CN114553489A - 一种基于多目标优化算法的工业控制系统安全防护方法及装置 - Google Patents

一种基于多目标优化算法的工业控制系统安全防护方法及装置 Download PDF

Info

Publication number
CN114553489A
CN114553489A CN202210078734.6A CN202210078734A CN114553489A CN 114553489 A CN114553489 A CN 114553489A CN 202210078734 A CN202210078734 A CN 202210078734A CN 114553489 A CN114553489 A CN 114553489A
Authority
CN
China
Prior art keywords
security
protection
safety
industrial control
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210078734.6A
Other languages
English (en)
Other versions
CN114553489B (zh
Inventor
陈明志
谢加良
姚宏玮
许春耀
翁才杰
王焕松
翁齐昌
陈志伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Beikaxing Technology Co ltd
Original Assignee
Beijing Beikaxing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Beikaxing Technology Co ltd filed Critical Beijing Beikaxing Technology Co ltd
Priority to CN202210078734.6A priority Critical patent/CN114553489B/zh
Publication of CN114553489A publication Critical patent/CN114553489A/zh
Application granted granted Critical
Publication of CN114553489B publication Critical patent/CN114553489B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于多目标进化优化算法的工业控制防护方法及装置。方法包括如下步骤:步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;步骤S3、通过多目标猴王进化算法获取最优防护策略集;步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。本申请能够实现综合有效、全面的进行工业控制的安全防护。

