CN115032895A - 攻击检测方法、系统、终端设备以及存储介质 - Google Patents

攻击检测方法、系统、终端设备以及存储介质 Download PDF

Info

Publication number
CN115032895A
CN115032895A CN202210608928.2A CN202210608928A CN115032895A CN 115032895 A CN115032895 A CN 115032895A CN 202210608928 A CN202210608928 A CN 202210608928A CN 115032895 A CN115032895 A CN 115032895A
Authority
CN
China
Prior art keywords
real
parameter
signal
sensing signal
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210608928.2A
Other languages
English (en)
Inventor
李世华
陈夕松
胡羽聪
朱保鹏
熊伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
3onedata Co ltd
Original Assignee
3onedata Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 3onedata Co ltd filed Critical 3onedata Co ltd
Priority to CN202210608928.2A priority Critical patent/CN115032895A/zh
Publication of CN115032895A publication Critical patent/CN115032895A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B13/00Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion
    • G05B13/02Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric
    • G05B13/04Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators
    • G05B13/042Adaptive control systems, i.e. systems automatically adjusting themselves to have a performance which is optimum according to some preassigned criterion electric involving the use of models or simulators in which a parameter or coefficient is automatically adjusted to optimise the performance
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种攻击检测方法、系统、终端设备以及存储介质,其攻击检测方法包括:接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。本申请解决了攻击检测漏报和误报问题,提高攻击检测的准确率。

Description

攻击检测方法、系统、终端设备以及存储介质
技术领域
本申请涉及安全防护领域,尤其涉及一种攻击检测方法、系统、终端设备以及存储介质。
背景技术
工业控制系统是国家关键基础设施中的重要组成部分,但在工业控制系统的使用过程中,往往会受到攻击,导致国家工业受到巨大影响,经济受到损失。
现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主,在工况不变且工业过程控制系统中无强外部扰动的情况下,上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中,工况并非一成不变,这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外,工业过程控制系统中还普遍存在着外部扰动,上述基于卡尔曼滤波的攻击检测方法难以区分较大强度的外部扰动与实际的攻击,并且外部扰动也会遭受攻击。因此,扰动和工况变化使得现有攻击检测方法的漏报率和误报率较高,在工业过程控制系统攻击监测中的实际应用上受到限制。
因此,如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击,并且能够避免由于工况变化和扰动引起的攻击漏报和误报,以在更大程度上满足工业控制系统的安全防护要求,是工业生产领域目前亟需解决的难题。
发明内容
本申请的主要目的在于提供一种攻击检测方法、系统、终端设备以及存储介质,旨在解决攻击检测漏报和误报问题,提高攻击检测的准确率。
为实现上述目的,本申请提供一种攻击检测方法,所述攻击检测方法应用于控制器,所述控制器与回路探针交互,所述攻击检测方法包括:
接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;
基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
可选地,所述基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改的步骤包括:
若所述残差参数与所述扰动参数相等,则表明所述数据包未遭受攻击篡改;
若所述残差参数与所述扰动参数的差值超出预设阈值,则表明所述数据包遭受攻击篡改。
可选地,所述基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改之后的步骤包括:
若遭受攻击篡改,则触发第一攻击报警信息。
