一种针对分布式工业控制系统的网络入侵检测系统

摘要

本发明提供一种针对分布式工业控制系统的网络入侵检测系统，能够提高工业控制系统的网络安全。所述系统包括：网络嗅探单元，用于捕获所述工业控制系统的网络通信数据；入侵检测单元，用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测，若有入侵行为，则发出报警信息；数据传输单元，用于将所述报警信息发送出去。本发明适用于网络安全技术领域。

说明书

技术领域

本发明涉及网络安全技术领域，特别是指一种针对分布式工业控制系统的网络入侵检测系统。

背景技术

近年来，以太网技术的传递速率和实时性随其自身的发展得到了大幅度的提高，这也使其逐步应用到工业网络中，使现场总线型网络技术与以太网型网络技术自然而然的结合在一起。工业控制系统从一个封闭、孤立的系统逐渐发展为更加开放、与公共网络有多连接的系统。以太网带给传统工业的巨大利好时，信息安全这个过去与工业领域鲜有关联的问题却凸显在所有人的面前，给工业网络和核心设备带了严重的破坏。

工业网络与传统的商业网络不同，工业网络之间面对的是现场工作人员和工作设备，即使是微小的误差也可能引起工业网络的崩溃，导致难以估量的生命财产损失。

常规的网络产品或者由于自身存在的缺陷与不足，不能满足工业网络较高的防护要求，或者因为不是专门针对工业网络设计，难以在工业场合安全稳定的应用，这给工业网络带来了严重的威胁。

发明内容

本发明要解决的技术问题是提供一种针对分布式工业控制系统的网络入侵检测系统，以解决现有技术所存在的网络产品不能满足工业网络较高的防护要求，或不适用于工业场合的问题。

为解决上述技术问题，本发明实施例提供一种针对分布式工业控制系统的网络入侵检测系统，包括：

网络嗅探单元，用于捕获所述工业控制系统的网络通信数据；

入侵检测单元，用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测，若有入侵行为，则发出报警信息；

数据传输单元，用于将所述报警信息发送出去。

进一步地，所述网络嗅探单元，用于以旁路侦听的方式接入所述工业控制系统，捕获所述工业控制系统的网络通信数据。

进一步地，所述网络嗅探单元，具体用于利用libpcap抓包方法捕获所述工业控制系统的网络通信数据。

进一步地，所述系统还包括：协议解析单元；

所述协议解析单元，用于对捕获的所述网络通信数据进行协议解析，解析成功后，输出所述网络通信数据的协议格式。

进一步地，所述协议解析单元包括：监控数据获取模块及协议解析模块；

所述监控数据获取模块，用于从组态监控界面，获取监控到的监控数据；

所述协议解析模块，用于对捕获的所述网络通信数据的数据包轮询套用预设的工业网络协议库中的工业总线协议，若协议套用成功，则输出套用成功的协议类型；否则，将所述数据包中的数据逐位组合进行浮点化处理，将浮点化处理后的数据与获取的所述监控数据进行匹配，输出浮点化处理后的数据在原始数据包中的起始位置与所述监控数据之间的匹配映射表。

进一步地，所述入侵检测单元包括：网络特征检测模块；

所述网络特征检测模块、用于提取捕获的所述网络通信数据的网络特征，获取所述网络特征的hash值，查询预先建立的网络特征hash值规则链表，若所述网络特征的hash值没有包含在所述预先建立的网络特征hash值规则链表中，则发出报警信息，其中，所述网络特征hash值规则链表包括：网络通信数据的网络特征的hash值；所述网络特征包括：协议类型、源IP地址、目的IP地址、源端口、目的端口。

进一步地，所述网络特征检测模块、具体用于采用hash算法进行网络特征自学习建立所述网络特征hash值规则链表。

进一步地，所述入侵检测单元包括：控制指令检测模块；

所述控制指令检测模块、用于获取所述工业控制系统当前的运行状态，依据获取的所述工业控制系统当前的运行状态，利用三级链表结构，依据预设的工业控制模型规则库，实时更新生成控制指令检测规则链表；若捕获的所述网络通信数据为控制指令，则检测所述控制指令是否违反所述控制指令检测规则链表中规则，若违反所述控制指令检测规则链表中规则，则发出报警信息。

进一步地，所述入侵检测单元还包括：空间状态检测模块；

所述空间状态检测模块，具体用于利用工业控制系统正常状态下运行数据，生成训练样本，根据主元分析法对所述训练样本进行降维处理，利用单类支持向量机对降维后的训练样本进行训练生成所述空间状态分类器；对没有违反所述控制指令检测规则链表中规则的网络通信数据进行主元分析降维后，利用预设的空间状态分类器检测所述网络通信数据为正常数据，若不是正常数据，则发出报警信息。

进一步地，所述系统还包括：4路数字量输入输出电路；

所述数字量输入输出电路与所述工业控制系统中的报警模块相连，所述报警模块与所述工业控制系统中的控制器相连；

所述数字量输入输出电路，用于将所述报警信息发送至所述报警模块。

本发明的上述技术方案的有益效果如下：

上述方案中，通过网络嗅探单元捕获所述工业控制系统的网络通信数据；由入侵检测单元通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测，若有入侵行为，则发出报警信息；最后，通过数据传输单元将所述报警信息发送出去。这样，通过入侵检测单元能够有效检测出所述工业控制系统是否被入侵，如果发现被入侵则进行报警，从而保护并提高所述工业控制系统的通信安全。

附图说明

图1为本发明实施例提供的针对分布式工业控制系统的网络入侵检测系统的结构示意图；

图2为本发明实施例提供的针对分布式工业控制系统的网络入侵检测系统的硬件平台架构示意图；

图3为本发明实施例提供的接入分布式工业控制系统的接入示意图；

图4为本发明实施例提供的捕获网络通信数据的流程示意图；

图5为本发明实施例提供的协议解析单元的工作流程示意图；

图6为本发明实施例提供的协议解析单元中数据浮点化匹配过程示意图；

图7为本发明实施例提供的网络特征检测模块的工作流程示意图；

图8为本发明实施例提供的工业控制模型规则库的规则格式；

图9为本发明实施例提供的控制指令检测模块的工作流程示意图；

图10为本发明实施例提供的空间状态检测模块的工作流程示意图；

图11为本发明实施例提供的针对分布式工业控制系统的网络入侵检测系统的详细结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的网络产品不能满足工业网络较高的防护要求，或不适用于工业场合的问题，提供一种针对分布式工业控制系统的网络入侵检测系统。

参看图1所示，本发明实施例提供的针对分布式工业控制系统的网络入侵检测系统，包括：

网络嗅探单元11，用于捕获所述工业控制系统的网络通信数据；

入侵检测单元12，用于通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测，若有入侵行为，则发出报警信息；

数据传输单元13，用于将所述报警信息发送出去。

本发明实施例所述的针对分布式工业控制系统的网络入侵检测系统，通过网络嗅探单元捕获所述工业控制系统的网络通信数据；由入侵检测单元通过预先建立的网络特征hash值规则链表、实时更新生成的控制指令检测规则链表及预设的空间状态分类器对捕获的所述网络通信数据进行入侵检测，若有入侵行为，则发出报警信息；最后，通过数据传输单元将所述报警信息发送出去。这样，通过入侵检测单元能够有效检测出所述工业控制系统是否被入侵，如果发现被入侵则进行报警，从而保护并提高所述工业控制系统的通信安全。

本实施例中，所述针对分布式工业控制系统的网络入侵检测系统运行在嵌入式Linux操作系统上，所述嵌入式Linux操作系统是开源的Linux3.2.0版本内核经过裁剪定制后得到的，裁剪后的内核包括：基本的运行模块，AR8031网络驱动芯片模块，USB驱动模块，SD卡驱动模块；裁剪后的系统内核体积小、运行速率快，运行稳定，能够保证所述针对分布式工业控制系统的网络入侵检测系统的安全稳定运行。

如图2所示，本实施例中，所述针对分布式工业控制系统的网络入侵检测系统所使用的硬件平台可以采用5V低电压供电低功耗硬件电路，所述硬件平台具有SD驱动电路，可以经由SD卡实现系统内核的更新，数据的缓存等功能。

本实施例中，所述针对分布式工业控制系统的网络入侵检测系统的核心处理器为TI(Texas Instruments德州仪器)工业级Cortex-A8架构AM335x系列主处理器，主频可以高达1GHz；运行温度范围可达-40℃-+85℃；配有512M DDR3内存和256M SLC NandFlash；还包含两个AR8031千兆网络收发器芯片扩展的千兆以太网接口ETH0和ETH1，其中，ETH0接口用来实现对工业控制系统的网络通信数据的侦听嗅探工作，ETH1接口用来实现报警信息向远端服务器发送数据的功能；还可以利用PC847光耦隔离芯片驱动4路数字量输入输出(I/O)电路，所述数字量I/O电路可以连接到所述工业控制系统中控制器下级的报警模件，当检测到严重威胁时直接经由该I/O电路发送报警信息至所述报警模件，以便工业控制系统中的控制器做出紧急处理。

本实施例中，可以使用所述PC847光耦隔离芯片进行电源隔离，实现电压可调节数字量输入输出电路。

本实施例中，对捕获的所述网络通信数据进行入侵检测后，如果生成报警信息则需要通过所述数据传输单元13发送到远端服务器；所述数据传输单元13可以使用TCP/IP协议，并设计成客户端，通过以太网与远程服务器进行连接，连接建立完成之后，进行报警信息的传输。当所述针对分布式工业控制系统的网络入侵检测系统检测到严重的入侵行为时，即对工业控制系统将会造成很严重的破坏时，将直接通过所述针对分布式工业控制系统的网络入侵检测系统的数字量I/O电路发送报警信息至工业控制系统中控制器下级的报警模块，以便工业控制系统中的控制器做出紧急处理。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述网络嗅探单元11，用于以旁路侦听的方式接入所述工业控制系统，捕获所述工业控制系统的网络通信数据。

本实施例中，如图3所示，所述针对分布式工业控制系统的网络入侵检测系统可应用于由分布式工业控制系统中，所述分布式工业控制系统包括：含有控制器的控制站、组态监控所在的控制台以及工业服务器等其他设备，所述设备通过工业以太网进行通信，所述针对分布式工业控制系统的网络入侵检测系统通过工业交换机接入到所述工业以太网中，利用ETH0接口实现对所述工业控制系统的网络通信数据的侦听捕获，利用ETH1接口将报警信息经由互联网发送至远端服务器中。

本实施例中，所述针对分布式工业控制系统的网络入侵检测系统通过旁路监听的方式接入工业控制系统，不需要不改变原工业控制系统的拓扑结构、组网方式，方便可行、且通过所述网络嗅探单元11以数据嗅探的方式获取所述工业控制系统的网络通信数据，不会影响原工业控制系统的稳定性和实时性。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述网络嗅探单元11，具体用于利用libpcap抓包方法捕获所述工业控制系统的网络通信数据。

本实施例中，所述工业控制系统对数据实时性有着很高的要求，为了不影响工控网络的实时性，又能实时获取所述工业控制系统的网络通信数据，可以采用libpcap抓包方案实现所述工业控制系统的网络通信数据的数据嗅探，其中，如图4所示，采用libpcap抓包方案捕获所述工业控制系统的网络通信数据的具体步骤可以包括：查找所述针对分布式工业控制系统的网络入侵检测系统的硬件平台的ETH0网络接口设备，获得网络号和子网掩码，打开所述ETH0网络接口设备，编辑并设置过滤器，然后开始循环抓包获取所述工业控制系统的网络通信数据。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述系统还包括：协议解析单元；

所述协议解析单元，用于对捕获的所述网络通信数据进行协议解析，解析成功后，输出所述网络通信数据的协议格式。

本实施例中，所述协议解析单元可以解析网络通信协议，为深度数据包检测提供基础(深度数据包解析包括：应用层数据解析)，使所述针对分布式工业控制系统的网络入侵检测系统具有很好的适用性和可扩展性，其中，所述网络通信协议包括：私有的工业网络协议。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述协议解析单元包括：监控数据获取模块及协议解析模块；

所述监控数据获取模块，用于从组态监控界面，获取监控到的监控数据；

所述协议解析模块，用于将捕获的所述网络通信数据的数据包与预设的工业网络协议库中的工业总线协议进行轮询套用，若协议套用成功，则输出套用成功的协议类型；否则，将所述数据包中的数据逐位组合进行浮点化处理，将浮点化处理后的数据与获取的所述监控数据进行匹配，输出浮点化处理后的数据在原始数据包中的起始位置与所述监控数据之间的匹配映射表。

本实施例中，所述监控数据获取模块，用于从当前工业控制系统的组态监控界面，获取监控到的监控数据，所述监控数据为工业控制系统中设备运行的观测值；

本实施例中，工业网络中的网络通信数据封装在TCP/IP应用层，所述网络通信数据都有各自的私有协议封装，要想得到具体数据的物理意义需要解析这些私有协议，通过所述协议解析单元可以实现协议解析，或者为协议解析提供参考的功能。具体步骤可以包括：首先从组态监控界面，得到实际的监控数据，然后对捕获的所述网络通信数据的数据包轮询套用预设的工业网络协议库中的工业总线协议，若协议套用成功，则输出套用成功的协议类型；否则，将所述数据包中数据四位一组，逐位组合进行浮点化(A,B,C…)，将浮点化后的数据(A,B,C…)与监控数据(a,b,c,…)进行匹配，将正确匹配监控数据a的浮点化数据A在原数据包中的起始位置与所述监控数据对应起来记录在匹配映射表中，依次轮询匹配所有监控数据，输出匹配映射表，为协议解析提供参考，如图5、图6所示。

本实施例中，所述预设的工业网络协议库中的工业总线协议包括：Hostlink通信协议、Modbus TCP通信协议、USS通信协议、Modbus RTU通信协议、标准TCP/IP通信协议、EhterCat等协议，本实施例不做限定。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述入侵检测单元12包括：网络特征检测模块；

所述网络特征检测模块、用于提取捕获的所述网络通信数据的网络特征，获取所述网络特征的hash值，查询预先建立的网络特征hash值规则链表，若所述网络特征的hash值没有包含在所述预先建立的网络特征hash值规则链表中，则发出报警信息，其中，所述网络特征hash值规则链表包括：网络通信数据的网络特征的hash值；所述网络特征包括：协议类型、源IP地址、目的IP地址、源端口、目的端口。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述网络特征检测模块、具体用于采用hash算法进行网络特征自学习建立所述网络特征hash值规则链表。

本实施例中，工业控制系统通信具有规律性和稳定性的特点，即具有规则的通信流并且具有较固定的行为特征和可预测的行为模式，因此可以利用机器学习的方法自动生成网络特征hash值规则链表。

本实施例中，首先，对所述网络嗅探单元11捕获的所述网络通信数据进行数据预处理后，逐层解码提取出数据包报头信息得到所述网络通信数据的网络特征；接着，通过规则自学习模块对所述网络通信数据的网络特征进行学习并自动生成网络特征hash值规则链表，利用生成的网络特征hash值规则链表进行规则的轮询匹配。

本实施例中，可以采用hash算法进行网络特征自学习建立网络特征hash值规则链表，根据所述网络特征hash链表进行网路特征入侵检测，初步检测网络通信数据是否异常；其中，所述网络特征hash值规则链表包括：网络通信数据中协议类型、源IP地址、目的IP地址、源端口、目的端口这五个网络特征的hash值。

本实施例中，利用网络特征hash值规则链表初步检测网络通信数据是否异常的具体的步骤可以包括：如图7所示，将通过网络嗅探单元11捕获的所述网络通信数据，经过IP分片重组、TCP流重组，数据包规则化等数据包预处理过程后生成日志文件，提取日志文件中的网络特征字段(协议类型、源IP地址，目的IP地址、源端口、目的端口)，并利用hash算法计算网络特征字段对应的网络特征的hash值，并根据建立的安全系数判断是否通过所述网络通信数据，具体的，当所述网络通信数据的网络特征的hash值大于所述安全系数时，则通过所述网络通信数据，并将通过的所述网络通信数据的网络特征的hash值插入到网络特征hash值规则链表中，达到自学习的目的，其中，所述安全访问系数为同一条通信路径的安全访问次数与该通信路径总的访问次数的比值，所述同一条通信路径是指捕获的不同的网络通信数据中的协议类型、源IP地址、目的IP地址、源端口、目的端口这五个网络特征分别对应相同；自学习生成所述网络特征hash值规则链表，便可以根据所述网络特征hash值规则链表进行网络特征匹配，所述匹配过程为：提取捕获的所述网络通信数据的网络特征，计算所述网络特征的hash值，遍历网络特征hash值规则链表如果匹配成功，所述网络通信数据正常通过，否则发出报警信息，并将该网络特征加入自学习流程，进行学习是否加入到网络特征hash值规则链表中。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述入侵检测单元12包括：控制指令检测模块；

所述控制指令检测模块、用于获取所述工业控制系统当前的运行状态，依据获取的所述工业控制系统当前的运行状态，利用三级链表结构，依据预设的工业控制模型规则库，实时更新生成控制指令检测规则链表；若捕获的所述网络通信数据为控制指令，则检测所述控制指令是否违反所述控制指令检测规则链表中规则，若违反所述控制指令检测规则链表中规则，则发出报警信息。

本实施例中，正常的工业控制系统应该是一个稳态的过程，工业控制系统的状态应向趋于目标值的方向发展，正常的控制指令应使工业控制系统状态稳定。因此当控制指令违背该趋势时可以判定为错误的控制指令，可视为入侵发生。从自动化角度描述生产过程控制的数学方法得到了比较深入的研究，从装置模型、工序模型到工艺模型大都有现成的研究成果，可以为入侵检测规则的建立提供指导。所述针对分布式工业控制系统的网络入侵检测系统为用户提供规则编写接口文件，用户依照指定的规则格式，可丰富预设的工业控制模型规则库中的规则，规则格式如图8所示。

本实施例中，可以利用三级链表结构，将依照图8指定的规则格式存储的工业控制模型规则库，实时更新生成控制指令检测规则链表，根据所述控制指令检测规则链表，进行网络入侵检测。

本实施例中，所述控制指令检测模块，根据预设的工业控制模型规则库以及工业控制系统的实时状态，动态更新控制指令检测规则链表，捕获发送的控制指令，检测所述控制指令是否违反控制指令检测规则链表中规则，如果违反所述控制指令检测规则链表中规则，则产生相应的报警信息。

如图9所示，所述控制指令检测模块检测步骤，具体可以包括：

A11，读取预设的工业控制模型规则库，生成三级规则链表A，其中，所述三级规则链表包括：状态检测规则和状态检测规则对应的控制指令检测规则，如图8所示；

A12，对图3所示工业以太网上的工业通讯数据及捕获的所述网络通信数据进行深度数据包解析，并结合工业控制系统控制器内的控制程序的程序变量点表，获取工业控制系统具体的控制变量值和测量变量值，从而确定所述工业控制系统当前的运行状态(简称：当前系统状态)，其中，所述程序变量点表用于表征工业控制系统内各个变量的使用情况；

A13，根据当前系统状态，遍历三级规则链表A，判断当前系统状态是否符合所述三级规则链表A中的状态检测规则，如果符合三级规则链表A中的状态检测规则，则将三级规则链表A中对应状态检测规则的相应的控制指令检测规则提取出来，添加到控制指令检测规则链表B中，从而，更新控制指令检测规则链表B；

A14，若捕获的所述网络通信数据为控制指令，解析所述网络通信数据获取控制指令，遍历控制指令检测规则链表B，判断所述控制指令是否违反控制指令检测规则链表B中的规则，如果违反B中的规则，则判定当前控制指令为入侵指令，发出报警信息。

A15，重复执行A12，A13，A14，根据当前系统状态实时更新控制指令检测规则链表B，进行入侵检测。

本实施例中，深度数据包解析结合具体的工业控制模型规则库制定控制指令检测规则链表，使的入侵检测具有很强的针对性，检测结果更加可信。

在前述针对分布式工业控制系统的网络入侵检测系统的具体实施方式中，进一步地，所述入侵检测单元12还包括：空间状态检测模块；

所述空间状态检测模块，具体用于利用工业控制系统正常状态下运行数据，生成训练样本，根据主元分析法对所述训练样本进行降维处理，利用单类支持向量机对降维后的训练样本进行训练生成所述空间状态分类器；对没有违反所述控制指令检测规则链表中规则的网络通信数据进行主元分析降维后，利用预设的空间状态分类器检测所述网络通信数据为正常数据，若不是正常数据，则发出报警信息。

本实施例中，工业控制系统的“状态有限”和“行为有限”特征决定了工业控制系统运行的状态空间有限的，其中，所述状态空间是指所述工业控制系统的全部可能状态的集合。由于入侵行为和正常行为本质是可以区分的，在行为的空间状态上异常行为相对于正常行为是不同类的，因此可以利用分类方法将正常行为与异常行为进行分类。因为工业控制系统得到的数据样本多为正常的样本数据，因此对一类样本进行学习，形成一个对该类样本的数据描述，然后根据设计或者给定的阈值来判断新的数据样本是否属于正常样本，以此来进行异常入侵检测，这样，基于先验知识的入侵检测方法，能够大大提高所述针对分布式工业控制系统的网络入侵检测系统的可靠性。

本实施例中，如图10所示，因为工业控制系统具有大量数据，具有较多的属性，数据维度高，这样会降低入侵检测算法的效率，本实施例中，可以利用工业控制系统正常状态下运行数据，生成训练样本，并采用主元分析(PCA)方法对所述训练样本进行数据降维处理，减小运算量；然后，根据降维后的训练样本，采用单类支持向量机(OCSVM)进行样本训练生成空间状态分类器，所述空间状态分类器具有两个重要参数，单类支持向量机参数ν以及径向基核函数g学习效果和判定结果具有重要的影响，在此采用一种自适应的遗传算法来调整参数ν和g，寻求训练出最佳的空间状态分类器。

本实施例中，通过对捕获的网络通信数据进行深度数据包解析、数据降维处理之后，用所述空间状态分类器进行分类验证，如果通过验证则所述网络通信数据为正常数据，如果没有通过验证，则说明所述工业控制系统空间状态异常，所述网络通信数据为异常数据，发出报警信息。

综上，如图11所示，所述针对分布式工业控制系统的网络入侵检测系统包括：网络嗅探单元11，协议解析单元，入侵检测单元12，数据传输单元13；所述网络嗅探单元11通过ETH0接口接入工业网络进行所述工业控制系统的网络通信数据的侦听捕获工作，数据捕获后，经过预处理提取出应用层数据，送交协议解析单元，进行工业网络协议解析，解析成功后输出协议格式，之后关闭协议解析单元，进入所述入侵检测单元12；数据首先进入入侵检测单元12的网络特征检测模块，提取出数据的网络特征，进行访问路径，访问次数等网络特征检测，检测异常则直接进行报警，退出入侵检测单元12，经过数据传输单元13输出报警信息；如果检测正常，则对数据做进一步预处理，结合协议解析单元解析出的协议格式，进行深度数据包解析工作，解析出的数据依次传入控制指令检测模块和空间状态检测模块。若解析出的数据为控制指令，所述控制指令检测模块读取工业控制模型规则库文件，生成控制指令检测规则链表，并根据工业控制系统实时状态更新所述控制指令检测规则链表，对传入工业控制系统的控制指令进行检测，发现违反所述控制指令检测规则链表中规则的控制指令则进行报警输出；所述空间状态检测模块，根据主元分析法及单类支持向量机学习生成的空间状态分类器，对工业控制系统空间状态进行分类检测，如果工业控制系统空间状态异常则发出报警信息并经过数据传输单元13传输所述报警信息。

综上，本实施例中，采用基于网络特征、工业控制模型规则库、工业控制系统空间状态的三维立体式纵深防御的入侵检测方法，实现分布式控制系统安全及工业网络的安全入侵检测。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。