CN114553489A - 一种基于多目标优化算法的工业控制系统安全防护方法及装置 - Google Patents
一种基于多目标优化算法的工业控制系统安全防护方法及装置 Download PDFInfo
- Publication number
- CN114553489A CN114553489A CN202210078734.6A CN202210078734A CN114553489A CN 114553489 A CN114553489 A CN 114553489A CN 202210078734 A CN202210078734 A CN 202210078734A CN 114553489 A CN114553489 A CN 114553489A
- Authority
- CN
- China
- Prior art keywords
- security
- protection
- safety
- industrial control
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000004422 calculation algorithm Methods 0.000 title claims abstract description 36
- 238000005457 optimization Methods 0.000 title claims abstract description 22
- 241000282693 Cercopithecidae Species 0.000 claims abstract description 17
- 238000011002 quantification Methods 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims abstract description 16
- 230000008901 benefit Effects 0.000 claims description 30
- 239000011159 matrix material Substances 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 12
- 239000013598 vector Substances 0.000 claims description 9
- 108091003202 SecA Proteins Proteins 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004445 quantitative analysis Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000013139 quantization Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种基于多目标进化优化算法的工业控制防护方法及装置。方法包括如下步骤:步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;步骤S3、通过多目标猴王进化算法获取最优防护策略集;步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。本申请能够实现综合有效、全面的进行工业控制的安全防护。
Description
技术领域
本发明涉及防丢失设备技术领域,具体地,涉及一种基于多目标优化算法的工业控制系统安全防护方法及装置。
背景技术
工业控制系统越来越朝向智能化、无人化的方向发展,工业控制系统涉及多个关键基础设施领域,一旦遭受到网络入侵攻击,可引发严重的安全事故,轻则造成经济财产损失,重则引发一系列不可逆转的灾难性后果,危及国家安全,因此工业控制网络进行有效的安全防护具有重要意义。
然而传统安全防护主要集中在信息域防护、防护成本经济指标等,决策依据相对单一,无法兼顾多因素平衡特点,而工业控制系统的安全防护需同时兼顾对功能安全、信息安全以及物理安全的防护需求,以保障其安全稳定运行,防止特重大工业控制安全事故发生。相关技术中缺少一种工业控制系统的安全防护方法,以实现综合有效、全面的进行工业控制的安全防护。
发明内容
本发明针对现有技术中存在的上述不足,提供了一种基于多目标优化算法的工业控制系统安全防护方法及装置。
根据本发明的一个方面,提供了一种基于多目标进化优化算法的工业控制防护方法,包括如下步骤:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
可选地,所述步骤S1包括:
根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络模型。
可选地,所述步骤S2包括:
在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)};
约束条件:Risk(X)≤RiskThr,Cost(X)≤CostThr,SecA(X)≥0,SycA(X)≥0StcA(X)≥0;
决策变量:X={x1,...xi,...,xm}1×m;
参数定义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本;
定义系统安全状态为一组列向量:
其中,om表示第m个变量的安全状态值即贝叶斯网络节点,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响;因此,om取值定义为:
定义状态偏移程度为D(X),D(X)的计算过程如下所示:
构建数据集:
安全策略X实施后的系统状态偏移程度为:
根据上述计算方法,按照如下公式分别计算多目标指标量化结果:
系统的信息安全收益SecA(X)=D(X)|SecA(X) (1)
系统的功能安全收益SycA(X)=D(X)|SycA(X) (2)
系统的物理安全收益StcA(X)=D(X)|StcA(X) (3)
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;Ai表示对应的置产损失值。
可选地,所述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数,如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
可选地,所述贝叶斯网络结构为:
其中,
第二方面,本申请实施例提供了一种基于多目标进化优化算法的工业控制防护装置,包括:
建模模块,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模;
量化模块,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块,用于通过多目标猴王进化算法获取最优防护策略集;
防护模块,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本申请实施例提供的一种基于多目标进化优化算法的工业控制防护方法及装置,针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模,并构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;通过多目标猴王进化算法获取最优防护策略集;结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。本申请综合考虑工业控制网络设备的功能安全、信息安全以及物理安全,建立多目标安全防护问题模型,提出了一种基于多目标进化优化地工业控制系统防护方法。
本申请提供方案的至少具有以下技术效果:
1、在可接受系统安全风险和有限的部署成本下,综合考虑工业控制网络设备的功能安全、信息安全以及物理安全,建立多目标安全防护问题模型,寻求最优安全防护决策部署,最大程度地保障工业控制网络的安全;
2、基于多目标猴王进化算法设计了一种基于多目标优化算法的工业控制系统防护方法,为工业控制系统安全防护领域提供参考范例;
3、多目标猴王进化算法是基于猴王进化算法提出的一种适用于求解多目标问题的进化优化算法,相比于其他进化优化算法,猴王进化算法在增强个体间协作和求解大规模优化问题方面具有明显优势;
4、同时兼顾对功能安全、信息安全以及物理安全的防护需求,能够实现综合有效、全面的进行工业控制的安全防护。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为工业控制网络结构示意图;
图2为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护方法的流程示意图;
图3为本发明一实施例中多层贝叶斯网络结构示意图;
图4为本发明一实施例提供的Pareto前沿示意图;
图5为本发明一实施例中通过多目标猴王进化算法获取最优防护策略集的流程示意图;
图6为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护装置的结构示意图。
具体实施方式
下面对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
图1为工业控制网络结构示意图;参照图1所示,工业控制网络结构包括企业层、监控层、控制层和物理层,其中,企业层部署有控制中心主机、Web服务器、管理主机和工业网关等设备,企业层设备间通过以太网、互联网等方式连接。监控层部署有操作控制站、工程师站、工业网关等,该设备之间也通过工业以太网建立连接。控制层通过工业网关与监控层的工业以太网连接,控制层部署有控制器,控制器通过现场总线与物理层设备进行通信连接,该物理层设备可以是包括传感器设备、执行器设备等。
图2为本发明一实施例提供的一种基于多目标优化算法的工业控制系统安全防护方法示意图;参照图2所示,本方法包括以下步骤S1-S4:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本申请一实施例中,上述步骤S1包括S101(图中未示出):
S101、根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络。
攻击者对工业控制网络入侵的主要途径为挖掘和利用网络中的漏洞,对其逐渐进行渗透攻击,因此本专利根据漏洞信息和已知的攻击,将其与已有的安全防护技术相结合,并分析其对应发生的事故,最后利用贝叶斯网的方法,将得到的无属性工业控制系统的攻击传播过程转换为多层贝叶斯攻击图网络,其包括攻击层、事件层、资产层。
在攻击层,攻击者扫描并获取系统漏洞信息,利用这些漏洞,结合已知的攻击手段,发起攻击,由于攻击者发起系统攻击,可造成系统功能失效;在事件层,系统功能失效可引起安全事件发生,进而可导致重大安全事故发生;在资产层,工业控制系统安全事故的发生,可导致系统资产受损。
贝叶斯网络可以表示为:
其中,
本申请一实施例中,上述步骤S2包括:
1)、在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)}
约束条件:Risk(X)≤RiskThr
Cost(X)≤CostThr
SecA(X)≥0
SycA(X)≥0
StcA(X)≥0
决策变量:X={x1,...xi,...,xm}1×m
参数含义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本。
2)、多目标指标量化,包括安全收益度量化、系统安全状态量化和状态偏移程度量化;
其中,安全收益度量:实施安全策略后系统在指定系统安全性能上的改善程度。这里将当前系统在不实施任何安全措施下的系统安全状态与当前系统在实施安全策略X下系统安全状态之间的偏移程度称为改善程度。
系统安全状态:定义为一组列向量:
其中,om表示第m个变量(即,贝叶斯网络节点)的安全状态值,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响。因此,om取值定义为:
状态偏移程度:用D(X)表示,D(X)的计算过程如下所示:
①构建数据集:
②安全策略X实施后的系统状态偏移程度为:
根据上述计算方法,将多目标指标量化为:
系统的信息安全收益:SecA(X)=D(X)|SecA(X);