Description

一种基于多目标优化算法的工业控制系统安全防护方法及 装置
技术领域
本发明涉及防丢失设备技术领域,具体地,涉及一种基于多目标优化算法的工业控制系统安全防护方法及装置。
背景技术
工业控制系统越来越朝向智能化、无人化的方向发展,工业控制系统涉及多个关键基础设施领域,一旦遭受到网络入侵攻击,可引发严重的安全事故,轻则造成经济财产损失,重则引发一系列不可逆转的灾难性后果,危及国家安全,因此工业控制网络进行有效的安全防护具有重要意义。
然而传统安全防护主要集中在信息域防护、防护成本经济指标等,决策依据相对单一,无法兼顾多因素平衡特点,而工业控制系统的安全防护需同时兼顾对功能安全、信息安全以及物理安全的防护需求,以保障其安全稳定运行,防止特重大工业控制安全事故发生。相关技术中缺少一种工业控制系统的安全防护方法,以实现综合有效、全面的进行工业控制的安全防护。
发明内容
本发明针对现有技术中存在的上述不足,提供了一种基于多目标优化算法的工业控制系统安全防护方法及装置。
根据本发明的一个方面,提供了一种基于多目标进化优化算法的工业控制防护方法,包括如下步骤:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
可选地,所述步骤S1包括:
根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络模型。
可选地,所述步骤S2包括:
在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)};
约束条件:Risk(X)≤RiskThr,Cost(X)≤CostThr,SecA(X)≥0,SycA(X)≥0StcA(X)≥0;
决策变量:X={x1,...xi,...,xm}1×m
参数定义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本;
Figure BDA0003485195510000021
定义系统安全状态为一组列向量:
Figure BDA0003485195510000023
其中,om表示第m个变量的安全状态值即贝叶斯网络节点,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响;因此,om取值定义为:
Figure BDA0003485195510000022
定义状态偏移程度为D(X),D(X)的计算过程如下所示:
构建数据集:
Figure BDA0003485195510000037
其中,
Figure BDA0003485195510000038
表示在当前系统状态下,实施安全策略X下系统的安全状态,
Figure BDA0003485195510000039
表示在当前系统状态下,不实施任何安全措施下系统的安全状态。
安全策略X实施后的系统状态偏移程度为:
Figure BDA0003485195510000031
根据上述计算方法,按照如下公式分别计算多目标指标量化结果:
系统的信息安全收益SecA(X)=D(X)|SecA(X) (1)
系统的功能安全收益SycA(X)=D(X)|SycA(X) (2)
系统的物理安全收益StcA(X)=D(X)|StcA(X) (3)
系统风险量化
Figure BDA0003485195510000032
防护成本量化
Figure BDA0003485195510000033
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;Ai表示对应的置产损失值。
可选地,所述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数,如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
可选地,所述贝叶斯网络结构为:
Figure BDA0003485195510000034
其中,
x={x1,x2,...,xl(x)}表示贝叶斯网络
Figure BDA0003485195510000035
中的l(x)个节点;
Figure BDA0003485195510000036
是一个l(x)×l(x)的关联矩阵,描述网络中前后所有节点间的关联关系;
Figure BDA0003485195510000041
其中,
Figure BDA0003485195510000042
是关联矩阵的元素,其定义如下;
Figure BDA0003485195510000043
Figure BDA0003485195510000044
表示所有节点条件概率表集。
第二方面,本申请实施例提供了一种基于多目标进化优化算法的工业控制防护装置,包括:
建模模块,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模;
量化模块,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块,用于通过多目标猴王进化算法获取最优防护策略集;
防护模块,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本申请实施例提供的一种基于多目标进化优化算法的工业控制防护方法及装置,针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模,并构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;通过多目标猴王进化算法获取最优防护策略集;结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。本申请综合考虑工业控制网络设备的功能安全、信息安全以及物理安全,建立多目标安全防护问题模型,提出了一种基于多目标进化优化地工业控制系统防护方法。
本申请提供方案的至少具有以下技术效果:
1、在可接受系统安全风险和有限的部署成本下,综合考虑工业控制网络设备的功能安全、信息安全以及物理安全,建立多目标安全防护问题模型,寻求最优安全防护决策部署,最大程度地保障工业控制网络的安全;
2、基于多目标猴王进化算法设计了一种基于多目标优化算法的工业控制系统防护方法,为工业控制系统安全防护领域提供参考范例;
3、多目标猴王进化算法是基于猴王进化算法提出的一种适用于求解多目标问题的进化优化算法,相比于其他进化优化算法,猴王进化算法在增强个体间协作和求解大规模优化问题方面具有明显优势;
