CN110320890B - 一种针对plc控制系统的入侵检测系统 - Google Patents
一种针对plc控制系统的入侵检测系统 Download PDFInfo
- Publication number
- CN110320890B CN110320890B CN201910612096.XA CN201910612096A CN110320890B CN 110320890 B CN110320890 B CN 110320890B CN 201910612096 A CN201910612096 A CN 201910612096A CN 110320890 B CN110320890 B CN 110320890B
- Authority
- CN
- China
- Prior art keywords
- data
- intrusion detection
- control system
- network communication
- plc control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0224—Process history based detection method, e.g. whereby history implies the availability of large amounts of data
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Programmable Controllers (AREA)
Abstract
本发明提供一种针对PLC控制系统的入侵检测系统,包括作业数据采集模块、数据驱动入侵检测模块、网络数据采集模块、网络通信协议入侵检测模块、入侵响应输出模块和监控服务器;通过捕获并解析网络数据包,分析网络数据特征影响因子,提取网络数据特征值,构建正常网络通信协议模型,实现网络通信协议入侵检测。同时通过对现场作业数据进行采集,构建稳态作业预测模型,将控制系统实际输出和模型预测的输出进行残差评估,实现数据驱动入侵检测。发现入侵时,对控制器进行制动处理并报警。本发明适用于工业控制系统信息安全技术领域,在未侵入工业控制系统的情况下,可以有效实现对PLC控制系统的入侵检测,提高了工业控制系统的安全保障能力。
Description
技术领域
本发明涉及PLC控制系统技术领域,特别是指一种针对PLC控制系统的入侵检测系统。
背景技术
近年来,随着工业化和信息化的深入融合,网络空间安全领域已不复当初模样,工业控制系统成为了网络空间的主要战场,PLC控制系统在工业自动化方面得到了广泛的应用,因此暴露在互联网上的PLC设备越来越多,由于PLC起初设计的安全缺陷、通信的开放性和日益被发现的漏洞,PLC控制系统变得不再神秘而独立,入侵者可以更好的调研PLC控制系统的安全结构,从而实现入侵。另外,目前网络上开放的入侵和攻击工具越来越多,降低了人们对PLC控制系统的入侵和攻击的门槛。
更值得注意的是,人们越来越倾向于隐蔽攻击,这些不易发现的攻击给人们带来了巨大的危害,比如:对PLC控制系统的执行器进行偏差攻击,同时对传感器采集的数据进行影响消除,这样的攻击对PLC控制系统可以造成不可控和持久的危害。但目前并没有一套针对PLC控制系统的防护方案,可以有效地对PLC控制系统进行入侵检测,所以对PLC控制系统的防护刻不容缓。
发明内容
本发明要解决的技术问题是提供一种针对PLC控制系统的入侵检测系统,解决现有技术缺乏针对PLC控制系统的防护方案的问题,实现对PLC控制系统的防护,提高PLC控制系统的安全,保证PLC控制系统的安全运行。
为解决上述技术问题,本发明提供一种针对PLC控制系统的入侵检测系统,所述针对PLC控制系统的入侵检测系统包括:
作业数据采集模块,用于对所述PLC控制系统的作业现场内的传感器数据进行周期性采集,所述传感器用于检测所述作业现场内设备的工作状态信息;
数据驱动入侵检测模块,用于基于稳态作业数据集,构建稳态作业预测模型,并根据所述稳态作业预测模型,依据所述作业数据采集模块所采集的传感器数据,对所述PLC控制系统进行数据驱动入侵检测。
进一步地,所述入侵检测系统还包括:
网络数据采集模块,用于对所述PLC控制系统的作业现场内所传输的网络数据包进行实时捕获,并对捕获的网络数据包进行解析获取网络数据;
网络通信协议入侵检测模块,用于基于正常网络通信数据集,构建正常网络通信协议模型,并根据所述正常网络通信协议模型,依据所述网络数据采集模块所采集的网络数据,对所述PLC控制系统进行网络通信协议入侵检测。
进一步地,所述入侵检测系统还包括入侵响应输出模块,所述入侵响应输出模块包括:急停响应单元和报警响应单元;其中,
所述急停响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时,对所述PLC控制系统中的PLC控制器进行紧急制动处理;
所述报警响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时,生成报警信息和对应的日志信息,进行报警响应。
进一步地,所述入侵检测系统还包括监控服务器,所述入侵响应输出模块还包括数据传输单元;所述数据传输单元用于将所述报警信息和日志信息传输给所述监控服务器,所述监控服务器用于显示所述报警信息和日志信息。
进一步地,所述数据传输单元在传输所述报警信息和日志信息时,对所述报警信息和日志信息采用预设加密算法进行加密处理;
所述监控服务器包括解密处理单元和界面显示单元;所述解密处理单元用于对所述数据传输单元发送的加密信息进行解密处理,并将解密后的信息发送到数据库存储,同时将解密后的信息发送到界面显示单元实时显示。
进一步地,数据驱动入侵检测模块构建稳态作业预测模型的过程,包括:
在作业现场处于稳定工作状态的情况下,对作业现场内的传感器数据进行采集,构建稳态作业数据集;并对所述稳态作业数据集进行预处理;
将所述稳态作业数据集滞后两个采样点后,转化为有监督学习的数据集;
基于转化的数据集,经长短记忆神经网络训练,构建稳态作业预测模型。
进一步地,所述数据驱动入侵检测模块根据构建的稳态作业预测模型,对所述PLC控制系统进行数据驱动入侵检测的过程,包括:
从所述作业数据采集模块的第三个采样周期开始,利用所述稳态作业预测模型预测选定时刻的传感器输出响应;
将选定时刻的传感器实际输出响应与所述稳态作业预测模型预测的输出响应进行欧式距离计算;当计算结果大于设定的阈值时,则判定出现入侵行为。
进一步地,所述网络通信协议入侵检测模块构建正常网络通信协议模型的过程,包括:
采集作业现场正常网络通信数据,构建正常网络通信数据集;
对所述正常网络通信数据集进行特征提取及选择,对选出的特征进行降维处理,生成网络通信特征集;
对所述网络通信特征集进行量化处理,生成网络通信特征向量;
对所述网络通信特征向量进行聚类分析,构建正常网络通信协议模型。
进一步地,所述网络通信协议入侵检测模块根据所述正常网络通信协议模型,对所述PLC控制系统进行网络通信协议入侵检测的过程,包括:
对所述网络数据采集模块采集的网络数据中的源IP、目的IP、源端口、目的端口、源MAC和目的MAC提取后进行哈希值计算,将计算的哈希值与预先构建的哈希表中相应哈希值进行匹配;如果不匹配,则判定出现入侵行为;如果匹配,则将当前网络通信的协议类型与先前记录的协议类型进行匹配,如果不匹配,则进行规则学习,更新协议规则库,如果匹配,则将当前网络通信协议传至所述正常网络通信协议模型进行入侵检测。
进一步地,所述作业数据采集模块采集的传感器数据包括作业现场内的机械臂中每个关节的速度、加速度和位置;
所述作业数据采集模块的采集频率为5Hz,在采集到传感器数据后,所述作业数据采集模块对采集到的数据进行向量化处理,并通过串口传输给所述数据驱动入侵检测模块,对所述PLC控制系统进行数据驱动入侵检测;
所述网络数据采集模块在未侵入所述PLC控制系统的情况下,采用Libpcap函数对网络数据包进行捕获,并对捕获的网络数据包进行解析及预处理,生成网络通信特征向量,将生成的网络通信特征向量传输给所述网络通信协议入侵检测模块,对所述PLC控制系统进行网络通信协议入侵检测。
本发明的上述技术方案的有益效果如下:
1)本发明所采用的元器件和芯片都是工业设备级别的,可以适应各种各样的工业环境,并且可以保证其稳定性和可靠性;
2)本发明可以在未侵入PLC控制系统的情况下,对PLC控制系统进行入侵检测,因此不影响PLC控制系统的拓扑及系统的实时性;
3)本发明对入侵的异常数据包进行捕获分析,提取异常的关键特征,利用深度学习方法构建异常规则库,为加强PLC控制系统的防护提供了支持;
4)本发明利用正常网络通信协议模型和稳态作业预测模型对PLC控制系统进行协同入侵检测,不仅可以检测出经典的攻击如:重放攻击、泛洪攻击和ARP攻击,还可以检测出一些隐蔽攻击;
5)本发明运行在嵌入式设备上,因此具有便携、功耗低、易维护和易升级等优点,能够适用于长期运作不宜终止的PLC控制系统。
附图说明
图1为本发明的针对PLC控制系统的入侵检测系统的应用场景示意图;
图2为本发明的针对PLC控制系统的入侵检测系统的硬件组成示意图;
图3为本发明的网络通信协议入侵检测模块进行入侵检测的流程图;
图4为本发明的数据驱动入侵检测模块进行入侵检测的流程图;
图5为本发明的针对PLC控制系统的入侵检测系统的系统框图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
请参阅图1至图5,本实施例针对现有技术缺乏针对PLC控制系统的防护方案的问题,提供一种针对PLC控制系统的入侵检测系统,实现对PLC控制系统的防护,提高PLC控制系统的安全,保证PLC控制系统的安全运行。
本实施例的入侵检测系统的应用场景如图1所示,其应用于PLC控制系统、控制台和工业服务器组成的工业网络中,在一种PLC控制系统作业场景下,控制器PLC和传感器反馈的变量形成闭环控制,维持PLC控制系统作业的稳态。入侵检测系统通过工业交换机接入工业网络中,通过闭环控制中的传感器获取作业数据,网口通过工业交换机捕获网络数据,既不影响工业控制系统中拓扑关系,又不侵入PLC控制系统,对网络中带宽毫无影响。将检测的结果加密后通过网络传至远端的监控服务器上,由监控服务器进行解密和可视化处理。
具体地,该针对PLC控制系统的入侵检测系统如图5所示,包括:
作业数据采集模块,用于对PLC控制系统的作业现场内的传感器数据进行周期性采集,此处传感器用于检测作业现场内设备的工作状态信息;
数据驱动入侵检测模块,用于基于稳态作业数据集,构建稳态作业预测模型,并根据稳态作业预测模型,依据作业数据采集模块所采集的传感器数据,对PLC控制系统进行数据驱动入侵检测;
网络数据采集模块,用于对PLC控制系统的作业现场内所传输的网络数据包进行实时捕获,并对捕获的网络数据包进行解析获取网络数据;
网络通信协议入侵检测模块,用于基于正常网络通信数据集,构建正常网络通信协议模型,并根据正常网络通信协议模型,依据网络数据采集模块所采集的网络数据,对PLC控制系统进行网络通信协议入侵检测;
入侵响应输出模块,该入侵响应输出模块包括:急停响应单元和报警响应单元;其中,急停响应单元用于在数据驱动入侵检测模块和网络通信协议入侵检测模块中至少一个检测到PLC控制系统受到入侵时,对PLC控制系统中的PLC控制器进行紧急制动处理,及时避免引起PLC控制系统现场的混乱,从而避免造成巨大的损失;报警响应单元用于在数据驱动入侵检测模块和网络通信协议入侵检测模块中至少一个检测到PLC控制系统受到入侵时,生成报警信息和对应的日志信息,进行报警响应。
此外,本实施例的入侵检测系统还包括监控服务器,上述入侵响应输出模块还包括数据传输单元;该数据传输单元用于将报警信息和日志信息进行128位的AES加密处理,并将加密处理后的数据传输给监控服务器,以保证报警信息通过互联网传输的过程中不受他人的篡改,避免对工作人员造成操作误导。该监控服务器包括解密处理单元和界面显示单元;解密处理单元用于对数据传输单元发送的加密信息进行解密处理,并将解密后的信息发送到数据库存储,同时将解密后的信息发送到界面显示单元实时显示,从而使得操作人员可以更好地掌握PLC控制系统的运行状态。
进一步地,本实施例的入侵检测系统的运行环境包括Free RTOS操作系统和Linux操作系统;上述作业数据采集模块运行在Free RTOS操作系统,该Free RTOS操作系统采用的内核版本号为10.1.1,用于传感器信息采集的任务管理。数据驱动入侵检测模块和网络通信协议入侵检测模块运行在Linux操作系统,该Linux操作系统采用的内核版本号为ubuntu16.04,用于为正常网络通信协议模型和稳态作业预测模型提供稳定的运行环境。采集模块和对应的入侵检测模块通过串口进行彼此通信。
上述作业数据采集模块采用6N137光耦隔离芯片对编码器进行电压隔离,采集的传感器信息包括机械臂中每个关节的速度、加速度和位置,采集频率为5Hz,将采集的信息按一定的顺序排列后传至数据驱动入侵检测模块,对PLC控制系统进行数据驱动入侵检测。上述网络数据采集模块在未侵入PLC控制系统的情况下,采用Libpcap函数对通信网络数据包进行捕获,并对捕获的数据包进行解析及预处理,将生成的特征值向量传入网络通信协议入侵检测模块,对PLC控制系统进行网络通信协议入侵检测。
本实施例的入侵检测系统具有工业应用现场传感器采集功能以及网络数据包捕获解析功能。并且能够显示监控传感器的运行状态及数量,保证采集数据的稳定可靠。通过将实时采集的传感器数据和捕获的网络数据包进行向量化处理后分别导入正常网络通信协议模型和稳态作业预测模型,让两者协同进行入侵检测,如若检测到入侵,入侵响应输出模块立刻终止PLC控制器的运行,并进行报警处理和日志的记录,并将报警信息和日志信息经过加密后传至远端的监控服务器,由监控服务器进行解密,并将解密的结果通过显示屏显示。
具体地,本实施例的入侵检测系统的硬件结构如图2所示,其中,作业数据采集模块处理器(CPU)使用Arm Cortex-M3架构的STM32F103ZET6,主频最高支持72MHZ,拥有64KB的静态随机存储器(SRAM)和512KB的FLASH,外扩IS62WV5126 8M的静态随机存储器(SRAM),配有六路高速模数转换(ADC)接口和三路通用模数转换(ADC)接口,利用6N137光耦隔离芯片来配置4路15V-3.3V的光耦隔离,配有4.3寸的OLED显示屏,运行温度范围可达-40℃至+105℃。协处理器采用Nvidia Jetson TX2硬件模块,CPU采用HMP Dual Denver2/2MBL2+Quad ARM A57/2MB L2,GPU采用NVIDIA Pascal,256 CUDA cores,内存为8GB128位LPDDR459.7GB/s,配有32GB EMMC SDIO SATA的数据存储,还包含一个千兆以太网接口、HDMI2.0接口、SD卡和GPIO,用于对网络数据包的捕获和入侵检测模型的运行,19v电源供电,通过19v转5v给STM32F103ZET6模块进行供电,两个模块之间通过串口进行通信。电源指示灯为LED,用于指示模块的运行状态。
进一步地,本实施例的网络通信协议入侵检测模块进行入侵检测的过程如图3所示,其包括以下步骤:
在运行正常网络通信协议模型之前,首先利用正常PLC控制系统通信网络构建正常网络数据集并对其进行预处理生成数据集候选集,对该数据集进行特征提取及选择并记录协议通信类型,其提取协议帧的特征为:{功能码、读写首地址、读写数据长度、协议帧的总长度、网络帧的标志位、设备标识、交互标识};对提取的特征进行主成分分析(PCA)降维处理,对降维后的特征数据进行量化处理后进行特征聚类分析处理,从而构建协议检测规则库,以上所有步骤只初始化一次。
通过网口对网络数据进行实时捕获并进行预处理,去除不符合以太网数据格式的数据包,通过协议分析模块对网络数据包中源IP、目的IP、源端口、目的端口、源MAC和目的MAC提取后进行哈希值计算,将计算出的哈希值与预先构建的哈希表进行对比,如果不匹配,则终止控制器、报警和记录日志,并将信息传至数据传输单元;如果匹配,则进行匹配先前记录的协议类型,如果不匹配协议类型,则发现网络中出现新的协议类型,进行规则学习,更新协议规则库,如果匹配协议类型,则传至协议监测规则库进行入侵检测,如果发现入侵,则终止控制器、报警和记录日志,并将报警信息和日志信息传至数据传输单元,并且对入侵的数据包进行提取,提取出异常协议数据包,从而构建异常规则库,为后续PLC控制系统的安全防护做准备。
本实施例的数据驱动入侵检测模块进行入侵检测的过程如图4所示,首先对工业稳态的传感器数据进行采集,采样周期为T,用集合y(t)={yi(t)|i=1,2,...,k}表示时间t时刻的k个传感变量,用集合Y={y(t)|t=1,2,...,N}表示在采样时间窗口N内采集的所有传感数据,构建工业稳态作业数据集,并对该数据集进行预处理(去除无效数据和数据标准化),由于入侵样本不易获取,为了进行有监督的学习,对该数据集滞后两个采样点以构建模型的输入输出训练集,其输入向量可表示为:下标t-2表示滞后两个周期,下标t-1表示滞后一个周期;其输出向量可表示为:利用长短记忆神经网络训练数据集,构建数据驱动稳态作业预测模型,并对相应的模型进行评估调参,使其达到良好的预测效果,以上步骤仅初始化一次。
当首次运行数据驱动稳态作业预测模型时,前两个采样周期不进行入侵检测,从第三个采样周期开始预测t时刻的输出响应,将t时刻的实际输出与预测的响应进行欧式距离计算,如果大于设定的阈值,则终止控制器、报警和记录日志,并将报警信息和日志信息传至数据传输单元。为了形象地描述在线入侵检测,其数学模型可表示为:
y_pre(t)={y_LSTM({y(t-2T) y(t-T)})t>=3T (1)
其中,y_LSTM()为长短记忆神经网络构建的数据驱动稳态模型,y_pre(t)为模型预测的所有t时刻的传感器的值,β为入侵检测报警的阈值。
本实施例的上述技术方案具有如下有益效果:
1)本发明所采用的元器件和芯片都是工业设备级别的,可以适应各种各样的工业环境,并且可以保证其稳定性和可靠性;
2)本发明可以在未侵入PLC控制系统的情况下,对PLC控制系统进行入侵检测,因此不影响PLC控制系统的拓扑及系统的实时性;
3)本发明对入侵的异常数据包进行捕获分析,提取异常的关键特征,利用深度学习方法构建异常规则库,为加强PLC控制系统的防护提供了支持;
4)本发明利用正常网络通信协议模型和稳态作业预测模型对PLC控制系统进行协同入侵检测,不仅可以检测出经典的攻击如:重放攻击、泛洪攻击和ARP攻击,还可以检测出一些隐蔽攻击;
5)本发明运行在嵌入式设备上,因此具有便携、功耗低、易维护和易升级等优点,能够适用于长期运作不宜终止的PLC控制系统。
此外,需要说明的是,本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (5)
