【技术实现步骤摘要】
本专利技术属于工业控制系统安全领域,特别涉及一种基于状态感知的工业控制系统攻击检测方法和系统。
技术介绍
1、工业控制系统(ics)是现代工业基础设施的关键组成部分,负责监控和控制电网系统的复杂过程。在ics中,可编程逻辑控制器(plc)是核心组件,用于根据预设的程序控制工业过程。随着ics越来越多地接入互联网和其他通信网络,它们面临着复杂的网络攻击威胁。现有的安全措施,如基于不变性的检测方法,虽然能够识别某些类型的攻击,但往往因为不变性定义过于宽泛,无法有效检测更隐蔽的攻击行为。由于传统方法基于全局或静态的阈值来定义系统行为的边界,而这些边界可能无法覆盖所有可能的系统状态,导致检测盲点。
技术实现思路
1、为了解决现有技术中存在的不足,本专利技术提供了一种基于状态感知的工业控制系统攻击检测方法和系统,以解决有效检测隐蔽攻击的技术问题。
2、为解决上述技术问题,本专利技术采用如下的技术方案。
3、本专利技术首先公开了一种基于状态感知的工业控制系统攻击检测方法,该方法包括以下步骤:
4、步骤1:加载plc程序代码,分析识别ics的状态、状态转换条件以及每个状态内的感知、执行和配置变量之间的依赖关系;
5、步骤2:基于所述状态、状态转换条件以及每个状态内的感知、执行和配置变量之间的依赖关系,将收集的ics实时数据的良性数据跟踪划分为状态特定的多个子跟踪;
6、步骤3:利用关联规则挖掘算法对每个状态特定的数据子跟踪进行分析和挖掘
7、步骤4:在plc运行时并接收到来自外部实体的程序变量更新请求时,触发运行时监控器强制执行状态感知的不变性规则,当所述程序变量更新请求不符合所述不变性规则时,拒绝该请求确定检测到攻击或违规行为。
8、本专利技术进一步包括以下优选方案:
9、所述运行时监控器仅在plc接收到来自外部实体的程序变量更新请求时触发。
10、所述不变性模板包括状态标识符和与该状态相关联的变量集合。
11、所述状态转换条件包括至少一个控制流图和至少一个数据流图的组合。
12、所述关联挖掘算法用于在不变性模板中为变量设置具体数值范围。
13、所述将收集的ics实时数据的良性数据跟踪划分为状态特定的多个子跟踪,进一步包括:
14、从ics的各个组件中收集实时数据;所述实时数据包括各种传感器读数、执行器状态、配置参数以及时间戳信息;根据每个状态及其转换条件,分析收集的实时数据;识别出实时数据中反映状态转换的关键点,查找符合特定转换条件的数据记录;从完整的数据跟踪中提取与每个状态相关的数据片段,在状态开始和结束之间记录的所有数据点,利用状态转换点作为分界,将数据划分为多个子跟踪,每个子跟踪对应于一个特定的状态;将每个状态特定的数据子跟踪用于后续步骤中的不变性模板的量化。
15、所述触发运行时监控器强制执行状态感知的不变性规则,进一步包括:
16、检查请求的变量更新是否符合当前状态的不变性规则,验证请求中的数据是否落在预定义的数值范围内,以及是否与plc程序的当前状态一致;如果请求符合不变性规则,监控器允许请求继续执行该请求,更新plc的程序变量;如果不符合不变性规则,监控器拒绝请求,并且记录该事件作为潜在的安全违规行为;监控器提供实时反馈;如果检测到潜在的攻击或违规行为,监控器通知系统管理员或自动采取防御措施。
17、本专利技术同时公开了一种利用前述基于状态感知的工业控制系统攻击检测方法的基于状态感知的工业控制系统攻击检测系统,包括:
18、ics状态识别模块,用于加载plc程序代码,分析识别ics的状态、状态转换条件以及每个状态内的感知、执行和配置变量之间的依赖关系;
19、状态感知不变性生成模块,用于基于所述状态、状态转换条件以及每个状态内的感知、执行和配置变量之间的依赖关系,将收集的ics实时数据的良性数据跟踪划分为状态特定的多个子跟踪;
20、不变性量化模块,用于利用关联规则挖掘算法对每个状态特定的数据子跟踪进行分析和挖掘,以对不变性模板进行数值实例化,所述不变性模板定义状态内变量之间的依赖关系;
21、运行时监控模块,用于在plc运行时并接收到来自外部实体的程序变量更新请求时,触发运行时监控器强制执行状态感知的不变性规则,当所述程序变量更新请求不符合所述不变性规则时,拒绝该请求确定检测到攻击或违规行为。
22、相应地,本申请还公开了一种终端,包括处理器及存储介质;
23、所述存储介质用于存储指令;
24、所述处理器用于根据所述指令进行操作以执行根据前述基于状态感知的工业控制系统攻击检测方法的步骤。
25、相应地,本申请还公开了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述基于状态感知的工业控制系统攻击检测方法的步骤。
26、本专利技术的有益效果在于,与现有技术相比,本专利技术提供了一种基于状态感知的工业控制系统攻击检测方法和系统,不仅考虑了系统变量的值,还考虑了这些变量值变化的上下文环境,即它们所处的系统状态,通过分析和利用工业控制系统中的状态信息来生成更精确的不变性规则。这些规则能够更有效地界定在不同操作状态下,系统变量的预期行为,从而提高对潜在攻击行为的检测灵敏度和准确性。
本文档来自技高网...【技术保护点】
1.一种基于状态感知的工业控制系统攻击检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述运行时监控器仅在PLC接收到来自外部实体的程序变量更新请求时触发。
3.根据权利要求2所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述不变性模板包括状态标识符和与该状态相关联的变量集合。
4.根据权利要求3所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述状态转换条件包括至少一个控制流图和至少一个数据流图的组合。
5.根据权利要求4所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述关联挖掘算法用于在不变性模板中为变量设置具体数值范围。
6.根据权利要求5所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述将收集的ICS实时数据的良性数据跟踪划分为状态特定的多个子跟踪,进一步包括:
7.根据权利要求6所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述触发运行时监控器强制执行状态感知的不变性规则,进一
8.一种基于状态感知的工业控制系统攻击检测系统,其特征在于,包括:
9.一种终端,包括处理器及存储介质;其特征在于:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述的基于状态感知的工业控制系统攻击检测方法的步骤。
...【技术特征摘要】
1.一种基于状态感知的工业控制系统攻击检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述运行时监控器仅在plc接收到来自外部实体的程序变量更新请求时触发。
3.根据权利要求2所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述不变性模板包括状态标识符和与该状态相关联的变量集合。
4.根据权利要求3所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述状态转换条件包括至少一个控制流图和至少一个数据流图的组合。
5.根据权利要求4所述的基于状态感知的工业控制系统攻击检测方法,其特征在于,所述关联挖掘算法用于在不变性模板中为变...
【专利技术属性】
技术研发人员:李东昌,李勃,马骁,谷丰强,马静雅,王姣,王勇,田东博,李嘉,罗海青,任瑶迦,金洺宇,王冰,王晓宇,姚承伟,王国栋,卢阳,刘京,陈剑飞,
申请(专利权)人:国网山东省电力公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。