文獻(xiàn)標(biāo)識碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,姜亞光,李建彬,等. 基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測方法[J].電子技術(shù)應(yīng)用,2020,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,Li Jianbin,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,46(8):101-106.
0 引言
隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡(luò)兩者之間的交互實(shí)現(xiàn),這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系,互相通信,而不再像以往一樣是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)[1]。隨著時(shí)間的推移,從搜集遠(yuǎn)程設(shè)備信息的簡單網(wǎng)絡(luò)到內(nèi)置冗余設(shè)備的復(fù)雜系統(tǒng)網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)通信協(xié)議(工控協(xié)議)的發(fā)展進(jìn)程從未停歇,而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時(shí)只是針對某個(gè)特定的應(yīng)用程序[2-3]。
大多數(shù)工控協(xié)議都有一個(gè)共同點(diǎn),那就是這些協(xié)議在設(shè)計(jì)之初都沒有考慮到隨之而來的安全問題,因此這些協(xié)議與生俱來就不安全。自從工控協(xié)議與IT網(wǎng)絡(luò)相融合以及主流工控協(xié)議開始基于TCP/IP協(xié)議[4]構(gòu)建以來,安全性就成為了工業(yè)控制系統(tǒng)的一個(gè)重要問題[5]。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸,缺乏認(rèn)證和加密,存在被竊聽、偽裝、篡改、抵賴和重放攻擊等風(fēng)險(xiǎn)[6]。如2010年伊朗“震網(wǎng)”病毒事件、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響,進(jìn)一步表明工控行業(yè)的相關(guān)安全問題已經(jīng)上升到了國家安全的高度[7]。類似的事件無一不是造成巨大的影響,攻擊者利用一系列的漏洞和手段,入侵了對方的控制系統(tǒng),而最終都是通過控制器直接操作了相應(yīng)的PLC,這些操作都承載在對應(yīng)的工控協(xié)議上[8]。
作為專有工控協(xié)議,西門子S7協(xié)議在電力系統(tǒng)的應(yīng)用十分廣泛[9-10]。其應(yīng)用主要有化學(xué)領(lǐng)域中的水處理、氣力除灰、(特)高壓直流輸電系統(tǒng)中的應(yīng)用[11]。在這些環(huán)節(jié)中,采用PLC后熱電廠中每個(gè)環(huán)節(jié)都會得到很大的提高[12]。異常流量檢測技術(shù)在S7協(xié)議中應(yīng)用廣泛?;诹髁康漠惓z測技術(shù)是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征,在各個(gè)網(wǎng)絡(luò)連接鏈路采集數(shù)據(jù)進(jìn)而實(shí)現(xiàn)對入侵行為的檢測[13]。STAVROULAKIS P等人詳細(xì)討論了工控系統(tǒng)入侵檢測技術(shù)的流量分析方法[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡(luò)來訓(xùn)練網(wǎng)絡(luò)流量模型實(shí)現(xiàn)入侵檢測[15-16]。
本文提出一種基于SIMI的S7協(xié)議異常流量檢測方法。首先,在模擬仿真環(huán)境中通過Wireshark獲取S7協(xié)議的流量包,分析并提取流量包中流量的特征以及驗(yàn)證協(xié)議脆弱性;然后,基于SIMI構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜。該方法在流量的狀態(tài)特征的關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類特性對S7協(xié)議異常流量狀態(tài)進(jìn)行有效識別和分類,進(jìn)而構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜。最后,通過實(shí)驗(yàn)驗(yàn)證了本文提出方法的有效性。另外,實(shí)驗(yàn)表明算法的計(jì)算復(fù)雜度從O(n2)降到O(n)。該方法采用分片的相似度分析(Similarity,簡稱為SIMI)方法構(gòu)建異常模型,與前人的研究方法不同的是,以往的方法是在采集到的整個(gè)幀做分類或者聚類,沒有考慮到實(shí)際流量傳輸過程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù),增加了整個(gè)模型的計(jì)算復(fù)雜度和時(shí)間成本,而本文提出的模型會在預(yù)處理階段對幀中包含的各個(gè)字段的含義進(jìn)行分析,去除了對計(jì)算無意義的冗余數(shù)據(jù),降低了計(jì)算維度并最終降低整個(gè)模型的計(jì)算復(fù)雜度。與神經(jīng)網(wǎng)絡(luò)方法相比,SIMI算法更適合實(shí)時(shí)性要求較高的工業(yè)控制系統(tǒng)。
本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000002961
作者信息:
陳 曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3
(1.北京大學(xué) 軟件與微電子學(xué)院,北京102600;2.中國軟件評測中心,北京100044;
3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京100026;
4.國家能源集團(tuán)華電天仁電力控制技術(shù)有限公司,北京100039)