技術領域

本發(fā)明公開了一種基于通信模型的工業(yè)控制系統(tǒng)的入侵檢測方法及系統(tǒng)，屬于信息安全領域。

背景技術

工業(yè)控制系統(tǒng)廣泛應用于電力、水利、污水處理、石油、天然氣、化工、交通運輸、制藥以及大型制造行業(yè)，是工業(yè)自動化和關鍵基礎設施的重要組成部分?，F(xiàn)代工業(yè)控制系統(tǒng)通過在物理系統(tǒng)中深度嵌入計算智能、通信和自動控制能力，并借助新型傳感器和執(zhí)行器實現(xiàn)對工業(yè)生產(chǎn)流程的自動控制。其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)、各種傳感器和執(zhí)行器，以及確保各組件通信的接口組件。

工業(yè)控制系統(tǒng)的首要任務是保障生產(chǎn)順利進行，因此其設計和實現(xiàn)都是圍繞如何滿足生產(chǎn)工藝的控制要求以及如何確保系統(tǒng)可用性展開的，而較少考慮信息安全(Security)。這使得工業(yè)控制系統(tǒng)的通信協(xié)議、系統(tǒng)軟硬件平臺以及信息安全管理等方面都存在很多薄弱環(huán)節(jié)。例如，很多系統(tǒng)存在缺乏安全架構與設計，不及時安裝平臺補丁程序，使用設備默認配置，使用弱口令，使用不安全的工業(yè)控制通信協(xié)議，不使用殺毒軟件等現(xiàn)象。在信息安全保障方面，當今的工業(yè)控制系統(tǒng)比傳統(tǒng)IT系統(tǒng)更加脆弱。

隨著信息化與工業(yè)化融合進程的推進，越來越多的工業(yè)控制系統(tǒng)與企業(yè)的其它網(wǎng)絡甚至與Internet相連，傳統(tǒng)意義上較為封閉并普遍被認為安全的工業(yè)控制系統(tǒng)，逐步暴露在網(wǎng)絡攻擊、蠕蟲、木馬、病毒等威脅之下。近年來針對工業(yè)控制系統(tǒng)的攻擊行為頻繁發(fā)生。例如，1982年的西伯利亞管線爆炸事件，入侵者在輸油管線的SCADA系統(tǒng)中植入木馬并進而控制了輸油管線，造成相當于3千噸TNT的爆炸；1994年美國鹽河項目事件，一名攻擊者通過撥號調(diào)制解調(diào)器越權訪問該項目的計算機網(wǎng)絡并安裝了后門，之后與控制河流的關鍵系統(tǒng)保持了至少5小時的會話，危及水流控制、電力監(jiān)測和傳輸、經(jīng)濟以及客戶信息等；2010年震網(wǎng)病毒攻擊伊朗納坦茲核設施事件，攻擊者編寫的蠕蟲病毒利用Windows系統(tǒng)漏洞和西門子工業(yè)控制系統(tǒng)信息安全缺陷在PCS(過程控制系統(tǒng))中大肆傳播，該病毒通過不斷改變變頻器頻率，使得驅(qū)動離心機的驅(qū)動器不斷在高速和低速之間切換，造成離心機大量損毀。

一些企業(yè)已經(jīng)使用某些安全防護手段保護其工業(yè)控制系統(tǒng)。例如，使用防火墻或安全隔離網(wǎng)閘等設備將企業(yè)信息網(wǎng)與企業(yè)工業(yè)控制網(wǎng)絡隔離，建立縱深安全防護體系，使用加密技術保障傳輸數(shù)據(jù)的機密性，使用認證技術確保登錄用戶擁有合法身份，等等。一些公知的IT領域安全防護方法和策略稍加修改就可以用于保護工業(yè)控制系統(tǒng)，例如工業(yè)控制防火墻就是在IT防火墻上增加對工業(yè)控制流量的過濾和控制能力。而另一些則不能容易地應用到工業(yè)控制領域。例如，IT系統(tǒng)會及時安裝補丁程序以修補安全漏洞，而實際運行的工業(yè)控制系統(tǒng)通常不會輕易安裝補丁程序。一個原因是安裝補丁程序需要事先周密計劃并停產(chǎn)，另一個原因是補丁程序可能影響原有的控制精度。再如，IT系統(tǒng)基本都會安裝殺毒軟件，但工業(yè)控制系統(tǒng)一般不安裝殺毒軟件。殺毒軟件的使用可能使控制設備或工控機的某些功能失效或性能降低，影響系統(tǒng)可用性。由此可見，工業(yè)控制系統(tǒng)的固有特性使得企業(yè)能夠采取的安全防護措施受到諸多限制，不能完全阻斷針對工業(yè)控制系統(tǒng)的入侵和攻擊行為。

綜上，一些公知的信息安全脆弱性在工業(yè)控制系統(tǒng)中根深蒂固，難以排除；針對工業(yè)控制系統(tǒng)的內(nèi)、外部攻擊不能被完全阻斷。因此，需要在工業(yè)控制系統(tǒng)中部署入侵檢測系統(tǒng)，及時發(fā)現(xiàn)入侵，及早報警，盡量避免入侵給工業(yè)生產(chǎn)帶來危害。