CN105204487A - 基于通信模型的工业控制系统的入侵检测方法及系统 - Google Patents

Abstract

本发明提出一种基于通信模型的工业控制系统的入侵检测方法及系统，在保证实用性的同时，最大限度地提高入侵检测的准确率。首先建立工业控制系统通信模型和通信规则，所述的通信模型包含节点信息和通信连接信息；工业控制系统通信模型建立之后，以通信模型为基础产生合法通信规则集，在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习，建立通信模型并生成通信规则集；然后在工业控制网络中部署探测器，捕获数据报，由数据报分析并提取通信连接信息，与所述生成的合法通信规则集进行比对，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并重新进行学习。

Description

基于通信模型的工业控制系统的入侵检测方法及系统

技术领域

本发明公开了一种基于通信模型的工业控制系统的入侵检测方法及系统，属于信息安全领域。

背景技术

工业控制系统广泛应用于电力、水利、污水处理、石油、天然气、化工、交通运输、制药以及大型制造行业，是工业自动化和关键基础设施的重要组成部分。现代工业控制系统通过在物理系统中深度嵌入计算智能、通信和自动控制能力，并借助新型传感器和执行器实现对工业生产流程的自动控制。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)、各种传感器和执行器，以及确保各组件通信的接口组件。

工业控制系统的首要任务是保障生产顺利进行，因此其设计和实现都是围绕如何满足生产工艺的控制要求以及如何确保系统可用性展开的，而较少考虑信息安全(Security)。这使得工业控制系统的通信协议、系统软硬件平台以及信息安全管理等方面都存在很多薄弱环节。例如，很多系统存在缺乏安全架构与设计，不及时安装平台补丁程序，使用设备默认配置，使用弱口令，使用不安全的工业控制通信协议，不使用杀毒软件等现象。在信息安全保障方面，当今的工业控制系统比传统IT系统更加脆弱。

随着信息化与工业化融合进程的推进，越来越多的工业控制系统与企业的其它网络甚至与Internet相连，传统意义上较为封闭并普遍被认为安全的工业控制系统，逐步暴露在网络攻击、蠕虫、木马、病毒等威胁之下。近年来针对工业控制系统的攻击行为频繁发生。例如，1982年的西伯利亚管线爆炸事件，入侵者在输油管线的SCADA系统中植入木马并进而控制了输油管线，造成相当于3千吨TNT的爆炸；1994年美国盐河项目事件，一名攻击者通过拨号调制解调器越权访问该项目的计算机网络并安装了后门，之后与控制河流的关键系统保持了至少5小时的会话，危及水流控制、电力监测和传输、经济以及客户信息等；2010年震网病毒攻击伊朗纳坦兹核设施事件，攻击者编写的蠕虫病毒利用Windows系统漏洞和西门子工业控制系统信息安全缺陷在PCS(过程控制系统)中大肆传播，该病毒通过不断改变变频器频率，使得驱动离心机的驱动器不断在高速和低速之间切换，造成离心机大量损毁。

一些企业已经使用某些安全防护手段保护其工业控制系统。例如，使用防火墙或安全隔离网闸等设备将企业信息网与企业工业控制网络隔离，建立纵深安全防护体系，使用加密技术保障传输数据的机密性，使用认证技术确保登录用户拥有合法身份，等等。一些公知的IT领域安全防护方法和策略稍加修改就可以用于保护工业控制系统，例如工业控制防火墙就是在IT防火墙上增加对工业控制流量的过滤和控制能力。而另一些则不能容易地应用到工业控制领域。例如，IT系统会及时安装补丁程序以修补安全漏洞，而实际运行的工业控制系统通常不会轻易安装补丁程序。一个原因是安装补丁程序需要事先周密计划并停产，另一个原因是补丁程序可能影响原有的控制精度。再如，IT系统基本都会安装杀毒软件，但工业控制系统一般不安装杀毒软件。杀毒软件的使用可能使控制设备或工控机的某些功能失效或性能降低，影响系统可用性。由此可见，工业控制系统的固有特性使得企业能够采取的安全防护措施受到诸多限制，不能完全阻断针对工业控制系统的入侵和攻击行为。

综上，一些公知的信息安全脆弱性在工业控制系统中根深蒂固，难以排除；针对工业控制系统的内、外部攻击不能被完全阻断。因此，需要在工业控制系统中部署入侵检测系统，及时发现入侵，及早报警，尽量避免入侵给工业生产带来危害。

国内外已有一些关于工业控制系统入侵检测方法的研究。大多数的研究从工业控制系统的IT系统组件入手检测入侵。例如，有研究者通过预处理插件的方法为Snort增加了对基于串行通信的工业控制系统的拒绝服务、命令注入、响应注入和系统侦查4类入侵的检测和预防处理能力。有研究者使用基于规则的方法为工业控制无线传感网设计了入侵检测方法，该方法利用工业控制无线传感网具有规律性流量模式以及良定义的“请求-响应”通信的特点设计了一系列检测规则，当被监视的工业控制无线传感网实体出现违反规则的通信行为时发出告警。有研究者利用过程控制系统网络通信具有严格时间规律的特点，收集工业控制系统中数据报节拍信息，当过程控制系统实际通信数据报时间节拍违反原定节拍规律时产生报警。有研究者建立工业控制蜜罐系统，捕获各种入侵的特征并由此生成入侵检测规则。此外，也有一些研究从被控物理系统入手检测入侵。例如，有研究者利用工业控制系统输入决定输出的特性，依据控制工艺要求建立控制系统的近似数学模型，由输入预测输出，之后比较实测输出信号与预测输出信号，利用陡变检测算法检测异常。

入侵或攻击工业控制系统的基本目标之一是破坏工业生产，制造物理损失或危及人员安全。通常的攻击过程是通过信息设备控制实际物理设备，进而破坏工业生产。相应地，工业控制系统的入侵和攻击范围跨越信息设备、控制器和被控物理设备。现有从IT系统组件入手检测工业控制系统入侵的方法沿用IT系统入侵检测思路，未能充分考虑工业控制通信网络实时性、周期性的特点，也未能充分考虑工业控制设备之间的主从关系，不仅误报率、漏报率高，而且影响原有控制系统的控制精度，甚至降低原有控制系统的可用性。而现有从被监测物理系统入手检测工业控制系统入侵的方法需要建立控制系统近似数学模型，但建立控制系统的近似数学模型本身就是艰难的工作，况且实际工业生产中很多控制过程无法用数学模型表示，并且无法判断异常是由于攻击引起还是由物理噪声引起，缺乏实用性。

发明内容

本发明的目的在于克服上述已有技术的不足，提出一种不影响原有控制系统控制可用性的基于通信模型的工业控制系统的入侵检测方法及系统，在保证实用性的同时，最大限度地提高入侵检测的准确率，降低漏报率和误报率。

本发明通过以下技术方案实现：

一种基于通信模型的工业控制系统的入侵检测方法，包括建立工业控制系统通信模型步骤和入侵检测步骤：首先建立工业控制系统通信模型和通信规则，所述的通信模型包含节点信息和通信连接信息；工业控制系统通信模型建立之后，以通信模型为基础产生合法通信规则集，在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习，建立通信模型并生成通信规则集；然后在工业控制网络中部署探测器，捕获数据报，由数据报分析并提取通信连接信息，与所述生成的合法通信规则集进行比对，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并重新进行学习。

其中建立系统通信模型采用以下方法：

第一步，捕获数据报；实时从数据链路层捕获数据报；

第二步，将实时捕获的数据报或由已有数据报文件取得的数据报，按照时间戳的顺序存储到数据报队列中，然后进行协议分析；

第三步，进行通信周期分析，分析两个节点之间每次通信连接的起始时间和结束时间，获取通信周期；

第四步，生成通信模型：根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型，并将通信模型数据存入通信模型库；

第五步，分析主从关系：实际工业控制系统中包含多个互不连通的子系统，则为每个子系统分别建立通信模型，生成通信规则以及进行入侵检测，设通信模型库中存储的信息为一个有向图，对该有向图进行遍历，获取所有主从关系域信息，为每个主从关系与生成轮询顺序函数；

第六步，生成通信规则：由通信模型库以及主从分析结果生成通信规则库。

其中第一步中只捕获感兴趣的数据报。

其中第一步中预先设定过滤规则，采用捕获前过滤的方式，过滤掉不符合规则的数据报。

其中第一步中捕获数据报时为数据报打时间戳，对加有时间戳的数据报进行实时分析，或将加有时间戳的数据报存储为数据报文件。

其中第二步根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串，对过滤后的协议进行通信连接分析，通信模型中也只建立协议过滤后的通信连接关系，若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配，则判别为未知协议数据报，此时只识别数据链路层地址，而将数据链路层的协议数据单元PDU直接作为负载二进制位串；对每个通信连接加上时间信息，协议分析之后的数据报信息包含本次通信的开始时间和结束时间；对于面向连接的通信，结束时间大于开始时间；对于非面向连接的通信，结束时间等于开始时间。

其中第二步中协议分析将两个节点之间的每次通信的属性信息作为一条记录存储到通信记录库中。

第四步所述的预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写，包括节点上的所有“协议-地址”信息对。

其中采用“指导”与“探测”相结合的方法建立通信模型，所述的“指导”是以指先验知识为指导生成模型的部分信息，工业控制系统设计说明书中有控制部件、计算和信息部件以及通信部件的详细设计说明，以此为基础确定模型中的节点信息、节点之间的主从关系以及拓扑信息；所述的“探测”是指使用探测工业控制系统通信数据报的方法获取模型的部分信息；在工业控制系统部署探测器探测网络通信数据报，对探测得到的网络通信数据进行分析和挖掘，提取通信连接信息。

其中入侵检测采用以下方法：

步骤一，根据报文过滤规则实时捕获数据报，存入数据报队列；

步骤二，根据协议过滤规则、工控协议描述文件分析数据报队列数据，分析结果并存入通信记录队列；

步骤三，对通信记录队列进行通信周期分析和主从关系分析，把分析结果传给异常告警模块做进一步分析；

步骤四，异常告警分析：实时接收通信周期分析、主从关系分析的结果并进行综合分析，对比规则库中的通信规则，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并转入重新学习，重新构建通信模型和通信规则库。

一种基于通信模型的工业控制系统的入侵检测系统，包括多个数据报探测器和一个IDS分析检测主机；其中IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块；其中：

系统配置模块用于提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置功能；

系统响应模块用于针对分析检测模块传来的告警按照策略进行响应；

通信模型与通信规则生成模块用于提供在系统未发生攻击状态下的通信建模和通信规则生成功能；

分析检测模块用于实时检测从工业控制系统网络中捕获的报文，验证报文的通信连接是否符合之前生成的通信规则，若有违反通信规则的通信连接则产生告警信息发送给系统响应模块；

数据报探测器用于探测工业控制网络数据报，接收IDS分析检测主机配置的报文过滤规则，并给探测到的数据报打时间戳。

各个数据报探测器与IDS分析检测主机保持时钟同步。

本发明的有益效果：

本发明充分考虑工业控制通信网络的实时性、周期性，以及工业控制设备的主从工作模式的基础上，提出了一种工业控制系统网络通信模型，该模型具有描述多种工业控制通信协议及节点间不同层次通信连接的能力以及描述通信连接的实时性、周期性和主从关系的能力，模型描述能力超过了已有工业控制网络模型描述能力。本发明以该模型为基础提出了模型建立方法和用于入侵检测的工业控制系统异常检测方法以及入侵检测系统。本发明在保证实用性的同时，最大限度地提高入侵检测的准确率，降低漏报率和误报率

附图说明

图1为本发明建立系统通信模型流程图；

图2为本发明入侵检测流程图；

图3为本发明基于通信模型的工业控制系统的入侵检测系统原理图。

具体实施方式

本发明将工业控制系统中具备计算和/或通信功能和/或控制功能的设备统称为节点。节点可以是工控机、PLC、IED、RTU、HMI、SCADA服务器、计算服务器、Historian服务器、OPC服务器、通信服务器、前置机、交换机、路由器和通信网关等。本发明的范畴涉及由节点及通信线路组成的工业控制网络。

本发明的通信模型用以描述工业控制系统节点间不同类型的通信关系，工业控制网络的基本通信关系是一个有向图G＝(V,E)，其中V是顶点的集合，E是有向边的集合。将工业控制网络中的节点建模为图的顶点，将节点之间的通信连接建模为有向边，边的方向有信源指向信宿(当通信连接为非面向连接的通信时)或由连接发起方指向目标方(当通信连接为面向连接的通信时)。本发明以有向图为基础构建工业控制系统通信模型。

