CN112202736A - 基于统计学习和深度学习的工业控制系统通信网络异常分类方法 - Google Patents

Abstract

本发明公开了一种基于统计学习和深度学习的工业控制系统(ICS)通信网络异常分类方法。该方法基于大数据量的工业控制系统通信网络正常运行时的流量，设计LSTM深度学习结构参数并进行建模分析。通过分析结合前期基于SARIMA在线统计学习模型所生成的实时通信流量数据阈值，设计关联算法分析背景流量与实时流量之间的数值关系。根据ICS网络异常事件分类算法对ICS通信网络异常进行具体分类。本发明以浙江省某工控安全虚实结合的靶场测试台进行实验分析，同时在实验室环境搭建实物仿真平台进行验证实验，并给出了详细的实例验证其算法的可靠性和准确性。

Description

基于统计学习和深度学习的工业控制系统通信网络异常分类 方法

技术领域

本发明涉及工业控制系统网络异常检测，尤其是涉及一种基于统计学习和深度学习的工业控制系统通信流量异常分类方法，属于工业信息安全检测领域。

背景技术

能源、炼化和交通等关键基础设施是国家稳定运行的神经中枢，是我国网络安全的重中之重。随着国家大型基础设备(智能变电站，智能化工流程工业系统，工业分布式控制系统)的自动化，互联化以及智能化建设的推进，其网络空间安全问题日益凸显。近年来，一系列针对国家关键基础设施的网络攻击造成了极大的国民经济损失和对社会不可逆的破坏。这些顶尖黑客通过更隐蔽，更高效，杀伤力更大的入侵方式频繁入侵枢纽变电站，流程化工业系统甚至核电站的通信网络。目前，针对国家关键基础设施网络系统的防御与加固已经上升到国家战略层面，而通信流量分析则是工业系统安全问题公认最有前景的解决方案。通信流量智能化分析是将传统互联网领域的安全解决方案与现代化的电力通信网络和工业控制系统特性有机结合的交叉学科解决方案。通过流量分析技术提取工业控制系统运行中的网络异常事件，采用基于统计学习和深度学习相结合的方法可以达到对异常事件精准定位，定性以及定量分析，并从原理结构上对其进行详细分类。

根据相关报告和文献，所有针对工业系统的攻击都会在通信网络上有所体现。大多数的工控网络攻击都会导致相关的通信网络受损，不同的攻击类型导致网络受损的程度和位置会有所不同。以“Blackenergy”为主导的组合拳式的攻击以及一系列恶意代码注入会导致通信网络瘫痪，关键信道被阻塞，数据采集与监控(SCADA)系统被操纵，控制系统迟滞恢复与状态致盲等现象。由于ICS中的数据流量表现出不同的流量模式和类似于互联网流量的特征，因此可以通过生成数学模型加以分析，开发和理解ICS数据流量的特征。对于ICS通信流量这种复杂时间序列，一般采用回归算法进行建模及统计学分析。对于ICS通信网络异常分析及事件分类，一般采用传统的机器学习算法对异常事件进行离线分析与建模。目前的ICS异常检测算法无法对实时的异常进行精准定位，且存在较高的误报率。现有的ICS异常事件分类模型具有算法复杂程度高，对分类的原理解释性不强以及对ICS的典型网络异常分类的准确性不高的缺陷。且异常事件的分类方式一般为基于机器学习的离线分类方式，不能实时对采集的ICS通信流量进行动态分析并跟踪异常事件的源头，最后返回异常事件的种类。由于无法对ICS异常事件追根溯源，因此导致运维人员无法对ICS网络状况进行实时态势感知及预警，同时也无法采用对应的网络防御措施对其进行安全审计与加固。

发明内容

基于SARIMA统计学习及LSTM深度学习的工业控制系统通信网络异常分类方法可以对实时采集的ICS数据流量进行正常流量动态阈值生成，并根据组合分类算法对当前采集到的ICS数据流量，动态正常流量阈值区间，静态的背景流量预测值，伯克利滤波器滤波后的流量及白名单内记录事件的时间进行整合运算，从而快速，精准地对实时的ICS异常事件进行分类与溯源，达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知，预警以及安全防护升级。

本发明的目的在于解决在没有先验知识的前提下，对实时采集的ICS通信流量进行动态建模以及异常分类检测，针对现有ICS异常事件分类检测算法过于依赖先验知识，分类精确度不高及算法复杂度高导致无法实际部署等不足提出了完善的分析方法；设计的基于统计学习和深度学习的ICS网络异常事件分类算法模型对国家重大工业基础设施的网络安全防护及异常检测具有指导意义。

本发明的目的可以通过以下技术方案来实现：

基于统计学习和深度学习的工业控制系统通信网络异常分类方法包括如下步骤：

1)ICS通信网络的监控主机从ICS通信网络的工业交换机中实时采集通信流量数据，工业服务器存储实时采集的通信流量数据，；

2)根据ICS通信网络正常流量数据，设计LSTM深度学习模型结构参数并进行建模，生成离线LSTM深度学习模型并存储于工业服务器；

3)用多个小周期的SARIMA模型进行在线检测

分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)_s统计学习模型，并实时生成通信流量在线阈值区间，同时获取通信流量超出在线阈值的对应ICS通信网络流量序列，包括出现该异常的小周期SARIMA模型的训练集、以及由训练集得到的在线阈值的上下限和与阈值区间进行比较的在线监测数据集；

