CN112291239A - 一种面向scada系统的网络物理模型及其入侵检测方法 - Google Patents
一种面向scada系统的网络物理模型及其入侵检测方法 Download PDFInfo
- Publication number
- CN112291239A CN112291239A CN202011178647.5A CN202011178647A CN112291239A CN 112291239 A CN112291239 A CN 112291239A CN 202011178647 A CN202011178647 A CN 202011178647A CN 112291239 A CN112291239 A CN 112291239A
- Authority
- CN
- China
- Prior art keywords
- network
- intrusion
- sequence
- communication mode
- rtu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 15
- 238000000034 method Methods 0.000 claims abstract description 15
- 238000012502 risk assessment Methods 0.000 claims abstract description 6
- 238000004891 communication Methods 0.000 claims description 52
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 10
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 230000007704 transition Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 3
- 239000000470 constituent Substances 0.000 claims description 2
- 230000009466 transformation Effects 0.000 claims description 2
- 238000002474 experimental method Methods 0.000 abstract description 6
- 230000006378 damage Effects 0.000 abstract description 4
- 230000006399 behavior Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000005094 computer simulation Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Abstract
本发明属于网络安全技术领域,提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联,提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度,从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验,验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种面向SCADA系统的网络物理模型及其入侵检测方法。
背景技术
工业控制系统(ICSs)已广泛应用于工业过程,如电网,水利,天然气,石化等。监督控制和数据采集(SCADA)系统是ICS的核心组件,用于收集和处理由远程终端单元(RTU)和可编程逻辑单元(PLC)生成的数据,并允许工程师监视ICS和PC的状态。
现有的商用SCADA产品使用的标准、通信协议并不统一,且存在一些常见的漏洞。虽然大多数SCADA系统已经安全地隔离运行了很多年,但是一旦它们连接到外部网络,网络漏洞将给它们带来前所未有的安全风险。近来,越来越多的网络攻击表明它们对ICS造成了严重破坏。网络通信,尤其是基于ICS协议的网络通信,在网络攻击过程中起着重要的作用。但是,大多数现有的网络入侵检测方法仅专注于检测和表征针对SCADA系统的网络攻击,而无法完全描述其对系统的实际影响。
发明内容
本发明的目的是为SCADA系统提供一种新颖的网络物理模型,通过提取和关联ICS设备的通信模式和状态,来检测针对SCADA系统的网络入侵并评估其对工业过程的风险水平。
本发明的技术方案如下:
如图1所示,典型的SCADA系统由主终端单元(MTU)和远程终端设备(RTU)组成,其中MTU负责向RTU发送命令并监视其状态,而RTU用于向现场设备发送命令。通常,SCADA系统的网络结构和ICS设备之间的通信模式是稳定且恒定的,因此,任何违反已有正常通信模式的行为,都可以被视为是由错误操作或网络攻击引起的异常行为。本发明通过对ICS设备的通信模式和状态进行建模和关联,以检测和评估针对SCADA系统的网络攻击的风险级别。
本发明对有限状态机(FSM)进行了修改,得到一种面向SCADA系统的网络物理模型,将该模型表示为6元组:
G=(D,X,C,S,T,E)
其中,D={d1,d2,…,dm}表示一组设备集合(包括MTU和RTU),构成SCADA系统的主要监视控制和数据采集层,m∈N*代表系统中的设备数量。
X={x1,x2,…,xr},r≤m表示SCADA系统的状态,该系统由D中的所有RTU的状态组成。xi={υi,1,υi,2,…,υi,p}(i∈{1,2,…,r})表示设备di的状态,υi,j(j∈{1,2,…,p})表示di所使用的第j个存储块的值。p∈N*是di所使用的存储块数,值得注意的是,任何υi,j的改变将导致xi的改变。MTU被排除在X外,因为它们不直接参与物理过程,并且它们的更改可以反映在关联的RTU中。
C={c1,c2,…,cy},y≤m表示一组有限的通信模式集合,其中ci={ζi,1,ζi,2,…,ζi,q}表示设备di生成的一组通信模式,并且q表示ci的大小。
是与X对应的RTU状态转换的有限集合,其中表示读取设备di,表示写入设备di。在该模型中,对RTU的所有操作都抽象为读取或写入,其中读取表示从RTU获取数据,而写入表示将数据存储或修改到RTU的存储块中。此外,RTU转换值(a=0or 1)可以用一组对应于状态xi中的转换值表示。显然,会改变xi的状态。的转换是能够由通信模式序列中的通信模式ζj,k(i≠j)引起的。
值得注意的是,由于SCADA系统的状态由其中所有RTU的状态组成,并且SCADA系统可能包括其他设备,因此X的大小不会超过D。某些设备可能永远不会主动尝试与其他设备进行通信,因此没有自己的通信模式,即C的大小也不会超过D。通信模式序列由通信模式组成,因此C与S的大小一致。以图1中的SCADA系统为例,SCADA系统的状态由三个RTU的状态组成,使用三个存储块分别存储所监视的现场设备的状态,如图2所示。通过RTU查询现场设备的测量数据或将数据写入RTU中未使用的存储块,系统的状态不会受到影响。但是,当MTU向RTU发送命令以更改现场设备(例如RTU 1的第一个存储块)的状态时,系统状态将被更改。总而言之,系统状态的更改可能是由管理员的手动操作或网络攻击引起的。当系统状态仅倾向于查询设备状态或将RTU的未使用存储块用于其他目的时,系统状态不受网络攻击的影响。
通信模式被定义为一组特征,旨在描述SCADA网络流量。本发明提出的方法不是一次分析每个网络数据包,而是一次提取一组网络数据包(称为IP流),来分析SCADA网络中的网络行为。IP流的主要优点在于,它提供了网络行为的概述,显示了网络节点之间交互的主要统计信息,可以揭示与攻击引起的正常行为的偏差。IP流由超时阈值Tinactive分隔,一旦超过该阈值,该流将被视为不再活跃并被分割。为了防止IP流跨越SCADA系统的多个轮询周期,Tinactive必须比系统的轮询周期小得多。在本发明中,将Tinactive设置为轮询周期的二十分之一即可满足上述约束并概括了网络行为。
上述面向SCADA系统的网络物理模型的通信模式表示为:
ζj,k=(ddst,pdst,ptr,pnum,psize,τ,Γ)
其中ddst代表目标设备;pdst代表目的端口;ptr表示传输协议;pnum表示组成IP流中数据包的数量;psize表示组成IP流的数据包的字节大小;τ表示IP流的持续时间;Γ表示由ζj,k引起的转换序列,公式为
其中i代表目标设备di的编号;p表示状态xi中的值的个数;ai=0or 1,1≤i≤n和n表示由ζj,k引起的转换数量。显然,Γ的长度是动态的,这取决于具体的通信模式。当目标设备不是RTU时,Γ将设置为空。
通过解析SCADA系统的工业过程,发现设备通常以连续有序的方式将其命令(通信模式)发送到一个或多个其他设备,这种连续有序的通信模式在本发明中将其称为“通信模式序列”,缩写为“CPSequence”。为了分离设备的CPSequence,设置了另一个超时阈值Tseq,超过这个阈值时,CPSequence就会被认为是非活动的,并将其切断。在本发明中,Tseq等于Tinactive。
在本发明中,假设SCADA系统是一个“稳定”的系统,它满足:1)系统的网络架构和工业过程保持不变;2)系统中的设备及其配置保持不变。基于以上条件,将不满足模型中集合CPSequence S的任何CPSequence都可判定为网络入侵(或异常)。根据与S的匹配程度,网络入侵可分为三类:
(1)序列类入侵,指在S中无法找到异常CPSequence的源IP;
(2)模式类入侵,指异常CPSequence和S中CPSequence的通信模式不匹配。不匹配有两种情况:1)异常的CPSequence中有不同的顺序或组合方式的模式;2)通过与C中已有通信模式的特征向量进行比较而发现异常的通信模式。
(3)内容类入侵,是模式类入侵的升级版本,除部分模式中的转换序列Γ不同外,其模式序列与现有模式序列具有完全相同的特征值。具体来说,Γs之间的差异可能由两种情况引起:1)异常Γ由不同顺序或组合方式组成;2)异常Γ包含未知转换。
一般情况下,通过对SCADA网络流量的分析,作为初始训练阶段,可以学习模型中的CPSequence集合。从网络流量中检测异常CPSequence的过程如下:
步骤1,输入一个新的CPSequence,假设的源IP编号为i,的大小为m。其中,max_level为1时表示序列类,2表示模式类,3表示内容类。在S中寻找的源IP,如果S中无法找到的源IP,就将其标记为“sequence-class intrusion”,否则将max_level置为0。
步骤2,对于集合中的每个si,判断的大小和的大小是否相等。如果二者不相等且max_level小于1,将max_level置为1。否则,对于k从1到m,将标志位flag置为false,对于l从1到6,做如下判断:如果和不相等且max_level小于2,将max_level置为2、标志位flag置为true。其中表示的第k个通信模式的第l个特征。
本发明从以下三个方面评估网络入侵对SCADA系统的危害程度:
复杂程度:与入侵等级相对应的入侵复杂性;
网络影响:入侵对于系统和设备所造成的网络负载;
物理影响:被入侵篡改的设备的状态数;
使用RS={1,2,3}表示入侵的复杂程度,RP表示物理影响;网络影响分为系统影响RNS和设备影响RND;网络对系统的影响RNS是指入侵产生的总网络负载,而网络对设备的影响RND是指单个设备上的最大网络负载;入侵的CPSequences表示如下:
根据上式,可以计算出:
其中|Γi|表示Γi的大小;ei,j表示由第i个通信模式中的第j个转换引起的事件。假设RTU使用的所有存储块都包含在该模型的X中,可以通过分析网络流量或参考设备的配置规范来实现该模型。因此,X以外的其他存储块不能对系统造成直接影响,也不涉及RP。RNS的计算如下:
R=r1RS+r2L1(RP)+r3L2(RNS)+r4L3(RND)
其中ri,1≤i≤4,表示每个元素的相应权重,Li(x)表示评级函数。
本发明的有益效果是:提供的一种面向SCADA系统的网络物理模型及其入侵检测方法,通过将网络入侵与SCADA系统的状态相关联,提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度,从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验,验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。
附图说明
图1是本发明的SCADA系统示例图。
图2是本发明的SCADA系统状态展示图。
图3是本发明用于数据集生成的带有2个主终端单元(MTU)和6个控制器的SCADA网络拓扑图。
图4是本发明的模型和三个最佳算法的对比结果图。
图5是本发明基于网络入侵的风险等级R的计算公式和当所有系统因素都被视为同等重要且设备具有良好的性能时的评级函数Li(x)统计出的攻击特征图。
图6是本发明的实验中各类攻击对应的通信模式序列数量图。
图7是本发明实验中各类攻击对应的与设备关联的数据包的数量的最大值和通信模式序列的数量图。
图8是根据本发明的基于网络入侵的风险等级R的计算公式和系统状态对网络负载很敏感时的评级函数Li(x)统计出的攻击特征图。
图9是根据本发明的参数r2变大时的风险等级R的计算公式和当设备具有良好的性能时的评级函数Li(x)统计出的攻击特征图。
具体实施方式
以下结合附图和具体实施方案对本发明作进一步的详细说明,但不作为对本发明技术方案的限定。
实施例一:SCADA系统建模
在SCADA网络中生成的数据集包含的数据类型有三种:常规轮询数据,手动操作数据和攻击数据。两个MTU负责监视控制器的状态并向它们发送指令,每个控制器代表一个小型电网,每个小型电网由一个主电源分支和三个子分支组成。
在本发明中,根据对“Run1_6RTU”数据集中轮询和手动操作的一小时内的Modbus网络流量的分析,构建的系统模型如下:
G=(D,X,C,S,T,E)
其中:
D={d1,d2,…,d8}。d7和d8表示MTU A和MTU B,d1到d6表示控制器1至6。
X={x1,x2,…,x6}={{υ1,1,υ1,2,υ1,3},{υ2,1,υ2,2,υ2,3},…,{υ6,1,υ6,2,υ6,3}},状态号与控制器号一致;υi,1表示起始位置为4,长度为4的离散输入;υi,2表示起始位置为0、长度为4的线圈;υi,3表示起始位置为8、长度为4的保持寄存器。
C={c7,c8}={{ζ7,1,…,ζ7,19,…,ζ7,31,…,ζ7,49},{ζ8,1,…,ζ8,19,…,ζ8,31,…,ζ8,39}},表示MTU A包含49种不同的通信模式,而MTU B包含39种不同的通信模式。这些通信模式可以分为三种类型:常规模式,手动模式和不完全模式。常规模式是通过轮询流量来生成的,例如手动模式是通过手动操作生成的,例如不完全模式是指丢失了轮询流量中的数据包,例如
表示MTU A包含27个不同的CPSequences,MTU B包含25个不同的CPSequences。从理论上讲,一个MTU仅具有一个常规CPSequences,该序列由18种通信模式组成,以便定期查询控制器的状态。但是,丢弃数据包和手动操作有时会以随机的方式干扰常规CPSequences。因此,CPSequences的数量远大于1。
E={e1,e2,…,e64}={(0,0,0,0,0,0),(1,0,0,0,0,0),…,(1,1,1,1,1,1)},表示系统中可能发生的所有事件。由该数据集引起的事件可以表示为
E*={e1,e2,e3,e4}={(0,0,0,0,0,0),(1,0,0,0,0,0),(0,1,0,0,0,0),(0,0,1,0,0,0)}。除了手动操作之外,MTU的大多数CPSequences都不会改变控制器的状态。
实施例二:入侵检测
SCADA网络数据集的描述如表1所示。
本发明从准确率、检测率(DR)和F1评分三个方面来评估模型在入侵检测方面的有效性。准确性是指正确分类的数据包(TP+TN)在所有数据包(TP+FP+TN+FN)中所占的比例。DR定义为正确检测到的攻击数(TP)与网络中存在的攻击总数(TP+FN)之比。F1评分测量“精确度”和“查全率”(检测率)的谐波平均值。精度代表正确检测到的攻击数(TP)与所有检测到的攻击数(TP+FP)的比值。它们的公式如下:
其中TP,TN,FP和FN分别代表真阳性,真阴性,假阳性和假阴性。表2列出了各种数据集的实验结果。
攻击1
攻击1由数据集“6RTU_with_operate”表示,模拟了被感染的计算机通过启动远程攻击的方式感染下一个控制器,并通过这种方式逐渐扩大感染范围。实验结果表明,本发明提出的模型可以准确地检测到这种攻击。
攻击2和攻击3
攻击2和攻击3由数据集“CnC_uploading_exe”和“Moving_two_files”生成,旨在通过Metasploit Meterpreter通道移动文件。这说明了攻击者通过发送较新版本的恶意软件来上传新工具或更新其在计算机上的状态。实验结果表明,该模型可以检测出仅有少量假阴性的攻击。这是因为模型会忽略在标签文件中标记为恶意的广播数据包。
攻击4
在数据集“Characterization”中模拟攻击4,该数据集发起指纹攻击以通过发送一系列读取数据包来表征控制器内存的内容。这表示攻击者正在收集有关SCADA系统的信息。尽管该模型检测到所有标记为恶意的数据包,但它错误地将具有192个数据包的非恶意CPSEQUENCE标识为恶意。这是因为在常规CPSEQUENCE中插入了手动操作,从而导致CPSEQUENCE异常。
攻击5
攻击5通过向数据集“Send_a_fake_command”中的控制器发送未经授权的命令来实现。该命令是格式正确的WRITE_COIL数据包,已发送到另一个控制器。检测攻击5的错误也是由手动操作引起的,其中MTU A访问了从未通过手动操作访问过的控制器4。
攻击6
攻击6代表数据集“Channel_4d_12s”中基于Modbus的命令和控制通道。命令和控制通道使用Modbus数据的最低有效位来传输信息。显然,这种攻击更为复杂和阴险。由于此数据集是由模型外的其他IP地址生成的,并且没有相应的标签文件,因此本发明对其进行了一些修改。首先,将其源地址和目标地址更改为MTU B和控制器1的地址。然后,根据其规范将数据集中的所有数据包标记为恶意。实验结果表明,该模型可以准确地检测出攻击6。
常规数据
数据集“Modbus_polling_only”包含1个小时的常规Modbus流量(仅包括轮询),用于分析模型的误报率。如实验结果所示,该模型检测到具有183个数据包的异常CPSEQUENCE。这是因为像在数据集“特征化”中一样在数据集中检测到手动操作。但是,这违反了此数据集的描述,即不包括任何手动操作。此外,由于此数据集中没有攻击,因此未考虑“检测率”和“F1评分”。
为了进一步验证模型的有效性,本发明基于上述数据集,与最新的机器学习方法从准确性、检测率(DR)和F1评分三个指标中选取效果最好的方法进行了对比。如图4所示,本发明提出的模型在每个度量标准上都明显优于其他三种方法。
本实施例列举了对各种类型的攻击的检测结果,实验表明本发明提出的模型可以有效检测出网络入侵。
实施例三:风险评估
本实施例从两个方面进行评估:区分不同的攻击和针对不同的攻击。表3中列出了各种攻击的风险指数和CPSEQUENCE级别。
表4是相关攻击的统计信息。
区分不同的攻击
图5和图6显示了,不同的攻击有不同的描述自身特征的组合。如图5所示,当所有系统因素都被视为同等重要且设备具有良好的性能时,公式可以表示为:
R=0.25*RS+0.25*L1(RP)+0.25*L2(RNS)+0.25*L3(RND)
其中
其中maxi表示模型中观察到的相应元素的最大值。该模型评估的风险级别侧重于估计网络攻击的潜在危险,而不是系统状态。在最简单的情况下,可以将ri设置为0.25,并且Li(x)可以表述为由每个元素对系统的重要性和设备性能决定的分段函数。
例如,攻击6在每个统计特征中都具有最大值;所有攻击均显示出不同的平均风险级别;“最大风险级别”功能可以区分5种攻击类型。尽管某些功能无法将一个攻击与其他攻击直接区分开,但是可以将它们的组合用于分类。例如图7中,CPSequence的最大值RND和CPSequence的数量可以完全地区分开所有的攻击。虽然对不同类型的攻击进行指纹识别超出了本发明的研究范围,但是风险评估方法可以为其提供重要的特征支持。这表明该实施例在评估攻击方面是有效的。
针对不同的攻击
通常,不同的SCADA系统可能具有不同的防御优先级,这取决于许多因素,例如工业流程,设备性能,网络安全状况等。在本发明中提出的公式中,可以修改参数来适应不同的评估要求。例如,当设备中存储的物理参数非常重要并且对更改敏感时,该参数往往会比其他参数大。此时,网络入侵的风险级别R可以表示为:
R=0.1*RS+0.7*L1(RP)+0.1*L2(RNS)+0.1*L3(RND)
另外,当设备性能受到限制时,系统状态对网络负载很敏感。排名函数可以表述为
如图8和图9所示的实验结果表明,不同的参数和功能组合对不同攻击的敏感度不同。因此,本发明提出的风险评估方法能够针对具有不同参数和函数组合的不同攻击。
Claims (6)
1.一种面向SCADA系统的网络物理模型,其特征在于,该模型表示为6元组:
G=(D,X,C,S,T,E)
其中,D={d1,d2,…,dm}表示一组设备集合,包括MTU和RTU,构成SCADA系统的主要监视控制和数据采集层,m∈N*代表系统中的设备数量;
X={x1,x2,…,xr},r≤m表示SCADA系统的状态,该系统的状态由D中的所有RTU的状态组成;xi={υi,1,υi,2,…,υi,p}(i∈{1,2,…,r})表示设备di的状态,υi,j(j∈{1,2,…,p})表示di所使用的第j个存储块的值;p∈N*是di所使用的存储块数,任何υi,j的改变将导致xi的改变;MTU被排除在X外;
C={c1,c2,…,cy},y≤m表示一组有限的通信模式集合,其中ci={ζi,1,ζi,2,…,ζi,q}表示设备di生成的一组通信模式,并且q表示ci的大小;
是与X对应的RTU状态转换的有限集合,其中表示读取设备di,表示写入设备di;在该模型中,对RTU的所有操作都抽象为读取或写入,其中读取表示从RTU获取数据,而写入表示将数据存储或修改到RTU的存储块中;此外,RTU转换值用一组对应于状态xi中的转换值表示;会改变xi的状态;的转换是由通信模式序列中的通信模式ζj,k(i≠j)引起的;
2.根据权利要求1所述的面向SCADA系统的网络物理模型,其特征在于,X的大小不会超过D;C的大小不会超过D;C与S的大小一致。
3.根据权利要求1所述的面向SCADA系统的网络物理模型,其特征在于,该网络物理模型的通信模式,表示为:
ζj,k=(ddst,pdst,ptr,pnum,psize,τ,Γ)
其中ddst代表目标设备;pdst代表目的端口;ptr表示传输协议;pnum表示组成IP流中数据包的数量;psize表示组成IP流的数据包的字节大小;τ表示IP流的持续时间;Γ表示由ζj,k引起的转换序列,公式为:
其中i代表目标设备di的编号;p表示状态xi中的值的个数;ai=0 or 1,1≤i≤n和n表示由ζj,k引起的转换数量;Γ的长度是动态的,取决于具体的通信模式;当目标设备不是RTU时,Γ将设置为空;
连续有序的通信模式称为“通信模式序列”,即“CPSequence”,设置一个超时阈值Tseq,超过这个阈值时,CPSequence被认为是非活动的,并将其切断,其中Tseq等于Tinactive;Tinactive为IP流的超时阈值。
4.权利要求1-3所述的面向SCADA系统的网络物理模型的入侵检测方法,其特征在于,包括步骤如下:
步骤1,输入一个新的“通信模式序列”,假设的源IP编号为i,的大小为m;其中,max_level为1时表示序列类,2表示模式类,3表示内容类;在S中寻找的源IP,如果S中无法找到的源IP,就将其标记为“sequence-class intrusion”,否则将max_level置为0;S为通信模式的有限序列集;
步骤2,对于集合中的每个si,判断的大小和的大小是否相等;如果二者不相等且max_level小于1,将max_level置为1;否则,对于k从1到m;将标志位flag置为false,对于l从1到6,做如下判断:如果和不相等且max_level小于2,将max_level置为2、标志位flag置为true;其中表示的第k个通信模式的第l个特征;
5.根据权利要求4所述的入侵检测方法,其特征在于,根据与S的匹配程度,网络入侵分为三类:
(1)序列类入侵,指在S中无法找到异常CPSequence的源IP;
(2)模式类入侵,指异常CPSequence和S中CPSequence的通信模式不匹配;不匹配有两种情况:1)异常的CPSequence中有不同的顺序或组合方式的模式;2)通过与网络物理模型的C中已有通信模式的特征向量进行比较而发现异常的通信模式;
(3)内容类入侵,是模式类入侵的升级版本,除部分模式中的转换序列Γ不同外,其模式序列与现有模式序列具有完全相同的特征值具体来说,Γs之间的差异由两种情况引起:1)异常Γ有不同顺序或组合方式组成;2)异常Γ包含未知转换。
6.采用权利要求1所述的SCADA系统的网络物理模型的应用,其特征在于,用于SCADA系统的风险评估,具体包括:
复杂程度:与入侵等级相对应的入侵复杂性;
网络影响:入侵对于系统和设备所造成的网络负载;
物理影响:被入侵篡改的设备的状态数;
使用RS={1,2,3}表示入侵的复杂程度,RP表示物理影响;网络影响分为系统影响RNS和设备影响RND;网络对系统的影响RNS是指入侵产生的总网络负载,而网络对设备的影响RND是指单个设备上的最大网络负载;入侵的CPSequences表示如下:
根据上式,计算出:
其中|Γi|表示Γi的大小;ei,j表示由第i个通信模式中的第j个转换引起的事件;假设RTU使用的所有存储块都包含在该模型的X中,通过分析网络流量或参考设备的配置规范实现该模型;X以外的其他存储块不能对系统造成直接影响,也不涉及RP;RNS的计算如下:
R=r1RS+r2L1(RP)+r3L2(RNS)+r4L3(RND)
其中ri,1≤i≤4,表示每个元素的相应权重,Li(x)表示评级函数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011178647.5A CN112291239B (zh) | 2020-10-29 | 2020-10-29 | 一种面向scada系统的网络物理模型及其入侵检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011178647.5A CN112291239B (zh) | 2020-10-29 | 2020-10-29 | 一种面向scada系统的网络物理模型及其入侵检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112291239A true CN112291239A (zh) | 2021-01-29 |
CN112291239B CN112291239B (zh) | 2021-09-07 |
Family
ID=74372929
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011178647.5A Active CN112291239B (zh) | 2020-10-29 | 2020-10-29 | 一种面向scada系统的网络物理模型及其入侵检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112291239B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113486352A (zh) * | 2021-06-23 | 2021-10-08 | 山东省计算中心(国家超级计算济南中心) | 一种面向工控网络的多模式攻击方式对工控系统状态影响的定量评估方法及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11902318B2 (en) | 2019-10-10 | 2024-02-13 | Alliance For Sustainable Energy, Llc | Network visualization, intrusion detection, and network healing |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060218310A1 (en) * | 2005-03-25 | 2006-09-28 | Robert Morris | Method and apparatus for customization |
CN103034231A (zh) * | 2012-12-04 | 2013-04-10 | 中国电力科学研究院 | 一种用于工控设备的测试床方法 |
CN103679296A (zh) * | 2013-12-24 | 2014-03-26 | 云南电力调度控制中心 | 基于态势感知的电网安全风险评估方法和模型 |
US20140298008A1 (en) * | 2013-03-27 | 2014-10-02 | National Oilwell Varco, L.P. | Control System Security Appliance |
CN104616089A (zh) * | 2014-11-19 | 2015-05-13 | 南昌大学 | 一种大电网运行风险评价系统 |
US20150304346A1 (en) * | 2011-08-19 | 2015-10-22 | Korea University Research And Business Foundation | Apparatus and method for detecting anomaly of network |
CN106230780A (zh) * | 2016-07-19 | 2016-12-14 | 国网四川省电力公司电力科学研究院 | 一种智能变电站信息及控制系统安全分析评估平台 |
CN108600155A (zh) * | 2018-03-07 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种汇聚层网络安全防止外侵的工业控制系统 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
CN109359469A (zh) * | 2018-10-16 | 2019-02-19 | 上海电力学院 | 一种工业控制系统的信息安全风险评估方法 |
US20190265971A1 (en) * | 2015-01-23 | 2019-08-29 | C3 Iot, Inc. | Systems and Methods for IoT Data Processing and Enterprise Applications |
CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
-
2020
- 2020-10-29 CN CN202011178647.5A patent/CN112291239B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060218310A1 (en) * | 2005-03-25 | 2006-09-28 | Robert Morris | Method and apparatus for customization |
US20150304346A1 (en) * | 2011-08-19 | 2015-10-22 | Korea University Research And Business Foundation | Apparatus and method for detecting anomaly of network |
CN103034231A (zh) * | 2012-12-04 | 2013-04-10 | 中国电力科学研究院 | 一种用于工控设备的测试床方法 |
US20140298008A1 (en) * | 2013-03-27 | 2014-10-02 | National Oilwell Varco, L.P. | Control System Security Appliance |
CN103679296A (zh) * | 2013-12-24 | 2014-03-26 | 云南电力调度控制中心 | 基于态势感知的电网安全风险评估方法和模型 |
CN104616089A (zh) * | 2014-11-19 | 2015-05-13 | 南昌大学 | 一种大电网运行风险评价系统 |
US20190265971A1 (en) * | 2015-01-23 | 2019-08-29 | C3 Iot, Inc. | Systems and Methods for IoT Data Processing and Enterprise Applications |
CN106230780A (zh) * | 2016-07-19 | 2016-12-14 | 国网四川省电力公司电力科学研究院 | 一种智能变电站信息及控制系统安全分析评估平台 |
CN108600155A (zh) * | 2018-03-07 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种汇聚层网络安全防止外侵的工业控制系统 |
CN108833416A (zh) * | 2018-06-21 | 2018-11-16 | 北京市劳动保护科学研究所 | 一种scada系统信息安全风险评估方法及系统 |
CN109359469A (zh) * | 2018-10-16 | 2019-02-19 | 上海电力学院 | 一种工业控制系统的信息安全风险评估方法 |
CN111641634A (zh) * | 2020-05-28 | 2020-09-08 | 东北大学 | 一种基于蜜网的工业控制网络主动防御系统及其方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113486352A (zh) * | 2021-06-23 | 2021-10-08 | 山东省计算中心(国家超级计算济南中心) | 一种面向工控网络的多模式攻击方式对工控系统状态影响的定量评估方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112291239B (zh) | 2021-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Caselli et al. | Sequence-aware intrusion detection in industrial control systems | |
Kurt et al. | Online cyber-attack detection in smart grid: A reinforcement learning approach | |
US20210014258A1 (en) | Cognitive information security using a behavioral recognition system | |
Yoon et al. | Communication pattern monitoring: Improving the utility of anomaly detection for industrial control systems | |
Karami | An anomaly-based intrusion detection system in presence of benign outliers with visualization capabilities | |
Alserhani et al. | MARS: multi-stage attack recognition system | |
JP2020501476A (ja) | ネットワークにおけるトラフィックの異常を検出するための方法および装置 | |
CN112291239B (zh) | 一种面向scada系统的网络物理模型及其入侵检测方法 | |
JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
EP3547190B1 (en) | Attack detection device, attack detection method, and attack detection program | |
CN111200575B (zh) | 一种基于机器学习的信息系统恶意行为的识别方法 | |
CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
Zhang et al. | Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis | |
CN110768946A (zh) | 一种基于布隆过滤器的工控网络入侵检测系统及方法 | |
CN112688946B (zh) | 异常检测特征的构造方法、模块、存储介质、设备及系统 | |
JP2019110513A (ja) | 異常検知方法、学習方法、異常検知装置、および、学習装置 | |
JP2020004009A (ja) | 異常検知装置、および、異常検知方法 | |
US11308393B2 (en) | Cyber anomaly detection using an artificial neural network | |
WO2020036850A1 (en) | Protocol-independent anomaly detection | |
Havlena et al. | Accurate Automata-Based Detection of Cyber Threats in Smart Grid Communication | |
Hu et al. | Abnormal Event Correlation and Detection Based on Network Big Data Analysis. | |
Schuster et al. | Attack and fault detection in process control communication using unsupervised machine learning | |
JP7065744B2 (ja) | ネットワーク装置、パケットを処理する方法、及びプログラム | |
JP2007189644A (ja) | 管理装置及び管理方法及びプログラム | |
KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210129 Assignee: Liaoning Hesheng Yida Technology Co.,Ltd. Assignor: Northeastern University Contract record no.: X2023210000208 Denomination of invention: A Network Physical Model and Intrusion Detection Method for SCADA Systems Granted publication date: 20210907 License type: Common License Record date: 20231127 |
|
EE01 | Entry into force of recordation of patent licensing contract |