本發明提供一種工控現場設備隱蔽攻擊檢測方法，能夠實現對隱蔽攻擊的有效檢測。所述方法包括：將工控對象的觀測輸出與預測的期望輸出進行對比，得到殘差序列并進行殘差預處理；計算殘差序列的排列熵；若殘差序列的排列熵在預設時間間隔內的下降幅度大于預設的第一閾值，則確定工控對象遭遇隱蔽攻擊，否則，則確定工控對象沒有遭遇隱蔽攻擊。本發明適用于工控現場設備隱蔽攻擊檢測。

技術領域

本發明涉及工控信息安全技術領域，特別是指一種工控現場設備隱蔽攻擊檢測方法。

背景技術

工業控制系統(簡稱“工控系統”，Industrial Control Systems，ICS)目前已經廣泛應用于金融、交通、水利、制造、能源、軍工等重要領域，是國家關鍵信息基礎設施中的重要組成部分，直接影響國計民生。

近年來，隨著工控系統與互聯網的不斷融合，以及網絡空間安全形勢日益嚴峻，針對工控系統的攻擊越來越多。2010年的“震網”病毒感染伊朗納坦茲鈾濃縮基地中的工業控制程序，控制生產濃縮鈾的離心機異常加速，超越設計極限，致使離心機報廢、核工廠被迫關閉；2015年“BlackEnergy3”攻擊烏克蘭電網，偽造繼電開關控制指令，斷開電路，同時破壞控制系統的網絡和控制軟件，發起電話DDoS攻擊，阻止控制系統恢復和感知電網異常狀態，導致22萬人失去電力供應；2017年Staggs博士團隊在黑客大會上公開通過物理手段連接美國境內無人值守的風力發電機，入侵并控制風電場控制系統。這一系列安全事件表明，工控領域正成為網絡空間安全對抗的主戰場，工控現場設備是攻擊者的重點攻擊對象，保障工控系統安全穩定運行已成為國家政治、軍事、經濟、社會穩定亟需解決的核心問題之一。

入侵檢測(Intrusion Detection System,IDS)是工控系統安全防護的重要手段之一。由于現代工控系統主要采用“互聯網-企業網-控制網-現場層”四層架構，因此傳統的IT系統入侵檢測技術，如網絡協議分析、網絡流量挖掘等方法可用于檢測針對前三層的網絡攻擊。而現場層與傳統IT系統有顯著不同，該層與物理世界緊密關聯，涉及工控對象、智能傳感器、可編程邏輯控制器、主終端與遠程終端單元等現場設備。雖然工控對象種類繁多，但絕大多數工控對象具有共性特征，即其動態行為可用關鍵過程變量表征，且過程變量值在短時間內不會發生大幅躍變，因此基于工業過程數據分析的入侵檢測技術應運而生。此類技術主要用于檢測針對現場設備的攻擊行為，利用過程分析技術預測工控對象的期望行為，再將其與觀測行為進行對比，根據兩者差異是否超過特定閾值決定是否發出入侵告警。

然而，近年來有研究人員發現了一種針對工控現場設備的更為隱蔽的攻擊行為，能夠躲避現有工控入侵檢測技術，并給系統造成致命的破壞。隱蔽攻擊充分利用絕大多數工控對象動態行為不會在短時間內發生大幅躍變這一共性特征，使工控對象的觀測行為與其期望行為非常接近但不完全一致，從而誘導入侵檢測系統將此類精心設計的微小偏差當作正常測量誤差或噪聲，故不對其作任何處理，因此攻擊者可隱藏其攻擊行為。然而，經過較長時間的累積，攻擊者仍可向目標工控系統中注入足夠多的錯誤信息，導致系統崩潰。近幾年，工控現場設備的隱蔽攻擊逐漸受到重視，國內外研究團隊針對隱蔽攻擊做了前期的探索，取得了初步的成果，如盡可能降低隱蔽攻擊對工控系統的不良影響程度，但目前仍無有效的技術成功檢測出隱蔽攻擊。

發明內容

本發明要解決的技術問題是提供一種工控現場設備隱蔽攻擊檢測方法，以解決現有技術所存在的無法檢測出工控現場設備的隱蔽攻擊的問題。

為解決上述技術問題，本發明實施例提供一種工控現場設備隱蔽攻擊檢測方法，包括：

將工控對象的觀測輸出與預測的期望輸出進行對比，得到殘差序列并進行殘差預處理；

計算殘差序列的排列熵；

若殘差序列的排列熵在預設時間間隔內的下降幅度大于預設的第一閾值，則確定工控對象遭遇隱蔽攻擊，否則，則確定工控對象沒有遭遇隱蔽攻擊。