CN113746669A - 一种基于脉冲反射波检测的物理入侵设备定位方法及系统 - Google Patents

一种基于脉冲反射波检测的物理入侵设备定位方法及系统 Download PDF

Info

Publication number
CN113746669A
CN113746669A CN202110920069.6A CN202110920069A CN113746669A CN 113746669 A CN113746669 A CN 113746669A CN 202110920069 A CN202110920069 A CN 202110920069A CN 113746669 A CN113746669 A CN 113746669A
Authority
CN
China
Prior art keywords
signal
pulse
reflected
intrusion
signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110920069.6A
Other languages
English (en)
Other versions
CN113746669B (zh
Inventor
刘烃
刘鹏飞
王相茗
刘杨
鲍远义
房超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN202110920069.6A priority Critical patent/CN113746669B/zh
Publication of CN113746669A publication Critical patent/CN113746669A/zh
Application granted granted Critical
Publication of CN113746669B publication Critical patent/CN113746669B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种基于脉冲反射波检测的物理入侵设备定位方法及系统,在串行通信总线网络中重复性发送短时脉冲信号同时接收总线网络中的信号,然后利用弱信号降噪技术从接收信号中提取反射信号的时域特征,并根据特征匹配检测是否存在入侵信号来判断通信总线网络中是否存在物理入侵设备,最后利用入侵反射信号的时域特征与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。该方法能快速准确地判断出系统中是否存在物理入侵设备,同时能够精确地识别每一个物理入侵设备的空间位置,解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题。

