一種基于關鍵參數(shù)融合校驗的威脅檢測方法及安全裝置的制造方法
【技術領域】
[0001]本發(fā)明屬于工業(yè)控制系統(tǒng)領域,主要地,涉及一種基于關鍵參數(shù)融合校驗的威脅檢測方法及安全裝置。
【背景技術】
[0002]工業(yè)控制系統(tǒng)特別是關鍵基礎設施的工業(yè)控制系統(tǒng),其信息安全是國家安全的重要組成部分。近年來,頻繁出現(xiàn)的各種網(wǎng)絡入侵行為不僅嚴重威脅到關鍵基礎設施的安全穩(wěn)定運行,而且還可能造成人民的生命財產(chǎn)的損失。加強工業(yè)控制系統(tǒng)入侵檢測以提高系統(tǒng)信息安全水平具有重要的理論和現(xiàn)實意義。
[0003]由于工業(yè)控制系統(tǒng)的復雜性,采用單一的防護策略很難確保工控系統(tǒng)的信息安全。針對工控系統(tǒng)的結構特點和工控信息安全需要,縱深防疫技術成為目前主流的一種的工控系統(tǒng)信息安全防護方案??v深防疫方案從技術和管理角度,通過加強安全分區(qū)、邊界入侵檢測、主機入侵檢測和控制網(wǎng)絡入侵檢測等技術手段來實現(xiàn)對工控系統(tǒng)的安全防護,針對工控系統(tǒng)網(wǎng)絡的結構層次性,分層開展入侵檢測和防護。
[0004]然而,這種防護方案更多地吸收了IT系統(tǒng)的信息安全防護技術,忽視了與工控系統(tǒng)本質特點的結合,并且在縱向層面上也缺乏信息融合,其主要缺陷具體表現(xiàn)在:
[0005](I)工控系統(tǒng)是通過分層的網(wǎng)絡結構互聯(lián)從而構成復雜的工控網(wǎng)絡的,現(xiàn)有的縱深防疫技術側重管理層、控制層的威脅檢測,忽視了工控網(wǎng)絡中最重要的現(xiàn)場總線層網(wǎng)絡的檢測。工業(yè)控制系統(tǒng)屬于信息物理融合系統(tǒng),而現(xiàn)場總線網(wǎng)絡直接與對物理過程進行參數(shù)檢測和調節(jié)的設備連接,各種其他的威脅和攻擊必須通過現(xiàn)場總線網(wǎng)絡才能對物理過程和設備產(chǎn)生嚴重的破壞;
[0006](2)工控系統(tǒng)中各種數(shù)據(jù),如測控信息,其在現(xiàn)場總線層、控制網(wǎng)絡層、管理層中是一致的,即任何時刻該變量的數(shù)值都是一致的。通過對工控系統(tǒng)中的關鍵參數(shù)及其對應的時間標度開展縱向校驗,可以發(fā)現(xiàn)控制系統(tǒng)的異常,而網(wǎng)絡入侵很可能就是這種異常的來源?,F(xiàn)有的方案忽視了對不同層級上的數(shù)據(jù)一致性的校驗;
[0007](3)工控網(wǎng)絡數(shù)據(jù)流的核心是工藝生產(chǎn)數(shù)據(jù)、操作指令、控制參數(shù)、設備狀態(tài)信息與控制設備配置參數(shù)等,這與傳統(tǒng)IT系統(tǒng)網(wǎng)絡上的信息流明顯不同,而現(xiàn)有的方案沒有充分利用這一特點開展安全檢測和防護;
[0008](4)工控網(wǎng)絡結構相對穩(wěn)定,工作模式相對處于靜態(tài)。因此,可以針對該特點開展更加有效的工控網(wǎng)絡信息威脅檢測。
【發(fā)明內容】
