[发明专利]基于SARIMA的工业控制系统通信流量在线监测方法

说明书

本发明公开了一种基于SARIMA的工业控制系统(ICS)通信流量在线监测方法。该方法通过对工业控制网流量序列进行小周期的SARIMA(p,d,q)x(P,D,Q)_s建模分析；并由小周期定义的的训练及预测步长、置信区间，生成基于不同置信度的流量阈值模型。由监控主机从工业交换机中实时采集通信流量数据，并分布式运行多个小周期的SARIMA模型，并生成实时的阈值区间，对当前实时采集的通信流量进行异常检测分析。本发明以浙江省某工控安全虚实结合的靶场测试台进行实验分析，并为测试数据给出了详细的算法描述；最终在浙江省某化工集团进行实地部署应用，验证其算法的可靠性和准确性。

技术领域

本发明涉及工业控制系统网络流量预测，尤其是涉及一种基于SARIMA的工业控制系统通信流量在线监测方法，属于工业信息安全检测领域。

背景技术

能源、炼化和交通等关键基础设施是国家稳定运行的神经中枢，是我国网络安全的重中之重。随着国家大型基础设备(智能变电站，智能化工流程工业系统，工业分布式控制系统)的自动化，互联化以及智能化建设的推进，其网络空间安全问题日益凸显。近年来，一系列针对国家关键基础设施的网络攻击造成了极大的国民经济损失和对社会不可逆的破坏。这些顶尖黑客通过更隐蔽，更高效，杀伤力更大的入侵方式频繁入侵枢纽变电站，流程化工业系统甚至核电站的通信网络。目前，针对国家关键基础设施网络系统的防御与加固已经上升到国家战略层面，而通信流量分析则是工业系统安全问题公认最有前景的解决方案。通信流量智能化分析是将传统互联网领域的安全解决方案与现代化的电力通信网络和工业控制系统特性有机结合的交叉学科解决方案。

根据相关报告和文献，所有针对工业系统的攻击都会在通信网络上有所体现。大多数的工控网络攻击都会导致相关的通信网络受损，不同的攻击类型导致网络受损的程度和位置会有所不同。以“Blackenergy”为主导的组合拳式的攻击以及一系列恶意代码注入会导致通信网络瘫痪，关键信道被阻塞，数据采集与监控(SCADA)系统被操纵，控制系统迟滞恢复与状态致盲等现象。由于ICS中的数据流量表现出不同的流量模式和类似于互联网流量的特征，因此可以通过生成数学模型加以分析，开发和理解ICS数据流量的特征。对于ICS通信流量这种复杂时间序列，一般采用回归算法进行建模及统计学分析。现有的ICS通信流量分析模型具有算法复杂程度高，对流量的解释性不强以及对ICS通信流量模式的回归分析的准确性与预测精度不高的缺陷。且流量的检测方式一般为离线检测，不能对实时采集的ICS通信流量进行实时分析与建模，同时也无法在线评估异常的程度，从而导致运维人员无法实现对ICS网络状况的态势感知。

发明内容

SARIMA模型是近年对通信网络流量进行监督学习的较为热门的算法，搭配分布式的在线检测算法，SARIMA模型可对实时采集的ICS数据流量进行快速，精准地建模，从而对ICS流量的动态变化进行分析与检测，最终实现对ICS网络状况的实时态势感知。

本发明的目的在于解决在没有先验知识的前提下，对实时采集的ICS通信流量的动态建模问题，针对现有ICS通信流量异常检测算法过于依赖先验知识及算法复杂度高无法实际部署的不足提出了完善的分析方法；生成的动态ICS通信流量阈值模型对国家重大工业基础设施的网络安全防护及异常检测具有指导意义。

本发明的目的可以通过以下技术方案来实现：

一种基于SARIMA的工业控制系统通信流量在线监测方法，其包括如下步骤：

1)在ICS通信网络之中部署工业交换机、监控主机以及测试主机，监控主机从工业交换机中实时采集通信流量数据；

2)根据选定的流量聚合尺度，建立小周期SARIMA(p,d,q)x(P,D,Q)s模型；

3)根据不同的置信度生成ICS动态流量阈值模型；

4)对实时采集的流量序列进行动态分析。

所述的步骤3)具体为：