基于串行通信总线信号分析的工控系统物理入侵攻击检测方法技术方案

本发明专利技术公开一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，通过总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，能快速、有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击的安全状态，解决了现有利用网络防御方法无法有效检测物理入侵攻击的工控系统串行通信总线网络的安全性技术问题。

Detection method of physical invasion attack in industrial control system based on serial communication bus signal analysis

The invention discloses a physical intrusion detection method of industrial control system based on signal analysis of serial communication bus. The detection signal is sent to the communication bus by bus controller actively. After sampling and analyzing the signal of the communication bus by monitoring device, the method is compared with the standard signal stored in the equipment database, and the detection signal is sent to the communication bus actively. Intrusion signal detection is carried out in differential signals by using noise reduction technology and weak signal detection technology. According to the detection results of intrusion signals caused by physical intrusion equipment, it can quickly and effectively judge whether there are external malicious devices in the system, determine whether the system is under physical intrusion attack, and solve the problem. The security problem of serial communication bus network in industrial control system which can not effectively detect physical intrusion attack by using network defense method is solved.

【技术实现步骤摘要】
基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
本专利技术属于工业控制系统攻击检测
，特别涉及一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法。
技术介绍
工业控制系统是应用于电力、工业生产、交通、加工制造等领域的自动化控制系统，该系统主要依靠控制中心对各层级网络中设备的运行状态进行监测，并对现场采集到的物理量测数据进行处理分析，从而维持系统的稳定和安全。随着通信技术的发展和信息网络的融合，各领域间工控系统的级联关系使得其整体变得日益庞大和复杂，在工控系统从集中式控制到分布式控制的转变过程中，虽然提升了系统整体的控制效率和响应速度，但却降低了控制中心对处于底层或边缘的总线级网络的安全监管能力。尤其是对于处于无人监守场所中的工业基础设施，更无法保证设备本身的安全性。2017年，美国塔尔萨大学的Staggs博士及其团队公布了一种针对风电场的攻击“Windshark”，他们通过撬开风力发电设备的服务器机柜，在其中物理接入了通信设备，从而实现对风电场内部系统的控制和恶意操作，对风电场内的涡轮机和自动化控制器都造成了损坏。从这一案例中可以看出，当前大多数的工业控制系统都无法很好地防护物理式入侵攻击，攻击者甚至可以很轻易的在工控系统终端的串行通信总线网络内物理接入通信设备，利用接入设备篡改通信总线上的通信信号，亦或是伪造恶意指令、数据发送到串行通信总线上，造成串行通信总线网络中设备工作的异常，甚至扰乱系统的稳定运行，这对于工控系统来说是极大地威胁。在传统的工控系统中，对于常见的网络入侵式攻击，已经有很多安全防御方法的研究，例如通过网络通信加密算法来保证信息安全，通过流量监测来防止恶意数据注入，通过入侵检测系统来识别恶意攻击行为等，然而上述方法在工控系统的物理入侵攻击面前却很难适用。一方面，工控系统的串行总线通信网络缺乏安全保障，在遭受物理入侵之后没有很有效的方法去检测系统中是否存在外部设备，在通信时又缺乏相应的身份认证机制；另一方面，在串行通信总线网络中，由于工业设备通信的实时性要求，以及设备本身的弱计算能力，串行通信总线协议中很难依靠设计完善的加密算法来保证信息可靠，且这些协议在设计之初都是对外界公开的，攻击者很容易利用这些协议截获信息或是伪造指令。以上两点都说明，工控系统串行通信总线网络存在物理入侵的安全隐患，同时又很难对入侵系统的外接设备进行检测，这将会给工控系统的稳定运行造成极大的不良影响。
技术实现思路
本专利技术的目的在于提供一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，用于防止工控系统可能面临的物理入侵攻击威胁，并能有效解决在工控系统串行通信总线网络中利用传统的网络入侵防御方法不能有效检测系统中存在的恶意外接设备的安全问题。为了实现上述目的，本专利技术采用如下技术方案：基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，包括：通过串行通信总线网络中的总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击。进一步的，具体包括以下步骤：S1：串行通信总线网络中的总线控制器按照设定的时间周期监听工控系统中串行通信总线的使用情况：若通信总线处于空闲状态，则由总线控制器发送一次检测信号；若通信总线处于数据传输状态，则控制器继续监听等待，直到通信总线处于空闲状态时，由总线控制器发送一次检测信号；S2：工控系统中部署的监测设备对串行通信总线上所有的通信信号进行采样接收和协议解析；S3：监测设备对解析后的接收信号进行分析，判断是否开始执行工控系统串行通信总线网络的物理入侵攻击检测；S4：将接收到的信号数据与监测设备信号数据库中的标准信号数据进行差分对比，得到两个信号之间的差异信号；S5：对差异信号进行入侵信号检测，若在差异信号中检测出入侵信号，则判断此时工控系统串行通信总线网络中已遭受物理入侵攻击，继续执行S6；若在差异信号中没有检测出入侵信号，则判断此时工控系统串行通信总线网络没有受到物理入侵攻击，监测设备继续监听总线接收下一次通信信号；S6：根据入侵信号的检测结果，若工控系统串行通信总线网络中遭受物理入侵攻击，则将检测结果上报给串行通信总线网络中的总线控制器，总线控制器对物理入侵攻击作出快速判断和应急响应。进一步的，步骤S1中，检测信号根据串行通信总线的协议规范设定，并且检测信号在数字序列上有别于所有正常的通信信号，检测信号只能被串行通信总线网络中相应的监测设备进行识别和解析，其他设备不会对检测信号作出响应。进一步的，步骤S2具体为：根据工控系统中串行通信总线类型，采用对应的Modbus协议、CANBus协议、P-Net协议、ProfiBus协议、WorldFIP协议、ControlNet协议、FF协议或HART协议对通信信号进行协议解析，得到数字信号序列。进一步的，步骤S3具体包括：S301：将步骤S2所解析得到的数字信号序列与检测信号的数字序列进行一致性检测，若接收到的信号是检测信号，则开始进行工控系统串行通信总线网络物理入侵攻击的检测，执行步骤S302；若接收到的信号不是检测信号，则不作任何响应，继续监听总线接收下一次通信信号；S302：根据接收信号与检测信号一致的检测结果，继续判断监测设备是否第一次接收到检测信号，若监测设备的信号数据库为空，则将接收到的信号数据存储在本地数据库中，并认为此信号是系统正常情况下的标准信号；若监测设备的信号数据库中已存储有信号数据，则继续执行步骤S4。进一步的，步骤S5中，入侵信号是由于物理入侵攻击所引起的在总线控制器发送的原有检测信号上增加的确知信号，入侵信号具有与检测信号相同的周期。进一步的，步骤S5具体包括：S501：对步骤S4获得的差异信号数据进行降噪处理；S502：利用弱信号检测技术，对差异信号中可能存在的入侵信号进行检测，根据弱信号检测的结果判断入侵信号是否存在。进一步的，还包括以下步骤：总线控制器收到物理入侵攻击的检测信号后，向主站报警。相对于现有技术，本专利技术具有以下有益效果：本专利技术提供的一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，通过监测设备对串行通信总线信号采样分析后，与设备信号数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，能快速、有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击的安全状态，解决了现有利用网络防御方法无法有效检测物理入侵攻击的工控系统串行通信总线网络的安全性技术问题。此外，本专利技术利用工控系统串行通信总线网络中的总线控制器发送检测信号，再利用部署在网络中的监测设备对信号进行采样接收、差分对比分析以及信号检测，既不会增加原有通信设备的改造成本，也不会破坏原有通信网络的连接结构。本专利技术的检测信号是根据工控系统串行通信总线类型以及协议来设定的，而且检测信号在数字序列上与所有正常的通信信号均不相同，且只有在串行通信总线空闲时发送检测信号，既本文档来自技高网...