Description

一种基于脉冲反射波检测的物理入侵设备定位方法及系统
技术领域
本发明属于工业控制系统攻击检测技术领域,具体涉及一种基于脉冲反射波检测的物理入侵设备定位方法及系统。
背景技术
近几年,以信息物理系统为基础,以设备互联、智能生产、远程协调自治为目标的工业物联网,成为了工业控制系统发展与革新的主要趋势。信息网络与实体物理系统的融合,加强了信息网络数据在工业控制系统中的重要作用,利用信息网络数据可以更为全面地感知设备工作与产业链生产的过程状态,与此同时,基于信息网络数据分析也可以更为高效地构建系统级的安全防御体系。
工业控制系统大多采用自顶而下的信息网络架构和安全管理体系,面对来自外部网络的攻击威胁,业内人员以及学者都致力于研究如何保护上层网络的信息安全,并通过控制中心决策来检测网络中可疑的通信流量,却忽略了底层网络安全的重要性。近几年全世界各国频发的工控系统安全事件都表明,工业控制系统的安全架构中,最薄弱的区域实则是底层基础设施以及它们的通信网络,对于无人值守的设备间,在缺乏安全监控和物理防护的情况下,更容易受到攻击者物理性入侵行为的攻击威胁,而上层网络的安全防御架构难以顾及底层信息网络的安全。
为了保证工业控制系统运行的高效稳定,底层设备间的通信网络仍然采用传统的串行通信总线网络,而串行通信总线网络是缺乏安全保障的。通常来说,串行通信总线的通信协议简单、开放,同时没有复杂的身份认证机制来防止信息的恶意窃取和恶意指令的注入,如果攻击者在串行通信总线网络内接入通信设备,不仅可以利用接入设备窃听通信信息,甚至可以伪造恶意指令或数据发送给其他设备,造成串行通信总线网络中底层设备工作的异常,扰乱系统的稳定运行,这对于工控系统来说是极大地威胁。
目前在电力网络中常使用时域反射仪来探测传输线缆中可能存在的故障点,其原理是基于传输线阻抗不匹配所产生的反射波的分析,该技术原理针对物理入侵设备的接入同样适用。然而,由于串行通信总线网络中的底层设备较多,而物理入侵设备的接入相比于线路故障来说,对信号反射的影响又相当微弱,因此目前已有的反射探测技术都无法有效应用在串行通信总线网络中来做物理入侵设备的检测和定位工作。
发明内容
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于脉冲反射波检测的物理入侵设备定位方法及系统,用于在串行通信总线网络中防止由物理入侵设备接入所带来的攻击威胁,并能做到快速高效地定位物理入侵设备的位置分布,解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题。
本发明采用以下技术方案:
一种基于脉冲反射波检测的物理入侵设备定位方法,在串行通信总线网络中重复性发送短时脉冲信号,发送同时接收总线网络中的信号;利用弱信号降噪技术从接收的信号中提取反射信号的时域特征;根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;最后利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
具体的,重复性发送短时脉冲信号并同时接收总线网络中的信号,具体为:
利用脉冲检测设备实现物理入侵设备的定位,若通信总线处于空闲状态,则执行物理入侵设备定位,在通信总线源端接入脉冲检测设备,并向通信总线上周期性地发送脉冲信号;若通信总线处于数据传输状态,则等待通信总线的工作结束。
进一步的,在脉冲检测设备发送脉冲信号的同时,脉冲检测设备同步采集通信总线上的信号数据。
具体的,利用弱信号降噪技术从接收信号中提取反射信号的时域特征具体为:
S301、基于源脉冲信号的时间间隔,将采集的信号数据分解为多个信号周期,然后基于源脉冲信号的脉宽与幅值,在每一个信号周期内分离源脉冲信号,保留反射脉冲信号区间;
S302、利用时域平均降噪技术,将多个反射脉冲信号区间的信号数据累加平均到一个反射脉冲信号区间上;
S303、在平均后的反射脉冲信号区间内,评估信道噪声能量并确定阈值门限,检测反射脉冲信号的跳变,依次提取出由不同通信设备引起的反射脉冲信号;
S304、计算反射脉冲信号的特征序列,包括每个反射脉冲信号的起始时间、终止时间与信号峰值。
具体的,基于数据库中标准的特征序列,对各个反射脉冲信号的时域特征进行匹配,检测是否存在特征异常的反射脉冲信号。
进一步的,对各个反射脉冲信号的时域特征进行匹配具体为:
将提取的反射脉冲信号的特征序列与标准特征序列进行比对,标准特征序列是在串行通信总线网络绝对安全的环境下得到,并存储在本地数据库中的特征序列;分别检测起始时间和终止时间特征,将时间特征存在异常的反射脉冲信号合并到入侵信号的集合中。
更进一步的,将时间特征均正常的反射脉冲信号合并到正常信号的集合中,然后检测信号峰值特征,将峰值特征异常的反射脉冲信号从正常信号集合中取出,添加到入侵信号集合中。
具体的,若入侵信号集合非空,估计各个物理入侵设备到检测源的距离长度具体为:
基于脉冲信号在通信总线上的传输速度,以及各个入侵信号的时序脉宽,估算对应的物理入侵设备至脉冲检测设备的总线长度,完成对不同区域分布的物理入侵设备的定位。
具体的,在物理入侵设备定位过程执行完毕后,将检测和定位信息上报给控制中心以做出应急响应。