1.一种针对PLC控制系统的入侵检测系统,应用于PLC控制系统、控制台和工业服务器组成的工业网络中,在PLC控制系统作业场景下,控制器PLC和传感器反馈的变量形成闭环控制,所述入侵检测系统通过工业交换机接入工业网络中,其特征在于,所述入侵检测系统包括:
作业数据采集模块,所述作业数据采集模块采用6N137光耦隔离芯片对编码器进行电压隔离,所述作业数据采集模块用于对所述PLC控制系统的作业现场内的传感器数据进行周期性采集,所述传感器用于检测所述作业现场内设备的工作状态信息;所述作业数据采集模块采集的传感器信息包括机械臂中每个关节的速度、加速度和位置,采集频率为5Hz;
数据驱动入侵检测模块,用于基于稳态作业数据集,构建稳态作业预测模型,并根据所述稳态作业预测模型,依据所述作业数据采集模块所采集的传感器数据,对所述PLC控制系统进行数据驱动入侵检测;
网络数据采集模块,用于通过PLC控制系统中的工业交换机的网口对所述PLC控制系统的作业现场内所传输的网络数据包进行实时捕获,并对捕获的网络数据包进行解析获取网络数据;
网络通信协议入侵检测模块,用于基于正常网络通信数据集,构建正常网络通信协议模型,并根据所述正常网络通信协议模型,依据所述网络数据采集模块所采集的网络数据,对所述PLC控制系统进行网络通信协议入侵检测;
其中,所述网络通信协议入侵检测模块构建正常网络通信协议模型的过程,包括:采集作业现场正常网络通信数据,构建正常网络通信数据集;对所述正常网络通信数据集进行特征提取及选择并记录协议通信类型;其中,选出的特征包括功能码、读写首地址、读写数据长度、协议帧的总长度、网络帧的标志位、设备标识和交互标识;对选出的特征进行主成分分析降维处理,生成网络通信特征集;对所述网络通信特征集进行量化处理,生成网络通信特征向量;对所述网络通信特征向量进行聚类分析,构建正常网络通信协议模型;
所述网络通信协议入侵检测模块对所述PLC控制系统进行网络通信协议入侵检测的过程,包括:
对所述网络数据采集模块采集的网络数据中的源IP、目的IP、源端口、目的端口、源MAC和目的MAC提取后进行哈希值计算,将计算的哈希值与预先构建的哈希表中相应哈希值进行匹配;如果不匹配,则判定出现入侵行为;如果匹配,则将当前网络通信的协议类型与先前记录的协议类型进行匹配,如果不匹配,则进行规则学习,更新协议规则库,如果匹配,则将当前网络通信协议传至所述正常网络通信协议模型进行入侵检测,如果发现入侵,则对入侵的数据包进行提取,提取出异常协议数据包,以构建异常规则库;
所述数据驱动入侵检测模块构建稳态作业预测模型的过程,包括:
在作业现场处于稳定工作状态的情况下,对作业现场内的传感器数据进行采集,构建稳态作业数据集;并对所述稳态作业数据集进行预处理;
将所述稳态作业数据集滞后两个采样点后,转化为有监督学习的数据集;
基于转化的数据集,经长短记忆神经网络训练,构建稳态作业预测模型;
所述数据驱动入侵检测模块根据构建的稳态作业预测模型,对所述PLC控制系统进行数据驱动入侵检测的过程,包括:
从所述作业数据采集模块的第三个采样周期开始,利用所述稳态作业预测模型预测选定时刻的传感器输出响应;
将选定时刻的传感器实际输出响应与所述稳态作业预测模型预测的输出响应进行欧式距离计算;当计算结果大于设定的阈值时,则判定出现入侵行为。
2.如权利要求1所述的针对PLC控制系统的入侵检测系统,其特征在于,所述入侵检测系统还包括入侵响应输出模块,所述入侵响应输出模块包括:急停响应单元和报警响应单元;其中,
所述急停响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时,对所述PLC控制系统中的PLC控制器进行紧急制动处理;
所述报警响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时,生成报警信息和对应的日志信息,进行报警响应。
3.如权利要求2所述的针对PLC控制系统的入侵检测系统,其特征在于,所述入侵检测系统还包括监控服务器,所述入侵响应输出模块还包括数据传输单元;所述数据传输单元用于将所述报警信息和日志信息传输给所述监控服务器,所述监控服务器用于显示所述报警信息和日志信息。
4.如权利要求3所述的针对PLC控制系统的入侵检测系统,其特征在于,所述数据传输单元在传输所述报警信息和日志信息时,对所述报警信息和日志信息采用预设加密算法进行加密处理;
所述监控服务器包括解密处理单元和界面显示单元;所述解密处理单元用于对所述数据传输单元发送的加密信息进行解密处理,并将解密后的信息发送到数据库存储,同时将解密后的信息发送到界面显示单元实时显示。
5.如权利要求1-4任一项所述的针对PLC控制系统的入侵检测系统,其特征在于,所述作业数据采集模块采集的传感器数据包括作业现场内的机械臂中每个关节的速度、加速度和位置;
所述作业数据采集模块的采集频率为5Hz,在采集到传感器数据后,所述作业数据采集模块对采集到的数据进行向量化处理,并通过串口传输给所述数据驱动入侵检测模块,对所述PLC控制系统进行数据驱动入侵检测;
所述网络数据采集模块在未侵入所述PLC控制系统的情况下,采用Libpcap函数对网络数据包进行捕获,并对捕获的网络数据包进行解析及预处理,生成网络通信特征向量,将生成的网络通信特征向量传输给所述网络通信协议入侵检测模块,对所述PLC控制系统进行网络通信协议入侵检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910612096.XA CN110320890B (zh) | 2019-07-08 | 2019-07-08 | 一种针对plc控制系统的入侵检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910612096.XA CN110320890B (zh) | 2019-07-08 | 2019-07-08 | 一种针对plc控制系统的入侵检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110320890A CN110320890A (zh) | 2019-10-11 |
CN110320890B true CN110320890B (zh) | 2021-08-03 |
Family
ID=68123222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910612096.XA Active CN110320890B (zh) | 2019-07-08 | 2019-07-08 | 一种针对plc控制系统的入侵检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110320890B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3839668A1 (de) * | 2019-12-17 | 2021-06-23 | Siemens Aktiengesellschaft | Integritätsüberwachungssystem und verfahren zum betreiben eines integritätsüberwachungssystems sowie eine integritätsüberwachungseinheit |
CN110941236B (zh) * | 2019-12-31 | 2021-03-23 | 郑州信大捷安信息技术股份有限公司 | 一种plc安全监测和动态度量方法与系统 |
CN111338262B (zh) * | 2020-03-20 | 2021-11-19 | 湖南科技大学 | 基于arm的家用电器运行状态非侵入式检测装置及方法 |
CN111427305B (zh) * | 2020-03-29 | 2021-09-24 | 博智安全科技股份有限公司 | 针对西门子plc漏洞挖掘的方法 |
US11443039B2 (en) | 2020-08-21 | 2022-09-13 | Fathom5 Corporation | Controller computing system for preventing malicious control of a controlled machinery system |
CN112433518B (zh) * | 2020-10-20 | 2022-02-11 | 中国科学院沈阳计算技术研究所有限公司 | 一种基于循环神经网络的工业控制系统入侵检测方法 |
CN114296419B (zh) * | 2021-04-09 | 2023-09-29 | 西华大学 | 一种安全的事件驱动网络化预测控制系统控制方法 |
WO2023043369A2 (en) * | 2021-09-14 | 2023-03-23 | Singapore University Of Technology And Design | Systems for establishing intrusion detection logic for programmable logic controllers |
CN114039766A (zh) * | 2021-11-05 | 2022-02-11 | 杭州和利时自动化有限公司 | 一种工业安全防护方法、系统及装置 |
CN114389861B (zh) * | 2021-12-24 | 2023-03-03 | 北京科技大学 | 基于EtherCAT自动化的机械臂安全检测方法及系统 |
CN114785589B (zh) * | 2022-04-20 | 2023-11-14 | 浙江大学 | 基于控制不变量建模的入侵检测与定位方法及系统 |
CN115080968B (zh) * | 2022-06-08 | 2023-06-02 | 陕西天诚软件有限公司 | 一种带有智能安全防护的人工智能服务器 |
CN116027771B (zh) * | 2023-03-30 | 2023-06-13 | 深圳市深蓝宇科技有限公司 | 一种用于工控机控制系统的异常检测方法 |
CN117148006B (zh) * | 2023-08-31 | 2024-05-10 | 江西方兴科技股份有限公司 | 一种基于载波通信的plc柜监测方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
CN105635105A (zh) * | 2014-11-25 | 2016-06-01 | Ncr公司 | 基于网络的安全输入/输出(i/o)模块(siom) |
CN106888205A (zh) * | 2017-01-04 | 2017-06-23 | 浙江大学 | 一种非侵入式基于功耗分析的plc异常检测方法 |
WO2018057604A1 (en) * | 2016-09-21 | 2018-03-29 | Wal-Mart Stores, Inc. | System and methods for point to point encryption and tokenization using a mobile device |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
US7856494B2 (en) * | 2006-11-14 | 2010-12-21 | Fmr Llc | Detecting and interdicting fraudulent activity on a network |
CN101309274B (zh) * | 2008-06-27 | 2011-02-09 | 南京邮电大学 | 混合架构入侵检测系统规则库创建方法 |
US9954903B2 (en) * | 2015-11-04 | 2018-04-24 | Monico Monitoring, Inc. | Industrial network security translator |
CN105867323B (zh) * | 2016-03-31 | 2018-10-23 | 东华大学 | 基于动态克隆选择算法的工业云数据安全自动化生产线 |
CN106209870B (zh) * | 2016-07-18 | 2019-07-09 | 北京科技大学 | 一种针对分布式工业控制系统的网络入侵检测系统 |
CN106502234B (zh) * | 2016-10-17 | 2018-11-23 | 重庆邮电大学 | 基于双轮廓模型的工业控制系统异常检测方法 |
CN106792883A (zh) * | 2017-01-20 | 2017-05-31 | 哈尔滨工业大学(威海) | 传感器网络异常数据检测方法与系统 |
US10454896B2 (en) * | 2017-07-04 | 2019-10-22 | Is5 Communications Inc | Critical infrastructure security framework |
US20190166502A1 (en) * | 2017-11-29 | 2019-05-30 | Mojo Networks, LLC. | Security monitoring for wireless sensor nodes |
CN109218288A (zh) * | 2018-08-01 | 2019-01-15 | 北京科技大学 | 一种针对工业机器人控制系统的网络入侵检测系统 |
-
2019
- 2019-07-08 CN CN201910612096.XA patent/CN110320890B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104702460A (zh) * | 2013-12-10 | 2015-06-10 | 中国科学院沈阳自动化研究所 | 基于SVM的Modbus TCP通讯的异常检测方法 |
CN105635105A (zh) * | 2014-11-25 | 2016-06-01 | Ncr公司 | 基于网络的安全输入/输出(i/o)模块(siom) |
CN105429963A (zh) * | 2015-11-04 | 2016-03-23 | 北京工业大学 | 基于Modbus/Tcp的入侵检测分析方法 |
WO2018057604A1 (en) * | 2016-09-21 | 2018-03-29 | Wal-Mart Stores, Inc. | System and methods for point to point encryption and tokenization using a mobile device |
CN106888205A (zh) * | 2017-01-04 | 2017-06-23 | 浙江大学 | 一种非侵入式基于功耗分析的plc异常检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110320890A (zh) | 2019-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110320890B (zh) | 一种针对plc控制系统的入侵检测系统 | |
CN110909811B (zh) | 一种基于ocsvm的电网异常行为检测、分析方法与系统 | |
CN106209870B (zh) | 一种针对分布式工业控制系统的网络入侵检测系统 | |
EP3804271B1 (en) | Hybrid unsupervised machine learning framework for industrial control system intrusion detection | |
CN106888205A (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
CN110138787A (zh) | 一种基于混合神经网络的异常流量检测方法及系统 | |
CN111143308A (zh) | 基于联邦学习的高低压电动机数据处理方法、系统及装置 | |
CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
CN113313421A (zh) | 一种电力物联网感知层安全风险状态分析方法及系统 | |
CN112799358B (zh) | 一种工业控制安全防御系统 | |
Kreimel et al. | Anomaly-based detection and classification of attacks in cyber-physical systems | |
CN112866262B (zh) | 一种基于神经网络的电厂安全i区态势感知平台 | |
Marino et al. | Cyber and physical anomaly detection in smart-grids | |
Schuster et al. | Towards learning normality for anomaly detection in industrial control networks | |
CN113924570A (zh) | 用于工业控制系统中的安全异常检测的用户行为分析 | |
CN105871861B (zh) | 一种自学习协议规则的入侵检测方法 | |
EP4022405A1 (en) | Systems and methods for enhancing data provenance by logging kernel-level events | |
CN114660999A (zh) | 基于物联网的工业设备运行状态监控分析终端及分析方法 | |
CN117493498B (zh) | 基于工业互联网的电力数据挖掘与分析系统 | |
CN111339050B (zh) | 一种基于大数据平台集中安全审计的方法及系统 | |
Binnar et al. | Cyber forensic case study of waste water treatment plant | |
Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
CN112532612A (zh) | 一种工业控制网络安全防护系统 | |
WO2020085078A1 (ja) | 制御装置 | |
CN114389861B (zh) | 基于EtherCAT自动化的机械臂安全检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |