CN107491058B - 一种工业控制系统序列攻击检测方法及设备 - Google Patents
一种工业控制系统序列攻击检测方法及设备 Download PDFInfo
- Publication number
- CN107491058B CN107491058B CN201710667223.7A CN201710667223A CN107491058B CN 107491058 B CN107491058 B CN 107491058B CN 201710667223 A CN201710667223 A CN 201710667223A CN 107491058 B CN107491058 B CN 107491058B
- Authority
- CN
- China
- Prior art keywords
- subset
- value
- control system
- weight
- observed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0208—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
- G05B23/0213—Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供的一种工业控制系统序列攻击检测方法及设备,其中所述方法包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。本发明提供的方法在避免单个观测量被篡改后工业控制系统序列攻击检测失效的情况的同时,能够高效、准确地识别出工业控制系统的序列攻击。
Description
技术领域
本发明涉及入侵检测技术领域,更具体地,涉及一种工业控制系统序列攻击检测方法及设备。
背景技术
工业控制系统(industrial control system,ICS)在近十多年不断地引入了工业以太网和传输控制协议/因特网互联协议(Transmission Control Protocol/InternetProtocol,TCP/IP)等开放性通信协议,系统平台趋于开放化和标准化,与外部网络的连接变得更为紧密与频繁,特别是新近提出的工业4.0概念融合了智能工厂、智能生产、智能物流等思想。这些现象使得ICS的系统固有漏洞和攻击面日益增加,互联网面临的安全攻击被引入到ICS中。序列攻击是工业控制系统中的一种特殊攻击,该攻击高度依赖控制过程,通过在操作序列中的错误位置插入正常合法报文,干扰工作流程甚至损毁物理设备。
现有的序列攻击检测机制大多采用有限状态机、马尔科夫模型等技术,构建正常操作序列模型并以此检测序列攻击。然而这些技术的共同前提是检测者可以获得控制命令序列。但是在现实中,逻辑代码已下装到可编程逻辑控制器(Programmable LogicController,PLC)中,由PLC通过总线或电信号控制执行器进行操作。检测者在工业控制网络中仅能捕获到PLC发送的设备观测值信息和人及接口(Human Machine Interface,HMI)发送的控制命令信息。
由于序列攻击主要采用基于单观测量信息的检测技术,但是技术高超的攻击者可攻陷PLC并篡改观测值,导致现有的观测量检测技术失效,无法识别序列攻击,造成严重的业务中断及设备破坏。
发明内容
针对上述的技术问题,本发明提供一种工业控制系统序列攻击检测方法及设备。
第一方面,本发明提供一种工业控制系统序列攻击检测方法,包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测量类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
其中,所述取值分类法包括:获取取值个数小于2的所有观测量形成固定量子集;获取取值个数大于预设个数阈值的所有观测量形成连续量子集;以及获取其余的观测量形成离散量子集;
其中,所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。
其中,通过以下步骤训练所述隐马尔科夫模型:获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集,并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集;根据所述第二离散量子集中的每个离散向量的取值,将所述第二离散量子集转换为离散序列;利用所述离散序列对隐马尔科夫模型进行训练,得到离散隐马尔科夫模型;对所述第二连续量子集中的每个连续向量的取值进行标准化,形成标准化连续量子集;利用所述标准化连续量子集对隐马尔科夫模型进行训练,得到连续隐马尔科夫模型。
其中,通过以下步骤获取所述离散量子集和所述连续量子集的权重:对所述训练集进行标准化,计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值;根据所述比值计算标准化训练集中各观测量的熵,并根据所述标准化训练集中各观测量的熵,获取所述标准化训练集中各观测量的权重;根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。