本发明的另一技术方案是,一种多设备协同发波检验的物理入侵设备定位系统,包括:
收发模块,在串行通信总线网络中重复性发送短时脉冲信号,同时接收总线网络中的信号;
提取模块,利用弱信号降噪技术从接收信号中提取反射信号的时域特征;
检测模块,根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;
定位模块,利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
与现有技术相比,本发明至少具有以下有益效果:
本发明一种基于脉冲反射波检测的物理入侵设备定位方法,在串行通信总线网络中重复性发送短时脉冲信号,发送同时接收总线网络中的信号,然后利用弱信号降噪技术从接收信号中提取反射信号的时域特征,再根据时域特征的匹配检测是否存在异常反射信号(入侵信号),判断通信总线网络中是否存在物理入侵设备,最后利用入侵反射信号的时域特征与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。本发明实现了对总线通信网络中物理入侵设备的检测与定位,解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题。
进一步的,由于脉冲信号能量集中且在时域上具有较强的可分辨性,通过在串行通信总线网络中发送短时脉冲信号,同时接收总线网络中的信号,有利于对总线网络中各个终端设备产生的反射信号的捕获和分析。
进一步的,由于终端设备产生的反射信号幅值非常微弱,通过重复性地发送短时脉冲信号可以积累大量信号样本,根据时域平均降噪技术原理,周期性的信号样本可以有助于反射信号波形的恢复和时域特征的提取。
进一步的,由于物理入侵设备在总线网络中的接入点不同于正常终端设备,通过对各个反射信号的时域特征的分析,以及基于正常总线网络环境下得到的标准特征序列的匹配,可以检测出时域特征异常的入侵信号,可以准确地判断出总线网络中是否存在物理入侵设备。
进一步的,基于数据库中标准的特征序列,对各个反射脉冲信号的时域特征进行匹配,若检测到特征异常的反射脉冲信号,则利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度;若没有检测到特征异常的反射脉冲信号,则将物理入侵设备的检测与定位结果上报控制中心。
进一步的,由于入侵信号起始时间、终止时间特征均与物理入侵设备的空间位置直接相关,因此利用入侵信号的时域特征可以精确地估计出物理入侵设备至信号源的总线长度距离。
进一步的,仅在串行通信总线网络空闲时执行物理入侵设备的定位,不会影响设备间正常通信,且在定位过程中发送的脉冲信号与正常通信的信号不冲突,不会因为其他设备接收脉冲信号而做出异常响应导致系统紊乱。
进一步的,仅在执行物理入侵设备定位时接入脉冲检测设备,不需要改变原有通信设备的硬件功能,也不会破坏原有通信网络的连接结构。
综上所述,本发明在串行通信总线网络空闲时执行对物理入侵设备的检测与定位,既不会影响和干扰终端设备间正常通信,不需要改变原有通信设备的硬件功能以及通信网络的连接结构。通过重复性发送脉冲信号,接收并提取反射信号特征,基于特征匹配检测入侵信号以及基于特征估计入侵设备位置,本发明能快速准确地判断出串行通信总线网络中是否存在物理入侵设备,并能够根据精确定位物理入侵设备位置,有助于控制中心及时做出安全预案的响应工作,防止攻击者对系统造成严重的损害。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为工控系统多层次通信网络结构简图;
图2为工控系统RS485总线网络的等效模型图;
图3为物理入侵设备接入前的反射脉冲信号波形图;
图4为物理入侵设备接入后的反射脉冲信号波形图;
图5为本发明的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
在附图中示出了根据本发明公开实施例的各种结构示意图。这些图并非是按比例绘制的,其中为了清楚表达的目的,放大了某些细节,并且可能省略了某些细节。图中所示出的各种区域、层的形状及它们之间的相对大小、位置关系仅是示例性的,实际中可能由于制造公差或技术限制而有所偏差,并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
本发明提供了一种基于脉冲反射波检测的物理入侵设备定位方法,在串行通信总线网络中重复性发送短时脉冲信号,同时接收总线网络中的信号,然后利用弱信号降噪技术从接收信号中提取反射信号的时域特征,并根据时域特征匹配检测是否存在入侵信号,然后判断通信总线网络中是否存在物理入侵设备,最后利用入侵信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
请参阅图5,本发明一种基于脉冲反射波检测的物理入侵设备定位方法,包括以下步骤:
S1、确认串行通信总线网络的工作状态,若通信总线处于空闲状态,则可以执行物理入侵设备定位,在通信总线源端接入脉冲检测设备,并向通信总线上周期性地发送脉冲信号;若通信总线处于数据传输状态,则需等待通信总线的工作结束;
