WAGAN:基于小波变换和注意力机制的工控传感器数据异常检测方法

针对隐藏攻击意图的入侵行为,通过现场设备传感器实时数据反映工业控制系统运行情况,充分利用工控数据高周期性特点,提出WAGAN(Wavelet Attention Generative Adversarial Networks)的工控传感器数值异常检测方法.此方法使用多级离散小波变换分解重组的方式去除噪声并增强数据特征.为了有效提取数据的有效特征,在WAGAN模型中引入了注意力机制,并使用多层LSTM(Long Short-Term Memory)网络学习数据的潜在关联性.为了提高模型准确性,使用生成器的重构误差与判别器误差的权重和来判断异常.实验结果表明,此方法相比于现有的异常检测方法具有更高的异常检出率.     

基于小波分解的多尺度PCA周期性攻击检测算法

在工业控制网络中任何异常入侵行为都直接影响现场控制与决策,工控系统的安全检测迫在眉睫;工业控制系统中存在正弦波攻击,三角波攻击和方波攻击等周期性入侵攻击,这些攻击隐蔽的分布很难被检测出来并且会造成机器的磨损,目前针对该类攻击检测研究较少;针对以上问题,首先采用小波分解把数据分解到各个尺度上,然后采用主成分分析进行局部检测,最后把各个尺度的主成分分析组成一个包含各尺度信息的综合主成分分析模型;通过在公开数据集及自建数据集的周期性攻击实验结果表明,采用该算法比采用单独主成分分析算法进行攻击检测的整体准确率提高7.4％.     

基于区块链的ICS数据安全策略研究

随着“中国制造2025”规划的推进,工业控制系统(industrial control system,ICS)日益增长,工控网络安全性和可靠性得到普遍关注。区块链思想和技术的出现,为数据安全性和可靠性提供了新的思路。针对工业控制网络中的数据安全问题,将区块链技术应用于工业控制网络中,再结合区块链的关键技术,以及区块链不可篡改、分布式记账和不可伪造的去中心化特点,提出了在工控区块链网络环境下的共识控制模型。在模型中记录一旦被输入就永远不会被更改或删除,想通过干预个别节点而篡改数据是不可能的,除非对全网信息进行干预,保证了模型中节点之间的数据的一致性。通过OPNET网络仿真软件对工控区块链网络进行仿真,其网络延时和吞吐量都说明了区块链技术能实现工业控制系统的网络安全、数据安全,使工业控制网络可靠、安全、高效、低成本。     

工业控制系统APT攻击分析和防御问题探讨

从ICS的发展过程、现代ICS的设计开发、在线ICS的应用环境等角度分析,揭示ICS安全问题的独特型。结合在工控领域发生的ICS-APT安全事件,总结ICS-APT攻击发生的条件和规律,探讨ICS-APT攻击特点及可采取的防御手段,并提出纵深防御、安全生命周期、动态防御机制等未来理论和技术的研究方向。     

新型工业控制系统勒索蠕虫威胁与防御

工业控制系统（ICS）的大规模攻击对于电力生产、输配电、石油化工、水处理和传输等涉及国计民生的关键基础设施是一个巨大的威胁,目前提出的针对ICS的勒索蠕虫受限于工控网络隔离的特性,难以大规模传播。基于观察到的ICS实际开发场景,针对ICS高度隔离化的问题,提出一种基于新的攻击路径的勒索蠕虫威胁模型。此威胁模型首先将工程师站作为初次感染目标,然后以工程师站作为跳板,对处于内部网络的工业控制设备进行攻击,最后实现蠕虫式感染和勒索。基于此威胁模型,实现了ICSGhost——一种勒索蠕虫原型。在封闭的实验环境中,ICSGhost能够以预设的攻击路径对ICS进行蠕虫式感染;同时,针对该勒索蠕虫威胁,讨论了防御方案。实验结果表明此种威胁切实存在,并且由于其传播路径基于ICS实际的开发场景,较难检测和防范。     

