天方夜 “谈” 第5期 | 基于Modbus TCP协议的工业控制系统入侵检测

当前位置：首页 > > 天方夜 “谈” 第5期 | 基于Modbus TCP协议的工业控制系统入侵检测

天方夜 “谈” 第5期 | 基于Modbus TCP协议的工业控制系统入侵检测

发表于：2020-03-18 20:48 作者：方滨兴班阅读数（11996人）

Intrusion Detection of Industrial Control System based on Modbus TCP Protocol

本文发表于 2017 IEEE 13th International Symposium on Autonomous Decentralized Systems，第一作者：Wang Yusheng，College of Computer Science Beijing University of Technology Beijing

背景

最初，ICS（工业控制系统）是一个封闭系统，主要关注系统的可控性、可用性、可扩展性。随着工业化和自动化转向网络和信息的发展，越来越多的ICS采用标准的通用通信协议和软硬件系统。许多现代ICS网络必须连接到外部网，外部网络也需要连接到ICS。由于缺乏安全意识和保护措施，各种蠕虫和病毒对ICS的影响越来越严重，ICS的网络安全事件频繁发生。近年来，ICS安全防护技术主要包括防火墙技术，入侵检测技术，ICS系统漏洞挖掘技术和风险评估等。IDS（入侵检测系统）可以在一定程度上识别入侵行为并增强系统的安全性，但仍存在一些问题：

（1）基于误用的方法能够有效处理已知威胁，但是存在漏报率，基于异常的方法能够处理识别新的攻击，但是存在误报率。

（2）采用传统的模式匹配作为检测算法，计算量大，精度低，耗费系统资源，会严重影响检测的性能。

（3）Modbus TCP协议存在漏洞，协议内容尚未深入分析，流量特性未灵活使用，设计规则仍停留在概念和逻辑层面，影响入侵检测的效率。

论文提出了一种创新方法SD-IDS（Stereo Depth入侵检测系统），用于对Modbus TCP流量进行实时深度检测。

创新的方法

SD-IDS算法由两部分组成：规则提取和深度检测。

A.规则提取

在这一部分，论文提出了一种新的规则提取模型。规则提取方法包括三个模块：深度协议解析模块，生成正常规则集合和生成异常规则集合。该方法不仅分析了工业流量的特点，还探讨了Modbus TCP协议中关键字段之间的语义关系。

1）深度协议解析模块

在这一部分中，论文实现了一个深度协议解析模块来提取数据包的关键字段。Modbus TCP协议的深度解析模块包括网络层，传输层和应用层。该模块不仅分析TCP和IP层的标志头，还解析Modbus有效负载。因此，可以理解Modbus TCP协议中的每个关键字段，以提高入侵检测的效率。

图片.png

2）生成正常规则集合

生成模块正常规则集合由四部分组成：分析分组协议字段内的关系，分析Modbus主/从设备的通信分组之间的关系，分析相同功能行为类的周期性，讨论分组协议字段的变化及其规律，并分析整个分组之间可靠通信的关系。框架的基本概念定义如下：

图片.png

3）生成异常规则集合

生成异常规则集合的模块由两部分组成：分析Modbus TCP协议的漏洞，分析入侵行为。框架的基本概念描述如下：

图片.png

B.深度检测

深度检测模块主要对Modbus TCP流量进行实时深度检测。

图片.png

SD-IDS算法在进入检测流程之前，需要为其提供分类后的规则集。因此，必须分析正常规则和异常规则，并删除重复规则。首先，将正常规则与异常规则集合相匹配，如果正常规则满足异常规则集合的一个规则，就去掉正常规则。其次，将异常规则与正常规则集合进行匹配，如果异常规则中的字段包含在正常规则集中，则保留正常规则并删除异常规则。

利用该模型来检测Modbus TCP 网络流量，以识别网络是否有被攻击的迹象。除非包不满足异常规则集中的所有规则，并且它满足正常规则集中至少一个规则中的所有条件，否则它被认为是异常数据。

实验

A.实验环境

论文在Modbus TCP协议上模拟实验环境。HMI通过SCnet II工业以太网与PLC相连，PLC主要执行简单的操作，如轮询、远程I/O、配置等，现场区域由一些分布在水箱上的传感器和执行器组成。为了与实际环境保持一致，PLC的参数和控制命令与实际工业过程相同。为了验证ID的有效性，论文通过攻击工业控制系统来测试其设计的模型。

图片.png