适用于工控系统的伪控制指令识别与预警系统及方法

1.本发明涉及信息安全技术领域，具体涉及一种适用于工控系统的伪控制指令识别与预警系统及方法。


背景技术：

2.工控系统不断融入信息系统中通用的互联技术、通信技术、操作系统等，从封闭、孤立的系统逐步走向开放化、互联化、通用化、标准化。与此同时，信息系统的安全脆弱性也引入控制系统，影响工控系统的安全性、可用性。
3.工控系统的安全增强，既是捍卫人身财产安全的必要手段，也是国家法律法规的迫切要求。
4.工控系统一方面接收hmi等外部设备的查询请求，将设备的运行状态实时发送出来，供设备状态监控等功能使用；另一方面，接受hmi等外围设备的控制指令，完成来自操作员的控制操作。工控系统与hmi等外部设备的接口，是实现设备正常功能的前提条件，但是也给信息安全威胁提供了攻击路径。


技术实现要素：

5.本发明针对现有技术中工控系统信息安全防护措施空白的缺点，提供了一种适用于工控系统的伪控制指令识别与预警系统，还提供了一种适用于工控系统的伪控制指令识别与预警系统方法。
6.本发明克服其技术问题所采用的技术方案是：一种适用于工控系统的伪控制指令识别与预警系统，至少包括协议解析模块、异常识别模块和模型库更新模块，经协议解析模块解析后的数据发送至异常识别模块和模型库更新模块；其中，所述协议解析模块被配置为用于对采集数据包的报文格式进行深度解析和关键字段提取，通过数据包的完整性与合法性校验，对进入异常识别模块的数据包进行初步过滤；所述异常识别模块被配置为用于根据从模型库更新模块中获得的安全通信规则校验库的规则，对进入异常识别模块的数据包进一步校验，识别网络通信中的异常并报警；所述模型库更新模块被配置为通过解析数据包中关键字段及其之间的关系，采用人工梳理与机器学习结合的方法构建并更新安全通信规则校验库。
7.进一步地，所述协议解析模块进行协议解析的内容至少包括：报文头部解码、数据链路层解码、网络层解码、传输层解码、应用层解码与协议识别。
8.进一步地，所述模型库更新模块至少由规则提取、规则对比、添加规则和安全通信规则校验库构成；安全通信规则校验库至少包括访问控制库、合法命令库、参数规则库和安全行为库。进一步地，所述异常识别模块中，对进入异常识别模块的数据包至少进行访问控
制权限校验、非法命令识别、参数合法性校验和异常行为识别。
9.进一步地，采用人工梳理与机器学习结合的方法，构建并更新安全通信规则校验库，具体包括：通过人工梳理方法，对抓取到的通信数据包进行离线分析，对通信参与方的身份、协议、通信协议进行初步分析，构建通信模型白名单；通过对网络扫描行为、网络渗透行为、网络攻击行为的分析，构建通信行为黑名单；通过机器学习方法，实时分析线上流量，识别其通信行为，并记录数据包信息、决策流程、模型修改情况。
10.本发明还公开了一种基于上述所述的适用于工控系统的伪控制指令识别与预警系统的方法，至少包括步骤：s1、采集交换机到工控系统的数据包，发送至协议解析模块；s2、对步骤s1采集的数据包进行完整性与合法性校验；s3、将步骤s2处理后的数据包同步发送至异常识别模块和模型库更新模块；s4、异常识别模块接收到步骤s3的数据包后，与模型库更新模块的安全通信规则校验库中的规则进行比对：若一致，则不作处理；若不一致，则发出预警信号；s5、模型库更新模块接收到步骤s3的数据包后，经过人工梳理与机器学习结合的方法，构建安全通信规则校验库，并将更新的安全通信规则校验库反馈至步骤s4。
11.进一步地，步骤s1具体包括：首先，将采集的数据包至少通过报文头部解码、物理层解码、数据链路层解码、网络层识别、ipv4报文解码、传输层识别、tcp报文解码、ads协议标识符和应用层头部解码，进行功能解析；然后，至少通过逻辑线圈、离散量输入、输入寄存器和保持寄存器方法，进行内存地址解析、数据长度解析、数据解析。