4)在线LSTM模型辨识ICS通信网络背景流量

将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入，并在线输出对应的预测序列；

5)设计异常流量组合分类器，进行数值统计运算对ICS通信网络异常进行分类。

本发明的有益效果在于解决了ICS通信流量的网络异常检测及分类问题；生成的基于统计学习和深度学习的网络异常事件分类方法对ICS的网络安全防护具有指导意义。ICS网络异常分类方法能实时监测网络流量动态，快速分析网络异常事件。对典型的ICS系统提供实时、精准的异常网络事件源头定位，详细的异常事件产生影响及异常事件种类分析；从而为未来网络优化、网络调整、网络建设以及网络安全防护提供决策支持。本发明前期对实际采集的ICS通信网络流量进行精确可靠的实时动态建模，并根据组合算法在流量层面上针对不同的网络异常事件进行智能化的异常分类检测，能满足对典型ICS的入侵检测，分类安全防护以及安全态势感知。该发明能高效准确地抵御针对ICS的典型网络攻击，显著提升系统抵御典型网络异常的裕度。

本发明针对ICS通信网络流量的特点，深度结合现有基于SARIMA统计学习模型以及LSTM深度学习建模的理论。前期通过对实时采集的ICS通信流量数据进行分布式小周期的SARIMA模型建模，高效稳定的生成ICS通信网络流量实时阈值区间。根据阈值区间以及LSTM深度学习模型生成的ICS通信网络背景流量预测序列，设计的ICS网络异常事件分类方法可以快速，精准地对实时的ICS异常事件进行分类与溯源，达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知，预警以及安全防护升级。本发明实地采集浙江省某虚实结合的工控靶场以及工控测试台的ICS通信流量数据，并进行建模分析，建立具有适当参数的分布式小周期SARIMA模型。利用统计学习的思想，使用优化的SARIMA(p,d,q)x(P,D,Q)_s模型计算ICS的正常流量阈值区间，并分析模型切合程度。利用深度学习的思想，使用LSTM模型对大数据量下的ICS的通信网络背景流量进行离线训练建模分析，利用异常事件所在小周期的SARIMA模型的训练集作为输入，训练完备的LSTM模型能利用该输入在线输出当前异常事件状态下ICS通信网络背景流量的预测值。根据自定义、可适配的组合的异常事件分类算法对实时采集的工控流量进行动态分析，最后对ICS异常事件进行分类与溯源。本发明最终在浙江省某化工集团的过程工业控制系统中进行实际部署应用，具有极低的算法在线运行时间，较高的检测率以及较低的误检率。

附图说明

图1是本发明的方法流程图；

图2是本发明的实验测试台搭建效果图；

图3是本发明进行在线检测时多个小周期迭代的简明示意图；

图4是LSTM深度学习的算法框图；

图5是分布式SARIMA统计学习算法的多个小周期迭代的简明示意图；

图6是SARIMA统计学习算法与LSTM机器学习算法的交叉计算示意图；

图7是LSTM模型训练损失函数图。

具体实施方式

下面根据附图详细说明本发明，本发明的目的和效果将变得更加明显。图1为本发明的整体流程框图。

图2为本发明的实验测试台搭建效果图。实验根据前期采集了浙江大学某虚实结合的ICS靶场的通信网络流量搭建符合实验环境的ICS网络测试平台。该平台配置了工业PLC控制器，工业以太网交换机以及工控上位主机。其中上位机与PLC之间采用TCP/IP的通信协议。PLC到现场设备层之间采用工业类Modbus协议。对实际ICS通信网络流量进行采集并存储，对流量的特性进行离线分析。流量探针部署的位置在工控上位机与控制器之间的工业交换机上，分析流量的类型为单个交换机口的局部流量以及交换机镜像口的全流量。根据图1的发明整体算法流程框图，实验前期对镜像口全流量数据进行建模与数据分析，采用小周期的分布式SARIMA模型对实时采集的ICS通信流量数据进行动态阈值建模以及异常检测；后期采用LSTM深度学习算法对ICS通信网络背景流量进行预测建模，并结合组合分类算法对ICS网路异常事件进行溯源以及分类。

在无任何人为操作与干扰的情况下，本次实验一共抓取了正常运行的ICS通信网络中的Pcap数据包，大约运行时长为20小时，无丢包现象。另外抓取了ICS通信网络的背景流量Pcap数据包，大概运行时间为20小时，此背景流量数据包为ICS内的设备全部设置为待机模式，主机与监控机保持通信状态，无人为干扰与其他人为操作时的通信流量。其ICS通信网络流量的具体细节如图3所示，其中ICS正常流量的聚合尺度分别为1s，30s，60s。

参照图1所示的方法总体流程架构，一种基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其包括如下步骤：

1)在ICS通信网络之中部署工业交换机、监控主机、测试主机以及工业服务器，监控主机从工业交换机中实时采集通信流量数据，工业服务器存储实时采集的通信流量数据，并由此搭建ICS网络测试平台，其中测试平台由ICS攻击注入平台以及网络安全平台构成，该ICS网络测试平台的搭建细节如图2所示；

