CN114760103A - 一种工业控制系统异常检测系统、方法、设备及存储介质 - Google Patents

Abstract

本发明公开了一种工业控制系统异常检测系统、方法、设备及存储介质，本发明通过采集模块获取现场控制设备与上位机之间的通信流量数据以及上位机的增量敏感数据，第一异常检测单元用于根据增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果，不局限于通信流量数据的检测，扩展了异常检测范围；第二异常检测单元用于根据通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，通过引入包括正常工业生产逻辑过程的执行顺序规则的预设逻辑规则，即使攻击流量结构并没有违反协议规约也能够检测，减少出现漏检测的情况，有利于提高异常检测的准确度和异常检测效果，可广泛应用于工业领域。

Description

一种工业控制系统异常检测系统、方法、设备及存储介质

技术领域

本发明涉及工业技术领域，尤其是一种工业控制系统异常检测系统、方法、设备及存储介质。

背景技术

现有的工业控制系统一般至少包括过程监控层以及现场层，过程监控层包括工程师站、操作员站等，现场层包括现场的工业设备。工业控制系统中各个层都有可能成为攻击的对象，一旦攻击完成，最终可能造成重大经济损失和生产事故。而现有对于攻击的检测通常依赖于过程监控层以及现场层流量检测，通过判断攻击流量结构是否违反协议规约从而判断工业可控制系统是否被攻击，而实际上某些攻击流量结构并没有违反协议规约，会出现漏检测；另外，工业控制系统的攻击可能会通过暴露在互联网上的企业网络渗透进内网，而通过过程监控层以及现场层之间的流量不能检测到，检测范围窄，现有的检测方法存在缺点。

发明内容

有鉴于此，为了解决上述技术问题，本发明的目的是提供提高异常检测效果的一种工业控制系统异常检测系统、方法、设备及存储介质。

本发明实施例采用的技术方案是：

一种工业控制系统异常检测系统，包括：

采集模块，用于获取现场控制设备与上位机之间的通信流量数据以及所述上位机的增量敏感数据；

代理服务器，包括第一异常检测单元以及第二异常检测单元；所述第一异常检测单元用于根据所述增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果，所述第二异常检测单元用于根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果；

其中，所述预设逻辑规则包括正常工业生产逻辑过程的执行顺序规则，所述阈值映射表包括若干时间段对应的流量相似度阈值范围。

进一步，所述采集模块包括流量监视器以及行为监控模块；所述流量监视器用于获取现场控制设备与上位机之间的通信流量数据，所述行为监控模块用于获取所述上位机的增量敏感数据，所述增量敏感数据包括进程数据、行为数据、端口数据和文件数据中的至少之一。

本发明实施例还提供一种工业控制系统异常检测方法，包括：

获取现场控制设备与上位机之间的通信流量数据以及获取所述上位机的增量敏感数据；

根据所述增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果；

根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果；

其中，所述预设逻辑规则包括正常工业生产逻辑过程的执行顺序规则，所述阈值映射表包括若干时间段对应的流量相似度阈值范围。

进一步，所述根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，包括：

从所述时间段中确定所述通信流量数据对应的目标时间段；

当所述通信流量数据与正常流量数据之间的相似度位于所述目标时间段对应的流量相似度阈值范围，得到表征正常的第二异常检测结果。

进一步，所述根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，还包括：

当所述相似度超出所述目标时间段对应的流量相似度阈值范围，将所述通信流量数据与所述预设逻辑规则进行匹配，当所述通信流量数据符合所述预设逻辑规则，得到表征正常的第二异常检测结果，否则得到表征异常的第二异常检测结果。

进一步，所述阈值映射表的建立步骤包括：

获取所述现场控制设备与所述上位机的第一历史流量数据，并间隔预设时间间隔获取所述现场控制设备与上位机的第二历史流量数据；所述第一历史流量数据以及所述第二历史流量数据根据预设元素进行分类，第一历史流量数据的每一类预设元素具有若干个时间段的第一报文数量数据，第二历史流量数据的每一类预设元素具有若干个时间段的第二报文数量数据，所述预设元素包括源IP地址、目的IP地址、源端口、目的端口以及协议号中的至少一种；

根据动态时间规整算法分别计算同一时间段的所述第一报文数量数据以及所述第二报文数量数据的相似性以得到每一时间段对应的流量相似度阈值范围。

进一步，所述方法还包括：

当第二异常检测结果表征异常，向上位机发送报警信息，并将所述通信流量数据加入黑名单。

进一步，所述方法还包括：

当所述第一异常检测结果表征异常，调用hook拦截所述增量敏感数据并向上位机发出告警信息，和/或，分析所述增量敏感数据所对应的操作内容，将所述操作内容进行反操作并向上位机发出告警信息，和/或，将所述增量敏感数据加入黑名单。

本发明实施例还提供一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现所述方法。

本发明实施例还提供一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现所述方法。

本发明的有益效果是：采集模块获取现场控制设备与上位机之间的通信流量数据以及所述上位机的增量敏感数据，所述第一异常检测单元用于根据所述增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果，不局限于通信流量数据的检测，扩展了异常检测范围；所述第二异常检测单元用于根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，通过引入包括正常工业生产逻辑过程的执行顺序规则的预设逻辑规则，即使攻击流量结构并没有违反协议规约也能够检测，减少出现漏检测的情况，有利于提高异常检测的准确度和异常检测效果。

附图说明

图1为本发明工业控制系统的示意图；

图2为本发明工业控制系统异常检测方法的步骤流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

如图1所示，本发明实施例提供一种工业控制系统异常检测系统，用于监控工业控制系统，包括采集模块以及代理服务器。

可选地，把工业控制系统具有三个重点的层级，从上到下依次为企业管理层，过程监控层和现场层。其中，企业管理层可以包括计算机，数据服务器以及网关构成；过程监控层是上位机(包括工程师站、操作员站)和数据服务器构成；现场层包括现场控制设备(包括但不限于PLC)以及现场工业设备。需要说明的是，数据服务器记录过程控制系统状态历史，工程师站允许操作人员对工程项目文件进行新建、编辑、修改，以及对项目程序进行下载、上载；操作员站，又称HMI(Human Machine Interface，人机界面)，允许操作人员监视和控制过程。而PLC是一种现场控制设备，通过IO设备连接到传感器和执行器或其他现场工业设备，可以通过工业通信协议从HMI中接收控制命令。

需要说明的是，采集模块包括流量监控器以及行为监控模块，将流量监控器设置于现场控制设备以及上位机之间，用于获取现场控制设备与上位机之间的通信流量数据；而行为监控模块用于获取上位机的增量敏感数据。可选地，增量敏感数据包括进程数据、行为数据、端口数据和文件数据中的至少之一，具体是进程数据、行为数据、端口数据和文件数据中的至少之一出现变化(如增加)，以上位机的常规行为基准。其中，增量亦称改变量，可以的是在一段时间内，自变量取不同的值所对应的函数值之差。例如：进程数据：某些病毒会躲到操作系统中的进程中，当用户将其他干净的U盘插入受感染的电脑里，病毒会复制到干净的U盘里，然后一传十、十传百；行为数据：发生了上位机平时基本不会出现的一些行为，例如注册表中突然增加了未知的键值对；端口数据：类似23、135、139、445、3389等端口被开启，一旦被开启可以被攻击者远程传输文件并执行计划任务；文件数据：类似大量的上位机文档的后缀被修改。

本发明实施例中，在过程监控层上另外增设了代理服务器，代理服务器接收采集模块的数据从而进行异常检测。可选地，代理服务器包括第一异常检测单元以及第二异常检测单元，第一异常检测单元用于根据增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果，第二异常检测单元用于根据通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果。需要说明的是，预设逻辑规则包括正常工业生产逻辑过程的执行顺序规则，即正常工业生产过程“行为”的执行顺序；阈值映射表包括若干时间段对应的流量相似度阈值范围。

其中，流量监控器跟PLC以物理直连的方式连接，与上位机和代理服务器利用工业网络进行连接。PLC与上位机之间的通信过程流量，被流量监控器拷贝下来，发送给代理服务器进行合法性的判断。本发明实施例中，通过行为监控功能模块实时监控并采集上位机的增量敏感数据，根据代理服务器的第一异常检测结果调整黑名单，以便实时拦截攻击者下一步攻击，把攻击者可能会通过暴露在互联网上的外部企业网络渗透进内网进而进一步操控上位机的情况也作为考虑因素，不仅能够实现事前扩大工业控制系统异常检测范围，还能实现事中拦截未知攻击或者突发的新的非攻击类异常状况，事后方便溯源；同时，代理服务器的计算能力强，数据分析判断交给代理服务器处理，提高数据分析能力和异常检测处理速度，减少对上位机和流量监控器的性能影响，代理服务器稳定性强，计算能力强，性价比高。

本发明实施例中，通过在通信流量数据采集的基础上实时获取上位机的增量敏感数据用于异常检测，扩展了异常检测范围。

如图2所示，本发明实施例提供一种工业控制系统异常检测方法，包括步骤S100-S300：

S100、获取现场控制设备与上位机之间的通信流量数据以及获取上位机的增量敏感数据。

可选地，行为监控功能模块可以通过系统监控工具sysmon以及简单的主机信息增量变化检测技术获取上位机的增量敏感数据。

S200、根据增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果。

可选地，第一异常检测处理指的是将增量敏感数据与预设合法规则进行比较以判断合法性，其中预设合法规则包括生产过程中的正常行为。其中，当增量敏感数据不合法，此时第一异常检测处理表征异常，可以采用以下方式的至少一种进行处理：

1)、调用hook拦截增量敏感数据并向上位机发出告警信息；2)、分析增量敏感数据所对应的操作内容，将操作内容进行反操作并向上位机发出告警信息；3)、将增量敏感数据加入黑名单。需要说明的是，在采集以上三种方式时，均进行拦截。其中，增量敏感数据对应的黑名单可以存储于代理服务器或者上位机中，以便下次直接拦截。另外，如果合法，则把该增量敏感数据对应的操作内容(例如对应的操作)写入日志，并予以通过，不进行拦截。

例如，攻击者通过一系列手段渗透进到上位机，上位机此时登录账号是操作员A，然后攻击者利用操作员A账号权限创建了操作员B账号，“net user B password/ad”，这一条增量敏感数据被发送到代理服务器，代理服务器的预设合法规则不具有利用操作员A账号权限创建另一操作员账号的行为，向上位机发送报警信息和安全策略，进行拦截并将A账号、B账号加入黑名单中，从而禁止账号A和B下一步攻击操作。需要说明的是，只有管理员才能审核和修改黑名单，以防攻击者在获取了管理员账号后直接修改黑名单。另外，还可以定期对记录合法行为的日志进行审核，一旦发现可疑操作，立刻往黑名单中添加新规则。

或者，例如：1)上位机在上周注册表键值对并没有任何变化，这周突然新增了一个注册表键值对，属于增量敏感数据，将操作内容进行反操作，即删除新增的注册表键值对。

S300、根据通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果。

需要说明的是，步骤S200与S300不限定执行顺序的先后。由于工业现场设备通常采用轮询机制收集并上传数据。因此，工控网络流量会呈现出高度周期性，从而不断重复同一个生产活动，一旦流量出现了非周期性的特征，意味着这个流量是可疑的，因此可以基于高度周期性的特点建立阈值映射表。

可选地，阈值映射表的通过步骤S301-S302建立：

S301、获取现场控制设备与上位机的第一历史流量数据，并间隔预设时间间隔获取现场控制设备与上位机的第二历史流量数据；第一历史流量数据以及第二历史流量数据根据预设元素进行分类，第一历史流量数据的每一类预设元素具有若干个时间段的第一报文数量数据，第二历史流量数据的每一类预设元素具有若干个时间段的第二报文数量数据，预设元素包括源IP地址、目的IP地址、源端口、目的端口以及协议号中的至少一种。

例如：预设时间间隔为1天，在A日期获取第一历史流量数据，在A日期的第二天获取第二历史流量数据，通过代理服务器对第一历史流量数据以及第二历史流量数据进行处理，根据预设元素进行分类，以预设元素为源IP地址以及时间段为间隔一个小时为例，则一天具有00:00-01:00，01:00-02:00……23:00-24:00共24个时间段，第一历史流量数据中每一时间段的数据为源IP地址该类的数据记为第一报文数量数据，同理第二历史流量数据中每一时间段的数据为源IP地址该类的数据记为第二报文数量数据。需要说明的是，报文数量包括但不限于报文的字节数或者报文数。

S302、根据动态时间规整算法分别计算同一时间段的第一报文数量数据以及第二报文数量数据的相似性以得到每一时间段对应的流量相似度阈值范围。

可选地，第一历史流量数据以及第二历史流量数据可以分别绘制成第一时序图和第二时序图的形式，横坐标代表时间，纵坐标代表每分钟的报文数量，可以更好的体现访问各类的预设元素的报文数量变化趋势。

本发明实施例中，根据动态时间规整算法，即DTW(Dynamic Time Warping)分别计算同一时间段的第一报文数量数据以及第二报文数量数据的相似性以得到每一时间段对应的流量相似度阈值范围，即得到24个时间段的流量相似度阈值范围，从而构成阈值映射表。可以理解的是，每一类的预设元素的每个时间段下均可以具有一个流量相似度阈值范围。本发明实施例中，通过DTW建立阈值映射表，相对现有欧氏距离只能度量等长度的时间序列而无法识别变化趋势的缺点，弥补了不足，并且可以实时检测异常情况，有利于提高异常检测的准确度。

例如，以时间段00:00-01:00为例，第一天在00:00-01:00时间段获取源IP为192.168.37.1的正常的第一报文数量数据，然后第二天在00:00-01:00时间段获取源IP为192.168.37.1的正常的第二报文数量数据，然后计算该第一报文数量数据以及该第二报文数量数据的相似性(以数值表示)作为流量相似度阈值X，然后可以根据实际情况设置合理的波动误差A1和A2，从而确定流量相似度阈值范围：[X-A1,X+A2]；可以理解的是，每一时间段具有对应的流量相似度阈值范围。

可选地，步骤S300包括步骤S310、S320或者S330：

S310、从时间段中确定通信流量数据对应的目标时间段。

例如，当前通信流量数据的时间段为00:00-01:00，01:00-02:00，则00:00-01:00，01:00-02:00为目标时间段。可以理解的是，目标时间段可以有一个或多个时间段。

S320、当通信流量数据与正常流量数据之间的相似度位于目标时间段对应的流量相似度阈值范围，得到表征正常的第二异常检测结果。

可选地，如S302中的例子假设目标时间段为00:00-01:00，计算通信流量数据与正常流量数据之间的相似度，例如正常流量数据可以通过S302中的方式事先获取和保存，当相似度位于目标时间段对应的流量相似度阈值范围，此时得到表征正常的第二异常检测结果，不进行拦截。

S330、当相似度超出目标时间段对应的流量相似度阈值范围，将通信流量数据与预设逻辑规则进行匹配，当通信流量数据符合预设逻辑规则，得到表征正常的第二异常检测结果，否则得到表征异常的第二异常检测结果。

可选地，当通信流量数据与正常流量数据之间的相似度超出目标时间段对应的流量相似度阈值范围，可能存在异常流量，则通过通信流量数据与预设逻辑规则进行比较判断合法性，当通信流量数据符合预设逻辑规则，得到表征正常的第二异常检测结果，否则得到表征异常的第二异常检测结果；而当通信流量数据不符合预设逻辑规则，得到表征异常的第二异常检测结果，说明此时可能存在未知攻击。

需要说明的是，该处的未知攻击可以指的是利用已知流量结构完成攻击，攻击流量结构没有明显违反协议规约，因此仅通过流量相似度阈值范围的比较无法识别，但最终能够造成工业生产过程的行为顺序发生改变，而通过引入预设逻辑规则的比较判断，可以解决未知网络攻击难检测和高隐蔽攻击流量难检测的问题，从而增加异常检测的准确性。例如，红灯和绿灯的流量也是已知固定的，如果攻击者入侵交通灯控制系统，改变红绿灯原有顺序，导致系统错误，这种没有违反协议规约的攻击现有的手段无法检测出，而通过引入预设逻辑规则的比较判断，能够解决未知网络攻击难检测和高隐蔽攻击流量难检测的问题，从而增加异常检测的准确性。

例如：1)当注水达到N个小时蓄水池已经满了，不能再往里注水，即按照正常工业生产逻辑过程的执行顺序规则此时不应该继续执行“注水”行为，而应该执行“停止注水”行为，如果超过N个小时还继续执行“注水”行为，说明不符合预设逻辑规则，出现异常，发生了攻击，立刻向流量监控器发出告警信息。

2)攻击者修改控制器的温度参数实时检测值同时篡改监控参数，使得从操作员站进行观察时，一切都是正常，攻击者修改的参数告诉控制器的温度还很低，控制器就不断加热元器件，最终导致设备过热影响性能。此时，我们把正常加热N个小时就可以完成生产活动的这个逻辑写入预设逻辑规则，那么超过N个小时应该执行“停止加热”行为，如果超过N个小时还在执行“加热”行为，说明不符合预设逻辑规则，出现异常，发生了攻击，立刻向流量监控器发出告警信息。

3)高压反应釜中放料阀门和出料阀门不能同时打开，若同时出现上述两种行为，说明不符合预设逻辑规则，出现异常，发生了攻击，立刻向流量监控器发出告警信息。需要说明的是，预设逻辑规则可以根据不同的场景进行设置，以上例子用于示例性说明而不构成限制。

本发明实施例中，当第二异常检测结果表征异常，向上位机发送报警信息，并将通信流量数据加入黑名单，以便下次直接拦截。可选地，通信流量数据的黑名单可以存储于代理服务器或者流量监控器中，由流量监控器或者代理服务器进行拦截。

上述系统实施例中的内容均适用于本方法实施例中，本方法实施例所具体实现的功能与上述系统实施例相同，并且达到的有益效果与上述系统实施例所达到的有益效果也相同。

本发明实施例还提供了一种电子设备，电子设备包括处理器和存储器，存储器中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现前述实施例的工业控制系统异常检测方法。本发明实施例的电子设备包括但不限于手机、平板电脑、电脑、工控机、服务器等。

上述方法实施例中的内容均适用于本设备实施例中，本设备实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法实施例所达到的有益效果也相同。

本发明实施例还提供一种计算机可读存储介质，存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现前述实施例的工业控制系统异常检测方法。

本发明实施例还提供一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前述实施例的工业控制系统异常检测方法。

本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：只存在A，只存在B以及同时存在A和B三种情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括多指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序的介质。

以上，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种工业控制系统异常检测系统，其特征在于，包括：

采集模块，用于获取现场控制设备与上位机之间的通信流量数据以及所述上位机的增量敏感数据；

代理服务器，包括第一异常检测单元以及第二异常检测单元；所述第一异常检测单元用于根据所述增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果，所述第二异常检测单元用于根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果；

其中，所述预设逻辑规则包括正常工业生产逻辑过程的执行顺序规则，所述阈值映射表包括若干时间段对应的流量相似度阈值范围。

2.根据权利要求1所述工业控制系统异常检测系统，其特征在于：所述采集模块包括流量监视器以及行为监控模块；所述流量监视器用于获取现场控制设备与上位机之间的通信流量数据，所述行为监控模块用于获取所述上位机的增量敏感数据，所述增量敏感数据包括进程数据、行为数据、端口数据和文件数据中的至少之一。

3.一种工业控制系统异常检测方法，其特征在于，包括：

获取现场控制设备与上位机之间的通信流量数据以及获取所述上位机的增量敏感数据；

根据所述增量敏感数据以及预设合法规则进行第一异常检测处理，得到第一异常检测结果；

根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果；

其中，所述预设逻辑规则包括正常工业生产逻辑过程的执行顺序规则，所述阈值映射表包括若干时间段对应的流量相似度阈值范围。

4.根据权利要求3所述工业控制系统异常检测方法，其特征在于：所述根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，包括：

从所述时间段中确定所述通信流量数据对应的目标时间段；

当所述通信流量数据与正常流量数据之间的相似度位于所述目标时间段对应的流量相似度阈值范围，得到表征正常的第二异常检测结果。

5.根据权利要求4所述工业控制系统异常检测方法，其特征在于：所述根据所述通信流量数据、阈值映射表以及预设逻辑规则进行第二异常检测处理，得到第二异常检测结果，还包括：

当所述相似度超出所述目标时间段对应的流量相似度阈值范围，将所述通信流量数据与所述预设逻辑规则进行匹配，当所述通信流量数据符合所述预设逻辑规则，得到表征正常的第二异常检测结果，否则得到表征异常的第二异常检测结果。

6.根据权利要求3所述工业控制系统异常检测方法，其特征在于：所述阈值映射表的建立步骤包括：

获取所述现场控制设备与所述上位机的第一历史流量数据，并间隔预设时间间隔获取所述现场控制设备与上位机的第二历史流量数据；所述第一历史流量数据以及所述第二历史流量数据根据预设元素进行分类，第一历史流量数据的每一类预设元素具有若干个时间段的第一报文数量数据，第二历史流量数据的每一类预设元素具有若干个时间段的第二报文数量数据，所述预设元素包括源IP地址、目的IP地址、源端口、目的端口以及协议号中的至少一种；

根据动态时间规整算法分别计算同一时间段的所述第一报文数量数据以及所述第二报文数量数据的相似性以得到每一时间段对应的流量相似度阈值范围。

7.根据权利要求3所述工业控制系统异常检测方法，其特征在于：所述方法还包括：

当第二异常检测结果表征异常，向上位机发送报警信息，并将所述通信流量数据加入黑名单。

8.根据权利要求3所述工业控制系统异常检测方法，其特征在于：所述方法还包括：

当所述第一异常检测结果表征异常，调用hook拦截所述增量敏感数据并向上位机发出告警信息，和/或，分析所述增量敏感数据所对应的操作内容，将所述操作内容进行反操作并向上位机发出告警信息，和/或，将所述增量敏感数据加入黑名单。

9.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求3-8中任一项所述方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求3-8中任一项所述方法。

Images