工业控制系统IDS技术研究综述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家发改委在2011年-2013年间发布信息安 全专项指南时,均将工业控制安全保障列为重要 研究方向[3,4]。2016 年,科技部将“工业控制系 统深度安全技术”列入“网络空间安全”重点专 项计划[5]。2017年12月,工业和信息化部正式印 发了《工业控制系统信息安全行动计划(20182020)》(以下简称《行动计划》),旨在深 入落实国家安全战略,加快工控安全保障体系建 设,促进工业信息安全产业发展。
入侵检测作为一种主动的安全防护技术,通 过对系统通信行为的实时监视、分析,以检测出 异常的攻击行为操作,并在攻击行为产生危害之 前进行拦截、报警、系统恢复等操作[6]。针对工 业控制系统入侵检测的研究与应用,相关学者根 据工控系统信息安全特点进行了大量的理论研 究。本文对当前的工控入侵检测研究进行总结、 归纳与分析,首先介绍了工控系统结构与安全脆 弱性问题,对入侵检测技术在工控系统异常行为 检测中的应用进行分析,讨论工控环境下异常行 为检测的关键问题,最后对工控系统入侵检测研 究进行展望,提出相关问题的研究发展方向。
网第 络1 0空卷间 安第全2 期Cyb2er0sp1a9ce年Se2c月urity
网络空间安全
Cyberspace Security
Vol.10 N2 o0.12 9F年eb第.2021期9
工业控制系统IDS技术研究综述
严益鑫,邹春明
(公安部第三研究所/上海网络与信息安全测评工程技术研究中心,上海 200031)
Yan Yixin, Zou Chunming (The Third Research Institute of Ministry of Public Security/Shanghai Engineering Research Center of Cyber and Information
Security Evaluation, Shanghai 200031)
1 引言
随着工业控制系统信息化发展的需求,工业 控制系统日渐趋于形成了一个开放式的网络环 境。由于传统工业控制系统是基于物理隔离的, 主要关注系统的功能安全,缺乏对信息安全的考 虑,缺少专门的安全防御措施[1]。
2010 年“震网(Stuxnet)”病毒的爆发
让世界明白工业控制系统已成为黑客的主要 目 标 [2], 随 后 “ 毒 区 ” ( D u Q u ) 和 “ 火 焰 ” (Flame)病毒又相继出现,与“震网”共同形 成“网络战”攻击群。2014 年,功能更为强大 的Havex 以不同工业领域为目标进行攻击,至 2016年已发展到88个变种。2015 年底发生的乌 克兰大面积停电事件又一次为工控安全拉响警 报 。 2 0 1 7 年 5 月 发 生 的 Wa n n a C r y 勒 索 病 毒 全 球 大
Abstract: As an industrial brain, the industrial control system (ICS) has become more and more open on the Internet. Therefore, the network security of industrial control systems has received more and more attention from the state. This paper starts with the current situation and national legal policy of ICS network security. Firstly, it introduces the architecture and characteristics of ICS system. Secondly, according to the two aspects of misuse intrusion detection and abnormal intrusion detection, this paper analyzes the current research status of ICS IDS technology and algorithm. Finally, the current development and application status of ICS IDS and research trend have been prospected. Key words: industrial control system; intrusion detection system; misuse of intrusion detection; abnormal intrusion detection
摘 要:工业控制系统(Industrial Control System,ICS)作为工业大脑,与互联网连接的趋势
越来越明显,但是开放的同时也暴露出严重的脆弱性问题。入侵检测作为重要的安全防御措施,
能及时发现可能或潜在的入侵行为。论文从ICS网络安全现状及国家法律政策入手,首先介绍了
ICS系统架构及其特点,给出了IDS入侵检测系统(Intrusion Detection System,IDS)的介绍,其
次从误用入侵检测、异常入侵检测两个方面,对现有的ICS IDS的技术、算法的研究现状进行分
析,最后针对当前ICS IDS的发展与应用现状,对整个ICS IDS的研究趋势进行了展望。
关键词:工业控制系统;入侵检测系统;误用入侵检测;异常入侵检测
中图分类号:Tቤተ መጻሕፍቲ ባይዱ309
文献标识码:A
An overview of intrusion detection systems in industrial control system
62
爆发事件,至少150个国家、30万用户受害,造 成损失达80亿美元,事件中受损的工控系统数量 占总数的13.4%。2017年9月赛门铁克宣称,一 年来美国、土耳其和瑞士的数百电网遭到大规模 攻击,掌握电网登录凭证的黑客有可能具备制造 断电事件的能力。高频率的工控安全事件引起了 国家高度的重视。
入侵检测作为一种主动的安全防护技术,通 过对系统通信行为的实时监视、分析,以检测出 异常的攻击行为操作,并在攻击行为产生危害之 前进行拦截、报警、系统恢复等操作[6]。针对工 业控制系统入侵检测的研究与应用,相关学者根 据工控系统信息安全特点进行了大量的理论研 究。本文对当前的工控入侵检测研究进行总结、 归纳与分析,首先介绍了工控系统结构与安全脆 弱性问题,对入侵检测技术在工控系统异常行为 检测中的应用进行分析,讨论工控环境下异常行 为检测的关键问题,最后对工控系统入侵检测研 究进行展望,提出相关问题的研究发展方向。
网第 络1 0空卷间 安第全2 期Cyb2er0sp1a9ce年Se2c月urity
网络空间安全
Cyberspace Security
Vol.10 N2 o0.12 9F年eb第.2021期9
工业控制系统IDS技术研究综述
严益鑫,邹春明
(公安部第三研究所/上海网络与信息安全测评工程技术研究中心,上海 200031)
Yan Yixin, Zou Chunming (The Third Research Institute of Ministry of Public Security/Shanghai Engineering Research Center of Cyber and Information
Security Evaluation, Shanghai 200031)
1 引言
随着工业控制系统信息化发展的需求,工业 控制系统日渐趋于形成了一个开放式的网络环 境。由于传统工业控制系统是基于物理隔离的, 主要关注系统的功能安全,缺乏对信息安全的考 虑,缺少专门的安全防御措施[1]。
2010 年“震网(Stuxnet)”病毒的爆发
让世界明白工业控制系统已成为黑客的主要 目 标 [2], 随 后 “ 毒 区 ” ( D u Q u ) 和 “ 火 焰 ” (Flame)病毒又相继出现,与“震网”共同形 成“网络战”攻击群。2014 年,功能更为强大 的Havex 以不同工业领域为目标进行攻击,至 2016年已发展到88个变种。2015 年底发生的乌 克兰大面积停电事件又一次为工控安全拉响警 报 。 2 0 1 7 年 5 月 发 生 的 Wa n n a C r y 勒 索 病 毒 全 球 大
Abstract: As an industrial brain, the industrial control system (ICS) has become more and more open on the Internet. Therefore, the network security of industrial control systems has received more and more attention from the state. This paper starts with the current situation and national legal policy of ICS network security. Firstly, it introduces the architecture and characteristics of ICS system. Secondly, according to the two aspects of misuse intrusion detection and abnormal intrusion detection, this paper analyzes the current research status of ICS IDS technology and algorithm. Finally, the current development and application status of ICS IDS and research trend have been prospected. Key words: industrial control system; intrusion detection system; misuse of intrusion detection; abnormal intrusion detection
摘 要:工业控制系统(Industrial Control System,ICS)作为工业大脑,与互联网连接的趋势
越来越明显,但是开放的同时也暴露出严重的脆弱性问题。入侵检测作为重要的安全防御措施,
能及时发现可能或潜在的入侵行为。论文从ICS网络安全现状及国家法律政策入手,首先介绍了
ICS系统架构及其特点,给出了IDS入侵检测系统(Intrusion Detection System,IDS)的介绍,其
次从误用入侵检测、异常入侵检测两个方面,对现有的ICS IDS的技术、算法的研究现状进行分
析,最后针对当前ICS IDS的发展与应用现状,对整个ICS IDS的研究趋势进行了展望。
关键词:工业控制系统;入侵检测系统;误用入侵检测;异常入侵检测
中图分类号:Tቤተ መጻሕፍቲ ባይዱ309
文献标识码:A
An overview of intrusion detection systems in industrial control system
62
爆发事件,至少150个国家、30万用户受害,造 成损失达80亿美元,事件中受损的工控系统数量 占总数的13.4%。2017年9月赛门铁克宣称,一 年来美国、土耳其和瑞士的数百电网遭到大规模 攻击,掌握电网登录凭证的黑客有可能具备制造 断电事件的能力。高频率的工控安全事件引起了 国家高度的重视。