CN113009817B - 一种基于控制器输出状态安全熵的工控系统入侵检测方法 - Google Patents

Abstract

本发明公开了一种基于控制器输出状态安全熵的工控系统入侵检测方法。该方法不需要额外采集工控系统设备信息，通过采集控制器输出状态并有效处理即可实现入侵检测。该方法基于获得的控制器输出状态集合，通过处理得到数字输出状态集合和模拟输出状态集合，然后建立状态关联度描述状态对的独立关系。在确定状态对之间的独立关系后，分别计算数字输出状态和模拟输出状态的安全熵，并计算得到用于衡量整个工控系统安全状态的联合安全熵。最后，在所设定的固定周期内迭代计算联合安全熵，通过实时联合安全熵与安全阈值的比较，快速可靠的判断工控系统是否遭到入侵。

Description

一种基于控制器输出状态安全熵的工控系统入侵检测方法

技术领域

本发明属于工控系统安全检测与防御领域，具体涉及一种基于控制器输出状态安全熵的工控系统入侵检测方法。

背景技术

工业控制系统(简称：工控系统)是一种是用于管理和控制关键基础设施的特殊信息系统，通常用于统称各种用于工业生产的控制系统，包括监视控制与数据采集系统、分布式控制系统、可编程逻辑控制器(PLC)等。广泛应用于国防、电网、石化、交通、冶金等各类关键基础设施中，对保证国家安全和社会稳定有着重要作用。由于衡量工控系统的最重要指标是可用性，因此传统的工控系统几乎不考虑安全性；同时，随着近年来互联网络技术的迅猛发展，原本相对隔离的工控系统与信息技术深度融合，不断暴露在安全问题突出的网络中，使得工控系统正面临着严峻的安全问题。近年来，各类安全事件的频频发生，也引起了各国对工控系统安全问题的关注与思考。工控系统的入侵检测作为工控系统安全防御体系中的关键环节，已成为研究的焦点。

然而，现有的针对工控系统入侵检测方法的研究主要面临三个挑战：1)由于工控系统与信息系统(IT)在应用场景、应用对象、性能指标、技术需求等方面有本质性的区别，所以针对IT系统提出的入侵检测方法难以直接应用在工控系统中；2)针对工控系统的入侵检测方法普遍只考虑了控制器输出状态中的部分状态，难以适用于更复杂的工控场景，如控制器输出即有数字状态，也有模拟状态；3)根据近年来的研究可知，入侵工控系统的恶意攻击往往具有极强的隐蔽性，使得现有的基于网络流量等传统方法的入侵检测技术难以及时检测出恶意攻击，从而无法支撑工程师快速发现系统安全问题，进而采取措施保证工控系统的可用性。

发明内容

为此，本发明要解决的技术问题在于现有技术中针对工控系统的入侵检测方法比较缺乏，且检测结果不能达到保证工控系统可用性的需求，从而申请提出一种基于控制器输出状态安全熵的工控系统入侵检测方法。该方法针对工控系统场景的特殊性，通过采集有效的控制器输出状态，获得控制器的输出状态集合，然后基于获得的控制器输出状态集合，处理得到数字输出状态集合和模拟输出状态集合，并建立状态关联度描述状态之间的独立关系。在确定状态对的独立关系后，分别计算数字输出状态和模拟输出状态的安全熵，最终得到用于衡量整个工控系统安全状态的联合安全熵阈值。最后，在所设定的固定周期内迭代计算联合安全熵，通过实时联合安全熵与安全阈值的比较，实现快速可靠的工控系统入侵检测。

