工业控制系统安全防护 课件 第五章-工业控制系统入侵检测

工业控制系统入侵检测ICSSecurity&ProtectionCONTENT目录010203入侵检测系统概述工业控制系统入侵检测技术01入侵检测系统概述ICSSecurity&ProtectionIDS定义主动防御优势入侵检测系统（IDS）是网络安全设备，实时监控网络数据流量，分析数据特征与行为模式，精准识别潜在攻击和违规行为。与传统被动防护技术（如防火墙）不同，IDS主动监控与分析网络数据，能在攻击潜在阶段预警，为安全管理人员提供防范时间窗口。应用场景广泛应用于工业控制系统等关键领域，作为安全防护重要防线，保障工业生产安全。IDS概念与功能事件产生器负责从网络设备、系统日志等多源渠道收集数据，整合转换为特定格式事件，为后续分析提供基础。事件分析器接收事件并深入分析，采用模式匹配、统计分析、数据完整性分析等方法，精准判断事件性质。响应单元根据分析结果执行操作，如切断网络连接、触发报警信号或记录事件信息，及时应对入侵威胁。IDS架构组成事件数据库存放各种类型的中间数据和最终数据，其存储形式较为灵活，可以是功能强大、结构复杂的专业数据库系统。IDS架构组成基于正常网络活动数据构建正常模式基准，实时监测数据与基准对比，超出阈值则认为存在入侵行为。异常检测02构建用户行为模型，实时监测用户行为，与模型显著偏差且达风险标准则触发告警。行为分析03将已识别入侵行为定义为规则，监测数据与规则对照，匹配成功则判定入侵风险并告警。规则匹配01IDS工作原理一般部署在网络关键节点，如连接关键设备的交换机，主机网卡设为混杂模式，获取网段内数据包副本进行分析。部署位置不干扰正常网络流量，能全面监控网络数据，及时发现潜在入侵行为。部署优势需要合理配置网络设备，确保入侵检测系统能有效获取数据，同时不影响网络性能。部署挑战IDS部署策略IDS部署策略02工业控制系统入侵检测技术ICSSecurity&Protection基于异常的入侵检测技术通过建立正常行为模型，将当前行为与模型对比，若差异达阈值则判定为异常行为，适用于工业互联网系统。异常行为识别基于异常的入侵检测技术-核心理念多场景应用该技术可识别由错误、故障、欺诈、入侵等造成的异常行为，广泛应用于网络安全、工业控制等领域，保障系统安全稳定运行。基于异常的入侵检测技术-应用场景基于异常的入侵检测技术-种类基于贝叶斯推理的异常入侵检测0301基于模式的异常入侵检测基于统计的异常入侵检测0204基于文本分类的异常入侵检测模式识别收集大量正常行为历史数据，训练模型识别正常数据模式，新数据与模式不符则判定为异常。01基于模式的异常入侵检测-工作原理优势在于能有效识别已知模式的异常，但对未知模式适应性差，且训练模型需大量数据，模型更新成本高。优势与挑战基于模式的异常入侵检测-优势与局限统计分布分析利用统计学理论，认为正常数据遵循特定分布，如正态分布，若行为数据超出分布异常范围则判定为异常。基于统计的异常入侵检测-工作原理优势是理论基础扎实，计算相对简单，但对数据分布假设要求高，若数据不符合假设则检测效果不佳。优势与挑战基于统计的异常入侵检测-优势与局限测量系统特征值，如CPU占用率等，利用贝叶斯理论计算推理系统是否有入侵事件，特征值越多准确性越高。01贝叶斯理论应用基于贝叶斯推理的异常入侵检测-工作原理优势在于能综合多种特征进行推理，适应性强，但计算复杂度高，对先验概率要求高，获取先验概率难度大。优势与挑战基于贝叶斯推理的异常入侵检测-优势与局限将文本向量化表示，利用K-Means算法分析相似性，若行为与已知簇差异大则判定为异常。文本向量化与聚类基于文本分类的异常入侵检测-工作原理优势与挑战优势是能处理文本类数据，对文本异常检测效果好，但对文本预处理要求高，聚类效果受初始参数影响大。基于文本分类的异常入侵检测-优势与局限特征模式匹配基于误用的入侵检测通过预定义的规则匹配系统行为，规则来源于特征信息库，一旦匹配成功则判定为已知入侵行为。优缺点优点是能准确标识入侵行为类型，正确率高，误报率低，但漏报率高，无法检测未知入侵行为。基于误用的入侵检测技术基于误用的入侵检测技术-种类基于条件概率的误用入侵检测0301基于专家系统的误用入侵检测基于状态转换分析的误用入侵检测0204基于键盘监控的误用入侵检测05基于规则的误用入侵检测采用if-then结构规则，将入侵条件转化为规则化知识，通过规则执行判断入侵行为。if-then规则基于专家系统的误用入侵检测-工作原理知识库更新需求需要定期更新知识库以检测新入侵行为，特征分析效率更高，但知识库更新维护成本高。基于专家系统的误用入侵检测-优势与局限状态转换图将入侵行为视为状态转换过程，通过状态转换图分析系统状态变化，确定入侵行为。