[发明专利]针对基于profibus-DP协议的工业总线网络的攻击检测方法及系统

权利要求书

1.一种针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，包含以下步骤：

步骤1，收集profibus-DP协议数据包；

步骤2，对数据包进行预处理，过滤掉无关的数据包，并提取剩余数据包中关键字段构建消息序列；

步骤3，对步骤2中的消息序列采用关键字段识别得到初始化阶段的状态转移图；

步骤4，对步骤2中的消息序列采用关键字段识别得到数据交换阶段的状态转移图；

步骤5，根据步骤3中初始化阶段的状态转移图和步骤4中数据交换阶段的状态转移图构建有限协议状态机模型；

步骤6，利用步骤5的有限协议状态机模型采用被动的方法实时检测针对基于profibus-DP协议的工业总线网络的故障注入攻击和语义攻击；

步骤7，根据模型检测的结果，发出异常告警，并区分故障注入攻击和语义攻击；

步骤8，有限协议状态机模型检测一直循环执行，直到被用户中断。

2.根据权利要求1所述的针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，所述profibus-DP协议数据包包括从真实的工控环境中使用串口软件捕获到的数据包和从Github上收集到的数据包。

3.根据权利要求1所述的针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，所述步骤2中提取剩余数据包中关键字段包括目的地址、源地址、功能码和数据字段。

4.根据权利要求1所述的针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，所述步骤3具体包括：采用自动学习的方法，通过大量的历史数据包构建初始化阶段的状态转移图，图中包括状态事件、状态转移概率以及状态转移行为。

5.根据权利要求1所述的针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，所述步骤4具体包括：采用自动学习的方法，通过大量的历史数据包构建数据交换阶段的状态转移图，图中包括数据字段的值变化情况。

6.根据权利要求1所述的针对基于profibus-DP协议的工业总线网络的攻击检测方法，其特征在于，所述有限协议状态机模型在第一阶段检测故障注入攻击，在第二阶段检测语义攻击。

7.一种针对基于profibus-DP协议的工业总线网络的攻击检测系统，其特征在于，包括：

数据包收集模块，用于收集profibus-DP协议数据包；

预处理模块，用于对数据包进行预处理，过滤掉无关的数据包，并提取剩余数据包中关键字段构建消息序列；

初始化阶段状态转移图构建模块，用于对消息序列采用关键字段识别得到初始化阶段的状态转移图；

数据交换阶段状态转移图构建模块，用于对消息序列采用关键字段识别得到数据交换阶段的状态转移图；

有限协议状态机模型构建模块，用于根据初始化阶段的状态转移图和数据交换阶段的状态转移图构建有限协议状态机模型；

模型检测模块，用于利用有限协议状态机模型采用被动的方法实时检测针对基于profibus-DP协议的工业总线网络的故障注入攻击和语义攻击；

异常告警模块，用于根据模型检测的结果，发出异常告警，并区分故障注入攻击和语义攻击；

循环模块，用于有限协议状态机模型检测一直循环执行，直到被用户中断。