利用脉冲检测设备实现物理入侵设备的定位,该检测设备包含脉冲信号源功能,能够周期性地发送短时脉冲信号,并可通过调节脉冲信号的脉冲宽度以适应不同精确度要求的工作环境。
S2、在脉冲检测设备发送脉冲信号的同时,脉冲检测设备同步采集通信总线上的信号数据;
利用脉冲检测设备高速采集通信总线上的信号数据,高速信号采集功能可以在低速信号采集器的基础上,通过等效采样的算法来实现。
S3、分析采集的信号数据,首先在时域上分离源脉冲信号区间与反射脉冲信号区间,然后对反射脉冲信号区间上的信号数据做弱信号降噪处理,最后提取各个反射脉冲信号的时域特征;
S301、基于源脉冲信号的时间间隔,将步骤S2采集的信号数据分解为多个信号周期,然后基于源脉冲信号的脉宽与幅值,在每一个信号周期内分离源脉冲信号,保留反射脉冲信号区间;
S302、利用时域平均降噪技术,将多个反射脉冲信号区间的信号数据累加平均到一个反射脉冲信号区间上,从而降低信道噪声强度并恢复区间内各个反射脉冲信号的波形;
S303、在平均后的反射脉冲信号区间内,评估信道噪声能量并确定阈值门限,检测反射脉冲信号的跳变,依次提取出由不同通信设备引起的反射脉冲信号;
S304、计算反射脉冲信号的特征序列,包括每个反射脉冲信号的起始时间、终止时间与信号峰值。
S4、基于数据库中标准的特征序列,对各个反射脉冲信号的时域特征进行匹配,若检测到特征异常的反射脉冲信号,则继续执行步骤S5;若没有检测到特征异常的反射脉冲信号,则执行步骤S6;
S401、将步骤S3提取的反射脉冲信号的特征序列与标准特征序列进行比对,标准特征序列是在串行通信总线网络绝对安全的环境下,通过步骤S1至步骤S3获得并存储在本地数据库中的特征序列;
S402、分别检测起始时间和终止时间特征,将时间特征存在异常的反射脉冲信号合并到入侵信号的集合中,并执行步骤S404;将时间特征均正常的反射脉冲信号合并到正常信号的集合中,并执行步骤S403;
S403、检测信号峰值特征,将峰值特征异常的反射脉冲信号从正常信号集合中取出,添加到入侵信号集合中;
S404、若入侵信号集合非空,则转为执行步骤S5;若入侵信号集合为空集,则转为执行步骤S6。
S5、基于脉冲信号在通信总线上的传输速度,利用异常的反射脉冲信号的时序脉宽,对不同位置分布的物理入侵设备做出距离估算,实现对各个物理入侵设备的定位;
基于脉冲信号在通信总线上的传输速度,以及各个入侵信号的时序脉宽,估算对应的物理入侵设备至脉冲检测设备的总线长度,完成对不同区域分布的物理入侵设备的定位。
S6、将物理入侵设备的检测与定位结果上报控制中心,进行快速应急响应措施。
在物理入侵设备定位过程执行完毕后,将检测和定位信息上报给控制中心以做出应急响应。
本发明再一个实施例中,提供一种多设备协同发波检验的物理入侵设备定位系统,该系统能够用于实现上述基于脉冲反射波检测的物理入侵设备定位方法,具体的,该多设备协同发波检验的物理入侵设备定位系统包括收发模块、提取模块、检测模块以及定位模块。
其中,收发模块,在串行通信总线网络中重复性发送短时脉冲信号,同时接收总线网络中的信号;
提取模块,利用弱信号降噪技术从接收信号中提取反射信号的时域特征;
检测模块,根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;
定位模块,利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
本发明再一个实施例中,提供了一种终端设备,该终端设备包括处理器以及存储器,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器用于执行所述计算机存储介质存储的程序指令。处理器可能是中央处理单元(Central ProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor、DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其是终端的计算核心以及控制核心,其适于实现一条或一条以上指令,具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能;本发明实施例所述的处理器可以用于基于脉冲反射波检测的物理入侵设备定位方法的操作,包括:
在串行通信总线网络中重复性发送短时脉冲信号,发送同时接收总线网络中的信号;利用弱信号降噪技术从接收的信号中提取反射信号的时域特征;根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;最后利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
本发明再一个实施例中,本发明还提供了一种存储介质,具体为计算机可读存储介质(Memory),所述计算机可读存储介质是终端设备中的记忆设备,用于存放程序和数据。可以理解的是,此处的计算机可读存储介质既可以包括终端设备中的内置存储介质,当然也可以包括终端设备所支持的扩展存储介质。计算机可读存储介质提供存储空间,该存储空间存储了终端的操作系统。并且,在该存储空间中还存放了适于被处理器加载并执行的一条或一条以上的指令,这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是,此处的计算机可读存储介质可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
