CN108234430A - 一种面向集散控制系统的异常流量监测方法 - Google Patents
一种面向集散控制系统的异常流量监测方法 Download PDFInfo
- Publication number
- CN108234430A CN108234430A CN201611198184.2A CN201611198184A CN108234430A CN 108234430 A CN108234430 A CN 108234430A CN 201611198184 A CN201611198184 A CN 201611198184A CN 108234430 A CN108234430 A CN 108234430A
- Authority
- CN
- China
- Prior art keywords
- state
- factor
- noise
- flow
- represent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种面向集散控制系统的异常流量监测方法,所述方法包括:步骤1)建立基于时间序列分析的隐马尔可夫模型;步骤2)采集网络流量;步骤3)对流量进行预处理;步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计;步骤5)将最优估计值与设定的阈值进行比较,如果大于阈值,则认为网络流量出现异常,否则,转入步骤1)。本发明提出了基于结构时间序列分析的异常流量监测方法,将工业以太网流量分解成不同组分,并辅以状态空间模型,将复杂的网络流量进行分层建模,有效提高了工业网络异常流量检测精度,降低误报率,有效防止蠕虫疫情暴发。
Description
技术领域
本发明属于工业控制信息安全相关领域,特别涉及一种面向集散控制系统的异常监测方法。
背景技术
工业控制系统(ICS)应用是信息技术与行业专业技术紧密结合的大规模控制类系统,以提高工控系统的运行、管理、资源使用效率为目标。随着计算机技术、通信技术和控制技术的发展,传统的控制领域正经历着一场前所未有的变革,开始向网络化方向发展。控制系统的结构从最初的计算机集中控制系统(CCS),发展到了第二代的集散控制系统(DCS)。DCS自1975年问世以来,已经经历了四十多年的发展历程,是经过不断的发展和完善,其功能和性能都得到了巨大的提高,DCS正在向着更加开放、更加标准化、更加产品化的方向发展。目前,随着云计算、物联网技术的深入发展与推广,我国先进制造业自动化生产工艺流程广泛采用的集散控制系统(DCS),正朝着规模化、网络化、智能化方向的技术升级改造快速迈进。
工业控制网络逐步从封闭专有系统转变为开放系统,并大规模采用IT技术、物联网技术;从通信是以孤立的解决方案提供给用户的简单系统转变为集成化的网络系统、并与IT基础设施充分互联的系统;从只有生产部门负责工业通信的运营转变为IT部门与生产部门共同负责自动化网络的运营;在享受IT技术带来的益处的同时,针对工业控制网络系统的安全威胁也在与日俱增。硬件设备及软件应用的互联使得恶意攻击能够很容易地借助于TCP/IP网扩展到其他系统,因此,应用层安全成为了工业控制系统(ICS)的关键。传统的IT安全解决方案不足以应对工业基础设施领域的全新安全需求,一些工业控制产品的安全漏洞通过代码在互联网上广为传播,导致针对工控系统的信息安全攻击呈现出愈演愈烈的发展态势。其中,以工业控制系统应用DCS的安全问题更为突出。
据统计,仅2013年前两个月,境外6747个木马或僵尸病毒入侵了中国境内190万余台主机,其中位于美国的2194台控制服务器控制了中国境内128.7万台主机。伊朗“震网”事件震动了中国,工业控制系统安全引起我国高度重视。事件发生后,工业和信息化部出台了《关于加强工业控制系统信息安全管理的通知》。工业控制系统安全监测与防护技术方面的研究逐渐展开。对工业控制系统后门、恶意代码、漏洞、和利用攻击等方面的研究日益深入。
而对集散控制系统(DCS)的异常监测,因各行业工艺流程的多样性与复杂性,所采用的集散控制系统结构、组件、接口都不一致,且差异较大。国内对集散控制系统的异常监控技术的研究,受各行业技术水平的制约,发展极不平衡,市场中相关产品通用性不高,定制开发、源代码等二次开发,造成重复性人力投资成本的增加。影响和制约着技术解决方案的制定,因此,对集散控制系统(DCS)的异常监测是工业控制系统安全技术领域面临普遍而又复杂的难点问题。
发明内容
本发明针对以上问题,从我国工业控制系统安全的客观需求出发,基于分布式负载均衡及(SOA)体系架构,提出了一种面向集散控制系统(DCS)的异常流量监测方法,能够实现对集散控制系统(DCS)工程师站组态变更、DCS操作员站异常流量等变化的安全监测服务功能,防止蠕虫疫情暴发。
为了实现上述目的,本发明提出了一种面向集散控制系统的异常流量监测方法,所述方法包括:
步骤1)建立基于时间序列分析的隐马尔可夫模型;
步骤2)采集网络流量;
步骤3)对流量进行预处理;
步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计;
步骤5)将最优估计值与设定的阈值进行比较,如果大于阈值,则认为网络流量出现异常,否则,转入步骤1)。
上述技术方案中,所述步骤1)具体包括:
基于时间序列分析的隐马尔可夫模型为:
Yt=Tt+St+Ct+It
其中,Yt为时间序列,Tt为长期趋势因素,Ct为循环因素,St为季节因素,It为不规则因素;
由于分解得到的因素是不可观测的变量,采用状态空间模型来描述时间结构序列:
状态方程:Xt=φXt-1+ωt,量测方程:Yt=AXt+vt;
Xt为t时刻的状态向量,服从于一阶马尔科夫过程,φ为状态转移矩阵,ωt为系统高斯白噪声,A为量测向量,vt为量测噪声;
结合结构时间序列模型得到:
φT,φC,φS为状态转移矩阵;AT,AS,AC为量测向量,而Tt满足k阶差分方程的约束件:
其中,ξt表示长期趋势因子的状态噪声,表示长期趋势因子的状态噪声方差;为差分因子,选取k=1即Tt=Tt-1+ξt,得到:
φT=I,AT=I,I为单位矩阵
循环因素Ct满足ARMA模型平稳序列,因此,采用p阶自回归模型AR(p)进行拟合:
其中(α1 ... αp)T是AR(P)的参数;ηt表示循环因子的状态噪声,表示循环因子的状态噪声方差;因此
选取AR模型的阶数p从2开始,直到其赤池信息量准则得到最值;
季节因子同样满足方程约束:
其中,ζt表示季节因子的状态噪声,表示季节因子的状态噪声方差;;Bi为后移算子,BiSt=St-i,l为季节周期长度,根据自由相关函数周期性的进行提取,工业控制网络流量季节项分量表示为:
通过确定p和l来确定状态空间的阶数,并通过最大似然法则估计模型的未知的超参数
本发明的优势在于:
本发明提出了基于结构时间序列分析的异常流量监测方法,将工业以太网流量分解成不同组分,并辅以状态空间模型,将复杂的网络流量进行分层建模,有效提高了工业网络异常流量检测精度,降低误报率,有效防止蠕虫疫情暴发。
附图说明
图1为本发明的面向集散控制系统的异常流量监测方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细的说明。
如图1所示,一种面向集散控制系统的异常流量监测方法,所述异常流量是指DCS系统的上位机与控制器之间的网络流量是否发生异常;当异常流量达到某个临界量的时候,即可以判断出蠕虫疫情暴发;所述方法包括:
步骤1)建立基于时间序列分析的隐马尔可夫模型;
大规模网络流量异常发现技术的本质是在寻找网络自身特征的的异常变化,即在一定的时间和空间范围内,网络自身的特征会发生明显特性的变化,甚至是剧烈的改变。由于未知恶意代码的在工业网络上的传播具有相当的复杂性和行为不确定性,所以对其监测有一定的难度。
本发明采用一种基于模糊自回归隐马尔科夫模型(Auto-regressive hiddenMarkov model ARHMM)的集散控制系统异常数据监测算法。以隐马尔可夫模型(HiddenMarkovmodel,HMM)来表示输入输出对应关系,基于时间序列分析的流量异常检测方案,采用状态空间模型辅助结构时间序列,将工业以太网流量按照实时流、非实时流和突发流数据流形式分解。以提高流量特性,抵抗冲击性流量。
其中结构时间序列模型为:
Yt=Tt+St+Ct+It
其中,Yt为时间序列,Tt为长期趋势因素,Ct为循环因素,St为季节因素,It为不规则因素;
由于分解得到的因素是不可观测的变量,采用状态空间模型来描述时间结构序列:
状态方程:Xt=φXt-1+ωt,量测方程:Yt=AXt+vt;
Xt为t时刻的状态向量,服从于一阶马尔科夫过程,φ为状态转移矩阵,ωt为系统高斯白噪声,A为量测向量,vt为量测噪声;
结合结构时间序列模型得到:
φT,φC,φS为状态转移矩阵;AT,AS,AC为量测向量,而Tt满足k阶差分方程的约束件:
其中,ξt表示长期趋势因子的状态噪声,表示长期趋势因子的状态噪声方差;为差分因子,选取k=1即Tt=Tt-1+ξt,得到:
φT=I,AT=I,I为单位矩阵
循环因素Ct满足ARMA模型平稳序列,因此,采用p阶自回归模型AR(p)进行拟合:
其中(α1 ... αp)T是AR(P)的参数;ηt表示循环因子的状态噪声,表示循环因子的状态噪声方差;因此
选取AR模型的阶数p从2开始,直到其赤池信息量准则得到最值;
季节因子同样满足方程约束:
其中,ζt表示季节因子的状态噪声,表示季节因子的状态噪声方差;;Bi为后移算子,BiSt=St-i,l为季节周期长度,根据自由相关函数周期性的进行提取,工业控制网络流量季节项分量表示为:
通过确定p和l来确定状态空间的阶数,并通过最大似然法则估计模型的未知的超参数
步骤2)采集网络流量;
步骤3)对流量进行预处理;
步骤4)利用卡尔曼滤波的递推算法对状态向量的各个分量进行最优估计、平滑和预测;
预测过程噪声w(n)~N(0,Q),测量噪声v(n)~N(0,R);计算输出分为预测过程和修正过程如下:预测:求出最小均方误差矩阵;修正:求出误差增益:得到修正值:计算最小均方误差矩阵;
最终得到长期趋势因素、循环因素、季节因素的不规则因素的成分模型;通过卡尔曼滤波算法提高整个模型的模糊性达到自适应。
步骤5)将最优估计值与设定的阈值进行比较,如果大于阈值,则认为网络流量出现异常,否则,转入步骤1)。
Claims (2)
1.一种面向集散控制系统的异常流量监测方法,所述方法包括:
步骤1)建立基于时间序列分析的隐马尔可夫模型;
步骤2)采集网络流量;
步骤3)对流量进行预处理;
步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计;
步骤5)将最优估计值与设定的阈值进行比较,如果大于阈值,则认为网络流量出现异常,否则,转入步骤1)。
2.根据权利要求1所述的面向集散控制系统的异常流量监测方法,其特征在于,所述步骤1)具体包括:
基于时间序列分析的隐马尔可夫模型为:
Yt=Tt+St+Ct+It
其中,Yt为时间序列,Tt为长期趋势因素,Ct为循环因素,St为季节因素,It为不规则因素;
由于分解得到的因素是不可观测的变量,采用状态空间模型来描述时间结构序列:
状态方程:Xt=φXt-1+ωt,量测方程:Yt=AXt+vt;
Xt为t时刻的状态向量,服从于一阶马尔科夫过程,φ为状态转移矩阵,ωt为系统高斯白噪声,A为量测向量,vt为量测噪声;
结合结构时间序列模型得到:
φT,φC,φS为状态转移矩阵;AT,AS,AC为量测向量,而Tt满足k阶差分方程的约束件:
其中,ξt表示长期趋势因子的状态噪声,表示长期趋势因子的状态噪声方差;为差分因子,选取k=1即Tt=Tt-1+ξt,得到:
I为单位矩阵
循环因素Ct满足ARMA模型平稳序列,因此,采用p阶自回归模型AR(p)进行拟合:
其中(α1 … αp)T是AR(P)的参数;ηt表示循环因子的状态噪声,表示循环因子的状态噪声方差;因此
选取AR模型的阶数p从2开始,直到其赤池信息量准则得到最值;
季节因子同样满足方程约束:
其中,ζt表示季节因子的状态噪声,表示季节因子的状态噪声方差;;Bi为后移算子,BiSt=St-i,l为季节周期长度,根据自由相关函数周期性的进行提取,工业控制网络流量季节项分量表示为:
通过确定p和l来确定状态空间的阶数,并通过最大似然法则估计模型的未知的超参数
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611198184.2A CN108234430B (zh) | 2016-12-22 | 2016-12-22 | 一种面向集散控制系统的异常流量监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611198184.2A CN108234430B (zh) | 2016-12-22 | 2016-12-22 | 一种面向集散控制系统的异常流量监测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108234430A true CN108234430A (zh) | 2018-06-29 |
CN108234430B CN108234430B (zh) | 2021-06-25 |
Family
ID=62656142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611198184.2A Active CN108234430B (zh) | 2016-12-22 | 2016-12-22 | 一种面向集散控制系统的异常流量监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108234430B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951462A (zh) * | 2019-03-07 | 2019-06-28 | 中国科学院信息工程研究所 | 一种基于全息建模的应用软件流量异常检测系统及方法 |
CN110740127A (zh) * | 2019-09-26 | 2020-01-31 | 浙江工业大学 | 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法 |
CN111314278A (zh) * | 2019-11-22 | 2020-06-19 | 南京聚铭网络科技有限公司 | 一种基于Ethernet IP工控协议的安全检测方法 |
US20210185086A1 (en) * | 2019-05-30 | 2021-06-17 | Morgan State University | Method and system for intrusion detection |
CN113534731A (zh) * | 2021-07-16 | 2021-10-22 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工控的下装数据安全分析系统及方法 |
CN116723115A (zh) * | 2023-08-08 | 2023-09-08 | 中国电信股份有限公司 | 流量异常处理方法、装置、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
CN101868811A (zh) * | 2007-09-19 | 2010-10-20 | 联合工艺公司 | 用于威胁传播估计的系统和方法 |
US20140222997A1 (en) * | 2013-02-05 | 2014-08-07 | Cisco Technology, Inc. | Hidden markov model based architecture to monitor network node activities and predict relevant periods |
CN105653728A (zh) * | 2016-01-26 | 2016-06-08 | 大连理工大学 | 基于双层模型体系的无线传感网的数据采集方法 |
CN106028384A (zh) * | 2016-07-01 | 2016-10-12 | 广东工业大学 | 一种无线中继传感器网络最优传输策略方法 |
-
2016
- 2016-12-22 CN CN201611198184.2A patent/CN108234430B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101868811A (zh) * | 2007-09-19 | 2010-10-20 | 联合工艺公司 | 用于威胁传播估计的系统和方法 |
CN101651568A (zh) * | 2009-07-01 | 2010-02-17 | 青岛农业大学 | 一种网络流量预测和异常检测方法 |
US20140222997A1 (en) * | 2013-02-05 | 2014-08-07 | Cisco Technology, Inc. | Hidden markov model based architecture to monitor network node activities and predict relevant periods |
CN105653728A (zh) * | 2016-01-26 | 2016-06-08 | 大连理工大学 | 基于双层模型体系的无线传感网的数据采集方法 |
CN106028384A (zh) * | 2016-07-01 | 2016-10-12 | 广东工业大学 | 一种无线中继传感器网络最优传输策略方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109951462A (zh) * | 2019-03-07 | 2019-06-28 | 中国科学院信息工程研究所 | 一种基于全息建模的应用软件流量异常检测系统及方法 |
US20210185086A1 (en) * | 2019-05-30 | 2021-06-17 | Morgan State University | Method and system for intrusion detection |
US11595434B2 (en) * | 2019-05-30 | 2023-02-28 | Morgan State University | Method and system for intrusion detection |
CN110740127A (zh) * | 2019-09-26 | 2020-01-31 | 浙江工业大学 | 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法 |
CN111314278A (zh) * | 2019-11-22 | 2020-06-19 | 南京聚铭网络科技有限公司 | 一种基于Ethernet IP工控协议的安全检测方法 |
CN113534731A (zh) * | 2021-07-16 | 2021-10-22 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于工控的下装数据安全分析系统及方法 |
CN116723115A (zh) * | 2023-08-08 | 2023-09-08 | 中国电信股份有限公司 | 流量异常处理方法、装置、电子设备及存储介质 |
CN116723115B (zh) * | 2023-08-08 | 2023-11-07 | 中国电信股份有限公司 | 流量异常处理方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108234430B (zh) | 2021-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108234430A (zh) | 一种面向集散控制系统的异常流量监测方法 | |
Guo et al. | Robust online time series prediction with recurrent neural networks | |
Ge et al. | Mixture probabilistic PCR model for soft sensing of multimode processes | |
US10929529B2 (en) | Cyber physical attack detection | |
Vrbik et al. | Analytic calculations for the EM algorithm for multivariate skew-t mixture models | |
Zhang et al. | Output reachable set synthesis of event-triggered control for singular Markov jump systems under multiple cyber-attacks | |
CN102469103B (zh) | 基于bp神经网络的木马事件预测方法 | |
CN109889391B (zh) | 一种基于组合模型的网络短时流量预测方法 | |
CN103905440A (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
Ntalampiras et al. | A fault diagnosis system for interdependent critical infrastructures based on HMMs | |
CN115378988B (zh) | 基于知识图谱的数据访问异常检测及控制方法、装置 | |
US20170193371A1 (en) | Predictive analytics with stream database | |
CN103455842A (zh) | 贝叶斯算法和MapReduce相结合的信任度量方法 | |
CN109327480A (zh) | 一种基于神经网络和贝叶斯网络攻击图的多步攻击场景挖掘方法 | |
CN112433518A (zh) | 一种基于循环神经网络的工业控制系统入侵检测方法 | |
Jacquemart et al. | Adaptive interacting particle system algorithm for aircraft conflict probability estimation | |
Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
Khan | Linear prediction approaches to compensation of missing measurements in kalman filtering | |
Xiong et al. | Construction of approximate reasoning model for dynamic CPS network and system parameter identification | |
CN107273692A (zh) | 一种传感器感知能力受限的随机集理论的分布式融合方法 | |
CN104933052A (zh) | 数据真实值的估计方法及数据真实值估计装置 | |
Andriamanalimanana et al. | Symmetric kullback-leibler divergence of softmaxed distributions for anomaly scores | |
Yang et al. | Root Cause Location Based on Prophet and Kernel Density Estimation | |
Zeileis et al. | party with the mob: Model-Based Recursive Partitioning in R | |
Shen et al. | Long-term multivariate time series forecasting in data centers based on multi-factor separation evolutionary spatial–temporal graph neural networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |