工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)（微課版）課件 第7、8章 態(tài)勢感知與安全審計(jì)技術(shù)、工業(yè)控制系統(tǒng)安全綜合應(yīng)用

工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)第7章態(tài)勢感知與安全審計(jì)技術(shù)7.1態(tài)勢感知概述

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，為了滿足新的需求需要對網(wǎng)絡(luò)安全的防御提出更高的要求，必須借助更加先進(jìn)的技術(shù)才能夠抵御技術(shù)水平越來越高、攻擊形式越來越多樣的黑客攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品只能防御某一個(gè)方面的入侵，如果想對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方面的防護(hù)，就需要購買各種各樣的安全產(chǎn)品，這樣雖然也可以起到防御作用，但這些產(chǎn)品之間缺乏聯(lián)動(dòng)，只能反映出網(wǎng)絡(luò)中部分層面或區(qū)域的安全狀況，不能體現(xiàn)網(wǎng)絡(luò)整體的安全性，而且在技術(shù)方面也有一定的局限性。

傳統(tǒng)方式下，通過不斷購買更多的安全設(shè)備已經(jīng)不能夠?qū)嵸|(zhì)性地提升整個(gè)網(wǎng)絡(luò)的安全保障，而且難以對網(wǎng)絡(luò)的安全狀態(tài)做出預(yù)測。因此，態(tài)勢感知技術(shù)逐漸成為了網(wǎng)絡(luò)防護(hù)的主流發(fā)展方向。態(tài)勢感知最早在軍事領(lǐng)域被提出，從態(tài)勢提取、態(tài)勢理解和態(tài)勢預(yù)測三個(gè)方面對整個(gè)網(wǎng)絡(luò)的安全狀態(tài)進(jìn)行監(jiān)控和評估，不僅可以解決現(xiàn)有的網(wǎng)絡(luò)防御技術(shù)只能片面地防御某一個(gè)方面的攻擊缺陷，還可以對網(wǎng)絡(luò)未來一段時(shí)間內(nèi)的安全狀態(tài)進(jìn)行預(yù)測，從而更好地保障網(wǎng)絡(luò)的安全。7.1.1網(wǎng)絡(luò)安全態(tài)勢感知的定義

為了有效監(jiān)控和管理網(wǎng)絡(luò)的安全，安全管理員需要了解網(wǎng)絡(luò)當(dāng)前的情況、攻擊者的行為、可用信息和模型的質(zhì)量、攻擊的影響和演變以便做出正確的決定。此時(shí)可能會(huì)出現(xiàn)以下問題：有沒有正在進(jìn)行的攻擊；攻擊者在哪里；可用的攻擊模型是否能夠近似描述實(shí)際的情況；能否預(yù)測攻擊者的目標(biāo)；能否阻止攻擊者實(shí)現(xiàn)目標(biāo)。引入態(tài)勢感知技術(shù)有助于這些問題的解決。

態(tài)勢感知是指在一定的時(shí)空條件下，對環(huán)境的獲取、理解和對未來的預(yù)測。上世紀(jì)90年代以來，各個(gè)領(lǐng)域都逐漸引入態(tài)勢感知的概念，其中網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)了“網(wǎng)絡(luò)態(tài)勢感知（CSA）”這個(gè)概念，它是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及對最近發(fā)展趨勢的預(yù)測，其中對環(huán)境要素的預(yù)測包括依據(jù)感知和理解獲得的知識(shí)進(jìn)行預(yù)測的能力，從而為安全管理員的決策提供可靠的支持。7.1.2網(wǎng)絡(luò)安全態(tài)勢感知模型根據(jù)網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的主要相關(guān)內(nèi)容以及網(wǎng)絡(luò)的實(shí)際運(yùn)行狀況，選擇合適的態(tài)勢感知模型，對于網(wǎng)絡(luò)安全管理、資源分配以及網(wǎng)絡(luò)防御至關(guān)重要。目前在此領(lǐng)域構(gòu)建出的模型種類繁多，其中使用最廣泛的包括Endsely模型、JDL模型、TimBass模型。1.Endsely模型Endsley提出的態(tài)勢感知模型主要是由環(huán)境或系統(tǒng)狀態(tài)部分和影響態(tài)勢感知的其他要素所組成的。環(huán)境和系統(tǒng)狀態(tài)部分主要由態(tài)勢感知的三個(gè)層次組成，即對數(shù)據(jù)和環(huán)境因素的獲取、對當(dāng)前態(tài)勢的理解和對未來態(tài)勢和事件的預(yù)測，另外包括應(yīng)該采取的決策以及應(yīng)該采取的行動(dòng)措施等。影響態(tài)勢感知的其他因素主要包括人員個(gè)體之間的差異以及任務(wù)或環(huán)境之間的差異等。

將

Endsley所提出的三層態(tài)勢感知模型應(yīng)用于對網(wǎng)絡(luò)安全態(tài)勢的感知，每一層次的具體內(nèi)容如下：數(shù)據(jù)和環(huán)境因素獲?。涸搶拥闹饕康氖抢矛F(xiàn)有的技術(shù)手段和網(wǎng)絡(luò)安全設(shè)備，對能夠影響網(wǎng)絡(luò)安全狀況發(fā)生變化的各種基礎(chǔ)安全數(shù)據(jù)進(jìn)行實(shí)時(shí)地檢測和獲取，根據(jù)相關(guān)特征對安全數(shù)據(jù)和網(wǎng)絡(luò)行為進(jìn)行分類，為態(tài)勢理解層提供基礎(chǔ)支撐。

態(tài)勢理解：該層首先融合元素感知層收集到的安全數(shù)據(jù)，并分析數(shù)據(jù)元素之間的關(guān)聯(lián)性；然后選擇合理的數(shù)學(xué)模型對整合結(jié)果進(jìn)行綜合評估；最后經(jīng)過計(jì)算分析獲取能反映出網(wǎng)絡(luò)當(dāng)前安全狀態(tài)的態(tài)勢值。

態(tài)勢預(yù)測：基于態(tài)勢理解層獲取的能反映網(wǎng)絡(luò)運(yùn)行狀況的安全態(tài)勢值后，結(jié)合相關(guān)理論模型分析并通過使用現(xiàn)實(shí)工具對網(wǎng)絡(luò)未來的安全狀況進(jìn)行準(zhǔn)確的預(yù)測。2.JDL模型

態(tài)勢感知與數(shù)據(jù)融合的研究有很多相似點(diǎn)，數(shù)據(jù)融合是將多個(gè)來自不同信息源的數(shù)據(jù)進(jìn)行收集，并對它們進(jìn)行關(guān)聯(lián)和整合，從而達(dá)到提升數(shù)據(jù)準(zhǔn)確度和有效性的效果。其中JDL（JointDirectorsofLaboratories）態(tài)勢感知模型就是根據(jù)數(shù)據(jù)融合模型衍生而來的。在JDL模型中，態(tài)勢感知的實(shí)現(xiàn)被分為5個(gè)階段，將收集到的數(shù)據(jù)源通過不同階段的處理和反饋后，通過可視化平臺(tái)實(shí)現(xiàn)人機(jī)交互。以下為5個(gè)階段的介紹：

（1）數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理是該模型的第一個(gè)階段，其主要功能是將從信息采集系統(tǒng)收集上來的各種不規(guī)整、有錯(cuò)誤、重復(fù)、結(jié)構(gòu)不完整等有缺陷的數(shù)據(jù)通過諸如數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)變換等方法來對數(shù)據(jù)進(jìn)行預(yù)處理，為下一步事件提取做準(zhǔn)備。

（2）事件提取。經(jīng)過數(shù)據(jù)預(yù)處理后的數(shù)據(jù)雖然減少了錯(cuò)誤，并且也調(diào)整了格式，但并不是所有的數(shù)據(jù)都是有用的數(shù)據(jù)，我們將對結(jié)果能夠產(chǎn)生影響的有用數(shù)據(jù)稱為事件，事件提取就是從大量數(shù)據(jù)中挑選其中有用的數(shù)據(jù)，為態(tài)勢評估工作做好數(shù)據(jù)基礎(chǔ)。

（3）態(tài)勢評估。通過各種數(shù)據(jù)分析方法對事件進(jìn)行分析，并得出態(tài)勢評估結(jié)果。然后系統(tǒng)將態(tài)勢評估結(jié)果做成分析報(bào)告或態(tài)勢圖，以方便安全人員進(jìn)行決策。

（4）影響評估。系統(tǒng)將當(dāng)前的態(tài)勢評估結(jié)果進(jìn)行推廣，為安全人員提供對未來安全形勢預(yù)測的依據(jù)。

（5）資源管理、過程控制與優(yōu)化。最后，為了系統(tǒng)可以在最快的時(shí)間內(nèi)完成對數(shù)據(jù)的處理、提取和分析，還需要對該系統(tǒng)進(jìn)行優(yōu)化，可以通過制定優(yōu)化指標(biāo)，來完成相關(guān)資源的最優(yōu)分配，并可以對整個(gè)過程進(jìn)行監(jiān)控與評價(jià)。3.TimBass模型TimBass等人參考了JDL數(shù)據(jù)融合模型，提出了一種多傳感器數(shù)據(jù)融合的態(tài)勢感知模型，主要包括數(shù)據(jù)提取、攻擊對象識(shí)別、態(tài)勢提取、威脅評估以及資源管理五部分。

（1）數(shù)據(jù)提取。主要工作是對網(wǎng)絡(luò)設(shè)備采集到的數(shù)據(jù)根據(jù)特征進(jìn)行分類篩選和屬性約簡等預(yù)處理操作。

（2）攻擊對象識(shí)別。根據(jù)數(shù)據(jù)提取部分獲取的預(yù)處理數(shù)據(jù)，從多個(gè)角度對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，有效識(shí)別網(wǎng)絡(luò)攻擊行為、攻擊對象以及攻擊目標(biāo)。

（3）態(tài)勢提取。通過實(shí)時(shí)分析所識(shí)別攻擊對象的協(xié)調(diào)行為、依賴關(guān)系、共同的原點(diǎn)和共同的協(xié)議來檢測聚合的對象集，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行評估，了解網(wǎng)絡(luò)當(dāng)前運(yùn)行狀況。

（4）威脅評估。根據(jù)態(tài)勢提取部分得到的網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果，建立合理的模型，分析整個(gè)網(wǎng)絡(luò)中各種安全威脅發(fā)生的可能性和破壞程度，同時(shí)對網(wǎng)絡(luò)攻擊所造成的影響進(jìn)行評測。

（5）資源管理。在態(tài)勢提取和威脅評估的基礎(chǔ)上，了解網(wǎng)絡(luò)自身的運(yùn)行狀況、網(wǎng)絡(luò)所處的環(huán)境，以及網(wǎng)絡(luò)所遭受的安全威脅，便于使用者及時(shí)采取合理的應(yīng)對策略。

7.1.3工業(yè)控制系統(tǒng)態(tài)勢感知模型空間分布式的工業(yè)控制系統(tǒng)模型，其中，被控過程的運(yùn)行由控制器進(jìn)行控制，控制器能夠接收分布在不同地域的傳感器測量值，并利用通信網(wǎng)絡(luò)將控制信號傳輸至空間分布的執(zhí)行器中，但系統(tǒng)在網(wǎng)絡(luò)通信過程中可能會(huì)遭受到攻擊。

工業(yè)控制網(wǎng)絡(luò)態(tài)勢感知模型主要分為三個(gè)部分：工控網(wǎng)絡(luò)態(tài)勢要素提取分類、工控網(wǎng)絡(luò)態(tài)勢評估和工控網(wǎng)絡(luò)態(tài)勢預(yù)測。

工控網(wǎng)絡(luò)安全態(tài)勢要素提取分類：負(fù)責(zé)收集工業(yè)控制網(wǎng)絡(luò)系統(tǒng)（主要是企業(yè)管理網(wǎng)絡(luò)和過程控制網(wǎng)絡(luò)）中各關(guān)鍵節(jié)點(diǎn)的網(wǎng)絡(luò)安全數(shù)據(jù)和信息，并按照不同的特征和類型進(jìn)行分類。安全態(tài)勢要素提取的目標(biāo)是為了有效識(shí)別不同的網(wǎng)絡(luò)攻擊行為和安全事件，例如網(wǎng)絡(luò)流量、入侵檢測等可以被看作網(wǎng)絡(luò)安全要素提取分類的組成部分。除了網(wǎng)絡(luò)攻擊之外，網(wǎng)絡(luò)自身發(fā)生的故障、人為操控因素等均可被視為影響網(wǎng)絡(luò)系統(tǒng)安全的要素。為了下一步網(wǎng)絡(luò)安全態(tài)勢評估中獲得準(zhǔn)確的安全態(tài)勢值，正確判斷網(wǎng)絡(luò)底層的安全事件類型至關(guān)重要。

