《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計應(yīng)用 > 基于SIMI模型的S7協(xié)議的實時異常流量檢測方法
基于SIMI模型的S7協(xié)議的實時異常流量檢測方法
2020年電子技術(shù)應(yīng)用第8期
陳 曦1,,2,,姜亞光2,李建彬3,,閆靖晨3,,劉曙元4,,李坤昌3
1.北京大學(xué) 軟件與微電子學(xué)院,北京102600,;2.中國軟件評測中心,,北京100044,; 3.華北電力大學(xué) 控制與計算機工程學(xué)院,,北京100026; 4.國家能源集團華電天仁電力控制技術(shù)有限公司,,北京100039
摘要: S7協(xié)議在通信過程中存在著脆弱性,,使得工業(yè)生產(chǎn)通信過程容易受到攻擊,造成極大的安全隱患,。為了解決這個問題,,提出一種基于SIMI的S7協(xié)議異常流量檢測方法。首先分析了S7協(xié)議的特征以及脆弱性,;然后,,提出一種基于SIMI的S7協(xié)議實時異常流量檢測方法,,該方法在流量狀態(tài)特征關(guān)聯(lián)性分析的基礎(chǔ)上,利用SIMI算法的分類特性對S7協(xié)議異常流量實時狀態(tài)進行有效識別和分類,,構(gòu)建出S7協(xié)議異常流量狀態(tài)的知識圖譜,;最后,通過模擬實驗驗證了方法的有效性,。通過分析,,算法的計算復(fù)雜度顯著降低。
中圖分類號: TN918.91
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,,姜亞光,,李建彬,等. 基于SIMI模型的S7協(xié)議的實時異常流量檢測方法[J].電子技術(shù)應(yīng)用,,2020,,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,,Li Jianbin,,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,,46(8):101-106.
A real time abnormal traffic detection method based on SIMI model for S7 protocol
Chen Xi1,,2,Jiang Yaguang2,,Li Jianbin3,,Yan Jingchen3,Liu Shuyuan4,,Li Kunchang3
1.School of Software & Microelectronics,,Peking University,Beijing 102600,,China,; 2.Department of CSTC in Network Security Inspection and Evaluation of Industrial Control System,Beijing 100044,,China,; 3.School of Control and Computer Engineering,North China Electric Power University,,Beijing 100026,,China; 4.Beijing Huadian TianRen Electric Power Control Technology Company Limited,,Beijing 100039,,China
Abstract: The vulnerability of the S7 protocol in the communication process makes the industrial production communication process vulnerable to attacks, causing great security risks. To solve this problem, this paper proposes a method for detecting abnormal traffic of the S7 protocol based on SIMI. Firstly, the characteristics and vulnerability of the S7 protocol are analyzed. Then, a real-time abnormal traffic detection method of the S7 protocol based on SIMI is proposed. Based on the correlation analysis of traffic status characteristics, this method uses the classification characteristics of the SIMI algorithm to effectively identify and classify the real-time status of abnormal traffic in the S7 protocol, and build a knowledge map of the abnormal traffic status of the S7 protocol. Finally, the validity of the method is verified by simulation experiments. Through analysis, the computational complexity of the algorithm is significantly reduced.
Key words : S7 protocol;abnormal traffic detection;vulnerability,;SIMI

0 引言

    隨著工業(yè)化與信息化進程的不斷交叉融合,,越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡(luò)兩者之間的交互實現(xiàn),,這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系,,互相通信,而不再像以往一樣是一個獨立運行的系統(tǒng)[1],。隨著時間的推移,,從搜集遠程設(shè)備信息的簡單網(wǎng)絡(luò)到內(nèi)置冗余設(shè)備的復(fù)雜系統(tǒng)網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)通信協(xié)議(工控協(xié)議)的發(fā)展進程從未停歇,,而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時只是針對某個特定的應(yīng)用程序[2-3],。

