摘要：工業(yè)互聯(lián)網(wǎng)正保持著(zhù)活躍地創(chuàng )新發(fā)展態(tài)勢，其強調以物理網(wǎng)絡(luò )為基礎的萬(wàn)物互聯(lián)互通，因此在這種新模式下，工業(yè)信息安全將面臨嚴峻的挑戰。本文首先以歷年代表性的工業(yè)安全事件為例，說(shuō)明了現階段工業(yè)控制系統所面臨的安全問(wèn)題以及威脅形式，并在此基礎上給出了工業(yè)互聯(lián)網(wǎng)建設時(shí)所應重點(diǎn)考慮的安全脆弱性，然后重點(diǎn)論述了人工智能（AI，Artificial Intelligence）算法在工業(yè)入侵檢測中的應用以及分類(lèi)，分析了每類(lèi)方法的優(yōu)勢與不足，并提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測方法的研究重點(diǎn)。

關(guān)鍵詞：互聯(lián)互通；脆弱性；人工智能；工業(yè)入侵檢測

Abstract: Industrial Internet is presenting an active trend of innovation and development,and it celebrates the beautiful interconnection and interoperability of all things based on the physical network. Under this novel pattern, industrial information security is confronted with severe challenges. Based on the representative industrial security incidents in recent years, this paper first illustrates the major security problems and threats in current industrial control systems, and presents key security vulnerabilities when establishing Industrial Internet. After that, this paper discusses the application of various artificial intelligence algorithms in industrial intrusion detection, and analyzes the advantages and disadvantages of these industrial intrusion detection approaches. At last, this paper provides the research emphasis of industrial AI intrusion detection approaches under the interconnection and interoperability pattern.

Key words: Interconnection and interoperability; Vulnerability; Artificial intelligence;Industrial intrusion detection

1　引言

現階段，工業(yè)控制系統已經(jīng)廣泛應用于石油、化工、電力、交通、水利等領(lǐng)域，是關(guān)系到國家社會(huì )、經(jīng)濟發(fā)展的重要關(guān)鍵信息基礎設施。同時(shí)，隨著(zhù)現代通信、計算、網(wǎng)絡(luò )和控制技術(shù)的發(fā)展，各種新興信息技術(shù)運用領(lǐng)域的不斷開(kāi)拓，工業(yè)化和信息化的融合已經(jīng)進(jìn)入到一個(gè)嶄新的階段，工業(yè)互聯(lián)網(wǎng)勢必成為新一次工業(yè)革命的發(fā)展方向之一。工業(yè)互聯(lián)網(wǎng)強調以工業(yè)物理設備為中心，實(shí)現了各價(jià)值鏈節點(diǎn)的全互聯(lián)互通，從而高度融合IT技術(shù)與OT技術(shù)，支持服務(wù)網(wǎng)絡(luò )的動(dòng)態(tài)配置^[1]。目前，工業(yè)互聯(lián)網(wǎng)作為我國智能制造發(fā)展的重要支撐已經(jīng)得到了國家的高度認可與重視，“十三五”規劃、中國制造2025、“互聯(lián)網(wǎng)+”、“深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展”等重大戰略都明確提出發(fā)展工業(yè)互聯(lián)網(wǎng)。工業(yè)互聯(lián)網(wǎng)的建設正處在起步階段，全球工業(yè)互聯(lián)網(wǎng)平臺市場(chǎng)正保持著(zhù)活躍創(chuàng )新發(fā)展態(tài)勢，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟的《工業(yè)互聯(lián)網(wǎng)平臺白皮書(shū)（2019）》 ^[2]指出：“工業(yè)互聯(lián)網(wǎng)平臺對制造業(yè)數字化轉型的驅動(dòng)能力正逐漸顯現，無(wú)論是大企業(yè)依托平臺開(kāi)展工業(yè)大數據分析以實(shí)現更高層次價(jià)值挖掘，還是中小企業(yè)應用平臺云化工具以較低成本實(shí)現信息化與數字化普及，抑或是基于平臺的制造資源優(yōu)化配置和產(chǎn)融對接等應用模式創(chuàng )新，都正在推動(dòng)制造業(yè)向更高發(fā)展水平邁進(jìn)”。也就是說(shuō)，工業(yè)互聯(lián)網(wǎng)的出現為傳統的工業(yè)生產(chǎn)制造帶來(lái)一場(chǎng)新的變革。

