论文部分内容阅读
随着自动化技术的发展,工业控制SCADA系统中实时数据凸显出其核心地位,通过无线数传电台的远程传输,反映设备业务状态,决策并下发控制指令、应用上层系统,数据安全成为影响系统安全的关键因素。SCADA系统中数传电台的数据,更是面临着数据监听、伪造、缓冲区溢出等不确定、多样化的数据安全威胁。因此,需要研究强适应性、高准确性的异常数据检测方法,发现影响系统安全的数据包,同时不破坏数据实时性要求。传统的异常检测技术,大多针对网络异常,分析数据包规范协议特征,没有结合上层应用分析具体数值发现异常行为。而SCADA系统中数传电台的数据采用轮询特征,且与上层应用相结合,具有业务约束关系和平稳浮动规律。对此,本文设计了基于时间序列、约束模型和浮动规律的异常检测方法,充分考虑SCADA系统中数传电台的数据特征和异常数据类型与特征,提高异常检测方法的适用性。基于时间序列的异常检测方法,提取数据包高度与接收时间间隔特征,采用K均距异常因子确定异常模式,压缩了原始数据量,弥补单个点异常的局限性,适应数据包周期性序列特征。基于约束的异常检测方法,结合系统业务约束关系模型,采用等式约束对多个数值进行综合误差估计,保证阈值确定的正确性。基于浮动规律的异常检测方法,采用AR模型计算拟合残差,规避原始数值正常震荡特征,小波变换进行突变特征描述,递推小波参数分解实现在线实时检测,通过HMM分析小波参数,判定异常情况。同时不断更新近邻标准数据集,加入环境、业务影响因子,在线动态更新AR模型系数,实时优化HMM状态转移概率,提高检测的正确性,适应不断变化的应用业务特征。本文搭建了基于数传电台的SCADA仿真系统和模拟攻击工具作为实验环境,设计并实现异常检测系统。异常检测系统分为标准数据库、特征提取、异常检测和数据处理模块,异常检测先进行时间序列的粗检,再实现约束和浮动的精检,采用多模块并行处理的方式。实验结果表明,该系统数据延迟时间不会随数据量增大而增加,满足实时性要求;对各种攻击数据包类型均有较高的检测率,能够有效的自适应不可预测的业务和异常数据包。