孙 逊

(上海仪电(集团)有限公司，上海 200233)

0 引言

在我国“互联网+”战略部署和“两化深度融合”的大趋势下，工业控制系统越来越多地采用互联网及通用协议进行数据交换和运行管理[1-2]。这在极大地提高工业生产效率及效益的同时，也因工控网络的开放性带来了诸如病毒、木马以及网络攻击等安全问题[3]。据国家工信安全中心统计，近两年工业互联网安全风险主要集中在智能制造、能源、交通等关键行业领域。其中，制造业安全风险数量较上一年增长86%。虽然工业互联网企业布署了防火墙、主机卫士等安全设备，但是防护的重点主要还是在应用层，对信号和流量的产生之初产生的安全问题关注不足。因此，在流量和信号产生之初检测出恶意代码并作相应的报警，对于工业互联网企业网络安全而言尤为重要。

本文提出了一种基于奇异值分解的入侵检测技术，从入侵检测的工作原理和检测过程两个角度分析了检测技术与传统入侵检测技术的区别。为了验证入侵的有效性，在工业控制系统模拟环境中进行了数据重放试验。试验证明，入侵检测技术可以有效规避数据扰动产生的误报警，提高检测准确率。

1 入侵检测技术概念

高级可持续攻击(advanced persistent threat，APT)作为常用的攻击手段，往往用于工业互联网企业的网络攻击。攻击者为了隐藏自己的攻击行为，通常将恶意脚本整合成虚假数据，并在底层链路进行传输。为了长期存在于被感染的网络或系统中，攻击者的恶意流量攻击值相对较弱。对于工业互联网企业而言，安全防护设备因功能单一或检测能力不足，对正常攻击的防护能力不够强，更检测不出底层产生的恶意攻击。

入侵检测是实时监测网络中的流量，在出现异常问题时进行相应处理的一种网络安全技术[4]。传统入侵检测流程如图1所示。

图1 传统入侵检测流程图

传统入侵检测流程主要分为采集、分析、处理三个步骤，依次执行。在数据采集阶段，收集底层检测设备产生的流量。在分析阶段，根据数据类型的不同，参考线性动态系统(linear dynamic system,LDS)模型，对采集的流量进行计算、对比、分析、反馈，从而判断系统中是否隐藏恶意流量。在处理阶段，通过预制或个性化配置安全策略，对产生的恶意流量进行处置，生成报警信息。目前，市场上各安全公司大多采用这类方式进行产品研发，在分析模型的建立阶段需要花费大量的精力，最终形成各企业特有的安全产品。但是，针对工业互联网企业的物理模型目前尚不完善。因此，在生成采样数据的阶段，必须判断传感器当前的读数和历史读数是否有偏差，以此研判系统中是否存在异常行为。

为了提高对底层攻击流量的检测能力，观察传感器信号需检测非正常流量中微弱的变化。本文采用检测技术的方法。该方法的工作机制是：首先记录传感器正常的流量信号并以此作为基准，将信号序列化；然后从中分离并提取降噪后的信号；最后对比被测信号和基准信号的偏差值，若偏差值过大则判断系统中存在恶意流量。为了更准确地获取降噪信号，本文参考了奇异谱分析(singular spectrum analysis，SSA)[5]，引入信号子空间的概念来实现检测结果和预估值的对比，以此判断是否存在恶意流量。

2 入侵检测技术工作原理

SSA是入侵检测的技术之一，主要分为嵌入、分解、分组、重构四个阶段[6]。SSA流程如图2所示。

图2 SAA流程图

SSA具体过程如下。

①在欧几里得空间中嵌入提取信号的序列。

②对生成的时间序列矩阵进行分解。

③识别信号子空间，将观测值的矢量在子空间上进行分组投影，生成偏离分数。

④跟踪偏离分数，生成对比信息，判断数据是否正常。

2.1 嵌入

设N为滞后参数(其中N为自然数，N∈)，通过形成L个长度为M的滞后向量T，作为初始子序列嵌入N维空间RN中，T∈RN。

Xi=(xi，xi+1,…,xi+N,xi+N-1)

(1)

式中：Xi为滞后列向量；xi为Xi中的元素，1≤i≤L，L=M-N+1，M为数据长度。

进一步构造轨迹矩阵X，如式(2)所示。

(2)

2.2 分解

针对生成的轨迹矩阵X，采取奇异值分解的处理，输出N个特征向量u1，u2，...，uN。然后，将特征向量重组，输出方差矩阵XXT。最后，进行时间序列维数t的统计，输出变异性、确定性的自由度。

2.3 分组

在获得信号信息之后，通过对正常过程行为的识别来获取信号的数学表示。设W为一个N×t矩阵，其列为t个特征向量u1，u2，...，ut，对应t个前导特征值。Nt为W的列向量所跨越的子空间。计算滞后向量xi的样本均值c(1≤i≤L)，如式(3)所示。

(3)

(4)

式中：P为投影矩阵,P=W(WTW)-1WT=WT。

2.4 重构

对于每个测试向量Xj(j>L),计算NT中到质心的欧几里德距离的平方值Sj，如式(5)所示。

(5)

每当Sj≥θ时，就生成报警信息。θ为设置的报警阈值，是在正常状态下观测到的信号扰动。

3 工业互联网系统检测仿真试验

工业互联网常见结构可以分为信息技术(information technology,IT)层和操作技术(operation technology,OT)层。OT层包括现场设备层、现场控制层等，实现了对企业资源、流程、工艺及事件的全面管控，覆盖企业运营的各个层面，包括生产运营、能源运营、设备资产运营以及服务运营等[7]。IT层通过采集大量OT层数据并加以整合利用，优化OT层的生产，从而整体提高工业互联网企业的生产运行效率。工业互联网常见结构如图3所示。

图3 工业互联网常见结构图

3.1 试验环境搭建

本次试验中，试验环境涉及的硬件设备包括两台计算机(操作员站与管理终端)、交换机和西门子可编程控制逻辑(programmable logic controller,PLC)套件。操作员站通过与PLC进行不断通信发送试验数据，将交换机业务口的数据镜像到统一端口。管理终端连接镜像口进行数据采集并检测数据[8]。

试验环境如图4所示。

图4 试验环境示意图

3.2 试验过程

本次试验中，预先对试验数据进行编辑。第一阶段的数据流量为系统正常情况下采集获取，作为本次检测的基准数据。第二阶段的数据流量为高级可持续攻击验证脚本。通过操作员站进行数据包的重放，由入侵检测程序对重放数据进行识别和解析。

试验一由操作员站发送正常流量，管理终端进行检测基准的学习，持续1 h。

试验二由操作员站发送攻击流量，管理终端进行异常流量检测，持续1 h。

3.3 试验结果

检测程序最终会输出不同的数值，设置发出报警的最大值为θ。在发送正常流量数据时，检测到Sj值小于等于设定值θ，系统无告警；在攻击流量通过时，Sj值大于设定值θ，系统立即生成告警。试验参数如表1所示。

表1 试验参数

表1中：r为特征向量列数，所有数据已作取整处理。

4 结论

与传统行业的应用系统相比，针对工业互联网系统的网络攻击越来越普遍。尤其是针对一些关键基础设施企业的网络攻击，往往会造成巨大的经济损失和社会影响。

本文阐述了一种基于奇异值分解的入侵检测技术，并通过数据重放试验验证了入侵检测技术的有效性和准确率。在工业互联网环境中，如何在不影响正常生产的同时提高工业互联网安全防护能力，一直是不断探索的课题。