尚文利 中国科学院沈阳自动化研究所.

Presentation on theme: "尚文利 中国科学院沈阳自动化研究所."— Presentation transcript:

1 尚文利 中国科学院沈阳自动化研究所

2 工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

3 一、工业控制系统脆弱性分析 1、工业控制系统及主要组成部分：
工业控制系统（ICS-Industrial control system）是由计算机设备与工业过程控制部件组成的自动控制系统，广泛应用于电力、能源、交通、石油石化等工业领域，是国家重要基础设施的关键组成部分，保障工控网络安全关系到国家的战略安全 。 工业控制系统主要包括： 数据采集与监控系统（SCADA） 分布式过程控制系统（DCS） 可编程逻辑控制器（PLC） 远程测控单元（RTU） 网络电子传感/监视/控制/诊断系统等

4 一、工业控制系统脆弱性分析 2、工业控制系统的脆弱性：
随着信息化与网络化的发展，工业控制系统逐渐形成一个开放式的网络环境，对工业控制系统的攻击事件逐渐增多。 2014年度针对关键基础设施的攻击威胁中，高级可持续性威胁APT攻击达到55%以上。 2015年3月国家公开工业控制系统安全漏洞共405个。 主要集中在能源、关键制造业、交通、通信、水利、核能等领域，而能源行业的安全事故则超过了一半。

5 一、工业控制系统脆弱性分析 2010年6月出现的Stuxnet病毒，第一个专门定向攻击真实世界的基础（能源）设施。
以Havex为代表的APT攻击将工业控制网络安全的对抗带入了一个新时代。 2014年4月，微软停止对window xp系统提供补丁和安全更新服务，严重影响国内工控系统中运行xp的工控机。

6 工控系统攻击事件的根本原因是系统存在安全漏洞!
一、工业控制系统脆弱性分析 工控系统攻击事件的根本原因是系统存在安全漏洞! 控制系统的主要漏洞包括： 通信协议漏洞 两化融合和物联网的发展使得TCP/IP协议等通用协议越来越广泛的应用在工业控制网络中，随之而来的通信协议漏洞问题也日益突出。 操作系统漏洞 目前大多数工业控制系统的工程师站/操作站/HMI都是Windows平台的，通常现场工程师在系统开启后不会对windows平台安全任何补丁，埋下了安全隐患。

7 一、工业控制系统脆弱性分析 应用软件漏洞 由于应用软件多种多样，很难形成统一的防护规范以应对安全问题，另外当应用软件面向网络应用时，就必须开放其应用端口，是重要的攻击途径。 安全策略和管理流程漏洞 追求可用性而牺牲安全性，是很多工业控制系统存在的普遍现象，缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来一定的威胁。 杀毒软件漏洞 为了保证工控应用软件的可用性，许多工控系统操作站通常不会安装杀毒软件，即使安装了杀毒软件，病毒库也不会定期的更新。

8 一、工业控制系统脆弱性分析 3、工业控制系统的差异化：

9 传统IT安全： 机密性 > 完整性 > 可用性 工控系统安全：可用性 > 完整性 >机密性
一、工业控制系统脆弱性分析 4、工业控制系统的安全防护： 传统IT安全： 机密性 > 完整性 > 可用性 工控系统安全：可用性 > 完整性 >机密性 不同于传统IT信息安全机密性、完整性、可用性的要求，工业控制系统的信息安全目标是可用性、完整性和机密性。工控系统的安全防护主要有物理隔离、漏洞扫描分析、基于访问控制的防火墙技术、入侵检测技术等。 9

10 工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

11 二、工业控制系统信息安全业态现状

12 二、工业控制系统信息安全业态现状 1、 安全标准与法规（国际）

13 二、工业控制系统信息安全业态现状 1、 安全标准与法规（国际）

14 二、工业控制系统信息安全业态现状 1、 安全标准与法规（国内）
基础标准 管理标准 技术与机制 应用标准 术语、概念 模型 体系结构 架构 安全管理系统需求 等级保护 安全管理检查 网络信任体系 物理安全 网络安全技术 风险评估 安全产品测评 安全系统测评 安全应急处理 安全风险管理规范 补丁管理 网络安全防护 安全产品开发 工业控制系统信息安全标准体系 GB/T 工业控制网络安全风险评估规范 GB/Z 针对电力系统 在编标准：《SCADA系统安全控制指南》、《工业控制计算机系统 : 工业控制计算机的安全要求》 虽然国内已经开展相关方面的标准制定，仍然缺少基于安全管理系统需求、等级保护、网络安全技术等方面的安全风险管理规范和基于安全产品测评、安全系统测评等方面的安全测试标准。

15 二、工业控制系统信息安全业态现状 2、安全防护技术与产品（国内与国际对比分析） （1）OPC server需要增加工业防火墙进行端口管理
OPC通信需要开放所有端口信息，目前的IT防火墙不支持OPC协议防护。 需要工业防火墙保护OPC客户端和OPC服务器之间的通信。 （2）控制器和操作站之间需要增加工业防火墙进行隔离防护 PLC、DCS、IED和RTU等现场设备非常脆弱，一般的病毒攻击就可能造成死机，传统防火墙不支持工业控制专有协议。

16 二、工业控制系统信息安全业态现状 2、安全防护技术与产品（国内与国际对比分析）

17 二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品（国内与国际对比）

18 二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品（国内与国际对比）

19 二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品（国内与国际对比） 管理网 工控系统安全测试与风险评估 控制网

20 二、工业控制系统信息安全业态现状 3、脆弱性与风险评估及产品（国内与国际对比）

21 工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

22 三、工业控制系统入侵检测技术 1、入侵检测技术：
入侵检测是一种主动防御安全防护技术，通过监视、分析通信行为模式，在入侵行为产生危害之前进行拦截，是对防火墙防护功能的补充。 （1）误用检测 根据已知类型的攻击特征，建立异常行为的知识库，对工控网络通信的异常数据进行特征匹配，以检测出系统的攻击行为。优点是误报率低，但对未知类型的攻击行为无法检测。 （2）异常检测 通过系统正常行为模式，建立对异常行为的检测模型。实时地获取工控网络的通信流量，并提取数据特征，对通信行为进行决策。优点是能够检测出工控系统网络新的攻击类型。

23 三、工业控制系统入侵检测技术 2、工控系统入侵检测：
入侵检测是工业控制系统安全中的重要环节，随着工业控制系统信息化与网络化的发展，系统的安全风险和入侵威胁也不断增加，应用入侵检测系统（IDS）对网络通信行为进行提取、解析和判别，以检测出存在攻击行为，增强工控系统安全防御能力。 入侵检测在工控网络安全中的应用

24 三、工业控制系统入侵检测技术 （1）工业控制系统的入侵途径
由于工控系统在网络协议、系统平台、应用软件等方面存在的脆弱性问题，攻击行为利用系统漏洞，通过适当的途径，进行攻击操作。入侵行为通过多种直接或间接 的方式接入控制系统网络。 入侵接入是异常行为的攻击的前提条件，主要的途径有企业网接入、可信任第三方网络接入、Internet接入、可移动设备接入、无线通信等。

25 三、工业控制系统入侵检测技术 （2）工业控制系统的入侵类型 入侵类型 入侵方式
嗅探与欺骗入侵 该入侵方式通过扫描工控系统网络，以获得工控系统的有效IP地址、活动端口、操作系统类型等信息。 拒绝服务入侵 该入侵方式通过占用系统大量的共享资源或长时间利用系统功能，阻碍系统正常功能运行。 超级用户权限入侵 该入侵方式利用系统漏洞在设备上获得超级用户权限，并利用超级用户权限进行攻击行为。 远程登录入侵 该入侵方式在远程主机上通过发送攻击数据，获得本机的访问权限，实现攻击操作。

26 三、工业控制系统入侵检测技术 3、工业控制系统的入侵检测指标
建立有效的入侵检测系统对保障工控网络安全至关重要，入侵检测在整个控制系统网络的不同层次，具有不同等级的要求，但在系统入侵检测的应用中要满足相应的要求指标。 （1）检测精度 入侵检测系统要根据不同层次的实际防护技术和攻击承受能力，满足相应的检测精度要求。 （2）实时性 工控系统的运行是实时性的，入侵检测对异常行为分析、判别、报警处理等应满足工控系统实时性要求，保障系统稳定可靠地运行。

27 三、工业控制系统入侵检测技术 （1）工业控制系统的入侵检测通过分析各种系统攻击行为，提取攻击特征，利用通信数据匹配的技术可以实现对已知类型攻击行为的有效检测。 （2）对工控系统网络安全性分析，根据通信协议、异常行为模式等提取网络的通信流量，通过解析通信行为数据，建立系统的异常行为检测模型，提高系统对未知类型的攻击行为检测率。

28 工业控制系统脆弱性分析 工业控制系统信息安全业态现状 工业控制系统入侵检测技术 国内外研究现状与发展趋势

29 在相关异常检测算法研究中，多采用不同方法相结合的策略。
四、国内外研究现状与发展趋势 1、工业控制系统的异常检测方法： 基于统计的方法：包括单变量或多变量模型和时间序列模型等。 基于知识的方法：包括有限状态机、状态描述语言方法和规则推理等。 基于机器学习的方法：又可以分为贝叶斯网络、人工神经网络、模糊逻辑、遗传算法、支持向量机等方法。 在相关异常检测算法研究中，多采用不同方法相结合的策略。

30 四、国内外研究现状与发展趋势 2、国内外入侵检测研究：
随着工控系统信息化发展，工控系统逐渐与企业网相连接，传统的IT信息安全问题同时对工控系统安全造成严重的威胁，而IT信息安全成熟入侵检测技术不能简单地应用于工控系统网络。 总体来说，国际上对工控系统安全的入侵检测研究还处于研究阶段。对工控系统入侵检测的研究主要为工业控制系统中的参数对象，如工控系统模型、工作参数、通信协议、攻击类型、行为模式、网络数据流量等，根据研究对象采用算法建立入侵检测系统模型。

31 四、国内外研究现状与发展趋势 工控系统入侵检测方面尚处于研究阶段，根据入侵检测中工控系统研究对象和采用的方法，在相关研究应用中有：
基于工业控制网络流量的入侵检测方法 该方法对工控网络产生的流量差异进行分析，然后利用相关算法建立工控网络正常流量的模型，并通过预测正常流量对异常流量进行异常检测。 基于被控对象模型的入侵检测方法 该方法以工控系统模型为对象，根据系统输入输出特性，建立输出的数学模型，根据系统预测输出与测量信息值比较，进行异常攻击行为的检测。

32 四、国内外研究现状与发展趋势 基于不完备信息的半监督K-means入侵检测方法
多层次差异网络深度入侵数据挖掘的检测方法 该方法研究多层次网络差异，通过采集数据和样本特征提取，利用模糊C均值聚类的方法，获取异常数据的行为模式，根据不同模式的结果进行通信行为的入侵检测。 基于协议解析和通信模型的入侵检测方法 该方法通过解析工控网络通信协议，并根据网络通信行为模式提取通信流量数据，利用神经网络、决策树、支持向量机等算法建立异常行为检测模型，提高异常行为检测率。

33 四、国内外研究现状与发展趋势 工业信息安全入侵检测研究 （1）针对Modbus/TCP的功能码序列异常检测方法
以Modbus/TCP功能码序列为检测对象，将工业网络通信流量转换异常检测数据，提出了Modbus功能码模式短序列特征提取方法，建立异常流量数据的检测模型。

34 四、国内外研究现状与发展趋势 （2）基于单类支持向量机的入侵检测算法
利用支持向量机小样本、非线性、泛化能力强的优点，建立工业控制系统网络通信数据的分类器。选择适合于工控环境的单类支持向量机算法，以Modbus/TCP工业通信行为数据为对象，建立单类支持向量机的入侵检测系统，并采用粒子群算法（PSO）优化支持向量机参数，训练PSO-OCSVM的入侵检测模型，提高异常数据检测率。

35 四、国内外研究现状与发展趋势 （3）基于异常行为入侵检测模型研究
通过对工业控制系统安全风险、通信协议、异常攻击数据等的分析，解析异常行为的操作模式，提出基于异常行为的通信流 量数据特征选择和构造方法，并结合支持向量机（SVM），构建工控系统仿真平台，并根据系统参数和异常行为数据，建立基于异常行为的入侵检测模型。 异常行为建模 直接特征建模 训练集数据 99.7% 86.7% 测试集数据 98.75% 87.25% 添加未知异常数据 97.5% /

36 四、国内外研究现状与发展趋势 未来研究关注点 针对工控系统入侵检测技术的研究，从以下几个方面进一步深入研究，提高异常攻击行为的检出率。
以工控系统网络的通信行为为对象，研究基于主机和网络流量的异常检测技术； 深入解析工控系统的通信协议和异常攻击行为的操作模式，采用有限状态机建模，提高对异常攻击行为的检测率； 利用PCA、粗糙集等方法处理提取的工业流量数据，提高入侵检测的实时性和检测率； 学习、优化、改进支持向量机（SVM）算法，提高对工控系统网络流 量数据的检测分类率。

37 敬请批评指正！