为达到上述目的，本发明的技术方案如下：一种基于控制器输出状态安全熵的工控系统入侵检测方法，该方法包括如下步骤：

S1：采集工控系统中控制器的输出状态，组成控制器输出状态集合。

S2：处理所获得的控制器输出状态集合，分别得到控制器数字输出状态集合和模拟输出状态集合。

S3：分别计算单个数字输出状态和单个模拟输出状态的安全熵。

S4：针对控制器输出状态集合中的任一状态对，判断状态对的独立关系。

S5：基于S3得到的输出状态安全熵和S4得到的状态对独立关系，计算工控系统的联合安全熵。

S6：基于S5中得到的工控系统联合安全熵，设置系统联合安全熵阈值，并使用阈值作为安全情况判断的标准。

进一步地，所述步骤S1中：

可以使用两种方法从工控系统中获得所需的控制器输出状态集合。第一种是从人机交互界面处以软件数据导出的方式获取；第二种是直接从工控网络中嗅探流量数据包，然后基于控制器与人机交互界面之间的通信协议，从数据包中解析出控制器输出状态。

进一步地，所述步骤S2中：

将ON/OFF电压信号、按钮、选择开关、行程开关、继电器触点、光电开关、数字拨码开关等控制器输出状态自动分类为数字输出状态，将如电压信号、电流信号、电位器、测速发电机、各种变速器等控制器输出状态自动分类为模拟输出状态。

进一步地，所述步骤S4具体包括如下步骤：

S41：基于状态之间的互信息，建立状态之间的关联度，描述状态对的独立关系；

S42：设置关联度阈值，当关联度超过阈值时，说明状态对相互不独立，否则状态对相互独立。

进一步地，所述步骤S4中，令φ_i和φ_j是一个状态对，满足

γ(φ)为控制器输出状态集合，令R(φ_i,φ_j)∈[0,1]表示状态之间的关联度，I(φ_i,φ_j)表示状态之间的互信息，H(φ_i|φ_j)表示φ_i基于φ_j的条件熵，H(φ_i)表示φ_i的安全熵，有

I(φ_i,φ_j)＝H(φ_i)-H(φ_i|φ_j)＝H(φ_j)-H(φ_j|φ_i)

0≤I(φ_i,φ_j)≤MIN(H(φ_i),H(φ_j))

令δ表示关联度阈值，当R(φ_i,φ_j)＞δ时，则状态对相互不独立；否则，状态对相互独立。

进一步地，所述步骤S5具体包括如下步骤：

S51：当所有状态相互独立，则整个系统的联合安全熵H_U为

其中M＝card(γ(φ))；

S52：当系统中存在有状态之间相互不独立的情况，整个系统的联合安全熵分三种不同的情况：

(1)当相互不独立的状态对φ_i，φ_j都是数字输出状态时，其条件熵为

(2)当相互不独立的状态对φ_i，φ_j都是模拟输出状态时，其条件熵为

H(φ_i|φ_j)＝-∫f(x,y)logf(x|y)dxdy

其中f(x,y)为φ_i和φ_j的联合概率密度函数；

(3)当相互不独立的状态对φ_i，φ_j中一个为数字输出状态，另一个为模拟输出状态时，假设对于给定数字输出状态φ_j下的模拟输出状态φ_i的条件概率分布服从高斯分布，即

其中x,μ_y∈R,y∈Γ(φ_j),σ＞0；令φ_j取值1的概率为p，取值0的概率为q，可得φ_i和φ_j的联合概率密度函数为

从而得到φ_i，φ_j的条件熵；最终得到整个系统的联合安全熵为

进一步地，所述步骤S6具体包括如下步骤：

S61：以S5中得到的工控系统联合安全熵作为样本进行训练，得到正常状态下的工控系统联合安全熵，并设为安全阈值；

S62：设置一个计算迭代周期，通过周期性迭代计算系统联合安全熵并与安全阈值相比较，判断是否遭到攻击。

进一步地，所述步骤S6中，得到正常状态下的工控系统联合安全熵H_U后，计算安全阈值

如下：

其中α为上浮系数，α∈[0,1)；

令一个计算迭代周期为T_U，每隔T_U计算一次联合安全熵，当某个周期的联合安全熵值超过安全阈值，则判定为系统遭到了攻击，否则系统没有遭到攻击。

本发明的有益效果在于：本发明针对工控系统应用场景的特点，采用工控系统中控制器的数字输出状态和模拟输出状态作为主要数据源，提高了入侵检测方法的应用广泛性；从系统整体的角度出发，通过建立状态关联度来描述状态对的独立关系，建立了可用于衡量整个工控系统安全状态的基于安全熵的入侵检测方法；可以面向不同的工控系统设定计算系统联合安全熵的固定周期，在保证工控系统可用性的同时，提高计算的效率。