[0009]鑒于以上問題,本發(fā)明提供了一種縱向分層與層間融合的威脅檢測方法及實現(xiàn)該方法的工業(yè)控制系統(tǒng)信息安全裝置。該方法在結構上仍然屬于縱深防御體系,吸收了傳統(tǒng)解決方案安全分區(qū)、縱向分層和邊界防護的優(yōu)點。但該發(fā)明進一步提出了對工業(yè)控制系統(tǒng)現(xiàn)場總線層進行威脅檢測的方法,以加強對與物理過程緊密接觸的現(xiàn)場總線層的威脅檢測。同時,為了克服以往縱深防御體系在縱向缺乏數(shù)據(jù)融合的缺點,在增加現(xiàn)場總線層威脅檢測的基礎上,以工業(yè)過程關鍵工藝參數(shù)、控制參數(shù)和操作指令等關鍵參數(shù)為檢測引擎,開展縱向層面的信息融合校驗,以發(fā)現(xiàn)在單個檢測層面不能檢測到威脅或異常行為。針對工業(yè)控制系統(tǒng)現(xiàn)場應用的個性化對威脅檢測裝置的個性化需求,該發(fā)明提出了對威脅檢測參數(shù)進行配置的方法。本發(fā)明還提供了實現(xiàn)該方法的安全裝置。
[0010]本申請的具體技術方案如下:
[0011 ] 一種基于關鍵參數(shù)融合校驗的威脅檢測方法,包括如下步驟:
[0012](I)防火墻信息融合單元把邊界防護中的日志、規(guī)則及入侵信息送入到系統(tǒng)級威脅檢測單元,以用于縱向信息融合與校驗;
[0013](2)主機威脅檢測單元屬于應用層檢測,即對工業(yè)控制系統(tǒng)的主機系統(tǒng)(操作員站、工程師站)、0PC(用于過程控制的對象鏈接與嵌入)服務器、OPC客戶機、實時數(shù)據(jù)庫等進行威脅檢測,并把檢測到的異常行為以及從數(shù)據(jù)庫中采集的工業(yè)控制系統(tǒng)中的關鍵參數(shù)實時數(shù)值送入到系統(tǒng)威脅檢測單元,以用于縱向信息融合與校驗;
[0014](3)控制網(wǎng)絡威脅檢測單元采集工業(yè)控制網(wǎng)絡報文,進行報文分析與判斷,確定工控網(wǎng)絡信息流是否正常。如存在異常報文,則把異常報文提取出的關鍵參數(shù)信息,例如關鍵工藝參數(shù)(如反應器壓力)及控制參數(shù)(如比例度、積分時間或微分時間)與操作指令(如設備的啟、停,手動-自動卻換)的信息送入到安全系統(tǒng)威脅檢測單元,以用于縱向信息融合與校驗;
[0015](4)現(xiàn)場總線威脅檢測單元采集現(xiàn)場總線報文,進行報文分析與判斷,以確定現(xiàn)場總線網(wǎng)絡信息流是否正常。如存在異常報文則把異常報文提取出的信息以及關鍵參數(shù)信息送入到系統(tǒng)級威脅檢測單元,以用于縱向信息融合與校驗;
[0016](5)系統(tǒng)級威脅檢測單元把收到的各層威脅檢測初步信息及關鍵參數(shù)進行融合,綜合分析判斷系統(tǒng)安全狀態(tài),給出綜合判斷結果。
[0017](6)安全參數(shù)配置接口為主機威脅檢測、控制網(wǎng)絡威脅檢測和現(xiàn)場總線威脅檢測單元的安全相關參數(shù)進行配置。
[0018](7)安全檢測數(shù)據(jù)庫存儲用戶配置和從防火墻信息融合單元獲得的各種威脅檢測數(shù)據(jù),為各個威脅檢測單元服務。
[0019]該方法針對工業(yè)控制系統(tǒng)的特點和工藝生產(chǎn)安全要求,把關鍵工藝參數(shù)信息及其合法數(shù)值等融入到威脅檢測方法中。
[0020]把操作指令信息融入到威脅檢測方法中,這樣不僅可以檢測外部威脅,而且可以檢測工業(yè)控制系統(tǒng)內部操作人員的誤操作或對系統(tǒng)的非法入侵行為。
[0021 ]該方法把控制參數(shù)信息融入到威脅檢測方法中。
[0022]針對工業(yè)控制系統(tǒng)的分層結構,在傳統(tǒng)的縱深防御的層次結構中,增加了現(xiàn)場總線威脅檢測單元。所述的該單元針對與物理過程最接近的現(xiàn)場總線單元和設備進行威脅檢測,從而實現(xiàn)對現(xiàn)場總線數(shù)據(jù)流的檢測。
[0023]在控制層和現(xiàn)場總線層對控制指令的一致性以及與指令相關的控制參數(shù)的變化率進行檢測。
[0024]可以針對具體的應用場合,通過安全參數(shù)配置接口設置與該應用安全相關的參數(shù)及其閾值,滿足工業(yè)控制系統(tǒng)威脅檢測的個性化需求。
[0025]系統(tǒng)采用統(tǒng)一的安全檢測數(shù)據(jù)庫為各個威脅檢測單元服務。
[0026]所述縱向信息融合校驗包括如下內容:
[0027](I)按照時間戳,將來自監(jiān)控層、控制層和現(xiàn)場總線層的關鍵工藝進行對比,若同一個參數(shù)在不同層之間的數(shù)值差異差超過指定的閾值,則發(fā)出異常的檢測信息;
[0028](2)按照時間戳,將來自監(jiān)控層、控制層和現(xiàn)場總線層的控制參數(shù)進行對比,若同一個參數(shù)在不同層之間的數(shù)值差異差超過指定的閾值,則發(fā)出異常的檢測信息;
[0029](3)按照時間戳,對控制指令在主機、控制和現(xiàn)場總線檢測層的一致性進行校驗。若存在不一致,則系統(tǒng)發(fā)出報警。
[0030]—種工業(yè)控制系統(tǒng)安全裝置,包括防火墻信息融合單元進行邊界防護,主機威脅檢測單元針對控制系統(tǒng)主機異常行為;控制網(wǎng)絡威脅檢測單元檢測控制網(wǎng)絡上的異常行為;現(xiàn)場總線威脅檢測當前單元檢測現(xiàn)場總線上的異常行為;系統(tǒng)級威脅檢測單元綜合上述各層的威脅檢測信息,進行綜合判斷以判斷系統(tǒng)所面臨的威脅等級。安全參數(shù)配置接口為威脅檢測單元(主機威脅檢測、控制網(wǎng)絡威脅檢測和現(xiàn)場總線檢測)的安全相關參數(shù)進行配置。
[0031]本發(fā)明的安全裝置可以針對具體的應用場合,通過安全參數(shù)配置接口設置與該應用安全相關的參數(shù)及其閾值,從而滿足工業(yè)控制系統(tǒng)威脅檢測的個性化需求。
[0032]本發(fā)明的技術效果為:
[0033](I)在結構上增加了現(xiàn)場總線層威脅檢測功能,豐富了層次性,使得工控網(wǎng)絡的威脅檢測更加全面完整;
[0034](2)縱向上加強了面向各層的威脅檢測模塊之間的信息融合,充分利用了各層威脅檢測系統(tǒng)的信息,從而更好地進行整個工控系統(tǒng)的威脅檢測,克服了以往各個縱向層面各自獨立進行威脅檢測存在的問題;
[0035](3)提供了基于關鍵工藝參數(shù)縱向融合和校驗的威脅檢測方法,以加強威脅檢測系統(tǒng)在進行系統(tǒng)威脅檢測上的針對性和全局性,并提出了縱向數(shù)據(jù)融合和校驗的具體方法。
[0036](4)提供了對于工業(yè)控制系統(tǒng)中關鍵的設備,即控制器和測控儀表的檢測,一旦上層威脅檢測單元不能發(fā)現(xiàn)異常行為,則對于控制器和現(xiàn)場測控儀表的檢測有利于發(fā)現(xiàn)這些異常行為對現(xiàn)場層設備的威脅。
[0037]