工業(yè)控制系統(tǒng)應用與安全防護技術(shù)（微課版）課件 第7、8章 態(tài)勢感知與安全審計技術(shù)、工業(yè)控制系統(tǒng)安全綜合應用

工業(yè)控制系統(tǒng)應用與安全防護技術(shù)第7章態(tài)勢感知與安全審計技術(shù)7.1態(tài)勢感知概述

隨著計算機和網(wǎng)絡技術(shù)的不斷發(fā)展，為了滿足新的需求需要對網(wǎng)絡安全的防御提出更高的要求，必須借助更加先進的技術(shù)才能夠抵御技術(shù)水平越來越高、攻擊形式越來越多樣的黑客攻擊。傳統(tǒng)的網(wǎng)絡安全防護產(chǎn)品只能防御某一個方面的入侵，如果想對網(wǎng)絡系統(tǒng)進行全方面的防護，就需要購買各種各樣的安全產(chǎn)品，這樣雖然也可以起到防御作用，但這些產(chǎn)品之間缺乏聯(lián)動，只能反映出網(wǎng)絡中部分層面或區(qū)域的安全狀況，不能體現(xiàn)網(wǎng)絡整體的安全性，而且在技術(shù)方面也有一定的局限性。

傳統(tǒng)方式下，通過不斷購買更多的安全設(shè)備已經(jīng)不能夠?qū)嵸|(zhì)性地提升整個網(wǎng)絡的安全保障，而且難以對網(wǎng)絡的安全狀態(tài)做出預測。因此，態(tài)勢感知技術(shù)逐漸成為了網(wǎng)絡防護的主流發(fā)展方向。態(tài)勢感知最早在軍事領(lǐng)域被提出，從態(tài)勢提取、態(tài)勢理解和態(tài)勢預測三個方面對整個網(wǎng)絡的安全狀態(tài)進行監(jiān)控和評估，不僅可以解決現(xiàn)有的網(wǎng)絡防御技術(shù)只能片面地防御某一個方面的攻擊缺陷，還可以對網(wǎng)絡未來一段時間內(nèi)的安全狀態(tài)進行預測，從而更好地保障網(wǎng)絡的安全。7.1.1網(wǎng)絡安全態(tài)勢感知的定義

為了有效監(jiān)控和管理網(wǎng)絡的安全，安全管理員需要了解網(wǎng)絡當前的情況、攻擊者的行為、可用信息和模型的質(zhì)量、攻擊的影響和演變以便做出正確的決定。此時可能會出現(xiàn)以下問題：有沒有正在進行的攻擊；攻擊者在哪里；可用的攻擊模型是否能夠近似描述實際的情況；能否預測攻擊者的目標；能否阻止攻擊者實現(xiàn)目標。引入態(tài)勢感知技術(shù)有助于這些問題的解決。

態(tài)勢感知是指在一定的時空條件下，對環(huán)境的獲取、理解和對未來的預測。上世紀90年代以來，各個領(lǐng)域都逐漸引入態(tài)勢感知的概念，其中網(wǎng)絡安全領(lǐng)域出現(xiàn)了“網(wǎng)絡態(tài)勢感知（CSA）”這個概念，它是指在大規(guī)模網(wǎng)絡環(huán)境中對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及對最近發(fā)展趨勢的預測，其中對環(huán)境要素的預測包括依據(jù)感知和理解獲得的知識進行預測的能力，從而為安全管理員的決策提供可靠的支持。7.1.2網(wǎng)絡安全態(tài)勢感知模型根據(jù)網(wǎng)絡安全態(tài)勢感知技術(shù)的主要相關(guān)內(nèi)容以及網(wǎng)絡的實際運行狀況，選擇合適的態(tài)勢感知模型，對于網(wǎng)絡安全管理、資源分配以及網(wǎng)絡防御至關(guān)重要。目前在此領(lǐng)域構(gòu)建出的模型種類繁多，其中使用最廣泛的包括Endsely模型、JDL模型、TimBass模型。1.Endsely模型Endsley提出的態(tài)勢感知模型主要是由環(huán)境或系統(tǒng)狀態(tài)部分和影響態(tài)勢感知的其他要素所組成的。環(huán)境和系統(tǒng)狀態(tài)部分主要由態(tài)勢感知的三個層次組成，即對數(shù)據(jù)和環(huán)境因素的獲取、對當前態(tài)勢的理解和對未來態(tài)勢和事件的預測，另外包括應該采取的決策以及應該采取的行動措施等。影響態(tài)勢感知的其他因素主要包括人員個體之間的差異以及任務或環(huán)境之間的差異等。

將

Endsley所提出的三層態(tài)勢感知模型應用于對網(wǎng)絡安全態(tài)勢的感知，每一層次的具體內(nèi)容如下：數(shù)據(jù)和環(huán)境因素獲取：該層的主要目的是利用現(xiàn)有的技術(shù)手段和網(wǎng)絡安全設(shè)備，對能夠影響網(wǎng)絡安全狀況發(fā)生變化的各種基礎(chǔ)安全數(shù)據(jù)進行實時地檢測和獲取，根據(jù)相關(guān)特征對安全數(shù)據(jù)和網(wǎng)絡行為進行分類，為態(tài)勢理解層提供基礎(chǔ)支撐。

態(tài)勢理解：該層首先融合元素感知層收集到的安全數(shù)據(jù)，并分析數(shù)據(jù)元素之間的關(guān)聯(lián)性；然后選擇合理的數(shù)學模型對整合結(jié)果進行綜合評估；最后經(jīng)過計算分析獲取能反映出網(wǎng)絡當前安全狀態(tài)的態(tài)勢值。

態(tài)勢預測：基于態(tài)勢理解層獲取的能反映網(wǎng)絡運行狀況的安全態(tài)勢值后，結(jié)合相關(guān)理論模型分析并通過使用現(xiàn)實工具對網(wǎng)絡未來的安全狀況進行準確的預測。2.JDL模型

態(tài)勢感知與數(shù)據(jù)融合的研究有很多相似點，數(shù)據(jù)融合是將多個來自不同信息源的數(shù)據(jù)進行收集，并對它們進行關(guān)聯(lián)和整合，從而達到提升數(shù)據(jù)準確度和有效性的效果。其中JDL（JointDirectorsofLaboratories）態(tài)勢感知模型就是根據(jù)數(shù)據(jù)融合模型衍生而來的。在JDL模型中，態(tài)勢感知的實現(xiàn)被分為5個階段，將收集到的數(shù)據(jù)源通過不同階段的處理和反饋后，通過可視化平臺實現(xiàn)人機交互。以下為5個階段的介紹：

（1）數(shù)據(jù)預處理。數(shù)據(jù)預處理是該模型的第一個階段，其主要功能是將從信息采集系統(tǒng)收集上來的各種不規(guī)整、有錯誤、重復、結(jié)構(gòu)不完整等有缺陷的數(shù)據(jù)通過諸如數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換等方法來對數(shù)據(jù)進行預處理，為下一步事件提取做準備。

（2）事件提取。經(jīng)過數(shù)據(jù)預處理后的數(shù)據(jù)雖然減少了錯誤，并且也調(diào)整了格式，但并不是所有的數(shù)據(jù)都是有用的數(shù)據(jù)，我們將對結(jié)果能夠產(chǎn)生影響的有用數(shù)據(jù)稱為事件，事件提取就是從大量數(shù)據(jù)中挑選其中有用的數(shù)據(jù)，為態(tài)勢評估工作做好數(shù)據(jù)基礎(chǔ)。

（3）態(tài)勢評估。通過各種數(shù)據(jù)分析方法對事件進行分析，并得出態(tài)勢評估結(jié)果。然后系統(tǒng)將態(tài)勢評估結(jié)果做成分析報告或態(tài)勢圖，以方便安全人員進行決策。

（4）影響評估。系統(tǒng)將當前的態(tài)勢評估結(jié)果進行推廣，為安全人員提供對未來安全形勢預測的依據(jù)。

（5）資源管理、過程控制與優(yōu)化。最后，為了系統(tǒng)可以在最快的時間內(nèi)完成對數(shù)據(jù)的處理、提取和分析，還需要對該系統(tǒng)進行優(yōu)化，可以通過制定優(yōu)化指標，來完成相關(guān)資源的最優(yōu)分配，并可以對整個過程進行監(jiān)控與評價。3.TimBass模型TimBass等人參考了JDL數(shù)據(jù)融合模型，提出了一種多傳感器數(shù)據(jù)融合的態(tài)勢感知模型，主要包括數(shù)據(jù)提取、攻擊對象識別、態(tài)勢提取、威脅評估以及資源管理五部分。

（1）數(shù)據(jù)提取。主要工作是對網(wǎng)絡設(shè)備采集到的數(shù)據(jù)根據(jù)特征進行分類篩選和屬性約簡等預處理操作。

（2）攻擊對象識別。根據(jù)數(shù)據(jù)提取部分獲取的預處理數(shù)據(jù)，從多個角度對這些數(shù)據(jù)進行關(guān)聯(lián)分析，有效識別網(wǎng)絡攻擊行為、攻擊對象以及攻擊目標。

（3）態(tài)勢提取。通過實時分析所識別攻擊對象的協(xié)調(diào)行為、依賴關(guān)系、共同的原點和共同的協(xié)議來檢測聚合的對象集，對網(wǎng)絡安全態(tài)勢進行評估，了解網(wǎng)絡當前運行狀況。

（4）威脅評估。根據(jù)態(tài)勢提取部分得到的網(wǎng)絡安全態(tài)勢評估結(jié)果，建立合理的模型，分析整個網(wǎng)絡中各種安全威脅發(fā)生的可能性和破壞程度，同時對網(wǎng)絡攻擊所造成的影響進行評測。

（5）資源管理。在態(tài)勢提取和威脅評估的基礎(chǔ)上，了解網(wǎng)絡自身的運行狀況、網(wǎng)絡所處的環(huán)境，以及網(wǎng)絡所遭受的安全威脅，便于使用者及時采取合理的應對策略。

7.1.3工業(yè)控制系統(tǒng)態(tài)勢感知模型空間分布式的工業(yè)控制系統(tǒng)模型，其中，被控過程的運行由控制器進行控制，控制器能夠接收分布在不同地域的傳感器測量值，并利用通信網(wǎng)絡將控制信號傳輸至空間分布的執(zhí)行器中，但系統(tǒng)在網(wǎng)絡通信過程中可能會遭受到攻擊。

工業(yè)控制網(wǎng)絡態(tài)勢感知模型主要分為三個部分：工控網(wǎng)絡態(tài)勢要素提取分類、工控網(wǎng)絡態(tài)勢評估和工控網(wǎng)絡態(tài)勢預測。

