一种针对工业控制系统重放攻击的物理水印检测方法

1.本发明属于工业现场检测领域，更具体地说，涉及一种针对工业控制系统重 放攻击的物理水印检测方法。


背景技术：

2.传统的物理系统在相对封闭的环境中运行，采用专线通信的方式，攻击者只 能通过线下进行攻击，因此传统物理系统一直以来被默认为可以有效应对各类攻 击，系统与外部没有联系就不会遭受攻击。传统的物理系统为提高系统的运行效 率，实现系统的智能化和信息化，连接网络，变为工业控制系统。
3.工业控制系统(ics)是指用于操作、控制、辅助自动化工业生产过程的设 备、系统、网络以及控制器的集合。与传统的物理系统相比，提高了自动化水平， 增加了与互联网的联系，使得系统由原来相对封闭的运行环境变得更加开放，为 攻击者提供了更多的可用作攻击的漏洞，使得工业控制系统面临着内部和外部双 重攻击的危机。
4.由于工业控制系统是物理系统和信息系统紧密融合的复杂系统，也就意味着 攻击者能够借助网络以一种高隐蔽性、低可测性的方式攻入系统。系统如果没有 足够的安全体系或者充足的软件防御措施，攻击者就可以通过特定的方式攻击系 统，实现对系统的破坏控制。重放攻击是指攻击者收集一段时间内的传输数据， 将其中的有效数据进行重复发送或者延迟发送。重放攻击使用系统已经成功接受 的数据，所以攻击者发送的数据能够轻易通过系统加密算法的检查，使得系统难 以及时检测出这种攻击，迫切需要发展以工业控制系统为技术背景的重放攻击安 全防护的新方法。


技术实现要素：

5.针对现有技术中存在的问题，本发明的目的在于提供一种针对工业控制系统 重放攻击的物理水印检测方法，本发明通过信号注入来辨识未知工控系统并且设 计水印信号用来保护工控系统，通过数据分析和控制的方法检测重放攻击，成本 低，可靠性高。
6.本发明的技术方案如下：
7.一种针对工业控制系统重放攻击的物理水印检测方法，具体包括：
8.工业控制系统包括传感器采集设备、执行器、plc和scada系统；scada系统包 括水印信息密钥表设计和重放攻击检测；威胁检测投运前为准备工作，包括识别 动态数据模型以及随机生成水印信息密钥表；威胁检测投运后重放攻击检测流程 为：传感器采集设备进行数据实时采集，数据通过plc上传到scada系统，通过 执行器向工业控制系统注入水印信息密钥表中的水印信号；重放攻击检测器进行 预估数据与工业控制系统输出的数据的一致性判断，来确定是否存在重放攻击；
9.具体步骤如下：
10.步骤一、动态数据模型识别
11.在系统健康运行的情况下，通过执行器向系统注入各种激励信号，根据大量 的输
入输出数据关系获得系统的动态数据模型，表示为：其中 xk为状态向量，yk为传感器的输出数据，f和l分别是状态向量迭代函数和输出状 态相关函数，w(k)为过程噪声，v(k)为传感器测量噪声；
12.步骤二、设计水印信息密钥表
13.首先设计一个三元表格，分别代表时刻、幅值和宽度；每一类别的数据都使 用随机函数得到，其中幅值和宽度的选择范围要尽可能减小系统平衡点的波动； 将三元表格中的数据组合为一种水印表格，然后使用des方法加密，将生成的密 文发送到重放攻击检测器中，该密文即为水印信息密钥表，新的水印信息密钥表 在上一个水印信息表中的水印信息注入完成时更新；
14.步骤三、注入水印信号
15.在系统一个运行周期内，将步骤二中的水印表格在加密之前传输到plc中， plc接收到信息之后对信息解析，将控制信号发送给执行器，执行器在工业控制 系统底层的注入点按照收到的控制信号进行注入；
16.步骤四、模型生成预估数据
17.执行器对系统注入水印信息之后，此时系统的模型表示为： 其中u(k)为注入信号，携带注入的时刻、幅值和宽度信息； 把步骤二的密文解密，根据步骤一中的状态向量迭代函数f计算出系统注入水印 之后状态向量的预测值接着根据输出状态相关函数l计算出系统注入水印之 后系统输出的预测值
18.步骤五、重放攻击检测器进行判断
19.威胁检测系统投运后，假设在t时刻注入水印信号，采集n组t时刻之后系统 传感器工作的量测数据；计算水印注入后预测值满足的概率分布，利用 重尾分布与马尔可夫不等式计算置信度为95％的置信区间，如果真实响应值 y
t 1
…yt n
的概率分布不在预测的置信区间内，则认为系统受到攻击，为了平衡检 测率和误报率，采取以下两种策略：
20.(1)选择n为3，即检测从x
t 1
到x
t 3
的3组数据，如果3组数据都不能通过 概率分布检验，则认为系统状态改变，受到重放攻击；
21.(2)选择n为5，即检测从x
t 1
到x
t 5
的5组数据，如果5组数据有三组或者 三组以上不能通过概率分布检验，则认为系统状态改变，受到重放攻击。
22.本发明的有益效果在于：在工业控制系统中，成本较低，只需要在工控系统 中设计一个物理水印检测系统，本发明采用信号注入的方法来辨识未知工控系 统，并且通过三重加密方法设计水印信号用来保护工控系统，稳定性较高。本发 明把系统数据模型和控制系统知识结合，可以从多渠道及时全面的检测系统中的 重放攻击威胁，有效的提高了工业控制系统的安全性。
附图说明
23.图1是本发明的流程结构运行示意图；
24.图2是本发明系统架构图；
25.图3是本发明工控系统核心控件图。
具体实施方式
26.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全 部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳 动前提下所获得的其他实施例，都属于本发明保护的范围。
27.在本发明的描述中，需要说明的是，术语“竖直”、“上”、“下”、“水平”等指 示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发 明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特 定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第 二”仅用于描述目的，而不能理解为指示或暗示相对重要性。
28.在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设 置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是 可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相 连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的 普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
29.本发明实例设备采用西门子s7-200plc，scada系统采用力控软件设计的 界面，重放攻击检测系统采用利用scada系统里的控件。传感器包括温度传感 器、压力传感器、液位传感器等。传感器与plc连接方式采用接线方式，传感 器采集的数据为模拟量，通过plc把模拟量转化为数字量，plc与scada系 统连接方式采用网络电缆，配置到同一个网关，协议为s7以太网通信协议。
30.步骤一：辨识系统数据模型
31.首先把scada系统与外部连接的网络线缆切断，确保系统能够正常运行，接 着通过执行器向系统注入辨识信号，包括常见的脉冲信号、阶跃信号、斜坡信号、 抛物线信号、正弦信号、方波信号、三角波信号、梯形信号和锯齿波信号等，以 及一些由他们组合起来的复杂信号。通过大量的输入输出数据可以得到工控系统 一个运行周期的数据分布特征，进而获得系统的动态数据模型。模型表示为： 其中xk为状态向量，yk为传感器的输出数据，f和l是辨识之后 状态向量和状态向量以及状态向量和输出数据的关系，w(k)为过程噪声，v(k)为 传感器测量噪声。
32.步骤二：设计水印信息密钥表
33.设计一个三元表格，表中存在三种类别的数据，分别为时刻、幅值和宽度。 首先设计三组随机函数，第一组对应注入时刻，选择范围为整个运行期间的时刻， 输出结果是某些时刻点；第二组对应幅值，选择范围为不影响系统正常运行时的 稳定性，输出结果是对应时刻点的值；第三组对应宽度，选择范围为时刻确定之 后的一个时间跨度，输出结果是
幅值的持续时间。接着将随机出来的三组函数输 出组合，记为水印信息，使用des方法加密，将生成的密文发送到检测器中。 这个表格就称为水印信息密钥表，生成的水印信息表在加密之前传输到plc中， plc接收到信息之后解析成控制信号传到执行器，由执行器在工控系统底层的注 入点按照控制信号进行注入，新的水印信息表在上一个水印信息表注入完成之后 生成，在下一个运行周期开始之后注入。
34.步骤三：设计重放攻击
35.将系统与外界的网络传输端口开启，当工控系统正常运行时，选择一个时刻 对工控系统进行入侵，首先对系统的传感器数据进行监听和收集，确保收集持续 时间大于工控系统的一个运行周期，通过查看收集数据的分布信息分析出系统的 一个运行周期，整理出系统一个运行周期的数据，把这些数据保存起来，一段时 间之后在scada系统数据库内重放整理好的数据，因为这些数据是系统稳定运 行时产生的，对于同一个工控系统来说不会引起警报。在重放数据期间同时篡改 传感器的真实数据从而对系统造成损害。
36.步骤四：检验重放攻击
37.运行过程中传感器采集的数据会通过plc设备，进而上传到scada系统中显 示。当水印信号注入之后，采集注入时刻t之后n组系统传感器工作的量测数据 y
t 1
…yt n
，同时将上文中水印信息解密，得到注入信息u(t)，得到注入之后的新模 型为根据模型中的f迭代计算水印注入后预测值根据模型中的l计算水印信号注入之后输出的预测值然后根据数据的特 征求取预测值满足的概率分布，利用重尾分布与马尔可夫不等式计算置信度为95％的置信区间，查看计算的真实响应值y
t 1
…yt n
的概率分布在不 在预测值的置信区间内，如果不在则认为系统可能受到重放攻击，为了平衡检测 率和误报率，采取以下两种策略：
38.(1)选择n为3，即检测从x
t 1
到x
t 3
的3组数据，如果3组数据都不能通过 概率分布检验，则认为系统状态改变，受到重放攻击。
39.(2)选择n为5，即检测从x
t 1
到x
t 5
的5组数据，如果5组数据有三组或者 三组以上不能通过概率分布检验，则认为系统状态改变，受到重放攻击。
40.结合这两种检测策略，可以进一步降低系统的误报率，增加检测的准确性。
41.以上述依据本发明的理想实施例为启示，通过上述的说明内容，本领域技术 人员完全可以在不偏离本发明技术思想的范围内，进行多样的变更以及修改。本 发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求书范围来确 定其技术性范围。