一種基于關鍵參數融合校驗的威脅檢測方法及安全裝置的制造方法

一種基于關鍵參數融合校驗的威脅檢測方法及安全裝置的制造方法
【技術領域】
[0001]本發明屬于工業控制系統領域，主要地，涉及一種基于關鍵參數融合校驗的威脅檢測方法及安全裝置。
【背景技術】
[0002]工業控制系統特別是關鍵基礎設施的工業控制系統，其信息安全是國家安全的重要組成部分。近年來，頻繁出現的各種網絡入侵行為不僅嚴重威脅到關鍵基礎設施的安全穩定運行，而且還可能造成人民的生命財產的損失。加強工業控制系統入侵檢測以提高系統信息安全水平具有重要的理論和現實意義。
[0003]由于工業控制系統的復雜性，采用單一的防護策略很難確保工控系統的信息安全。針對工控系統的結構特點和工控信息安全需要，縱深防疫技術成為目前主流的一種的工控系統信息安全防護方案。縱深防疫方案從技術和管理角度，通過加強安全分區、邊界入侵檢測、主機入侵檢測和控制網絡入侵檢測等技術手段來實現對工控系統的安全防護，針對工控系統網絡的結構層次性，分層開展入侵檢測和防護。
[0004]然而，這種防護方案更多地吸收了IT系統的信息安全防護技術，忽視了與工控系統本質特點的結合，并且在縱向層面上也缺乏信息融合，其主要缺陷具體表現在:
[0005](I)工控系統是通過分層的網絡結構互聯從而構成復雜的工控網絡的，現有的縱深防疫技術側重管理層、控制層的威脅檢測，忽視了工控網絡中最重要的現場總線層網絡的檢測。工業控制系統屬于信息物理融合系統，而現場總線網絡直接與對物理過程進行參數檢測和調節的設備連接，各種其他的威脅和攻擊必須通過現場總線網絡才能對物理過程和設備產生嚴重的破壞；
[0006](2)工控系統中各種數據，如測控信息，其在現場總線層、控制網絡層、管理層中是一致的，即任何時刻該變量的數值都是一致的。通過對工控系統中的關鍵參數及其對應的時間標度開展縱向校驗，可以發現控制系統的異常，而網絡入侵很可能就是這種異常的來源。現有的方案忽視了對不同層級上的數據一致性的校驗；
[0007](3)工控網絡數據流的核心是工藝生產數據、操作指令、控制參數、設備狀態信息與控制設備配置參數等，這與傳統IT系統網絡上的信息流明顯不同，而現有的方案沒有充分利用這一特點開展安全檢測和防護；
[0008](4)工控網絡結構相對穩定，工作模式相對處于靜態。因此，可以針對該特點開展更加有效的工控網絡信息威脅檢測。

