CN106599997A

CN106599997A - 基于零动态的工控攻击检测识别方法与系统

Info

Publication number: CN106599997A
Application number: CN201611181665.2A
Authority: CN
Inventors: 张环宇; 殷新兵
Original assignee: ZTEsoft Technology Co Ltd
Current assignee: ZTEsoft Technology Co Ltd
Priority date: 2016-12-20
Filing date: 2016-12-20
Publication date: 2017-04-26
Anticipated expiration: 2036-12-20
Also published as: CN106599997B

Abstract

本发明公开一种基于零动态工控攻击检测识别系统，包括工控建模模块、攻击检测模块以及攻击识别模块：工控建模模块用于构建面向石化、电力行业的工业控制系统结构模型框架；攻击检测模块用于提取相应的攻击状态观测值和特征，包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型；攻击识别模块用于构建集中式攻击识别过滤器，识别相应的攻击集。本发明还涉及一种基于零动态工控攻击检测识别方法，提出面向工业控制系统的安全模型及攻击检测识别过滤器，用以检测和识别工控系统安全威胁，尤其是应用过程中的受到的各种攻击，达到对工业控制系统信息的智能分析、安全评估及安全事件准确定位，实现工业控制系统的异常行为检测。

Description

基于零动态的工控攻击检测识别方法与系统

技术领域

本发明涉及工业控制系统技术领域，具体而言涉及一种基于零动态的工控攻击检测识别方法与系统。

背景技术

随着工业化与信息化的融合，大量IT技术被引入工业控制系统。工业控制系统(Industry Control System，ICS，后简称工控系统)是综合运用电子、信息、计算机和通信技术实现工业生产管理过程自动化的应用系统，在电力、石油、冶金、矿山、交通、能源、水务、燃气等基础性领域有着非常广泛的应用。现今，网络设备、计算设备、操作系统、嵌入式平台等在工控系统中已经司空见惯。然而，工控系统与IT系统间仍然存在本质性的差异，导致差异的特质决定了工控系统安全与IT系统安全的不同。工控系统往有较深的行业和专业知识门槛，业内关注物理安全，业务系统方面普遍认同通过机制体制的专有性保障安全。随着IT技术的普遍使用和知识扩散，通过网络和其他接口进行系统攻击日益盛行。

然而工业控制系统的设计、建设和运维模式与IT系统不同，系统的一般性运维由运营商的运维人员负责，而其中使用的大型专用设备往往由厂商进行现场和远程维护其安全。工控系统与IT系统的运维群体有显著区别，鉴于工业控制系统的基础性，部署的广泛性，涉及部门和行业的多样性。工控系统的安全检测和攻击识别成为了一个非常困难的问题。

因此如何建立一套精确、智能、实时的工控系统检测识别机制，已成为一个具有高度挑战性的问题，并成为工控系统安全领域的研究热点之一。

发明内容

本发明目的在于提供一种基于零动态的工控攻击检测识别系统，包括工控系统安全建模模块、攻击检测模块和攻击识别模块，检测和识别工控系统安全威胁，尤其是应用过程中的受到的各种攻击，达到对工业控制系统信息的智能分析、安全评估及安全事件准确定位的目的，实现工业控制系统的异常行为检测技术，并且能够适用于不同工业控制网络应用场景。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。另外，所要求保护的主题的所有组合都被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

附图不意在按比例绘制。在附图中，在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见，在每个图中，并非每个组成部分均被标记。现在，将通过例子并参考附图来描述本发明的各个方面的实施例，其中：

图1是根据本发明某些实施例的基于零动态工控攻击检测识别系统的示意图。

具体实施方式

为了更了解本发明的技术内容，特举具体实施例并配合所附图式说明如下。

在本公开中参照附图来描述本发明的各方面，附图中示出了许多说明的实施例。本公开的实施例不必定意在包括本发明的所有方面。应当理解，上面介绍的多种构思和实施例，以及下面更加详细地描述的那些构思和实施方式可以以很多方式中任意一种来实施，这是因为本发明所公开的构思和实施例并不限于任何实施方式。另外，本发明公开的一些方面可以单独使用，或者与本发明公开的其他方面的任何适当组合来使用。