工控網(wǎng)絡安全態(tài)勢要素提取分類：負責收集工業(yè)控制網(wǎng)絡系統(tǒng)（主要是企業(yè)管理網(wǎng)絡和過程控制網(wǎng)絡）中各關(guān)鍵節(jié)點的網(wǎng)絡安全數(shù)據(jù)和信息，并按照不同的特征和類型進行分類。安全態(tài)勢要素提取的目標是為了有效識別不同的網(wǎng)絡攻擊行為和安全事件，例如網(wǎng)絡流量、入侵檢測等可以被看作網(wǎng)絡安全要素提取分類的組成部分。除了網(wǎng)絡攻擊之外，網(wǎng)絡自身發(fā)生的故障、人為操控因素等均可被視為影響網(wǎng)絡系統(tǒng)安全的要素。為了下一步網(wǎng)絡安全態(tài)勢評估中獲得準確的安全態(tài)勢值，正確判斷網(wǎng)絡底層的安全事件類型至關(guān)重要。

工控網(wǎng)絡安全態(tài)勢評估：工控網(wǎng)絡安全態(tài)勢評估在工控網(wǎng)絡態(tài)勢感知中起著承上啟下的作用，能否對網(wǎng)絡安全態(tài)勢及時、準確、高效地進行評估直接關(guān)系到網(wǎng)絡運行的穩(wěn)定性和安全性。工控網(wǎng)絡安全態(tài)勢評估的本質(zhì)在于從數(shù)據(jù)中發(fā)現(xiàn)規(guī)律，即如何從海量的網(wǎng)絡安全事件中挖掘出影響網(wǎng)絡狀況的重要信息，進一步解析出信息之間的關(guān)聯(lián)性并對其進行融合，獲取能夠體現(xiàn)整體工控網(wǎng)絡安全狀況的態(tài)勢值。

工控網(wǎng)絡安全態(tài)勢預測：當評估得出一段時間內(nèi)的網(wǎng)絡安全態(tài)勢值后，通過建立基于時間序列的預測模型，預測未來一段時間內(nèi)的網(wǎng)絡安全態(tài)勢。工控網(wǎng)絡安全態(tài)勢預測部分是態(tài)勢感知模型中最重要的環(huán)節(jié)，準確預測未來網(wǎng)絡安全態(tài)勢是網(wǎng)絡主動防御體系的重點，從而為安全管理員提供可靠的信息，應對可能到來的威脅，并合理分配網(wǎng)絡資源，對網(wǎng)絡采取準確的防御措施，最大限度的降低網(wǎng)絡風險和損失。7.2.1數(shù)據(jù)采集技術(shù)

數(shù)據(jù)采集是指從傳感器或其它數(shù)據(jù)采集裝置收集所需數(shù)據(jù)信息的過程。對于態(tài)勢感知來說，數(shù)據(jù)采集為態(tài)勢感知提供數(shù)據(jù)來源，是整個流程需要完成的第一步。工業(yè)控制系統(tǒng)中，需要采集的數(shù)據(jù)一般包括系統(tǒng)網(wǎng)絡拓撲結(jié)構(gòu)、主機運行狀態(tài)信息、網(wǎng)絡通信協(xié)議特征、通信流量信息以及網(wǎng)絡資源配置等。目前較為常用的數(shù)據(jù)采集方式包括兩種，分別是Syslog采集方式和Snmp采集方式，其中Snmp方式是最常用的系統(tǒng)拓撲信息和主機狀態(tài)信息采集方式，大部分主機和工業(yè)網(wǎng)關(guān)之中都內(nèi)置了此項功能。7.2態(tài)勢感知相關(guān)技術(shù)1.Syslog采集技術(shù) Syslog協(xié)議是由加里佛尼亞大學開發(fā)出來的一種數(shù)據(jù)采集協(xié)議，通過Syslog協(xié)議可以完成對系統(tǒng)日志信息進行采集的工作。Syslog協(xié)議在Unix和Linux系統(tǒng)中較為常用，Unix和Linux系統(tǒng)中大部分日志信息都是通過Syslog機制進行收集和維護的。目前，Syslog協(xié)議已經(jīng)發(fā)展成為一套獨立的數(shù)據(jù)采集協(xié)議。 Syslog數(shù)據(jù)采集主要有三種方式，設(shè)備—接收服務器模式、設(shè)備—中繼器—接收服務器模式、設(shè)備—接收服務器—中繼器—接收服務器模式，其中設(shè)備—中繼器—接收服務器模式是通過中繼器代理完成數(shù)據(jù)采集工作，服務器只需要進行數(shù)據(jù)的整理，能夠有效減輕系統(tǒng)服務器壓力。2.Snmp采集技術(shù) Snmp是一種位于應用層的簡單網(wǎng)絡管理協(xié)議，主要用于網(wǎng)絡設(shè)備的管理，也可用于下層數(shù)據(jù)的收集。該協(xié)議簡單可靠、應用方便，是目前使用最為廣泛的網(wǎng)絡管理協(xié)議。Snmp協(xié)議主要由Snmp管理站和Snmp代理兩部分組成。Snmp管理站處于中心位置，負責接收各個Snmp代理所上傳的數(shù)據(jù)信息，并對數(shù)據(jù)進行分析與處理。Snmp代理分布在下層節(jié)點處，負責收集節(jié)點處的各類狀態(tài)信息，如網(wǎng)絡拓撲信息、設(shè)備運行參數(shù)、系統(tǒng)日志信息等，并將這些數(shù)據(jù)發(fā)送給Snmp管理站。Snmp管理站與Snmp代理之間使用UDP協(xié)議進行通信，通常由Snmp管理站下發(fā)管理命令，當Snmp代理站接收到管理站所下發(fā)的命令，根據(jù)命令報文的參數(shù)，返回Snmp管理站所需要的網(wǎng)絡數(shù)據(jù)。Snmp代理站也可以使用Snmptrap協(xié)議主動向Snmp管理站發(fā)送緊急數(shù)據(jù)。7.2.2態(tài)勢評估技術(shù)態(tài)勢評估指對提取的態(tài)勢要素進行處理和分析后，對網(wǎng)絡的整體運行狀況進行評估的過程，主要分為數(shù)據(jù)融合和態(tài)勢值計算兩個階段。

由于態(tài)勢要素是從多源異構(gòu)的分布式傳感器收集到的數(shù)據(jù)，會存在噪聲和冗余性，因此需要利用數(shù)據(jù)融合的方法對數(shù)據(jù)進行處理，以得到更加準確、簡潔的數(shù)據(jù)集。數(shù)據(jù)融合一般分為以下兩類：1）基于邏輯和推理的融合方法

該方法主要有兩種形式，一種是分析信息間的邏輯關(guān)系來實現(xiàn)數(shù)據(jù)融合，另一種是模糊量化信息的不確定性并按照規(guī)則進行推理。2）基于數(shù)學統(tǒng)計的融合方法

該方法主要有兩種形式，一種是通過分析不同態(tài)勢要素的影響來構(gòu)造評估函數(shù)，一種是通過分析信息的統(tǒng)計特征來構(gòu)造評估模型。在完成數(shù)據(jù)融合后，就可以根據(jù)相應的評估指標對網(wǎng)絡運行狀態(tài)進行態(tài)勢評估，網(wǎng)絡安全態(tài)勢評估能夠?qū)崿F(xiàn)對整個網(wǎng)絡體系安全性的度量，并且對整個網(wǎng)絡存在的安全狀況進行綜合的評價，常見的評估方法有層次分析法和人工神經(jīng)網(wǎng)絡。

層次分析法（AnalyticHierarchyProcess，AHP）作為一種涵蓋多個目標和多項準則的決策方法，通過對定量分析和定性分析的綜合運用，能夠?qū)碗s的態(tài)勢評估過程通過分層處理的方式進行簡化，并采取由下至上、先局部后整體的策略，通過逐層計算局部的、底層的態(tài)勢要素的影響來分析系統(tǒng)整體的安全態(tài)勢情況。

神經(jīng)網(wǎng)絡是一種由大量神經(jīng)元連接所組成的運算模型，神經(jīng)元的連接方式不同，組成的神經(jīng)網(wǎng)絡亦不同。由于有著較強的自組織、自學習和自適應能力，人工神經(jīng)網(wǎng)絡在信息處理和模式識別領(lǐng)域有著很大的優(yōu)勢，適合用于態(tài)勢評估。7.2.3態(tài)勢預測技術(shù)態(tài)勢預測是指根據(jù)態(tài)勢評估得到的歷史態(tài)勢值，對將來一段時間網(wǎng)絡的變化趨勢進行預測的過程，這對采取相應防御措施有著很大的參考價值。常見的態(tài)勢預測技術(shù)有支持向量機、神經(jīng)網(wǎng)絡和時間序列預測法等。1）支持向量機支持向量機（SupportVectorMachine，SVM）的理論基礎(chǔ)是統(tǒng)計學，作為一種模式識別方法，它是一類按監(jiān)督學習方式對數(shù)據(jù)進行二元分類的廣義線性分類器。SVM可以實現(xiàn)低維空間向量向高維空間的過渡，從而借助高維線性回歸來解決低維非線性回歸的問題。SVM的穩(wěn)健性和稀疏性在確保求解可靠結(jié)果的同時降低了系統(tǒng)計算量和內(nèi)存開銷。2）神經(jīng)網(wǎng)絡

神經(jīng)網(wǎng)絡是一種網(wǎng)絡態(tài)勢預測方法，它具有自學習、自適應性和非線性處理的特性，神經(jīng)網(wǎng)絡的結(jié)構(gòu)多變，有著很好的靈活性和容錯性。該算法首先利用存在時間關(guān)系的態(tài)勢值作為訓練樣本構(gòu)造神經(jīng)網(wǎng)絡模型，然后利用該模型，將當前時間段的態(tài)勢值作為輸入，并輸出未來時間的態(tài)勢值，完成態(tài)勢預測。3）時間序列預測法

該方法利用態(tài)勢評估產(chǎn)生的非線性的態(tài)勢值，通過分析遵循時間序列的歷史數(shù)據(jù)的變化趨勢，來尋找態(tài)勢值的變化規(guī)律，并根據(jù)此規(guī)律預測未來一段時間的態(tài)勢值。在預測過程中，將態(tài)勢值x抽象為時間序列t的函數(shù)，即x=f(t)。網(wǎng)絡安全態(tài)勢值可以看作一個時間序列，預測過程就是利用序列的前M個時刻的態(tài)勢值預測出后N個時刻的態(tài)勢值。時間序列預測法易于理解，通常結(jié)合支持向量機、神經(jīng)網(wǎng)絡等其他方法一起使用。7.3安全審計概述隨著日益增長的互聯(lián)網(wǎng)安全風險，安全問題的復雜性日益加大，據(jù)中國國家計算機網(wǎng)絡應急協(xié)調(diào)中心CNCERT/CC的調(diào)查結(jié)果顯示，通過外部攻擊獲得內(nèi)部信息的只占入侵總數(shù)的大約五分之一左右，大部分的網(wǎng)絡安全威脅由內(nèi)部產(chǎn)生，其危害程度更甚于黑客攻擊及病毒造成的損失，而這些威脅絕大部分與內(nèi)部各種網(wǎng)絡訪問行為有關(guān)。