其中,通过以下公式计算标准化训练集中各观测量的熵,即
其中,Ej为第j观测量的熵;pij为标准化训练集中第i时刻第j观测量的取值占第j观测量的取值之和的比值;n为训练集中第j观测量的取值个数。
其中,通过以下公式确定所述离散量子集的权重以及所述连续量子集的权重,即
其中,W(Tl)为第l类子集的权重,离散量子集为d类子集,连续量子集为c类子集;k为训练集中观测量的数量;kl为第l类子集中观测量的数量;w(Olj)为第l类子集中第j观测量Oj的权重,且w(Oj)=(1-Ej)/(k-ΣEj)。
其中,通过以下公式得到工业控制系统序列攻击的预测值,即
P=W(Tc)×P_c+W(Td)×P_d
其中,P为预测值;W(Td)为离散量子集的权重;W(Tc)为连续量子集的权重;P_d为第一匹配概率;P_c为第二匹配概率;
将所述预测值与检测阈值τ进行比较,若所述预测值不小于检测阈值τ,则确认所述工业控制系统正常;否则,确认所述工业控制系统异常,发出警报。
其中,所述S1还包括:利用取值分类法获取所述测试集中的第一固定量子集;相应地,所述S3还包括:将所述第一固定量子集的取值序列与基于训练集中第二固定量子集形成的合法取值集合进行匹配,并得到匹配结果;
若所述匹配结果为正确,则所述工业控制系统正常;若所述匹配结果为错误,则所述工业控制系统异常,发出警报。
第二方面,本发明提供一种工业控制系统序列攻击检测设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述的方法。
第三方面,本发明提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述的方法。
本发明提供的一种工业控制系统序列攻击检测方法及设备,通过将多个可编程逻辑控制器控制的传感器的多个观测量中的第一连续量子集和第一离散量子集,输入训练得到的隐马尔科夫模型,得到工业控制系统序列攻击的检测结果,避免了单个观测量被篡改后工业控制系统序列攻击检测失效的情况;同时基于多个观测量的检测方法,能够高效、准确地识别出工业控制系统的序列攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的工业控制系序列攻击检测方法的流程图;
图2为图1所述的工业控制系序列攻击检测方法中的工业控制系统的结构简图;
图3为本发明另一实施例提供的工业控制系序列攻击检测方法的流程图;
图4为本发明实施例提供的工业控制系统序列攻击检测设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
从2010年出现攻击工业控制系统的超级病毒——“震网”病毒到“Duqu”病毒、“火焰”病毒、“Havex”病毒,以及俄罗斯输气管道爆炸、德国钢厂事故等,都显示出ICS面临着越来越多的复杂攻击。据权威统计信息,仅从2010到2013年间,美国工业控制系统网络应急响应小组(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)累计响应了600多起ICS安全事件,且年平均安全事件呈现急剧上升的趋势。
图1为本发明实施例提供的工业控制系统序列攻击检测方法的流程图,如图1所述,该方法包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
其中,ICS是一类用于工业生产的控制系统的统称,它包含监视控制与数据采集系统(supervisory control and data acquisition,SCADA),分布式控制系统和其他一些常见于工业部门与关键基础设施的小型控制系统(如PLC)等,如图2所示。工控系统与物理世界关系紧密,为监控真实设备的正常生产,人们建立了由企业网络、控制网络、现场网络三级网络组成的工业控制网络。
其中,隐马尔可夫模型(Hidden Markov Model,HMM)是统计模型,它用来描述一个含有隐含未知参数的马尔可夫过程。其难点是从可观察的参数中确定该过程的隐含参数。然后利用这些参数来作进一步的分析,例如模式识别。
其中,权重是一个相对的概念,针对某一指标而言。某一指标的权重是指该指标在整体评价中的相对重要程度。权重是要从若干评价指标中分出轻重来,一组评价指标体系相对应的权重组成了权重体系。
具体地,在对工业控制系统的序列攻击进行检测时,由于工业控制系统包含很多可编程逻辑控制器(Programmable Logic Controller,PLC)以及被其控制的传感器和执行器,且攻击者的攻击能力有限,只能将工业控制系统中的部分PLC攻击,从而仍有部分PLC处于正常运行的状态,故能够提供正常的观测量。因此,实时获取工业控制系统中多个PLC控制的传感器中的多个观测量作为测试集进行序列攻击检测,能够避免单个观测量被篡改后无法检测出序列攻击的情况。并根据预先由取值分类法获得的各观测量的类型,获取测试集中的第一连续量子集和第一离散量子集,并将该第一离散量子集和第一连续量子集均输入训练生成的隐马尔科夫模型,得到与第一离散量子集对应的第一匹配概率,以及与第一连续量子集对应的第二匹配概率。根据该第一匹配概率和第二匹配概率,以及结合离散量子集的权重和连续量子集的权重,计算得到工业控制系统序列攻击的检测结果。
