1、針對傳統的工業控制系統所面臨的信息安全的問題，提出了一種面向集散控制系統（DCS）的異常工況應急恢復管理系統。實現了對工業控制系統（DCS）工程師站組態變更、DCS操作站數據與操控指令變更，以及各種主流現場總線訪問、負載變更、通信行為、異常流量等變化的安全監測,并可以針對異常工況進行緊急恢復，本發明提高了工控系統的安全性、可靠性、穩定性.6附圖1 系統部署圖例附圖2 系統架構圖例一種面向集散控制系統(DCS）的異常工況應急恢復管理系統及方法，包括以下關鍵技術:1）DCS系統安全節點監測系統技術：對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更，以及各種主流現場總線訪問、負

2、載變更、通信行為、異常流量等系統安全節點進行安全監測,實現對過程狀態參數、控制信號的閾值檢查、分析與報警。2）DCS工作站、操作站主機自動恢復技術:提出了虛擬機KVM的語義重構方法、故障檢測算法、以及故障剝離后的實時恢復機制；該系統保障了工控系統的安全性、可靠性、穩定性，實現工業控制系統不間斷運行，全面服務于工業生產.一種面向集散控制系統的異常工況應急恢復方法及系統技術領域本發明屬于工業控制信息安全相關領域,特別涉及一種面向集散控制系統的異常工況應急恢復方法及系統。背景技術工業控制系統（ICS）是信息技術與行業專業技術緊密結合的大規模控制類系統，以提高工控系統的運行、管理、資源使用效率為目標.

3、隨著計算機技術、通信技術和控制技術的發展，傳統的控制領域正經歷著一場前所未有的變革,開始向網絡化方向發展。目前，隨著云計算、物聯網技術的深入發展與推廣，我國先進制造業自動化生產工藝流程廣泛采用的集散控制系統（DCS），正朝著規模化、網絡化、智能化方向的技術升級改造快速邁進。工業控制網絡逐步從封閉專有系統轉變為開放系統,并大規模采用IT技術、物聯網技術；從通信是以孤立的解決方案提供給用戶的簡單系統轉變為集成化的網絡系統、并與IT基礎設施充分互聯的系統；從只有生產部門負責工業通信的運營轉變為IT部門與生產部門共同負責自動化網絡的運營;在享受IT技術帶來的益處的同時，針對工業控制網絡系統的安全威脅也

4、在與日俱增。硬件設備及軟件應用的互聯使得惡意攻擊能夠很容易地借助于TCP/IP網擴展到其他系統，因此,應用層安全成為了工業控制系統（ICS）的關鍵。傳統的IT安全解決方案不足以應對工業基礎設施領域的全新安全需求，一些工業控制產品的安全漏洞通過代碼在互聯網上廣為傳播，導致針對工控系統的信息安全攻擊呈現出愈演愈烈的發展態勢。其中，以工業控制系統應用DCS的安全問題更為突出.據統計，僅2013年前兩個月，境外6747個木馬或僵尸病毒入侵了中國境內190萬余臺主機，其中位于美國的2194臺控制服務器控制了中國境內128.7萬臺主機.伊朗“震網”事件震動了中國，工業控制系統安全引起我國高度重視。事件發生

5、后，工業和信息化部出臺了關于加強工業控制系統信息安全管理的通知。工業控制系統安全監測與防護技術方面的研究逐漸展開。對工業控制系統后門、惡意代碼、漏洞、和利用攻擊等方面的研究日益深入。而國內對集散控制系統的應急恢復技術的研究,受各行業技術水平的制約，發展極不平衡,市場中相關產品通用性不高，定制開發、源代碼等二次開發，造成重復性人力投資成本的增加。影響和制約著技術解決方案的制定，因此，對集散控制系統（DCS）的異常工況應急恢復的研究是工業控制系統安全技術領域面臨普遍而又復雜的難點問題。發明內容針對傳統的工業控制系統所面臨的信息安全的問題，提出了一種面向集散控制系統的異常工況應急恢復系統。實現了對工

6、業控制系統工程師站組態變更、DCS操作站數據與操控指令變更,以及各種主流現場總線訪問、負載變更、通信行為、異常流量等變化的安全監測,并可以針對異常工況進行緊急恢復,本發明提高了工控系統的安全性、可靠性、穩定性.為了實現上述目的,本發明提出了提出了虛擬機KVM的語義重構方法、故障檢測算法、以及故障剝離后的實時恢復機制；保證了系統的可信度，優勢在于：在不影響工業控制系統DCS正常工況的前提下，針對異常狀況進行快速判定，并驚醒應急恢復,該系統保障了工控系統的安全性、可靠性、穩定性，實現工業控制系統不間斷運行，全面服務于工業生產。附圖說明附圖1 系統部署圖例具體實施方式如圖1所示，一種面向集散控制系統

7、的異常工況應急恢復系統，所述系統包括：故障檢測模塊、策略制定模塊和應急恢復模塊；所述故障檢測模塊:用于對DCS系統節點進行監測；提出了自適應檢測策略，包括:隱藏進程檢測，隱藏驅動檢測,Rootkit檢測。攔截虛擬機中客戶虛擬機中發生的系統調用,比如文件的讀寫，進程的創建，通過攔截到這些事件觸發安全工具對操作進行檢測，判斷操作是否合法當檢測模塊運行時，利用客戶機的進程信息，判斷是否有隱藏進程，同時檢測關鍵進程是否在運行。如關鍵進程缺失，同時發現隱藏進程,那么說明當前這個系統已經被惡意代碼感染.如果檢測模塊發現系統調用被修改，也說明當前系統中有惡意軟件。本技術使用了基于視圖的對比檢測技術來確定隱藏

8、進程和缺失的關鍵進程。通過對比檢測技術來確定物聯網子站系統的進程工作是否正常對工業控制系統的DCS工程師站組態變更、DCS操作站數據與操控指令變更，以及各種主流現場總線訪問、負載變更、通信行為、異常流量等系統安全節點進行安全監測，實現對過程狀態參數、控制信號的閾值檢查、分析與報警。并通過配置閾值,對控制指令數據，基于環境知識推理工控系統是否需要實現此類控制，對存在疑問的指令，通過策略協商的方法實現其最后判決。對于其他類型的數據，我們為其建立上下文判決模式,實現快速判斷和通過。客戶虛擬機中絕大多數操作不需要虛擬機監控器干涉，只有當客戶虛擬機執行特權指令，才會陷入到虛擬機監控器.系統調用是用戶態的

9、應用程序調用操作系統內核函數之間的接口。由于用戶態特權級為3，作系統內核特權級 0,在虛擬機監控器對普通虛擬機中所產生的系統調用進行攔截。對系統調用的攔截通過對三個寄存器的操作實現( 分別為 SYSENTER_CS_MSR， SYSENTER _ESP _ MSR， SYSENTER _ EIP _ MSR） 。首先將 SYSENTER_EIP_MSR 保存，然后將該寄存器中的值設置為不存在的內存地址。當普通虛擬機中客戶虛擬機發生系統調用時，由于寄存器 SYSENTER_EIP_MSR中的值不存在，便會發生缺頁異常，引發了虛擬機陷入指令，并通知虛擬機監控器異常處理模塊。虛擬機監控器異常處理模塊

10、中加載的系統調用截獲模塊。陷入虛擬機監控器之后，虛擬機監控器判斷發生虛擬機退出的原因，當原因是缺頁異常時，虛擬機監控器進行比較缺頁地址是否是之前設定的不存在的地址：若是其他缺頁地址,虛擬機監控器會進行缺頁異常處理；若是不存在的地址，虛擬機監控器便判定發生了系統調用，系統調用截獲模塊此時會進行攔截系統調用，并進行相應的處理操作.最后將保存的原始系統調用入口地址寫回寄存器 SYSENTER_EIP_MSR,進入虛擬機發生時，執行內核中真實的系統調用。所述策略制定模塊，用于根據故障檢測模塊發現的系統異常情況和用戶的恢復策略配置來制定恢復的策略：如果用戶進程缺失，可以簡單地啟動用戶進程；如果操作系統調

11、用被破壞，可以重啟操作系統；如果重啟之后還是有原來的問題，那么就采用從原始鏡像恢復虛擬機的方式來解決問題。每個子站采集系統都會在初次部署完畢后，制作好虛擬機的恢復鏡像。所述應急恢復模塊,用于執行策略制定模塊制定的恢復策略；它需要策略制定模塊產生的恢復指令，例如啟動，停止某個進程，可以關閉，啟動虛擬機，也可以從鏡像來恢復虛擬機。具體包括兩大類：進行性恢復和虛擬機鏡像恢復。提出了基于系統調用分析的虛擬機KVM的高層語義重構方法、健康檢測算法與實時恢復機制,實現了DCS工作站、操作站主機的智能應急恢復，增強了數字簽名驗證算法,保證了健康保障系統的隔離化的可信度，實現保障系統本身的可信。本發明針所采用

12、的健康檢測算法，首先,采用特征空間樣本選擇算法對監測數據進行樣本優化，找出最具代表性的樣本；然后，采用核主成分分析分布估計算法（KPCAEDA）對樣本優化后的監測數據進行特征優化，在保證特征信息充足的情況下，保留更多的識別信息;該算法同KPCA等優化算法相比，在訓練時間和識別率上能達到更好的平衡。然后，采用特征空間樣本選擇算法對樣本進行優化,這不僅可以有效地消除相似樣本，提高監測模型的泛化能力，還可以降低KPCA中核矩陣運算的計算復雜度;然后，對優化后的樣本集進行KPCA分析，并采用分布估計算法(Estimation of Distribution Algorithm, EDA)對主成分特征信

13、息進行選擇，保留更多的識別信息，實現監測數據的特征優化，最終確定系統、服務、進程的健康指數。當虛擬機故障恢復系統在收集客戶虛擬機的信息時，KVM系統中配備的語義重構模塊根據宿主虛擬機內存信息重構出的客戶主機內存信息。本發明提出了一種了基于系統調用的語義重構方法，該方法通過在虛擬機監控器層對客戶虛擬機內部產生的系統調用進行攔截,獲取低級語義,進而重構出操作系統級的高級語義，消除了語義鴻溝.該方法能夠有效地解決語義鴻溝問題,且性能開銷小.語義重構模塊在虛擬機監控器層截獲客戶虛擬機產生的系統調用,并能根據截獲得到的低級語義信息，可以重構出虛擬機內部進程信息，和執行的具體操作以及執行路徑,得到更為詳細

14、的虛擬機內部高級語義,更貼近虛擬內部的真實語義。該具體針對DCS系統的應急恢復方法如下：本發明可根據語義判斷的結果進行不同模塊的恢復策略，可分別進行系統模塊、服務模塊、進程模塊、線程模塊的恢復，應急恢復模塊啟動順序為：線程模塊,進程模塊、服務模塊、系統模塊。所述系統模塊恢復,通過KVM鏡像重啟整個系統恢復達到應急恢復目的，這里我們定義系統應急重啟恢復時間差為，平均失效前時間，平均恢復前時間,平均失效間隔時間。系統最大健康性能指數,隨著系統異常時間的發生，系統健康指數逐步惡化,若降到了，則立刻進行KVM鏡像恢復，最終使DCS系統的健康指數恢復到所述服務模塊恢復為恢復系統正在執行的異常服務，針對D

15、CS某一服務模塊發生異常時進行應急恢復。定義服務進程監看指數為,其性能最低閾值為，立刻實施關機服務的應急恢復，恢復到當前系統能承載該鼓舞的最佳性能，其中，如果,持續進行該服務所述的進行恢復，直到該服務達到最初的性能指標，因此，會產生一系恢復后的性能指標，及恢復重啟時間差。所述進程模塊用于恢復以為異常而造成見看指數低于預設閾值的服務進程，線程模塊的恢復目的在于將需要恢復的進程的相關進行進行應急恢復。進程恢復步驟取決于進行恢復順序，我們定義進行恢復優先指數為：其中，c為需要恢復的線程或者進程，表示c的關鍵度，表示c的健康指數等級，表示重啟c后釋放的資源量，表示重啟c需要的成本量。則越大，重啟進行或者線程的越大，那么就越大，因此優先恢復。方法的主要處理過程如下:步驟1)通過對SYSENTER_EIP _MSR寄存器值進行修改，使系統調用過程中出現頁錯誤，進入缺頁異常處理程序；修改缺頁異常處理程序，根據錯誤信息判斷系統是否在創建或者刪除進程。如果在創建進程，則通過獲取ESP指針,并得到Thread_info結構體；步驟2）Thread_info結構體重包含了指向task_ struct結構體的指針。從中得到進程的信息，進程號，進程