防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡安全手段，可實現(xiàn)對網(wǎng)絡異常行為的監(jiān)測和管理，如網(wǎng)絡連接和訪問的合法性進行控制、監(jiān)測網(wǎng)絡攻擊事件等，但是不能監(jiān)控網(wǎng)絡內(nèi)容和己經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡訪問行為，因此對正常網(wǎng)絡訪問行為導致的信息泄密事件、網(wǎng)絡資源濫用行為無法及時發(fā)現(xiàn)，也難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。

因此，如何采用一種安全手段對上述問題進行有效監(jiān)控和管理顯得極為重要。安全審計正是基于這樣的目的而產(chǎn)生。對于任何一個安全體系來說，審計追查手段都是必不可少的。7.3.1安全審計概念

信息安全是一個動態(tài)的過程，在為自身業(yè)務提供高效的網(wǎng)絡運營平臺的同時，日趨復雜的IT業(yè)務系統(tǒng)與不同背景業(yè)務用戶的行為也帶給網(wǎng)絡了潛在的威脅，如內(nèi)部業(yè)務數(shù)據(jù)、重要敏感文件通過電子郵件、數(shù)據(jù)庫訪問、遠程終端訪問（TELNET、FTP等）等方式被泄露、竊取和篡改，訪問非法網(wǎng)站、發(fā)布非法言論等違規(guī)上網(wǎng)行為泛濫，嚴重破壞了政府、企業(yè)的信息系統(tǒng)安全。

安全審計（SecurtiyAudit）就是對審計對象的安全運行狀態(tài)進行監(jiān)控審計。通過審計日志來記錄審計對象的行為和發(fā)生的事件，隨后對審計日志進行全面的分析。當發(fā)現(xiàn)有異?；蚬羰录臅r候，就會啟動相應的處理程序。7.3.2安全審計系統(tǒng)模型

安全審計系統(tǒng)完成對信息流的數(shù)據(jù)采集、分析、識別和資源審計。通過實時審計網(wǎng)絡數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對受控對象的活動進行審計。它側(cè)重于“事中”階段。該系統(tǒng)綜合了基于主機的技術(shù)手段，可以多層次、多手段的實現(xiàn)對網(wǎng)絡的控制管理。通過多級、分布式的網(wǎng)絡審計、管理、控制機制，全面體現(xiàn)了管理層對內(nèi)部網(wǎng)關(guān)鍵資源的全局控制、把握和調(diào)度能力，為管理人員提供了一種審計、檢查當前系統(tǒng)運行狀態(tài)的有效手段。

安全審計系統(tǒng)是一個多功能的完備系統(tǒng)，它是由多個功能不同的模塊相互協(xié)同共同完成一系列的簡單或復雜的任務。

圖中反映出了各個審計模塊之間的關(guān)系，以及他們相互協(xié)作的流程。下面分別對這些模塊進行說明：

（1）審計數(shù)據(jù)采集器。該模塊是整個審計系統(tǒng)中數(shù)量最多的模塊，根據(jù)類型劃分可以分為主動型和被動型兩種。主動型指審計數(shù)據(jù)采集器依據(jù)審計任務被部署到相應的數(shù)據(jù)釆集源上，然后根據(jù)響應的安全策略對數(shù)據(jù)源進行監(jiān)控，自動生成審計日志。

（2）審計數(shù)據(jù)分析器。該模塊是整個系統(tǒng)模型中最重要的組成部分，它處于整個審計系統(tǒng)的中心，從數(shù)據(jù)釆集器中獲取審計日志，然后依據(jù)具體的審計規(guī)則，對數(shù)據(jù)進行異常行為分析，從中找出不正常的數(shù)據(jù)以及發(fā)現(xiàn)潛在的危險行為。

（3）審計數(shù)據(jù)存儲器。審計數(shù)據(jù)存儲器是用來存儲釆集器釆集到的數(shù)據(jù)和事件記錄以及分析器鑒定之后產(chǎn)生的審計日志，以供審計人員查看管理，并準確反應整個系統(tǒng)的安全運行狀態(tài)。因為審計日志是系統(tǒng)運行狀態(tài)的直觀數(shù)據(jù)表現(xiàn)，所以需要保證審計日志的準確性、有效性、完整性、真實性。為了能夠?qū)崿F(xiàn)審計數(shù)據(jù)存儲器的這些功能需求，研究人員將更多的安全技術(shù)應用到其中，采用的技術(shù)包括安全加密技術(shù)、數(shù)據(jù)完整性校驗技術(shù)、來訪用戶訪問控制技術(shù)等。

（4）審計決策執(zhí)行器。審計決策執(zhí)行器也是安全審計系統(tǒng)的重要組成部分，如果沒有該模塊，其他工作將變得沒有意義。該執(zhí)行器的主要工作是在發(fā)生攻擊事件時，能夠?qū)嵤r截操作，及時阻斷攻擊并進行反追蹤等。在現(xiàn)在的審計產(chǎn)品中，實現(xiàn)的功能包括：對網(wǎng)絡攻擊進行阻截，切斷會話，阻止危險數(shù)據(jù)進入系統(tǒng)或敏感數(shù)據(jù)被私自發(fā)送出去；發(fā)現(xiàn)異常程序正在運行時及時關(guān)閉該程序，并予以刪除。以上四種模塊共同實現(xiàn)了安全審計系統(tǒng)的功能。但是這四種模塊都只是邏輯實體，并不是說每一個模塊就是一個完全獨立的程序，它們也可能是一個進程或線程。即一個獨立運行程序，可能包含審計日志釆集器，也包含審計日志分析器。7.3.3安全審計的作用

網(wǎng)絡系統(tǒng)的安全與否是一個相對的概念，不存在絕對的安全。在網(wǎng)絡安全整體解決方案日益增多時，安全審計系統(tǒng)是網(wǎng)絡安全體系中的一個重要環(huán)節(jié)。企業(yè)客戶對網(wǎng)絡系統(tǒng)中的安全設(shè)備和網(wǎng)絡設(shè)備、應用系統(tǒng)和運行狀況進行全面的監(jiān)測、分析、評估是保障網(wǎng)絡安全的重要手段。網(wǎng)絡安全是動態(tài)的，對己經(jīng)建立的系統(tǒng)，如果沒有實時的、集中的、可視化的審計，就不能及時準確地評估系統(tǒng)究竟是不是安全的，并及時發(fā)現(xiàn)和排除安全隱患。所以安全系統(tǒng)需要集中的審計系統(tǒng)。在安全解決方案中，跨廠商產(chǎn)品的簡單集合往往會存在漏洞，不利于系統(tǒng)的安全。當某種安全漏洞出現(xiàn)時，如果先需要對不同廠商的技術(shù)和產(chǎn)品進行人工分析，然后再綜合分析，提出解決方案，將降低對攻擊的反應速度，并潛在地增加成本。如果不能將在同一網(wǎng)絡中所有廠商的產(chǎn)品實現(xiàn)技術(shù)上互操作，實現(xiàn)集中的審計，就無法有效管理，無法實現(xiàn)統(tǒng)一的安全性。安全審計系統(tǒng)能夠?qū)W(wǎng)絡中的各種設(shè)備和系統(tǒng)進行集中的、可視的綜合審計，及時發(fā)現(xiàn)安全隱患，提高系統(tǒng)安全系數(shù)。

目前內(nèi)部網(wǎng)絡可以采用以下手段進行安全保護：對計算機操作進行審計控制；了解計算機的局域網(wǎng)內(nèi)部單臺計算機網(wǎng)絡的連接情況；對計算機局域網(wǎng)內(nèi)網(wǎng)絡數(shù)據(jù)的釆集、分析、存儲備案。網(wǎng)絡安全審計系統(tǒng)能幫助我們對網(wǎng)絡安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡上的動態(tài)，發(fā)現(xiàn)網(wǎng)絡入侵和違規(guī)行為，實時記錄網(wǎng)絡上發(fā)生的異常情況，提供取證手段。它是一種十分重要的增強網(wǎng)絡安全性的手段。7.4安全審計的分類

網(wǎng)絡安全審計技術(shù)大致可以分為四個方面：流量異常審計、入侵檢測審計、內(nèi)容安全審計、行為安全審計。7.4.1流量異常審計

網(wǎng)絡流量異常是指網(wǎng)絡的流量行為偏離其正常行為的情形。網(wǎng)絡安全管理中，網(wǎng)絡流量日志和統(tǒng)計分析是安全審計的基礎(chǔ)，它提供最原始的數(shù)據(jù)，在已有的日志記錄上進行分析和安全審計。在不影響合法用戶上網(wǎng)的前提下，有效跟蹤并且記錄用戶上網(wǎng)活動，通過日志分析的方式盡早發(fā)現(xiàn)用戶的非法行為進而加以規(guī)范，已經(jīng)成為現(xiàn)代互聯(lián)網(wǎng)絡管理的重要手段。審計主要內(nèi)容是對網(wǎng)絡流量日志進行實時監(jiān)測和事后分析，基于規(guī)則來判斷、查看是否違反已經(jīng)制定的安全策略，按照預先定義的策略記錄、阻斷、自動報警等。

目前網(wǎng)絡規(guī)模和速度不斷增加，智能網(wǎng)絡是下一代網(wǎng)絡的發(fā)展方向，流量突發(fā)異常檢測算法需要實時準確地分析處理海量的網(wǎng)絡業(yè)務量數(shù)據(jù)，具有很大的挑戰(zhàn)性。通過采用新的流量數(shù)據(jù)模型來描述網(wǎng)絡通信量，以解決現(xiàn)有網(wǎng)絡異常檢測模型存在的不足成為可能，基于日志記錄的數(shù)據(jù)挖掘網(wǎng)絡流量異常檢測及分析得到廣泛研究。1.網(wǎng)絡流量異常分類

網(wǎng)絡流量異常是指影響網(wǎng)絡正常運行的網(wǎng)絡流量模式，引起網(wǎng)絡流量異常的原因很多，如網(wǎng)絡設(shè)備的不良運行、網(wǎng)絡操作異常、突發(fā)訪問、網(wǎng)絡入侵等。異常流量的特點是突然發(fā)作，無先兆特征，可以在短時間內(nèi)給網(wǎng)絡或網(wǎng)上的計算機造成極大的危害，如由特定的攻擊程序或蠕蟲爆發(fā)所引起的突發(fā)流量行為等。因此準確、快速地檢測網(wǎng)絡流量的異常行為，判斷引起流量異常的原因，做出準確的響應是保證網(wǎng)絡有效運行的前提之一，也成為目前國內(nèi)外學術(shù)界和工業(yè)界共同關(guān)注的熱點問題之一。2.網(wǎng)絡流量異常檢測的方法

針對網(wǎng)絡流量異常檢測的方法主要有以下幾種：基于特征/行為的研究方法、基于統(tǒng)計的異常檢測、基于機器學習的方法和基于數(shù)據(jù)挖掘的方法等。

基于特征/行為的檢測研究通過在網(wǎng)絡流量數(shù)據(jù)中查找與異常特征相匹配的模式來檢測異常。因此需要分類描述網(wǎng)絡異常的流量的特征及行為特征、構(gòu)造蠕蟲分類和DDoS攻擊行為等，其缺點是無法檢測出未知的攻擊類型，而且需要對不斷更新規(guī)則特征庫。

機器學習的方法是基于更新的信息和以前的結(jié)果來提高系統(tǒng)的性能，異常檢測中常用的機器學習技術(shù)包括基于系統(tǒng)調(diào)用的序列分析、貝葉斯網(wǎng)絡、主成分分析法、馬爾可夫模型等。

數(shù)據(jù)挖掘技術(shù)可以用來從大量審計數(shù)據(jù)中挖掘出正?；蛉肭中再|(zhì)的行為模式。

以上兩種異常檢測的方法是將正常的系統(tǒng)網(wǎng)絡行為進行建模，檢測時通過與正常模型的比較來實現(xiàn)異常檢測，因此能有效地發(fā)現(xiàn)己知和未知的攻擊。3.網(wǎng)絡流量異常審計系統(tǒng)

網(wǎng)絡流量安全審計系統(tǒng)（ASM）是分析業(yè)務系統(tǒng)安全的設(shè)備，它通過對采集的網(wǎng)絡流量進行挖掘和關(guān)聯(lián)性分析，將網(wǎng)絡流量、訪問行為和業(yè)務系統(tǒng)的安全結(jié)合起來分析，有效幫助管理人員掌握網(wǎng)絡資源使用情況、分析業(yè)務系統(tǒng)異常情況，保障業(yè)務系統(tǒng)的安全、穩(wěn)定和高效運行。

一個成熟的網(wǎng)絡流量異常審計系統(tǒng)需具備以下特點：

（1）監(jiān)測核心資源系統(tǒng)的帶寬使用情況。

（2）通過對核心資源系統(tǒng)進行持續(xù)性訪問統(tǒng)計和對比分析，繪制出核心資源系統(tǒng)的正常流量輪廓，及時發(fā)現(xiàn)流量異常變化情況。

（3）通過對網(wǎng)絡訪問行為進行特定性監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡中對核心資源庫的異常訪問和攻擊行為，確保針對業(yè)務系統(tǒng)的網(wǎng)絡使用和訪問操作符合規(guī)范。

（4）追蹤和記錄異常網(wǎng)絡行為，提供報警處理、報表統(tǒng)計等功能，對異常事件進行深入分析。7.4.2入侵檢測審計1.入侵檢測的概念

入侵檢測是指通過對安全日志、審計數(shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測是否存在對系統(tǒng)的闖入或具有闖入的企圖。入侵檢測技術(shù)的作用包括檢測、響應、攻擊預測、損失情況評估、威懾和起訴支持等。

入侵檢測通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵，因此被認為是防火墻之后的第二道安全閘門，能對網(wǎng)絡進行監(jiān)測而不影響網(wǎng)絡性能。入侵檢測通過執(zhí)行以下任務來實現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動；識別反映己知進攻的活動模式并及時報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理。

入侵檢測是防火墻的有效補充，能夠幫助系統(tǒng)應對網(wǎng)絡攻擊，擴展了系統(tǒng)管理員包括安全審計、監(jiān)視、進攻識別和響應處理等的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵檢測系統(tǒng)的分類

針對入侵檢測技術(shù)的分類方法很多，主要存在以下幾種分類方法。按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)進行分類，入侵檢測系統(tǒng)分為兩類，基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng)。按照系統(tǒng)各個模塊運行的分布方式不同，可以分為兩類，集中式檢測系統(tǒng)和分布式檢測系統(tǒng)。根據(jù)數(shù)據(jù)分析方法的不同，可以將入侵檢測系統(tǒng)分為兩類，異常檢測和誤用檢測。1）基于主機的入侵檢測系統(tǒng)，

通常，基于主機的入侵檢測系統(tǒng)可以檢測安全記錄。

基于網(wǎng)絡的入侵檢測系統(tǒng)簡稱為網(wǎng)絡入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡中的數(shù)據(jù)包。系統(tǒng)通過在計算機網(wǎng)絡中的某些點被動地監(jiān)測網(wǎng)絡上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡數(shù)據(jù)進行處理，從中挖掘有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡行為原型相比較以識別相應的攻擊事件。3）集中式入侵檢測系統(tǒng)

集中式IDS有多個分布在不同主機上的審計程序，僅有一個中央入侵檢測服務器。審計程序?qū)數(shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務器進行分析處理。4）分布式入侵檢測系統(tǒng)

分布式IDS是將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，負責監(jiān)控當?shù)刂鳈C的某些活動。因此其可伸縮性、安全性都等到了明顯的提高。與集中式IDS相比，分布式IDS對基于網(wǎng)絡的共享數(shù)據(jù)量的要求較低，但維護成本卻較高，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等。5）誤用入侵檢測

誤用入侵檢測是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測。誤用檢測是對不正常的行為建模，這些不正常的行為是被記錄下來的確認的誤用和攻擊。通過對系統(tǒng)活動的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報少。但需要不斷更新攻擊的特征庫，系統(tǒng)靈活性和自適應性較差，存在較多漏報情況。商用IDS多釆用該種檢測方法。6）異常入侵檢測

異常入侵檢測是指能根據(jù)異常行為和使用計算機資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。異常檢測是對用戶的正常行為進行建模，通過正常行為與用戶的行為進行比較，如果二者的偏差超過了規(guī)定閾值則認為該用戶存在異常行為。但異常檢測有較多的誤報。大多數(shù)的異常檢測技術(shù)在商業(yè)IDS中較少應用。3.入侵檢測系統(tǒng)的功能

入侵檢測系統(tǒng)的功能主要有：監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補漏洞，一般由安全掃描系統(tǒng)完成；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為，統(tǒng)計分析異常行為；對操作系統(tǒng)日志進行管理，并識別違反安全策略的用戶活動等。

典型的入侵檢測系統(tǒng)包括數(shù)據(jù)收集器、數(shù)據(jù)過濾器和數(shù)據(jù)分析器三部分。7.4.3內(nèi)容安全審計1.網(wǎng)絡信息內(nèi)容安全的概念

網(wǎng)絡信息內(nèi)容安全是指在網(wǎng)絡服務可用的前提下，保證網(wǎng)絡中數(shù)據(jù)的內(nèi)容符合規(guī)定的安全策略，避免數(shù)據(jù)遭到濫用，保證傳輸內(nèi)容的安全性。這方面的技術(shù)包括基于內(nèi)容的防火墻和網(wǎng)絡信息安全內(nèi)容審計。近年來，除了對防火墻技術(shù)和入侵檢測技術(shù)研究之外，人們把更大的力量投入到網(wǎng)絡信息安全內(nèi)容審計技術(shù)的研究上來，主要基于以下原因：

（1）防火墻規(guī)則基于統(tǒng)計分析的結(jié)果，會使得誤判為非法的數(shù)據(jù)包被攔截而導致網(wǎng)絡服務不可用。

（2）危害網(wǎng)絡安全的有害信息往往包裝成合法的報文或者加載到合法的報文中間，通過合法的用戶進行發(fā)布，能順利地通過防火墻和入侵檢測系統(tǒng)而不會受到攔截，只有通過特定的網(wǎng)絡信息審計系統(tǒng)才能將其檢測出來。

（3）據(jù)調(diào)查大多數(shù)的攻擊及非法信息來自于內(nèi)部，對于這些來自內(nèi)部的攻擊來說，防火墻無法發(fā)揮有效的功用。

（4）底層協(xié)議的防火墻無法保護上層協(xié)議的攻擊。

（5）采用掃描系統(tǒng)、防火墻和入侵檢測技術(shù)對網(wǎng)絡信息報文進行處理，在網(wǎng)絡防護階段事前、事中和事后的取證就必須用到審計系統(tǒng)。2.網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)

網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)（簡稱CASNI）是指從網(wǎng)絡中的關(guān)鍵點收集數(shù)據(jù)包，審計其所傳送的內(nèi)容，分析檢查其中是否含有違反安全策略的內(nèi)容，實現(xiàn)對網(wǎng)絡信息內(nèi)容的可控性，防止內(nèi)部機密或敏感信息的非法泄漏及有害信息的傳送，對非法內(nèi)容、可疑行為釆取對應措施，并為查證提供證據(jù)。從技術(shù)研究的領(lǐng)域來看，網(wǎng)絡信息審計技術(shù)義可分為兩大類：一類是基于報文結(jié)構(gòu)格式的完整性及合法性進行審計的技術(shù)，例如對病毒的審查和對黑客程序的審查就屬于該類審計內(nèi)容。另一類就是基于報文內(nèi)容的審計技術(shù)，它采用人工智能、自然語言識別技術(shù)等，對通過網(wǎng)絡的報文內(nèi)容實時進行處理和識別，凡是發(fā)現(xiàn)包含有害、非法信息的報文就記錄其源/目標IP地址、源/目標端口號、服務類型、報文發(fā)布的時間、報文的內(nèi)容以及有關(guān)用戶的信息，并形成系統(tǒng)訪問日志，提供給系統(tǒng)管理人員和有關(guān)人員進行事后審計和分析，進而釆取相應的安全管理措施，包括對非法的、不健康的信息進行追查等處理。3.網(wǎng)絡內(nèi)容安全審計的主要功能

網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)主要在應用層對信息內(nèi)容進行分析，以便發(fā)現(xiàn)可疑的破壞行為，并對這些破壞行為釆取相應的措施，如進行記錄、報警和阻斷等。網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)主要包括以下功能：

