一种scada系统的非接触式入侵检测系统的制作方法
【技术领域】
[0001]本实用新型涉及一种SCADA系统的非接触式入侵检测系统,属于工业控制系统安全和入侵检测技术领域。
【背景技术】
[0002]SCADA (Supervisory Control And Data Acquisit1n)系统,即数据米集与监视控制系统,是以计算机为基础的DCS与电力自动化监控系统;在电力系统中,其可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能。它应用领域很广,应用于电力、冶金、石油、化工、燃气、铁路等领域。SCADA系统中的安全问题是工业控制系统安全的核心问题。
[0003]Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集(SCADA)系统进行攻击,由于该系统在我国的多个重要行业应用广泛,被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。虽然现在有针对Stuxnet病毒的专杀工具,西门子也更新了漏洞防范了该病毒的发生,但是当前专杀软件无法检测未来新型的工业控制系统病毒。
[0004]现有典型的入侵检测系统,如基于规则的Snort检测,该检测系统的活动可以根据一定规律来审计各种相关的记录,根据往常的正常记录的基本情况进行比较和判断,由规则集管理引擎处理或与历史纪录比较分析,来实现入侵检测系统的检测结果。与此同时该入侵检测系统可以根据实际情况,修改规划设计或更新活动档案。Snort入侵检测系统是一个通用系统,但需要过滤SCADA的数据包,完成数据包的捕获和保存;基于特征码的主机病毒检测,该方法能够有效提取出病毒特征码,且有着极低的误报率,但需要监控控制系统软件的实时运行,以上两种检测方法均影响系统的实时性。
[0005]本实用新型专利,提出一种SCADA系统的非接触式入侵检测系统,其通过在SCADA控制室架设摄像器,实时读取数据,通过图像识别转换成所需SCADA控件对象和数据,根据数据关系生成数据特征值,查询其是否在预先生成好的数据关系图库中,若不存在,就表明当前时刻SCADA系统发生了恶意数据攻击行为,根据当前数据关系可以定位到攻击发生在哪个监控设备上。本实用新型不影响SCADA系统的实时运行,而且能快速发现恶意数据攻击发生的时刻,并且能定位到攻击源。
【发明内容】
[0006]本实用新型提供一种SCADA系统非接触式入侵检测系统,视频数据采集单元,数据转换单元和入侵检测单元。
[0007]实用新型为克服现有入侵检测系统技术影响工业控制系统实时性的不足,采取以下技术方案实现:
[0008]一种SCADA系统的非接触式入侵检测系统,其特征在于包括SCADA监控数据的视频数据采集单元,数据转换单元和入侵检测单元。
[0009]逻辑信号的传递途径从视频数据采集单元到数据转换单元,最后到入侵检测单元,视频数据采集单元对SCADA实时监控数据进行采集,采集后的数据传输到数据转换单元,数据转换单元负责识别视频数据采集单元中的控件和数据,识别后的数据传输到入侵检测单元,入侵检测单元能够检测SCADA系统中某个时刻发生的攻击和并且能够定位到攻击源。
[0010]视频数据采集单元,能够通过固定在SCADA监控系统外的视频设备,非接触获取监控系统控制台视频,并且通过有线或无线方式传递给数据转换单元;数据转换单元,能够识别视频中SCADA监控系统中UI控件和控件中的数据,并且能够生成数据关系的特征值。
[0011]本实用新型的一种SCADA系统非接触式入侵检测系统,与现有入侵检测系统技术相比的优点:
[0012](1)不需要过滤SCADA系统中数据包,与不需要监控SCADA应用软件,与SCADA系统非接触,不影响工业控制系统实时性;
[0013](2)可以发现恶意数据攻击的时刻,与可以推论到可能存在的发生的攻击的设备;
[0014](3)当攻击数据在有效或正常范围内的情况下,但是其相关设备存在不正常状态时候,也能有效检测出恶意攻击行为;
[0015](4)可以检测出未知工业控制系统病毒攻击。
【附图说明】
[0016]图1为本实用新型一种SCADA系统的非接触式入侵检测系统的功能图;
[0017]图2为本实用新型一种SCADA系统的非接触式入侵检测系统的数据转换单元;
[0018]图3为本实用新型一种SCADA系统的非接触式入侵检测系统的入侵检测单位。
【具体实施方式】
[0019]通过下面给出的本实用新型的附图和具体实施例可以进一步了解本实用新型,但它们不是对本实用新型的限定。对于本领域的技术人员根据上述【实用新型内容】所作的一些非本质的改进与调整,也视为落在本实用新型的保护范围内。
[0020]如图1所示,一种SCADA系统的非接触式入侵检测系统的功能图,视频数据采集单元,数据转换单元和入侵检测单元。
[0021]SCADA监控数据的视频数据采集单元,如图1所示,根据SCADA控制室现场条件,设置室内视频监视设备,摄像机可选用固定角度及云台式视野可控型,另外室内摄像机具备良好的微光/夜视条件下摄像功能,可保障在SCADA控制室特殊工况条件下的安全运行。视频数据经过无线或有线的方式传输到路由器,然后视频数据传送到数据转换单元。
[0022]数据转换单元,如图2所示,其处理步骤如下:
[0023](1)图像预处理处理
[0024]包括A\D,二值化,图像的平滑,变换,增强,恢复,滤波等,主要是图像处理;
[0025](2)特征抽取
[0026]在模式识别中,进行视频中特征的抽取;
[0027](3)类型判断
[0028]在视频中判断哪些属于控件,哪些属于控件中的数据;
[0029](4)识别SCADA系统中UI控件
[0030]针对被监控的SCADA系统库,先建立好控件库,在图像识别过程中,通过特征匹配,可以快速发现UI人机接口中的控件;
[0031 ] (5)识别SCADA系统中UI控件的数据
[0032]针对特定控件,预先设定好控件的取值范围与控件数据的表现形式,如控制开关数据、数字状态数据,刻度数据;
[0033](5)数据整合
[0034]把控件的类型与当前数据合并成一个数据集,组成某个时刻,某个控件的实时数据;
[0035](6)计算数据关系
[0036]这些整合的数据,通过计算数据之间的相互关系,生成动态的状态特征值;
[0037](7)入侵检测系统数据
[0038]入侵检测系统数据包括当前所有数据在当前时刻的变化的特征值与前一时刻数据的特征值。这些数据特征描述了 SCADA系统所有数据之间的横向关系与前一时刻的纵向关系Ο
[0039]入侵检测单元,如图3所示,其处理步骤如下:
[0040]入侵检测单元,如图3所示,其处理步骤如下:
[0041](1)查询白名单
[0042]入侵检测单元运行的前提是要在正常情况下,通过长时间的训练,建立SCADA系统的数据关系图,并且保存在数据库中。查询白名单是检测实时生成的入侵检测单元数据是否在该数据库中;
[0043](2)节点判断
[0044]数据关系图中包含图中节点,查询第一个步骤就是比较特征数据是否与图中节点匹配,如果不匹配就转保存当前时刻的数据,节点判断属于数据关系的横向比较;
[0045](3)边判断
[0046]数据关系图中包含图中边,查询第二个步骤就是比较特征数据是否与图中节点匹配,如果不匹配就转保存当前时刻的数据,边的判断属于数据关系的纵向比较;
[0047](4)数据保存
[0048]在节点判断或边判断中如果存在不匹配的情况,把这和一时刻的实时数据保存恶意数据库中,并且另外保存其前一时刻的数据,以方便比较;
[0049](5)声音报警
[0050]在入侵检测单元中设置声音报警功能,当发现某个时刻有恶意数据攻击时,启动声音报警;
[0051](5)警灯闪烁
[0052]在入侵检测系统中,用警示灯显示哪个控件发生了入侵行为。
【主权项】
1.一种SCADA系统的非接触式入侵检测系统,其特征在于包括SCADA监控数据的视频数据采集单元,数据转换单元和入侵检测单元; 逻辑信号的传递途径从视频数据采集单元到数据转换单元,最后到入侵检测单元,视频数据采集单元对SCADA实时监控数据进行采集,采集后的数据传输到数据转换单元,数据转换单元负责识别视频数据采集单元中的控件和数据,识别后的数据传输到入侵检测单元,入侵检测单元能够检测SCADA系统中某个时刻发生的攻击和并且能够定位到攻击源;视频数据采集单元,能够通过固定在SCADA监控系统外的视频设备,非接触获取监控系统控制台视频,并且通过有线或无线方式传递给数据转换单元; 数据转换单元,能够识别视频中SCADA监控系统中UI控件和控件中的数据,并且能够生成数据关系的特征值。
【专利摘要】本实用新型公开了一种SCADA系统的非接触式入侵检测系统,它属于工业控制系统安全和入侵检测技术领域。包括SCADA监控数据的视频数据采集单元,数据转换单元和入侵检测单元。其不需要过滤SCADA系统中数据包,与不需要监控SCADA应用软件,与SCADA系统非接触,不影响工业控制系统实时性;可以发现恶意数据攻击的时刻,与可以推论到可能存在的发生的攻击的设备;当攻击数据在有效或正常范围内的情况下,但是其相关设备存在不正常状态时候,也能有效检测出恶意攻击行为;可以检测出未知工业控制系统病毒攻击。
【IPC分类】H04N7/18, G05B19/048
【公开号】CN205028123
【申请号】CN201520405607
【发明人】王勇, 刘蔚, 胡宗帅
【申请人】上海云物信息技术有限公司
【公开日】2016年2月10日
【申请日】2015年6月14日