CN106888205B

CN106888205B - 一种非侵入式基于功耗分析的plc异常检测方法

Info

Publication number: CN106888205B
Application number: CN201710005047.0A
Authority: CN
Inventors: 肖玉珺; 徐文渊; 马卓然; 张国明
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2017-01-04
Filing date: 2017-01-04
Publication date: 2020-02-18
Anticipated expiration: 2037-01-04
Also published as: CN106888205A

Abstract

本发明公开了一种非侵入式基于功耗分析的PLC异常检测方法，该方法包括将一个电阻串联接入PLC的电源模块与CPU模块之间，通过数据采集设备采集电阻两端电压降，获取PLC运行时的功耗信息；将采集到的功耗进行样本切分，对每个样本提取合适的特征集合，形成特征值样本；根据PLC正常运行时的特征值样本训练一个基于长短记忆单元的神经网络模型，并将新采集到的待测功耗特征值样本与LSTM网络预测的特征值信息进行对比，以确定待测样本是否为异常样本，由此判断PLC是否遭到攻击。该方法无需修改PLC的软硬件配置，相对原工业控制系统是非侵入式的，且能够对PLC进行实时的监控，在不需要获取PLC遭到攻击时的异常样本情况下就能实现对攻击的检测。

Description

一种非侵入式基于功耗分析的PLC异常检测方法

技术领域

本发明涉及工业控制系统的安全领域，尤其涉及针对工业控制系统中PLC的攻击的检测与防御方法,具体公开了一种非侵入式基于功耗分析的PLC异常检测方法。

背景技术

工业控制系统是一个国家的重要基础设施，在满足人民物质需求，保障经济可持续发展以及维护社会稳定方面具有重要作用。工业控制系统如果遭到恶意攻击者的破坏，可能影响国民经济的正常发展，甚至造成社会动荡。因此研究与工业控制系统相关的安全监控技术，是一项与国计民生息息相关的工作，具有重大意义。

最初的工业控制系统是以孤岛方式运行的，使用专用设备与协议并且与外界物理环境相对隔绝，因此在很长一段时间内都是相对安全的。但是为了满足企业不断提高的经营管理要求，顺应信息化以及工业化深度融合的潮流，随着近年来信息技术以及物联网的飞速发展，信息技术大范围的应用于工业控制系统中。‘两化融合’带来了生产力的极大提升的同时，也给工业控制系统带来了巨大的安全问题，由于外界网络的接入，现在的工业控制系统不仅需要面临来自企业内部的安全威胁，还可能遭受来自互联网的攻击。

据ICS-CERT公布的数据显示，2010-2013四年的时间里，全球工业控制领域相关的安全事件高达623件，这些事件中59％都发生在石油化工、核电、电力等能源行业，作为典型的技术密集型行业，一旦其工业控制系统因遭受恶意攻击而出现安全问题，不仅会影响生产活动的顺利进行，还有可能引起设备爆炸，工作人员伤亡等重大安全事故。工业控制系统所面临的严峻安全形势，引起了各界的广泛关注。

传统的工业控制系统安全防护手段中，大多是将信息系统领域的安全防护手段移植到工业控制系统中来。由于硬件结构以及软件系统的限制，工业控制系统中很多专有设备无法应用传统的安全防护手段，由于资源的限制也无法经受频繁的漏洞扫描；另一方面，侵入式的安全防护方法如安装第三方软件，很可能会给工业控制系统带来新的潜在风险，而且工业控制系统运行过程中无法容忍哪怕短暂的停机或中断。因此，传统的安全防护方法无法很好地应用于实际中，一种非侵入式的安全防护方法则显得尤为必要。PLC作为工业控制系统中的关键设备，直接与现场传感器及执行器相连，控制工业现场的实施过程，一旦其运行指令遭到恶意篡改，就会造成巨大灾难，今年来针对PLC的攻击大幅度增加，而目前尚无针对PLC特性而设计的有效安全防护手段。因此，针对PLC本身的特性设计出一套安全防护系统，用于检测对PLC的攻击，能够很好地加强针对工业控制系统的安全防护。

发明内容

针对上述存在的问题，本发明在对工业控制系统本身的特点进行深入研究的基础上，提供了一种非侵入式基于功耗分析的PLC异常检测方法，该方法能够在不改变原系统的软硬件的基础上，对PLC运行的恶意指令进行实时监测。同时，该方法不需要对异常样本进行学习，基于PLC正常运行时的功耗信息，就能实现对已知和未知攻击进行检测。

由于PLC直接与控制现场进行通信，读取传感器中的现场信息并发送控制指令，因此针对工业控制系统的攻击往往会通过获取PLC的控制权限的方式，使其运行错误的控制指令，从而导致控制现场紊乱。该方法通过对PLC运行时的功耗进行分析，从而识别出PLC中运行的是正常程序的指令，还是遭到攻击被篡改后的恶意指令。

该方法通过在PLC的电源模块与CPU模块之间串联一个电阻来获取PLC运行时的功耗信息，由于现在普遍应用的PLC大多为模块式的，因此串联电阻不会对PLC的软硬件做出修改，只需要在不同模块的供电线之间接入一个电阻即可。通过以太网可以将PLC的功耗信息传输给上位机进行处理，上位机通过分析PLC的实时运行功耗可以判断PLC是否遭到攻击，因此，该方法是非侵入式的异常检测方法，基于该方法可以完成实时监控系统，监控系统与原工业控制系统相对独立，不会互相影响。

该方法在进行异常检测的过程中，不需要采集PLC遭到攻击时的异常样本进行学习，仅仅通过一段时间的正常样本进行训练，就可以实现对异常程序进行检测的目的，因此它既可以检测已知攻击，也可以检测未知攻击。因而，该方法部署简单，训练方便，实用性强。

该方法具体如下：

步骤1：首先在PLC的电源模块与CPU模块之间串联一个电阻(如0.1欧姆)，然后用数据采集器对电阻两端的电压降进行采集，采样率为γ。由于电阻两端的电压降能反映其电流变化，而PLC的输出电压是稳定的，所以电压降可以反映PLC的CPU功耗信息。

步骤2：让PLC运行正常的程序一段时间t₁并对PLC的功耗信息进行持续采集，将采集到的功耗信息传到上位机用于训练模型，具体训练步骤如下：

1)将接收到的功耗信息按照t₂的时长进行切分，切分后得到了一系列的正样本S＝{s₁,s₂,…,s_t,…,s_n}，其中s_t表示第t个样本，包含t₂时长的功耗信息。

2)对得到的正样本S进行预处理，过滤掉直流信号和高频噪声，得到有用的功耗信息样本S′＝{s₁′,s₂′,…s_t′,…,s_n′}用于后续分析。

3)得到样本S′后，先提取每个样本的概率密度分布信息，然后利用LibXtract库提取峰值、平均值、方差等基本时域和频域的特征，将这些特征一起构成一个原始的特征样本库。

4)由于特征样本库具有丰富但冗余的特征信息，所以接下来使用稀疏编码算法从中提取具有区分度的特征组合f＝{f₁,f₂,…,f_i,…,f_m}，，其中，f_i表示第i个特征，总的特征维数为m。因此，对于每一个功耗信息样本s_t′，根据特征组合f，可以提取出一个对应的特征值样本组合

这样，从最初得到的功耗信息样本S＝{s₁,s₂,…,s_n}中提取出最终的特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}，并将该样本用于后续的训练。

5)用上述特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}训练一个基于长短记忆单元(LSTM)的神经网络模型，该模型可以学习PLC正常运行时功耗变化的信息，模型训练好之后可以用于异常样本的检测。

上述参数中，γ、t₁、t₂、m均可以根据实际需求自行设定，我们通过实验得到一组较好的参数组合，其中γ为250KSa/s，t₁为18小时，t₂为5秒钟，m为13。

步骤3：完成初始LSTM网络的训练后，就可以对PLC进行实时检测，采集PLC当前的功耗信息，传送给上位机进行检测，判断PLC是否遭到攻击，具体检测过程包括如下步骤：

1)将PLC运行时当前的功耗信息传输至上位机，上位机将得到的功耗信息按照t₂的时长进行切分，得到待测样本s_t+1。

2)对于得到的每一个待测样本s_t+1，首先进行预处理，然后按照特征组合f＝{f₁,f₂,…,f_m}提取相应的特征值，最终得到一个特征值样本

3)用根据特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}训练得到的LSTM网络对时间序列进行预测，即根据前t个样本的特征对下一个时间步(t+1)的样本进行预测，即LSTM网络会根据学习到的前t时刻的样本序列信息来预测(t+1)时刻每一个特征值的大小，从而可以得到一个预测样本

4)对比LSTM网络预测的样本x^(t+1)′与真实获得的样本x^(t+1)，由于每一个特征值之间都会存在一定的预测误差，因此最后可以得到一个误差矩阵

对于每一个特征的误差而言

5)根据得到的误差矩阵对当前样本进行判断，如果误差矩阵满足关系

则当前样本为异常样本，如果不满足该关系，则当前样本为正常样本。

其中，参数t和τ可以自行设定，t的意义为每次LSTM网络都会根据前t个样本来预测第(t+1)个样本，τ为区分正样本与负样本的阈值，我们通过实验发现，令t为100，τ为0.02时能取得较好的效果。

步骤4：由于LSTM网络每次都是根据前t个样本来预测第(t+1)个样本，因此在进行样本检测的时候，我们需要对前t个样本进行实时更新，更新方法如下：

1)首先将第1个样本排除掉，将第t个样本视为第(t-1)个样本，因此原来用于预测的样本组合本X＝{x⁽¹⁾,x⁽²⁾,…,x^(t)}就变为新的样本组合X＝{x⁽²⁾,…,x^(t)}，其中包含(t-1)个样本。

2)当第(t+1)个样本x^(t+1)为正样本时，将其加入用于预测的样本组合中，从而得到用于预测的样本组合为X＝{x⁽²⁾,…,x^(t)，x^(t+1)}，进而可以对下一个时间点(t+2)的样本特征值进行预测。

3)当第(t+1)个样本x^(t+1)为负样本时，将LSTM预测得到的样本x^(t+1)′加入用于预测的样本组合中，从而得到新的用于预测的样本组合为X＝{x⁽²⁾,…,x^(t)，x^(t+1)′}，进而可以对下一个时间点(t+2)的样本特征值进行预测。

4)按照上述规律，可以持续对监控期间新采集到的功耗样本进行预测。

步骤5：持续对PLC进行检测，一旦连续发现三个检测样本均为异常样本时，则可以判定当前PLC中运行的指令并非原来的正常指令，而是遭到攻击后的恶意指令，因此说明PLC已经遭到攻击。

本发明的有益效果在于：

1.该异常检测系统可以在线实时地检测针对PLC的攻击，对PLC的运行情况进行实时判断，一旦PLC遭到攻击，能立即发现异常并报警，以便于及时进行处理，防止攻击造成实质性的破坏。

2.该系统为非侵入式的防护系统，安装及检测过程中不需要对原工业系统进行软硬件的修改，无需在原系统中安装任何软件，也无需对原系统的部署进行任何改变，因此不会带来潜在的安全风险，也不会对PLC的正常运行造成影响。

3.该系统在部署期间不需要对PLC异常运行时的样本进行学习，因此无需消耗额外的资源，只需要对PLC正常运行的情况进行学习就能实现检测异常的目的，从而很好地克服了工业控制系统难以获得异常样本的困难。

4.该系统在实际运用过程中无需连接网络，只需单机就可以运行，从而能够很好地适应工业控制系统环境，无需网络资源的配置与消耗。

5.该系统能够实现很高的检测准确率，对程序的微小改动也能识别出来，对于修改PLC控制指令的攻击都能及时发现并发出警报。

6.该系统是一套独立运行的系统，不会与原系统互相影响，可以在不影响PLC正常运行的情况下进行系统自身的更新，一旦发现更好的检测算法，可以在不影响监控的情况下实时进行更新，从而达到更好的检测效果。

7.该系统配置简单，成本低廉，相对于其他非侵入式的方法更实用，一套监控系统只需要一个电阻，一个数据采集设备，一台计算机即可实现；对于多PLC的监控，多台监控系统可以共享一台计算机。

附图说明

图1是PLC异常检测系统部署示意图；

图2是异常检测系统组成模块图；

图3是异常检测算法运行流程图。

具体实施方式

以下结合附图进一步说明本发明。

如图1所示，PLC作为工业控制系统中的关键设备，会面临各种各样的攻击，这些攻击可能直接来自生产管理层和现场控制层，也有可能来自于互联网。这些攻击会获取PLC的控制权限，然后让PLC运行一些恶意的指令，从而破坏现场的控制流程。而我们提出的异常检测系统在不改变PLC本身的软硬件结构的同时，在其供电端接入一个0.1欧姆的小电阻，该电阻的接入既不会影响PLC的运行，也不会给它带来潜在的风险。而异常检测系统是通过将电阻两端压降传输到上位机来进行工作的，因此整个异常检测系统相当于和原系统是独立运行的，不会互相影响。

如图2是整个异常检测系统的组成模块图，该系统的具体部署及工作方式如下：

1.在PLC的电源模块和CPU模块之间串联取样电阻，用一个250KSa/s采样率的数据采集器采集电阻两端的压降，然后将该电压信号传输到上位机中。

2.上位机中异常检测过程主要分为三步，第一步是将接收到的电压信号按照5秒钟进行切分，得到切分后的一系列样本，然后对样本进行预处理；第二步是从预处理后的样本中提取特征值，用提取的特征值样本代替原样本进行分类；第三步是根据提取的特征值样本进行LSTM网络的训练和异常样本的检测。

如图3为整个异常检测算法的工作流程图。整个算法分为两步，第一步是进行LSTM网络的训练，第二步是进行样本的实时监测。对算法的工作流程具体描述如下：

1.LSTM网络训练过程。该过程首先对采集到的功耗信息进行切分和预处理后，得到训练用的正常样本S′＝{s₁′,s₂′,…,s_n′}，然后根据特征向量f＝{f₁,f₂,…,f_m}提取对应的特征，得到对应的特征值样本用于训练X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}，根据这些样本可以训练一个LSTM网络，当训练过程中误差到达要求则训练结束，得到的LSTM网络可以用于异常检测。

2.异常检测过程。检测过程首先对采集到的当前功耗信息进行切分和预处理，得到有效的功耗信息样本s′，然后根据特征矩阵f提取该样本对应的特征值，得到特征值样本

用于检测。根据训练好的LSTM网络，结合当前时刻的前100个样本进行学习，预测当前时刻正常样本的理论特征值组合

将预测的正常样本特征值组合x^(t)′与实际采集得到的特征值样本x^(t)进行比较，得到其误差向量

根据误差向量是否满足条件

来判断当前样本是否为正常样本。若当前样本为正常样本，则当前PLC运行正常，连续负样本数清零，并将当前样本结合其前面的99个样本用于训练下一个时间点的样本。若当前样本为异常样本，则判断其是否为连续的第三个异常样本，如果不是，则将连续负样本数加一，并将预测的正常样本特征值组合用于对下一个正常样本的特征值组合进行预测；如果是，则确认PLC运行异常，遭到攻击，发出警报。

3.基于上述流程，该系统可以持续不断的对PLC进行攻击的检测，当确认PLC遭到攻击后，会发出警报，以提醒使用人员注意采取防护措施，以免攻击给控制系统造成破坏。

Claims

1.一种非侵入式基于功耗分析的PLC异常检测方法,其特征在于该方法具体如下：

步骤1：在PLC的电源模块与CPU模块之间串联一个电阻，然后用数据采集器对电阻两端的电压降进行采集，采样率为γ；

步骤2：让PLC运行正常的程序一段时间t₁，并对PLC的功耗信息进行持续采集，将采集到的功耗信息传到上位机用于训练LSTM网络模型，

具体训练步骤如下：

2.1)将接收到的样本按照t₂的时长进行切分，切分后得到了一系列的正样本S＝{s₁,s₂,…s_t,…,s_n}，其中s_t表示第t个样本，包含t₂时长的功耗信息；

