【技术实现步骤摘要】
基于特征行为分析的被动式工控设备指纹识别方法及装置
本专利技术涉及工业控制系统设备指纹识别
,尤其涉及基于特征行为分析的被动式工控设备指纹识别方法及装置。
技术介绍
工业控制系统广泛应用于工业生产、电力、能源、水利以及交通运输等行业,其系统构成主要包括数据采集与监测系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)等,是实施实时数据采集、状态监测与过程控制的自动化系统。随着通讯技术与网络技术的发展,以及工业生产中对数据与指令的高速传输、高速处理等要求,工业控制系统中的通讯网络不再局限于现场总线网络,而是将以太网以及Wi-Fi、蓝牙等无线网络融入其中,构成了复杂的多标准、多协议的工业控制系统通讯网络,同时工业控制系统网络所面临的安全挑战也更为严峻。在工业控制系统中,数据、命令以数据包的形式在通讯网络中交换、传输,很容易遭受来自互联网的恶意攻击,例如数据恶意篡改、虚假数据注入等,一旦遭受这些恶意攻击,工业控制系统中的PLC、RTU等设备极大可能无法正常工作甚至导致整个系统崩溃;另一方面,这些设备也可能被恶意地替换为承载恶性木马或者病毒的设备,以便从工业控制系统中盗取信息甚至进行非法操作。通过指纹识别方法进行设备身份识别可以发现工控系统的脆弱性,可以将设备指纹识别技术与漏洞入侵检测技术结合起来以检测工控系统的网络是否异常及其所遭受的攻击类型。在设备指纹识别领域,由于工业控制网络设备在资源配置、传输网络和时间响应上与传统互联网存在很大差别,传统互联网上的大多数设备指纹识别方法,在工控网络中已不再适用。工控网络要求网络 ...
【技术保护点】
1.基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,包括以下步骤:S5:利用采集的特征指纹样本训练分类器模型,确定分类器的关键参数,为指纹识别提供设备身份模型;S6:利用S5训练好的设备身份模型,对工控设备进行指纹识别,具体为对待测设备指纹是否属于原已知设备进行双分类,若结果为待测指纹属于原设备,则判断设备身份正常;若结果为待测指纹不属于原设备,则判断设备身份异常;其中,设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹:跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔;物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成指令控制动作这一事件的时间间隔。
【技术特征摘要】
1.基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,包括以下步骤:S5:利用采集的特征指纹样本训练分类器模型,确定分类器的关键参数,为指纹识别提供设备身份模型;S6:利用S5训练好的设备身份模型,对工控设备进行指纹识别,具体为对待测设备指纹是否属于原已知设备进行双分类,若结果为待测指纹属于原设备,则判断设备身份正常;若结果为待测指纹不属于原设备,则判断设备身份异常;其中,设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹:跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔;物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成指令控制动作这一事件的时间间隔。2.根据权利要求1所述的基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,所述步骤S5之前还包括:S1:配置终端设备的事件上报或事件时间记录模块;S2:获取IP、SlaveID与终端设备的对应关系,以及控制寄存器地址与终端执行机构的对应关系。3.根据权利要求1所述的基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,所述步骤S5之前还包括:S3:监听工控系统网络的通讯信息;S4:对监听的信息进行内容解析、特征提取、设备指纹生成。4.根据权利要求3所述的基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,所述步骤S4具体包括:S401:对监听的信息进行内容解析;基于工业控制系统网络通讯的特点,从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、数据包到达时刻的时间戳,如果是工控网络协议包,还需解析出协议内容;S402:对监听内容解析后的信息进行特征提取;从监听内容解析后的信息中提取特征,即是提取跨层响应时间和物理操作时间两种特征;对于跨层响应时间,提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳,计算两者的时间间隔;对于物理操作时间,提取控制中心发出的Modbus控制指令消息的时间戳与设备完成指令控制动作这一事件消息的时间戳,计算两者的时间间隔;S403:基于提取的特征生成设备指纹;对步骤S402所提取的n个时间间隔序列生成概率密度直方图,该概率密度直方图含有k个区间,区间长度为l,每个区间的概率密度为mi,i=1,2,……k,则生成的指纹为[m1,m2,…,mk],其中,n为进行一次有效识别需要采集的样本数;n、k、l为系统固定的参数。5.根据权利要求1所述的基于特征行为分析的被动式工控设备指纹识别方法,其特征在于,所述步骤S6之后还包括:S7:将设备指纹识别结果,即设备身份为正常或者异常的判断结果发送到控制中心,以便控制中心进一步作出决策。6.基于特征行为分析的被动式工控设备指纹识别装置,其特征在于,包括:分类器训练模块:利用采集...
【专利技术属性】
技术研发人员:沈超,贾战培,刘畅,陈宇飞,张萌,刘烃,管晓宏,
申请(专利权)人:西安交通大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。