摘要：工業(yè)互聯(lián)網(wǎng)正保持著活躍地創(chuàng)新發(fā)展態(tài)勢(shì)，其強(qiáng)調(diào)以物理網(wǎng)絡(luò)為基礎(chǔ)的萬(wàn)物互聯(lián)互通，因此在這種新模式下，工業(yè)信息安全將面臨嚴(yán)峻的挑戰(zhàn)。本文首先以歷年代表性的工業(yè)安全事件為例，說(shuō)明了現(xiàn)階段工業(yè)控制系統(tǒng)所面臨的安全問(wèn)題以及威脅形式，并在此基礎(chǔ)上給出了工業(yè)互聯(lián)網(wǎng)建設(shè)時(shí)所應(yīng)重點(diǎn)考慮的安全脆弱性，然后重點(diǎn)論述了人工智能（AI，Artificial Intelligence）算法在工業(yè)入侵檢測(cè)中的應(yīng)用以及分類，分析了每類方法的優(yōu)勢(shì)與不足，并提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測(cè)方法的研究重點(diǎn)。

關(guān)鍵詞：互聯(lián)互通；脆弱性；人工智能；工業(yè)入侵檢測(cè)

Abstract: Industrial Internet is presenting an active trend of innovation and development,and it celebrates the beautiful interconnection and interoperability of all things based on the physical network. Under this novel pattern, industrial information security is confronted with severe challenges. Based on the representative industrial security incidents in recent years, this paper first illustrates the major security problems and threats in current industrial control systems, and presents key security vulnerabilities when establishing Industrial Internet. After that, this paper discusses the application of various artificial intelligence algorithms in industrial intrusion detection, and analyzes the advantages and disadvantages of these industrial intrusion detection approaches. At last, this paper provides the research emphasis of industrial AI intrusion detection approaches under the interconnection and interoperability pattern.

Key words: Interconnection and interoperability; Vulnerability; Artificial intelligence;Industrial intrusion detection

1　引言

現(xiàn)階段，工業(yè)控制系統(tǒng)已經(jīng)廣泛應(yīng)用于石油、化工、電力、交通、水利等領(lǐng)域，是關(guān)系到國(guó)家社會(huì)、經(jīng)濟(jì)發(fā)展的重要關(guān)鍵信息基礎(chǔ)設(shè)施。同時(shí)，隨著現(xiàn)代通信、計(jì)算、網(wǎng)絡(luò)和控制技術(shù)的發(fā)展，各種新興信息技術(shù)運(yùn)用領(lǐng)域的不斷開(kāi)拓，工業(yè)化和信息化的融合已經(jīng)進(jìn)入到一個(gè)嶄新的階段，工業(yè)互聯(lián)網(wǎng)勢(shì)必成為新一次工業(yè)革命的發(fā)展方向之一。工業(yè)互聯(lián)網(wǎng)強(qiáng)調(diào)以工業(yè)物理設(shè)備為中心，實(shí)現(xiàn)了各價(jià)值鏈節(jié)點(diǎn)的全互聯(lián)互通，從而高度融合IT技術(shù)與OT技術(shù)，支持服務(wù)網(wǎng)絡(luò)的動(dòng)態(tài)配置^[1]。目前，工業(yè)互聯(lián)網(wǎng)作為我國(guó)智能制造發(fā)展的重要支撐已經(jīng)得到了國(guó)家的高度認(rèn)可與重視，“十三五”規(guī)劃、中國(guó)制造2025、“互聯(lián)網(wǎng)+”、“深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展”等重大戰(zhàn)略都明確提出發(fā)展工業(yè)互聯(lián)網(wǎng)。工業(yè)互聯(lián)網(wǎng)的建設(shè)正處在起步階段，全球工業(yè)互聯(lián)網(wǎng)平臺(tái)市場(chǎng)正保持著活躍創(chuàng)新發(fā)展態(tài)勢(shì)，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟的《工業(yè)互聯(lián)網(wǎng)平臺(tái)白皮書（2019）》 ^[2]指出：“工業(yè)互聯(lián)網(wǎng)平臺(tái)對(duì)制造業(yè)數(shù)字化轉(zhuǎn)型的驅(qū)動(dòng)能力正逐漸顯現(xiàn)，無(wú)論是大企業(yè)依托平臺(tái)開(kāi)展工業(yè)大數(shù)據(jù)分析以實(shí)現(xiàn)更高層次價(jià)值挖掘，還是中小企業(yè)應(yīng)用平臺(tái)云化工具以較低成本實(shí)現(xiàn)信息化與數(shù)字化普及，抑或是基于平臺(tái)的制造資源優(yōu)化配置和產(chǎn)融對(duì)接等應(yīng)用模式創(chuàng)新，都正在推動(dòng)制造業(yè)向更高發(fā)展水平邁進(jìn)”。也就是說(shuō)，工業(yè)互聯(lián)網(wǎng)的出現(xiàn)為傳統(tǒng)的工業(yè)生產(chǎn)制造帶來(lái)一場(chǎng)新的變革。