工業(yè)互聯(lián)網(wǎng)的一個(gè)重要特點(diǎn)是以物理網(wǎng)絡(luò )為基礎實(shí)現萬(wàn)物互聯(lián)互通，因此在這種新模式下，諸如邊緣計算、大數據等新興信息技術(shù)將如雨后春筍般涌現在各種工業(yè)應用中，不僅完全打破了傳統工業(yè)控制系統相對封閉、穩定的運行模式，而且也促使了工業(yè)網(wǎng)絡(luò )環(huán)境變得更加開(kāi)放多變，勢必為工業(yè)信息安全帶來(lái)嚴峻的挑戰。在一種全新的網(wǎng)絡(luò )平臺建立之初，就將信息安全問(wèn)題考慮在內，已經(jīng)得到了工業(yè)界和學(xué)術(shù)界的廣泛認可。就現階段工業(yè)控制系統而言，各種網(wǎng)絡(luò )攻擊與入侵事件屢見(jiàn)不鮮，根據美國國土安全部下屬的工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（Industrial ControlSystems Cyber Emergency ResponseTeam，ICS-CERT）的年度安全研究報告顯示，近幾年針對工業(yè)控制系統的安全事件呈階梯狀增長(cháng)態(tài)勢^[3]。特別是，隨著(zhù)攻擊手段的更加高明、攻擊方式的更加先進(jìn)，傳統傻瓜式的網(wǎng)絡(luò )攻擊已經(jīng)逐漸演變成具有“潛伏性”和“持續性”的高級可持續性威脅（AdvancedPersistent Threat, APT）。出現上述信息安全問(wèn)題的一個(gè)重要原因就是工業(yè)控制系統在本質(zhì)上存在著(zhù)潛在安全漏洞和隱患，而且互聯(lián)網(wǎng)的IT安全技術(shù)難以適配工業(yè)控制系統的特殊性。為此，業(yè)界已經(jīng)開(kāi)始展開(kāi)針對現階段工業(yè)控制系統的信息安全技術(shù)研究，并取得了不錯的成果，主要涉及到脆弱性挖掘、入侵檢測與攻擊防護三個(gè)主要的突破口。其中，作為一種旁路監聽(tīng)方法，入侵檢測能夠在不干擾工業(yè)控制系統實(shí)時(shí)性和可用性的前提下，能夠對網(wǎng)絡(luò )中出現的入侵行為以及非授權行為進(jìn)行識別、檢測與響應，已經(jīng)得到了業(yè)界的一致認可^[4,5]。

在全互聯(lián)互通的模式引導下，工業(yè)網(wǎng)絡(luò )體系會(huì )以服務(wù)為導向進(jìn)行動(dòng)態(tài)適配，同時(shí)也會(huì )增加更多的攻擊入口和攻擊途徑，為此入侵檢測也需要引入一些新的技術(shù)特征與防護模式。結合現階段工業(yè)控制系統行為有限和狀態(tài)有限的通信特點(diǎn)，一種探索性的研究思路為：通過(guò)人工智能方法，自學(xué)習工業(yè)網(wǎng)絡(luò )通信的規律性和行為特征，并描述為規則或模型形式，同時(shí)設計優(yōu)化的入侵檢測引擎，從而實(shí)現高精度的工業(yè)入侵檢測^[6]。簡(jiǎn)單地說(shuō)，人工智能就是研究利用計算機來(lái)模擬人的思維過(guò)程和智能行為，其基本思想就是通過(guò)研究人類(lèi)智能活動(dòng)的規律，利用智能算法使得機器能夠實(shí)現原來(lái)只有人類(lèi)才能完成的任務(wù)。而在信息安全領(lǐng)域，攻擊與防御往往代表了敵手與保衛者的博弈過(guò)程，由于網(wǎng)絡(luò )攻擊是不斷演變的，簡(jiǎn)單的、不變的防御機制與策略已經(jīng)不再適用，而人工智能憑借其強大的學(xué)習與運算能力脫穎而出?？梢哉f(shuō)，信息安全已經(jīng)邁入人工智能時(shí)代，特別是在入侵檢測的應用中，人工智能提供了一條全新的思路，不僅能夠檢測已知攻擊，而且能夠在無(wú)需預先了解攻擊特征形式的情況下，有效地檢測未知攻擊。尤其是在工業(yè)環(huán)境中，針對工業(yè)控制系統的攻擊行為具有隱蔽性和不可預測性等特點(diǎn)，特征規則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生，工業(yè)AI的入侵檢測具有更好地適用性和可行性。

