CN111338297A - 一种基于工业云的工控安全框架*** - Google Patents
一种基于工业云的工控安全框架*** Download PDFInfo
- Publication number
- CN111338297A CN111338297A CN201911421230.4A CN201911421230A CN111338297A CN 111338297 A CN111338297 A CN 111338297A CN 201911421230 A CN201911421230 A CN 201911421230A CN 111338297 A CN111338297 A CN 111338297A
- Authority
- CN
- China
- Prior art keywords
- ics
- devices
- industrial
- intrusion detection
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 claims abstract description 42
- 230000007123 defense Effects 0.000 claims abstract description 11
- 238000004891 communication Methods 0.000 claims abstract description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012806 monitoring device Methods 0.000 claims description 3
- 208000030507 AIDS Diseases 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 19
- 230000000694 effects Effects 0.000 description 17
- 238000000034 method Methods 0.000 description 13
- 230000007704 transition Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000003044 adaptive effect Effects 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 239000011159 matrix material Substances 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000007789 gas Substances 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 208000036829 Device dislocation Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005272 metallurgy Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
- G05B19/4185—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/30—Nc systems
- G05B2219/31—From computer integrated manufacturing till monitoring
- G05B2219/31088—Network communication between supervisor and cell, machine group
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Manufacturing & Machinery (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于工业云的工控安全框架***,负责工控网络数据通信的安全,包括内容交付网络,所述内容交付网络,包括入侵检测及防御***模块、隐马尔可夫模型模块和交付策略模块,负责每一个ICS设备的实时入侵检测、基于隐马尔可夫模型模块预测移入或移出虚拟蜜罐设备的概率和基于交付策略模块的它们设备之间的数据交付。通过本发明,可以做到ICS***的安全可控。
Description
技术领域
本发明涉及计算机、网络安全、网络管理和自动控制的技术领域,尤其涉及到一种基于工业云的工控安全框架***。
背景技术
工业控制***ICS(industrial control systems)用于国家关键基础设施的管理和维护,国家关键基础设施通常分布在不同的地理位置,如冶金、天然气管道、水资源、电力。经营这些的企业,为了能够实现对分布在不同的地理位置的基础设施的集中管控,引进了工业云。由于近年来5G(Fifth Generation Mobile Communications System第五代移动通信)技术的商用和它的优异性能,提升了工业云的实时性和实现了万物互联,因此,满足了ICS的实时控制的需求。基于工业云的工控网络,一般由可编程逻辑控制器(PLCProgrammable Logic Controllers)、人机界面(HMI Human Machine Interface)、主终端单元(MTU Master Terminal Unit)和远程终端单元(RTU Remote Terminal Unit)等几个子组件组成。这些子组件部署在工业云的虚拟机VM(virtual machine)上,接收ICS现场设备采集数据,并进行运算及其将运算结果输出到ICS现场控制设备,实现生产过程的自动化。这些就构成了ICS***。然而,ICS现场设备采集数据和进行运算及其将运算结果输出到ICS现场控制设备的数据,一旦被篡改,造成的后果不堪想象。因此,迫切需要一种基于工业云的工控安全框架***以实现对ICS***所覆盖的工业设备的安全预防措施。
发明内容
为了解决上述技术问题,本发明提供了一种基于工业云的工控安全框架***,以应对传统的安全解决方案已不再适合基于工业云的ICS***的网络安全。
一种基于工业云的工控安全框架***,其特征在于,保护工控网络数据通信的安全,所述***,还包括内容交付网络;
所述内容交付网络,包括入侵检测及防御***模块、隐马尔可夫模型模块和交付策略模块,负责每一个ICS设备的实时入侵检测、基于隐马尔可夫模型模块预测移入或移出虚拟蜜罐设备的概率和基于交付策略模块的它们设备之间的数据交付;
所述入侵检测及防御***模块,负责监视ICS***的所有设备,包括基于误用的入侵检测***MIDS、基于异常的入侵检测***AIDS和基于网络的入侵检测***NIDS;
所述隐马尔可夫模型模块,对ICS***的所有设备进行分类,并提供将受到攻击的设备转移到虚拟蜜罐设备中的概率和从虚拟蜜罐设备移出的设备的概率;
所述交付策略模块,包括安全可信策略、负载均衡策略和就近交付策略;
所述安全可信策略,将ICS设备采集的数据交付给安全可信的LD设备,以保证数据的安全可靠和它的内容不被篡改;
所述负载均衡策略,以平衡可用ICS***的所有设备的负载,将计算任务交付给负载轻的LD设备;
所述就近交付策略,将数据交付给最近或次最近的LD设备,满足ICS***的实时性要求。
进一步地,所述虚拟蜜罐设备,负责监控虚拟蜜罐设备中的设备、生成恶意ICS设备的日志文件、更新攻击数据库、生成入侵检测规则,并同步到内容交付网络的入侵检测及防御***模块中。
本发明的技术效果在于:
在本发明中,提供了一种基于工业云的工控安全框架***,负责工控网络数据通信的安全,包括内容交付网络,所述内容交付网络,包括入侵检测及防御***模块、隐马尔可夫模型模块和交付策略模块,负责每一个ICS设备的实时入侵检测、基于隐马尔可夫模型模块预测移入或移出虚拟蜜罐设备的概率和基于交付策略模块的它们设备之间的数据交付。通过本发明,可以做到ICS***的安全可控。
附图说明
图1是一种基于工业云的工控安全框架***的ICS分层结构示意图;
图2是一种基于工业云的工控安全框架***的部署示意图;
图3是一种基于工业云的工控安全框架***的示意图;
图4是一种基于工业云的工控安全框架***的内容交付网络工作流程示意图;
图5(1)是一种基于工业云的工控安全框架***的一阶马尔可夫一般转移图的示意图;
图5(2)是一种基于工业云的工控安全框架***的二阶马尔可夫一般转移图的示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
随着工业控制现场智能应用的增加,以及减少数据采集和数据处理阶段之间延迟的要求,已有技术提供了许多解决方案。例如,有的让数据处理在网络设备上执行,这些设备可以是路由器、网关或交换机,而不是向距离较远的服务器发送数据。不希望在这样的服务器上运行实时性强的工业ICS现场智能应用(即其性能受网络延迟的影响),是为了能够获得实时和快速的计算结果。运行实时性强的工业ICS现场智能应用的另一种选择是在靠近数据采集节点的设备上执行其数据处理(就近处理策略)。具有计算能力且靠近数据采集节点的设备,一般是网络设备,诸如路由器、网关和交换机。也就是说,已有技术设想使用这些网络设备并创建一个边缘计算来处理实时性强的工业智能应用。与一般的云计算相比,这种边缘计算设备将为智能应用提供较少的延迟,但是与云计算相比,无法获得较好的计算能力。因此,安全可信的工控网络的建设势在必行。
图1为一种基于工业云的工控安全框架***的ICS分层结构示意图,它的最底层包含数据采集设备、视频摄像设备和执行器,这些设备可以是传感器、RFID标签、摄像头、物联网(IOT)设备,以及变频电机设备。它们将负责采集实时数据,并将这些数据通过智能应用(例如,控制器)进行处理后做出实时决策(例如,向执行器输出调节煤气阀门的开度)。它的中间层由用于将数据在最低层设备和工业云计算基础设施之间进行通信的现场的网络设备所组成,该层可以充当现场网络设备层,可以处理部分或全部计算,从而使工业应用性能不受网络延迟的影响。最上层是工业云层,主要由虚拟机组成。如果现场网络设备层没有免费的计算资源,那么它可以将请求直接发送到工业云层基础设施中进行计算。即使数据处理在现场网络设备层完成,那么原始数据、中间数据和计算结果最终也需要存储到工业云计算基础设施上,为方便起见,下面将各层的ICS设备简称为设备。
