[发明专利]一种面向SCADA系统的网络物理模型及其入侵检测方法

说明书

本发明属于网络安全技术领域，提出了一种面向SCADA系统的网络物理模型及其入侵检测方法。通过将网络入侵与SCADA系统的状态相关联，提出了一种风险评估方法来估评估攻击对系统的潜在破坏程度，从而为网络管理员提供有关网络攻击的更加丰富的信息。本发明通过在公共SCADA网络数据集上进行的大量的实验，验证了该方法在检测和分析针对SCADA系统的各种网络攻击方面优于现有方法。

技术领域

本发明属于网络安全技术领域，具体涉及一种面向SCADA系统的网络物理模型及其入侵检测方法。

背景技术

工业控制系统(ICSs)已广泛应用于工业过程，如电网，水利，天然气，石化等。监督控制和数据采集(SCADA)系统是ICS的核心组件，用于收集和处理由远程终端单元(RTU)和可编程逻辑单元(PLC)生成的数据，并允许工程师监视ICS和PC的状态。

现有的商用SCADA产品使用的标准、通信协议并不统一，且存在一些常见的漏洞。虽然大多数SCADA系统已经安全地隔离运行了很多年，但是一旦它们连接到外部网络，网络漏洞将给它们带来前所未有的安全风险。近来，越来越多的网络攻击表明它们对ICS造成了严重破坏。网络通信，尤其是基于ICS协议的网络通信，在网络攻击过程中起着重要的作用。但是，大多数现有的网络入侵检测方法仅专注于检测和表征针对SCADA系统的网络攻击，而无法完全描述其对系统的实际影响。

发明内容

本发明的目的是为SCADA系统提供一种新颖的网络物理模型，通过提取和关联ICS设备的通信模式和状态，来检测针对SCADA系统的网络入侵并评估其对工业过程的风险水平。

本发明的技术方案如下：

如图1所示，典型的SCADA系统由主终端单元(MTU)和远程终端设备(RTU)组成，其中MTU负责向RTU发送命令并监视其状态，而RTU用于向现场设备发送命令。通常，SCADA系统的网络结构和ICS设备之间的通信模式是稳定且恒定的，因此，任何违反已有正常通信模式的行为，都可以被视为是由错误操作或网络攻击引起的异常行为。本发明通过对ICS设备的通信模式和状态进行建模和关联，以检测和评估针对SCADA系统的网络攻击的风险级别。

本发明对有限状态机(FSM)进行了修改，得到一种面向SCADA系统的网络物理模型，将该模型表示为6元组：

G＝(D,X,C,S,T,E)

其中，D＝{d₁,d₂,…,d_m}表示一组设备集合(包括MTU和RTU)，构成SCADA系统的主要监视控制和数据采集层，m∈N^*代表系统中的设备数量。

X＝{x₁,x₂,…,x_r},r≤m表示SCADA系统的状态，该系统由D中的所有RTU的状态组成。x_i＝{υ_i,1,υ_i,2,…,υ_i,p}(i∈{1,2,…,r})表示设备d_i的状态，υ_i,j(j∈{1,2,…,p})表示d_i所使用的第j个存储块的值。p∈N^*是d_i所使用的存储块数，值得注意的是，任何υ_i,j的改变将导致x_i的改变。MTU被排除在X外，因为它们不直接参与物理过程，并且它们的更改可以反映在关联的RTU中。

C＝{c₁,c₂,…,c_y},y≤m表示一组有限的通信模式集合，其中c_i＝{ζ_i,1,ζ_i,2,…,ζ_i,q}表示设备d_i生成的一组通信模式，并且q表示c_i的大小。