工业控制系统入侵检测相关论文阅读1
State-Based Network Intrusion Detection Systems for SCADA Protocols: A Proof of Concept
针对SCADA协议的基于状态的入侵检测系统
发表时间:2010
作者:Carcano, A., Fovino, I.N., Masera, M., Trombetta, A
期刊:Critical Information Infrastructures Security
主要贡献
基于系统知识库和系统状态分析的概念,专门针对复杂关键基础结构的上下文进行定制。
考虑系统临界状态。
论文逻辑
从逻辑角度来看,确定了IDS架构中的五个逻辑元素:
- SCADA Protocol Sensor (SPS):SCADA协议传感器
- Single packet rules DB (SPDB):单包规则库
- System Virtual Image (SVI):系统虚拟映像
- State Validator and Inspector (SV AL):状态验证和检查器
- Critical State Rules DB (CSRDB):临界状态规则库
感觉作者这里对他们的系统的结构按照逻辑分了模块,并描述了其支撑关系。如果能给张图就更好了。系统结构大意是读取数据包,然后跟库进行比对。一个是检测一致性,还有检测是否处于临界状态。
采用了两种检测技术:(i)基于单包签名的技术(ii)状态分析技术。在这两种情况下,需要定义一种语言来表达分析规则(在情况(i)中描述恶意数据包,在情况(ii)中描述临界状态)
Packet Language数据包语言
Critical State Language临界状态语言
参考文献
[1]: Carcano, A., Fovino, I.N., Masera, M., Trombetta, A. (2010). State-Based Network Intrusion Detection Systems for SCADA Protocols: A Proof of Concept. In: Rome, E., Bloomfield, R. (eds) Critical Information Infrastructures Security. CRITIS 2009. Lecture Notes in Computer Science, vol 6027. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-642-14379-3_12