在工业ICS环境中,设备在任何情况下都可以被多个智能应用使用,不同的用户会引起网络安全问题。如果黑客对设备进行攻击,ICS***的传感器会得到错误的采集数据和提供错误的输出数据,这是非常危险的事情,例如,错误地打开了煤气阀门,会造成工厂大***和人员伤亡的恶果;而且网络攻击还会影响ICS***的性能,以及被黑客攻击的设备还可能与竞争对手共享数据等不愿看到的事情。目前,已有的安全协议在提供数据处理或计算之前对每个设备进行身份验证。但是,如果经过身份验证的设备被黑客攻击,那么情况就会变得更糟,因为ICS***中的设备在工控网络中具有某些权限才能访问。因此,对ICS环境的网络攻击可以大致分为两大类:(1)未经验证的网络攻击;(2)未经授权的网络攻击。如果设备未经身份验证并试图攻击ICS***中的设备,则此网络攻击称为未经身份验证的网络攻击或外部网络攻击。但是,如果网络攻击的设备经过身份验证,并且在应用程序的安全可信的网络中,则它被称为未授权或内部网络攻击。对通过身份验证的设备进行跟踪,因为它们在工控网络中具有一定的使用权限。根据美国网络犯罪2013年的一份调查,所有网络攻击中,有34%是内部网络攻击,31%是外部网络攻击,其余35%的网络攻击无法归类为内部或外部网络攻击。Furnell(2004)进行的另一项调查表明,***安全管理员更加了解和关注外部网络攻击,而无视大多数内部网络攻击。由于ICS***是一个多用户的体系结构,不同的应用程序之间可以共享资源,因此很难识别出内部网络攻击者。在ICS***中,内部网络攻击所造成的破坏性也很高,因为使用实时数据的应用程序是关键性的应用程序。例如,如果一个应用程序处理实时气象数据并预测洪水或其他自然灾害,那么被攻击的设备提供虚假数据的后果可能是灾难性的。因此,迫切需要一种工控网络安全框架来保护ICS服务免受恶意设备的攻击。对ICS***恶意设备攻击进行积极预测,将使设备在ICS中得到更好和安全的部署。
概率论和统计学中的卡尔曼滤波、线性滤波和非线性滤波技术均可以被应用到本申请中,其中的马尔可夫模型就是一个典型的例子(详见图5(1)、图5(2)和下文的表1)。马尔可夫模型是满足马尔可夫性质的随机模型,它表明未来事件发生的概率取决于当前状态而不是过去状态。而隐马尔可夫模型是中间状态不被观察或隐藏的一种马尔可夫模型。马尔可夫模型被用于基于当前用户活动的网络安全和评估。利用隐马尔可夫模型可以根据ICS设备的活动性来预测恶意设备的发生概率。在本申请中,利用两阶隐马尔可夫模型对恶意设备进行搜索,并根据其最近的活动将其转移到虚拟蜜罐设备上。蜜罐是***管理员设置的一个陷阱,是ICS***的真实诱饵,用来引诱ICS***上的网络攻击者。蜜罐可以是计算机、应用程序或数据,可以模拟ICS***的真实行为并记录攻击者的攻击路径。不同于入侵检测***(IDS)、入侵检测及预防***(IDPS)和防火墙,蜜罐允许用户攻击它们。正确地安装蜜罐可以提高ICS***的效率和安全性;但是,如果蜜罐是静态的,攻击者知道它的位置,那么它的存在价值会在一定程度上减弱。为了使本申请提出的工控网络安全框架更具自适应性,建议采用虚拟蜜罐设备,且蜜罐的位置是动态变化的,恶意设备永远不知道蜜罐的确切位置。与传统的蜜罐相比,虚拟蜜罐技术不仅可以防止蜜罐的身份曝光,而且还易于部署。虚拟蜜罐设备就像一个虚拟机映像,可以很容易地部署在任何可用的管理程序VM(Virtual Machines,虚拟机)上。根据网络攻击的级别和严重程度,虚拟蜜罐设备可以自动扩展其资源容量,使其更适应恶意设备的任何级别和数量的网络攻击。
恶意设备网络攻击可能是任何ICS***中的主要瓶颈,根据工业现场智能应用程序的重要性,其后果可能会更加严重。本申请的主要目的是设计一个有效的工控网络安全框架,在ICS中识别恶意设备,并将恶意设备的工作转移到虚拟蜜罐设备中,使ICS***在本质上更加安全和具有自适应性。
为了实现上述目标,本申请提出了一种基于工业云的工控网络安全框架,该安全框架由三部分所组成,用于缓解恶意设备。在第一部分,所有使用ICS***运行其服务的设备都要受到内容交付网络中的IDS的监视。内容交付网络由两个模块组成,即IDS和马尔可夫模型。在第二部分,内容交付网络使用马尔可夫模型模块对设备进行分类,并提供将设备转移到虚拟蜜罐设备的可能性或概率。内容交付网络的马尔可夫模型模块也有助于降低入侵检测***的误报率。在第三部分,虚拟蜜罐设备监控恶意设备,生成攻击者活动的日志文件,并将其保存在攻击数据库中。攻击数据库是本申请用来防止将来的未知攻击的发生,使***更具自适应性。本申请还能够基于马尔可夫模型模块产生的概率,从虚拟蜜罐设备中恢复合法的边缘设备。
