0 引言
    工业控制系统（Industry Control Systems，ICS）是国家基础设施的重要组成部分，被广泛应用于电力、交通、水利、石油化工、核能、航空等领域，是这些重要基础设施稳定运行的“大脑”。随着信息技术的发展以及工业与信息化的深度融合，现代工业控制系统越来越多地采用通用的TCP/IP协议及操作系统，同办公系统等其他信息系统的连接也越来越多。由于工业控制系统在实时性、稳定性方面的特殊性，造成了在应用信息技术时忽略了网络安全因素，加之工业控制系统自身的漏洞并未得到足够的重视，使得目前工业控制系统面临的安全威胁日益严重。2010年爆发的“震网病毒”（Stuxnet）是第一个被检测出来专门攻击破坏工业控制系统的病毒，“震网病毒”造成伊朗铀浓缩工厂多台离心机损坏，布什尔核电站因此推迟启动[1]。2011年和2012年，又相继发现了“Duqu病毒”和“火焰病毒”，但与“震网病毒”不同的是，前者主要目的是造成工业破坏，而后两者则被用来收集与其攻击目标有关的各种情报。由此充分说明，针对工业控制系统的复杂信息安全攻击已经成为现实。
    ICS系统安全防护技术手段主要有防火墙技术、入侵检测技术、ICS系统漏洞挖掘技术、风险评估技术等。后两者并不能提供实时的网络安全防护，防火墙虽然能够有效地阻止来自外部的攻击，但不能防止来自ICS系统内部的攻击，入侵检测技术被称为防火墙之后的第二道安全闸门，可实现对内、外部入侵的实时检测。
    本文对异常检测技术中的非参数CUSUM算法进行改进，重新设计算法中偏移常数的生成方法，提出具有自适应特征的动态检测门限设置规则，给出改进算法（D-CUSUM）在ICS系统入侵检测中的应用，通过仿真实验给出算法的检测性能分析。
1 相关研究
    目前，对ICS网络安全的研究整体还处于起步阶段，本节主要介绍CUSUM算法在入侵检测技术以及ICS入侵检测中应用的相关研究。
    文献[2]通过将网络划分成多个簇，在各簇设置单独的自治网络管理单元，在各自治网络管理单元上部署基于CUSUM算法的入侵检测系统，实现检测DDoS攻击的目的。文献[3]针对无线传感器网络的特征，分别研究多级CUSUM算法、基于信噪比的CUSUM算法以及统计CUSUM算法，用于对无线传感器网络攻击的检测。张云贵等在文献[4-5]中研究了CUSUM异常检测算法在工业控制系统入侵检测中的应用。
    上述研究中采用的都是基于固定检测门限的CUSUM算法，并且通常凭经验值设置固定的偏移常数。针对这一问题，本文基于概率论理论提出一种自适应的偏移常数生成方法，给出具有自适应特征的动态检测门限设置规则。仿真结果证明本文算法明显提升了ICS入侵检测技术的性能。
2 算法的改进
2.1 CUSUM算法描述
    CUSUM异常检测算法是一种序贯分析法，由剑桥大学的E.S.Page于1954年提出，是工业控制过程异常监控的常用算法，它可以检测到一个统计过程均值的变化。CUSUM算法基于这样一个事实：如果有变化发生，则随机序列的概率分布也会发生改变。
   

以上为标准CUSUM算法。
2.2 非参数CUSUM算法
    应用CUSUM算法需要事先知道随机序列的参数模型（如随机序列服从标准正态分布等），以便使用概率密度函数来监控序列。正常情况下，工业控制系统中传感器的预测值可通过数学模型或经验公式获得，但网络攻击的概率分布却难以获得，也就无法得知攻击状态下监控序列的概率分布，所以需要一种模型无关的检测算法。而非参数CUSUM算法主要是累积明显比正常情况下的平均水平高的Xn值，不需要具体的模型，并且能够以连续方式监控输入的随机变量，从而达到实时检测。
    非参数CUSUM算法的定义为：
   

    上式为非参数CUSUM算法的递归形式。
    非参数CUSUM算法不要求检测序列的概率分布，但要求检测序列{x_n}在正常情况下具有负的期望值E(X)<0，变化发生后具有正的期望值E(X)>0，这是应用非参数CUSUM算法的前提条件。
2.3 自适应设置检测门限的改进非参数CUSUM算法（D-CUSUM）
2.3.1 数据预处理
    令独立随机变量序列X={x₁，x₂，x₃，…}表示输入数据。由2.2节可知，非参数CUSUM算法要求样本序列的数学期望值为负值，为了保证满足这一条件，需要对数据进行预处理，通常做法是设置一个偏移常数β，令=X-β，使满足正常状态下。目前ICS系统非参数CUSUM入侵检测算法大多设置固定的偏移常数，本文算法与其不同，基于概率论中著名的柯尔莫哥洛夫（Kolmogorov）不等式生成偏移常数β。主要步骤如下：
    (1)对原始数据X的均值μ_n(n=2，3，…)和方差(n=2，3，…)进行在线估计和更新。具体方法为：

2.3.2 自适应设置检测门限
    为了降低处理开销，本文算法采用非参数CUSUM算法的递归形式，处理过程如下：
    由式(9)可知：

    (5)读取x_n+1，重复步骤(2)~(4)，开始下一轮检测。
    (6)算法结束。
    需要指出的是，在步骤(4)中算法设计引入了阈值系数ρ与告警控制参数K。对这两个参数的设置要求比较宽松，取决于用户对虚警概率和异常检测时延的要求。增大ρ、K的取值，可以在一定范围内降低虚警概率，但同时也增加了检测时延。
3 算法的应用及仿真
    本节研究了上述改进算法（D-CUSUM）在温度控制系统入侵检测中的应用。实验应用MATLAB Simulink仿真环境搭建温度控制系统，模拟攻击者对某一温度传感器实施攻击。
    令x_n和τ_N表示该温度传感器在时刻n的测量值和告警阈值。正常情况下，序列{x_n}是均值平稳序列，攻击发生时，病毒修改传感器的测量值，序列均值发生明显变化。实验仿真针对ICS的几何攻击^[8]，其攻击特征为：，其中0<γ<1。攻击从k=0时刻开始。开始时，传感器信号变化微小，当k>n后，攻击突然大幅增加，传感器的测量信号会突然变大，如果在这之前，没有检测到攻击的发生，会对ICS的安全带来威胁，甚至对实际生产过程造成损害。
    假设正常情况下温度传感器的测量值为(1 000±20)℃，超过1 020 ℃就会造成物理损坏。几何攻击参数设置为：η=20，n=100，γ=0.817。EWMA平滑因子α=0.98，累积和计算长度L=50，采样周期Ts=100 s。图1给出了(ρ，K)=(0.5，4)时的结果。

图1  入侵检测仿真结果

    从图1中可以看出，在时刻k=100Ts时，温度传感器达到了ICS允许的最大温度值。采用本文算法D-CUSUM检测系统，在时刻k=81Ts时检测到异常，系统告警，ICS遭到攻击；采用固定门限CUSUM算法[8]，在时刻k=90Ts系统告警。由此可见，在本文仿真环境下，本算法能在ICS系统产生物理损坏前19Ts=1 900 s发出告警，在检测实时性方面优于固定门限算法90Ts-81Ts=9Ts=900 s。
4 结论
    本文根据工业控制系统高实时性和高可用性的要求，针对CUSUM异常检测算法存在的固定偏移常数和固定检测门限问题，提出了一种面向工业控制系统、具有自适应特征的非参数CUSUM（D-CUSUM）入侵检测方法。算法的自适应特征体现在两点：(1)基于柯尔莫哥洛夫不等式理论设置非参数CUSUM偏移常数β；(2)通过外部参数-告警控制参数动态设置检测门限τN。针对温度控制系统的攻击仿真实验结果证明，本文提出的改进算法改善了检测的实时性和误报率，能够实现对工业控制系统的低误报率实时入侵检测。
参考文献
[1] 李战宝，潘卓.透视“震网”病毒[A].第26次全国计算机安全学术交流会论文集[C]，2011.
[2] Patrick P C Lee，Tian Bu，Thomas Woo.On the detection of signaling DoS attacks on 3G wireless networks[J].Computer Network，2009，53(15)：2601-2606.
[3] Xiao Zhenghong，Chen Zhigang，Deng Xiaoheng.Anomaly detection based on a multi-class CUSUM algorithm for WSN[J].Journal of Computers，2010，5(2)：306-313.
[4] 张云贵，赵华，王丽娜.基于工业控制模型的非参数CUSUM入侵检测方法[J].东南大学学报(自然科学版)，2012，42(A01)：55-59.
[5] 张云贵，佟为明，赵永丽.CUSUM异常检测算法改进及在工控系统入侵检测中的应用[J].冶金自动化，2014，38(5)：1-5.