基于状态转换分析的误用入侵检测-工作原理适用范围适用于已知入侵行为分析，但对未知入侵行为无能为力，且状态转换图构建复杂。基于状态转换分析的误用入侵检测-优势与局限贝叶斯定理应用观察事件序列，利用贝叶斯定理推断入侵行为，是概率论方法的改进。基于条件概率的误用入侵检测-工作原理难以确定先验概率和事件独立性，导致检测准确性受限。先验概率难题基于条件概率的误用入侵检测-优势与局限通过观察用户击键模式与入侵模式匹配，发现入侵行为。击键模式匹配基于键盘监控的误用入侵检测-工作原理方法简单但存在缺陷，难以捕获击键情况，无法识别用户真实意图，也不能检测程序攻击。缺陷分析基于键盘监控的误用入侵检测-优势与局限规则描述将入侵模式描述为规则，符合规则即为入侵行为，如Snort系统。基于规则的误用入侵检测-工作原理推理规则分类分向前推理和向后推理，向前推理根据数据推结果，向后推理根据结果推原因。基于规则的误用入侵检测-优势与局限优势与局限基于异常的检测能发现未知攻击，但需大量数据和训练；基于误用的检测简单，只能检测已知入侵。在需检测未知攻击场景下，选用基于异常的检测技术；在已知攻击模式明确时，可选择基于误用的检测。适用场景综合应用实际应用中可根据具体需求，结合两种技术优势，构建更全面的入侵检测系统。技术对比与选择南仁东与“天眼”南仁东,我国著名天文学家、中国科学院国家天文台研究员、人民科学家。曾任FAST工程首席科学家兼总工程师。他为了建造世界最大单口径射电望远镜（FAST），也就是“天眼”，耗费了大量心血。他带着团队在贵州的深山里选址，风餐露宿，克服了地质条件复杂、施工难度大等诸多困难。南仁东在技术研发上精益求精，不断攻克射电望远镜建造中的关键技术问题。经过多年努力，“天眼”终于建成并投入使用，它使我国在射电天文领域处于世界领先地位，能够探测到更遥远的宇宙信号，为人类探索宇宙奥秘打开了新的窗口，南仁东用生命铸就了大国重器，诠释了科技报国的崇高精神。大国工匠谢谢大家ICSSecurity&Protection搭建与应用工控系统入侵检测环境ICSSecurity&Protection任务1：搭建工控系统入侵检测环境01任务2：使用IDS检测针对工控系统的攻击02目录Contents01任务1：搭建工控系统入侵检测环境ICSSecurity&Protection软件下载流程在官网下载Npcap和Snort，注意选择对应操作系统版本，下载后依次安装。Snort系统概述Snort是开源网络入侵检测系统，能实时分析流量，识别多种攻击行为并预警或阻止。Npcap工具介绍Npcap是WinPcap改进版，用于捕获网络数据包，是Snort运行的基础，需先于Snort安装。软件准备下载安装Snort，安装后需修改配置文件，调整路径等参数以适配Windows系统。02在Snort官网注册登录后下载规则集，解压后将规则文件复制到指定目录。03下载安装Npcap，安装过程简单，完成后为Snort捕获数据包做好准备。01安装与配置Npcap安装与配置Snort下载与配置规则集环境搭建步骤0203对比修改Snort配置文件，调整路径、日志路径、库路径等，确保无误。配置文件修改执行命令查看网卡信息，选择host-only网卡进行监听，确保数据包能被正确捕获。网卡选择与监听执行监听命令，观察数据包捕获情况，确认Snort能正常运行并监听网络。Snort运行与监听01系统运行测试0301Snort配置文件修改修改路径，把路径改到Snort的安装目录下面，so_rules暂时用不到可以直接注释掉。0301Snort配置文件修改修改日志路径。0301Snort配置文件修改修改需要的库的路径。动态规则暂时用不到，可以直接注释掉。0301Snort配置文件修改预处理器这块也暂时不需要，可以注释掉。0301Snort配置文件修改最后在包含指定规则部分，把路径里的斜杆改成反斜杠。02任务2：使用IDS检测针对工控系统的攻击ICSSecurity&Protection任务概述配置并运行Snort对Kali的入侵行为进行检测。Modbus主从站模拟器运行在IP为02的机器上模拟工控系统。Kali运行在虚拟机中，IP地址04。Snort部署在102上。如图5-17所示。Kali发起攻击，Snort会检测到入侵行为，并将其记录到告警日志中。010203网络架构搭建Modbus主从站模拟器运行在02，Kali运行在虚拟机04，Snort部署在102上。Snort规则配置在local.rule文件中添加规则，配置告警条件，确保能检测到特定攻击行为。系统启动与运行启动Snort、Modbus模拟器，确保各系统正常运行，为攻击检测做好准备。