王成彦

（上海航天测控通信研究所，上海 201109）

1 工业控制系统的相关内容

1.1 基本构成

工业控制系统是我们日常生活中经常会接触到的，例如一些智能电表，门禁系统监控系统等，这些或大或小的设备充斥着我们的日常生活，在享受智能便利的同时，也会存在一些安全隐患问题。工业控制系统分为可编辑逻辑控制器和数据采集坚实控制系统，前者主要是用来修正被控制设备的行为，通常是用来接收信息的一些小型的处理器。而后者通常是完整的监督控制系统，我们日常生活中见到的大型的监督控制系统都属于这个范畴[1]。

1.2 基本特点

工业控制系统如今与互联网的联系十分的紧密，通过一些智能的网络设备，可以完成大范围的控制和应用工作。因而工业控制系统开始逐渐的摆脱物理条件的限制，成为了网络控制下的高效运行系统，这样一来，很多的系统问题能够及时的被发现，并在网络状态中得到修复和完善，缺点就是造成被威胁和被破坏的几率有所增高。

2 基于遥感的入侵检测系统概述

2.1 入侵检测系统

入侵检测系统其实就是被纳入到工业控制系统之中的一个软件公祖，他拥有授权访问等权利，实质上就是一个动态的监测系统，用来寻找各种异常问题和入侵情况，在防火墙功能基础之上，还具备有通信的功能，在既定的外部检测环境中，入侵检测系统可以对既定事件进行分析，一旦分析出现情况，便会完成最终相应，这也是检测的完整过程。这其中事件盒子是监控目标系统的传感器，它通过传输信息来完成储存，交由储存盒子处理相关事件，分析是否存在入侵危机，最后分析结构在必要时候会触动警报，从而走向最后的响应盒子，响应盒子负责总结归纳以上情况并执行相关的相应措施，来组织入侵行为的发生。

2.2 基于遥感的入侵检测模型

和其他的入侵检测模型将比较而言，基于遥感的入侵检测模型，不惜要进行网络对接，直接可以对问题进行分析，这样一来大大的提升了效率，降低了问题解决的时间。且基于遥感的入侵检测模型的检测率很高，通过内外网的比较检测实验，内网的恶意流量识别达到了95%，外网的甚至达到了99%。因此，其实际的使用效率很高，实用性很强。不进入工业控制系统是遥测入侵检测模型的最大特点，通过对数据进行验证，该模型能够直接实现入侵检测。

3 入侵检测误报率降低策略

3.1 误报产生的原因

误报是入侵检测过程中无法避免的一个问题，也是目前在入侵检测发展领域中直面的技术难题。对于工业控制系统的入侵检测来说，误报和漏报一样都需要承担严重的后果，不仅仅是信息传递的失误那么简单。目前我们更新的基于遥感的入侵检测模型，已经能够在一定范围内降低误报率，但是并不代表误报的情况不会发生。目前我们通过对模型进行进一步分析，得出了三类可能出现的误报情况发生原因：一是无效报文的产生，无效报文的产生涉及到了各个方面，其存在会影响到数据的运行。通行过程中的TCP报文、网络原因引起的异常报文，以及恶意流量报文等，都是报文产生的主要原因[2]。二是机器存在不可知的弱点，该弱点在目前状态下尚未得到明确，因而我们无法对所有的部分和漏洞展开调查，这些弱点会直接降低系统的分辨能力，对于部分无效的攻击无法进行准确筛除，进而产生一些虚假警报行为。三是未得到反馈的异常信息，一般情况下系统是能够对目标行为给出相应的，因为在攻击进行的同时，系统会直接判断其攻击是否失效，以此来作出相对回应，但是异常的反馈信息缺少这一些要素，在受到攻击时，目标主机会出现异常的回应信息，进而影响到后续的判断。

3.2 降低误报率的具体措施

根据已知模型和数据，我们可以得出的实验方案中，能够将降低报错率的措施分为四个部分，第一部分是无效报文的过滤，首先是在通信过程中出现的TCP报文，可以修改其display filter的参数，使数据包内的协议可以进行自动解析匹配，进而过滤到Modbus协议意外的所有数据包，这样我们只用保留需求之内的数据报文，很大程度上避免了不必要报文的产生。面对由于网络抖动原因而出现的错误报文，可以将偏差阈值进行重新的定义，这样在正常流量相应时间内出现的保温，就能够具备相应的提取时间，将时间的均值作为标准值，就能够逐条判断出保温的实际响应时间是否超出了预期的设定，超出或者偏差过大的报文都可以被定义为异常报文处理。面对其他情况出现的异常报文，可以利用pyshark解析数据包，得到Modbus核心功能码即可。第二步是进行已知弱点的扫描工作，面对已知弱点的扫描可以利用数据分析将其进行等级的评分，进而利用分析软件将系统资料中存在的弱点进行监视并获取，根据弱点的相关信息分析其是否存在有效攻击能力，如果不存在则判定为无效攻击。我们进行操作的中心思想是根据每一类攻击的基本特性进行归类，利用这些攻击的弱点进行划分，并对应给出判断。第三步是进行反馈和异常情况的分析，在异常情况发生之后，优先利用tcpdump对服务器流量的流动和分布情况进行监测，一旦遇到恶意的流量，服务器的监测系统便会出现很明显的异常情况，因而我们可以根据当时服务器的变化情况来确认其是否受到了恶意的攻击，并且同时利用pyshark对以及捕获的部分流量数据包进行分析解读，得到最为直观的反馈信息之后，我们就能够把握真实信息的来源以及反馈情况，观察其信息是否已经被传送到服务器的端口，以此来作为控制服务器异常并进行反馈的一个手段[3]。

4 入侵检测系统的设计与实现

4.1 系统设计

目前我们根据电子模块的不同，对整体系统进行设计，将其分为了七个子模块，分别是①任务下发模块、②流量获取模块、③流量检测模块、④融合决策模块、⑤结果展示模块、⑥用户模块、⑦数据储存模块。

4.2 整体设计

在明确了系统模块的分配之后，我们需要从总体的角度来考虑各个模块之间信息传递功能以及数据传递的通畅性，因而我们选择以完整结构图的形式来展示各个模块之间的关系，其中任务模块和流量获取模块存在直接的关联，流量检测模块实际上与融合决策模块存在关联，流量模块可以通过固定技术来获取网络信息并实施监控，在监控和处理过后的信息会被传递到检测模块，之后进行建模，直到经过流量检测之后被传输到数据存储模块之中。最终结果展示的环节可以从数据存储和相关系统监控之中寻找到结果，用户模块则是获取信息的重要模块，通过用户模块，可以直接的将用户的操作进行捕捉，最后顺利的完成注册、注销、登入的退出这些步骤的操作。

4.3 系统运行结果展示

我们需要完成系统设计和系统实现之后，根据相关系统环境对整体系统进行建设任务，因而最终呈现的系统运行效果与环境搭建效果有直接的关系。在搭建完成之后即可进行入侵检测，在此我们利用的是Diango框架作为整个的操作页面来执行，操作页面中一共分为主页面，主要展示用户登记和进入系统，该页面属于客户端的基本信息。进入页面，可以在该页面看到详细的机器操作以及相关信息，还可以利用传输系统完成文件的传输任务。最后来到的是任务的下发页面，该页面属于流量检测任务的中间环节，可以对执行机器以及运行文件进行选择，选中之后会对相应的任务机器发送请求。最后是结果展示的页面，该页面主要负责对攻击的检测结果进行展示，通常有受到攻击的机器的IP地址，受到攻击的时间，受到攻击的内容等等这些因素。

5 结束语

工业控制系统与我们的生活息息相关，他负责我们生活中的安全，因而，在实际操作过程中，很可能会受到多种类型的攻击，而伴随着互联网技术的普遍应用，攻击能力在逐渐的增强，攻击的范围也在逐渐的变大，因而对工业控制系统的算法进行优化，是当前应对攻击的最有效措施。