基于本体模型的网络化控制系统入侵检测方法及系统技术方案

本发明专利技术公开了一种基于本体模型的网络化控制系统入侵检测方法及系统。该方法构建网络化控制系统本体模型，基于该模型进行入侵检测，并权衡决策后得到最终检测结果。系统包括主节点，多个从节点，和负责消息传递的工业通信网络；主节点负责完成自身的主机活动审计数据的收集、所有网络报文的收集、主节点对应的控制闭环流的检测、控制对象检测、整个系统所有节点主机活动审计数据的检测、网络活动检测以及检测结果的协调；各从节点负责完成该节点对应控制闭环流的检测并将检测结果上传给主节点，收集该节点自身的主机活动审计数据并上传给主节点；本发明专利技术能够在资源受限的环境中实时、高效、全面地进行入侵检测，降低工业网络控制系统安全改造成本。

【技术实现步骤摘要】
基于本体模型的网络化控制系统入侵检测方法及系统
本专利技术涉及工业控制系统信息安全防御领域，更具体地，涉及一种针对工业控制系统网络化控制的入侵检测方法及系统。
技术介绍
随着计算机技术、网络通信技术以及自动控制技术的迅速发展，网络化控制系统(NetworkedControlSystem，NCS)实现了宽广地域的管理、监视与控制，打破了传统自动化系统信息孤岛的僵局，是企业管控一体化的核心和关键，已被广泛应用于国家关键基础设施建设和工业控制领域。但是NCS网络开放的特性同时也使得其面临各种信息安全问题，例如2010年“超级工厂病毒”袭击了伊朗布什尔核电站，严重威胁到核反应堆的安全运营。NCS系统具有以下特点：(1)一般运行在嵌入式环境中，资源受限；(2)其控制应用对实时性要求苛刻、需要长时间(5-10年)不间断连续工作(7天×24小时)；(3)属于信息物理融合的系统，包括信息部分和物理控制对象两部分；(4)对于安全防护，NCS系统更强调可用性(IT系统则强调保密性)；(5)NCS面向于工业应用，其整体实现需要考虑成本约束。此外，相较于IT系统，NCS系统所面临的入侵攻击也与IT系统不尽相同。现有的入侵检测系统可以分为三类：(1)基于攻击特征的入侵检测(例如专利技术专利200910085069.8，201010265793.1)，利用丰富的入侵攻击相关知识进行入侵检测；(2)基于模型的入侵检测(例如专利技术专利201010525511.7)，绝大多数都是基于(流量/行为)统计模型，这是由于IT系统结构功能相对灵活多变、系统行为具有突发性随机性，因此不可能建立更细粒度的模型；(3)基于规范的入侵检测(例如专利技术专利200910001196.5)是针对IT系统中某类应用而设计的(例如基于IP网络的应用，基于Web-based的应用等)。但是，对于NCS系统而言，现有的基于攻击特征的检测所需要的丰富的攻击相关知识并不具备；基于规范的入侵检测大都是针对IT系统的应用而设计的，并不适合于NCS系统；并且NCS具有相对固定的结构和功能、相对有规律的系统行为，现有的基于(流量/行为)统计模型入侵检测不能很好的满足入侵检测需求。期刊《微计算机信息》第21卷第7-3期的论文《分布式入侵检测技术在网络控制系统中的应用》提出了一种将分布式入侵检测技术运用到网络控制系统的具体方案。专利技术专利申请(201210008504.9)公开了“一种工业控制网络安全防护方法及系统”采用三主机结构和三层防护策略进行攻击检测及响应。专利技术专利申请(201010569843.5)公开了“一种用于保护过程控制系统中网络业务的统一威胁管理系统”采用基于规则的方法保护过程控制系统中的网络业务。上述文献及专利申请有的未能全面考虑NCS的运行约束(实时性、资源、可用性等)，有的对系统检测数据源考虑不够全面，还有的未能考虑NCS系统主从式单网段的运行结构特点。此外，而且NCS入侵检测应该包括信息部分的检测和物理控制对象部分的检测，应尽量减少对NCS系统原本功能的影响。本体论是指领域内抽象的一组概念及概念间的关系，利用本体论构建NCS系统模型能够全面的综合考虑工业控制领域的各方面特点。综上所述，传统的入侵检测方法因其技术原理和适用协议的差异，使得在NCS系统中并不能取得很好的检测效果，目前国内外尚未有一套完整地适合NCS的入侵检测方法及系统，专利技术者提出的基于本体论的网络化控制系统入侵检测方法及系统具有一定的创新性及较大的社会经济价值。