可由处理器加载并执行计算机可读存储介质中存放的一条或一条以上指令,以实现上述实施例中有关基于脉冲反射波检测的物理入侵设备定位方法的相应步骤;计算机可读存储介质中的一条或一条以上指令由处理器加载并执行如下步骤:
在串行通信总线网络中重复性发送短时脉冲信号,发送同时接收总线网络中的信号;利用弱信号降噪技术从接收的信号中提取反射信号的时域特征;根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;最后利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中的描述和所示的本发明实施例的组件可以通过各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一个应用场景,即在工控系统的RS485总线网络中,攻击者通过接入物理入侵设备获取通信信息并伪造控制指令,危及系统安全和稳定,然后利用本发明的一种基于反射信号特征分析的基于脉冲反射波检测的物理入侵设备定位方法检测并确定物理入侵设备的位置,通过以下案例具体分析。
请参阅图1,为工控系统多层次通信网络结构简图,该系统的通信网络主要由计算机通信网络与串行通信总线网络(RS485总线网络)构成。在RS485总线网络中,总线控制器负责监测总线使用状态并有权限向总线上发送信号,其他量测仪表、电子仪器等设备都以菊花链式的结构挂接在RS485总线之上,此外RS485总线采用两条信号线中来传递差分信号,并在末端加终端匹配电阻平衡末端阻抗。
请参阅图2,为工控系统RS485总线网络的等效模型图,在该模型中共有个n个终端设备,脉冲信号源的内阻为Zr,高速信号采集器接在脉冲信号源后端,总线网络中的各个通信设备均看作定值输入阻抗Zi(i=1,2,…,n),而通信设备间的串行总线看作定值传输线阻抗
Figure BDA0003207044020000131
(i=1,2,…,n),此外RS485总线末端接有匹配电阻以平衡终端电压。基于RS485总线网络的等效模型,脉冲检测设备包含脉冲信号源和高速信号采集期两部分,其中源脉冲信号表示为δ(t),在不考虑信道噪声的情况下,由脉冲检测设备采集的信号数据还原得到的信号应表示为:
Figure BDA0003207044020000132
其中,yk代表第k个设备引起的反射脉冲信号,αk,ρk分别代表信号在第k个设备处的衰减系数、反射系数,λk代表从第一个设备至第k个设备的传递系数的乘积,而tm表示信号传递至第k个设备处所需要的时间。
当攻击者在串行通信总线网络中接入物理入侵设备后,该入侵设备也被看作模型中的输入阻抗。由于入侵设备的接入位置未知,假设入侵设备的接入点位于第j个设备和第j+1个设备之间,入侵设备位置对应的衰减系数、反射系数分别表示为αp,ρp,信号传递至入侵设备所需时间为tp,此时由脉冲检测设备采集的信号数据还原得到的信号就应该表示为:
Figure BDA0003207044020000141
Figure BDA0003207044020000142
通过对比在物理入侵设备接入前后的脉冲检测设备所采集的信号,不难看出入侵设备的接入会产生新的反射脉冲信号yp(t),即为入侵信号,当入侵设备距离第j个和第j+1个设备都距离较远时,入侵信号会在脉冲起始时间或终止时间上表现为异常,当入侵设备距离第j个和第j+1个其中一个距离较近时,入侵信号会影响临近反射脉冲信号的脉宽和幅值,表现为信号峰值的异常。
针对此类攻击情况,结合图2的RS485总线网络等效模型,具体说明本发明中的一种基于反射信号特征分析的基于脉冲反射波检测的物理入侵设备定位方法,其包括以下步骤:
当系统初次使用本发明的物理入侵设备定位方法时,具体执行过程以及步骤如下:
步骤S1、RS485总线网络中的总线控制器确认总线的使用状态,当总线处于空闲状态时,需由工作人员断开总线控制器的通信接线,然后在断点处接入脉冲检测设备,该设备以10μs为间隔周期性地向通信总线上发送脉宽为100ns、峰值为5V的脉冲信号,转为执行步骤S2;
步骤S2、在脉冲检测设备发送脉冲信号的同时,脉冲检测设备以100MHz的等效采样率同步采集通信总线上的信号数据。根据图2的RS485总线网络等效模型,在源脉冲信号表示为δ(t)的情况下,脉冲检测设备采集到的信号为:
Figure BDA0003207044020000143
然后转为执行步骤S3;
步骤S3、对步骤S2采集的信号数据进行分析处理,具体包括以下步骤:
步骤S301、基于10μs的周期性间隔,将信号数据划分为多个信号周期,然后基于源脉冲信号的100ns的脉宽和5V的峰值,在每一个信号周期内分离出源脉冲信号,只保留反射脉冲信号的信号数据,转为执行步骤S302;
步骤S302、利用时域平均降噪技术,将多个信号周期内的信号数据进行累加平均,以降低信道噪声强度,还原反射脉冲信号的波形。在本实施例利用MATLAB软件对物理入侵设备接入前的RS485总线网络进行了仿真,图3为时域平均降噪后的反射脉冲信号波形图,从图中可以看出,反射脉冲信号的数量与时序可以与RS485总线网络中的通信设备一一对应,转为执行步骤S303;
