CN108234430A - 一种面向集散控制系统的异常流量监测方法 - Google Patents

Abstract

本发明公开了一种面向集散控制系统的异常流量监测方法，所述方法包括：步骤1)建立基于时间序列分析的隐马尔可夫模型；步骤2)采集网络流量；步骤3)对流量进行预处理；步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计；步骤5)将最优估计值与设定的阈值进行比较，如果大于阈值，则认为网络流量出现异常，否则，转入步骤1)。本发明提出了基于结构时间序列分析的异常流量监测方法，将工业以太网流量分解成不同组分，并辅以状态空间模型，将复杂的网络流量进行分层建模，有效提高了工业网络异常流量检测精度，降低误报率，有效防止蠕虫疫情暴发。

Description

一种面向集散控制系统的异常流量监测方法

技术领域

本发明属于工业控制信息安全相关领域，特别涉及一种面向集散控制系统的异常监测方法。

背景技术

工业控制系统(ICS)应用是信息技术与行业专业技术紧密结合的大规模控制类系统，以提高工控系统的运行、管理、资源使用效率为目标。随着计算机技术、通信技术和控制技术的发展，传统的控制领域正经历着一场前所未有的变革，开始向网络化方向发展。控制系统的结构从最初的计算机集中控制系统(CCS)，发展到了第二代的集散控制系统(DCS)。DCS自1975年问世以来，已经经历了四十多年的发展历程，是经过不断的发展和完善，其功能和性能都得到了巨大的提高，DCS正在向着更加开放、更加标准化、更加产品化的方向发展。目前，随着云计算、物联网技术的深入发展与推广，我国先进制造业自动化生产工艺流程广泛采用的集散控制系统(DCS)，正朝着规模化、网络化、智能化方向的技术升级改造快速迈进。

工业控制网络逐步从封闭专有系统转变为开放系统，并大规模采用IT技术、物联网技术；从通信是以孤立的解决方案提供给用户的简单系统转变为集成化的网络系统、并与IT基础设施充分互联的系统；从只有生产部门负责工业通信的运营转变为IT部门与生产部门共同负责自动化网络的运营；在享受IT技术带来的益处的同时，针对工业控制网络系统的安全威胁也在与日俱增。硬件设备及软件应用的互联使得恶意攻击能够很容易地借助于TCP/IP网扩展到其他系统，因此，应用层安全成为了工业控制系统(ICS)的关键。传统的IT安全解决方案不足以应对工业基础设施领域的全新安全需求，一些工业控制产品的安全漏洞通过代码在互联网上广为传播，导致针对工控系统的信息安全攻击呈现出愈演愈烈的发展态势。其中，以工业控制系统应用DCS的安全问题更为突出。

据统计，仅2013年前两个月，境外6747个木马或僵尸病毒入侵了中国境内190万余台主机，其中位于美国的2194台控制服务器控制了中国境内128.7万台主机。伊朗“震网”事件震动了中国，工业控制系统安全引起我国高度重视。事件发生后，工业和信息化部出台了《关于加强工业控制系统信息安全管理的通知》。工业控制系统安全监测与防护技术方面的研究逐渐展开。对工业控制系统后门、恶意代码、漏洞、和利用攻击等方面的研究日益深入。

而对集散控制系统(DCS)的异常监测，因各行业工艺流程的多样性与复杂性，所采用的集散控制系统结构、组件、接口都不一致，且差异较大。国内对集散控制系统的异常监控技术的研究，受各行业技术水平的制约，发展极不平衡，市场中相关产品通用性不高，定制开发、源代码等二次开发，造成重复性人力投资成本的增加。影响和制约着技术解决方案的制定，因此，对集散控制系统(DCS)的异常监测是工业控制系统安全技术领域面临普遍而又复杂的难点问题。

发明内容

本发明针对以上问题，从我国工业控制系统安全的客观需求出发，基于分布式负载均衡及(SOA)体系架构，提出了一种面向集散控制系统(DCS)的异常流量监测方法，能够实现对集散控制系统(DCS)工程师站组态变更、DCS操作员站异常流量等变化的安全监测服务功能，防止蠕虫疫情暴发。