环境部署与配置0301配置Snort规则Snort的规则文件会存放在“C:\snort\rules”目录下面。我们需要配置local.rule。打开local.rule文件，添加一行规则：“alerttcpanyany->any502(msg:"modbusattack";sid:1)”规则中关键字意义如下："alert"表示如果包与条件匹配，就产生一个告警信息。"tcp"表示Snort检测IP头部协议是tcp的包。第一个"any"表示IP头部源地址可以是任何地址。第二个"any"表示IP头部源端口号可以是任何端口。第三个"any"表示IP头部目的地址是任何地址。“502”表示IP头部目的端口号是502。最后一部分是规则的选项。msg表示告警的消息内容。sid表示规则编号。所以，这条规则的意思是如果有设备从任何地址任何端口通过tcp连接到本网络任何地址的502端口就告警。0301启动Snort监听在命令行窗口执行命令“snort-dev-cc:\snort\etc\snort.conf-i9-lc:\snort\log\”。Kali攻击执行在Kali上执行攻击脚本，模拟对Modbus从站的攻击行为，观察执行结果。日志分析与总结分析日志内容，总结攻击特征和检测结果，为后续安全防护提供参考。查看Snort日志文件，确认攻击行为被检测并记录，验证入侵检测系统的有效性。Snort日志查看攻击检测与日志分析0301启动kali攻击在Kali上的执行命令“pythonattack_modbus.py”。我们发现attach_modbus.py脚本能正常执行，输出的结果也是和预期相同，这说明Kali已经连接到Modbus从站，并且修改了寄存器的值。这也说明入侵检测系统只是抓取网络中数据包的副本来进行分析和入侵检测，它并不会对发生的入侵行为进行阻止。0301查看Snort日志在目录C:\snort\log里面打开alert.ids文件，我们可以看到有下面的日志。10/06-21:33:31.267750[**][1:1:10]modbusattack[**][Priority:0]{TCP}04:49812->02:502这条日志是说有设备从04的49812向02的502端口发起TCP连接。这符合我们任务步骤里第一步配置的规则，说明Snort已经检测到有入侵发生，并且记录到告警日志文件中。谢谢大家ICSSecurity&ProtectionSNMP与入侵检测ICSSecurity&ProtectionCONTENTS目录SNMP概述01SNMP协议特点02SNMP常用命令03SNMP在入侵检测中的应用04SNMP流量异常检测代码示例0501SNMP概述ICSSecurity&Protection01SNMP即简单网络管理协议，是应用层协议，用于管理IP网络中的节点，如服务器、路由器等。定义03网络管理员可通过SNMP管理网络效能、发现并解决网络问题。作用02基于SGMP协议发展而来，增加了SMI和MIB。起源SNMP定义与起源网络管理系统是网络管理的中心，通过发送指令和接收信息实现管理。01被管理设备包括服务器、工作站、路由器等需要被监控和管理的设备。02代理者安装在被管理设备上，负责传递设备状态信息并执行管理指令。03SNMP架构组成SNMP架构OID即对象标识符，用于唯一标识MIB中的每个节点，命名规则是父节点名字作为子节点名字的前缀。01OID作用MIB是管理信息库，是通过SNMP可访问的管理对象集合，呈树状结构。MIB定义02如表示对象ernet。示例03MIB与OIDMIB树状图02SNMP协议特点ICSSecurity&Protection01.02.03.设计理念简单，让网络设备的实现、配置及维护轻松便捷，易于被专业人员和普通技术人员掌握。易于掌握正因简单，使其在各种网络环境中得到广泛应用。应用广泛无论是小型局域网还是大型企业网络，SNMP都能快速部署和使用。示例简单性通过MIB的定义，SNMP可容纳不同类型网络设备的管理信息，适应网络技术发展。MIB的可扩展性01随着新设备涌现，SNMP凭借扩展性可轻松管理各类新型网络设备。适应新设备02当新的智能网络设备出现时，只需更新MIB即可纳入SNMP管理。示例03扩展性01突破设备限制能在不同厂商生产的设备及不同类型的网络设备共同存在的环境中稳定运行。03示例在包含多种品牌路由器和交换机的网络中，SNMP可统一管理。02统一管理方案为复杂网络环境中的网络管理提供统一的解决方案。异构网络支持03SNMP常用命令ICSSecurity&Protection获取IP地址为0的系统描述，其OID为..0，命令为“snmpget-v2c-cpublic0..0”。