在工业控制系统中，一个节点可以与多个节点通信，可以使用不同的通信协议。为此，定义Attr_v＝{(protocol_i,addr_i),i∈}为节点v的属性的集合，其中protocol_i为节点v运行的第i个协议，addr_i为节点v运行protoco_il协议的实体的地址。令A＝{Attr_v|v∈V}，定义节点v的属性指派函数为f_v:使得f_v(v)＝Attr_v。函数f_v给节点v指派一个属性集合。节点之间的数据通信有实时和非实时、周期和非周期之分。定义集合I＝{rt,nrt}表示通信连接的实时性，其中rt和nrt分别表示实时与非实时。定义集合Peri＝{t|t∈}表示通信连接的周期性，其中t为通信周期(周期通信t＞0，非周期通信t＝-1)。定义集合P＝{pType}表示通信连接的协议类型，其中pType表示协议类型，如TCP、UDP、Modbus、PROFIBUS和DeviceNet等。定义CType＝I×Peri×P为通信连接类型集。设A、B是两个节点，以协议protocol_i通信，则pType＝protocol_i。在工业控制系统中，某些节点具有主从关系(主站和从站的关系)，定义集合MSR＝{master,slave,na}，其中master和slave分别表示“主从”关系中的主和从，na表示非主也非从。若节点A和节点B之间的某个通信连接具有主从关系，则主节点为master，从节点为slave；若该连接不具有主从关系，则两个均为na。令将两个节点之间的通信连接建模为 $E\⊆W\×W\×\mathrm{CTyp},\∀e\∈E,$ 有 $e=(v_s,{\mathrm{protocol}}_i,{\mathrm{addr}}_{i_s},{\mathrm{msr}}_s,v_d,{\mathrm{protocol}}_i,{\mathrm{addr}}_{i_d},{\mathrm{msr}}_d,i,\mathrm{peri},{\mathrm{protocol}}_i),$ 其中v_s为通信连接起点，v_d为通信连接终点，protocol_i为该连接的通信协议，为起点的协议地址，为终点的协议地址，msr_s为起点主从关系属性，msr_d为终点主从关系属性，i为连接的实时性属性，peri为连接的周期性属性。工业控制系统的两个节点之间可以存在多个连接，此时两个节点之间有多条有向边。

设e∈E是一个具有主从关系的通信连接，则由工业控制系统主站从站关系可知必有(msr_s＝master)∧(msr_d＝slave)或(msr_s＝slave)∧(msr_d＝master)。本发明称在此通信连接中具有master属性的节点为通信连接e的主节点，具有slave属性的节点为通信连接e的从节点。设 ${\mathrm{MSRD}}_{v_m}=\{v_m,v_{s_1},v_{s_2},...,v_{s_n}\}\⊆V$ 为具有如下性质的集合：j＝1,2,…,n，存在具有主从关系的通信连接e，使得v_m为通信连接e的主节点，v_j为通信连接e的从节点。称为G中的一个主从关系域。在工业控制系统通信中，主站周期性轮询每个从站。为描述轮询关系，定义轮询顺序函数函数 对i＝1…n，为轮询顺序值。

令FV＝{f_v|v∈V}，FM＝{|v_m∈V且v_m为某个主从关系域中的主节点}，则一个工业控制系统的通信网络模型为元组T＝＜V,E,A,CType,MSR,FV,FM＞，其中V为节点的集合，E为通信连接有向边的集合，A是所有节点的属性集构成的集合，CType是通信连接类型的集合，MSR是通信连接两个顶点主从属性的集合，FV是节点的属性指派函数的集合，FM是所有主从关系域的轮询函数的集合。

本通信模型具有描述多种工业控制通信协议及节点间不同层次通信连接的能力以及描述通信连接的实时性、周期性和主从关系的能力。通信规则设T＝＜V,E,A,CType,MSR,FV,FM＞是一个工业控制系统的通信模型。则本发明的通信规则集为F＝E∪FM。

在工业控制网络中部署探测器，捕获数据报，由数据报分析并提取通信连接信息，与阶段1生成的合法通信规则进行比对，若有违反该合法通信规则集的通信连接则产生告警。实际使用时要对告警进行进一步确认。若发现入侵，则调用系统响应模块采取相应的响应策略。若实际检测有误，则进行分析并转入阶段1重新学习。这样随着系统运行时间的推移，可以逐步提高检测精度。

通信模型与通信规则的生成方法如下：

第一步，捕获数据报。实时从数据链路层捕获数据报。在实际的模型建立过程中并不需要捕获所有的数据报，只需要捕获感兴趣的数据报否则就会产生很多垃圾数据，造成捕获性能瓶颈。需要预先设定过滤规则，例如设置站过滤、协议过滤、服务过滤等过滤规则。为了提高系统的效率，本发明采用捕获前过滤的方式，过滤掉不符合条件的数据报。捕获数据报时为数据报打时间戳。可以对加有时间戳的数据报进行实时分析，也可将加有时间戳的数据报存储为数据报文件。

第二步，进行协议分析。在进行协议分析时，将实时捕获的数据报或由已有数据报文件取得的数据报，按照时间戳的顺序存储到数据报队列中，然后进行协议分析。协议分析的任务是根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串等。工业控制系统中可能同时运行不同层的多种协议，例如使用Modbus/TCP、HTTP协议、传送I/O数据的UDP协议等。因此协议分析需对不同层的协议进行分析。例如，节点A到节点B发起一个Modbus/TCP通信连接，则可以看做A到B有两个通信连接，一个TCP连接和一个Modbus连接。TCP连接的地址由“IP地址+TCP端口号”构成，TCP承载的Modbus数据为TCP连接的负载二进制位串。而Modbus连接的地址为“IP地址+TCP端口号+Modbus协议附加地址”，Modbus协议中的功能码和数据作为Modbus连接的负载二进制位串。为了在通信模型中减少不必要的通信连接，提高检测效率，在实际应用中可预定义协议过滤规则。协议分析只对过滤后的协议进行通信连接分析，通信模型中也只建立协议过滤后的通信连接关系。若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配，则判别为未知协议数据报，此时只识别数据链路层地址，而将数据链路层的协议数据单元PDU直接作为负载二进制位串。此外，对每个通信连接还需加上时间信息。协议分析之后的数据报信息包含本次通信的开始时间和结束时间。对于面向连接的通信，结束时间大于开始时间；对于非面向连接的通信，结束时间等于开始时间。协议分析将两个节点之间的每次通信的如上属性信息作为一条记录存储到通信记录库中。

第三步，进行通信周期分析。分析两个节点之间每次通信连接的起始时间和结束时间，获取通信周期。

第四步，生成通信模型。根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型。预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写，包括节点上的所有“协议-地址”信息对。通信模型数据存入通信模型库。工业控制系统通信模型所需其它信息由前述步骤中的分析结果得到。

第五步，分析主从关系。若实际工业控制系统中包含多个互不连通的子系统，则可以为每个子系统分别建立通信模型，生成通信规则以及进行入侵检测，因此不妨假设只对一个连通的工业控制网络进行建模和分析，所以可设通信模型库中存储的信息是一个有向图。对该有向图进行遍历，获取所有主从关系域信息，为每个主从关系与生成轮询顺序函数 的值由“探测”过程建立。

第六步，生成通信规则。由通信模型库生以及主从分析结果生成通信规则库。通信规则库中的规则是通信白名单。

异常检测方法如下：

第一步，捕获数据报。根据报文过滤规则实时捕获数据报，存入数据报队列。

第二步，协议分析。根据协议过滤规则、工控协议描述文件分析数据报队列数据，分析结果存入通信记录队列。

第三步，对通信记录队列进行通信周期分析和主从关系分析，把分析结果传给异常告警模块做进一步分析。

第四部，异常告警分析。实时接收通信周期分析、主从关系分析的结果并进行综合分析，对比规则库中的通信规则，若有违反该合法通信规则集的通信连接则产生告警。实际使用时要对告警进行进一步确认。若发现入侵，则调用系统响应模块采取相应的响应策略。若实际检测有误，则进行分析并转入重新学习，重新构建通信模型和通信规则库。

(1)数据报的捕获方法

本发明采用被动测量的方法捕获数据链路层数据报。根据实际工业控制网络情况，在控制网络中部署多个数据报探测器。数据报探测器可通过交换机端口镜像、路由器检测端口、多路转发(例如使用分光器)或链路串接等方式获取链路层数据报。

若同一数据报被多个探测器捕获，则会造成重复分析，降低系统性能。本发明的解决办法是在报文过滤规则中为探测器定义报文过滤规则，利用精心定义的报文过滤规则确保任意两个节点之间的数据报在传输链路上被捕获且只被捕获一次。

(2)时钟获取方法

本发明需要分析数据报的时间特性，为保证分析的准确性，需要同步各个探测器和分析检测主机的时间。若原工业控制网络是时间同步网络，则可以让探测器和分析检测主机的时间都取自控制网络时间。否则可将探测器和分析检测主机组成单独的同步网络，一种可行的方法是让探测器和分析检测主机独立组成网络，运行IEEE1588精确时间同步协议。

(3)计算数据报通信周期算法

先要从数据报时间序列中区分出周期性数据报和非周期数据报，然后计算周期。由于通信链路的原因，周期性数据报的时间间隔不会是固定值，而是落在一个范围内。需要由不确定的时间序列计算出周期值，并指出周期阈值。

计算数据报周期算法最终实现的功能主要有以下两个方面：

●在混杂的信息流中能区分周期数据报和非周期数据报；

●估计周期数据报的传输周期。

本发明提出的算法主要可以分为三个步骤：首先要对所有可能的数据报进行模式收集，并按照(源地址,目的地址,负载二进制位串)的格式记录和保存构成基础模式集合；正常运行工控网络时开始进入数据收集阶段，每捕捉到一个数据包打包成(源地址,目的地址,负载二进制位串)格式后与基础模式集合中的模式进行对比，判断该数据报的模式类型；匹配相同模式后进行数据分析，计算并记录与上一个相同模式数据报之间的时间差，当同模式数据报数量超过M，且最新m(m＜M)个时间差的非周期指标小于时，即认为该模式为周期模式，负载二进制位串为周期数据报，其周期为时间差均值。

a)基础模式生成

对数据报模式进行收集时，所以数据报按照(源地址,目的地址,负载二进制位串)的格式记录在同一个模式表格中构成模式集合。

b)实时数据收集

实时数据收集阶段是对捕捉到的所有数据报进行模式匹配。因为在工控网络中数据报类型是有限的，数据格式固定，因此捕捉到的数据报的模式(源地址,目的地址,负载二进制位串)是有限的。采用模式匹配算法匹配实时捕获到的数据报模式是否与已知基础模式集中的模式匹配，若存在匹配模式，则转入下述步骤c)，否则认为当前数据报模式是一种新的模式，将其加入数据报基础模式集。

c)数据分析

进行模式匹配后，查找本模式上一个数据报到达时间并计算时间差，更新上一个数据报到达时间为自己的到达时间。

记录时间差并更新时间差数目，记X_l为该模式第l个时间差，当时，计算时间差均值 $X_P=\frac{\underset{l=1}{\overset{i}{\mathrm{\Σ}}}{X}_l}{i};$ 当时计算时间差均值 $X_P=\frac{X_P\×(i-1)+X_i}{i}$ 和模式非周期指标、。

其中非周期指标、计算方法如下所示：

$\max \mathrm{RE}=\max \left\{\right|\frac{X_{i-l}-X_P}{X_P}\left|\right|l=\mathrm{1,2},...,m\}$

$\mathrm{MRE}=\frac{1}{m}\underset{l=1}{\overset{m}{\mathrm{\Σ}}}\left|\frac{X_{i-l}-X_p}{X_p}\right|$

更具不同的精度需求拟定阈值，当α≤MRE时认为该模式周期性状不明显，即该基础模式为非周期模式，该数据报为非周期数据报；否则认为该数据报为周期数据报，其周期为X_P。

(3)主从关系检测算法

在工业控制系统中，具有主从关系的节点之间的通信模式是：当主站请求时，从站才能活动。主站周期性轮询每个从站。主站和从站之间的一个报文循环由主站发出的请求帧(轮询报文)和由从站返回的应答帧/响应帧组成。从站在没有收到来自主站的请求时，不会发送数据，所以从站之间不能通信。一个主站可以有多个从站，一个系统中可能有多主站共存。

通常的工业控制数据包格式为

地址

功能码

数据

校验码

设主站请求功能码为REQ，从站响应功能码为RES。通过功能码可以判定是请求报文还是响应报文。

设T＝＜V,E,A,CType,MSR,FV,FM＞是一个工业控制系统的通信模型，是T中的一个主从关系域。 是上的轮询顺序函数。则可采用的主从关系检测算法如下：

本发明的入侵检测系统由多个数据报探测器和一个IDS分析检测主机构成，IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块。其中系统配置模块提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置等配置功能；系统响应模块针对分析检测模块传来的告警按照特定的策略进行响应；通信模型与通信规则生成模块提供在系统未发生攻击状态下的通信建模和通信规则生成功能，分析检测模块负责实时检测从工业控制系统网络中捕获的报文，验证报文的通信连接是否符合之前生成的通信规则，若有违反通信规则的通信连接则产生告警信息发送给系统响应模块。

本系统的数据报探测器负责探测工业控制网络数据报。系统中可以有多个数据报探测器。数据报探测器与IDS分析检测主机之间通过专用线路通信。数据报探测器接收IDS主机配置的报文过滤规则。数据报探测器给探测到的数据报打时间戳。各个数据报探测器与IDS分析检测主机保持时钟同步。

本发明可检测攻击的能力举例：

例1：蠕虫病毒。若工业控制系统中某个节点感染了蠕虫病毒，则该节点会向网络中发出扫描探测报文。其扫描探测报文的通信连接模式与本发明建立的工业控制系统通信规则不符，此时IDS分析检测主机将产生报警。

例2：控制命令注入。若工业控制网络中被注入了控制命令，则该控制命令报文的周期与控制命令的原有周期不符，此时IDS分析检测系统将检测出命令周期异常，产生报警。

例3：有控制命令劫持导致的主站和从站之间的主从通信时序和轮询顺序混乱。一个典型的实例是Stunex病毒可以劫持西门子工业控制系统的控制命令，使西门子S7-300PLC在启动和停止之间切换。若主站和从站中有S7-300PLC时，其主从通信时序和轮询顺序关系将出现混乱。若有类似的控制名利劫持，本发明中的主从分析检测模块将产生告警。

根据实际工业控制网络情况，在控制网络中部署多个数据报探测器。数据报探测器可通过交换机端口镜像、路由器检测端口、多路转发(例如使用分光器)或链路串接等方式获取链路层数据报。

数据报探测器与IDS分析检测主机之间组成入侵检测系统，数据报探测器与IDS主机之间使用独立于工业控制网络的通信网络。入侵检测系统使用IEEE1588精确时间同步协议同步IDS分析主机和数据报探测器的时间。

IDS分析检测主机采用安全计算平台。IDS分析检测主机运行系统通信模型与通信规则生成模块、分析检测模块、系统配置模块和系统响应模块。系统配置模块提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置。IDS将报文过滤规则下发到报文探测器，报文探测器依据报文过滤规则捕获报文并传给IDS分析检测主机。

系统运行分为两个阶段：阶段1是建立工业控制系统通信模型和通信规则。在工业控制系统安装调试阶段以及尚未发生生攻击阶段进行学习，建立通信模型并生成通信规则集。阶段2是入侵检测阶段。当在阶段2发现有误报时，对误报原因进行分析，在人工指导下转入阶段1重新构建工业控制系统通信模型和通信规则，之后再进入阶段2。

Claims (10)

1.一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：包括建立工业控制系统通信模型步骤和入侵检测步骤：首先建立工业控制系统通信模型和通信规则，所述的通信模型包含节点信息和通信连接信息；工业控制系统通信模型建立之后，以通信模型为基础产生合法通信规则集，在工业控制系统安装调试阶段以及尚未发生攻击阶段进行学习，建立通信模型并生成通信规则集；然后在工业控制网络中部署探测器，捕获数据报，由数据报分析并提取通信连接信息，与所述生成的合法通信规则集进行比对，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并重新进行学习。

2.如权利要求1所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中建立系统通信模型采用以下方法：

第一步，捕获数据报；实时从数据链路层捕获数据报；

第二步，将实时捕获的数据报或由已有数据报文件取得的数据报，按照时间戳的顺序存储到数据报队列中，然后进行协议分析；

第三步，进行通信周期分析，分析两个节点之间每次通信连接的起始时间和结束时间，获取通信周期；

第四步，生成通信模型：根据通信周期分析结果、通信记录库条目和预定义的节点描述文件生成通信模型，并将通信模型数据存入通信模型库；

第五步，分析主从关系：实际工业控制系统中包含多个互不连通的子系统，则为每个子系统分别建立通信模型，生成通信规则以及进行入侵检测，设通信模型库中存储的信息为一个有向图，对该有向图进行遍历，获取所有主从关系域信息，为每个主从关系与生成轮询顺序函数；

第六步，生成通信规则：由通信模型库以及主从分析结果生成通信规则库。

3.如权利要求2所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中第一步中只捕获感兴趣的数据报。

4.如权利要求3所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中第一步中预先设定过滤规则，采用捕获前过滤的方式，过滤掉不符合规则的数据报。

5.如权利要求3所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中第一步中捕获数据报时为数据报打时间戳，对加有时间戳的数据报进行实时分析，或将加有时间戳的数据报存储为数据报文件。

6.如权利要求2或3或4或5所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中第二步根据预定义的工控协议描述文件识别协议类型、信源地址、信宿地址、负载二进制位串，对过滤后的协议进行通信连接分析，通信模型中也只建立协议过滤后的通信连接关系，若报文格式与预定义工控协议描述文件中的任何一个协议均不匹配，则判别为未知协议数据报，此时只识别数据链路层地址，而将数据链路层的协议数据单元PDU直接作为负载二进制位串；对每个通信连接加上时间信息，协议分析之后的数据报信息包含本次通信的开始时间和结束时间；对于面向连接的通信，结束时间大于开始时间；对于非面向连接的通信，结束时间等于开始时间。

7.如权利要求6所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：第四步所述的预定义的节点描述文件依据工业控制系统设计文档或系统组态文件编写，包括节点上的所有“协议-地址”信息对。

8.如权利要求7所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中采用“指导”与“探测”相结合的方法建立通信模型，所述的“指导”是以指先验知识为指导生成模型的部分信息，工业控制系统设计说明书中有控制部件、计算和信息部件以及通信部件的详细设计说明，以此为基础确定模型中的节点信息、节点之间的主从关系以及拓扑信息；所述的“探测”是指使用探测工业控制系统通信数据报的方法获取模型的部分信息；在工业控制系统部署探测器探测网络通信数据报，对探测得到的网络通信数据进行分析和挖掘，提取通信连接信息。

9.如权利要求1所述的一种基于通信模型的工业控制系统的入侵检测方法，其特征在于：其中入侵检测采用以下方法：

步骤一，根据报文过滤规则实时捕获数据报，存入数据报队列；

步骤二，根据协议过滤规则、工控协议描述文件分析数据报队列数据，分析结果并存入通信记录队列；

步骤三，对通信记录队列进行通信周期分析和主从关系分析，把分析结果传给异常告警模块做进一步分析；

步骤四，异常告警分析：实时接收通信周期分析、主从关系分析的结果并进行综合分析，对比规则库中的通信规则，若有违反该合法通信规则集的通信连接则产生告警；若发现入侵，则调用系统响应模块采取相应的响应策略，若实际检测有误，则进行分析并转入重新学习，重新构建通信模型和通信规则库。

10.一种基于通信模型的工业控制系统的入侵检测系统，其特征在于：包括多个数据报探测器和一个IDS分析检测主机；其中IDS分析检测主机包含系统配置模块、系统响应模块、通信模型与通信规则生成模块以及分析检测模块；其中：

系统配置模块用于提供节点描述文件、工控协议描述文件、协议过滤规则、报文过滤规则的配置功能；

系统响应模块用于针对分析检测模块传来的告警按照策略进行响应；

通信模型与通信规则生成模块用于提供在系统未发生攻击状态下的通信建模和通信规则生成功能；

分析检测模块用于实时检测从工业控制系统网络中捕获的报文，验证报文的通信连接是否符合之前生成的通信规则，若有违反通信规则的通信连接则产生告警信息发送给系统响应模块；

数据报探测器用于探测工业控制网络数据报，接收IDS分析检测主机配置的报文过滤规则，并给探测到的数据报打时间戳。