[发明专利]一种工业控制系统的入侵检测方法

说明书

本发明公开了一种工业控制系统的入侵检测方法，其特征在于，扫描和检测工业控制系统上的设备，向工业控制系统上的设备或某一个核心设备发起攻击，截获攻击数据包，监控攻击数据包的攻击效果，分析攻击数据包的行为数据，按照分析结果创建攻击模板，生成入侵攻击检测规则和建立基于规则的工业控制系统的入侵检测系统。通过本申请，不仅能够检测到ICS上的已知网络攻击，而且还能够检测到ICS上新的网络攻击或未知网络攻击。

技术领域

本发明涉及计算机、网络安全、网络管理和自动控制的技术领域，尤其涉及到一种工业控制系统的入侵检测方法。

背景技术

工业控制系统ICS（industrial control systems）用于国家关键基础设施的管理和维护，国家关键基础设施通常分布在不同的地理位置，如天然气管道、水资源、运输和输电系统。工业控制系统一般由可编程逻辑控制器（PLC Programmable LogicControllers）、人机界面（HMI Human Machine Interface）、主终端单元（MTU MasterTerminal Unit）和远程终端单元（RTU Remote Terminal Unit）等几个子组件组成。在老一代工业控制系统中，采用了专用内部网络通信组件和专用网络协议。因此，与外部网络隔离的老一代工业控制系统被认为是安全的，不受网络攻击，因而网络安全被大大忽视。然而，为了控制和监控地理上分散的ICS结构，下一代ICS需要与Internet或与Intranet连接。此外，原厂委托制造OEM（Original Equipment Manufacturer）的使用以及Modbus/TCP等混合集成协议的开发使得ICS更容易受到各种网络攻击。随着这些使用和开发进程的不断发展，出现了一些以前无法检测到的新漏洞。

工业控制系统负责控制、管理和监控国家关键基础设施。鉴于此，必须检测工业控制系统中会成为攻击者潜在目标的安全漏洞。攻击者控制ICS会导致国家关键基础设施瘫痪。这不仅会造成经济损失，而且会导致公民在生活中无法得到重要的服务。2003年8月14日，100多家发电厂在美国停止运行。这场灾难的原因是通讯系统出现故障，大约5000万美国和加拿大居民和10个主要机场受到这场灾难的影响，纽约地铁也无法正常运行。另一个受到网络攻击是澳大利亚昆士兰州的垃圾管理设施，导致大量垃圾被排放到公共场所。有报道称，发生的Stuxnet蠕虫攻击，被认为是针对伊朗核计划的最复杂的计算机蠕虫之一，并影响了10万多个计算机系统。

上述攻击事件强调了这样一个事实，即ICS极易受到攻击。因此，工业控制系统已成为网络恐怖主义和网络战争的主要目标之一。因此，深入分析以揭示工业控制系统中使用的组件（PLC、HMI、RTU、MTU等）和网络协议（Modbus、Profinet、DNP3等）的现有漏洞至关重要。因此，迫切需要一种ICS入侵检测系统以实现对这些漏洞的预防措施，基于这样的ICS入侵检测系统，才能够防止攻击者再次利用这些漏洞。

已有的ICS安全技术主要集中在基于仿真系统的分析上，这不是真正的系统实现；基于仿真系统的研究最薄弱的一点是难以准确地预测真实系统，分析结果可能在真实系统中给出不一样的结果；另一方面，已有ICS安全技术还集中在保密性方面，针对保密性提出的解决方案通常基于加密技术。然而，考虑到当今的ICS网络覆盖了数百套装置和数百万台设备，在实践中实现这些解决方案的难度是可想而知。

发明内容

对于上述工业控制系统的网络安全的缺陷和不足，本申请提出了一种工业控制系统的入侵检测方法，其特征在于，对工业控制系统发起攻击，分析攻击行为，通过分析结果而生成自动检测入侵攻击的规则和建立基于规则的工业控制系统的入侵检测系统，所述方法，还包括如下步骤：

1、扫描和检测工业控制系统上的设备；

2、向工业控制系统上的设备或某一个核心设备发起攻击；

3、截获攻击数据包；

4、监控攻击数据包的攻击效果；