工控網(wǎng)絡(luò)安全態(tài)勢評估：工控網(wǎng)絡(luò)安全態(tài)勢評估在工控網(wǎng)絡(luò)態(tài)勢感知中起著承上啟下的作用，能否對網(wǎng)絡(luò)安全態(tài)勢及時(shí)、準(zhǔn)確、高效地進(jìn)行評估直接關(guān)系到網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性和安全性。工控網(wǎng)絡(luò)安全態(tài)勢評估的本質(zhì)在于從數(shù)據(jù)中發(fā)現(xiàn)規(guī)律，即如何從海量的網(wǎng)絡(luò)安全事件中挖掘出影響網(wǎng)絡(luò)狀況的重要信息，進(jìn)一步解析出信息之間的關(guān)聯(lián)性并對其進(jìn)行融合，獲取能夠體現(xiàn)整體工控網(wǎng)絡(luò)安全狀況的態(tài)勢值。

工控網(wǎng)絡(luò)安全態(tài)勢預(yù)測：當(dāng)評估得出一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢值后，通過建立基于時(shí)間序列的預(yù)測模型，預(yù)測未來一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢。工控網(wǎng)絡(luò)安全態(tài)勢預(yù)測部分是態(tài)勢感知模型中最重要的環(huán)節(jié)，準(zhǔn)確預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)主動(dòng)防御體系的重點(diǎn)，從而為安全管理員提供可靠的信息，應(yīng)對可能到來的威脅，并合理分配網(wǎng)絡(luò)資源，對網(wǎng)絡(luò)采取準(zhǔn)確的防御措施，最大限度的降低網(wǎng)絡(luò)風(fēng)險(xiǎn)和損失。7.2.1數(shù)據(jù)采集技術(shù)

數(shù)據(jù)采集是指從傳感器或其它數(shù)據(jù)采集裝置收集所需數(shù)據(jù)信息的過程。對于態(tài)勢感知來說，數(shù)據(jù)采集為態(tài)勢感知提供數(shù)據(jù)來源，是整個(gè)流程需要完成的第一步。工業(yè)控制系統(tǒng)中，需要采集的數(shù)據(jù)一般包括系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主機(jī)運(yùn)行狀態(tài)信息、網(wǎng)絡(luò)通信協(xié)議特征、通信流量信息以及網(wǎng)絡(luò)資源配置等。目前較為常用的數(shù)據(jù)采集方式包括兩種，分別是Syslog采集方式和Snmp采集方式，其中Snmp方式是最常用的系統(tǒng)拓?fù)湫畔⒑椭鳈C(jī)狀態(tài)信息采集方式，大部分主機(jī)和工業(yè)網(wǎng)關(guān)之中都內(nèi)置了此項(xiàng)功能。7.2態(tài)勢感知相關(guān)技術(shù)1.Syslog采集技術(shù) Syslog協(xié)議是由加里佛尼亞大學(xué)開發(fā)出來的一種數(shù)據(jù)采集協(xié)議，通過Syslog協(xié)議可以完成對系統(tǒng)日志信息進(jìn)行采集的工作。Syslog協(xié)議在Unix和Linux系統(tǒng)中較為常用，Unix和Linux系統(tǒng)中大部分日志信息都是通過Syslog機(jī)制進(jìn)行收集和維護(hù)的。目前，Syslog協(xié)議已經(jīng)發(fā)展成為一套獨(dú)立的數(shù)據(jù)采集協(xié)議。 Syslog數(shù)據(jù)采集主要有三種方式，設(shè)備—接收服務(wù)器模式、設(shè)備—中繼器—接收服務(wù)器模式、設(shè)備—接收服務(wù)器—中繼器—接收服務(wù)器模式，其中設(shè)備—中繼器—接收服務(wù)器模式是通過中繼器代理完成數(shù)據(jù)采集工作，服務(wù)器只需要進(jìn)行數(shù)據(jù)的整理，能夠有效減輕系統(tǒng)服務(wù)器壓力。2.Snmp采集技術(shù) Snmp是一種位于應(yīng)用層的簡單網(wǎng)絡(luò)管理協(xié)議，主要用于網(wǎng)絡(luò)設(shè)備的管理，也可用于下層數(shù)據(jù)的收集。該協(xié)議簡單可靠、應(yīng)用方便，是目前使用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。Snmp協(xié)議主要由Snmp管理站和Snmp代理兩部分組成。Snmp管理站處于中心位置，負(fù)責(zé)接收各個(gè)Snmp代理所上傳的數(shù)據(jù)信息，并對數(shù)據(jù)進(jìn)行分析與處理。Snmp代理分布在下層節(jié)點(diǎn)處，負(fù)責(zé)收集節(jié)點(diǎn)處的各類狀態(tài)信息，如網(wǎng)絡(luò)拓?fù)湫畔?、設(shè)備運(yùn)行參數(shù)、系統(tǒng)日志信息等，并將這些數(shù)據(jù)發(fā)送給Snmp管理站。Snmp管理站與Snmp代理之間使用UDP協(xié)議進(jìn)行通信，通常由Snmp管理站下發(fā)管理命令，當(dāng)Snmp代理站接收到管理站所下發(fā)的命令，根據(jù)命令報(bào)文的參數(shù)，返回Snmp管理站所需要的網(wǎng)絡(luò)數(shù)據(jù)。Snmp代理站也可以使用Snmptrap協(xié)議主動(dòng)向Snmp管理站發(fā)送緊急數(shù)據(jù)。7.2.2態(tài)勢評估技術(shù)態(tài)勢評估指對提取的態(tài)勢要素進(jìn)行處理和分析后，對網(wǎng)絡(luò)的整體運(yùn)行狀況進(jìn)行評估的過程，主要分為數(shù)據(jù)融合和態(tài)勢值計(jì)算兩個(gè)階段。

由于態(tài)勢要素是從多源異構(gòu)的分布式傳感器收集到的數(shù)據(jù)，會(huì)存在噪聲和冗余性，因此需要利用數(shù)據(jù)融合的方法對數(shù)據(jù)進(jìn)行處理，以得到更加準(zhǔn)確、簡潔的數(shù)據(jù)集。數(shù)據(jù)融合一般分為以下兩類：1）基于邏輯和推理的融合方法

該方法主要有兩種形式，一種是分析信息間的邏輯關(guān)系來實(shí)現(xiàn)數(shù)據(jù)融合，另一種是模糊量化信息的不確定性并按照規(guī)則進(jìn)行推理。2）基于數(shù)學(xué)統(tǒng)計(jì)的融合方法

該方法主要有兩種形式，一種是通過分析不同態(tài)勢要素的影響來構(gòu)造評估函數(shù)，一種是通過分析信息的統(tǒng)計(jì)特征來構(gòu)造評估模型。在完成數(shù)據(jù)融合后，就可以根據(jù)相應(yīng)的評估指標(biāo)對網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行態(tài)勢評估，網(wǎng)絡(luò)安全態(tài)勢評估能夠?qū)崿F(xiàn)對整個(gè)網(wǎng)絡(luò)體系安全性的度量，并且對整個(gè)網(wǎng)絡(luò)存在的安全狀況進(jìn)行綜合的評價(jià)，常見的評估方法有層次分析法和人工神經(jīng)網(wǎng)絡(luò)。

層次分析法（AnalyticHierarchyProcess，AHP）作為一種涵蓋多個(gè)目標(biāo)和多項(xiàng)準(zhǔn)則的決策方法，通過對定量分析和定性分析的綜合運(yùn)用，能夠?qū)?fù)雜的態(tài)勢評估過程通過分層處理的方式進(jìn)行簡化，并采取由下至上、先局部后整體的策略，通過逐層計(jì)算局部的、底層的態(tài)勢要素的影響來分析系統(tǒng)整體的安全態(tài)勢情況。

神經(jīng)網(wǎng)絡(luò)是一種由大量神經(jīng)元連接所組成的運(yùn)算模型，神經(jīng)元的連接方式不同，組成的神經(jīng)網(wǎng)絡(luò)亦不同。由于有著較強(qiáng)的自組織、自學(xué)習(xí)和自適應(yīng)能力，人工神經(jīng)網(wǎng)絡(luò)在信息處理和模式識(shí)別領(lǐng)域有著很大的優(yōu)勢，適合用于態(tài)勢評估。7.2.3態(tài)勢預(yù)測技術(shù)態(tài)勢預(yù)測是指根據(jù)態(tài)勢評估得到的歷史態(tài)勢值，對將來一段時(shí)間網(wǎng)絡(luò)的變化趨勢進(jìn)行預(yù)測的過程，這對采取相應(yīng)防御措施有著很大的參考價(jià)值。常見的態(tài)勢預(yù)測技術(shù)有支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)和時(shí)間序列預(yù)測法等。1）支持向量機(jī)支持向量機(jī)（SupportVectorMachine，SVM）的理論基礎(chǔ)是統(tǒng)計(jì)學(xué)，作為一種模式識(shí)別方法，它是一類按監(jiān)督學(xué)習(xí)方式對數(shù)據(jù)進(jìn)行二元分類的廣義線性分類器。SVM可以實(shí)現(xiàn)低維空間向量向高維空間的過渡，從而借助高維線性回歸來解決低維非線性回歸的問題。SVM的穩(wěn)健性和稀疏性在確保求解可靠結(jié)果的同時(shí)降低了系統(tǒng)計(jì)算量和內(nèi)存開銷。2）神經(jīng)網(wǎng)絡(luò)

神經(jīng)網(wǎng)絡(luò)是一種網(wǎng)絡(luò)態(tài)勢預(yù)測方法，它具有自學(xué)習(xí)、自適應(yīng)性和非線性處理的特性，神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)多變，有著很好的靈活性和容錯(cuò)性。該算法首先利用存在時(shí)間關(guān)系的態(tài)勢值作為訓(xùn)練樣本構(gòu)造神經(jīng)網(wǎng)絡(luò)模型，然后利用該模型，將當(dāng)前時(shí)間段的態(tài)勢值作為輸入，并輸出未來時(shí)間的態(tài)勢值，完成態(tài)勢預(yù)測。3）時(shí)間序列預(yù)測法

該方法利用態(tài)勢評估產(chǎn)生的非線性的態(tài)勢值，通過分析遵循時(shí)間序列的歷史數(shù)據(jù)的變化趨勢，來尋找態(tài)勢值的變化規(guī)律，并根據(jù)此規(guī)律預(yù)測未來一段時(shí)間的態(tài)勢值。在預(yù)測過程中，將態(tài)勢值x抽象為時(shí)間序列t的函數(shù)，即x=f(t)。網(wǎng)絡(luò)安全態(tài)勢值可以看作一個(gè)時(shí)間序列，預(yù)測過程就是利用序列的前M個(gè)時(shí)刻的態(tài)勢值預(yù)測出后N個(gè)時(shí)刻的態(tài)勢值。時(shí)間序列預(yù)測法易于理解，通常結(jié)合支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)等其他方法一起使用。7.3安全審計(jì)概述隨著日益增長的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，安全問題的復(fù)雜性日益加大，據(jù)中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急協(xié)調(diào)中心CNCERT/CC的調(diào)查結(jié)果顯示，通過外部攻擊獲得內(nèi)部信息的只占入侵總數(shù)的大約五分之一左右，大部分的網(wǎng)絡(luò)安全威脅由內(nèi)部產(chǎn)生，其危害程度更甚于黑客攻擊及病毒造成的損失，而這些威脅絕大部分與內(nèi)部各種網(wǎng)絡(luò)訪問行為有關(guān)。

防火墻、入侵檢測等傳統(tǒng)網(wǎng)絡(luò)安全手段，可實(shí)現(xiàn)對網(wǎng)絡(luò)異常行為的監(jiān)測和管理，如網(wǎng)絡(luò)連接和訪問的合法性進(jìn)行控制、監(jiān)測網(wǎng)絡(luò)攻擊事件等，但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和己經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問行為，因此對正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為無法及時(shí)發(fā)現(xiàn)，也難以實(shí)現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。

因此，如何采用一種安全手段對上述問題進(jìn)行有效監(jiān)控和管理顯得極為重要。安全審計(jì)正是基于這樣的目的而產(chǎn)生。對于任何一個(gè)安全體系來說，審計(jì)追查手段都是必不可少的。7.3.1安全審計(jì)概念

