《用于工业控制系统中恶意代码的启发式检测方法及装置.pdf》由会员分享,可在线阅读,更多相关《用于工业控制系统中恶意代码的启发式检测方法及装置.pdf(8页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103581160 A (43)申请公布日 2014.02.12 CN 103581160 A (21)申请号 201210330563.8 (22)申请日 2012.09.10 H04L 29/06(2006.01) G06F 21/56(2013.01) (71)申请人 哈尔滨安天科技股份有限公司 地址 150090 黑龙江省哈尔滨市开发区南岗 集中区红旗大街 162 号 506 室 (72)发明人 赵世平 肖新光 桑胜田 (54) 发明名称 用于工业控制系统中恶意代码的启发式检测 方法及装置 (57) 摘要 本发明公开了一种用于工业控制系统中恶 意代码的启发式检。
2、测方法及装置, 首先在工业控 制系统中设置检测点 ; 在所述检测点安装实时时 钟, 进行同步授时 ; 利用实时时钟对检测到的数 据包或者有效数据打上时间标记 ; 针对工业控制 系统中的检测事件设置相应的启发性标志, 并配 置权值 ; 然后, 通过所述检测点获取输入数据, 并 进行分析, 判定是否发生与启发性标志对应的检 测事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定不是恶意代码攻击 ; 利用加权算法对点亮的 启发性标志所对应的权值进行加权运算 ; 最后, 根据加权运算结果判定是否为恶意代码攻击, 并 输出结果。从而解决了利用网络检测方法无法检 测工业控制系统中的恶意代码攻击的问题。。
3、 (51)Int.Cl. 权利要求书 1 页 说明书 4 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书4页 附图2页 (10)申请公布号 CN 103581160 A CN 103581160 A 1/1 页 2 1. 用于工业控制系统中恶意代码的启发式检测方法, 其特征在于 : 在工业控制系统中设置检测点 ; 在所述检测点安装实时时钟, 进行同步授时 ; 利用实时时钟对检测到的数据包或者有效数据打上时间标记 ; 针对工业控制系统中的检测事件设置相应的启发性标志, 并配置权值 ; 通过所述检测点获取输入数据, 并进行分析, 判定是否发生与。
4、启发性标志对应的检测 事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定不是恶意代码攻击 ; 利用加权算法对点亮的启发性标志所对应的权值进行加权运算 ; 根据加权运算结果判定是否为恶意代码攻击, 并输出结果。 2. 如权利要求 1 所述的方法, 其特征在于, 所述的检测点包括 : 检测工业以太网数据包 的检测点, 检测现场总线数据包的检测点或者检测通信模拟信号的检测点。 3.如权利要求1所述的方法, 其特征在于, 所述的实时时钟进行精度为1ms级的精确同 步授时。 4. 如权利要求 1 所述的方法, 其特征在于, 所述的检测事件包括 : 不匹配的请求 - 响应 数据包, 请求数据包发送周。
5、期异常, 请求 - 响应数据包延迟时间异常, 测量值或者控制器输 出发生异常变化, 或者测量值或者控制器输出发生异常振荡。 5. 用于工业控制系统中恶意代码的启发式检测装置, 其特征在于, 包括 : 检测点设置模块, 在工业控制系统中设置检测点 ; 实时时钟模块, 在检测点设置模块设置的检测点处安装实时时钟, 进行同步授时, 利用 实时时钟对检测到的数据包或者有效数据打上时间标记 ; 启发性标志模块, 针对工业控制系统中的检测事件设置相应的启发性标志, 并配置权 值 ; 输入数据获取模块, 通过检测点设置模块设置的检测点获取输入数据 ; 判定模块, 对输入数据获取模块获取的输入数据进行分析, 。
6、判定是否发生与启发性标 志模块中所述的启发性标志对应的检测事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定 不是恶意代码攻击 ; 运算模块, 利用加权算法对判定模块点亮的启发性标志对应的权值进行加权运算 ; 第二判定模块, 根据运算模块的结果判定是否为恶意代码攻击, 并输出结果。 6. 如权利要求 5 所述的装置, 其特征在于, 检测点设置模块中所述的检测点包括 : 检测 工业以太网数据包的检测点, 检测现场总线数据包的检测点或者检测通信模拟信号的检测 点。 7. 如权利要求 5 所述的装置, 其特征在于, 实时时钟模块中所述的实时时钟进行精度 为 1ms 级的精确同步授时。 8. 如。
7、权利要求 5 所述的装置, 其特征在于, 启发性标志模块中所述的检测事件包括 : 不 匹配的请求 - 响应数据包, 请求数据包发送周期异常, 请求 - 响应数据包延迟时间异常, 测 量值或者控制器输出发生异常变化, 或者测量值或者控制器输出发生异常振荡。 权 利 要 求 书 CN 103581160 A 2 1/4 页 3 用于工业控制系统中恶意代码的启发式检测方法及装置 技术领域 0001 本发明涉及计算机安全技术领域和工业控制系统领域, 尤其涉及用于工业控制系 统中恶意代码的启发式检测方法及装置。 背景技术 0002 由于工业控制系统具有内外网物理隔离的特点, 所以针对工业控制系统的恶意代。
8、 码攻击通常不是基于网络传播的。此时传统意义上的恶意代码检测方法, 即通过对网络数 据包进行检测, 并通过特征码匹配等检测方法将不再适用于工业控制领域。 发明内容 0003 针对上述技术问题, 本发明提供了用于工业控制系统中恶意代码的启发式检测方 法及装置, 从而解决了传统检测方法无法检测针对工业控制系统的恶意代码攻击的问题。 0004 本发明采用如下方法来实现 : 用于工业控制系统中恶意代码的启发式检测方法, 包括 : 在工业控制系统中设置检测点 ; 在所述检测点安装实时时钟, 进行同步授时 ; 利用实时时钟对检测到的数据包或者有效数据打上时间标记 ; 针对工业控制系统中的检测事件设置相应的。
9、启发性标志, 并配置权值 ; 通过所述检测点获取输入数据, 并进行分析, 判定是否发生与启发性标志对应的检测 事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定不是恶意代码攻击 ; 利用加权算法对点亮的启发性标志所对应的权值进行加权运算 ; 根据加权运算结果判定是否为恶意代码攻击, 并输出结果。 0005 进一步地, 所述的检测点包括 : 检测工业以太网数据包的检测点, 检测现场总线数 据包的检测点或者检测通信模拟信号的检测点。 0006 进一步地, 所述的实时时钟进行精度为 1ms 级的精确同步授时。 0007 进一步地, 所述的检测事件包括 : 不匹配的请求 - 响应数据包, 请求数。
10、据包发送周 期异常, 请求 - 响应数据包延迟时间异常, 测量值或者控制器输出发生异常变化, 或者测量 值或者控制器输出发生异常振荡。 0008 用于工业控制系统中恶意代码的启发式检测装置, 包括 : 检测点设置模块, 在工业控制系统中设置检测点 ; 实时时钟模块, 在检测点设置模块设置的检测点处安装实时时钟, 进行同步授时, 利用 实时时钟对检测到的数据包或者有效数据打上时间标记 ; 启发性标志模块, 针对工业控制系统中的检测事件设置相应的启发性标志, 并配置权 值 ; 输入数据获取模块, 通过检测点设置模块设置的检测点获取输入数据 ; 判定模块, 对输入数据获取模块获取的输入数据进行分析,。
11、 判定是否发生与启发性标 说 明 书 CN 103581160 A 3 2/4 页 4 志模块中所述的启发性标志对应的检测事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定 不是恶意代码攻击 ; 运算模块, 利用加权算法对判定模块点亮的启发性标志对应的权值进行加权运算 ; 第二判定模块, 根据运算模块的结果判定是否为恶意代码攻击, 并输出结果。 0009 进一步地, 检测点设置模块中所述的检测点包括 : 检测工业以太网数据包的检测 点, 检测现场总线数据包的检测点或者检测通信模拟信号的检测点。 0010 进一步地, 实时时钟模块中所述的实时时钟进行精度为 1ms 级的精确同步授时。 00。
12、11 进一步地, 启发性标志模块中所述的检测事件包括 : 不匹配的请求 - 响应数据包, 请求数据包发送周期异常, 请求 - 响应数据包延迟时间异常, 测量值或者控制器输出发生 异常变化, 或者测量值或者控制器输出发生异常振荡。 0012 综上所述, 本发明提供了用于工业控制系统中恶意代码的启发式检测方法及装 置, 首先在工业控制系统中设置检测点, 在各检测点处设置实时时钟, 对于检测到的数据包 或者有效数据打上时间标记, 同时, 针对工业控制系统中的检测事件设置相应的启发性标 志, 并配置权值, 分析由检测点获取的输入数据, 判定是否发生与启发性标志对应的检测事 件, 若是, 则点亮相应的启。
13、发性标志, 并利用加权算法对点亮的启发性标志所对应的权值进 行加权运算, 由运算结果判定是否为恶意代码攻击 ; 否则, 判定不是恶意代码攻击。本方法 不是基于网络数据包进行的检测, 而是基于工业控制系统的特性、 共性、 控制数学模型等分 析检测事件和进行启发式的检测。对于工业控制系统来说, 该检测方法要优于传统的注重 恶意代码本身的检测方法。 附图说明 0013 为了更清楚地说明本发明的技术方案, 下面将对实施例中所需要使用的附图作简 单地介绍, 显而易见地, 下面描述中的附图仅仅是本发明中记载的一些实施例, 对于本领域 普通技术人员来讲, 在不付出创造性劳动的前提下, 还可以根据这些附图获得。
14、其他的附图。 0014 图 1 为本发明提供的用于工业控制系统中恶意代码的启发式检测方法流程图 ; 图 2 为本发明提供的用于工业控制系统中恶意代码的启发式检测装置结构图。 具体实施方式 0015 本发明给出了用于工业控制系统中恶意代码的启发式检测方法及装置, 为了使本 技术领域的人员更好地理解本发明实施例中的技术方案, 并使本发明的上述目的、 特征和 优点能够更加明显易懂, 下面结合附图对本发明中技术方案作进一步详细的说明 : 本发明首先提供了用于工业控制系统中恶意代码的启发式检测方法, 如图 1 所示, 包 括 : S101 在工业控制系统中设置检测点 ; S102 在所述检测点安装实时时。
15、钟, 进行同步授时 ; S103 利用实时时钟对检测到的数据包或者有效数据打上时间标记 ; S104 针对工业控制系统中的检测事件设置相应的启发性标志, 并配置权值 ; S105 通过所述检测点获取输入数据, 并分析输入数据 ; S106 判定是否发生与启发性标志对应的检测事件, 若是, 则执行 S107 ; 否则, 则判定不 说 明 书 CN 103581160 A 4 3/4 页 5 是恶意代码攻击 ; S107 点亮相应的启发性标志 ; S108 利用加权算法对点亮的启发性标志所对应的权值进行加权运算 ; S109 根据加权运算结果判定是否为恶意代码攻击, 并输出结果。 0016 进一步。
16、地, 所述的检测点包括 : 检测工业以太网数据包的检测点, 检测现场总线数 据包的检测点或者检测通信模拟信号的检测点。 0017 进一步地, 所述的实时时钟进行精度为 1ms 级的精确同步授时。 0018 进一步地, 所述的检测事件包括 : 不匹配的请求 - 响应数据包, 请求数据包发送周 期异常, 请求 - 响应数据包延迟时间异常, 测量值或者控制器输出发生异常变化, 或者测量 值或者控制器输出发生异常振荡。 0019 本发明还提供了用于工业控制系统中恶意代码的启发式检测装置, 如图 2 所示, 包括 : 检测点设置模块 201, 在工业控制系统中设置检测点 ; 实时时钟模块 202, 在检。
17、测点设置模块 201 设置的检测点处安装实时时钟, 进行同步授 时, 利用实时时钟对检测到的数据包或者有效数据打上时间标记 ; 启发性标志模块 203, 针对工业控制系统中的检测事件设置相应的启发性标志, 并配置 权值 ; 输入数据获取模块 204, 通过检测点设置模块 201 设置的检测点获取输入数据 ; 判定模块 205, 对输入数据获取模块 204 获取的输入数据进行分析, 查看是否发生与启 发性标志模块 203 中所述的启发性标志对应的检测事件, 若是, 则点亮相应的启发性标志 ; 否则, 判定不是恶意代码攻击 ; 运算模块 206, 利用加权算法对判定模块点亮的启发性标志对应的权值进。
18、行加权运 算 ; 第二判定模块 207, 根据运算模块 206 的结果判定是否为恶意代码攻击, 并输出结果。 0020 进一步地, 检测点设置模块中所述的检测点包括 : 检测工业以太网数据包的检测 点, 检测现场总线数据包的检测点或者检测通信模拟信号的检测点。 0021 进一步地, 实时时钟模块中所述的实时时钟进行精度为 1ms 级的精确同步授时。 0022 进一步地, 启发性标志模块中所述的检测事件包括 : 不匹配的请求 - 响应数据包, 请求数据包发送周期异常, 请求 - 响应数据包延迟时间异常, 测量值或者控制器输出发生 异常变化, 或者测量值或者控制器输出发生异常振荡。 0023 如上。
19、所述, 本发明给出了用于工业控制系统中恶意代码的启发式检测方法及装 置, 其与传统检测方法的区别在于, 不是利用网络数据包进行的检测, 而是利用工业控制系 统本身的特性进行的启发式的检测方法。首先在工业控制系统中设置检测点, 在各检测点 处安装高精度的实时时钟, 从而对于检测到的数据包打上时间标记 ; 在通过对所述检测点 处获取的输入数据进行分析后, 判定是否发生与启发性标志所对应的检测事件, 若是, 则点 亮相应的启发式标志, 并利用加权算法对点亮的启发性标志所对应的权值进行加权运算, 根据结果判定是否为恶意代码攻击 ; 否则, 则判定不是恶意代码攻击。 本发明利用工业控制 系统本身的特性, 解决了传统的恶意代码检测方法不适用于工业控制系统的检测的问题, 达到了较好的检测效果。 说 明 书 CN 103581160 A 5 4/4 页 6 0024 以上实施例用以说明而非限制本发明的技术方案。 不脱离本发明精神和范围的任 何修改或局部替换, 均应涵盖在本发明的权利要求范围当中。 说 明 书 CN 103581160 A 6 1/2 页 7 图 1 说 明 书 附 图 CN 103581160 A 7 2/2 页 8 图 2 说 明 书 附 图 CN 103581160 A 8 。