系统的功能安全收益:SycA(X)=D(X)|SycA(X);
系统的物理安全收益:StcA(X)=D(X)|StcA(X);
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;
Ai表示对应的置产损失值。
本申请一实施例中,参照图5所示,上述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、根据公式计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数;
S308、如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
本申请实施例中,设计多目标猴王进化算法求解多目标问题,如图3,具体步骤如下:
1)初始化参数:
EA:外部档案为空集;LEA:外部档案大小;itermax:最大迭代次数;ps:种群大小;m:安全防护技术;
3)计算每个个体各目标值;
4)根据Pareto支配关系,找到种群中所有非支配解集,并将其存储到EA;
5)根据外部档案更新策略,更新EA,其具体步骤如下:
步骤a、选择性地保存:如果种群中个体xi支配EA中所有个体,则清空EA,将其加入到EA中;如果xi支配EA中部分个体,则删除被支配个体,将其加入到EA;如果EA
中存在一个个体支配xi,则不将其加入EA;
步骤b、动态拥挤排序裁剪:记当前EA规模与其固定值差为L。如果L小于等于0,
则无操作,如果L大于0,则计算EA中每个解拥挤距离,删除拥挤距离最小的解,再重新计算EA每个解拥挤距离,再删除拥挤距离最小的个体,依次重复直至删除L
个个体。
从空间结构分布考虑,计算每个个体的调和平均距离对种群个体进行全局密度估计,并从第1~s*0.05中随机选取一个作为全局最优个体。
式中:
HD(xi):第i个个体的调和平均距离,用来评估该个体的拥挤程度;
s:EA中除自身外个体数量;
另外,公式计算采用“差量法”,即向量之间差量运算,因此不可避免的出现非0和1的解,在此情况下:如果值出现小于0,其取值为0;如果值出现大于1,其取值为1。
式中:
FC:开发矩阵的波动系数,FCmin和FCmax分别为最大和最小波动系数值;
iter,itermax:当前迭代数和最大迭代数;
rand:[0,1]之间的随机数;
M,变换矩阵和M的二进制取逆矩阵。M生成过程;首先,由正交特征向量矩阵P和对角特征值矩阵相乘生成矩阵Mtmp;然后,随机变换Mtmp中每维行向量的元素;最后,在每个行向量元素不变的情况下随机排列行向量,其过程如下公式所示。
8)选择下一代种群:将和合并成根据Pareto进行等级分层排序,根据层次,将最低层的优先放入新的父代种群,直至此代放满即种群数量ps,若放入最后一层时超出既定大小时,按照拥挤距离对最后一层从大到小放入。
9)判断是否满足最大迭代次数,否,则跳转到步骤3;是,则停止迭代,输出最优Pareto解集。
10)仿真对象和参数设定
以常见的工业控制系统为实施例,构建本专利提出的基于多目标进化优化算法的工业控制防护方法。
在Python环境下,对该工控系统进行多层贝叶斯网信息攻击传播建模,如图3所示,其中,ai为工业控制网络已知漏洞的节点,在节点处部署现阶段已经成熟的工业控制网络安全防护技术xi,ki为预计发生的安全事故。随后设计仿真实验,结合实际需求对实验结果进行分析。算法参数设置为C=300,ps=100,LEA=20,itermax=100。
11)实验结果分析
图4给出了所求解的Pareto最优解集,表1给出了其对应的各评价指标。从表1可得其中X10、X11、X12、X14、X15、X16、X17、X18、X19、X20、X21、X22、X23、X24、X25、X27、X28满足约束条件SecA(X)≥0、SycA(X)≥0、StcA(X)≥0。因为删除不符合约束条件后最优解集的各评价指标如表2所示。
表1多目标优化中Pareto最优解评价
根据表2,在部署安全防护策略时,可以根据不同的工业控制网络安全需求选择不同的安全防护策略。
表2多目标优化中符合条件的Pareto最优解评价
如果在部署规划中着重工业控制网络信息安全,最优安全防护策略为X10,其二进制编码为[1,0,0,1,0,1,1,1,1,1,1,1,1,0,0,0,0,0,1,1,0,0,1,1,1,1]。
如果在部署规划中着重工业控制网络功能安全,最优安全防护策略为X27,其二进制编码为[0,1,1,0,1,1,1,1,1,0,0,1,1,0,1,1,0,1,1,1,0,0,0,1,1,1]。
如果在部署规划中着重工业控制网络物理安全,最优安全防护策略为X11,其二进制编码为[0,1,0,1,0,0,1,0,1,0,0,1,1,0,0,1,1,0,0,1,0,1,1,1,1,1]。
图6为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护装置的结构示意图;参照图6所示,该装置包括:
建模模块601,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模;
构建模块602,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块603,用于通过多目标猴王进化算法获取最优防护策略集;
防火模块604,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本发明上述实施例中未尽事宜均为本领域公知技术。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。
Claims (6)
1.一种基于多目标进化优化算法的工业控制防护方法,其特征在于,包括如下步骤:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
2.根据权利要求1所述的方法,其特征在于,所述步骤S1包括:
根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络模型。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤S2包括:
