[发明专利]基于通信模型的工业控制系统的入侵检测方法及系统

说明书

技术领域

本发明公开了一种基于通信模型的工业控制系统的入侵检测方法及系统，属于信息安全领域。

背景技术

工业控制系统广泛应用于电力、水利、污水处理、石油、天然气、化工、交通运输、制药以及大型制造行业，是工业自动化和关键基础设施的重要组成部分。现代工业控制系统通过在物理系统中深度嵌入计算智能、通信和自动控制能力，并借助新型传感器和执行器实现对工业生产流程的自动控制。其核心组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)、各种传感器和执行器，以及确保各组件通信的接口组件。

工业控制系统的首要任务是保障生产顺利进行，因此其设计和实现都是围绕如何满足生产工艺的控制要求以及如何确保系统可用性展开的，而较少考虑信息安全(Security)。这使得工业控制系统的通信协议、系统软硬件平台以及信息安全管理等方面都存在很多薄弱环节。例如，很多系统存在缺乏安全架构与设计，不及时安装平台补丁程序，使用设备默认配置，使用弱口令，使用不安全的工业控制通信协议，不使用杀毒软件等现象。在信息安全保障方面，当今的工业控制系统比传统IT系统更加脆弱。

随着信息化与工业化融合进程的推进，越来越多的工业控制系统与企业的其它网络甚至与Internet相连，传统意义上较为封闭并普遍被认为安全的工业控制系统，逐步暴露在网络攻击、蠕虫、木马、病毒等威胁之下。近年来针对工业控制系统的攻击行为频繁发生。例如，1982年的西伯利亚管线爆炸事件，入侵者在输油管线的SCADA系统中植入木马并进而控制了输油管线，造成相当于3千吨TNT的爆炸；1994年美国盐河项目事件，一名攻击者通过拨号调制解调器越权访问该项目的计算机网络并安装了后门，之后与控制河流的关键系统保持了至少5小时的会话，危及水流控制、电力监测和传输、经济以及客户信息等；2010年震网病毒攻击伊朗纳坦兹核设施事件，攻击者编写的蠕虫病毒利用Windows系统漏洞和西门子工业控制系统信息安全缺陷在PCS(过程控制系统)中大肆传播，该病毒通过不断改变变频器频率，使得驱动离心机的驱动器不断在高速和低速之间切换，造成离心机大量损毁。

一些企业已经使用某些安全防护手段保护其工业控制系统。例如，使用防火墙或安全隔离网闸等设备将企业信息网与企业工业控制网络隔离，建立纵深安全防护体系，使用加密技术保障传输数据的机密性，使用认证技术确保登录用户拥有合法身份，等等。一些公知的IT领域安全防护方法和策略稍加修改就可以用于保护工业控制系统，例如工业控制防火墙就是在IT防火墙上增加对工业控制流量的过滤和控制能力。而另一些则不能容易地应用到工业控制领域。例如，IT系统会及时安装补丁程序以修补安全漏洞，而实际运行的工业控制系统通常不会轻易安装补丁程序。一个原因是安装补丁程序需要事先周密计划并停产，另一个原因是补丁程序可能影响原有的控制精度。再如，IT系统基本都会安装杀毒软件，但工业控制系统一般不安装杀毒软件。杀毒软件的使用可能使控制设备或工控机的某些功能失效或性能降低，影响系统可用性。由此可见，工业控制系统的固有特性使得企业能够采取的安全防护措施受到诸多限制，不能完全阻断针对工业控制系统的入侵和攻击行为。

综上，一些公知的信息安全脆弱性在工业控制系统中根深蒂固，难以排除；针对工业控制系统的内、外部攻击不能被完全阻断。因此，需要在工业控制系统中部署入侵检测系统，及时发现入侵，及早报警，尽量避免入侵给工业生产带来危害。