《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測(cè)方法
基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測(cè)方法
2020年電子技術(shù)應(yīng)用第8期
陳 曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3
1.北京大學(xué) 軟件與微電子學(xué)院,北京102600;2.中國(guó)軟件評(píng)測(cè)中心,北京100044; 3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京100026; 4.國(guó)家能源集團(tuán)華電天仁電力控制技術(shù)有限公司,北京100039
摘要: S7協(xié)議在通信過(guò)程中存在著脆弱性,使得工業(yè)生產(chǎn)通信過(guò)程容易受到攻擊,造成極大的安全隱患。為了解決這個(gè)問(wèn)題,提出一種基于SIMI的S7協(xié)議異常流量檢測(cè)方法。首先分析了S7協(xié)議的特征以及脆弱性;然后,提出一種基于SIMI的S7協(xié)議實(shí)時(shí)異常流量檢測(cè)方法,該方法在流量狀態(tài)特征關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類(lèi)特性對(duì)S7協(xié)議異常流量實(shí)時(shí)狀態(tài)進(jìn)行有效識(shí)別和分類(lèi),構(gòu)建出S7協(xié)議異常流量狀態(tài)的知識(shí)圖譜;最后,通過(guò)模擬實(shí)驗(yàn)驗(yàn)證了方法的有效性。通過(guò)分析,算法的計(jì)算復(fù)雜度顯著降低。
中圖分類(lèi)號(hào): TN918.91
文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,姜亞光,李建彬,等. 基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測(cè)方法[J].電子技術(shù)應(yīng)用,2020,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,Li Jianbin,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,46(8):101-106.
A real time abnormal traffic detection method based on SIMI model for S7 protocol
Chen Xi1,2,Jiang Yaguang2,Li Jianbin3,Yan Jingchen3,Liu Shuyuan4,Li Kunchang3
1.School of Software & Microelectronics,Peking University,Beijing 102600,China; 2.Department of CSTC in Network Security Inspection and Evaluation of Industrial Control System,Beijing 100044,China; 3.School of Control and Computer Engineering,North China Electric Power University,Beijing 100026,China; 4.Beijing Huadian TianRen Electric Power Control Technology Company Limited,Beijing 100039,China
Abstract: The vulnerability of the S7 protocol in the communication process makes the industrial production communication process vulnerable to attacks, causing great security risks. To solve this problem, this paper proposes a method for detecting abnormal traffic of the S7 protocol based on SIMI. Firstly, the characteristics and vulnerability of the S7 protocol are analyzed. Then, a real-time abnormal traffic detection method of the S7 protocol based on SIMI is proposed. Based on the correlation analysis of traffic status characteristics, this method uses the classification characteristics of the SIMI algorithm to effectively identify and classify the real-time status of abnormal traffic in the S7 protocol, and build a knowledge map of the abnormal traffic status of the S7 protocol. Finally, the validity of the method is verified by simulation experiments. Through analysis, the computational complexity of the algorithm is significantly reduced.
Key words : S7 protocol;abnormal traffic detection;vulnerability;SIMI

0 引言

    隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,越來(lái)越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡(luò)兩者之間的交互實(shí)現(xiàn),這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系,互相通信,而不再像以往一樣是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)[1]。隨著時(shí)間的推移,從搜集遠(yuǎn)程設(shè)備信息的簡(jiǎn)單網(wǎng)絡(luò)到內(nèi)置冗余設(shè)備的復(fù)雜系統(tǒng)網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)通信協(xié)議(工控協(xié)議)的發(fā)展進(jìn)程從未停歇,而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時(shí)只是針對(duì)某個(gè)特定的應(yīng)用程序[2-3]。

    大多數(shù)工控協(xié)議都有一個(gè)共同點(diǎn),那就是這些協(xié)議在設(shè)計(jì)之初都沒(méi)有考慮到隨之而來(lái)的安全問(wèn)題,因此這些協(xié)議與生俱來(lái)就不安全。自從工控協(xié)議與IT網(wǎng)絡(luò)相融合以及主流工控協(xié)議開(kāi)始基于TCP/IP協(xié)議[4]構(gòu)建以來(lái),安全性就成為了工業(yè)控制系統(tǒng)的一個(gè)重要問(wèn)題[5]。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸,缺乏認(rèn)證和加密,存在被竊聽(tīng)、偽裝、篡改、抵賴(lài)和重放攻擊等風(fēng)險(xiǎn)[6]。如2010年伊朗“震網(wǎng)”病毒事件、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響,進(jìn)一步表明工控行業(yè)的相關(guān)安全問(wèn)題已經(jīng)上升到了國(guó)家安全的高度[7]。類(lèi)似的事件無(wú)一不是造成巨大的影響,攻擊者利用一系列的漏洞和手段,入侵了對(duì)方的控制系統(tǒng),而最終都是通過(guò)控制器直接操作了相應(yīng)的PLC,這些操作都承載在對(duì)應(yīng)的工控協(xié)議上[8]。

    作為專(zhuān)有工控協(xié)議,西門(mén)子S7協(xié)議在電力系統(tǒng)的應(yīng)用十分廣泛[9-10]。其應(yīng)用主要有化學(xué)領(lǐng)域中的水處理、氣力除灰、(特)高壓直流輸電系統(tǒng)中的應(yīng)用[11]。在這些環(huán)節(jié)中,采用PLC后熱電廠(chǎng)中每個(gè)環(huán)節(jié)都會(huì)得到很大的提高[12]。異常流量檢測(cè)技術(shù)在S7協(xié)議中應(yīng)用廣泛?;诹髁康漠惓z測(cè)技術(shù)是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征,在各個(gè)網(wǎng)絡(luò)連接鏈路采集數(shù)據(jù)進(jìn)而實(shí)現(xiàn)對(duì)入侵行為的檢測(cè)[13]。STAVROULAKIS P等人詳細(xì)討論了工控系統(tǒng)入侵檢測(cè)技術(shù)的流量分析方法[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡(luò)來(lái)訓(xùn)練網(wǎng)絡(luò)流量模型實(shí)現(xiàn)入侵檢測(cè)[15-16]。

    本文提出一種基于SIMI的S7協(xié)議異常流量檢測(cè)方法。首先,在模擬仿真環(huán)境中通過(guò)Wireshark獲取S7協(xié)議的流量包,分析并提取流量包中流量的特征以及驗(yàn)證協(xié)議脆弱性;然后,基于SIMI構(gòu)建S7協(xié)議異常流量狀態(tài)的知識(shí)圖譜。該方法在流量的狀態(tài)特征的關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類(lèi)特性對(duì)S7協(xié)議異常流量狀態(tài)進(jìn)行有效識(shí)別和分類(lèi),進(jìn)而構(gòu)建S7協(xié)議異常流量狀態(tài)的知識(shí)圖譜。最后,通過(guò)實(shí)驗(yàn)驗(yàn)證了本文提出方法的有效性。另外,實(shí)驗(yàn)表明算法的計(jì)算復(fù)雜度從O(n2)降到O(n)。該方法采用分片的相似度分析(Similarity,簡(jiǎn)稱(chēng)為SIMI)方法構(gòu)建異常模型,與前人的研究方法不同的是,以往的方法是在采集到的整個(gè)幀做分類(lèi)或者聚類(lèi),沒(méi)有考慮到實(shí)際流量傳輸過(guò)程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù),增加了整個(gè)模型的計(jì)算復(fù)雜度和時(shí)間成本,而本文提出的模型會(huì)在預(yù)處理階段對(duì)幀中包含的各個(gè)字段的含義進(jìn)行分析,去除了對(duì)計(jì)算無(wú)意義的冗余數(shù)據(jù),降低了計(jì)算維度并最終降低整個(gè)模型的計(jì)算復(fù)雜度。與神經(jīng)網(wǎng)絡(luò)方法相比,SIMI算法更適合實(shí)時(shí)性要求較高的工業(yè)控制系統(tǒng)。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000002961




作者信息:

陳  曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3

(1.北京大學(xué) 軟件與微電子學(xué)院,北京102600;2.中國(guó)軟件評(píng)測(cè)中心,北京100044;

3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京100026;

4.國(guó)家能源集團(tuán)華電天仁電力控制技術(shù)有限公司,北京100039)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。