SCADA系統(tǒng)異常行為檢測技術(shù)

知識點：SCADA系統(tǒng)異常行為檢測技術(shù)入侵檢測與異常行為檢測入侵檢測(IntrusionDetectionSystem,IDS)即對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測系統(tǒng)架構(gòu)入侵檢測技術(shù)分類根據(jù)入侵檢測分析方法來劃分12異常檢測系統(tǒng)：利用被監(jiān)控系統(tǒng)正常行為模型作為檢測系統(tǒng)中入侵行為和異?；顒拥囊罁?jù)。誤用檢測系統(tǒng)：根據(jù)已知入侵攻擊的信息（知識、模式等）來檢測系統(tǒng)中的入侵和攻擊。2不同系統(tǒng)的正常行為模型差別很大，傳統(tǒng)IT系統(tǒng)的正常行為模型不能直接應(yīng)用于SCADA入侵檢測系統(tǒng)中。SCADA入侵檢測技術(shù)分類根據(jù)感應(yīng)器采集數(shù)據(jù)的數(shù)據(jù)源來劃分12基于網(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)。使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，利用一個運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)?；谥鳈C(jī)（Host-Based）的入侵檢測系統(tǒng)。可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。2在SCADA系統(tǒng)中，網(wǎng)絡(luò)通信主要包括現(xiàn)場網(wǎng)絡(luò)內(nèi)部通信數(shù)據(jù)，控制網(wǎng)絡(luò)內(nèi)部通信數(shù)據(jù)以及現(xiàn)場網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間的通信數(shù)據(jù)。主要在控制網(wǎng)絡(luò)和通信網(wǎng)絡(luò)的邊界部署感應(yīng)器，采集控制網(wǎng)絡(luò)和現(xiàn)場網(wǎng)絡(luò)之間的通信數(shù)據(jù)包。SCADA系統(tǒng)入侵檢測技術(shù)12基于主機(jī)的誤用入侵檢測：通過設(shè)定的規(guī)則檢測安全攻擊?；谥鳈C(jī)的異常入侵檢測：基于統(tǒng)計學(xué)模型，根據(jù)異常差別觸發(fā)相應(yīng)的報警。22基于網(wǎng)絡(luò)的異常入侵檢測：根據(jù)工控協(xié)議規(guī)范，建立起工控協(xié)議可接受的行為模型，從而檢測不符合該行為模型的潛在攻擊。32基于網(wǎng)絡(luò)的誤用入侵檢測：通過分析實際環(huán)境采集的真實數(shù)據(jù)和模擬產(chǎn)生的仿真數(shù)據(jù)，建立攻擊行為的特征庫。4SCADA系統(tǒng)入侵檢測應(yīng)用應(yīng)用基于主機(jī)的IDS（Snort、安全衛(wèi)士）基于嵌入式設(shè)備的IDS（AutoscopyJr、Doppelganger）多源融合的IDS