[发明专利]一种工控网络态势评估方法

权利要求书

1.一种工控网络态势评估方法，其特征在于：所述工控网络态势评估方法涉及的工业控制网络设备包括安全网关、可编程逻辑控制器（PLC）、现场传感器设备和安全管理平台、工程师站；所述安全网关包括态势评估子系统和数据包深度解析系统，所述工控网络态势评估方法包括：

所述工程师站对工控系统进行组态、运行，各区域所在PLC对所述PLC的I/O模块所接的受控设备进行鉴别，匹配受控设备信息列表，形成主、从站的周期性通信方式；

所述PLC将数据信息实时反馈给安全网关，所述安全网关的数据包深度解析系统提取所述数据信息的数据特征，得到特征向量；

态势评估子系统依据所述特征向量，根据分类器进行评估和统计，进行态势评估，并对异常结果向安全管理平台发出警报；

所述PLC将数据信息实时反馈给安全网关，所述安全网关的数据包深度解析系统提取所述数据信息的数据特征，得到特征向量的步骤包括：

数据包深度解析系统针对Modbus TCP协议的报文格式规定数据包中存在的特征字段以及所述特征字段的期望值，逐层对报文进行深度解析，归纳协议的指令和状态特征；

建立一个的主站、从站通信的滑动时间窗口，由周期性时间窗口对重要特征进行频率标记，对数据包进行周期性采集与特征提取，建立特征向量；

根据在Modbus TCP协议的工控系统中，现场设备层主站、从站之间的通信存在周期性的特点以及主站对从站设备的周期性读写操作，得出控制器命令间隔、控制器增益、控制器周期时间增量、控制器增益增量、从站Address地址、数据包循环校验码、数据长度、功能码、命令或响应、数据包的传递方向，从而基于通信频率对每一类有规律的特征值构造出特征向量；

所述态势评估子系统依据所述特征向量，根据分类器进行评估和统计，进行态势评估，并对异常结果向安全管理平台发出警报具体包括：

态势评估子系统根据来自数据包深度解析系统的信息进行实时数据分析，对于ModbusTCP协议，构造控制器命令间隔、控制器增益、控制器周期时间增量、控制器增益增量、从站Address地址、数据包循环校验码、数据长度、功能码、命令或响应、数据包的传递方向的特征向量；对所述特征向量进行数据预处理和降维，使用主成分分析法对预处理后的特征向量进行线性降维，从多维特征提取反映数据属性的信息主元；对预处理和降维后的所述特征向量进行预提取和优化；建立基于二叉树的多类支持向量机的工控网络态势评估模型，对于典型工控攻击行为，通过层次化网络安全威胁态势量化评估方法，建立正常状态和各种攻击状态的态势值对应表，并设置各类攻击的态势值区间与警报临界值，如果实时评估的态势值超过警报临界值，态势评估子系统立刻向安全管理平台发送警报信。

2.根据权利要求1所述的一种工控网络态势评估方法，其特征在于：所述控制器命令间隔为PLC对受控设备所发出的相同指令的时间间隔，所述控制器增益、控制器周期时间增量、控制器增益增量是根据控制器的反馈获取，表示控制器的状态信息；从站Address地址、数据包循环校验码、数据长度、功能码、命令或响应是通过Modbus TCP协议特征和周期性的规律分析，得出数据包各个字段的特征频率；数据包的方向是指PLC与受控设备数据交互时，依据数据包的源地址、目的地址生成数据包的传递方向。

3.根据权利要求1所述的一种工控网络态势评估方法，其特征在于，所述态势评估子系统包括基于二叉树的多类支持向量机（SVM）模型，所述基于二叉树的多类SVM模型的搭建步骤包括：

搭建工控平台，构建典型工控攻击；

构建初始态势值及典型工控攻击的态势区间，同时，提取特征向量，对所述特征向量数据进行预处理，并预提取和优化所述特征向量；

构建基于二叉树的多类SVM模型；对多类SVM参数进行优化；所述多类SVM模型搭建完成。

4.根据权利要求3所述的一种工控网络态势评估方法，其特征在于，所述典型工控攻击包括：命令注入攻击（Command Injection）、响应注入攻击（Response Injection）、以及拒绝服务攻击（Denial of Service，DoS）。