本发明专利技术公开了一种基于SCADA系统的周期性异常检测的方法,本发明专利技术通过对SCADA系统中的传输的周期性脉冲进行获取,汇总数据包,存储数据流,通过周期性学习阶段获取关于周期型脉冲的频率及大小这两个特征,并通过比较特征项进行特征项的选取,将数据流和特征项进行匹配来判定异常,并发出警报,提高了工控网络的安全性。
【技术实现步骤摘要】
:本专利技术属于工业控制网络信息安全
,具体是涉及一种基于SCADA系统的周期性异常检测的方法。
技术介绍
:SCADA(SupervisoryControlAndDataAcquisition)即数据采集与监视控制系统。SCADA系统的应用领域很广,在石油化工、电力系统、给水系统、核电等领域都发挥着重要的作用,图1为SCADA系统在石化安全行业中的示意图。随着网络的发展,SCADA系统也由独立的网络系统、专有的软硬件环境,逐渐发展成为开放式透明运作的标准系统,并通过TCP/IP等标准网络协议进行通信,而鉴于系统的重要性,其安全问题越来越受到普遍关注,一旦系统受到攻击,后果可能是灾难性的。这在降低成本提高效率的同时,SCADA系统所面临的安全性问题也日益凸显出来。本专利技术中,入侵检测系统(IDS)作为一个跟踪恶意行为非常重要的设备。处理已知入侵威胁的方式是以识别误用或误操作为基础,而识别恶意攻击是以发现异常操作行为为基础。异常检测方式是以网络的正常运行为特征,在此基础上识别出偏差,即异常行为。异常检测系统被应用在从通信协议到处理日志分析等SCADA系统的不同方面。SCADA系统分布在生产环境中以监视及控制各种设备,为了达到这个目标,数据需要持续不断地从这些设备中获取,因此就要建立一个实时响应的基础设施环境。典型的方式是:数据通过自动轮询机制获取,即通过预先设定好的时间间隔发送轮询请求到现场设备以实时获取生产数据,然而此种方式的副作用是通信行为具有较高的周期性。本专利技术提出了一种使用这种自动轮询机制来实现对异常入侵的检测,通过对这种上报方式变化的洞察来保护那些周期性被访问的网络服务。值得注意的是,虽然一些攻击可以破坏传输的周期性,但是在传输周期性中所发生的改变未必都是恶意的。本专利技术以定位这些破坏行为目的。
技术实现思路
:针对以上问题,本专利技术提出了一种基于SCADA系统的周期性异常检测的方法。为达到上述目的,本专利技术的技术方案如下:一种基于SCADA系统的周期性异常检测的方法,包括:传输获取阶段,来自SCADA系统的传输被动的接受监测中心端的监测及分析。流的建立阶段,创立网络流,以一种有效的方式来汇总数据包,并将数据流当做时间序列来存储。周期性学习阶段,学习系统的正常行为,提取周期性脉冲的频率和周期性脉冲的大小这两个特征。比较特征项阶段,利用算法进行特征项的选择。异常检测阶段,将流的建立阶段中获取的数据流与比较特征项阶段中获取的特征项进行匹配,若数据流与特征项相匹配,则被认定异常,发出警报并反馈到周期性学习阶段。作为上述技术方案的优选,所述流的建立阶段中:使用服务器端传输端口来汇总数据包,依靠所使用的应用程序及协议来分离出周期性脉冲。作为上述技术方案的优选,所述流的建立阶段中:存储数据流采用的采样频率SF为:SF=1/P,其中,P为一定的时间间隔。作为上述技术方案的优选,周期性学习阶段通过离线的方式来执行分析,并通过网络管理员来验证有效性。作为上述技术方案的优选,比较特征项阶段具体包括如下步骤:采用Zipf规则分析周期性学习阶段中所存放的正常通信与异常通信。计算出所属类别的互信息量。按照互信息量的大小由大到小进行排序,从最大开始,依次抽取一定数量的规则作为特征项。本专利技术的有益效果在于:本专利技术通过对SCADA系统中的传输的周期性脉冲进行获取,汇总数据包,存储数据流,通过周期性学习阶段获取关于周期型脉冲的频率及大小这两个特征,并通过比较特征项进行特征项的选取,将数据流和特征项进行匹配来判定异常,并发出警报,提高了工控网络的安全性。附图说明:以下附图仅旨在于对本专利技术做示意性说明和解释,并不限定本专利技术的范围。其中:图1为本专利技术一个实施例的SCADA系统在石化安全行业中的示意图;图2为本专利技术一个实施例的基于SCADA系统的周期性异常检测的方法实现方式的示意图。具体实施方式:本实施例提供一种基于SCADA系统的周期性异常检测的方法,1、网络传输的周期性分析。一般SCADA系统呈现出数据包周期脉冲串,即在固定的时间间隔传输一定的数据包。这些周期性的脉冲串由客户端的数据请求及服务器端的请求回应所产生。周期性的网络传输具有两个可以确定其自然属性的重要特征,即周期性的脉冲串所包含的频率(frequency)与大小(size)。这里需要值得注意的是在监测周期性传输过程中会产生一些非周期性的行为(或干扰),而干扰的原因有多种,如网络延迟,包丢失,重传,协议的具体交换(如TCP的3次握手协议)等。并不是所有的SCADA系统连接都必须表现出周期性的特点。例如:PLC设备通常需要手动访问,则可以监测到非周期性行为。本专利技术中研究的重点仅为数据包周期性的脉冲在一般网络传输中的正常行为。2、攻击的影响分析。假设一些入侵行为是为了破坏传输的周期性,为了实现这个假设,本专利技术采用不同类型的攻击,并且研究如何对传输周期性产生影响。本专利技术采用入侵检测系统中所使用SCADA系统的攻击签名的访问列表,列表中包含保护ModbusTCP和DNP3两种SCADA通信标准的签名。信息收集要优先于其他的攻击,并且对于攻击者来说是一种挑战,因为要尽可能多的收集目标系统的信息。一个典型的方式是通过scans获取信息,如ModbusTcp点列扫描。扫描需要大量可能的地址或者端口来测试,因此攻击者一般会快速地执行操作,而这种扫描能很快被监测到,因为所产生的传输很明显不是周期性的。注意,如果攻击者以一种慢速但是周期性的方式,也是可以监测得到的,因为它会以不同于正常服务的频率来运行。拒绝服务攻击是阻止合法用户访问服务或降低其性能。例如以DNP3为目标的主动响应风暴试图以发送一定数量的主动响应包来过载DNP3服务,而正常情况下是会产生报警的。如果攻击者在短时间内发送了大量的数据包,这种攻击可以被视为非周期性传输的峰值。与扫描类似,这种攻击也可能执行地很慢,但同时会减少了攻击的效果。网络攻击处理网络各种协议的行为。例如以ModbusTCP为攻击目标,试图避免被监测到的清除计数器与寄存器的攻击,使用了带有特殊代码功能的单数据包去清除SCADA服务器的计数器与寄存器。我们不能监测到大多数这种类型的攻击,因为它们通过执行少量的包,并不会干扰到传输周期性。但是我们可以监测到这种攻击产生的效果。例如以ModbusTCP为目标,从设备忙碌异常代码延迟攻击,在回答每个带有“设备忙”的信息请求时阻止应答超时。然而在这种情况下,并不希望在传输周期性中有所改变,典型的方案是在攻击中,用多包代替单包所引起的振幅变化。缓冲区溢出攻击试图以溢出其缓冲区的方式,对系统进行控制。例如,基于ModbusTCP的非法包的大小,可能受到的DOS攻击以非法包的大小来发送单包,挖掘出协议栈中的错误。再者,本专利技术所使用的方法并不是针对数据包的攻击,但如果攻击成功了并且使目标系统崩溃,正常的传输模式很显然被破坏了。综上所述,许多攻击以不同的频率来引起以下三者改变的其一。1.新加入或丢失的周期性突发频率。2.周期性突发大小的改变3.干扰因素的增加需要强调的是,我们的期望是异常的监测,而来自正常传输周期行为的偏差并不存在恶意。例如用于测试时对PLC进行手工访问会引起非周期性的传输,随之而来的将会是触发报警。如图2本文档来自技高网...
【技术保护点】
一种基于SCADA系统的周期性异常检测的方法,其特征在于,包括:传输获取阶段,来自SCADA系统的传输被动的接受监测中心端的监测及分析;流的建立阶段,创立网络流,以一种有效的方式来汇总数据包,并将数据流当做时间序列来存储;周期性学习阶段,学习系统的正常行为,提取周期性脉冲的频率和周期性脉冲的大小这两个特征;比较特征项阶段,利用算法进行特征项的选择;异常检测阶段,将流的建立阶段中获取的数据流与比较特征项阶段中获取的特征项进行匹配,若数据流与特征项相匹配,则被认定异常,发出警报并反馈到周期性学习阶段。
【技术特征摘要】
1.一种基于SCADA系统的周期性异常检测的方法,其特征在于,包括:传输获取阶段,来自SCADA系统的传输被动的接受监测中心端的监测及分析;流的建立阶段,创立网络流,以一种有效的方式来汇总数据包,并将数据流当做时间序列来存储;周期性学习阶段,学习系统的正常行为,提取周期性脉冲的频率和周期性脉冲的大小这两个特征;比较特征项阶段,利用算法进行特征项的选择;异常检测阶段,将流的建立阶段中获取的数据流与比较特征项阶段中获取的特征项进行匹配,若数据流与特征项相匹配,则被认定异常,发出警报并反馈到周期性学习阶段。2.根据权利要求1所述的一种基于SCADA系统的周期性异常检测的方法,其特征在于:所述流的建立阶段中:使用服务器端传输端口来汇总数据包,依靠所使...
【专利技术属性】
技术研发人员:吴冲,李成斌,王朝栋,
申请(专利权)人:上海三零卫士信息安全有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。