一般地,ICS***包括HMI(Human Machine Interface人机界面)、工程师站、远程诊断工具、数据库、控制器、传感器和执行器。这些组件之间的通信依赖于工业网络协议。HMI用于监控受控过程,并能显示历史状态信息。传感器和执行器一般部署在ICS现场,而控制器可以部署在工业云的VM中;另外,工程师站、HMI和远程诊断工具均可以部署在工业云的VM中。工程师站用于配置控制算法和调整控制参数。远程诊断工具用于预防、识别和恢复异常情况,或诊断和修复故障。控制器可以通过PLC来实现,用于控制工业生产过程。传感器(如温度和压力传感器)可以实时监测和收集数据,执行器(如阀门、电机和开关)执行控制器命令。工业网络协议是一种网络协议,例如,Modbus/TCP,控制器通过它与子控制器、工程师站、人机界面HMI、执行器或传感器通信。ICS控制回路的控制过程主要包括将测量数据从传感器传输到控制器,以及将控制数据从控制器收集和传输到执行器。随后,传感器根据控制过程收集新的测量数据,并再次将测量数据传输给控制器,形成闭环控制。在工业生产区,受控过程通常在几毫秒到几天的周期时间内连续运行。由此可知,这些控制数据和测量数据,如果受到网络攻击而一旦被篡改,则造成的严重后果是无法估量的。
图2是一种基于工业云的工控安全框架***的部署示意图,该工业云可以是基于RT Hypervisor(实时Hypervisor),工业云可以位于企业的地理范围内。也可以是企业Intranet范围内,主要用于部署本申请的工控网络安全框架模块和ICS***的应用或子***等,其中,安全框架模块部署在CVM(Control VM)上,而ICS***的应用或子***可以部署在VM上。工业云部署完成后,用户可通过电脑、平板、手机多种终端方式,实时关注、控制工厂生产流程和设备运行状态。
在本申请中,ICS中的设备可以分为四类:合法设备LD(Legitimate Device)、敏感设备SD(Sensitive Device)、受攻击设备UD(Under-attack Device)和黑客设备HD(HackedDevice)。LD是那些设备,它们以正确的方式使用它们拥有的权限,并且从未试图破坏ICS***的安全性。SD是那些设备,它们向ICS***发送很少的假数据点(SD可能会无意中发送虚假数据,或者可能受到一些业余黑客的攻击,但对于这样的设备还需要仔细监控),业余黑客没有受过良好的训练,但会发起对ICS整个***有影响的攻击,如破坏密码,多次发送验证码请求。UD是一些受到专业黑客攻击的设备,必须立即加以防范;专业黑客是经过充分训练的黑客,他们对ICS***发起非常恶劣影响的网络攻击,这些网络攻击可以是***级的,可以阻止整个应用程序。HD是这样的设备,据IDS预测,这些设备正在被黑客攻击,并向ICS***发送连续的假数据,若这些设备保持活动,则需要转移到虚拟蜜罐设备中,以便能够成功地预测到攻击者的路径。
图3是一种基于工业云的工控安全框架***的示意图。它给出了本申请所建议的工控网络安全框架,该安全框架包括内容交付网络。所述内容交付网络包括入侵检测及防御***模块、隐马尔可夫模型模块和交付策略模块,负责每一个ICS设备的实时入侵检测、基于隐马尔可夫模型模块预测移入或移出虚拟蜜罐设备的概率和基于交付策略模块的它们设备之间的数据交付。所述入侵检测及防御***模块,负责监视ICS***的所有设备,包括基于误用的入侵检测***MIDS、基于异常的入侵检测***AIDS和基于网络的入侵检测***NIDS。所述隐马尔可夫模型模块,对ICS***的所有设备进行分类,并提供将受到攻击的设备转移到虚拟蜜罐设备中的概率和从虚拟蜜罐设备移出的设备的概率。所述交付策略模块,包括安全可信策略、负载均衡策略和就近交付策略。所述安全可信策略,将ICS设备采集的数据交付给安全可信的LD设备,以保证数据的安全可靠和它的内容不被篡改。所述负载均衡策略,以平衡可用ICS***的所有设备的负载,将计算任务交付给负载轻的LD设备。所述就近交付策略,将数据交付给最近或次最近的LD设备,满足ICS***的实时性要求。进一步地,所述虚拟蜜罐设备,负责监控虚拟蜜罐设备中的设备、生成恶意ICS设备的日志文件、更新攻击数据库、生成入侵检测规则,并同步到内容交付网络的入侵检测及防御***模块中。
如图3所示的安全框架,能够识别恶意设备,使ICS***在本质上更具自适应性。当检测到一种特定类型设备的黑客攻击路径时,ICS***就变得具有自适应性,它被存储在攻击数据库中,以便将来能够防止这种情况再次发生。在本申请中,所有设备之间的数据交付都都要通过位于ICS环境中的内容交付网络来进行,内容交付网络含有多个交付策略,例如,安全可信策略、负载均衡策略、就近交付策略等。所述安全可信策略,将数据交付给安全可信的设备,以保证数据的安全可靠和内容不被篡改等;所述负载均衡策略,以平衡可用ICS设备资源的负载,可以将计算任务交付给负载轻的设备。所述就近交付策略,将数据交付给最近或次最近的ICS***的设备。当在ICS上提出服务请求时,内容交付网络会在IDS的持续监视下向LD设备应用程序提供服务。