附图说明

图1为本发明实施例提供的一种基于控制器输出状态安全熵的工控系统入侵检测方法的流程图；

图2为本发明实施例提供的一种基于控制器输出状态安全熵的工控系统入侵检测方法中步骤S1获得控制器输出状态的示意图；

图3为本发明提出的基于控制器输出状态安全熵的入侵检测方法的检测率；

图4为本发明提出的基于控制器输出状态安全熵的入侵检测方法的误报率。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细说明。

如图1所示，本发明实施例提出的一种基于控制器输出状态安全熵的工控系统入侵检测方法，包括如下步骤：

S1：如图2所示，可以利用两种方法从工控系统中获得所需的控制器输出状态集合γ(φ)。第一种是从人机交互界面处以软件数据导出的方式获取；第二种是直接从工控网络中嗅探流量数据包，然后基于控制器与人机交互界面之间的通信协议，从数据包中解析出控制器输出状态。

S2：处理所获得的控制器输出状态集合γ(φ)，分别得到控制器数字输出状态集合γ_D(φ)和模拟输出状态集合γ_C(φ)。具体地，将ON/OFF电压信号、按钮、选择开关、行程开关、继电器触点、光电开关、数字拨码开关等控制器输出状态自动分类为数字输出状态，将如电压信号、电流信号、电位器、测速发电机、各种变速器等控制器输出状态自动分类为模拟输出状态。

S3：分别计算单个数字输出状态的安全熵H_D和单位模拟输出状态的安全熵H_C。该步骤具体包括以下子步骤：

S31：对任一数字输出状态φ_k∈γ_D(φ)，考虑其可能的取值范围为Γ(φ_k)，安全状态量可描述为该状态的分布律函数

T(a_i)＝f(P(a_i))

其中P(a_i)表示状态φ_k为a_i值的概率，T(a_i)，a_i∈Γ(φ_k)表示状态φ_k所具有的安全状态量，f(·)为P(a_i)到T(a_i)的映射函数。由于安全状态量表示单一状态对整个系统安全的影响，其本质还是一个随机变量，不能直接用来衡量整个系统的安全状态。因而引入安全熵，即：

其中N＝card(Γ(φ_k))。

S32：对任一模拟输出状态φ_k∈γ_C(φ)，通过蒙特·卡罗积分公式求得概率密度函数f(x)，基于数字输出状态的计算过程，可得模拟输出状态的安全熵H_C(φ_k)为

H_C(φ_k)＝∫_sf(x)logf(x)dx

其中s＝{x|f(x)＞0}为使f(x)＞0的所有x的集合。

S4：令φ_i和φ_j是一个状态对，满足

判断控制器输出状态集合γ(φ)中任意状态对之间的独立关系。具体为：

令R(φ_i,φ_j)∈[0,1]表示状态之间的关联度，I(φ_i,φ_j)表示状态之间的互信息，H(φ_i|φ_j)表示φ_i基于φ_j的条件熵，有

I(φ_i,φ_j)＝H(φ_i)-H(φ_i|φ_j)＝H(φ_j)-H(φ_j|φ_i)

0≤I(φ_i,φ_j)≤MIN(H(φ_i),H(φ_j))

显然，R(φ_i,φ_j)值越大，φ_i，φ_j之间的关联度越大，状态对相互独立的可能性越低。令δ表示关联度阈值，当R(φ_i,φ_j)＞δ时，则状态对相互不独立；否则，状态对相互独立。

