曹策等：变频矢量控制系统入侵检测技术 ·1075· matching.Finally,a physical experiment environment is built for the intrusion detection system.The simulation results of the AC-DC- AC variable-frequency vector control model in this paper show good dynamic performance,which is similar to the trend of waveform change on actual vector control system parameters.The effectiveness of the intrusion detection system is verified by extracting part of the KDD Cup99 test dataset to implement the behaviors of attacks,such as the denial of service DOS),remote-to-local (R2L),user- to-root (U2R),and Probing attacks on the intrusion detection system. KEY WORDS variable-frequency speed-regulating system;intrusion detection technology;EtherCAT bus;least-squares support vector machine;rule matching 随着“工业4.0”、“互联网+”概念的提出， 没有内在的网络层可靠性、顺序和数据完整性检测 工业现场感应电机的调速系统信息化、网络化获得 机制，所以同样容易受到以太网入侵的威胁.Eher- 越来越广泛的应用，与此同时也带来了各种信息安 CAT作为实时以太网通信手段，其时间同步机制很 全问题.由于工业现场变频调速系统环境复杂、对 容易被注入网络的干扰帧扰乱，同时由于缺少总线 矢量控制的精准性要求高，而工业防火墙等网络安 授权而容易受身份伪造或中间人攻击，同时其快速 全产品都是在威胁发生后通过升级补丁的手段进行 实时的数据敏感性也会给拒绝服务攻击(denial of “被动防御”：因此有必要结合五元组与协议解析以及 service,DoS)留下漏洞.表1为已捕捉到的实际存 机器学习，建立专门面向工控安全的主动防御机制). 在的常见EtherCAT工业总线异常行为. 目前国内外对于工业总线入侵检测与防御的研 表1常见EtherCAT通信协议异常行为 究取得了一定成果，如Colbert等)提出通过对关键 Table 1 Common EtherCAT communication protocol abnormal behavior 过程变量和过程网络参数两组数据实时监测，加强 编号 协议异常行为 系统的入侵检测能力，入侵检测系统的规则签名以 1不合法异常数据地址，端口 安全工程师和设备操作员先验知识为基础，任何可 2数据包长度异常，可能存在潜在拒接服务攻击 疑的网络数据都将被截取并通知给操作员.文献 3主/从站通信设备一直繁忙，可能存在潜在拒绝服务攻击 [4]通过工业控制系统(industrial control systems, 4通信相关计数器数值被全部清零，需重启通信会话 ICS)内部防火墙、入侵检测系统与可信连接服务器 5未经授权的EtherCAT主站读写操作 之间的联动验证机制，实现了多个网络安全设备的 6扫描EtherCAT从站D,造成信息泄露 信息交互，提高了工业控制系统的综合防御能力. 7更改收发信息方式，主，从站设备被同时隔离 文献[5]提出了结构安全、本体安全、行为安全、基 8不合法功能代码带来的异常数据操作 因安全和时间持续性的“4+1”安全防护模型，健全 发现隐患、管理威胁、预知威胁和主动修复的纵深防 1.2 EtherCAT协议数据帧解析 御体系.文献[6]将网络划分成多个安全区并在这 针对EtherCAT总线协议的分析技术具有一定 些安全区之间设置安全通信信道，根据数据传输限 的检测未知网络攻击能力，由于网络协议都具有高 制与安全要求评估工业总线参数的安全级别与敏感 度规则性与有序性)，所以对于未知、违规以及非 程度，自主划分复杂数据的路由节点以及通信路径， 法协议都可以筛选出来.如图1是EtherCAT通信 该技术保证了安全系统的结构性与实时性. 协议报文，根据协议五元组与EtherCAT数据帧内的 采用多层次纵深入侵检测的安全理念已经成为 数据存储结构可以实现对协议的入侵检测. 当今工业控制系统信息安全的核心思想]，为此， 分类后对EtherCAT五元组及数据位进行如表 本文以感应电机矢量控制系统为核心，围绕Eher- 2的定义. CAT总线协议与感应电机模型参数构建起总线通 1.3 EtherCAT协议入侵检测规则库建立 信与控制模型的入侵检测系统.最后通过模拟工业 为了保证针对总线协议的入侵检测规则快速高 网络攻击行为对变频控制系统入侵检测系统有效性 效的被部署到检测引擎进行模式匹配，本文采用三 进行验证 维指针链表树作为针对EtherCAT总线协议规则库 的检索数据结构.