基于日志问询留存的工业控制设备安全检测方法

基于日志问询留存的工业控制设备安全检测方法

　　技术领域

　　本发明涉及工业控制与安全技术领域，尤其涉及基于日志问询留存的工业控制设备安全检测方法及工业控制系统。

　　背景技术

　　工业控制设备结合了计算机和自动化技术，可以很容易地完成逻辑、顺序、定时、计数、数字运算、数据处理等功能，而且可以通过输入、输出接口建立与各类生产机械数字量和模拟量的联系，从而实现生产过程的自动控制。近年来，工业控制逐渐由封闭走向互联，随着相关的安全事件的高发，尤其是针对工业控制设备的攻击，攻击威胁呈现出定向性、精准性，技术手段复杂化、专业化，攻击行为组织化、周期长的显著特征，工业控制设备信息安全问题受到了越来越多的重视。

　　目前，对于工业控制设备的安全检测方法大多数集中在对控制指令、协议和流量的分析上，这些数据通常复杂多样或难以获取，不易分析，可能会无法及时检测到设备出现异常。

　　发明内容

　　本发明的目的提供一种准确、有效，且无需对工业控制设备的控制指令、协议或流量进行分析的工业控制设备安全检测方法。

　　为了实现上述目的，本发明提供了一种基于日志问询留存的工业控制设备安全检测方法，该方法包括如下步骤：

　　S101、设置第一时间窗口、第二时间窗口及问询间隔时间，获取并存储第一时间窗口内正常运行的工业控制设备的日志，作为基准日志样本；

　　S102、根据基准日志样本确定正常运行设备日志基线，包括：

　　确定日志类型白名单；

　　结合第二时间窗口，对第一时间窗口所覆盖的时段进行分割，根据分割后对应的基准日志样本，建立针对不同时段的基准日志集合；

　　S103、在现网环境中，根据问询间隔时间，周期性问询获取第二时间窗口内工业控制设备的日志并留存，建立日志数据库；

　　S104、根据正常运行设备日志基线检测每一次问询获取的日志，判断工业控制设备是否出现异常，包括：

　　检测问询获取的日志的日志类型，若无法匹配日志类型白名单，则认为出现异常；

　　以集合的形式，将第二时间窗口内所有日志的日志时间、日志类型，与相应时段的基准日志集合进行比对，若无法匹配的日志的个数超过预设值，则认为出现异常。

　　优选地，步骤S102中确定日志类型白名单时，还确定各日志类型对应的基准日志内容；

　　步骤S104中根据正常运行设备日志基线检测每一次问询获取的日志，判断工业控制设备是否出现异常时，还包括：

　　以单个日志的形式，逐个检查第二时间窗口内所有日志的日志内容，若无法匹配相应日志类型的基准日志内容，则认为出现异常。

　　优选地，该方法还包括如下步骤：

　　S105、若判断工业控制设备出现异常，则发出警告信息，并调用日志数据库中留存的日志，进行安全事件追踪溯源分析。

　　优选地，第一时间窗口的选取范围为3~4天，第二时间窗口的选取范围为1~1.5小时，问询间隔时间的选取范围为0.5~1小时。

　　优选地，所述步骤S101中，正常运行的工业控制设备的日志来自不联网的工业控制设备或联网初期的工业控制设备，所述联网初期的工业控制设备的联网时长少于预设时长阈值。

　　优选地，基于日志采集器实现，所述日志采集器包括设置模块、通信模块、存储模块、基线模块和检测模块；所述设置模块用于设置第一时间窗口、第二时间窗口及问询间隔时间，所述通信模块与所述设置模块连接，用于问询获取工业控制设备的日志，所述存储模块与所述通信模块连接，用于存储获取的工业控制设备的日志，所述基线模块与所述存储模块连接，用于确定正常运行设备日志基线，所述检测模块与所述存储模块、所述基线模块连接，用于根据正常运行设备日志基线检测每一次问询获取的日志。

　　本发明还提供了一种基于日志问询留存的工业控制设备安全检测方法，该方法包括如下步骤：

　　S201、设置第一时间窗口、第二时间窗口及问询间隔时间，获取并存储第一时间窗口内正常运行的工业控制设备的日志，作为基准日志样本；

　　S202、根据基准日志样本确定正常运行设备日志基线，包括：

　　确定日志类型白名单；

　　结合第二时间窗口，对第一时间窗口所覆盖的时段进行分割，根据分割后对应的基准日志样本提取日志集合特征，建立针对第二时间窗口的日志集合规则；其中日志集合规则至少包括日志类型及对应的日志个数范围；

　　针对单个日志提取特征，建立日志时间、日志类型与日志内容的关联规则；其中关联规则至少包括日志类型、对应的正常工作时间段与日志内容；

　　S203、在现网环境中，根据问询间隔时间，周期性问询获取第二时间窗口内工业控制设备的日志并留存，建立日志数据库；

　　S204、根据正常运行设备日志基线检测每一次问询获取的日志，判断工业控制设备是否出现异常，包括：

　　检测问询获取的日志的日志类型，若无法匹配日志类型白名单，则认为出现异常；

　　以集合的形式，统计第二时间窗口内全部日志的日志类型及对应的日志的个数，若无法匹配日志集合规则，则认为出现异常；

　　以单个日志的形式，检查第二时间窗口内每个日志的日志类型、日志时间及日志内容，若无法匹配关联规则，则认为出现异常。

　　本发明还提供了一种工业控制系统，采用如上述任一项所述的基于日志问询留存的工业控制设备安全检测方法监控工业控制设备。

　　本发明的上述技术方案具有如下优点：本发明提供了基于日志问询留存的工业控制设备安全检测方法及工业控制系统，本发明采用定时问询并留存工业控制设备的日志数据的方式，通过分析日志数据进行安全检测，充分利用了工业控制设备的日志数据在安全异常发现中的价值，无需处理工业控制设备的控制指令、协议和/或流量数据，能够实现对各种不同类型的工业控制设备的异常发现，且有助于进行安全事件追踪溯源取证，以及安全事件响应和快速恢复。

　　附图说明

　　图1是本发明实施例中一种基于日志问询留存的工业控制设备安全检测方法步骤图；

　　图2是本发明实施例中另一种基于日志问询留存的工业控制设备安全检测方法步骤图。

　　具体实施方式

　　为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

　　如图1所示，本发明实施例提供的一种基于日志问询留存的工业控制设备安全检测方法，该方法包括如下步骤：

　　S101、设置第一时间窗口、第二时间窗口及问询间隔时间，获取并存储第一时间窗口内、正常运行的工业控制设备的日志，作为基准日志样本。

　　设置第一时间窗口旨在获取一定数量的、正常状态下的工业控制设备的日志数据，优选地，为获取足够的日志数据，第一时间窗口的选取范围为3~5天，优选为选取业务正常运行3天，作为基线日志。设置第二时间窗口则旨在获取一段时间内运行的工业控制设备的日志，第二时间窗口的选取范围为1~1.5小时，优选为1小时。设置问询间隔时间是为了在后续步骤中定期问询并获取运行的工业控制设备的日志，以便检测工业控制设备状态，问询间隔时间的选取范围为0.5~1小时，优选为0.5小时，即可以有效的获取全部设备日志，又不至于频繁请求导致设备CPU占用过高。

　　在第一时间窗口内获取的、作为基准日志样本的日志数据是进行安全检测的数据基础，优选地，为确保作为基准日志样本的日志来自正常状态下的工业控制设备，步骤S101中获取的、正常运行的工业控制设备的日志来自不联网的工业控制设备或联网初期的工业控制设备，联网初期的工业控制设备的联网时长少于预设时长阈值。

　　S102、根据基准日志样本确定正常运行设备日志基线，包括：

　　（1）确定日志类型白名单；

　　（2）结合第二时间窗口，对第一时间窗口所覆盖的时段进行分割，根据分割后对应的基准日志样本，建立针对不同时段的基准日志集合。

　　考虑到正常运行的工业控制设备通常不会频繁变动工作模式，其日志类型及每个工作周期（例如每天、每周）内的各日志往往是固定的，在每个工作周期对应的同一时段内，日志的类型、时间、个数一般不会出现明显变化。因此，确定日志类型白名单后，可通过分析一个日志的日志类型，确定该日志是正常范围内的常规日志，还是异常的非法日志；而将基准日志样本根据时段分开，分析不同工作周期对应的同一时段内的基准日志样本，例如通过神经网络提取基准日志样本的行为特征，可建立对应不同时段的基准日志集合，基准日志集合包括一组按时间顺序排列的日志，日志的总个数确定（总个数大于等于0），各个日志的日志类型、日志时间及相应的时间范围确定。

　　S103、在现网环境中，根据问询间隔时间，周期性问询获取第二时间窗口内工业控制设备的日志并留存，建立与工业控制设备相对分离的日志数据库。

　　通过外接的装置，例如日志采集器，周期性地问询并长期留存工业控制设备的日志，既无需改动工业控制设备及其组态软件，又能够解决由于工业控制设备自身存储容量小，日志存储周期短的问题。

　　S104、根据正常运行设备日志基线检测每一次问询获取的日志（即新加入日志数据库的日志数据），判断工业控制设备是否出现异常，包括：

　　（1）检测问询获取的日志的日志类型，若无法匹配日志类型白名单，即日志的类型不属于日志类型白名单记载范围，则认为出现异常；

　　（2）以集合的形式，将问询获取的第二时间窗口内所有日志的日志时间、日志类型，与相应时段的基准日志集合进行比对，若无法匹配的日志的个数超过预设值，则认为出现异常。

　　假设对于某一工业控制设备的某一时段，基准日志集合的日志总个数为3，各个日志的日志时间分别为15:00:00、15:10:00、15:11:00，时间范围均为±1min，日志类型分别为切换RUN、切换到STOP、切换到RUN，[G1] 判断出现异常的预设值为2，若以集合的形式检查问询获取的日志，发现问询获取的日志包括6个日志，日志的总个数不匹配，则认为出现异常；若问询获取的日志包括3个日志，日志总个数匹配，但3个日志的日志时间为15:20:00、15:21:00、15:22:00，超出相应的时间范围，或3个日志的日志类型为断电、上电、断电，日志类型不匹配，虽然各个日志的日志类型均匹配日志类型白名单，但以集合的形式而言，与基准日志集合不匹配（在正常的时间出现了相对该时间而言是异常的日志类型），即，问询获取的第二时间窗口内所有日志中，日志时间或日志类型无法与基准日志集合相匹配的日志个数超过预设值，则认为出现异常。

　　为进一步利用日志数据中的信息，避免发生漏检、误检，优选地，步骤S102中确定日志类型白名单时，还确定正常运行状态下，各日志类型对应的基准日志内容。相应的，步骤S104中根据正常运行设备日志基线检测每一次问询获取的日志，判断工业控制设备是否出现异常时，还包括：

　　（3）以单个日志的形式，逐个检查第二时间窗口内所有日志的日志内容，若无法匹配相应日志类型对应的基准日志内容，则认为出现异常。

　　综合考虑日志类型、日志时间及具体的日志内容，能够有效地避免漏检工业控制设备的运行异常。将第二时间窗口的日志行为进行分析，根据日志时间和日志类型，判断是否在正常的时间出现了异常的行为，比如PLC重启、PLC断点等。例如工业控制设备更新程序时，通常需要重启，若在步骤S104的检测中发现工业控制设备曾在非正常时间重启，则认为出现异常，初步判断可能遭遇了网络攻击或蠕虫感染等。

　　优选地，该工业控制设备安全检测方法还包括如下步骤：

　　S105、若判断工业控制设备出现异常，则发出警告信息，并调用日志数据库留存的日志，进行安全事件追踪溯源分析。

　　进一步地，发生设备运行异常，可以对已留存的历史日志数据进行关联分析，进行安全事件的追踪溯源和取证。

　　针对工业控制设备典型的攻击方式有蠕虫、代理、定时炸弹、勒索等手段，都是通过更新设备配置和程序，以获取对设备的控制权限。工业控制设备由于内存空间不足，日志存储个数有限，可能导致日志很快被覆盖，攻击难以被发现。通过留存历史日志，一旦发生安全事件，可以通过日志回溯分析，找到发生故障的时间点，以及故障原因；比例，正常业务时间发生了非正常的设备重启，正常业务时间发生了组态程序下载等。

　　在一些优选的实施方式中，该工业控制设备安全检测方法可基于日志采集器实现，日志采集器需要较高的稳定性，工业环境中需要使用无风扇设计，保证可靠性。进一步地，日志采集器包括设置模块、通信模块、存储模块、基线模块和检测模块。其中，设置模块用于设置第一时间窗口、第二时间窗口及问询间隔时间。通信模块与设置模块连接，用于问询获取工业控制设备的日志。存储模块与通信模块连接，用于存储获取的工业控制设备的日志（包括基准日志样本及周期性问询获取的日志）。基线模块与存储模块连接，用于（根据基准日志样本）确定正常运行设备日志基线。检测模块与存储模块、基线模块连接，用于根据正常运行设备日志基线检测每一次问询获取的日志。

　　进一步地，日志采集器的存储模块包括第一存储单元和第二存储单元，第一存储单元与通信模块、基线模块连接，用于存储第一时间窗口内正常运行的工业控制设备的日志，第二存储单元与通信模块、检测模块连接，用于存储周期性问询获取第二时间窗口内工业控制设备的日志，建立日志数据库。

　　关于日志采集器的进一步具体限定可以参见上文中对于工业控制设备安全检测方法的限定，在此不再赘述。

　　如图2所示，特别地，本发明还提供了一种基于日志问询留存的工业控制设备安全检测方法，包括如下步骤：

　　S201、设置第一时间窗口、第二时间窗口及问询间隔时间，获取并存储第一时间窗口内正常运行的工业控制设备的日志，作为基准日志样本。

　　S202、根据基准日志样本确定正常运行设备日志基线，包括：

　　（1）确定日志类型白名单。

　　（2）结合第二时间窗口，对第一时间窗口所覆盖的时段进行分割，根据分割后对应的基准日志样本提取日志集合特征，建立针对第二时间窗口的日志集合规则；其中日志集合规则至少包括日志类型及对应的日志个数范围。

　　在第二时间窗口所限制的时长范围内，不同日志类型对应的日志个数可能不相同，但对于正常运行状态，某一日志类型对应的日志的个数总是有限的。假设对于某一工业控制设备，在一个小时内，上电/断电的次数不应超过3次，切换到RUN/STOP的次数不应超过5次，若其日志显示，在一个小时内经历了10次上电/断电，或经历了20次切换到RUN/STOP，则该工业控制设备很可能出现了异常。

　　（3）针对单个日志提取特征，建立日志时间、日志类型与日志内容的关联规则；其中关联规则至少包括日志类型、对应的正常工作时间段与日志内容。

　　正常运行状态下，工业控制设备在特定的时间段执行相应的指令，假设对于某一工业控制设备，其上电/断电的正常工作时间段为9:00至20:00，若日志显示其在4:00执行了上电，则该工业控制设备很可能出现了异常。

　　S203、在现网环境中，根据问询间隔时间，周期性问询获取第二时间窗口内工业控制设备的日志并留存，建立日志数据库。

　　S204、根据正常运行设备日志基线检测每一次问询获取的日志，判断工业控制设备是否出现异常，包括：

　　（1）检测问询获取的日志的日志类型，若不属于日志类型白名单，则认为出现异常。

　　首先是根据日志类型进行判断，若不属于日志类型白名单，显然是异常的非法日志。

　　（2）以集合的形式检查问询获取的日志，若无法满足日志集合规则，则认为出现异常。

　　对于第二时间窗口限定的时长，若某一类型的日志出现次数反常多或少，超出正常的日志个数范围，则也认为出现了异常。

　　（3）以单个日志的形式检查问询获取的日志的日志时间、日志类型与日志内容，若无法满足关联规则，则认为出现异常。

　　通过综合日志类型、日志时间与日志内容进行检测，能够有效利用日志数据中的信息，提高发现工业控制设备异常与安全风险的准确率。

　　优选地，上述工业控制设备安全检测方法还包括如下步骤：

　　S205、若判断工业控制设备出现异常，则发出警告信息，并调用日志数据库中留存的日志，进行安全事件追踪溯源分析。

　　进一步地，上述工业控制设备安全检测方法可基于日志采集器实现。日志采集器需要较高的稳定性，工业环境中需要使用无风扇设计，保证可靠性。优选地，日志采集器包括设置模块、通信模块、存储模块、基线模块和检测模块。其中，设置模块用于设置第一时间窗口、第二时间窗口及问询间隔时间。通信模块与设置模块连接，用于问询获取工业控制设备的日志。存储模块与通信模块连接，用于存储获取的工业控制设备的日志（包括基准日志样本及周期性问询获取的日志）。基线模块与存储模块连接，用于（根据基准日志样本）确定正常运行设备日志基线。检测模块与存储模块、基线模块连接，用于根据正常运行设备日志基线检测每一次问询获取的日志。

　　进一步地，日志采集器的存储模块包括第一存储单元和第二存储单元，第一存储单元与通信模块、基线模块连接，用于存储第一时间窗口内正常运行的工业控制设备的日志，第二存储单元与通信模块、检测模块连接，用于存储周期性问询获取第二时间窗口内工业控制设备的日志，建立日志数据库。

　　关于日志采集器的进一步具体限定可以参见上文中对于工业控制设备安全检测方法的限定，在此不再赘述。

　　本发明还提供了一种工业控制系统，采用如上述任一项实施方式所述的基于日志问询留存的工业控制设备安全检测方法监控工业控制设备。

　　综上所述，本发明通过构建正常运行设备日志基线并周期性问询现网实时运行的工业控制设备日志的方法，长期保存日志数据并基于日志分析对工业控制设备运行安全进行异常发现，还能够基于日志数据实现安全事件的追踪溯源及应急响应。本发明充分利用了工业控制设备日志数据实现工业控制设备安全检测，且解决了由于工业控制设备存储容量小，日志存储周期短的问题。

　　最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。