【發明內容】

[0009]鑒于以上問題，本發明提供了一種縱向分層與層間融合的威脅檢測方法及實現該方法的工業控制系統信息安全裝置。該方法在結構上仍然屬于縱深防御體系，吸收了傳統解決方案安全分區、縱向分層和邊界防護的優點。但該發明進一步提出了對工業控制系統現場總線層進行威脅檢測的方法，以加強對與物理過程緊密接觸的現場總線層的威脅檢測。同時，為了克服以往縱深防御體系在縱向缺乏數據融合的缺點，在增加現場總線層威脅檢測的基礎上，以工業過程關鍵工藝參數、控制參數和操作指令等關鍵參數為檢測引擎，開展縱向層面的信息融合校驗，以發現在單個檢測層面不能檢測到威脅或異常行為。針對工業控制系統現場應用的個性化對威脅檢測裝置的個性化需求，該發明提出了對威脅檢測參數進行配置的方法。本發明還提供了實現該方法的安全裝置。
[0010]本申請的具體技術方案如下:
[0011 ] 一種基于關鍵參數融合校驗的威脅檢測方法，包括如下步驟:
[0012](I)防火墻信息融合單元把邊界防護中的日志、規則及入侵信息送入到系統級威脅檢測單元，以用于縱向信息融合與校驗；
[0013](2)主機威脅檢測單元屬于應用層檢測，即對工業控制系統的主機系統(操作員站、工程師站)、0PC(用于過程控制的對象鏈接與嵌入)服務器、OPC客戶機、實時數據庫等進行威脅檢測，并把檢測到的異常行為以及從數據庫中采集的工業控制系統中的關鍵參數實時數值送入到系統威脅檢測單元，以用于縱向信息融合與校驗；
[0014](3)控制網絡威脅檢測單元采集工業控制網絡報文，進行報文分析與判斷，確定工控網絡信息流是否正常。如存在異常報文，則把異常報文提取出的關鍵參數信息，例如關鍵工藝參數(如反應器壓力)及控制參數(如比例度、積分時間或微分時間)與操作指令(如設備的啟、停，手動-自動卻換)的信息送入到安全系統威脅檢測單元，以用于縱向信息融合與校驗；
[0015](4)現場總線威脅檢測單元采集現場總線報文，進行報文分析與判斷，以確定現場總線網絡信息流是否正常。如存在異常報文則把異常報文提取出的信息以及關鍵參數信息送入到系統級威脅檢測單元，以用于縱向信息融合與校驗；
[0016](5)系統級威脅檢測單元把收到的各層威脅檢測初步信息及關鍵參數進行融合，綜合分析判斷系統安全狀態，給出綜合判斷結果。
[0017](6)安全參數配置接口為主機威脅檢測、控制網絡威脅檢測和現場總線威脅檢測單元的安全相關參數進行配置。
[0018](7)安全檢測數據庫存儲用戶配置和從防火墻信息融合單元獲得的各種威脅檢測數據，為各個威脅檢測單元服務。
[0019]該方法針對工業控制系統的特點和工藝生產安全要求，把關鍵工藝參數信息及其合法數值等融入到威脅檢測方法中。
[0020]把操作指令信息融入到威脅檢測方法中，這樣不僅可以檢測外部威脅，而且可以檢測工業控制系統內部操作人員的誤操作或對系統的非法入侵行為。
[0021 ]該方法把控制參數信息融入到威脅檢測方法中。
[0022]針對工業控制系統的分層結構，在傳統的縱深防御的層次結構中，增加了現場總線威脅檢測單元。所述的該單元針對與物理過程最接近的現場總線單元和設備進行威脅檢測，從而實現對現場總線數據流的檢測。
[0023]在控制層和現場總線層對控制指令的一致性以及與指令相關的控制參數的變化率進行檢測。
[0024]可以針對具體的應用場合，通過安全參數配置接口設置與該應用安全相關的參數及其閾值，滿足工業控制系統威脅檢測的個性化需求。
[0025]系統采用統一的安全檢測數據庫為各個威脅檢測單元服務。
[0026]所述縱向信息融合校驗包括如下內容:
[0027](I)按照時間戳，將來自監控層、控制層和現場總線層的關鍵工藝進行對比，若同一個參數在不同層之間的數值差異差超過指定的閾值，則發出異常的檢測信息；
[0028](2)按照時間戳，將來自監控層、控制層和現場總線層的控制參數進行對比，若同一個參數在不同層之間的數值差異差超過指定的閾值，則發出異常的檢測信息；
[0029](3)按照時間戳，對控制指令在主機、控制和現場總線檢測層的一致性進行校驗。若存在不一致，則系統發出報警。
[0030]—種工業控制系統安全裝置，包括防火墻信息融合單元進行邊界防護，主機威脅檢測單元針對控制系統主機異常行為;控制網絡威脅檢測單元檢測控制網絡上的異常行為;現場總線威脅檢測當前單元檢測現場總線上的異常行為；系統級威脅檢測單元綜合上述各層的威脅檢測信息，進行綜合判斷以判斷系統所面臨的威脅等級。安全參數配置接口為威脅檢測單元(主機威脅檢測、控制網絡威脅檢測和現場總線檢測)的安全相關參數進行配置。
[0031]本發明的安全裝置可以針對具體的應用場合，通過安全參數配置接口設置與該應用安全相關的參數及其閾值，從而滿足工業控制系統威脅檢測的個性化需求。
[0032]本發明的技術效果為:
[0033](I)在結構上增加了現場總線層威脅檢測功能，豐富了層次性，使得工控網絡的威脅檢測更加全面完整；
[0034](2)縱向上加強了面向各層的威脅檢測模塊之間的信息融合，充分利用了各層威脅檢測系統的信息，從而更好地進行整個工控系統的威脅檢測，克服了以往各個縱向層面各自獨立進行威脅檢測存在的問題；
[0035](3)提供了基于關鍵工藝參數縱向融合和校驗的威脅檢測方法，以加強威脅檢測系統在進行系統威脅檢測上的針對性和全局性，并提出了縱向數據融合和校驗的具體方法。
[0036](4)提供了對于工業控制系統中關鍵的設備，即控制器和測控儀表的檢測，一旦上層威脅檢測單元不能發現異常行為，則對于控制器和現場測控儀表的檢測有利于發現這些異常行為對現場層設備的威脅。
[0037]