在本发明实施例中,通过将多个可编程逻辑控制器控制的传感器的多个观测量中的第一连续量子集和第一离散量子集,输入训练得到的隐马尔科夫模型,得到工业控制系统序列攻击的检测结果,避免了单个观测量被篡改后工业控制系统序列攻击检测失效的情况;同时基于多个观测量的检测方法,能够高效、准确地识别出工业控制系统的序列攻击。
在上述实施例的基础上,所述取值分类法包括:获取取值个数小于2的所有观测量形成固定量子集;获取取值个数大于预设个数阈值的所有观测量形成连续量子集;以及获取其余的观测量形成离散量子集;其中,所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。
具体地,取值分类法的步骤包括:按照各观测量的取值个数ψj对观测量进行分类。若观测量的取值个数ψj<2,则该观测量为固定量;若观测量的取值个数ψj>λc(λc为预设个数阈值),则该观测量为连续量;其余的观测量为离散量。从而得到固定量子集、连续量子集和离散量子集。其中,离散量子集中的每个元素为某时刻提取的观测量中离散量组成的向量;连续量子集中的每个元素为某时刻提取的观测量中连续量组成的向量;固定量子集中的每个元素为某时刻提取的观测量中固定量组成的向量。
然后依据取值分类法获取的各观测量的类型,从测试集S_test中提取第一离散量子集St_d、第一连续量子集St_c和第一固定量子集St_f。并将第一离散量子集St_d和第一连续量子集St_c,输入训练好的隐马尔科夫模型,得到对应的第一匹配概率P_d和第二匹配概率P_c。然后根据该第一匹配概率P_d和第二匹配概率P_c,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
在本发明实施例中,通过取值分类法将训练集和测试集中的观测量分为固定量、连续量和离散量,为工业控制系统序列攻击的检测提供基础。
在上述各实施例的基础上,结合图3,通过以下步骤训练所述隐马尔科夫模型:获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集,并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集;根据所述第二离散量子集中的每个离散向量的取值,将所述第二离散量子集转换为离散序列;利用所述离散序列对隐马尔科夫模型进行训练,得到离散隐马尔科夫模型;对所述第二连续量子集中的每个连续向量的取值进行标准化,形成标准化连续量子集;利用所述标准化连续量子集对隐马尔科夫模型进行训练,得到连续隐马尔科夫模型。
其中,数据标准化也就是统计数据的指数化,数据标准化处理主要包括数据同趋化处理和无量纲化处理两个方面。数据同趋化处理主要解决不同性质数据问题,对不同性质指标直接加总不能正确反映不同作用力的综合结果,须先考虑改变逆指标数据性质,使所有指标对测评方案的作用力同趋化,再加总才能得出正确结果。数据无量纲化处理主要解决数据的可比性。数据标准化的方法有很多种,常用的有“最小—最大标准化”、“Z-score标准化”和“按小数定标标准化”等。
具体地,得到训练好的隐马尔科夫模型的步骤包括:首先,提取一段时间内多个PLC控制的传感器中的观测量作为训练集S,其中,训练集S中的每个元素Si为i时刻提取的多个PLC控制的传感器中的观测量组成的向量。然后根据取值分类方法获取到训练集S中的第二离散量子集S_d、第二连续量子集S_c和第二固定量子集S_f。
对该第二离散量子集S_d中每个离散向量S_di的取值进行符号化,即用单个符号代表某个具体向量值,使一个向量序列转化为序列,以将该第二离散量子集转化为离散序列C_d,并利用该离散序列对隐马尔科夫模型进行训练,得到离散隐马尔科夫模型(HMMwith Discrete outputs,DHMM)。以及对第二连续量子集S_c中每个连续向量的取值进行标准化,例如,对第二连续量子集进行Z-score标准化,Z-score标准化方法是基于原始数据的均值μ和标准差σ进行数据的标准化,将数据的原始值x使用z-score标准化到x',即从而得到标准化连续量子集S_cn,并利用此标准化连续量子集S_cn对隐马尔科夫模型进行训练,得到连续隐马尔科夫模型(HMM with(mixture of)Gaussiansoutputs,GHMM)。
然后将第一离散量子集St_d输入离散隐马尔科夫模型DHMM,得到第一匹配概率P_d;以及将第一连续量子集St_c输入连续隐马尔科夫模型GHMM,得到第二匹配概率P_c;并结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