S5：计算工控系统的联合安全熵。根据状态对的独立关系，得到整个工控系统的联合安全熵H_U。该步骤具体包括以下子步骤：

S51：当所有状态相互独立，则整个系统的联合安全熵H_U为

其中M＝card(γ(φ))。

S52：考虑实际的工控系统中几乎不存在任意状态之间都满足相互独立的情况，因此当系统中存在有状态之间相互不独立的情况，整个系统的联合安全熵主要有如下三种不同的情况：

(1)当相互不独立的状态对φ_i，φ_j都是数字输出状态时，可得其条件熵为

(2)当相互不独立的状态对φ_i，φ_j都是模拟输出状态时，可得其条件熵为

H(φ_i|φ_j)＝-∫f(x,y)logf(x|y)dxdy

其中f(x,y)为φ_i和φ_j的联合概率密度函数；

(3)当相互不独立的状态对φ_i，φ_j中一个为数字输出状态，另一个为模拟输出状态时，假设对于给定数字输出状态φ_j下的模拟输出状态φ_i的条件概率分布服从高斯分布，即

其中x,μ_y∈R,y∈Γ(φ_j),σ＞0。同时，考虑工控系统中，数字输出状态φ_j取值范围为0和1，即Γ(φ_j)＝{0,1}。令φ_j取值1的概率为p，取值0的概率为q，可得φ_i和φ_j的联合概率密度函数为

从而得到φ_i，φ_j的条件熵。最终得到整个系统的联合安全熵为

S6：判断工控系统是否遭到攻击。根据计算得到的工控系统联合安全熵H_U，使用样本进行训练，计算出一个处于正常状态下的系统联合安全熵H_U，然后计算安全阈值

如下：

其中α为上浮系数，α∈[0,1)。

令一个计算迭代周期为T_U，通过每隔T_U计算一次联合安全熵，一旦某个周期的联合安全熵值超过了安全阈值，则判定为系统遭到了攻击，否则系统没有遭到攻击。

下面结合仿真实例对本发明的效果做进一步的描述。

针对仿真工业控制系统，对其发起36种类型网络攻击以篡改控制器的状态。设置计算迭代周期T_U＝140s，α＝0.3，针对不同关联度阈值δ，计算检测率和误报率。本发明所提出的基于控制器输出状态安全熵的入侵检测方法的检测率和误报率如图3和图4所示，其中横轴表示不同关联度阈值δ的变化，纵轴分别表示检测率和误报率。从图3可以看出，本发明所提方法在调整合适δ的条件能够达到97.2％的检测率，能够有效检测出针对控制器的网络攻击。而从图4中可以看出，本发明所提方法能够以0.06％甚至更低的误报率进行工作。相关仿真进一步验证了本发明所引入的基于控制器状态安全熵的入侵检测方法的有效性。

本实施例所述的一种基于控制器输出状态安全熵的工控系统入侵检测方法，无需复杂的数据采集，采用工控系统中控制器的数字输出状态和模拟输出状态作为主要数据源；通过建立状态关联度来描述状态对的独立关系，建立了可用于衡量整个工控系统安全状态的基于联合安全熵的入侵检测方法；可以面向不同的工控系统设定计算系统联合安全熵的固定周期，在保证工控系统可用性的同时，提高计算的效率。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (3)

1.一种基于控制器输出状态安全熵的工控系统入侵检测方法，其特征在于，该方法包括如下步骤：

S1：采集工控系统中控制器的输出状态，组成控制器输出状态集合；

S2：处理所获得的控制器输出状态集合，分别得到控制器数字输出状态集合和模拟输出状态集合；所述数字输出状态包括：ON/OFF电压信号、按钮、选择开关、行程开关、继电器触点、光电开关、数字拨码开关；

所述模拟输出状态包括：电压信号、电流信号、电位器、测速发电机、各种变速器；

S3：分别计算单个数字输出状态的安全熵H_D和单位模拟输出状态的安全熵H_C；该步骤具体包括以下子步骤：

S31：对任一数字输出状态φ_k∈γ_D(φ)，其取值范围为Γ(φ_k)，安全状态量描述为该状态的分布律函数

T(a_i)＝f(P(a_i))

