技術領域：

本發(fā)明屬于工業(yè)控制網(wǎng)絡信息安全技術領域，具體是涉及一種基于SCADA系統(tǒng)的周期性異常檢測的方法。

背景技術：
：

SCADA(Supervisory Control And Data Acquisition)即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。SCADA系統(tǒng)的應用領域很廣，在石油化工、電力系統(tǒng)、給水系統(tǒng)、核電等領域都發(fā)揮著重要的作用，圖1為SCADA系統(tǒng)在石化安全行業(yè)中的示意圖。隨著網(wǎng)絡的發(fā)展，SCADA系統(tǒng)也由獨立的網(wǎng)絡系統(tǒng)、專有的軟硬件環(huán)境，逐漸發(fā)展成為開放式透明運作的標準系統(tǒng)，并通過TCP/IP等標準網(wǎng)絡協(xié)議進行通信，而鑒于系統(tǒng)的重要性，其安全問題越來越受到普遍關注，一旦系統(tǒng)受到攻擊，后果可能是災難性的。這在降低成本提高效率的同時，SCADA系統(tǒng)所面臨的安全性問題也日益凸顯出來。

本發(fā)明中，入侵檢測系統(tǒng)（IDS）作為一個跟蹤惡意行為非常重要的設備。處理已知入侵威脅的方式是以識別誤用或誤操作為基礎，而識別惡意攻擊是以發(fā)現(xiàn)異常操作行為為基礎。異常檢測方式是以網(wǎng)絡的正常運行為特征，在此基礎上識別出偏差，即異常行為。異常檢測系統(tǒng)被應用在從通信協(xié)議到處理日志分析等SCADA系統(tǒng)的不同方面。

SCADA系統(tǒng)分布在生產(chǎn)環(huán)境中以監(jiān)視及控制各種設備，為了達到這個目標，數(shù)據(jù)需要持續(xù)不斷地從這些設備中獲取，因此就要建立一個實時響應的基礎設施環(huán)境。典型的方式是：數(shù)據(jù)通過自動輪詢機制獲取，即通過預先設定好的時間間隔發(fā)送輪詢請求到現(xiàn)場設備以實時獲取生產(chǎn)數(shù)據(jù)，然而此種方式的副作用是通信行為具有較高的周期性。本發(fā)明提出了一種使用這種自動輪詢機制來實現(xiàn)對異常入侵的檢測，通過對這種上報方式變化的洞察來保護那些周期性被訪問的網(wǎng)絡服務。值得注意的是，雖然一些攻擊可以破壞傳輸?shù)闹芷谛?，但是在傳輸周期性中所發(fā)生的改變未必都是惡意的。本發(fā)明以定位這些破壞行為目的。

技術實現(xiàn)要素：
：

針對以上問題，本發(fā)明提出了一種基于SCADA系統(tǒng)的周期性異常檢測的方法。

為達到上述目的，本發(fā)明的技術方案如下：

一種基于SCADA系統(tǒng)的周期性異常檢測的方法，包括：

傳輸獲取階段，來自SCADA系統(tǒng)的傳輸被動的接受監(jiān)測中心端的監(jiān)測及分析。

流的建立階段，創(chuàng)立網(wǎng)絡流，以一種有效的方式來匯總數(shù)據(jù)包，并將數(shù)據(jù)流當做時間序列來存儲。

周期性學習階段，學習系統(tǒng)的正常行為，提取周期性脈沖的頻率和周期性脈沖的大小這兩個特征。

比較特征項階段，利用算法進行特征項的選擇。

異常檢測階段，將流的建立階段中獲取的數(shù)據(jù)流與比較特征項階段中獲取的特征項進行匹配，若數(shù)據(jù)流與特征項相匹配，則被認定異常，發(fā)出警報并反饋到周期性學習階段。

作為上述技術方案的優(yōu)選，所述流的建立階段中：

使用服務器端傳輸端口來匯總數(shù)據(jù)包，依靠所使用的應用程序及協(xié)議來分離出周期性脈沖。

作為上述技術方案的優(yōu)選，所述流的建立階段中：

存儲數(shù)據(jù)流采用的采樣頻率SF為：

SF=1/P，

其中，P為一定的時間間隔。

作為上述技術方案的優(yōu)選，周期性學習階段通過離線的方式來執(zhí)行分析，并通過網(wǎng)絡管理員來驗證有效性。

作為上述技術方案的優(yōu)選，比較特征項階段具體包括如下步驟：

采用Zipf規(guī)則分析周期性學習階段中所存放的正常通信與異常通信。

計算出所屬類別的互信息量。

按照互信息量的大小由大到小進行排序，從最大開始，依次抽取一定數(shù)量的規(guī)則作為特征項。

本發(fā)明的有益效果在于：本發(fā)明通過對SCADA系統(tǒng)中的傳輸?shù)闹芷谛悦}沖進行獲取，匯總數(shù)據(jù)包，存儲數(shù)據(jù)流，通過周期性學習階段獲取關于周期型脈沖的頻率及大小這兩個特征，并通過比較特征項進行特征項的選取，將數(shù)據(jù)流和特征項進行匹配來判定異常，并發(fā)出警報，提高了工控網(wǎng)絡的安全性。

