文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,,姜亞光,,李建彬,等. 基于SIMI模型的S7協(xié)議的實時異常流量檢測方法[J].電子技術(shù)應(yīng)用,,2020,,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,,Li Jianbin,,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,,46(8):101-106.
0 引言
隨著工業(yè)化與信息化進程的不斷交叉融合,,越來越多的信息技術(shù)應(yīng)用到了工業(yè)控制領(lǐng)域。其中數(shù)據(jù)交換是依靠管理信息與生產(chǎn)控制網(wǎng)絡(luò)兩者之間的交互實現(xiàn),,這樣的方式使得工業(yè)控制系統(tǒng)與各種管理系統(tǒng)緊密聯(lián)系,,互相通信,而不再像以往一樣是一個獨立運行的系統(tǒng)[1],。隨著時間的推移,,從搜集遠程設(shè)備信息的簡單網(wǎng)絡(luò)到內(nèi)置冗余設(shè)備的復(fù)雜系統(tǒng)網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)通信協(xié)議(工控協(xié)議)的發(fā)展進程從未停歇,,而且工控系統(tǒng)內(nèi)部所使用的協(xié)議有時只是針對某個特定的應(yīng)用程序[2-3],。
大多數(shù)工控協(xié)議都有一個共同點,那就是這些協(xié)議在設(shè)計之初都沒有考慮到隨之而來的安全問題,,因此這些協(xié)議與生俱來就不安全,。自從工控協(xié)議與IT網(wǎng)絡(luò)相融合以及主流工控協(xié)議開始基于TCP/IP協(xié)議[4]構(gòu)建以來,安全性就成為了工業(yè)控制系統(tǒng)的一個重要問題[5],。它面臨著大量協(xié)議數(shù)據(jù)明文傳輸,,缺乏認證和加密,存在被竊聽,、偽裝,、篡改、抵賴和重放攻擊等風險[6],。如2010年伊朗“震網(wǎng)”病毒事件,、2015年烏克蘭電網(wǎng)攻擊事件的巨大影響,進一步表明工控行業(yè)的相關(guān)安全問題已經(jīng)上升到了國家安全的高度[7],。類似的事件無一不是造成巨大的影響,,攻擊者利用一系列的漏洞和手段,入侵了對方的控制系統(tǒng),,而最終都是通過控制器直接操作了相應(yīng)的PLC,,這些操作都承載在對應(yīng)的工控協(xié)議上[8]。
作為專有工控協(xié)議,,西門子S7協(xié)議在電力系統(tǒng)的應(yīng)用十分廣泛[9-10],。其應(yīng)用主要有化學(xué)領(lǐng)域中的水處理、氣力除灰,、(特)高壓直流輸電系統(tǒng)中的應(yīng)用[11],。在這些環(huán)節(jié)中,采用PLC后熱電廠中每個環(huán)節(jié)都會得到很大的提高[12],。異常流量檢測技術(shù)在S7協(xié)議中應(yīng)用廣泛。基于流量的異常檢測技術(shù)是根據(jù)外部入侵和內(nèi)部破壞等攻擊行為的流量特征,,在各個網(wǎng)絡(luò)連接鏈路采集數(shù)據(jù)進而實現(xiàn)對入侵行為的檢測[13],。STAVROULAKIS P等人詳細討論了工控系統(tǒng)入侵檢測技術(shù)的流量分析方法[14]。VOLLMER T等人采用BP神經(jīng)網(wǎng)絡(luò)來訓(xùn)練網(wǎng)絡(luò)流量模型實現(xiàn)入侵檢測[15-16],。
本文提出一種基于SIMI的S7協(xié)議異常流量檢測方法,。首先,在模擬仿真環(huán)境中通過Wireshark獲取S7協(xié)議的流量包,,分析并提取流量包中流量的特征以及驗證協(xié)議脆弱性,;然后,基于SIMI構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜,。該方法在流量的狀態(tài)特征的關(guān)聯(lián)性分析的基礎(chǔ)上,,利用SIMI算法的分類特性對S7協(xié)議異常流量狀態(tài)進行有效識別和分類,進而構(gòu)建S7協(xié)議異常流量狀態(tài)的知識圖譜,。最后,,通過實驗驗證了本文提出方法的有效性。另外,,實驗表明算法的計算復(fù)雜度從O(n2)降到O(n),。該方法采用分片的相似度分析(Similarity,簡稱為SIMI)方法構(gòu)建異常模型,,與前人的研究方法不同的是,,以往的方法是在采集到的整個幀做分類或者聚類,沒有考慮到實際流量傳輸過程中的數(shù)據(jù)傳輸包含了很多冗余的數(shù)據(jù),,增加了整個模型的計算復(fù)雜度和時間成本,,而本文提出的模型會在預(yù)處理階段對幀中包含的各個字段的含義進行分析,去除了對計算無意義的冗余數(shù)據(jù),,降低了計算維度并最終降低整個模型的計算復(fù)雜度,。與神經(jīng)網(wǎng)絡(luò)方法相比,SIMI算法更適合實時性要求較高的工業(yè)控制系統(tǒng),。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000002961
作者信息:
陳 曦1,,2,姜亞光2,,李建彬3,,閆靖晨3,劉曙元4,,李坤昌3
(1.北京大學(xué) 軟件與微電子學(xué)院,,北京102600;2.中國軟件評測中心,,北京100044,;
3.華北電力大學(xué) 控制與計算機工程學(xué)院,,北京100026;
4.國家能源集團華電天仁電力控制技術(shù)有限公司,,北京100039)