CN110809873A

CN110809873A - 检测工业系统中的未定义的动作

Info

Publication number: CN110809873A
Application number: CN201880045122.9A
Authority: CN
Inventors: M.卡塞利; T.加西巴
Original assignee: Siemens AG
Current assignee: Siemens AG
Priority date: 2017-07-06
Filing date: 2018-06-29
Publication date: 2020-02-18
Also published as: EP3425866A1; WO2019007827A1; EP3649766A1; US20200183340A1

Abstract

提议将分离引入到用于工业控制系统的模式中，其中针对模式中的每个进行模型的训练，并且通过监视相应模式内的工业系统来检测未定义的动作。

Description

检测工业系统中的未定义的动作

本发明涉及一种用于检测工业系统中的未定义的、特别是恶意的动作（例如，状态或转换）的方法。

本发明的目的是改进工业系统中发生的未定义的动作的检测，并因此减少假警报的数量。

该问题根据独立权利要求的特征来解决。另外的实施例由从属权利要求产生。

为了克服该问题，提供了一种用于检测工业系统中的未定义的动作的方法，该方法包括：

（a）针对每个操作模式确定系统模型，其中工业系统包括至少两个操作模式；

（b）根据适用的操作模式检测系统模型中的未定义的动作。

因此，在步骤（a）中，针对操作模式中的每个在训练阶段期间确定单独系统模型。在步骤（b）中，训练被（至少暂时地）结束，并且应用针对相应操作模式的特定系统模型来确定是否发生了未定义的动作。

训练被用于检测相应系统模型（每个操作模式）的良性状态；如果在正常操作期间（即在训练之后）检测到在训练期间尚未发生的状态或状态的转换，则这可能对应于未定义的动作。特别地，它可能是受制于警报或警报通知的恶意活动。

未定义的动作可以是工业系统的状态或状态之间的转换。

在实施例中，该方法包括在步骤（a）之前：

-识别工业系统的至少两个操作模式。

在实施例中，步骤（a）进一步包括：

-在训练阶段期间经由机器学习和/或参数提取来确定系统模型。

在实施例中，步骤（b）进一步包括：

-在不同于训练阶段的第二阶段期间检测未定义的动作。

在实施例中，至少两个不同的操作模式基于以下各项中的至少一项：

-不同的参数；

-不同的一天中的时间；

-不同的开关位置；

-不同的登录事件；

-不同的天气条件；

-不同的传感器值；

-不同的温度条件。

在实施例中，工业系统是工业控制系统。

在实施例中，在已经检测到未定义的动作的情况下，发起预定动作。

在实施例中，预定动作包括以下各项中的至少一项：

-发出警报；

-发出警报通知；

-改变工业系统的状态；

-触发维修措施。

在实施例中，未定义的动作是工业系统内的恶意活动。

此外，提供了一种用于检测工业系统中的未定义的动作的设备，其中，该设备包括处理单元，该处理单元被布置成

（b）根据适用的操作模式检测系统模型中的未定义的动作。

在实施例中，处理单元被进一步布置成在步骤（a）之前识别工业系统的至少两个操作模式。

此外，提议了一种工业系统，其包括处理单元，该处理单元被布置成

（b）根据适用的操作模式检测系统模型中的未定义的动作。

要注意的是，本文中所述的方法的步骤也可以是在该处理单元上可执行的/在该处理单元上执行。

进一步要注意的是，所述处理单元可以包括至少一个、特别是若干个装置，该装置被布置成执行本文中描述的方法的步骤。该装置可以是逻辑上或物理上分离的；特别地，若干个逻辑上分离的装置可以被组合在至少一个物理单元中。

所述处理单元可以包括以下各项中的至少一项：处理器、微控制器、硬连线电路、ASIC、FPGA、逻辑设备。

本文中提供的解决方案进一步包括可直接加载到数字计算机的存储器中的计算机程序产品，其包括用于执行如本文中描述的方法的步骤的软件代码部分。

此外，上述问题通过计算机可读介质（例如，任何种类的存储设备）来解决，该计算机可读介质具有适于使计算机系统执行如本文中描述的方法的计算机可执行指令。

将结合如基于附图讨论的下面的示例和考虑来进一步说明本发明的上述特性、特征和优点以及实现它们的方式。

图1示出了ICS的一般概况，也称为Purdue参考模型（PRM）；

图2示出了通用工业控制系统的设置的概况，该系统包括企业区、DMZ和处理区（process zone）；

图3示出了可视化在工业控制系统中观察到的建模通信的图；

图4示出了包括两个示例性操作模式S1、S2的图；以及

图5示出了针对维护模式S2的示例性参数提取。

本文中描述的示例特别涉及用于在工业控制系统中执行恶意活动检测的高效方法。

有益的是，工业控制系统（ICS）本质上是相对静态的，允许对所涉及的设备之间的通信进行建模。不仅可以对设备之间的单独通信（即，哪个设备正在与哪个其他设备进行通信）进行建模，而且还可以对协议特性进行建模，以便执行恶意活动检测，这也是优点。

一个动机是以增加的确定性来检测这样的恶意活动，并且因此进一步减少假阳性（false-positive），例如假警报。因此，所提出的方法特别地允许减少这样的工业控制系统的维护成本。

对工业控制系统上的入侵检测已经使用两个不同的替代方案来解决：

-基于主机的入侵检测系统（HIDS）和

-基于网络的入侵检测系统（NIDS）。

由于ICS世界中存在包含非标准化操作系统、嵌入式系统、低功率设备和不具有特殊智能的设备的许多设备，HIDS方法通常是不适用的，如[1]中描述的那样。

图1示出了如[6]中描述的ICS级别的一般概况，也称为Purdue参考模型（PRM）。在较高级别上，使用标准装备，而对于较低级别，找到更可操作技术（OT）特定或专有装备，比如例如传感器、可编程逻辑控制器（PLC）、人机界面（HMI）。

图2以图1的简化版本示出，其描绘了通用工业控制系统的设置的概况，该系统包括企业区201、DMZ 202（DMZ：非军事化区（demilitarized zone））和处理区203。

在企业区201中，有标准的IT系统和计算机。在DMZ 202中，有防火墙和数据历史记录器（historian）。然而，处理区203使ICS特别：这里是嵌入式设备、PLC、HMI等。此外，在处理区203中，存在特殊的ICS通信协议，例如ModBus、ProfiNet等。

因此，对于企业区201和DMZ 202，存在用于安全监视的标准现成（off-the-shelf）解决方案（HIDS和NIDS）。然而，这对于其中仅存在专有的ICS特定的安全监视工具的处理区203是不同的。

缺点是现有的现成解决方案依赖于签名来执行检测。这通常不适用于工业控制系统，因为没有针对关于OT特定或专有装备的网络攻击的这样的签名（还参见[2]）。

在[3]中描述了一种方法，其解决了工业控制系统的特性，以便开发不是基于签名而是基于行为的检测技术。此外，[4]和[5]涉及对ICS网络流量（traffic）建模的可行性。

图3示出了可视化在工业控制系统中观察到的建模通信的图。该模型包括四个状态A、B、C和D，这可以通过观察良性流量并使用建模技术（比如例如离散时间Markov链）来确定。可以为状态之间的转换（例如，A->B）分配概率p（A->B）。这样的转换可以取决于系统建模参数，例如机器M1和机器M2之间的通信、ModBus分组报头中的消息类型、用于通信的协议的类型或者诸如此类。

在用于获得系统模型的学习阶段之后，可以开始监视。在该监视阶段中，可以跟踪所有系统转换。该检测基于如下假设：如果系统行为偏离学习阶段期间跟踪的结果，即偏离系统模型，则发出安全警报。这种类型的警报可以针对安全相关性来调整，但是（另外或作为替代）其也可以被调整为监视系统并根据可能与安全相关的异常行为发出警报。

由于工业过程的性质和其他附加因素，这种类型的监视仍然可能导致大量的假阳性，即在系统正在正常运行时发出的安全警报。

在本文中提出的方法中，进一步改进了系统建模和表征，以降低假阳性（例如，假警报）的概率。

在现有解决方案中提供假阳性的一个原因是基于如下事实：尽管系统正在正常操作，但状态转换似乎是意外的。针对此的原因是状态转换的建模高度依赖于（并且因此对其敏感）用作对系统模型的输入的学习阶段。

因此，提议将分离引入到用于工业控制系统的模式中。在系统建模期间考虑要以其来操作的用于工业控制系统的这些模式。

例如，可以区分以下模式（也称为操作模式）：

-正常操作：例如，当ICS正在以默认模式运行时；

-慢操作：例如，当ICS正在以小于其容量的100%的百分比运行时；

-加速操作：例如，当ICS正在以多于其容量的100%的百分比运行时；

-安全关闭：例如，当正在使ICS处于关闭状态时；

-维护：例如，当补丁正在被应用于ICS时，例如安全补丁或新固件；

-关闭：例如，当ICS不应被用于生产时；

-支持模式：例如，当ICS不应被用于生产但是然而一些部件仍应是可操作的时（例如，搅拌一些混合物或维持烤箱温度）。

当识别不同的ICS操作模式时，可以特别地基于如上所述的标准模型来确定不同的模型。

因此，可以应用模型的分离，每个模型用于一个操作模式。这可以通过进行以下步骤来实现：

（1）识别操作模式（S1、S2、…、Sn）；

（2）对于每个操作模式Sk，进行机器学习和模型参数的参数提取；

（3）执行对应于操作模式Sk的检测算法。

不同的操作模式可能由不同的参数产生，所述参数例如一天中的时间、开关位置、登录事件、注销事件、天气条件、温度条件等。

该方法导致改进的安全检测建模算法。因此，建模和检测每个都针对每个单独的操作模式来进行。这允许显著降低假阳性的概率，这因此增加系统的可靠性并降低其操作成本。

因此，工业控制系统的不同操作模式被用来提取和使用不同的检测模型。

在第一步中，代替在不考虑其相应的操作模式的情况下对整个工业控制系统执行机器学习算法和参数提取，执行操作模式特定方法。这导致不同的模型，其中每个模型对应于工业控制系统的操作模式。对于每个操作模式特定的模型，状态的数量、状态转换等可能是不同的。

在第二步中，对于每个操作模式，即对于每个先前确定的操作模式特定的模型，分别进行系统监视。这导致生成高度依赖于特定的操作模式特定的模型的警报。

图4示出了包括两个示例性操作模式S1、S2的图，其中在操作模式S1中，模型401适用于包括具有特定状态转换的四个状态A、B、C和D。在操作模式S2中，模型402适用于仅包括具有特定状态转换的三个阶段A'、B'和C'。模型402不同于模型401。

示例性实施例：

在示例性场景中，工业系统可以具有两个不同的操作模式，即正常操作模式S1和维护模式S2（参见图4）。

当操作员连接到维护大型机（mainframe machine）时，或者例如当开关被置于维护模式位置中时，系统可以进入维护模式S2。

在正常操作模式S1下，有可编程逻辑控制器（PLC），其控制发动机以切换到位置1，然后位置2，然后位置3，然后位置4，并且最后返回到位置1。

作为示例，在维护模式S2下，灯可以被关闭，绿色或红色。灯也由相同的PLC控制。

针对正常操作模式S1的参数提取导致了检测模型，如图3中所示，其中，A对应于位置1，B对应于位置2，C对应于位置3，并且D对应于位置4。转换发生的概率p由值“0”（等于0%）和值“1”（等于100%）确定：

p（A->A）=0，p（A->B）=1，p（A->C）=0，p（A->D）=0

p（B->A）=0，p（B->B）=0，p（B->C）=1，p（B->D）=0

P（C->A）=0，p（C->B）=0，p（C->C）=0，p（C->D）=1

p（D->A）=1，p（D->B）=0，p（D->C）=0，p（D->D）=0

针对维护模式S2的参数提取导致了检测模型，如图5中所示的那样，其中，A'对应于“灯关闭”，B'对应于“灯是绿色的”，并且C'对应于“灯是红色的”：

p（A'->A'）=0，p（A'->B'）=0.5，p（A'->C'）=0.5

p（B'->A'）=1，p（B'->Β'）=0，p（B'->C'）=0

p（C'->A'）=0.9，p（C'->B'）=0.1，p（C'->C'）=0

因此，被关闭的灯可以以达到50%的概率变成绿色或红色。绿色灯只能被关闭。红色灯可以以90%的概率被关闭，或者红色灯可以以10%的概率变成绿色。在正常操作模式S1下，灯被关闭。

在监视期间，通过检查PLC与相应执行器（actuator）的通信来检测安全异常。超出针对给定操作模式的模型的通信生成警报。该警报的安全级别可以取决于操作模式本身。

尽管通过上面的实施例详细描述了本发明，但是要注意，本发明根本不限于这样的实施例。特别地，可以由本领域技术人员从示例性实施例和图示中导出替代方案，而不超出本发明的范围。

参考文献

[1] Keith Stouffer等：“Guide to Industrial Control Systems (ICS) Security,Supervisory Control and Data Acquisition (SCADA) systems, Distributed ControlSystems (DCS), and other control system configurations such as ProgrammableLogic Controllers (PLC)（工业控制系统（ICS）安全、监督和数据采集（SCADA）系统、分布式控制系统（DCS）以及其他控制系统配置（诸如可编程逻辑控制器（PLC））的指南）”，NIST特殊出版物800-82，修订版2，2015年5月，http://dx.doi.org/10.6028/NIST.SP.800-82r2。

[2]“Control Systems Cyber Security: Defense in Depth Strategies（控制系统网络安全：深度策略中的防御）”，外部报告＃INL/EXT-06-11478，2006年5月。

[3] D. Hadžiosmanovic等：“'Through the eye of the PLC: SemanticSecurity Monitoring for Industrial Processes（'通过PLC的眼睛：对工业过程的语义安全监视）”，第30届年度计算机安全应用会议的论文集，ACM，2014年。

[4] M. Caselli等：“MODELING MESSAGE SEQUENCES FOR INTRUSION DETECTIONIN INDUSTRIAL CONTROL SYSTEMS（用于工业控制系统中的入侵检测的建模消息序列）”，关于关键基础设施保护的国际会议，Springer国际出版社，2015年。

[5] M. Caselli等：“Sequence-aware Intrusion Detection in IndustrialControl Systems（工业控制系统中的序列感知入侵检测）”，第1届ACM关于网络物理系统安全的研讨会的论文集，ACM，2015年。

[6] J. Schekkerman：“How to Survive in the Jungle of EnterpriseArchitecture Frameworks: Creating or Choosing an Enterprise ArchitectureFramework（如何在企业架构框架的丛林中生存：创建或选择企业架构框架）”，2004年，第91-118页，ISBN-13：978-1412016070)。

Claims

1.用于检测工业系统中的未定义的动作的方法，所述方法包括：

（b）根据适用的操作模式检测系统模型中的未定义的动作。

2.根据权利要求1所述的方法，包括在步骤（a）之前：

-识别工业系统的所述至少两个操作模式。

3.根据前述权利要求中的任一项所述的方法，其中，步骤（a）进一步包括：

4.根据权利要求3所述的方法，其中，步骤（b）进一步包括：

-在不同于训练阶段的第二阶段期间检测未定义的动作。

5.根据前述权利要求中的任一项所述的方法，其中，所述至少两个不同的操作模式基于以下各项中的至少一项：

-不同的参数；

-不同的一天中的时间；

-不同的开关位置；

-不同的登录事件；

-不同的天气条件；

-不同的传感器值；

-不同的温度条件。

6.根据前述权利要求中的任一项所述的方法，其中，工业系统是工业控制系统。

7.根据前述权利要求中的任一项所述的方法，其中，在已经检测到未定义的动作的情况下，发起预定动作。

8.根据权利要求7所述的方法，其中，预定动作包括以下各项中的至少一项：

-发出警报；

-发出警报通知；

-改变工业系统的状态；

-触发维修措施。

9.根据前述权利要求中的任一项所述的方法，其中，未定义的动作是工业系统内的恶意活动。

10.一种用于检测工业系统中的未定义的动作的设备，其中，所述设备包括处理单元，所述处理单元被布置成

（b）根据适用的操作模式检测系统模型中的未定义的动作。

11.根据权利要求10所述的设备，其中，处理单元被进一步布置成在步骤（a）之前识别工业系统的所述至少两个操作模式。

12.一种工业系统，包括处理单元，所述处理单元被布置成

（b）根据适用的操作模式检测系统模型中的未定义的动作。

13.根据权利要求12所述的设备，其中，处理单元被进一步布置成在步骤（a）之前识别工业系统的所述至少两个操作模式。

14.一种可直接加载到数字处理设备的存储器中的计算机程序产品，包括用于执行根据权利要求1至9中的任一项所述的方法的步骤的软件代码部分。

15.一种计算机可读介质，其具有适于使计算机系统执行根据权利要求1至9中的任一项所述的方法的计算机可执行指令。