0 引言

    隨著工業(yè)化與信息化進程的不斷交叉融合，越來越多的信息技術應用到了工業(yè)控制領域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡兩者之間的交互實現(xiàn)，這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系，互相通信，而不再像以往一樣是一個獨立運行的系統(tǒng)^[1]。隨著時間的推移，從搜集遠程設備信息的簡單網(wǎng)絡到內(nèi)置冗余設備的復雜系統(tǒng)網(wǎng)絡，工業(yè)控制網(wǎng)絡通信協(xié)議（工控協(xié)議）的發(fā)展進程從未停歇，而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時只是針對某個特定的應用程序^[2-3]。

    大多數(shù)工控協(xié)議都有一個共同點，那就是這些協(xié)議在設計之初都沒有考慮到隨之而來的安全問題，因此這些協(xié)議與生俱來就不安全。自從工控協(xié)議與IT網(wǎng)絡相融合以及主流工控協(xié)議開始基于TCP/IP協(xié)議^[4]構建以來，安全性就成為了工業(yè)控制系統(tǒng)的一個重要問題^[5]。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸，缺乏認證和加密，存在被竊聽、偽裝、篡改、抵賴和重放攻擊等風險^[6]。如2010年伊朗“震網(wǎng)”病毒事件、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響，進一步表明工控行業(yè)的相關安全問題已經(jīng)上升到了國家安全的高度^[7]。類似的事件無一不是造成巨大的影響，攻擊者利用一系列的漏洞和手段，入侵了對方的控制系統(tǒng)，而最終都是通過控制器直接操作了相應的PLC，這些操作都承載在對應的工控協(xié)議上^[8]。

    作為專有工控協(xié)議，西門子S7協(xié)議在電力系統(tǒng)的應用十分廣泛^[9-10]。其應用主要有化學領域中的水處理、氣力除灰、(特)高壓直流輸電系統(tǒng)中的應用^[11]。在這些環(huán)節(jié)中，采用PLC后熱電廠中每個環(huán)節(jié)都會得到很大的提高^[12]。異常流量檢測技術在S7協(xié)議中應用廣泛?；诹髁康漠惓z測技術是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征，在各個網(wǎng)絡連接鏈路采集數(shù)據(jù)進而實現(xiàn)對入侵行為的檢測^[13]。STAVROULAKIS P等人詳細討論了工控系統(tǒng)入侵檢測技術的流量分析方法^[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡來訓練網(wǎng)絡流量模型實現(xiàn)入侵檢測^[15-16]。

    本文提出一種基于SIMI的S7協(xié)議異常流量檢測方法。首先，在模擬仿真環(huán)境中通過Wireshark獲取S7協(xié)議的流量包，分析并提取流量包中流量的特征以及驗證協(xié)議脆弱性；然后，基于SIMI構建S7協(xié)議異常流量狀態(tài)的知識圖譜。該方法在流量的狀態(tài)特征的關聯(lián)性分析的基礎上，利用SIMI算法的分類特性對S7協(xié)議異常流量狀態(tài)進行有效識別和分類，進而構建S7協(xié)議異常流量狀態(tài)的知識圖譜。最后，通過實驗驗證了本文提出方法的有效性。另外，實驗表明算法的計算復雜度從O(n²)降到O(n)。該方法采用分片的相似度分析(Similarity，簡稱為SIMI)方法構建異常模型，與前人的研究方法不同的是，以往的方法是在采集到的整個幀做分類或者聚類，沒有考慮到實際流量傳輸過程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù)，增加了整個模型的計算復雜度和時間成本，而本文提出的模型會在預處理階段對幀中包含的各個字段的含義進行分析，去除了對計算無意義的冗余數(shù)據(jù)，降低了計算維度并最終降低整個模型的計算復雜度。與神經(jīng)網(wǎng)絡方法相比，SIMI算法更適合實時性要求較高的工業(yè)控制系統(tǒng)。

本文詳細內(nèi)容請下載:http://ihrv.cn/resource/share/2000002961

作者信息:

陳  曦1，2，姜亞光2，李建彬3，閆靖晨3，劉曙元4，李坤昌3

(1.北京大學 軟件與微電子學院，北京102600；2.中國軟件評測中心，北京100044；

3.華北電力大學 控制與計算機工程學院，北京100026；

4.國家能源集團華電天仁電力控制技術有限公司，北京100039)