4、同时兼顾对功能安全、信息安全以及物理安全的防护需求,能够实现综合有效、全面的进行工业控制的安全防护。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为工业控制网络结构示意图;
图2为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护方法的流程示意图;
图3为本发明一实施例中多层贝叶斯网络结构示意图;
图4为本发明一实施例提供的Pareto前沿示意图;
图5为本发明一实施例中通过多目标猴王进化算法获取最优防护策略集的流程示意图;
图6为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护装置的结构示意图。
具体实施方式
下面对本发明的实施例作详细说明:本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
图1为工业控制网络结构示意图;参照图1所示,工业控制网络结构包括企业层、监控层、控制层和物理层,其中,企业层部署有控制中心主机、Web服务器、管理主机和工业网关等设备,企业层设备间通过以太网、互联网等方式连接。监控层部署有操作控制站、工程师站、工业网关等,该设备之间也通过工业以太网建立连接。控制层通过工业网关与监控层的工业以太网连接,控制层部署有控制器,控制器通过现场总线与物理层设备进行通信连接,该物理层设备可以是包括传感器设备、执行器设备等。
图2为本发明一实施例提供的一种基于多目标优化算法的工业控制系统安全防护方法示意图;参照图2所示,本方法包括以下步骤S1-S4:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本申请一实施例中,上述步骤S1包括S101(图中未示出):
S101、根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络。
攻击者对工业控制网络入侵的主要途径为挖掘和利用网络中的漏洞,对其逐渐进行渗透攻击,因此本专利根据漏洞信息和已知的攻击,将其与已有的安全防护技术相结合,并分析其对应发生的事故,最后利用贝叶斯网的方法,将得到的无属性工业控制系统的攻击传播过程转换为多层贝叶斯攻击图网络,其包括攻击层、事件层、资产层。
在攻击层,攻击者扫描并获取系统漏洞信息,利用这些漏洞,结合已知的攻击手段,发起攻击,由于攻击者发起系统攻击,可造成系统功能失效;在事件层,系统功能失效可引起安全事件发生,进而可导致重大安全事故发生;在资产层,工业控制系统安全事故的发生,可导致系统资产受损。
贝叶斯网络可以表示为:
Figure BDA0003485195510000061
其中,
x={x1,x2,...,xl(x)}表示贝叶斯网络
Figure BDA0003485195510000062
中的l(x)个节点。
Figure BDA0003485195510000063
是一个l(x)×l(x)的关联矩阵,描述网络中前后所有节点间的关联关系;
Figure BDA0003485195510000064
其中,
Figure BDA0003485195510000071
是关联矩阵的元素,其定义如下;
Figure BDA0003485195510000072
Figure BDA0003485195510000073
表示所有节点条件概率表集。
本申请一实施例中,上述步骤S2包括:
1)、在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)}
约束条件:Risk(X)≤RiskThr
Cost(X)≤CostThr
SecA(X)≥0
SycA(X)≥0
StcA(X)≥0
决策变量:X={x1,...xi,...,xm}1×m
参数含义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本。
Figure BDA0003485195510000074
2)、多目标指标量化,包括安全收益度量化、系统安全状态量化和状态偏移程度量化;
其中,安全收益度量:实施安全策略后系统在指定系统安全性能上的改善程度。这里将当前系统在不实施任何安全措施下的系统安全状态与当前系统在实施安全策略X下系统安全状态之间的偏移程度称为改善程度。
系统安全状态:定义为一组列向量:
Figure BDA0003485195510000085
其中,om表示第m个变量(即,贝叶斯网络节点)的安全状态值,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响。因此,om取值定义为:
Figure BDA0003485195510000081
状态偏移程度:用D(X)表示,D(X)的计算过程如下所示:
①构建数据集:
Figure BDA0003485195510000086
其中,
Figure BDA0003485195510000087
表示在当前系统状态下,实施安全策略X下系统的安全状态,
Figure BDA0003485195510000088
表示在当前系统状态下,不实施任何安全措施下系统的安全状态。
②安全策略X实施后的系统状态偏移程度为:
Figure BDA0003485195510000082
根据上述计算方法,将多目标指标量化为:
系统的信息安全收益:SecA(X)=D(X)|SecA(X);
系统的功能安全收益:SycA(X)=D(X)|SycA(X);
系统的物理安全收益:StcA(X)=D(X)|StcA(X);
系统风险量化:
Figure BDA0003485195510000083
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;
Ai表示对应的置产损失值。
防护成本量化:
Figure BDA0003485195510000084
本申请一实施例中,参照图5所示,上述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、根据公式计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数;
S308、如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
本申请实施例中,设计多目标猴王进化算法求解多目标问题,如图3,具体步骤如下:
1)初始化参数:
EA:外部档案为空集;LEA:外部档案大小;itermax:最大迭代次数;ps:种群大小;m:安全防护技术;
2)构造初始化种群
Figure BDA0003485195510000091
由于该类问题类似0-1背包问题,采用二进制编码方式进行种群个体编码;
3)计算每个个体各目标值;
4)根据Pareto支配关系,找到种群中所有非支配解集,并将其存储到EA;
5)根据外部档案更新策略,更新EA,其具体步骤如下:
步骤a、选择性地保存:如果种群中个体xi支配EA中所有个体,则清空EA,将其加入到EA中;如果xi支配EA中部分个体,则删除被支配个体,将其加入到EA;如果EA
中存在一个个体支配xi,则不将其加入EA;
步骤b、动态拥挤排序裁剪:记当前EA规模与其固定值差为L。如果L小于等于0,
则无操作,如果L大于0,则计算EA中每个解拥挤距离,删除拥挤距离最小的解,再重新计算EA每个解拥挤距离,再删除拥挤距离最小的个体,依次重复直至删除L
个个体。
6)选择全局最优个体作为猴王个体
Figure BDA0003485195510000092
其具体步骤如下:
从空间结构分布考虑,计算每个个体的调和平均距离对种群个体进行全局密度估计,并从第1~s*0.05中随机选取一个作为全局最优个体。
Figure BDA0003485195510000093
式中:
HD(xi):第i个个体的调和平均距离,用来评估该个体的拥挤程度;
s:EA中除自身外个体数量;
7)根据以下公式计算下一代种群
Figure BDA0003485195510000101
Figure BDA0003485195510000102
Figure BDA0003485195510000103
Figure BDA0003485195510000104
Figure BDA0003485195510000105
其中公式
Figure BDA0003485195510000106
通过2-opt计算求得,以
Figure BDA0003485195510000107
中对应位元素值为2-opt运行次数;
另外,公式计算采用“差量法”,即向量之间差量运算,因此不可避免的出现非0和1的解,在此情况下:如果值出现小于0,其取值为0;如果值出现大于1,其取值为1。
式中:
Figure BDA0003485195510000108
通过随机打乱并重新排列
Figure BDA0003485195510000109
中行向量产生的两个不同矩阵;
FC:开发矩阵的波动系数,FCmin和FCmax分别为最大和最小波动系数值;
Figure BDA00034851955100001010
向量之间对应元素异或运算,其中d表示汉明距离;
Figure BDA00034851955100001011
矩阵对应元素相乘;
iter,itermax:当前迭代数和最大迭代数;
rand:[0,1]之间的随机数;
M,
Figure BDA00034851955100001012
变换矩阵和M的二进制取逆矩阵。M生成过程;首先,由正交特征向量矩阵P和对角特征值矩阵相乘生成矩阵Mtmp;然后,随机变换Mtmp中每维行向量的元素;最后,在每个行向量元素不变的情况下随机排列行向量,其过程如下公式所示。
Figure BDA00034851955100001013
8)选择下一代种群:将
Figure BDA00034851955100001014
Figure BDA00034851955100001015
合并成
Figure BDA00034851955100001016
根据Pareto进行等级分层排序,根据层次,将最低层的优先放入新的父代种群,直至此代放满即种群数量ps,若放入最后一层时超出既定大小时,按照拥挤距离对最后一层从大到小放入。
9)判断是否满足最大迭代次数,否,则跳转到步骤3;是,则停止迭代,输出最优Pareto解集。
10)仿真对象和参数设定
以常见的工业控制系统为实施例,构建本专利提出的基于多目标进化优化算法的工业控制防护方法。
在Python环境下,对该工控系统进行多层贝叶斯网信息攻击传播建模,如图3所示,其中,ai为工业控制网络已知漏洞的节点,在节点处部署现阶段已经成熟的工业控制网络安全防护技术xi,ki为预计发生的安全事故。随后设计仿真实验,结合实际需求对实验结果进行分析。算法参数设置为C=300,ps=100,LEA=20,itermax=100。
11)实验结果分析
图4给出了所求解的Pareto最优解集,表1给出了其对应的各评价指标。从表1可得其中X10、X11、X12、X14、X15、X16、X17、X18、X19、X20、X21、X22、X23、X24、X25、X27、X28满足约束条件SecA(X)≥0、SycA(X)≥0、StcA(X)≥0。因为删除不符合约束条件后最优解集的各评价指标如表2所示。
表1多目标优化中Pareto最优解评价
Figure BDA0003485195510000111
根据表2,在部署安全防护策略时,可以根据不同的工业控制网络安全需求选择不同的安全防护策略。
表2多目标优化中符合条件的Pareto最优解评价
Figure BDA0003485195510000112
Figure BDA0003485195510000121
如果在部署规划中着重工业控制网络信息安全,最优安全防护策略为X10,其二进制编码为[1,0,0,1,0,1,1,1,1,1,1,1,1,0,0,0,0,0,1,1,0,0,1,1,1,1]。
如果在部署规划中着重工业控制网络功能安全,最优安全防护策略为X27,其二进制编码为[0,1,1,0,1,1,1,1,1,0,0,1,1,0,1,1,0,1,1,1,0,0,0,1,1,1]。
如果在部署规划中着重工业控制网络物理安全,最优安全防护策略为X11,其二进制编码为[0,1,0,1,0,0,1,0,1,0,0,1,1,0,0,1,1,0,0,1,0,1,1,1,1,1]。
图6为本发明一实施例中提供的一种基于多目标进化优化算法的工业控制防护装置的结构示意图;参照图6所示,该装置包括:
建模模块601,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行分析和建模;
构建模块602,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块603,用于通过多目标猴王进化算法获取最优防护策略集;
防火模块604,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
本发明上述实施例中未尽事宜均为本领域公知技术。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。

