DCS的异常工况应急恢复标准管理系统及方法.doc

1、针对传统工业控制系统所面临信息安全问题，提出了一个面向集散控制系统（DCS）异常工况应急恢复管理系统。实现了对工业控制系统（DCS）工程师站组态变更、DCS操作站数据和操控指令变更，和多种主流现场总线访问、负载变更、通信行为、异常流量等改变安全监测，并能够针对异常工况进行紧急恢复，本发明提升了工控系统安全性、可靠性、稳定性。附图1 系统布署图例附图2 系统架构图例一个面向集散控制系统（DCS）异常工况应急恢复管理系统及方法，包含以下关键技术：1）DCS系统安全节点监测系统技术：对工业控制系统DCS工程师站组态变更、DCS操作站数据和操控指令变更，和多种主流现场总线访问、负载变更、通信行为、异常

2、流量等系统安全节点进行安全监测，实现对过程状态参数、控制信号阈值检验、分析和报警。2）DCS工作站、操作站主机自动恢复技术：提出了虚拟机KVM语义重构方法、故障检测算法、和故障剥离后实时恢复机制；该系统保障了工控系统安全性、可靠性、稳定性，实现工业控制系统不间断运行，全方面服务于工业生产。一个面向集散控制系统异常工况应急恢复方法及系统技术领域本发明属于工业控制信息安全相关领域，尤其包含一个面向集散控制系统异常工况应急恢复方法及系统。背景技术工业控制系统（ICS）是信息技术和行业专业技术紧密结合大规模控制类系统，以提升工控系统运行、管理、资源使用效率为目标。伴随计算机技术、通信技术和控制技术发展

3、，传统控制领域正经历着一场前所未有变革，开始向网络化方向发展。现在，伴随云计算、物联网技术深入发展和推广，中国优异制造业自动化生产工艺步骤广泛采取集散控制系统（DCS），正朝着规模化、网络化、智能化方向技术升级改造快速前进。工业控制网络逐步从封闭专有系统转变为开放系统，并大规模采取IT技术、物联网技术；从通信是以孤立处理方案提供给用户简单系统转变为集成化网络系统、并和IT基础设施充足互联系统；从只有生产部门负责工业通信运行转变为IT部门和生产部门共同负责自动化网络运行；在享受IT技术带来益处同时，针对工业控制网络系统安全威胁也在和日俱增。硬件设备及软件应用互联使得恶意攻击能够很轻易地借助于TC

4、P/IP网扩展到其它系统，所以，应用层安全成为了工业控制系统（ICS）关键。传统IT安全处理方案不足以应对工业基础设施领域全新安全需求，部分工业控制产品安全漏洞经过代码在互联网上广为传输，造成针对工控系统信息安全攻击展现出愈演愈烈发展态势。其中，以工业控制系统应用DCS安全问题更为突出。据统计，仅前两个月，境外6747个木马或僵尸病毒入侵了中国境内190万余台主机，其中在美国2194台控制服务器控制了中国境内128.7万台主机。伊朗“震网”事件震动了中国，工业控制系统安全引发中国高度重视。事件发生后，工业和信息化部出台了相关加强工业控制系统信息安全管理通知。工业控制系统安全监测和防护技术方面研

5、究逐步展开。对工业控制系统后门、恶意代码、漏洞、和利用攻击等方面研究日益深入。而中国对集散控制系统应急恢复技术研究，受各行业技术水平制约，发展极不平衡，市场中相关产品通用性不高，定制开发、源代码等二次开发，造成反复性人力投资成本增加。影响和制约着技术处理方案制订，所以，对集散控制系统（DCS）异常工况应急恢复研究是工业控制系统安全技术领域面临普遍而又复杂难点问题。发明内容针对传统工业控制系统所面临信息安全问题，提出了一个面向集散控制系统异常工况应急恢复系统。实现了对工业控制系统工程师站组态变更、DCS操作站数据和操控指令变更，和多种主流现场总线访问、负载变更、通信行为、异常流量等改变安全监测，