工業(yè)互聯(lián)網(wǎng)的一個(gè)重要特點(diǎn)是以物理網(wǎng)絡(luò)為基礎(chǔ)實(shí)現(xiàn)萬(wàn)物互聯(lián)互通，因此在這種新模式下，諸如邊緣計(jì)算、大數(shù)據(jù)等新興信息技術(shù)將如雨后春筍般涌現(xiàn)在各種工業(yè)應(yīng)用中，不僅完全打破了傳統(tǒng)工業(yè)控制系統(tǒng)相對(duì)封閉、穩(wěn)定的運(yùn)行模式，而且也促使了工業(yè)網(wǎng)絡(luò)環(huán)境變得更加開(kāi)放多變，勢(shì)必為工業(yè)信息安全帶來(lái)嚴(yán)峻的挑戰(zhàn)。在一種全新的網(wǎng)絡(luò)平臺(tái)建立之初，就將信息安全問(wèn)題考慮在內(nèi)，已經(jīng)得到了工業(yè)界和學(xué)術(shù)界的廣泛認(rèn)可。就現(xiàn)階段工業(yè)控制系統(tǒng)而言，各種網(wǎng)絡(luò)攻擊與入侵事件屢見(jiàn)不鮮，根據(jù)美國(guó)國(guó)土安全部下屬的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（Industrial ControlSystems Cyber Emergency ResponseTeam，ICS-CERT）的年度安全研究報(bào)告顯示，近幾年針對(duì)工業(yè)控制系統(tǒng)的安全事件呈階梯狀增長(zhǎng)態(tài)勢(shì)^[3]。特別是，隨著攻擊手段的更加高明、攻擊方式的更加先進(jìn)，傳統(tǒng)傻瓜式的網(wǎng)絡(luò)攻擊已經(jīng)逐漸演變成具有“潛伏性”和“持續(xù)性”的高級(jí)可持續(xù)性威脅（AdvancedPersistent Threat, APT）。出現(xiàn)上述信息安全問(wèn)題的一個(gè)重要原因就是工業(yè)控制系統(tǒng)在本質(zhì)上存在著潛在安全漏洞和隱患，而且互聯(lián)網(wǎng)的IT安全技術(shù)難以適配工業(yè)控制系統(tǒng)的特殊性。為此，業(yè)界已經(jīng)開(kāi)始展開(kāi)針對(duì)現(xiàn)階段工業(yè)控制系統(tǒng)的信息安全技術(shù)研究，并取得了不錯(cuò)的成果，主要涉及到脆弱性挖掘、入侵檢測(cè)與攻擊防護(hù)三個(gè)主要的突破口。其中，作為一種旁路監(jiān)聽(tīng)方法，入侵檢測(cè)能夠在不干擾工業(yè)控制系統(tǒng)實(shí)時(shí)性和可用性的前提下，能夠?qū)W(wǎng)絡(luò)中出現(xiàn)的入侵行為以及非授權(quán)行為進(jìn)行識(shí)別、檢測(cè)與響應(yīng)，已經(jīng)得到了業(yè)界的一致認(rèn)可^[4,5]。

