[发明专利]基于本体模型的网络化控制系统入侵检测方法及系统

说明书

技术领域

本发明涉及工业控制系统信息安全防御领域，更具体地，涉及一种针对工业控制系统网络化控制的入侵检测方法及系统。

背景技术

随着计算机技术、网络通信技术以及自动控制技术的迅速发展，网络化控制系统(Networked Control System，NCS)实现了宽广地域的管理、监视与控制，打破了传统自动化系统信息孤岛的僵局，是企业管控一体化的核心和关键，已被广泛应用于国家关键基础设施建设和工业控制领域。但是NCS网络开放的特性同时也使得其面临各种信息安全问题，例如2010年“超级工厂病毒”袭击了伊朗布什尔核电站，严重威胁到核反应堆的安全运营。

NCS系统具有以下特点：(1)一般运行在嵌入式环境中，资源受限；(2)其控制应用对实时性要求苛刻、需要长时间(5-10年)不间断连续工作(7天×24小时)；(3)属于信息物理融合的系统，包括信息部分和物理控制对象两部分；(4)对于安全防护，NCS系统更强调可用性(IT系统则强调保密性)；(5)NCS面向于工业应用，其整体实现需要考虑成本约束。此外，相较于IT系统，NCS系统所面临的入侵攻击也与IT系统不尽相同。

现有的入侵检测系统可以分为三类：(1)基于攻击特征的入侵检测(例如发明专利200910085069.8，201010265793.1)，利用丰富的入侵攻击相关知识进行入侵检测；(2)基于模型的入侵检测(例如发明专利201010525511.7)，绝大多数都是基于(流量/行为)统计模型，这是由于IT系统结构功能相对灵活多变、系统行为具有突发性随机性，因此不可能建立更细粒度的模型；(3)基于规范的入侵检测(例如发明专利200910001196.5)是针对IT系统中某类应用而设计的(例如基于IP网络的应用，基于Web-based的应用等)。但是，对于NCS系统而言，现有的基于攻击特征的检测所需要的丰富的攻击相关知识并不具备；基于规范的入侵检测大都是针对IT系统的应用而设计的，并不适合于NCS系统；并且NCS具有相对固定的结构和功能、相对有规律的系统行为，现有的基于(流量/行为)统计模型入侵检测不能很好的满足入侵检测需求。

期刊《微计算机信息》第21卷第7-3期的论文《分布式入侵检测技术在网络控制系统中的应用》提出了一种将分布式入侵检测技术运用到网络控制系统的具体方案。发明专利申请(201210008504.9)公开了“一种工业控制网络安全防护方法及系统”采用三主机结构和三层防护策略进行攻击检测及响应。发明专利申请(201010569843.5)公开了“一种用于保护过程控制系统中网络业务的统一威胁管理系统”采用基于规则的方法保护过程控制系统中的网络业务。上述文献及专利申请有的未能全面考虑NCS的运行约束(实时性、资源、可用性等)，有的对系统检测数据源考虑不够全面，还有的未能考虑NCS系统主从式单网段的运行结构特点。此外，而且NCS入侵检测应该包括信息部分的检测和物理控制对象部分的检测，应尽量减少对NCS系统原本功能的影响。本体论是指领域内抽象的一组概念及概念间的关系，利用本体论构建NCS系统模型能够全面的综合考虑工业控制领域的各方面特点。

综上所述，传统的入侵检测方法因其技术原理和适用协议的差异，使得在NCS系统中并不能取得很好的检测效果，目前国内外尚未有一套完整地适合NCS的入侵检测方法及系统，发明者提出的基于本体论的网络化控制系统入侵检测方法及系统具有一定的创新性及较大的社会经济价值。

发明内容

本发明的目的是为了解决现有网络入侵检测方法用于主从式单网段网络化控制系统时的上述问题，提供一种基于本体模型的网络化控制系统入侵检测方法及系统，目的在于能够在资源受限的环境中实时、高效、全面地进行网络化控制系统入侵检测。

本发明提供了一种基于本体模型的网络化控制系统入侵检测方法，该网络化控制系统包括一个主节点、K个从节点以及一个工业通信网络，K为正整数，其特征在于，该方法包括初始配置过程以及在线检测过程；

所述初始配置过程包括：

步骤(a1)建立包括控制系统和控制对象的网络化控制系统本体模型，其中，控制系统包括控制网络和节点；控制网络包括网络结构、网络行为、网络调度和网络协议四个方面，节点包括任务和资源两个方面，任务包括任务行为及任务调度两种属性，资源包括存储空间占用、CPU占用和节点流量三种属性；控制对象包括物理被控系统中的功能、行为和结构变量，即FBS变量，以及在整个NCS控制环路中的控制闭环流两方面；