论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　3.2工业控制系统纵深防护体系
　　工业控制系统信息安全问题具有一定的复杂性，仅依赖于单一的安全技术和解决方案无法实现系统整体安全，因此必须综合多种安全技术，分层分域地部署各种安全防护措施，以提升系统的整体防御能力。美国国土安全部DHS提出了工业控制系统“纵深防御”战略，将工业控制网络划分为不同的安全区，部署防火墙、入侵检测等多种安全措施，形成整体防护能力。下面将针对工业控制防火墙和入侵防范系统的技术研究进展进行讨论。
　　（1）防火墙技术
　　与传统信息系统防火墙相比，工业控制系统防火墙技术具有以下3个特点：（1)具备状态检测的能力、状态分析功能；（2)对于工业控制协议的支持能力；（3)能够满足工业控制系统实时性要求。因此，对工业控制系统专用防火墙，一方面是对工业控制专用协议的支持。DNP3、Profibus、1C-CP等典型工业控制协议通常使用随机端口侦听或者RPC远程过程调用等工作方式，目前主要通过规则更新的方式进行兼容。另一方面需要采用类似DPI(深度报文检测）技术来实现对封装在TCP/IP协议负载内的工业控制协议检测，发现、识别、分类、重新路由或阻止具有特殊数据或代码有效载荷的数据包。针对这一需求，一些安全厂商已经开始研究DPI技术在工业控制安全产品中的应用。目前，DPI主要采用FPGA的硬方法和基于多核并行处理的软方式实现。对于后者，由于具有模块化的特点，在携带和可扩展性上具有一定的优势，成为目前研究的热点。此外，由于工业控制系统对实时性要求较高，传统基于包过滤和应用层网关的防火墙技术由于效率和规则的问题无法满足，状态检测技术在基本包过滤的基础上增加了状态分析功能，它记录和跟踪所有进出数据报的信息，对连接的状态进行动态维护和分析，一旦发现异常的流量或异常连接，就动态生成过滤规则，在提高准确率的同时，降低了工作负载。
　　（2）入侵防范技术
　　从入侵检测/防护技术分类来看，主要包括基于规则的和基于统计的入侵检测/防护系统。在基于规则的入侵检测/防护系统中，已经有一些研究将Snort应用于在工业控制领域，例如通过预处理插件的方法增加了Snort对基于串行的工业控制系统上拒绝服务、命令注入、响应注入和系统侦查4类入侵的检测和预防能力。一些研究人员已经开发了用于工业控制系统的基于统计的入侵检测系统。统计入侵检测系统使用统计方法将网络流量分类为正常或异常（或分成更小的子类）。各种模型类型或分类器可以用于建立统计模型，包括神经网络、线性方法、回归模型和Bayesian网络。Zhu等对SCADA特定的入侵检测/防护系统进行了调研和分类6种工业控制入侵检测设备从应用方案、检测方法、特殊需求等方面进行了详细的比较。
　　（3）事件关联与态势分析技术
　　事件关联和态势分析技术是采用数据挖掘、数据融合等方法对不同来源的事件数据进行关联分析，利用模式识别的方法识别当前的安全态势，为应急响应措施的部署提供决策依据，目前用来进行态势识别的技术包括神经网络、Bayesian网络、ICA(独立分量分析）、支持向量机等，根据实时性和分类要求，目前这些方法呈现出不断融合的趋势，例如有的首先使用ICA对融合的数据进行处理，再利用神经网络建立分类模型；或者通过对原始数据进行降维、降噪的处理来提高支持向量机分类的准确性。