信息安全是一個(gè)動(dòng)態(tài)的過程，在為自身業(yè)務(wù)提供高效的網(wǎng)絡(luò)運(yùn)營平臺(tái)的同時(shí)，日趨復(fù)雜的IT業(yè)務(wù)系統(tǒng)與不同背景業(yè)務(wù)用戶的行為也帶給網(wǎng)絡(luò)了潛在的威脅，如內(nèi)部業(yè)務(wù)數(shù)據(jù)、重要敏感文件通過電子郵件、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問（TELNET、FTP等）等方式被泄露、竊取和篡改，訪問非法網(wǎng)站、發(fā)布非法言論等違規(guī)上網(wǎng)行為泛濫，嚴(yán)重破壞了政府、企業(yè)的信息系統(tǒng)安全。

安全審計(jì)（SecurtiyAudit）就是對審計(jì)對象的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控審計(jì)。通過審計(jì)日志來記錄審計(jì)對象的行為和發(fā)生的事件，隨后對審計(jì)日志進(jìn)行全面的分析。當(dāng)發(fā)現(xiàn)有異常或攻擊事件的時(shí)候，就會(huì)啟動(dòng)相應(yīng)的處理程序。7.3.2安全審計(jì)系統(tǒng)模型

安全審計(jì)系統(tǒng)完成對信息流的數(shù)據(jù)采集、分析、識(shí)別和資源審計(jì)。通過實(shí)時(shí)審計(jì)網(wǎng)絡(luò)數(shù)據(jù)流，根據(jù)用戶設(shè)定的安全控制策略，對受控對象的活動(dòng)進(jìn)行審計(jì)。它側(cè)重于“事中”階段。該系統(tǒng)綜合了基于主機(jī)的技術(shù)手段，可以多層次、多手段的實(shí)現(xiàn)對網(wǎng)絡(luò)的控制管理。通過多級、分布式的網(wǎng)絡(luò)審計(jì)、管理、控制機(jī)制，全面體現(xiàn)了管理層對內(nèi)部網(wǎng)關(guān)鍵資源的全局控制、把握和調(diào)度能力，為管理人員提供了一種審計(jì)、檢查當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的有效手段。

安全審計(jì)系統(tǒng)是一個(gè)多功能的完備系統(tǒng)，它是由多個(gè)功能不同的模塊相互協(xié)同共同完成一系列的簡單或復(fù)雜的任務(wù)。

圖中反映出了各個(gè)審計(jì)模塊之間的關(guān)系，以及他們相互協(xié)作的流程。下面分別對這些模塊進(jìn)行說明：

（1）審計(jì)數(shù)據(jù)采集器。該模塊是整個(gè)審計(jì)系統(tǒng)中數(shù)量最多的模塊，根據(jù)類型劃分可以分為主動(dòng)型和被動(dòng)型兩種。主動(dòng)型指審計(jì)數(shù)據(jù)采集器依據(jù)審計(jì)任務(wù)被部署到相應(yīng)的數(shù)據(jù)釆集源上，然后根據(jù)響應(yīng)的安全策略對數(shù)據(jù)源進(jìn)行監(jiān)控，自動(dòng)生成審計(jì)日志。

（2）審計(jì)數(shù)據(jù)分析器。該模塊是整個(gè)系統(tǒng)模型中最重要的組成部分，它處于整個(gè)審計(jì)系統(tǒng)的中心，從數(shù)據(jù)釆集器中獲取審計(jì)日志，然后依據(jù)具體的審計(jì)規(guī)則，對數(shù)據(jù)進(jìn)行異常行為分析，從中找出不正常的數(shù)據(jù)以及發(fā)現(xiàn)潛在的危險(xiǎn)行為。

（3）審計(jì)數(shù)據(jù)存儲(chǔ)器。審計(jì)數(shù)據(jù)存儲(chǔ)器是用來存儲(chǔ)釆集器釆集到的數(shù)據(jù)和事件記錄以及分析器鑒定之后產(chǎn)生的審計(jì)日志，以供審計(jì)人員查看管理，并準(zhǔn)確反應(yīng)整個(gè)系統(tǒng)的安全運(yùn)行狀態(tài)。因?yàn)閷徲?jì)日志是系統(tǒng)運(yùn)行狀態(tài)的直觀數(shù)據(jù)表現(xiàn)，所以需要保證審計(jì)日志的準(zhǔn)確性、有效性、完整性、真實(shí)性。為了能夠?qū)崿F(xiàn)審計(jì)數(shù)據(jù)存儲(chǔ)器的這些功能需求，研究人員將更多的安全技術(shù)應(yīng)用到其中，采用的技術(shù)包括安全加密技術(shù)、數(shù)據(jù)完整性校驗(yàn)技術(shù)、來訪用戶訪問控制技術(shù)等。

（4）審計(jì)決策執(zhí)行器。審計(jì)決策執(zhí)行器也是安全審計(jì)系統(tǒng)的重要組成部分，如果沒有該模塊，其他工作將變得沒有意義。該執(zhí)行器的主要工作是在發(fā)生攻擊事件時(shí)，能夠?qū)嵤r截操作，及時(shí)阻斷攻擊并進(jìn)行反追蹤等。在現(xiàn)在的審計(jì)產(chǎn)品中，實(shí)現(xiàn)的功能包括：對網(wǎng)絡(luò)攻擊進(jìn)行阻截，切斷會(huì)話，阻止危險(xiǎn)數(shù)據(jù)進(jìn)入系統(tǒng)或敏感數(shù)據(jù)被私自發(fā)送出去；發(fā)現(xiàn)異常程序正在運(yùn)行時(shí)及時(shí)關(guān)閉該程序，并予以刪除。以上四種模塊共同實(shí)現(xiàn)了安全審計(jì)系統(tǒng)的功能。但是這四種模塊都只是邏輯實(shí)體，并不是說每一個(gè)模塊就是一個(gè)完全獨(dú)立的程序，它們也可能是一個(gè)進(jìn)程或線程。即一個(gè)獨(dú)立運(yùn)行程序，可能包含審計(jì)日志釆集器，也包含審計(jì)日志分析器。7.3.3安全審計(jì)的作用

網(wǎng)絡(luò)系統(tǒng)的安全與否是一個(gè)相對的概念，不存在絕對的安全。在網(wǎng)絡(luò)安全整體解決方案日益增多時(shí)，安全審計(jì)系統(tǒng)是網(wǎng)絡(luò)安全體系中的一個(gè)重要環(huán)節(jié)。企業(yè)客戶對網(wǎng)絡(luò)系統(tǒng)中的安全設(shè)備和網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和運(yùn)行狀況進(jìn)行全面的監(jiān)測、分析、評估是保障網(wǎng)絡(luò)安全的重要手段。網(wǎng)絡(luò)安全是動(dòng)態(tài)的，對己經(jīng)建立的系統(tǒng)，如果沒有實(shí)時(shí)的、集中的、可視化的審計(jì)，就不能及時(shí)準(zhǔn)確地評估系統(tǒng)究竟是不是安全的，并及時(shí)發(fā)現(xiàn)和排除安全隱患。所以安全系統(tǒng)需要集中的審計(jì)系統(tǒng)。在安全解決方案中，跨廠商產(chǎn)品的簡單集合往往會(huì)存在漏洞，不利于系統(tǒng)的安全。當(dāng)某種安全漏洞出現(xiàn)時(shí)，如果先需要對不同廠商的技術(shù)和產(chǎn)品進(jìn)行人工分析，然后再綜合分析，提出解決方案，將降低對攻擊的反應(yīng)速度，并潛在地增加成本。如果不能將在同一網(wǎng)絡(luò)中所有廠商的產(chǎn)品實(shí)現(xiàn)技術(shù)上互操作，實(shí)現(xiàn)集中的審計(jì)，就無法有效管理，無法實(shí)現(xiàn)統(tǒng)一的安全性。安全審計(jì)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)進(jìn)行集中的、可視的綜合審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患，提高系統(tǒng)安全系數(shù)。

目前內(nèi)部網(wǎng)絡(luò)可以采用以下手段進(jìn)行安全保護(hù)：對計(jì)算機(jī)操作進(jìn)行審計(jì)控制；了解計(jì)算機(jī)的局域網(wǎng)內(nèi)部單臺(tái)計(jì)算機(jī)網(wǎng)絡(luò)的連接情況；對計(jì)算機(jī)局域網(wǎng)內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的釆集、分析、存儲(chǔ)備案。網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能幫助我們對網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)上的動(dòng)態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，實(shí)時(shí)記錄網(wǎng)絡(luò)上發(fā)生的異常情況，提供取證手段。它是一種十分重要的增強(qiáng)網(wǎng)絡(luò)安全性的手段。7.4安全審計(jì)的分類

網(wǎng)絡(luò)安全審計(jì)技術(shù)大致可以分為四個(gè)方面：流量異常審計(jì)、入侵檢測審計(jì)、內(nèi)容安全審計(jì)、行為安全審計(jì)。7.4.1流量異常審計(jì)

網(wǎng)絡(luò)流量異常是指網(wǎng)絡(luò)的流量行為偏離其正常行為的情形。網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)流量日志和統(tǒng)計(jì)分析是安全審計(jì)的基礎(chǔ)，它提供最原始的數(shù)據(jù)，在已有的日志記錄上進(jìn)行分析和安全審計(jì)。在不影響合法用戶上網(wǎng)的前提下，有效跟蹤并且記錄用戶上網(wǎng)活動(dòng)，通過日志分析的方式盡早發(fā)現(xiàn)用戶的非法行為進(jìn)而加以規(guī)范，已經(jīng)成為現(xiàn)代互聯(lián)網(wǎng)絡(luò)管理的重要手段。審計(jì)主要內(nèi)容是對網(wǎng)絡(luò)流量日志進(jìn)行實(shí)時(shí)監(jiān)測和事后分析，基于規(guī)則來判斷、查看是否違反已經(jīng)制定的安全策略，按照預(yù)先定義的策略記錄、阻斷、自動(dòng)報(bào)警等。

目前網(wǎng)絡(luò)規(guī)模和速度不斷增加，智能網(wǎng)絡(luò)是下一代網(wǎng)絡(luò)的發(fā)展方向，流量突發(fā)異常檢測算法需要實(shí)時(shí)準(zhǔn)確地分析處理海量的網(wǎng)絡(luò)業(yè)務(wù)量數(shù)據(jù)，具有很大的挑戰(zhàn)性。通過采用新的流量數(shù)據(jù)模型來描述網(wǎng)絡(luò)通信量，以解決現(xiàn)有網(wǎng)絡(luò)異常檢測模型存在的不足成為可能，基于日志記錄的數(shù)據(jù)挖掘網(wǎng)絡(luò)流量異常檢測及分析得到廣泛研究。1.網(wǎng)絡(luò)流量異常分類

網(wǎng)絡(luò)流量異常是指影響網(wǎng)絡(luò)正常運(yùn)行的網(wǎng)絡(luò)流量模式，引起網(wǎng)絡(luò)流量異常的原因很多，如網(wǎng)絡(luò)設(shè)備的不良運(yùn)行、網(wǎng)絡(luò)操作異常、突發(fā)訪問、網(wǎng)絡(luò)入侵等。異常流量的特點(diǎn)是突然發(fā)作，無先兆特征，可以在短時(shí)間內(nèi)給網(wǎng)絡(luò)或網(wǎng)上的計(jì)算機(jī)造成極大的危害，如由特定的攻擊程序或蠕蟲爆發(fā)所引起的突發(fā)流量行為等。因此準(zhǔn)確、快速地檢測網(wǎng)絡(luò)流量的異常行為，判斷引起流量異常的原因，做出準(zhǔn)確的響應(yīng)是保證網(wǎng)絡(luò)有效運(yùn)行的前提之一，也成為目前國內(nèi)外學(xué)術(shù)界和工業(yè)界共同關(guān)注的熱點(diǎn)問題之一。2.網(wǎng)絡(luò)流量異常檢測的方法

針對網(wǎng)絡(luò)流量異常檢測的方法主要有以下幾種：基于特征/行為的研究方法、基于統(tǒng)計(jì)的異常檢測、基于機(jī)器學(xué)習(xí)的方法和基于數(shù)據(jù)挖掘的方法等。

基于特征/行為的檢測研究通過在網(wǎng)絡(luò)流量數(shù)據(jù)中查找與異常特征相匹配的模式來檢測異常。因此需要分類描述網(wǎng)絡(luò)異常的流量的特征及行為特征、構(gòu)造蠕蟲分類和DDoS攻擊行為等，其缺點(diǎn)是無法檢測出未知的攻擊類型，而且需要對不斷更新規(guī)則特征庫。

機(jī)器學(xué)習(xí)的方法是基于更新的信息和以前的結(jié)果來提高系統(tǒng)的性能，異常檢測中常用的機(jī)器學(xué)習(xí)技術(shù)包括基于系統(tǒng)調(diào)用的序列分析、貝葉斯網(wǎng)絡(luò)、主成分分析法、馬爾可夫模型等。

數(shù)據(jù)挖掘技術(shù)可以用來從大量審計(jì)數(shù)據(jù)中挖掘出正?；蛉肭中再|(zhì)的行為模式。

以上兩種異常檢測的方法是將正常的系統(tǒng)網(wǎng)絡(luò)行為進(jìn)行建模，檢測時(shí)通過與正常模型的比較來實(shí)現(xiàn)異常檢測，因此能有效地發(fā)現(xiàn)己知和未知的攻擊。3.網(wǎng)絡(luò)流量異常審計(jì)系統(tǒng)

網(wǎng)絡(luò)流量安全審計(jì)系統(tǒng)（ASM）是分析業(yè)務(wù)系統(tǒng)安全的設(shè)備，它通過對采集的網(wǎng)絡(luò)流量進(jìn)行挖掘和關(guān)聯(lián)性分析，將網(wǎng)絡(luò)流量、訪問行為和業(yè)務(wù)系統(tǒng)的安全結(jié)合起來分析，有效幫助管理人員掌握網(wǎng)絡(luò)資源使用情況、分析業(yè)務(wù)系統(tǒng)異常情況，保障業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定和高效運(yùn)行。

一個(gè)成熟的網(wǎng)絡(luò)流量異常審計(jì)系統(tǒng)需具備以下特點(diǎn)：

（1）監(jiān)測核心資源系統(tǒng)的帶寬使用情況。

（2）通過對核心資源系統(tǒng)進(jìn)行持續(xù)性訪問統(tǒng)計(jì)和對比分析，繪制出核心資源系統(tǒng)的正常流量輪廓，及時(shí)發(fā)現(xiàn)流量異常變化情況。

（3）通過對網(wǎng)絡(luò)訪問行為進(jìn)行特定性監(jiān)測，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中對核心資源庫的異常訪問和攻擊行為，確保針對業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)使用和訪問操作符合規(guī)范。

（4）追蹤和記錄異常網(wǎng)絡(luò)行為，提供報(bào)警處理、報(bào)表統(tǒng)計(jì)等功能，對異常事件進(jìn)行深入分析。7.4.2入侵檢測審計(jì)1.入侵檢測的概念

入侵檢測是指通過對安全日志、審計(jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測是否存在對系統(tǒng)的闖入或具有闖入的企圖。入侵檢測技術(shù)的作用包括檢測、響應(yīng)、攻擊預(yù)測、損失情況評估、威懾和起訴支持等。

入侵檢測通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，因此被認(rèn)為是防火墻之后的第二道安全閘門，能對網(wǎng)絡(luò)進(jìn)行監(jiān)測而不影響網(wǎng)絡(luò)性能。入侵檢測通過執(zhí)行以下任務(wù)來實(shí)現(xiàn)：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；識(shí)別反映己知進(jìn)攻的活動(dòng)模式并及時(shí)報(bào)警；異常行為模式的統(tǒng)計(jì)分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理。

入侵檢測是防火墻的有效補(bǔ)充，能夠幫助系統(tǒng)應(yīng)對網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)處理等的安全管理能力，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵檢測系統(tǒng)的分類

針對入侵檢測技術(shù)的分類方法很多，主要存在以下幾種分類方法。按數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)進(jìn)行分類，入侵檢測系統(tǒng)分為兩類，基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。按照系統(tǒng)各個(gè)模塊運(yùn)行的分布方式不同，可以分為兩類，集中式檢測系統(tǒng)和分布式檢測系統(tǒng)。根據(jù)數(shù)據(jù)分析方法的不同，可以將入侵檢測系統(tǒng)分為兩類，異常檢測和誤用檢測。1）基于主機(jī)的入侵檢測系統(tǒng)，

通常，基于主機(jī)的入侵檢測系統(tǒng)可以檢測安全記錄。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)簡稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡(luò)中的數(shù)據(jù)包。系統(tǒng)通過在計(jì)算機(jī)網(wǎng)絡(luò)中的某些點(diǎn)被動(dòng)地監(jiān)測網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中挖掘有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較以識(shí)別相應(yīng)的攻擊事件。3）集中式入侵檢測系統(tǒng)

集中式IDS有多個(gè)分布在不同主機(jī)上的審計(jì)程序，僅有一個(gè)中央入侵檢測服務(wù)器。審計(jì)程序?qū)?dāng)?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進(jìn)行分析處理。4）分布式入侵檢測系統(tǒng)

分布式IDS是將中央檢測服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。因此其可伸縮性、安全性都等到了明顯的提高。與集中式IDS相比，分布式IDS對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低，但維護(hù)成本卻較高，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。5）誤用入侵檢測

誤用入侵檢測是基于已知的系統(tǒng)缺陷和入侵模式，所以又稱為特征檢測。誤用檢測是對不正常的行為建模，這些不正常的行為是被記錄下來的確認(rèn)的誤用和攻擊。通過對系統(tǒng)活動(dòng)的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報(bào)少。但需要不斷更新攻擊的特征庫，系統(tǒng)靈活性和自適應(yīng)性較差，存在較多漏報(bào)情況。商用IDS多釆用該種檢測方法。6）異常入侵檢測

異常入侵檢測是指能根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測出入侵的方法。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。異常檢測是對用戶的正常行為進(jìn)行建模，通過正常行為與用戶的行為進(jìn)行比較，如果二者的偏差超過了規(guī)定閾值則認(rèn)為該用戶存在異常行為。但異常檢測有較多的誤報(bào)。大多數(shù)的異常檢測技術(shù)在商業(yè)IDS中較少應(yīng)用。3.入侵檢測系統(tǒng)的功能

入侵檢測系統(tǒng)的功能主要有：監(jiān)測并分析用戶和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作；檢查系統(tǒng)配置和漏洞，并提示管理員修補(bǔ)漏洞，一般由安全掃描系統(tǒng)完成；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為；對操作系統(tǒng)日志進(jìn)行管理，并識(shí)別違反安全策略的用戶活動(dòng)等。

典型的入侵檢測系統(tǒng)包括數(shù)據(jù)收集器、數(shù)據(jù)過濾器和數(shù)據(jù)分析器三部分。7.4.3內(nèi)容安全審計(jì)1.網(wǎng)絡(luò)信息內(nèi)容安全的概念

網(wǎng)絡(luò)信息內(nèi)容安全是指在網(wǎng)絡(luò)服務(wù)可用的前提下，保證網(wǎng)絡(luò)中數(shù)據(jù)的內(nèi)容符合規(guī)定的安全策略，避免數(shù)據(jù)遭到濫用，保證傳輸內(nèi)容的安全性。這方面的技術(shù)包括基于內(nèi)容的防火墻和網(wǎng)絡(luò)信息安全內(nèi)容審計(jì)。近年來，除了對防火墻技術(shù)和入侵檢測技術(shù)研究之外，人們把更大的力量投入到網(wǎng)絡(luò)信息安全內(nèi)容審計(jì)技術(shù)的研究上來，主要基于以下原因：

（1）防火墻規(guī)則基于統(tǒng)計(jì)分析的結(jié)果，會(huì)使得誤判為非法的數(shù)據(jù)包被攔截而導(dǎo)致網(wǎng)絡(luò)服務(wù)不可用。

（2）危害網(wǎng)絡(luò)安全的有害信息往往包裝成合法的報(bào)文或者加載到合法的報(bào)文中間，通過合法的用戶進(jìn)行發(fā)布，能順利地通過防火墻和入侵檢測系統(tǒng)而不會(huì)受到攔截，只有通過特定的網(wǎng)絡(luò)信息審計(jì)系統(tǒng)才能將其檢測出來。

（3）據(jù)調(diào)查大多數(shù)的攻擊及非法信息來自于內(nèi)部，對于這些來自內(nèi)部的攻擊來說，防火墻無法發(fā)揮有效的功用。

（4）底層協(xié)議的防火墻無法保護(hù)上層協(xié)議的攻擊。

（5）采用掃描系統(tǒng)、防火墻和入侵檢測技術(shù)對網(wǎng)絡(luò)信息報(bào)文進(jìn)行處理，在網(wǎng)絡(luò)防護(hù)階段事前、事中和事后的取證就必須用到審計(jì)系統(tǒng)。2.網(wǎng)絡(luò)信息安全內(nèi)容審計(jì)系統(tǒng)

網(wǎng)絡(luò)信息安全內(nèi)容審計(jì)系統(tǒng)（簡稱CASNI）是指從網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集數(shù)據(jù)包，審計(jì)其所傳送的內(nèi)容，分析檢查其中是否含有違反安全策略的內(nèi)容，實(shí)現(xiàn)對網(wǎng)絡(luò)信息內(nèi)容的可控性，防止內(nèi)部機(jī)密或敏感信息的非法泄漏及有害信息的傳送，對非法內(nèi)容、可疑行為釆取對應(yīng)措施，并為查證提供證據(jù)。從技術(shù)研究的領(lǐng)域來看，網(wǎng)絡(luò)信息審計(jì)技術(shù)義可分為兩大類：一類是基于報(bào)文結(jié)構(gòu)格式的完整性及合法性進(jìn)行審計(jì)的技術(shù)，例如對病毒的審查和對黑客程序的審查就屬于該類審計(jì)內(nèi)容。另一類就是基于報(bào)文內(nèi)容的審計(jì)技術(shù)，它采用人工智能、自然語言識(shí)別技術(shù)等，對通過網(wǎng)絡(luò)的報(bào)文內(nèi)容實(shí)時(shí)進(jìn)行處理和識(shí)別，凡是發(fā)現(xiàn)包含有害、非法信息的報(bào)文就記錄其源/目標(biāo)IP地址、源/目標(biāo)端口號、服務(wù)類型、報(bào)文發(fā)布的時(shí)間、報(bào)文的內(nèi)容以及有關(guān)用戶的信息，并形成系統(tǒng)訪問日志，提供給系統(tǒng)管理人員和有關(guān)人員進(jìn)行事后審計(jì)和分析，進(jìn)而釆取相應(yīng)的安全管理措施，包括對非法的、不健康的信息進(jìn)行追查等處理。3.網(wǎng)絡(luò)內(nèi)容安全審計(jì)的主要功能

網(wǎng)絡(luò)內(nèi)容安全分析與審計(jì)系統(tǒng)主要在應(yīng)用層對信息內(nèi)容進(jìn)行分析，以便發(fā)現(xiàn)可疑的破壞行為，并對這些破壞行為釆取相應(yīng)的措施，如進(jìn)行記錄、報(bào)警和阻斷等。網(wǎng)絡(luò)內(nèi)容安全分析與審計(jì)系統(tǒng)主要包括以下功能：

（1）公用信息內(nèi)容安全分析。

（2）可靠阻斷。

（3）會(huì)話重現(xiàn)。4.網(wǎng)絡(luò)內(nèi)容安全審計(jì)的主要技術(shù)網(wǎng)絡(luò)內(nèi)容安全分析與審計(jì)系統(tǒng)涉及的技術(shù)包括以下兩種：（1）網(wǎng)絡(luò)信息內(nèi)容的獲取。研究如何在大規(guī)模網(wǎng)絡(luò)環(huán)境中快速獲取各種協(xié)議的信息內(nèi)容，如何突破高速網(wǎng)絡(luò)下內(nèi)容分析與入侵檢測系統(tǒng)發(fā)展的瓶頸。一般常用方法是提高系統(tǒng)的CPU速度和釆用更多的內(nèi)存。然而網(wǎng)絡(luò)的發(fā)展速度遠(yuǎn)遠(yuǎn)超過了單個(gè)計(jì)算機(jī)硬件的發(fā)展速度，單純提高硬件的性能已不能滿足飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的需要，因此還需要選擇新的算法來應(yīng)用。（2）信息內(nèi)容分析還原。將截獲的數(shù)據(jù)包還原，并分析其中的信息內(nèi)容。信息內(nèi)容分析還原系統(tǒng)主要工作在應(yīng)用層，而基于應(yīng)用層的協(xié)議很多，許多新的應(yīng)用協(xié)議還在不斷產(chǎn)生，而且在同一個(gè)會(huì)話當(dāng)中，往往存在多協(xié)議同時(shí)工作的情況。7.4.4行為安全審計(jì)1.網(wǎng)絡(luò)行為審計(jì)的概念