在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)};
约束条件:Risk(X)≤RiskThr,Cost(X)≤CostThr,SecA(X)≥0,SycA(X)≥0StcA(X)≥0;
决策变量:X={x1,...xi,...,xm}1×m;
参数定义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本;
定义系统安全状态为一组列向量:
其中,om表示第m个变量的安全状态值即贝叶斯网络节点,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响;因此,om取值定义为:
定义状态偏移程度为D(X),D(X)的计算过程如下所示:
构建数据集:
安全策略X实施后的系统状态偏移程度为:
根据上述计算方法,按照如下公式(1)-(5)分别计算多目标指标量化结果:
系统的信息安全收益SecA(X)=D(X)|SecA(X) (1)
系统的功能安全收益SycA(X)=D(X)|SycA(X) (2)
系统的物理安全收益StcA(X)=D(X)|StcA(X) (3)
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;Ai表示对应的置产损失值。
4.根据权利要求1或2所述的方法,其特征在于,所述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数,如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
6.一种基于多目标进化优化算法的工业控制防护装置,其特征在于,包括:
建模模块,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
量化模块,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块,用于通过多目标猴王进化算法获取最优防护策略集;
防护模块,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210078734.6A CN114553489B (zh) | 2022-01-24 | 2022-01-24 | 一种基于多目标优化算法的工业控制系统安全防护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210078734.6A CN114553489B (zh) | 2022-01-24 | 2022-01-24 | 一种基于多目标优化算法的工业控制系统安全防护方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114553489A true CN114553489A (zh) | 2022-05-27 |
CN114553489B CN114553489B (zh) | 2023-05-26 |
Family
ID=81671338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210078734.6A Active CN114553489B (zh) | 2022-01-24 | 2022-01-24 | 一种基于多目标优化算法的工业控制系统安全防护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114553489B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117234085A (zh) * | 2023-10-20 | 2023-12-15 | 华中科技大学 | 一种开放式数控系统安全可信策略融合优化方法 |
Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1750029A (zh) * | 2005-10-24 | 2006-03-22 | 南京大学 | 一种基于进化算法的优化平台 |
US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
US20130031037A1 (en) * | 2002-10-21 | 2013-01-31 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
CN104156584A (zh) * | 2014-08-04 | 2014-11-19 | 中国船舶重工集团公司第七0九研究所 | 多目标优化差分进化算法的传感器目标分配方法及系统 |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN106453379A (zh) * | 2016-10-28 | 2017-02-22 | 华中科技大学 | 基于攻防博弈的过程控制系统的安全策略动态获取方法 |
CN106603473A (zh) * | 2015-10-19 | 2017-04-26 | 华为技术有限公司 | 网络安全信息的处理方法及网络安全信息的处理系统 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
CN107528850A (zh) * | 2017-09-05 | 2017-12-29 | 西北大学 | 一种基于改进蚁群算法的最优防护策略分析系统及方法 |
US20180248904A1 (en) * | 2017-02-24 | 2018-08-30 | LogRhythm Inc. | Analytics for processing information system data |
CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
CN109543301A (zh) * | 2018-11-22 | 2019-03-29 | 苏州健雄职业技术学院 | 一种基于工业控制的网络安全攻击原型建模方法 |
CN109617863A (zh) * | 2018-11-27 | 2019-04-12 | 杭州电子科技大学 | 一种基于博弈论的移动目标防御最优防御策略选取的方法 |
CN109960834A (zh) * | 2017-12-25 | 2019-07-02 | 复旦大学 | 一种基于多目标贝叶斯优化的模拟电路多目标优化设计方法 |
CN111597757A (zh) * | 2020-05-13 | 2020-08-28 | 山东女子学院 | 基于多目标加点准则的gp模型辅助slpso算法 |
CN111814251A (zh) * | 2020-07-08 | 2020-10-23 | 北京航空航天大学 | 基于贝叶斯自适应共振的多目标多模态粒子群优化方法 |
CN112653582A (zh) * | 2020-12-21 | 2021-04-13 | 上海交通大学 | 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法 |
CN112769869A (zh) * | 2021-02-09 | 2021-05-07 | 浙江工商大学 | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 |
CN113268434A (zh) * | 2021-07-08 | 2021-08-17 | 北京邮电大学 | 基于贝叶斯模型和粒子群优化的软件缺陷预测方法 |
CN113553591A (zh) * | 2021-06-28 | 2021-10-26 | 哈尔滨理工大学 | 一种基于进化博弈论的多阶段动态防御的方法 |
-
2022
- 2022-01-24 CN CN202210078734.6A patent/CN114553489B/zh active Active
Patent Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120240185A1 (en) * | 2000-09-25 | 2012-09-20 | Harsh Kapoor | Systems and methods for processing data flows |
US20130031037A1 (en) * | 2002-10-21 | 2013-01-31 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
CN1750029A (zh) * | 2005-10-24 | 2006-03-22 | 南京大学 | 一种基于进化算法的优化平台 |
CN104156584A (zh) * | 2014-08-04 | 2014-11-19 | 中国船舶重工集团公司第七0九研究所 | 多目标优化差分进化算法的传感器目标分配方法及系统 |
CN106603473A (zh) * | 2015-10-19 | 2017-04-26 | 华为技术有限公司 | 网络安全信息的处理方法及网络安全信息的处理系统 |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN106453379A (zh) * | 2016-10-28 | 2017-02-22 | 华中科技大学 | 基于攻防博弈的过程控制系统的安全策略动态获取方法 |
CN106682502A (zh) * | 2016-12-13 | 2017-05-17 | 重庆邮电大学 | 基于隐马尔可夫和概率推断的入侵意图识别系统及方法 |
US20180248904A1 (en) * | 2017-02-24 | 2018-08-30 | LogRhythm Inc. | Analytics for processing information system data |
CN107528850A (zh) * | 2017-09-05 | 2017-12-29 | 西北大学 | 一种基于改进蚁群算法的最优防护策略分析系统及方法 |
CN109960834A (zh) * | 2017-12-25 | 2019-07-02 | 复旦大学 | 一种基于多目标贝叶斯优化的模拟电路多目标优化设计方法 |
CN108833401A (zh) * | 2018-06-11 | 2018-11-16 | 中国人民解放军战略支援部队信息工程大学 | 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置 |
CN109543301A (zh) * | 2018-11-22 | 2019-03-29 | 苏州健雄职业技术学院 | 一种基于工业控制的网络安全攻击原型建模方法 |
CN109617863A (zh) * | 2018-11-27 | 2019-04-12 | 杭州电子科技大学 | 一种基于博弈论的移动目标防御最优防御策略选取的方法 |
CN111597757A (zh) * | 2020-05-13 | 2020-08-28 | 山东女子学院 | 基于多目标加点准则的gp模型辅助slpso算法 |
CN111814251A (zh) * | 2020-07-08 | 2020-10-23 | 北京航空航天大学 | 基于贝叶斯自适应共振的多目标多模态粒子群优化方法 |
CN112653582A (zh) * | 2020-12-21 | 2021-04-13 | 上海交通大学 | 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法 |
CN112769869A (zh) * | 2021-02-09 | 2021-05-07 | 浙江工商大学 | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 |
CN113553591A (zh) * | 2021-06-28 | 2021-10-26 | 哈尔滨理工大学 | 一种基于进化博弈论的多阶段动态防御的方法 |
CN113268434A (zh) * | 2021-07-08 | 2021-08-17 | 北京邮电大学 | 基于贝叶斯模型和粒子群优化的软件缺陷预测方法 |