2.2)对得到的正样本S进行预处理，过滤掉直流信号和高频噪声，得到新的功耗信息样本S′＝{s₁′,s₂′,…s_t′,…,s_n′}用于后续分析；

2.3)得到样本S′后，提取每个样本的概率密度分布信息，并利用LibXtract库提取基本时域和频域的特征，将这些特征一起构成一个原始的特征样本库；

2.4)使用稀疏编码算法从原始的特征样本库中提取具有区分度的特征组合f＝{f₁,f₂,…,f_i,…,f_m}，其中，f_i表示第i个特征，总的特征维数为m；因此，对于每一个功耗信息样本s_t′，根据特征组合f，提取出一个对应的特征值样本组合

从最初得到的功耗信息样本S＝{s₁,s₂,…,s_n}中提取出最终的特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}，并将该样本用于后续的训练；

2.5)用上述特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}训练一个LSTM神经网络模型，模型训练好之后用于异常样本的检测；

步骤3：完成初始LSTM网络的训练后，对PLC进行实时检测，采集PLC当前的功耗信息，根据前t个样本来预测第(t+1)个样本是否为正常样本，

步骤4：由于LSTM网络每次都是根据前t个样本来预测第(t+1)个样本，因此在进行样本检测的时候，对前t个样本进行实时更新，

步骤5：持续对PLC进行检测，一旦连续发现三个检测样本均为异常样本时，则判定当前PLC中运行的指令并非原来的正常指令，而是遭到攻击后的恶意指令，因此说明PLC已经遭到攻击。

2.根据权利要求1所述的非侵入式基于功耗分析的PLC异常检测方法，其特征在于所述的γ为250KSa/s，t₁为18小时，t₂为5秒钟，m为13。

3.根据权利要求1所述的非侵入式基于功耗分析的PLC异常检测方法，其特征在于所述的步骤3具体检测过程包括如下步骤：

1)将PLC运行时当前的功耗信息传输至上位机，上位机将得到的功耗信息按照t₂的时长进行切分，得到待测样本s_t+1；

3)用根据特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}训练得到的LSTM网络对时间序列进行预测，即LSTM网络会根据学习到的前t时刻的样本序列信息来预测(t+1)时刻每一个特征值的大小，从而可以得到一个预测样本

4)对比LSTM网络预测的样本x^(t+1)′与真实获得的样本x^(t+1)，得到一个误差矩阵

对于每一个特征的误差而言

4.根据权利要求3所述的非侵入式基于功耗分析的PLC异常检测方法，其特征在于其中t为100，τ为0.02。

5.根据权利要求1所述的非侵入式基于功耗分析的PLC异常检测方法，其特征在于所述的步骤4更新方法如下：

1)首先将第1个样本排除掉，将第t个样本视为第(t-1)个样本，因此原来用于预测的样本组合本X＝{x⁽¹⁾,x⁽²⁾,…,x^(t)}就变为新的样本组合X＝{x⁽²⁾,…,x^(t)}，其中包含(t-1)个样本；

2)当第(t+1)个样本x^(t+1)为正样本时，将其加入用于预测的样本组合中，从而得到用于预测的样本组合为X＝{x⁽²⁾,…,x^(t)，x^(t+1)}，进而可以对下一个时间点(t+2)的样本特征值进行预测；

3)当第(t+1)个样本x^(t+1)为负样本时，将LSTM预测得到的样本x^(t+1)′加入用于预测的样本组合中，从而得到新的用于预测的样本组合为X＝{x⁽²⁾,…,x^(t)，x^(t+1)′}，进而对下一个时间点(t+2)的样本特征值进行预测；

4)按照步骤1)-3)，持续对监控期间新采集到的功耗样本进行预测。