[发明专利]一种基于时间同步白名单的工控流程入侵检测方法及其系统

说明书

本发明涉及一种基于时间同步白名单的工控流程入侵检测方法及其系统，其结合工业控制系统自身的网络功能配置和行为操作模式，以时间同步因子作为参量标准，时间同步系统作为工业控制辅助功能设备，结合工业控制系统与时间同步系统在时序方面的关联度特征，利用时间同步树构建系统流程逐层节点保持一致的时序性特征架构，通过对该指标参量的关联分析转换成白名单规则用于入侵检测，从而达成工业控制系统的安全运行。

技术领域

本发明涉及一种基于白名单的工控流程入侵检测技术，尤其涉及一种基于时间同步白名单的工控流程入侵检测方法及其系统。

技术背景

工业控制系统涉及电力、交通、水利、制造业、国防军工等传统国家关键基础设施的核心。随着互联网技术的发展，网络化的工业控制系统成为当下工业领域发展的趋势，但随之而来的信息泄露、非法访问、恶意代码注入等安全问题已严重威胁到国家关键基础设施的安危。

时间同步作为工业控制信息网络的支撑技术，对信息系统和基础网络各类信息数据控制、计算、处理、应用和操作都有严格的时序性要求，一旦时间同步系统遭受攻击或破坏，造成网络时间不同步，将会对工控业务运行质量造成巨大影响甚至导致无法正常运行。如电力领域，时间信息的破坏会导致电力安全监测系统无法正常工作，输配电计划发生错误或混乱；交通领域，时间同步是地铁、高铁、航空系统必要的支撑技术，时间同步信息的破坏会导致交通系统的指令信息混乱，引发重大安全事故；通信领域安全保障，时间同步信息的破坏导致CA和PKI体系中时间戳服务、数字签名、数字证书上的有效性和可行性产生安全性风险，使得系统无法正常运行。时间同步作为信息网络的基础，一旦受到攻击特别是针对时间同步性能的慢变化攻击，隐蔽性较高很难被监测，时间误差累计到一定程度后会影响网络的正常运行，产生巨大安全事故。

工控系统和传统的信息系统在安全方面有着本质不同，传统信息系统遵循“信息机密性”的要求，而工控系统关联真实物理设备及环境，则是要保障系统的“稳定运行”原则，对安全风险有一定的冗余考量。同时由于工业以太网等开放性通信协议的引入，使得工业控制系统面临的安全攻击日益增加。

入侵检测技术已经在传统IT网络中得到了广泛应用，但在工业控制系统中的定义并未考虑其特殊性，由于工业控制系统实时性要求高、时序关联度高、资源受限、更新困难、私有协议众多等特点，导致传统的入侵检测机制很难直接在工业控制系统中得到应用。

发明内容

针对工业控制系统与时间同步系统的紧密关联度及高实时性特征，本发明提出了一种基于时间同步白名单的工控流程入侵检测方法及其系统，利用时间同步树构建系统流程逐层节点保持一致的时序性特征架构，通过对该指标参量的关联分析转换成白名单规则用于入侵检测，从而达成工业控制系统的安全运行。

本发明实现之一，一种基于时间同步白名单的工控流程入侵检测方法，该方法中涉及的工控设备节点包括一主节点和若干子节点，具体方法步骤如下：

第一步骤，根据工控系统操作流程进行时间同步树时隙单元格划分配置，每个时隙对应一绝对序列号，工控设备节点按照接收到的信标数据加入和同步网络，提取相应的绝对序列号，并在下一个时隙自增；节点工控流程数据包按照绝对序列号对应到时间同步树网络链路上；

第二步骤，工控设备节点加入到网络后由本地时钟晶振进行计时，对于本地时钟晶振存在的老化、漂移，子节点和主节点须在同步过程中对同步数据包打时间戳并计算时间偏差，然后周期性重同步以调整保持节点间同步周期一致性；