[发明专利]一种多设备协同发波检验的物理入侵设备定位方法及系统

说明书

本发明公开了一种多设备协同发波检验的物理入侵设备定位方法及系统，通过串行通信总线网络中的总线控制器发送轮询检测指令，从站设备轮流发送检测信号，网络末端监测设备对通信总线进行信号采样分析，利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同，使得不同检测源所产生的的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算以及弱信号提取后所得到的入侵信号的特征具有可分辨性，利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器从而对总线网络中的非法入侵设备进行有效定位。解决利用现有网络防御方法无法有效检测及定位工控系统串行通信总线网络中非法入侵设备的安全性技术问题。

技术领域

本发明属于工业控制系统外来非法入侵设备检测及定位技术领域，具体涉及一种多设备协同发波检验的物理入侵设备定位方法及系统。

背景技术

2017年，美国塔尔萨大学的Staggs博士及其团队公布了一种针对风电场的攻击“Windshark”，他们通过撬开风力发电设备的服务器机柜，在其中物理接入了通信设备，从而实现对风电场内部系统的控制和恶意操作，对风电场内的涡轮机和自动化控制器都造成了损坏。从这一案例中可以看出，当前大多数的工业控制系统都无法很好地防护物理式入侵攻击，攻击者甚至可以很轻易的在工控系统终端的串行通信总线网络内物理接入通信设备，利用接入设备篡改通信总线上的通信信号，亦或是伪造恶意指令、数据发送到串行通信总线上，造成串行通信总线网络中设备工作的异常，甚至扰乱系统的稳定运行，这对于工控系统来说是极大地威胁。

在传统的工控系统中，对于常见的网络入侵式攻击，已经有很多安全防御方法的研究，例如通过网络通信加密算法来保证信息安全，通过流量监测来防止恶意数据注入，通过入侵检测系统来识别恶意攻击行为等，然而上述方法在工控系统的非法设备入侵攻击面前却很难适用。一方面，工控系统的串行总线通信网络缺乏安全保障，在遭受非法设备入侵之后没有很有效的方法去检测系统中是否存在外部设备，在通信时又缺乏相应的身份认证机制；另一方面，在串行通信总线网络中，由于工业设备通信的实时性要求，以及设备本身的弱计算能力，串行通信总线协议中很难依靠设计完善的加密算法来保证信息可靠，且这些协议在设计之初都是对外界公开的，攻击者很容易利用这些协议截获信息或是伪造指令。以上两点都说明，工控系统串行通信总线网络存在物理入侵的安全隐患。同时，常见的现场总线设备定位方法通常利用脉冲波形在异常节点的反射特性从而对非法设备进行定位又很难对入侵系统的外接设备进行检测与定位，但产生窄带脉冲波形往往需要较高的硬件设备支撑，这样会增加原有通信设备的改造成本。如果通过外接信号发生器而产生脉冲，会破坏原有通信网络的连接结构。将会给工控系统的稳定运行造成极大的不良影响。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种多设备协同发波检验的物理入侵设备定位方法及系统，用于防止工控系统可能面临的非法设备入侵攻击威胁，并能有效解决在工控系统串行通信总线网络中利用传统的网络入侵防御方法不能有效检测及定位系统中存在的恶意外接设备的安全问题。

本发明采用以下技术方案：

一种多设备协同发波检验的物理入侵设备定位方法，在串行通信总线网络中，通过总线控制器发送轮询检测指令；从站设备轮流发送检测信号；网络末端监测设备对通信总线进行信号采样和协议分析；利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同，使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算，经弱信号提取后所得到的入侵信号的特征具有可分辨性；利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器，对总线网络中的非法入侵设备进行定位。

具体的，通过总线控制器发送轮询检测指令具体为：

串行通信总线网络中的主站设备监测串行通信总线的使用情况，若通信总线处于空闲状态，则执行非法入侵设备检测与定位过程，并向通信总线发送检测指令，同时根据日志信息判断系统是否遭受非法设备入侵，选择是否开始执行定位过程；若通信总线处于数据传输状态，则等待并持续保持监听状态。