本發(fā)明公開(kāi)了一種基于工業(yè)SCADA系統(tǒng)的深度包檢測(cè)平臺(tái)，該檢測(cè)平臺(tái)能夠針對(duì)電力系統(tǒng)常用的Modbus/Tcp和IEC 60870?5?104協(xié)議環(huán)境對(duì)系統(tǒng)狀態(tài)進(jìn)行檢測(cè)。該檢測(cè)平臺(tái)包括四部分：工業(yè)SCADA系統(tǒng)仿真平臺(tái)、深度包解析模塊、異常檢測(cè)模塊、入侵模塊。該檢測(cè)平臺(tái)基于SCADA系統(tǒng)中周期輪詢(xún)的典型交互模式，模擬電力系統(tǒng)中的正常網(wǎng)絡(luò)數(shù)據(jù)流，并通過(guò)協(xié)議脆弱性分析和報(bào)文變異實(shí)現(xiàn)對(duì)系統(tǒng)異常狀態(tài)及相應(yīng)網(wǎng)絡(luò)數(shù)據(jù)流的全面模擬。對(duì)報(bào)文字段信息進(jìn)行特征分析和提取，通過(guò)機(jī)器學(xué)習(xí)的方法構(gòu)建系統(tǒng)狀態(tài)模型，實(shí)現(xiàn)對(duì)系統(tǒng)狀態(tài)完整、深入的檢測(cè)。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)控制系統(tǒng)領(lǐng)域，尤其涉及一種對(duì)工業(yè)SCADA系統(tǒng)通訊環(huán)境中的協(xié)議解析和異常檢測(cè)，基于協(xié)議格式及脆弱性構(gòu)建正/異常數(shù)據(jù)集，并通過(guò)機(jī)器學(xué)習(xí)的方法對(duì)系統(tǒng)狀態(tài)進(jìn)行檢測(cè)的平臺(tái)。

背景技術(shù)

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集和監(jiān)測(cè)的過(guò)程控制組件，共同構(gòu)成的確保工業(yè)技術(shù)設(shè)施自動(dòng)化運(yùn)行、過(guò)程控制和監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)，其核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)和確保各組件通信的接口技術(shù)，在我國(guó)石化、電力、樓宇、交通、醫(yī)療、冶金等各領(lǐng)域廣泛應(yīng)用。

隨著信息技術(shù)的高速發(fā)展與工業(yè)化程度的不斷推進(jìn)，信息化與工業(yè)化緊密融合的智能化生產(chǎn)成為發(fā)展趨勢(shì)，工業(yè)控制系統(tǒng)的遠(yuǎn)程通訊需求逐步增強(qiáng)，基于系統(tǒng)特點(diǎn)設(shè)計(jì)的各類(lèi)工控協(xié)議也逐漸應(yīng)用廣泛，而針工業(yè)控制系統(tǒng)，大部分協(xié)議設(shè)計(jì)時(shí)會(huì)更多地考慮協(xié)議通訊過(guò)程中對(duì)系統(tǒng)可用性和通信實(shí)時(shí)性的影響，相對(duì)地忽略了協(xié)議通訊過(guò)程中數(shù)據(jù)的真實(shí)性和保密性，缺乏完整可靠的校驗(yàn)機(jī)制和加密手段，這就導(dǎo)致了入侵者在對(duì)目標(biāo)系統(tǒng)的通訊協(xié)議具備一定知識(shí)后能夠通過(guò)修改或構(gòu)建特定報(bào)文，實(shí)現(xiàn)與PLC的“正常”通訊，從而竊取信息或發(fā)送控制指令，對(duì)目標(biāo)系統(tǒng)進(jìn)行針對(duì)性的破壞。近年來(lái)工控安全領(lǐng)域頻繁出現(xiàn)APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅)攻擊：10年Stuxnet蠕蟲(chóng)病毒入侵伊朗布什爾核電站，導(dǎo)致20％離心機(jī)報(bào)廢，顯著拖延了伊朗核電計(jì)劃的實(shí)施；11年的Duqu木馬、12年的Flame病毒、14年的Havex病毒竊取信息、破壞系統(tǒng)；15年烏克蘭電網(wǎng)遭受BlackEnergy病毒攻擊，60座變電站被攻擊，致使140萬(wàn)用戶(hù)停電；這些事件顯示在電力系統(tǒng)中工控設(shè)備應(yīng)用的廣泛性及其重要性，因此針對(duì)電力系統(tǒng)場(chǎng)景對(duì)其常用的工控協(xié)議進(jìn)行協(xié)議解析和異常檢測(cè)顯得尤為重要。

電力系統(tǒng)場(chǎng)景中常用的工控協(xié)議有Modbus/Tcp和IEC 60870-5-104，Modbus/Tcp為工業(yè)控制領(lǐng)域中應(yīng)用最廣泛的協(xié)議，除電力系統(tǒng)外也大量應(yīng)用于化工、水處理等領(lǐng)域，該協(xié)議采用以太網(wǎng)通用網(wǎng)絡(luò)部件，借助信息行業(yè)的TCP/IP協(xié)議，為用戶(hù)提供了一種開(kāi)放、靈活和標(biāo)準(zhǔn)的通訊技術(shù)；電力系統(tǒng)調(diào)度自動(dòng)化協(xié)議IEC 60870-5-104采用平衡式傳輸，較好地解決了電力自動(dòng)化系統(tǒng)中主站與遠(yuǎn)動(dòng)子站間傳輸延時(shí)的問(wèn)題，具有很好的可靠性、穩(wěn)定性和傳輸效率。針對(duì)這些工控協(xié)議及其應(yīng)用場(chǎng)景，SCADA系統(tǒng)的網(wǎng)絡(luò)通信架構(gòu)一般具有三層結(jié)構(gòu)，從低到高分別為現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層和企業(yè)管理層，網(wǎng)絡(luò)信息主要集中于現(xiàn)場(chǎng)控制層及過(guò)程監(jiān)控層，而過(guò)程監(jiān)控層多為PC機(jī)，數(shù)據(jù)庫(kù)易受入侵者篡改，因此許多相關(guān)研究會(huì)通過(guò)分析網(wǎng)絡(luò)數(shù)據(jù)流來(lái)獲取系統(tǒng)真實(shí)狀態(tài)，由于SCADA系統(tǒng)的特殊性，通訊過(guò)程中通常存在周期輪詢(xún)的交互模式，分析網(wǎng)絡(luò)數(shù)據(jù)流也可以較好地建立系統(tǒng)的正常狀態(tài)模型。

目前，根據(jù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的解析程度，解析信息的利用方式及檢測(cè)算法不同，深度包檢測(cè)方法主要可以分為以下三類(lèi)，分別為基于單包格式的黑/白名單規(guī)則，基于周期輪詢(xún)模式的流量模型和基于變量語(yǔ)義的預(yù)測(cè)模型。

1)基于單包格式的黑/白名單規(guī)則

此類(lèi)深度包檢測(cè)方法多采用Snort檢測(cè)規(guī)則模板，基于特定協(xié)議的格式及應(yīng)用層字段特點(diǎn)分析系統(tǒng)正常狀態(tài)下的網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)協(xié)議相關(guān)知識(shí)部署黑/白名單，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流每條記錄進(jìn)行規(guī)則匹配，對(duì)符合黑名單規(guī)則或不符合白名單規(guī)則的報(bào)文進(jìn)行異常標(biāo)記、警報(bào)。這類(lèi)檢測(cè)方法往往針對(duì)性強(qiáng)，應(yīng)用環(huán)境單一，普適性較差。