步骤S303、评估信道噪声能量,确定反射脉冲信号跳变检测的门限阈值,提取出由不同通信设备引起的反射脉冲信号,转为执行步骤S304;
步骤S304、计算反射脉冲信号的特征序列,包括每个反射脉冲信号的起始时间、终止时间与信号峰值。
基于MATLAB的仿真结果,标准特征序列如下:
脉冲时序 起始时间/us 终止时间/us 脉宽/ns 峰值/mV
1 1.32 1.45 131 27.6
2 2.66 2.79 134 26.8
3 4.01 4.14 132 27.1
4 5.34 5.47 129 27.3
5 6.67 6.79 120 32.8
然后将标准特征序列表存储在本地数据库中,结束本次执行过程。
当系统非初次使用本发明的物理入侵设备定位方法时,具体执行过程以及步骤如下:
步骤S1、RS485总线网络中的总线控制器确认总线的使用状态,当总线处于空闲状态时,需由工作人员断开总线控制器的通信接线,然后在断点处接入脉冲检测设备,该设备以10μs为间隔周期性地向通信总线上发送脉宽为100ns、峰值为5V的脉冲信号,转为执行步骤S2;
步骤S2、在脉冲检测设备发送脉冲信号的同时,脉冲检测设备以100MHz的等效采样率同步采集通信总线上的信号数据。根据图2的RS485总线网络等效模型,在源脉冲信号表示为δ(t)的情况下,如果RS485总线网络内存在物理入侵设备,那么此时脉冲检测设备采集到的信号为:
Figure BDA0003207044020000161
Figure BDA0003207044020000162
然后转为执行步骤S3;
步骤S3、对步骤S2采集的信号数据进行分析处理,具体包括以下步骤:
步骤S301、基于10μs的周期性间隔,将信号数据划分为多个信号周期,然后基于源脉冲信号的100ns的脉宽和5V的峰值,在每一个信号周期内分离出源脉冲信号,只保留反射脉冲信号的信号数据,转为执行步骤S302;
步骤S302、利用时域平均降噪技术,将多个信号周期内的信号数据进行累加平均,以降低信道噪声强度,还原反射脉冲信号的波形。在本实施例利用MATLAB软件对物理入侵设备接入后的RS485总线网络进行了仿真,图4为物理入侵设备接入后时域平均降噪后的反射脉冲波形图,从图中可以看出,反射脉冲信号波形与图3在物理入侵设备接入前的波形存在差异,包含信号时间和峰值上的异常现象,转为执行步骤S303;
步骤S303、评估信道噪声能量,设定反射脉冲信号跳变检测的门限阈值,提取出由不同通信设备引起的反射脉冲信号,转为执行步骤S304;
步骤S304:计算反射脉冲信号的特征序列,包括每个反射脉冲信号的起始时间、终止时间与信号峰值。
在本实施例中,待检测的特征序列如下:
脉冲时序 起始时间/us 终止时间/us 脉宽/ns 峰值/mV
1 1.33 1.46 131 27.7
2 2.67 2.80 130 26.8
3 3.33 3.46 131 27.0
4 4.00 4.26 261 27.1
5 5.33 5.47 134 58.6
6 6.67 6.79 124 32.6
转为执行步骤S4;
步骤S4、对步骤S3提取的特征序列表进行分析,具体包括以下步骤:
S401、将待检测的特征序列与标准特征序列进行比对;
S402、分别检测起始时间和终止时间特征,将时间特征存在异常的反射脉冲信号合并道入侵信号集合中,并转为执行步骤S404;将时间特征均正常的反射脉冲信号合并到正常信号集合中,并转为执行步骤S403;
S403、检测信号峰值特征,将峰值特征异常的反射脉冲信号从正常信号集合中取出,添加到入侵信号集合中,并转为执行步骤S404;
S404、此时入侵信号集合非空,说明检测到异常的反射脉冲信号,则转为执行步骤S5。
步骤S5、对步骤S4检测到的3个入侵信号做对应物理入侵设备的定位估计,基于脉冲信号在RS485总线上的传输速度,以及每个入侵信号的时域脉宽,估计对应的物理入侵设备至脉冲信号源的总线长度,估计结果如下表:
Figure BDA0003207044020000181
完成对不同区域分布的物理入侵设备的定位后,转为执行步骤S6;
步骤S6、根据步骤S5的检测与定位结果,确定RS485总线网络中存在3个物理入侵设备,其位置分别在距离脉冲信号源495~514m、594~633m和792~813m处,然后将该结果上报给控制中心以做出应急响应。
由以上叙述可得,利用本发明提出物理入侵攻击设备定位方法,可以在RS485通信总线网络中准确地判别系统中是否存在物理入侵设备,并能够精确地识别每一个物理入侵设备的空间位置。
综上所述,本发明一种基于脉冲反射波检测的物理入侵设备定位方法及系统,解决了现有的利用反射信号的故障排查技术无法有效应用于串行通信总线网络并实现物理入侵设备定位的难题,同时本发明能快速准确地判断出串行通信总线网络中是否存在物理入侵设备,并能够根据精确定位物理入侵设备位置,有助于控制中心及时做出安全预案的响应工作,防止攻击者对系统造成严重的损害。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。

Claims (10)

1.一种基于脉冲反射波检测的物理入侵设备定位方法,其特征在于,在串行通信总线网络中重复性发送短时脉冲信号,发送同时接收总线网络中的信号;利用弱信号降噪技术从接收的信号中提取反射信号的时域特征;根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;最后利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
2.根据权利要求1所述的方法,其特征在于,重复性发送短时脉冲信号并同时接收总线网络中的信号,具体为:
利用脉冲检测设备实现物理入侵设备的定位,若通信总线处于空闲状态,则执行物理入侵设备定位,在通信总线源端接入脉冲检测设备,并向通信总线上周期性地发送脉冲信号;若通信总线处于数据传输状态,则等待通信总线的工作结束。
3.根据权利要求2所述的方法,其特征在于,在脉冲检测设备发送脉冲信号的同时,脉冲检测设备同步采集通信总线上的信号数据。
4.根据权利要求1所述的方法,其特征在于,利用弱信号降噪技术从接收信号中提取反射信号的时域特征具体为:
S301、基于源脉冲信号的时间间隔,将采集的信号数据分解为多个信号周期,然后基于源脉冲信号的脉宽与幅值,在每一个信号周期内分离源脉冲信号,保留反射脉冲信号区间;
S302、利用时域平均降噪技术,将多个反射脉冲信号区间的信号数据累加平均到一个反射脉冲信号区间上;
S303、在平均后的反射脉冲信号区间内,评估信道噪声能量并确定阈值门限,检测反射脉冲信号的跳变,依次提取出由不同通信设备引起的反射脉冲信号;
S304、计算反射脉冲信号的特征序列,包括每个反射脉冲信号的起始时间、终止时间与信号峰值。
5.根据权利要求1所述的方法,其特征在于,基于数据库中标准的特征序列,对各个反射脉冲信号的时域特征进行匹配,检测是否存在特征异常的反射脉冲信号。
6.根据权利要求5所述的方法,其特征在于,对各个反射脉冲信号的时域特征进行匹配具体为:
将提取的反射脉冲信号的特征序列与标准特征序列进行比对,标准特征序列是在串行通信总线网络绝对安全的环境下得到,并存储在本地数据库中的特征序列;分别检测起始时间和终止时间特征,将时间特征存在异常的反射脉冲信号合并到入侵信号的集合中。
7.根据权利要求6所述的方法,其特征在于,将时间特征均正常的反射脉冲信号合并到正常信号的集合中,然后检测信号峰值特征,将峰值特征异常的反射脉冲信号从正常信号集合中取出,添加到入侵信号集合中。
8.根据权利要求1所述的方法,其特征在于,若入侵信号集合非空,估计各个物理入侵设备到检测源的距离长度具体为:
基于脉冲信号在通信总线上的传输速度,以及各个入侵信号的时序脉宽,估算对应的物理入侵设备至脉冲检测设备的总线长度,完成对不同区域分布的物理入侵设备的定位。
9.根据权利要求1所述的方法,其特征在于,在物理入侵设备定位过程执行完毕后,将检测和定位信息上报给控制中心以做出应急响应。
10.一种基于脉冲反射波检测的物理入侵设备定位系统,其特征在于,包括:
收发模块,在串行通信总线网络中重复性发送短时脉冲信号,同时接收总线网络中的信号;
提取模块,利用弱信号降噪技术从接收信号中提取反射信号的时域特征;
检测模块,根据时域特征的匹配检测是否存在异常反射信号,判断通信总线网络中是否存在物理入侵设备;
定位模块,利用入侵反射信号的时序脉宽与传输速度,估计各个物理入侵设备到检测源的距离长度,实现不同分布的物理入侵设备的定位。
CN202110920069.6A 2021-08-11 2021-08-11 一种基于脉冲反射波检测的物理入侵设备定位方法及系统 Active CN113746669B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110920069.6A CN113746669B (zh) 2021-08-11 2021-08-11 一种基于脉冲反射波检测的物理入侵设备定位方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110920069.6A CN113746669B (zh) 2021-08-11 2021-08-11 一种基于脉冲反射波检测的物理入侵设备定位方法及系统