技术实现思路
本专利技术的目的是为了解决现有网络入侵检测方法用于主从式单网段网络化控制系统时的上述问题，提供一种基于本体模型的网络化控制系统入侵检测方法及系统，目的在于能够在资源受限的环境中实时、高效、全面地进行网络化控制系统入侵检测。本专利技术提供了一种基于本体模型的网络化控制系统入侵检测方法，该网络化控制系统包括一个主节点、K个从节点以及一个工业通信网络，K为正整数，其特征在于，该方法包括初始配置过程以及在线检测过程；所述初始配置过程包括：步骤(a1)建立包括控制系统和控制对象的网络化控制系统本体模型，其中，控制系统包括控制网络和节点；控制网络包括网络结构、网络行为、网络调度和网络协议四个方面，节点包括任务和资源两个方面，任务包括任务行为及任务调度两种属性，资源包括存储空间占用、CPU占用和节点流量三种属性；控制对象包括物理被控系统中的功能、行为和结构变量，即FBS变量，以及在整个NCS控制环路中的控制闭环流两方面；步骤(a2)依据具体的网络化控制系统规范，设计对象功能白名单和各节点的用户白名单；步骤(a3)依据所述网络化控制系统本体模型，部署所有节点中用于监测主机活动的资源使用探测器和任务活动探测器，并将主节点网络接口设置为混杂模式以接收所有的网络报文；其中，各节点的资源使用探测器负责探测该节点的CPU使用率、存储空间使用率以及节点的流量；各节点的任务活动探测器负责收集该节点所有任务的异常情况以及任务间的切换；所述在线检测过程为：步骤(b1)各从节点通过网络接口接收报文，进行用户白名单过滤，然后进行基于控制应用的检测，将检测结果上报给主节点；同时收集该节点的审计数据，并上报给主节点；步骤(b2)主节点通过网络接口收集网络中的所有报文，将接收的报文通过用户白名单进行过滤，阻止非法用户的数据进一步访问；步骤(b3)主节点利用过滤后的数据报文，结合网络使用的工业通信协议规范进行基于网络结构、网络通信行为、网络协议特征和网络报文调度检测，如果检测出异常，则通过编码标识异常内容，保存检测结果；步骤(b4)主节点对经过网络活动检测的报文进行分类，具体分为从节点上报的检测结果、从节点上报的节点审计数据、应用及网络管理数据；步骤(b5)主节点通过其资源使用探测器和任务活动探测器实时收集主节点活动的审计数据，并结合资源使用模型和任务活动模型，对主节点审计数据以及所有从节点审计数据进行检测，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b6)主节点进行对象功能白名单检测，如果是非法数据，阻止进一步访问，并转入步骤(b1)，否则为合法访问，转入步骤(b7)；步骤(b7)主节点进行基于控制应用的检测，检测闭环控制流和物理控制对象是否异常，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b8)主节点收集四种检测结果，包括各从节点、网络活动检测结果、主机活动检测结果和控制应用检测结果。若网络活动检测为正常，则认为系统没有受到入侵攻击，转为步骤(b1)；若网络活动检测到异常，则将主节点中的主机活动检测结果、控制应用检测结果和各从节点中的检测结果进行统一编码、然后报警，再转到步骤(b1)。本专利技术提供的一种网络化控制系统的入侵检测系统，其特征在于，该系统包括一个主节点，K个从节点以及连接主节点和所有从节点的一个工业通信网络，其中K为正整数；主节点负责完成自身的主机活动审计数据的收集、所有网络报文的收集、主节点对应的控制闭环流的检测、控制对象检测、整个系统所有节点主机活动审计数据的检测、整个系统中的网络活动检测以及检测结果的协调；各从节点负责完成该节点对应控制闭环流的检测并将检测结果上传给主节点，负责收集该节点自身的主机活动审计数据并上传给主节点本文档来自技高网...