網(wǎng)絡(luò)行為審計(jì)（NetworkBehaviorAudit，NBA）是通過分析網(wǎng)絡(luò)中的數(shù)據(jù)包、數(shù)據(jù)流量，借助協(xié)議分析技術(shù)，或者異常流量分析技術(shù)，來發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常和違規(guī)行為，尤其是那些偽裝成正常行為的非法行為。并且一些產(chǎn)品在對該技術(shù)擴(kuò)展后，還具有網(wǎng)絡(luò)行為控制、流量控制的功能。網(wǎng)絡(luò)行為審計(jì)是安全審計(jì)中較為重要的一種審計(jì)方式，其他安全審計(jì)技術(shù)還包括日志審計(jì)技術(shù)、本機(jī)代理審計(jì)技術(shù)、遠(yuǎn)程代理審計(jì)技術(shù)。2.網(wǎng)絡(luò)行為審計(jì)的實(shí)現(xiàn)方式NBA的實(shí)現(xiàn)有多種方式，其中有兩個(gè)重要的分支：（1）基于流量分析技術(shù)的NBA。通過收集網(wǎng)絡(luò)設(shè)備的各種格式的流量日志來進(jìn)行分析和審計(jì)，發(fā)現(xiàn)違規(guī)和異常行為。傳統(tǒng)的網(wǎng)管廠商很多開始以此為進(jìn)入安全的切入口，而安全廠商則也較多的采用此種方式。（2）基于抓包協(xié)議分析技術(shù)的NBA。通過偵聽網(wǎng)絡(luò)中的數(shù)據(jù)包來進(jìn)行分析和審計(jì)，發(fā)現(xiàn)異常和違規(guī)行為，傳統(tǒng)的安全廠商多采用此種方式作為進(jìn)入審計(jì)領(lǐng)域的切入點(diǎn)。3.抓包型NBA技術(shù)及產(chǎn)品類型說明

根據(jù)用途的和部署位置的不同，抓包型網(wǎng)絡(luò)行為審計(jì)一般又分為兩種子類型。

（1）上網(wǎng)審計(jì)型。硬件設(shè)備采用旁路/串路方式部署在用戶互聯(lián)網(wǎng)出口處。通過旁路偵聽、數(shù)據(jù)報(bào)文截獲的方式對內(nèi)部網(wǎng)絡(luò)連接到外部網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別，基于應(yīng)用層協(xié)議還原行為和內(nèi)容審計(jì)，例如針對網(wǎng)頁瀏覽、網(wǎng)絡(luò)聊天、收發(fā)郵件、P2P、網(wǎng)絡(luò)音視頻、文件傳輸?shù)鹊膶徲?jì)?？梢灾贫ǜ鞣N控制策略進(jìn)行統(tǒng)計(jì)分析。審計(jì)網(wǎng)絡(luò)內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容，發(fā)現(xiàn)用戶違規(guī)行為，防止內(nèi)部信息泄漏，有效提升監(jiān)管內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為的效率。

（2）業(yè)務(wù)審計(jì)型。硬件設(shè)備釆用旁路偵聽的方式對數(shù)據(jù)流進(jìn)行釆集、分析和識(shí)別，實(shí)現(xiàn)對用戶操作數(shù)據(jù)庫、遠(yuǎn)程訪問主機(jī)和網(wǎng)絡(luò)流量的審計(jì)。例如針對各種類型的數(shù)據(jù)庫SQL語句、操作命令的審計(jì)，針對Telnet、FTP、SSH、VNC、文件共享協(xié)議的審計(jì)。管理員可以指定各種控制策略，并進(jìn)行事后追蹤與審計(jì)取證。對網(wǎng)絡(luò)中重要的業(yè)務(wù)系統(tǒng)（主機(jī)、服務(wù)器、應(yīng)用軟件、數(shù)據(jù)庫等）進(jìn)行保護(hù)，審計(jì)所有針對業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)操作，防止針對業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為，提升核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全保障水平，尤其是信息和數(shù)據(jù)的安全保護(hù)能力，防止信息泄漏。4.差異分析

上網(wǎng)審計(jì)型系統(tǒng)分析的協(xié)議都是互聯(lián)網(wǎng)上常用的應(yīng)用層協(xié)議，同時(shí)，為了實(shí)現(xiàn)更為精確的審計(jì)，還需要進(jìn)一步深入分析協(xié)議的內(nèi)容，一個(gè)好的上網(wǎng)審計(jì)型NBA必須要有一個(gè)巨大的、不斷及時(shí)更新的協(xié)議分析庫。

業(yè)務(wù)審計(jì)型系統(tǒng)分析的協(xié)議基本上都是常見的應(yīng)用層協(xié)議，并且與業(yè)務(wù)系統(tǒng)密切相關(guān)。例如TDS、TNS等數(shù)據(jù)庫訪問協(xié)議，F(xiàn)TP、TELNET協(xié)議，HTTP、企業(yè)郵箱協(xié)議（IMAP、STMP等），等等。對于業(yè)務(wù)審計(jì)型NBA而言，協(xié)議種類相對比較固定，并且協(xié)議版本比較穩(wěn)定，比較易于實(shí)現(xiàn)。

數(shù)據(jù)庫審計(jì)主要就是針對業(yè)務(wù)的核心，即數(shù)據(jù)庫的審計(jì)?？梢哉f，數(shù)據(jù)庫審計(jì)是業(yè)務(wù)審計(jì)在實(shí)現(xiàn)功能上的子集。而業(yè)務(wù)系統(tǒng)是由包括主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等在內(nèi)的多種資源有機(jī)組合而成的。因此，針對業(yè)務(wù)的審計(jì)就要對構(gòu)成業(yè)務(wù)系統(tǒng)的各個(gè)資源之間的訪問行為以及業(yè)務(wù)系統(tǒng)之間的操作的審計(jì)。只有通過審計(jì)構(gòu)成業(yè)務(wù)系統(tǒng)的各種資源的運(yùn)行行為才能真正反映出系統(tǒng)的安全狀態(tài)。7.5安全審計(jì)的分析方法

早期的安全審計(jì)分析主要是由人工完成的，分析過程依賴于審計(jì)者的知識(shí)和經(jīng)驗(yàn)，效率低下。隨著安全審計(jì)數(shù)據(jù)量的持續(xù)増大，僅僅依靠人工進(jìn)行審計(jì)已變得不切實(shí)際。為了解決這種問題，出現(xiàn)了如下的審計(jì)方法。7.5.1基于數(shù)理統(tǒng)計(jì)的安全審計(jì)方法

基于數(shù)理統(tǒng)計(jì)的安全審計(jì)方案，一般是根據(jù)系統(tǒng)運(yùn)行狀態(tài)進(jìn)行審計(jì)。首先通過分析總結(jié)出能夠反應(yīng)系統(tǒng)運(yùn)行狀態(tài)的數(shù)據(jù)參數(shù)。然后統(tǒng)計(jì)出系統(tǒng)在正常運(yùn)行的情況下，這些數(shù)據(jù)的波動(dòng)范圍。再結(jié)合相關(guān)的理論，為每一個(gè)數(shù)據(jù)指標(biāo)設(shè)定一個(gè)正常的閾值范圍。

（1）操作模型。該模型主要是針對那些情況單一、特征比較明顯、攻擊手段簡單的攻擊行為。這些攻擊往往具備一個(gè)相似的特點(diǎn)，就是出現(xiàn)不符合閾值的異常數(shù)據(jù)。不需要對收集數(shù)據(jù)進(jìn)行過多分析，只要發(fā)現(xiàn)某一個(gè)或多個(gè)參數(shù)超過相應(yīng)的設(shè)定好的閾值時(shí)，就能認(rèn)定發(fā)生了攻擊事件。指標(biāo)閾值一般是由安全審計(jì)人員經(jīng)過理論論證以及統(tǒng)計(jì)分析來制定的。

（2）平均值和標(biāo)準(zhǔn)差模型。該模型是以數(shù)據(jù)的平均值和標(biāo)準(zhǔn)差來衡量系統(tǒng)運(yùn)行的度量參數(shù)。該模型設(shè)定的數(shù)據(jù)指標(biāo)比較穩(wěn)定。有一些系統(tǒng)運(yùn)行時(shí)，它的某些參數(shù)可能并不是一直處于一個(gè)比較穩(wěn)定的范圍，而是偶爾會(huì)出現(xiàn)偏差特別大的情況，但可能也屬于正常情況。只有當(dāng)發(fā)現(xiàn)大量的數(shù)據(jù)參數(shù)偏離了正常基準(zhǔn)線的情況才會(huì)被認(rèn)定為攻擊。該模型就非常適合這樣的系統(tǒng)。平均值和標(biāo)準(zhǔn)差計(jì)算公式如下：

（3）多元素模型。該模型不同于以上兩個(gè)模型，此模型不是對單個(gè)數(shù)據(jù)進(jìn)行判斷，而是結(jié)合多個(gè)數(shù)據(jù)進(jìn)行聯(lián)合分析。它需要考慮多個(gè)數(shù)據(jù)參數(shù)的相互影響和聯(lián)系，然后對這些數(shù)據(jù)參數(shù)進(jìn)行整體分析判斷。簡單來說就是這些參數(shù)的變化不是孤立的，而是其中某一個(gè)參數(shù)的變化，就可能引起其他參數(shù)跟著發(fā)生變化。

（4）馬爾可夫模型。該模型不是針對具體數(shù)據(jù)參數(shù)變化進(jìn)行統(tǒng)計(jì)分析，而是著眼于系統(tǒng)的狀態(tài)變化。系統(tǒng)在一個(gè)個(gè)的狀態(tài)之間發(fā)生轉(zhuǎn)移，通過相應(yīng)的公式計(jì)算出在當(dāng)前條件下，系統(tǒng)進(jìn)入到某一實(shí)際狀態(tài)下的概率，如果計(jì)算出來的概率非常小，那就表示有異常發(fā)生。簡單來說就是系統(tǒng)正常運(yùn)行的狀況下，當(dāng)前的條件不可能使系統(tǒng)進(jìn)入到該狀態(tài)。該模型下，系統(tǒng)有一個(gè)狀態(tài)集合S={S1，S2，...Sn}，系統(tǒng)任意時(shí)刻都會(huì)處于該集合中的某一個(gè)狀態(tài)。現(xiàn)在假設(shè)在時(shí)刻t的狀態(tài)為qt，有如下定義：7.5.2基于特征匹配的安全審計(jì)方法

絕大部分的攻擊或者異常都有其特征。特征匹配安全審計(jì)就是基于這個(gè)理論基礎(chǔ)發(fā)展起來的。收集攻擊的各種參數(shù)，例如攻擊導(dǎo)致的結(jié)果、攻擊的入侵渠道和引起網(wǎng)絡(luò)負(fù)載的變化等數(shù)據(jù)。然后對各參數(shù)采用建模分類、相似歸納、特殊性總結(jié)等手段，提取出攻擊的特征信息。再采用合理的描述方式將特征數(shù)據(jù)化，建立攻擊特征模型庫。在審計(jì)節(jié)點(diǎn)部署之后，系統(tǒng)會(huì)對審計(jì)對象的運(yùn)行進(jìn)行監(jiān)督，釆集審計(jì)數(shù)據(jù)。之后再將數(shù)據(jù)進(jìn)行預(yù)處理，提取出數(shù)據(jù)的有效信息，進(jìn)行數(shù)據(jù)建模。最后將數(shù)據(jù)模型與特征庫的模型進(jìn)行對比，就能判斷該審計(jì)對象是否被攻擊了。當(dāng)發(fā)現(xiàn)審計(jì)對象疑似正在遭受攻擊或己經(jīng)遭受過攻擊，就需要釆取相應(yīng)的防御措施，并向?qū)徲?jì)人員報(bào)警，通知審計(jì)人員進(jìn)行協(xié)助處理。該技術(shù)能夠針對攻擊和異常進(jìn)行精確匹配，但是對于沒有在特征模型庫中記錄過的攻擊，就沒有辦法發(fā)現(xiàn)了。此外，如何根據(jù)審計(jì)對象的特點(diǎn)設(shè)計(jì)出存儲(chǔ)高效、快速訪問的特征庫以及實(shí)現(xiàn)準(zhǔn)確、快速、資源消耗小的匹配算法是研究的主要內(nèi)容。7.5.3基于數(shù)據(jù)挖掘的安全審計(jì)方法數(shù)據(jù)挖掘的過程通常由業(yè)務(wù)理解、數(shù)據(jù)理解、數(shù)據(jù)預(yù)處理、建模、評估、可視化表現(xiàn)等幾個(gè)階段組成，以下分別加以說明。1）業(yè)務(wù)理解

數(shù)據(jù)挖掘的前提是深入理解業(yè)務(wù)，明確業(yè)務(wù)的目標(biāo)，將業(yè)務(wù)需要解決的問題轉(zhuǎn)化為數(shù)據(jù)挖掘問題，并制定計(jì)劃，這樣才能保證后續(xù)數(shù)據(jù)挖掘的準(zhǔn)確性。2）數(shù)據(jù)理解

數(shù)據(jù)理解就是分析數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)，找到數(shù)據(jù)中存在的質(zhì)量問題的過程，對于不理解的業(yè)務(wù)數(shù)據(jù)再做一次分析理解，使之被充分利用。3）數(shù)據(jù)預(yù)處理

一般來說，數(shù)據(jù)挖掘過程包含數(shù)據(jù)轉(zhuǎn)換、清洗等操作，因?yàn)樵谠紨?shù)據(jù)庫中，會(huì)存在一些屬性的類型、長度及格式化問題，要按照需求進(jìn)行轉(zhuǎn)化后才能被有效使用。4）建模

數(shù)據(jù)挖掘過程中最重要的一個(gè)環(huán)節(jié)就是數(shù)據(jù)建模，模型的選擇非常重要，選擇什么樣的模型算法及參數(shù)設(shè)置，就決定了會(huì)得到什么樣的挖掘結(jié)果。在模型算法的計(jì)算過程中，通過調(diào)節(jié)算法的參數(shù)設(shè)置以達(dá)到結(jié)果最優(yōu)的效果，最終獲得合適的模型。5）評估

對已經(jīng)建好的模型進(jìn)行評估，也就是對模型的檢驗(yàn)操作，評估的結(jié)果將直接決定模型的適用性，在評估過程中，可以通過業(yè)務(wù)庫中的數(shù)據(jù)進(jìn)行驗(yàn)證。6）可視化表現(xiàn)

挖掘成功后，就需要將結(jié)果通過可視化的渠道展示給用戶，以便用戶可以直觀的通過一些圖形化界面對數(shù)據(jù)的結(jié)果進(jìn)行分析，并能得出相應(yīng)的結(jié)論，以對這些業(yè)務(wù)數(shù)據(jù)給出預(yù)測。

雖然借助數(shù)據(jù)挖掘進(jìn)行安全審計(jì)，其智能化能夠幫助審計(jì)人員發(fā)掘出那些隱蔽性強(qiáng)、未被寫入特征庫的攻擊，但是也不可避免的存在以下一些不足。

（1）檢測粒度較粗，對攻擊的判定主要是基于以往的“學(xué)習(xí)經(jīng)驗(yàn)”，所以存在較高的誤報(bào)率。

（2）需要大量的數(shù)據(jù)進(jìn)行學(xué)習(xí)，對于數(shù)據(jù)的純度要求較高。

（3）在訓(xùn)練和評估時(shí)計(jì)算復(fù)雜度過高。7.5.4基于神經(jīng)網(wǎng)絡(luò)的安全審計(jì)方法

人工神經(jīng)網(wǎng)絡(luò)是基于統(tǒng)計(jì)學(xué)理論和生物神經(jīng)元理論而提出來的機(jī)器學(xué)習(xí)方法，其主要由大量的人工神經(jīng)元組成。構(gòu)成神經(jīng)系統(tǒng)的基本單元是神經(jīng)細(xì)胞，通常叫做生物神經(jīng)元，也可稱為神經(jīng)元。在生物神經(jīng)元功能的基礎(chǔ)上，人工神經(jīng)網(wǎng)絡(luò)通過模擬其運(yùn)作方式建立起了類似神經(jīng)元進(jìn)行信息處理的數(shù)據(jù)模型。

在人工神經(jīng)元的基礎(chǔ)上，神經(jīng)網(wǎng)絡(luò)則是通過大量的神經(jīng)元相連接構(gòu)成的拓?fù)浣Y(jié)構(gòu)，一般人工神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)由輸入層、隱藏層和輸出層組成。神經(jīng)網(wǎng)絡(luò)的構(gòu)建一般是設(shè)計(jì)者事先規(guī)劃好的，因?yàn)樵谀Ｐ陀?xùn)練的過程中轉(zhuǎn)化函數(shù)是無法改變的，所以要想使得模型達(dá)到最好的輸出值只能通過改變加權(quán)求和的輸入。又因?yàn)樯窠?jīng)元的信號處理對象只能是網(wǎng)絡(luò)的輸入信號，那么只能通過修改網(wǎng)絡(luò)的權(quán)重參數(shù)達(dá)到對加權(quán)輸入的改變，即神經(jīng)網(wǎng)絡(luò)模型的優(yōu)化學(xué)習(xí)過程就是對權(quán)值矩陣的更新以達(dá)到最低的模型損失值。

離線學(xué)習(xí)和在線判斷組成了神經(jīng)網(wǎng)絡(luò)的工作過程。在學(xué)習(xí)的過程中，各神經(jīng)元進(jìn)行權(quán)重參數(shù)調(diào)整，實(shí)現(xiàn)非線性映射關(guān)系，以及不同的學(xué)習(xí)規(guī)則擬合以達(dá)到理想的訓(xùn)練精度。在線判斷的階段中，神經(jīng)網(wǎng)絡(luò)采用訓(xùn)練好的網(wǎng)絡(luò)模型對新的數(shù)據(jù)進(jìn)行計(jì)算輸出。目前神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)規(guī)則包含了多種算法，其中的學(xué)習(xí)規(guī)則就是神經(jīng)網(wǎng)絡(luò)權(quán)重的更新算法，可以分為監(jiān)督學(xué)習(xí)以及無監(jiān)督學(xué)習(xí)，聯(lián)想式學(xué)習(xí)和非聯(lián)想式學(xué)習(xí)等。

由大批處理單元彼此連接組成的神經(jīng)網(wǎng)絡(luò)，是一個(gè)自適應(yīng)的信息系統(tǒng)。應(yīng)用于安全審計(jì)領(lǐng)域時(shí)，能檢測出未知攻擊的能力，并具有進(jìn)行量化統(tǒng)計(jì)分析的優(yōu)點(diǎn)，但是也存在一定的問題，如不提供對異常行為事件的解釋，無法進(jìn)行追責(zé)等。7.5.5基于專家系統(tǒng)的安全審計(jì)方法專家系統(tǒng)最早起源于20世紀(jì)60年代，是人工智能的重要分支之一，它將領(lǐng)域?qū)＜业闹R(shí)經(jīng)驗(yàn)和大量資料數(shù)據(jù)轉(zhuǎn)化為計(jì)算機(jī)能夠識(shí)別的規(guī)則公式或者邏輯語言，并儲(chǔ)存于知識(shí)庫中，利用推理機(jī)制模仿人類專家對問題進(jìn)行智能化處理。由于具有計(jì)算速度快、專業(yè)性強(qiáng)、可靠性高、易于維護(hù)等特點(diǎn)，專家系統(tǒng)在各領(lǐng)域都得到了推廣應(yīng)用。

在人工智能領(lǐng)域，專家系統(tǒng)用來模擬人類專家的決策能力，被設(shè)計(jì)為通過推理知識(shí)來解決復(fù)雜的問題。專家系統(tǒng)是第一批真正成功的人工智能軟件，一般分為兩個(gè)子系統(tǒng)：知識(shí)庫和推理機(jī)。知識(shí)庫代表事實(shí)和規(guī)則。推理機(jī)將規(guī)則應(yīng)用于已知事實(shí)和規(guī)則，推理機(jī)將規(guī)則應(yīng)用于已知事件以推斷新事件。

用于審計(jì)的專家系統(tǒng)組成部分為：審計(jì)專家知識(shí)庫、資料數(shù)據(jù)庫、推理模塊、解釋接口模塊、知識(shí)獲取模塊、人機(jī)交互模塊等。（1）審計(jì)專家知識(shí)庫主要用來存儲(chǔ)從相關(guān)領(lǐng)域?qū)＜液唾Y料數(shù)據(jù)獲取的知識(shí)規(guī)則，用來模擬專家大腦內(nèi)的專業(yè)知識(shí)，由于專家系統(tǒng)的問題求解過程需要運(yùn)用專家提供的專門知識(shí)來模擬專家的思維方式，所以在數(shù)量和質(zhì)量上擁有的知識(shí)庫內(nèi)容就成為系統(tǒng)性能和問題求解能力能否符合要求的關(guān)鍵因素。（2）資料數(shù)據(jù)庫則用來保存大量相關(guān)領(lǐng)域的綜合數(shù)據(jù)，可以從中提取重要的知識(shí)、規(guī)律。知識(shí)庫的構(gòu)建是一個(gè)逐漸完善和豐富的過程，可通過知識(shí)獲取模塊手動(dòng)或自動(dòng)學(xué)習(xí)知識(shí)、規(guī)則，不斷健全知識(shí)庫，提升系統(tǒng)可靠性。（3）推理模塊則模仿人類專家處理問題的思維過程，依據(jù)知識(shí)庫中存儲(chǔ)的專家經(jīng)驗(yàn)、規(guī)則等，按照一定的邏輯規(guī)則、推理策略對已有事實(shí)進(jìn)行推理分析，得出問題的產(chǎn)生因素，一般可分為正向推理、逆向推理和混合推理三種推理方式。（4）解釋接口模塊是針對用戶的提問，對系統(tǒng)給出的結(jié)論、求解過程以及系統(tǒng)當(dāng)前的求解狀態(tài)提供說明的一種程序，這種程序的目的是為了便于用戶理解系統(tǒng)的問題求解，以增加用戶對求解結(jié)果的認(rèn)知和信任程度。（5）知識(shí)獲取模塊是在知識(shí)庫中建造一種自動(dòng)獲取專門知識(shí)的程序，這種程序能部分替代知識(shí)工程師以實(shí)現(xiàn)專家系統(tǒng)的自學(xué)習(xí)，進(jìn)而不斷完善數(shù)據(jù)庫的內(nèi)容。（6）人機(jī)交互模塊服務(wù)于用戶、領(lǐng)域?qū)＜一蛳到y(tǒng)維護(hù)人員等，用戶可通過該模塊輸入已有事實(shí)，系統(tǒng)推理診斷后將分析結(jié)果進(jìn)行展示。它能將專家或用戶輸入的信息翻譯為系統(tǒng)可接受的內(nèi)部形式，再把系統(tǒng)向?qū)＜一蛴脩糨敵龅男畔⑥D(zhuǎn)換成其易于理解的外部形式。工業(yè)控制系統(tǒng)應(yīng)用與安全防護(hù)技術(shù)第8章工業(yè)控制系統(tǒng)安全綜合應(yīng)用8.1.1西門子S7-200SMART硬件S7-200SMART是西門子公司針對中國市場研發(fā)的高性價(jià)比、小型PLC。S7-200SMART硬件主要有CPU模塊、數(shù)字量擴(kuò)展模塊、模擬量擴(kuò)展模塊及信號板等。S7-200SMART系列不僅提供了多種型號CPU和擴(kuò)展模塊，能夠滿足各種配置要求，CPU內(nèi)部還集成了高速計(jì)數(shù)器、PID和運(yùn)動(dòng)控制等功能，滿足了廣大用戶的控制要求。1.CPU模塊2.數(shù)字量擴(kuò)展模塊3.模擬量擴(kuò)展模塊4.信號板8.1西門子S7-200SMART應(yīng)用