附圖說明：

以下附圖僅旨在于對本發(fā)明做示意性說明和解釋，并不限定本發(fā)明的范圍。其中：

圖1為本發(fā)明一個實施例的SCADA系統(tǒng)在石化安全行業(yè)中的示意圖；

圖2為本發(fā)明一個實施例的基于SCADA系統(tǒng)的周期性異常檢測的方法實現(xiàn)方式的示意圖。

具體實施方式：

本實施例提供一種基于SCADA系統(tǒng)的周期性異常檢測的方法，

1、網(wǎng)絡傳輸?shù)闹芷谛苑治觥?/p>

一般SCADA系統(tǒng)呈現(xiàn)出數(shù)據(jù)包周期脈沖串，即在固定的時間間隔傳輸一定的數(shù)據(jù)包。這些周期性的脈沖串由客戶端的數(shù)據(jù)請求及服務器端的請求回應所產(chǎn)生。周期性的網(wǎng)絡傳輸具有兩個可以確定其自然屬性的重要特征，即周期性的脈沖串所包含的頻率（frequency）與大小(size)。這里需要值得注意的是在監(jiān)測周期性傳輸過程中會產(chǎn)生一些非周期性的行為（或干擾），而干擾的原因有多種，如網(wǎng)絡延遲，包丟失，重傳，協(xié)議的具體交換（如TCP的3次握手協(xié)議）等。

并不是所有的SCADA系統(tǒng)連接都必須表現(xiàn)出周期性的特點。例如：PLC設備通常需要手動訪問，則可以監(jiān)測到非周期性行為。本發(fā)明中研究的重點僅為數(shù)據(jù)包周期性的脈沖在一般網(wǎng)絡傳輸中的正常行為。

2、攻擊的影響分析。

假設一些入侵行為是為了破壞傳輸?shù)闹芷谛?，為了實現(xiàn)這個假設，本發(fā)明采用不同類型的攻擊，并且研究如何對傳輸周期性產(chǎn)生影響。本發(fā)明采用入侵檢測系統(tǒng)中所使用SCADA系統(tǒng)的攻擊簽名的訪問列表，列表中包含保護Modbus TCP和DNP3兩種SCADA通信標準的簽名。

信息收集要優(yōu)先于其他的攻擊，并且對于攻擊者來說是一種挑戰(zhàn)，因為要盡可能多的收集目標系統(tǒng)的信息。一個典型的方式是通過scans獲取信息，如Modbus Tcp點列掃描。掃描需要大量可能的地址或者端口來測試，因此攻擊者一般會快速地執(zhí)行操作，而這種掃描能很快被監(jiān)測到，因為所產(chǎn)生的傳輸很明顯不是周期性的。注意，如果攻擊者以一種慢速但是周期性的方式，也是可以監(jiān)測得到的，因為它會以不同于正常服務的頻率來運行。

拒絕服務攻擊是阻止合法用戶訪問服務或降低其性能。例如以DNP3為目標的主動響應風暴試圖以發(fā)送一定數(shù)量的主動響應包來過載DNP3服務，而正常情況下是會產(chǎn)生報警的。如果攻擊者在短時間內發(fā)送了大量的數(shù)據(jù)包，這種攻擊可以被視為非周期性傳輸?shù)姆逯怠Ｅc掃描類似，這種攻擊也可能執(zhí)行地很慢，但同時會減少了攻擊的效果。

網(wǎng)絡攻擊處理網(wǎng)絡各種協(xié)議的行為。例如以Modbus TCP為攻擊目標，試圖避免被監(jiān)測到的清除計數(shù)器與寄存器的攻擊，使用了帶有特殊代碼功能的單數(shù)據(jù)包去清除SCADA服務器的計數(shù)器與寄存器。我們不能監(jiān)測到大多數(shù)這種類型的攻擊，因為它們通過執(zhí)行少量的包，并不會干擾到傳輸周期性。但是我們可以監(jiān)測到這種攻擊產(chǎn)生的效果。例如以Modbus TCP為目標，從設備忙碌異常代碼延遲攻擊，在回答每個帶有“設備忙”的信息請求時阻止應答超時。然而在這種情況下，并不希望在傳輸周期性中有所改變，典型的方案是在攻擊中，用多包代替單包所引起的振幅變化。

緩沖區(qū)溢出攻擊試圖以溢出其緩沖區(qū)的方式，對系統(tǒng)進行控制。例如，基于Modbus TCP的非法包的大小，可能受到的DOS攻擊以非法包的大小來發(fā)送單包，挖掘出協(xié)議棧中的錯誤。再者，本發(fā)明所使用的方法并不是針對數(shù)據(jù)包的攻擊，但如果攻擊成功了并且使目標系統(tǒng)崩潰，正常的傳輸模式很顯然被破壞了。

綜上所述，許多攻擊以不同的頻率來引起以下三者改變的其一。

1．新加入或丟失的周期性突發(fā)頻率。

2．周期性突發(fā)大小的改變

3．干擾因素的增加

需要強調的是，我們的期望是異常的監(jiān)測，而來自正常傳輸周期行為的偏差并不存在惡意。例如用于測試時對PLC進行手工訪問會引起非周期性的傳輸，隨之而來的將會是觸發(fā)報警。

如圖2所示，本發(fā)明的基于SCADA系統(tǒng)的周期性異常檢測的方法，包括：

傳輸獲取階段，來自SCADA系統(tǒng)的傳輸被動的接受監(jiān)測中心端的監(jiān)測及分析。在此階段并不涉及SCADA流程的相關包，僅僅是DNS與DHCP被過濾。

流的建立階段，創(chuàng)立網(wǎng)絡流，以一種有效的方式來匯總數(shù)據(jù)包。在這階段，假設使用服務器端傳輸端口來匯總數(shù)據(jù)包，可以識別出試圖保護的網(wǎng)絡服務。雖然在此服務器傳輸端口可以有效地隔離在跟蹤分析時的周期性傳輸，但是更多的匯總需要在其他情況中產(chǎn)生。例如，如果一個服務被兩個不同的客戶端訪問，一個使用輪詢機制，另一個不是，這就需要添加客戶地址作為匯總要素來隔離周期性行為。另一種方法是使用應用程序級的信息來分離出周期性脈沖，在實際中最優(yōu)的方式是依靠所使用的應用程序及協(xié)議。

將數(shù)據(jù)流當做時間序列來存儲，即每隔一定的時間間隔P，存儲屬于特定流的數(shù)據(jù)包的數(shù)量。存儲數(shù)據(jù)流采用的采樣頻率SF為：

SF=1/P，

其中，P為一定的時間間隔。SF是精確度和性能之間的一個權衡。頻率越高，關于數(shù)據(jù)流的更多詳細信息就會被存儲，相應的更多地數(shù)據(jù)就會被執(zhí)行處理。

周期性學習階段，在檢測之前，需要學習系統(tǒng)的正常行為，在這個階段我們提取了兩個特性：周期性脈沖的頻率及大小。我們假設服務的周期性脈沖并不隨著時間而改變，那么也可以通過離線的方式來執(zhí)行分析，并通過網(wǎng)絡管理員來驗證有效性。

比較特征項階段，利用算法進行特征項的選擇。由于特征向量不可能包括所有的情況，所以有必要用一定的算法進行特征選擇。比較特征項階段具體包括如下步驟：

采用Zipf規(guī)則分析周期性學習階段中所存放的正常通信與異常通信。

計算出所屬類別的互信息量。

按照互信息量的大小由大到小進行排序，從最大開始，依次抽取一定數(shù)量的規(guī)則作為特征項（互信息量越大，特征詞屬于此類的可能性也就越大）。

異常檢測階段，將流的建立階段中獲取的數(shù)據(jù)流與比較特征項階段中獲取的特征項進行匹配，若數(shù)據(jù)流與特征項相匹配，則被認定異常，發(fā)出警報并反饋到周期性學習階段。前面已經(jīng)介紹了可被監(jiān)測到的不同類型的異常攻擊，如果異常被監(jiān)測到則發(fā)生報警操作。理想狀態(tài)下報警信息應提供充足的信息，從而可以執(zhí)行相應的操作。如果一個新的周期性脈沖在數(shù)據(jù)流中被檢測到，警報信息中應提供此脈沖源的詳細信息。警報也會反饋到周期性學習階段，來更新特征項庫從而可以適應對周期性的學習。

本實施例所述的基于SCADA系統(tǒng)的周期性異常檢測的方法，本發(fā)明通過對SCADA系統(tǒng)中的傳輸?shù)闹芷谛悦}沖進行獲取，匯總數(shù)據(jù)包，存儲數(shù)據(jù)流，通過周期性學習階段獲取關于周期型脈沖的頻率及大小這兩個特征，并通過比較特征項進行特征項的選取，將數(shù)據(jù)流和特征項進行匹配來判定異常，并發(fā)出警報，提高了工控網(wǎng)絡的安全性。

顯然，上述實施例僅僅是為清楚地說明所作的舉例，而并非對實施方式的限定。對于所屬領域的普通技術人員來說，在上述說明的基礎上還可以做出其它不同形式的變化或變動。這里無需也無法對所有的實施方式予以窮舉。而由此所引伸出的顯而易見的變化或變動仍處于本發(fā)明創(chuàng)造的保護范圍之中。