CN108803565B - 一种工控系统隐蔽攻击实时检测方法及装置 - Google Patents

一种工控系统隐蔽攻击实时检测方法及装置 Download PDF

Info

Publication number
CN108803565B
CN108803565B CN201810569270.2A CN201810569270A CN108803565B CN 108803565 B CN108803565 B CN 108803565B CN 201810569270 A CN201810569270 A CN 201810569270A CN 108803565 B CN108803565 B CN 108803565B
Authority
CN
China
Prior art keywords
control system
industrial control
time
residual sequence
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810569270.2A
Other languages
English (en)
Other versions
CN108803565A (zh
Inventor
胡堰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology Beijing USTB
Original Assignee
University of Science and Technology Beijing USTB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology Beijing USTB filed Critical University of Science and Technology Beijing USTB
Priority to CN201810569270.2A priority Critical patent/CN108803565B/zh
Publication of CN108803565A publication Critical patent/CN108803565A/zh
Application granted granted Critical
Publication of CN108803565B publication Critical patent/CN108803565B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明提供一种工控系统隐蔽攻击实时检测方法及装置,能够实现隐蔽攻击的实时检测。所述方法包括:获取工控系统在无攻击环境下的正常残差序列的先验正态分布;在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击。本发明适用于工控系统隐蔽攻击实时检测。

Description

一种工控系统隐蔽攻击实时检测方法及装置
技术领域
本发明涉及物理网信息安全技术领域,特别是指一种工控系统隐蔽攻击实时检测方法及装置。
背景技术
工业控制系统(简称“工控系统”,Industrial Control Systems,ICS)目前已经广泛应用于金融、交通、水利、制造、能源、军工等重要领域,是国家关键信息基础设施中的重要组成部分,直接影响国计民生。
近年来,随着工控系统与互联网的不断融合,以及网络空间安全形势日益严峻,针对工控系统的攻击越来越多。2010年的“震网(Stuxnet)”病毒感染伊朗纳坦兹铀浓缩基地中的工业控制程序,控制生产浓缩铀的离心机异常加速,超越设计极限,致使离心机报废、核工厂被迫关闭;2015年“BlackEnergy3”攻击乌克兰电网,伪造继电开关控制指令,断开电路,同时破坏控制系统的网络和控制软件,发起电话DDoS攻击,阻止控制系统恢复和感知电网异常状态,导致22万人失去电力供应;2017年Staggs博士团队在黑客大会上公开通过物理手段连接美国境内无人值守的风力发电机,入侵并控制风电场控制系统。这一系列安全事件表明,工控领域正成为网络空间安全对抗的主战场,保障工控系统安全稳定运行已成为国家政治、军事、经济、社会稳定亟需解决的核心问题之一。
入侵检测(Intrusion Detection System,IDS)是工控系统安全防护的重要手段之一。由于现代工控系统主要采用“互联网-企业网-控制网-现场层”四层架构,因此传统的IT系统入侵检测技术,如网络协议分析、网络流量挖掘等方法可用于检测针对前三层的网络攻击。而现场层与传统IT系统有显著不同,该层与物理世界紧密关联,涉及工控系统、智能传感器、可编程逻辑控制器、主终端与远程终端单元等现场设备。虽然工控系统种类繁多,但绝大多数工控系统具有共性特征,即其动态行为可用关键过程变量表征,且过程变量值在短时间内不会发生大幅跃变,因此基于工业过程数据分析的入侵检测技术应运而生。此类技术主要用于检测针对现场设备的攻击行为,利用过程分析技术预测工控系统的期望行为,再将其与观测行为进行对比,根据两者差异是否超过特定阈值决定是否发出入侵告警。
然而,近年来有研究人员发现了一类针对工控系统的更为隐蔽的攻击行为,能够躲避现有工控入侵检测技术,并给系统造成致命的破坏。隐蔽攻击充分利用绝大多数工控系统动态行为不会在短时间内发生大幅跃变这一共性特征,使工控系统的观测行为与其期望行为非常接近但不完全一致,从而诱导入侵检测系统将此类精心设计的微小偏差当作正常测量误差或噪声,故不对其作任何处理,因此攻击者可隐藏其攻击行为。然而,经过较长时间的累积,攻击者仍可向目标工控系统中注入足够多的错误信息,导致系统崩溃。近几年,针对工控系统的隐蔽攻击逐渐受到重视,国内外研究团队针对隐蔽攻击做了前期的探索,取得了初步的成果,如尽可能降低隐蔽攻击对工控系统的不良影响程度,但目前仍无有效的技术成功检测出隐蔽攻击。
发明内容
本发明要解决的技术问题是提供一种工控系统隐蔽攻击实时检测方法及装置,以解决现有技术所存在的无法检测出工控系统隐蔽攻击的问题。
为解决上述技术问题,本发明实施例提供一种工控系统隐蔽攻击实时检测方法,包括:
获取工控系统在无攻击环境下的正常残差序列的先验正态分布;
在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;
向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;
判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击。
进一步地,所述获取工控系统在无攻击环境下的正常残差序列的先验正态分布包括:
获取工控系统在无攻击环境下的正常残差序列;
利用极大似然估计法估计所述正常残差序列的均值μnor和方差
Figure BDA0001685312420000031
形成所述正常残差序列的先验正态分布
Figure BDA0001685312420000032
其中,均值μnor和方差
Figure BDA0001685312420000033
分别表示为:
Figure BDA0001685312420000034
Figure BDA0001685312420000035
其中,rnor_i表示残差序列rnor中的第i个值,n为残差序列rnor的总长度。
进一步地,在将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列之前,所述方法还包括:
构建工控系统状态空间模型;
根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出;
采集工控系统的观测输出。
进一步地,所述构建工控系统状态空间模型包括:
若工控系统的动态行为可用明确的物理方程式表示,则对物理方程式进行数学推导获取对应的状态空间模型;
若工控系统的动态行为无法用明确的物理方程式描述,则将工控系统置于无攻击环境下运行预设的时间,收集运行过程中工控系统的输入、输出数据,运用系统辨识技术获取工控系统的状态空间模型。
进一步地,所述状态空间模型表示为:
xk=Axk-1+Bukk
yk=Cxk-1+Duk+ek
其中,xk和yk分别表示工控系统在k时刻的状态变量和输出变量,xk-1表示工控系统在k-1时刻的状态变量,εk和ek分别表示k时刻的过程噪声和测量噪声,uk表示工控系统在k时刻的输入变量,A为状态转移矩阵,B为控制输入增益矩阵,C为输出矩阵,D为前馈矩阵。
进一步地,所述根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出包括:
根据构建的工控系统状态空间模型,执行卡尔曼滤波的时间更新方程;其中,所述时间更新方程表示为:
Figure BDA0001685312420000041
Figure BDA00016853124200000410
其中,时间更新方程借助状态转移矩阵A,将工控系统k时刻的后验状态xk映射为k+1时刻的先验状态
Figure BDA0001685312420000042
将k时刻的后验预测误差协方差矩阵Pk映射为k+1时刻的先验预测误差协方差矩阵
Figure BDA0001685312420000043
Qk表示k时刻的过程噪声协方差矩阵,AT和BT中的T表示矩阵转置;
在获取k+1时刻的先验状态
Figure BDA0001685312420000044
后,执行预测方程,利用输出矩阵C预测k+1时刻的期望输出,其中,所述预测方程表示为:
Figure BDA0001685312420000045
在获取k+1时刻的先验预测误差协方差矩阵
Figure BDA0001685312420000046
执行卡尔曼滤波的测量更新方程;其中,所述测量更新方程表示为:
Figure BDA0001685312420000047
Figure BDA00016853124200000411
Figure BDA00016853124200000412
其中,所述测量更新方程利用工控系统k+1时刻的实际观测输出yk+1修正k+1时刻的先验状态
Figure BDA0001685312420000048
获得对应时刻的后验状态xk+1,Kk+1表示k+1时刻的卡尔曼增益矩阵,Rk+1是k+1时刻的测量噪声协方差矩阵,Pk+1表示k+1时刻的后验预测误差协方差矩阵,I为单位矩阵;
迭代执行所述时间更新方程、预测方程、测量更新方程,推动卡尔曼滤波对工控系统期望输出的预测过程。
进一步地,所述待检测残差序列由工控系统的观测输出和期望输出在同一时刻的值相减得到。
进一步地,所述偏态系数表示为:
Figure BDA0001685312420000049
其中,SC表示偏态系数,l为新残差序列的长度,ri为新残差序列中的第i个值,
Figure BDA0001685312420000051
为新残差序列的均值,σr为新残差序列的标准差。
本发明实施例还提供一种工控系统隐蔽攻击实时检测装置,包括:
获取模块,用于获取工控系统在无攻击环境下的正常残差序列的先验正态分布;
对比模块,用于在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;
计算模块,用于向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;
判定模块,用于判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击。
本发明的上述技术方案的有益效果如下:
上述方案中,获取工控系统在无攻击环境下的正常残差序列的先验正态分布;在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算其偏态系数;判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击;这样,根据新残差序列偏态系数的绝对值大小判断工控系统是否遭遇隐蔽攻击,同时,计算新残差序列的偏态系数耗时很短,时效性好,因此能实现隐蔽攻击的实时检测,进一步提升工控系统的安全防护水平。
附图说明
图1为本发明实施例提供的工控系统隐蔽攻击实时检测方法的流程示意图;
图2为本发明实施例提供的工控系统隐蔽攻击实时检测方法的详细流程示意图;
图3为本发明实施例提供的状态空间模型构建流程示意图;
图4为本发明实施例提供的液位控制系统结构示意图;
图5为本发明实施例提供的工控系统隐蔽攻击检测效果示意图;
图6为本发明实施例提供的工控系统隐蔽攻击实时检测装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的无法检测出工控系统隐蔽攻击的问题,提供一种工控系统隐蔽攻击实时检测方法及装置。
实施例一
如图1所示,本发明实施例提供的工控系统隐蔽攻击实时检测方法,包括:
获取工控系统在无攻击环境下的正常残差序列的先验正态分布;
在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;
向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;
判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击。
本发明实施例所述的工控系统隐蔽攻击实时检测方法,获取工控系统在无攻击环境下的正常残差序列的先验正态分布;在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算其偏态系数;判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击;这样,根据新残差序列偏态系数的绝对值大小判断工控系统是否遭遇隐蔽攻击,同时,计算新残差序列的偏态系数耗时很短,时效性好,因此能实现隐蔽攻击的实时检测,进一步提升工控系统的安全防护水平。
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,如图2所示,所述获取工控系统在无攻击环境下的正常残差序列的先验正态分布包括:
获取工控系统在无攻击环境下的正常残差序列;
利用极大似然估计法估计所述正常残差序列的均值μnor和方差
Figure BDA0001685312420000071
形成所述正常残差序列的先验正态分布
Figure BDA0001685312420000072
其中,均值μnor和方差
Figure BDA0001685312420000073
分别表示为:
Figure BDA0001685312420000074
Figure BDA0001685312420000077
其中,rnor_i表示残差序列rnor中的第i个值,n为残差序列rnor的总长度。
本实施例中,将工控系统置于无攻击环境下运行一段时间,收集当前工控系统正常运行过程中的正常残差序列;然后,利用极大似然估计法估计所述正常残差序列的均值μnor和方差
Figure BDA0001685312420000075
形成所述正常残差序列的先验正态分布
Figure BDA0001685312420000076
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,在将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列之前,所述方法还包括:
构建工控系统状态空间模型;
根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出;
采集工控系统的观测输出。
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,如图3所示,所述构建工控系统状态空间模型包括:
若工控系统的动态行为可用明确的物理方程式表示,即工控系统为简单系统,则对物理方程式进行数学推导获取对应的状态空间模型;
若工控系统的动态行为无法用明确的物理方程式描述,即工控系统为复杂系统,则将工控系统置于无攻击环境下运行预设的时间,收集运行过程中工控系统的输入、输出数据,运用系统辨识技术获取工控系统的状态空间模型。
本实施例中,采用状态空间模型描述工控系统的输入、状态以及输出之间的关联关系,所述状态空间模型表示为:
xk=Axk-1+Bukk
yk=Cxk-1+Duk+ek
其中,xk和yk分别表示工控系统在k时刻的状态变量和输出变量,xk-1表示工控系统在k-1时刻的状态变量,εk和ek分别表示k时刻的过程噪声和测量噪声,uk表示工控系统在k时刻的输入变量,A为状态转移矩阵,B为控制输入增益矩阵,C为输出矩阵,D为前馈矩阵。
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,所述根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出包括:
根据构建的工控系统状态空间模型,执行卡尔曼滤波的时间更新方程;其中,所述时间更新方程表示为:
Figure BDA0001685312420000081
Figure BDA0001685312420000089
其中,时间更新方程借助状态转移矩阵A,将工控系统k时刻的后验状态xk映射为k+1时刻的先验状态
Figure BDA0001685312420000082
将k时刻的后验预测误差协方差矩阵Pk映射为k+1时刻的先验预测误差协方差矩阵
Figure BDA0001685312420000083
Qk表示k时刻的过程噪声协方差矩阵,AT和BT中的T表示矩阵转置;
在获取k+1时刻的先验状态
Figure BDA0001685312420000084
后,执行预测方程,利用输出矩阵C预测k+1时刻的期望输出,其中,所述预测方程表示为:
Figure BDA0001685312420000085
在获取k+1时刻的先验预测误差协方差矩阵
Figure BDA0001685312420000086
执行卡尔曼滤波的测量更新方程;其中,所述测量更新方程表示为:
Figure BDA0001685312420000087
Figure BDA00016853124200000810
Figure BDA00016853124200000811
其中,所述测量更新方程利用工控系统k+1时刻的实际观测输出yk+1修正k+1时刻的先验状态
Figure BDA0001685312420000088
获得对应时刻的后验状态xk+1,Kk+1表示k+1时刻的卡尔曼增益矩阵,Rk+1是k+1时刻的测量噪声协方差矩阵,Pk+1表示k+1时刻的后验预测误差协方差矩阵,I为单位矩阵;
迭代执行所述时间更新方程、预测方程、测量更新方程,推动卡尔曼滤波对工控系统期望输出的预测过程。
本实施例中,所述先验状态和后验状态都用于描述工控系统的状态,其中,先验状态指的是在观测到当前时刻工控系统输出值之前,利用之前时刻的所有信息对当前时刻的状态作出的估计,后验状态指的是在观测到当前时刻的输出值后对当前时刻状态的估计,这些是状态空间模型的术语,在本实施例中,右上角有-号的就是先验值,没有-的就是后验值。
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,如图2所示,所述待检测残差序列由工控系统的观测输出和期望输出在同一时刻的值相减得到。
本实施例中,所述待检测残差序列由获取的工控系统的观测输出序列yk和预测的期望输出序列
Figure BDA0001685312420000091
在同一时刻的值相减得到,即
Figure BDA0001685312420000092
形成待检测残差序列{rk}。
在前述工控系统隐蔽攻击实时检测方法的具体实施方式中,进一步地,所述偏态系数表示为:
Figure BDA0001685312420000093
其中,SC表示偏态系数,l为新残差序列的长度,ri为新残差序列中的第i个值,
Figure BDA0001685312420000095
为新残差序列的均值,σr为新残差序列的标准差。
本实施例中,向待检测残差序列中随机插入预设比例α(例如,α=5%)的、人工生成的、符合正常残差先验正态分布的残差值
Figure BDA0001685312420000094
获得新残差序列,计算其偏态系数。
本实施例中,可以通过新残差序列的偏态系数绝对值是否大于预设阈值来判断工控系统是否遭遇隐蔽攻击。当工控系统受到隐蔽攻击时,其输出的新残差序列的偏态系数显著偏离0,因此,如果新残差序列的偏态系数的绝对值超过预设的阈值,则表示检测到隐蔽攻击,从而发出告警信息。
为了更好地理解本发明实施例所述的工控系统隐蔽攻击实时检测方法,对其进行详细说明,如图2所示,所述方法主要包括:工控系统状态空间模型构建及输出预测、待检测残差获取、新残差序列生成、新残差序列偏态系数计算、隐蔽攻击识别步骤。图3给出了工控系统状态空间模型的构建方法,如为简单系统,可从物理方程式中推导出状态空间模型,如为复杂系统,通过系统辨识方法获取状态空间模型。
图4给出了一个典型的工控场景:液位控制系统。该系统主要由输入泵、液体容器、输出泵、液位传感器、可编程逻辑控制器PLC组成。系统正常运行过程中,当容器液位过低时,控制器启动输入泵,向容器内注入液体;当容器液位过高时,控制器关闭输入泵,停止液体注入。在这个系统中实行隐蔽攻击,攻击者持续地小幅度地篡改液位测量值,直至液位高于容器高度而溢出,攻击目标达到。隐蔽攻击检测程序可以嵌入此系统的PLC中,在PLC将传感器测量的模拟量转换为数字量后进行入侵检测。针对此系统的隐蔽攻击检测主要通过以下步骤实现:
步骤1,构建该液位控制系统的状态空间模型。分析该系统为简单系统,系统行为规律可用明确的物理方程式表示:
Figure BDA0001685312420000101
其中,hk+1和hk分别是k+1时刻和k时刻容器内液位高度值,
Figure BDA0001685312420000102
Figure BDA0001685312420000103
分别是k时刻的注入和抽出的液体体积,Area为容器底面积。基于此物理方程式可以得到以下状态空间模型:xk=hk
Figure BDA0001685312420000104
B=[1/Area,-1/Area],A=1,C=1。
步骤2,利用卡尔曼滤波机制对容器内的期望液位进行预测,得到预测值
Figure BDA0001685312420000105
步骤3,隐蔽攻击检测系统根据液位传感器的测量值得到容器内液位的观测值hk,并获取液位残差
Figure BDA0001685312420000106
形成待残差序列{rk}。
步骤4,向待检测残差序列{rk}中随机插入比例为α的、符合当前工控系统残差先验正态分布的、人工生成的残差值,从而形成新残差序列。
步骤5,计算新残差序列的偏态系数,并根据偏态系数的绝对值大小判断是否出现隐蔽攻击行为,如果偏态系数的绝对值超过特定阈值,表示检测到隐蔽攻击,检测系统发出告警信息。
从图5中可以看出,残差的偏态系数取值对隐蔽攻击非常敏感,从隐蔽攻击发生开始,残差的偏态系数曲线由0开始显著上升,当超过特定阈值θ,表示检测到隐蔽攻击,证明了基于残差偏态分析的方法对检测工控现场设备隐蔽攻击的有效性。
实施例二
本发明还提供一种工控系统隐蔽攻击实时检测装置的具体实施方式,由于本发明提供的工控系统隐蔽攻击实时检测装置与前述工控系统隐蔽攻击实时检测方法的具体实施方式相对应,该工控系统隐蔽攻击实时检测装置可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述工控系统隐蔽攻击实时检测方法具体实施方式中的解释说明,也适用于本发明提供的工控系统隐蔽攻击实时检测装置的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
如图6所示,本发明实施例还提供一种工控系统隐蔽攻击实时检测装置,包括:
获取模块11,用于获取工控系统在无攻击环境下的正常残差序列的先验正态分布;
对比模块12,用于在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;
计算模块13,用于向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;
判定模块14,用于判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击。
本发明实施例所述的工控系统隐蔽攻击实时检测装置,获取工控系统在无攻击环境下的正常残差序列的先验正态分布;在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算其偏态系数;判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击;这样,根据新残差序列偏态系数的绝对值大小判断工控系统是否遭遇隐蔽攻击,同时,计算新残差序列的偏态系数耗时很短,时效性好,因此能实现隐蔽攻击的实时检测,进一步提升工控系统的安全防护水平。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (7)

1.一种工控系统隐蔽攻击实时检测方法,其特征在于,包括:
获取工控系统在无攻击环境下的正常残差序列的先验正态分布;
在攻击检测过程中,将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列;
向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值,得到新残差序列,计算所述新残差序列的偏态系数;
判断所述偏态系数的绝对值是否大于预设的阈值,若大于,则工控系统遭遇隐蔽攻击,否则,工控系统没有遭遇隐蔽攻击;
其中,所述获取工控系统在无攻击环境下的正常残差序列的先验正态分布包括:
获取工控系统在无攻击环境下的正常残差序列;
利用极大似然估计法估计所述正常残差序列的均值μnor和方差
Figure FDA0002420801210000011
形成所述正常残差序列的先验正态分布
Figure FDA0002420801210000012
其中,均值μnor和方差
Figure FDA0002420801210000013
分别表示为:
Figure FDA0002420801210000014
Figure FDA0002420801210000015
其中,rnor_i表示残差序列rnor中的第i个值,n为残差序列rnor的总长度。
2.根据权利要求1所述的工控系统隐蔽攻击实时检测方法,其特征在于,在将工控系统同一时刻的观测输出与期望输出进行对比,得到待检测残差序列之前,所述方法还包括:
构建工控系统状态空间模型;
根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出;
采集工控系统的观测输出。
3.根据权利要求2所述的工控系统隐蔽攻击实时检测方法,其特征在于,所述构建工控系统状态空间模型包括:
若工控系统的动态行为可用明确的物理方程式表示,则对物理方程式进行数学推导获取对应的状态空间模型;
若工控系统的动态行为无法用明确的物理方程式描述,则将工控系统置于无攻击环境下运行预设的时间,收集运行过程中工控系统的输入、输出数据,运用系统辨识技术获取工控系统的状态空间模型。
4.根据权利要求3所述的工控系统隐蔽攻击实时检测方法,其特征在于,所述状态空间模型表示为:
xk=Axk-1+Bukk
yk=Cxk-1+Duk+ek
其中,xk和yk分别表示工控系统在k时刻的状态变量和输出变量,xk-1表示工控系统在k-1时刻的状态变量,εk和ek分别表示k时刻的过程噪声和测量噪声,uk表示工控系统在k时刻的输入变量,A为状态转移矩阵,B为控制输入增益矩阵,C为输出矩阵,D为前馈矩阵。
5.根据权利要求4所述的工控系统隐蔽攻击实时检测方法,其特征在于,所述根据构建的工控系统状态空间模型,利用卡尔曼滤波预测工控系统的期望输出包括:
根据构建的工控系统状态空间模型,执行卡尔曼滤波的时间更新方程;其中,所述时间更新方程表示为:
Figure FDA0002420801210000021
Figure FDA0002420801210000022
其中,时间更新方程借助状态转移矩阵A,将工控系统k时刻的后验状态xk映射为k+1时刻的先验状态
Figure FDA0002420801210000023
将k时刻的后验预测误差协方差矩阵Pk映射为k+1时刻的先验预测误差协方差矩阵
Figure FDA0002420801210000024
Qk表示k时刻的过程噪声协方差矩阵,AT和BT中的T表示矩阵转置;
在获取k+1时刻的先验状态
Figure FDA0002420801210000025
后,执行预测方程,利用输出矩阵C预测k+1时刻的期望输出,其中,所述预测方程表示为:
Figure FDA0002420801210000026
在获取k+1时刻的先验预测误差协方差矩阵
Figure FDA0002420801210000027
执行卡尔曼滤波的测量更新方程;其中,所述测量更新方程表示为:
Figure FDA0002420801210000031
Figure FDA0002420801210000032
Figure FDA0002420801210000033
其中,所述测量更新方程利用工控系统k+1时刻的实际观测输出yk+1修正k+1时刻的先验状态
Figure FDA0002420801210000034
获得对应时刻的后验状态xk+1,Kk+1表示k+1时刻的卡尔曼增益矩阵,Rk+1是k+1时刻的测量噪声协方差矩阵,Pk+1表示k+1时刻的后验预测误差协方差矩阵,I为单位矩阵;
迭代执行所述时间更新方程、预测方程、测量更新方程,推动卡尔曼滤波对工控系统期望输出的预测过程。
6.根据权利要求1所述的工控系统隐蔽攻击实时检测方法,其特征在于,所述待检测残差序列由工控系统的观测输出和期望输出在同一时刻的值相减得到。
7.根据权利要求1所述的工控系统隐蔽攻击实时检测方法,其特征在于,所述偏态系数表示为:
Figure FDA0002420801210000035
其中,SC表示偏态系数,l为新残差序列的长度,ri为新残差序列中的第i个值,
Figure FDA0002420801210000036
为新残差序列的均值,σr为新残差序列的标准差。
CN201810569270.2A 2018-06-05 2018-06-05 一种工控系统隐蔽攻击实时检测方法及装置 Active CN108803565B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810569270.2A CN108803565B (zh) 2018-06-05 2018-06-05 一种工控系统隐蔽攻击实时检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810569270.2A CN108803565B (zh) 2018-06-05 2018-06-05 一种工控系统隐蔽攻击实时检测方法及装置