当IDS检测到任何网络攻击时,它会生成攻击告警并触发对ICS设备的入侵检测。IDS向Markov1发送设备标识和攻击类别。马尔可夫1是计算设备及其攻击类别概率的入侵检测的马尔可夫模型。马尔可夫2是这样的马尔可夫模型,它根据马尔可夫1发送的信息预测设备是否应转移到虚拟蜜罐设备中。内容交付网络持续监控每个设备的活动,并使用Markov1更新设备的转移概率矩阵值。被移到虚拟蜜罐设备的ICS设备进行连续监控。如果在虚拟蜜罐设备上被检测到LD,则使用markov3计算设备的LDP(Legitimate DeviceProbability),并将该值发送给markov4。马尔可夫3是虚拟蜜罐设备的一阶马尔可夫模型,马尔可夫4是虚拟蜜罐设备的二阶马尔可夫模型。Markov4预测是否将设备移回LD状态。同时,它监视HD的所有活动,并在最后生成日志文件。所有日志文件都保存在攻击数据库中。攻击数据库有助于内容交付网络在将来防止该类型的攻击的发生。
内容交付网络将每个ICS设备的数据交付请求定向到合法的设备上,它通过使用所部署的IDS监视每个设备设备的活动。内容交付网络的IDS可以是多种类型的IDS的组合,例如,基于误用的入侵检测***(MIDS)、基于异常的入侵检测***(AIDS)和基于网络的入侵检测***(NIDS)。MIDS分析所有设备活动,如果任何设备滥用其权限,则会生成攻击告警。AIDS分析所有设备的活动,当设备被检测到某些异常行为时,会生成攻击告警。NIDS分析ICS工控网络的流量,并发现网络拥塞时生成攻击告警。
利用内容交付网络中嵌入的马尔可夫模型模块,可以帮助内容交付网络根据设备交付数据的请求和IDS***生成的数据识别恶意设备。当对设备发起攻击时,IDS生成攻击告警,并将检测到的设备信息发送到内容交付网络的马尔可夫模型模块中。马尔可夫模型根据入侵检测***IDS的信息,预测设备是否应该转移到虚拟蜜罐设备中,详见图4给出的入侵检测的工作流程图。一阶马尔可夫模型(Markov1)从IDS生成的输出预测设备类别和被移到虚拟蜜罐设备的概率。二阶马尔可夫模型(Markov2)根据设备类别和设备的移动概率来决定是否在虚拟蜜罐设备上移走该设备。
虚拟蜜罐设备负责生成恶意设备活动的日志文件,与防火墙或IDS不同,虚拟蜜罐设备不提供攻击保护,但能够检测攻击路径并生成网络攻击日志文件。日志文件存储在攻击数据库中,内容交付网络使用这些文件所生成的入侵检测规则来检测将来发生的相同类型的攻击。虚拟蜜罐设备还负责在虚拟蜜罐设备上找到因误报而被误移入的LD。为了能够在虚拟蜜罐设备上检测LD,利用蜜罐二阶马尔可夫模型。
本申请的虚拟蜜罐设备对恶意设备进行监控,并对误入虚拟蜜罐设备的LD进行识别。虚拟蜜罐设备监视器测量恶意设备的每个活动,并将其结果发送到日志文件生成器中。在这里,日志文件生成器生成恶意设备活动的日志文件,并将其保存到攻击数据库中。该攻击数据库有助于在将来防止未知的攻击,因而具有自适应性。当被监控的恶意设备被虚拟蜜罐设备的监控器检测为LD时,立即用markov3计算其LDP。之后,马尔可夫4在LDP的基础上决定是否将设备移回。
图5(1)是一种基于工业云的工控安全框架***的一阶马尔可夫一般转移图的示意图,图5(2)是一种基于工业云的工控安全框架***的二阶马尔可夫一般转移图的示意图。运用概率论和统计学中的卡尔曼滤波、线性滤波和非线性滤波技术,存在现实世界用于预测未来的重要产出。马尔可夫模型根据***的当前结果而不是过去的活动来预测未来结果的概率。利用隐马尔可夫模型提高马尔可夫模型的性能。该模型能够预测隐态***的下一个状态,而隐态是马尔可夫模型无法预测的。本申请采用隐马尔可夫模型检测设备的未来行为。它还决定在什么情况下是否移出虚拟蜜罐设备上的设备,因为合法的设备在任何时间都有可能在其他设备的帮助或不帮助下被黑客攻击。本申请的两阶马尔可夫模型分析了当一个入侵检测***对设备的工作产生攻击告警时的每个设备的特征(马尔可夫模型的术语如下表1)。
由于多个ICS设备将不同类型的数据交付到设备进行计算,应用传统的IDS会产生大量的误报。因此,本申请也能够降低传统IDS的误报率,以使本申请更有效。当IDS检测到设备上的恶意活动时,会生成攻击告警,并将设备标识和攻击类型发送到两阶马尔可夫模型。两阶马尔可夫模型分两次对恶意设备进行检测。首先,马尔可夫1利用马尔可夫模型对设备进行分类,并计算其移走概率SP(Shifting Probability)。其次,这些输出被发送到MarkoV2中,对于MarkoV2,根据设备的SP和攻击类型,有一个隐马尔可夫模型预测设备是否必须转移到虚拟蜜罐设备中。同样,合法设备也会从虚拟蜜罐设备中恢复过来,而也会因IDS的任何连续误报被错误地转移到虚拟蜜罐设备中。
设备的移走取决于其SP或合法设备概率LDP(Legitimate Device Probability),可分别由Markov1或Markov3计算。本申请的维特比算法(viterbi algorithm)对这些值进行预测。马尔可夫1或马尔可夫3和马尔可夫2或马尔可夫4分别使用了一般转移图,如图5(1)和图5(2)所示。由于设备的不同行为,每个设备的转移图都会有所不同,这些转移图会在设备每次活动后由维特比算法更新。隐马尔可夫模型中的维特比算法根据用户执行的活动或排放序列计算所有隐藏状态的概率。如下的算法1说明了维特比算法根据恶意设备生成的请求序列识别恶意设备的步骤。维特比算法是动态规划的一个例子,它使用与前向后退算法相同的模式。维特比算法不同于前向后退算法,主要有两种情况:(1)维特比算法使用最大化函数代替前向后退算法中的求和函数;(2)维特比算法将最大化函数的值存储在一个矩阵中,该矩阵在回溯过程中读取,从而选择最佳序列。
