0 引言

    随着工业化与信息化进程的不断交叉融合，越来越多的信息技术应用到了工业控制领域。其中数据交换是依靠管理信息与生产控制网络两者之间的交互实现，这样的方式使得工业控制系统与各种管理系统紧密联系，互相通信，而不再像以往一样是一个独立运行的系统^[1]。随着时间的推移，从搜集远程设备信息的简单网络到内置冗余设备的复杂系统网络，工业控制网络通信协议（工控协议）的发展进程从未停歇，而且工控系统内部所使用的协议有时只是针对某个特定的应用程序^[2-3]。

    大多数工控协议都有一个共同点，那就是这些协议在设计之初都没有考虑到随之而来的安全问题，因此这些协议与生俱来就不安全。自从工控协议与IT网络相融合以及主流工控协议开始基于TCP/IP协议^[4]构建以来，安全性就成为了工业控制系统的一个重要问题^[5]。它面临着大量协议数据明文传输，缺乏认证和加密，存在被窃听、伪装、篡改、抵赖和重放攻击等风险^[6]。如2010年伊朗“震网”病毒事件、2015年乌克兰电网攻击事件的巨大影响，进一步表明工控行业的相关安全问题已经上升到了国家安全的高度^[7]。类似的事件无一不是造成巨大的影响，攻击者利用一系列的漏洞和手段，入侵了对方的控制系统，而最终都是通过控制器直接操作了相应的PLC，这些操作都承载在对应的工控协议上^[8]。

    作为专有工控协议，西门子S7协议在电力系统的应用十分广泛^[9-10]。其应用主要有化学领域中的水处理、气力除灰、(特)高压直流输电系统中的应用^[11]。在这些环节中，采用PLC后热电厂中每个环节都会得到很大的提高^[12]。异常流量检测技术在S7协议中应用广泛。基于流量的异常检测技术是根据外部入侵和内部破坏等攻击行为的流量特征，在各个网络连接链路采集数据进而实现对入侵行为的检测^[13]。STAVROULAKIS P等人详细讨论了工控系统入侵检测技术的流量分析方法^[14]。VOLLMER T等人采用BP神经网络来训练网络流量模型实现入侵检测^[15-16]。

    本文提出一种基于SIMI的S7协议异常流量检测方法。首先，在模拟仿真环境中通过Wireshark获取S7协议的流量包，分析并提取流量包中流量的特征以及验证协议脆弱性；然后，基于SIMI构建S7协议异常流量状态的知识图谱。该方法在流量的状态特征的关联性分析的基础上，利用SIMI算法的分类特性对S7协议异常流量状态进行有效识别和分类，进而构建S7协议异常流量状态的知识图谱。最后，通过实验验证了本文提出方法的有效性。另外，实验表明算法的计算复杂度从O(n²)降到O(n)。该方法采用分片的相似度分析(Similarity，简称为SIMI)方法构建异常模型，与前人的研究方法不同的是，以往的方法是在采集到的整个帧做分类或者聚类，没有考虑到实际流量传输过程中的数据传输包含了很多冗余的数据，增加了整个模型的计算复杂度和时间成本，而本文提出的模型会在预处理阶段对帧中包含的各个字段的含义进行分析，去除了对计算无意义的冗余数据，降低了计算维度并最终降低整个模型的计算复杂度。与神经网络方法相比，SIMI算法更适合实时性要求较高的工业控制系统。

本文详细内容请下载:http://www.chinaaet.com/resource/share/2000002961

作者信息:

陈  曦1，2，姜亚光2，李建彬3，闫靖晨3，刘曙元4，李坤昌3

(1.北京大学 软件与微电子学院，北京102600；2.中国软件评测中心，北京100044；

3.华北电力大学 控制与计算机工程学院，北京100026；

4.国家能源集团华电天仁电力控制技术有限公司，北京100039)