Publications (2)

Publication Number Publication Date
CN108803565A CN108803565A (zh) 2018-11-13
CN108803565B true CN108803565B (zh) 2020-05-19

Family

ID=64088578

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810569270.2A Active CN108803565B (zh) 2018-06-05 2018-06-05 一种工控系统隐蔽攻击实时检测方法及装置

Country Status (1)

Country Link
CN (1) CN108803565B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111679657A (zh) * 2020-06-23 2020-09-18 中国核动力研究设计院 一种基于工控设备信号的攻击检测方法及系统
CN112019526B (zh) * 2020-08-11 2021-08-13 北京航空航天大学 一种基于多特征融合的期望轨迹信号攻击检测方法
CN112612269B (zh) * 2020-12-14 2021-11-12 北京理工大学 针对麦克纳姆轮小车的隐蔽攻击策略获取方法
CN114928497A (zh) * 2022-06-01 2022-08-19 广东石油化工学院 一种基于多粒度特征的身份认证方法
CN115442160B (zh) * 2022-11-08 2023-02-21 山东省计算中心(国家超级计算济南中心) 差分隐私保护下的网络化系统数据隐蔽攻击检测方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015185071A1 (en) * 2014-06-04 2015-12-10 Giesecke & Devrient Gmbh Method for enhanced security of computational device with multiple cores
CN104202329B (zh) * 2014-09-12 2018-01-26 北京神州绿盟信息安全科技股份有限公司 DDoS攻击检测方法和装置
CN104573510B (zh) * 2015-02-06 2017-08-04 西南科技大学 一种智能电网恶意数据注入攻击及检测方法
CN107808105A (zh) * 2017-10-18 2018-03-16 南京邮电大学 一种智能电网中基于预测的虚假数据检测方法
CN107819785B (zh) * 2017-11-28 2020-02-18 东南大学 一种面向电力系统虚假数据注入攻击的双层防御方法
CN107992746B (zh) * 2017-12-14 2021-06-25 华中师范大学 恶意行为挖掘方法及装置
CN108388795A (zh) * 2018-02-11 2018-08-10 浙江工业大学 一种基于lstm检测器的对抗攻击防御方法

Also Published As

Publication number Publication date
CN108803565A (zh) 2018-11-13

Similar Documents

Publication Publication Date Title
CN108803565B (zh) 一种工控系统隐蔽攻击实时检测方法及装置
CN108388233B (zh) 一种工控现场设备隐蔽攻击检测方法
Kurt et al. Online cyber-attack detection in smart grid: A reinforcement learning approach
Chen et al. A novel online detection method of data injection attack against dynamic state estimation in smart grid
An et al. Data integrity attack in dynamic state estimation of smart grid: Attack model and countermeasures
CN111079271B (zh) 一种基于系统残差指纹的工业信息物理系统攻击检测方法
CN113765880B (zh) 一种基于时空关联性的电力系统网络攻击检测方法
CN114938287B (zh) 一种融合业务特征的电力网络异常行为检测方法及装置
Hallaji et al. A stream learning approach for real-time identification of false data injection attacks in cyber-physical power systems
Ahmed et al. Process skew: Fingerprinting the process for anomaly detection in industrial control systems
Deng et al. Detecting intelligent load redistribution attack based on power load pattern learning in cyber-physical power systems
CN115052304A (zh) 基于gcn-lstm的工业传感网络异常数据检测方法
CN113009817B (zh) 一种基于控制器输出状态安全熵的工控系统入侵检测方法
Hong et al. $ R $-print: A system residuals-based fingerprinting for attack detection in industrial cyber-physical systems
CN110378111B (zh) 针对工业控制系统隐蔽攻击的入侵检测方法及检测系统
CN117235600A (zh) 一种用户异常行为检测方法及系统
Feng et al. Stochastic games for power grid coordinated defence against coordinated attacks
CN114154146A (zh) 一种工控系统隐蔽攻击检测方法及装置
Li et al. Data-driven false data injection attacks on state estimation in smart grid
CN114553606A (zh) 一种工业控制网络入侵检测方法和系统
He et al. Detecting zero-day controller hijacking attacks on the power-grid with enhanced deep learning
CN107493259A (zh) 一种网络安全控制系统
Ran et al. A Robust Deep Q-Network Based Attack Detection Approach in Power Systems
Li et al. Robust H∞ cyber-attacks estimation for control systems
Li et al. Improved Wasserstein generative adversarial networks defense method against data integrity attack on smart grid

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant