CN112291239A - 一种面向scada系统的网络物理模型及其入侵检测方法 - Google Patents

Abstract

本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

Description

一种面向SCADA系统的网络物理模型及其入侵检测方法

技术领域

本发明属于网络安全技术领域，具体涉及一种面向SCADA系统的网络物理模型及其入侵检测方法。

背景技术

工业控制系统(ICSs)已广泛应用于工业过程，如电网，水利，天然气，石化等。监督控制和数据采集(SCADA)系统是ICS的核心组件，用于收集和处理由远程终端单元(RTU)和可编程逻辑单元(PLC)生成的数据，并允许工程师监视ICS和PC的状态。

现有的商用SCADA产品使用的标准、通信协议并不统一，且存在一些常见的漏洞。虽然大多数SCADA系统已经安全地隔离运行了很多年，但是一旦它们连接到外部网络，网络漏洞将给它们带来前所未有的安全风险。近来，越来越多的网络攻击表明它们对ICS造成了严重破坏。网络通信，尤其是基于ICS协议的网络通信，在网络攻击过程中起着重要的作用。但是，大多数现有的网络入侵检测方法仅专注于检测和表征针对SCADA系统的网络攻击，而无法完全描述其对系统的实际影响。

发明内容

本发明的目的是为SCADA系统提供一种新颖的网络物理模型，通过提取和关联ICS设备的通信模式和状态，来检测针对SCADA系统的网络入侵并评估其对工业过程的风险水平。

本发明的技术方案如下：

如图1所示，典型的SCADA系统由主终端单元(MTU)和远程终端设备(RTU)组成，其中MTU负责向RTU发送命令并监视其状态，而RTU用于向现场设备发送命令。通常，SCADA系统的网络结构和ICS设备之间的通信模式是稳定且恒定的，因此，任何违反已有正常通信模式的行为，都可以被视为是由错误操作或网络攻击引起的异常行为。本发明通过对ICS设备的通信模式和状态进行建模和关联，以检测和评估针对SCADA系统的网络攻击的风险级别。

本发明对有限状态机(FSM)进行了修改，得到一种面向SCADA系统的网络物理模型，将该模型表示为6元组：

G＝(D,X,C,S,T,E)

其中，D＝{d₁,d₂,…,d_m}表示一组设备集合(包括MTU和RTU)，构成SCADA系统的主要监视控制和数据采集层，m∈N^*代表系统中的设备数量。

X＝{x₁,x₂,…,x_r},r≤m表示SCADA系统的状态，该系统由D中的所有RTU的状态组成。x_i＝{υ_i,1,υ_i,2,…,υ_i,p}(i∈{1,2,…,r})表示设备d_i的状态，υ_i,j(j∈{1,2,…,p})表示d_i所使用的第j个存储块的值。p∈N^*是d_i所使用的存储块数，值得注意的是，任何υ_i,j的改变将导致x_i的改变。MTU被排除在X外，因为它们不直接参与物理过程，并且它们的更改可以反映在关联的RTU中。

C＝{c₁,c₂,…,c_y},y≤m表示一组有限的通信模式集合，其中c_i＝{ζ_i,1,ζ_i,2,…,ζ_i,q}表示设备d_i生成的一组通信模式，并且q表示c_i的大小。

S＝{s₁,s₂,…,s_y},y≤m是通信模式的有限序列集，其中

代表设备d_i拥有的序列集，并且n表示s_i的大小。具体来讲，

是由d_i生成的通信模式的有序序列，

的长度是动态变化的。

是与X对应的RTU状态转换的有限集合，其中

表示读取设备d_i，

表示写入设备d_i。在该模型中，对RTU的所有操作都抽象为读取或写入，其中读取表示从RTU获取数据，而写入表示将数据存储或修改到RTU的存储块中。此外，RTU转换值

(a＝0or 1)可以用一组对应于状态x_i中的转换值

表示。显然，

会改变x_i的状态。

的转换是能够由通信模式序列

中的通信模式ζ_j,k(i≠j)引起的。

E＝{e₁,e₂,…,e_n}表示系统中发生的事件。事件e_i＝(κ(x₁),κ(x₂),…,κ(x_r))由转换

触发，κ(x_j)指示RTU d_j的状态x_j发生变化，其中

值得注意的是，由于SCADA系统的状态由其中所有RTU的状态组成，并且SCADA系统可能包括其他设备，因此X的大小不会超过D。某些设备可能永远不会主动尝试与其他设备进行通信，因此没有自己的通信模式，即C的大小也不会超过D。通信模式序列由通信模式组成，因此C与S的大小一致。以图1中的SCADA系统为例，SCADA系统的状态由三个RTU的状态组成，使用三个存储块分别存储所监视的现场设备的状态，如图2所示。通过RTU查询现场设备的测量数据或将数据写入RTU中未使用的存储块，系统的状态不会受到影响。但是，当MTU向RTU发送命令以更改现场设备(例如RTU 1的第一个存储块)的状态时，系统状态将被更改。总而言之，系统状态的更改可能是由管理员的手动操作或网络攻击引起的。当系统状态仅倾向于查询设备状态或将RTU的未使用存储块用于其他目的时，系统状态不受网络攻击的影响。

通信模式被定义为一组特征，旨在描述SCADA网络流量。本发明提出的方法不是一次分析每个网络数据包，而是一次提取一组网络数据包(称为IP流)，来分析SCADA网络中的网络行为。IP流的主要优点在于，它提供了网络行为的概述，显示了网络节点之间交互的主要统计信息，可以揭示与攻击引起的正常行为的偏差。IP流由超时阈值T_inactive分隔，一旦超过该阈值，该流将被视为不再活跃并被分割。为了防止IP流跨越SCADA系统的多个轮询周期，T_inactive必须比系统的轮询周期小得多。在本发明中，将T_inactive设置为轮询周期的二十分之一即可满足上述约束并概括了网络行为。

上述面向SCADA系统的网络物理模型的通信模式表示为：

ζ_j,k＝(d_dst,p_dst,p_tr,p_num,p_size,τ,Γ)

其中d_dst代表目标设备；p_dst代表目的端口；p_tr表示传输协议；p_num表示组成IP流中数据包的数量；p_size表示组成IP流的数据包的字节大小；τ表示IP流的持续时间；Γ表示由ζ_j,k引起的转换序列，公式为

其中i代表目标设备d_i的编号；p表示状态x_i中的值的个数；a_i＝0or 1,1≤i≤n和n表示由ζ_j,k引起的转换数量。显然，Γ的长度是动态的，这取决于具体的通信模式。当目标设备不是RTU时，Γ将设置为空。

通过解析SCADA系统的工业过程，发现设备通常以连续有序的方式将其命令(通信模式)发送到一个或多个其他设备，这种连续有序的通信模式在本发明中将其称为“通信模式序列”，缩写为“CPSequence”。为了分离设备的CPSequence，设置了另一个超时阈值T_seq，超过这个阈值时，CPSequence就会被认为是非活动的，并将其切断。在本发明中，T_seq等于T_inactive。

在本发明中，假设SCADA系统是一个“稳定”的系统，它满足：1)系统的网络架构和工业过程保持不变；2)系统中的设备及其配置保持不变。基于以上条件，将不满足模型中集合CPSequence S的任何CPSequence都可判定为网络入侵(或异常)。根据与S的匹配程度，网络入侵可分为三类：

(1)序列类入侵，指在S中无法找到异常CPSequence的源IP；

(2)模式类入侵，指异常CPSequence和S中CPSequence的通信模式不匹配。不匹配有两种情况：1)异常的CPSequence中有不同的顺序或组合方式的模式；2)通过与C中已有通信模式的特征向量进行比较而发现异常的通信模式。

(3)内容类入侵，是模式类入侵的升级版本，除部分模式中的转换序列Γ不同外，其模式序列与现有模式序列具有完全相同的特征值。具体来说，Γs之间的差异可能由两种情况引起：1)异常Γ由不同顺序或组合方式组成；2)异常Γ包含未知转换。

一般情况下，通过对SCADA网络流量的分析，作为初始训练阶段，可以学习模型中的CPSequence集合。从网络流量中检测异常CPSequence的过程如下：

步骤1，输入一个新的CPSequence，

假设

的源IP编号为i,

的大小为m。其中，max_level为1时表示序列类，2表示模式类，3表示内容类。在S中寻找

的源IP，如果S中无法找到

的源IP，就将其标记为“sequence-class intrusion”，否则将max_level置为0。

步骤2，对于集合

中的每个s_i，判断的

大小和

的大小是否相等。如果二者不相等且max_level小于1，将max_level置为1。否则，对于k从1到m,将标志位flag置为false，对于l从1到6，做如下判断：如果

和

不相等且max_level小于2，将max_level置为2、标志位flag置为true。其中

表示

的第k个通信模式的第l个特征。

步骤3，判断标志位flag的状态。如果flag为false，当

与

相等时，将

标记为“正常流量”；当

与

不相等且max_level小于3时，则将max_level置为3。

步骤4，如果

未被标记，则根据max_level标记

本发明从以下三个方面评估网络入侵对SCADA系统的危害程度：

复杂程度：与入侵等级相对应的入侵复杂性；

网络影响：入侵对于系统和设备所造成的网络负载；

物理影响：被入侵篡改的设备的状态数；

使用R_S＝{1,2,3}表示入侵的复杂程度，R_P表示物理影响；网络影响分为系统影响R_NS和设备影响R_ND；网络对系统的影响R_NS是指入侵产生的总网络负载，而网络对设备的影响R_ND是指单个设备上的最大网络负载；入侵的CPSequences表示如下：

根据上式，可以计算出：

其中|Γⁱ|表示Γⁱ的大小；e_i,j表示由第i个通信模式中的第j个转换引起的事件。假设RTU使用的所有存储块都包含在该模型的X中，可以通过分析网络流量或参考设备的配置规范来实现该模型。因此，X以外的其他存储块不能对系统造成直接影响，也不涉及R_P。R_NS的计算如下：

设

代表与设备d_i相关联的包的数量，可表示为：

其中N_j表示通过第j个通信模式访问的设备的编号。R_ND根据

计算。因此，网络入侵的风险级别R可以表述为：

R＝r₁R_S+r₂L₁(R_P)+r₃L₂(R_NS)+r₄L₃(R_ND)

其中r_i，1≤i≤4，表示每个元素的相应权重，L_i(x)表示评级函数。

本发明的有益效果是：提供的一种面向SCADA系统的网络物理模型及其入侵检测方法，通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

附图说明

图1是本发明的SCADA系统示例图。

图2是本发明的SCADA系统状态展示图。

图3是本发明用于数据集生成的带有2个主终端单元(MTU)和6个控制器的SCADA网络拓扑图。

图4是本发明的模型和三个最佳算法的对比结果图。

图5是本发明基于网络入侵的风险等级R的计算公式和当所有系统因素都被视为同等重要且设备具有良好的性能时的评级函数L_i(x)统计出的攻击特征图。

图6是本发明的实验中各类攻击对应的通信模式序列数量图。

图7是本发明实验中各类攻击对应的与设备关联的数据包的数量的最大值和通信模式序列的数量图。

图8是根据本发明的基于网络入侵的风险等级R的计算公式和系统状态对网络负载很敏感时的评级函数L_i(x)统计出的攻击特征图。

图9是根据本发明的参数r₂变大时的风险等级R的计算公式和当设备具有良好的性能时的评级函数L_i(x)统计出的攻击特征图。

具体实施方式

以下结合附图和具体实施方案对本发明作进一步的详细说明，但不作为对本发明技术方案的限定。

实施例一：SCADA系统建模

在SCADA网络中生成的数据集包含的数据类型有三种：常规轮询数据，手动操作数据和攻击数据。两个MTU负责监视控制器的状态并向它们发送指令，每个控制器代表一个小型电网，每个小型电网由一个主电源分支和三个子分支组成。

在本发明中，根据对“Run1_6RTU”数据集中轮询和手动操作的一小时内的Modbus网络流量的分析，构建的系统模型如下：

G＝(D,X,C,S,T,E)

其中：

D＝{d₁,d₂,…,d₈}。d₇和d₈表示MTU A和MTU B，d₁到d₆表示控制器1至6。

X＝{x₁,x₂,…,x₆}＝{{υ_1,1,υ_1,2,υ_1,3},{υ_2,1,υ_2,2,υ_2,3},…,{υ_6,1,υ_6,2,υ_6,3}}，状态号与控制器号一致；υ_i,1表示起始位置为4，长度为4的离散输入；υ_i,2表示起始位置为0、长度为4的线圈；υ_i,3表示起始位置为8、长度为4的保持寄存器。

C＝{c₇,c₈}＝{{ζ_7,1,…,ζ_7,19,…,ζ_7,31,…,ζ_7,49},{ζ_8,1,…,ζ_8,19,…,ζ_8,31,…,ζ_8,39}}，表示MTU A包含49种不同的通信模式，而MTU B包含39种不同的通信模式。这些通信模式可以分为三种类型：常规模式，手动模式和不完全模式。常规模式是通过轮询流量来生成的，例如

手动模式是通过手动操作生成的，例如

不完全模式是指丢失了轮询流量中的数据包，例如

表示MTU A包含27个不同的CPSequences，MTU B包含25个不同的CPSequences。从理论上讲，一个MTU仅具有一个常规CPSequences，该序列由18种通信模式组成，以便定期查询控制器的状态。但是，丢弃数据包和手动操作有时会以随机的方式干扰常规CPSequences。因此，CPSequences的数量远大于1。

转换编号与控制器编号一致；

表示读取控制器d_i的第j个存储块；

表示写入控制器d_i的第j个存储块。例如，ζ_7,19中的

表示控制器d₃的起始位置为0且长度为4的线圈已被写入。

E＝{e₁,e₂,…,e₆₄}＝{(0,0,0,0,0,0),(1,0,0,0,0,0),…,(1,1,1,1,1,1)}，表示系统中可能发生的所有事件。由该数据集引起的事件可以表示为

E^*＝{e₁,e₂,e₃,e₄}＝{(0,0,0,0,0,0),(1,0,0,0,0,0),(0,1,0,0,0,0),(0,0,1,0,0,0)}。除了手动操作之外，MTU的大多数CPSequences都不会改变控制器的状态。

实施例二：入侵检测

SCADA网络数据集的描述如表1所示。

本发明从准确率、检测率(DR)和F1评分三个方面来评估模型在入侵检测方面的有效性。准确性是指正确分类的数据包(TP+TN)在所有数据包(TP+FP+TN+FN)中所占的比例。DR定义为正确检测到的攻击数(TP)与网络中存在的攻击总数(TP+FN)之比。F1评分测量“精确度”和“查全率”(检测率)的谐波平均值。精度代表正确检测到的攻击数(TP)与所有检测到的攻击数(TP+FP)的比值。它们的公式如下：

其中TP，TN，FP和FN分别代表真阳性，真阴性，假阳性和假阴性。表2列出了各种数据集的实验结果。

攻击1

攻击1由数据集“6RTU_with_operate”表示，模拟了被感染的计算机通过启动远程攻击的方式感染下一个控制器，并通过这种方式逐渐扩大感染范围。实验结果表明，本发明提出的模型可以准确地检测到这种攻击。

攻击2和攻击3

攻击2和攻击3由数据集“CnC_uploading_exe”和“Moving_two_files”生成，旨在通过Metasploit Meterpreter通道移动文件。这说明了攻击者通过发送较新版本的恶意软件来上传新工具或更新其在计算机上的状态。实验结果表明，该模型可以检测出仅有少量假阴性的攻击。这是因为模型会忽略在标签文件中标记为恶意的广播数据包。

攻击4

在数据集“Characterization”中模拟攻击4，该数据集发起指纹攻击以通过发送一系列读取数据包来表征控制器内存的内容。这表示攻击者正在收集有关SCADA系统的信息。尽管该模型检测到所有标记为恶意的数据包，但它错误地将具有192个数据包的非恶意CPSEQUENCE标识为恶意。这是因为在常规CPSEQUENCE中插入了手动操作，从而导致CPSEQUENCE异常。

攻击5

攻击5通过向数据集“Send_a_fake_command”中的控制器发送未经授权的命令来实现。该命令是格式正确的WRITE_COIL数据包，已发送到另一个控制器。检测攻击5的错误也是由手动操作引起的，其中MTU A访问了从未通过手动操作访问过的控制器4。

攻击6

攻击6代表数据集“Channel_4d_12s”中基于Modbus的命令和控制通道。命令和控制通道使用Modbus数据的最低有效位来传输信息。显然，这种攻击更为复杂和阴险。由于此数据集是由模型外的其他IP地址生成的，并且没有相应的标签文件，因此本发明对其进行了一些修改。首先，将其源地址和目标地址更改为MTU B和控制器1的地址。然后，根据其规范将数据集中的所有数据包标记为恶意。实验结果表明，该模型可以准确地检测出攻击6。

常规数据

数据集“Modbus_polling_only”包含1个小时的常规Modbus流量(仅包括轮询)，用于分析模型的误报率。如实验结果所示，该模型检测到具有183个数据包的异常CPSEQUENCE。这是因为像在数据集“特征化”中一样在数据集中检测到手动操作。但是，这违反了此数据集的描述，即不包括任何手动操作。此外，由于此数据集中没有攻击，因此未考虑“检测率”和“F1评分”。

为了进一步验证模型的有效性，本发明基于上述数据集，与最新的机器学习方法从准确性、检测率(DR)和F1评分三个指标中选取效果最好的方法进行了对比。如图4所示，本发明提出的模型在每个度量标准上都明显优于其他三种方法。

本实施例列举了对各种类型的攻击的检测结果，实验表明本发明提出的模型可以有效检测出网络入侵。

实施例三：风险评估

本实施例从两个方面进行评估：区分不同的攻击和针对不同的攻击。表3中列出了各种攻击的风险指数和CPSEQUENCE级别。

表4是相关攻击的统计信息。

区分不同的攻击

图5和图6显示了，不同的攻击有不同的描述自身特征的组合。如图5所示，当所有系统因素都被视为同等重要且设备具有良好的性能时，公式可以表示为：

R＝0.25*R_S+0.25*L₁(R_P)+0.25*L₂(R_NS)+0.25*L₃(R_ND)

其中

其中max_i表示模型中观察到的相应元素的最大值。该模型评估的风险级别侧重于估计网络攻击的潜在危险，而不是系统状态。在最简单的情况下，可以将r_i设置为0.25，并且L_i(x)可以表述为由每个元素对系统的重要性和设备性能决定的分段函数。

例如，攻击6在每个统计特征中都具有最大值；所有攻击均显示出不同的平均风险级别；“最大风险级别”功能可以区分5种攻击类型。尽管某些功能无法将一个攻击与其他攻击直接区分开，但是可以将它们的组合用于分类。例如图7中，CPSequence的最大值R_ND和CPSequence的数量可以完全地区分开所有的攻击。虽然对不同类型的攻击进行指纹识别超出了本发明的研究范围，但是风险评估方法可以为其提供重要的特征支持。这表明该实施例在评估攻击方面是有效的。

针对不同的攻击

通常，不同的SCADA系统可能具有不同的防御优先级，这取决于许多因素，例如工业流程，设备性能，网络安全状况等。在本发明中提出的公式中，可以修改参数来适应不同的评估要求。例如，当设备中存储的物理参数非常重要并且对更改敏感时，该参数往往会比其他参数大。此时，网络入侵的风险级别R可以表示为：

R＝0.1*R_S+0.7*L₁(R_P)+0.1*L₂(R_NS)+0.1*L₃(R_ND)

另外，当设备性能受到限制时，系统状态对网络负载很敏感。排名函数可以表述为

如图8和图9所示的实验结果表明，不同的参数和功能组合对不同攻击的敏感度不同。因此，本发明提出的风险评估方法能够针对具有不同参数和函数组合的不同攻击。

Claims (6)

1.一种面向SCADA系统的网络物理模型，其特征在于，该模型表示为6元组：

G＝(D,X,C,S,T,E)

其中，D＝{d₁,d₂,…,d_m}表示一组设备集合，包括MTU和RTU，构成SCADA系统的主要监视控制和数据采集层，m∈N^*代表系统中的设备数量；

X＝{x₁,x₂,…,x_r},r≤m表示SCADA系统的状态，该系统的状态由D中的所有RTU的状态组成；x_i＝{υ_i,1,υ_i,2,…,υ_i,p}(i∈{1,2,…,r})表示设备d_i的状态，υ_i,j(j∈{1,2,…,p})表示d_i所使用的第j个存储块的值；p∈N^*是d_i所使用的存储块数，任何υ_i,j的改变将导致x_i的改变；MTU被排除在X外；

C＝{c₁,c₂,…,c_y},y≤m表示一组有限的通信模式集合，其中c_i＝{ζ_i,1,ζ_i,2,…,ζ_i,q}表示设备d_i生成的一组通信模式，并且q表示c_i的大小；

S＝{s₁,s₂,…,s_y},y≤m是通信模式的有限序列集，其中

代表设备d_i拥有的序列集，并且n表示s_i的大小；

是由d_i生成的通信模式的有序序列，

的长度是动态变化的；

是与X对应的RTU状态转换的有限集合，其中

表示读取设备d_i，

表示写入设备d_i；在该模型中，对RTU的所有操作都抽象为读取或写入，其中读取表示从RTU获取数据，而写入表示将数据存储或修改到RTU的存储块中；此外，RTU转换值

用一组对应于状态x_i中的转换值

表示；

会改变x_i的状态；

的转换是由通信模式序列

中的通信模式ζ_j,k(i≠j)引起的；

E＝{e₁,e₂,…,e_n}表示系统中发生的事件；事件e_i＝(κ(x₁),κ(x₂),…,κ(x_r))由转换

触发，κ(x_j)指示RTU d_j的状态x_j发生变化，其中

2.根据权利要求1所述的面向SCADA系统的网络物理模型，其特征在于，X的大小不会超过D；C的大小不会超过D；C与S的大小一致。

3.根据权利要求1所述的面向SCADA系统的网络物理模型，其特征在于，该网络物理模型的通信模式，表示为：

ζ_j,k＝(d_dst,p_dst,p_tr,p_num,p_size,τ,Γ)

其中d_dst代表目标设备；p_dst代表目的端口；p_tr表示传输协议；p_num表示组成IP流中数据包的数量；p_size表示组成IP流的数据包的字节大小；τ表示IP流的持续时间；Γ表示由ζ_j,k引起的转换序列，公式为：

其中i代表目标设备d_i的编号；p表示状态x_i中的值的个数；a_i＝0 or 1,1≤i≤n和n表示由ζ_j,k引起的转换数量；Γ的长度是动态的，取决于具体的通信模式；当目标设备不是RTU时，Γ将设置为空；

连续有序的通信模式称为“通信模式序列”，即“CPSequence”，设置一个超时阈值T_seq，超过这个阈值时，CPSequence被认为是非活动的，并将其切断，其中T_seq等于T_inactive；T_inactive为IP流的超时阈值。

4.权利要求1-3所述的面向SCADA系统的网络物理模型的入侵检测方法，其特征在于，包括步骤如下：

步骤1，输入一个新的“通信模式序列”，

假设

的源IP编号为i,

的大小为m；其中，max_level为1时表示序列类，2表示模式类，3表示内容类；在S中寻找

的源IP，如果S中无法找到

的源IP，就将其标记为“sequence-class intrusion”，否则将max_level置为0；S为通信模式的有限序列集；

步骤2，对于集合

中的每个s_i，判断的

大小和

的大小是否相等；如果二者不相等且max_level小于1，将max_level置为1；否则，对于k从1到m；将标志位flag置为false，对于l从1到6，做如下判断：如果

和

不相等且max_level小于2，将max_level置为2、标志位flag置为true；其中

表示

的第k个通信模式的第l个特征；

步骤3，判断标志位flag的状态；如果flag为false，当

与

相等时，将

标记为“正常流量”；当

与

不相等且max_level小于3时，则将max_level置为3；

步骤4，如果

未被标记，则根据max_level标记

5.根据权利要求4所述的入侵检测方法，其特征在于，根据与S的匹配程度，网络入侵分为三类：

(1)序列类入侵，指在S中无法找到异常CPSequence的源IP；

(2)模式类入侵，指异常CPSequence和S中CPSequence的通信模式不匹配；不匹配有两种情况：1)异常的CPSequence中有不同的顺序或组合方式的模式；2)通过与网络物理模型的C中已有通信模式的特征向量进行比较而发现异常的通信模式；

(3)内容类入侵，是模式类入侵的升级版本，除部分模式中的转换序列Γ不同外，其模式序列与现有模式序列具有完全相同的特征值具体来说，Γs之间的差异由两种情况引起：1)异常Γ有不同顺序或组合方式组成；2)异常Γ包含未知转换。

6.采用权利要求1所述的SCADA系统的网络物理模型的应用，其特征在于，用于SCADA系统的风险评估，具体包括：

复杂程度：与入侵等级相对应的入侵复杂性；

网络影响：入侵对于系统和设备所造成的网络负载；

物理影响：被入侵篡改的设备的状态数；

使用R_S＝{1,2,3}表示入侵的复杂程度，R_P表示物理影响；网络影响分为系统影响R_NS和设备影响R_ND；网络对系统的影响R_NS是指入侵产生的总网络负载，而网络对设备的影响R_ND是指单个设备上的最大网络负载；入侵的CPSequences表示如下：

根据上式，计算出：

其中|Γⁱ|表示Γⁱ的大小；e_i,j表示由第i个通信模式中的第j个转换引起的事件；假设RTU使用的所有存储块都包含在该模型的X中，通过分析网络流量或参考设备的配置规范实现该模型；X以外的其他存储块不能对系统造成直接影响，也不涉及R_P；R_NS的计算如下：

设

代表与设备d_i相关联的包的数量，表示为：

其中N_j表示通过第j个通信模式访问的设备的编号；R_ND根据

计算；网络入侵的风险级别R表述为：

R＝r₁R_S+r₂L₁(R_P)+r₃L₂(R_NS)+r₄L₃(R_ND)

其中r_i，1≤i≤4，表示每个元素的相应权重，L_i(x)表示评级函数。

Images