【技术保护点】
1.一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，其特征在于，包括：通过串行通信总线网络中的总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击。

【技术特征摘要】
1.一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，其特征在于，包括：通过串行通信总线网络中的总线控制器主动向通信总线中发送检测信号，监测设备对通信总线进行信号的采样分析后，与设备数据库中存储的标准信号进行差分对比，并利用降噪技术、弱信号检测技术在差异信号中进行入侵信号的检测，根据由物理入侵设备所引起的入侵信号的检测结果，有效地判断出系统中是否存在外部恶意设备，确定系统是否遭受物理入侵攻击。2.根据权利要求1所述的一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，其特征在于，具体包括以下步骤：S1：串行通信总线网络中的总线控制器按照设定的时间周期监听工控系统中串行通信总线的使用情况：若通信总线处于空闲状态，则由总线控制器发送一次检测信号；若通信总线处于数据传输状态，则控制器继续监听等待，直到通信总线处于空闲状态时，由总线控制器发送一次检测信号；S2：工控系统中部署的监测设备对串行通信总线上所有的通信信号进行采样接收和协议解析；S3：监测设备对解析后的接收信号进行分析，判断是否开始执行工控系统串行通信总线网络的物理入侵攻击检测；S4：将接收到的信号数据与监测设备信号数据库中的标准信号数据进行差分对比，得到两个信号之间的差异信号；S5：对差异信号进行入侵信号检测，若在差异信号中检测出入侵信号，则判断此时工控系统串行通信总线网络中已遭受物理入侵攻击，继续执行S6；若在差异信号中没有检测出入侵信号，则判断此时工控系统串行通信总线网络没有受到物理入侵攻击，监测设备继续监听总线接收下一次通信信号；S6：根据入侵信号的检测结果，若工控系统串行通信总线网络中遭受物理入侵攻击，则将检测结果上报给串行通信总线网络中的总线控制器，总线控制器对物理入侵攻击作出快速判断和应急响应。3.根据权利要求1所述的一种基于串行通信总线信号分析的工控系统物理入侵攻击检测方法，其特征在于，步骤S1中，检测信号根据串行通信总线的协议规范设定，并且检测信号在数字序列上有别于所有正常的通信信号，检测信号只能被...

【专利技术属性】
技术研发人员：刘烃，刘鹏飞，王稼舟，周亚东，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西,61