基于周期性异常检测的SCADA网络在石化安全中的研究
数据采集与监视控制(SCADA)系统作为工业控制系统的核心,被广泛应用在大型工业设备中,其信息安全已成为工业控制系统安全的重要内容.由于采用轮询机制从现场设备中获取数据的方式使得数据传输具有较高的周期性.本文提出了一种通过数据传输的周期性来检测系统中的通信异常,其可表示为潜在的入侵企图.本文最后验证了此种方法的可行性.本文提出的异常检测由四个模块组成,在传输获取阶段,来自SCADA网络的传输被动的接受监测中心端的监测及分析。在此阶段并不涉及SCADA流程的相关包,仅仅是DNS与DHCP被过滤。在流的建立阶段创立网络流,以一种有效的方式来汇总数据包。在这阶段,假设使用服务器端传输端口来汇总数据包,可以识别出试图保护的网络服务。虽然在此服务器传输端口可以有效地隔离在跟踪分析时的周期性传输,但是更多的汇总需要在其他情况中产生。例如,如果一个服务被两个不同的客户端访问,一个使用轮询机制,另一个不是,这就需要添加客户地址作为汇总要素来隔离周期性行为。另一种方法是使用应用程序级的信息来分离出周期性脉冲,在实际中最优的方式是依靠所使用的应用程序及协议。数据流当作时间序列来存储,即每隔一定的时间间隔只存储属于特定流的数据包的数量。定义采样频率SF为:SF=1/PS。F是精确度和性能之间的一个权衡。频率越高,关于数据流的更多详细信息就会被存储,相应的更多地数据就会被执行处理。在检测之前,需要学习系统的正常行为。这是掌握周期性的目的,在这个阶段提取了两个特性:周期性脉冲的频率及大小。假设服务的周期性脉冲并不随着时间而改变,那么也可以通过离绒的方式来执行分析,并通过网络管理员来验证有效性。一旦数据流与指纹频率相匹配,则被认定为异常。前面已经介绍了可被监测到的不同类型的异常攻击,如果异常被监测到则发生报警操作。理想状态下报警信息应提供充足的信息,从而可以执行相应的操作。如果一个新的周期性脉冲在数据流中被检测到,警报信息中应提供此脉冲源的详细信息。警报也会反馈到周期性学习阶段,来更新指纹频率库从而可以适应对周期性的学习。
石化厂 周期性异常检测 CADA网络 安全运行
王朝栋 吴冲
上海三零卫士信息安全有限公司 上海市 200030
国内会议
无锡
中文
271-275
2014-11-01(万方平台首次上网日期,不代表论文的发表时间)