CN112800600A - 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法 - Google Patents

Abstract

一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，所采用的技术方案是：1、分析网络化运动控制系统的多个物理传感器信息，使得所提方法比基于单传感器的方法效果更佳。2、从数据驱动的角度出发，充分利用网络化运动控制系统中已存在的传感器信息，不依赖精确的控制系统模型。3、通过简单的粗粒化操作，用很少的计算代价获得了更多的信息，在满足网络化运动控制系统实时性的同时提升了一定的检测性能。4、贝叶斯网络结合了一定的先验知识，具有更好的泛化能力，并且计算效率极高，是非常适用于网络化运动控制系统的检测方法。

Description

一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法

技术领域

本发明属于工业控制系统安全技术领域，具体涉及一种适用于网络化运动控制系统发生隐蔽性攻击的入侵检测方法，保障网络化运动控制系统正常运行。

背景技术

随着网络化运动控制系统技术的日益完善，诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种超前技术被有机地融合起来，拓展了工业控制领域的发展空间。先进的通信网络技术使传统运动控制系统开始向网络化方向发展，系统的封闭性被打破，导致网络化运动控制系统面临病毒、木马、黑客入侵等信息安全威胁。

网络化运动控制系统有多种不同形式的网络攻击，如重放攻击、虚假数据注入攻击、几何攻击、正弦攻击等。其中，正弦攻击具有高隐蔽性和持续性，能够躲避安全审查，是当前研究的热点。正弦攻击的作用点一般作用在传感器到控制器之间的链路上，以及控制器到执行器之间的链路上，对控制网络中的传输数据进行篡改。这里主要研究控制器到执行器之间的链路。当网络化运动控制系统受到正弦攻击时，控制系统中控制器输出被注入了一定幅值和频率的正弦信号，控制过程变量始终在工作范围小幅波动，系统不会偏离正常的工作状态，但是攻击信号的频率会导致与变量相关的执行器开度以一定幅值正弦震荡，最终造成产品缺陷或工控设备损坏，严重时将危及人身安全。因此，网络化运动控制系统中正弦攻击的检测具有重要意义。

发明内容

为了针对现有网络化运动控制系统中的隐蔽性攻击，检测方法通常从控制理论出发，这类方法需要精确的控制理论模型，但是在实际应用中却难以获得，而工业控制系统协议的复杂性使得计算机安全技术难以施展的不足，本发明考虑了多个传感器下网络化运动控制系统受到隐蔽性攻击情况，根据多传感器数据特征融合技术检测网络化运动控制系统中是否存在正弦攻击。当网络化运动控制系统受到正弦攻击时，控制系统中控制器输出被注入了一定幅值和频率的正弦信号，而系统的监控界面很难发现该类攻击。为了有效检测出网络化运动控制系统中是否存在该类攻击，本发明提出了一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，从传感器采样的数据特征来检测网络化运动控制系统是否受到正弦攻击。我们将方法分为模型训练、阈值确定和入侵检测三个阶段。

本发明采用的技术方案如下：

一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，所述方法包括如下步骤：

1)模型训练阶段，分为五个步骤：

1.1)获取h个传感器下L个周期的历史正常工况时间序列数据，每个周期的数据长度为N，单个传感器在离线情况下采集L个周期的正常工况时间序列数据为

将该时间序列数据进行粗粒化处理，即：

其中，y^(s)(w)粗粒化处理得到的多尺度时间序列，s为尺度因子，且s∈N⁺，N⁺为正整数，经过粗粒化处理获得不同尺度因子s下的特征信息，以提升模型的检测性能；

1.2)计算多尺度样本熵值

针对1.1)得到的多尺度时间序列

计算其样本熵值，即多尺度样本熵值；

1.3)计算h个传感器下的多尺度样本熵值，并对所得到的多尺度样本熵值数据进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

1.4)确定贝叶斯网络中随机变量之间的拓扑关系，形成一个有向无环图，随机变量之间的拓扑关系通常需要专家知识结合历史观测数据得到，目的是获得特定域中每一变量间的逻辑关系；

1.5)基于给定的贝叶斯网络结构，使用贝叶斯估计方法，通过对历史正常工况时间序列样本数据集{e_h,s，h,s＝1,2,3,…}学习以及结合先验知识获得相关变量间的条件概率表，确定贝叶斯网络模型，假设获取了Q个序列的样本集D，观测值为U＝(U₁,U₂,U₃,…,U_Q)；

2)阈值确定阶段分为三个步骤：

2.1)计算h个传感器下每个周期的正常工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

2.2)将步骤2.1)处理得到的多尺度样本熵值数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络模型；

2.3)确定阈值，选择变量消去推理引擎推理得出每个时刻对应的后验概率值P(T_k|E＝{e_h,s})，即：

式(2)表示在输入特征信息集{e_h,s,h,s＝1,2,3,…}后目标为T_k(k＝1或-1)的后验概率，其中P(E＝{e_h,s})为先验概率，T_k(k＝1或-1)为系统受到攻击或未受到攻击的状态，该步骤相当于将输入的正常数据特征进行融合，并输出系统未受到攻击的后验概率，取对数值，然后选择最小值为阈值T：

T＝min(-ln(P(T_k|E＝{e_h,s}))) (3)

3)入侵检测阶段，分为三个步骤：

3.1)实时计算h个传感器下每个周期的工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

3.2)实时将3.1)处理所得的多尺度样本熵值数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络模型，选择变量消去推理引擎计算得出每个时刻对应的概率值P(T_k|E＝{e_h,s})，即：

3.3)实时攻击检测。

进一步，所述3.3)中，据上一步得到的P(T_k|E＝{e_h,s})，与阈值进行对比，如果超过阈值，则认为存在攻击。

再进一步，所述1.2)的过程如下：

1.2.1)将多尺度时间序列依次组成一组维数为g的向量序列，即：

Y_g(w)代表从第w点开始的g个连续的y值。

1.2.2)定义向量Y_g(w)与

之间的距离d[Y_g(w),Y_g(j)]为两者对应元素中最大差值的绝对值。即：

d[Y_g(w),Y_g(j)]＝max_{t＝0,…,g-1}(|y^(s)(w+t)-y^(s)(j+t)|) (5)

1.2.3)对于给定的Y_g(w)，统计Y_g(w)与Y_g(j)之间距离小于相似度阈值f的数目，并记作Num。

定义为Num和重构向量总个数的比值：

1.2.4)定义B^g(f)为

个

的均值：

1.2.5)增加维数到g+1，重复步骤1.2.1)～1.2.4)，可得B^g+1(f)：

这样B^g(f)是两个序列在相似度阈值f下匹配g个点的概率，而B^g+1(f)是两个序列在相似度阈值f下匹配g+1个点的概率。当

为有限值时，多尺度序列的样本熵值定义为：

其中，嵌入维数g取1或2；相似度阈值f的选择很大程度上取决于实际应用场景，选择f＝0.15*std～0.25*std，std表示不同尺度因子s下时间序列的标准差。

进一步，所述1.5)的过程如下：

1.5.1)首先确定网络参数θ的先验分布P(θ)，这里假设P(θ)服从狄利克雷分布，即：

其中，α是超参，τ(α)是Gama函数。

1.5.2)样本发生的概率为：

1.5.3)利用贝叶斯公式，求θ的后验分布：

此时确定的网络参数θ即为后验概率最大时的贝叶斯网络参数。

本发明方法具有以下优点：1、分析网络化运动控制系统的多个物理传感器信息，使得所提方法比基于单传感器的方法效果更佳。2、从数据驱动的角度出发，充分利用网络化运动控制系统中已存在的传感器信息，不依赖精确的控制系统模型。3、通过简单的粗粒化操作，用很少的计算代价获得了更多的特征信息，在满足网络化运动控制系统实时性的同时提升了一定的检测性能。4、贝叶斯网络结合了一定的先验知识，具有更好的泛化能力，同时起到了决策融合的作用，并且计算效率极高，是非常适用于网络化运动控制系统的检测方法。

附图说明

图1是网络化运动控制系统的结构框图；

图2是网络化运动控制系统发生隐蔽性攻击示意图；

图3是贝叶斯网络结构图；

图4是贝叶斯网络精确推理流程图；

图5是网络化运动控制系统攻击检测方法框架示意图。

具体实施方式

为了使本发明的技术方案、设计思路能更加清晰，我们结合附图进行详尽的描述。

研究对象是重复加工过程，采样数据是X，Y轴参数信息，呈现周期性，并且存在自然扰动。

参照图1，现有的大多数网络化运动控制系统通常由上位机、下位机以及工业现场的伺服驱动系统构成，上位机与下位机之间通过EtherCAT现场总线协议实现通信。

参照图2，正弦攻击属于隐蔽性攻击，当网络化运动控制系统受到该攻击时，控制系统中控制器输出被注入了一定幅值和频率的正弦信号，控制过程变量始终在工作范围小幅波动，系统不会偏离正常的工作状态，但是攻击信号的频率会致使与变量相关的执行器开度以一定幅值正弦震荡，最终造成产品缺陷或工控设备损坏。

参照图5，一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，包括以下步骤：

1)模型训练阶段，分为五个步骤：

1.1)获取h个传感器下L个周期的历史正常工况时间序列数据，每个周期的数据长度为N，单个传感器在离线情况下采集L个周期的正常工况时间序列数据为

将该时间序列数据进行粗粒化处理，即：

其中，y^(s)(w)粗粒化处理得到的多尺度时间序列，s为尺度因子，且s∈N⁺，N⁺为正整数；

1.2)计算多尺度样本熵值

由1.1)所得到的多尺度时间序列

计算其样本熵值，即多尺度样本熵值：

1.2.1)将多尺度时间序列依次组成一组维数为g的向量序列，即：

Y_g(w)代表从第w点开始的g个连续的y值；

1.2.2)定义向量Y_g(w)与

之间的距离d[Y_g(w),Y_g(j)]为两者对应元素中最大差值的绝对值，即：

d[Y_g(w),Y_g(j)]＝max_{t＝0,…,g-1}(|y^(s)(w+t)-y^(s)(j+t)|) (2)

1.2.3)对于给定的Y_g(w)，统计Y_g(w)与Y_g(j)之间距离小于相似度阈值f的数目，并记作Num。

定义为Num和重构向量总个数的比值：

1.2.4)定义B^g(f)为

个

的均值：

1.2.5)增加维数到g+1，重复步骤1.2.1)～1.2.4)，可得B^g+1(f)：

当

为有限值时，多尺度序列的样本熵值定义为：

其中，嵌入维数g取2；相似度阈值f选择f＝0.15*std，std表示表示不同尺度因子s下时间序列的标准差；

1.3)计算h个传感器下的多尺度样本熵值，并对所得到的多尺度样本熵值数据进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

1.4)参照图3，确定贝叶斯网络中随机变量之间的拓扑关系，形成一个有向无环图，随机变量之间的拓扑关系通常需要专家知识结合历史观测数据得到，目的是获得特定域中每一变量间的逻辑关系；

1.5)参照图5，基于给定的贝叶斯网络结构，使用贝叶斯估计方法，通过对历史正常工况时间序列样本数据学习以及结合先验知识获得相关变量间的条件概率表，确定贝叶斯网络模型，假设获取了Q个序列的样本集D，观测值为U＝(U₁,U₂,U₃,…,U_Q)，即：

1.5.1)首先确定网络参数θ的先验分布P(θ)，这里假设P(θ)服从狄利克雷分布，即：

其中，α是超参，τ(α)是Gama函数。

1.5.2)样本发生的概率为：

1.5.3)利用贝叶斯公式，求θ的后验分布：

此时确定的网络参数θ即为后验概率最大时的贝叶斯网络参数。

2)阈值确定阶段，参照图5，将阈值确定阶段分为三个步骤：

2.1)计算h个传感器下每个周期的正常工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

2.2)将步骤2.1)处理得到的多尺度样本熵值数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络模型；

2.3)确定阈值，参照图4，选择变量消去推理引擎计算得出每个时刻对应的后验概率值P(T_k|E＝{e_h,s})，即：

式(10)表示在输入特征信息集{e_h,s，h,s＝1,2,3,…}后目标为T_k(k＝1或-1)的后验概率，其中，T_k(k＝1或-1)为系统受到攻击或未受到攻击的状态。该步骤相当于将输入的正常数据特征进行融合，并输出系统未受到攻击的后验概率，一般情况下取对数值，然后选择最小值作为阈值T：

T＝min(-ln(P(T_k|E＝{e_h,s}))) (11)

3)入侵检测阶段，分为三个步骤：

3.1)实时计算h个传感器下每个周期的工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

3.2)参照图5，实时将3.1)处理所得的多尺度样本熵值数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络模型，参照图4，选择变量消去推理引擎计算得出每个时刻对应的概率值P(T_k|E＝{e_h,s})，即：

3.3)实时攻击检测，根据上一步得到的P(T_k|E＝{e_h,s})，与阈值进行对比，如果超过阈值，则认为存在攻击。

本说明书的实施例所述的内容仅仅是对发明构思的实现形式的列举，仅作说明用途。本发明的保护范围不应当被视为仅限于本实施例所陈述的具体形式，本发明的保护范围也及于本领域的普通技术人员根据本发明构思所能想到的等同技术手段。

Claims (4)

1.一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，其特征在于，所述方法包括如下步骤：

1)模型训练阶段，包括以下步骤：

1.1)获取h个传感器下L个周期的历史正常工况时间序列数据，每个周期的数据长度为N，单个传感器在离线情况下采集L个周期的正常工况时间序列数据为

将该时间序列数据进行粗粒化处理，即：

其中，y^(s)(w)粗粒化处理得到的多尺度时间序列，s为尺度因子，且s∈N⁺，N⁺为正整数，经过粗粒化处理获得不同尺度因子s下的特征信息，以提升模型的检测性能；

1.2)计算多尺度样本熵值

针对1.1)所得到的多尺度时间序列

计算其样本熵值，即多尺度样本熵值；

1.3)计算h个传感器下的多尺度样本熵值，并对所得到的多尺度样本熵值数据进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M个合理等区间划分，M≥2且M∈N⁺，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

1.4)确定贝叶斯网络中随机变量之间的拓扑关系，形成一个有向无环图，随机变量之间的拓扑关系通常需要专家知识结合历史观测数据得到，目的是获得特定域中每一变量间的逻辑关系；

1.5)，基于给定的贝叶斯网络结构，使用贝叶斯估计方法，通过对历史正常工况时间序列样本数据集{e_h,s，h,s＝1,2,3,…}学习以及结合先验知识获得相关变量间的条件概率表，确定贝叶斯网络模型，假设获取了Q个序列的样本集D，观测值为U＝(U₁,U₂,U₃,…,U_Q)；

2)阈值确定阶段，包括以下步骤：

2.1)计算h个传感器下每个周期的正常工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M个合理等区间划分，M≥2且M∈N⁺，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

2.2)将步骤2.1)处理得到的多尺度样本熵值样本数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络模型；

2.3)确定阈值，选择变量消去推理引擎推理得出每个时刻对应的后验概率值P(T_k|E＝{e_h,s})，即：

式(10)表示在输入特征信息集{e_h,s,h,s＝1,2,3,…}后目标为T_k的后验概率，k＝1或-1，其中，P(E＝{e_h,s})为先验概率，T_k为系统受到攻击或未受到攻击的状态，该步骤相当于将输入的正常数据特征进行融合，并输出系统未受到攻击的后验概率，取对数值，然后选择最小值作为阈值T：

T＝min(-ln(P(T_k|E＝{e_h,s}))) (11)

3)入侵检测阶段，包括以下步骤：

3.1)实时计算h个传感器下每个周期工况时间序列的多尺度样本熵值，进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M个合理等区间划分，M≥2且M∈N⁺，区间长度为

划分完成后给每个子区间一个标签值0,1,2,…；

3.2)实时将3.1)处理所得的多尺度样本熵值数据集{e_h,s，h,s＝1,2,3,…}输入至训练好的贝叶斯网络，选择变量消去推理引擎计算得出每个时刻对应的概率值P(T_k|E＝{e_h,s})，即：

3.3)实时攻击检测。

2.如权利要求1所述的基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，其特征在于，所述3.3)中，据上一步得到的P(T_k|E＝{e_h,s})，与阈值进行对比，如果超过阈值，则认为存在攻击。

3.如权利要求1或2所述的基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，其特征在于，所述1.2)的过程如下：

1.2.1)将多尺度时间序列依次组成一组维数为g的向量序列，即：

，Y_g(w)代表从第w点开始的g个连续的y值；

1.2.2)定义向量Y_g(w)与

之间的距离d[Y_g(w),Y_g(j)]为两者对应元素中最大差值的绝对值，即：

d[Y_g(w),Y_g(j)]＝max_{t＝0,…,g-1}(|y^(s)(w+t)-y^(s)(j+t)|) (2)

1.2.3)对于给定的Y_g(w)，统计Y_g(w)与Y_g(j)之间距离小于相似度阈值f的数目，并记作Num，

定义为Num和重构向量总个数的比值：

1.2.4)定义B^g(f)为

个

的均值：

1.2.5)增加维数到g+1，重复步骤2.1)～2.4)，可得B^g+1(f)：

这样B^g(f)是两个序列在相似度阈值f下匹配g个点的概率，而B^g+1(f)是两个序列在相似度阈值f下匹配g+1个点的概率，当

为有限值时，多尺度序列的样本熵值定义为：

其中，嵌入维数g取1或2；相似度阈值f的选择很大程度上取决于实际应用场景，选择f＝0.15*std～0.25*std，std表示不同尺度因子s下时间序列的标准差。

4.如权利要求1或2所述的基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，其特征在于，所述1.5)的过程如下：

1.5.1)首先确定网络参数θ的先验分布P(θ)，这里假设P(θ)服从狄利克雷分布，即：

其中，α是超参，τ(α)是Gama函数；

1.5.2)样本发生的概率为：

1.5.3)利用贝叶斯公式，求θ的后验分布：

此时确定的网络参数θ即为后验概率最大时的贝叶斯网络参数。

Images