【技术保护点】
一种网络化控制系统的入侵检测方法，该网络化控制系统包括一个主节点、K个从节点以及一个工业通信网络，K为正整数，其特征在于，该方法包括初始配置过程以及在线检测过程；所述初始配置过程包括：步骤(a1)建立包括控制系统和控制对象的网络化控制系统本体模型，其中，控制系统包括控制网络和节点；控制网络包括网络结构、网络行为、网络调度和网络协议四个方面，节点包括任务和资源两个方面，任务包括任务行为及任务调度两种属性，资源包括存储空间占用、CPU占用和节点流量三种属性；控制对象包括物理被控系统中的功能、行为和结构变量，即FBS变量，以及在整个NCS控制环路中的控制闭环流两方面；步骤(a2)依据具体的网络化控制系统规范，设计对象功能白名单和各节点的用户白名单；步骤(a3)依据所述网络化控制系统本体模型，部署所有节点中用于监测主机活动的资源使用探测器和任务活动探测器，并将主节点网络接口设置为混杂模式以接收所有的网络报文；其中，各节点的资源使用探测器负责探测该节点的CPU使用率、存储空间使用率以及节点的流量；各节点的任务活动探测器负责收集该节点所有任务的异常情况以及任务间的切换；所述在线检测过程为：步骤(b1)各从节点通过网络接口接收报文，进行用户白名单过滤，然后进行基于控制应用的检测，将检测结果上报给主节点；同时收集节点的审计数据，并上报给主节点；步骤(b2)主节点通过网络接口收集网络中的所有报文，将接收的报文通过用户白名单进行过滤，阻止非法用户的数据进一步访问；步骤(b3)主节点利用过滤后的数据报文，结合网络使用的工业通信 协议规范进行基于网络结构、网络通信行为、网络协议特征和网络报文调度检测，如果检测出异常，则通过编码标识异常内容，保存检测结果；步骤(b4)主节点对经过网络活动检测的报文进行分类，具体分为从节点上报的检测结果、从节点上报的节点审计数据、应用及网络管理数据；步骤(b5)主节点通过其资源使用探测器和任务活动探测器实时收集主节点活动的审计数据，并结合资源使用模型和任务活动模型，对主节点审计数据以及所有从节点审计数据进行检测，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b6)主节点进行对象功能白名单检测，如果是非法数据，阻止进一步访问，并转入步骤(b1)；否则为合法访问，转入步骤(b7)；步骤(b7)主节点进行基于控制应用的检测，检测闭环控制流和物理控制对象是否异常，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b8)主节点收集四种检测结果，包括各从节点、网络活动检测结果、主机活动检测结果和控制应用检测结果，首先若网络活动检测为正常，则认为系统没有受到入侵攻击，转为步骤(b1)；若网络活动检测到异常，则将主节点中的主机活动检测结果、控制应用检测结果和各从节点中的检测结果进行统一编码、然后报警，再转到步骤(b1)。...

