国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng)的制作方法

      文檔序號:7781490閱讀:269來源:國知局
      基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng)的制作方法
      【專利摘要】本發(fā)明公開了一種基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng)。該方法構(gòu)建網(wǎng)絡(luò)化控制系統(tǒng)本體模型,基于該模型進行入侵檢測,并權(quán)衡決策后得到最終檢測結(jié)果。系統(tǒng)包括主節(jié)點,多個從節(jié)點,和負責消息傳遞的工業(yè)通信網(wǎng)絡(luò);主節(jié)點負責完成自身的主機活動審計數(shù)據(jù)的收集、所有網(wǎng)絡(luò)報文的收集、主節(jié)點對應(yīng)的控制閉環(huán)流的檢測、控制對象檢測、整個系統(tǒng)所有節(jié)點主機活動審計數(shù)據(jù)的檢測、網(wǎng)絡(luò)活動檢測以及檢測結(jié)果的協(xié)調(diào);各從節(jié)點負責完成該節(jié)點對應(yīng)控制閉環(huán)流的檢測并將檢測結(jié)果上傳給主節(jié)點,收集該節(jié)點自身的主機活動審計數(shù)據(jù)并上傳給主節(jié)點;本發(fā)明能夠在資源受限的環(huán)境中實時、高效、全面地進行入侵檢測,降低工業(yè)網(wǎng)絡(luò)控制系統(tǒng)安全改造成本。
      【專利說明】基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng)【技術(shù)領(lǐng)域】
      [0001]本發(fā)明涉及工業(yè)控制系統(tǒng)信息安全防御領(lǐng)域,更具體地,涉及一種針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)化控制的入侵檢測方法及系統(tǒng)。
      【背景技術(shù)】
      [0002]隨著計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)以及自動控制技術(shù)的迅速發(fā)展,網(wǎng)絡(luò)化控制系統(tǒng)(Networked Control System, NCS)實現(xiàn)了寬廣地域的管理、監(jiān)視與控制,打破了傳統(tǒng)自動化系統(tǒng)信息孤島的僵局,是企業(yè)管控一體化的核心和關(guān)鍵,已被廣泛應(yīng)用于國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)和工業(yè)控制領(lǐng)域。但是NCS網(wǎng)絡(luò)開放的特性同時也使得其面臨各種信息安全問題,例如2010年“超級工廠病毒”襲擊了伊朗布什爾核電站,嚴重威脅到核反應(yīng)堆的安全運

      口 ο
      [0003]NCS系統(tǒng)具有以下特點:(I) 一般運行在嵌入式環(huán)境中,資源受限;(2)其控制應(yīng)用對實時性要求苛刻、需要長時間(5-10年)不間斷連續(xù)工作(7天X24小時);(3)屬于信息物理融合的系統(tǒng),包括信息部分和物理控制對象兩部分;(4)對于安全防護,NCS系統(tǒng)更強調(diào)可用性(IT系統(tǒng)則強調(diào)保密性);(5)NCS面向于工業(yè)應(yīng)用,其整體實現(xiàn)需要考慮成本約束。此外,相較于IT系統(tǒng),NCS系統(tǒng)所面臨的入侵攻擊也與IT系統(tǒng)不盡相同。
      [0004]現(xiàn)有的入侵檢測系統(tǒng)可以分為三類:(I)基于攻擊特征的入侵檢測(例如發(fā)明專利200910085069.8,201010265793.1),利用豐富的入侵攻擊相關(guān)知識進行入侵檢測;(2)基于模型的入侵檢測(例如 發(fā)明專利201010525511.7),絕大多數(shù)都是基于(流量/行為)統(tǒng)計模型,這是由于IT系統(tǒng)結(jié)構(gòu)功能相對靈活多變、系統(tǒng)行為具有突發(fā)性隨機性,因此不可能建立更細粒度的模型;(3)基于規(guī)范的入侵檢測(例如發(fā)明專利200910001196.5)是針對IT系統(tǒng)中某類應(yīng)用而設(shè)計的(例如基于IP網(wǎng)絡(luò)的應(yīng)用,基于Web-based的應(yīng)用等)。但是,對于NCS系統(tǒng)而言,現(xiàn)有的基于攻擊特征的檢測所需要的豐富的攻擊相關(guān)知識并不具備;基于規(guī)范的入侵檢測大都是針對IT系統(tǒng)的應(yīng)用而設(shè)計的,并不適合于NCS系統(tǒng);并且NCS具有相對固定的結(jié)構(gòu)和功能、相對有規(guī)律的系統(tǒng)行為,現(xiàn)有的基于(流量/行為)統(tǒng)計模型入侵檢測不能很好的滿足入侵檢測需求。
      [0005]期刊《微計算機信息》第21卷第7-3期的論文《分布式入侵檢測技術(shù)在網(wǎng)絡(luò)控制系統(tǒng)中的應(yīng)用》提出了一種將分布式入侵檢測技術(shù)運用到網(wǎng)絡(luò)控制系統(tǒng)的具體方案。發(fā)明專利申請(201210008504.9)公開了“一種工業(yè)控制網(wǎng)絡(luò)安全防護方法及系統(tǒng)”采用三主機結(jié)構(gòu)和三層防護策略進行攻擊檢測及響應(yīng)。發(fā)明專利申請(201010569843.5)公開了“一種用于保護過程控制系統(tǒng)中網(wǎng)絡(luò)業(yè)務(wù)的統(tǒng)一威脅管理系統(tǒng)”采用基于規(guī)則的方法保護過程控制系統(tǒng)中的網(wǎng)絡(luò)業(yè)務(wù)。上述文獻及專利申請有的未能全面考慮NCS的運行約束(實時性、資源、可用性等),有的對系統(tǒng)檢測數(shù)據(jù)源考慮不夠全面,還有的未能考慮NCS系統(tǒng)主從式單網(wǎng)段的運行結(jié)構(gòu)特點。此外,而且NCS入侵檢測應(yīng)該包括信息部分的檢測和物理控制對象部分的檢測,應(yīng)盡量減少對NCS系統(tǒng)原本功能的影響。本體論是指領(lǐng)域內(nèi)抽象的一組概念及概念間的關(guān)系,利用本體論構(gòu)建NCS系統(tǒng)模型能夠全面的綜合考慮工業(yè)控制領(lǐng)域的各方面特點。
      [0006]綜上所述,傳統(tǒng)的入侵檢測方法因其技術(shù)原理和適用協(xié)議的差異,使得在NCS系統(tǒng)中并不能取得很好的檢測效果,目前國內(nèi)外尚未有一套完整地適合NCS的入侵檢測方法及系統(tǒng),
      【發(fā)明者】提出的基于本體論的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng)具有一定的創(chuàng)新性及較大的社會經(jīng)濟價值。

      【發(fā)明內(nèi)容】

      [0007]本發(fā)明的目的是為了解決現(xiàn)有網(wǎng)絡(luò)入侵檢測方法用于主從式單網(wǎng)段網(wǎng)絡(luò)化控制系統(tǒng)時的上述問題,提供一種基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法及系統(tǒng),目的在于能夠在資源受限的環(huán)境中實時、高效、全面地進行網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測。
      [0008]本發(fā)明提供了一種基于本體模型的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法,該網(wǎng)絡(luò)化控制系統(tǒng)包括一個主節(jié)點、K個從節(jié)點以及一個工業(yè)通信網(wǎng)絡(luò),K為正整數(shù),其特征在于,該方法包括初始配置過程以及在線檢測過程;
      [0009]所述初始配置過程包括:
      [0010]步驟(al)建立包括控制系統(tǒng)和控制對象的網(wǎng)絡(luò)化控制系統(tǒng)本體模型,其中,控制系統(tǒng)包括控制網(wǎng)絡(luò)和節(jié)點;控制網(wǎng)絡(luò)包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)調(diào)度和網(wǎng)絡(luò)協(xié)議四個方面,節(jié)點包括任務(wù)和資源兩個方面,任務(wù)包括任務(wù)行為及任務(wù)調(diào)度兩種屬性,資源包括存儲空間占用、CPU占用和節(jié)點流量三種屬性;控制對象包括物理被控系統(tǒng)中的功能、行為和結(jié)構(gòu)變量,即FBS變量,以及在整個NCS控制環(huán)路中的控制閉環(huán)流兩方面;
      [0011]步驟(a2)依據(jù)具體的網(wǎng)絡(luò)化控制系統(tǒng)規(guī)范,設(shè)計對象功能白名單和各節(jié)點的用戶白名單;
      [0012]步驟(a3)依據(jù)所述網(wǎng)絡(luò)化控制系統(tǒng)本體模型,部署所有節(jié)點中用于監(jiān)測主機活動的資源使用探測器和任務(wù)活動探測器,并將主節(jié)點網(wǎng)絡(luò)接口設(shè)置為混雜模式以接收所有的網(wǎng)絡(luò)報文;其中,各節(jié)點的資源使用探測器負責探測該節(jié)點的CPU使用率、存儲空間使用率以及節(jié)點的流量;各節(jié)點的任務(wù)活動探測器負責收集該節(jié)點所有任務(wù)的異常情況以及任務(wù)間的切換;
      [0013]所述在線檢測過程為:
      [0014]步驟(bl)各從節(jié)點通過網(wǎng)絡(luò)接口接收報文,進行用戶白名單過濾,然后進行基于控制應(yīng)用的檢測,將檢測結(jié)果上報給主節(jié)點;同時收集該節(jié)點的審計數(shù)據(jù),并上報給主節(jié)
      占.[0015]步驟(b2)主節(jié)點通過網(wǎng)絡(luò)接口收集網(wǎng)絡(luò)中的所有報文,將接收的報文通過用戶白名單進行過濾,阻止非法用戶的數(shù)據(jù)進一步訪問;
      [0016]步驟(b3)主節(jié)點利用過濾后的數(shù)據(jù)報文,結(jié)合網(wǎng)絡(luò)使用的工業(yè)通信協(xié)議規(guī)范進行基于網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)通信行為、網(wǎng)絡(luò)協(xié)議特征和網(wǎng)絡(luò)報文調(diào)度檢測,如果檢測出異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果;
      [0017]步驟(b4)主節(jié)點對經(jīng)過網(wǎng)絡(luò)活動檢測的報文進行分類,具體分為從節(jié)點上報的檢測結(jié)果、從節(jié)點上報的節(jié)點審計數(shù)據(jù)、應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù);
      [0018]步驟(b5)主節(jié)點通過其資源使用探測器和任務(wù)活動探測器實時收集主節(jié)點活動的審計數(shù)據(jù),并結(jié)合資源使用模型和任務(wù)活動模型,對主節(jié)點審計數(shù)據(jù)以及所有從節(jié)點審計數(shù)據(jù)進行檢測,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果;
      [0019]步驟(b6)主節(jié)點進行對象功能白名單檢測,如果是非法數(shù)據(jù),阻止進一步訪問,并轉(zhuǎn)入步驟(bl),否則為合法訪問,轉(zhuǎn)入步驟(b7);
      [0020]步驟(b7)主節(jié)點進行基于控制應(yīng)用的檢測,檢測閉環(huán)控制流和物理控制對象是否異常,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果;
      [0021]步驟(b8)主節(jié)點收集四種檢測結(jié)果,包括各從節(jié)點、網(wǎng)絡(luò)活動檢測結(jié)果、主機活動檢測結(jié)果和控制應(yīng)用檢測結(jié)果。若網(wǎng)絡(luò)活動檢測為正常,則認為系統(tǒng)沒有受到入侵攻擊,轉(zhuǎn)為步驟(bl);若網(wǎng)絡(luò)活動檢測到異常,則將主節(jié)點中的主機活動檢測結(jié)果、控制應(yīng)用檢測結(jié)果和各從節(jié)點中的檢測結(jié)果進行統(tǒng)一編碼、然后報警,再轉(zhuǎn)到步驟(bl)。
      [0022]本發(fā)明提供的一種網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測系統(tǒng),其特征在于,該系統(tǒng)包括一個主節(jié)點,K個從節(jié)點以及連接主節(jié)點和所有從節(jié)點的一個工業(yè)通信網(wǎng)絡(luò),其中K為正整數(shù);
      [0023]主節(jié)點負責完成自身的主機活動審計數(shù)據(jù)的收集、所有網(wǎng)絡(luò)報文的收集、主節(jié)點對應(yīng)的控制閉環(huán)流的檢測、控制對象檢測、整個系統(tǒng)所有節(jié)點主機活動審計數(shù)據(jù)的檢測、整個系統(tǒng)中的網(wǎng)絡(luò)活動檢測以及檢測結(jié)果的協(xié)調(diào);
      [0024]各從節(jié)點負責完成該節(jié)點對應(yīng)控制閉環(huán)流的檢測并將檢測結(jié)果上傳給主節(jié)點,負責收集該節(jié)點自身的主機活動審計數(shù)據(jù)并上傳給主節(jié)點;
      [0025]工業(yè)通信網(wǎng)絡(luò)負責各節(jié)點之間的消息傳遞。
      [0026]作為上述技術(shù)方案的改進,所述主節(jié)點包括網(wǎng)絡(luò)接口、主節(jié)點用戶白名單、網(wǎng)絡(luò)檢測引擎、報文分類器、審計數(shù)據(jù)采集單元、主機檢測引擎、對象功能白名單、控制應(yīng)用檢測引擎、協(xié)調(diào)控制單元;
      [0027]網(wǎng)絡(luò)接口負責收發(fā)報文,設(shè)置為混雜模式,即接收工業(yè)通信網(wǎng)絡(luò)中的所有報文,接收到的報文傳遞給主節(jié)點用戶白名單模塊;
      [0028]主節(jié)點用戶白名單負責檢查所接收報文的源IP或者源節(jié)點號,將不在主節(jié)點用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給網(wǎng)絡(luò)檢測引擎;
      [0029]網(wǎng)絡(luò)檢測引擎負責依據(jù)工業(yè)網(wǎng)絡(luò)通信規(guī)范對所接收的報文進行網(wǎng)絡(luò)結(jié)構(gòu)檢測、網(wǎng)絡(luò)通信行為檢測、網(wǎng)絡(luò)協(xié)議特征檢測以及網(wǎng)絡(luò)報文調(diào)度檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元,并將報文傳遞個報文分類器;
      [0030]報文分類器負責將所接收的報文按照其負載數(shù)據(jù)類型進行分類,具體的,將從節(jié)點上報的審計數(shù)據(jù)傳遞給主機檢測引擎,將從節(jié)點的檢測結(jié)果傳遞給協(xié)調(diào)控制單元,將應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)傳遞給對象功能白名單;
      [0031]審計數(shù)據(jù)采集單元負責收集主節(jié)點的審計數(shù)據(jù),并傳遞給主機檢測引擎;
      [0032]主機檢測引擎負責收集主節(jié)點審計數(shù)據(jù),并與所有從節(jié)點審計數(shù)據(jù)一同依據(jù)系統(tǒng)資源使用模型和控制任務(wù)模型進行檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元,并將獲取系統(tǒng)運行階段,傳遞給對象功能白名單;
      [0033]對象功能白名單負責進行對接收的應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)進行〈系統(tǒng)運行階段、角色、對象、功能〉四元組的權(quán)限檢查,將不符合權(quán)限的報文丟棄,將其他正常報文傳遞給控制應(yīng)用檢測引擎;
      [0034]控制應(yīng)用檢測引擎負責依據(jù)閉環(huán)控制流模型和控制對象模型檢測控制對象FBS數(shù)據(jù)以及主節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元;
      [0035]協(xié)調(diào)控制單元負責綜合決策所有檢測結(jié)果,若有攻擊則生成檢測報告。
      [0036]所述各從節(jié)點中均包括網(wǎng)絡(luò)接口,用戶白名單,控制應(yīng)用檢測引擎,審計數(shù)據(jù)采集單元,上報單元;
      [0037]網(wǎng)絡(luò)接口負責對應(yīng)從節(jié)點報文收發(fā),接收到的報文傳遞給用戶白名單模塊;
      [0038]從節(jié)點用戶白名單負責檢查所接收報文的源IP或者源節(jié)點號,將不在用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給控制應(yīng)用檢測引擎;
      [0039]控制應(yīng)用檢測引擎首先從報文中提取應(yīng)用數(shù)據(jù)并記錄時間戳,然后依據(jù)閉環(huán)控制流模型對相應(yīng)從節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期進行檢測,檢測結(jié)果傳遞給上報單元;
      [0040]審計數(shù)據(jù)采集單元負責收集相應(yīng)從節(jié)點的審計數(shù)據(jù),并傳遞給上報單元;
      [0041]上報單元負責將該節(jié)點的控制應(yīng)用檢測結(jié)果以及該節(jié)點的審計數(shù)據(jù)通過網(wǎng)絡(luò)上報給主節(jié)點。
      [0042]本發(fā)明克服了現(xiàn)有入侵檢測技術(shù)直接用于網(wǎng)絡(luò)化控制系統(tǒng)時存在的問題,能夠在資源受限的環(huán)境中實時、高效、全面地進行網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測,具體說明如下:
      [0043]一、該網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法結(jié)合系統(tǒng)本體論的思想,利用網(wǎng)絡(luò)化控制系統(tǒng)本體模型,通過多視角(網(wǎng)絡(luò)數(shù)據(jù)、主機數(shù)據(jù)以及應(yīng)用數(shù)據(jù))的檢測數(shù)據(jù)源,綜合考慮網(wǎng)絡(luò)化控制系統(tǒng)的各個方面進行檢測,并權(quán)衡決策各方面檢測結(jié)果得到最終檢測輸出結(jié)果,使得該入侵檢測方法能夠?qū)W(wǎng)絡(luò)化控制系統(tǒng)入侵攻擊進行全面系統(tǒng)的檢測。
      [0044]二、該網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法考慮到網(wǎng)絡(luò)化控制系統(tǒng)功能有限、網(wǎng)絡(luò)結(jié)構(gòu)相對固定、通信行為較為簡單等特點,采用基于模型的入侵檢測機制,能夠在保持極低誤報率的同時提高檢測能力;無論是對已知攻擊還是未知攻擊,該方法都能夠進行很好的檢測;能夠有效避免傳統(tǒng)入侵檢測系統(tǒng)由于攻擊特征庫升級所造成的網(wǎng)絡(luò)化控制系統(tǒng)宕機。
      [0045]三、該網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法考慮了網(wǎng)絡(luò)化控制系統(tǒng)的信息世界與物理世界兩個方面。針對物理控制對象,在檢測中考慮了控制對象的相關(guān)模型(包括閉環(huán)控制流模型和功能行為結(jié)構(gòu)模型),綜合采用了 N-Gram方法、統(tǒng)計學(xué)方法以及特征匹配多種檢測機制,相較于傳統(tǒng)的入侵檢測方法,該方法能夠有針對性的對網(wǎng)絡(luò)化控制系統(tǒng)入侵攻擊高效地進行檢測。
      [0046]四、該網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法設(shè)計了雙重白名單過濾機制,可以有效的抵御非法訪問,提高檢測效率和系統(tǒng)實時性能,減小檢測過程中資源消耗。用戶白名單能夠有效過濾掉網(wǎng)絡(luò)接口接收到的非法用戶的報文;對象功能白名單通過檢查系統(tǒng)運行階段、角色、操作對象、操作功能來進行報文內(nèi)容的權(quán)限檢測,可以有效的去除正常用戶進行非授權(quán)操作。
      [0047]五、該網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測系統(tǒng)通過軟件的方法實現(xiàn),并結(jié)合NCS自身的主從分布式結(jié)構(gòu)進行部署,從節(jié)點資源嚴重受限,只負責進行實時數(shù)據(jù)收據(jù)和該節(jié)點的控制應(yīng)用檢測;主節(jié)點資源相對(從節(jié)點)豐富,負責收集網(wǎng)絡(luò)數(shù)據(jù),進行整個系統(tǒng)的網(wǎng)絡(luò)活動檢測、主機審計數(shù)據(jù)檢測以及自身控制應(yīng)用檢測。對所有的節(jié)點,實現(xiàn)中可將入侵檢測任務(wù)與NCS任務(wù)一并考慮、統(tǒng)一部署,保障網(wǎng)絡(luò)化控制系統(tǒng)的實時性。因此該方法及相應(yīng)的系統(tǒng)能夠很好的適應(yīng)NCS資源受限的運行環(huán)境,其實現(xiàn)成本亦大大降低,具有較強的工業(yè)實用性。
      【專利附圖】

      【附圖說明】
      [0048]圖1是網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測方法示意圖;
      [0049]圖2是網(wǎng)絡(luò)化控制系統(tǒng)本體模型圖;
      [0050]圖3是對象功能白名單結(jié)構(gòu)示意圖;
      [0051]圖4是網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測系統(tǒng)主節(jié)點結(jié)構(gòu)圖;
      [0052]圖5是網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測系統(tǒng)整體結(jié)構(gòu)圖。
      【具體實施方式】