12.进一步地，所述步骤s4具体包括：首先，通过人工梳理构建异常行为规则；然后，将上述异常行为规则转化为机器学习模型，以筛选正常行为进而构建安全行为库；最后，基于得到的安全行为库对网络行为进行分析，从而识别异常行为。
13.进一步地，所述步骤s5具体包括：首先，对网络扫描行为、网络渗透行为、网络攻击行为进行分析，构建通信行为黑名单；其次，通过机器学习方法，收集符合正常通信特征且不在现有通信模型内的数据包，自动构建新的模型规则，同时，记录数据包信息、决策流程、模型修改情况。
14.本发明的有益效果是：本发明实现的伪控制指令识别与预警系统具有学习模式和校验模式两种运行状态，学习模式下得到的通信规则需经操作员确认后方可添加到安全通信规则校验库，校验
模式下若安全通信规则校验库中定义的规则不符，则检测到伪控制指令并向系统发出预警信号。
附图说明
15.图1为本发明实施例所述的适用于工控系统的伪控制指令识别与预警系统的原理框图。
具体实施方式
16.为了便于本领域人员更好的理解本发明，下面结合附图和具体实施例对本发明做进一步详细说明，下述仅是示例性的不限定本发明的保护范围。
17.实施例1、如图1所示，本实施例所述的适用于工控系统的伪控制指令识别与预警系统，至少包括协议解析模块、异常识别模块和模型库更新模块，经协议解析模块解析后的数据发送至异常识别模块和模型库更新模块。
18.本实施例中，所述协议解析模块被配置为用于对采集数据包的报文格式进行深度解析和关键字段提取，通过数据包的完整性与合法性校验，对进入异常识别模块的数据包进行初步过滤。
19.进一步地，所述协议解析模块，首先按照协议数据包封装的格式进行拆包，根据报文头部信息确定数据链路层、网络层、传输层及应用层信息，之后按照该层协议格式进行解码，获取该层信息、检查报文是否符合协议规范，从而实现协议解析。具体地，所述协议解析模块进行协议解析的内容至少包括：报文头部解码、数据链路层解码、网络层解码、传输层解码、应用层解码与协议识别。其中，报文头部解码，主要对数据包中固定的头部信息进行解析，解析数据包中数据链路层协议标识符及报文总长度。数据链路层解码，主要对数据包中的源mac地址、目标mac地址及网络层协议标识符进行解析。网络层解码，主要对数据包中的源ip、目标ip及传输层协议标识符进行解析。传输层解码，主要对数据包中的源port、目标port进行解析。应用层解码与协议识别，是协议深度解析的主要部分，通常包括应用层头部和数据部分信息的解析。
20.本实施例中，所述异常识别模块被配置为用于根据从模型库更新模块中获得的安全通信规则校验库的规则，对进入异常识别模块的数据包进一步校验，识别网络通信中的异常并报警，在本实施例中，是基于安全通信规则校验库识别通信网络中的伪控制指令并产生报警信号。
21.具体地，所述异常识别模块中，对进入异常识别模块的数据包至少进行访问控制权限校验、非法命令识别、参数合法性校验和异常行为识别。其中，访问控制权限校验：用于对通信双方进行身份识别，并进行主机访问权限校验、命令权限校验、数据访问权限校验，监控通信网络是否存在未知参与方、未知用户、未授权操作等，从而确保通信系统安全可靠。非法命令识别：在通信身份识别的基础上，进一步进行未定义命令检测、禁用命令监测、未授权命令监测。参数合法性校验：用于校验数据包中命令字与参数是否匹配，从而监测通信系统的安全威胁。异常行为识别：主要用于识别数据包序列是否满足安全行为库，及设备状态迁移是否满足通信系统状态迁移模型。
22.本实施例中，所述模型库更新模块被配置为通过解析数据包中关键字段及其之间的关系，采用人工梳理与机器学习结合的方法，构建并更新安全通信规则校验库。具体地，采用人工梳理与机器学习结合的方法，构建并更新安全通信规则校验库，具体包括：通过人工梳理方法，对抓取到的通信数据包进行离线分析，对通信参与方的身份、协议、通信协议进行初步分析，构建通信模型白名单，可以覆盖常用的控制场景；通过对网络扫描行为、网络渗透行为、网络攻击行为的分析，构建通信行为黑名单，为通信网络划定合法的外边界；通过机器学习方法，实时分析线上流量，识别其通信行为，并记录数据包信息、决策流程、模型修改情况，以便后续进行人工复盘、审查、确认操作。
23.具体地，所述模型库更新模块至少由规则提取、规则对比、添加规则和安全通信规则校验库构成，用于更新安全通信规则校验库以定义允许的网络通信行为。安全通信规则校验库至少包括访问控制库、合法命令库、参数规则库和安全行为库。其中，访问控制库：基于网络数据包的源/目的地址获取通信网络拓扑，基于网络数据包的统计分析获取内存地址的访问权限，构建访问控制库，进而实现异常内存访问或主机访问的识别。合法命令库：识别协议命令并依据通信系统结构分析构建合法命令库，实现未定义或禁用命令识别。参数规则库：基于功能分析确定数据包参数规则与命令的依赖关系，识别并构建参数规则库，实现参数合法性校验。安全行为库：通过离线分析与在线学习，辅以在线学习结果校核确认，利用通信系统状态迁移与数据包顺序梳理的分析结果，构建基于行业的安全通信行为模型，实 现通信行为异常识别。
24.实施例2、在实施例1所述的一种适用于工控系统的伪控制指令识别与预警系统的基础上，本实施例公开了一种适用于工控系统的伪控制指令识别与预警系统的方法，至少包括步骤：步骤s1、采集交换机到工控系统的数据包，发送至协议解析模块。
25.具体地，首先，将采集的数据包至少通过报文头部解码、物理层解码、数据链路层解码、网络层识别、ipv4报文解码、传输层识别、tcp报文解码、ads协议标识符和应用层头部解码，进行功能解析；然后，至少通过逻辑线圈、离散量输入、输入寄存器和保持寄存器方法，进行内存地址解析、数据长度解析、数据解析。
26.步骤s2、对步骤s1采集的数据包进行完整性与合法性校验。
27.步骤s3、将步骤s2处理后的数据包同步发送至异常识别模块和模型库更新模块。
28.步骤s4、异常识别模块接收到步骤s3的数据包后，与模型库更新模块的安全通信规则校验库中的规则进行比对：若一致，则不作处理；若不一致，则发出预警信号。
29.具体地，异常识别模块，首先，通过人工梳理构建异常行为规则；然后，将上述异常行为规则转化为机器学习模型，以筛选正常行为进而构建安全行为库；最后，基于得到的安全行为库对网络行为进行分析，从而识别异常行为。
30.步骤s5、模型库更新模块接收到步骤s3的数据包后，经过人工梳理与机器学习结合的方法，构建安全通信规则校验库，并将更新的安全通信规则校验库反馈至步骤s4。
31.具体地，首先，对网络扫描行为、网络渗透行为、网络攻击行为进行分析，构建通信行为黑名单，为通信网络划定合法的外边界；其次，通过机器学习方法，收集符合正常通信特征且不在现有通信模型内的数据包，自动构建新的模型规则，丰富现有模型；同时，记录
数据包信息、决策流程、模型修改情况，以便后续进行人工复盘、审查、确认操作。
32.通过实施例1所述的协议解析模块、异常识别模块和模型库更新模块，并通过本实施例所述的几个步骤共同配合、共同作用，实现了工控系统的伪控制指令识别与预警功能。
33.以上仅描述了本发明的基本原理和优选实施方式，本领域人员可以根据上述描述做出许多变化和改进，这些变化和改进应该属于本发明的保护范围。