6、并能够针对异常工况进行紧急恢复，本发明提升了工控系统安全性、可靠性、稳定性。为了实现上述目标，本发明提出了提出了虚拟机KVM语义重构方法、故障检测算法、和故障剥离后实时恢复机制；确保了系统可信度，优势在于：在不影响工业控制系统DCS正常工况前提下，针对异常情况进行快速判定，并惊醒应急恢复，该系统保障了工控系统安全性、可靠性、稳定性，实现工业控制系统不间断运行，全方面服务于工业生产。附图说明附图1 系统布署图例具体实施方法图1所表示，一个面向集散控制系统异常工况应急恢复系统，所述系统包含：故障检测模块、策略制订模块和应急恢复模块；所述故障检测模块：用于对DCS系统节点进行监测；提出了自适应检测策

7、略，包含：隐藏进程检测，隐藏驱动检测，Rootkit检测。拦截虚拟机中用户虚拟机中发生系统调用，比如文件读写，进程创建，经过拦截到这些事件触发安全工具对操作进行检测，判定操作是否正当当检测模块运行时，利用用户机进程信息，判定是否有隐藏进程，同时检测关键进程是否在运行。如关键进程缺失，同时发觉隐藏进程，那么说明目前这个系统已经被恶意代码感染。假如检测模块发觉系统调用被修改，也说明目前系统中有恶意软件。本技术使用了基于视图对比检测技术来确定隐藏进程和缺失关键进程。经过对比检测技术来确定物联网子站系统进程工作是否正常对工业控制系统DCS工程师站组态变更、DCS操作站数据和操控指令变更，和多种主流现场

8、总线访问、负载变更、通信行为、异常流量等系统安全节点进行安全监测，实现对过程状态参数、控制信号阈值检验、分析和报警。并经过配置阈值，对控制指令数据，基于环境知识推理工控系统是否需要实现这类控制，对存在疑问指令，经过策略协商方法实现其最终判决。对于其它类型数据，我们为其建立上下文判决模式，实现快速判定和经过。用户虚拟机中绝大多数操作不需要虚拟机监控器干涉，只有当用户虚拟机实施特权指令，才会陷入到虚拟机监控器。系统调用是用户态应用程序调用操作系统内核函数之间接口。因为用户态特权级为3，作系统内核特权级 0，在虚拟机监控器对一般虚拟机中所产生系统调用进行拦截。对系统调用拦截经过对三个寄存器操作实现(

9、 分别为 SYSENTER_CS_MSR， SYSENTER _ESP _ MSR， SYSENTER _ EIP _ MSR) 。首先将 SYSENTER_EIP_MSR 保留，然后将该寄存器中值设置为不存在内存地址。当一般虚拟机中用户虚拟机发生系统调用时，因为寄存器 SYSENTER_EIP_MSR中值不存在，便会发生缺页异常，引发了虚拟机陷入指令，并通知虚拟机监控器异常处理模块。虚拟机监控器异常处理模块中加载系统调用截获模块。陷入虚拟机监控器以后，虚拟机监控器判定发生虚拟机退出原因，当原因是缺页异常时，虚拟机监控器进行比较缺页地址是否是之前设定不存在地址：若是其它缺页地址，虚拟机监控器会

10、进行缺页异常处理；若是不存在地址，虚拟机监控器便判定发生了系统调用，系统调用截获模块此时会进行拦截系统调用，并进行对应处理操作。最终将保留原始系统调用入口地址写回寄存器 SYSENTER_EIP_MSR，进入虚拟机发生时，实施内核中真实系统调用。所述策略制订模块，用于依据故障检测模块发觉系统异常情况和用户恢复策略配置来制订恢复策略：假如用户进程缺失，能够简单地开启用户进程；假如操作系统调用被破坏，能够重启操作系统；假如重启以后还是有原来问题，那么就采取从原始镜像恢复虚拟机方法来处理问题。每个子站采集系统全部会在首次布署完成后，制作好虚拟机恢复镜像。所述应急恢复模块，用于实施策略制订模块制订恢复

11、策略；它需要策略制订模块产生恢复指令，比如开启，停止某个进程，能够关闭，开启虚拟机，也能够从镜像来恢复虚拟机。具体包含两大类：进行性恢复和虚拟机镜像恢复。提出了基于系统调用分析虚拟机KVM高层语义重构方法、健康检测算法和实时恢复机制，实现了DCS工作站、操作站主机智能应急恢复，增强了数字署名验证算法，确保了健康保障系统隔离化可信度，实现保障系统本身可信。本发明针所采取健康检测算法，首先，采取特征空间样本选择算法对监测数据进行样本优化，找出最具代表性样本；然后，采取核主成份分析分布估量算法（KPCAEDA）对样本优化后监测数据进行特征优化，在确保特征信息充足情况下，保留更多识别信息；该算法同KP

12、CA等优化算法相比，在训练时间和识别率上能达成愈加好平衡。然后，采取特征空间样本选择算法对样本进行优化，这不仅能够有效地消除相一样本，提升监测模型泛化能力，还能够降低KPCA中核矩阵运算计算复杂度；然后，对优化后样本集进行KPCA分析，并采取分布估量算法（Estimation of Distribution Algorithm, EDA）对主成份特征信息进行选择，保留更多识别信息，实现监测数据特征优化，最终确定系统、服务、进程健康指数。当虚拟机故障恢复系统在搜集用户虚拟机信息时，KVM系统中配置语义重构模块依据宿主虚拟机内存信息重构出用户主机内存信息。本发明提出了一个了基于系统调用语义重构方法

13、，该方法经过在虚拟机监控器层对用户虚拟机内部产生系统调用进行拦截，获取低级语义，进而重构出操作系统级高级语义，消除了语义鸿沟。该方法能够有效地处理语义鸿沟问题，且性能开销小。语义重构模块在虚拟机监控器层截获用户虚拟机产生系统调用，并能依据截取得到低级语义信息，能够重构出虚拟机内部进程信息，和实施具体操作和实施路径，得到更为具体虚拟机内部高级语义，更贴近虚拟内部真实语义。该具体针对DCS系统应急恢复方法以下：本发明可依据语义判定结果进行不一样模块恢复策略，可分别进行系统模块、服务模块、进程模块、线程模块恢复，应急恢复模块开启次序为：线程模块，进程模块、服务模块、系统模块。所述系统模块恢复，经过K

14、VM镜像重启整个系统恢复达成应急恢复目标，这里我们定义系统应急重启恢复时间差为，平均失效前时间，平均恢复前时间，平均失效间隔时间。系统最大健康性能指数，伴随系统异常时间发生，系统健康指数逐步恶化，若降到了，则立即进行KVM镜像恢复，最终使DCS系统健康指数恢复到所述服务模块恢复为恢复系统正在实施异常服务，针对DCS某一服务模块发生异常时进行应急恢复。定义服务进程监看指数为，其性能最低阈值为，立即实施关机服务应急恢复，恢复到目前系统能承载该鼓舞最好性能，其中，假如，连续进行该服务所述进行恢复，直到该服务达成最初性能指标，所以，会产生一系恢复后性能指标，及恢复重启时间差。所述进程模块用于恢复认为异

15、常而造成见看指数低于预设阈值服务进程，线程模块恢复目标在于将需要恢复进程相关进行进行应急恢复。进程恢复步骤取决于进行恢复次序，我们定义进行恢复优先指数为：其中，c为需要恢复线程或进程，表示c关键度，表示c健康指数等级，表示重启c后释放资源量，表示重启c需要成本量。则越大，重启进行或线程越大，那么就越大，所以优先恢复。方法关键处理过程以下：步骤1）经过对SYSENTER_EIP _MSR寄存器值进行修改，使系统调用过程中出现页错误，进入缺页异常处理程序；修改缺页异常处理程序，依据错误信息判定系统是否在创建或删除进程。假如在创建进程，则经过获取ESP指针，并得到Thread_info结构体;步骤2）Thread_info结构体重包含了指向task_ struct结构体指针。从中得到进程信息，进程号，进程名等;步骤3）深入讲，包含在task_ struct 结构体中 files_struct 结构体指针包含目前进程打开文件，经过此结构体得到指向文件描述符表结构体指针struct fdtable ; 步骤4）Struct fdtable包含了指向struct file指针，经过 struct file获取 struct dentry 结构体。 在结构体中利用所包含利用 d_name 和 d_parent 两个指针，反复实施，一直解析到根目录，得到文件绝对路径。附图1 系统布署图例