在全互聯(lián)互通的模式引導(dǎo)下，工業(yè)網(wǎng)絡(luò)體系會(huì)以服務(wù)為導(dǎo)向進(jìn)行動(dòng)態(tài)適配，同時(shí)也會(huì)增加更多的攻擊入口和攻擊途徑，為此入侵檢測(cè)也需要引入一些新的技術(shù)特征與防護(hù)模式。結(jié)合現(xiàn)階段工業(yè)控制系統(tǒng)行為有限和狀態(tài)有限的通信特點(diǎn)，一種探索性的研究思路為：通過(guò)人工智能方法，自學(xué)習(xí)工業(yè)網(wǎng)絡(luò)通信的規(guī)律性和行為特征，并描述為規(guī)則或模型形式，同時(shí)設(shè)計(jì)優(yōu)化的入侵檢測(cè)引擎，從而實(shí)現(xiàn)高精度的工業(yè)入侵檢測(cè)^[6]。簡(jiǎn)單地說(shuō)，人工智能就是研究利用計(jì)算機(jī)來(lái)模擬人的思維過(guò)程和智能行為，其基本思想就是通過(guò)研究人類智能活動(dòng)的規(guī)律，利用智能算法使得機(jī)器能夠?qū)崿F(xiàn)原來(lái)只有人類才能完成的任務(wù)。而在信息安全領(lǐng)域，攻擊與防御往往代表了敵手與保衛(wèi)者的博弈過(guò)程，由于網(wǎng)絡(luò)攻擊是不斷演變的，簡(jiǎn)單的、不變的防御機(jī)制與策略已經(jīng)不再適用，而人工智能憑借其強(qiáng)大的學(xué)習(xí)與運(yùn)算能力脫穎而出。可以說(shuō)，信息安全已經(jīng)邁入人工智能時(shí)代，特別是在入侵檢測(cè)的應(yīng)用中，人工智能提供了一條全新的思路，不僅能夠檢測(cè)已知攻擊，而且能夠在無(wú)需預(yù)先了解攻擊特征形式的情況下，有效地檢測(cè)未知攻擊。尤其是在工業(yè)環(huán)境中，針對(duì)工業(yè)控制系統(tǒng)的攻擊行為具有隱蔽性和不可預(yù)測(cè)性等特點(diǎn)，特征規(guī)則的更新要遠(yuǎn)遠(yuǎn)滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生，工業(yè)AI的入侵檢測(cè)具有更好地適用性和可行性。

2　全互聯(lián)互通模式下的工業(yè)安全威脅

在工業(yè)控制系統(tǒng)建立之初，業(yè)界的研究人員僅僅關(guān)注在誤操作、錯(cuò)誤配置等功能安全，但在2010年“震網(wǎng)”攻擊發(fā)生后，來(lái)自信息安全的威脅受到了越來(lái)越多的關(guān)注。而在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下，信息安全問(wèn)題將越發(fā)嚴(yán)重，具有時(shí)間持續(xù)性、手段綜合性和目標(biāo)特定性等特點(diǎn)的高級(jí)可持續(xù)性威脅將對(duì)電力、金融、石化、核設(shè)施等關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施“硬摧毀”。近十年工控領(lǐng)域重要信息安全事件及簡(jiǎn)單描述如圖1所示。從這些安全事件我們可以發(fā)現(xiàn)，高級(jí)可持續(xù)性威脅已經(jīng)成為工業(yè)控制系統(tǒng)中最常見(jiàn)、最致命的攻擊模式，其具有明確的攻擊目標(biāo)，綜合采用多種攻擊手段對(duì)目標(biāo)實(shí)施多階段攻擊，既有漏洞利用、惡意代碼等傳統(tǒng)入侵手段，也包括社會(huì)工程、內(nèi)部攻擊等線下手段。之所以高級(jí)可持續(xù)性威脅頻繁在工業(yè)控制系統(tǒng)中發(fā)生，主要?dú)w因于如下兩方面：（1）隨著應(yīng)用環(huán)境不同，每種工業(yè)控制系統(tǒng)都具有各自的特殊性，如不同的通信協(xié)議、系統(tǒng)環(huán)境、實(shí)時(shí)性要求、網(wǎng)絡(luò)拓?fù)涞龋@就要求攻擊者進(jìn)行持續(xù)性地潛伏與偵查；（2）工業(yè)控制系統(tǒng)中存在著通用基礎(chǔ)平臺(tái)和工控專用設(shè)備，其脆弱性表現(xiàn)不同，這種多目標(biāo)性往往需要實(shí)施多階段的攻擊方式，同時(shí)采用多種攻擊手段協(xié)同攻擊。