为了实现上述目的，本发明提出了一种面向集散控制系统的异常流量监测方法，所述方法包括：

步骤1)建立基于时间序列分析的隐马尔可夫模型；

步骤2)采集网络流量；

步骤3)对流量进行预处理；

步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计；

步骤5)将最优估计值与设定的阈值进行比较，如果大于阈值，则认为网络流量出现异常，否则，转入步骤1)。

上述技术方案中，所述步骤1)具体包括:

基于时间序列分析的隐马尔可夫模型为：

Y_t＝T_t+S_t+C_t+I_t

其中，Y_t为时间序列，T_t为长期趋势因素，C_t为循环因素，S_t为季节因素，I_t为不规则因素；

由于分解得到的因素是不可观测的变量，采用状态空间模型来描述时间结构序列：

状态方程：X_t＝φX_t-1+ω_t，量测方程：Y_t＝AX_t+v_t；

X_t为t时刻的状态向量，服从于一阶马尔科夫过程，φ为状态转移矩阵，ω_t为系统高斯白噪声，A为量测向量，v_t为量测噪声；

结合结构时间序列模型得到：

φ_T，φ_C，φ_S为状态转移矩阵；A_T，A_S，A_C为量测向量，而T_t满足k阶差分方程的约束件：

其中，ξ_t表示长期趋势因子的状态噪声，表示长期趋势因子的状态噪声方差；为差分因子，选取k＝1即T_t＝T_t-1+ξ_t，得到：

φ_T＝I,A_T＝I,I为单位矩阵

循环因素C_t满足ARMA模型平稳序列，因此，采用p阶自回归模型AR(p)进行拟合：

其中(α₁ ... α_p)^T是AR(P)的参数；η_t表示循环因子的状态噪声，表示循环因子的状态噪声方差；因此

选取AR模型的阶数p从2开始，直到其赤池信息量准则得到最值；

季节因子同样满足方程约束：

其中，ζ_t表示季节因子的状态噪声，表示季节因子的状态噪声方差；；Bⁱ为后移算子，BⁱS_t＝S_t-i，l为季节周期长度，根据自由相关函数周期性的进行提取，工业控制网络流量季节项分量表示为：

通过确定p和l来确定状态空间的阶数，并通过最大似然法则估计模型的未知的超参数

本发明的优势在于：

本发明提出了基于结构时间序列分析的异常流量监测方法，将工业以太网流量分解成不同组分，并辅以状态空间模型，将复杂的网络流量进行分层建模，有效提高了工业网络异常流量检测精度，降低误报率，有效防止蠕虫疫情暴发。

附图说明

图1为本发明的面向集散控制系统的异常流量监测方法的流程图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细的说明。

如图1所示，一种面向集散控制系统的异常流量监测方法，所述异常流量是指DCS系统的上位机与控制器之间的网络流量是否发生异常；当异常流量达到某个临界量的时候，即可以判断出蠕虫疫情暴发；所述方法包括：

步骤1)建立基于时间序列分析的隐马尔可夫模型；

大规模网络流量异常发现技术的本质是在寻找网络自身特征的的异常变化，即在一定的时间和空间范围内，网络自身的特征会发生明显特性的变化，甚至是剧烈的改变。由于未知恶意代码的在工业网络上的传播具有相当的复杂性和行为不确定性，所以对其监测有一定的难度。

本发明采用一种基于模糊自回归隐马尔科夫模型(Auto-regressive hiddenMarkov model ARHMM)的集散控制系统异常数据监测算法。以隐马尔可夫模型(HiddenMarkovmodel,HMM)来表示输入输出对应关系，基于时间序列分析的流量异常检测方案，采用状态空间模型辅助结构时间序列，将工业以太网流量按照实时流、非实时流和突发流数据流形式分解。以提高流量特性，抵抗冲击性流量。

