本发明专利技术属于工业现场检测领域,公开了一种针对工业控制系统攻击的双级检测方法:分布式的传感器网络进行数据实时采集,分别传输给工控系统PLC与独立的嵌入式攻击检测系统,PLC将收到的数据上传到SCADA系统,SCADA系统在对数据归类统计后也传送到嵌入式攻击检测系统;在检测投运前,嵌入式攻击检测系统直接读取传感器量测数据,提炼传感器正常运行的数据关联关系与概率分布特征,完成健康数据模型存储;在检测投运后,第一级对比传感器直采数据与SCADA统计数据判断SCADA系统受攻击情况;第二级对比实时在线统计的传感器直采数据特征与健康数据模型判断传感器受攻击情况。本发明专利技术有效的提高了工业控制系统的安全性。效的提高了工业控制系统的安全性。效的提高了工业控制系统的安全性。
【技术实现步骤摘要】
一种针对工业控制系统攻击的双级检测方法
[0001]本专利技术属于工业现场检测领域,更具体地说,涉及一种针对工业控制系统攻击的双级检测方法。
技术介绍
[0002]工业控制系统(ICS)是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合。包括数据监控与采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能终端、人机交互接口(HMI)等系统。被广泛应用在工业控制领域,在国家基础设施中扮演着至关重要的角色,是关乎国计民生的重要资源。
[0003]随着计算机和网络技术的发展,信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。从而拓展了工业控制的发展空间,带来新的发展机遇,同时也带来了工业控制系统的信息安全等问题。
[0004]从工业控制系统自身来看,工业控制系统固有漏洞和攻击面日益增加;从外部环境来看,工业控制系统漏洞发现、攻击技术和攻击人员能力正不断增强,工业控制系统面临日益升级的安全威胁,主流的纵深防御思想对于持续变化的安全威胁缺乏足够的监测与应对能力,迫切需要发展以工业控制系统为技术背景的安全防护的新方法。
技术实现思路
[0005]针对现有技术中存在的问题,本专利技术的目的在于提供一种针对工业控制系统攻击的双极检测方法,可以通过数据分析和控制的方法检测系统攻击,成本低,可靠性高。
[0006]本专利技术的技术方案如下:
[0007]一种针对工业控制系统攻击的双级检测方法,具体包括以下步骤:
[0008]S1,工控传感器网络实时采集工控系统底层传感器数据,数据分别传输给工控系统PLC与独立的嵌入式攻击检测系统,嵌入式攻击检测系统中的嵌入式处理器不允许上位机对其进行更新,下载口不允许在线接通;工控系统PLC将收到的传感器数据上传到SCADA系统,同时嵌入式攻击检测系统通过网络线缆接收SCADA系统统计后的下行数据;
[0009]S2,在系统没有攻击的情况下,嵌入式攻击检测系统通过读取传感器采集的数据,提炼工控系统各个传感器正常运行的独立数据分布特征,独立数据分布特征包括均值点附近的概率分布类型和估计误差协方差,以及依托于工控系统内部物理关系抽象而成的变量之间的函数关系,并把提炼的特征规律存储到独立运行的嵌入式处理器中,记为系统健康数据模型;
[0010]S3,工业控制系统的攻击检测方法包括两级;
[0011]第一级,利用传感器直采数据与SCADA系统统计数据对比来检测SCADA系统受攻击情况记为一级攻击警报;检测方式为:把同一时间戳SCADA系统下行的系统控制变量数据与嵌入式攻击检测系统直接读取的传感器数据相比较,如果差距超过了数据传输的最大量化误差范围,则认为SCADA系统已经遭到恶意程序入侵;
[0012]第二级,利用传感器直采数据统计规律与健康数据模型对比来判断传感器受攻击情况记为二级攻击警报;其中,传感器直采数据统计规律包括概率分布类型、协方差大小与变量之间函数关系;检测方式为:在不触发一级攻击警报的前提下,首先统计传感器各个变量的均值之间的函数关系是否在健康模型函数关系的误差允许范围之内,如果超出该范围则认为传感器驱动程序已经遭到恶意篡改;接下来,统计各个传感器数据的概率密度分布类型以及其协方差,与健康数据模型对比,如果超出置信区间则认为传感器驱动程序已经遭到恶意篡改。
[0013]本专利技术的有益效果在于:在工业控制系统中,成本较低,只需要在工控系统中增加一个嵌入式检测系统就可以检测攻击,稳定性较高,对生产过程产生的数据备份,有效保证信息的溯源。本专利技术把随机过程理论、系统数据模型和控制系统知识结合,可以从多渠道及时全面的检测系统中的攻击威胁,有效的提高了工业控制系统的安全性。
附图说明
[0014]图1是本专利技术的流程结构运行示意图;
[0015]图2是本专利技术的设备接线示意图;
[0016]图3是本专利技术的系统总体设计示意图。
具体实施方式
[0017]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的其他实施例,都属于本专利技术保护的范围。
[0018]在本专利技术的描述中,需要说明的是,术语“竖直”、“上”、“下”、“水平”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性。
[0019]在本专利技术的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。
[0020]本专利技术实例设备采用西门子S7
‑
200PLC,SCADA系统采用力控软件设计的 PLC控件,嵌入式检测系统采用Arm双核Cortex
‑
A9处理器,传感器包括温度传感器、压力传感器、液位传感器等等。PLC与SCADA系统通过网络线缆连接,通讯协议为Modbus,嵌入式检测系统通过网络线缆与SCADA系统连接用于接收SCADA系统传输的数据。
[0021]在概率论和统计学中,协方差用于衡量两个变量的总体误差。这种误差衡量方法正好可以应用到攻击检测中,在检测系统正常工作之前的系统健康数据模型建立过程为:
[0022]一个嵌入式系统,如果不对外开放编程端口,通过网络攻击不能攻击到嵌入式系
统,根据嵌入式系统这种稳定性,可以保证系统投放前正常运行的数据不被篡改,保证了参考数据的准确性。将系统与外界的网络传输端口关闭,系统上电之后正常运行数个周期,运行过程中将传感器采集的数据分别读取出来传输到嵌入式检测系统,把传感器正常运行的独立数据分布特征提取出来,根据数据的分布特征求取数据的概率密度分布和协方差,把工控系统变量的内部物理关系总结成函数关系存储到嵌入式系统中,记为系统健康数据模型,作为攻击检测的参考模型。
[0023]工控系统正常工作环境下的攻击检测包括:
[0024]一级攻击检测:将系统与外界的网络传输端口开启,系统上电之后正常运行,运行过程中传感器采集的数据会通过PLC设备进行上传,传输到SCADA系统中,嵌入式检测系统接收SCADA的下行数据。PLC和SCADA系统数据传输协议是Modbus,其中SCADA系统容易受到攻击,当SCADA系统受到攻击后,SCADA 系统接收到的数据也会发生改变本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对工业控制系统攻击的双级检测方法,其特征在于,具体包括以下步骤:S1,工控传感器网络实时采集工控系统底层传感器数据,数据分别传输给工控系统PLC与独立的嵌入式攻击检测系统,嵌入式攻击检测系统中的嵌入式处理器不允许上位机对其进行更新,下载口不允许在线接通;工控系统PLC将收到的传感器数据上传到SCADA系统,同时嵌入式攻击检测系统通过网络线缆接收SCADA系统统计后的下行数据;S2,在系统没有攻击的情况下,嵌入式攻击检测系统通过读取传感器采集的数据,提炼工控系统各个传感器正常运行的独立数据分布特征,独立数据分布特征包括均值点附近的概率分布类型和估计误差协方差,以及依托于工控系统内部物理关系抽象而成的变量之间的函数关系,并把提炼的特征规律存储到独立运行的嵌入式处理器中,记为系统健康数据模型;S3,工业控制系统的攻击检测方法包括两级;第一级,利用传感器...
【专利技术属性】
技术研发人员:隋天举,刘庆锋,张硕,孙希明,吴迪,
申请(专利权)人:大连理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。