2)根据大量的ICS通信网络正常流量数据，设计LSTM深度学习模型结构参数并进行建模，生成离线LSTM深度学习模型并存储于工业服务器；

2.1)参照图4的LSTM算法原理图，定义的LSTM深度学习算法的网络结构采用控制门的机制，由记忆细胞、输入门、输出门、遗忘门组成。其前向计算方法可以表示为：

g_t ^(l)＝ψ(W_gx ^(l)h_t ^(l-1)+W_gh ^(l)h_t-1 ^(l)+b_g ^(l))

i_t ^(l)＝δ(W_ix ^(l)h_t ^(l-1)+W_ih ^(l)h_t-1 ^(l)+b_i ^(l))

f_t ^(l)＝δ(W_fx ^(l)h_t ^(l-1)+W_fh ^(l)h_t-1 ^(l)+b_f ^(l))

o_t ^(l)＝δ(W_ox ^(l)h_t ^(l-1)+W_oh ^(l)h_t-1 ^(l)+b_o ^(l))

s_t ^(l)＝g_t ^(l)⊙i_t ^(l)+s_t-1 ^(l)⊙f_t ^(l)

h_t ^(l)＝ψ(s_t ^(l))⊙o_t ^(l)

其中W为权重矩阵，b为权重向量，用于设置在输入层，记忆层以及输出层建立连接。s_t ^(l)表示记忆细胞在第l层第t步长时的状态，h_t ^(l)是记忆细胞在第l层第t步长时的输出状态。δ是激活函数，ψ是tanh函数。⊙是集合之间的哈达玛积。i，o，f分别表示输入门，输出门以及遗忘门。g是tanh函数的输入节点。

2.2)简化的基于ICS通信网络流量时间序列的LSTM深度学习模型函数如下：

Model_LSTM←f_LSTM(X′_Ntrai,N_fore,Para[])

其中fLSTM()是简化的LSTM深度学习模型函数，该函数使用大数据量的ICS正常通信流量的训练序列X′_Ntrai进行模型适配与训练，LSTM深度学习模型结构参数集合为Para[]，N_fore为LSTM深度学习模型的预测序列长度，N_trai是预先定义的训练序列长度。通过上时间的模型训练，离线的LSTM深度学习模型可以根据合适的LSTM结构参数Para[]以及训练集X′_Ntrai生成反映ICS通信网络流量正常情况的LSTM模型。

3)参照图5，分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)_s统计学习模型，并实时生成通信流量在线阈值区间，同时获取通信流量超出在线阈值的对应ICS通信网络流量序列，包括出现该异常的小周期SARIMA模型的训练集，在线检测数据集以及在线阈值的上下限；

3.1)定义选定的流量聚合尺度以及小周期分析尺度，用SARIMA(p,d,q)x(P,D,Q)_s序列的定义法来产生SARIMA(p,d,q)x(P,D,Q)_s的时间序列：

SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的，ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成；

自回归滑动平均模型ARMA(p,q)定义如下：

X_t＝φ₁X_t-1+φ₂X_t-2+…+φ_pX_t-p+ε_t-θ₁ε_t-1-…-θ_qε_t-q

上式：X_t为均值化处理之后的小周期的平稳时间序列，其时间序列的长度较短；φ_p为自回归项AR的系数；θ_q为滑动平均项MA的系数；ε_t为随机扰动；p为AR的阶数；q为MA的阶数；

定义一个延迟算子B，BX_t＝X_t-1，则AR系数多项式Φ(B)＝1-φ₁B-…-φ_p(B)^p，MA系数多项式Θ(B)＝1-θ₁B-…-θ_q(B)^q；

引入差分算子Δ^d＝(1-B)^d，则ARIMA(p,d,q)模型表示为：

Φ(B)Δ^dX_t＝Θ(B)ε_t

SARIMA模型通过对ARIMA模型进行季节性差分运算得到，SARIMA模型的定义如下：

Φ_p(B)Φ_P(B^s)Δ^dΔ_s ^DX_t＝Θ_q(B)Θ_Q(B^s)ε_t

其中ε_t为白噪声序列，d为趋势差分的阶数，D为周期s为补偿的季节差分阶数，B^s为s阶延迟算子，Δ_s ^D为季节性差分算子；B^sX_t＝X_t-s，Δ_s ^D＝1-B^s，Φ_P(B^s)为B^s的Q阶多项式，Φ_P(B^s)为B^s的P阶多项式；

3.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)_s模型的p,d,q,P,D,Q,阶数进行监督分析并定阶；

3.3)采用最小二乘法对SARIMA(p,d,q)x(P,D,Q)_s的p阶系数φ_k(k＝1,2,…,p)，q阶系数θ_k(k＝1,2,…,q)，以及季节性P阶系数

季节性Q阶系数

进行估计；

3.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)_s模型对原始序列进行拟合分析，并进行残差检验；若残差为白噪声，则对拟合序列进行反滤波处理，得到原序列的拟合值或预测值；若残差不为白噪声，则重新采用BIC信息准则对ARMA(p,q)模型进行定阶；

3.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)_s的数学表达式。

3.6)采集ICS工业交换机上的实时流量数据，根据设定的采样频率γ_samp，聚合尺度生成时间序列，并以一个小周期为一个迭代周期；

3.7)对采集到的实时流量数据进行训练，在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)_s模型训练与适配之后，输出最优的模型以及模型适配的参数；第i个小周期的模型定义为：