其中结构时间序列模型为：

Y_t＝T_t+S_t+C_t+I_t

其中，Y_t为时间序列，T_t为长期趋势因素，C_t为循环因素，S_t为季节因素，I_t为不规则因素；

由于分解得到的因素是不可观测的变量，采用状态空间模型来描述时间结构序列：

状态方程：X_t＝φX_t-1+ω_t，量测方程：Y_t＝AX_t+v_t；

X_t为t时刻的状态向量，服从于一阶马尔科夫过程，φ为状态转移矩阵，ω_t为系统高斯白噪声，A为量测向量，v_t为量测噪声；

结合结构时间序列模型得到：

φ_T，φ_C，φ_S为状态转移矩阵；A_T，A_S，A_C为量测向量，而T_t满足k阶差分方程的约束件：

其中，ξ_t表示长期趋势因子的状态噪声，表示长期趋势因子的状态噪声方差；为差分因子，选取k＝1即T_t＝T_t-1+ξ_t，得到：

φ_T＝I,A_T＝I,I为单位矩阵

循环因素C_t满足ARMA模型平稳序列，因此，采用p阶自回归模型AR(p)进行拟合：

其中(α₁ ... α_p)^T是AR(P)的参数；η_t表示循环因子的状态噪声，表示循环因子的状态噪声方差；因此

选取AR模型的阶数p从2开始，直到其赤池信息量准则得到最值；

季节因子同样满足方程约束：

其中，ζ_t表示季节因子的状态噪声，表示季节因子的状态噪声方差；；Bⁱ为后移算子，BⁱS_t＝S_t-i，l为季节周期长度，根据自由相关函数周期性的进行提取，工业控制网络流量季节项分量表示为：

通过确定p和l来确定状态空间的阶数，并通过最大似然法则估计模型的未知的超参数

步骤2)采集网络流量；

步骤3)对流量进行预处理；

步骤4)利用卡尔曼滤波的递推算法对状态向量的各个分量进行最优估计、平滑和预测；

预测过程噪声w(n)～N(0,Q)，测量噪声v(n)～N(0,R)；计算输出分为预测过程和修正过程如下：预测：求出最小均方误差矩阵；修正：求出误差增益：得到修正值：计算最小均方误差矩阵；

最终得到长期趋势因素、循环因素、季节因素的不规则因素的成分模型；通过卡尔曼滤波算法提高整个模型的模糊性达到自适应。

步骤5)将最优估计值与设定的阈值进行比较，如果大于阈值，则认为网络流量出现异常，否则，转入步骤1)。

Claims (2)

1.一种面向集散控制系统的异常流量监测方法，所述方法包括：

步骤1)建立基于时间序列分析的隐马尔可夫模型；

步骤2)采集网络流量；

步骤3)对流量进行预处理；

步骤4)利用卡尔曼滤波的递推算法对所述模型的状态向量的各个分量进行最优估计；

步骤5)将最优估计值与设定的阈值进行比较，如果大于阈值，则认为网络流量出现异常，否则，转入步骤1)。

2.根据权利要求1所述的面向集散控制系统的异常流量监测方法，其特征在于，所述步骤1)具体包括：

基于时间序列分析的隐马尔可夫模型为：

Y_t＝T_t+S_t+C_t+I_t

其中，Y_t为时间序列，T_t为长期趋势因素，C_t为循环因素，S_t为季节因素，I_t为不规则因素；

由于分解得到的因素是不可观测的变量，采用状态空间模型来描述时间结构序列：

状态方程：X_t＝φX_t-1+ω_t，量测方程：Y_t＝AX_t+v_t；

X_t为t时刻的状态向量，服从于一阶马尔科夫过程，φ为状态转移矩阵，ω_t为系统高斯白噪声，A为量测向量，v_t为量测噪声；

结合结构时间序列模型得到：

φ_T，φ_C，φ_S为状态转移矩阵；A_T，A_S，A_C为量测向量，而T_t满足k阶差分方程的约束件：

其中，ξ_t表示长期趋势因子的状态噪声，表示长期趋势因子的状态噪声方差；为差分因子，选取k＝1即T_t＝T_t-1+ξ_t，得到：

I为单位矩阵

循环因素C_t满足ARMA模型平稳序列，因此，采用p阶自回归模型AR(p)进行拟合：

其中(α₁ … α_p)^T是AR(P)的参数；η_t表示循环因子的状态噪声，表示循环因子的状态噪声方差；因此

选取AR模型的阶数p从2开始，直到其赤池信息量准则得到最值；

季节因子同样满足方程约束：

其中，ζ_t表示季节因子的状态噪声，表示季节因子的状态噪声方差；；Bⁱ为后移算子，BⁱS_t＝S_t-i，l为季节周期长度，根据自由相关函数周期性的进行提取，工业控制网络流量季节项分量表示为：

通过确定p和l来确定状态空间的阶数，并通过最大似然法则估计模型的未知的超参数