基于因素神经网络的油气管网scada安全防御方法
【专利摘要】本发明公开了一种基于因素神经网络的油气管网SCADA安全防御方法,其特征在于,系统由各类解析型因素神经元及其协作机制实现对具有分布式特征的SCADA系统的安全防御。包括:执行神经元、因素知识库神经元、统计神经元、追踪神经元、分析神经元、评价神经元、预警神经元、管理神经元、调度组装神经元。执行神经元部署在分布式SCADA系统三层网络架构中各级工控机、工程师站、操作员站上,捕捉和判断运行程序的行为因素(简称“因素”),通过与其内的因素知识库比较,判断该程序是否为恶意程序,并采取相应措施;再与其他神经元协同配合,完成对整个的SCADA系统的安全防御、威胁预警、及安全评估。
【专利说明】基于因素神经网络的油气管网SCADA安全防御方法
【技术领域】
[0001]本发明涉及一种基于因素神经网络的油气管网SCADA安全防御方法,用于针对大规模油气集输管网SCADA系统各级工控机、工程师站、操作员站等计算机进行安全防护,提高油气管网SCADA系统的安全防护等级。
【背景技术】
[0002]随着互联网时代的不断发展,计算机已经逐渐普及到我们生活的方方面面。对于工业系统,计算机已成为其重要的组成部分。计算机给工业系统带来了极大便利的同时,也带了巨大的安全隐患。2010年,伊朗核设施电脑系统遭Stuxnet (震网)病毒袭击,大约900台离心机停止运转。“震网”病毒是世界上首个针对工业控制系统编写的计算机病毒。因此,工业系统的安全开始引起了世界的高度关注。
[0003]在长期的计算机病毒入侵与反入侵之间激烈的博弈过程中,许多病毒防御技术应运而生,防火墙技术和入侵检测技术则属于其中的核心技术。但是他们都具有共同致命的缺点,存在严重的滞后性。这种被动防御带来的滞后性,往往使得上述防御技术对未知攻击的防御能力大打折扣。此外,针对于现有的油气集输管网SCADA系统,其改造过程是不允许生产停车的,所以防火墙等硬件安全隔离技术在工业系统中的改造应用也存在着一定的局限性。
【发明内容】
[0004]本发明正是为了克服现有技术缺点而产生的,其目的在于专门针对油气集输管网SCADA系统计算机安全,提供了一种基于因素神经网络的油气管网SCADA安全防御方法,对未知恶意攻击具有良好的防御能力,保障计算机的安全,进而实现对整个SCADA系统的安全防御,提高系统的安全防护等级。
[0005]为了实现上述发明目的,本发明采用的技术方案是:
[0006]基于因素神经网络的油气管网SCADA安全防御方法其特征在于,系统由各类解析型因素神经元(知识元)及其协作机制实现对具有分布式特征的SCADA系统进行安全防御,包括:执行神经元、因素知识库神经元、统计神经元、追踪神经元、分析神经元、评价神经元、预警神经元、管理神经元、调度组装神经元。以下将对每类神经元及神经元之间的关系进行阐述。
[0007]执行神经元:配置在SCADA系统各级工控机、工程师站、操作员站等计算机上,捕捉和判断运行程序的程序行为因素,通过与因素知识库比较,判断该程序是否为恶意程序;所述的因素知识库,包括根据单个计算机上的工控软件配置信息进行组装的合法因素知识库和恶意因素知识库,属于因素知识库神经元所存储信息的一部分。
[0008]上述执行神经元通过钩子技术挂钩程序系统API函数,来获得恶意因素,主要有三种途径:a、截取系统服务分配表;b、截取可移植的执行体;c、截取系统服务的软件终端。
[0009]前文所述的执行神经元,部署在分布式SCADA系统三层网络架构中各级工控机、工程师站、操作员站等计算机上。所述分布式SCADA系统三层网络架构包括:现场层、监控层、调度层;执行神经元Cn、C12...Clk...Cfflk部署在现场层,执行神经元B2...B」部署在监控层,执行神经元A部署在调度层;其中,Cn、C12...Clk...Cmk e 且&、B2...Bj e Ai, (i, j, k, m = 1,2,3...)。
[0010]因素知识库神经元:用于储存程序因素的规则库,包括合法因素知识库和恶意因素知识库,其知识的获取来自预置方式和系统运行过程中判定为合法的因素;所述合法因素知识库,即由油气集输管网SCADA系统所有主机上,经执行神经元判断为合法的程序因素组成的知识库;所述的恶意因素知识库,即由恶意因素组成的攻击识别知识库。
[0011 ] 统计神经元:对整个SCADA系统中的计算机遭受的攻击信息和主机配置信息进行统计;所述主机配置信息,包括:系统主机部署情况和主机上工控软件等已知程序的统计信息。
[0012]追踪神经元:接收统计神经元的信息,对攻击信息进行分析,查找攻击来源,并接收外来的攻击破案信息;所述攻击信息包括:被攻击主机的详细位置、攻击类型、攻击来源。
[0013]分析神经元:接收来自统计神经元的攻击统计信息和配置信息,分析判断出整个系统的可能遭受攻击的敏感区域。
[0014]预警神经元:接收分析神经元和追踪神经元的信息,包括系统遭受攻击的情况以及攻击来源是否侦破,进而进行攻击威胁预警。
[0015]评价神经元:接收分析神经元和追踪神经元的信息,包括系统遭受攻击的情况以及攻击来源是否侦破,进而对SCADA系统安全进行评价。
[0016]管理神经元:接收因素知识库神经元发送的知识更新信息和统计神经元发送的计算机配置信息,同时接收来自外部发送来的新加入计算机的信息,实现神经元的注册、注销和神经元的发现等服务;为同类执行神经元以及SCADA系统新加入的计算机配置神经元并部署装备任务,并交调度组装神经元执行;所述新加入计算机的信息,包括计算机的位置部署信息、软件配置信息。
[0017]调度组装神经元:接收管理神经元任务信息,从因素知识库神经元获取更新知识,负责对新老神经元进行组装或知识更新配置,并将新组装的执行神经元部署到新加入SCADA系统的计算机上。
[0018]进一步的,前文所述程序因素包括:进程线程创建因素;文件操作因素;注册表操作因素;网络操作因素;用户账号操作因素;拦截系统API调用因素。
[0019]相对于现有技术,本发明的基于因素神经网络的油气管网SCADA安全防御方法,具有以下有益的技术效果:
[0020]本发明的有益效果是,专门针对油气集输管网SCADA系统的防御,既可以实现对油气集输管网SCADA系统各级工控机的安全防御,有较强的针对性;又能实现对运行在主机上的未知恶意程序进行主动防御,防止主机遭到恶意程序的入侵、攻击和破坏;同时,通过统计、分析、追踪、等审计手段能够进一步掌握整个SCADA系统威胁所在,提高整个系统的安全防护等级。
【专利附图】
【附图说明】[0021]图1为本发明的基于因素神经网络的油气管网SCADA安全防御方法的总体结构方框图。
[0022]图2为本发明的基于因素神经网络的油气管网SCADA安全防御方法的神经元管理调度部分工作示意图。
[0023]图3为本发明的基于因素神经网络的油气管网SCADA安全防御方法的系统安全评价与预警部分工作示意图。
[0024]图4为本发明的基于因素神经网络的油气管网SCADA安全防御方法的执行神经元判断程序是否为未知攻击程序的流程图。
【具体实施方式】
[0025]本发明实施例提供了一种基于因素神经网络的油气管网SCADA安全防御方法,专门针对大规模油气集输管网SCADA系统的主机进行主动、有效、系统级的安全防御。
[0026]为了更加清晰明了地呈现本发明的意图、技术方案、及技术优势,根据以下附图参照,将进一步举例详细阐述本发明。
[0027]结合基于因素神经网络的油气管网SCADA安全防御方法的总体结构方框图,如图1所示,包括:执行神经元、因素知识库神经元、统计神经元、追踪神经元、分析神经元、评价神经元、预警神经元、管理神经元、调度组装神经元;系统由上述各类解析型因素神经元(知识元)及其协作机制实现对具有分布式特征的SCADA系统进行安全防御。
[0028]执行神经元部署在分布式SCADA系统三层网络架构中各级工控机、工程师站、操作员站等计算机上,其中执行神经元cn、C12...Clk...Cfflk部署在现场层,执行神经元B1、B2...Bj部署在监控层,执行神经元A部署在调度层;其中,Cn、C12...Clk...Cmke Bj,且BpB2...BjeAi, (i, j, k,m = 1,2,3...)。执行神经元捕捉和判断运行程序的程序行为因素,通过与因素知识库比较,判断该程序是否为恶意程序,并执行相应的制止措施。
[0029]执行神经元将判断信息送至统计神经元和追踪神经元。统计神经元将对SCADA系统中的计算机遭受的攻击信息进行统计,以及搜集主机的相关配置信息。统计神经元将把配置信息发送至管理神经元和分析神经元,并将攻击信息发送至追踪神经元。
[0030]追踪神经元接收来自统计神经元的信息,对攻击目标点、攻击来源等进行追踪。并将这些信息分别发送至评价神经元以及预警神经元。
[0031]分析神经元接收来自统计神经元的攻击统计信息和配置信息,判断出整个系统的可能遭受攻击的敏感区域,并将分析结果分别发送至评价神经元以及预警神经元。
[0032]评价神经元接收来自追踪神经元和分析神经元的信息,根据攻击问题是否清除以及可能遭受攻击的敏感区域数量,进而对整个系统安全进行评价打分。
[0033]预警神经元接收来自追踪神经元和分析神经元的信息,根据遭受的攻击信息以及易受攻击的敏感区域信息,进而进行相应的威胁预警。
[0034]管理神经元接收因素知识库神经元发送的知识更新信息和统计神经元发送的计算机配置信息,同时接收来自外部发送来的新加入计算机的信息,实现神经元的注册、注销和神经元的发现等服务;为同类执行神经元以及SCADA系统新加入的计算机配置神经元并部署装备任务,并交调度组装神经元执行。
[0035]调度组装神经元接收管理神经元任务信息,从因素知识库神经元获取更新的知识,负责对新老神经元进行组装或知识更新配置,并将新组装的执行神经元部署到新加入SCADA系统的计算机上。
[0036]因素知识库神经元知识的获取来自预置方式和系统运行过程中执行神经元判定为合法的因素。
[0037]为了使本发明的实现方法更加清晰,现对本发明的基于因素神经网络的油气管网SCADA安全防御方法进行详细的说明。
[0038]结合图2基于因素神经网络的油气管网SCADA安全防御方法的神经元管理调度部分工作示意图所示,进一步阐述神经元管理调度部分的神经元之间的协作。
[0039]各级执行神经元对程序运行过程中捕捉到的行为因素进行判断,如果有判断为合法的程序行为因素,则发送给因素知识库神经元,同时将主机配置信息和遭受的攻击信息发送给统计神经元;统计神经元将攻击信息和主机信息统计后发送给管理神经元。
[0040]管理神经元接收到来自统计神经元的攻击信息和主机配置信息,如果同时接收到来自因素知识库神经元的知识库更新信息,则向调度组装神经元发送对同类执行神经元的知识库更新的调度信息;反之如果只接收到来自统计神经元发送的信息,但是没有接收到来自因素知识库神经元的知识库更新提示信息,则不向调度组装神经元发送调度信息;如果接收到来自外部发送来的新加入计算机的信息,则直接向调度组装神经元发出指令,让调度组装神经元组装一个新的执行神经元并部署到新加入的计算机上。
[0041]当调度组装神经元接收到来自管理神经元对指定执行神经元知识库更新的指令后,则向因素知识库神经元发送知识获取指令,因素神经元收到请求指令后,调取相应的因素知识库知识,并发送给调度组装神经元,最后由调度组装神经元调度至相应的执行神经元;如果调度组装神经元是接收到来自管理神经元组装新的神经元的指令,则调度组装神经元还需要进行对新执行神经元的组装并从因素知识库神经元获取相应的知识,然后再调度部署到新加入的计算机上。
[0042]如图3本发明的基于因素神经网络的油气管网SCADA安全防御方法的系统安全评价与预警部分工作示意图所示,各级执行神经元对程序运行过程中捕捉到的行为因素进行判断,如果有判断为合法的程序行为因素,则发送给因素知识库神经元,同时将主机配置信息和遭受的攻击信息发送给统计神经元;统计神经元将攻击信息和主机信息统计后发送给分析神经元,同时还将统计后的攻击信息发送给追踪神经元。
[0043]追踪神经元接收来自统计神经元的信息后,对攻击信息进行分析,查找攻击来源,并接收外来的攻击破案信息,最后将上述信息汇总后分别发送给评价神经元和预警神经元;分析神经元同样接收来到来自统计神经元的信息,分析判断出整个系统的可能遭受攻击的敏感区域,并将分析结果分别发送给评价神经元和预警神经元;
[0044]评价神经元接收分析神经元发送的易受攻击的敏感区域信息,以及追踪神经元发送的系统遭受的攻击情况和攻击破案情况,然后对整个系统的安全态势作出评估;预警神经元同样接收分析神经元发送的易受攻击的敏感区域信息,以及追踪神经元发送的系统遭受的攻击情况和攻击破案情况,然后作出安全预警,发出安全预警信息。
[0045]结合图4的基于因素神经网络的油气管网SCADA安全防御方法的执行神经元判断程序是否为未知攻击程序的流程图。
[0046]步骤一:程序开始运行;[0047]步骤二:通过钩子技术,挂钩系统API函数,监控并捕获程序因素;
[0048]步骤三:对程序因素进行分析,与合法因素知识库进行比较,判断该程序程序行为是否为合法行为;如果判断结果为该程序行为是合法行为,则放行,继续执行程序,并转入步骤二;反之,则转入步骤四;
[0049]步骤四:与恶意因素知识库进行比较,如果判断结果为该程序行为不是恶意行为,则放行,继续执行程序,并将该行为记录到合法因素知识库,标记为该程序的合法行为,然后跳转回步骤二 ;如果判断结果为该程序行为是恶意行为,则转入步骤五;
[0050]步骤五:调用系统API函数,截断该恶意行为,并结束程序当前进程,然后转入步骤六;
[0051]步骤六:根据程序执行的恶意行为,显示攻击信息。
[0052]通过以上实施例的流程描述,能够及时阻止未知攻击,保障油气集输管网SCADA系统生产运行过程中的安全性,并且可以及时了解攻击信息,以便之后进行案例追踪。
[0053]上述说明内容,目的在于阐述本发明的技术思想和技术特点,但本发明的保护范围并不局限于上述说明书上的内容。本领域相关技术人员完全可以在不偏离本发明技术思路范围内,进行实质等效的变更或修饰,但都应属于本发明的保护范围之内。
【权利要求】
1.基于因素神经网络的油气管网SCADA安全防御方法其特征在于,系统由各类解析型因素神经元(知识元)及其协作机制实现对具有分布式特征的SCADA系统的安全防御,包括如下部分: 执行神经元:配置在SCADA系统各级工控机、工程师站、操作员站等各级上下位机上。用于捕捉和判断运行程序的程序行为因素(以下简称“因素”),通过与执行神经元内部的因素知识库比较,判断该程序是否为恶意程序并采取相应措施; 因素知识库神经元:用于储存程序因素的规则库,包括合法因素知识库和恶意因素知识库;其知识的获取来自预置方式和系统运行过程中判定为合法程序的因素;所述合法因素知识库,即由油气管网SCADA系统所有主机上经执行神经元判断为合法的程序因素组成的知识库;所述的恶意因素知识库,即由恶意因素组成的攻击识别知识库; 统计神经元:对整个SCADA系统中的计算机遭受的攻击信息和主机配置信息进行统计;所述攻击信息包括:被攻击主机的详细位置、攻击类型、攻击来源; 分析神经元:接收来自统计神经元的攻击统计信息和配置信息,分析判断出整个系统的可能遭受攻击的敏感区域;所述主机配置信息,包括:系统主机部署情况和主机上工控软件等已知程序的统计信息; 追踪神经元:接收统计神经元的信息,对攻击信息进行分析,查找攻击来源,并接收外来的攻击破案信息; 预警神经元:接收分析神经元和追踪神经元的信息,包括系统遭受攻击的情况以及攻击来源是否侦破,进而进行攻击威胁预警; 评价神经元:接收分析神经元和追踪神经元的信息,包括系统遭受攻击的情况以及攻击来源是否侦破,进而对SCADA系统安全态势进行评价; 管理神经元:接收因素知识库神经元发送的知识更新信息和统计神经元发送的计算机配置信息,同时接收来自外部发送来的新加入计算机的信息,实现神经元的注册、注销和神经元的发现等服务;为同类执行神经元以及SCADA系统新加入的计算机配置神经元并部署装备任务,并交调度组装神经元执行;所述新加入计算机的信息,包括计算机的位置部署信息、软件配置信息; 调度组装神经元:接收管理神经元任务信息,从因素知识库神经元获取更新知识,负责对新老神经元进行组装或知识更新配置,并将新组装的执行神经元部署到新加入SCADA系统的计算机上。
2.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法,其特征在于,所述的因素知识库,包括根据单个计算机上的工控软件配置信息进行组装的合法因素知识库和恶意因素知识库,属于因素知识库神经元所存储信息的一部分。
3.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法,其特征在于,执行神经元通过钩子技术挂钩程序系统API函数,来获得程序因素,主要有三种途径:a、截取系统服务分配表;b、截取可移植的执行体;c、截取系统服务的软件终端。
4.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法,其特征在于,所述执行神经元,部署在分布式SCADA系统三层网络架构中各级工控机、工程师站、操作员站等;所述分布式SCADA系统三层网络架构包括:现场层、监控层、调度层;执行神经元Cn、C12...Clk...Cmk部署在现场层,执行神经元BpB2...Bj部署在监控层,执行神经元A部署在调度层;其中,Cn、Ci2...Cik e Bi,且 V B2-Jj e Ai, (i,j,m,k = 1,2,3...)。
5.根据权利要求1、2、4所述基于因素神经网络的油气管网SCADA安全防御方法,其特征在于,所述程序因素包括:进程线程创建因素;文件操作因素;注册表操作因素;网络操作因素;用户账号操作因素;拦截系统API调用因素。
6.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法,所述管理神经元,其特征在于,接收来自统计神经元的攻击信息和主机配置信息,如果同时接收到来自因素知识库神经元的知识库更新信息,则向调度组装神经元发送对同类执行神经元的知识库更新的调度信息;反之如果只接收到来自统计神经元发送的信息,但是没有接收到来自因素知识库神经元的知识库更新信息,则不向调度组装神经元发送调度信息;如果接收到来自外部发送来的新加入计算机的信息,则直接向调度组装神经元发出指令,让调度组装神经元组装一个新的执行神经元并部署到新加入的计算机上。
7.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法,所述调度组装神经元,其特征在于,当接收到来自管理神经元对指定执行神经元知识库更新的指令后,则向因素知识库神经元发送知识获取指令,因素库知识神经元接收到指令后调取因素知识库知识,并发送给它,最后调度至相应的执行神经元;如果是接收到来自管理神经元组装新的神经元的指令,则调度组装神经元还需要进行对新执行神经元的组装并从因素知识库神经元获取相应的知识,然后再调度部署到新加入的计算机上。
【文档编号】G06F21/56GK104021345SQ201410234661
【公开日】2014年9月3日 申请日期:2014年5月30日 优先权日:2014年5月30日
【发明者】曹谢东, 梁鹏, 杨力, 李 杰, 秦勇, 张伟伟, 胡启超 申请人:西南石油大学