用于获取被管理端某个节点的值。“-v2c”指定snmp版本，“-cpublic”指定共同体名。功能示例参数说明snmpget01用于设置某个节点的值。功能02设置IP地址为0的一个特定OID（.4.1.20）的值为整数100，命令为“snmpset-v2c-cprivate0.4.1.20i100”。示例03“-v2c”指定版本，“-cprivate”指定共同体名。参数说明snmpset0203将某一个节点下的所有被管理的子节点内容都打印出来。功能01“-v2c”指定版本，“-cpublic”指定共同体名。参数说明对IP地址为0的OID.2.1.1进行SNMP遍历，命令为“snmpwalk-v2c-cpublic0.2.1.1”。示例snmpwalk010203功能示例参数说明用于翻译OID。将OID..0转成MIB名称可使用命令“snmptranslate-On..0”，将MIB名称转成OID可使用命令“snmptranslate-IRsysDescr”。“-On”将OID转为MIB名称，“-IR”将MIB名称转为OID。snmptranslate向管理端发送trap包，用于报警。功能01命令“snmptrap-v2c-cmycommunity0...5.1.0s"messagecontent"”，其中0是接收trap的IP地址，"...5.1.0"为trap的OID，s表示后面跟的是字符串。示例02“-v2c”指定版本，“-cmycommunity”指定共同体名。参数说明03snmptrap04SNMP在入侵检测中的应用ICSSecurity&Protection通过SNMP定期获取网络设备接口流量统计信息，若流量突然大幅变化则可能有攻击。示例遭受DDoS攻击时，目标设备接口流量激增，SNMP可及时发现。重要性能快速发现网络流量异常，及时采取措施应对攻击。原理流量异常检测某端口在非正常时间频繁开启关闭，可能是有人在尝试非法入侵。示例监测网络设备的连接状态，如端口的开启关闭、连接的建立断开等，发现异常则可能是非法入侵。原理可有效防范非法入侵，保障网络连接的安全性。重要性连接状态异常检测原理周期性扫描网络设备，获取MAC地址、IP地址等信息，与合法设备信息对比，发现未知设备接入。示例发现未登记的设备接入网络，可及时调查处理。重要性防止非法设备接入，维护网络的稳定性和安全性。非法设备接入监测原理监测主机网络通信行为和资源使用情况，发现异常网络活动和资源占用则可能感染恶意软件。示例某主机向多台其他主机发送大量异常数据包，且CPU利用率、内存使用量突然升高，可能感染恶意软件。重要性及时发现并处理恶意软件感染，防止其在网络中传播。恶意软件监测Python、Java等主流编程语言对SNMP有良好支持。语言支持Python中使用pysnmp库可发送SNMP请求并获取响应，实现入侵检测功能。示例利用编程语言可灵活实现各种入侵检测策略，提高检测效率。重要性编程语言支持与应用05SNMP流量异常检测代码示例ICSSecurity&Protection主要功能定期获取指定网络设备的特定接口输入字节数和输出字节数信息并打印。实现方式使用Python的pysnmp库发送SNMP请求并处理响应。应用场景用于网络设备接口流量情况监控。代码功能定义get_interface_traffic函数，参数为ip、community和oid，用于获取接口流量信息。在无限循环中调用函数获取流量信息并打印，使用time.sleep暂停。定义函数循环获取从pysnmp.hlapi模块导入所有内容，导入time模块。实例化相关类，使用getCmd函数发送SNMP请求，处理响应获取流量信息。导入模块发送请求代码结构参数设置输出结果获取流量循环监控调用函数分别获取输入字节数和输出字节数。设置目标设备IP地址和共同体名。打印获取到的流量信息。每隔5分钟循环一次，持续监控流量。代码运行代码示例1.frompysnmp.hlapiimport*2.importtime3.4.defget_interface_traffic(ip,community,oid):5.snmp_object=ObjectIdentity(oid)6.snmp_target=SnmpEngine()7.snmp_community=CommunityData(community,mpModel=0)8.snmp_context=ContextData()9.10.#发送SNMP请求

11.snmp_data=getCmd(snmp_target,snmp_community,snmp_object,snmp_context)12.13.