Publications (2)

Publication Number Publication Date
CN113746669A true CN113746669A (zh) 2021-12-03
CN113746669B CN113746669B (zh) 2022-10-25

Family

ID=78730745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110920069.6A Active CN113746669B (zh) 2021-08-11 2021-08-11 一种基于脉冲反射波检测的物理入侵设备定位方法及系统

Country Status (1)

Country Link
CN (1) CN113746669B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133922A1 (en) * 2005-08-03 2007-06-14 Murphy Cary R Intrusion detection and location system for use on multimode fiber optic cable
CN108520187A (zh) * 2018-04-20 2018-09-11 西安交通大学 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN112491870A (zh) * 2020-11-25 2021-03-12 江苏中安智信通信科技股份有限公司 一种以太网物理层防物理入侵检测方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133922A1 (en) * 2005-08-03 2007-06-14 Murphy Cary R Intrusion detection and location system for use on multimode fiber optic cable
CN108520187A (zh) * 2018-04-20 2018-09-11 西安交通大学 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN112491870A (zh) * 2020-11-25 2021-03-12 江苏中安智信通信科技股份有限公司 一种以太网物理层防物理入侵检测方法和系统

Also Published As

Publication number Publication date
CN113746669B (zh) 2022-10-25

Similar Documents

Publication Publication Date Title
CN108520187B (zh) 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法
CN103728598B (zh) 用异地配置的主被动雷达网抑制航迹欺骗干扰的方法
CN106443335A (zh) 雷击故障识别方法及系统
Xun et al. VehicleEIDS: A novel external intrusion detection system based on vehicle voltage signals
CN102510363A (zh) 一种强干扰源环境下的lfm信号检测方法
CN103776654A (zh) 多传感器信息融合的故障诊断方法
CN108390869A (zh) 集成深度学习的车载智能网关装置及其命令序列检测方法
CN112787984B (zh) 一种基于相关分析的车载网络异常检测方法及系统
CN114531283B (zh) 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端
CN101106487A (zh) 一种检测网络流量异常的方法及装置
Arvani et al. Detection and protection against intrusions on smart grid systems
CN113359666B (zh) 基于Deep SVDD的车辆外部入侵检测方法及系统
CN102621535B (zh) 一种高效的协方差矩阵结构估计方法
CN113746669B (zh) 一种基于脉冲反射波检测的物理入侵设备定位方法及系统
CN101719906A (zh) 一种基于蠕虫传播行为的蠕虫检测方法
CN116800504A (zh) 一种终端物理指纹提取及非法接入动态认证方法和装置
CN115277165B (zh) 一种车辆网络风险确定方法、装置、设备及存储介质
Yan et al. Detect and identify DDoS attacks from flash crowd based on self-similarity and Renyi entropy
CN113395296B (zh) 基于fpga的车载网络入侵检测系统及消息位时采集方法
CN104156339A (zh) 一种利用二次排列熵识别周期微弱脉冲信号的方法
CN107306252B (zh) 一种数据分析方法和系统
CN112860658B (zh) 基于数据挖掘的高速列车电磁发射预测方法
Che et al. An efficient intrusion detection approach based on hidden markov model and rough set
CN115754469B (zh) 无人机微弱信号检测提取方法、系统、设备、介质及终端
Xiong et al. Detection of false data injection attack based on improved distortion index method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant