基于仿真建模的工业控制网络入侵检测方法研究

doi:10.11959/j.issn.1000-436x.2017133

通信学报 ›› 2017, Vol. 38 ›› Issue (7): 186-198.doi: 10.11959/j.issn.1000-436x.2017133

基于仿真建模的工业控制网络入侵检测方法研究

高一为¹,周睿康²,赖英旭¹,范科峰²,姚相振²,李琳²

¹ 北京工业大学信息学部计算机学院，北京 100124
² 中国电子技术标准化研究院，北京 100007

修回日期:2017-03-14 出版日期:2017-07-01 发布日期:2017-08-25
作者简介:高一为（1990-），男，北京人，北京工业大学硕士生，主要研究方向为工业控制系统异常检测。|周睿康（1990-），男，浙江东阳人，中国电子技术标准化研究院助理工程师，主要研究方向为工业控制系统信息安全标准、检测、评估等。|赖英旭（1973-），女，辽宁抚顺人，北京工业大学教授，主要研究方向为工业控制网络安全和软件定义网络安全。|范科峰（1978-），男，陕西礼泉人，博士后，中国电子技术标准化研究院高级工程师，主要研究方向为信息安全技术标准与测评方法等。|姚相振（1984-），男，山东济南人，博士，中国电子技术标准化研究院高级工程师，主要研究方向为信息安全技术标准与测评方法等。|李琳（1983-），男，山东济南人，博士，中国电子技术标准化研究院工程师，主要研究方向为信息安全、数据挖掘。
基金资助:
国家智能制造专项基金资助项目([2015]1170);青海省自然科学基金资助项目(2017-ZJ-912)

Research on industrial control system intrusion detection method based on simulation modelling

Yi-wei GAO¹,Rui-kang ZHOU²,Ying-xu LAI¹,Ke-feng FAN²,Xiang-zhen YAO²,Lin LI²

¹ College of Computer,Faculty of Information Technology,Beijing University of Technology,Beijing 100124,China
² China Electronics Standardization Institute,Beijing 100007,China

Revised:2017-03-14 Online:2017-07-01 Published:2017-08-25
Supported by:
The National Manufacturing Special Program([2015]1170);The Natural Science Foundation of Qinghai Province(2017-ZJ-912)

摘要/Abstract

摘要：

目前工业控制网络的入侵检测方法存在协议通用性差、误报率高和无法对未知入侵进行检测等问题。提出一种基于现场总线设备建模的入侵检测方法，利用仿真建模模拟控制器的真实功能，对控制器进行保护；并通过系统辨识建模的方法建立被控对象模型，保证控制器获得的被控对象数据真实准确，从而实现对工业控制网络的入侵检测。经实验验证，所提入侵检测方法检测效果较好。

关键词: 仿真, 编译原理, 系统辨识, 入侵检测

Abstract:

At present,intrusion detection system over fieldbus network layer was a basic protection method in industrial control system.However,it has some weakness,such as poor generality,high false-positive rate,and unable to detect unknown anomaly.An industrial control system intrusion detection method based on fieldbus network equipment simulation was proposed.The method prevented control program from being tampered or destroyed based on controller simulation modelling.Controlled object simulation modelling was designed for ensuring that the system input was credible.Thus the intrusion detection of industrial control network was realized.At last,the results indicate that the proposed intrusion detecting method is available.

Key words: simulation, compiler theory, system identification, anomaly detection

中图分类号:

TP309

高一为,周睿康,赖英旭,范科峰,姚相振,李琳. 基于仿真建模的工业控制网络入侵检测方法研究[J]. 通信学报, 2017, 38(7): 186-198.

Yi-wei GAO,Rui-kang ZHOU,Ying-xu LAI,Ke-feng FAN,Xiang-zhen YAO,Lin LI. Research on industrial control system intrusion detection method based on simulation modelling[J]. Journal on Communications, 2017, 38(7): 186-198.

图/表 20

图1

图2

图3

图4

图5

图6

图7

图8

图9

图10

图11

图12

图13

图14

表1

图15

表2

图16

图17

图18

参考文献 20

[1]	FALLIERE N , MURCHU L O , CHIEN E . W32 stuxnet dossier[R]. White Paper,Symantec Corp,Security Response, 2011.
[2]	DONALD P C . The application of autonomic computing for the protection of industrial control systems[M]. Tucson: The University of Arizona, 2011.
[3]	BENCSATH B , PEK G , BUTTYAN L ,et al. Duqu:analysis,detection,and lessons learned[C]// ACM European Workshop on System Security (EuroSec). Bern,Switzerland,ACM, 2012: 1-6.
[4]	STOUFFER K , FALCO J , SCARFONE K . SP 800-82,guide to industrial control systems (ICS) security[P]. National Institute of Standards＆ Technology, 2011.
[5]	李琳, 尚文利, 姚俊 ,等. 单类支持向量机在工业控制系统入侵检测中的应用研究综述[J]. 计算机应用研究, 2016,33(1): 7-11.
	LI L , SHANG W L , YAO J ,et al. Overview of one-class support vector machine in intrusion detection of industrial control system[J]. Application Research of Computers, 2016,33(1): 7-11.
[6]	CARDENAS A A , AMIN S , LIN Z S ,et al. Attacks against process control systems:risk assessment,detection,and response[C]// The 6th ACM Symposium on Information,Computer and Communications Security. ACM, 2011: 355-366.
[7]	WEI M , KIM K . Intrusion detection scheme using traffic prediction for wireless industrial networks[J]. Journal of Communications and Networks, 2012,14(3): 310-318.
[8]	BARBOSA R R R , SADRE R , PRAS A . Towards periodicity based anomaly detection in SCADA networks[C]// 2012 IEEE 17th International Conference on Emerging Technologies ＆ Factory Automation (ETFA 2012). 2012: 1-4.
[9]	RRUSHI J , KANG K D . Detecting anomalies in process control networks[M]. Critical Infrastructure Protection III. Springer Berlin Heidelberg, 2009: 151-165.
[10]	MORRIS T H , JONES B A , VAUGHN R B ,et al. Deterministic intrusion detection rules for Modbus protocols[C]// The 46th Hawaii International Conference on System Sciences (HICSS). 2013: 1773-1781.
[11]	MORRIST , VAUGHN R , DANDASS Y . A retrofit network intrusion detection system for modbus RTU and ASCII industrial control systems[C]// The 45th Hawaii International Conference on System Science. 2012: 2338-2345.
[12]	CARCANO A , COLETTA A , GUGLIELMI M ,et al. A multidimensional critical state analysis for detecting intrusions in SCADA systems[J]. IEEE Transactions on Industrial Informatics, 2011,7(2): 179-186.
[13]	FOVINO I N , CARCANO A , MUREL T D L ,et al. Modbus/DNP3 state-based intrusion detection system[C]// 2010 24th IEEE International Conference on Advanced Information Networking and Applications (AINA). 2010: 729-736.
[14]	GOLDENBERG N , WOOL A . Accurate modeling of Modbus/TCP for intrusion detection in SCADA systems[J]. International Journal of Critical Infrastructure Protection, 2013,6(2): 63-75.
[15]	DAMIANI E . Composite intrusion detection in process control networks[D]. Uniersity Degli Studi Di Milano, 2009.
[16]	LINDA O , MANIC M , VOLLMER T ,et al. Fuzzy logic based anomaly detection for embedded network security cyber sensor[C]// IEEE Symposium on Computational Intelligence in Cyber Security. 2011: 202-209.
[17]	LINDA O , VOLLMER T , MANIC M . Neural network based intrusion detection system for critical infrastructures[C]// International Joint Conference on Neural Networks. 2009: 1827-1834.
[18]	ANOOP A , SREEIA M S . New genetic algorithm based intrusion detection system for SCADA[J]. International Journal of Engineering Innovations and Research, 2013,2(2): 171-175.
[19]	济晓 . MATLAB 在振动信号处理中的应用[M]. 北京: 中国水利水电出版社, 2006.
	JI X . The application of MATLAB in vibration signal processing[M]. Beijing: China Water Conservancy and Hydropower Press, 2006.
[20]	言俊科 . 系统辨识理论及应用[M]. 北京: 国防工业出版社, 2003.
	YAN J K . System identification theory and application[M]. Beijing: National Defence Industry Press, 2003.

模型	拟合相似度	拟合误差
ARX模型	0.891 9	0.272 3
ARMAX模型	0.922 8	0.110 9
Box-Jenkins模型	0.964 4	0.104 4
N4SID模型	0.856 3	0.124 4

攻击类型	攻击描述	检测结果
拒绝服务攻击/重放攻击	截获组态软件用于关闭 PLC的通信数据分组并重放导致PLC异常关闭	检出
逻辑代码篡改	修改 PLC 中控制逻辑的参数，造成控制结果发生偏差	检出
中间人攻击	修改液位高度传感器向 PLC发送的实时液位高度，并恶意地将液位高度调高0.1 m	检出

基于仿真建模的工业控制网络入侵检测方法研究

Research on industrial control system intrusion detection method based on simulation modelling

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 20

参考文献 20

相关文章 15

Metrics

推荐阅读 0

[1]	苏新, 张桂福, 行鸿彦, Zenghui Wang. 基于平衡生成对抗网络的海洋气象传感网入侵检测研究[J]. 通信学报, 2023, 44(4): 124-136.
[2]	陈全, 杨磊, 郭剑鸣, 李星辰, 赵勇, 陈小前. 低轨巨型星座网络：组网技术与研究现状[J]. 通信学报, 2022, 43(5): 177-189.
[3]	王一丰, 郭渊博, 陈庆礼, 方晨, 林韧昊. 基于对比学习的细粒度未知恶意流量分类方法[J]. 通信学报, 2022, 43(10): 12-25.
[4]	刘奇旭, 王君楠, 尹捷, 陈艳辉, 刘嘉熹. 对抗机器学习在网络入侵检测领域的应用[J]. 通信学报, 2021, 42(11): 1-12.
[5]	田有亮,吴雨龙,李秋贤. 基于信息论的入侵检测最佳响应方案[J]. 通信学报, 2020, 41(7): 121-130.
[6]	丁绍虎,齐宁,郭义伟. 基于M-FlipIt博弈模型的拟态防御策略评估[J]. 通信学报, 2020, 41(7): 186-194.
[7]	尹霄丽, 郑桐, 孙志雯, 张兆元. 基于空时编码的轨道角动量复用海洋无线光通信系统的传输特性仿真[J]. 通信学报, 2020, 41(12): 110-117.
[8]	张兴兰,尹晟霖. 可变融合的随机注意力胶囊网络入侵检测模型[J]. 通信学报, 2020, 41(11): 160-168.
[9]	孙伟,张鹏,何永全,邢丽超. 内网环境下基于时空事件关联的攻击检测方法[J]. 通信学报, 2020, 41(1): 33-41.
[10]	刘渊,张浩,叶海洋,李剑锋,王晓锋,张桂珠. 面向天地一体化信息网络的卫星链路仿真研究[J]. 通信学报, 2018, 39(4): 56-67.
[11]	张震,魏鹏,李玉峰,兰巨龙,徐萍,陈博. 改进粒子群联合禁忌搜索的特征选择算法[J]. 通信学报, 2018, 39(12): 60-68.
[12]	赖英旭,刘增辉,蔡晓田,杨凯翔. 工业控制系统入侵检测研究综述[J]. 通信学报, 2017, 38(2): 143-156.
[13]	李树,赵雄文,张蕊,王琦,耿绥燕. 2.55 GHz城市微蜂窝三维宽带时变信道特性分析与建模研究[J]. 通信学报, 2017, 38(10): 135-145.
[14]	张萍,何慧敏,张春燕,曹聪,刘燕兵,谭建龙. FilterFA：一种基于字符集规约的模式串匹配算法[J]. 通信学报, 2016, 37(12): 103-114.
[15]	杜晔,张亚丹,黎妹红,张大伟. 基于改进FastICA算法的入侵检测样本数据优化方法[J]. 通信学报, 2016, 37(1): 42-48.