【技术实现步骤摘要】
工业防火墙状态检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及工业控制系统安全
,尤其涉及一种工业防火墙状态检测方法、装置、电子设备及存储介质。
技术介绍
[0002]工业控制系统(Industrial Control System,ICS)包括监控和数据采集(Supervisory Control and Data Acquisition,SCADA)系统、分布式控制系统(Distributed Control System,DCS)和可编程逻辑控制器(Programmable Logic Controller,PLC)等,广泛应用于电力、水利、石油化工和冶金等工业领域,是国家关键基础设施的重要组成部分。近年来,为了促进更高效的远程控制,ICS与信息和通信技术广泛融合,但该技术为ICS带来高效便捷的同时,也导致ICS易遭受网络攻击。2010年,“震网”病毒攻击伊朗核电站,损毁大量离心机。此后,“毒区”、“火焰”等针对ICS的病毒相继爆发,使得ICS信息安全受到越来越高的重视。
[0003]工业防...
【技术保护点】
【技术特征摘要】
1.一种工业防火墙状态检测方法,其特征在于,包括:根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测,所述第一阶段的检测包括基于预设DTMC模型对所述消息数据的状态节点的合法性检测、状态转移的合法性检测以及状态转移时间间隔的合法性检测;基于所述第一阶段的检测,对所述消息数据进行第二阶段的检测,所述第二阶段的检测是根据工业控制系统的周期性消息数量对所述消息数据的状态转移概率的检测。2.根据权利要求1所述的工业防火墙状态检测方法,其特征在于,所述根据获取工业控制系统的消息数据,对所述消息数据进行第一阶段的检测之前,包括:使用串口采集历史消息数据;根据CPI算法,对每条历史消息数据按照六元组定义为状态事件;根据所述历史消息数据自学习构建预设DTMC模型,所述预设DTMC模型存储有所述状态事件的状态节点信息、状态转移信息、状态转移时间间隔信息以及状态转移概率信息。3.根据要求2所述的工业防火墙状态检测方法,其特征在于,所述六元组包括:第一元组,所述第一元组为设备从站地址;第二元组,所述第二元组为报文请求/响应类别;第三元组,所述第三元组为协议功能码;第四元组,所述第四元组为协议参数数据;第五元组,所述第五元组为校验码数据;第六元组,所述第六元组为状态事件时间戳;基于所述第一元组~第六元组的信息,预设协议指令序列映射的状态事件具有唯一性,所述状态事件包括状态事件出度值和状态事件入度值两个统计属性。4.根据权利要求3所述的工业防火墙状态检测方法,其特征在于,根据所述历史消息数据自学习构建预设DTMC模型,包括:步骤一,根据状态事件的六元组定义完成预设协议指令数据到状态事件的映射,若映射成功,则直接执行步骤三,否则执行步骤二;步骤二,根据当前消息创建新的状态事件,执行步骤三;步骤三,更新当前状态与前一跳状态的转移关系,将前一跳状态事件出度值加1和当前状态事件入度值加1,并将当前状态事件的第六元组的值设为当前消息的时间戳,执行步骤四;步骤四,将当前消息的时间戳与前一跳状态事件时间戳的差值作为转移时间间隔信息添加至对应的转移关系序列集合,执行步骤五;步骤五,重复执行所述步骤一~步骤四,直至所有历史消息数据映射完毕,以实现自学习构建所述预设DTMC模型。5.根据权利要求5所述的工业防火墙状态检测方法,其特征在于,所述步骤五之后,还包括:对每个状态节点的转移关系有向边序列进行计算,得到状态转移概率以及状态转移时间间隔的均值;所述状态转移概率的计算公式为:ρ=n/N,其中,ρ为状态转移概率,n为边序列转移次数,N为状态节点的出度值;
所述状态转移时间间隔的均值的计算公式为:δ=τ/n,其中,δ为状态转移时间间隔的均值,τ为状态转移时间间隔累计,n为边序列转移次数。6.根据权利要求1所述的工业防火墙状态检测方法...
【专利技术属性】
技术研发人员:孙利民,陈新,刘凯祥,谢永芳,吕世超,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。