9、工业网络安全与信号检测技术解析

工业网络安全与信号检测技术解析

一、加密格式与模拟实验

在工业网络通信中，Modbus/ASCII协议仅使用了一半的可用带宽，而通过压缩技术可以回收这部分空间。认证器会将每个ASCII字符（‘0’到‘9’和‘A’到‘F’）转换为等效的四位表示（0x0到0xF），并在终止符号‘\r\n’后附加摘要和计数器。这样，整个加密和认证的消息由‘:’符号、消息数据、‘\r\n’、摘要和计数器组成。

模拟实验包含四个组件：一个前端处理器（FEP）、两个位级包装器（BitW）和一个数据采集器（DA）。其连接关系如下：
1. FEP连接到第一个BitW的明文端口。
2. 两个BitW通过它们的密文端口相互连接。
3. 第二个BitW的明文端口连接到DA。

FEP会以随机顺序向DA发送一组消息，且逐字节发送消息，无延迟。这模拟了慢速的传统网络，认证器只能处理单个字节的信息。除了接收到完整消息后，认证器为每个接收到的明文字节最多发送一个密文字节，这模拟了足够的计算能力来查询贝叶斯网络，以及线路上足够的空闲以避免因密文比明文长而导致的拥塞。

实验数据来自GE XA/21 SCADA/能源管理系统与GE D400变电站数据管理器在实验室环境下的通信记录，设备使用DNP3协议通信并记录跟踪数据。由于难以获取现实世界的Modbus/ASCII跟踪数据，在模拟前将跟踪数据转换为Modbus/ASCII格式。

YASIR和Predictive YASIR各运行30次。在第i次运行中，FEP有10i条唯一消息要发送给DA，改变唯一消息的数量是因为大量唯一消息可能会降低预测能力。每次运行持续200,000个模拟步骤，足以多次发送每条消息。每次运行后