基于通信模型的工业控制系统的入侵检测方法及系统的制作方法
【技术领域】
[0001] 本发明公开了一种基于通信模型的工业控制系统的入侵检测方法及系统,属于信 息安全领域。
【背景技术】
[0002] 工业控制系统广泛应用于电力、水利、污水处理、石油、天然气、化工、交通运输、制 药以及大型制造行业,是工业自动化和关键基础设施的重要组成部分。现代工业控制系统 通过在物理系统中深度嵌入计算智能、通信和自动控制能力,并借助新型传感器和执行器 实现对工业生产流程的自动控制。其核心组件包括数据采集与监控系统(SCADA)、分布式控 制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)、各种传感器 和执行器,以及确保各组件通信的接口组件。
[0003] 工业控制系统的首要任务是保障生产顺利进行,因此其设计和实现都是围绕 如何满足生产工艺的控制要求以及如何确保系统可用性展开的,而较少考虑信息安全 (Security)。这使得工业控制系统的通信协议、系统软硬件平台以及信息安全管理等方面 都存在很多薄弱环节。例如,很多系统存在缺乏安全架构与设计,不及时安装平台补丁程 序,使用设备默认配置,使用弱口令,使用不安全的工业控制通信协议,不使用杀毒软件等 现象。在信息安全保障方面,当今的工业控制系统比传统IT系统更加脆弱。
[0004] 随着信息化与工业化融合进程的推进,越来越多的工业控制系统与企业的其它网 络甚至与Internet相连,传统意义上较为封闭并普遍被认为安全的工业控制系统,逐步暴 露在网络攻击、蠕虫、木马、病毒等威胁之下。近年来针对工业控制系统的攻击行为频繁发 生。例如,1982年的西伯利亚管线爆炸事件,入侵者在输油管线的SCADA系统中植入木马并 进而控制了输油管线,造成相当于3千吨TNT的爆炸;1994年美国盐河项目事件,一名攻击 者通过拨号调制解调器越权访问该项目的计算机网络并安装了后门,之后与控制河流的关 键系统保持了至少5小时的会话,危及水流控制、电力监测和传输、经济以及客户信息等; 2010年震网病毒攻击伊朗纳坦兹核设施事件,攻击者编写的蠕虫病毒利用Windows系统漏 洞和西门子工业控制系统信息安全缺陷在PCS(过程控制系统)中大肆传播,该病毒通过不 断改变变频器频率,使得驱动离心机的驱动器不断在高速和低速之间切换,造成离心机大 量损毁。
[0005] -些企业已经使用某些安全防护手段保护其工业控制系统。例如,使用防火墙或 安全隔离网闸等设备将企业信息网与企业工业控制网络隔离,建立纵深安全防护体系,使 用加密技术保障传输数据的机密性,使用认证技术确保登录用户拥有合法身份,等等。一些 公知的IT领域安全防护方法和策略稍加修改就可以用于保护工业控制系统,例如工业控 制防火墙就是在IT防火墙上增加对工业控制流量的过滤和控制能力。而另一些则不能容 易地应用到工业控制领域。例如,IT系统会及时安装补丁程序以修补安全漏洞,而实际运 行的工业控制系统通常不会轻易安装补丁程序。一个原因是安装补丁程序需要事先周密计 划并停产,另一个原因是补丁程序可能影响原有的控制精度。再如,IT系统基本都会安装 杀毒软件,但工业控制系统一般不安装杀毒软件。杀毒软件的使用可能使控制设备或工控 机的某些功能失效或性能降低,影响系统可用性。由此可见,工业控制系统的固有特性使得 企业能够采取的安全防护措施受到诸多限制,不能完全阻断针对工业控制系统的入侵和攻 击行为。
[0006] 综上,一些公知的信息安全脆弱性在工业控制系统中根深蒂固,难以排除;针对工 业控制系统的内、外部攻击不能被完全阻断。因此,需要在工业控制系统中部署入侵检测系 统,及时发现入侵,及早报警,尽量避免入侵给工业生产带来危害。
[0007] 国内外已有一些关于工业控制系统入侵检测方法的研究。大多数的研究从工业控 制系统的IT系统组件入手检测入侵。例如,有研究者通过预处理插件的方法为Snort增加 了对基于串行通信的工业控制系统的拒绝服务、命令注入、响应注入和系统侦查4类入侵 的检测和预防处理能力。有研究者使用基于规则的方法为工业控制无线传感网设计了入侵 检测方法,该方法利用工业控制无线传感网具有规律性流量模式以及良定义的"请求-响 应"通信的特点设计了一系列检测规则,当被监视的工业控制无线传感网实体出现违反规 则的通信行为时发出告警。有研究者利用过程控制系统网络通信具有严格时间规律的特 点,收集工业控制系统中数据报节拍信息,当过程控制系统实际通信数据报时间节拍违反 原定节拍规律时产生报警。有研究者建立工业控制蜜罐系统,捕获各种入侵的特征并由此 生成入侵检测规则。此外,也有一些研究从被控物理系统入手检测入侵。例如,有研究者利 用工业控制系统输入决定输出的特性,依据控制工艺要求建立控制系统的近似数学模型, 由输入预测输出,之后比较实测输出信号与预测输出信号,利用陡变检测算法检测异常。
[0008] 入侵或攻击工业控制系统的基本目标之一是破坏工业生产,制造物理损失或危及 人员安全。通常的攻击过程是通过信息设备控制实际物理设备,进而破坏工业生产。相应 地,工业控制系统的入侵和攻击范围跨越信息设备、控制器和被控物理设备。现有从IT系 统组件入手检测工业控制系统入侵的方法沿用IT系统入侵检测思路,未能充分考虑工业 控制通信网络实时性、周期性的特点,也未能充分考虑工业控制设备之间的主从关系,不仅 误报率、漏报率高,而且影响原有控制系统的控制精度,甚至降低原有控制系统的可用性。 而现有从被监测物理系统入手检测工业控制系统入侵的方法需要建立控制系统近似数学 模型,但建立控制系统的近似数学模型本身就是艰难的工作,况且实际工业生产中很多控 制过程无法用数学模型表示,并且无法判断异常是由于攻击引起还是由物理噪声引起,缺 乏实用性。
【发明内容】
[0009] 本发明的目的在于克服上述已有技术的不足,提出一种不影响原有控制系统控制 可用性的基于通信模型的工业控制系统的入侵检测方法及系统,在保证实用性的同时,最 大限度地提高入侵检测的准确率,降低漏报率和误报率。
[0010] 本发明通过以下技术方案实现:
[0011] 一种基于通信模型的工业控制系统的入侵检测方法,包括建立工业控制系统通信 模型步骤和入侵检测步骤:首先建立工业控制系统通信模型和通信规则,所述的通信模型 包含节点信息和通信连接信息;工业控制系统通信模型建立之后,以通信模型为基础产生 合法通信规则集,在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习,建立通 信模型并生成通信规则集;然后在工业控制网络中部署探测器,捕获数据报,由数据报分析 并提取通信连接信息,与所述生成的合法通信规则集进行比对,若有违反该合法通信规则 集的通信连接则产生告警;若发现入侵,则调用系统响应模块采取相应的响应策略,若实际 检测有误,则进行分析并重新进行学习。
[0012] 其中建立系统通信模型采用以下方法:
[0013] 第一步,捕获数据报;实时从数据链路层捕获数据报;
[0014] 第二步,将实时捕获的数据报或由已有数据报文件取得的数据报,按照时间戳的 顺序存储到数据报队列中,然后进行协议分析;
[0015] 第三步,进行通信周期分析,分析两个节点之间每次通信连接的起始时间和结束 时间,获取通信周期;
[0016] 第四步,生成通信模型:根据通信周期分析结果、通信记录库条目和预定义的节点 描述文件生成通信模型,并将通信模型数据存入通信模型库;
[0017] 第五步,分析主从关系:实际工业控制系统中包含多个互不连通的子系统,则为每 个子系统分别建立通信模型,生成通信规则以及进行入侵检测,设通信模型库中存储的信 息为一个有向图,对该有向图进行遍历,获取所有主从关系域信息,为每个主从关系与生成 轮询顺序函数;
[0018] 第六步,生成通信规则:由通信模型库以及主从分析结果生成通信规则库。
[0019] 其中第一步中只捕获感兴趣的数据报。
[0020] 其中第一步中预先设定过滤规则,采用捕获前过滤的方式,过滤掉不符合规则的 数据报。
[0021] 其中第一步中捕获数据报时为数据报打时间戳,对加有时间戳的数据报进行实时 分析,或将加有时间戳的数据报存储为数据报文件。
[0022] 其中第二步根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、 负载二进制位串,对过滤后的协议进行通信连接分析,通信模型中也只建立协议过滤后的 通信连接关系,若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配,则判 别为未知协议数据报,此时只识别数据链路层地址,而将数据链路层的协议数据单元rou 直接作为负载二进制位串;对每个通信连接加上时间信息,协议分析之后的数据报信息包 含本次通信的开始时间和结束时间;对于面向连接的通信,结束时间大于开始时间;对于 非面向连接的通信,结束时间等于开始时间。
[0023] 其中第二步中协议分析将两个节点之间的每次通信的属性信息作为一条记录存 储到通信记录库中。
[0024] 第四步所述的预定义的节点描述文件依据工业控制系统设计文档或系统组态文