面向ICS的異常檢測系統(tǒng)研究.pdf

1、工業(yè)控制系統(tǒng)(Industrial Control System,ICS)是電力、冶金、化工、石油、天然氣、水利、交通等關鍵基礎設施的核心系統(tǒng),其運行安全性直接關系到人民生命財產(chǎn)安全和國家戰(zhàn)略安全。然而長期以來,ICS屬于封閉的專有系統(tǒng),與互聯(lián)網(wǎng)處于“物理隔離”狀態(tài),其設計與實施目標主要注重系統(tǒng)的功能性、可用性、可測性和可控性。隨著網(wǎng)絡與信息技術的發(fā)展,尤其是互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)的廣泛應用,ICS已逐漸開始從“封閉系統(tǒng)”變成了“開放系

2、統(tǒng)”(如允許遠程操控、允許與企業(yè)內部或產(chǎn)業(yè)鏈上的其他系統(tǒng)互聯(lián)互通等)、從“專有技術系統(tǒng)”變成了“通用技術系統(tǒng)”(如采用Windows操作系統(tǒng)、TCP/IP協(xié)議等),致使ICS的安全形勢日益嚴峻。ICS的信息安全形勢已經(jīng)引起了國家、政府機關、大型國有企業(yè)及高等院校的高度重視,已然成為近年來信息安全領域研究的熱點。
　　該文依據(jù)“上位機系統(tǒng)文件變更異常檢測?上下位機通信異常檢測?下位機數(shù)據(jù)異常檢測”的邏輯主線展開深入研究。首先,對IC

3、S的發(fā)展概況和信息安全現(xiàn)狀進行了深入分析,分析了ICS現(xiàn)有的防護手段(工業(yè)防火墻技術)及其局限性,研究分析了當前主流的異常檢測技術;其次,論文對ICS的體系結構進行了詳細分析,將ICS系統(tǒng)分為“企業(yè)區(qū)”、“上位機區(qū)”、“下位機區(qū)”三個區(qū)域進行不同等級的安全防護。針對上位機區(qū)異常檢測,論文研究了上位機系統(tǒng)文件變更異常檢測技術,設計了文件變更異常檢測的流程與方法;針對上下位機通信異常檢測,該文著重研究了開源異常檢測系統(tǒng)Snort及其規(guī)則,總

4、結和設計了一套基于“工業(yè)現(xiàn)場總線協(xié)議——MODBUS協(xié)議”的Snort規(guī)則;針對ICS下位機的控制數(shù)據(jù)、通信協(xié)議、高實時性等特點,結合聚類的相關算法,提出了一種基于自適應聚類的離群點挖掘算法(ACBOD, Adaptive Clustering-Based Outlier Detection)。
　　在以上研究基礎上,采用ASP.NET工具,研制了面向ICS的異常檢測原型系統(tǒng),該系統(tǒng)包括:上位機系統(tǒng)文件變更異常檢測、上下位機通信異