在本发明实施例中,通过利用取值分类法获取训练集中的第二离散量子集和第二连续量子集,然后依据第二离散量子集和第二连续量子集对隐马尔科夫模型进行训练,进而得到准确的离散隐马尔科夫模型和连续隐马尔科夫模型,从而使得依据该离散隐马尔科夫模型和连续隐马尔科夫模型,进行工业控制系统序列攻击检测的精确性得到提高。
在上述各实施例的基础上,通过以下步骤获取所述离散量子集和所述连续量子集的权重:对所述训练集进行标准化,计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值;根据所述比值计算标准化训练集中各观测量的熵,并根据所述标准化训练集中各观测量的熵,获取所述标准化训练集中各观测量的权重;根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。
其中,熵的本质是一个系统“内在的混乱程度”。它在控制论、概率论、数论、天体物理、生命科学等领域都有重要应用。一般来说,若某个指标的信息熵Ej越小,表明指标值的变异程度越大,提供的信息量越多,在综合评价中所能起到的作用也越大,其权重也就越大。相反,某个指标的信息熵Ej越大,表明指标值的变异程度越小,提供的信息量也越少,在综合评价中所起到的作用也越小,其权重也就越小。
具体地,离散量子集和连续量子集的权重计算步骤包括:首先对训练集S进行标准化,例如,采用Z-score标准化方法进行标准化,则形成标准化训练集Z。然后计算标准化训练集Z中每个观测值的取值占该观测量的取值之和的比值,即比值其中,zij为i时刻第j观测量标准化后的取值,n为标准化训练集Z中第j观测量的取值个数。然后根据该比值获取与该观测量对应的熵,相应地,可以获取到标准化训练集Z中各观测量的熵。
然后根据标准化训练集Z中各观测量的熵,获取标准化训练集Z中各观测量的权重,并根据该获取的标准化训练集中各观测量的权重,获取离散量子集的权重和连续量子集的权重。再根据得到的离散量子集的权重和连续量子集的权重,以及第一匹配概率和第二匹配概率,得到工业控制系统序列攻击的检测结果。
在本发明实施例中,通过根据标准化训练集中各观测量的取值的比值获取各观测量的熵,并根据各观测量的熵获取标准化训练集中各观测量的权重,从而得到离散量子集和连续量子集的权重,为获取工业控制系统序列攻击的检测结果提供依据。
在上述各实施例的基础上,通过以下公式计算标准化训练集中各观测量的熵,即
其中,Ej为第j观测量的熵;pij为标准化训练集中第i时刻第j观测量的取值占第j观测量的取值之和的比值;n为训练集中第j观测量的取值个数。
其中,通过以下公式确定所述离散量子集的权重以及所述连续量子集的权重,即
其中,W(Tl)为第l类子集的权重,离散量子集为d类子集,连续量子集为c类子集;k为训练集中观测量的数量;kl为第l类子集中观测量的数量,w(Olj)为第l类子集中第j观测量Oj的权重,且w(Oj)=(1-Ej)/(k-∑Ej)。
具体地,在得到标准化训练集Z中每个观测量的取值占该观测量的取值之和的比值后,计算标准化训练集Z中各观测量的熵,即其中当pij=0时然后根据标准化训练集Z中各观测量的熵,计算标准化训练集Z中各观测量的权重,即w(Oj)=(1-Ej)/(k-ΣEj)。
并根据得到的标准化训练集Z中各观测量的权重ω(Oj)、第二离散量子集中观测量的数量k1、训练集中各观测量的数量k、以及第二离散量子集中各观测量的权重ω(Odj),得到离散量子集的权重W(Td),即同理,根据标准化训练集Z中各观测量的权重w(Oj)、第二连续量子集中观测量的数量k2、训练集中各观测量的数量k、以及第二连续量子集中各观测量的权重w(Ocj),得到连续量子集的权重W(Tc),即
然后根据第一匹配概率;P_d和第二匹配概率P_c,结合离散量子集的权重W(Td)和连续量子集的权重W(Tc),得到工业控制系统序列攻击的检测结果。
在上述各实施例的基础上,通过以下公式得到工业控制系统序列攻击的预测值,即
P=W(Tc)×P_c+W(Td)×P_d
其中,P为预测值;W(Td)为离散量子集的权重;W(Tc)为连续量子集的权重;P_d为第一匹配概率;P_c为第二匹配概率;将所述预测值与检测阈值τ进行比较,若所述预测值不小于检测阈值τ,则确认所述工业控制系统正常;否则,确认所述工业控制系统异常,发出警报。
具体地,在得到第一匹配概率P_d和第二匹配概率P_c,以及得到离散量子集的权重W(Td)和连续量子集的权重W(Tc)后,根据公式P=W(Tc)×P_c+W(Td)×P_d,即加权求和法,得到工业控制系统序列攻击的检测值P。然后将该检测值P与检测阈值τ进行比较,若P≥τ,则确认工业控制系统正常;否则,确认工业控制系统异常,发出警报,以使工作人员根据该警报进行排查。
在本发明实施例中,通过加权求和方法将不同类型观测量的匹配概率与权重进行结合,提高了序列攻击检测的精确性。
在上述各实施例的基础上,所述S1还包括:利用取值分类法获取所述测试集中的第一固定量子集;相应地,所述S3还包括:将所述第一固定量子集的取值序列与基于训练集中第二固定量子集形成的合法取值集合进行匹配,并得到匹配结果;若所述匹配结果为正确,则所述工业控制系统正常;若所述匹配结果为错误,则所述工业控制系统异常,发出警报。
具体地,在将测试集中的第一离散量子集St_d和第一连续量子集St_c分别输入对应的隐马尔科夫模型进行检测的同时,还对通过取值分类法获取的测试集中的第一固定量子集St_f进行检测。首先,利用取值分类法获取训练集中第二固定量子集S_f,并根据第二固定量子集S_f中各观测量的取值得到合法取值集合。然后将测试集中第一固定量子集St_f的取值序列与该合法取值集合进行匹配,并根据得到的匹配结果对工业控制系统序列攻击进行检测。若匹配结果为正确,则说明工业控制系统正常,不存在序列攻击;若匹配结果为错误,则说明工业控制系统异常,并发出警报,用户可以根据该警报,对工业控制系统进行分析,查看是否存在序列攻击。
在本发明实施例中,通过将测试集中的第一固定量子集的取值序列与基于训练集中第二固定量子集形成的合法取值集合的匹配结果,来对工业控制系统是否异常进行检测,进而保证了工业控制系统序列攻击检测的全面性。
图4为本发明实施例提供的集群电机系统能耗水平评价设备的结构框图,如图4所示,该设备包括:处理器(processor)401、存储器(memory)402和总线403;
其中,所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
在另一实施例中,提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测值类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种工业控制系统序列攻击检测方法,其特征在于,包括:
S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测量类型,获取所述测试集中的第一连续量子集和第一离散量子集;
S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;
S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述取值分类法包括:
获取取值个数小于2的所有观测量形成固定量子集;
获取取值个数大于预设个数阈值的所有观测量形成连续量子集;以及
获取其余的观测量形成离散量子集;
其中,所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。
3.根据权利要求1或2任一所述的方法,其特征在于,通过以下步骤训练所述隐马尔科夫模型:
获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集,并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集;
根据所述第二离散量子集中的每个离散向量的取值,将所述第二离散量子集转换为离散序列;利用所述离散序列对隐马尔科夫模型进行训练,得到离散隐马尔科夫模型;
对所述第二连续量子集中的每个连续向量的取值进行标准化,形成标准化连续量子集;利用所述标准化连续量子集对隐马尔科夫模型进行训练,得到连续隐马尔科夫模型。
4.根据权利要求3所述的方法,其特征在于,通过以下步骤获取所述离散量子集和所述连续量子集的权重:
对所述训练集进行标准化,计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值;
根据所述比值计算标准化训练集中各观测量的熵,并根据所述标准化训练集中各观测量的熵,获取所述标准化训练集中各观测量的权重;
根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。
5.根据权利要求4所述的方法,其特征在于,通过以下公式计算标准化训练集中各观测量的熵,即
其中,Ej为第j观测量的熵;pij为标准化训练集中第i时刻第j观测量的取值占第j观测量的取值之和的比值;n为训练集中第j观测量的取值个数。
6.根据权利要求5所述的方法,其特征在于,通过以下公式确定所述离散量子集的权重以及所述连续量子集的权重,即
其中,W(Tl)为第l类子集的权重,离散量子集为d类子集,连续量子集为c类子集;k为训练集中观测量的数量;kl为第l类子集中观测量的数量;w(Olj)为第l类子集中第j观测量Oj的权重,且w(Oj)=(1-Ej)/(k-∑Ej)。
7.根据权利要求6所述的方法,其特征在于,通过以下公式得到工业控制系统序列攻击的预测值,即
P=W(Tc)×P_c+W(Td)×P_d
其中,P为预测值;W(Td)为离散量子集的权重;W(Tc)为连续量子集的权重;P_d为第一匹配概率;P_c为第二匹配概率;
将所述预测值与检测阈值τ进行比较,若所述预测值不小于检测阈值τ,则确认所述工业控制系统正常;否则,确认所述工业控制系统异常,发出警报。
8.根据权利要求1所述的方法,其特征在于,所述S1还包括:利用取值分类法获取所述测试集中的第一固定量子集;相应地,
所述S3还包括:将所述第一固定量子集的取值序列与基于训练集中第二固定量子集形成的合法取值集合进行匹配,并得到匹配结果;
若所述匹配结果为正确,则所述工业控制系统正常;若所述匹配结果为错误,则所述工业控制系统异常,发出警报。
9.一种工业控制系统序列攻击检测设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710667223.7A CN107491058B (zh) | 2017-08-07 | 2017-08-07 | 一种工业控制系统序列攻击检测方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710667223.7A CN107491058B (zh) | 2017-08-07 | 2017-08-07 | 一种工业控制系统序列攻击检测方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107491058A CN107491058A (zh) | 2017-12-19 |
| CN107491058B true CN107491058B (zh) | 2019-07-09 |
Family
ID=60645197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710667223.7A Active CN107491058B (zh) | 2017-08-07 | 2017-08-07 | 一种工业控制系统序列攻击检测方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107491058B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109344610B (zh) * | 2018-08-31 | 2020-09-11 | 中国科学院信息工程研究所 | 序列攻击的检测方法及装置 |
| CN111651288B (zh) * | 2020-06-02 | 2023-03-14 | 中电科航空电子有限公司 | 一种arinc628离散量实时传输方法及其应用 |
| CN111988130B (zh) * | 2020-08-18 | 2022-06-07 | 中南大学 | 离散量子密钥分发中针对器件缺陷的攻击检测方法 |
| CN115134162B (zh) * | 2022-07-15 | 2023-05-05 | 西南民族大学 | 一种工业控制系统恶意威胁的检测和补偿方法及电子设备 |
| FR3144328A1 (fr) * | 2022-12-21 | 2024-06-28 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Procédé et dispositif d’identification des risques de cyberattaques |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| US8087092B2 (en) * | 2005-09-02 | 2011-12-27 | Uniloc Usa, Inc. | Method and apparatus for detection of tampering attacks |
| JP2013524305A (ja) * | 2010-03-25 | 2013-06-17 | イルデト カナダ コーポレーション | サイドチャネル攻撃および反復起動攻撃に耐える動的可変タイミング演算パスのシステムおよび方法 |
| CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
| CN106878257A (zh) * | 2016-12-14 | 2017-06-20 | 南京邮电大学 | 具有攻击防护的工业网络闭环控制方法及其架构 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070283429A1 (en) * | 2006-05-30 | 2007-12-06 | A10 Networks Inc. | Sequence number based TCP session proxy |
-
2017
- 2017-08-07 CN CN201710667223.7A patent/CN107491058B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8087092B2 (en) * | 2005-09-02 | 2011-12-27 | Uniloc Usa, Inc. | Method and apparatus for detection of tampering attacks |
| CN101902441A (zh) * | 2009-05-31 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种可实现序列攻击事件检测的入侵检测方法 |