其中f_SARIMA()为SARIMA(p,d,q)x(P,D,Q)_s模型的函数表达式，

为第i次迭代的小周期训练集，T_fore为小周期预测的序列个数，s为周期性参数，'BIC'为计量经济学选取最优的(p,d,q,P,D,Q)参数的准则，

是SARIMA模型第i次迭代预测出的时间序列；

计算第i次迭代的预测均值

3.8)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)_s模型，对实时采集的第i个小周期的ICS流量数据进行实时动态滚动建模，此时的实时流量数据相当于验证集；将验证集与预测过程生成的基于置信区间的流量阈值上下限进行对比分析；其定义的第i个小周期的上下界阈值为：

其中

是以1-α_P.I为显著性的z分布值，

为第i个小周期的动态阈值区间的上界，

为动态阈值区间的下界，

均为长度为T_fore的时间序列，α_P.I为置信度；

第i次迭代的正常ICS通信流量定义为：

其中

为第i次小周期实时采集的ICS通信流量，T_fore是采集的样本量；

第i次小周期的ICS预测序列

与训练序列

存在实时的相关性，第i次小周期的预测序列

可估计为：

其中函数∩为对两个时间序列集合取交集。

3.9)流量判定结束之后，继续下一个小周期的训练迭代，并重新输出新的最优模型以及模型适配的参数，对新输入的实时流量数据进行再次判定；

3.10)循环整个过程，直到达到设定的迭代次数。

假设ICS异常发生的现实对应时间为序列

其中n为异常发生的总次数。则异常发生时小周期序列号的样本数目序列

为：

其中t_debug为程序运行之前的实时调试时间，γ_samp为ICS流量的采样频率，时间序列算法为直接对相对应的序列元素进行计算。

第n次ICS异常发生在第

次小周期迭代计算之中，因此ICS异常事件发生的小周期迭代次数

(

的元素)可以由以下的方程组追溯计算得到：

其中K_n为中间变量。

SARIMA在线检测算法所生成的动态ICS流量阈值区间的方差

可以由以下的算法得到：

其中k＝1,2，…，n

能对第

次小周期迭代的阈值整体偏差进行衡量，对分析ICS网络异常程度具有指导意义。

4)参照6所示的算法对照图，将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入，并在线输出对应的预测序列；

基于LSTM深度学习模型的在线ICS正常通信流量预测分析算法如下所示：

其中Model_LSTM()为使用步骤2中离线训练所得到的LSTM深度学习模型，

为在线LSTM模型预测的ICS正常通信流量序列，

为在线模型的输入，N_fore为预测的流量序列长度；通过异常事件发生时所在的在线SARIMA模型小周期

序列

得到当前小周期的在线SARIMA模型训练集

(其中每个训练小周期的SARIMA训练集为

n为异常事件发生的总数；该训练集保留了ICS通信网络出现异常之前的流量模式，同时定义了在线LSTM深度学习模型的输入，由此得到在线模型输出的n个ICS通信网络流量异常事件的LSTM在线预测序列

其中每个异常事件所对应的序列长度为N_fore。

离线运行的LSTM深度学习模型可作为先验知识验证ICS通信网络的正常背景流量。异常事件发生时所在的第

次小周期与在线SARIMA统计学习模型训练集

存在时间意义上的对应性，通过结合在线的LSTM深度学习模型可作为后验知识对ICS通信网络异常事件进行分类。在线的LSTM深度学习模型同样具有低算法复杂度的特征。

LSTM深度学习模型在线的预测序列的方差

为：

其中k＝1,2，…，n

可以反映第k次异常事件的LSTM模型在线预测的波动与偏差，可以作为分析ICS通信网络背景流量的关键参数。

5)设计异常流量组合分类算法，通过对上述已获取的变量进行数值统计运算对ICS通信网络异常进行分类；

5.1)实时的时间标签误差算法定义如下：

其中预定义的误差ε作为限制异常事件时间戳与记录白名单时间戳偏差的临界值，

为异常事件时间序列

的元素，

为白名单记录ICS合法行为操作以及计划检修事件时间序列

的元素。若异常事件时间戳与记录白名单时间戳偏差的临界值在偏差以内，则ICS通信流量异常由ICS合法行为操作以及计划检修事件产生。

若

此时ICS通信流量异常由恶意的行为操作产生。

5.2)通过发生异常事件时小周期的在线SARIMA模型阈值上下限，以及LSTM模型预测的ICS通信网络背景流量，计算对应第

次小周期内的阈值上下限均值以及预测背景流量均值，正常情况的ICS通信网络背景流量满足如下方程：

其中

为

的元素。

由LSTM深度学习模型在线的预测序列的方差

以及SARIMA在线检测算法所生成的动态流量阈值区间的方差

可以得到正常的ICS通信网络背景流量方差

需要小于SARIMA算法生成的流量动态阈值方差

因此当如下的不等式成立时，可以推断出ICS通信网络存在故障或异常；

此时ICS通信流量异常是由ICS网络端异常或者通信数据传输故障造成。

5.3)不同的网络攻击对ICS通信网络流量会产生不同的影响，特别是针对某些类型的报文消息。通过对实时采集分析的ICS通信网络流量采用了Berkeley packet Filter(BPF)滤波算法来区分不同的数据包类型，BPF滤波算法定义为：

其中

为BPF滤波算法，

为原始流量序列X_t拆分出来的TCP流量序列，同理

为原始流量序列X_t拆分出来的UDP流量序列。

定义[X_t]_type表示ICS通信网络流量序列X_t内某type类型包(TCP，UDP，ARP等)的流量总和。计算ICS网络数据流量下不同类型数据包的分布偏差

此时type＝TCP,UDP,ARP……

该分布偏差的基线可由大数据量的ICS正常通信流量的训练序列

(LSTM深度学习模型的离线训练集)经过BPF计算得到：

当

满足下式时，ICS通信流量异常事件由ICS通信网络恶意入侵攻击造成。

其中

是type类型的包分布准许误差。

此时的Att_type＝type(type＝UDP,TCP,ARP,etc)，表示此时ICS通信流量异常是由ICS通信网络恶意入侵攻击造成。此时的攻击类型为type型(UDP Flooding,TCP Flooding,ARP Spoofing等)。

由此检测到的ICS通信网络异常事件可以被详细分为ICS通信网络恶意行为操作，ICS网络端异常或者通信数据传输故障以及ICS通信网络恶意入侵攻击三类。

在对浙江大学某虚实结合的ICS靶场上实际采集的通信网络流量进行前期离线分析的基础上，针对ICS通信网络流量的特征，进一步在测试环境之中搭建实际的测试平台，部署的工业交换机，监控主机及测试主机并分为ICS攻击注入平台以及网络安全平台进行在线测试分析。如图2所示，该实验台逻辑上可分为攻击注入平台和ICS网络安全平。ICS网络安全平台配备了三套PLC控制器(ECS700)，一套内嵌探针算法机制的监控系统(Core i7,8086K)，一套搭载具备PLC指令上送下发以及组态配置修改发布功能的工控软件的工程师站(Core i5,8600K)和一个工业以太网交换机。攻击注入平台(Core i5,i5-6267u,MacBookpro)通过光纤连接到工业以太网交换机上对目标ICS控制系统注入恶意的网络攻击。工程师站与PLC之间的网络通信传输采用TCP/IP通信协议，PLC与现场设备之间的网络通信传输采用Modbus协议。搭载探针机制的监控系统从工业以太网交换机的镜像端口或通用端口动态采集ICS通信网络流量，并利用Python编写的基于统计和机器学习的混合异常检测分类方法内嵌到监控系统中，对恶意操作行为、网络异常和网络攻击进行及时的特征识别，异常检测以及详细分类。

分布式小周期的SARIMA模型对ICS通信网络流量进行建模分析，并实时生成阈值区间，其中定义的ICS流量的采样频率为1ms。

根据采集得到的ICS通信网络背景流量数据，选择合适的LSTM训练参数离线训练出基于LSTM深度学习的ICS通信网络背景流量模型。其LSTM训练参数表如下表所示：

表1

如图7所示，得到的离线ICS通信网络背景流量模型能很好的拟合带有时序性的背景流量，其训练的损失函数随着迭代步长的增加而减少，最终达到1.4％左右。图7中，横坐标的数据为LSTM模型训练的迭代次数(Epoch)，纵坐标为模型训练的损失函数(Lossfunction)；其中小方框内的图为损失函数下降较为明显的情况，其中的算法迭代次数(Epoch)为60-600，5000-7000，9500-11000时损失函数下降速度较快。模型的训练算法如下：

Model_LSTM←f_LSTM(X′₂₀₀,20,Para[])

其中Para[]为表1中的LSTM训练参数。

对存储的LSTM离线模型进行测试与验证。采集新一轮的ICS通信网络背景流量作为模型新的输入，并以实际的数据作为输出验证。截取采集的每200个序列为训练序列，20个序列为预测序列(总计220个为一个周期)，计算该预测序列的MAPE，RMSE值，并不间断采用新一轮的ICS通信网络背景流量，并重复10个分析周期，其MAPE，RMSE，Time如表2所示：

表2

其中1-220表示前1-200个数据样本为训练集，后201-220表示测试集。可以看出在每个分析的序列集中，MAPE值小于0.15，RMSE值大约小于100。441-660、881-1000、1001-1220样本具有相似的MAPE和RMSE，反映了ICS网络背景流量数据的周期性和自相似性特征。

对实时采集的ICS通信网络流量进行分布式的SARIMA(p,d,q)x(P,D,Q)_s建模。定义小周期训练项数为T_trai＝300，T_fore＝30，并对单个小周期的SARIMA(p,d,q)x(P,D,Q)_s模型进行计量经济学分析。以SARIMA(p,d,q)x(P,D,Q)_s模型的第一次小周期迭代(即i＝1)为例，实例计算得到第一个小周期的ICS通信网络流量阈值区间。假设对原始序列不进行聚合，对在线采集的单个小周期的ICS流量数据进行建模，得到模型SARIMA(2,1,3)x(2,0,0)₁₀。其模型的拟合参数

R-Square＝0.89。由此可得SARIMA(2,1,3)x(2,0,0)₁₀对该小周期T_trai＝300的ICS通信流量具有较强的解释性，其阈值区间代表了T_fore＝30的ICS通信流量的情况。阈值区间的上界时间序列为：

其时间序列所对应的时间戳为：

{13:52:19,13:52:20,13:52:21,…,13:52:50,13:52:51}，该时间戳表明ICS通信流量与工业现场实际环境相互吻合，物理信息空间上相互对应。

因此在对小周期T_trai＝300的ICS通信流量进行SARIMA(2,1,3)x(2,0,0)₁₀建模后，其验证周期T_fore＝30的ICS通信流量不存在异常情况，属于正常运行的ICS通信流量。ICS异常发生的现实对应时间为序列