其中P(a_i)表示状态φ_k为a_i值的概率，T(a_i)，a_i∈Γ(φ_k)表示状态φ_k所具有的安全状态量，f(·)为P(a_i)到T(a_i)的映射函数；

其中N＝card(Γ(φ_k))；

S32：对任一模拟输出状态φ_k∈γ_C(φ)，通过蒙特·卡罗积分公式求得概率密度函数f(x)，基于数字输出状态的计算过程，得到模拟输出状态的安全熵H_C(φ_k)为

H_C(φ_k)＝∫_sf(x)log f(x)dx

其中s＝{x|f(x)＞0}为使f(x)＞0的所有x的集合；

S4：基于状态之间的互信息，建立状态之间的关联度，描述状态对的独立关系；

令φ_i和φ_j是一个状态对，满足

γ(φ)为控制器输出状态集合，令R(φ_i,φ_j)∈[0,1]表示状态之间的关联度，I(φ_i,φ_j)表示状态之间的互信息，H(φ_i|φ_j)表示φ_i基于φ_j的条件熵，H(φ_i)表示φ_i的安全熵，有

I(φ_i,φ_j)＝H(φ_i)-H(φ_i|φ_j)＝H(φ_j)-H(φ_j|φ_i)

0≤I(φ_i,φ_j)≤MIN(H(φ_i),H(φ_j))

令δ表示关联度阈值，当R(φ_i,φ_j)＞δ时，则状态对相互不独立；否则，状态对相互独立；

S5：基于S3得到的输出状态安全熵和S4得到的状态对独立关系，计算工控系统的联合安全熵；

当所有状态相互独立，则整个系统的联合安全熵H_U为

其中M＝card(γ(φ))；

当系统中存在有状态之间相互不独立的情况，

当相互不独立的状态对φ_i，φ_j都是数字输出状态时，其条件熵为

当相互不独立的状态对φ_i，φ_j都是模拟输出状态时，其条件熵为

H(φ_i|φ_j)＝-∫f(x,y)log f(x|y)dxdy

其中f(x,y)为φ_i和φ_j的联合概率密度函数；

当相互不独立的状态对φ_i，φ_j中一个为数字输出状态，另一个为模拟输出状态时，假设对于给定数字输出状态φ_j下的模拟输出状态φ_i的条件概率分布服从高斯分布，整个系统的联合安全熵

φ_i，φ_j为相互不独立的状态对；

S6：以S5中得到的工控系统联合安全熵作为样本进行训练，得到正常状态下的工控系统联合安全熵，并设为安全阈值；在得到正常状态下的工控系统联合安全熵H_U后，计算安全阈值

方式如下：

其中α为上浮系数，α∈[0,1)；

令一个计算迭代周期为T_U，每隔T_U计算一次联合安全熵，当某个周期的联合安全熵值超过安全阈值，则判定为系统遭到了攻击，否则系统没有遭到攻击。

2.根据权利要求1所述的一种基于控制器输出状态安全熵的工控系统入侵检测方法，其特征在于，所述步骤S1中，获得控制器输出状态集合的方法包括：

从人机交互界面处以软件数据导出的方式获取；

直接从工控网络中嗅探流量数据包，然后基于控制器与人机交互界面之间的通信协议，从数据包中解析出控制器输出状态。

3.根据权利要求1所述的一种基于控制器输出状态安全熵的工控系统入侵检测方法，其特征在于，所述步骤S5中具体计算为：

当相互不独立的状态对φ_i，φ_j中一个为数字输出状态，另一个为模拟输出状态时，假设对于给定数字输出状态φ_j下的模拟输出状态φ_i的条件概率分布服从高斯分布，即

其中x,μ_y∈R,y∈Γ(φ_j),σ＞0；令φ_j取值1的概率为p，取值0的概率为q，可得φ_i和φ_j的联合概率密度函数为

从而得到φ_i，φ_j的条件熵；最终得到整个系统的联合安全熵为

Images