2　全互聯(lián)互通模式下的工業(yè)安全威脅

在工業(yè)控制系統建立之初，業(yè)界的研究人員僅僅關(guān)注在誤操作、錯誤配置等功能安全，但在2010年“震網(wǎng)”攻擊發(fā)生后，來(lái)自信息安全的威脅受到了越來(lái)越多的關(guān)注。而在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下，信息安全問(wèn)題將越發(fā)嚴重，具有時(shí)間持續性、手段綜合性和目標特定性等特點(diǎn)的高級可持續性威脅將對電力、金融、石化、核設施等關(guān)鍵信息基礎設施實(shí)施“硬摧毀”。近十年工控領(lǐng)域重要信息安全事件及簡(jiǎn)單描述如圖1所示。從這些安全事件我們可以發(fā)現，高級可持續性威脅已經(jīng)成為工業(yè)控制系統中最常見(jiàn)、最致命的攻擊模式，其具有明確的攻擊目標，綜合采用多種攻擊手段對目標實(shí)施多階段攻擊，既有漏洞利用、惡意代碼等傳統入侵手段，也包括社會(huì )工程、內部攻擊等線(xiàn)下手段。之所以高級可持續性威脅頻繁在工業(yè)控制系統中發(fā)生，主要歸因于如下兩方面：（1）隨著(zhù)應用環(huán)境不同，每種工業(yè)控制系統都具有各自的特殊性，如不同的通信協(xié)議、系統環(huán)境、實(shí)時(shí)性要求、網(wǎng)絡(luò )拓撲等，這就要求攻擊者進(jìn)行持續性地潛伏與偵查；（2）工業(yè)控制系統中存在著(zhù)通用基礎平臺和工控專(zhuān)用設備，其脆弱性表現不同，這種多目標性往往需要實(shí)施多階段的攻擊方式，同時(shí)采用多種攻擊手段協(xié)同攻擊。

工控安全已經(jīng)成為“網(wǎng)絡(luò )安全、設備安全、控制安全、應用安全、數據安全”的綜合體，根據攻擊目的以及攻擊手段的不同，現階段工業(yè)控制系統的一般攻擊可以分為以下幾類(lèi)：資源耗盡型、信息竊取型以及控制破壞型，如表1所示。這里，本文并沒(méi)有將高級可持續性威脅歸為任何一類(lèi)，因為高級可持續性威脅不僅僅簡(jiǎn)單利用0day漏洞、常見(jiàn)攻擊技術(shù)等，往往還利用人的因素，系統性地、有針對性地、隱蔽性地發(fā)動(dòng)具有多途徑、持久且有效的破壞性攻擊，震網(wǎng)Stuxnet就是高級可持續性威脅的一個(gè)典型實(shí)例。簡(jiǎn)單來(lái)說(shuō)，高級可持續性威脅的生命周期包含以下幾個(gè)階段：社會(huì )工程與外部偵查、確定攻擊目標、入侵攻擊、資產(chǎn)與信息搜索、內網(wǎng)擴散、關(guān)鍵數據竊取與非法控制以及蹤跡銷(xiāo)毀與隱藏六個(gè)階段^[7]，而每一個(gè)階段都伴隨著(zhù)多種攻擊方式的使用。

在工業(yè)互聯(lián)網(wǎng)的建設之初，應該重點(diǎn)考慮兩方面的脆弱性：一是繼承的傳統工業(yè)控制系統安全隱患，如操作系統、數據庫等基礎平臺的脆弱性、現場(chǎng)控制設備自身脆弱性、工控通信協(xié)議的脆弱性等等^[8,9]，這主要是因為工業(yè)互聯(lián)網(wǎng)并不是完全顛覆了現有工業(yè)控制系統的網(wǎng)絡(luò )結構，而是基于現有的工控系統架構，結合新興的信息技術(shù)，通過(guò)互聯(lián)互通互操作的方式提高生產(chǎn)、運營(yíng)效率。二是新興信息技術(shù)可能給工業(yè)互聯(lián)網(wǎng)帶來(lái)新的安全威脅，如云平臺與虛擬化漏洞可能是工業(yè)云計算應用的絆腳石^[10]、邊緣計算也可能被惡意使用等，這主要是因為新興信息技術(shù)應用必然會(huì )引起工業(yè)軟、硬件以及系統的更新，一方面這種更新可能會(huì )與原系統產(chǎn)生安全兼容性問(wèn)題，另一方面更新后的軟、硬件及系統自身會(huì )存在安全漏洞。因此在建設工業(yè)互聯(lián)網(wǎng)時(shí)，不僅要挖掘各種工業(yè)互聯(lián)網(wǎng)平臺的安全隱患與風(fēng)險，同時(shí)還要展開(kāi)相應信息安全防御技術(shù)的研究。

圖1 近10年工控領(lǐng)域重要信息安全事件

表1 現階段工業(yè)控制系統的一般攻擊分類(lèi)

3　基于A(yíng)I的工業(yè)入侵檢測方法

如圖2所示，工業(yè)控制系統的入侵檢測包括誤用檢測和異常檢測兩個(gè)方面^[11,12]，其中誤用檢測理論通過(guò)與已知的攻擊行為間的匹配程度實(shí)現入侵檢測，對于已知的攻擊，該方法能夠詳細、準確地報告出攻擊類(lèi)型，但對于未知攻擊的檢測效果有限，并且需要特征規則庫不斷更新；而異常檢測理論通過(guò)與正常行為間的匹配程度實(shí)現入侵檢測，該方法無(wú)需對每種攻擊行為進(jìn)行預定義，故能有效地檢測未知攻擊。

圖2 入侵檢測的分類(lèi)

在誤用檢測方面，人工智能方法主要應用在特征匹配的高效模式匹配算法中，例如基于規則的專(zhuān)家系統、分類(lèi)樹(shù)的規則分析機等，如前所述，由于工業(yè)控制系統的特殊性，特征規則的更新要遠遠滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生，因此針對工業(yè)誤用檢測的相關(guān)研究較少。而在異常檢測方面，人工智能方法主要應用集中在特征提取算法與異常檢測引擎的設計上，例如聚類(lèi)算法、核主成分分析等在特征提取算法中應用，以及機器學(xué)習、深度學(xué)習等在異常檢測引擎中應用。具體地，根據惡意攻擊行為的攻擊目標、途徑以及模式等特點(diǎn)，工業(yè)AI異常檢測方法主要涵蓋基于模型的檢測法、基于知識的檢測法和基于機器學(xué)習的檢測法，其中，基于模型的檢測法根據工業(yè)控制系統參數建立數學(xué)模型，通過(guò)預測與實(shí)際檢測進(jìn)行偏差比較，分析出異常攻擊的影響，例如基于智能隱馬爾可夫模型的分類(lèi)器實(shí)現異常判別，這類(lèi)方法需要對預測輸出與實(shí)際檢測進(jìn)行偏差比較，然而這種偏差的檢測度難以衡量，同時(shí)模型的訓練也需要大量的先驗數據作為支撐；基于知識的檢測法也可以稱(chēng)作基于狀態(tài)的檢測法，其主要通過(guò)跟蹤系統的狀態(tài)變化來(lái)判別異常行為，例如采用有限狀態(tài)機建立控制系統的狀態(tài)模型實(shí)現異常判別，這類(lèi)方法優(yōu)點(diǎn)在于能夠強關(guān)聯(lián)系統通信的行為特征或狀態(tài)，缺點(diǎn)是所有系統知識需要變化成規則或者狀態(tài)形式，易使知識庫過(guò)大，造成遍歷事件過(guò)長(cháng)，檢測效率降低；基于機器學(xué)習的檢測法往往采用機器學(xué)習或者深度學(xué)習算法作為異常檢測引擎，例如通過(guò)貝葉斯網(wǎng)絡(luò )、人工神經(jīng)網(wǎng)絡(luò )、模糊邏輯、遺傳算法、支持向量機等算法作為判決器進(jìn)行異常判別，這類(lèi)方法雖然能夠在一定程度上檢測工控系統的異常行為，但誤報率仍然較高，并且在工業(yè)通信行為的特征分類(lèi)、選擇與優(yōu)化等方面尚存在不足，需要進(jìn)一步加強研究?？傮w來(lái)說(shuō)，上述每類(lèi)方法都有其自身的優(yōu)勢和不足，尤其是在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下，更要注重兩方面的深入研究，其一是需要進(jìn)一步加強特征的抽象以及關(guān)聯(lián)性研究，使得特征樣本能夠有效、完整地描述工業(yè)控制特性，其二是需要進(jìn)一步設計高檢測精度與檢測效率的異常檢測引擎。

4　結束語(yǔ)

本文首先給出了近10年來(lái)具有代表性的工業(yè)信息安全事件，根據這些安全事件，分析了現階段工業(yè)控制系統所面臨的安全問(wèn)題以及相關(guān)安全威脅的形式，并在此基礎上，給出了工業(yè)互聯(lián)網(wǎng)建設初期所應重點(diǎn)考慮的信息安全脆弱性，包括繼承的傳統工業(yè)控制系統安全隱患和新興信息技術(shù)可能帶來(lái)的新的安全威脅。然后說(shuō)明了人工智能算法在工業(yè)入侵檢測中主要的應用形式，特別是在異常檢測方面，人工智能算法常用在特征提取算法與異常檢測引擎的設計上。此外，根據惡意攻擊行為的攻擊目標、途徑以及模式等特點(diǎn)，本文對工業(yè)AI異常檢測方法進(jìn)行了分類(lèi)，并說(shuō)明了每類(lèi)方法的優(yōu)勢與不足。最后，本文還提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測方法的重點(diǎn)研究方向。

★基金項目：遼寧省自然科學(xué)基金資助計劃項目（2019-MS-149）；國家自然科學(xué)基金項目（51704138，61501447）。

作者簡(jiǎn)介

萬(wàn)　明（1984-），男，內蒙古通遼人，副研究員，工學(xué)博士，畢業(yè)于北京交通大學(xué)下一代互聯(lián)網(wǎng)互聯(lián)設備國家工程實(shí)驗室，曾就職于中國科學(xué)院沈陽(yáng)自動(dòng)化研究所，現就職于遼寧大學(xué)信息學(xué)院，目前為中國工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟ICSISIA首批智庫專(zhuān)家、遼寧省工業(yè)信息安全專(zhuān)家組首批專(zhuān)家、沈陽(yáng)市拔尖人才。主要研究方向為工業(yè)互聯(lián)網(wǎng)信息安全、智能計算與機器學(xué)習、未來(lái)網(wǎng)絡(luò )架構與安全。

參考文獻：

[1] 劉譜, 張曉玲, 代學(xué)武, 李健, 丁進(jìn)良, 柴天佑. 工業(yè)互聯(lián)網(wǎng)體系架構研究綜述及展望[Z]. 第28屆中國過(guò)程控制會(huì )議（CPCC 2017）, 中國重慶, 2017.

[2] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 工業(yè)互聯(lián)網(wǎng)平臺白皮書(shū)[EB/OL]. http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=673, 2019.

[3]NCCIC/ICS-CERT.NCCIC/ICS-CERT year in review (2016)[EB/OL]. https://ics-cert.us-cert.gov/Year-Review-2016, 2017.

[4] 楊安, 孫利民, 王小山, 石志強. 工業(yè)控制系統入侵檢測技術(shù)綜述[J]. 計算機研究與發(fā)展, 2016, 53 ( 9 ): 2039 - 2054.

[5] 賴(lài)英旭, 劉增輝, 蔡曉田, 楊凱翔. 工業(yè)控制系統入侵檢測研究綜述[J]. 通信學(xué)報, 2017, 38 ( 2 ): 143 - 156.

[6] M. Wan, W. Shang, and P. Zeng. Double behavior characteristics for one-class classification anomaly detection in networked control systems[J]. IEEE Transactions on Information Forensics and Security, 2017, 12 ( 12 ): 3011 - 3023.

[7] I. Ghafir, and V. Prenosil. Advanced persistent threat attack detection: an overview[J]. International Journal of Advancements in Computer Networks and Its Security, 2014, 4 ( 4 ): 50 - 54.

[8] K. Stouffer, J. Falco, and K. Scarfone. Guide to industrial control systems (ics) security[EB/OL]. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP.800-82.pdf, 2015.

[9] 陶耀東, 李寧, 曾廣圣. 工業(yè)控制系統安全綜述[J]. 計算機工程與應用, 2016, 52 ( 13 ): 8 - 18.

[10] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟.中國工業(yè)互聯(lián)網(wǎng)安全態(tài)勢報告[EB/OL], http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=726, 2018.

[11] S. M. Papa. A behavioral intrusion detection system for SCADA systems[D]. USA: Southern Methodist University, 2013.

[12] B. Zhu, S. Sastry. SCADA-specific intrusion detection/prevention systems: a survey and taxonomy[Z]. Proceedings of the First Workshop on Secure Control Systems (SCS'10), 2010.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》