工控安全已經(jīng)成為“網(wǎng)絡(luò)安全、設(shè)備安全、控制安全、應(yīng)用安全、數(shù)據(jù)安全”的綜合體，根據(jù)攻擊目的以及攻擊手段的不同，現(xiàn)階段工業(yè)控制系統(tǒng)的一般攻擊可以分為以下幾類：資源耗盡型、信息竊取型以及控制破壞型，如表1所示。這里，本文并沒(méi)有將高級(jí)可持續(xù)性威脅歸為任何一類，因?yàn)楦呒?jí)可持續(xù)性威脅不僅僅簡(jiǎn)單利用0day漏洞、常見(jiàn)攻擊技術(shù)等，往往還利用人的因素，系統(tǒng)性地、有針對(duì)性地、隱蔽性地發(fā)動(dòng)具有多途徑、持久且有效的破壞性攻擊，震網(wǎng)Stuxnet就是高級(jí)可持續(xù)性威脅的一個(gè)典型實(shí)例。簡(jiǎn)單來(lái)說(shuō)，高級(jí)可持續(xù)性威脅的生命周期包含以下幾個(gè)階段：社會(huì)工程與外部偵查、確定攻擊目標(biāo)、入侵攻擊、資產(chǎn)與信息搜索、內(nèi)網(wǎng)擴(kuò)散、關(guān)鍵數(shù)據(jù)竊取與非法控制以及蹤跡銷毀與隱藏六個(gè)階段^[7]，而每一個(gè)階段都伴隨著多種攻擊方式的使用。

在工業(yè)互聯(lián)網(wǎng)的建設(shè)之初，應(yīng)該重點(diǎn)考慮兩方面的脆弱性：一是繼承的傳統(tǒng)工業(yè)控制系統(tǒng)安全隱患，如操作系統(tǒng)、數(shù)據(jù)庫(kù)等基礎(chǔ)平臺(tái)的脆弱性、現(xiàn)場(chǎng)控制設(shè)備自身脆弱性、工控通信協(xié)議的脆弱性等等^[8,9]，這主要是因?yàn)楣I(yè)互聯(lián)網(wǎng)并不是完全顛覆了現(xiàn)有工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，而是基于現(xiàn)有的工控系統(tǒng)架構(gòu)，結(jié)合新興的信息技術(shù)，通過(guò)互聯(lián)互通互操作的方式提高生產(chǎn)、運(yùn)營(yíng)效率。二是新興信息技術(shù)可能給工業(yè)互聯(lián)網(wǎng)帶來(lái)新的安全威脅，如云平臺(tái)與虛擬化漏洞可能是工業(yè)云計(jì)算應(yīng)用的絆腳石^[10]、邊緣計(jì)算也可能被惡意使用等，這主要是因?yàn)樾屡d信息技術(shù)應(yīng)用必然會(huì)引起工業(yè)軟、硬件以及系統(tǒng)的更新，一方面這種更新可能會(huì)與原系統(tǒng)產(chǎn)生安全兼容性問(wèn)題，另一方面更新后的軟、硬件及系統(tǒng)自身會(huì)存在安全漏洞。因此在建設(shè)工業(yè)互聯(lián)網(wǎng)時(shí)，不僅要挖掘各種工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全隱患與風(fēng)險(xiǎn)，同時(shí)還要展開(kāi)相應(yīng)信息安全防御技術(shù)的研究。

圖1 近10年工控領(lǐng)域重要信息安全事件

表1 現(xiàn)階段工業(yè)控制系統(tǒng)的一般攻擊分類

3　基于AI的工業(yè)入侵檢測(cè)方法

如圖2所示，工業(yè)控制系統(tǒng)的入侵檢測(cè)包括誤用檢測(cè)和異常檢測(cè)兩個(gè)方面^[11,12]，其中誤用檢測(cè)理論通過(guò)與已知的攻擊行為間的匹配程度實(shí)現(xiàn)入侵檢測(cè)，對(duì)于已知的攻擊，該方法能夠詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但對(duì)于未知攻擊的檢測(cè)效果有限，并且需要特征規(guī)則庫(kù)不斷更新；而異常檢測(cè)理論通過(guò)與正常行為間的匹配程度實(shí)現(xiàn)入侵檢測(cè)，該方法無(wú)需對(duì)每種攻擊行為進(jìn)行預(yù)定義，故能有效地檢測(cè)未知攻擊。

圖2 入侵檢測(cè)的分類

在誤用檢測(cè)方面，人工智能方法主要應(yīng)用在特征匹配的高效模式匹配算法中，例如基于規(guī)則的專家系統(tǒng)、分類樹的規(guī)則分析機(jī)等，如前所述，由于工業(yè)控制系統(tǒng)的特殊性，特征規(guī)則的更新要遠(yuǎn)遠(yuǎn)滯后于常用攻擊手段的變異和新型攻擊方式的產(chǎn)生，因此針對(duì)工業(yè)誤用檢測(cè)的相關(guān)研究較少。而在異常檢測(cè)方面，人工智能方法主要應(yīng)用集中在特征提取算法與異常檢測(cè)引擎的設(shè)計(jì)上，例如聚類算法、核主成分分析等在特征提取算法中應(yīng)用，以及機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等在異常檢測(cè)引擎中應(yīng)用。具體地，根據(jù)惡意攻擊行為的攻擊目標(biāo)、途徑以及模式等特點(diǎn)，工業(yè)AI異常檢測(cè)方法主要涵蓋基于模型的檢測(cè)法、基于知識(shí)的檢測(cè)法和基于機(jī)器學(xué)習(xí)的檢測(cè)法，其中，基于模型的檢測(cè)法根據(jù)工業(yè)控制系統(tǒng)參數(shù)建立數(shù)學(xué)模型，通過(guò)預(yù)測(cè)與實(shí)際檢測(cè)進(jìn)行偏差比較，分析出異常攻擊的影響，例如基于智能隱馬爾可夫模型的分類器實(shí)現(xiàn)異常判別，這類方法需要對(duì)預(yù)測(cè)輸出與實(shí)際檢測(cè)進(jìn)行偏差比較，然而這種偏差的檢測(cè)度難以衡量，同時(shí)模型的訓(xùn)練也需要大量的先驗(yàn)數(shù)據(jù)作為支撐；基于知識(shí)的檢測(cè)法也可以稱作基于狀態(tài)的檢測(cè)法，其主要通過(guò)跟蹤系統(tǒng)的狀態(tài)變化來(lái)判別異常行為，例如采用有限狀態(tài)機(jī)建立控制系統(tǒng)的狀態(tài)模型實(shí)現(xiàn)異常判別，這類方法優(yōu)點(diǎn)在于能夠強(qiáng)關(guān)聯(lián)系統(tǒng)通信的行為特征或狀態(tài)，缺點(diǎn)是所有系統(tǒng)知識(shí)需要變化成規(guī)則或者狀態(tài)形式，易使知識(shí)庫(kù)過(guò)大，造成遍歷事件過(guò)長(zhǎng)，檢測(cè)效率降低；基于機(jī)器學(xué)習(xí)的檢測(cè)法往往采用機(jī)器學(xué)習(xí)或者深度學(xué)習(xí)算法作為異常檢測(cè)引擎，例如通過(guò)貝葉斯網(wǎng)絡(luò)、人工神經(jīng)網(wǎng)絡(luò)、模糊邏輯、遺傳算法、支持向量機(jī)等算法作為判決器進(jìn)行異常判別，這類方法雖然能夠在一定程度上檢測(cè)工控系統(tǒng)的異常行為，但誤報(bào)率仍然較高，并且在工業(yè)通信行為的特征分類、選擇與優(yōu)化等方面尚存在不足，需要進(jìn)一步加強(qiáng)研究。總體來(lái)說(shuō)，上述每類方法都有其自身的優(yōu)勢(shì)和不足，尤其是在工業(yè)互聯(lián)網(wǎng)全互聯(lián)互通的模式下，更要注重兩方面的深入研究，其一是需要進(jìn)一步加強(qiáng)特征的抽象以及關(guān)聯(lián)性研究，使得特征樣本能夠有效、完整地描述工業(yè)控制特性，其二是需要進(jìn)一步設(shè)計(jì)高檢測(cè)精度與檢測(cè)效率的異常檢測(cè)引擎。

4　結(jié)束語(yǔ)

本文首先給出了近10年來(lái)具有代表性的工業(yè)信息安全事件，根據(jù)這些安全事件，分析了現(xiàn)階段工業(yè)控制系統(tǒng)所面臨的安全問(wèn)題以及相關(guān)安全威脅的形式，并在此基礎(chǔ)上，給出了工業(yè)互聯(lián)網(wǎng)建設(shè)初期所應(yīng)重點(diǎn)考慮的信息安全脆弱性，包括繼承的傳統(tǒng)工業(yè)控制系統(tǒng)安全隱患和新興信息技術(shù)可能帶來(lái)的新的安全威脅。然后說(shuō)明了人工智能算法在工業(yè)入侵檢測(cè)中主要的應(yīng)用形式，特別是在異常檢測(cè)方面，人工智能算法常用在特征提取算法與異常檢測(cè)引擎的設(shè)計(jì)上。此外，根據(jù)惡意攻擊行為的攻擊目標(biāo)、途徑以及模式等特點(diǎn)，本文對(duì)工業(yè)AI異常檢測(cè)方法進(jìn)行了分類，并說(shuō)明了每類方法的優(yōu)勢(shì)與不足。最后，本文還提出了全互聯(lián)互通模式下工業(yè)AI入侵檢測(cè)方法的重點(diǎn)研究方向。

★基金項(xiàng)目：遼寧省自然科學(xué)基金資助計(jì)劃項(xiàng)目（2019-MS-149）；國(guó)家自然科學(xué)基金項(xiàng)目（51704138，61501447）。

作者簡(jiǎn)介

萬(wàn)　明（1984-），男，內(nèi)蒙古通遼人，副研究員，工學(xué)博士，畢業(yè)于北京交通大學(xué)下一代互聯(lián)網(wǎng)互聯(lián)設(shè)備國(guó)家工程實(shí)驗(yàn)室，曾就職于中國(guó)科學(xué)院沈陽(yáng)自動(dòng)化研究所，現(xiàn)就職于遼寧大學(xué)信息學(xué)院，目前為中國(guó)工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟ICSISIA首批智庫(kù)專家、遼寧省工業(yè)信息安全專家組首批專家、沈陽(yáng)市拔尖人才。主要研究方向?yàn)楣I(yè)互聯(lián)網(wǎng)信息安全、智能計(jì)算與機(jī)器學(xué)習(xí)、未來(lái)網(wǎng)絡(luò)架構(gòu)與安全。

參考文獻(xiàn)：

[1] 劉譜, 張曉玲, 代學(xué)武, 李健, 丁進(jìn)良, 柴天佑. 工業(yè)互聯(lián)網(wǎng)體系架構(gòu)研究綜述及展望[Z]. 第28屆中國(guó)過(guò)程控制會(huì)議（CPCC 2017）, 中國(guó)重慶, 2017.

[2] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 工業(yè)互聯(lián)網(wǎng)平臺(tái)白皮書[EB/OL]. http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=673, 2019.

[3]NCCIC/ICS-CERT.NCCIC/ICS-CERT year in review (2016)[EB/OL]. https://ics-cert.us-cert.gov/Year-Review-2016, 2017.

[4] 楊安, 孫利民, 王小山, 石志強(qiáng). 工業(yè)控制系統(tǒng)入侵檢測(cè)技術(shù)綜述[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53 ( 9 ): 2039 - 2054.

[5] 賴英旭, 劉增輝, 蔡曉田, 楊凱翔. 工業(yè)控制系統(tǒng)入侵檢測(cè)研究綜述[J]. 通信學(xué)報(bào), 2017, 38 ( 2 ): 143 - 156.

[6] M. Wan, W. Shang, and P. Zeng. Double behavior characteristics for one-class classification anomaly detection in networked control systems[J]. IEEE Transactions on Information Forensics and Security, 2017, 12 ( 12 ): 3011 - 3023.

[7] I. Ghafir, and V. Prenosil. Advanced persistent threat attack detection: an overview[J]. International Journal of Advancements in Computer Networks and Its Security, 2014, 4 ( 4 ): 50 - 54.

[8] K. Stouffer, J. Falco, and K. Scarfone. Guide to industrial control systems (ics) security[EB/OL]. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST. SP.800-82.pdf, 2015.

[9] 陶耀東, 李寧, 曾廣圣. 工業(yè)控制系統(tǒng)安全綜述[J]. 計(jì)算機(jī)工程與應(yīng)用, 2016, 52 ( 13 ): 8 - 18.

[10] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟.中國(guó)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)報(bào)告[EB/OL], http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=726, 2018.

[11] S. M. Papa. A behavioral intrusion detection system for SCADA systems[D]. USA: Southern Methodist University, 2013.

[12] B. Zhu, S. Sastry. SCADA-specific intrusion detection/prevention systems: a survey and taxonomy[Z]. Proceedings of the First Workshop on Secure Control Systems (SCS'10), 2010.

摘自《工業(yè)控制系統(tǒng)信息安全專刊（第六輯）》