Claims (6)

1.一种基于多目标进化优化算法的工业控制防护方法,其特征在于,包括如下步骤:
步骤S1、针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
步骤S3、通过多目标猴王进化算法获取最优防护策略集;
步骤S4、结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
2.根据权利要求1所述的方法,其特征在于,所述步骤S1包括:
根据网络漏洞信息和已知的网络攻击,将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯攻击图网络模型。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤S2包括:
在系统风险处于可接受范围内和有限成本的约束条件下,从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型:
优化目标:max{SecA(X),SycA(X),StcA(X)};
约束条件:Risk(X)≤RiskThr,Cost(X)≤CostThr,SecA(X)≥0,SycA(X)≥0StcA(X)≥0;
决策变量:X={x1,...xi,...,xm}1×m
参数定义:SecA(X):在安全策略X下,系统的信息安全收益;
SycA(X):在安全策略X下,系统的功能安全收益;
StcA(X):在安全策略X下,系统的物理安全收益;
Risk(X):在安全策略X下,系统的风险;
Cost(X):在安全策略X下,安全部署成本;
RiskThr:安全部署可接受风险值;
CostThr:安全部署可接受的成本;
m:防护技术数量;
ci:防护技术xi的成本;
Figure FDA0003485195500000021
定义系统安全状态为一组列向量:
Figure FDA0003485195500000022
其中,om表示第m个变量的安全状态值即贝叶斯网络节点,这里采用百分制评价实施安全防护技术后,系统在信息安全、功能安全或物理安全状态值,实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响;因此,om取值定义为:
Figure FDA0003485195500000023
定义状态偏移程度为D(X),D(X)的计算过程如下所示:
构建数据集:
Figure FDA0003485195500000024
其中,
Figure FDA0003485195500000025
表示在当前系统状态下,实施安全策略X下系统的安全状态,
Figure FDA0003485195500000026
表示在当前系统状态下,不实施任何安全措施下系统的安全状态。
安全策略X实施后的系统状态偏移程度为:
Figure FDA0003485195500000027
根据上述计算方法,按照如下公式(1)-(5)分别计算多目标指标量化结果:
系统的信息安全收益SecA(X)=D(X)|SecA(X) (1)
系统的功能安全收益SycA(X)=D(X)|SycA(X) (2)
系统的物理安全收益StcA(X)=D(X)|StcA(X) (3)
系统风险量化
Figure FDA0003485195500000028
防护成本量化
Figure FDA0003485195500000029
其中,P(xi)表示节点xi被攻击成功的概率,其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率;Ai表示对应的置产损失值。
4.根据权利要求1或2所述的方法,其特征在于,所述步骤S3包括:
S301、初始化算法各项参数,生成安全防护策略初始种群;
S302、计算每个个体对应的目标值;
S303、根据Pareto支配关系,选出非支配解,选择性将其存储至EA,并更新EA;
S304、选择出全局最优个体作为猴王个体;
S305、计算子代种群;
S306、选择出个体为下一代种群;
S307、判断是否达到最大迭代次数,如果是,则输出最优策略;否则继续执行步骤S301~S306,直至达到最大迭代次数,输出最优策略。
5.根据权利要求1或2所述的方法,其特征在于,所述贝叶斯网络结构为:
Figure FDA0003485195500000031
其中,
x={x1,x2,...,xl(x)}表示贝叶斯网络
Figure FDA0003485195500000032
中的l(x)个节点;
Figure FDA0003485195500000033
是一个l(x)×l(x)的关联矩阵,描述网络中前后所有节点间的关联关系;
Figure FDA0003485195500000034
其中,
Figure FDA0003485195500000035
是关联矩阵的元素,其定义如下;
Figure FDA0003485195500000036
Figure FDA0003485195500000037
表示所有节点条件概率表集。
6.一种基于多目标进化优化算法的工业控制防护装置,其特征在于,包括:
建模模块,用于针对工业控制系统中的攻击层、事件层和资产层,通过多层贝叶斯网对工业控制系统信息攻击传播过程进行建模;
量化模块,用于构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法;
获取模块,用于通过多目标猴王进化算法获取最优防护策略集;
防护模块,用于结合不同的需求背景得出相应最优防护策略,应用所述最优防护策略对所述工业控制系统进行安全防护。
CN202210078734.6A 2022-01-24 2022-01-24 一种基于多目标优化算法的工业控制系统安全防护方法及装置 Active CN114553489B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210078734.6A CN114553489B (zh) 2022-01-24 2022-01-24 一种基于多目标优化算法的工业控制系统安全防护方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210078734.6A CN114553489B (zh) 2022-01-24 2022-01-24 一种基于多目标优化算法的工业控制系统安全防护方法及装置

Publications (2)

Publication Number Publication Date
CN114553489A true CN114553489A (zh) 2022-05-27
CN114553489B CN114553489B (zh) 2023-05-26

Family

ID=81671338

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210078734.6A Active CN114553489B (zh) 2022-01-24 2022-01-24 一种基于多目标优化算法的工业控制系统安全防护方法及装置

Country Status (1)

Country Link
CN (1) CN114553489B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117234085A (zh) * 2023-10-20 2023-12-15 华中科技大学 一种开放式数控系统安全可信策略融合优化方法

Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750029A (zh) * 2005-10-24 2006-03-22 南京大学 一种基于进化算法的优化平台
US20120240185A1 (en) * 2000-09-25 2012-09-20 Harsh Kapoor Systems and methods for processing data flows
US20130031037A1 (en) * 2002-10-21 2013-01-31 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
CN104156584A (zh) * 2014-08-04 2014-11-19 中国船舶重工集团公司第七0九研究所 多目标优化差分进化算法的传感器目标分配方法及系统
CN106341414A (zh) * 2016-09-30 2017-01-18 重庆邮电大学 一种基于贝叶斯网络的多步攻击安全态势评估方法
CN106453379A (zh) * 2016-10-28 2017-02-22 华中科技大学 基于攻防博弈的过程控制系统的安全策略动态获取方法
CN106603473A (zh) * 2015-10-19 2017-04-26 华为技术有限公司 网络安全信息的处理方法及网络安全信息的处理系统
CN106682502A (zh) * 2016-12-13 2017-05-17 重庆邮电大学 基于隐马尔可夫和概率推断的入侵意图识别系统及方法
CN107528850A (zh) * 2017-09-05 2017-12-29 西北大学 一种基于改进蚁群算法的最优防护策略分析系统及方法
US20180248904A1 (en) * 2017-02-24 2018-08-30 LogRhythm Inc. Analytics for processing information system data
CN108833401A (zh) * 2018-06-11 2018-11-16 中国人民解放军战略支援部队信息工程大学 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法
CN109617863A (zh) * 2018-11-27 2019-04-12 杭州电子科技大学 一种基于博弈论的移动目标防御最优防御策略选取的方法
CN109960834A (zh) * 2017-12-25 2019-07-02 复旦大学 一种基于多目标贝叶斯优化的模拟电路多目标优化设计方法
CN111597757A (zh) * 2020-05-13 2020-08-28 山东女子学院 基于多目标加点准则的gp模型辅助slpso算法
CN111814251A (zh) * 2020-07-08 2020-10-23 北京航空航天大学 基于贝叶斯自适应共振的多目标多模态粒子群优化方法
CN112653582A (zh) * 2020-12-21 2021-04-13 上海交通大学 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法
CN112769869A (zh) * 2021-02-09 2021-05-07 浙江工商大学 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统
CN113268434A (zh) * 2021-07-08 2021-08-17 北京邮电大学 基于贝叶斯模型和粒子群优化的软件缺陷预测方法
CN113553591A (zh) * 2021-06-28 2021-10-26 哈尔滨理工大学 一种基于进化博弈论的多阶段动态防御的方法

Patent Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120240185A1 (en) * 2000-09-25 2012-09-20 Harsh Kapoor Systems and methods for processing data flows
US20130031037A1 (en) * 2002-10-21 2013-01-31 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis and network intrusion protection in an industrial environment
CN1750029A (zh) * 2005-10-24 2006-03-22 南京大学 一种基于进化算法的优化平台
CN104156584A (zh) * 2014-08-04 2014-11-19 中国船舶重工集团公司第七0九研究所 多目标优化差分进化算法的传感器目标分配方法及系统
CN106603473A (zh) * 2015-10-19 2017-04-26 华为技术有限公司 网络安全信息的处理方法及网络安全信息的处理系统
CN106341414A (zh) * 2016-09-30 2017-01-18 重庆邮电大学 一种基于贝叶斯网络的多步攻击安全态势评估方法
CN106453379A (zh) * 2016-10-28 2017-02-22 华中科技大学 基于攻防博弈的过程控制系统的安全策略动态获取方法
CN106682502A (zh) * 2016-12-13 2017-05-17 重庆邮电大学 基于隐马尔可夫和概率推断的入侵意图识别系统及方法
US20180248904A1 (en) * 2017-02-24 2018-08-30 LogRhythm Inc. Analytics for processing information system data
CN107528850A (zh) * 2017-09-05 2017-12-29 西北大学 一种基于改进蚁群算法的最优防护策略分析系统及方法
CN109960834A (zh) * 2017-12-25 2019-07-02 复旦大学 一种基于多目标贝叶斯优化的模拟电路多目标优化设计方法
CN108833401A (zh) * 2018-06-11 2018-11-16 中国人民解放军战略支援部队信息工程大学 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置
CN109543301A (zh) * 2018-11-22 2019-03-29 苏州健雄职业技术学院 一种基于工业控制的网络安全攻击原型建模方法
CN109617863A (zh) * 2018-11-27 2019-04-12 杭州电子科技大学 一种基于博弈论的移动目标防御最优防御策略选取的方法
CN111597757A (zh) * 2020-05-13 2020-08-28 山东女子学院 基于多目标加点准则的gp模型辅助slpso算法
CN111814251A (zh) * 2020-07-08 2020-10-23 北京航空航天大学 基于贝叶斯自适应共振的多目标多模态粒子群优化方法
CN112653582A (zh) * 2020-12-21 2021-04-13 上海交通大学 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法
CN112769869A (zh) * 2021-02-09 2021-05-07 浙江工商大学 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统
CN113553591A (zh) * 2021-06-28 2021-10-26 哈尔滨理工大学 一种基于进化博弈论的多阶段动态防御的方法
CN113268434A (zh) * 2021-07-08 2021-08-17 北京邮电大学 基于贝叶斯模型和粒子群优化的软件缺陷预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
H. -Y. DUI等: ""The study of multi-objective decision method based on Bayesian network"", 《2010 IEEE 17TH INTERNATIONAL CONFERENCE ON INDUSTRIAL ENGINEERING AND ENGINEERING MANAGEMENT》 *
江敏: "\"贝叶斯优化算法在多目标优化问题中的应用\"", 《上海应用技术学院学报(自然科学版)》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117234085A (zh) * 2023-10-20 2023-12-15 华中科技大学 一种开放式数控系统安全可信策略融合优化方法
CN117234085B (zh) * 2023-10-20 2024-04-05 华中科技大学 一种开放式数控系统安全可信策略融合优化方法

Also Published As

Publication number Publication date
CN114553489B (zh) 2023-05-26

Similar Documents

Publication Publication Date Title
CN106101252B (zh) 基于大数据和可信计算的信息安全风险防护系统
CN112769869B (zh) 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统
Han et al. Local design of distributed H∞‐consensus filtering over sensor networks under multiplicative noises and deception attacks
Lakhno et al. Development of the intelligent decision-making support system to manage cyber protection at the object of informatization
CN115801460B (zh) 考虑网络攻击漏洞的配电信息物理系统安全风险评估方法
CN111818093A (zh) 用于进行风险评估的神经网络系统、方法及装置
CN111400890A (zh) 基于攻击-防御结构的抵御恶意数据攻击的电网升级方法
CN111818007B (zh) 一种基于量子遗传算法的漏洞修复收益优先级评估方法及电子装置
US11586921B2 (en) Method for forecasting health status of distributed networks by artificial neural networks
CN114553489B (zh) 一种基于多目标优化算法的工业控制系统安全防护方法及装置
Tang et al. Power system reliability analysis considering external and insider attacks on the SCADA system
Mesadieu et al. Leveraging Deep Reinforcement Learning Technique for Intrusion Detection in SCADA Infrastructure
CN116595589B (zh) 基于秘密共享机制的分布式支持向量机训练方法及系统
Lin et al. Quantifying the impact of correlated failures on system reliability by a simulation approach
Bian et al. Network security situational assessment model based on improved AHP_FCE
Kim et al. Cyber threat trend analysis model using HMM
KR102480140B1 (ko) 인공 신경망 모델 학습 결과 합성을 통한 공통 모델 생성 방법
CN116248335A (zh) 基于智能演化博弈的网络攻防策略选取方法及系统
Abdiyeva-Aliyeva et al. Development of System for Detection and Prevention of Cyber Attacks Using Artifıcial Intelligence Methods
CN107943754B (zh) 一种基于遗传算法的异构冗余系统优化方法
Diamah et al. Network security evaluation method via attack graphs and fuzzy cognitive maps
Shen et al. A decentralized multi-ruling arbiter for cyberspace mimicry defense
Miehling et al. A dependency graph formalism for the dynamic defense of cyber networks
CN114006744A (zh) 一种基于lstm的电力监控系统网络安全态势预测方法及系统
CN110365713B (zh) 针对高级持续性威胁的网络防御资源最优分配方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant