[发明专利]基于本体模型的网络化控制系统入侵检测方法及系统

权利要求书

1.一种网络化控制系统的入侵检测方法，该网络化控制系统包括一个主节点、K个从节点以及一个工业通信网络，K为正整数，其特征在于，该方法包括初始配置过程以及在线检测过程；

所述初始配置过程包括：

步骤(a1)建立包括控制系统和控制对象的网络化控制系统本体模型，其中，控制系统包括控制网络和节点；控制网络包括网络结构、网络行为、网络调度和网络协议四个方面，节点包括任务和资源两个方面，任务包括任务行为及任务调度两种属性，资源包括存储空间占用、CPU占用和节点流量三种属性；控制对象包括物理被控系统中的功能、行为和结构变量，即FBS变量，以及在整个NCS控制环路中的控制闭环流两方面；

步骤(a2)依据具体的网络化控制系统规范，设计对象功能白名单和各节点的用户白名单；

步骤(a3)依据所述网络化控制系统本体模型，部署所有节点中用于监测主机活动的资源使用探测器和任务活动探测器，并将主节点网络接口设置为混杂模式以接收所有的网络报文；其中，各节点的资源使用探测器负责探测该节点的CPU使用率、存储空间使用率以及节点的流量；各节点的任务活动探测器负责收集该节点所有任务的异常情况以及任务间的切换；

所述在线检测过程为：

步骤(b1)各从节点通过网络接口接收报文，进行用户白名单过滤，然后进行基于控制应用的检测，将检测结果上报给主节点；同时收集节点的审计数据，并上报给主节点；

步骤(b2)主节点通过网络接口收集网络中的所有报文，将接收的报文通过用户白名单进行过滤，阻止非法用户的数据进一步访问；

步骤(b3)主节点利用过滤后的数据报文，结合网络使用的工业通信协议规范进行基于网络结构、网络通信行为、网络协议特征和网络报文调度检测，如果检测出异常，则通过编码标识异常内容，保存检测结果；

步骤(b4)主节点对经过网络活动检测的报文进行分类，具体分为从节点上报的检测结果、从节点上报的节点审计数据、应用及网络管理数据；

步骤(b5)主节点通过其资源使用探测器和任务活动探测器实时收集主节点活动的审计数据，并结合资源使用模型和任务活动模型，对主节点审计数据以及所有从节点审计数据进行检测，如果检测出有异常，则通过编码标识异常内容，保存检测结果；

步骤(b6)主节点进行对象功能白名单检测，如果是非法数据，阻止进一步访问，并转入步骤(b1)；否则为合法访问，转入步骤(b7)；

步骤(b7)主节点进行基于控制应用的检测，检测闭环控制流和物理控制对象是否异常，如果检测出有异常，则通过编码标识异常内容，保存检测结果；

步骤(b8)主节点收集四种检测结果，包括各从节点、网络活动检测结果、主机活动检测结果和控制应用检测结果，首先若网络活动检测为正常，则认为系统没有受到入侵攻击，转为步骤(b1)；若网络活动检测到异常，则将主节点中的主机活动检测结果、控制应用检测结果和各从节点中的检测结果进行统一编码、然后报警，再转到步骤(b1)。