（1）公用信息內(nèi)容安全分析。

（2）可靠阻斷。

（3）會話重現(xiàn)。4.網(wǎng)絡內(nèi)容安全審計的主要技術(shù)網(wǎng)絡內(nèi)容安全分析與審計系統(tǒng)涉及的技術(shù)包括以下兩種：（1）網(wǎng)絡信息內(nèi)容的獲取。研究如何在大規(guī)模網(wǎng)絡環(huán)境中快速獲取各種協(xié)議的信息內(nèi)容，如何突破高速網(wǎng)絡下內(nèi)容分析與入侵檢測系統(tǒng)發(fā)展的瓶頸。一般常用方法是提高系統(tǒng)的CPU速度和釆用更多的內(nèi)存。然而網(wǎng)絡的發(fā)展速度遠遠超過了單個計算機硬件的發(fā)展速度，單純提高硬件的性能已不能滿足飛速發(fā)展的計算機網(wǎng)絡的需要，因此還需要選擇新的算法來應用。（2）信息內(nèi)容分析還原。將截獲的數(shù)據(jù)包還原，并分析其中的信息內(nèi)容。信息內(nèi)容分析還原系統(tǒng)主要工作在應用層，而基于應用層的協(xié)議很多，許多新的應用協(xié)議還在不斷產(chǎn)生，而且在同一個會話當中，往往存在多協(xié)議同時工作的情況。7.4.4行為安全審計1.網(wǎng)絡行為審計的概念

網(wǎng)絡行為審計（NetworkBehaviorAudit，NBA）是通過分析網(wǎng)絡中的數(shù)據(jù)包、數(shù)據(jù)流量，借助協(xié)議分析技術(shù)，或者異常流量分析技術(shù)，來發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的異常和違規(guī)行為，尤其是那些偽裝成正常行為的非法行為。并且一些產(chǎn)品在對該技術(shù)擴展后，還具有網(wǎng)絡行為控制、流量控制的功能。網(wǎng)絡行為審計是安全審計中較為重要的一種審計方式，其他安全審計技術(shù)還包括日志審計技術(shù)、本機代理審計技術(shù)、遠程代理審計技術(shù)。2.網(wǎng)絡行為審計的實現(xiàn)方式NBA的實現(xiàn)有多種方式，其中有兩個重要的分支：（1）基于流量分析技術(shù)的NBA。通過收集網(wǎng)絡設(shè)備的各種格式的流量日志來進行分析和審計，發(fā)現(xiàn)違規(guī)和異常行為。傳統(tǒng)的網(wǎng)管廠商很多開始以此為進入安全的切入口，而安全廠商則也較多的采用此種方式。（2）基于抓包協(xié)議分析技術(shù)的NBA。通過偵聽網(wǎng)絡中的數(shù)據(jù)包來進行分析和審計，發(fā)現(xiàn)異常和違規(guī)行為，傳統(tǒng)的安全廠商多采用此種方式作為進入審計領(lǐng)域的切入點。3.抓包型NBA技術(shù)及產(chǎn)品類型說明

根據(jù)用途的和部署位置的不同，抓包型網(wǎng)絡行為審計一般又分為兩種子類型。

（1）上網(wǎng)審計型。硬件設(shè)備采用旁路/串路方式部署在用戶互聯(lián)網(wǎng)出口處。通過旁路偵聽、數(shù)據(jù)報文截獲的方式對內(nèi)部網(wǎng)絡連接到外部網(wǎng)絡的數(shù)據(jù)流進行采集、分析和識別，基于應用層協(xié)議還原行為和內(nèi)容審計，例如針對網(wǎng)頁瀏覽、網(wǎng)絡聊天、收發(fā)郵件、P2P、網(wǎng)絡音視頻、文件傳輸?shù)鹊膶徲?。可以制定各種控制策略進行統(tǒng)計分析。審計網(wǎng)絡內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容，發(fā)現(xiàn)用戶違規(guī)行為，防止內(nèi)部信息泄漏，有效提升監(jiān)管內(nèi)部網(wǎng)絡用戶上網(wǎng)行為的效率。

（2）業(yè)務審計型。硬件設(shè)備釆用旁路偵聽的方式對數(shù)據(jù)流進行釆集、分析和識別，實現(xiàn)對用戶操作數(shù)據(jù)庫、遠程訪問主機和網(wǎng)絡流量的審計。例如針對各種類型的數(shù)據(jù)庫SQL語句、操作命令的審計，針對Telnet、FTP、SSH、VNC、文件共享協(xié)議的審計。管理員可以指定各種控制策略，并進行事后追蹤與審計取證。對網(wǎng)絡中重要的業(yè)務系統(tǒng)（主機、服務器、應用軟件、數(shù)據(jù)庫等）進行保護，審計所有針對業(yè)務系統(tǒng)的網(wǎng)絡操作，防止針對業(yè)務系統(tǒng)的違規(guī)操作和行為，提升核心業(yè)務系統(tǒng)的網(wǎng)絡安全保障水平，尤其是信息和數(shù)據(jù)的安全保護能力，防止信息泄漏。4.差異分析

上網(wǎng)審計型系統(tǒng)分析的協(xié)議都是互聯(lián)網(wǎng)上常用的應用層協(xié)議，同時，為了實現(xiàn)更為精確的審計，還需要進一步深入分析協(xié)議的內(nèi)容，一個好的上網(wǎng)審計型NBA必須要有一個巨大的、不斷及時更新的協(xié)議分析庫。

業(yè)務審計型系統(tǒng)分析的協(xié)議基本上都是常見的應用層協(xié)議，并且與業(yè)務系統(tǒng)密切相關(guān)。例如TDS、TNS等數(shù)據(jù)庫訪問協(xié)議，F(xiàn)TP、TELNET協(xié)議，HTTP、企業(yè)郵箱協(xié)議（IMAP、STMP等），等等。對于業(yè)務審計型NBA而言，協(xié)議種類相對比較固定，并且協(xié)議版本比較穩(wěn)定，比較易于實現(xiàn)。

數(shù)據(jù)庫審計主要就是針對業(yè)務的核心，即數(shù)據(jù)庫的審計?？梢哉f，數(shù)據(jù)庫審計是業(yè)務審計在實現(xiàn)功能上的子集。而業(yè)務系統(tǒng)是由包括主機、網(wǎng)絡設(shè)備、安全設(shè)備、應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等在內(nèi)的多種資源有機組合而成的。因此，針對業(yè)務的審計就要對構(gòu)成業(yè)務系統(tǒng)的各個資源之間的訪問行為以及業(yè)務系統(tǒng)之間的操作的審計。只有通過審計構(gòu)成業(yè)務系統(tǒng)的各種資源的運行行為才能真正反映出系統(tǒng)的安全狀態(tài)。7.5安全審計的分析方法

早期的安全審計分析主要是由人工完成的，分析過程依賴于審計者的知識和經(jīng)驗，效率低下。隨著安全審計數(shù)據(jù)量的持續(xù)増大，僅僅依靠人工進行審計已變得不切實際。為了解決這種問題，出現(xiàn)了如下的審計方法。7.5.1基于數(shù)理統(tǒng)計的安全審計方法

基于數(shù)理統(tǒng)計的安全審計方案，一般是根據(jù)系統(tǒng)運行狀態(tài)進行審計。首先通過分析總結(jié)出能夠反應系統(tǒng)運行狀態(tài)的數(shù)據(jù)參數(shù)。然后統(tǒng)計出系統(tǒng)在正常運行的情況下，這些數(shù)據(jù)的波動范圍。再結(jié)合相關(guān)的理論，為每一個數(shù)據(jù)指標設(shè)定一個正常的閾值范圍。

（1）操作模型。該模型主要是針對那些情況單一、特征比較明顯、攻擊手段簡單的攻擊行為。這些攻擊往往具備一個相似的特點，就是出現(xiàn)不符合閾值的異常數(shù)據(jù)。不需要對收集數(shù)據(jù)進行過多分析，只要發(fā)現(xiàn)某一個或多個參數(shù)超過相應的設(shè)定好的閾值時，就能認定發(fā)生了攻擊事件。指標閾值一般是由安全審計人員經(jīng)過理論論證以及統(tǒng)計分析來制定的。

（2）平均值和標準差模型。該模型是以數(shù)據(jù)的平均值和標準差來衡量系統(tǒng)運行的度量參數(shù)。該模型設(shè)定的數(shù)據(jù)指標比較穩(wěn)定。有一些系統(tǒng)運行時，它的某些參數(shù)可能并不是一直處于一個比較穩(wěn)定的范圍，而是偶爾會出現(xiàn)偏差特別大的情況，但可能也屬于正常情況。只有當發(fā)現(xiàn)大量的數(shù)據(jù)參數(shù)偏離了正常基準線的情況才會被認定為攻擊。該模型就非常適合這樣的系統(tǒng)。平均值和標準差計算公式如下：

（3）多元素模型。該模型不同于以上兩個模型，此模型不是對單個數(shù)據(jù)進行判斷，而是結(jié)合多個數(shù)據(jù)進行聯(lián)合分析。它需要考慮多個數(shù)據(jù)參數(shù)的相互影響和聯(lián)系，然后對這些數(shù)據(jù)參數(shù)進行整體分析判斷。簡單來說就是這些參數(shù)的變化不是孤立的，而是其中某一個參數(shù)的變化，就可能引起其他參數(shù)跟著發(fā)生變化。

（4）馬爾可夫模型。該模型不是針對具體數(shù)據(jù)參數(shù)變化進行統(tǒng)計分析，而是著眼于系統(tǒng)的狀態(tài)變化。系統(tǒng)在一個個的狀態(tài)之間發(fā)生轉(zhuǎn)移，通過相應的公式計算出在當前條件下，系統(tǒng)進入到某一實際狀態(tài)下的概率，如果計算出來的概率非常小，那就表示有異常發(fā)生。簡單來說就是系統(tǒng)正常運行的狀況下，當前的條件不可能使系統(tǒng)進入到該狀態(tài)。該模型下，系統(tǒng)有一個狀態(tài)集合S={S1，S2，...Sn}，系統(tǒng)任意時刻都會處于該集合中的某一個狀態(tài)?，F(xiàn)在假設(shè)在時刻t的狀態(tài)為qt，有如下定義：7.5.2基于特征匹配的安全審計方法

絕大部分的攻擊或者異常都有其特征。特征匹配安全審計就是基于這個理論基礎(chǔ)發(fā)展起來的。收集攻擊的各種參數(shù)，例如攻擊導致的結(jié)果、攻擊的入侵渠道和引起網(wǎng)絡負載的變化等數(shù)據(jù)。然后對各參數(shù)采用建模分類、相似歸納、特殊性總結(jié)等手段，提取出攻擊的特征信息。再采用合理的描述方式將特征數(shù)據(jù)化，建立攻擊特征模型庫。在審計節(jié)點部署之后，系統(tǒng)會對審計對象的運行進行監(jiān)督，釆集審計數(shù)據(jù)。之后再將數(shù)據(jù)進行預處理，提取出數(shù)據(jù)的有效信息，進行數(shù)據(jù)建模。最后將數(shù)據(jù)模型與特征庫的模型進行對比，就能判斷該審計對象是否被攻擊了。當發(fā)現(xiàn)審計對象疑似正在遭受攻擊或己經(jīng)遭受過攻擊，就需要釆取相應的防御措施，并向?qū)徲嬋藛T報警，通知審計人員進行協(xié)助處理。該技術(shù)能夠針對攻擊和異常進行精確匹配，但是對于沒有在特征模型庫中記錄過的攻擊，就沒有辦法發(fā)現(xiàn)了。此外，如何根據(jù)審計對象的特點設(shè)計出存儲高效、快速訪問的特征庫以及實現(xiàn)準確、快速、資源消耗小的匹配算法是研究的主要內(nèi)容。7.5.3基于數(shù)據(jù)挖掘的安全審計方法數(shù)據(jù)挖掘的過程通常由業(yè)務理解、數(shù)據(jù)理解、數(shù)據(jù)預處理、建模、評估、可視化表現(xiàn)等幾個階段組成，以下分別加以說明。1）業(yè)務理解

數(shù)據(jù)挖掘的前提是深入理解業(yè)務，明確業(yè)務的目標，將業(yè)務需要解決的問題轉(zhuǎn)化為數(shù)據(jù)挖掘問題，并制定計劃，這樣才能保證后續(xù)數(shù)據(jù)挖掘的準確性。2）數(shù)據(jù)理解

數(shù)據(jù)理解就是分析數(shù)據(jù)庫中的業(yè)務數(shù)據(jù)，找到數(shù)據(jù)中存在的質(zhì)量問題的過程，對于不理解的業(yè)務數(shù)據(jù)再做一次分析理解，使之被充分利用。3）數(shù)據(jù)預處理

一般來說，數(shù)據(jù)挖掘過程包含數(shù)據(jù)轉(zhuǎn)換、清洗等操作，因為在原始數(shù)據(jù)庫中，會存在一些屬性的類型、長度及格式化問題，要按照需求進行轉(zhuǎn)化后才能被有效使用。4）建模

數(shù)據(jù)挖掘過程中最重要的一個環(huán)節(jié)就是數(shù)據(jù)建模，模型的選擇非常重要，選擇什么樣的模型算法及參數(shù)設(shè)置，就決定了會得到什么樣的挖掘結(jié)果。在模型算法的計算過程中，通過調(diào)節(jié)算法的參數(shù)設(shè)置以達到結(jié)果最優(yōu)的效果，最終獲得合適的模型。5）評估

對已經(jīng)建好的模型進行評估，也就是對模型的檢驗操作，評估的結(jié)果將直接決定模型的適用性，在評估過程中，可以通過業(yè)務庫中的數(shù)據(jù)進行驗證。6）可視化表現(xiàn)

挖掘成功后，就需要將結(jié)果通過可視化的渠道展示給用戶，以便用戶可以直觀的通過一些圖形化界面對數(shù)據(jù)的結(jié)果進行分析，并能得出相應的結(jié)論，以對這些業(yè)務數(shù)據(jù)給出預測。

雖然借助數(shù)據(jù)挖掘進行安全審計，其智能化能夠幫助審計人員發(fā)掘出那些隱蔽性強、未被寫入特征庫的攻擊，但是也不可避免的存在以下一些不足。

（1）檢測粒度較粗，對攻擊的判定主要是基于以往的“學習經(jīng)驗”，所以存在較高的誤報率。

（2）需要大量的數(shù)據(jù)進行學習，對于數(shù)據(jù)的純度要求較高。

（3）在訓練和評估時計算復雜度過高。7.5.4基于神經(jīng)網(wǎng)絡的安全審計方法

人工神經(jīng)網(wǎng)絡是基于統(tǒng)計學理論和生物神經(jīng)元理論而提出來的機器學習方法，其主要由大量的人工神經(jīng)元組成。構(gòu)成神經(jīng)系統(tǒng)的基本單元是神經(jīng)細胞，通常叫做生物神經(jīng)元，也可稱為神經(jīng)元。在生物神經(jīng)元功能的基礎(chǔ)上，人工神經(jīng)網(wǎng)絡通過模擬其運作方式建立起了類似神經(jīng)元進行信息處理的數(shù)據(jù)模型。

在人工神經(jīng)元的基礎(chǔ)上，神經(jīng)網(wǎng)絡則是通過大量的神經(jīng)元相連接構(gòu)成的拓撲結(jié)構(gòu)，一般人工神經(jīng)網(wǎng)絡的結(jié)構(gòu)由輸入層、隱藏層和輸出層組成。神經(jīng)網(wǎng)絡的構(gòu)建一般是設(shè)計者事先規(guī)劃好的，因為在模型訓練的過程中轉(zhuǎn)化函數(shù)是無法改變的，所以要想使得模型達到最好的輸出值只能通過改變加權(quán)求和的輸入。又因為神經(jīng)元的信號處理對象只能是網(wǎng)絡的輸入信號，那么只能通過修改網(wǎng)絡的權(quán)重參數(shù)達到對加權(quán)輸入的改變，即神經(jīng)網(wǎng)絡模型的優(yōu)化學習過程就是對權(quán)值矩陣的更新以達到最低的模型損失值。

離線學習和在線判斷組成了神經(jīng)網(wǎng)絡的工作過程。在學習的過程中，各神經(jīng)元進行權(quán)重參數(shù)調(diào)整，實現(xiàn)非線性映射關(guān)系，以及不同的學習規(guī)則擬合以達到理想的訓練精度。在線判斷的階段中，神經(jīng)網(wǎng)絡采用訓練好的網(wǎng)絡模型對新的數(shù)據(jù)進行計算輸出。目前神經(jīng)網(wǎng)絡的學習規(guī)則包含了多種算法，其中的學習規(guī)則就是神經(jīng)網(wǎng)絡權(quán)重的更新算法，可以分為監(jiān)督學習以及無監(jiān)督學習，聯(lián)想式學習和非聯(lián)想式學習等。

由大批處理單元彼此連接組成的神經(jīng)網(wǎng)絡，是一個自適應的信息系統(tǒng)。應用于安全審計領(lǐng)域時，能檢測出未知攻擊的能力，并具有進行量化統(tǒng)計分析的優(yōu)點，但是也存在一定的問題，如不提供對異常行為事件的解釋，無法進行追責等。7.5.5基于專家系統(tǒng)的安全審計方法專家系統(tǒng)最早起源于20世紀60年代，是人工智能的重要分支之一，它將領(lǐng)域?qū)＜业闹R經(jīng)驗和大量資料數(shù)據(jù)轉(zhuǎn)化為計算機能夠識別的規(guī)則公式或者邏輯語言，并儲存于知識庫中，利用推理機制模仿人類專家對問題進行智能化處理。由于具有計算速度快、專業(yè)性強、可靠性高、易于維護等特點，專家系統(tǒng)在各領(lǐng)域都得到了推廣應用。

在人工智能領(lǐng)域，專家系統(tǒng)用來模擬人類專家的決策能力，被設(shè)計為通過推理知識來解決復雜的問題。專家系統(tǒng)是第一批真正成功的人工智能軟件，一般分為兩個子系統(tǒng)：知識庫和推理機。知識庫代表事實和規(guī)則。推理機將規(guī)則應用于已知事實和規(guī)則，推理機將規(guī)則應用于已知事件以推斷新事件。

用于審計的專家系統(tǒng)組成部分為：審計專家知識庫、資料數(shù)據(jù)庫、推理模塊、解釋接口模塊、知識獲取模塊、人機交互模塊等。（1）審計專家知識庫主要用來存儲從相關(guān)領(lǐng)域?qū)＜液唾Y料數(shù)據(jù)獲取的知識規(guī)則，用來模擬專家大腦內(nèi)的專業(yè)知識，由于專家系統(tǒng)的問題求解過程需要運用專家提供的專門知識來模擬專家的思維方式，所以在數(shù)量和質(zhì)量上擁有的知識庫內(nèi)容就成為系統(tǒng)性能和問題求解能力能否符合要求的關(guān)鍵因素。（2）資料數(shù)據(jù)庫則用來保存大量相關(guān)領(lǐng)域的綜合數(shù)據(jù)，可以從中提取重要的知識、規(guī)律。知識庫的構(gòu)建是一個逐漸完善和豐富的過程，可通過知識獲取模塊手動或自動學習知識、規(guī)則，不斷健全知識庫，提升系統(tǒng)可靠性。（3）推理模塊則模仿人類專家處理問題的思維過程，依據(jù)知識庫中存儲的專家經(jīng)驗、規(guī)則等，按照一定的邏輯規(guī)則、推理策略對已有事實進行推理分析，得出問題的產(chǎn)生因素，一般可分為正向推理、逆向推理和混合推理三種推理方式。（4）解釋接口模塊是針對用戶的提問，對系統(tǒng)給出的結(jié)論、求解過程以及系統(tǒng)當前的求解狀態(tài)提供說明的一種程序，這種程序的目的是為了便于用戶理解系統(tǒng)的問題求解，以增加用戶對求解結(jié)果的認知和信任程度。（5）知識獲取模塊是在知識庫中建造一種自動獲取專門知識的程序，這種程序能部分替代知識工程師以實現(xiàn)專家系統(tǒng)的自學習，進而不斷完善數(shù)據(jù)庫的內(nèi)容。（6）人機交互模塊服務于用戶、領(lǐng)域?qū)＜一蛳到y(tǒng)維護人員等，用戶可通過該模塊輸入已有事實，系統(tǒng)推理診斷后將分析結(jié)果進行展示。它能將專家或用戶輸入的信息翻譯為系統(tǒng)可接受的內(nèi)部形式，再把系統(tǒng)向?qū)＜一蛴脩糨敵龅男畔⑥D(zhuǎn)換成其易于理解的外部形式。工業(yè)控制系統(tǒng)應用與安全防護技術(shù)第8章工業(yè)控制系統(tǒng)安全綜合應用8.1.1西門子S7-200SMART硬件S7-200SMART是西門子公司針對中國市場研發(fā)的高性價比、小型PLC。S7-200SMART硬件主要有CPU模塊、數(shù)字量擴展模塊、模擬量擴展模塊及信號板等。S7-200SMART系列不僅提供了多種型號CPU和擴展模塊，能夠滿足各種配置要求，CPU內(nèi)部還集成了高速計數(shù)器、PID和運動控制等功能，滿足了廣大用戶的控制要求。1.CPU模塊2.數(shù)字量擴展模塊3.模擬量擴展模塊4.信號板8.1西門子S7-200SMART應用

81.2西門子S7-200SMART程序結(jié)構(gòu)與數(shù)據(jù)尋址1.程序結(jié)構(gòu)S7-200SMARTPLC的用戶程序一般包括一個主程序、若干個子程序和若干個中斷程序。主程序（OB1）是用戶程序的主體，每一個項目都必須有且只有一個主程序。CPU在每個掃描周期都要執(zhí)行一次主程序。在主程序中可以調(diào)用子程序，子程序又可以調(diào)用其他子程序。S7-200SMARTSTEP7-Micro/WINSMART軟件在程序編輯窗口里為每個POU（程序組成單元）提供一個獨立的頁。主程序總是第1頁，后面是子程序和中斷程序。2.數(shù)據(jù)類型S7-200系列PLC的基本數(shù)據(jù)類型有布爾型（BOOL）、無符號字節(jié)（BYTE）、無符號字（WORD）、無符號雙字（DoubleWord，DWORD）、有符號整型（Integer，INT）、有符號雙字整型（DoubleInteger，DINT）、實數(shù)型（REAL）和字符串型（STRING）。不同的數(shù)據(jù)類型具有不同的數(shù)據(jù)長度和數(shù)值范圍，如表8-1所示。數(shù)據(jù)類型為STRING的字符串由若干個ASCII碼字符組成，字符串的第一個字節(jié)定義字符串的長度（0~254），即字符數(shù)，后面的每一個字符占1B。變量字符串最多為255B（長度字節(jié)加上254個字符）。表8-1S7-200SMARTPLC的數(shù)據(jù)類型及范圍3.存儲區(qū)類型1）I（過程映像輸入）2）Q（過程映像輸出）3）V（變量存儲器）4）M（標志存儲器）5）T（定時器存儲器）6）C（計數(shù)器存儲器）7）HC（高速計數(shù)器）8）AC（累加器）9）SM（特殊存儲器）10）L（局部存儲區(qū)）11）AI（模擬量輸入）12）AQ（模擬量輸出）13）S（順序控制繼電器）4.尋址方式S7-200SMARTPLC的尋址方式有立即尋址、直接尋址和間接尋址三種方式。1）立即尋址2）直接尋址3）間接尋址8.1.3西門子S7-200SMART基本指令1.位邏輯指令1）觸點指令8.1.3西門子S7-200SMART基本指令1.位邏輯指令1）觸點指令2）輸出指令輸出指令在位邏輯指令中又稱線圈驅(qū)動指令，由線圈和位地址構(gòu)成。線圈驅(qū)動指令的語句表由操作碼“=”和線圈位地址構(gòu)成。線圈驅(qū)動指令是根據(jù)前面各邏輯運算的結(jié)果由能流控制線圈，從而使線圈驅(qū)動的常開觸點閉合，常閉觸點斷開。3）置位、復位和觸發(fā)器指令4）取反指令取反NOT指令能夠使觸點輸出反相，在梯形圖中用來改變能流的狀態(tài)，取反觸點左端邏輯運算結(jié)果為1時，即有能流輸入時，觸點斷開能流，反之能流可以通過。5）跳變指令上升沿和下降沿檢測指令用來檢測狀態(tài)的變化，可以用來起動一個控制程序，起動一個運算過程或結(jié)束一段控制運行等。使用跳變指令時應該注意以下幾點：（1）EU、ED指令后無操作數(shù)。（2）上升沿和下降沿檢測指令不能直接與左線相連，必須接在常開或常閉觸點之后。（3）當條件滿足時，上升沿和下降沿檢測指令的常開觸點只能接通一個掃描周期，接受控制的元件應接在這一觸點之后。6）立即指令立即指令允許對輸入和輸出點進行快速和直接存取。當用立即指令讀取輸入點的狀態(tài)時，相應的輸入映像寄存器中的值并未發(fā)生更新；用立即指令訪問輸出點時，相應的輸出寄存器的內(nèi)容也被刷新。只有輸入繼電器I和輸出繼電器Q可以使用立即指令。（1）立即觸點指令。（2）=I立即輸出指令。（3）SI立即置位指令。（4）RI立即復位指令。2.定時器指令1）定時器指令定時器指令是PLC的重要指令，S7-200SMARTPLC中共有3種定時器指令，即接通延時定時器指令（TON）、斷開延時定時器指令（TOF）和帶有記憶接通延時定時器指令（TONR）。S7-200SMARTPLC提供了256個定時器，定時器編號為T0～T255。定時器有1ms、10ms和100rns三種分辨率，分辨率取決于定時器的地址。輸入定時器地址后，在定時器方框的右下角內(nèi)將會出現(xiàn)定時器的分辨率。2）接通延時定時器指令接通延時定時器指令（TON，On-DelayTimer）的梯形圖由定時器標識符TON、定時器的起動信號輸入端IN、時間設(shè)定值輸入端PT和TON定時器地址Tn組成。其語句表由定時器標識符TON、定時器地址Tn和時間設(shè)定值PT組成。TON指令的編程舉例3）斷開延時定時器指令斷開延時定時器指令（TOF，OFF-DelayTimer）的梯形圖由定時器標識符TOF、定時器的起動信號輸入端IN、時間設(shè)定值輸入端PT和TOF定時器地址Tn組成。其語句表由定時器標識符TOF、定時器地址Tn和時間設(shè)定值PT組成。TOF指令的編程舉例4）保持型接通延時定時器指令保持型接通延時定時器（TONR，RetentiveOn-DelayTimer）指令的梯形圖由定時器標識符TONR、定時器的起動信號輸入IN端、時間設(shè)定值輸入端PT和TONR定時器地址Tn組成。其語句表由定時器標識符TONR、定時器地址Tn和時間設(shè)定值PT組成。TONR指令的編程舉例3.計數(shù)器指令1）增計數(shù)器指令增計數(shù)器（CTU，CounterUp）指令的梯形圖由增計數(shù)器標識符CTU、計數(shù)脈沖輸入端CU、復位信號輸入端R、設(shè)定值PV和計數(shù)器地址Cn組成，地址編號為0～255。增計數(shù)器指令的語句表由增計數(shù)器操作碼CTU、計數(shù)器地址Cn和設(shè)定值PV構(gòu)成。增計數(shù)器指令的編程舉例2）減計數(shù)器指令減計數(shù)器（CTD，CounterDown）指令的梯形圖由減計數(shù)器標識符CTD、計數(shù)脈沖輸入端CD、裝載輸入端LD、設(shè)定值PV和計數(shù)器地址Cn組成，地址編號為0～255。減計數(shù)器指令的語句表由減計數(shù)器操作碼CTD、計數(shù)器地址Cn和設(shè)定值PV組成。減計數(shù)器指令的編程舉例3）增減計數(shù)器指令增減計數(shù)器（CTUD，CounterUp/Down）指令的梯形圖由增減計數(shù)器標識符CTUD、增計數(shù)脈沖輸入端CU、減計數(shù)脈沖輸入端CD、復位端R、設(shè)定值PV和計數(shù)器地址Cn組成，地址編號為0～255。增減計數(shù)器指令的語句表由增減計數(shù)器操作碼CTUD、計數(shù)器地址Cn和設(shè)定值PV組成。增減計數(shù)器指令的編程舉例8.1.4西門子S7-200SMART功能指令1.數(shù)據(jù)處理指令1）傳送指令傳送指令將源輸入數(shù)據(jù)IN指定的數(shù)據(jù)傳送到輸出參數(shù)OUT指定的目的地址，傳送過程不改變源存儲單元的數(shù)據(jù)值。表中的傳送指令的助記符中最后的B、W、DW（D）和R分別表示操作數(shù)為字節(jié)、字、雙字和實數(shù)。表8-3傳送指令表2）比較指令比較指令用來比較兩個數(shù)據(jù)類型相同的數(shù)值IN1與IN2的大小。可以比較無符號字節(jié)、數(shù)、雙整數(shù)、實數(shù)和字符串。表8-4中的字節(jié)、整數(shù)、雙整數(shù)和實數(shù)的比較條件“x”分別是==（語句表為=）、<>、>=、<=、>和<。

表8-4比較指令語句表3）移位指令與循環(huán)移位指令字節(jié)、字、雙字移位指令和循環(huán)移位指令的操作數(shù)IN和OUT的數(shù)據(jù)類型分別為BYTE、WORD和DWORD。移位位數(shù)N的數(shù)據(jù)類型為BYTE。移位指令將輸入IN中的二進制數(shù)各位的值向左或向右移動N位后，送給輸出OUT指定的地址。移位指令對移出位自動補0，如果移動的位數(shù)N大于允許值（字節(jié)操作為8位，字操作為16位，雙字操作為32位），實際移位的位數(shù)為最大允許值。字節(jié)移位操作對象是無符號數(shù)，對有符號的字和雙字數(shù)據(jù)移位時，符號位也將被移位4）數(shù)據(jù)轉(zhuǎn)換指令標準轉(zhuǎn)換指令是字節(jié)（B）與整數(shù)（I）之間（數(shù)值范圍為0~255）、整數(shù)與雙整數(shù)（DI）之間、BCD碼與整數(shù)之間、雙整數(shù)（DI）與實數(shù)（R）之間的轉(zhuǎn)換指令，以及七段譯碼指令。BCD碼與整數(shù)相互轉(zhuǎn)換的指令的有效范圍為0~9999。STL中的BCDI和IBCD指令的輸入、輸出參數(shù)使用同一個地址。轉(zhuǎn)換后的結(jié)果將保存到輸出指定的變量中。如果轉(zhuǎn)換后的數(shù)值超出輸出的允許范圍，溢出標志位SM1.1將被置為ON。2.數(shù)學運算指令1）算術(shù)運算指令2）函數(shù)運算指令3）邏輯運算指令邏輯運算指令主要包括字節(jié)、字、雙字的與、或、異或和取反邏輯運算指令。3.程序控制指令1）跳轉(zhuǎn)指令2）循環(huán)指令3）子程序指令S7-200SMART的控制程序由主程序、子程序和中斷程序組成。在實際應用時，經(jīng)常會重復執(zhí)行某一個任務。對應在程序設(shè)計時，就會經(jīng)常執(zhí)行同一段程序，為了簡化程序結(jié)構(gòu)、減少程序編寫工作量，在進行程序設(shè)計時常將反復執(zhí)行的程序編寫為一個子程序，以便重復調(diào)用。子程序的調(diào)用是有條件的，未調(diào)用它時不會執(zhí)行子程序中的指令，因此使用子程序可以減少掃描時間。4）中斷指令中斷指令通過調(diào)用中斷程序及時地處理中斷事件，中斷事件與用戶程序的執(zhí)行時序無關(guān)，無法預測中斷事件何時會發(fā)生。用戶編寫的中斷程序不是由用戶程序調(diào)用，而是在中斷事件發(fā)生時由操作系統(tǒng)進行調(diào)用。5）其他指令控制指令還包括條件結(jié)束指令、條件停止指令、看門狗定時器復位指令及獲取非致命錯誤代碼指令。8.1.5西門子S7-200SMARTPID指令在工業(yè)生產(chǎn)中，一般用閉環(huán)控制方式來控制溫度、壓力、流量這一類連續(xù)變化的模擬量，使用最多的是PID控制（即比例—積分—微分控制），這是因為PID控制具有以下優(yōu)點：（1）無需控制系統(tǒng)的數(shù)學模型，也能得到比較滿意的控制效果。（2）通過調(diào)用PID指令來編程，程序設(shè)計簡單，參數(shù)調(diào)整方便。（3）有較強的靈活性和適應性，根據(jù)被控對象的具體情況，可以采用P、PI、PD和PID等不同參數(shù)的組合方式，S7-200SMART的PID指令還采用了一些改進的控制方式。1.PID算法2.PID回路輸入和輸出轉(zhuǎn)換S7-200SMART為用戶提供了8條PID控制回路，回路號為0~7，因此可以使用8條PID指令實現(xiàn)8個回路的PID運算。每個回路的給定值和過程變量都是實際數(shù)值，其大小、范圍和工程單位可能不同。在PLC進行PID控制之前，必須將其轉(zhuǎn)換成標準化浮點數(shù)。將回路輸入量數(shù)值從16位整數(shù)轉(zhuǎn)換成32位浮點數(shù)或?qū)崝?shù)，指令如下所示。ITDAIW0，

AC0//將輸入數(shù)值轉(zhuǎn)換成雙整數(shù)DTRAC0，

AC0//將32位整數(shù)轉(zhuǎn)換成實數(shù)將實數(shù)轉(zhuǎn)換成0.0~1.0之間的標準化數(shù)值通過下式實現(xiàn)：實際數(shù)值的標準化數(shù)值=實際數(shù)值的非標準化數(shù)值或原始實數(shù)／取值范圍+偏移量其中，取值范圍=最大可能數(shù)值-最小可能數(shù)值=27648（單極數(shù)值）或55296（雙極數(shù)值）；偏移量中，對單極數(shù)值取0.0，對雙極數(shù)值取0.5；單極范圍為0~27648，雙極范圍為-27648~+27648。將上述AC0中的雙極數(shù)值（間距為55296）標準化，指令如下所示：/R55296.0，

AC0//累加器中的數(shù)據(jù)除以55296.0+R0.5,AC0//加偏移量，使其落在0.0~1.0之間MOVRAC0，VD100//將標準化數(shù)值寫入PID回路參數(shù)表中將上述AC0中的單極數(shù)值（間距為27648）標準化，指令如下所示。/R27648.0，AC0

//累加器中的實數(shù)值除以27648.0，使其落在0.0~1.0之間MOVRAC，VD100//標準化的值存入回路表程序執(zhí)行后，PID回路輸出0.0~1.0的標準化實數(shù)值，必須被轉(zhuǎn)換成16位成比例的整數(shù)值，才能驅(qū)動模擬輸出。PID回路輸出成比例實數(shù)數(shù)值=（PID回路輸出標準化實數(shù)值-偏移量）×取值范圍其指令如下所示：MOVRVD108，

AC0//

PID回路的標準化實數(shù)值送入AC0-R0.5，AC0//雙極數(shù)值減去偏移量0.5*R55296.0，

AC0//AC0的值乘以取值范圍，變成比例實數(shù)值ROUNDAC0，

AC0

//將實數(shù)四舍五入，變?yōu)?2位整數(shù)DTIAC0，

AC0//32位整數(shù)轉(zhuǎn)換成16位整數(shù)MOVWAC0，

AQW0//16位整數(shù)寫入AQW03.PID指令PID指令：使能有效時，根據(jù)回路參數(shù)表中的過程變量當前值、控制設(shè)定值及PID參數(shù)進行PID運算。程序中可使用8條PID指令，不能重復使用。使ENO=0的錯誤條件：0006（間接地址），SM1.1（溢出，參數(shù)表起始地址或指定的PID回路指令回路號操作數(shù)超出范圍）。PID指令不對參數(shù)表輸入值進行范圍檢查，必須保證過程變量、給定值積分項當前值和過程變量當前值在0.0~1.0的范圍之間。4.PID控制回路的編程步驟使用PID指令進行系統(tǒng)控制，可通過以下步驟完成：指定內(nèi)存變量區(qū)回路表的首地址，如VB200。根據(jù)表8-15的格式及地址，可以把設(shè)定值SPn寫入指定地址VD204（雙字地址）、增益Kp寫入VD212、采樣時間Ts寫入VD216、積分時間Ti寫入VD220、微分時間Td寫入VD224、PID輸出值寫入VD208。設(shè)置定時中斷初始化程序。PID指令必須在定時中斷程序中使用，涉及中斷事件10（定時中斷0）或中斷事件11（定時中斷1）。讀取過程變量模擬量AIWx，對其進行回路輸入轉(zhuǎn)換及標準化處理后寫入回路表首地址VD200。執(zhí)行PID回路運算指令。對PID回路運算的輸出結(jié)果VD208進行數(shù)據(jù)轉(zhuǎn)換，然后將結(jié)果送入模擬量輸出AQWx，將其作為控制調(diào)節(jié)的信號值。8.1.6西門子S7-200SMART高速I/O指令PLC的普通計數(shù)器的計數(shù)過程與掃描工作方式有關(guān)，普通計數(shù)器的工作頻率很低，一般僅有幾十Hz。當被測信號的頻率較高時，將會丟失計數(shù)脈沖。而高速計數(shù)器可以對高速信號進行計數(shù)，S7-200SMART有6個高速計數(shù)器HSC0~HSC5，可支持8種不同的工作模式。1.高速計數(shù)器指令高速計數(shù)器脫離主機的掃描周期而獨立計數(shù)，它可對脈寬小于主機掃描周期的高速脈沖實現(xiàn)準確計數(shù)，即高速計數(shù)器計數(shù)的脈沖輸入頻率高于PLC掃描頻率。高速計數(shù)器能夠?qū)Ω哳l脈沖信號進行測量和記錄，并提供中斷功能，在實際生產(chǎn)中得到廣泛應用。例如測量電動機轉(zhuǎn)速、設(shè)備運行距離等。可以使用HDEF和HSC指令創(chuàng)建自己的HSC例程，也可以使用高速計數(shù)器向?qū)Ш喕幊淘O(shè)計。1）高速計數(shù)器的工作模式S7-200SMARTCPU提供了四路高速計數(shù)器（HSC0、HSC1、HSC2和HSC3），最高可測量200kHz（標準型CPU，單相）的脈沖信號。在這四個HSC設(shè)備中，HSC0和HSC02支持8種計數(shù)模式（模式0、1、3、4、6、7、9和10），HSC1和HSC3只支持1種計數(shù)模式（模式0）。2）高速計數(shù)器控制字節(jié)每個高速計數(shù)器在CPU的特殊存儲區(qū)中都有各自的控制字節(jié)?？刂谱止?jié)可以執(zhí)行啟動或禁止計數(shù)器、改變計數(shù)方向、刷新計數(shù)器當前值或預設(shè)值等操作。控制字節(jié)的各個比特位具有不同的設(shè)置功能。3）高速計數(shù)器向?qū)ЫM態(tài)在對高速計數(shù)器進行編程時，需要根據(jù)相關(guān)特殊存儲器的意義來編寫初始化程序和中斷程序，這些程序的編寫比較繁瑣而且容易出錯。STEP7-Micro/WINSMART提供的高速計數(shù)器向?qū)Э梢院喕幊踢^程，方便開發(fā)人員使用。相對于設(shè)置控制字的組態(tài)方式，向?qū)ЫM態(tài)更加直觀，可以根據(jù)工藝快速配置高速計數(shù)器，并大大減少出錯概率。向?qū)ЫM態(tài)完成后，可以程序中調(diào)用對應生成的子程序，也可對子程序進行修改。在工具欄里選擇高速計數(shù)器，在彈出的“高速計數(shù)器向?qū)А睂υ捒蛑羞x擇需要組態(tài)的高速計數(shù)器。繼而完成高速計數(shù)器模式選擇、高速計數(shù)器初始化組態(tài)、中斷設(shè)置、設(shè)置中斷步等操作步驟。2.高速脈沖輸出指令高速脈沖輸出功能是指在PLC某些輸出端產(chǎn)生高速脈沖，用來驅(qū)動負載實現(xiàn)對步進電動機等的精確控制。使用高速脈沖輸出功能時，PLC主機應選用晶體管輸出型，以滿足高速輸出的要求。脈沖輸出指令（PLS）控制高速輸出（Q0.0、Q0.1和Q0.3）是否提供高速脈沖串輸出（PTO）和脈寬調(diào)制（PWM）功能。S7-200SMARTCPU具有三個PTO/PWM生成器（PLS0、PLS1和PLS2），能夠生成高速脈沖串或脈寬調(diào)制波。PLS0對應數(shù)字量輸出端Q0.0，PLS1對應數(shù)字量輸出端Q0.1，PLS2對應數(shù)字量輸出端Q0.3。指定的特殊存儲器（SM）單元用于存儲每個發(fā)生器的一個狀態(tài)字節(jié)、一個控制字節(jié)、一個2字節(jié)無符號的周期或頻率數(shù)據(jù)、一個2字節(jié)無符號的脈沖寬度值數(shù)據(jù)以及一個4字節(jié)無符號的脈沖計數(shù)值數(shù)據(jù)。PLS指令僅用于S7-200SMART標準型CPU。SR20/ST20只有Q0.0和Q0.1兩個通道，其他型號有Q0.0、Q0.1和Q0.3三個通道。PTO/PWM生成器和過程映像寄存器共同使用Q0.0、Q0.1和Q0.3。在Q0.0、Q0.1或Q0.3上激活PTO/PWM功能時，PTO/PWM生成器控制輸出，正常使用輸出點禁止。輸出信號波形不受過程映像區(qū)狀態(tài)、輸出點強制值或立即輸出指令執(zhí)行的影響。當不使用PTO/PWM生成器功能時，對輸出點的控制權(quán)交回到過程映像寄存器。過程映像寄存器決定輸出信號波形的初始和結(jié)束狀態(tài)，以高低電平產(chǎn)生信號波形的啟動和結(jié)束。8.1.7西門子S7-200SMART編程軟件S7-200SMART的編程軟件是STEP7-Micro/WINSMART。8.1.8西門子S7-200SMART應用程序設(shè)計1.任務要求實現(xiàn)PLC控制電動機操作。當按下PLC的外接啟動按鈕SB1或點擊HMI界面上啟動按鈕圖標，HMI界面上顯示延