    大多數(shù)工控協(xié)議都有一個共同點,那就是這些協(xié)議在設(shè)計之初都沒有考慮到隨之而來的安全問題,,因此這些協(xié)議與生俱來就不安全,。自從工控協(xié)議與IT網(wǎng)絡(luò)相融合以及主流工控協(xié)議開始基于TCP/IP協(xié)議[4]構(gòu)建以來,安全性就成為了工業(yè)控制系統(tǒng)的一個重要問題[5],。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸,,缺乏認證和加密,存在被竊聽,、偽裝,、篡改、抵賴和重放攻擊等風險[6],。如2010年伊朗“震網(wǎng)”病毒事件,、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響,進一步表明工控行業(yè)的相關(guān)安全問題已經(jīng)上升到了國家安全的高度[7],。類似的事件無一不是造成巨大的影響,,攻擊者利用一系列的漏洞和手段,入侵了對方的控制系統(tǒng),,而最終都是通過控制器直接操作了相應(yīng)的PLC,,這些操作都承載在對應(yīng)的工控協(xié)議上[8]

    作為專有工控協(xié)議,,西門子S7協(xié)議在電力系統(tǒng)的應(yīng)用十分廣泛[9-10],。其應(yīng)用主要有化學(xué)領(lǐng)域中的水處理、氣力除灰,、(特)高壓直流輸電系統(tǒng)中的應(yīng)用[11],。在這些環(huán)節(jié)中,采用PLC后熱電廠中每個環(huán)節(jié)都會得到很大的提高[12],。異常流量檢測技術(shù)在S7協(xié)議中應(yīng)用廣泛。基于流量的異常檢測技術(shù)是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征,,在各個網(wǎng)絡(luò)連接鏈路采集數(shù)據(jù)進而實現(xiàn)對入侵行為的檢測[13],。STAVROULAKIS P等人詳細討論了工控系統(tǒng)入侵檢測技術(shù)的流量分析方法[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡(luò)來訓(xùn)練網(wǎng)絡(luò)流量模型實現(xiàn)入侵檢測[15-16],。

    本文提出一種基于SIMI的S7協(xié)議異常流量檢測方法,。首先,在模擬仿真環(huán)境中通過Wireshark獲取S7協(xié)議的流量包,,分析并提取流量包中流量的特征以及驗證協(xié)議脆弱性,;然后,基于SIMI構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜,。該方法在流量的狀態(tài)特征的關(guān)聯(lián)性分析的基礎(chǔ)上,,利用SIMI算法的分類特性對S7協(xié)議異常流量狀態(tài)進行有效識別和分類,進而構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜,。最后,,通過實驗驗證了本文提出方法的有效性。另外,,實驗表明算法的計算復(fù)雜度從O(n2)降到O(n),。該方法采用分片的相似度分析(Similarity,簡稱為SIMI)方法構(gòu)建異常模型,,與前人的研究方法不同的是,,以往的方法是在采集到的整個幀做分類或者聚類,沒有考慮到實際流量傳輸過程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù),,增加了整個模型的計算復(fù)雜度和時間成本,,而本文提出的模型會在預(yù)處理階段對幀中包含的各個字段的含義進行分析,去除了對計算無意義的冗余數(shù)據(jù),,降低了計算維度并最終降低整個模型的計算復(fù)雜度,。與神經(jīng)網(wǎng)絡(luò)方法相比,SIMI算法更適合實時性要求較高的工業(yè)控制系統(tǒng),。




本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000002961




作者信息:

陳  曦1,,2,姜亞光2,,李建彬3,,閆靖晨3,劉曙元4,,李坤昌3

(1.北京大學(xué) 軟件與微電子學(xué)院,,北京102600;2.中國軟件評測中心,,北京100044,;

3.華北電力大學(xué) 控制與計算機工程學(xué)院,,北京100026;

4.國家能源集團華電天仁電力控制技術(shù)有限公司,,北京100039)

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。