【技术特征摘要】
1.一种网络化控制系统的入侵检测方法，该网络化控制系统包括一个主节点、K个从节点以及一个工业通信网络，K为正整数，其特征在于，该方法包括初始配置过程以及在线检测过程；所述初始配置过程包括：步骤(a1)建立包括控制系统和控制对象的网络化控制系统本体模型，其中，控制系统包括控制网络和节点；控制网络包括网络结构、网络行为、网络调度和网络协议四个方面，节点包括任务和资源两个方面，任务包括任务行为及任务调度两种属性，资源包括存储空间占用、CPU占用和节点流量三种属性；控制对象包括物理被控系统中的功能、行为和结构变量，即FBS变量，以及在整个NCS控制环路中的控制闭环流两方面；步骤(a2)依据具体的网络化控制系统规范，设计对象功能白名单和各节点的用户白名单；步骤(a3)依据所述网络化控制系统本体模型，部署所有节点中用于监测主机活动的资源使用探测器和任务活动探测器，并将主节点网络接口设置为混杂模式以接收所有的网络报文；其中，各节点的资源使用探测器负责探测该节点的CPU使用率、存储空间使用率以及节点的流量；各节点的任务活动探测器负责收集该节点所有任务的异常情况以及任务间的切换；所述在线检测过程为：步骤(b1)各从节点通过网络接口接收报文，进行用户白名单过滤，然后进行基于控制应用的检测，将检测结果上报给主节点；同时收集节点的审计数据，并上报给主节点；步骤(b2)主节点通过网络接口收集网络中的所有报文，将接收的报文通过用户白名单进行过滤，阻止非法用户的数据进一步访问；步骤(b3)主节点利用过滤后的数据报文，结合网络使用的工业通信协议规范进行基于网络结构、网络通信行为、网络协议特征和网络报文调度检测，如果检测出异常，则通过编码标识异常内容，保存检测结果；步骤(b4)主节点对经过网络活动检测的报文进行分类，具体分为从节点上报的检测结果、从节点上报的节点审计数据、应用及网络管理数据；步骤(b5)主节点通过其资源使用探测器和任务活动探测器实时收集主节点活动的审计数据，并结合资源使用模型和任务活动模型，对主节点审计数据以及所有从节点审计数据进行检测，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b6)主节点进行对象功能白名单检测，如果是非法数据，阻止进一步访问，并转入步骤(b1)；否则为合法访问，转入步骤(b7)；步骤(b7)主节点进行基于控制应用的检测，检测闭环控制流和物理控制对象是否异常，如果检测出有异常，则通过编码标识异常内容，保存检测结果；步骤(b8)主节点收集四种检测结果，包括各从节点、网络活动检测结果、主机活动检测结果和控制应用检测结果，首先若网络活动检测为正常，则认为系统没有受到入侵攻击，转为步骤(b1)；若网络活动检测到异常，则将主节点中的主机活动检测结果、控制应用检测结果和各从节点中的检测结果进行统一编码、然后报警，再转到步骤(b1)。2.根据权利要求1所述的网络化控制系统的入侵检测方法，其特征在于，步骤(a1)具体实现过程为：(1.1)工业通信网络方面，建立网络结构模型、网络通信行为模型、网络报文调度模型以及网络协议特征；网络结构模型表征网络化控制系统中各节点与网络的连接关系，通过(K+1)维网络结构向量表示；网络通信行为模型用来描述通信过程中节点通信状态的迁移，根据具体的工业通信协议规范，对通信协议栈的状态采用N-Gram方法进行网络通信行为建模；网络报文调度模型即网络中通信报文所需遵循的顺序，工业通信网络中的报文按照通信宏周期T循环往复；网络协议特征包括源地址、目的地址、源节点号、目的节点号、协议类型、报文类型以及负载数据长度；(1.2)节点方面，建立任务活动模型和资源使用模型；节点包括主节点和所有从节点；资源使用模型通过系统应用规范估算出各节点中CPU使用率、内存使用率以及节点的流量；任务活动模型包括单个任务的行为和任务间的调度，单个任务的行为包括任务状态和任务输入输出行为，其中任务的输入输出通过输入输出数据值及对应时刻表征；(1.3)控制对象方面，建立闭环控制流模型和控制对象模型；闭环控制流模型依据控制应用规范，确定控制闭环流中应用数据的限值即上限、下限值以及时序即数据的截止期；控制对象模型通过将表征物理系统控制对象的变量划分为功能F变量、行为B变量以及结构S变量，这三种变量组合成FBS向量得到。3.根据权利要求1所述的网络化控制系统的入侵检测方法，其特征在于，步骤(a2)中，首先，创建各节点所需的用户白名单：对于主节点：将所有需要向网络中发送报文的节点的节点号创建为一个用户列表得到主节点用户白名单；对于从节点：将需要向该从节点发送报文的所有节点的节点号创建为一个用户列表得到该从节点的用户白名单；然...

【专利技术属性】
技术研发人员：周纯杰，黄双，张琦，秦元庆，
申请(专利权)人：华中科技大学，
类型：发明
国别省市：