论文部分内容阅读
工业控制系统(Industrial Control System,ICS)是电力、冶金、化工、石油、天然气、水利、交通等关键基础设施的核心系统,其运行安全性直接关系到人民生命财产安全和国家战略安全。然而长期以来,ICS属于封闭的专有系统,与互联网处于“物理隔离”状态,其设计与实施目标主要注重系统的功能性、可用性、可测性和可控性。随着网络与信息技术的发展,尤其是互联网、云计算、物联网的广泛应用,ICS已逐渐开始从“封闭系统”变成了“开放系统”(如允许远程操控、允许与企业内部或产业链上的其他系统互联互通等)、从“专有技术系统”变成了“通用技术系统”(如采用Windows操作系统、TCP/IP协议等),致使ICS的安全形势日益严峻。ICS的信息安全形势已经引起了国家、政府机关、大型国有企业及高等院校的高度重视,已然成为近年来信息安全领域研究的热点。该文依据“上位机系统文件变更异常检测上下位机通信异常检测下位机数据异常检测”的逻辑主线展开深入研究。首先,对ICS的发展概况和信息安全现状进行了深入分析,分析了ICS现有的防护手段(工业防火墙技术)及其局限性,研究分析了当前主流的异常检测技术;其次,论文对ICS的体系结构进行了详细分析,将ICS系统分为“企业区”、“上位机区”、“下位机区”三个区域进行不同等级的安全防护。针对上位机区异常检测,论文研究了上位机系统文件变更异常检测技术,设计了文件变更异常检测的流程与方法;针对上下位机通信异常检测,该文着重研究了开源异常检测系统Snort及其规则,总结和设计了一套基于“工业现场总线协议——MODBUS协议”的Snort规则;针对ICS下位机的控制数据、通信协议、高实时性等特点,结合聚类的相关算法,提出了一种基于自适应聚类的离群点挖掘算法(ACBOD,AdaptiveClustering-Based Outlier Detection)。在以上研究基础上,采用ASP.NET工具,研制了面向ICS的异常检测原型系统,该系统包括:上位机系统文件变更异常检测、上下位机通信异常检测、下位机数据异常检测等三个模块;最后,通过设计三组实验分别对原型系统进行了实验分析,实验结果论证了系统的有效性、正确性和实用性。