Non-Patent Citations (2)
Title |
---|
H. -Y. DUI等: ""The study of multi-objective decision method based on Bayesian network"", 《2010 IEEE 17TH INTERNATIONAL CONFERENCE ON INDUSTRIAL ENGINEERING AND ENGINEERING MANAGEMENT》 * |
江敏: "\"贝叶斯优化算法在多目标优化问题中的应用\"", 《上海应用技术学院学报(自然科学版)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117234085A (zh) * | 2023-10-20 | 2023-12-15 | 华中科技大学 | 一种开放式数控系统安全可信策略融合优化方法 |
CN117234085B (zh) * | 2023-10-20 | 2024-04-05 | 华中科技大学 | 一种开放式数控系统安全可信策略融合优化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114553489B (zh) | 2023-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106101252B (zh) | 基于大数据和可信计算的信息安全风险防护系统 | |
CN112769869B (zh) | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 | |
Han et al. | Local design of distributed H∞‐consensus filtering over sensor networks under multiplicative noises and deception attacks | |
Lakhno et al. | Development of the intelligent decision-making support system to manage cyber protection at the object of informatization | |
CN115801460B (zh) | 考虑网络攻击漏洞的配电信息物理系统安全风险评估方法 | |
CN111818093A (zh) | 用于进行风险评估的神经网络系统、方法及装置 | |
CN111400890A (zh) | 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法 | |
CN111818007B (zh) | 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置 | |
US11586921B2 (en) | Method for forecasting health status of distributed networks by artificial neural networks | |
CN114553489B (zh) | 一种基于多目标优化算法的工业控制系统安全防护方法及装置 | |
Tang et al. | Power system reliability analysis considering external and insider attacks on the SCADA system | |
Mesadieu et al. | Leveraging Deep Reinforcement Learning Technique for Intrusion Detection in SCADA Infrastructure | |
CN116595589B (zh) | 基于秘密共享机制的分布式支持向量机训练方法及系统 | |
Lin et al. | Quantifying the impact of correlated failures on system reliability by a simulation approach | |
Bian et al. | Network security situational assessment model based on improved AHP_FCE | |
Kim et al. | Cyber threat trend analysis model using HMM | |
KR102480140B1 (ko) | 인공 신경망 모델 학습 결과 합성을 통한 공통 모델 생성 방법 | |
CN116248335A (zh) | 基于智能演化博弈的网络攻防策略选取方法及系统 | |
Abdiyeva-Aliyeva et al. | Development of System for Detection and Prevention of Cyber Attacks Using Artifıcial Intelligence Methods | |
CN107943754B (zh) | 一种基于遗传算法的异构冗余系统优化方法 | |
Diamah et al. | Network security evaluation method via attack graphs and fuzzy cognitive maps | |
Shen et al. | A decentralized multi-ruling arbiter for cyberspace mimicry defense | |
Miehling et al. | A dependency graph formalism for the dynamic defense of cyber networks | |
CN114006744A (zh) | 一种基于lstm的电力监控系统网络安全态势预测方法及系统 | |
CN110365713B (zh) | 针对高级持续性威胁的网络防御资源最优分配方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |