本发明涉及工控网络安全领域,特别是指一种直流电机控制系统的入侵防御系统。
背景技术
近年来,针对工控网络设备的入侵攻击愈加频繁,特别是工控网络环境下的直流电机控制系统。工业控制系统涉及应用层、主机层物理层、网络层等信息物理系统安全问题。在工业控制系统中,大多数工控软件安装在通用操作系统上,基于系统运行稳定性需求,一般系统运行后不会对操作系统进行补丁优化;此外,通常工业控制网络都属于专用内部网络,不与互联网相连,更新病毒数据库能力和杀毒软件对未知病毒和恶意代码检测能力低。常用的操作系统都存在已知和潜在的漏洞,并且传统防御技术及方式存在滞后性,这给工控网络入侵攻击如病毒、恶意代码等的传染与扩散提供了可能性。
常规的网络产品或者由于自身存在的缺陷与不足,不能满足工业网络较高的防护要求,同时针对电机数据的监控和加解密防护较少,在电机至监控端数据传输很少采取专门防护措施。
技术实现要素:
本发明要解决的技术问题是提供一种直流电机控制系统的入侵防御系统,以解决现有技术所存在的网络产品不能满足工业网络以及针对电机安全传输的较高防护要求的问题。
为解决上述技术问题,本发明实施例提供一种直流电机控制系统的入侵防御系统,包括:
采集单元,用于采集直流电机控制系统中电机运行数据,并将其发送至入侵检测单元;
入侵检测单元,用于对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元,还用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息,其中,所述网络通信数据包括:控制指令;
监控单元,用于接收加密后的电机运行数据并对其进行解密,还用于下发控制指令至直流电机控制系统。
进一步地,所述电机运行数据包括:电机运行电流;
所述电机运行电流包括:电枢电流与激磁电流。
进一步地,所述入侵检测单元包括:芯片级加密模块和入侵检测模块;
所述芯片级加密模块,用于采用硬件加密算法,对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元;
所述入侵检测模块,用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息。
进一步地,所述加密算法包括:hitag2加密算法、des/3des加密算法、aes加密算法、sms4加密算法中的一种。
进一步地,所述入侵检测模块,用于通过预先建立的网络特征检测规则库、实时更新生成的控制指令规则检测链表以及预先建立的空间状态分类器,对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息。
进一步地,所述入侵检测模块包括:网络特征检测子模块;
所述网络特征检测子模块、用于提取接收的所述网络通信数据的网络特征,获取所述网络特征的hash值,查询预先建立的网络特征检测规则库,若所述网络特征的hash值没有包含在所述预先建立的网络特征检测规则库中,则发出报警信息,其中,所述网络特征检测规则库包括:网络通信数据的网络特征的hash值;所述网络特征包括:协议类型、源ip地址、目的ip地址、源端口、目的端口。
进一步地,所述入侵检测模块包括:控制指令检测子模块;
所述控制指令检测子模块,用于获取所述直流电机控制系统当前的电机运行数据,依据获取的所述直流电机控制系统当前的电机运行数据,利用多维链表结构,结合预设的电机调速控制模型规则库,实时更新生成控制指令检测规则链表;若捕获的所述网络通信数据为控制指令,则检测所述控制指令是否违反所述控制指令检测规则链表中规则,若违反,则发出报警信息;
其中,在检测所述控制指令是否违反所述控制指令检测规则链表中规则时,根据所述控制指令的长度,将其划分到某子模式串集合中,其中,子模式串集合包括:单字符集合、双字符集合以及多字符集合;
单字符集合或双字符集合的匹配过程为直接将所述控制指令检测规则链表中的子模式字符/串与捕获的控制指令字符串右对齐并进行逐个字符的比较,字符比较的顺序为从左向右,如果匹配成功,则触发子模式字符/串对应的规则响应并调用跳转函数进行下一字符字符/串的比较;如果匹配不成功,则匹配窗口从右向左移动一个字符的距离,匹配时直接通过比较字符/串散列值实现;
多字符集合情况下,以最小子模式串长度为准,记为l,将所述控制指令检测规则链表中的最小子模式串与捕获的控制指令字符串的最右端对齐,从子模式串的根节点开始,按照从左向右的顺序逐个字符进行比较,如果匹配成功,则触发子模式串对应的规则响应并调用跳转函数进行下一字符串的比较;如果失配,将子模式串的匹配窗口向左移动l+1个字符,从最小子模式串的根节点开始,从左向右进行匹配,以此类推;当发生失配时,若已有一部分已经匹配成功,则在子模式串中寻找与之相同的字符串,如果存在,则移动模式串的匹配窗口,使子模式串与控制指令字符串中已匹配的字符串对齐,从模式串根节点开始重新匹配。
进一步地,所述入侵检测模块包括:空间状态检测子模块;
所述空间状态检测子模块,用于利用直流电机控制系统正常状态下运行数据,生成训练样本,根据主元分析法对所述训练样本进行降维处理,利用单类支持向量机对降维后的训练样本进行训练生成所述空间状态分类器;对没有违反所述控制指令检测规则链表中规则的网络通信数据进行主元分析降维后,利用预设的空间状态分类器检测所述网络通信数据为正常数据,若不是正常数据,则发出报警信息。
进一步地,所述监控单元包括:解密模块、监控模块和数据库;
所述解密模块,用于接收加密后的电机运行数据并对其进行解密;
所述监控模块,用于显示解密后的电机运行数据,并将解密得到的电机运行数据与预先录入数据库的安全状态数据进行比对,若解密得到的电机运行数据存在异常,则进行预告警,待操作员将预告警数据处理后,根据处理结果,更新所述数据库中的安全状态数据,还用于下发控制指令至直流电机控制系统。
进一步地,所述解密模块,是与加密模块成对定制的解密模块,由所述监控模块进行调用,用于对加密模块加密的电机运行数据进行解密后提交给所述监控模块。
本发明的上述技术方案的有益效果如下:
上述方案中,搭建了从设备层到传输层再到监控层的多层次防御系统,并针对每一层设定相应的安全防御机制,从而保证直流电机控制系统的安全稳定运行,具体的:通过采集单元采集直流电机控制系统中电机运行数据,并将其发送至入侵检测单元;通过入侵检测单元对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元,防止传输过程中设备层信息被快速破解,还用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息,这样,通过在监控单元与设备之间搭载入侵检测单元,能够有效预防工业总线通信中网络通信数据被监听及恶意篡改;通过监控单元接收加密后的电机运行数据并对其进行解密,还用于下发控制指令至直流电机控制系统用以改变电机的运行状态,从而形成一条完整的电机运行数据和网络通信数据的安全传输链路,能够最大限度地保障电机运行数据和网络通信数据在传输过程中的安全性,降低工控系统风险,增强了工控系统安全性和实时性。
附图说明
图1为本发明实施例提供的直流电机控制系统的入侵防御系统的流程示意图;
图2为本发明实施例提供的采集单元的结构示意图;
图3为本发明实施例提供的芯片级加解密模块的结构示意图;
图4为本发明实施例提供的直流电机控制系统的入侵防御系统的硬件平台架构示意图;
图5为本发明实施例提供的电机调速控制模型检测原理示意图;
图6为本发明实施例提供的控制指令检测流程示意图;
图7为本发明实施例提供的vector类入侵检测原理示意图;
图8为本发明实施例提供的多模式匹配流程示意图;
图9为本发明实施例提供的控制指令检测子模块的工作流程示意图;
图10为本发明实施例提供的空间状态检测子模块的工作流程示意图;
图11为本发明实施例提供的监控单元工作流程示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的网络产品不能满足工业网络以及针对电机安全传输的较高防护要求的问题,提供一种直流电机控制系统的入侵防御系统。
如图1所示,本发明实施例提供的直流电机控制系统的入侵防御系统,包括:
采集单元11,用于采集直流电机控制系统中电机运行数据,并将其发送至入侵检测单元11;
入侵检测单元12,用于对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元13,还用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息,其中,所述网络通信数据包括:控制指令;
监控单元13,用于接收加密后的电机运行数据并对其进行解密,还用于下发控制指令至直流电机控制系统。
本发明实施例所述的直流电机控制系统的入侵防御系统,搭建了从设备层到传输层再到监控层的多层次防御系统,并针对每一层设定相应的安全防御机制,从而保证直流电机控制系统的安全稳定运行,具体的:通过采集单元采集直流电机控制系统中电机运行数据,并将其发送至入侵检测单元;通过入侵检测单元对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元,防止传输过程中设备层信息被快速破解,还用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息,这样,通过在监控单元与设备之间搭载入侵检测单元,能够有效预防工业总线通信中网络通信数据被监听及恶意篡改;通过监控单元接收加密后的电机运行数据并对其进行解密,还用于下发控制指令至直流电机控制系统用以改变电机的运行状态,从而形成一条完整的电机运行数据和网络通信数据的安全传输链路,能够最大限度地保障电机运行数据和网络通信数据在传输过程中的安全性,降低工控系统风险,增强了工控系统安全性和实时性。
本实施例所述的直流电机控制系统的入侵防御系统,分为如下两个部分:
1)通过采集单元采集并处理电机运行数据,例如,电机运行电流,并将其传输给入侵检测单元,其中,所述电机运行电流包括:电枢电流与激磁电流。
如图2所示,所述采集单元可以包括:传感器模块、主控芯片、电源部分、晶振电路、jtag调试端口。
本实施例中,所述传感器模块可以采用电流霍尔传感器采样,型号为lta50p/spi1:1000,可检测任意波形的电流,频带宽、精度高、线性度化抗干扰能为强,完全满足电流采样要求,通过该模块来采集所需的电机运行电流数据。
本实施例中,主控芯片可以是stm32f107,主控芯片stm32f107用于对输入的电机运行数据进行处理,处理之前为了电平的匹配和隔离需要先将采集的电机运行数据通过运算放大器,利用其电压跟随器进行电平匹配和隔离,避免外界干扰。电源部分用于为整个系的工作提供能源。晶振电路提供采集单元最基本的时钟信号,协调本单元的执行顺序。jtag为采集单元提供程序下载的通道和在线调试的便利。
本实施例中,所述主控芯片stm32f107还包括:计数器,在主控芯片stm32f107的编码器模式下,主控芯片stm32f107的两个输入ti1和ti2被用来作为编码器的接口。当计数器已经启动(tim1_cr1寄存器中cen=1),则ti1fp1或ti2fp2上的有效跳变作为计数器的时钟信号。ti1fp1和ti2fp2是ti1和ti2在通过输入滤波器和极性控制后的信号;如果没有滤波和变相,则ti1fp1=ti1,ti2fp2=ti2。根据两个输入信号的跳变顺序,产生了计数脉冲和方向信号。依据两个输入信号的跳变顺序,计数器向上或向下计数,因此tim1_cr1寄存器的dir位由硬件进行相应的设置。不管计数器是对ti1计数、对ti2计数或者同时对ti1和ti2计数。在任一输入(ti1或者ti2)跳变时都会重新计算方向(dir)位。编码器接口模式基本上相当于使用了一个带有方向选择的外部时钟。这意味着计数器只在0到tim1_arr寄存器中自动装载值之间连续计数(根据方向,或是0到arr计数,或是arr到0计数)。所以在开始计数之前必须配置tim1_arr;同样,捕获器、比较器、预分频器、周期计数器、触发输出特性等仍工作如常。在这个模式下,计数器依照增量编码器的速度和方向被自动的修改,因此,计数器的内容始终指示着编码器的位置。计数方向与相连的电机轴旋转的方向对应。
本实施例中,所述入侵检测单元包括:芯片级加密模块和入侵检测模块;入侵检测模块调用芯片级加密模块对电机运行数据进行加密,以密文形式发送给监控单元;所述监控单元包括:解密模块、监控模块和本地数据库管理系统;用于调用所述解密模块对接收到的加密后的电机运行数据进行解密并显示解密后的电机运行数据,将解密得到的电机运行数据与所述本地数据库管理系统的数据进行比对,若解密得到的电机运行数据存在异常,则进行预告警并提交由操作员进行判断,若判断结果为正常数据,则利用所述正常数据更新所述本地数据库管理系统,还用于下发控制指令至直流电机控制系统,从而形成一条完整的电机运行数据安全传输链路。
2)通过监控单元下发控制指令,由入侵检测单元接收处理。符合匹配的控制指令数据包通过防火墙模块筛选过滤发送至入侵检测单元。随后,入侵检测单元对控制指令数据包进行解析、入侵检测,其中涉及多模式匹配算法。若未检测到异常数据,则将控制指令数据包传输到设备层;若检测到入侵攻击,则采取处理措施如报警、阻断、数据包丢弃等。这样,通过入侵检测单元能够有效检测出所述直流电机控制系统是否被入侵,如果发现被入侵则进行报警,并阻止攻击,从而保护并提高所述直流电机控制系统的通信安全。
在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述入侵检测单元包括:芯片级加密模块和入侵检测模块;
所述芯片级加密模块,用于采用硬件加密算法,对接收到的电机运行数据进行加密,并将加密后的电机运行数据发送至监控单元;
所述入侵检测模块,用于对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息。
本实施例中,所述加密算法包括但不限于:hitag2加密算法、des/3des加密算法、aes加密算法、sms4加密算法中的某一种,在具体应用中,加密算法、密钥长度可以根据具体应用场景进行确定,以保证数据安全传输的有效性、实时性。
本实施例中,所述芯片级加密模块与入侵检测模块相互配合,由入侵检测模块调用,对采集单元采集处理得到的电机运行数据实施加密运算,以密文的形式在网络中传输,最终由监控单元接收处理。
如图3所示,所述芯片级加密模块可以包含:电源部分、晶振部分、工作状态指示部分、usb配置部分、spi接口部分、加密部分。电源部分提供整个单元的工作能源,晶振部分提供单元基本同步时钟,工作状态指示通过led灯的亮灭,指示工作还是未工作状态。usb配置部分为多种加密算法的选择提供的通道,通过与上位机pc端软件的通信,得到相应的指令,配置为需要的加密模式,避免单一模式的泄密风险。spi接口部分直接与嵌入式分析单元的stm32f107进行通信,及时的把需要加密的信息输入加密芯片进行加密,并把已经加密完成的数据信息取走。加密部分是32位risccpu为核心处理器,内置公钥(sm2、rsa、ecc)、分组(sm1、sms4、ssf33、des/3des、aes)和散列(sm3、sha-1、sha-256)等三类多种密码算法加速引擎,覆盖了国际和国内标准的主流加密算法,可满足电子政务、电子商务等不同领域对安全加密和远程身份认证的需求。
本实施例中,通过采用芯片级加密的方式对电机运行数据进行加密而不是采用纯软件加密的方式,分担了入侵检测模块的计算负担,并且满足数据的加密速度,保证工业现场直流电机运行数据到监控单元的安全传输,这样,能够从设备层级上杜绝病毒攻击;且可以按照需求灵活选择不同的加密算法、不同的密钥长度,以合理的加密强度和加密速度,同时满足加密的有效性和实时性。
在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述入侵检测模块,用于通过预先建立的网络特征检测规则库、实时更新生成的控制指令规则检测链表以及预先建立的空间状态分类器,对接收到的直流电机控制系统中的网络通信数据进行入侵检测,若有入侵行为,则发出报警信息,同时还可以采取预设的防御措施(例如,阻断、数据包丢弃等)进行处理,达到检测防御的目的。
如图4所示,本实施例中,所述入侵检测模块所使用的硬件平台可以采用5v低电压供电低功耗硬件电路,所述硬件平台具有sd驱动电路,可以经由sd卡实现系统内核的更新,数据的缓存等功能。
本实施例中,所述入侵检测模块的核心处理器为ti(texasinstruments德州仪器)工业级cortex-a8架构am335x系列主处理器,主频可以高达1ghz;运行温度范围可达-40℃-+85℃;配有512mddr3内存和256mslcnandflash;还包含两个ar8031千兆网络收发器芯片扩展的千兆以太网接口eth0和eth1,其中,eth0接口用来实现对直流电机控制系统的网络通信数据的接收处理,eth1接口用来实现处理数据和报警信息向上位机传输的功能;还可以利用pc847光耦隔离芯片驱动4路数字量输入输出(i/o)电路,所述数字量i/o电路可以连接到报警模件,当检测到严重威胁时直接经由该i/o电路发送报警信息至所述报警模件,以便直流电机控制系统中的控制器做出紧急处理。
本实施例中,可以使用所述pc847光耦隔离芯片进行电源隔离,实现电压可调节数字量输入输出电路。
在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述入侵检测模块包括:网络特征检测子模块;
所述网络特征检测子模块、用于提取接收的所述网络通信数据的网络特征,获取所述网络特征的hash值,查询预先建立的网络特征检测规则库,若所述网络特征的hash值没有包含在所述预先建立的网络特征检测规则库中,则发出报警信息,其中,所述网络特征检测规则库包括:网络通信数据的网络特征的hash值;所述网络特征包括:协议类型、源ip地址、目的ip地址、源端口、目的端口。
在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述入侵检测模块包括:控制指令检测子模块;
所述控制指令检测子模块,用于获取所述直流电机控制系统当前的电机运行数据,依据获取的所述直流电机控制系统当前的电机运行数据,利用多维链表结构,结合预设的电机调速控制模型规则库,实时更新生成控制指令检测规则链表;若捕获的所述网络通信数据为控制指令,则检测所述控制指令是否违反所述控制指令检测规则链表中规则,若违反,则发出报警信息;
其中,在检测所述控制指令是否违反所述控制指令检测规则链表中规则时,根据所述控制指令的长度,将其划分到某子模式串集合中,其中,子模式串集合包括:单字符集合、双字符集合以及多字符集合;
单字符集合或双字符集合的匹配过程为直接将所述控制指令检测规则链表中的子模式字符/串与捕获的控制指令字符串右对齐并进行逐个字符的比较,字符比较的顺序为从左向右,如果匹配成功,则触发子模式字符/串对应的规则响应并调用跳转函数进行下一字符字符/串的比较;如果匹配不成功,则匹配窗口从右向左移动一个字符的距离,匹配时直接通过比较字符/串散列值实现;
多字符集合情况下,以最小子模式串长度为准,记为l,将所述控制指令检测规则链表中的最小子模式串与捕获的控制指令字符串的最右端对齐,从子模式串的根节点开始,按照从左向右的顺序逐个字符进行比较,如果匹配成功,则触发子模式串对应的规则响应并调用跳转函数进行下一字符串的比较;如果失配,将子模式串的匹配窗口向左移动l+1个字符,从最小子模式串的根节点开始,从左向右进行匹配,以此类推;当发生失配时,若已有一部分已经匹配成功,则在子模式串中寻找与之相同的字符串,如果存在,则移动模式串的匹配窗口,使子模式串与控制指令字符串中已匹配的字符串对齐,从模式串根节点开始重新匹配。
本实施例中,可以利用多维链表结构,将依照图5指定的规则格式存储的电机调速控制模型规则库,实时更新生成控制指令检测规则链表,根据所述控制指令检测规则链表,进行网络入侵检测。
如图6所示,所述控制指令检测模块检测步骤,具体可以包括:
a1,读取预设的电机调速控制模型规则库,生成多维规则链表a,其中,所述多维规则链表包括:状态检测规则和状态检测规则对应的控制指令检测规则;
a2,对接收的所述网络通信数据进行深度数据包解析,并结合直流电机控制系统控制器内的控制程序的程序变量点表,获取直流电机控制系统具体的控制变量值和测量变量值,从而确定所述直流电机控制系统当前的电机运行数据(简称:当前系统状态),其中,所述程序变量点表用于表征直流电机控制系统内各个变量的使用情况;
a3,根据当前系统状态,遍历多维规则链表a,判断当前系统状态是否符合所述多维规则链表a中的状态检测规则,如果符合多维规则链表a中的状态检测规则,则将多维规则链表a中对应状态检测规则的相应的控制指令检测规则提取出来,添加到控制指令检测规则链表b中,从而,更新控制指令检测规则链表b;
a4,若接收的所述网络通信数据为控制指令,解析所述网络通信数据获取控制指令,遍历控制指令检测规则链表b,判断所述控制指令是否违反控制指令检测规则链表b中的规则,如果违反b中的规则,则判定当前控制指令为入侵指令,发出报警信息。
a5,重复执行a2,a3,a4,根据当前系统状态实时更新控制指令检测规则链表b,进行入侵检测。
本实施例中,深度数据包解析结合具体的电机调速控制模型规则库制定控制指令检测规则链表,使入侵检测具有很强的针对性,检测结果更加可信。
本实施例中,正常的直流电机控制系统应该是一个稳态的过程,直流电机控制系统的状态应向趋于目标值的方向发展,正常的控制指令应使直流电机控制系统状态稳定。因此当控制指令违背该趋势时可以判定为错误的控制指令,可视为入侵发生。通过遍历控制指令检测规则链表中的控制指令关键字(例如,转速设置speedstate、转速调节指令integratstate、电机磁链位置角thitastate)进行检测。例如,当检测电机转速指令关键字speedstate时,根据设定的控制指令参数值调用匹配函数对给定转速进行电机频繁启停和正反转检测;若检测到控制指令关键字integratstate,根据设置的阈值参数、k和t检测转速调节器;若检测控制指令关键字thitastate,基于给定参数检测磁链矢量的位置角和位置传感器测量角。为保持了规则制定的灵活性和电机调速控制模型检测的准确性,具体检测执行顺序根据用户定义的控制指令检测规则链表中关键字顺序和参数为标准。
本实施例中,针对直流电机调速控制模型的入侵检测设计主要基于攻击行为对控制参数的影响特征。针对直流电机控制模型,本实例通过设置一个面向电机设备的控制指令检测子模块的规则数据类对象——vector类,将捕获的控制指令字符串采集单元与控制指令检测规则链表中vector类对象存储的电机控制指令关键字进行匹配检测,规则检测原理如图7所示,具体的:
在检测所述控制指令是否违反所述控制指令检测规则链表中规则时,将长短模式分开处理,在短模式下采用直接比较散列值的方式来提高模式匹配速度,在长模式下增大了跳跃距离,使模式匹配过程不受最大移动距离限制的影响;根据字符串长度的不同,将控制指令划分到三个子模式串集合中,子模式串分为单字、双字以及多字符集合;单字符以及双字符集合的匹配窗口移动距离为1,匹配时可直接通过比较散列值实现,而对于多字符集合,将待匹配字符串的末端向前匹配l(模式树中最短模式字符串长度)个字符,若出现不匹配字符,则直接跳过l+1个字符再进行比较。
本实施例中,如果无控制指令关键字与控制指令信息匹配,则跳过该指令信息直接进行下一个控制指令检测,电机控制指令关键字检测的步骤为:
检测关键字integratstate,如果存在关键字integratstate,则调用匹配函数检测速度调节器。若检测匹配成功,则响应并进行下一步检测。
检测关键字thitastate,如果不存在则跳过该关键字检测,否则用θ0n更新θ0n-1并调用匹配函数计算新的θn,同时判断是否满足条件|θ0n-θ0n-1|≥δθ0max,若满足则进行响应并采取对应入侵防御动作;其中,θ0n和θ0n-1分别为n和n-1时刻的直流电机转子位置角;δθ0max为相邻采样点直流电机转子位置角之差的最大值,其表达式为
检测关键字speedstate,如果不存在该关键字则跳过此步,否则根据速度限定值、设定时间和启停次数等信息检测设定的转速。如果在设定时间内和指定启停次数符合,则认定匹配成功并进行响应。
本实施例中,控制指令检测子模块的检测流程如图8、图9所示。监控单元发送的控制指令到达控制指令检测子模块之后将控制指令关键字字符串提取出来,根据字符串长度的不同,将其划分到三个子模式串集合中,其中,子模式串分为单字、双字以及多字符集合;单字符以及双字符集合的匹配窗口移动距离为1,匹配时可直接通过比较散列值实现,而对于多字符集合,将待匹配字符串的末端向前匹配l(模式树中最短模式字符串长度)个字符,若出现不匹配字符,则直接跳过l+1个字符再进行比较。snort规则检测接口函数evalpacket根据当前报文的协议类型调用相应快速匹配函数evalheadericmp、evalheaderudp和evalheadertcp等。若待检测报文是ip类型,则调用函数evalheaderip,随后再调用prmfindrulegroupudp、prmfindrulegroupicmp和prmfindrulegrouptcp等函数来获取当前适用的snort规则子集。
在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述入侵检测模块包括:空间状态检测子模块;
所述空间状态检测子模块,用于利用直流电机控制系统正常状态下运行数据,生成训练样本,根据主元分析法对所述训练样本进行降维处理,利用单类支持向量机对降维后的训练样本进行训练生成所述空间状态分类器;对没有违反所述控制指令检测规则链表中规则的网络通信数据进行主元分析降维后,利用预设的空间状态分类器检测所述网络通信数据为正常数据,若不是正常数据,则发出报警信息。
本实施例中,直流电机控制系统的“状态有限”和“行为有限”特征决定了直流电机控制系统运行的状态空间有限的,其中,所述状态空间是指所述直流电机控制系统的全部可能状态的集合。由于入侵行为和正常行为本质是可以区分的,在行为的空间状态上异常行为相对于正常行为是不同类的,因此可以利用分类方法将正常行为与异常行为进行分类。因为直流电机控制系统得到的数据样本多为正常的样本数据,因此对一类样本进行学习,形成一个对该类样本的数据描述,然后根据设计或者给定的阈值来判断新的数据样本是否属于正常样本,以此来进行异常入侵检测,这样,基于先验知识的入侵检测方法,能够大大提高所述针对直流电机控制系统的网络入侵检测的可靠性。
本实施例中,如图10所示,因为直流电机控制系统具有大量数据,具有较多的属性,数据维度高,这样会降低入侵检测算法的效率。
本实施例中,可以利用直流电机控制系统正常状态下运行数据,生成训练样本,并采用主元分析(pca)方法对所述训练样本进行数据降维处理,减小运算量;然后,根据降维后的训练样本,采用单类支持向量机(ocsvm)进行样本训练生成空间状态分类器,所述空间状态分类器具有两个重要参数,单类支持向量机参数ν以及径向基核函数g学习效果和判定结果具有重要的影响,在此采用一种自适应的遗传算法来调整参数ν和g,寻求训练出最佳的空间状态分类器。
本实施例中,通过对接收到的网络通信数据进行深度数据包解析、数据降维处理之后,用所述空间状态分类器进行分类验证,如果通过验证则所述网络通信数据为正常数据,如果没有通过验证,则说明所述直流电机控制系统空间状态异常,所述网络通信数据为异常数据,发出报警信息。
如图11所示,在前述直流电机控制系统的入侵防御系统的具体实施方式中,进一步地,所述监控单元包括:解密模块、监控模块和本地数据库管理系统;
所述本地数据库管理系统,用于存储电机正常运行时的电机运行数据;
所述监控模块,用于调用所述解密模块对接收到的加密后的电机运行数据进行解密并显示解密后的电机运行数据,将解密得到的电机运行数据与所述本地数据库管理系统的数据进行比对,若解密得到的电机运行数据正常,则利用所述电机运行数据更新所述本地数据库管理系统用于下一轮数据比对;若解密得到的电机运行数据存在异常,则进行预告警并提交由操作员进行判断,若判断结果为正常数据,则利用所述正常数据更新所述本地数据库管理系统用于下一轮数据比对,实现实时监管;还用于下发控制指令至直流电机控制系统。
本实施例中,所述监控单元还可以包括:加密模块;所述监控模块调用所述监控单元中的加密模块对电机运行数据进行加密存储。
综上所述,本实施例所述的直流电机控制系统的入侵防御系统实现了电机运行数据的安全传输以及网络通信数据的入侵检测防御,这样,不仅确保了电机运行数据的安全,还确保了网络通信数据的准确性和安全性,对于防御攻击和防止信息泄露意义重大。基于直流电机控制系统的入侵防御系统从数据采集到加密后密文传输,再到入侵检测单元进行攻击检测响应处理,最后传输到监控单元完成解密后显示供用户监管以及本地的加密存储,构成了一套完整的多层次入侵检测防御方法,实现工控系统中电机运行数据安全传输及工业网络的安全入侵检测。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。