半监督环境下基于AE-ELM模型的工业网络安全防御研究

针对工业网络的安全性问题,在半监督环境的支持下,利用AE-ELM模型优化设计工业网络安全防御方法。根据不同网络攻击程序的攻击原理,设置工业网络入侵攻击检测标准。采集满足质量要求的工业网络实时数据,在半监督环境下,利用AE-ELM模型提取工业网络数据特征,通过与设置检测标准的匹配,得出工业网络攻击类型的检测结果。根据网络攻击类型,从边界、传输通道、终端等方面进行防御部署,实现工业网络的安全防御。通过与传统防御方法的对比测试得出结论：综合考虑两种攻击场景,在优化设计方法的防御作用下,工业网络的数据丢失率和篡改率分别降低约4.36%和2.35%,即优化设计方法具有更高的安全防御效果。     

一种使用深度联合学习的ICS自适应异常检测方法

为了提高工业控制系统异常检测方法的准确性、及时性以及可部署性,本文提出了一种使用深度联合学习的ICS自适应异常检测方法FL-AETFT。具体来说,首先提出了一种基于自编码器-Transformer-付立叶变换算法的轻量级局部学习模型AETFT,以提高学习速度,合理利用硬件资源,保证了部署在分布式边缘设备中的可行性。其次提出了一种只基于正常数据的无监督学习模型,并结合核分位数估计对检测机制进行自适应动态调整。与现有方法相比,它能够准确捕捉ICS中可能随时间变化的新型异常数据范式,对ICS中的异常时序数据进行正确检测。最后将上述方法整合到联合学习框架下,使其能有效地在边缘段攻击源附近进行分布式异常检测,以最大化减少系统对异常攻击的响应时间。分布式边缘计算有助于在不影响整个系统共同运行的情况下最大化阻断受影响区域,从而提高生产效率。此外,联合学习框架允许边缘节点之间共享模型信息,进而优化全局异常检测性能。在实际应用中,这解决了每个边缘节点缺乏训练数据的问题,在多变量且高维数据的情况下尤甚。     

基于Rough Set理论的网络入侵检测系统研究

本文提出了一种基于Rough set理论(Rough Set Theory，RST)的网络入侵检测系统，用于监控网络的异常行为。该方法使用Rough set理论对网络连接数据提取检测规则模型。使用Rough set理论提取规则模型，能有效地处理数据挖掘方法中存在的不完整数据、数据的离散化等问题。实验表明，同其它方法相比，用Rough set理论建立的模型对DoS攻击的检测效果优于其它模型。     

工控协议逆向分析技术研究与挑战

近年来,工业互联网的安全事件日益频发,尤其是工业控制系统(industrial control system, ICS),该现象揭示了目前ICS中已经存在较多的安全隐患,并且那些针对ICS安全隐患的大多数攻击和防御方法都需要对工控协议进行分析.然而,目前ICS中大多数私有工控协议都具有与普通互联网协议完全不同的典型特征,如结构、字段精度、周期性等方面,导致针对互联网协议的逆向分析技术通常都无法直接适用于工控协议.因此,针对工控协议的逆向分析技术已经成为近几年学术界和产业界的研究热点.首先结合2种典型工控协议,深入分析和总结了工控协议的结构特征.其次,给出了工控协议逆向分析框架,深入剖析了基于程序执行和基于报文序列的工控协议逆向分析框架的特点,并依次从人机参与程度和协议格式提取方式这2个角度,重点针对基于报文序列的工控协议分析方法进行详细阐述和对比分析.最后探讨了现有逆向分析方法的特点及不足,并对工控协议逆向分析技术的未来研究方向进行展望与分析.     

基于数字水印的网络控制系统回放攻击检测

随着网络技术在控制系统中的广泛应用, 如何处理数据回放及数据篡改等网络攻击行为是广大科技工作 者必须考虑和解决的一个问题. 在构建包含控制网络和检测网络的控制系统基础上, 本文给出了一种网络控制系统 的数学模型, 并详细阐述了其传感器节点到控制器节点的数据传输方法. 考虑到控制器节点遭受回放攻击的实际 情况, 通过数据帧中添加时间戳和水印数据, 并采用拟合优度检验等相关策略, 由此提出一种新的异常行为检测方 法. 仿真结果表明, 该方法在一定程度上能够有效并快速地检测出针对控制器的回放攻击行为, 具有应用前景和推 广参考价值.     

基于容器的轻量级工业控制系统网络安全测试床研究

针对现有工业控制系统(ICS)测试床部署成本高、网络拓扑简单固定、难以共享等问题,提出了一种基于容器的轻量级ICS网络安全测试床构建方法。该方法将田纳西—伊斯曼过程模型及其控制算法分别封装为两类Docker容器镜像,根据Web图形化界面绘制工业控制网络拓扑,自动配置容器接口并连接成仿真工控网络,最终实现具有真实的工业控制网络数据流的ICS网络安全测试床。实验结果表明,该方法仅需要较少的系统资源,就可快速实现给定网络拓扑的测试环境,支持多种网络攻击测试,相比于其他ICS测试床,具有更好的资源使用、加载速度和可移植性,有利于ICS网络安全的测试、研究和教学工作。     

工业控制系统安全态势感知技术研究

工业控制系统(简称工控)是国家关键基础设施的核心,越来越多的工作开始关注工控系统安全。然而,这些工作的实际应用场景并不统一,因此他们取得的成果无法相互借鉴。为了解决这个问题,在深入研究这些安全技术的基础上,我们提出了工控系统安全态势感知(Situational Awareness for Industrial Control Systems Security,SA-ICSS)框架,该框架由态势觉察、态势理解和态势投射三个阶段构成。在态势觉察阶段,我们首先利用网络测绘和脆弱性发现技术获取完善的目标系统环境要素,如网络拓扑和漏洞信息;其次,我们将入侵检测和入侵诱捕等5种设备部署在目标系统中,以便从控制系统中捕获所有的可疑活动。在态势理解阶段,我们首先基于结构化威胁信息表达(Structured Threat Information Expression,STIX)标准对目标系统进行本体建模,构建了控制任务间的依赖关系以及控制任务与运行设备的映射关系;其次,自动化推理引擎通过学习分析师推理技术,从可疑活动中识别出攻击意图以及目标系统可能受到的影响。在态势投射阶段,我们首先利用攻击图、贝叶斯网络和马尔科夫模型从可疑活动中构建攻击模型;其次,我们利用现有的威胁评估技术从攻击模型中预测可能发生的攻击事件、可能被感染的设备以及可能存在的零日漏洞。我们阐述了SA-ICSS各个阶段的任务范围,并对其中的关键技术进行了分析与总结。最后,我们还探讨了SA-ICSS待解决的若干问题。     

基于多目标决策的工控系统设备安全评估方法研究

目前的工业控制系统(Industrial control systems, ICS) 安全评估方法中,往往利用专家经验对系统设备受攻击的可能性进行赋值, 主观性较强.针对这个问题,本文提出了一种系统设备受攻击可能性的量化计算方法. 工控系统设备受攻击的可能性与两个因素有关,该设备受攻击后, 造成系统损害的严重程度与异常检测算法发现异常的时间长短.因此, 通过对工控系统中的各个设备发动相同攻击,记录各个设备受攻击后系统敏感指标的变化情况与异常检测算法发现异常的时间, 将敏感指标变化情况与发现异常时间作为量化指标,提出基于多目标决策的量化计算方法, 计算出各个设备受攻击的可能性.本文以田纳西--伊斯曼过程(Tennessee-Eastman process, TEP)为例,验证了计算方法的可行性,得到了设备受攻击可能性的量化计算结果.     

融合本体理论的电网动态威胁数据模型与可视感知

网络安全威胁可视化,深度融合网络状态和攻击形式,将网络中安全态势感知与可视化技术结合,实现全域网络可信状态下受到威胁的可视化表征.电力数据网络威胁可视化技术仍存在传统数据模型的表征能力受限以及状态特征冗余和离散导致表达可用程度低的问题.本文提出了融合本体理论与态势演变的电网动态威胁网格化可视感知,通过设计实体化的三阶段统一攻击威胁行为模型,有效解决了电力数据网络安全特征表征模糊问题.设计基于本体特征的深度内容检测方法,形成电网安全数据的紧密关系特征集,从而降低了状态特征的冗余程度,精细化处理后的网络威胁数据将通过态势阶梯,实现攻击行为的图形表征平滑渐变.通过贵州省遵义市供电局电网威胁可视化实验,验证本文方法提升网络安全威胁监测错误4%.     

攻击图与HMM工业控制网络安全风险评估

为了准确评估工业控制系统的网络安全风险,实现工业控制系统的有效防御,提出攻击图与HMM的工业控制系统风险评估方法,根据攻击行为的变化描述网络安全状态。首先建立工业控制网络攻击图模型,将网络攻击转化为网络状态转换问题,引入网络节点关联性（NNC）,对工业控制网络节点关联性进行研究,进一步分析网络的安全风险。然后HMM建立网络观测与攻击状态之间的关系,引入CVSS评价系统对工业控制系统的安全状态进行评价。最后,以火电厂集中控制系统为实验背景,进行案例分析。分析结果表明,该方法能够较全面分析工业控制系统的安全隐患,为安全管理人员采取有效的防范措施提供依据。     

基于DTMC的工业串行协议状态检测算法

针对现有工业信息安全研究主要集中在工业以太网方面,缺少对串行链路协议防护的研究等问题,提出一种基于离散时间马尔可夫链(Discrete Time Markov Chain,DTMC)的工业串行协议状态检测算法。该算法利用工业控制系统(Industrial Control System,ICS)行为有限和状态有限的特征,根据串行链路协议历史流量数据,自动构建ICS正常行为模型——DTMC。模型包含状态事件、状态转移、状态转移概率和状态转移时间间隔等行为信息,使用该模型所包含的状态信息作为状态检测规则集。当检测阶段生成的状态信息与状态检测规则集中的信息不同或偏差超过阈值时,产生告警或拒绝等动作。同时,结合综合包检测(Comprehensive Packet Inspection,CPI)技术来扩大协议载荷数据的可检测范围。实验结果表明,所提算法能有效检测语义攻击,保护串行链路安全,且算法误报率为5.3%,漏报率为0.6%。     

论工控系统安保攻防理念

为了保障工控系统的安全,有效地抗击网络病毒的攻击,工控系统安保的攻防理念必须先行。作者依据中国近代战争的攻防理念,结合当前国内外工控安保的实际情况,提出一些攻防理念,其中包括攻与防、系统的开放与封闭、工控安保有没有"度"的概念、工控安保中的技术与管理之比是3∶7还是7∶3。最后为了更有效地实施攻防理念,对如何建立工控安保的国家标准、两化的融合、人才的培养和建议成立国家安保委员会等都进行了论述。     

工业控制系统信息安全研究新动态

随着信息技术在工业控制系统(Industrial Control System,ICS)的广泛应用,工业控制系统从封闭系统逐步转化为开放互联系统,进而使工业控制系统面临信息技术带来的网络安全挑战.首先,本文借用ICS安全事件详细阐述了工业控制系统信息安全的现状;其次,重点介绍了工业控制系统架构和ICS信息安全与传统信息安全的差异;再次,从学术研究的角度,对2018年第五届ICS-CSR会议论文进行细致研究,从系统架构和通信协议两个方面对提出的安全解决方案进行分类和详细的分析.最后,根据会议中的安全解决方案和实际的安全需求,文章提出3个重点研究方向,分别为网络攻击模型、ICS仿真平台和非技术型人机界面.     

配电自动化GPRS两方认证密钥协商协议

在配电自动化系统的通用分组无线业务（GPRS）通信过程中,存在假冒攻击和数据篡改等安全隐患。为此,提出一种基于双线性对的配电自动化GPRS通信两方认证密钥协商协议,以建立配电主站加密服务器和配电无线终端之间的会话密钥。分析配电自动化GPRS通信网络的结构特点、安全威胁和需求,采用基于密钥的哈希认证码算法,同时考虑配电无线终端的有限计算能力,给出协议的实现过程。分析结果表明,该协议能抵御外部攻击、重放攻击和假冒攻击,且不存在密钥托管问题。与同类协议相比,具有更高的安全性和效率,能够满足实际的应用需求。