为空集，异常事件产生时的序列小周期迭代次数序列

为空集。此时的方差

为0。其异常程度序列

验证SARIMA模型的建模特性之后，对下一个不同采样频率的ICS流量序列进行实时异常检测，定义的ICS流量的采样频率γ_samp为60(s)。此时修改聚合尺度为1s。模型的运行起始时间为04:14:26，并维持流量在线监测模型的运行状态，截取当前小周期运行的模型参数，以当前时间为例，SARIMA(5,0,3)x(0,0,1)₁为最优的模型。

SARIMA(5,0,3)x(0,0,1)₁模型的经济学参数如下表3所示：

表3

SARIMA(5,0,3)x(0,0,1)₁模型的拟合参数如下表4所示：

表4

测试算法对ICS网络异常事件的分类效果，此时由测试主机笔记本接入工业交换机，对监控主机进行TCP-flooding攻击；该异常流量序列在时序上的体现为单位时间内流量会存在突增的现象，攻击过后流量会恢复正常。TCP-flooding攻击于14:36:50注入，流量突增，随后于14:38:00停止注入异常流量。

此时阈值区间的上界时间序列为：

此时阈值区间的下界时间序列为：

其时间序列所对应的时间戳为：

{14:36:20,14:37:20,14:38:20,…,14:54:20,14:55:20}

通过上述模型，我们可以近似得到较短时间间隔内某实际时刻的正常流量阈值。例如在时刻14:36:20，当置信区间为95％时其正常流量的区间为[350.3,1650.3]，当置信区间为90％时其正常流量的区间为[398.3,1621.6]。由此我们可以得到正常情况下ICS某时刻通信流量的阈值模型。

由于时刻14:36:20,14:37:20,14:38:20时存在：

此时的ICS通信网络流量超过SARIMA模型所生成的正常流量阈值区间，因此判定为ICS网络异常事件。

此时异常事件发生的实时时间为：

其中n为3，表示存在三处异常。

t_debug＝4，γ_samp＝60，可得

由公式

由

可知

因此ICS异常事件发生的小周期迭代次数均为17。

通过计算分析，此时存在

第16个小周期的训练序列在时间上与第17个小周期保持近似连续。因此该ICS通信流量在线检测方法的实时性得到了很好的保证。

SARIMA在线检测算法所生成的动态ICS流量阈值区间的方差

可以由以下的算法得到：

(其中k＝1,2，3)能对第

次小周期迭代的阈值整体偏差进行衡量，对分析ICS网络异常程度具有指导意义。从上述方差分析可知其正常流量的正常波动范围区间为0～1475.079。

对ICS异常事件来自计划之中的ICS检修或者是合法的行为操作的可能性进行评估。

通过查询行为审计时间表

发现

根据ICS通信定义的延迟系数，取ε＝0.001，因此存在：

由此可得该3个ICS异常事件为恶意的行为操作而非计划之中的ICS检修或者是合法的行为操作。

对ICS异常事件来自自身异常或故障带来的ICS通信网络背景流量显著变化的可能性进行评估。

由于三个异常发生在同一个小周期SARIMA模型的第17个迭代周期内。因此存在：

三次异常所对应的小周期SARIMA训练集相同，并作为已经训练好的LSTM模型的输入，在线预测出带有时序性的20个ICS通信网络背景流量值，如下方程所示：

计算LSTM预测方差

LSTM预测的序列的均值，SARIMA在线预测算法预测的上下阈值区间序列均值：

因此存在：

由此可得该异常事件并非由网络自身异常或故障带来的ICS通信网络背景流量显著变化；ICS通信网络背景流量保持原有的模式，底层协议与心跳报文未受到影响。

对ICS异常事件来自网络攻击的可能性做评估。

计算BPF滤波之后的偏差

其中选择最为典型的报文种类，即type＝UDP,TCP,ARP进行分析计算。

计算大数据量离线LSTM训练集下的包分布基准Dist_type，其中type＝UDP，TCP，ARP。

根据实际经验所得，ICS测试台的通信网络冗余数据较少，因此简单取：

由此可得：

由上可知最可能的异常类型为针对TCP报文的攻击，即TCP-Flooding攻击。因此Att_type＝TCP。因此该ICS异常事件来自TCP-Flooding网络攻击。

综上所述，在14:36:20-14:39:20这个时段，ICS通信网络存在异常事件，其异常事件产生的原因为恶意的非法，非授权操作，根据计算分析可知其为恶意入侵攻击，入侵者采用的攻击方式为TCP-Flooding攻击。

Claims (5)

1.一种基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其特征在于包括如下步骤：

1)ICS通信网络的监控主机从ICS通信网络的工业交换机中实时采集通信流量数据，工业服务器存储实时采集的通信流量数据，；

2)根据ICS通信网络正常流量数据，设计LSTM深度学习模型结构参数并进行建模，生成离线LSTM深度学习模型并存储于工业服务器；

3)用多个小周期的SARIMA模型进行在线检测

分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)_s统计学习模型，并实时生成通信流量在线阈值区间，同时获取通信流量超出在线阈值的对应ICS通信网络流量序列，包括出现该异常的小周期SARIMA模型的训练集、以及由训练集得到的在线阈值的上下限和与阈值区间进行比较的在线监测数据集；

4)在线LSTM模型辨识ICS通信网络背景流量

将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入，并在线输出对应的预测序列；

5)设计异常流量组合分类器，进行数值统计运算对ICS通信网络异常进行分类。

2.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其特征在于所述的步骤2)具体为：

2.1)设计的LSTM深度学习模型的网络结构由记忆细胞、输入门、输出门、遗忘门组成；其前向计算方法可以表示为：

g_t ^(l)＝ψ(W_gx ^(l)h_t ^(l-1)+W_gh ^(l)h_t-1 ^(l)+b_g ^(l))

i_t ^(l)＝δ(W_ix ^(l)h_t ^(l-1)+W_ih ^(l)h_t-1 ^(l)+b_i ^(l))

f_t ^(l)＝δ(W_fx ^(l)h_t ^(l-1)+W_fh ^(l)h_t-1 ^(l)+b_f ^(l))

o_t ^(l)＝δ(W_ox ^(l)h_t ^(l-1)+W_oh ^(l)h_t-1 ^(l)+b_o ^(l))

s_t ^(l)＝g_t ^(l)⊙i_t ^(l)+s_t-1 ^(l)⊙f_t ^(l)

h_t ^(l)＝ψ(s_t ^(l))⊙o_t ^(l)

其中W为权重矩阵，b为权重向量，用于设置在输入层，记忆层以及输出层建立连接；s_t ^(l)表示记忆细胞在第l层第t步长时的状态，h_t ^(l)是记忆细胞在第l层第t步长时的输出状态；δ是激活函数，ψ是tanh函数；⊙是集合之间的哈达玛积；i，o，f分别表示输入门，输出门以及遗忘门；g是tanh函数的输入节点；

2.2)基于ICS通信网络流量时间序列的LSTM深度学习模型函数如下：

其中fLSTM()是LSTM深度学习模型函数，该函数使用大数据量的ICS正常通信流量的训练序列

进行模型适配与训练，LSTM深度学习模型结构参数集合为Para[]，N_fore为LSTM深度学习模型的预测序列长度，N_trai是预先定义的训练序列长度；通过上述的模型训练，生成反映ICS通信网络流量正常情况的LSTM模型。

3.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其特征在于所述的步骤3)具体为：

3.1)定义选定的流量聚合尺度以及小周期分析尺度，用SARIMA(p,d,q)x(P,D,Q)_s序列的定义法来产生SARIMA(p,d,q)x(P,D,Q)_s的时间序列：

SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的，ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成；

自回归滑动平均模型ARMA(p,q)定义如下：

X_t＝φ₁X_t-1+φ₂X_t-2+…+φ_pX_t-p+ε_t-θ₁ε_t-1-…-θ_qε_t-q

上式：X_t为均值化处理之后的小周期的平稳时间序列，其时间序列的长度较短；φ_p为自回归项AR的系数；θ_q为滑动平均项MA的系数；ε_t为随机扰动；p为AR的阶数；q为MA的阶数；

定义一个延迟算子B，BX_t＝X_t-1，则AR系数多项式Φ(B)＝1-φ₁B-…-φ_p(B)^p，MA系数多项式Θ(B)＝1-θ₁B-…-θ_q(B)^q；

引入差分算子Δ^d＝(1-B)^d，则ARIMA(p,d,q)模型表示为：

Φ(B)Δ^dX_t＝Θ(B)ε_t

SARIMA模型通过对ARIMA模型进行季节性差分运算得到，SARIMA模型的定义如下：

Φ_p(B)Φ_P(B^s)Δ^dΔ_s ^DX_t＝Θ_q(B)Θ_Q(B^s)ε_t

其中ε_t为白噪声序列，d为趋势差分的阶数，D为周期s为补偿的季节差分阶数，B^s为s阶延迟算子，Δ_s ^D为季节性差分算子；B^sX_t＝X_t-s，Δ_s ^D＝1-B^s，Φ_P(B^s)为B^s的Q阶多项式，Φ_P(B^s)为B^s的P阶多项式；

3.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)_s模型的p,d,q,P,D,Q,阶数进行监督分析并定阶；

3.3)采用最小二乘法对SARIMA(p,d,q)x(P,D,Q)_s的p阶系数φ_k(k＝1,2,…,p)，q阶系数θ_k(k＝1,2,…,q)，以及季节性P阶系数

季节性Q阶系数

进行估计；

3.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)_s模型对原始序列进行拟合分析，并进行残差检验；若残差为白噪声，则对拟合序列进行反滤波处理，得到原序列的拟合值或预测值；若残差不为白噪声，则重新采用BIC信息准则对ARMA(p,q)模型进行定阶；

3.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)_s的数学表达式；

3.6)采集ICS工业交换机上的实时流量数据，根据设定的采样频率γ_samp、聚合尺度生成时间序列，并以一个小周期为一个迭代周期；

3.7)对采集到的实时流量数据进行训练，在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)_s模型训练与适配之后，输出最优的模型以及模型适配的参数；第i个小周期的模型定义为：

其中f_SARIMA()为SARIMA(p,d,q)x(P,D,Q)_s模型的函数表达式，

为第i次迭代的小周期训练集，T_fore为小周期预测的序列个数，s为周期性参数，'BIC'为计量经济学选取最优的(p,d,q,P,D,Q)参数的准则，

是SARIMA模型第i次迭代预测出的时间序列；

计算第i次迭代的预测均值

3.8)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)_s模型，对实时采集的第i个小周期的ICS流量数据进行实时动态滚动建模，此时的实时流量数据相当于验证集；将验证集与预测过程生成的基于置信区间的流量阈值上下限进行对比分析；其定义的第i个小周期的上下界阈值为：

其中

是以1-α_P.I为显著性的z分布值，

为第i个小周期的动态阈值区间的上界，

为动态阈值区间的下界，

均为长度为T_fore的时间序列，α_P.I为置信度；

第i次迭代的正常ICS通信流量定义为：

其中

为第i次小周期实时采集的ICS通信流量，T_fore是采集的样本量；

第i次小周期的ICS预测序列

与训练序列

存在实时的相关性，第i次小周期的预测序列

可估计为：

其中函数∩为对两个时间序列集合取交集；

3.9)流量判定结束之后，继续下一个小周期的训练迭代，并重新输出新的最优模型以及模型适配的参数，对新输入的实时流量数据进行再次判定；

3.10)循环整个过程，直到达到设定的迭代次数。

4.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其特征在于所述的步骤4)具体为：

假设ICS异常发生的现实对应时间为序列

其中n为异常发生的总次数，则异常发生时小周期序列号的样本数目序列

为：

其中t_debug为步骤3)运行之前的实时调试时间，γ_samp为ICS流量的采样频率，

第n次ICS异常发生在第

次小周期迭代计算之中，因此ICS异常事件发生的小周期迭代次数

(

的元素)可以由以下的方程组追溯计算得到：

其中K_n为中间变量；

步骤3)在线检测过程所生成的动态ICS流量阈值区间的方差

由以下的公式得到：

其中

能对第

次小周期迭代的阈值整体偏差进行衡量；

基于LSTM深度学习模型的在线ICS正常通信流量预测分析过程如下所示：

其中Model_LSTM()为使用步骤2中离线训练所得到的LSTM深度学习模型，

为在线LSTM模型预测的ICS正常通信流量序列，

为在线模型的输入，N_fore为预测的流量序列长度；通过异常事件发生时所在的在线SARIMA模型小周期

序列

得到当前小周期的在线SARIMA模型训练集

其中每个训练小周期的SARIMA训练集为

n为异常事件发生的总数；该训练集保留了ICS通信网络出现异常之前的流量模式，同时定义了在线LSTM深度学习模型的输入，由此得到输出的n个ICS通信网络流量异常事件的LSTM在线预测序列

其中每个异常事件所对应的序列长度为N_fore；

离线运行的LSTM深度学习模型可作为先验知识验证ICS通信网络的正常背景流量；异常事件发生时所在的第

次小周期与在线SARIMA统计学习模型训练集

存在时间意义上的对应性，通过结合在线的LSTM深度学习模型可作为后验知识对ICS通信网络异常事件进行分类，在线的LSTM深度学习模型同样具有低算法复杂度的特征；

LSTM深度学习模型在线的预测序列的方差

为：

其中

可以反映第k次异常事件的LSTM模型在线预测的波动与偏差，作为分析ICS通信网络背景流量的关键参数。

5.根据权利要求1所述的基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其特征在于所述的步骤5)具体为：

5.1)定义实时的时间标签误差算法如下：

其中预定义的误差ε作为限制异常事件时间戳与记录白名单时间戳偏差的临界值，

为异常事件时间序列

的元素，

为白名单记录ICS合法行为操作以及计划检修事件时间序列

的元素；若异常事件时间戳与记录白名单时间戳偏差的临界值在偏差以内，则ICS通信流量异常由ICS合法行为操作以及计划检修事件产生；

若

表示此时ICS通信流量异常由恶意的行为操作产生；

5.2)通过发生异常事件时小周期的在线SARIMA模型阈值区间上下限，以及LSTM模型预测的ICS通信网络背景流量，计算对应第

次小周期内的阈值上下限均值以及预测背景流量均值，正常情况的ICS通信网络背景流量满足如下方程：

其中

为

的元素。

由LSTM深度学习模型在线的预测序列的方差

以及SARIMA在线检测算法所生成的动态流量阈值区间的方差

可以得到正常的ICS通信网络背景流量方差

需要小于SARIMA算法生成的流量动态阈值方差

因此当如下的不等式成立时，可以推断出ICS通信网络存在故障或异常；

表示此时ICS通信流量异常是由ICS网络端异常或者通信数据传输故障造成；

5.3)对实时采集分析的ICS通信网络流量采用Berkeley packet Filter(BPF)滤波算法来区分不同的数据包类型，BPF滤波算法定义为：

其中

为BPF滤波算法，

为原始流量序列X_t拆分出来的TCP流量序列，同理

为原始流量序列X_t拆分出来的UDP流量序列；

定义[X_t]_type表示ICS通信网络流量序列X_t内某type类型包的流量总和，计算ICS网络数据流量下不同类型数据包的分布偏差

该分布偏差的基线由大数据量的ICS正常通信流量的训练序列

(LSTM深度学习模型的离线训练集)经过BPF计算得到：

当

满足下式时，ICS通信流量异常事件由ICS通信网络恶意入侵攻击造成；

其中

是type类型的包分布准许误差；

此时的Att_type＝type(type＝UDP,TCP,ARP,etc)，表示此时ICS通信流量异常是由ICS通信网络恶意入侵攻击造成，此时的攻击类型为type型；

由此检测到的ICS通信网络异常事件可以被详细分为ICS通信网络恶意行为操作，ICS网络端异常或者通信数据传输故障以及ICS通信网络恶意入侵攻击三类。

Images