81.2西門子S7-200SMART程序結(jié)構(gòu)與數(shù)據(jù)尋址1.程序結(jié)構(gòu)S7-200SMARTPLC的用戶程序一般包括一個(gè)主程序、若干個(gè)子程序和若干個(gè)中斷程序。主程序（OB1）是用戶程序的主體，每一個(gè)項(xiàng)目都必須有且只有一個(gè)主程序。CPU在每個(gè)掃描周期都要執(zhí)行一次主程序。在主程序中可以調(diào)用子程序，子程序又可以調(diào)用其他子程序。S7-200SMARTSTEP7-Micro/WINSMART軟件在程序編輯窗口里為每個(gè)POU（程序組成單元）提供一個(gè)獨(dú)立的頁。主程序總是第1頁，后面是子程序和中斷程序。2.數(shù)據(jù)類型S7-200系列PLC的基本數(shù)據(jù)類型有布爾型（BOOL）、無符號字節(jié)（BYTE）、無符號字（WORD）、無符號雙字（DoubleWord，DWORD）、有符號整型（Integer，INT）、有符號雙字整型（DoubleInteger，DINT）、實(shí)數(shù)型（REAL）和字符串型（STRING）。不同的數(shù)據(jù)類型具有不同的數(shù)據(jù)長度和數(shù)值范圍，如表8-1所示。數(shù)據(jù)類型為STRING的字符串由若干個(gè)ASCII碼字符組成，字符串的第一個(gè)字節(jié)定義字符串的長度（0~254），即字符數(shù)，后面的每一個(gè)字符占1B。變量字符串最多為255B（長度字節(jié)加上254個(gè)字符）。表8-1S7-200SMARTPLC的數(shù)據(jù)類型及范圍3.存儲(chǔ)區(qū)類型1）I（過程映像輸入）2）Q（過程映像輸出）3）V（變量存儲(chǔ)器）4）M（標(biāo)志存儲(chǔ)器）5）T（定時(shí)器存儲(chǔ)器）6）C（計(jì)數(shù)器存儲(chǔ)器）7）HC（高速計(jì)數(shù)器）8）AC（累加器）9）SM（特殊存儲(chǔ)器）10）L（局部存儲(chǔ)區(qū)）11）AI（模擬量輸入）12）AQ（模擬量輸出）13）S（順序控制繼電器）4.尋址方式S7-200SMARTPLC的尋址方式有立即尋址、直接尋址和間接尋址三種方式。1）立即尋址2）直接尋址3）間接尋址8.1.3西門子S7-200SMART基本指令1.位邏輯指令1）觸點(diǎn)指令8.1.3西門子S7-200SMART基本指令1.位邏輯指令1）觸點(diǎn)指令2）輸出指令輸出指令在位邏輯指令中又稱線圈驅(qū)動(dòng)指令，由線圈和位地址構(gòu)成。線圈驅(qū)動(dòng)指令的語句表由操作碼“=”和線圈位地址構(gòu)成。線圈驅(qū)動(dòng)指令是根據(jù)前面各邏輯運(yùn)算的結(jié)果由能流控制線圈，從而使線圈驅(qū)動(dòng)的常開觸點(diǎn)閉合，常閉觸點(diǎn)斷開。3）置位、復(fù)位和觸發(fā)器指令4）取反指令取反NOT指令能夠使觸點(diǎn)輸出反相，在梯形圖中用來改變能流的狀態(tài)，取反觸點(diǎn)左端邏輯運(yùn)算結(jié)果為1時(shí)，即有能流輸入時(shí)，觸點(diǎn)斷開能流，反之能流可以通過。5）跳變指令上升沿和下降沿檢測指令用來檢測狀態(tài)的變化，可以用來起動(dòng)一個(gè)控制程序，起動(dòng)一個(gè)運(yùn)算過程或結(jié)束一段控制運(yùn)行等。使用跳變指令時(shí)應(yīng)該注意以下幾點(diǎn)：（1）EU、ED指令后無操作數(shù)。（2）上升沿和下降沿檢測指令不能直接與左線相連，必須接在常開或常閉觸點(diǎn)之后。（3）當(dāng)條件滿足時(shí)，上升沿和下降沿檢測指令的常開觸點(diǎn)只能接通一個(gè)掃描周期，接受控制的元件應(yīng)接在這一觸點(diǎn)之后。6）立即指令立即指令允許對輸入和輸出點(diǎn)進(jìn)行快速和直接存取。當(dāng)用立即指令讀取輸入點(diǎn)的狀態(tài)時(shí)，相應(yīng)的輸入映像寄存器中的值并未發(fā)生更新；用立即指令訪問輸出點(diǎn)時(shí)，相應(yīng)的輸出寄存器的內(nèi)容也被刷新。只有輸入繼電器I和輸出繼電器Q可以使用立即指令。（1）立即觸點(diǎn)指令。（2）=I立即輸出指令。（3）SI立即置位指令。（4）RI立即復(fù)位指令。2.定時(shí)器指令1）定時(shí)器指令定時(shí)器指令是PLC的重要指令，S7-200SMARTPLC中共有3種定時(shí)器指令，即接通延時(shí)定時(shí)器指令（TON）、斷開延時(shí)定時(shí)器指令（TOF）和帶有記憶接通延時(shí)定時(shí)器指令（TONR）。S7-200SMARTPLC提供了256個(gè)定時(shí)器，定時(shí)器編號為T0～T255。定時(shí)器有1ms、10ms和100rns三種分辨率，分辨率取決于定時(shí)器的地址。輸入定時(shí)器地址后，在定時(shí)器方框的右下角內(nèi)將會(huì)出現(xiàn)定時(shí)器的分辨率。2）接通延時(shí)定時(shí)器指令接通延時(shí)定時(shí)器指令（TON，On-DelayTimer）的梯形圖由定時(shí)器標(biāo)識(shí)符TON、定時(shí)器的起動(dòng)信號輸入端IN、時(shí)間設(shè)定值輸入端PT和TON定時(shí)器地址Tn組成。其語句表由定時(shí)器標(biāo)識(shí)符TON、定時(shí)器地址Tn和時(shí)間設(shè)定值PT組成。TON指令的編程舉例3）斷開延時(shí)定時(shí)器指令斷開延時(shí)定時(shí)器指令（TOF，OFF-DelayTimer）的梯形圖由定時(shí)器標(biāo)識(shí)符TOF、定時(shí)器的起動(dòng)信號輸入端IN、時(shí)間設(shè)定值輸入端PT和TOF定時(shí)器地址Tn組成。其語句表由定時(shí)器標(biāo)識(shí)符TOF、定時(shí)器地址Tn和時(shí)間設(shè)定值PT組成。TOF指令的編程舉例4）保持型接通延時(shí)定時(shí)器指令保持型接通延時(shí)定時(shí)器（TONR，RetentiveOn-DelayTimer）指令的梯形圖由定時(shí)器標(biāo)識(shí)符TONR、定時(shí)器的起動(dòng)信號輸入IN端、時(shí)間設(shè)定值輸入端PT和TONR定時(shí)器地址Tn組成。其語句表由定時(shí)器標(biāo)識(shí)符TONR、定時(shí)器地址Tn和時(shí)間設(shè)定值PT組成。TONR指令的編程舉例3.計(jì)數(shù)器指令1）增計(jì)數(shù)器指令增計(jì)數(shù)器（CTU，CounterUp）指令的梯形圖由增計(jì)數(shù)器標(biāo)識(shí)符CTU、計(jì)數(shù)脈沖輸入端CU、復(fù)位信號輸入端R、設(shè)定值PV和計(jì)數(shù)器地址Cn組成，地址編號為0～255。增計(jì)數(shù)器指令的語句表由增計(jì)數(shù)器操作碼CTU、計(jì)數(shù)器地址Cn和設(shè)定值PV構(gòu)成。增計(jì)數(shù)器指令的編程舉例2）減計(jì)數(shù)器指令減計(jì)數(shù)器（CTD，CounterDown）指令的梯形圖由減計(jì)數(shù)器標(biāo)識(shí)符CTD、計(jì)數(shù)脈沖輸入端CD、裝載輸入端LD、設(shè)定值PV和計(jì)數(shù)器地址Cn組成，地址編號為0～255。減計(jì)數(shù)器指令的語句表由減計(jì)數(shù)器操作碼CTD、計(jì)數(shù)器地址Cn和設(shè)定值PV組成。減計(jì)數(shù)器指令的編程舉例3）增減計(jì)數(shù)器指令增減計(jì)數(shù)器（CTUD，CounterUp/Down）指令的梯形圖由增減計(jì)數(shù)器標(biāo)識(shí)符CTUD、增計(jì)數(shù)脈沖輸入端CU、減計(jì)數(shù)脈沖輸入端CD、復(fù)位端R、設(shè)定值PV和計(jì)數(shù)器地址Cn組成，地址編號為0～255。增減計(jì)數(shù)器指令的語句表由增減計(jì)數(shù)器操作碼CTUD、計(jì)數(shù)器地址Cn和設(shè)定值PV組成。增減計(jì)數(shù)器指令的編程舉例8.1.4西門子S7-200SMART功能指令1.數(shù)據(jù)處理指令1）傳送指令傳送指令將源輸入數(shù)據(jù)IN指定的數(shù)據(jù)傳送到輸出參數(shù)OUT指定的目的地址，傳送過程不改變源存儲(chǔ)單元的數(shù)據(jù)值。表中的傳送指令的助記符中最后的B、W、DW（D）和R分別表示操作數(shù)為字節(jié)、字、雙字和實(shí)數(shù)。表8-3傳送指令表2）比較指令比較指令用來比較兩個(gè)數(shù)據(jù)類型相同的數(shù)值IN1與IN2的大小?？梢员容^無符號字節(jié)、數(shù)、雙整數(shù)、實(shí)數(shù)和字符串。表8-4中的字節(jié)、整數(shù)、雙整數(shù)和實(shí)數(shù)的比較條件“x”分別是==（語句表為=）、<>、>=、<=、>和<。

表8-4比較指令語句表3）移位指令與循環(huán)移位指令字節(jié)、字、雙字移位指令和循環(huán)移位指令的操作數(shù)IN和OUT的數(shù)據(jù)類型分別為BYTE、WORD和DWORD。移位位數(shù)N的數(shù)據(jù)類型為BYTE。移位指令將輸入IN中的二進(jìn)制數(shù)各位的值向左或向右移動(dòng)N位后，送給輸出OUT指定的地址。移位指令對移出位自動(dòng)補(bǔ)0，如果移動(dòng)的位數(shù)N大于允許值（字節(jié)操作為8位，字操作為16位，雙字操作為32位），實(shí)際移位的位數(shù)為最大允許值。字節(jié)移位操作對象是無符號數(shù)，對有符號的字和雙字?jǐn)?shù)據(jù)移位時(shí)，符號位也將被移位4）數(shù)據(jù)轉(zhuǎn)換指令標(biāo)準(zhǔn)轉(zhuǎn)換指令是字節(jié)（B）與整數(shù)（I）之間（數(shù)值范圍為0~255）、整數(shù)與雙整數(shù)（DI）之間、BCD碼與整數(shù)之間、雙整數(shù)（DI）與實(shí)數(shù)（R）之間的轉(zhuǎn)換指令，以及七段譯碼指令。BCD碼與整數(shù)相互轉(zhuǎn)換的指令的有效范圍為0~9999。STL中的BCDI和IBCD指令的輸入、輸出參數(shù)使用同一個(gè)地址。轉(zhuǎn)換后的結(jié)果將保存到輸出指定的變量中。如果轉(zhuǎn)換后的數(shù)值超出輸出的允許范圍，溢出標(biāo)志位SM1.1將被置為ON。2.數(shù)學(xué)運(yùn)算指令1）算術(shù)運(yùn)算指令2）函數(shù)運(yùn)算指令3）邏輯運(yùn)算指令邏輯運(yùn)算指令主要包括字節(jié)、字、雙字的與、或、異或和取反邏輯運(yùn)算指令。3.程序控制指令1）跳轉(zhuǎn)指令2）循環(huán)指令3）子程序指令S7-200SMART的控制程序由主程序、子程序和中斷程序組成。在實(shí)際應(yīng)用時(shí)，經(jīng)常會(huì)重復(fù)執(zhí)行某一個(gè)任務(wù)。對應(yīng)在程序設(shè)計(jì)時(shí)，就會(huì)經(jīng)常執(zhí)行同一段程序，為了簡化程序結(jié)構(gòu)、減少程序編寫工作量，在進(jìn)行程序設(shè)計(jì)時(shí)常將反復(fù)執(zhí)行的程序編寫為一個(gè)子程序，以便重復(fù)調(diào)用。子程序的調(diào)用是有條件的，未調(diào)用它時(shí)不會(huì)執(zhí)行子程序中的指令，因此使用子程序可以減少掃描時(shí)間。4）中斷指令中斷指令通過調(diào)用中斷程序及時(shí)地處理中斷事件，中斷事件與用戶程序的執(zhí)行時(shí)序無關(guān)，無法預(yù)測中斷事件何時(shí)會(huì)發(fā)生。用戶編寫的中斷程序不是由用戶程序調(diào)用，而是在中斷事件發(fā)生時(shí)由操作系統(tǒng)進(jìn)行調(diào)用。5）其他指令控制指令還包括條件結(jié)束指令、條件停止指令、看門狗定時(shí)器復(fù)位指令及獲取非致命錯(cuò)誤代碼指令。8.1.5西門子S7-200SMARTPID指令在工業(yè)生產(chǎn)中，一般用閉環(huán)控制方式來控制溫度、壓力、流量這一類連續(xù)變化的模擬量，使用最多的是PID控制（即比例—積分—微分控制），這是因?yàn)镻ID控制具有以下優(yōu)點(diǎn)：（1）無需控制系統(tǒng)的數(shù)學(xué)模型，也能得到比較滿意的控制效果。（2）通過調(diào)用PID指令來編程，程序設(shè)計(jì)簡單，參數(shù)調(diào)整方便。（3）有較強(qiáng)的靈活性和適應(yīng)性，根據(jù)被控對象的具體情況，可以采用P、PI、PD和PID等不同參數(shù)的組合方式，S7-200SMART的PID指令還采用了一些改進(jìn)的控制方式。1.PID算法2.PID回路輸入和輸出轉(zhuǎn)換S7-200SMART為用戶提供了8條PID控制回路，回路號為0~7，因此可以使用8條PID指令實(shí)現(xiàn)8個(gè)回路的PID運(yùn)算。每個(gè)回路的給定值和過程變量都是實(shí)際數(shù)值，其大小、范圍和工程單位可能不同。在PLC進(jìn)行PID控制之前，必須將其轉(zhuǎn)換成標(biāo)準(zhǔn)化浮點(diǎn)數(shù)。將回路輸入量數(shù)值從16位整數(shù)轉(zhuǎn)換成32位浮點(diǎn)數(shù)或?qū)崝?shù)，指令如下所示。ITDAIW0，

AC0//將輸入數(shù)值轉(zhuǎn)換成雙整數(shù)DTRAC0，

AC0//將32位整數(shù)轉(zhuǎn)換成實(shí)數(shù)將實(shí)數(shù)轉(zhuǎn)換成0.0~1.0之間的標(biāo)準(zhǔn)化數(shù)值通過下式實(shí)現(xiàn)：實(shí)際數(shù)值的標(biāo)準(zhǔn)化數(shù)值=實(shí)際數(shù)值的非標(biāo)準(zhǔn)化數(shù)值或原始實(shí)數(shù)／取值范圍+偏移量其中，取值范圍=最大可能數(shù)值-最小可能數(shù)值=27648（單極數(shù)值）或55296（雙極數(shù)值）；偏移量中，對單極數(shù)值取0.0，對雙極數(shù)值取0.5；單極范圍為0~27648，雙極范圍為-27648~+27648。將上述AC0中的雙極數(shù)值（間距為55296）標(biāo)準(zhǔn)化，指令如下所示：/R55296.0，

AC0//累加器中的數(shù)據(jù)除以55296.0+R0.5,AC0//加偏移量，使其落在0.0~1.0之間MOVRAC0，VD100//將標(biāo)準(zhǔn)化數(shù)值寫入PID回路參數(shù)表中將上述AC0中的單極數(shù)值（間距為27648）標(biāo)準(zhǔn)化，指令如下所示。/R27648.0，AC0

//累加器中的實(shí)數(shù)值除以27648.0，使其落在0.0~1.0之間MOVRAC，VD100//標(biāo)準(zhǔn)化的值存入回路表程序執(zhí)行后，PID回路輸出0.0~1.0的標(biāo)準(zhǔn)化實(shí)數(shù)值，必須被轉(zhuǎn)換成16位成比例的整數(shù)值，才能驅(qū)動(dòng)模擬輸出。PID回路輸出成比例實(shí)數(shù)數(shù)值=（PID回路輸出標(biāo)準(zhǔn)化實(shí)數(shù)值-偏移量）×取值范圍其指令如下所示：MOVRVD108，

AC0//

PID回路的標(biāo)準(zhǔn)化實(shí)數(shù)值送入AC0-R0.5，AC0//雙極數(shù)值減去偏移量0.5*R55296.0，

AC0//AC0的值乘以取值范圍，變成比例實(shí)數(shù)值ROUNDAC0，

AC0

//將實(shí)數(shù)四舍五入，變?yōu)?2位整數(shù)DTIAC0，

AC0//32位整數(shù)轉(zhuǎn)換成16位整數(shù)MOVWAC0，

AQW0//16位整數(shù)寫入AQW03.PID指令PID指令：使能有效時(shí)，根據(jù)回路參數(shù)表中的過程變量當(dāng)前值、控制設(shè)定值及PID參數(shù)進(jìn)行PID運(yùn)算。程序中可使用8條PID指令，不能重復(fù)使用。使ENO=0的錯(cuò)誤條件：0006（間接地址），SM1.1（溢出，參數(shù)表起始地址或指定的PID回路指令回路號操作數(shù)超出范圍）。PID指令不對參數(shù)表輸入值進(jìn)行范圍檢查，必須保證過程變量、給定值積分項(xiàng)當(dāng)前值和過程變量當(dāng)前值在0.0~1.0的范圍之間。4.PID控制回路的編程步驟使用PID指令進(jìn)行系統(tǒng)控制，可通過以下步驟完成：指定內(nèi)存變量區(qū)回路表的首地址，如VB200。根據(jù)表8-15的格式及地址，可以把設(shè)定值SPn寫入指定地址VD204（雙字地址）、增益Kp寫入VD212、采樣時(shí)間Ts寫入VD216、積分時(shí)間Ti寫入VD220、微分時(shí)間Td寫入VD224、PID輸出值寫入VD208。設(shè)置定時(shí)中斷初始化程序。PID指令必須在定時(shí)中斷程序中使用，涉及中斷事件10（定時(shí)中斷0）或中斷事件11（定時(shí)中斷1）。讀取過程變量模擬量AIWx，對其進(jìn)行回路輸入轉(zhuǎn)換及標(biāo)準(zhǔn)化處理后寫入回路表首地址VD200。執(zhí)行PID回路運(yùn)算指令。對PID回路運(yùn)算的輸出結(jié)果VD208進(jìn)行數(shù)據(jù)轉(zhuǎn)換，然后將結(jié)果送入模擬量輸出AQWx，將其作為控制調(diào)節(jié)的信號值。8.1.6西門子S7-200SMART高速I/O指令PLC的普通計(jì)數(shù)器的計(jì)數(shù)過程與掃描工作方式有關(guān)，普通計(jì)數(shù)器的工作頻率很低，一般僅有幾十Hz。當(dāng)被測信號的頻率較高時(shí)，將會(huì)丟失計(jì)數(shù)脈沖。而高速計(jì)數(shù)器可以對高速信號進(jìn)行計(jì)數(shù)，S7-200SMART有6個(gè)高速計(jì)數(shù)器HSC0~HSC5，可支持8種不同的工作模式。1.高速計(jì)數(shù)器指令高速計(jì)數(shù)器脫離主機(jī)的掃描周期而獨(dú)立計(jì)數(shù)，它可對脈寬小于主機(jī)掃描周期的高速脈沖實(shí)現(xiàn)準(zhǔn)確計(jì)數(shù)，即高速計(jì)數(shù)器計(jì)數(shù)的脈沖輸入頻率高于PLC掃描頻率。高速計(jì)數(shù)器能夠?qū)Ω哳l脈沖信號進(jìn)行測量和記錄，并提供中斷功能，在實(shí)際生產(chǎn)中得到廣泛應(yīng)用。例如測量電動(dòng)機(jī)轉(zhuǎn)速、設(shè)備運(yùn)行距離等?？梢允褂肏DEF和HSC指令創(chuàng)建自己的HSC例程，也可以使用高速計(jì)數(shù)器向?qū)Ш喕幊淘O(shè)計(jì)。1）高速計(jì)數(shù)器的工作模式S7-200SMARTCPU提供了四路高速計(jì)數(shù)器（HSC0、HSC1、HSC2和HSC3），最高可測量200kHz（標(biāo)準(zhǔn)型CPU，單相）的脈沖信號。在這四個(gè)HSC設(shè)備中，HSC0和HSC02支持8種計(jì)數(shù)模式（模式0、1、3、4、6、7、9和10），HSC1和HSC3只支持1種計(jì)數(shù)模式（模式0）。2）高速計(jì)數(shù)器控制字節(jié)每個(gè)高速計(jì)數(shù)器在CPU的特殊存儲(chǔ)區(qū)中都有各自的控制字節(jié)。控制字節(jié)可以執(zhí)行啟動(dòng)或禁止計(jì)數(shù)器、改變計(jì)數(shù)方向、刷新計(jì)數(shù)器當(dāng)前值或預(yù)設(shè)值等操作?？刂谱止?jié)的各個(gè)比特位具有不同的設(shè)置功能。3）高速計(jì)數(shù)器向?qū)ЫM態(tài)在對高速計(jì)數(shù)器進(jìn)行編程時(shí)，需要根據(jù)相關(guān)特殊存儲(chǔ)器的意義來編寫初始化程序和中斷程序，這些程序的編寫比較繁瑣而且容易出錯(cuò)。STEP7-Micro/WINSMART提供的高速計(jì)數(shù)器向?qū)Э梢院喕幊踢^程，方便開發(fā)人員使用。相對于設(shè)置控制字的組態(tài)方式，向?qū)ЫM態(tài)更加直觀，可以根據(jù)工藝快速配置高速計(jì)數(shù)器，并大大減少出錯(cuò)概率。向?qū)ЫM態(tài)完成后，可以程序中調(diào)用對應(yīng)生成的子程序，也可對子程序進(jìn)行修改。在工具欄里選擇高速計(jì)數(shù)器，在彈出的“高速計(jì)數(shù)器向?qū)А睂υ捒蛑羞x擇需要組態(tài)的高速計(jì)數(shù)器。繼而完成高速計(jì)數(shù)器模式選擇、高速計(jì)數(shù)器初始化組態(tài)、中斷設(shè)置、設(shè)置中斷步等操作步驟。2.高速脈沖輸出指令高速脈沖輸出功能是指在PLC某些輸出端產(chǎn)生高速脈沖，用來驅(qū)動(dòng)負(fù)載實(shí)現(xiàn)對步進(jìn)電動(dòng)機(jī)等的精確控制。使用高速脈沖輸出功能時(shí)，PLC主機(jī)應(yīng)選用晶體管輸出型，以滿足高速輸出的要求。脈沖輸出指令（PLS）控制高速輸出（Q0.0、Q0.1和Q0.3）是否提供高速脈沖串輸出（PTO）和脈寬調(diào)制（PWM）功能。S7-200SMARTCPU具有三個(gè)PTO/PWM生成器（PLS0、PLS1和PLS2），能夠生成高速脈沖串或脈寬調(diào)制波。PLS0對應(yīng)數(shù)字量輸出端Q0.0，PLS1對應(yīng)數(shù)字量輸出端Q0.1，PLS2對應(yīng)數(shù)字量輸出端Q0.3。指定的特殊存儲(chǔ)器（SM）單元用于存儲(chǔ)每個(gè)發(fā)生器的一個(gè)狀態(tài)字節(jié)、一個(gè)控制字節(jié)、一個(gè)2字節(jié)無符號的周期或頻率數(shù)據(jù)、一個(gè)2字節(jié)無符號的脈沖寬度值數(shù)據(jù)以及一個(gè)4字節(jié)無符號的脈沖計(jì)數(shù)值數(shù)據(jù)。PLS指令僅用于S7-200SMART標(biāo)準(zhǔn)型CPU。SR20/ST20只有Q0.0和Q0.1兩個(gè)通道，其他型號有Q0.0、Q0.1和Q0.3三個(gè)通道。PTO/PWM生成器和過程映像寄存器共同使用Q0.0、Q0.1和Q0.3。在Q0.0、Q0.1或Q0.3上激活PTO/PWM功能時(shí)，PTO/PWM生成器控制輸出，正常使用輸出點(diǎn)禁止。輸出信號波形不受過程映像區(qū)狀態(tài)、輸出點(diǎn)強(qiáng)制值或立即輸出指令執(zhí)行的影響。當(dāng)不使用PTO/PWM生成器功能時(shí)，對輸出點(diǎn)的控制權(quán)交回到過程映像寄存器。過程映像寄存器決定輸出信號波形的初始和結(jié)束狀態(tài)，以高低電平產(chǎn)生信號波形的啟動(dòng)和結(jié)束。8.1.7西門子S7-200SMART編程軟件S7-200SMART的編程軟件是STEP7-Micro/WINSMART。8.1.8西門子S7-200SMART應(yīng)用程序設(shè)計(jì)1.任務(wù)要求實(shí)現(xiàn)PLC控制電動(dòng)機(jī)操作。當(dāng)按下PLC的外接啟動(dòng)按鈕SB1或點(diǎn)擊HMI界面上啟動(dòng)按鈕圖標(biāo)，HMI界面上顯示延