结合图1所示，根据本发明的实施例，基于零动态工控攻击检测识别系统包括工控建模模块、攻击检测模块以及攻击识别模块。

工控建模模块，用于构建面向石化、电力行业的工业控制系统结构模型框架。

攻击检测模块，用于提取相应的攻击状态观测值和特征，包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型。

攻击识别模块，用于构建集中式攻击识别过滤器，识别相应的攻击集。

本发明的攻击检测识别系统中，引入非线性微分代数系统零动态概念，设计集中式、分布式攻击检测过滤器模型及集中式攻击识别过滤器模型来检测和识别攻击。非线性微分代数系统中，当这个系统的输出恒为零时,其状态被限制在使得约束恒为零的区域上,输入u(t)必然是方程的唯一解。

本发明的攻击检测识别系统，采用基于混合方法构建了面向石化、电力行业的工业控制系统安全模型框架。先利用基于元件的方法按内在机理构造数学模型方程，再通过测量辨识的方法动态建模，最后利用仿真拟合方法修正模型和参数。采用优化类方法进行参数识别，对状态空间方程辨别输入-输出数据辨识模型中的参数，进行工控系统动态建模。

本攻击检测识别系统采用基于Open Agent Architecture框架的Agent技术进行数据采集。采用代理/管理者的采集模型采集主机设备日志文件以及设备状态信息；基于镜像端口技术收集和分析网络设备的镜像流量；基于抓取探测技术采集工业控制终端的操作、配置信息和协议数据流。在多层部署环境中，采用中继隔离方式单向上报采集信息。

本攻击检测识别系统，基于龙贝格观测器模型设计了集中式攻击检测过滤器。龙贝格(Luenberger)观测器基本结构：将u输入系统及状态模型，得到实测输出值y和状态观测值，再由输出模型得到相应输出估计值。然后，将与y作比较，其误差通过校正矩阵作为校正项，对进行在线校正，以获得较精确的状态观测值。

本攻击检测识别系统同时还使用基于稀疏滤波的非监督特征学习算法设计相应的分布式攻击检测过滤器，直接分析优化特征的分布提取攻击特征。稀疏滤波方法的核心思想是避免对数据分布的显式建模，优化特征分布的稀疏性从而得到好的特征表达。与其他的特征学习方法不同，稀疏滤波并没有明确的构建输入数据的分布的模型，只优化一个简单的代价函数(L2范数稀疏约束的特征)，优化过程可以通过几行简单的MATLAB代码就可以实现。而且稀疏滤波可以轻松有效的处理高维的输入，并能拓展为多层堆叠。

基于残差滤波的预测攻击集的集中式攻击识别过滤器，忽略动态干扰对系统的影响。由于Kalman滤波因接收的量测信号含有扰动的因素，输出的估计状态信号不准确，所以采用残差滤波排除了观测噪声和噪声模型的影响，使参数估计实验无偏性。

下面结合具体的实例，更加具体的说明前述检测识别系统的实现。

(工业控制系统安全模型)首先以工控系统输入信号为主体，构建面向石化、电力行业的工业控制系统安全模型框架(E,M,N,P,Q)如下：

其中，x(t)∈Rⁿ,u(t)∈R^m,r(t)∈R^p,E∈R^n×n,M∈R^n×n,N∈R^n×m,P∈R^p×n,Q∈R^p×n。Ex为预期奇异矩阵，Mx为系统的正常状态，Nu和Qu为未知输入干扰信号。而Px为实际系统正常状态信号。假设每个攻击干扰由一个攻击者单独实现的。其中N＝[I_n×n0_n×p]Q＝[0_p× _nI_p×p],而信号取决于特定的攻击策略。设为攻击集，|K|＝k，对每一个i∈K，存在一个时间t，u_i(t)≠0,而对u_j(t)＝0，定义攻击N_u(t)＝N_ku_k(t)和Q_u(t)＝Q_ku_k(t)。因矩阵E可能为奇异矩阵，所以假设：

A1)|sE-M|≠0；

A2)初始状态信号x(t)∈Rⁿ连续，(Mx(0)+Nu(0))∈Im(E)；

A3)输入信号u(t)连续，确保符合安全模型且状态信号x(t)、输出r(t)轨迹平滑。

(系统安全模型检测不出的攻击)对于系统安全模型(1)和攻击集合K，当且仅当一个非空的攻击(N_ku_k,Q_ku_k)满足对所有存在初始状态x₁，x₂∈Rⁿ使得r(x₁,u_K,t)＝r(x₂,0,t)成立，则检测不出攻击K。具体情形表现为：

(1)存在S∈P，g∈R^|K|，x∈Rⁿ且x≠0，使得(sE-M)x-N_Kg＝0，且Px+Q_Kg＝0时。

(2)存在s∈P且x∈Rⁿ使得||(sE-M)x||₀+||Px||₀＝k时

(3)攻击者不知初始状态,系统为左可逆即也就是时，为P、Q与输出相关联子矩阵。

(引入非线性微分代数系统零动态概念)建立工业控制系统安全模型后，针对检测不出的攻击K，引入非线性微分代数系统零动态概念，设计集中式、分布式攻击检测过滤器模型来检测攻击。

(集中式攻击检测过滤器模型)依据非线性微分代数系统零动态概念，基于龙贝格观测器模型设计集中式攻击检测过滤器模型如下：

v(t)＝Mw(t)-r(t) (2)

其中，w(0)＝x(0),输出注入矩阵G∈R^n×p，(E,M+GP)为正则矩阵对、符合Hurwitz定理为正定矩阵。非线性微分代数系统中，当输出恒为零时,输入u(t)必然是方程的唯一解.在此攻击检测模型中，输出v(t)＝0当且仅当u_k(t)＝0时在所有的t∈R_≥0情况下成立。因此当攻击检测模型输出v(t)≠0时，检测到攻击信号u。

(分布式攻击检测过滤器模型)因集中式攻击检测过滤器需中央处理器的持续测量，本系统使用基于稀疏滤波的非监督特征学习算法设计相应的分布式攻击检测过滤器，直接分析优化特征的分布提取攻击特征。攻击检测同样依据非线性微分代数系统零动态概念。依据定向稀疏图构造分布式工控模型：记是与攻击对(E，M)相关联的定向稀疏图，规定顶点集合对应系统中的状态，该组有向边ε＝{(x_j,x_i):e_ij≠0or a_ij≠0}。其中让是的第i个子图。系统矩阵M表示为：

其中，M_Q＝blkdiag(M₁,…M_L)；和E＝blkdiag(E₁,…E_L)，P＝blkdiag(P₁,…P_L),(E_i，M_i)为正则矩阵对。

基于上述的结构，工业控制系统安全模型如下：

r_i(t)＝P_ix_i(t)，i∈{1，…，N} (3)

其中，r_i和x_i都是系统的状态和第i个子系统的输出。

相应的集中式攻击检测过滤器模型为:

v_i(t)＝r(t)-Pw(t)，i∈{1，…，N}

因集中式攻击检测过滤器需中央处理器的持续测量，因此我们采用高斯-雅各比波形松弛法迭代来进行分布式计算，实现分布式攻击检测过滤器模型如下：

v^(k)(t)＝r(t)-Pw^(k)(t) (5)

其中，对所有k∈N,t∈[0,T],T>0,w^(k)(0)＝x(0)，输出注入矩阵G＝blkdiag(G₁,…,G_N)，(E,M+GP)为正则矩阵对、符合Hurwitz定理为正定矩阵,且对所有ω∈R,ρ((jωE-M_Q-GP)^-1M_P)<1，输出lim_k→∞‖v^(k)(t)‖_∞＝0当且仅当u_k(t)＝0时在所有的t∈R_≥0情况下成立时成立。因此当攻击检测模型输出v(t)≠0时，检测到攻击信号u_k。

(集中式攻击识别过滤器模型)相应地设计基于残差滤波的预测攻击集的集中式攻击识别过滤器，忽略动态干扰对系统的影响，排除观测噪声和噪声模型的影响，使参数估计实现无偏性。已知攻击集设计一个残差滤波判定预定义集合是否包含攻击维数，记攻击识别过滤器对攻击维数K的输出为剩余信号v_K。残差滤波包含三个步骤：输入-输出转换；状态转换；输出注入和定义特殊残差。

(1)输入-输出转换工业控制系统安全模型如下：

(2)状态转换,主要在于条件不变子空间,记S^*为系统(E,M,N,P,Q)的条件不变子空间，最小状态子空间S^*应满足：

(3)输出注入与特殊残差。输出注入矩阵L应满足

同时满足以上条件的S^*、L将广义系统转化为正则坐标表示集合S^*及其正交补集。非奇异系统(E＝I)通过一个非奇异变换N^-1(sI-M)Q来实现等价状态。奇异系统中非奇异M、N的转换为：M^T(sE-M)Q。定义酉矩阵M＝[Basis(S^*)Basis((S^*)^⊥)],N＝[Basis(E^-1S^*)Basis((E^-1S^*)^⊥)]，输入解耦系统表示为：

即广义系统满足以下条件时，才可识别出攻击维数K：

对于攻击签名(N_K，Q_K)来说攻击滤波满足：

其中对符合Hurwitz定理为正定矩阵。则当且仅当预定义集合为攻击维数K时对所有t∈R_≥0有残差滤波v_K(t)＝0成立。

总而言之，系统安全模型中若存在状态x1,x2存在输入量u不等于0，使输出量y1,y2相等则检测不出攻击，不等于u的输入量即为攻击信号。设计攻击检测模型,研究非线性微分代数系统零动态，使当且仅当u＝0时，攻击检测模型的输出量恒为0，因为零动态是唯一解，借此若输入攻击信号则检测模型输出不为0。同样地攻击识别模型中，预定义攻击集，研究非线性微分代数系统零动态，使当且仅当预定义集合为攻击维数K时，攻击识别模型输出量为0。

由以上本发明的技术方案可知，本发明关于工业控制系统安全模型及攻击检测识别系统中，引入非线性微分代数系统零动态概念，设计集中式、分布式攻击检测过滤器模型及集中式攻击识别过滤器模型来检测和识别攻击，建立了精确、智能、实时的工控系统检测识别机制。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。

Claims

1.一种基于零动态工控攻击检测识别系统，其特征在于，包括工控建模模块、攻击检测模块以及攻击识别模块，其中：

工控建模模块，用于构建面向石化、电力行业的工业控制系统结构模型框架；

攻击检测模块，用于提取相应的攻击状态观测值和特征，包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型；

2.根据权利要求1所述的基于零动态工控攻击检测识别系统，其特征在于，所述工控建模模块被设置成先利用基于元件的方法按内在机理构造数学模型方程，再通过测量辨识的方法动态建模，最后利用仿真拟合方法修正模型和参数，通过采用优化类方法进行参数识别，对状态空间方程辨别输入-输出数据辨识模型中的参数，进行工控系统动态建模。

3.根据权利要求1所述的基于零动态工控攻击检测识别系统，其特征在于，所述攻击检测模块被设置成按照下述方式构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型，其中：基于龙贝格观测器模型构建集中式攻击检测过滤器；基于稀疏滤波的非监督特征学习算法构建分布式攻击检测过滤器，直接分析优化特征的分布提取攻击特征。

4.根据权利要求1所述的基于零动态工控攻击检测识别系统，其特征在于，所述攻击识别模块被设置成基于残差滤波的预测攻击集的集中式攻击识别过滤器，用以忽略动态干扰对系统的影响。

5.一种基于零动态工控攻击检测识别方法，其特征在于，包括下述步骤：

工控建模，构建面向石化、电力行业的工业控制系统结构模型框架；

攻击检测构建，提取相应的攻击状态观测值和特征，包括构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型；

攻击识别构建，用于构建集中式攻击识别过滤器，识别相应的攻击集。

6.根据权利要求5所述的基于零动态工控攻击检测识别方法，其特征在于，所述工控建模具体包括下述步骤：先利用基于元件的方法按内在机理构造数学模型方程，再通过测量辨识的方法动态建模，最后利用仿真拟合方法修正模型和参数，通过采用优化类方法进行参数识别，对状态空间方程辨别输入-输出数据辨识模型中的参数，进行工控系统动态建模。

7.根据权利要求5所述的基于零动态工控攻击检测识别方法，其特征在于，所述攻击检测构建具体包括：构建集中式攻击检测过滤器模型、分布式攻击检测过滤器模型，其中：基于龙贝格观测器模型构建集中式攻击检测过滤器，；基于稀疏滤波的非监督特征学习算法构建分布式攻击检测过滤器，直接分析优化特征的分布提取攻击特征。

8.根据权利要求5所述的基于零动态工控攻击检测识别方法，其特征在于，所述攻击识别构建具体包括：基于残差滤波的预测攻击集的集中式攻击识别过滤器。