[发明专利]一种基于场景指纹的工业控制系统网络攻击检测技术

说明书

本发明涉及工业控制系统网络攻击检测技术领域和以太网流量建模技术领域，旨在提供一种基于场景指纹的工业控制系统网络攻击检测技术。该技术首先划分出工业控制网络中不同的通信信道，过滤出用于携带关键生产信息的指令信道，提取每个指令信道的数据包特征并形成特征流，指纹特征包括：数据包类型，数据包到达时间，数据包唯一标识。将提取的特征流送入建模算法中，来建立工业控制系统的场景指纹模型。场景指纹模型一旦建立，就采用指纹匹配算法完成网络入侵检测，发现网络攻击行为。该技术检测对象针对性强，区别于传统的基于签名和基于白名单的检测方法，能够检测出更多的攻击行为（如拒绝服务攻击、序列攻击、中间人攻击等）。本发明为检测工业控制网络中的攻击行为提供了新的解决方案。

技术领域

本发明涉及工业控制系统网络攻击检测技术领域和以太网流量建模技术领域，核心是采用流量建模的方式来建立工业控制生产网络的场景指纹，以匹配场景指纹的方式来检测针对工业控制系统的攻击行为。

背景技术

工业控制系统是指工业生产过程中用到的各种工业组件的统称，包括数据采集与监视控制系统（SCADA系统）、分布式控制系统（DCS系统）、以及较小型的控制器如可编程逻辑控制器（PLC）等。工业控制系统因其稳定性和耐用性已被广泛用于电网系统、城市交通、石油石化等人类生活的方方面面。一般而言，工业控制系统本应存在于物理隔离的网络中，但近年来，为满足远程监测与控制的需要，工业控制系统开始接入到互联网中；同时，工业控制系统自身也在升级改造，传统的串口通信方式逐渐向以太网的通信方式发展。这不仅方便了生产企业对工业控制系统的操作管理，同时也方便了黑客对工业控制系统的入侵。

在诸多的工业控制组件中，PLC作为控制现场设备的核心组件，它最易成为黑客的攻击目标。目前市面上的PLC，大都支持以太网通信，并且HMI设备通过以太网下达指令给PLC，操控PLC按照编程逻辑来控制现场设备。因此通过检测HMI设备到PLC的通信流量，就能发现针对工业控制系统的网络攻击。

传统的针对工业控制网络攻击检测的方法，包括基于签名的检测方法和基于流量白名单的检测方法。基于签名的检测方法是通过匹配已知恶意攻击流量的签名特征来进行检测；基于流量白名单的检测方法是通过建立工业控制系统传送流量白名单的方式来完成检测，非白名单中的流量则视为异常。传统的针对工业控制系统的入侵检测技术存在以下这些问题。

一、基于签名的检测方法无法检测未知的针对工控网络的攻击。

二、基于流量白名单的检测方法易被绕过，并且在工业控制系统中，仅使用白名单中流量发动攻击（如序列攻击），同样可造成破坏。

三、没有根据工业控制系统产生的流量特点，设计一种专门的针对工业控制系统的网络攻击检测方法。

同时，针对工业控制系统的网络攻击愈演愈烈，极大地威胁着人们的生活安全和国家安全的情况，迫切需要一种新的方法能够根据工业控制系统产生流量的特点，克服传统的检测方法的不足，来对工业控制系统中存在的网络攻击进行有效检测。

发明内容

“一种基于场景指纹的工业控制系统网络攻击检测技术”是在对工业控制系统网络入侵检测研究的过程中针对目前存在的技术问题所提出的发明。本发明的一个目标是改善现有检测方法针对性差的缺点，提出一个基于场景指纹的工业控制系统网络攻击检测技术，有针对性地对工业控制系统网络攻击进行检测。工业控制系统的场景指纹可看作是工业控制系统网络流量数据包传送的一种特定模式，通过建立工业控制系统网络的场景指纹，就能表达工控系统特有的工业生产模式。本发明提供了一种新的检测方法，区别于传统的基于签名和基于流量白名单的检测方法，该方法针对工业控制系统网络流量的特点，建立场景指纹来表达正常的工业控制和生产过程，通过匹配场景指纹的方式来检测攻击行为。该方法在检测过程中采用旁路监听流量的方式，不会影响工业控制系统的正常运行，并且由于该检测技术的针对性强，因此其检测准确率也比传统的检测技术高。