[发明专利]一种基于脉冲反射波检测的物理入侵设备定位方法及系统

说明书

本发明公开了一种基于脉冲反射波检测的物理入侵设备定位方法及系统，在串行通信总线网络中重复性发送短时脉冲信号同时接收总线网络中的信号，然后利用弱信号降噪技术从接收信号中提取反射信号的时域特征，并根据特征匹配检测是否存在入侵信号来判断通信总线网络中是否存在物理入侵设备，最后利用入侵反射信号的时域特征与传输速度，估计各个物理入侵设备到检测源的距离长度，实现不同分布的物理入侵设备的定位。该方法能快速准确地判断出系统中是否存在物理入侵设备，同时能够精确地识别每一个物理入侵设备的空间位置，解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题。

技术领域

本发明属于工业控制系统攻击检测技术领域，具体涉及一种基于脉冲反射波检测的物理入侵设备定位方法及系统。

背景技术

近几年，以信息物理系统为基础，以设备互联、智能生产、远程协调自治为目标的工业物联网，成为了工业控制系统发展与革新的主要趋势。信息网络与实体物理系统的融合，加强了信息网络数据在工业控制系统中的重要作用，利用信息网络数据可以更为全面地感知设备工作与产业链生产的过程状态，与此同时，基于信息网络数据分析也可以更为高效地构建系统级的安全防御体系。

工业控制系统大多采用自顶而下的信息网络架构和安全管理体系，面对来自外部网络的攻击威胁，业内人员以及学者都致力于研究如何保护上层网络的信息安全，并通过控制中心决策来检测网络中可疑的通信流量，却忽略了底层网络安全的重要性。近几年全世界各国频发的工控系统安全事件都表明，工业控制系统的安全架构中，最薄弱的区域实则是底层基础设施以及它们的通信网络，对于无人值守的设备间，在缺乏安全监控和物理防护的情况下，更容易受到攻击者物理性入侵行为的攻击威胁，而上层网络的安全防御架构难以顾及底层信息网络的安全。

为了保证工业控制系统运行的高效稳定，底层设备间的通信网络仍然采用传统的串行通信总线网络，而串行通信总线网络是缺乏安全保障的。通常来说，串行通信总线的通信协议简单、开放，同时没有复杂的身份认证机制来防止信息的恶意窃取和恶意指令的注入，如果攻击者在串行通信总线网络内接入通信设备，不仅可以利用接入设备窃听通信信息，甚至可以伪造恶意指令或数据发送给其他设备，造成串行通信总线网络中底层设备工作的异常，扰乱系统的稳定运行，这对于工控系统来说是极大地威胁。

目前在电力网络中常使用时域反射仪来探测传输线缆中可能存在的故障点，其原理是基于传输线阻抗不匹配所产生的反射波的分析，该技术原理针对物理入侵设备的接入同样适用。然而，由于串行通信总线网络中的底层设备较多，而物理入侵设备的接入相比于线路故障来说，对信号反射的影响又相当微弱，因此目前已有的反射探测技术都无法有效应用在串行通信总线网络中来做物理入侵设备的检测和定位工作。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于脉冲反射波检测的物理入侵设备定位方法及系统，用于在串行通信总线网络中防止由物理入侵设备接入所带来的攻击威胁，并能做到快速高效地定位物理入侵设备的位置分布，解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题。

本发明采用以下技术方案：

一种基于脉冲反射波检测的物理入侵设备定位方法，在串行通信总线网络中重复性发送短时脉冲信号，发送同时接收总线网络中的信号；利用弱信号降噪技术从接收的信号中提取反射信号的时域特征；根据时域特征的匹配检测是否存在异常反射信号，判断通信总线网络中是否存在物理入侵设备；最后利用入侵反射信号的时序脉宽与传输速度，估计各个物理入侵设备到检测源的距离长度，实现不同分布的物理入侵设备的定位。

具体的，重复性发送短时脉冲信号并同时接收总线网络中的信号，具体为：

利用脉冲检测设备实现物理入侵设备的定位，若通信总线处于空闲状态，则执行物理入侵设备定位，在通信总线源端接入脉冲检测设备，并向通信总线上周期性地发送脉冲信号；若通信总线处于数据传输状态，则等待通信总线的工作结束。