| JP2013524305A (ja) * | 2010-03-25 | 2013-06-17 | イルデト カナダ コーポレーション | サイドチャネル攻撃および反復起動攻撃に耐える動的可変タイミング演算パスのシステムおよび方法 |
| CN106709613A (zh) * | 2015-07-16 | 2017-05-24 | 中国科学院信息工程研究所 | 一种适用于工业控制系统的风险评估方法 |
| CN106878257A (zh) * | 2016-12-14 | 2017-06-20 | 南京邮电大学 | 具有攻击防护的工业网络闭环控制方法及其架构 |
Non-Patent Citations (2)
| Title |
|---|
| Construction of False Sequence Attack Against PLC based Power Control System;Min Xiao等;《Proceedings of the 35th Chinese Control Conference》;20160729;10090-10095 * |
| 工业控制系统入侵检测技术综述;杨安等;《计算机研究与发展》;20161231;第53卷(第9期);2039-2054 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107491058A (zh) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107491058B (zh) | 一种工业控制系统序列攻击检测方法及设备 | |
| WO2023044978A1 (zh) | 基于对抗流模型的机械设备无监督故障诊断方法 | |
| CN107436597B (zh) | 一种基于稀疏过滤和逻辑回归的化工过程故障检测方法 | |
| Hijazi et al. | A Deep Learning Approach for Intrusion Detection System in Industry Network. | |
| CN115378744B (zh) | 一种网络安全测试评估系统及方法 | |
| CN109034140A (zh) | 基于深度学习结构的工业控制网络信号异常检测方法 | |
| CN110375983A (zh) | 基于时间序列分析的阀门故障实时诊断系统及诊断方法 | |
| CN110222765A (zh) | 一种永磁同步电机健康状态监测方法及系统 | |
| CN113660196A (zh) | 一种基于深度学习的网络流量入侵检测方法及装置 | |
| CN106330949A (zh) | 一种基于马尔科夫链的入侵检测方法 | |
| CN110222513A (zh) | 一种线上活动的异常监测方法、装置及存储介质 | |
| Anderka et al. | Automatic ATM Fraud Detection as a Sequence-based Anomaly Detection Problem. | |
| CN114721336A (zh) | 一种仪控系统工艺参数的信息安全事件预警方法 | |
| CN109088744A (zh) | 电力通信网络异常入侵检测方法、装置、设备及存储介质 | |
| CN115060312A (zh) | 一种基于人工智能的建筑材料安全监测系统 | |
| CN113067798A (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
| CN115047848A (zh) | 一种基于pid神经网络的工业控制系统异常检测方法 | |
| CN110337640A (zh) | 用于问题警报聚合的方法和系统 | |
| CN113469247B (zh) | 网络资产异常检测方法 | |
| CN114666117A (zh) | 一种面向电力互联网的网络安全态势度量和预测方法 | |
| Li et al. | Meteorological radar fault diagnosis based on deep learning | |
| Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
| Escobet et al. | Fault diagnosis system based on fuzzy logic: Application to a valve actuator benchmark | |
| CN108761250B (zh) | 一种基于工控设备电压电流的入侵检测方法 | |
| Zhu et al. | Generic process visualization using parametric t-SNE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |