[发明专利]一种基于工业云的工控安全框架系统

权利要求书

1.一种基于工业云的工控安全框架系统，其特征在于，工业控制系统ICS分层结构的最底层包含数据采集设备、视频摄像设备和执行器，这些设备包括传感器、RFID标签、摄像头、物联网设备，以及变频电机设备，所述设备将负责采集实时数据，并将这些数据通过智能应用进行处理后做出实时决策，工业控制系统ICS分层结构的中间层由用于将数据在最低层设备和工业云计算基础设施之间进行通信的现场的网络设备所组成，所述中间层充当现场网络设备层，处理部分或全部计算，从而使工业应用性能不受网络延迟的影响，最上层是工业云层，如果现场网络设备层没有免费的计算资源，那么就将请求直接发送到工业云层基础设施中进行计算，所述系统，还包括内容交付网络和虚拟蜜罐设备，用于识别恶意设备，并将恶意设备的工作转移到虚拟蜜罐设备中，以保护工业控制系统ICS服务免受恶意设备的攻击；

所述内容交付网络，包括入侵检测及防御系统模块、隐马尔可夫模型模块和交付策略模块，工业控制系统ICS中的设备分为合法设备、敏感设备、受攻击设备和黑客设备，基于交付策略模块，内容交付网络将每个工业控制系统ICS的设备的数据交付请求定向到合法设备上，内容交付网络的入侵检测及防御系统模块负责监视工业控制系统ICS的所有设备，当检测到设备上的恶意活动时，会生成攻击告警，并将设备标识和攻击类型发送到两阶马尔可夫模型，两阶马尔可夫模型分两次对恶意设备进行检测，首先，Markov 1利用马尔可夫模型对设备进行分类，并计算其移走概率，其次，这些输出被发送到Markov2中，对于Markov2，根据设备的移走概率和攻击类型，有一个内容交付网络的隐马尔可夫模型模块预测设备是否必须转移到虚拟蜜罐设备中，同样，合法设备也会从虚拟蜜罐设备中恢复过来；

所述虚拟蜜罐设备，负责监控虚拟蜜罐设备中的设备，如果在虚拟蜜罐设备上被检测到合法设备，则使用markov3计算设备的合法设备的概率，并将所述的合法设备的概率发送给markov4，markov3是虚拟蜜罐设备的一阶马尔可夫模型，Markov4是虚拟蜜罐设备的二阶马尔可夫模型，Markov4预测是否将设备移回合法设备状态，同时，所述虚拟蜜罐设备监视黑客设备的所有活动，并在最后生成日志文件，所有日志文件都保存在攻击数据库中，生成入侵检测规则，并同步到内容交付网络的入侵检测及防御系统模块中；

所述入侵检测及防御系统模块，包括基于误用的入侵检测系统MIDS、基于异常的入侵检测系统AIDS和基于网络的入侵检测系统NIDS；

所述交付策略模块，包括安全可信策略、负载均衡策略和就近交付策略；

所述隐马尔可夫模型模块，是中间状态不被观察或隐藏的一种马尔可夫模型，利用隐马尔可夫模型不仅能够提高马尔可夫模型的性能，而且还能够根据设备的活动性来预测恶意设备的发生概率，提供将受到攻击的设备转移到虚拟蜜罐设备中的概率和从虚拟蜜罐设备移出的设备的概率，计算边缘设备移走概率或合法设备概率的算法1提供了根据设备的输入请求计算输出状态所涉及的所有步骤，步骤1给出了算法所有变量的初始化，即似然概率和存储矩阵，步骤2是一个递归步骤，计算设备提供的每个输入的可能性概率，还将计算出的概率存储到所有参数的矩阵中，此递归步骤根据步骤3中的终止条件而终止，在达到终止条件后，进行步骤4所示的回溯步骤，根据设备提供的所有输入请求找到最适合设备的输出状态。