CN113709118A - 一种多设备协同发波检验的物理入侵设备定位方法及系统 - Google Patents
一种多设备协同发波检验的物理入侵设备定位方法及系统 Download PDFInfo
- Publication number
- CN113709118A CN113709118A CN202110921288.6A CN202110921288A CN113709118A CN 113709118 A CN113709118 A CN 113709118A CN 202110921288 A CN202110921288 A CN 202110921288A CN 113709118 A CN113709118 A CN 113709118A
- Authority
- CN
- China
- Prior art keywords
- intrusion
- equipment
- detection
- signal
- signals
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Small-Scale Networks (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
Abstract
本发明公开了一种多设备协同发波检验的物理入侵设备定位方法及系统,通过串行通信总线网络中的总线控制器发送轮询检测指令,从站设备轮流发送检测信号,网络末端监测设备对通信总线进行信号采样分析,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算以及弱信号提取后所得到的入侵信号的特征具有可分辨性,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器从而对总线网络中的非法入侵设备进行有效定位。解决利用现有网络防御方法无法有效检测及定位工控系统串行通信总线网络中非法入侵设备的安全性技术问题。
Description
技术领域
本发明属于工业控制系统外来非法入侵设备检测及定位技术领域,具体涉及一种多设备协同发波检验的物理入侵设备定位方法及系统。
背景技术
2017年,美国塔尔萨大学的Staggs博士及其团队公布了一种针对风电场的攻击“Windshark”,他们通过撬开风力发电设备的服务器机柜,在其中物理接入了通信设备,从而实现对风电场内部系统的控制和恶意操作,对风电场内的涡轮机和自动化控制器都造成了损坏。从这一案例中可以看出,当前大多数的工业控制系统都无法很好地防护物理式入侵攻击,攻击者甚至可以很轻易的在工控系统终端的串行通信总线网络内物理接入通信设备,利用接入设备篡改通信总线上的通信信号,亦或是伪造恶意指令、数据发送到串行通信总线上,造成串行通信总线网络中设备工作的异常,甚至扰乱系统的稳定运行,这对于工控系统来说是极大地威胁。
在传统的工控系统中,对于常见的网络入侵式攻击,已经有很多安全防御方法的研究,例如通过网络通信加密算法来保证信息安全,通过流量监测来防止恶意数据注入,通过入侵检测系统来识别恶意攻击行为等,然而上述方法在工控系统的非法设备入侵攻击面前却很难适用。一方面,工控系统的串行总线通信网络缺乏安全保障,在遭受非法设备入侵之后没有很有效的方法去检测系统中是否存在外部设备,在通信时又缺乏相应的身份认证机制;另一方面,在串行通信总线网络中,由于工业设备通信的实时性要求,以及设备本身的弱计算能力,串行通信总线协议中很难依靠设计完善的加密算法来保证信息可靠,且这些协议在设计之初都是对外界公开的,攻击者很容易利用这些协议截获信息或是伪造指令。以上两点都说明,工控系统串行通信总线网络存在物理入侵的安全隐患。同时,常见的现场总线设备定位方法通常利用脉冲波形在异常节点的反射特性从而对非法设备进行定位又很难对入侵系统的外接设备进行检测与定位,但产生窄带脉冲波形往往需要较高的硬件设备支撑,这样会增加原有通信设备的改造成本。如果通过外接信号发生器而产生脉冲,会破坏原有通信网络的连接结构。将会给工控系统的稳定运行造成极大的不良影响。
发明内容
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种多设备协同发波检验的物理入侵设备定位方法及系统,用于防止工控系统可能面临的非法设备入侵攻击威胁,并能有效解决在工控系统串行通信总线网络中利用传统的网络入侵防御方法不能有效检测及定位系统中存在的恶意外接设备的安全问题。
本发明采用以下技术方案:
一种多设备协同发波检验的物理入侵设备定位方法,在串行通信总线网络中,通过总线控制器发送轮询检测指令;从站设备轮流发送检测信号;网络末端监测设备对通信总线进行信号采样和协议分析;利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行定位。
具体的,通过总线控制器发送轮询检测指令具体为:
串行通信总线网络中的主站设备监测串行通信总线的使用情况,若通信总线处于空闲状态,则执行非法入侵设备检测与定位过程,并向通信总线发送检测指令,同时根据日志信息判断系统是否遭受非法设备入侵,选择是否开始执行定位过程;若通信总线处于数据传输状态,则等待并持续保持监听状态。
具体的,从站设备轮流发送检测信号具体为:
根据检测指令地址码,对应从站收到检测指令后,根据工控系统中串行通信总线类型,采用对应的协议对通信信号进行协议解析,按要求发送检测信号;协议解析完成后,对应从站向通信总线发送一次检测信号,检测信号根据串行通信总线的协议规范设定,并且检测信号在数字序列上有别于所有正常的通信信号,检测信号被串行通信总线网络中的末端监测设备进行识别和解析。
具体的,网络末端监测设备对通信总线进行信号采样和协议分析具体为:
串行通信总线网络中末端的监测设备对串行通信总线上的信号进行采集;末端监测设备对采集的信号进行协议分析,判断检测信号的来源。
具体的,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算具体为:
将采集信号与末端监测设备本地数据库中对应检测源的标准信号数据进行差分运算,得到两个信号数据之间的差异;对差异信号进行入侵信号检测,若在差异信号中检测出入侵信号,则判断此时工控系统串行通信总线网络中已遭受非法设备入侵攻击;若在差异信号中没有检测出入侵信号,判断此时工控系统串行通信总线网络没有受到非法设备入侵攻击。
具体的,构建SVM多分类器之前,根据入侵信号的检测结果,若工控系统遭受非法设备入侵攻击,末端监测设备将会把报警信息上报给串行通信总线网络中的主站设备,主站设备对于系统中存在的非法入侵设备开始实施定位检测;主站发送用于非法设备定位的轮询检测指令,开始对串行通信总线网络中的非法入侵设备进行定位检测;末端监测设备执行完信号采样分析以及差分对比后,将差异信号处理为入侵信号存储在本地数据库中,并判断数据库是否已经存储所有从站检测所构建的入侵信号;若未存储完成,则主站再次发送轮询检测指令;通过重复执行定位检测过程,末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征。
进一步的,对获得的差异信号数据进行降噪以及弱信号提取处理,根据提取得到的结果判断入侵信号是否存在;
末端监测设备将获得的差异信号进行降噪以及弱信号提取处理,并为得到的非法入侵设备的入侵信号打上对应检测源标签再将其存储于本地数据库中,然后根据数据库中的存储结果判断是否开始执行定位检测。
进一步的,重复执行定位检测过程具体为:
末端监测设备对本地数据库中存储的各检测源非法入侵设备入侵信号进行特征提取,包括各检测源入侵信号能量总和以及各检测源入侵信号能量的斜率分布;重复执行定位检测流程N次,构建非法入侵设备入侵信号的特征向量。
具体的,构建SVM多分类器对总线网络中的非法入侵设备进行有效定位具体为:
在系统投入使用前,在各从站之间依次插入典型攻击设备,然后执行定位检测流程,获取各个从站节点间攻击设备的入侵信号特征矩阵,此矩阵为标准入侵信号特征矩阵,并存储于末端监测设备的本地数据库中;将非法设备的入侵信号特征向量与末端监测设备本地数据库中的标准入侵信号特征矩阵输入到SVM多分类器中,完成对非法设备的定位检测。
本发明的另一技术方案是,一种基于脉冲反射波检测的物理入侵设备定位系统,包括:
检测模块,在串行通信总线网络中,通过总线控制器发送轮询检测指令;
发送模块,从站设备轮流发送检测信号;
分析模块,网络末端监测设备对通信总线进行信号采样和协议分析,
运算模块,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;
定位模块,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行定位。
与现有技术相比,本发明至少具有以下有益效果:
本发明一种多设备协同发波检验的物理入侵设备定位方法,通过串行通信总线网络中的总线控制器发送轮询检测指令,从站设备轮流发送检测信号(可称为不同检测源),网络末端(与主站通信距离最远端)监测设备对通信总线进行信号采样分析,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算以及弱信号提取后所得到的入侵信号的特征具有可分辨性,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器从而对总线网络中的非法入侵设备进行有效定位。解决了利用现有网络防御方法无法有效检测及定位工控系统串行通信总线网络中非法入侵设备的安全性技术问题。
进一步的,通过总线控制器发送轮询检测指令,总线控制器可对整个系统统筹监听,只在系统空闲时间实施检测及定位流程,不对系统正常通信产生影响。
进一步的,从站设备轮流发送检测信号,可以充分利用检测信号在不同发送节点所产生的的空间特性,从而实现对非法入侵设备精准定位。同时,检测信号由系统原有通信设备产生,既不会增加原有通信设备的改造成本,也不会破坏原有通信网络的连接结构。
进一步的,利用网络末端设备进行监测以及信号采集,可以在保证获取整个通信网络拓扑结构信息的同时,便于该检测定位系统的实际部署。
进一步的,利用工控系统串行通信总线网络中的总线控制器发送检测指令,再利用网络中的从站设备发送检测信号,末端监测设备对信号进行接受采集以及标准信号存储,既不会增加原有通信设备的改造成本,也不会破坏原有通信网络的连接结构。
进一步的,由于非法入侵设备的接入,网络拓扑改变,差异信号产生的必然性,对获得的差异信号进行降噪以及弱信号提取处理,从而对系统中不发出任何网络流量的非法静默监听设备进行有效检测及定位。
进一步的,利用串行通信网络的拓扑特性以及轮询机制带来的入侵信号差异特征,在不带来任何额外成本的前提下实现了对工控系统串行通信总线非法设备入侵攻击的高效检测和有效定位。
综上所述,本发明充分利用串行通信网络的拓扑特性以及轮询机制带来的入侵信号差异特征,在不带来任何额外成本的前提下实现了对工控系统串行通信总线非法设备入侵攻击的高效检测和有效定位。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为工控系统RS485通信总线网络结构图;
图2为工控系统RS485通信总线网络的等效模型图;
图3为工控系统RS485通信总线网络的稳态模型图;
图4为设备系统中通信信号信噪比为30db场景下的定位分类结果图;
图5为本发明的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
在附图中示出了根据本发明公开实施例的各种结构示意图。这些图并非是按比例绘制的,其中为了清楚表达的目的,放大了某些细节,并且可能省略了某些细节。图中所示出的各种区域、层的形状及它们之间的相对大小、位置关系仅是示例性的,实际中可能由于制造公差或技术限制而有所偏差,并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
本发明提供了一种多设备协同发波检验的物理入侵设备定位方法,在串行通信总线网络中,通过总线控制器发送轮询检测指令,从站设备轮流发送检测信号(可称为不同检测源),网络末端(与主站通信距离最远端)监测设备对通信总线进行信号采样分析,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算以及弱信号提取后所得到的入侵信号的特征具有可分辨性,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器从而对总线网络中的非法入侵设备进行有效定位。
请参阅图5,本发明一种多设备协同发波检验的物理入侵设备定位方法,包括以下步骤:
S1、串行通信总线网络中的主站设备监测串行通信总线的使用情况,若通信总线处于空闲状态,则执行非法入侵设备检测与定位过程,并向通信总线发送检测指令,同时根据日志信息判断系统是否遭受非法设备入侵从而选择是否开始执行定位过程;若通信总线处于数据传输状态,则等待并持续保持监听状态;
主站发送的检测指令中目的从站地址除末端监测设备外是任意的,即任一从站都可作为检测信号的发送源。
S2:对应从站进行指令解析,向通信总线发送一次检测信号;
S201、根据检测指令地址码,对应从站收到检测指令后,根据工控系统中串行通信总线类型,采用对应的协议对通信信号进行协议解析,按要求发送检测信号。
S202、协议解析完成后,对应从站向通信总线发送一次检测信号,检测信号根据串行通信总线的协议规范设定,并且检测信号在数字序列上有别于所有正常的通信信号,检测信号只能被串行通信总线网络中的末端监测设备进行识别和解析,其他设备不会对检测信号作出响应。
S3、串行通信总线网络中末端(与主站通信距离最远端)的监测设备对串行通信总线上的信号进行采集;
末端监测设备在检测到检测信号后开始采集串行通信总线上的信号数据,根据设定的采集周期持续保持采集状态直至采集周期结束。
S4、末端监测设备对采集的信号进行协议分析,判断检测信号的来源。
末端监测设备解析采集到的检测信号,根据检测指令地址码判断数字信号序列的检测来源(即检测信号归属于哪个从站发出)。
S5、将采集信号与末端监测设备本地数据库中对应检测源的标准信号数据进行差分运算,得到两个信号数据之间的差异;
S501、在系统投入使用前,此时末端监测设备的信号数据库为空,此时将采集信号的数据存储在本地数据库中,认为此信号是系统正常情况下的标准信号,并需判断是否已存储所有从站检测的标准信号,若已存储完成,则继续执行S502;若未存储完成,则主站发送下一检测指令,数据库中的标准信号都有各自对应的从站标签;
S502、将已获知检测来源的采集信号与对应从站的标准信号做差分对比获得差异信号。
S6、对差异信号进行入侵信号检测,若在差异信号中检测出入侵信号,则判断此时工控系统串行通信总线网络中已遭受非法设备入侵攻击,继续执行S7;若在差异信号中没有检测出入侵信号,则判断此时工控系统串行通信总线网络没有受到非法设备入侵攻击;
对步骤S5获得的差异信号数据进行降噪以及弱信号提取处理,根据提取得到的结果判断入侵信号是否存在。
S7、根据入侵信号的检测结果,若工控系统遭受非法设备入侵攻击,末端监测设备将会把报警信息上报给串行通信总线网络中的主站设备,主站设备对于系统中存在的非法入侵设备开始实施定位检测;
S8、主站发送用于非法设备定位的轮询检测指令,开始对串行通信总线网络中的非法入侵设备进行定位检测;
主站设备发送的轮询检测指令基于问答式规约,轮流指定对应从站发送检测信号。
S9、末端监测设备执行完信号采样分析以及差分对比后,将差异信号处理为入侵信号存储在本地数据库中,并判断数据库是否已经存储所有从站检测所构建的入侵信号,若已存储完成,则继续执行S10;若未存储完成,则主站再次发送轮询检测指令。
末端监测设备将获得的差异信号进行降噪以及弱信号提取处理,并为得到的非法入侵设备的入侵信号打上对应检测源标签再将其存储于本地数据库中,然后根据数据库中的存储结果判断是否开始执行定位检测。
S10、通过重复执行定位检测过程,末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征。
S1001、末端监测设备对本地数据库中存储的各检测源非法入侵设备入侵信号进行特征提取,(1)各检测源入侵信号能量总和,(2)各检测源入侵信号能量的斜率分布;
S1002、重复执行定位检测流程60次,构建非法入侵设备入侵信号的特征向量。
S11、将非法设备的入侵信号特征与末端监测设备本地数据库中的标准入侵信号特征输入到SVM多分类器中,完成对非法设备的定位检测。
S1101、在系统投入使用前,需要在各从站之间依次插入典型攻击设备,如协议转换器等,其阻抗大小与各从站设备相近,然后执行定位检测流程,获取各个从站节点间攻击设备的入侵信号特征矩阵,称此矩阵为标准入侵信号特征矩阵,并将其存储于末端监测设备的本地数据库中;
S1102、将非法设备的入侵信号特征向量与末端监测设备本地数据库中的标准入侵信号特征矩阵输入到SVM多分类器中,完成对非法设备的定位检测。
S12、根据分类结果,末端监测设备向主站告知非法入侵设备的排查节点范围。
末端监测设备将非法入侵设备的定位排查信息上报给主站设备。
本发明再一个实施例中,提供一种基于脉冲反射波检测的物理入侵设备定位系统,该系统能够用于实现上述多设备协同发波检验的物理入侵设备定位方法,具体的,该基于脉冲反射波检测的物理入侵设备定位系统包括检测模块、发送模块、分析模块、运算模块以及定位模块。
其中,检测模块,在串行通信总线网络中,通过总线控制器发送轮询检测指令;
发送模块,从站设备轮流发送检测信号;
分析模块,网络末端监测设备对通信总线进行信号采样和协议分析,
运算模块,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;
定位模块,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行有效定位。
本发明再一个实施例中,提供了一种终端设备,该终端设备包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于执行所述计算机存储介质存储的程序指令。处理器可能是中央处理单元(Central ProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor、DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其适于实现一条或一条以上指令,具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能;本发明实施例所述的处理器可以用于多设备协同发波检验的物理入侵设备定位方法的操作,包括:
在串行通信总线网络中,通过总线控制器发送轮询检测指令;从站设备轮流发送检测信号;网络末端监测设备对通信总线进行信号采样和协议分析;利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行有效定位。
本发明再一个实施例中,本发明还提供了一种存储介质,具体为计算机可读存储介质(Memory),所述计算机可读存储介质是终端设备中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机可读存储介质既可以包括终端设备中的内置存储介质,当然也可以包括终端设备所支持的扩展存储介质。计算机可读存储介质提供存储空间,该存储空间存储了终端的操作系统。并且,在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机可读存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令,以实现上述实施例中有关多设备协同发波检验的物理入侵设备定位方法的相应步骤;计算机可读存储介质中的一条或一条以上指令由处理器加载并执行如下步骤:
在串行通信总线网络中,通过总线控制器发送轮询检测指令;从站设备轮流发送检测信号;网络末端监测设备对通信总线进行信号采样和协议分析;利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行有效定位。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中的描述和所示的本发明实施例的组件可以通过各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种基于轮询检测指令的工控系统非法入侵设备检测及定位方法的一个应用例的攻击情景,为在工控系统RS485总线网络中,攻击者通过物理入侵方式直接在系统中植入外接未授权设备,利用该设备获取通信信息并伪造控制指令,危及系统安全和稳定,通过以下案例具体分析。
图1为工控系统RS485通信总线的网络结构图,该系统主要由总线控制器(主站)和各类通信设备如量测设备、控制设备组成,所有设备都以菊花链式的结构挂接在RS485总线之上;在所有设备中,只有主线控制器有权限向总线上发送指令。
图2为工控系统RS485通信总线网络的等效模型图,当主线控制器发送检测指令时,对应从站设备等效为两个同步的相反信号源,根据RS485平衡发送、差分接收的通信模式,A线和B线两条信号线中的信号为相反信号,其他通信设备均看作定值输入阻抗并以两个信号的差值作为接收信号,末端监测设备根据协议以及地址对信号进行分析。为了有效构建不同入侵信号的不同特征,因传输线不匹配而产生的反射所带来的干扰应尽可能小,因此传输线首端末端都跨接用以消除反射的匹配电阻。当系统遭受攻击者的非法设备入侵攻击后,攻击者在原系统中接入的一个外接设备也被看作模型中的输入阻抗。为了更好地反应出系统通信稳态情况下的信号波形,工控系统RS485通信总线网络的稳态模型图如图3所示。
在稳态模型中,传输线也进一步等效为具有定值的稳态阻抗,该稳态阻抗有别于传输线路在瞬态情况下的特性阻抗,因为传输线中的电容电感在稳态情况下不再对信号产生影响,稳态阻抗只与传输线本身的电阻和其长度、粗细、材质等固有参数有关。
如图3所示,此时网络中主站本身发送检测信号,主站等效为两个同步的相反信号源,Zi(i=1,2,...,n)表示第i个设备的输入阻抗,ZM是消除信号反射的终端匹配电阻,Zr是信号源内阻,而表示系统稳态情况下第i个设备到第i+1个设备之间传输线路的等效阻抗,其中当i=0时视为信号源位置。攻击者在系统中插入的非法入侵设备的输入阻抗记为ZA。
针对此类攻击场景,结合图3和系统阻抗推导,具体说明基于轮询检测指令的工控系统非法入侵设备检测及定位方法,包括以下步骤:
当系统投入使用前使用本发明的非法设备入侵攻击检测及定位方法时,具体执行过程以及步骤如下:
步骤S1、RS485通信总线网络中的总线控制器向除末端监测设备外的任一从站设备发送检测指令。
步骤S2、对应从站在收到检测指令后向通信总线发送检测信号,检测信号U(t)以及根据RS485平衡发送模式对检测信号作相反处理后的信号-U(t)是周期为200μs、幅值为-5V~5V的方波信号;
步骤S3、末端监测设备对总线上出现的信号进行采集,根据图3的稳态模型,假设系统中第m个从站设备发送检测信号U(t),那么末端监测设备所采集到的两条信号线的差分信号为:
Vdiff(m,t)=2(ρm-μm)U(t)+υ(t)
其中,υ(t)是环境噪声和量测噪声的总和,ρm和μm分别是第m个从站发送检测信号时末端监测设备所观测到的A线和B线上的电压信号分配系数:
步骤S4、末端监测设备根据RS485常用协议对信号进行分析,得到相应的检测信号来源m;
步骤S5、系统在投入使用前末端监测设备的本地数据库中无Vdiff(m,t)数据,则判断此时信号为系统初始状态下的标准信号,将标准信号的数据存储到信号数据库中,并结束本次入侵信号检测过程。
在系统投入使用前,还需在各从站之间依次插入典型攻击设备,如协议转换器等,从而构建标准入侵信号特征。现假设其阻抗大小与各从站设备相等,然后再次执行检测定位流程,具体执行过程以及步骤如下:
步骤S1、在系统中第k个设备和第k+1个设备之间插入典型攻击设备,RS485通信总线网络中的总线控制器向除末端监测设备外的任一从站设备发送检测指令;
步骤S2、对应从站在收到检测指令后向通信总线发送检测信号U(t)以及根据RS485平衡发送模式对检测信号作相反处理后的信号-U(t);
步骤S3、末端监测设备对总线上出现的信号进行采集,根据图3的稳态模型,当攻击者通过物理入侵在系统接入了非法入侵设备后,在相同检测信号的情况下,监测设备所采集到的信号变为:
V′d′iff(m,t)=2(ρ′m-μ′m)U(t)+ω(t)
其中ω(t)是环境噪声和量测噪声的总和,第m个从站发送检测信号时末端监测设备所观测到的A线和B线上的电压信号分配系数变为ρ′m和μ′m;
步骤S4、末端监测设备根据RS485常用协议对信号进行分析,得到相应的检测信号来源m;
步骤S5、将接收到的检测信号数据与末端监测设备信号数据库中相应检测源的标准信号数据进行差分对比,得到两个信号之间的差异信号;
此时系统中存在外接设备,那么差异信号的结果应为:
ΔVdiff(m,t)=δ(m,t)+υ(t)-ω(t)
δ(m,t)=2[(ρm-ρ′m)-(μm-μρm)]U(t)
其中δ(m,t)就是由于非法入侵设备所引起的入侵信号;
步骤S6、对差异信号进行入侵信号检测,在本实施例中采用数字平均法对差异信号数据进行降噪处理。此时系统已插入标准攻击设备,因此在差分信号中可检测出入侵信号存在,继续执行S7;
步骤S7、根据入侵信号的检测结果,末端监测设备向主站发出告警信息,以便于主站控制器对非法入侵设备开始实施定位;
步骤S8、主站发送用于非法入侵设备定位的轮询检测指令,轮流指定对应从站发送检测信号;
然后依次执行步骤S2、S3、S4、S5;
步骤S9、将S5得到的差异信号ΔVdiff(m,t)采用数字平均法对其进行降噪处理,得到带有弱噪声的入侵信号,粗略记为δ(m,t)存储于本地数据库中,其中m=1,2,3......n,n为系统中除末端监测设备外总的设备数。然后判断数据库是否已经存储所有从站检测所构建的入侵信号,若已存储完成,则继续执行S10;若未存储完成,则主站再次发送轮询检测指令直到存储完成。
步骤S10、末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征,具体包括以下步骤:
S1001、现外接设备的接入位置位于第k个设备和第k+1个设备之间;
S1002、重复执行定位检测流程60次,构建非法入侵设备入侵信号的特征向量A(k),B(k),k=1,2,3......n-1;
S11、在第k+1个设备和第k+2个设备之间插入典型攻击设备,重复以上步骤,构建各个从站节点间攻击设备的入侵信号特征矩阵A,B,称此矩阵为标准入侵信号特征矩阵,并将其存储于末端监测设备的本地数据库中,结束本次定位检测过程。
当系统投入使用后,具体执行过程以及步骤如下:
步骤S1:RS485通信总线网络中的总线控制器向除末端监测设备外的任一从站设备发送检测指令。
步骤S2、对应从站在收到检测指令后向通信总线发送检测信号U(t)以及根据RS485平衡发送模式对检测信号作相反处理后的信号-U(t);
步骤S3、末端监测设备对总线上出现的信号进行采集;
步骤S4、末端监测设备根据RS485常用协议对信号进行分析,得到相应的检测信号来源m;
步骤S5、将接收到的检测信号数据与末端监测设备信号数据库中相应检测源的标准信号数据进行差分对比,得到两个信号之间的差分信号;
若系统并未受到非法设备入侵攻击,即无外接设备,那么差异信号的结果应为:
ΔVdiff(m,t)=υ(t)-ω(t)
若系统遭受非法设备入侵攻击,系统中存在外接设备,那么差异信号的结果应为:
ΔVdiff(m,t)=δ(m,t)+υ(t)-ω(t)
δ(m,t)=2[(ρm-ρ′m)-(μm-μ′m)]U(t)
步骤S6、对差异信号进行入侵信号检测,在本实施例中采用数字平均法对差异信号数据进行降噪处理,若在差异信号中检测出入侵信号,则判断RS485通信总线网络中已遭受非法设备入侵攻击,继续执行步骤S7;若在差异信号中没有检测出入侵信号,则判断RS485通信总线网络没有受到非法设备入侵攻击,末端监测设备转为继续监听状态,并结束本次入侵检测的过程;
步骤S7、根据入侵信号的检测结果,末端监测设备向主站发出告警信息,以便于主站控制器对非法入侵设备开始实施定位。
步骤S8、主站发送用于非法入侵设备定位的轮询检测指令,轮流指定对应从站发送检测信号。
然后依次执行步骤S2、S3、S4、S5。
步骤S9、将步骤S5得到的差异信号ΔVdiff(m,t)采用数字平均法对其进行降噪处理,得到带有弱噪声的入侵信号,粗略记为δ(m,t)存储于本地数据库中,其中,m=1,2,3…n,n为系统中除末端监测设备外总的设备数。然后判断数据库是否已经存储所有从站检测所构建的入侵信号,若已存储完成,则继续执行S10;若未存储完成,则主站再次发送轮询检测指令直到存储完成。
步骤S10、末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征,具体包括以下步骤:
基于MATLAB的仿真结果,5设备系统实施例的入侵信号能量总和以及入侵信号能量拟合曲线的斜率特征如下,入侵设备阻抗与系统常规设备阻抗均为120kΩ:
S1002、重复执行定位检测流程60次,构建非法入侵设备入侵信号的特征向量A(x),B(k),k=1,2,3……n-1;
步骤S11、将非法设备的入侵信号特征向量A(x),B(k)与末端监测设备本地数据库中的标准入侵信号特征矩阵A,B输入到SVM多分类器中,完成对非法设备的定位检测。图4为5设备系统中通信信号信噪比为30db场景下的定位分类结果,其定位准确率为94.44%。
步骤S12、末端监测设备将非法入侵设备的定位排查范围上报给主站,便于控制器对非法设备入侵攻击作出快速判断和应急响应。
综上所述,本发明一种多设备协同发波检验的物理入侵设备定位方法及系统,利用不同攻击位置入侵信号的特征具有可分辨性,可以在RS485通信总线网络中准确判别系统中是否存在非法外接设备并对其实施定位,解决了利用现有网络防御方法无法有效检测及定位工控系统串行通信总线网络中非法入侵设备的安全性技术问题。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (10)
1.一种多设备协同发波检验的物理入侵设备定位方法,其特征在于,在串行通信总线网络中,通过总线控制器发送轮询检测指令;从站设备轮流发送检测信号;网络末端监测设备对通信总线进行信号采样和协议分析;利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行定位。
2.根据权利要求1所述的方法,其特征在于,通过总线控制器发送轮询检测指令具体为:
串行通信总线网络中的主站设备监测串行通信总线的使用情况,若通信总线处于空闲状态,则执行非法入侵设备检测与定位过程,并向通信总线发送检测指令,同时根据日志信息判断系统是否遭受非法设备入侵,选择是否开始执行定位过程;若通信总线处于数据传输状态,则等待并持续保持监听状态。
3.根据权利要求1所述的方法,其特征在于,从站设备轮流发送检测信号具体为:
根据检测指令地址码,对应从站收到检测指令后,根据工控系统中串行通信总线类型,采用对应的协议对通信信号进行协议解析,按要求发送检测信号;协议解析完成后,对应从站向通信总线发送一次检测信号,检测信号根据串行通信总线的协议规范设定,并且检测信号在数字序列上有别于所有正常的通信信号,检测信号被串行通信总线网络中的末端监测设备进行识别和解析。
4.根据权利要求1所述的方法,其特征在于,网络末端监测设备对通信总线进行信号采样和协议分析具体为:
串行通信总线网络中末端的监测设备对串行通信总线上的信号进行采集;末端监测设备对采集的信号进行协议分析,判断检测信号的来源。
5.根据权利要求1所述的方法,其特征在于,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算具体为:
将采集信号与末端监测设备本地数据库中对应检测源的标准信号数据进行差分运算,得到两个信号数据之间的差异;对差异信号进行入侵信号检测,若在差异信号中检测出入侵信号,则判断此时工控系统串行通信总线网络中已遭受非法设备入侵攻击;若在差异信号中没有检测出入侵信号,判断此时工控系统串行通信总线网络没有受到非法设备入侵攻击。
6.根据权利要求1所述的方法,其特征在于,构建SVM多分类器之前,
根据入侵信号的检测结果,若工控系统遭受非法设备入侵攻击,末端监测设备将会把报警信息上报给串行通信总线网络中的主站设备,主站设备对于系统中存在的非法入侵设备开始实施定位检测;主站发送用于非法设备定位的轮询检测指令,开始对串行通信总线网络中的非法入侵设备进行定位检测;末端监测设备执行完信号采样分析以及差分对比后,将差异信号处理为入侵信号存储在本地数据库中,并判断数据库是否已经存储所有从站检测所构建的入侵信号;若未存储完成,则主站再次发送轮询检测指令;通过重复执行定位检测过程,末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征。
7.根据权利要求6所述的方法,其特征在于,对获得的差异信号数据进行降噪以及弱信号提取处理,根据提取得到的结果判断入侵信号是否存在;末端监测设备将获得的差异信号进行降噪以及弱信号提取处理,并为得到的非法入侵设备的入侵信号打上对应检测源标签再将其存储于本地数据库中,然后根据数据库中的存储结果判断是否开始执行定位检测。
8.根据权利要求6所述的方法,其特征在于,重复执行定位检测过程具体为:
末端监测设备对本地数据库中存储的各检测源非法入侵设备入侵信号进行特征提取,包括各检测源入侵信号能量总和以及各检测源入侵信号能量的斜率分布;重复执行定位检测流程N次,构建非法入侵设备入侵信号的特征向量。
9.根据权利要求1所述的方法,其特征在于,构建SVM多分类器对总线网络中的非法入侵设备进行有效定位具体为:
在系统投入使用前,在各从站之间依次插入典型攻击设备,然后执行定位检测流程,获取各个从站节点间攻击设备的入侵信号特征矩阵,此矩阵为标准入侵信号特征矩阵,并存储于末端监测设备的本地数据库中;将非法设备的入侵信号特征向量与末端监测设备本地数据库中的标准入侵信号特征矩阵输入到SVM多分类器中,完成对非法设备的定位检测。
10.一种多设备协同发波检验的物理入侵设备定位系统,其特征在于,包括:
检测模块,在串行通信总线网络中,通过总线控制器发送轮询检测指令;
发送模块,从站设备轮流发送检测信号;
分析模块,网络末端监测设备对通信总线进行信号采样和协议分析,
运算模块,利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同,使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算,经弱信号提取后所得到的入侵信号的特征具有可分辨性;
定位模块,利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器,对总线网络中的非法入侵设备进行定位。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110921288.6A CN113709118B (zh) | 2021-08-11 | 2021-08-11 | 一种多设备协同发波检验的物理入侵设备定位方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110921288.6A CN113709118B (zh) | 2021-08-11 | 2021-08-11 | 一种多设备协同发波检验的物理入侵设备定位方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113709118A true CN113709118A (zh) | 2021-11-26 |
CN113709118B CN113709118B (zh) | 2022-10-25 |
Family
ID=78652358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110921288.6A Active CN113709118B (zh) | 2021-08-11 | 2021-08-11 | 一种多设备协同发波检验的物理入侵设备定位方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113709118B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105391579A (zh) * | 2015-11-25 | 2016-03-09 | 国家电网公司 | 基于关键告警集和监督分类的电力通信网故障定位方法 |
CN108520187A (zh) * | 2018-04-20 | 2018-09-11 | 西安交通大学 | 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法 |
US20190238587A1 (en) * | 2018-01-27 | 2019-08-01 | Systems & Technology Research, Llc | System and method of authenticating the source of a communication signal transmitted along a network bus |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
CN110543902A (zh) * | 2019-08-23 | 2019-12-06 | 北京航空航天大学 | 一种家用电器用电状况的整体检测和个体识别装置 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
US20200356665A1 (en) * | 2019-05-06 | 2020-11-12 | The Florida International University Board Of Trustees | Systems and methods for inhibiting threats to a computing environment |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
-
2021
- 2021-08-11 CN CN202110921288.6A patent/CN113709118B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105391579A (zh) * | 2015-11-25 | 2016-03-09 | 国家电网公司 | 基于关键告警集和监督分类的电力通信网故障定位方法 |
US20190238587A1 (en) * | 2018-01-27 | 2019-08-01 | Systems & Technology Research, Llc | System and method of authenticating the source of a communication signal transmitted along a network bus |
CN108520187A (zh) * | 2018-04-20 | 2018-09-11 | 西安交通大学 | 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法 |
CN110086810A (zh) * | 2019-04-29 | 2019-08-02 | 西安交通大学 | 基于特征行为分析的被动式工控设备指纹识别方法及装置 |
US20200356665A1 (en) * | 2019-05-06 | 2020-11-12 | The Florida International University Board Of Trustees | Systems and methods for inhibiting threats to a computing environment |
CN110543902A (zh) * | 2019-08-23 | 2019-12-06 | 北京航空航天大学 | 一种家用电器用电状况的整体检测和个体识别装置 |
CN111553381A (zh) * | 2020-03-23 | 2020-08-18 | 北京邮电大学 | 基于多网络模型的网络入侵检测方法、装置及电子设备 |
CN113098878A (zh) * | 2021-04-06 | 2021-07-09 | 哈尔滨工业大学(威海) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 |
Non-Patent Citations (1)
Title |
---|
赖英旭等: "工业控制系统入侵检测研究综述", 《通信学报》 * |
Also Published As
Publication number | Publication date |
---|---|
CN113709118B (zh) | 2022-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108520187B (zh) | 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法 | |
Ahmed et al. | Cyber physical security analytics for anomalies in transmission protection systems | |
Eckhart et al. | A specification-based state replication approach for digital twins | |
Morrow et al. | Topology perturbation for detecting malicious data injection | |
Ustun et al. | Artificial intelligence based intrusion detection system for IEC 61850 sampled values under symmetric and asymmetric faults | |
US10574671B2 (en) | Method for monitoring security in an automation network, and automation network | |
Amini et al. | Hierarchical location identification of destabilizing faults and attacks in power systems: A frequency-domain approach | |
Parthasarathy et al. | Bloom filter based intrusion detection for smart grid SCADA | |
Valdes et al. | Anomaly detection in electrical substation circuits via unsupervised machine learning | |
Irita et al. | Detection of replay attack on smart grid with code signal and bargaining game | |
CN106302535A (zh) | 电力系统的攻击仿真方法、装置及攻击仿真设备 | |
CN106202722B (zh) | 大型电网信息物理实时仿真平台 | |
CN109889512A (zh) | 一种充电桩can报文的异常检测方法及装置 | |
Kummerow et al. | Challenges and opportunities for phasor data based event detection in transmission control centers under cyber security constraints | |
CN107171830A (zh) | 电力信息物理硬件在环安全性仿真测试平台 | |
Zhou et al. | Multi-agent-based hierarchical detection and mitigation of cyber attacks in power systems | |
CN106789274B (zh) | 智能变电站安全性测试系统及方法 | |
El Hariri et al. | A targeted attack for enhancing resiliency of intelligent intrusion detection modules in energy cyber physical systems | |
CN109743339B (zh) | 电力厂站的网络安全监测方法和装置、计算机设备 | |
Ferling et al. | Intrusion detection for sequence-based attacks with reduced traffic models | |
CN113709118B (zh) | 一种多设备协同发波检验的物理入侵设备定位方法及系统 | |
CN107172053A (zh) | 计算机的安全控制方法及安全控制装置 | |
CN106789275B (zh) | 电力系统输电网络安全性测试系统及方法 | |
Meliopoulos et al. | Data attack detection and command authentication via cyber-physical comodeling | |
Ankitdeshpandey et al. | Development of intrusion detection system using deep learning for classifying attacks in power systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |