CN110086810B - 基于特征行为分析的被动式工控设备指纹识别方法及装置 - Google Patents

Abstract

本发明公开了一种基于特征行为分析的被动式工控设备指纹识别方法和装置。利用采集的特征指纹样本训练分类器模型，确定分类器的关键参数，为指纹识别提供分类器模型；利用训练好的分类器模型，对工控设备进行指纹识别，具体为对待测设备指纹是否属于原已知设备进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常；基于这两种参数生成的特征指纹可有效地判断终端设备是否异常，系统是否遭受入侵，以及有效地检测虚假的响应消息或控制指令。该方法解决了现有的被动式入侵检测方法获取信息量少、不能有效检测入侵行为的技术问题，并且提出了工控系统终端设备指纹生成和识别方案。

Description

基于特征行为分析的被动式工控设备指纹识别方法及装置

技术领域

本发明涉及工业控制系统设备指纹识别技术领域，尤其涉及基于特征行为分析的被动式工控设备指纹识别方法及装置。

背景技术

工业控制系统广泛应用于工业生产、电力、能源、水利以及交通运输等行业，其系统构成主要包括数据采集与监测系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)等，是实施实时数据采集、状态监测与过程控制的自动化系统。随着通讯技术与网络技术的发展，以及工业生产中对数据与指令的高速传输、高速处理等要求，工业控制系统中的通讯网络不再局限于现场总线网络，而是将以太网以及Wi-Fi、蓝牙等无线网络融入其中，构成了复杂的多标准、多协议的工业控制系统通讯网络，同时工业控制系统网络所面临的安全挑战也更为严峻。

在工业控制系统中，数据、命令以数据包的形式在通讯网络中交换、传输，很容易遭受来自互联网的恶意攻击，例如数据恶意篡改、虚假数据注入等，一旦遭受这些恶意攻击，工业控制系统中的PLC、RTU等设备极大可能无法正常工作甚至导致整个系统崩溃；另一方面，这些设备也可能被恶意地替换为承载恶性木马或者病毒的设备，以便从工业控制系统中盗取信息甚至进行非法操作。通过指纹识别方法进行设备身份识别可以发现工控系统的脆弱性，可以将设备指纹识别技术与漏洞入侵检测技术结合起来以检测工控系统的网络是否异常及其所遭受的攻击类型。在设备指纹识别领域，由于工业控制网络设备在资源配置、传输网络和时间响应上与传统互联网存在很大差别，传统互联网上的大多数设备指纹识别方法，在工控网络中已不再适用。工控网络要求网络实时响应和持续运行，而且工控网络中的设备往往都是资源受限的，设备运行需要特定的软件配置和无干扰的运行环境，这使得大多数主动式的指纹识别可能干扰工控网络设备的正常运行，使系统不再满足这一要求而变得不稳定，而已有的被动式指纹识别技术所提供的信息却十分有限，很难达到精确识别设备的要求；往往被动式指纹识别还需要设备进行特殊的配置，例如启用TCP选项。

因此，在工控网络中，现有的可能对系统产生干扰的主动式指纹识别技术，以及传统适用于互联网络中提供信息十分有限的被动式指纹识别技术，均很难满足准确识别工控系统设备以及保障系统安全的要求。

发明内容

本发明提供一种基于特征行为分析的被动式工控设备指纹识别方法及装置，用于解决传统的适用于互联网中主动式的和被动式的设备指纹识别技术不能有效地适用于工控网络设备的指纹识别以及有效地检测系统异常和网络入侵行为的技术问题，并且提出了工控网络设备指纹生成和识别方案，为工控网络的异常检测和攻击行为分析提供一种新的识别机制。

为了实现上述任务，本发明采取如下的技术解决方案：

基于特征行为分析的被动式工控设备指纹识别方法，包括以下步骤：

S5：利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为S6的指纹识别提供设备身份模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对设备进行指纹识别的分类器模型均在此范围之内；

S6：利用S5训练好的设备身份模型，对工控系统中生成的设备指纹进行识别，具体为对待测设备指纹是否属于原已知设备进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络设备指纹识别。

优选地，所述步骤S5之前还包括：

S1：配置终端设备的事件上报或事件时间记录模块；

其中，该配置为获取设备物理指纹提供必要的前提条件。对于不同的工控网络协议可以有不同的配置方式，但目的均在于获取终端的物理操作时间。对于Modbus协议可配置终端的事件时间戳记录模块，对于DNP3协议可配置终端的事件主动上报模块。

S2：获取IP、Slave ID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系。

其中，IP、Slave ID作为通信过程中终端设备最基本的标识，也是设备指纹的训练标签。识别某个事件的设备身份是否正常，本质上即是识别某一事件是否来自具有特定IP以及特定Slave ID的响应设备。同一个设备可能控制着不同的执行机构(继电器、电磁阀等)，而控制寄存器的地址与这些执行机构一一对应。所以，控制寄存器可进一步作为某一终端设备的某一执行机构的标识。

优选地，所述步骤S5之前还包括：

S3：监听工控系统网络的通讯信息；

S4：对监听的信息进行内容解析，特征提取，设备指纹生成等操作。

优选地，所述步骤S4具体包括：

S401：对监听的信息进行内容解析；

S402：对监听内容解析后的信息进行特征提取；

S403：基于提取的特征生成设备指纹。

优选地，所述步骤S401具体包括：

基于工业控制系统网络通讯的特点，从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳等信息，如果是工控网络协议包(Modbus TCP、DNP3)，还需解析出协议内容。例如对于Modbus，还需要解析功能号、寄存器地址、响应状态等信息。

优选地，所述步骤S402具体包括：

从内容解析后的监听信息提取特征，即是提取跨层响应时间和物理操作时间两种特征。

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔。

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成动作(如继电器闭合)这一事件消息的时间戳，计算两者的时间间隔。

优选地，所述步骤S403具体包括：

对步骤S402所提取的n个时间间隔序列生成概率密度分布直方图，该概率密度分布直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，(i＝1，2，……k)，则生成的指纹为[m₁，m₂，…,m_k]。

其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

优选地，所述步骤S5具体为：

利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为S6的指纹识别提供分类器模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对特征指纹识别的分类器模型均在此范围之内；

优选地，所述步骤S6具体为：

利用S5训练好的分类器，对工控系统中生成的设备指纹进行训练测试，具体为对待测设备指纹是否属于原已知设备进行双分类分析，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间间隔的概率密度函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络设备指纹识别。

优选地，所述步骤S6之后还包括：

S7：将设备指纹识别结果，即设备身份为正常或者异常的判断结果发送到控制中心，以便控制中心进一步作出决策。

本发明实施例提供的一种基于两种不同设备特征(跨层响应时间和物理操作时间)分析的被动式工控系统设备指纹识别装置，包括：

分类器训练模块：用于利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供设备身份模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对设备指纹识别的分类器模型均在此范围之内；

设备指纹识别模块：用于利用分类器训练模块训练好的设备身份模型，对工控系统中生成的设备指纹进行识别，具体为对待测设备指纹是否属于原已知设备指纹进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间间隔的概率密度函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络进行设备指纹识别。

优选地，本发明实施例还包括：

终端设备协议配置模块：配置终端设备的事件上报或事件时间记录模块；

其中，该配置为获取设备物理指纹提供必要的前提条件。对于不同的工控网络协议可以有不同的配置方式，但目的均在于获取终端的物理响应时间。对于Modbus协议可配置终端的事件时间戳记录模块，对于DNP3协议可配置终端的事件主动上报模块。

终端设备信息获取模块：获取IP、Slave ID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系。

其中，IP、Slave ID作为通信过程中终端设备最基本的标识，也是设备指纹的训练标签。识别某个事件的设备身份是否正常，本质上即是识别某一事件是否来自具有特定IP以及Slave ID的设备响应。同一个设备可能控制着不同的执行机构(继电器、电磁阀等)，而控制寄存器的地址与这些执行机构一一对应。所以，控制寄存器可进一步作为某一终端设备的某一执行机构的标识。