假设
(i)给出了设备以长度t请求序列结束状态i的最大概率,这将导致隐马尔可夫模型的首次t观测,可以定义
(i)如下:
下面给出了用于执行维特比算法的思路。
算法1提供了根据设备的输入请求计算输出状态所涉及的所有步骤。第一步给出了算法所有变量的初始化,即似然概率和存储矩阵。第二步是一个递归步骤,计算设备提供的每个输入的可能性概率。它还将计算出的概率存储到所有参数的矩阵中。此递归步骤根据步骤iii中所述的终止条件而终止。在达到终止条件后,进行步骤IV所示的回溯步骤,根据设备提供的所有输入请求找到最适合设备的输出状态。
这里,
(i)表示基于长度t的输入请求,边缘设备在状态i结束的概率。
是状态i的初始状态概率。
(O(t)) 表示如果初始状态为i,则输出为O(t)的概率。
表示是从状态i到状态j的转移概率。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (2)
1.一种基于工业云的工控安全框架***,其特征在于,保护工控网络数据通信的安全,所述***,还包括内容交付网络;
所述内容交付网络,包括入侵检测及防御***模块、隐马尔可夫模型模块和交付策略模块,负责每一个ICS设备的实时入侵检测、基于隐马尔可夫模型模块预测移入或移出虚拟蜜罐设备的概率和基于交付策略模块的它们设备之间的数据交付;
所述入侵检测及防御***模块,负责监视ICS***的所有设备,包括基于误用的入侵检测***MIDS、基于异常的入侵检测***AIDS和基于网络的入侵检测***NIDS;
所述隐马尔可夫模型模块,对ICS***的所有设备进行分类,并提供将受到攻击的设备转移到虚拟蜜罐设备中的概率和从虚拟蜜罐设备移出的设备的概率;
所述交付策略模块,包括安全可信策略、负载均衡策略和就近交付策略;
所述安全可信策略,将ICS设备采集的数据交付给安全可信的LD设备,以保证数据的安全可靠和它的内容不被篡改;
所述负载均衡策略,以平衡可用ICS***的所有设备的负载,将计算任务交付给负载轻的LD设备;
所述就近交付策略,将数据交付给最近或次最近的LD设备,满足ICS***的实时性要求。
2.根据权利要求1所述的一种基于工业云的工控安全框架***,其特征在于,所述虚拟蜜罐设备,负责监控虚拟蜜罐设备中的设备、生成恶意ICS设备的日志文件、更新攻击数据库、生成入侵检测规则,并同步到内容交付网络的入侵检测及防御***模块中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421230.4A CN111338297B (zh) | 2019-12-31 | 2019-12-31 | 一种基于工业云的工控安全框架*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421230.4A CN111338297B (zh) | 2019-12-31 | 2019-12-31 | 一种基于工业云的工控安全框架*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111338297A true CN111338297A (zh) | 2020-06-26 |
| CN111338297B CN111338297B (zh) | 2022-04-12 |
Family
ID=71183521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421230.4A Active CN111338297B (zh) | 2019-12-31 | 2019-12-31 | 一种基于工业云的工控安全框架*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111338297B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884754A (zh) * | 2022-07-11 | 2022-08-09 | 深圳特科动力技术有限公司 | 一种智能分析来实现故障预知的网络安防*** |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013113532A1 (en) * | 2012-01-30 | 2013-08-08 | Telefónica, S.A. | A method and a system to detect malicious software |
| US20150381649A1 (en) * | 2014-06-30 | 2015-12-31 | Neo Prime, LLC | Probabilistic Model For Cyber Risk Forecasting |
| CN105577549A (zh) * | 2014-10-13 | 2016-05-11 | 中兴通讯股份有限公司 | 一种基于软件定义网络实现内容分发网络的方法及*** |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御***和方法 |
| CN108834079A (zh) * | 2018-09-21 | 2018-11-16 | 北京邮电大学 | 一种在异构网络中基于移动性预测的负载均衡优化方法 |
| CN108933772A (zh) * | 2018-03-19 | 2018-12-04 | 和芯星通(上海)科技有限公司 | 攻击检测方法和装置、计算机可读存储介质与终端 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada***的深度包检测平台 |
-
2019
- 2019-12-31 CN CN201911421230.4A patent/CN111338297B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013113532A1 (en) * | 2012-01-30 | 2013-08-08 | Telefónica, S.A. | A method and a system to detect malicious software |
| US20150381649A1 (en) * | 2014-06-30 | 2015-12-31 | Neo Prime, LLC | Probabilistic Model For Cyber Risk Forecasting |
| CN105577549A (zh) * | 2014-10-13 | 2016-05-11 | 中兴通讯股份有限公司 | 一种基于软件定义网络实现内容分发网络的方法及*** |
| CN107770174A (zh) * | 2017-10-23 | 2018-03-06 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种面向sdn网络的入侵防御***和方法 |
| CN108933772A (zh) * | 2018-03-19 | 2018-12-04 | 和芯星通(上海)科技有限公司 | 攻击检测方法和装置、计算机可读存储介质与终端 |
| CN108834079A (zh) * | 2018-09-21 | 2018-11-16 | 北京邮电大学 | 一种在异构网络中基于移动性预测的负载均衡优化方法 |
| CN109167796A (zh) * | 2018-09-30 | 2019-01-08 | 浙江大学 | 一种基于工业scada***的深度包检测平台 |
Non-Patent Citations (1)
| Title |
|---|
| 胡毅勋: "《基于Openflow的主动防御关键技术研究》", 《中国博士学位论文全文数据库 (信息科技辑)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114884754A (zh) * | 2022-07-11 | 2022-08-09 | 深圳特科动力技术有限公司 | 一种智能分析来实现故障预知的网络安防*** |
| CN114884754B (zh) * | 2022-07-11 | 2022-09-23 | 深圳特科动力技术有限公司 | 一种智能分析来实现故障预知的网络安防*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111338297B (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Zhou et al. | A unified architectural approach for cyberattack-resilient industrial control systems | |
| Zolanvari et al. | Machine learning-based network vulnerability analysis of industrial Internet of Things | |
| US20240073242A1 (en) | Cyber security appliance for an operational technology network | |
| de Sá et al. | Covert attacks in cyber-physical control systems | |
| US10637888B2 (en) | Automated lifecycle system operations for threat mitigation | |
| Fillatre et al. | Security of SCADA systems against cyber–physical attacks | |
| US11606368B2 (en) | Threat control method and system | |
| US9197652B2 (en) | Method for detecting anomalies in a control network | |
| US11689544B2 (en) | Intrusion detection via semantic fuzzing and message provenance | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| Chen et al. | A Model-based Approach to {Self-Protection} in {SCADA} Systems | |
| Mozaffari et al. | Learning based anomaly detection in critical cyber-physical systems | |
| CN111224973A (zh) | 一种基于工业云的网络攻击快速检测*** | |
| AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
| Hasan et al. | Artificial intelligence empowered cyber threat detection and protection for power utilities | |
| US11378929B2 (en) | Threat detection system for industrial controllers | |
| Chen et al. | Towards realizing self-protecting SCADA systems | |
| CN111338297B (zh) | 一种基于工业云的工控安全框架*** | |
| Zhang et al. | Investigating the impact of cyber attacks on power system reliability | |
| Hentea | Intelligent system for information security management: Architecture and design issues. | |
| CN117675274A (zh) | 一种基于soar的数据中心*** | |
| Al Baalbaki et al. | Autonomic critical infrastructure protection (acip) system | |
| Hossain-McKenzie et al. | Proactive intrusion detection and mitigation system: Case study on packet replay attacks in distributed energy resource systems | |
| Cazorla et al. | Awareness and reaction strategies for critical infrastructure protection | |
| Ivanchenko et al. | Dependability assessment for SCADA system considering usage of cloud resources |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Industrial Control Security Framework System Based on Industrial Cloud Effective date of registration: 20230912 Granted publication date: 20220412 Pledgee: Nanjing Branch of Jiangsu Bank Co.,Ltd. Pledgor: NANJING LIANCHENG TECHNOLOGY DEVELOPMENT CO.,LTD. Registration number: Y2023980056132 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Granted publication date: 20220412 Pledgee: Nanjing Branch of Jiangsu Bank Co.,Ltd. Pledgor: NANJING LIANCHENG TECHNOLOGY DEVELOPMENT CO.,LTD. Registration number: Y2023980056132 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Industrial Control Security Framework System Based on Industrial Cloud Granted publication date: 20220412 Pledgee: Nanjing Branch of Jiangsu Bank Co.,Ltd. Pledgor: NANJING LIANCHENG TECHNOLOGY DEVELOPMENT CO.,LTD. Registration number: Y2024980029083 |