[发明专利]一种针对工业控制系统攻击的双级检测方法

说明书

本发明属于工业现场检测领域，公开了一种针对工业控制系统攻击的双级检测方法：分布式的传感器网络进行数据实时采集，分别传输给工控系统PLC与独立的嵌入式攻击检测系统，PLC将收到的数据上传到SCADA系统，SCADA系统在对数据归类统计后也传送到嵌入式攻击检测系统；在检测投运前，嵌入式攻击检测系统直接读取传感器量测数据，提炼传感器正常运行的数据关联关系与概率分布特征，完成健康数据模型存储；在检测投运后，第一级对比传感器直采数据与SCADA统计数据判断SCADA系统受攻击情况；第二级对比实时在线统计的传感器直采数据特征与健康数据模型判断传感器受攻击情况。本发明有效的提高了工业控制系统的安全性。

技术领域

本发明属于工业现场检测领域，更具体地说，涉及一种针对工业控制系统攻击的双级检测方法。

背景技术

工业控制系统(ICS)是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合。包括数据监控与采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能终端、人机交互接口(HMI)等系统。被广泛应用在工业控制领域，在国家基础设施中扮演着至关重要的角色，是关乎国计民生的重要资源。

随着计算机和网络技术的发展，信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件。从而拓展了工业控制的发展空间，带来新的发展机遇，同时也带来了工业控制系统的信息安全等问题。

从工业控制系统自身来看，工业控制系统固有漏洞和攻击面日益增加；从外部环境来看，工业控制系统漏洞发现、攻击技术和攻击人员能力正不断增强，工业控制系统面临日益升级的安全威胁，主流的纵深防御思想对于持续变化的安全威胁缺乏足够的监测与应对能力，迫切需要发展以工业控制系统为技术背景的安全防护的新方法。

发明内容

针对现有技术中存在的问题，本发明的目的在于提供一种针对工业控制系统攻击的双极检测方法，可以通过数据分析和控制的方法检测系统攻击，成本低，可靠性高。

本发明的技术方案如下：

一种针对工业控制系统攻击的双级检测方法，具体包括以下步骤：

S1，工控传感器网络实时采集工控系统底层传感器数据，数据分别传输给工控系统PLC与独立的嵌入式攻击检测系统，嵌入式攻击检测系统中的嵌入式处理器不允许上位机对其进行更新，下载口不允许在线接通；工控系统PLC将收到的传感器数据上传到SCADA系统，同时嵌入式攻击检测系统通过网络线缆接收SCADA系统统计后的下行数据；

S2，在系统没有攻击的情况下，嵌入式攻击检测系统通过读取传感器采集的数据，提炼工控系统各个传感器正常运行的独立数据分布特征，独立数据分布特征包括均值点附近的概率分布类型和估计误差协方差，以及依托于工控系统内部物理关系抽象而成的变量之间的函数关系，并把提炼的特征规律存储到独立运行的嵌入式处理器中，记为系统健康数据模型；

S3，工业控制系统的攻击检测方法包括两级；

第一级，利用传感器直采数据与SCADA系统统计数据对比来检测SCADA系统受攻击情况记为一级攻击警报；检测方式为：把同一时间戳SCADA系统下行的系统控制变量数据与嵌入式攻击检测系统直接读取的传感器数据相比较，如果差距超过了数据传输的最大量化误差范围，则认为SCADA系统已经遭到恶意程序入侵；

第二级，利用传感器直采数据统计规律与健康数据模型对比来判断传感器受攻击情况记为二级攻击警报；其中，传感器直采数据统计规律包括概率分布类型、协方差大小与变量之间函数关系；检测方式为：在不触发一级攻击警报的前提下，首先统计传感器各个变量的均值之间的函数关系是否在健康模型函数关系的误差允许范围之内，如果超出该范围则认为传感器驱动程序已经遭到恶意篡改；接下来，统计各个传感器数据的概率密度分布类型以及其协方差，与健康数据模型对比，如果超出置信区间则认为传感器驱动程序已经遭到恶意篡改。