[发明专利]针对基于profibus-DP协议的工业总线网络的攻击检测方法及系统

说明书

本发明属于网络安全技术领域，特别涉及一种针对基于profibus‑DP协议的工业总线网络的攻击检测方法及系统，该方法包括收集profibus‑DP协议数据包；对数据包进行预处理，过滤掉无关的数据包，并提取剩余数据包中关键字段构建消息序列；对消息序列采用关键字段识别得到初始化阶段的状态转移图；对消息序列采用关键字段识别得到数据交换阶段的状态转移图；根据初始化阶段的状态转移图和数据交换阶段的状态转移图构建有限协议状态机模型；利用有限协议状态机模型采用被动的方法实时检测针对基于profibus‑DP协议的工业总线网络的故障注入攻击和语义攻击；根据模型检测的结果，发出异常告警。本发明能够有效地检测针对基于profibus‑DP协议的工业总线网络的故障注入攻击和语义攻击。

技术领域

本发明属于网络安全技术领域，特别涉及一种针对基于profibus-DP协议的工业总线网络的攻击检测方法及系统。

背景技术

有限状态机是具有离散输入和输出的系统的一种数学模型，广泛应用于协议描述分析和攻击检测领域。由于有限状态机具有优秀的性能和扩展性，协议通常采用有限状态机进行形式化描述和分析。工业总线网络协议，遵循有限状态机模型，具有严格的状态转换约束。攻击者发动故障注入攻击和语义攻击，恰恰违反了profibus-DP协议的有限状态机。目前，采用的主流方法是基于统计分析，该方法需要统计工业网络流量的五元组，例如，源地址、目的地址、端口、长度和响应时间，从而检测针对基于profibus-DP的工业总线网络的攻击。

现有技术的缺陷：

1.目前方法通常只对于检测故障注入攻击比较有效，因为这类攻击的数据包不符合协议规范，而对于语义攻击来说，攻击者精心构造了符合协议规范但恶意的数据包，因此无法通过五元组的统计方法检测语义攻击。

2.现有的攻击检测方法，通常只针对基于TCP/IP的工业网络。然而，在工业总线网络中，检测攻击很困难，因为基于profibus-DP协议的工业总线网络结构复杂，攻击面大，缺乏有效的防护方案。

发明内容

针对现有技术中存在的问题，本发明提出一种针对基于profibus-DP协议的工业总线网络的攻击检测方法及系统，能够有效地检测针对基于profibus-DP协议的工业总线网络的故障注入攻击和语义攻击。

为了实现上述目的，本发明采用以下的技术方案：

本发明提供了一种针对基于profibus-DP协议的工业总线网络的攻击检测方法，包含以下步骤：

步骤1，收集profibus-DP协议数据包；

步骤2，对数据包进行预处理，过滤掉无关的数据包，并提取剩余数据包中关键字段构建消息序列；

步骤3，对步骤2中的消息序列采用关键字段识别得到初始化阶段的状态转移图；

步骤4，对步骤2中的消息序列采用关键字段识别得到数据交换阶段的状态转移图；

步骤5，根据步骤3中初始化阶段的状态转移图和步骤4中数据交换阶段的状态转移图构建有限协议状态机模型；

步骤6，利用步骤5的有限协议状态机模型采用被动的方法实时检测针对基于profibus-DP协议的工业总线网络的故障注入攻击和语义攻击；

步骤7，根据模型检测的结果，发出异常告警，并区分故障注入攻击和语义攻击；

步骤8，有限协议状态机模型检测一直循环执行，直到被用户中断。

进一步地，所述profibus-DP协议数据包包括从真实的工控环境中使用串口软件捕获到的数据包和从Github上收集到的数据包。

进一步地，所述步骤2中提取剩余数据包中关键字段包括目的地址、源地址、功能码和数据字段。

进一步地，所述步骤3具体包括：采用自动学习的方法，通过大量的历史数据包构建初始化阶段的状态转移图，图中包括状态事件、状态转移概率以及状态转移行为。