[发明专利]一种工控系统隐蔽攻击实时检测方法及装置

说明书

本发明提供一种工控系统隐蔽攻击实时检测方法及装置，能够实现隐蔽攻击的实时检测。所述方法包括：获取工控系统在无攻击环境下的正常残差序列的先验正态分布；在攻击检测过程中，将工控系统同一时刻的观测输出与期望输出进行对比，得到待检测残差序列；向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值，得到新残差序列，计算所述新残差序列的偏态系数；判断所述偏态系数的绝对值是否大于预设的阈值，若大于，则工控系统遭遇隐蔽攻击，否则，工控系统没有遭遇隐蔽攻击。本发明适用于工控系统隐蔽攻击实时检测。

技术领域

本发明涉及物理网信息安全技术领域，特别是指一种工控系统隐蔽攻击实时检测方法及装置。

背景技术

工业控制系统(简称“工控系统”，Industrial Control Systems，ICS)目前已经广泛应用于金融、交通、水利、制造、能源、军工等重要领域，是国家关键信息基础设施中的重要组成部分，直接影响国计民生。

近年来，随着工控系统与互联网的不断融合，以及网络空间安全形势日益严峻，针对工控系统的攻击越来越多。2010年的“震网(Stuxnet)”病毒感染伊朗纳坦兹铀浓缩基地中的工业控制程序，控制生产浓缩铀的离心机异常加速，超越设计极限，致使离心机报废、核工厂被迫关闭；2015年“BlackEnergy3”攻击乌克兰电网，伪造继电开关控制指令，断开电路，同时破坏控制系统的网络和控制软件，发起电话DDoS攻击，阻止控制系统恢复和感知电网异常状态，导致22万人失去电力供应；2017年Staggs博士团队在黑客大会上公开通过物理手段连接美国境内无人值守的风力发电机，入侵并控制风电场控制系统。这一系列安全事件表明，工控领域正成为网络空间安全对抗的主战场，保障工控系统安全稳定运行已成为国家政治、军事、经济、社会稳定亟需解决的核心问题之一。

入侵检测(Intrusion Detection System,IDS)是工控系统安全防护的重要手段之一。由于现代工控系统主要采用“互联网-企业网-控制网-现场层”四层架构，因此传统的IT系统入侵检测技术，如网络协议分析、网络流量挖掘等方法可用于检测针对前三层的网络攻击。而现场层与传统IT系统有显著不同，该层与物理世界紧密关联，涉及工控系统、智能传感器、可编程逻辑控制器、主终端与远程终端单元等现场设备。虽然工控系统种类繁多，但绝大多数工控系统具有共性特征，即其动态行为可用关键过程变量表征，且过程变量值在短时间内不会发生大幅跃变，因此基于工业过程数据分析的入侵检测技术应运而生。此类技术主要用于检测针对现场设备的攻击行为，利用过程分析技术预测工控系统的期望行为，再将其与观测行为进行对比，根据两者差异是否超过特定阈值决定是否发出入侵告警。

然而，近年来有研究人员发现了一类针对工控系统的更为隐蔽的攻击行为，能够躲避现有工控入侵检测技术，并给系统造成致命的破坏。隐蔽攻击充分利用绝大多数工控系统动态行为不会在短时间内发生大幅跃变这一共性特征，使工控系统的观测行为与其期望行为非常接近但不完全一致，从而诱导入侵检测系统将此类精心设计的微小偏差当作正常测量误差或噪声，故不对其作任何处理，因此攻击者可隐藏其攻击行为。然而，经过较长时间的累积，攻击者仍可向目标工控系统中注入足够多的错误信息，导致系统崩溃。近几年，针对工控系统的隐蔽攻击逐渐受到重视，国内外研究团队针对隐蔽攻击做了前期的探索，取得了初步的成果，如尽可能降低隐蔽攻击对工控系统的不良影响程度，但目前仍无有效的技术成功检测出隐蔽攻击。

发明内容

本发明要解决的技术问题是提供一种工控系统隐蔽攻击实时检测方法及装置，以解决现有技术所存在的无法检测出工控系统隐蔽攻击的问题。

为解决上述技术问题，本发明实施例提供一种工控系统隐蔽攻击实时检测方法，包括：

获取工控系统在无攻击环境下的正常残差序列的先验正态分布；

在攻击检测过程中，将工控系统同一时刻的观测输出与期望输出进行对比，得到待检测残差序列；