优选地，本发明实施例还包括：

通讯信息监听模块：监听工控系统网络的通讯信息；

通讯信息处理模块：对监听的信息进行内容解析，特征提取，设备指纹生成等操作。

优选地，所述通讯信息处理模块具体包括：

内容解析单元：对监听的信息进行内容解析；

特征提取单元：从监听内容解析后的信息进行特征提取；

指纹生成单元：基于提取的特征生成设备指纹。

优选地，所述内容解析单元具体包括：

基于工业控制系统网络通讯的特点，从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳等信息，如果是工控网络协议包(Modbus TCP、DNP3)，还需解析出协议内容。例如对于Modbus，还需要解析功能号、寄存器地址、响应状态等信息。

优选地，所述特征提取单元具体包括：

从监听内容解析后的信息中提取特征，即是提取跨层响应时间和物理操作时间两种特征。

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔。

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成动作(如继电器闭合)这一事件消息的时间戳，计算两者的时间间隔。

优选地，所述指纹生成单元具体包括：

对特征提取单元所提取的n个时间间隔序列生成概率密度分布直方图，该概率密度分布直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，(i＝1，2，……k)，则生成的指纹为[m₁，m₂，…,m_k]。

其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

优选地，所述分类器训练模块具体为：

利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供分类器模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络等，支持但不限于这几种分类器，其他能实现对特征的分类的分类器模型均在此范围之内；

优选地，所述设备指纹识别模块具体为：

利用分类器训练模块训练好的分类器，对工控系统中生成的设备指纹进行训练测试，具体为对待测设备指纹是否属于原已知设备进行双分类分析，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度分布函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络设备指纹识别。

优选地，本发明实施例还包括：

结果输出模块：将设备指纹识别结果，即设备身份为正常或者异常的判断结果发送到控制中心，以便控制中心进一步作出决策。

从以上技术方案可以看出，与现有技术相比，本发明具有以下优点：

本发明的指纹识别方法，在工业数据采集与监测系统(SCADA)环境下，利用工控系统的数据采集功能，分析终端设备的数据查询响应时间的概率密度函数(PDF)，生成基于设备跨层响应时间的特征指纹，该指纹仅依赖于设备类型和软件配置且与网络数据传输路径无关；利用工控系统的命令控制功能，分析终端设备的命令控制操作时间的概率密度函数，生成终端设备特有的基于物理操作时间的特征指纹。由于不同工控设备在跨层响应时间和物理操作时间两种参数中存在一定的差异性(取决于设备类型、设备软件配置、CPU负载、物理结构等)，利用该指纹信息可有效地判断终端设备身份是否异常、系统是否遭受入侵，同时有效地检测虚假响应消息或控制指令，解决了传统互联网中主动式的和被动式的设备指纹识别技术不能有效地适用于工控网络设备的指纹识别以及该技术无法有效地检测系统异常和网络入侵行为的技术问题，并且提出了工控网络设备指纹生成和识别方案，为工控网络的异常检测和攻击行为分析提供一种新的识别机制。

本发明的指纹识别装置，分类器训练模块利用采集的特征指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供设备身份模型；设备指纹识别模块利用分类器训练模块训练好的设备模型，对工控系统终端设备进行识别，分析终端设备的数据查询响应时间的概率密度函数，生成基于设备跨层响应时间的特征指纹，该指纹仅依赖于设备类型和软件配置且与网络数据传输路径无关；利用工控系统的命令控制功能，分析终端设备的命令控制操作时间的概率密度函数，生成终端设备特有的基于物理操作时间的特征指纹。利用该指纹信息可有效地判断终端设备身份是否异常、系统是否遭受入侵，同时有效地检测虚假响应消息或控制指令，解决了传统互联网中主动式的和被动式的设备指纹指纹识别技术不能有效地适用于工控网络设备的指纹识别以及该技术无法有效地检测系统异常和网络入侵行为的技术问题。

附图说明

图1为本发明实施例提供的基于特征行为分析的被动式工控设备指纹识别方法的一个实施例的流程图；

图2为本发明实施例提供的一个工控网络设备指纹识别应用例的网络拓扑结构示意图；

图3为在通讯过程中获取工控网络设备跨层响应时间的示意图；

图4为在通讯过程中获取工控网络设备物理操作时间的示意图；

图5为跨层响应时间的概率密度直方图，以此可生成基于跨层响应时间分析的设备指纹；

图6为本发明实施例提供的一种基于两种不同设备特征(跨层响应时间和物理操作时间)分析的被动式工控系统设备指纹识别装置的流程示意图。

图7为本发明实施例中通过所模拟的攻击者设备(IP：192.168.1.105)与被攻击设备(PLC B)分别获取的跨层响应时间的概率密度图；

图8为本发明实施例中通过所模拟的攻击者设备(IP：192.168.1.105)与被攻击设备(PLC B)分别获取的物理操作时间的概率密度图。

具体实施方式

为了更清楚地说明本发明实施例或现有技术中的具体方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

本发明提供一种基于特征行为分析的被动式工控设备指纹识别方法，用于解决传统互联网中主动式的和被动式的设备指纹指纹识别技术不能有效地适用于工控网络中设备的指纹识别以及有效地检测系统异常和网络入侵行为的技术问题，并且提出了工控网络设备指纹生成和识别方案，为工控网络的异常检测和攻击行为分析提供一种新的识别机制。

为使得本发明的发明目的、特征、优点更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清晰、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例提供的基于特征行为分析的被动式工控设备指纹识别方法的一个实施例，包括以下步骤：

S1：配置终端设备的事件上报或事件时间记录模块；

其中，该配置为获取设备物理操作时间提供必要的前提条件。对于不同的工控网络协议可以有不同的配置方式，但目的均在于获取终端的物理操作时间。对于Modbus协议可配置终端的事件时间戳记录模块，对于DNP3协议可配置终端的事件主动上报模块。

S2：获取IP、Slave ID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系。

其中，IP、Slave ID作为通信过程中终端设备最基本的标识，也是设备指纹的训练标签。识别某个事件的设备身份是否正常，本质上即是识别某一事件是否来自具有特定IP以及特定Slave ID的响应设备。同一个设备可能控制着不同的执行机构(继电器、电磁阀等)，而控制寄存器的地址与这些执行机构一一对应。所以，控制寄存器可进一步作为某一终端设备的某一执行机构的标识。

S3：监听工控系统网络的通讯信息；

S4：对监听的信息进行内容解析，特征提取，设备指纹生成等操作。

S5：利用采集的指纹样本训练设备身份模型，确定分类器的关键参数，为S6的指纹识别提供设备指纹模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对设备进行指纹识别的分类器模型均在此范围之内；

S6：利用S5训练好的分类器，对工控系统中生成的设备指纹进行识别，具体为对待测设备指纹是否属于原已知设备进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度分布函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络进行设备指纹识别。

S7：将设备指纹识别结果，即设备身份为正常或者异常的判断结果发送到控制中心，以便控制中心进一步作出决策。

步骤S4具体包括：

S401：对监听的信息进行内容解析；

S402：对监听内容解析后的信息进行特征提取；

S403：基于提取的特征生成设备指纹。

步骤S401具体包括：

基于工业控制系统网络通讯的特点，从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳等信息，如果是工控网络协议包(Modbus TCP、DNP3)，还需解析出协议内容。例如对于Modbus，还需要解析功能号、寄存器地址、响应状态等信息。

步骤S402具体包括：

从监听内容解析后的信息中提取特征，即是提取跨层响应时间和物理操作时间两种特征。

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔。

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成动作(如继电器闭合)这一事件消息的时间戳，计算两者的时间间隔。

步骤S403具体包括：

对步骤S402所提取的n个时间间隔序列生成概率密度分布直方图，该概率密度分布直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，(i＝1，2，……k)，则生成的指纹为[m₁，m₂，…,m_k]。

其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

步骤S5具体为：

利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为S6的指纹识别提供分类器模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对特征指纹识别的分类器模型均在此范围之内；

步骤S6具体为：

利用S5训练好的分类器，对工控系统中生成的设备指纹进行训练测试，具体为对待测设备指纹是否属于原已知设备进行双分类分析，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络设备指纹识别。

以上是对本发明实施例提供的基于特征行为分析的被动式工控设备指纹识别方法的一个实施例进行的详细描述，以下将对本发明实施例提供的基于特征行为分析的被动式工控设备指纹识别方法的一个应用例进行详细的描述。

本发明实施例提供的基于特征行为分析的被动式工控设备指纹识别方法的一个应用例。对于工控系统中这样一个入侵情景：在工控网络中，攻击者将个人电脑或者嵌入式设备接入了工控网络，监听并截取了控制中心发出的通讯流量，并向网络中注入错误的数据和错误的命令，导致工控系统失去对终端的正常控制或者无法获取正确的信息，从而使系统进入不稳定的危险状态。通过以下案例具体分析。

实施例

图2所示，终端PLC设备通过交换机，与控制中心通过交换机相连接。终端PLC可能控制着一些底层执行机构(如继电器)，并有反馈回路，可以记录使设备发生更改的事件及其对应的时间戳。攻击者使用自己的设备入侵网络的某个节点，在捕获到足够的信息后(比如该PLC B装置的IP地址、Slave ID、各寄存器的分布等)，屏蔽PLC B这一设备，并伪装成这一设备进行错误数据和错误命令的注入。

针对此类入侵情景，具体说明本发明中的基于特征行为分析的被动式工控设备指纹识别方法：

步骤S1：配置终端设备的事件上报或事件时间记录模块。这里使用Modbus和TCP协议，需要配置终端PLC B的事件发生时间记录模块。即当继电器触电状态发生变化时，PLC B在预设定好的寄存器中记录该事件以及事件发生的时间；然后控制中心通过对该寄存器进行轮询从而获取该事件发生的时间。

步骤S2：获取IP、Slave ID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系。这里PLC B的IP地址为192.168.1.105，由于没经过串口服务器，这里默认Slave ID为1，假定该PLC B所控制继电器的寄存器地址为0500。

步骤S3：监听并捕获工控系统网络的通讯信息。如果该设备指纹识别系统运行在控制中心上，在控制中心利用抓包工具(如Wireshark)直接抓取流量数据帧即可；如果该设备指纹识别系统独立于控制中心之外，则可以把流量抓包工具(通常配置在计算机上)通过带端口镜像功能的交换机等方式接入通讯链路，从而得以监听工控系统网络的通讯信息。

步骤S4：对监听的信息进行内容解析，特征提取，设备指纹生成。具体包括以下步骤：

步骤S401：基于工业控制系统网络通讯的特点，对通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳。如果是工控网络协议包(ModbusTCP、DNP3)，还需解析出协议内容。由于该应用例基于Modbus TCP通讯协议，所以需要进一步提取协议内的功能号、寄存器地址、响应状态信息。

步骤S402：从监听内容解析后的信息中提取特征，即是提取跨层响应时间和物理操作时间两种特征。

参照图3，对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔。

参照图4，对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成动作(如继电器闭合)这一事件消息的时间戳，计算两者的时间间隔。对于如何获取该事件发生的时间的问题已经在步骤S1作了说明。

对步骤S402所提取的n个时间间隔序列生成概率密度分布直方图，该概率密度分布直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，(i＝1，2，……k)，则生成的指纹为[m₁，m₂，…,m_k]。

其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

参照图4，这里给出指纹生成的一个实例，这里选n＝50，k＝30，l＝0.1ms，则对应的设备指纹信息为[0，0，0，0，0，0，0，0，0，0.022，0.077，0.110，0.122，0.111，0.106，0.129，0.129，0.174，0.020，0，0，0，0，0，0，0，0，0]。

S5：利用采集的指纹样本训练设备身份模型，确定分类器的关键参数，为S6的指纹识别提供设备指纹模型。这里选择K近邻分类器，基于这种分类算法特点，所采集的样本直接在分类过程中使用。注意此阶段采集的指纹样本为设备正常的指纹样本，即在系统未遭受入侵正常工作时设备的指纹样本，以此建立了设备指纹样本库。

S6：利用S5训练好的分类器，对工控系统中生成的设备指纹进行识别，具体为对待测设备指纹是否属于原已知设备进行双分类分析。由于使用K近邻分类器，若待测设备为攻击者的设备时，训练数据属于在设备训练阶段不存在的类别，可以通过阈值判断待测设备是否属于攻击者的设备。在这个应用情境中，攻击者使用了与原设备不同的设备(IP：192.168.1.105)，CPU负载不同、运行速度与原终端设备(PLC B)相比存在差异。这些差异导致了不同设备跨层响应时间概率分布的变化。同时继电器的物理响应过程通常存在一定的延时，所以物理操作时间的概率分布变化将更加明显，并且攻击者无从知道继电器的物理操作时间，导致基于从攻击者设备获取的跨层响应时间或者物理操作时间生成的指纹与原设备相比存在很大差异，并且差异明显超出阈值。因此判断原设备身份异常，系统遭受入侵。图7为通过所模拟的攻击者设备(IP:192.168.1.105)和原终端设备(PLC B)分别采集的跨层响应时间的概率密度分布图，图8为同等环境下物理操作时间的概率密度图，结果证明本方法可以很好地将异常设备和攻击者入侵事件检测出来。

S7：将设备指纹识别结果，即设备身份异常与否的判断结果发送到控制中心，以便控制中心进一步作出决策。

由以上叙述可得，利用本发明提出的设备指纹识别方法，可以有效地检测工控系统是否遭受攻击者的入侵，可以有效地将工控系统中的恶意设备识别出来。同时该方法为工控系统的入侵检测系统提供了一种有效的辅助手段，从而保障了工控系统的稳定安全运行。

本发明还提供了一种基于两种不同设备特征(跨层响应时间和物理操作时间)分析的被动式工控系统设备指纹识别装置进行详细的描述。

请参阅图6，本发明实施例提供的一种基于两种不同设备特征(跨层响应时间和物理操作时间)分析的被动式工控系统设备指纹识别装置，包括：

分类器训练模块5：利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供分类器模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络、支持向量机、随机森林等，支持但不限于这几种分类器，其他能实现对特征的分类的分类器模型均在此范围之内；

设备指纹识别模块6：利用分类器训练模块训练好的分类器，对工控系统中生成的设备指纹进行识别，具体为对待测设备指纹是否属于原已知设备进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度分布函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络设备指纹识别。

本发明实施例还包括：

终端设备协议配置模块1：配置终端设备的事件上报或事件时间记录模块；

其中，该配置为获取设备物理操作时间提供必要的前提条件。对于不同的工控网络协议可以有不同的配置方式，但目的均在于获取终端的物理响应时间。对于Modbus协议可配置终端的事件时间戳记录模块，对于DNP3协议可配置终端的事件主动上报模块。

终端设备信息获取模块2：获取IP、Slave ID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系。

其中，IP、Slave ID作为通信过程中终端设备最基本的标识，也是设备指纹的训练标签。识别某个事件的设备身份是否正常，本质上即是识别某一事件是否来自具有特定IP以及Slave ID的响应设备。同一个设备可能控制着不同的执行机构(继电器，电磁阀等)，而控制寄存器的地址与这些执行机构一一对应。所以，控制寄存器可进一步作为某一终端设备的某一执行机构的标识。

本发明实施例还包括：

通讯信息监听模块3：监听工控系统网络的通讯信息；

通讯信息处理模块4：对监听的信息进行内容解析，特征提取，设备指纹生成等操作。

优选地，所述通讯信息处理模块具体包括：

内容解析单元401：对监听的信息进行内容解析；

特征提取单元402：对监听内容解析后的信息进行特征提取；

指纹生成单元403：基于提取的特征生成设备指纹。

内容解析单元401具体包括：

基于工业控制系统网络通讯的特点，对通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳，如果是工控网络协议包(Modbus TCP、DNP3)，还需解析出协议内容，例如：对于Modbus，包括功能号、寄存器地址、响应状态等。

特征提取单元402具体包括：

从监听内容解析后的信息中提取特征，即是提取跨层响应时间和物理操作时间两种特征。

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔。

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成动作(如继电器闭合)这一事件消息的时间戳，计算两者的时间间隔。

指纹生成单元403具体包括：

对特征提取单元S402所提取的n个时间间隔序列生成概率密度分布直方图，该概率密度分布直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，(i＝1，2，……k)，则生成的指纹为[m₁，m₂，…,m_k]。

其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

分类器训练模块5具体为：

利用采集的指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供分类器模型。这里分类器可采用朴素贝叶斯、K近邻、前馈神经网络等，支持但不限于这几种分类器，其他能实现对特征的分类的分类器模型均在此范围之内；

设备指纹识别模块6具体为：

利用分类器训练模块训练好的分类器，对工控系统中生成的设备指纹进行识别，具体为对设备指纹是否属于原已知设备指纹进行双分类，若结果为：待测指纹属于原设备指纹，则判断设备身份正常；若结果为：待指纹不属于原设备指纹，则判断设备身份异常。

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹，两者产生的方式和识别的原理不同，但都具体表现为一种时间域参数的概率密度分布函数，均可达到设备识别的效果。

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔。该时间间隔的概率分布对于特定的设备类型和软件配置是唯一的，与指令的网络传输路径无关，因此可以作为特征进行工控网络设备指纹识别。

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成动作(如继电器闭合)这一事件的时间间隔。该时间间隔与设备的物理特性密切相关，因此也可以作为特征进行工控网络进行设备指纹识别。

本发明实施例还包括：

结果输出模块7：将设备指纹识别结果，即设备身份正常与否的判断结果发送到控制中心，以便控制中心进一步作出决策。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

总之，本发明的基于特征行为分析的被动式工控设备指纹识别方法，在工业数据采集与监测系统环境下，利用工控系统的数据采集功能，分析终端设备的数据查询响应时间的概率密度函数，生成基于设备跨层响应时间的特征指纹，该指纹仅依赖于设备类型和软件配置且与网络数据传输路径无关；利用工控系统的命令控制功能，分析终端设备的控制命令操作时间的概率密度函数，生成终端设备特有的基于物理操作时间的特征指纹。不同工控设备在跨层响应时间和物理操作时间两种参数中存在一定的差异性，该差异性依赖于设备类型、设备软件配置、CPU负载、物理结构等。基于这两种参数生成的特征指纹可有效地判断终端设备是否异常，系统是否遭受入侵，以及有效地检测虚假的响应消息或控制指令。该方法解决了现有的被动式入侵检测方法获取信息量少、不能有效检测入侵行为的技术问题，并且提出了工控系统终端设备指纹生成和识别方案，为入侵检测技术提供一种新的识别机制。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (4)

1.基于特征行为分析的被动式工控设备指纹识别方法，其特征在于，包括以下步骤：

S5：利用采集的特征指纹样本训练分类器模型，确定分类器的关键参数，为指纹识别提供设备身份模型；

S6：利用S5训练好的设备身份模型，对工控设备进行指纹识别，具体为对待测设备指纹是否属于原已知设备进行双分类，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常；

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹：

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔；

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成指令控制动作这一事件的时间间隔；

所述步骤S5之前还包括：

S1：配置终端设备的事件上报或事件时间记录模块；

S2：获取IP、SlaveID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系；

所述步骤S5之前还包括：

S3：监听工控系统网络的通讯信息；

S4：对监听的信息进行内容解析、特征提取、设备指纹生成；

所述步骤S4具体包括：

S401：对监听的信息进行内容解析；

基于工业控制系统网络通讯的特点，从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、数据包到达时刻的时间戳，如果是工控网络协议包，还需解析出协议内容；

S402：对监听内容解析后的信息进行特征提取；

从监听内容解析后的信息中提取特征，即是提取跨层响应时间和物理操作时间两种特征；

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔；

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成指令控制动作这一事件消息的时间戳，计算两者的时间间隔；

S403：基于提取的特征生成设备指纹；

对步骤S402所提取的n个时间间隔序列生成概率密度直方图，该概率密度直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，i＝1，2，……k，则生成的指纹为[m₁，m₂，…,m_k]，其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

2.根据权利要求1所述的基于特征行为分析的被动式工控设备指纹识别方法，其特征在于，所述步骤S6之后还包括：

S7：将设备指纹识别结果，即设备身份为正常或者异常的判断结果发送到控制中心，以便控制中心进一步作出决策。

3.基于特征行为分析的被动式工控设备指纹识别装置，其特征在于，包括：

分类器训练模块：利用采集的特征指纹样本训练分类器模型，确定分类器的关键参数，为设备指纹识别模块的指纹识别提供设备身份模型；

设备指纹识别模块：利用分类器训练模块训练好的设备身份模型，对工控系统终端设备进行识别，具体为对待测设备指纹是否属于原已知设备指纹进行双分类分析，若结果为待测指纹属于原设备，则判断设备身份正常；若结果为待测指纹不属于原设备，则判断设备身份异常；

其中，设备指纹包含基于跨层响应时间或者物理操作时间两种特征参数生成的特征指纹：

跨层响应时间具体指终端设备的网络传输层收到指令的确认消息与应用层回复指令的响应消息之间的时间间隔；

物理操作时间具体指终端设备的网络传输层收到控制指令的确认消息与设备完成指令控制动作这一事件的时间间隔；

还包括：

终端设备协议配置模块：配置终端设备的事件上报或事件时间记录模块；

终端设备信息获取模块：获取IP、SlaveID与终端设备的对应关系，以及控制寄存器地址与终端执行机构的对应关系；

还包括：

通讯信息监听模块：用于监听工控系统网络的通讯信息；

通讯信息处理模块：用于对监听的信息进行内容解析，特征提取，设备指纹生成等操作；

所述通讯信息处理模块具体包括：

内容解析单元：对监听的信息进行内容解析；所述内容解析单元具体包括：

基于工业控制系统网络通讯的特点，从通讯信息内容解析出源IP地址、目的IP地址、数据包的协议类型、包到达时刻的时间戳等信息，如果是工控网络协议包，还需解析出协议内容；

特征提取单元：从监听内容解析后的信息进行特征提取；所述特征提取单元具体包括：

从内容解析后的监听信息提取特征，即是提取跨层响应时间和物理操作时间两种特征：

对于跨层响应时间，提取终端设备的网络传输层收到指令的确认消息的时间戳与应用层回复指令的响应消息的时间戳，计算两者的时间间隔；

对于物理操作时间，提取控制中心发出的Modbus控制指令消息的时间戳与设备完成指令控制动作这一事件消息的时间戳，计算两者的时间间隔；

指纹生成单元：基于提取的特征生成设备指纹；所述指纹生成单元具体包括：

对特征提取单元所提取的n个时间间隔序列生成概率密度直方图，该概率密度直方图含有k个区间，区间长度为l，每个区间的概率密度为m_i，i＝1，2，……k，则生成的指纹为[m₁，m₂，…,m_k]；其中，n为进行一次有效识别需要采集的样本数；n、k、l为系统固定的参数。

4.根据权利要求3所述的基于特征行为分析的被动式工控设备指纹识别装置，其特征在于，还包括：

结果输出模块：将设备指纹识别结果，即设备身份为正常或者异常的判断结果发送到控制中心，以便控制中心进一步作出决策。

Images