      [0053]下面結(jié)合附圖對本發(fā)明的【具體實施方式】作進一步說明。在此需要說明的是,對于這些實施方式的說明用于幫助理解本發(fā)明,但并不構(gòu)成對本發(fā)明的限定。此外,下面所描述的本發(fā)明各個實施方式中所涉及到的技術(shù)特征只要彼此之間未構(gòu)成沖突就可以相互組合。
      [0054]如圖1所示,在需要檢測入侵的網(wǎng)絡(luò)化控制系統(tǒng)中建立一種網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測方法。該網(wǎng)絡(luò)化控制系統(tǒng)包括一個主節(jié)點、K個從節(jié)點(K為正整數(shù))以及一個工業(yè)通信網(wǎng)絡(luò),其通信宏周期為T毫秒。入侵檢測方法采用分布式結(jié)構(gòu),在網(wǎng)絡(luò)化控制系統(tǒng)的主節(jié)點上部署檢測主節(jié)點,其他網(wǎng)絡(luò)化控制系統(tǒng)從節(jié)點為檢測從節(jié)點。具體步驟如下:
      [0055]步驟⑴:依據(jù)本體論思想,針對網(wǎng)絡(luò)化控制系統(tǒng)特點,結(jié)合具體的網(wǎng)絡(luò)化控制系統(tǒng)情形,建立系統(tǒng)本體1吳型。NCS系統(tǒng)本體|吳型包括控制系統(tǒng)和控制對象兩部分??刂葡到y(tǒng)包括控制網(wǎng)絡(luò)和節(jié)點;控制網(wǎng)絡(luò)考慮四種屬性:網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)調(diào)度、網(wǎng)絡(luò)協(xié)議,節(jié)點包括任務(wù)和資源兩個方面,任務(wù)考慮任務(wù)行為及任務(wù)調(diào)度兩種屬性,資源考慮存儲空間占用,CPU占用和節(jié)點流量三種屬性。控制對象考慮物理被控系統(tǒng)中的功能、行為以及結(jié)構(gòu)(Function, Behavior, Structure, FBS)變量和在整個NCS控制環(huán)路中的控制閉環(huán)流兩部分。
      [0056]如圖2所示,網(wǎng)絡(luò)化控制系統(tǒng)本體模型由多個子模型構(gòu)成,具體過程為:
      [0057](1.1)工業(yè)通信網(wǎng)絡(luò)方面,建立網(wǎng)絡(luò)結(jié)構(gòu)模型、網(wǎng)絡(luò)通信行為模型、網(wǎng)絡(luò)報文調(diào)度模型以及網(wǎng)絡(luò)協(xié)議特征。
      [0058]網(wǎng)絡(luò)結(jié)構(gòu)模型表征網(wǎng)絡(luò)化控制系統(tǒng)中各節(jié)點與網(wǎng)絡(luò)的連接關(guān)系,通過(K+1)維網(wǎng)絡(luò)結(jié)構(gòu)向量表示(例如像向量中的元素為I表示相應(yīng)節(jié)點與網(wǎng)絡(luò)聯(lián)通,O表示不連通)。
      [0059]網(wǎng)絡(luò)通信行為模型用來描述通信過程中節(jié)點通信狀態(tài)的遷移,根據(jù)具體的工業(yè)通信協(xié)議規(guī)范,對通信協(xié)議棧的狀態(tài)采用N-Gram方法進行網(wǎng)絡(luò)通信行為建模。具體的根據(jù)通信協(xié)議不同,列舉出正常通信情況下所有的狀態(tài)組合,狀態(tài)組合為N個連續(xù)的狀態(tài)(N—般取2、3或4)組成,所有正常的狀態(tài)組合組成網(wǎng)絡(luò)通信行為模型。
      [0060]網(wǎng)絡(luò)報文調(diào)度模型即網(wǎng)絡(luò)中通信報文所需遵循的順序,工業(yè)通信網(wǎng)絡(luò)中的報文按照通信宏周期T循環(huán)往復(fù)。對于具體的應(yīng)用,是由具體通信協(xié)議和具體應(yīng)用確定的,因此宏周期內(nèi)報文類型的流轉(zhuǎn)順序依據(jù)工業(yè)通信協(xié)議規(guī)范和應(yīng)用規(guī)范確定,將這種順序通過上述N-Gram方法進行建模得到網(wǎng)絡(luò)報文調(diào)度模型。
      [0061]網(wǎng)絡(luò)協(xié)議特征包括源地址、目的地址、源節(jié)點號、目的節(jié)點號、協(xié)議類型、報文類型以及負載數(shù)據(jù)長度。
      [0062](1.2)節(jié)點方面,建立任務(wù)活動模型和資源使用模型。
      [0063]節(jié)點包括主節(jié)點和所有從節(jié)點。
      [0064]資源使用模型通過系統(tǒng)應(yīng)用規(guī)范估算出各節(jié)點中CPU使用率、內(nèi)存使用率以及節(jié)點的流量(其中以一個宏周期為計算單元,取平均值)。
      [0065]任務(wù)活動模型包括單個任務(wù)的行為和任務(wù)間的調(diào)度。單個任務(wù)的行為包括任務(wù)狀態(tài)(正常/異常)和任務(wù)輸入輸出行為,其中任務(wù)的輸入輸出通過輸入輸出數(shù)據(jù)值及對應(yīng)時刻表征。由于控制系統(tǒng)的任務(wù)數(shù)量有限且任務(wù)間的切換有規(guī)律,同樣通過N-Gram方法建立任務(wù)間的調(diào)度模型。
      [0066](1.3)控制對象方面,建立閉環(huán)控制流模型和控制對象模型。
      [0067]閉環(huán)控制流模型依據(jù)控制應(yīng)用規(guī)范,確定控制閉環(huán)流中應(yīng)用數(shù)據(jù)的限值(即上限、下限值)以及時序(即數(shù)據(jù)的截止期)??刂茖ο竽P涂梢酝ㄟ^將表征物理系統(tǒng)控制對象的變量劃分為功能(F)變量、行為(B)變量以及結(jié)構(gòu)(S)變量,這三種變量組合成FBS向量得到。通過聚類分析方法,首先對預(yù)先獲取的FBS向量數(shù)據(jù)集進行離線訓(xùn)練,得到正常類庫用于后續(xù)檢測。
      [0068]步驟(2):依據(jù)具體的網(wǎng)絡(luò)化控制系統(tǒng)規(guī)范,設(shè)計訪問控制白名單,即對象功能白名單和各節(jié)點的用戶白名單。
      [0069]節(jié)點的用戶白名單來規(guī)定能夠給該節(jié)點發(fā)送報文的節(jié)點對應(yīng)的節(jié)點號。對象功能白名單通過系統(tǒng)運行階段、角色、操作對象以及操作功能來保證用戶對系統(tǒng)中的對象進行的操作是適時、適當?shù)?,其中角色為特定的用戶?比如傳感器、執(zhí)行器、控制器)、操作對象一般為控制應(yīng)用數(shù)據(jù)(例如給定值、被控量的監(jiān)測值、控制指令等)、操作功能(包括創(chuàng)建、讀、修改、刪除等)。
      [0070]依據(jù)網(wǎng)絡(luò)化控制系統(tǒng)通信及操作需求,創(chuàng)建訪問控制白名單的具體過程為:
      [0071](2.1)首先,創(chuàng)建各節(jié)點所需的用戶白名單。對于主節(jié)點:將所有需要向網(wǎng)絡(luò)中發(fā)送報文的節(jié)點的節(jié)點號創(chuàng)建為一個用戶列表得到主節(jié)點用戶白名單。對于從節(jié)點:將需要向該從節(jié)點發(fā)送報文的所有節(jié)點的節(jié)點號創(chuàng)建為一個用戶列表得到該從節(jié)點的用戶白名單。
      [0072](2.2)然后,創(chuàng)建對象功能白名單。對象功能白名單如圖3所示,依據(jù)網(wǎng)絡(luò)化控制系統(tǒng)應(yīng)用需求規(guī)定在系統(tǒng)各運行階段、各種角色能夠?qū)Σ僮鲗ο笏M行操作功能。
      [0073]步驟(3):依據(jù)系統(tǒng)本體論模型,部署所有節(jié)點中用于監(jiān)測主機活動的資源使用探測器和任務(wù)活動探測器,并將主節(jié)點網(wǎng)絡(luò)接口設(shè)置為混雜模式以接收所有的網(wǎng)絡(luò)報文。
      [0074]各節(jié)點的資源使用探測器負責探測該節(jié)點的CPU使用率、存儲空間使用率以及節(jié)點的流量(以一個宏周期T為計算單元,取平均值)。各節(jié)點的任務(wù)活動探測器負責收集該節(jié)點所有任務(wù)的異常情況(包括輸入輸出以及運行狀態(tài))以及任務(wù)間的切換。
      [0075]步驟(4):各從節(jié)點通過網(wǎng)絡(luò)接口接收報文,進行用戶白名單過濾,然后進行基于控制應(yīng)用的檢測,將檢測結(jié)果上報給主節(jié)點;同時收集節(jié)點的審計數(shù)據(jù),并上報給主節(jié)點。
      [0076]步驟(4)的具體過程為:
      [0077](4.1)各從節(jié)點利用該節(jié)點的用戶白名單對從網(wǎng)絡(luò)接口接收到的報文進行過濾,阻止非法用戶的數(shù)據(jù)。[0078](4.2)從過濾后的網(wǎng)絡(luò)數(shù)據(jù)報文中提取該節(jié)點與控制閉環(huán)流模型對應(yīng)的控制應(yīng)用數(shù)據(jù)及其時間戳,并與閉環(huán)控制流模型進行比較,檢測出是否有異常,得到檢測結(jié)果,上報給主節(jié)點。
      [0079](4.3)利用該節(jié)點的資源使用探測器和任務(wù)活動探測器收集該節(jié)點的審計數(shù)據(jù)(包括CPU使用率、內(nèi)存使用率以及流量,各任務(wù)狀態(tài)、輸入輸出行為以及任務(wù)間的切換)并上報給主節(jié)點。
      [0080]步驟(5):主節(jié)點通過網(wǎng)絡(luò)接口收集網(wǎng)絡(luò)中的所有報文,將接收的報文通過用戶白名單進行過濾,阻止非法用戶的數(shù)據(jù)進一步訪問。
      [0081]步驟(6):主節(jié)點網(wǎng)絡(luò)活動檢測。利用過濾后的數(shù)據(jù)報文,結(jié)合網(wǎng)絡(luò)使用的工業(yè)通信協(xié)議規(guī)范進行基于網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)通信行為、網(wǎng)絡(luò)協(xié)議特征和網(wǎng)絡(luò)報文調(diào)度檢測,如果檢測出異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果。
      [0082]檢查網(wǎng)絡(luò)結(jié)構(gòu):使用心跳報文探測網(wǎng)絡(luò)結(jié)構(gòu),組成網(wǎng)絡(luò)結(jié)構(gòu)向量,并于應(yīng)用規(guī)范規(guī)定的正常網(wǎng)絡(luò)結(jié)構(gòu)向量進行比較,檢查是否相等。
      [0083]檢查網(wǎng)絡(luò)通信行為:監(jiān)測協(xié)議棧通信狀態(tài),并于與歷史狀態(tài)組合成一個狀態(tài)組合,然后結(jié)合網(wǎng)絡(luò)通信行為模型檢查該狀態(tài)組合是否正常(起始的N-1個狀態(tài)只存儲,不參與檢測)。
      [0084]檢查網(wǎng)絡(luò)協(xié)議特征:根據(jù)具體工業(yè)通信協(xié)議規(guī)范,提取網(wǎng)絡(luò)報文頭部中的特定字段,特定字段一般包括:源地址、目的地址、源節(jié)點號、目的節(jié)點號、協(xié)議類型、報文類型以及負載數(shù)據(jù)長度。將實時提取的報文字段與對應(yīng)工業(yè)通信協(xié)議規(guī)范規(guī)定的特征進行比較檢查是否正常。
      `[0085]檢查網(wǎng)絡(luò)報文調(diào)度:對網(wǎng)絡(luò)中的每個報文提取其報文類型值,結(jié)合前面的報文類型,檢測其是否符合網(wǎng)絡(luò)報文調(diào)度模型。
      [0086]步驟(7)主節(jié)點對經(jīng)過網(wǎng)絡(luò)活動檢測的報文進行分類,具體分為:從節(jié)點上報的檢測結(jié)果、從節(jié)點上報的節(jié)點審計數(shù)據(jù)、應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)。
      [0087]步驟(8):主節(jié)點主機活動檢測。通過主節(jié)點資源使用探測器和任務(wù)活動探測器實時收集主節(jié)點活動的審計數(shù)據(jù),并結(jié)合資源使用模型和任務(wù)活動模型,對主節(jié)點審計數(shù)據(jù)以及所有從節(jié)點審計數(shù)據(jù)進行檢測,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果。
      [0088]檢查節(jié)點資源使用:通過資源使用探測器,實時計算CPU使用率、存儲空間使用率以及節(jié)點的流量在一個宏周期內(nèi)的平均值,并與資源使用模型進行比較,設(shè)定比較閾值(一般取±5%~±15% ) ο差值在閾值內(nèi)為正常,否則為資源使用異常。
      [0089]檢查節(jié)點任務(wù)活動:任務(wù)活動探測器探測單個任務(wù)狀態(tài)和輸入輸出行為以及任務(wù)間的切換順序,結(jié)合節(jié)點任務(wù)活動模型,檢查任務(wù)活動探測器探測的實時數(shù)據(jù)是否正常。
      [0090]步驟(9):主節(jié)點進行對象功能白名單檢測。具體為:從應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)報文頭部中提取報文對應(yīng)的用戶,根據(jù)用戶確定角色,從負載數(shù)據(jù)中提取操作的對象以及操作的功能,從主機活動數(shù)據(jù)中提取系統(tǒng)運行階段,由此得到報文對應(yīng)的四元組〈系統(tǒng)運行階段,角色,操作對象,操作功能〉,依據(jù)對象功能白名單,檢查此四元組是否屬于對象功能白名單,若不屬于,則為非法數(shù)據(jù),阻止進一步訪問,并轉(zhuǎn)入步驟(4),否則為合法訪問,轉(zhuǎn)入步驟(10)。[0091]步驟(10):主節(jié)點進行基于控制應(yīng)用的檢測,檢測閉環(huán)控制流和物理控制對象是否異常,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果。
      [0092]檢測主節(jié)點對應(yīng)的閉環(huán)控制流的過程與(4.2) —樣。
      [0093]進行物理控制對象檢測是從應(yīng)用數(shù)據(jù)報文的負載數(shù)據(jù)中提取控制對象的實時FBS數(shù)據(jù),組成FBS檢測向量,采用聚類方法,利用(1.3)得到的正常類庫進行分析,檢查控制對象是否正常。
      [0094]步驟(11):協(xié)調(diào)處理檢測結(jié)果。收集四種檢測結(jié)果:各從節(jié)點、網(wǎng)絡(luò)活動檢測結(jié)果、主機活動檢測結(jié)果、控制應(yīng)用檢測結(jié)果。首先若網(wǎng)絡(luò)活動檢測為正常,則認為系統(tǒng)沒有受到入侵攻擊,轉(zhuǎn)為步驟(4);若網(wǎng)絡(luò)活動檢測到異常,則將主節(jié)點中的主機活動檢測結(jié)果、控制應(yīng)用檢測結(jié)果和各從節(jié)點中的檢測結(jié)果進行統(tǒng)一編碼、然后報警,再轉(zhuǎn)到步驟(4)。
      [0095]上述步驟(I)-步驟(3)通過離線手動配置實現(xiàn),步驟(4)在所有從節(jié)點上在線運行,步驟(5)-步驟(11)在主節(jié)點上在線運行。
      [0096]如圖4所示,本發(fā)明基于本體論的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測系統(tǒng),該系統(tǒng)用于實現(xiàn)上述入侵檢測方法,圖5更為具體的給出了主節(jié)點完成該過程的結(jié)構(gòu)圖。
      [0097]本發(fā)明基于本體論的網(wǎng)絡(luò)化控制系統(tǒng)入侵檢測系統(tǒng)包括主節(jié)點1,從節(jié)點2.1、
      2.2.....2.K以及連接主節(jié)點和所有從節(jié)點的一個工業(yè)通信網(wǎng)絡(luò),其中K為正整數(shù)(K由被
      檢測的控制系統(tǒng)從節(jié)點個數(shù)確定)表示檢測系統(tǒng)從節(jié)點個數(shù)。
      [0098]主節(jié)點I負責完成自身的主機活動審計數(shù)據(jù)的收集、所有網(wǎng)絡(luò)報文的收集、主節(jié)點對應(yīng)的控制閉環(huán)流的檢測、控制對象檢測、整個系統(tǒng)所有節(jié)點主機活動審計數(shù)據(jù)的檢測、整個系統(tǒng)中的網(wǎng)絡(luò)活動檢測以及檢測結(jié)果的協(xié)調(diào)。
      [0099]從節(jié)點2.1,2.2.....2.K負責完成該節(jié)點對應(yīng)控制閉環(huán)流的檢測并將檢測結(jié)果
      上傳給主節(jié)點,負責收集該節(jié)點自身的主機活動審計數(shù)據(jù)并上傳給主節(jié)點。
      [0100]工業(yè)通信網(wǎng)絡(luò)負責各節(jié)點之間的消息傳遞。
      [0101]主節(jié)點I包括網(wǎng)絡(luò)接口 1.1、主節(jié)點用戶白名單1.2、網(wǎng)絡(luò)檢測引擎1.3、報文分類器1.4、審計數(shù)據(jù)采集單元1.5、主機檢測引擎1.6、對象功能白名單1.7、控制應(yīng)用檢測引擎
      1.8、協(xié)調(diào)控制單元1.9。
      [0102]網(wǎng)絡(luò)接口 1.1負責收發(fā)報文,設(shè)置為混雜模式,即接收工業(yè)通信網(wǎng)絡(luò)中的所有報文,接收到的報文傳遞給主節(jié)點用戶白名單1.2。
      [0103]主節(jié)點用戶白名單1.2負責檢查所接收報文的源IP (或者源節(jié)點號),將不在用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給網(wǎng)絡(luò)檢測引擎1.3。
      [0104]網(wǎng)絡(luò)檢測引擎1.3負責依據(jù)工業(yè)網(wǎng)絡(luò)通信規(guī)范對所接收的報文進行網(wǎng)絡(luò)結(jié)構(gòu)檢測、網(wǎng)絡(luò)通信行為檢測、網(wǎng)絡(luò)協(xié)議特征檢測以及網(wǎng)絡(luò)報文調(diào)度檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元1.9,并將報文傳遞個報文分類器1.4。
      [0105]報文分類器1.4負責將所接收的報文按照其負載數(shù)據(jù)類型進行分類,具體的,將從節(jié)點上報的審計數(shù)據(jù)傳遞給主機檢測引擎1.5,將從節(jié)點的檢測結(jié)果傳遞給協(xié)調(diào)控制單元1.9,將應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)傳遞給對象功能白名單1.7。
      [0106]審計數(shù)據(jù)采集單元1.5負責收集主節(jié)點的審計數(shù)據(jù),并傳遞給主機檢測引擎1.6。
      [0107]主機檢測引擎1.6負責收集主節(jié)點審計數(shù)據(jù),并與所有從節(jié)點審計數(shù)據(jù)一同依據(jù)系統(tǒng)資源使用模型和控制任務(wù)模型進行檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元1.9,并將獲取系統(tǒng)運行階段,傳遞給對象功能白名單1.7。
      [0108]對象功能白名單1.7負責進行對接收的應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)進行〈系統(tǒng)運行階段、角色、對象、功能〉四元組的權(quán)限檢查,將不符合權(quán)限的報文丟棄,將其他正常報文傳遞給控制應(yīng)用檢測引擎1.8。
      [0109]控制應(yīng)用檢測引擎1.8負責依據(jù)閉環(huán)控制流模型和控制對象模型檢測控制對象FBS數(shù)據(jù)以及主節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元1.9。
      [0110]協(xié)調(diào)控制單元1.9負責綜合決策所有檢測結(jié)果,若有攻擊則生成檢測報告。
      [0111]從節(jié)點2.1,2.2、...、2.K中均包括網(wǎng)絡(luò)接口 3,從節(jié)點用戶白名單4,控制應(yīng)用檢測引擎5,審計數(shù)據(jù)采集單元6,上報單元7。
      [0112]網(wǎng)絡(luò)接口 3負責對應(yīng)從節(jié)點報文收發(fā),接收到的報文傳遞個用戶白名單模塊4。
      [0113]從節(jié)點用戶白名單4負責檢查所接收報文的源IP (或者源節(jié)點號),將不在用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給控制應(yīng)用檢測引擎5。
      [0114]控制應(yīng)用檢測引擎5首先從報文中提取應(yīng)用數(shù)據(jù)并記錄時間戳。然后依據(jù)閉環(huán)控制流模型對相應(yīng)從節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期進行檢測,檢測結(jié)果傳遞給上報單元7。
      [0115]審計數(shù)據(jù)采集單元6負責收集相應(yīng)從節(jié)點的審計數(shù)據(jù),并傳遞給上報單元7。
      [0116]上報單元7負責將該節(jié)點的控制應(yīng)用檢測結(jié)果以及該節(jié)點的審計數(shù)據(jù)通過網(wǎng)絡(luò)上報給主節(jié)點。
      [0117]在上述詳細的【具體實施方式】中,盡管以具有一定程度特性的優(yōu)選形式對本發(fā)明進行了描述,但是,在不背離其宗旨和范圍的前提下實施本發(fā)明的各種明顯不同實施例,應(yīng)理解為,在不偏離權(quán)利要求的范圍的情況下,發(fā)明不限于具體實施例。
      【權(quán)利要求】
      1.一種網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測方法,該網(wǎng)絡(luò)化控制系統(tǒng)包括一個主節(jié)點、K個從節(jié)點以及一個工業(yè)通信網(wǎng)絡(luò),K為正整數(shù),其特征在于,該方法包括初始配置過程以及在線檢測過程; 所述初始配置過程包括: 步驟(al)建立包括控制系統(tǒng)和控制對象的網(wǎng)絡(luò)化控制系統(tǒng)本體模型,其中,控制系統(tǒng)包括控制網(wǎng)絡(luò)和節(jié)點;控制網(wǎng)絡(luò)包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)行為、網(wǎng)絡(luò)調(diào)度和網(wǎng)絡(luò)協(xié)議四個方面,節(jié)點包括任務(wù)和資源兩個方面,任務(wù)包括任務(wù)行為及任務(wù)調(diào)度兩種屬性,資源包括存儲空間占用、CPU占用和節(jié)點流量三種屬性;控制對象包括物理被控系統(tǒng)中的功能、行為和結(jié)構(gòu)變量,即FBS變量,以及在整個NCS控制環(huán)路中的控制閉環(huán)流兩方面; 步驟(a2)依據(jù)具體的網(wǎng)絡(luò)化控制系統(tǒng)規(guī)范,設(shè)計對象功能白名單和各節(jié)點的用戶白名單; 步驟(a3)依據(jù)所述網(wǎng)絡(luò)化控制系統(tǒng)本體模型,部署所有節(jié)點中用于監(jiān)測主機活動的資源使用探測器和任務(wù)活動探測器,并將主節(jié)點網(wǎng)絡(luò)接口設(shè)置為混雜模式以接收所有的網(wǎng)絡(luò)報文;其中,各節(jié)點的資源使用探測器負責探測該節(jié)點的CPU使用率、存儲空間使用率以及節(jié)點的流量;各節(jié)點的任務(wù)活動探測器負責收集該節(jié)點所有任務(wù)的異常情況以及任務(wù)間的切換; 所述在線檢測過程為: 步驟(bl)各從節(jié)點通過網(wǎng)絡(luò)接口接收報文,進行用戶白名單過濾,然后進行基于控制應(yīng)用的檢測,將檢測結(jié)果上報給主節(jié)點;同時收集節(jié)點的審計數(shù)據(jù),并上報給主節(jié)點; 步驟(b2)主節(jié)點通過網(wǎng)絡(luò)接口收集網(wǎng)絡(luò)中的所有報文,將接收的報文通過用戶白名單進行過濾,阻止非法用戶的數(shù)據(jù)進一步訪問; 步驟(b3)主節(jié)點利用過濾后的數(shù)據(jù)報文,結(jié)合網(wǎng)絡(luò)使用的工業(yè)通信協(xié)議規(guī)范進行基于網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)通信行為、網(wǎng)絡(luò)協(xié)議特征和網(wǎng)絡(luò)報文調(diào)度檢測,如果檢測出異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果; 步驟(b4)主節(jié)點對經(jīng)過網(wǎng)絡(luò)活動檢測的報文進行分類,具體分為從節(jié)點上報的檢測結(jié)果、從節(jié)點上報的節(jié)點審計數(shù)據(jù)、應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù); 步驟(b5)主節(jié)點通過其資源使用探測器和任務(wù)活動探測器實時收集主節(jié)點活動的審計數(shù)據(jù),并結(jié)合資源使用模型和任務(wù)活動模型,對主節(jié)點審計數(shù)據(jù)以及所有從節(jié)點審計數(shù)據(jù)進行檢測,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果; 步驟(b6)主節(jié)點進行對象功能白名單檢測,如果是非法數(shù)據(jù),阻止進一步訪問,并轉(zhuǎn)入步驟(bl);否則為合法訪問,轉(zhuǎn)入步驟(b7); 步驟(b7)主節(jié)點進行基于控制應(yīng)用的檢測,檢測閉環(huán)控制流和物理控制對象是否異常,如果檢測出有異常,則通過編碼標識異常內(nèi)容,保存檢測結(jié)果; 步驟(b8)主節(jié)點收集四種檢測結(jié)果,包括各從節(jié)點、網(wǎng)絡(luò)活動檢測結(jié)果、主機活動檢測結(jié)果和控制應(yīng)用檢測結(jié)果,首先若網(wǎng)絡(luò)活動檢測為正常,則認為系統(tǒng)沒有受到入侵攻擊,轉(zhuǎn)為步驟(bl);若網(wǎng)絡(luò)活動檢測到異常,則將主節(jié)點中的主機活動檢測結(jié)果、控制應(yīng)用檢測結(jié)果和各從節(jié)點中的檢測結(jié)果進行統(tǒng)一編碼、然后報警,再轉(zhuǎn)到步驟(bl)。
      2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測方法,其特征在于,步驟(al)具體實現(xiàn)過程為:(1.1)工業(yè)通信網(wǎng)絡(luò)方面,建立網(wǎng)絡(luò)結(jié)構(gòu)模型、網(wǎng)絡(luò)通信行為模型、網(wǎng)絡(luò)報文調(diào)度模型以及網(wǎng)絡(luò)協(xié)議特征。 網(wǎng)絡(luò)結(jié)構(gòu)模型表征網(wǎng)絡(luò)化控制系統(tǒng)中各節(jié)點與網(wǎng)絡(luò)的連接關(guān)系,通過(K+1)維網(wǎng)絡(luò)結(jié)構(gòu)向量表示; 網(wǎng)絡(luò)通信行為模型用來描述通信過程中節(jié)點通信狀態(tài)的遷移,根據(jù)具體的工業(yè)通信協(xié)議規(guī)范,對通信協(xié)議棧的狀態(tài)采用N-Gram方法進行網(wǎng)絡(luò)通信行為建模; 網(wǎng)絡(luò)報文調(diào)度模型即網(wǎng)絡(luò)中通信報文所需遵循的順序,工業(yè)通信網(wǎng)絡(luò)中的報文按照通信宏周期T循環(huán)往復(fù); 網(wǎng)絡(luò)協(xié)議特征包括源地址、目的地址、源節(jié)點號、目的節(jié)點號、協(xié)議類型、報文類型以及負載數(shù)據(jù)長度; (1.2)節(jié)點方面,建立任務(wù)活動模型和資源使用模型; 節(jié)點包括主節(jié)點和所有從節(jié)點;資源使用模型通過系統(tǒng)應(yīng)用規(guī)范估算出各節(jié)點中CPU使用率、內(nèi)存使用率以及節(jié)點的流量; 任務(wù)活動模型包括單個任務(wù)的行為和任務(wù)間的調(diào)度,單個任務(wù)的行為包括任務(wù)狀態(tài)和任務(wù)輸入輸出行為,其中任務(wù)的輸入輸出通過輸入輸出數(shù)據(jù)值及對應(yīng)時刻表征; (1.3)控制對象方面,建立閉環(huán)控制流模型和控制對象模型; 閉環(huán)控制流模型依據(jù)控制應(yīng)用規(guī)范,確定控制閉環(huán)流中應(yīng)用數(shù)據(jù)的限值即上限、下限值以及時序即數(shù)據(jù)的截止期;控制對象模型通過將表征物理系統(tǒng)控制對象的變量劃分為功能F變量、行為B變量以及結(jié)構(gòu)S變量,這三種變量組合成FBS向量得到。
      3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)化`控制系統(tǒng)的入侵檢測方法,其特征在于,步驟(a2)中,首先,創(chuàng)建各節(jié)點所需的用戶白名單:對于主節(jié)點:將所有需要向網(wǎng)絡(luò)中發(fā)送報文的節(jié)點的節(jié)點號創(chuàng)建為一個用戶列表得到主節(jié)點用戶白名單;對于從節(jié)點:將需要向該從節(jié)點發(fā)送報文的所有節(jié)點的節(jié)點號創(chuàng)建為一個用戶列表得到該從節(jié)點的用戶白名單;然后,創(chuàng)建對象功能白名單:依據(jù)網(wǎng)絡(luò)化控制系統(tǒng)應(yīng)用需求規(guī)定在系統(tǒng)各運行階段、各種角色能夠?qū)Σ僮鲗ο笏M行操作功能。
      4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測方法,其特征在于,步驟(b3)中,所述基于網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)通信行為、網(wǎng)絡(luò)協(xié)議特征和網(wǎng)絡(luò)報文調(diào)度檢測具體為: 網(wǎng)絡(luò)結(jié)構(gòu)檢測:使用心跳報文探測網(wǎng)絡(luò)結(jié)構(gòu),組成網(wǎng)絡(luò)結(jié)構(gòu)向量,并于應(yīng)用規(guī)范規(guī)定的正常網(wǎng)絡(luò)結(jié)構(gòu)向量進行比較,檢查是否相等; 網(wǎng)絡(luò)通信行為檢測:監(jiān)測協(xié)議棧通信狀態(tài),并于與歷史狀態(tài)組合成一個狀態(tài)組合,然后結(jié)合網(wǎng)絡(luò)通信行為模型檢查該狀態(tài)組合是否正常,起始的N-1個狀態(tài)只存儲,不檢測; 網(wǎng)絡(luò)協(xié)議特征檢測:根據(jù)具體工業(yè)通信協(xié)議規(guī)范,提取網(wǎng)絡(luò)報文頭部中的特定字段,特定字段一般包括:源地址、目的地址、源節(jié)點號、目的節(jié)點號、協(xié)議類型、報文類型以及負載數(shù)據(jù)長度;將實時提取的報文字段與對應(yīng)工業(yè)通信協(xié)議規(guī)范規(guī)定的特征進行比較檢查是否正常; 網(wǎng)絡(luò)報文調(diào)度檢測:對網(wǎng)絡(luò)中的每個報文提取其報文類型值,結(jié)合前面的報文類型,檢測其是否符合網(wǎng)絡(luò)報文調(diào)度模型。
      5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測方法,其特征在于,步驟(bl)的具體過程為:(4.1)各從節(jié)點利用該節(jié)點的用戶白名單對從網(wǎng)絡(luò)接口接收到的報文進行過濾,阻止非法用戶的數(shù)據(jù); (4.2)從過濾后的網(wǎng)絡(luò)數(shù)據(jù)報文中提取該節(jié)點與控制閉環(huán)流模型對應(yīng)的控制應(yīng)用數(shù)據(jù)及其時間戳,并與閉環(huán)控制流模型進行比較,檢測出是否有異常,得到檢測結(jié)果,上報給主節(jié)點; (4.3)利用該節(jié)點的資源使用探測器和任務(wù)活動探測器收集該節(jié)點的審計數(shù)據(jù),包括(PU使用率、內(nèi)存使用率以及流量,各任務(wù)狀態(tài)、輸入輸出行為以及任務(wù)間的切換,并上報給主節(jié)點。
      6.一種網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測系統(tǒng),其特征在于,該系統(tǒng)包括一個主節(jié)點,K個從節(jié)點以及連接主節(jié)點和所有從節(jié)點的一個工業(yè)通信網(wǎng)絡(luò),其中K為正整數(shù); 主節(jié)點負責完成自身的主機活動審計數(shù)據(jù)的收集、所有網(wǎng)絡(luò)報文的收集、主節(jié)點對應(yīng)的控制閉環(huán)流的檢測、控制對象檢測、整個系統(tǒng)所有節(jié)點主機活動審計數(shù)據(jù)的檢測、整個系統(tǒng)中的網(wǎng)絡(luò)活動檢測以及檢測結(jié)果的協(xié)調(diào); 各從節(jié)點負責完成該節(jié)點對應(yīng)控制閉環(huán)流的檢測并將檢測結(jié)果上傳給主節(jié)點,負責收集該節(jié)點自身的主機活動審計數(shù)據(jù)并上傳給主節(jié)點; 工業(yè)通信網(wǎng)絡(luò)負責各節(jié)點之間的消息傳遞。
      7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測系統(tǒng),其特征在于,所述主節(jié)點包括網(wǎng)絡(luò)接口、主節(jié)點用戶白名單、網(wǎng)絡(luò)檢測引擎、報文分類器、審計數(shù)據(jù)采集單元、主機檢測引擎、對象功能白名單、控制應(yīng)用檢測引擎、協(xié)調(diào)控制單元; 網(wǎng)絡(luò)接口負責收發(fā)報文 ,設(shè)置為混雜模式,即接收工業(yè)通信網(wǎng)絡(luò)中的所有報文,接收到的報文傳遞給主節(jié)點用戶白名單模塊; 主節(jié)點用戶白名單負責檢查所接收報文的源IP或者源節(jié)點號,將不在主節(jié)點用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給網(wǎng)絡(luò)檢測引擎; 網(wǎng)絡(luò)檢測引擎負責依據(jù)工業(yè)網(wǎng)絡(luò)通信規(guī)范對所接收的報文進行網(wǎng)絡(luò)結(jié)構(gòu)檢測、網(wǎng)絡(luò)通信行為檢測、網(wǎng)絡(luò)協(xié)議特征檢測以及網(wǎng)絡(luò)報文調(diào)度檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元,并將報文傳遞個報文分類器; 報文分類器負責將所接收的報文按照其負載數(shù)據(jù)類型進行分類,具體的,將從節(jié)點上報的審計數(shù)據(jù)傳遞給主機檢測引擎,將從節(jié)點的檢測結(jié)果傳遞給協(xié)調(diào)控制單元,將應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)傳遞給對象功能白名單; 審計數(shù)據(jù)采集單元負責收集主節(jié)點的審計數(shù)據(jù),并傳遞給主機檢測引擎; 主機檢測引擎負責收集主節(jié)點審計數(shù)據(jù),并與所有從節(jié)點審計數(shù)據(jù)一同依據(jù)系統(tǒng)資源使用模型和控制任務(wù)模型進行檢測,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元,并將獲取系統(tǒng)運行階段,傳遞給對象功能白名單; 對象功能白名單負責進行對接收的應(yīng)用及網(wǎng)絡(luò)管理數(shù)據(jù)進行〈系統(tǒng)運行階段、角色、對象、功能 > 四元組的權(quán)限檢查,將不符合權(quán)限的報文丟棄,將其他正常報文傳遞給控制應(yīng)用檢測引擎; 控制應(yīng)用檢測引擎負責依據(jù)閉環(huán)控制流模型和控制對象模型檢測控制對象FBS數(shù)據(jù)以及主節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期,將檢測結(jié)果傳遞給協(xié)調(diào)控制單元;協(xié)調(diào)控制單元負責綜合決策所有檢測結(jié)果,若有攻擊則生成檢測報告。
      8.根據(jù)權(quán)利要求6或7所述的網(wǎng)絡(luò)化控制系統(tǒng)的入侵檢測系統(tǒng),其特征在于,所述各從節(jié)點中均包括網(wǎng)絡(luò)接口,用戶白名單,控制應(yīng)用檢測引擎,審計數(shù)據(jù)采集單元,上報單元;網(wǎng)絡(luò)接口負責對應(yīng)從節(jié)點報文收發(fā),接收到的報文傳遞個用戶白名單模塊; 從節(jié)點用戶白名單負責檢查所接收報文的源IP或者源節(jié)點號,將不在用戶白名單中的節(jié)點所發(fā)送的報文丟棄,將其他正常的報文傳遞給控制應(yīng)用檢測引擎; 控制應(yīng)用檢測引擎首先從報文中提取應(yīng)用數(shù)據(jù)并記錄時間戳,然后依據(jù)閉環(huán)控制流模型對相應(yīng)從節(jié)點對應(yīng)的控制閉環(huán)流數(shù)據(jù)上下限以及截止期進行檢測,檢測結(jié)果傳遞給上報單元; 審計數(shù)據(jù)采集單元負責收集相應(yīng)從節(jié)點的審計數(shù)據(jù),并傳遞給上報單元; 上報單元負責將該節(jié)點的控制應(yīng)用檢測結(jié)果以及該節(jié)點的審計數(shù)據(jù)通過網(wǎng)絡(luò)上報給主節(jié)點。`
      【文檔編號】H04L12/26GK103716203SQ201310712572
      【公開日】2014年4月9日 申請日期:2013年12月21日 優(yōu)先權(quán)日:2013年12月21日
      【發(fā)明者】周純杰, 黃雙, 張琦, 秦元慶 申請人:華中科技大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1