SVM算法，分析器在具有超參數(shù)的多項(xiàng)式內(nèi)核上定義其主要功能。如果懲罰因子C設(shè)置為1且伽瑪設(shè)置為0.1，則可以獲得較高的Huh管理性能得分。如果數(shù)據(jù)分布相對(duì)平衡，則測(cè)試用例的匹配率達(dá)到99.24%，根據(jù)完整的分類報(bào)告，可以看出該解決方案具有較高的匹配率和較高的恢復(fù)率，可能會(huì)識(shí)別出特定的AndModbus，攻擊和正常的直接識(shí)別能力達(dá)到100%。結(jié)果表明，本文預(yù)測(cè)的視覺優(yōu)化系統(tǒng)可以有效地攻擊攻擊者的物理層，并檢測(cè)某些類型的攻擊。如果選擇了KNN算法，則可以從KNN獲取分類分析報(bào)告，在此不再贅述。

■5.3 在線測(cè)試

在田納西州在線測(cè)試平臺(tái)上實(shí)施本文開發(fā)的工業(yè)控制系統(tǒng)入侵檢測(cè)器視覺優(yōu)化系統(tǒng)后，我們可以根據(jù)前文介紹的數(shù)據(jù)恢復(fù)模塊簡化平臺(tái)處理器和HMI內(nèi)存的使用，可以與控制器和nodetta中的其他節(jié)點(diǎn)集成，例如網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)延遲和網(wǎng)絡(luò)丟包狀態(tài)，指標(biāo)可以被實(shí)時(shí)跟蹤并在線發(fā)布。為了無縫集成物理對(duì)象，在過程監(jiān)視期間，田納西州的模擬直接顯示在實(shí)時(shí)數(shù)據(jù)中，并且可以識(shí)別特定的控制數(shù)據(jù)，例如傳感器和控制器。

6 結(jié)語

隨著工業(yè)控制系統(tǒng)潛在安全威脅的增加，信息安全問題變得越來越重要。入侵檢測(cè)是工業(yè)控制系統(tǒng)信息安全的重要組成部分，是研究熱點(diǎn)之一。最近在國內(nèi)外，可視化優(yōu)化技術(shù)旨在通過視頻與人工智能緊密集成，有機(jī)地將人類的感知、理解和分析技能與功能強(qiáng)大的計(jì)算機(jī)和存儲(chǔ)系統(tǒng)的功能結(jié)合在一起，以幫助人們不斷發(fā)現(xiàn)并適應(yīng)當(dāng)前情況。盡管在工業(yè)控制系統(tǒng)的入侵檢測(cè)領(lǐng)域中已經(jīng)對(duì)視覺優(yōu)化進(jìn)行了研究，但對(duì)于實(shí)際應(yīng)用而言，在工業(yè)控制系統(tǒng)中實(shí)現(xiàn)搜索引擎優(yōu)化非常重要，因?yàn)榫哂懈邤?shù)據(jù)性能和交互功能的入侵檢測(cè)水平。