基于入侵检测的电力设施安全态势感知系统文献综述

 2022-11-26 13:06:30

摘要:

随着工业4.0和“两化融合”的不断推进,越来越多的企业把先进的以太网技术应用到工业控制和生产过程当中去,形成工业以太网。然而,以太网技术在应用到工业生产环境中为企业提高了生产效率和综合效益的同时,也产生了不可忽视的信息安全问题。其主要原因是以太网技术被引进的最初目的是为了满足工业生产过程中的可用性和实时性要求,达到降低生产成本的效果,从而忽略了工控系统的开放可能带来的安全隐患。通过进一步分析绪论当中提到的近十年内发生的工控安全事件,大部分的工控安全事件都是以通信网络为基点,在工业生产网络中各个组件间的通信协议中制造非法请求或者攻击。从而使工业控制系统出现各种问题,导致企业生产效率低下甚至停产。因此,工业控制系统通信协议的安全问题成为近些年来研究工控信息安全的热点。

目前,大部分企业以工业防火墙为手段来维护自身工业控制系统的安全与稳定。虽然工业防火墙可以基本抵御来自外网对工业控制网络的非法攻击,但工控安全事件的不断出现,说明只对外部网络的防护己经无法保障整个系统的安全。大部分的工业控制系统的控制器和设备之间采用私有的专用通信协议,协议内容对外并不公开,例如S7协议、西门子的PPI协议和GE SRTP协议等。当下随着互联网技术对工业控制系统的不断深入,不少私有的专用协议逐渐公开,这无疑增加了工业控制系统安全事故的几率。

主题:

网络安全态势的评估的常用方法有专家评估方法和绩效衡量评估方法和实时探测评估方法。对当前网络安全态势评估的方式是对当前态势得到一个值,称为态势值,来表征当前网络安全的态势。该态势值的取值范围为[0,9],安全态势的衡量标准为0表示最优,当前状态是可信任的状态,9表示最严重,当前状态是高度危机的状态。计算态势值的思路是对当前监控网络下所有的主机计算其对应的态势值,而主机的态势值主要由时间段内各个安全事件发生的概率和次数决定,再通过求和得到总的态势值,也即当前网络状态下的态势值,最后通过计算方法将态势值分布在0-9的范围内。通过该态势值,可以了解当前网络下的安全态势形式,受到威胁的程度,并通过态势预测手段了解未来当前网络的态势情况[1][2]。

电子科技大学的钱国庆[1]对基于网络安全技术的SQL注入检测技术、DGA恶意域名检测技术和恶意脚本检测技术进行详细的分析和深入的研究。3-grams的方式对处SQL注入进行处理,结合word2vec和GRU得到检测SQL注入攻击的模型。对DGA恶意域名进行特定的特征工程,例如WHOIS信息,n-grams排名等,结合LightGBM得到检测DGA恶意域名的检测模型。对恶意脚本中的HTML、CSS和JavaScript代码分别进行特征提取,结合XGBoost得到检测恶意脚本的模型。基于以上的安全事件,对当前网络的安全态势进行评估。并使用LSTM和Bi-LSTM相结合的方式得到态势预测的模型。

中国人民公安大学的朱晨飞[11]以神经网络模型为基础对网络安全态势进行评估和预测,首先,结合现有的网络安全态势指标体系,依照网络信息风险评估标准,从多层次多维度选取相对重要的要素指标以构建指标体系,同时根据相关数学公式量化底层指标。然后,在已建立的指标体系的基础上,提出了一种基于Inception-CNN的网络安全态势评估新方法,并构建相关态势评估模型,将Inception模块与传统卷积神经网络相结合,并引入滤波思想,利用高提升滤波放大不同维度子态势的特征,提高评估模型对不同子态势的敏感程度,使其具有更强的可操作性和实践性。最后,提出一种基于PSO-MCElman的网络安全态势预测方法并构建相应的动态预测模型。该预测方法在传统Elman神经网络中增加精选层和记忆层来改进其结构,同时引入累积分布函数实现预测模型输入的训练数据能根据所对应的不同时间点具有不同的权重大小,然后通过粒子群优化算法优化改进的Elman神经网络的权值与自反馈增益因子,实现基于PSO-MCElman的模型的构建。

针对安全数据的分类,福州大学的刘延华、高晓玲[7]等人针对基于特征学习的安全数据分类框架主要包含3个模块:数据预处理模块、数据采样模块和建立特征学习模型模块。采用改进的SMOTE算法进行不平衡数据的处理,XGBoost算法大规模的提取数据特征。南京理工大学的孟锦[12]对于网络安全态势的评估合时变证据理论提出了带有时间参数的网络安全态势评估层次化模型,用引入时变函数的方法,区别对待由分散式安全监测系统的多传感器源所获得数据。提出了内部效能态势评估的概念作为网络安全态势评估的补充,在预测方面提出了两个预测模型,一个是基于HHGA-RBF神经网络的网络安全态势预测模型,一个是结合SVM对非线性数据拟合的能力与的快速全局化优点,将两者相结合建立了复杂非线性拟合模型。

网络安全态势的分析及预测可用在不同领域,而北方工业大学的刘红阳[3]针对工业领域的通信安全问题,重点分析了Snort入侵检测系统的原理与架构,重点分析Snort处理数据包的流程,指出了PROFINET IO的短板。在模拟工厂自动化现场情况,以工业以太网交换机为桥梁搭建了PROFINET IO实时通信系统,并捕获系统在启动前和启动后所涉及的通信协议。通过对协议帧结构的分析,设计Snort预处理器,完成了Snort*PROFINET通信协议的解析与识别,并借助开源工具对解析后的协议进行可视化展示。搭建了模拟攻击实验环境,并对可能发生的攻击场景进行分析。通过在预处理器插件中设计检测规则,实现了Snort对异常PROFINET协议的检测与报警,验证了系统的有效性。

基于Snort对工业系统入侵检测的广泛应用,华中科技大学的吕明[14]对Snort进行了适应性的改进,主要包括对Snort检测模块的代码进行了一些修改和处理,如规则链树的回溯,建立一个map表来维护TCP会话信息,将数据包头进行格式化输出等。然后实现了一个调度程序 Detector,它来配置Snort的参数,给 Snort 进程发送调度命令,接收Snort进程发送的报警信息,进行处理,并输出显示。Detector进程与Snort进程之间是以命名管道来进行通信的。北京邮电大学的冯子豪依据工业控制系统的特殊性,对Snort进行修改并进行模块扩展,使其能够支持检测更多的工业控制系统通信协议,并可对国际主流工控厂商的可编程逻辑器件进行程序检测,判断是否被篡改。

剩余内容已隐藏,您需要先支付 10元 才能查看该篇文章全部内容!立即支付

以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。