文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.191316
中文引用格式: 陳曦,姜亞光,李建彬,等. 基于SIMI模型的S7協議的實時異常流量檢測方法[J].電子技術應用,2020,46(8):101-106.
英文引用格式: Chen Xi,Jiang Yaguang,Li Jianbin,et al. A real time abnormal traffic detection method based on SIMI model for S7 protocol[J]. Application of Electronic Technique,2020,46(8):101-106.
0 引言
隨著工業化與信息化進程的不斷交叉融合,越來越多的信息技術應用到了工業控制領域。其中數據交換是依靠管理信息與生產控制網絡兩者之間的交互實現,這樣的方式使得工業控制系統與各種管理系統緊密聯系,互相通信,而不再像以往一樣是一個獨立運行的系統[1]。隨著時間的推移,從搜集遠程設備信息的簡單網絡到內置冗余設備的復雜系統網絡,工業控制網絡通信協議(工控協議)的發展進程從未停歇,而且工控系統內部所使用的協議有時只是針對某個特定的應用程序[2-3]。
大多數工控協議都有一個共同點,那就是這些協議在設計之初都沒有考慮到隨之而來的安全問題,因此這些協議與生俱來就不安全。自從工控協議與IT網絡相融合以及主流工控協議開始基于TCP/IP協議[4]構建以來,安全性就成為了工業控制系統的一個重要問題[5]。它面臨著大量協議數據明文傳輸,缺乏認證和加密,存在被竊聽、偽裝、篡改、抵賴和重放攻擊等風險[6]。如2010年伊朗“震網”病毒事件、2015年烏克蘭電網攻擊事件的巨大影響,進一步表明工控行業的相關安全問題已經上升到了國家安全的高度[7]。類似的事件無一不是造成巨大的影響,攻擊者利用一系列的漏洞和手段,入侵了對方的控制系統,而最終都是通過控制器直接操作了相應的PLC,這些操作都承載在對應的工控協議上[8]。
作為專有工控協議,西門子S7協議在電力系統的應用十分廣泛[9-10]。其應用主要有化學領域中的水處理、氣力除灰、(特)高壓直流輸電系統中的應用[11]。在這些環節中,采用PLC后熱電廠中每個環節都會得到很大的提高[12]。異常流量檢測技術在S7協議中應用廣泛。基于流量的異常檢測技術是根據外部入侵和內部破壞等攻擊行為的流量特征,在各個網絡連接鏈路采集數據進而實現對入侵行為的檢測[13]。STAVROULAKIS P等人詳細討論了工控系統入侵檢測技術的流量分析方法[14]。VOLLMER T等人采用BP神經網絡來訓練網絡流量模型實現入侵檢測[15-16]。
本文提出一種基于SIMI的S7協議異常流量檢測方法。首先,在模擬仿真環境中通過Wireshark獲取S7協議的流量包,分析并提取流量包中流量的特征以及驗證協議脆弱性;然后,基于SIMI構建S7協議異常流量狀態的知識圖譜。該方法在流量的狀態特征的關聯性分析的基礎上,利用SIMI算法的分類特性對S7協議異常流量狀態進行有效識別和分類,進而構建S7協議異常流量狀態的知識圖譜。最后,通過實驗驗證了本文提出方法的有效性。另外,實驗表明算法的計算復雜度從O(n2)降到O(n)。該方法采用分片的相似度分析(Similarity,簡稱為SIMI)方法構建異常模型,與前人的研究方法不同的是,以往的方法是在采集到的整個幀做分類或者聚類,沒有考慮到實際流量傳輸過程中的數據傳輸包含了很多冗余的數據,增加了整個模型的計算復雜度和時間成本,而本文提出的模型會在預處理階段對幀中包含的各個字段的含義進行分析,去除了對計算無意義的冗余數據,降低了計算維度并最終降低整個模型的計算復雜度。與神經網絡方法相比,SIMI算法更適合實時性要求較高的工業控制系統。
本文詳細內容請下載:http://www.viuna.cn/resource/share/2000002961
作者信息:
陳 曦1,2,姜亞光2,李建彬3,閆靖晨3,劉曙元4,李坤昌3
(1.北京大學 軟件與微電子學院,北京102600;2.中國軟件評測中心,北京100044;
3.華北電力大學 控制與計算機工程學院,北京100026;
4.國家能源集團華電天仁電力控制技術有限公司,北京100039)