0 引言
    工業(yè)控制系統(tǒng)（Industry Control Systems，ICS）是國(guó)家基礎(chǔ)設(shè)施的重要組成部分，被廣泛應(yīng)用于電力、交通、水利、石油化工、核能、航空等領(lǐng)域，是這些重要基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行的“大腦”。隨著信息技術(shù)的發(fā)展以及工業(yè)與信息化的深度融合，現(xiàn)代工業(yè)控制系統(tǒng)越來(lái)越多地采用通用的TCP/IP協(xié)議及操作系統(tǒng)，同辦公系統(tǒng)等其他信息系統(tǒng)的連接也越來(lái)越多。由于工業(yè)控制系統(tǒng)在實(shí)時(shí)性、穩(wěn)定性方面的特殊性，造成了在應(yīng)用信息技術(shù)時(shí)忽略了網(wǎng)絡(luò)安全因素，加之工業(yè)控制系統(tǒng)自身的漏洞并未得到足夠的重視，使得目前工業(yè)控制系統(tǒng)面臨的安全威脅日益嚴(yán)重。2010年爆發(fā)的“震網(wǎng)病毒”（Stuxnet）是第一個(gè)被檢測(cè)出來(lái)專門(mén)攻擊破壞工業(yè)控制系統(tǒng)的病毒，“震網(wǎng)病毒”造成伊朗鈾濃縮工廠多臺(tái)離心機(jī)損壞，布什爾核電站因此推遲啟動(dòng)[1]。2011年和2012年，又相繼發(fā)現(xiàn)了“Duqu病毒”和“火焰病毒”，但與“震網(wǎng)病毒”不同的是，前者主要目的是造成工業(yè)破壞，而后兩者則被用來(lái)收集與其攻擊目標(biāo)有關(guān)的各種情報(bào)。由此充分說(shuō)明，針對(duì)工業(yè)控制系統(tǒng)的復(fù)雜信息安全攻擊已經(jīng)成為現(xiàn)實(shí)。
    ICS系統(tǒng)安全防護(hù)技術(shù)手段主要有防火墻技術(shù)、入侵檢測(cè)技術(shù)、ICS系統(tǒng)漏洞挖掘技術(shù)、風(fēng)險(xiǎn)評(píng)估技術(shù)等。后兩者并不能提供實(shí)時(shí)的網(wǎng)絡(luò)安全防護(hù)，防火墻雖然能夠有效地阻止來(lái)自外部的攻擊，但不能防止來(lái)自ICS系統(tǒng)內(nèi)部的攻擊，入侵檢測(cè)技術(shù)被稱為防火墻之后的第二道安全閘門(mén)，可實(shí)現(xiàn)對(duì)內(nèi)、外部入侵的實(shí)時(shí)檢測(cè)。
    本文對(duì)異常檢測(cè)技術(shù)中的非參數(shù)CUSUM算法進(jìn)行改進(jìn)，重新設(shè)計(jì)算法中偏移常數(shù)的生成方法，提出具有自適應(yīng)特征的動(dòng)態(tài)檢測(cè)門(mén)限設(shè)置規(guī)則，給出改進(jìn)算法（D-CUSUM）在ICS系統(tǒng)入侵檢測(cè)中的應(yīng)用，通過(guò)仿真實(shí)驗(yàn)給出算法的檢測(cè)性能分析。
1 相關(guān)研究
    目前，對(duì)ICS網(wǎng)絡(luò)安全的研究整體還處于起步階段，本節(jié)主要介紹CUSUM算法在入侵檢測(cè)技術(shù)以及ICS入侵檢測(cè)中應(yīng)用的相關(guān)研究。
    文獻(xiàn)[2]通過(guò)將網(wǎng)絡(luò)劃分成多個(gè)簇，在各簇設(shè)置單獨(dú)的自治網(wǎng)絡(luò)管理單元，在各自治網(wǎng)絡(luò)管理單元上部署基于CUSUM算法的入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)檢測(cè)DDoS攻擊的目的。文獻(xiàn)[3]針對(duì)無(wú)線傳感器網(wǎng)絡(luò)的特征，分別研究多級(jí)CUSUM算法、基于信噪比的CUSUM算法以及統(tǒng)計(jì)CUSUM算法，用于對(duì)無(wú)線傳感器網(wǎng)絡(luò)攻擊的檢測(cè)。張?jiān)瀑F等在文獻(xiàn)[4-5]中研究了CUSUM異常檢測(cè)算法在工業(yè)控制系統(tǒng)入侵檢測(cè)中的應(yīng)用。
    上述研究中采用的都是基于固定檢測(cè)門(mén)限的CUSUM算法，并且通常憑經(jīng)驗(yàn)值設(shè)置固定的偏移常數(shù)。針對(duì)這一問(wèn)題，本文基于概率論理論提出一種自適應(yīng)的偏移常數(shù)生成方法，給出具有自適應(yīng)特征的動(dòng)態(tài)檢測(cè)門(mén)限設(shè)置規(guī)則。仿真結(jié)果證明本文算法明顯提升了ICS入侵檢測(cè)技術(shù)的性能。
2 算法的改進(jìn)
2.1 CUSUM算法描述
    CUSUM異常檢測(cè)算法是一種序貫分析法，由劍橋大學(xué)的E.S.Page于1954年提出，是工業(yè)控制過(guò)程異常監(jiān)控的常用算法，它可以檢測(cè)到一個(gè)統(tǒng)計(jì)過(guò)程均值的變化。CUSUM算法基于這樣一個(gè)事實(shí)：如果有變化發(fā)生，則隨機(jī)序列的概率分布也會(huì)發(fā)生改變。
   

以上為標(biāo)準(zhǔn)CUSUM算法。
2.2 非參數(shù)CUSUM算法
    應(yīng)用CUSUM算法需要事先知道隨機(jī)序列的參數(shù)模型（如隨機(jī)序列服從標(biāo)準(zhǔn)正態(tài)分布等），以便使用概率密度函數(shù)來(lái)監(jiān)控序列。正常情況下，工業(yè)控制系統(tǒng)中傳感器的預(yù)測(cè)值可通過(guò)數(shù)學(xué)模型或經(jīng)驗(yàn)公式獲得，但網(wǎng)絡(luò)攻擊的概率分布卻難以獲得，也就無(wú)法得知攻擊狀態(tài)下監(jiān)控序列的概率分布，所以需要一種模型無(wú)關(guān)的檢測(cè)算法。而非參數(shù)CUSUM算法主要是累積明顯比正常情況下的平均水平高的Xn值，不需要具體的模型，并且能夠以連續(xù)方式監(jiān)控輸入的隨機(jī)變量，從而達(dá)到實(shí)時(shí)檢測(cè)。
    非參數(shù)CUSUM算法的定義為：
   

    上式為非參數(shù)CUSUM算法的遞歸形式。
    非參數(shù)CUSUM算法不要求檢測(cè)序列的概率分布，但要求檢測(cè)序列{x_n}在正常情況下具有負(fù)的期望值E(X)<0，變化發(fā)生后具有正的期望值E(X)>0，這是應(yīng)用非參數(shù)CUSUM算法的前提條件。
2.3 自適應(yīng)設(shè)置檢測(cè)門(mén)限的改進(jìn)非參數(shù)CUSUM算法（D-CUSUM）
2.3.1 數(shù)據(jù)預(yù)處理
    令獨(dú)立隨機(jī)變量序列X={x₁，x₂，x₃，…}表示輸入數(shù)據(jù)。由2.2節(jié)可知，非參數(shù)CUSUM算法要求樣本序列的數(shù)學(xué)期望值為負(fù)值，為了保證滿足這一條件，需要對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，通常做法是設(shè)置一個(gè)偏移常數(shù)β，令=X-β，使滿足正常狀態(tài)下。目前ICS系統(tǒng)非參數(shù)CUSUM入侵檢測(cè)算法大多設(shè)置固定的偏移常數(shù)，本文算法與其不同，基于概率論中著名的柯?tīng)柲缏宸颍↘olmogorov）不等式生成偏移常數(shù)β。主要步驟如下：
    (1)對(duì)原始數(shù)據(jù)X的均值μ_n(n=2，3，…)和方差(n=2，3，…)進(jìn)行在線估計(jì)和更新。具體方法為：

2.3.2 自適應(yīng)設(shè)置檢測(cè)門(mén)限
    為了降低處理開(kāi)銷，本文算法采用非參數(shù)CUSUM算法的遞歸形式，處理過(guò)程如下：
    由式(9)可知：

    (5)讀取x_n+1，重復(fù)步驟(2)~(4)，開(kāi)始下一輪檢測(cè)。
    (6)算法結(jié)束。
    需要指出的是，在步驟(4)中算法設(shè)計(jì)引入了閾值系數(shù)ρ與告警控制參數(shù)K。對(duì)這兩個(gè)參數(shù)的設(shè)置要求比較寬松，取決于用戶對(duì)虛警概率和異常檢測(cè)時(shí)延的要求。增大ρ、K的取值，可以在一定范圍內(nèi)降低虛警概率，但同時(shí)也增加了檢測(cè)時(shí)延。
3 算法的應(yīng)用及仿真
    本節(jié)研究了上述改進(jìn)算法（D-CUSUM）在溫度控制系統(tǒng)入侵檢測(cè)中的應(yīng)用。實(shí)驗(yàn)應(yīng)用MATLAB Simulink仿真環(huán)境搭建溫度控制系統(tǒng)，模擬攻擊者對(duì)某一溫度傳感器實(shí)施攻擊。
    令x_n和τ_N表示該溫度傳感器在時(shí)刻n的測(cè)量值和告警閾值。正常情況下，序列{x_n}是均值平穩(wěn)序列，攻擊發(fā)生時(shí)，病毒修改傳感器的測(cè)量值，序列均值發(fā)生明顯變化。實(shí)驗(yàn)仿真針對(duì)ICS的幾何攻擊^[8]，其攻擊特征為：，其中0<γ<1。攻擊從k=0時(shí)刻開(kāi)始。開(kāi)始時(shí)，傳感器信號(hào)變化微小，當(dāng)k>n后，攻擊突然大幅增加，傳感器的測(cè)量信號(hào)會(huì)突然變大，如果在這之前，沒(méi)有檢測(cè)到攻擊的發(fā)生，會(huì)對(duì)ICS的安全帶來(lái)威脅，甚至對(duì)實(shí)際生產(chǎn)過(guò)程造成損害。
    假設(shè)正常情況下溫度傳感器的測(cè)量值為(1 000±20)℃，超過(guò)1 020 ℃就會(huì)造成物理?yè)p壞。幾何攻擊參數(shù)設(shè)置為：η=20，n=100，γ=0.817。EWMA平滑因子α=0.98，累積和計(jì)算長(zhǎng)度L=50，采樣周期Ts=100 s。圖1給出了(ρ，K)=(0.5，4)時(shí)的結(jié)果。

圖1  入侵檢測(cè)仿真結(jié)果

    從圖1中可以看出，在時(shí)刻k=100Ts時(shí)，溫度傳感器達(dá)到了ICS允許的最大溫度值。采用本文算法D-CUSUM檢測(cè)系統(tǒng)，在時(shí)刻k=81Ts時(shí)檢測(cè)到異常，系統(tǒng)告警，ICS遭到攻擊；采用固定門(mén)限CUSUM算法[8]，在時(shí)刻k=90Ts系統(tǒng)告警。由此可見(jiàn)，在本文仿真環(huán)境下，本算法能在ICS系統(tǒng)產(chǎn)生物理?yè)p壞前19Ts=1 900 s發(fā)出告警，在檢測(cè)實(shí)時(shí)性方面優(yōu)于固定門(mén)限算法90Ts-81Ts=9Ts=900 s。
4 結(jié)論
    本文根據(jù)工業(yè)控制系統(tǒng)高實(shí)時(shí)性和高可用性的要求，針對(duì)CUSUM異常檢測(cè)算法存在的固定偏移常數(shù)和固定檢測(cè)門(mén)限問(wèn)題，提出了一種面向工業(yè)控制系統(tǒng)、具有自適應(yīng)特征的非參數(shù)CUSUM（D-CUSUM）入侵檢測(cè)方法。算法的自適應(yīng)特征體現(xiàn)在兩點(diǎn)：(1)基于柯?tīng)柲缏宸虿坏仁嚼碚撛O(shè)置非參數(shù)CUSUM偏移常數(shù)β；(2)通過(guò)外部參數(shù)-告警控制參數(shù)動(dòng)態(tài)設(shè)置檢測(cè)門(mén)限τN。針對(duì)溫度控制系統(tǒng)的攻擊仿真實(shí)驗(yàn)結(jié)果證明，本文提出的改進(jìn)算法改善了檢測(cè)的實(shí)時(shí)性和誤報(bào)率，能夠?qū)崿F(xiàn)對(duì)工業(yè)控制系統(tǒng)的低誤報(bào)率實(shí)時(shí)入侵檢測(cè)。
參考文獻(xiàn)
[1] 李戰(zhàn)寶，潘卓.透視“震網(wǎng)”病毒[A].第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C]，2011.
[2] Patrick P C Lee，Tian Bu，Thomas Woo.On the detection of signaling DoS attacks on 3G wireless networks[J].Computer Network，2009，53(15)：2601-2606.
[3] Xiao Zhenghong，Chen Zhigang，Deng Xiaoheng.Anomaly detection based on a multi-class CUSUM algorithm for WSN[J].Journal of Computers，2010，5(2)：306-313.
[4] 張?jiān)瀑F，趙華，王麗娜.基于工業(yè)控制模型的非參數(shù)CUSUM入侵檢測(cè)方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版)，2012，42(A01)：55-59.
[5] 張?jiān)瀑F，佟為明，趙永麗.CUSUM異常檢測(cè)算法改進(jìn)及在工控系統(tǒng)入侵檢測(cè)中的應(yīng)用[J].冶金自動(dòng)化，2014，38(5)：1-5.