SCADA系统异常行为检测技术.ppt

22
异常检测系统：利用被监控系统正常行为模型 作为检测系统中入侵行为和异常活动的依据。
不同系统的正常行为模型差别很大，传统IT系统的正常行为模型不能直接应用于 SCADA入侵检测系统中。
SCADA入侵检测技术分类
根据感应器采集数据的数据源来划分
1
基于主机（Host-Based）的入侵检测系统。可监测系统、事件和操 作系统下的安全记录以及系统记录。
SCADA系统入侵检测应用
应用
基于主机的IDS（Snort、安全卫士）
基于嵌入式设备的IDS（Autoscopy Jr、Doppelganger）
多源融合的IDS
不足
准确性差，误判依旧较高
没有Fra Baidu bibliotek熟的商用产品
基于荷载的异常入侵检测框架
谢谢
SCADA系统入侵检测技术
1
基于主机的异常入侵检测：基于统计学模型，根据异常差别触发相 应的报警。
2
基于主机的误用入侵检测：通过设定的规则检测安全攻击。
23
基于网络的异常入侵检测：根据工控协议规范，建立起工控协议可接 受的行为模型，从而检测不符合该行为模型的潜在攻击。
24
基于网络的误用入侵检测：通过分析实际环境采集的真实数据和模拟 产生的仿真数据，建立攻击行为的特征库。
入侵检测与异常行为检测
入侵检测(Intrusion Detection System, IDS)即对系统的 运行状态进行监视，发现各种攻击企图、攻击行为或者攻击 结果，以保证系统资源的机密性、完整性和可用性。
入侵检测系统架构
入侵检测技术分类
根据入侵检测分析方法来划分
1
误用检测系统：根据已知入侵攻击的信息（知 识、模式等）来检测系统中的入侵和攻击。
22
基于网络（Network-Based）的入侵检测系统。使用原始网络数据包 作为数据源，利用一个运行在混杂模式下的网络适配器来实时监视并
分析通过网络的所有通信业务。
在SCADA系统中，网络通信主要包括现场网络内部通信数据，控制网络内部通信 数据以及现场网络和控制网络之间的通信数据。主要在控制网络和通信网络的边界 部署感应器，采集控制网络和现场网络之间的通信数据包。