一种针对工业控制系统攻击的双级检测方法与流程

1.本发明属于工业现场检测领域，更具体地说，涉及一种针对工业控制系统攻击的双级检测方法。


背景技术：

2.工业控制系统(ics)是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合。包括数据监控与采集系统(scada)、分布式控制系统(dcs)、可编程逻辑控制器(plc)、智能终端、人机交互接口(hmi)等系统。被广泛应用在工业控制领域，在国家基础设施中扮演着至关重要的角色，是关乎国计民生的重要资源。
3.随着计算机和网络技术的发展，信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。从而拓展了工业控制的发展空间，带来新的发展机遇，同时也带来了工业控制系统的信息安全等问题。
4.从工业控制系统自身来看，工业控制系统固有漏洞和攻击面日益增加；从外部环境来看，工业控制系统漏洞发现、攻击技术和攻击人员能力正不断增强，工业控制系统面临日益升级的安全威胁，主流的纵深防御思想对于持续变化的安全威胁缺乏足够的监测与应对能力，迫切需要发展以工业控制系统为技术背景的安全防护的新方法。


技术实现要素：

5.针对现有技术中存在的问题，本发明的目的在于提供一种针对工业控制系统攻击的双极检测方法，可以通过数据分析和控制的方法检测系统攻击，成本低，可靠性高。
6.本发明的技术方案如下：
7.一种针对工业控制系统攻击的双级检测方法，具体包括以下步骤：
8.s1，工控传感器网络实时采集工控系统底层传感器数据，数据分别传输给工控系统plc与独立的嵌入式攻击检测系统，嵌入式攻击检测系统中的嵌入式处理器不允许上位机对其进行更新，下载口不允许在线接通；工控系统plc将收到的传感器数据上传到scada系统，同时嵌入式攻击检测系统通过网络线缆接收scada系统统计后的下行数据；
9.s2，在系统没有攻击的情况下，嵌入式攻击检测系统通过读取传感器采集的数据，提炼工控系统各个传感器正常运行的独立数据分布特征，独立数据分布特征包括均值点附近的概率分布类型和估计误差协方差，以及依托于工控系统内部物理关系抽象而成的变量之间的函数关系，并把提炼的特征规律存储到独立运行的嵌入式处理器中，记为系统健康数据模型；
10.s3，工业控制系统的攻击检测方法包括两级；
11.第一级，利用传感器直采数据与scada系统统计数据对比来检测scada系统受攻击情况记为一级攻击警报；检测方式为：把同一时间戳scada系统下行的系统控制变量数据与嵌入式攻击检测系统直接读取的传感器数据相比较，如果差距超过了数据传输的最大量化误差范围，则认为scada系统已经遭到恶意程序入侵；
12.第二级，利用传感器直采数据统计规律与健康数据模型对比来判断传感器受攻击情况记为二级攻击警报；其中，传感器直采数据统计规律包括概率分布类型、协方差大小与变量之间函数关系；检测方式为：在不触发一级攻击警报的前提下，首先统计传感器各个变量的均值之间的函数关系是否在健康模型函数关系的误差允许范围之内，如果超出该范围则认为传感器驱动程序已经遭到恶意篡改；接下来，统计各个传感器数据的概率密度分布类型以及其协方差，与健康数据模型对比，如果超出置信区间则认为传感器驱动程序已经遭到恶意篡改。
13.本发明的有益效果在于：在工业控制系统中，成本较低，只需要在工控系统中增加一个嵌入式检测系统就可以检测攻击，稳定性较高，对生产过程产生的数据备份，有效保证信息的溯源。本发明把随机过程理论、系统数据模型和控制系统知识结合，可以从多渠道及时全面的检测系统中的攻击威胁，有效的提高了工业控制系统的安全性。
附图说明
14.图1是本发明的流程结构运行示意图；
15.图2是本发明的设备接线示意图；
16.图3是本发明的系统总体设计示意图。
具体实施方式
17.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的其他实施例，都属于本发明保护的范围。
18.在本发明的描述中，需要说明的是，术语“竖直”、“上”、“下”、“水平”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
19.在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
20.本发明实例设备采用西门子s7
‑
200plc，scada系统采用力控软件设计的 plc控件，嵌入式检测系统采用arm双核cortex
‑
a9处理器，传感器包括温度传感器、压力传感器、液位传感器等等。plc与scada系统通过网络线缆连接，通讯协议为modbus，嵌入式检测系统通过网络线缆与scada系统连接用于接收scada系统传输的数据。
21.在概率论和统计学中，协方差用于衡量两个变量的总体误差。这种误差衡量方法正好可以应用到攻击检测中，在检测系统正常工作之前的系统健康数据模型建立过程为：
22.一个嵌入式系统，如果不对外开放编程端口，通过网络攻击不能攻击到嵌入式系
统，根据嵌入式系统这种稳定性，可以保证系统投放前正常运行的数据不被篡改，保证了参考数据的准确性。将系统与外界的网络传输端口关闭，系统上电之后正常运行数个周期，运行过程中将传感器采集的数据分别读取出来传输到嵌入式检测系统，把传感器正常运行的独立数据分布特征提取出来，根据数据的分布特征求取数据的概率密度分布和协方差，把工控系统变量的内部物理关系总结成函数关系存储到嵌入式系统中，记为系统健康数据模型，作为攻击检测的参考模型。
23.工控系统正常工作环境下的攻击检测包括：
24.一级攻击检测：将系统与外界的网络传输端口开启，系统上电之后正常运行，运行过程中传感器采集的数据会通过plc设备进行上传，传输到scada系统中，嵌入式检测系统接收scada的下行数据。plc和scada系统数据传输协议是modbus，其中scada系统容易受到攻击，当scada系统受到攻击后，scada 系统接收到的数据也会发生改变，把同一时间戳下scada系统的变量数据记录下来，并且与嵌入式攻击检测装置此时直接读取的传感器数据相比较，比较两者之间的数据，本次检测目的主要是检测scada系统的受攻击情况，两者的差距和设定的最大量化误差范围比较，差距大于设定值的时候就认为scada系统受到了攻击。
25.二级攻击检测：在不触发一级攻击警报的前提下，通过此时传感器量测数据分析出此时工控系统的物理特性，求得系统的函数关系，并把此时的函数关系和系统健康数据模型中记录的函数关系进行对比，统计传感器各个变量的均值之间的函数关系是否在健康函数关系的误差允许范围之内，如果超出该范围则认为传感器驱动程序已经遭到恶意篡改；如果函数关系没有问题，则统计各个传感器数据的概率密度分布类型，把当前的概率密度分布类型与健康数据模型存储的概率密度分布类型对比，统计传感器数据的协方差与健康数据模型存储的协方差对比，做假设检验，如果超出一定置信区间则认为传感器驱动程序已经遭到恶意篡改，认为系统受到了攻击。
26.以上述依据本发明的理想实施例为启示，通过上述的说明内容，本领域技术人员完全可以在不偏离本发明技术思想的范围内，进行多样的变更以及修改。本发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求书范围来确定其技术性范围。