《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > 基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測方法
基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測方法
2020年電子技術(shù)應(yīng)用第8期
陳 曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3
1.北京大學(xué) 軟件與微電子學(xué)院,北京102600;2.中國軟件評測中心,北京100044; 3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京100026; 4.國家能源集團(tuán)華電天仁電力控制技術(shù)有限公司,北京100039
摘要: S7協(xié)議在通信過程中存在著脆弱性,使得工業(yè)生產(chǎn)通信過程容易受到攻擊,造成極大的安全隱患。為了解決這個(gè)問題,提出一種基于SIMI的S7協(xié)議異常流量檢測方法。首先分析了S7協(xié)議的特征以及脆弱性;然后,提出一種基于SIMI的S7協(xié)議實(shí)時(shí)異常流量檢測方法,該方法在流量狀態(tài)特征關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類特性對S7協(xié)議異常流量實(shí)時(shí)狀態(tài)進(jìn)行有效識別和分類,構(gòu)建出S7協(xié)議異常流量狀態(tài)的知識圖譜;最后,通過模擬實(shí)驗(yàn)驗(yàn)證了方法的有效性。通過分析,算法的計(jì)算復(fù)雜度顯著降低。
中圖分類號: TN918.91
文獻(xiàn)標(biāo)識碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,姜亞光,李建彬,等. 基于SIMI模型的S7協(xié)議的實(shí)時(shí)異常流量檢測方法[J].電子技術(shù)應(yīng)用,2020,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,Li Jianbin,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,46(8):101-106.
A real time abnormal traffic detection method based on SIMI model for S7 protocol
Chen Xi1,2,Jiang Yaguang2,Li Jianbin3,Yan Jingchen3,Liu Shuyuan4,Li Kunchang3
1.School of Software & Microelectronics,Peking University,Beijing 102600,China; 2.Department of CSTC in Network Security Inspection and Evaluation of Industrial Control System,Beijing 100044,China; 3.School of Control and Computer Engineering,North China Electric Power University,Beijing 100026,China; 4.Beijing Huadian TianRen Electric Power Control Technology Company Limited,Beijing 100039,China
Abstract: The vulnerability of the S7 protocol in the communication process makes the industrial production communication process vulnerable to attacks, causing great security risks. To solve this problem, this paper proposes a method for detecting abnormal traffic of the S7 protocol based on SIMI. Firstly, the characteristics and vulnerability of the S7 protocol are analyzed. Then, a real-time abnormal traffic detection method of the S7 protocol based on SIMI is proposed. Based on the correlation analysis of traffic status characteristics, this method uses the classification characteristics of the SIMI algorithm to effectively identify and classify the real-time status of abnormal traffic in the S7 protocol, and build a knowledge map of the abnormal traffic status of the S7 protocol. Finally, the validity of the method is verified by simulation experiments. Through analysis, the computational complexity of the algorithm is significantly reduced.
Key words : S7 protocol;abnormal traffic detection;vulnerability;SIMI

0 引言

    隨著工業(yè)化與信息化進(jìn)程的不斷交叉融合,越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡(luò)兩者之間的交互實(shí)現(xiàn),這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系,互相通信,而不再像以往一樣是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)[1]。隨著時(shí)間的推移,從搜集遠(yuǎn)程設(shè)備信息的簡單網(wǎng)絡(luò)到內(nèi)置冗余設(shè)備的復(fù)雜系統(tǒng)網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)通信協(xié)議(工控協(xié)議)的發(fā)展進(jìn)程從未停歇,而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時(shí)只是針對某個(gè)特定的應(yīng)用程序[2-3]。

    大多數(shù)工控協(xié)議都有一個(gè)共同點(diǎn),那就是這些協(xié)議在設(shè)計(jì)之初都沒有考慮到隨之而來的安全問題,因此這些協(xié)議與生俱來就不安全。自從工控協(xié)議與IT網(wǎng)絡(luò)相融合以及主流工控協(xié)議開始基于TCP/IP協(xié)議[4]構(gòu)建以來,安全性就成為了工業(yè)控制系統(tǒng)的一個(gè)重要問題[5]。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸,缺乏認(rèn)證和加密,存在被竊聽、偽裝、篡改、抵賴和重放攻擊等風(fēng)險(xiǎn)[6]。如2010年伊朗“震網(wǎng)”病毒事件、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響,進(jìn)一步表明工控行業(yè)的相關(guān)安全問題已經(jīng)上升到了國家安全的高度[7]。類似的事件無一不是造成巨大的影響,攻擊者利用一系列的漏洞和手段,入侵了對方的控制系統(tǒng),而最終都是通過控制器直接操作了相應(yīng)的PLC,這些操作都承載在對應(yīng)的工控協(xié)議上[8]

    作為專有工控協(xié)議,西門子S7協(xié)議在電力系統(tǒng)的應(yīng)用十分廣泛[9-10]。其應(yīng)用主要有化學(xué)領(lǐng)域中的水處理、氣力除灰、(特)高壓直流輸電系統(tǒng)中的應(yīng)用[11]。在這些環(huán)節(jié)中,采用PLC后熱電廠中每個(gè)環(huán)節(jié)都會得到很大的提高[12]異常流量檢測技術(shù)在S7協(xié)議中應(yīng)用廣泛?;诹髁康漠惓z測技術(shù)是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征,在各個(gè)網(wǎng)絡(luò)連接鏈路采集數(shù)據(jù)進(jìn)而實(shí)現(xiàn)對入侵行為的檢測[13]。STAVROULAKIS P等人詳細(xì)討論了工控系統(tǒng)入侵檢測技術(shù)的流量分析方法[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡(luò)來訓(xùn)練網(wǎng)絡(luò)流量模型實(shí)現(xiàn)入侵檢測[15-16]。

    本文提出一種基于SIMI的S7協(xié)議異常流量檢測方法。首先,在模擬仿真環(huán)境中通過Wireshark獲取S7協(xié)議的流量包,分析并提取流量包中流量的特征以及驗(yàn)證協(xié)議脆弱性;然后,基于SIMI構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜。該方法在流量的狀態(tài)特征的關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類特性對S7協(xié)議異常流量狀態(tài)進(jìn)行有效識別和分類,進(jìn)而構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜。最后,通過實(shí)驗(yàn)驗(yàn)證了本文提出方法的有效性。另外,實(shí)驗(yàn)表明算法的計(jì)算復(fù)雜度從O(n2)降到O(n)。該方法采用分片的相似度分析(Similarity,簡稱為SIMI)方法構(gòu)建異常模型,與前人的研究方法不同的是,以往的方法是在采集到的整個(gè)幀做分類或者聚類,沒有考慮到實(shí)際流量傳輸過程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù),增加了整個(gè)模型的計(jì)算復(fù)雜度和時(shí)間成本,而本文提出的模型會在預(yù)處理階段對幀中包含的各個(gè)字段的含義進(jìn)行分析,去除了對計(jì)算無意義的冗余數(shù)據(jù),降低了計(jì)算維度并最終降低整個(gè)模型的計(jì)算復(fù)雜度。與神經(jīng)網(wǎng)絡(luò)方法相比,SIMI算法更適合實(shí)時(shí)性要求較高的工業(yè)控制系統(tǒng)。




本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000002961




作者信息:

陳  曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3

(1.北京大學(xué) 軟件與微電子學(xué)院,北京102600;2.中國軟件評測中心,北京100044;

3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京100026;

4.國家能源集團(tuán)華電天仁電力控制技術(shù)有限公司,北京100039)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。