一种工业控制系统恶意数据攻击的数据图检测方法

摘要

本发明是一种工业控制系统恶意数据攻击的数据图检测方法，该方法首先要在某个正常的工业控制系统中训练，生成工业系统中数据的关系图和运行时刻的状态图G，采用同样的方法，对检测的同类型工业控制系统生成运行时刻状态图G’，若状态图G’的节点或有向边在状态图G中不存在，就可以判断有恶意数据攻击的时刻。与现有的入侵检测技术比较，该发明不属于特征和行为检测，不需要建立特征码，也不需要过滤数据包，仅仅依靠监控室中的数据关系，就可以判断恶意数据攻击发生的时刻，具有不影响工业控制系统的实时性的优点。

说明书

技术领域

本发明公开了一种工业控制系统恶意数据注入攻击检查方法，它属于工业控制系统安全和入侵检测技术领域。

背景技术

工业控制系统中采集的数据被篡改会导致严重的安全事故，当前的入侵检测方法主要有特征检测与行为检测，但是无法检测到此类数据攻击。本发明不同于特征和行为检测，但能够检测到恶意数据攻击工业控制系统的时刻。

工业控制系统所面临的信息安全问题，通常源于企图破坏控制系统操作的恶意威胁等。因而，工业控制系统特别是电力SCADA 系统需要实时检测及防范虚假数据注入攻击，从而提供系统所需的安全网络和控制系统。

2010年信息技术领域发生了很多令人震惊或影响深刻的安全大事，比如维基解密事件、“震网”病毒（Stuxnet) 影响伊朗核电厂的正常并网发电。而其中，“震网”病毒给信息安全界带来的震撼是最巨大的，它的出现让国家关键基础设施安全的概念更加实实在在。作为一个“蠕虫”，Stuxnet 的确具有划时代的意义，这个评价一点都不过分。在2011年的RSA大会上，Symantec 的CEO Salem 特别提到了 Stuxnet，指出 Stuxnet 将游戏从原来以间谍情报为主，提高到针对性地实施“破坏”的新阶段。卡巴斯基实验室创始人及 CEO Eugene Kaspersky 先生则认为 Stuxnet 是一个具有划时代意义的转折点，它将我们带入一个新纪元。以往的网络攻击仅仅是个别的网络罪犯，而现在已经进入网络恐怖主义、网络武器和网络战争时代。“震网”是网络世界出现的第一个攻击现实世界中工业基础设施的病毒，它的出现直接导致伊朗第朗第一座核电站布什尔核电站推迟并网发电，它是第一个以攻击国家关键基础设施安全为目的的网络病毒，是真正意义上的网络武器。一座核电站布什尔核电站推迟并网发电，它是第一个以攻击国家关键基础设施安全为目的的网络病毒，是真正意义上的网络武器。在信息技术领域方面，检测虚假数据入侵，保障系统信息安全迫在眉睫。

现有典型的入侵检测系统，如基于状态估计器的检测方案能检测易被网络攻击的输入量所反映出的异常现象，核心思想是利用主成份分析法把潮流变化量分出常规和非常规子空间，通过对非常规子空间分析判断电力SCADA系统数据是否受到攻击，但模型较为复杂；基于布鲁姆过滤器的模型，这种模型适用于智能电网资源限制型的SCADA系统现场设备，采用的数据结构能有效节省内存，错误判断率取决于所选哈希函数及其它布鲁姆过滤器的参数，但针对恶意软件攻击某类特殊控制组件时显得无能为力，无法满足检测诸如“震网”病毒的注入攻击。

发明内容

本发明的目的是提出一种工业控制系统恶意数据注入攻击检查方法，该发明在注入数据可能落入有效或正常范围内的情况下，也能有效地检测出工业控制系统，特别是电力SCADA系统中的虚假数据注入攻击。本发明为克服现有技术的不足采取以下技术方案实现：

本发明把关联模型定义为不同时刻下各种变量之间的相互关系：

                          （1）

本发明考虑之前定义的两种变量类型的关联模型：

（1）正向关联模型

正向相关模型是一种静态结构，其中所有的系统变量不受时间影响。因此，一个变量当前的状态值仅取决于相同时刻其他相关变量的值。给定电力系统变量，公式(2)反映了这种正向关系。在任意时刻，变量的值取决于其它变量的值，如时刻的变量和变量。

                              （2）

因为在正向相关的结构中，系统变量值不依赖于时间，因而公式（3）可进一步简化为：

                               （3）

（2）反馈关联模型

反馈关联模型是对应于时间的动态结构。在这样的关系中，一个变量当前的状态值不仅取决于相同时刻其他相关变量的值，而且取决于先前状态的一些相关变量的值。公式（4）反映了这种反馈关系。在时刻，变量的值取决于在时刻变量的值和时刻变量的值。

                                      （4）

给定的系统变量，不同模型的各种变量之间的关系。例如，正向数据结构中等于的平方，变量等于；在反馈数据关系结构中，变量等于。

基于该图表的描述，本文还产生了一个关联图。在该图中，虚线表示反馈关联，其中的值取决于和当前值的状态和的先前值的状态。

（3）使用交替向量表示系统状态

假设某组件具有个变量。在每一时刻，某一状态可通过不同变量的一组向量来表示。为此，本文需要存储每个变量的具体值，当这些向量是高维向量时，此方案可能占据大量的存储器空间。本文方案采用交替向量，只记录连续两个状态之间的交替关系，如公式（5）所示。

                                    （5）

对于初始化状态，本文定义。如果变量的值与终值相比增加时，用1来表示这种增加。此外，如果该变量的值与终值相比下降时，用-1来表示下降。如果数值保持相同则记为0。

本文使用一组时间窗口中从到的交替向量来对不断变化的组件进行建模。交替向量的优点是节省每个状态的存储空间，因而本发明对于资源约束型设备是很有效的。

（4）简化的状态关系图

直接使用状态关系图检测可能会带来两个问题：首先，因为本发明必须保存每条边缘线上的时间信息，故需要占据相当大的存储空间来存储训练模型。这可能使得匹配过程复杂化并使得资源受限型设备不堪重负。其次，如果某些状态是不稳定的，严格遵循过渡边缘线的规则可能会导致误判。

因此，本发明需要优化状态关系图并删除每一个边缘线上的时间戳信息。去除时间戳后，状态关系图中存在许多重复边缘线。因此，在第二个步骤中删除整个关系图中的所有重复的边缘线。

本发明与现有技术相比的优点和积极效果是：

（1）提出“一种工业控制系统恶意数据攻击的数据图检测方法”的入侵检测方案，在入侵数据能逃避以往的检测方法的情况下，本发明也能成功检测出入侵数据；

（2）提出“一种工业控制系统恶意数据攻击的数据图检测方法”的新型入侵检测方案，应用数据关系图这一新颖思想构建检测模型，并使用交替向量表示系统状态，能够节省存储空间。

附图说明

图1 为电力SCADA系统示意图；

图2 为本发明的检测模型生成流程图；

图3 为本发明虚假数据注入攻击检测模型；

图4 为本发明的正向关联模型和反馈关联模型；

图5 为本发明的工业控制系统状态关联图；

图6 为本发明的工业控制系统状态关联图简化图。

具体实施方式

下面结合附图对本发明作进一说明。

如图1所示，这是SCADA系统的示意图，给出了SCADA系统的主要部件和常规配置。控制中心包括SCADA服务器（MTU）和通信路由器，还包括HMI，工程师站和数据记录服务器，这些设备通过LAN连接进行通信。本发明允许用户自定义系统变量子集，也提供了另一种自动从SCADA系统中提取独立的组件信息的方式。使用上述方式收集一组这样的系统变量，以共6个不同变量表示。本发明检测流程如图2所示。

接下来对数据进行处理，即找出数据的内在关系。根据不同时刻各变量之间的相互关系可分别得到正向关联图和反馈关联图，如图4所示。收集训练阶段正常状态的所有信息，构建状态关系图，如图5所示，然后检测虚假数据注入攻击是否发生。

本发明从时刻到时刻训练检测模型，所分析的组件中包括共6个不同变量。在每个时间段，本发明基于交替向量时刻的先前状态和当前状态来计算交替向量，对于每一个交替向量都要创建一个图形节点。如果发现该节点之前已经创建则直接使用现有的节点。然后再从状态节点向状态节点创建一条边线，每条边线都标有时间戳。这个过程持续进行，直到在时间窗口中列举出所有状态为止。本发明进一步优化状态关系图并删除每一个边缘线上的时间戳信息。去除时间戳后，状态关系图中存在许多重复边缘线，然后删除整个关系图中的所有重复的边缘线，得到简化的状态关系图，参照附图6。

基于简化的状态关系图，本发明的检测流程如图3所示，具体过程如下：

步骤一：在检测阶段，若发现新交替向量的节点不是状态关系图中的节点，则直接生成一个无效状态的警报。如图7所示，节点16在整个简化状态关系图中处于离散状态，与图中任何一个节点都不匹配。故检测模型发出检测到无效状态的警报，即认为检测到注入攻击的虚假数据。

步骤二：如果新交替向量是关系图中的有效节点，本发明所提出的检测模型需要检查该交替向量能否到达先前状态。若不能到达先前状态则生成一个无效过渡的警报。如图8所示，已知节点13至节点9为可到达状态。而新交替向量状态为节点9至节点13，处于不可到达的状态。红色边线与原本的黑色边线不匹配，则检测模型发出无效过渡的警报，认为检测出注入攻击的虚假数据。