首先将规则通过响应方式划分为 1 EtherCAT工业总线入侵检测技术 Pass、Drop、Alert、Log四个大类，每一个大类中根据 1.1 EtherCAT协议漏洞 EtherCAT通信协议的特征分为五元组、参数信息两 由于EtherCAT总线协议是实时以太网协议[)]， 个具体的数据位置类，五元组类下按照优先级划分曹 策等: 变频矢量控制系统入侵检测技术 matching. Finally, a physical experiment environment is built for the intrusion detection system. The simulation results of the AC鄄鄄DC鄄鄄 AC variable鄄frequency vector control model in this paper show good dynamic performance, which is similar to the trend of waveform change on actual vector control system parameters. The effectiveness of the intrusion detection system is verified by extracting part of the KDD Cup99 test dataset to implement the behaviors of attacks, such as the denial of service (DOS), remote鄄to鄄local (R2L), user鄄 to鄄root (U2R), and Probing attacks on the intrusion detection system. KEY WORDS variable鄄frequency speed鄄regulating system; intrusion detection technology; EtherCAT bus; least鄄squares support vector machine; rule matching 随着“工业 4郾 0冶、“互联网 + 冶 概念[1] 的提出, 工业现场感应电机的调速系统信息化、网络化获得 越来越广泛的应用,与此同时也带来了各种信息安 全问题. 由于工业现场变频调速系统环境复杂、对 矢量控制的精准性要求高,而工业防火墙等网络安 全产品都是在威胁发生后通过升级补丁的手段进行 “被动防御冶;因此有必要结合五元组与协议解析以及 机器学习,建立专门面向工控安全的主动防御机制[2] . 目前国内外对于工业总线入侵检测与防御的研 究取得了一定成果,如 Colbert 等[3]提出通过对关键 过程变量和过程网络参数两组数据实时监测,加强 系统的入侵检测能力,入侵检测系统的规则签名以 安全工程师和设备操作员先验知识为基础,任何可 疑的网络数据都将被截取并通知给操作员. 文献 [4] 通过工业控制系统( industrial control systems, ICS)内部防火墙、入侵检测系统与可信连接服务器 之间的联动验证机制,实现了多个网络安全设备的 信息交互,提高了工业控制系统的综合防御能力. 文献[5]提出了结构安全、本体安全、行为安全、基 因安全和时间持续性的“4 + 1冶安全防护模型,健全 发现隐患、管理威胁、预知威胁和主动修复的纵深防 御体系. 文献[6]将网络划分成多个安全区并在这 些安全区之间设置安全通信信道,根据数据传输限 制与安全要求评估工业总线参数的安全级别与敏感 程度,自主划分复杂数据的路由节点以及通信路径, 该技术保证了安全系统的结构性与实时性. 采用多层次纵深入侵检测的安全理念已经成为 当今工业控制系统信息安全的核心思想[7] ,为此, 本文以感应电机矢量控制系统为核心,围绕 Ether鄄 CAT 总线协议与感应电机模型参数构建起总线通 信与控制模型的入侵检测系统. 最后通过模拟工业 网络攻击行为对变频控制系统入侵检测系统有效性 进行验证. 1 EtherCAT 工业总线入侵检测技术 1郾 1 EtherCAT 协议漏洞 由于 EtherCAT 总线协议是实时以太网协议[8] , 没有内在的网络层可靠性、顺序和数据完整性检测 机制,所以同样容易受到以太网入侵的威胁. Ether鄄 CAT 作为实时以太网通信手段,其时间同步机制很 容易被注入网络的干扰帧扰乱,同时由于缺少总线 授权而容易受身份伪造或中间人攻击,同时其快速 实时的数据敏感性也会给拒绝服务攻击( denial of service, DoS)留下漏洞. 表 1 为已捕捉到的实际存 在的常见 EtherCAT 工业总线异常行为. 表 1 常见 EtherCAT 通信协议异常行为 Table 1 Common EtherCAT communication protocol abnormal behavior 编号 协议异常行为 1 不合法异常数据地址、端口 2 数据包长度异常,可能存在潜在拒接服务攻击 3 主/ 从站通信设备一直繁忙,可能存在潜在拒绝服务攻击 4 通信相关计数器数值被全部清零,需重启通信会话 5 未经授权的 EtherCAT 主站读写操作 6 扫描 EtherCAT 从站 ID,造成信息泄露 7 更改收发信息方式,主、从站设备被同时隔离 8 不合法功能代码带来的异常数据操作 1郾 2 EtherCAT 协议数据帧解析 针对 EtherCAT 总线协议的分析技术具有一定 的检测未知网络攻击能力,由于网络协议都具有高 度规则性与有序性[9] ,所以对于未知、违规以及非 法协议都可以筛选出来. 如图 1 是 EtherCAT 通信 协议报文,根据协议五元组与 EtherCAT 数据帧内的 数据存储结构可以实现对协议的入侵检测. 分类后对 EtherCAT 五元组及数据位进行如表 2 的定义. 1郾 3 EtherCAT 协议入侵检测规则库建立 为了保证针对总线协议的入侵检测规则快速高 效的被部署到检测引擎进行模式匹配,本文采用三 维指针链表树作为针对 EtherCAT 总线协议规则库 的检索数据结构. 首先将规则通过响应方式划分为 Pass、Drop、Alert、Log 四个大类,每一个大类中根据 EtherCAT 通信协议的特征分为五元组、参数信息两 个具体的数据位置类,五元组类下按照优先级划分 ·1075·