第五章-理论知识

工业控制系统入侵检测ICSSecurity&ProtectionCONTENT目录010203入侵检测系统概述工业控制系统入侵检测技术01入侵检测系统概述ICSSecurity&ProtectionIDS定义主动防御优势入侵检测系统（IDS）是网络安全设备，实时监控网络数据流量，分析数据特征与行为模式，精准识别潜在攻击和违规行为。与传统被动防护技术（如防火墙）不同，IDS主动监控与分析网络数据，能在攻击潜在阶段预警，为安全管理人员提供防范时间窗口。应用场景广泛应用于工业控制系统等关键领域，作为安全防护重要防线，保障工业生产安全。IDS概念与功能事件产生器负责从网络设备、系统日志等多源渠道收集数据，整合转换为特定格式事件，为后续分析提供基础。事件分析器接收事件并深入分析，采用模式匹配、统计分析、数据完整性分析等方法，精准判断事件性质。响应单元根据分析结果执行操作，如切断网络连接、触发报警信号或记录事件信息，及时应对入侵威胁。IDS架构组成事件数据库存放各种类型的中间数据和最终数据，其存储形式较为灵活，可以是功能强大、结构复杂的专业数据库系统。IDS架构组成基于正常网络活动数据构建正常模式基准，实时监测数据与基准对比，超出阈值则认为存在入侵行为。异常检测02构建用户行为模型，实时监测用户行为，与模型显著偏差且达风险标准则触发告警。行为分析03将已识别入侵行为定义为规则，监测数据与规则对照，匹配成功则判定入侵风险并告警。规则匹配01IDS工作原理一般部署在网络关键节点，如连接关键设备的交换机，主机网卡设为混杂模式，获取网段内数据包副本进行分析。部署位置不干扰正常网络流量，能全面监控网络数据，及时发现潜在入侵行为。部署优势需要合理配置网络设备，确保入侵检测系统能有效获取数据，同时不影响网络性能。部署挑战IDS部署策略IDS部署策略02工业控制系统入侵检测技术ICSSecurity&Protection基于异常的入侵检测技术通过建立正常行为模型，将当前行为与模型对比，若差异达阈值则判定为异常行为，适用于工业互联网系统。异常行为识别基于异常的入侵检测技术-核心理念多场景应用该技术可识别由错误、故障、欺诈、入侵等造成的异常行为，广泛应用于网络安全、工业控制等领域，保障系统安全稳定运行。基于异常的入侵检测技术-应用场景基于异常的入侵检测技术-种类基于贝叶斯推理的异常入侵检测0301基于模式的异常入侵检测基于统计的异常入侵检测0204基于文本分类的异常入侵检测模式识别收集大量正常行为历史数据，训练模型识别正常数据模式，新数据与模式不符则判定为异常。01基于模式的异常入侵检测-工作原理优势在于能有效识别已知模式的异常，但对未知模式适应性差，且训练模型需大量数据，模型更新成本高。优势与挑战基于模式的异常入侵检测-优势与局限统计分布分析利用统计学理论，认为正常数据遵循特定分布，如正态分布，若行为数据超出分布异常范围则判定为异常。基于统计的异常入侵检测-工作原理优势是理论基础扎实，计算相对简单，但对数据分布假设要求高，若数据不符合假设则检测效果不佳。优势与挑战基于统计的异常入侵检测-优势与局限测量系统特征值，如CPU占用率等，利用贝叶斯理论计算推理系统是否有入侵事件，特征值越多准确性越高。01贝叶斯理论应用基于贝叶斯推理的异常入侵检测-工作原理优势在于能综合多种特征进行推理，适应性强，但计算复杂度高，对先验概率要求高，获取先验概率难度大。优势与挑战基于贝叶斯推理的异常入侵检测-优势与局限将文本向量化表示，利用K-Means算法分析相似性，若行为与已知簇差异大则判定为异常。文本向量化与聚类基于文本分类的异常入侵检测-工作原理优势与挑战优势是能处理文本类数据，对文本异常检测效果好，但对文本预处理要求高，聚类效果受初始参数影响大。基于文本分类的异常入侵检测-优势与局限特征模式匹配基于误用的入侵检测通过预定义的规则匹配系统行为，规则来源于特征信息库，一旦匹配成功则判定为已知入侵行为。优缺点优点是能准确标识入侵行为类型，正确率高，误报率低，但漏报率高，无法检测未知入侵行为。基于误用的入侵检测技术基于误用的入侵检测技术-种类基于条件概率的误用入侵检测0301基于专家系统的误用入侵检测基于状态转换分析的误用入侵检测0204基于键盘监控的误用入侵检测05基于规则的误用入侵检测采用if-then结构规则，将入侵条件转化为规则化知识，通过规则执行判断入侵行为。if-then规则基于专家系统的误用入侵检测-工作原理知识库更新需求需要定期更新知识库以检测新入侵行为，特征分析效率更高，但知识库更新维护成本高。基于专家系统的误用入侵检测-优势与局限状态转换图将入侵行为视为状态转换过程，通过状态转换图分析系统状态变化，确定入侵行为。基于状态转换分析的误用入侵检测-工作原理适用范围适用于已知入侵行为分析，但对未知入侵行为无能为力，且状态转换图构建复杂。基于状态转换分析的误用入侵检测-优势与局限贝叶斯定理应用观察事件序列，利用贝叶斯定理推断入侵行为，是概率论方法的改进。基于条件概率的误用入侵检测-工作原理难以确定先验概率和事件独立性，导致检测准确性受限。先验概率难题基于条件概率的误用入侵检测-优势与局限通过观察用户击键模式与入侵模式匹配，发现入侵行为。击键模式匹配基于键盘监控的误用入侵检测-工作原理方法简单但存在缺陷，难以捕获击键情况，无法识别用户真实意图，也不能检测程序攻击。缺陷分析基于键盘监控的误用入侵检测-优势与局限规则描述将入侵模式描述为规则，符合规则即为入侵行为，如Snort系统。基于规则的误用入侵检测-工作原理推理规则分类分向前推理和向后推理，向前推理根据数据推结果，向后推理根据结果推原因。基于规则的误用入侵检测-优势与局限优势与局限基于异常的检测能发现未知攻击，但需大量数据和训练；基于误用的检测简单，只能检测已知入侵。在需检测未知攻击场景下，选用基于异常的检测技术；在已知攻击模式明确时，可选择基于误用的检测。适用场景综合应用实际应用中可根据具体需求，结合两种技术优势，构建更全面的入侵检测系统。技术对比与选择南仁东与“天眼”南仁东,我国著名天文学家、中国科学院国家天文台研究员、人民科学家。曾任FAST工程首席科学家兼总工程师。他为了建造世界最大单口径射电望远镜（FAST），也就是“天眼”，耗费了大量心血。他带着团队在贵州的深山里选址，风餐露宿，克服了地质条件复杂、施工难度大等诸多困难。南仁东在技术研发上精益求精，不断攻克