[发明专利]一种非侵入式基于功耗分析的PLC异常检测方法

说明书

本发明公开了一种非侵入式基于功耗分析的PLC异常检测方法，该方法包括将一个电阻串联接入PLC的电源模块与CPU模块之间，通过数据采集设备采集电阻两端电压降，获取PLC运行时的功耗信息；将采集到的功耗进行样本切分，对每个样本提取合适的特征集合，形成特征值样本；根据PLC正常运行时的特征值样本训练一个基于长短记忆单元的神经网络模型，并将新采集到的待测功耗特征值样本与LSTM网络预测的特征值信息进行对比，以确定待测样本是否为异常样本，由此判断PLC是否遭到攻击。该方法无需修改PLC的软硬件配置，相对原工业控制系统是非侵入式的，且能够对PLC进行实时的监控，在不需要获取PLC遭到攻击时的异常样本情况下就能实现对攻击的检测。

技术领域

本发明涉及工业控制系统的安全领域，尤其涉及针对工业控制系统中PLC的攻击的检测与防御方法,具体公开了一种非侵入式基于功耗分析的PLC异常检测方法。

背景技术

工业控制系统是一个国家的重要基础设施，在满足人民物质需求，保障经济可持续发展以及维护社会稳定方面具有重要作用。工业控制系统如果遭到恶意攻击者的破坏，可能影响国民经济的正常发展，甚至造成社会动荡。因此研究与工业控制系统相关的安全监控技术，是一项与国计民生息息相关的工作，具有重大意义。

最初的工业控制系统是以孤岛方式运行的，使用专用设备与协议并且与外界物理环境相对隔绝，因此在很长一段时间内都是相对安全的。但是为了满足企业不断提高的经营管理要求，顺应信息化以及工业化深度融合的潮流，随着近年来信息技术以及物联网的飞速发展，信息技术大范围的应用于工业控制系统中。‘两化融合’带来了生产力的极大提升的同时，也给工业控制系统带来了巨大的安全问题，由于外界网络的接入，现在的工业控制系统不仅需要面临来自企业内部的安全威胁，还可能遭受来自互联网的攻击。

据ICS-CERT公布的数据显示，2010-2013四年的时间里，全球工业控制领域相关的安全事件高达623件，这些事件中59％都发生在石油化工、核电、电力等能源行业，作为典型的技术密集型行业，一旦其工业控制系统因遭受恶意攻击而出现安全问题，不仅会影响生产活动的顺利进行，还有可能引起设备爆炸，工作人员伤亡等重大安全事故。工业控制系统所面临的严峻安全形势，引起了各界的广泛关注。

传统的工业控制系统安全防护手段中，大多是将信息系统领域的安全防护手段移植到工业控制系统中来。由于硬件结构以及软件系统的限制，工业控制系统中很多专有设备无法应用传统的安全防护手段，由于资源的限制也无法经受频繁的漏洞扫描；另一方面，侵入式的安全防护方法如安装第三方软件，很可能会给工业控制系统带来新的潜在风险，而且工业控制系统运行过程中无法容忍哪怕短暂的停机或中断。因此，传统的安全防护方法无法很好地应用于实际中，一种非侵入式的安全防护方法则显得尤为必要。PLC作为工业控制系统中的关键设备，直接与现场传感器及执行器相连，控制工业现场的实施过程，一旦其运行指令遭到恶意篡改，就会造成巨大灾难，今年来针对PLC的攻击大幅度增加，而目前尚无针对PLC特性而设计的有效安全防护手段。因此，针对PLC本身的特性设计出一套安全防护系统，用于检测对PLC的攻击，能够很好地加强针对工业控制系统的安全防护。

发明内容

针对上述存在的问题，本发明在对工业控制系统本身的特点进行深入研究的基础上，提供了一种非侵入式基于功耗分析的PLC异常检测方法，该方法能够在不改变原系统的软硬件的基础上，对PLC运行的恶意指令进行实时监测。同时，该方法不需要对异常样本进行学习，基于PLC正常运行时的功耗信息，就能实现对已知和未知攻击进行检测。

由于PLC直接与控制现场进行通信，读取传感器中的现场信息并发送控制指令，因此针对工业控制系统的攻击往往会通过获取PLC的控制权限的方式，使其运行错误的控制指令，从而导致控制现场紊乱。该方法通过对PLC运行时的功耗进行分析，从而识别出PLC中运行的是正常程序的指令，还是遭到攻击被篡改后的恶意指令。