本申请实施例还提供一种攻击检测方法,所述攻击检测方法应用于回路探针,所述回路探针与控制器交互,所述攻击检测方法包括以下步骤:
获取预先处理的实时传感信号及对应的实时控制信号;
计算所述实时传感信号与预设信号参数,得到扰动参数;
向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
可选地,所述回路探针还与传感器交互,所述获取预先处理的实时控制信号及实时传感信号的步骤包括:
获取所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号;
转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
可选地,所述基于所述实时传感信号对所述实时控制信号进行攻击检测的步骤包括:
计算所述实时传感信号与预设参考值,得到误差值;
基于所述误差值及预设控制参数进行计算,得到预估控制输出;
检验所述实时控制信号与所述预估控制输出是否相似;
若否,则表明遭受攻击篡改,并触发第二攻击报警信息;
若是,则表明未遭受攻击篡改,执行步骤,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
可选地,所述计算所述实时传感信号与预设信号参数,得到扰动参数之前的步骤包括:
基于所述平稳控制信号及所述平稳传感信号辨识被控对象模型;
基于所述被控对象模型确定所述预设信号参数。
本申请实施例还提出一种检测系统,所述漏报检测系统包括:控制器,回路探针;
所述控制器,用于接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得;
所述回路探针,用于获取预先处理的实时传感信号及对应的实时控制信号;计算所述实时传感信号与预设信号参数,得到扰动参数;向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击检测程序,所述攻击检测程序被所述处理器执行时实现如上所述的攻击检测方法的步骤。
本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击检测程序,所述攻击检测程序被处理器执行时实现如上所述的攻击检测方法的步骤。
本申请实施例提出的攻击检测方法、系统、终端设备以及存储介质,通过获接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
通过在工控系统中加入回路探针,并考虑到传输数据的实时传感信号与实时控制信号同时被攻击的情况,并在回路探针内加入相似性检验,可以解决攻击检测漏报和误报问题,提高攻击检测的准确率。基于本申请方案,从真实世界中工业控制系统中普遍存在着外部扰动的问题出发,构建了一套基于回路探针的检测系统,并在该检测系统上验证了本申请提出的攻击检测方法的有效性,最后经过本申请方法检测的攻击漏报率和误预警率得到明显降低。
附图说明
图1为本申请攻击检测装置所属终端设备的功能模块示意图;
图2为本申请攻击检测方法第一实施例的流程示意图;
图3为本申请攻击检测方法涉及的检测系统的结构原理图;
图4为本申请检测方法涉及的检测系统的应用流程图;
图5为本申请攻击检测方法检测攻击的流程示意图;
图6为本申请攻击检测方法涉及的回路无攻击状态下扰动残差检测效果图;
图7为本申请攻击检测方法的回路输出和检测的扰动数据受到相同攻击下扰动残差检测效果图;
图8为本申请攻击检测方法的回路输出和检测的扰动数据受到不同攻击下扰动残差检测效果图;
图9为本申请攻击检测方法第二实施例的流程示意图;
图10为本申请攻击检测方法的信号数据预处理的流程示意图;
图11为本申请攻击检测方法的相似性检验的流程示意图;
图12为本申请实施例中回路输出和检测的扰动数据受到相同攻击的相似性检验效果图;
图13为本申请实施例中回路输出和检测的扰动数据受到相同攻击的相似度计算结果图;
图14为本申请实施例中回路无攻击状态下的相似性检验效果图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例的主要解决方案是:接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。通过在工控系统中加入回路探针,并考虑到传输数据的实时传感信号与实时控制信号同时被攻击的情况,并在回路探针内加入相似性检验,可以解决攻击检测漏报和误报问题,提高攻击检测的准确率。基于本申请方案,从真实世界中工业控制系统中普遍存在着外部扰动的问题出发,构建了一套基于回路探针的检测系统,并在该检测系统上验证了本申请提出的攻击检测方法的有效性,最后经过本申请方法检测的攻击漏报率和误预警率得到明显降低。
本申请实施例考虑到,现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主,在工况不变且工业过程控制系统中无强外部扰动的情况下,上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中,工况并非一成不变,这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外,工业过程控制系统中还普遍存在着外部扰动,上述基于卡尔曼滤波的攻击检测方法难以区分较大强度的外部扰动与实际的攻击,并且外部扰动也会遭受攻击。因此,扰动和工况变化使得现有攻击检测方法的漏报率和误报率较高,在工业过程控制系统攻击监测中的实际应用上受到限制。
因此,如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击,并且能够避免由于工况变化和扰动引起的攻击漏报和误报,以在更大程度上满足工业控制系统的安全防护要求,是工业生产领域目前亟需解决的难题。
具体地,参照图1,图1为本申请攻击检测装置所属终端设备的功能模块示意图。该攻击检测装置可以为独立于终端设备的、能够进行创建系统、攻击检测的装置,其可以通过硬件或软件的形式承载于终端设备上。该终端设备可以为手机、平板电脑等具有数据处理功能的智能移动终端,还可以为具有数据处理功能的固定终端设备或服务器等。
在本实施例中,该攻击检测装置所属终端设备至少包括输出模块110、处理器120、存储器130以及通信模块140。
存储器130中存储有操作系统以及攻击检测程序,攻击检测装置可以将控制器所接收的所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,计算得到的残差参数,若未遭受攻击篡改,向所述回路探针发送的相似检验指令;回路探针所获取预先处理的实时控制信号及实时传感信号,基于所述实时传感信号与预设信号参数,计算得到的扰动参数;向所述控制器发送的包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,接收的所述控制器发送的相似检验指令等信息存储于该存储器130中;输出模块110可为显示屏等。通信模块140可以包括WIFI模块、移动通信模块以及蓝牙模块等,通过通信模块140与外部设备或服务器进行通信。
其中,存储器130中的攻击检测程序被处理器执行时实现以下步骤:
接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;
基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
进一步地,存储器130中的攻击检测程序被处理器执行时还实现以下步骤:
若所述残差参数与所述扰动参数相等,则表明所述数据包未遭受攻击篡改;
若所述残差参数与所述扰动参数的差值超出预设阈值,则表明所述数据包遭受攻击篡改。
进一步地,存储器130中的攻击检测程序被处理器执行时还实现以下步骤:
若遭受攻击篡改,则触发第一攻击报警信息。
进一步地,存储器130中的攻击检测程序被处理器执行时还实现以下步骤:
获取所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号;
转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
进一步地,存储器130中的攻击检测程序被处理器执行时还实现以下步骤:
计算所述实时传感信号与预设参考值,得到误差值;
基于所述误差值及预设控制参数进行计算,得到预估控制输出;
检验所述实时控制信号与所述预估控制输出是否相似;
若否,则表明遭受攻击篡改,并触发第二攻击报警信息;
若是,则表明未遭受攻击篡改,执行步骤,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
进一步地,存储器130中的攻击检测程序被处理器执行时还实现以下步骤:
基于所述平稳控制信号及所述平稳传感信号辨识被控对象模型;
基于所述被控对象模型确定所述预设信号参数。
本实施例通过上述方案,具体通过接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。基于本申请方案,从真实世界中工业控制系统中普遍存在着外部扰动的问题出发,构建了一套基于回路探针的检测系统,并在该检测系统上验证了本申请提出的攻击检测方法的有效性,最后经过本申请方法检测的攻击漏报率和误预警率得到明显降低。
基于上述终端设备架构但不限于上述架构,提出本申请方法实施例。
需要说明的是,工业过程中的攻击一般作用于控制系统的闭环控制回路,进而影响整个工业生产过程。其中,虚假数据注入(FDI)攻击是目前最常见的一种攻击形式。
现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主,在工况不变且工业过程控制系统中无强外部扰动的情况下,上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中,工况并非一成不变,这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外,工业过程控制系统中还普遍存在着外部扰动,上述基于卡尔曼滤波的攻击检测方法难以区分较大强度的外部扰动与实际的攻击,并且外部扰动也会遭受攻击。因此,扰动和工况变化使得现有攻击检测方法的漏报率和误报率较高,在工业过程控制系统攻击监测中的实际应用上受到限制。
因此,如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击,并且能够避免由于工况变化和扰动引起的攻击漏报和误报,以在更大程度上满足工业控制系统的安全防护要求,是工业生产领域目前亟需解决的难题。
参照图2,图2为本申请攻击检测方法第一实施例的流程示意图。所述攻击检测方法应用于控制器,所述控制器与回路探针交互,所述攻击检测方法包括以下步骤:
步骤S210,接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;
具体地,在回路探针将数据包发送至控制器的过程中,若工业过程控制回路遭受攻击,则数据包会遭受攻击篡改,从而使数据包中的实时传感信号y(k)和/或扰动参数d(k)发生改变。当控制器在接收到数据包后,根据数据包中的预设信号参数ym(k)与扰动参数d(k)进行运算,得到残差参数z(k);控制器接收回路探针发送的包含扰动参数d(k)、预设信号参数ym(k)及实时传感信号y(k)的数据包,并基于工业过程控制回路平稳运行状况下存在干扰的预设信号参数ym(k)及实时传感信号y(k)进行比对运算,得到残差参数z(k),其中,所述实时传感信号是由控制器接收回路探针所实时转换得到。计算残差参数z(k)的具体步骤可以如下:
首先控制器通过回路探针预先存储的被控对象模型Gm(s)参数将模型转化为Gm(z),控制器输出时间序列u(k)转换为u(z),其中,所述被控对象模型Gm(s)由回路探针中的平稳控制信号us及平稳传感信号ys离线辨识得到;
然后,控制器输出u(z)和被控对象模型Gm(z)计算模型输出:
Ym(z)=u(z)*Gm(z)
然后,将ym(z)转换成时间序列ym(k);
最后,计算得到残差参数:
z(k)=ya(k)-ym(k)
步骤S220,基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
具体地,然后将残差参数z(k)与扰动参数d(k)进行比对,判断实时传感信号与预设信号参数的差距是由于工况变化产生的干扰造成,还是由于工业过程控制回路遭受攻击所造成,同时考虑到扰动参数也遭受攻击篡改的情况,避免发生攻击漏报。
例如,通过控制器接收回路探针发送的包含预设信号参数ym(k)、干扰参数d(k)及实时传感信号y(k)的数据包,考虑到此过程中实时传感信号y(k)和/或干扰参数d(k)可能受到虚假数据注入攻击a(k),到达控制器/攻击检测器的数据记为da(k)和ya(k),存在三种情况:
第一种情况:d(k)与y(k)均未受到攻击,此时da(k)=d(k),ya(k)=y(k);
第二种情况:d(k)与y(k)均受到相同攻击,此时da(k)=d(k)+a(k),ya(k)=y(k)+a(k);
第三种情况:d(k)与y(k)受到不同攻击,此时da(k)=d(k)+a1(k),da(k)=d(k)+a2(k),a1(k)≠a2(k);
然后将残差参数z(k)与da(k)进行对比,即可判断实时传感信号与预设信号参数的差距是由于工况变化产生的干扰造成,还是由于工业过程控制回路遭受攻击所造成,同时考虑到扰动参数也遭受攻击篡改的情况,避免发生攻击漏报。
步骤S230,若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
具体地,若控制器检测到未遭受攻击篡改,则向回路探针发送相似性指令,以供回路探针基于实时传感信号y(k)对实时控制信号u(k)进行相似性检验,从而进行二次攻击检测。其中,实时控制信号与实时传感信号相对对应。作为一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针同时转换获得;作为另一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针以实际情况或以用户设定的顺序转换获得。本实施例以回路探针同时转换实时传感信号y(k)和实时控制信号u(k)为实现方式。
参考图3,图3为本申请攻击检测方法涉及的检测系统的结构原理图。检测系统的硬件构成具体以图3为例,图中示出控制室包括:控制器/攻击检测器,还示出工业现场包括:执行器、被控对象、扰动通道、传感器和回路探针,且控制室与工业现场通过通讯网络进行数据传输。该检测系统的整体数据流如图3所示:
首先,向检测系统中的扰动通道加入阶跃扰动信号,向系统中的通讯网络加入a(k)(阶跃攻击信号);然后,扰动信号经过扰动通道后作用于系统,于系统中加入白噪声;然后,传感器将y(s)(平稳传感信号)和u(s)(平稳控制信号)实时转换得到y(k)(实时传感信号)和u(k)(实时控制信号)发送至回路探针;回路探针接收到y(k)和u(k)后,根据预设信号参数及实时传感信号计算得到d(k)(扰动参数),并将d(k)和y(k)发送至控制器/攻击检测器,由于在传输数据经过通讯网络有可能遭受a(k)的攻击从而篡改数据,那么d(k)和y(k)到达控制器/攻击检测器后变成da(k)和ya(k);然后,控制器/攻击检测器向执行器发送控制器的输出u1(k);然后,执行器转换u1(k)为u1(s)从而控制被被控对象;最后,传感器再次将u1(s)和y1(s)实时转换并作为新的y(k)和u(k),至此形成回路。
其中控制信号u(s)和传感器输出信号y(s)符合4~20mA标准,系统采用经典的PID控制器,比例系数Kc=2.4,积分时间常数Ti=8.8,微分时间常数Td=0,被控对象真实传递函数模型为
Figure BDA0003672612290000111
扰动通道传递函数为
Figure BDA0003672612290000112
系统采样时间Ts设置为1s,参考值r(k)设置为0,虚假数据注入攻击作用于工业过程现场和控制室间的通讯网络。在系统中于t=150s加入幅值为1的阶跃扰动信号,于t=300s加入阶跃攻击信号,其中a(k)幅值为-1,a1(k)幅值为-1,a2(k)幅值为-0.5。扰动信号经过扰动通道后作用于系统,攻击信号直接作用于传感器信号y(k)。为模拟真实场景,于系统中加入白噪声。本实例中的扰动残差判断方法的第一阈值dth设置为0.1,若差值超出第一阈值,则判断遭受攻击篡改;相似性检验方法的第二阈值Sth设置为0.8,通过计算信号间余弦相似度S,若余弦相似度S低于第二阈值,则相似性检验不通过。
参考图4,图4为本申请检测方法涉及的检测系统的应用流程图。首先,回路探针收集控制回路正常运行状况下的历史输入数据u(s)和输出数据y(s);然后采用经典模型辨识方法估计被控对象模型Gm(s);回路探针存储Gm(s)参数并发送给控制器,控制器存储Gm(s);然后回路探针实时转换u(s)和y(s),对应得到u(k)和y(k);然后基于回路探针内的微处理器计算系统模型输出得到ym(k),并计算扰动参数d(k)=y(k)-ym(k);然后,回路探针发送d(k)和y(k)至控制器,到达控制器的数据为da(k)和ya(k);控制器接收到传输数据后进行攻击检测;判断传输数据是否遭受攻击篡改,若是,执行攻击预警,并执行步骤回路探针实时转换u(s)和y(s),形成回路;若否,回路探针内进行相似性检验;若是,则表明系统未受到攻击篡改,执行步骤回路探针实时转换u(s)和y(s),形成回路;若检验不通过,执行攻击预警,并执行步骤回路探针实时转换u(s)和y(s),形成回路。
本实施例通过上述方案,具体通过接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。通过考虑传输数据的实时传感信号与实时控制信号同时被攻击的情况,并在回路探针内加入相似性检验,可以解决攻击检测漏报和误报问题,提高攻击检测的准确率。
参照图5,图5为本申请攻击检测方法检测攻击的流程示意图。基于上述图2所示的实施例,步骤S220,基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改的步骤包括:
步骤S510,若所述残差参数与所述扰动参数相等,则表明所述数据包未遭受攻击篡改;
具体地,考虑实时传感信号y(k)和/或干扰参数d(k)可能受到虚假数据注入攻击a(k),到达控制器/攻击检测器的数据记为da(k)和ya(k),基于残差参数z(k)与扰动参数d(k)进行对比,若残差参数z(k)与扰动参数d(k)相等,则表明数据包未遭受攻击篡改。其中,未遭受攻击篡改至少包括两种情况。
第一种情况:d(k)与y(k)均未受到攻击,此时da(k)=d(k),ya(k)=y(k);
从而得到z(k)=ya(k)-ym(k)=y(k)-ym(k)=d(k)=da(k),此时判断系统未受到攻击篡改,则执行步骤S230。
本实施例具体通过在系统中于t=150s加入幅值为1的阶跃扰动信号,于t=300s加入阶跃攻击信号,其中a(k)幅值为-1,a1(k)幅值为-1,a2(k)幅值为-0.5。扰动信号经过扰动通道后作用于系统,攻击信号直接作用于传感器信号y(k)。为模拟真实场景,于系统中加入白噪声。本实例中扰动残差判断方法的第一预设阈值dth选取为0.1。
参考图6,图6为本申请攻击检测方法涉及的回路无攻击状态下扰动残差检测效果图。如图6所示,残差参数z(k)与da(k)的曲线基本重合,即图中示出的z-da曲线基本平稳。此时判断系统未受到攻击篡改。
第二种情况:d(k)与y(k)均受到相同攻击,此时da(k)=d(k)+a(k),ya(k)=y(k)+a(k);
从而得到z(k)=ya(k)-ym(k)=y(k)+a(k)-ym(k)=d(k)+a(k)=da(k);此时传输数据受到攻击,但控制器判断系统未受到攻击篡改,即控制器的判断属于误判,则执行步骤S230。
参考图7,图7为本申请攻击检测方法的回路输出和检测的扰动数据受到相同攻击下扰动残差检测效果图。如图7所示,残差参数z(k)与da(k)的曲线基本重合,即图中示出的z-da曲线基本平稳。此时传输数据受到攻击,但控制器判断系统未受到攻击篡改,即控制器的判断属于误判。
步骤S520,若所述残差参数与所述扰动参数的差值超出预设阈值,则表明所述数据包遭受攻击篡改。
需要说明的是,在本实施例中,预设阈值范围是用户根据工业过程控制回路的实际情况主观设置的数值范围,可以采用实时传感信号的峰值的百分比进行表示,其中,实时传感信号可以为温度、压力、流量、液位或者浓度等等,在此不做具体限制。
具体地,d(k)与y(k)受到不同攻击,此时da(k)=d(k)+a1(k),da(k)=d(k)+a2(k),a1(k)≠a2(k);
那么z(k)=ya(k)-ym(k)=y(k)+a1(k)-ym(k)=d(k)+a1(k),z(k)与da(k)之差为z(k)-da(k)=d(k)+a1(k)-(d(k)+a2(k))=a1(k)-a2(k),若a1(k)-a2(k)的差值超出预设阈值,那么则确定数据包遭受攻击篡改,从而确定工业过程控制回路遭受攻击,并进行第一攻击报警信息。
参考图8,图8为本申请攻击检测方法的回路输出和检测的扰动数据受到不同攻击下扰动残差检测效果图。这里假定预设阈值范围dth,为实时传感信号y(k)的峰值的10%,图中示出t=300s之后z(k)与da(k)差值约为0.5,二者之差超出阈值dth=0.1,表示系统受到攻击,即图中示出的z-da曲线有明显的幅度变化。则确定数据包遭受攻击篡改,从而确定工业过程控制回路遭受攻击。
进一步地,步骤S220,基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改之后的步骤包括:
步骤S530,若遭受攻击篡改,则触发第一攻击报警信息。
控制器在通过计算残差参数与扰动参数得到的差值超出预设阈值范围,确定工业过程控制回路遭受攻击后,触发第一报警信息以提醒用户及时处理;其中,第一报警信息包括向用户终端发送报警信息或者进行声音报警,在此不做具体限制。需要说明的是,根据实际情况需要,本申请中的第一攻击报警信息可以是与第二攻击报警信息为同一报警信息,也可以为不同的报警信息。需要说明的是,向外部发出第一攻击报警信息后,或是用户处理完数据信号的攻击篡改之后,回路探针继续执行实时传感信号及实时控制信号的预处理,控制器接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并判断数据包是否遭受攻击篡改,形成回路。
本实施例通过上述方案,具体通过接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;若所述残差参数与所述扰动参数相等,则表明所述数据包未遭受攻击篡改;若所述残差参数与所述扰动参数的差值超出预设阈值,则表明所述数据包遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令;若遭受攻击篡改,则触发第一攻击报警信息。通过将残差参数与扰动参数、实施传感信号进行比对以判断数据包是否遭受攻击篡改,从而确定工业过程控制回路是否遭受攻击篡改,有效避免了由于扰动引起的攻击误预警,提高了本申请攻击检测方法的实用性。
参照图9,图9为本申请攻击检测方法第二实施例的流程示意图。所述攻击检测方法应用于回路探针,所述回路探针与控制器交互,所述攻击检测方法包括以下步骤:
步骤S910,获取预先处理的实时传感信号及对应的实时控制信号;
具体地,工业过程控制回路正常运行状况下,安装于工业过程控制回路的检测回路探针中的A/D转换器实时转换由传感器发出的平稳传感信号y(s)以及控制器发出的平稳控制信号u(s),以确定传感器在对控制器进行数据传输前,实时传感信号以及实时控制信号的初始内容。其中,实时控制信号与实时传感信号相对对应。作为一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针同时转换获得;作为另一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针以实际情况或以用户设定的顺序转换获得。本实施例以回路探针同时转换实时传感信号y(k)和实时控制信号u(k)为实现方式。
例如,工业过程控制回路正常运行状况下,基于检测回路探针内的A/D转换器实时转换传感器所发出的传感信号y(s)和控制器所发出的平稳控制信号u(s),从而得到对应的实时传感信号y(k)和实时控制信号u(k)。
步骤S920,计算所述实时传感信号与预设信号参数,得到扰动参数;
具体地,检测回路探针根据实时转换得到的实时传感信号y(k),与工业过程控制回路平稳运行状况下存在干扰的预设信号参数进行比对运算,将运算得到的差值作为由于工况变化产生的干扰所对应的扰动参数。例如,在回路探针内的微处理器中计算得到系统模型的输出为预设信号参数ym(k),并计算扰动参数d(k)=y(k)-ym(k)。
步骤S930,向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
具体地,检测回路探针将存储在存储模块的包含实时传感信号、预设信号参数和扰动参数的数据包,通过通讯模块发送至控制器,以供控制器进行运算核对。以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于残差参数与扰动参数,判断实时传感信号与预设信号参数的差距是由于工况变化产生的干扰造成,还是由于工业过程控制回路遭受攻击所造成,同时考虑到扰动参数也遭受攻击篡改的情况,避免发生攻击漏报。
步骤S940,若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
具体地,回路探针接收到控制器发送的相似检验指令,则基于实时传感信号y(k)对实时控制信号u(k)进行攻击检测,其中,攻击检测的具体步骤可以包括:
首先,回路探针基于对实时传感信号y(k)与预设参考值rk进行计算,得到误差值ek;基于误差值ek及预设控制参数进行计算,得到预估控制输出;检验所述实时控制信号与所述预估控制输出是否相似;若否,则表明遭受攻击篡改,并触发第二攻击报警信息;若是,则表明未遭受攻击篡改,执行步骤S910。
需要说明的是,在本实施例中,预设参考值范围是用户根据工业过程控制回路的实际情况主观设置的数值范围,其中,预设参考值可以为温度、压力、流量、液位或者浓度等等,在此不做具体限制。
本实施例通过上述方案,具体通过获取预先处理的实时传感信号及对应的实时控制信号;计算所述实时传感信号与预设信号参数,得到扰动参数;向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。通过基于所述实时传感信号对实时控制信号u(k)进行相似性检验,有效避免了由于扰动引起的攻击误预警,并解决了攻击漏报的问题,对工业过程控制系统的安全防护具有重要价值。
参考图10,图10为本申请攻击检测方法的信号数据预处理的流程示意图。基于上述图9所示的实施例,步骤S910,获取预先处理的实时传感信号及对应的实时控制信号的步骤包括:
步骤S1001,获取所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号;
具体地,工业过程控制回路正常运行状况下,安装于工业过程控制回路的检测回路探针中的A/D转换器获取由传感器发出的平稳传感信号y(s)以及控制器发出的平稳控制信号u(s),以供转换传感器在对控制器进行数据传输前,实时传感信号以及实时控制信号的初始内容。
步骤S1002,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
具体地,工业过程控制回路正常运行状况下,基于检测回路探针内的A/D转换器实时转换传感器所发出的传感信号y(s)和控制器所发出的平稳控制信号u(s),从而得到对应的实时传感信号y(k)和实时控制信号u(k)。其中,实时控制信号与实时传感信号相对对应。作为一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针同时转换获得;作为另一种实现方式,实时传感信号y(k)和实时控制信号u(k)由回路探针以实际情况或以用户设定的顺序转换获得。本实施例以回路探针同时转换实时传感信号y(k)和实时控制信号u(k)为实现方式。
进一步地,步骤S920,计算所述实时传感信号与预设信号参数,得到扰动参数之前的步骤包括:
步骤S1003,基于所述平稳控制信号及所述平稳传感信号辨识被控对象模型;
本实施例以步骤S1003至步骤S1004在步骤S910与步骤S920之间实施,在其他实施例中,步骤S1003至步骤S1004也可以在步骤S910之前实施。
具体地,利用回路探针内的A/D转换器转换工业过程控制回路正常运行状况下的控制信号u(s)和传感器信号y(s),基于对应的转换结果u(k)和y(k),采用经典模型辨识方法,离线辨识得到被控对象模型
Figure BDA0003672612290000171
其中,本申请实施例以最小二乘法为优选,在其他实施例也可以采用其他模型辨识方法,在此不做具体限制。将Gm(s)参数存储于回路探针内的存储器并通过通讯接口将其发送至控制器/攻击检测器;
步骤S1004,基于所述被控对象模型确定所述预设信号参数。
具体地,基于u(k)和y(k)离线辨识被控对象模型Gm(s),将被控对象模型Gm(s)参数转化为Gm(z),将控制器输出的时间序列u(k)转换为u(z),进而针对控制器输出的时间序列u(z)和被控对象模型Gm(z)计算模型输出:
ym(z)=u(z)*Gm(z);
最后将ym(z)转换成时间序列ym(k),并将时间序列ym(k)作为代表工业过程控制回路在未遭受攻击的情况下的预设信号参数。
本实施例通过上述方案,具体通过获取所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号;转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号;基于所述平稳控制信号及所述平稳传感信号辨识被控对象模型;基于所述被控对象模型确定所述预设信号参数。本申请实施例提供了用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数的生成步骤,以在攻击检测时作为用于比对实时传感信号的标准参数,涉及的运算原理简单,并且运算成本较低,提高了本发明控制系统攻击检测方法的实用性。
参考图11,图11为本申请攻击检测方法的相似性检验的流程示意图。基于上述图10所示的实施例,步骤S940,基于所述实时传感信号对所述实时控制信号进行攻击检测的步骤包括:
步骤S1110,计算所述实时传感信号与预设参考值,得到误差值;
具体地,预设参考值r(k)是用户根据工业过程控制回路的实际情况主观设置的数值范围,然后通过回路探针计算r(k)与y(k)的差,得到误差值e(k)。例如,e(k)=r(k)-y(k)。
步骤S1120,基于所述误差值及预设控制参数进行计算,得到预估控制输出;
例如,利用PID控制器参数:Kc=2.4,Ti=8.8,Td=0及采样时间Ts=1,计算预估控制输出:
Figure BDA0003672612290000181
其中
Figure BDA0003672612290000182
步骤S1130,检验所述实时控制信号与所述预估控制输出是否相似;
具体地,针对第一种情况进行相似性检验,此时d(k)与y(k)均未受到攻击,da(k)=d(k),ya(k)=y(k),检测器判断系统未受到攻击篡改,则回路探针进行二次攻击检测。
针对第二种情况进行相似性检验,此时d(k)与y(k)均受到相同攻击,da(k)=d(k)+a(k),ya(k)=y(k)+a(k),此时传输数据受到攻击,但控制器判断系统未受到攻击篡改,即控制器的判断属于误判。则回路探针进行二次攻击检测。
步骤S1140,若否,则表明遭受攻击篡改,并触发第二攻击报警信息;
具体地,参照图12,图12为本申请实施例中回路输出和检测的扰动数据受到相同攻击的相似性检验效果图。图中示出,t=300s以后,u(k)和
Figure BDA0003672612290000191
发生偏离,计算u(k)和
Figure BDA0003672612290000192
两个信号间余弦相似度S:
Figure BDA0003672612290000193
其中,k表示当前时刻,u(k)和
Figure BDA0003672612290000194
表示长度为k的时间序列,S随信号长度变化。
参考图13,图13为本申请实施例中回路输出和检测的扰动数据受到相同攻击的相似度计算结果图。可见t=315s时,两信号间相似度S低于阈值Sth=0.8,视作系统受到攻击,进行攻击预警。
步骤S1150,若是,则表明未遭受攻击篡改,执行步骤,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
具体地,参考图14,图14为本申请实施例中回路无攻击状态下的相似性检验效果图。图中示出u(k)和
Figure BDA0003672612290000195
基本一致,则视为系统正常运行,执行步骤S1001。
本实施例通过上述方案,具体通过计算所述实时传感信号与预设参考值,得到误差值;基于所述误差值及预设控制参数进行计算,得到预估控制输出;检验所述实时控制信号与所述预估控制输出是否相似;若否,则表明遭受攻击篡改,并触发第二攻击报警信息;若是,则表明未遭受攻击篡改,执行步骤,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。通过基于所述实时传感信号对实时控制信号进行相似性检验,有效避免了由于扰动引起的攻击误预警,并解决了攻击漏报的问题,对工业过程控制系统的安全防护具有重要价值。
此外,本申请实施例还提出一种检测系统,本申请检测系统包括:
控制器,用于接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得;
回路探针,用于获取预先处理的实时传感信号及对应的实时控制信号;计算所述实时传感信号与预设信号参数,得到扰动参数;向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
优选地,控制器,包括:
接收模块,用于接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;
攻击检测模块,用于基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
指令发送模块,用于若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
优选地,回路探针,包括:
获取模块,用于获取预先处理的实时传感信号及对应的实时控制信号;
计算模块,用于计算所述实时传感信号与预设信号参数,得到扰动参数;
参数发送模块,用于向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
相似性检验模块,若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
此外,本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击检测程序,所述攻击检测程序被所述处理器执行时实现如上所述的攻击检测方法的步骤。
由于本攻击检测程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
此外,本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击检测程序,所述攻击检测程序被处理器执行时实现如上所述的攻击检测方法的步骤。
由于本攻击检测程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
相比现有技术,本申请实施例提出的攻击检测方法、系统、终端设备以及存储介质,通过接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对所述实时传感信号对应的实时控制信号进行攻击检测,其中,所述实时传感信号和所述实时控制信号由回路探针同时转换获得。通过在工控系统中加入回路探针,并考虑到传输数据的实时传感信号与实时控制信号同时被攻击的情况,并在回路探针内加入相似性检验,可以解决攻击检测漏报和误报问题,提高攻击检测的准确率。基于本申请方案,从真实世界中工业控制系统中普遍存在着外部扰动的问题出发,构建了一套基于回路探针的检测系统,并在该检测系统上验证了本申请提出的攻击检测方法的有效性,最后经过本申请方法检测的攻击漏报率和误预警率得到明显降低。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,被控终端,或者网络设备等)执行本申请每个实施例的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种攻击检测方法,其特征在于,所述攻击检测方法应用于控制器,所述控制器与回路探针交互,所述攻击检测方法包括以下步骤:
接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;
基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得。
2.如权利要求1所述的攻击检测方法,其特征在于,所述基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改的步骤包括:
若所述残差参数与所述扰动参数相等,则表明所述数据包未遭受攻击篡改;
若所述残差参数与所述扰动参数的差值超出预设阈值,则表明所述数据包遭受攻击篡改。
3.如权利要求1所述的攻击检测方法,其特征在于,所述基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改之后的步骤包括:
若遭受攻击篡改,则触发第一攻击报警信息。
4.一种攻击检测方法,其特征在于,所述攻击检测方法应用于回路探针,所述回路探针与控制器交互,所述攻击检测方法包括以下步骤:
获取预先处理的实时传感信号及对应的实时控制信号;
计算所述实时传感信号与预设信号参数,得到扰动参数;
向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;
若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
5.如权利要求4所述的攻击检测方法,其特征在于,所述回路探针还与传感器交互,所述获取预先处理的实时控制信号及实时传感信号的步骤包括:
获取所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号;
转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
6.如权利要求5所述的攻击检测方法,其特征在于,所述基于所述实时传感信号对所述实时控制信号进行攻击检测的步骤包括:
计算所述实时传感信号与预设参考值,得到误差值;
基于所述误差值及预设控制参数进行计算,得到预估控制输出;
检验所述实时控制信号与所述预估控制输出是否相似;
若否,则表明遭受攻击篡改,并触发第二攻击报警信息;
若是,则表明未遭受攻击篡改,执行步骤,转换所述平稳控制信号及所述平稳传感信号,对应得到所述实时控制信号及所述实时传感信号。
7.如权利要求5所述的攻击检测方法,其特征在于,所述计算所述实时传感信号与预设信号参数,得到扰动参数之前的步骤包括:
基于所述平稳控制信号及所述平稳传感信号辨识被控对象模型;
基于所述被控对象模型确定所述预设信号参数。
8.一种检测系统,其特征在于,所述漏报检测系统包括:控制器,回路探针;
所述控制器,用于接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包,并基于所述预设信号参数及所述实时传感信号计算得到残差参数;基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若未遭受攻击篡改,则向所述回路探针发送相似检验指令,以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测,其中,所述实时控制信号与所述实时传感信号对应,并由所述回路探针转换获得;
所述回路探针,用于获取预先处理的实时传感信号及对应的实时控制信号;计算所述实时传感信号与预设信号参数,得到扰动参数;向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包,以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数,并基于所述残差参数及所述扰动参数,判断所述数据包是否遭受攻击篡改;若接收到所述控制器发送的相似检验指令,则基于所述实时传感信号对所述实时控制信号进行攻击检测。
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击检测程序,所述攻击检测程序被所述处理器执行时实现如权利要求1-7中任一项所述的攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有攻击检测程序,所述攻击检测程序被处理器执行时实现如权利要求1-7中任一项所述的攻击检测方法的步骤。
CN202210608928.2A 2022-05-31 2022-05-31 攻击检测方法、系统、终端设备以及存储介质 Pending CN115032895A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210608928.2A CN115032895A (zh) 2022-05-31 2022-05-31 攻击检测方法、系统、终端设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210608928.2A CN115032895A (zh) 2022-05-31 2022-05-31 攻击检测方法、系统、终端设备以及存储介质

Publications (1)

Publication Number Publication Date
CN115032895A true CN115032895A (zh) 2022-09-09

Family

ID=83123217

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210608928.2A Pending CN115032895A (zh) 2022-05-31 2022-05-31 攻击检测方法、系统、终端设备以及存储介质

Country Status (1)

Country Link
CN (1) CN115032895A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065283A1 (zh) * 2022-09-28 2024-04-04 华为技术有限公司 评估车辆风险的方法、装置以及监测攻击的系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024065283A1 (zh) * 2022-09-28 2024-04-04 华为技术有限公司 评估车辆风险的方法、装置以及监测攻击的系统

Similar Documents

Publication Publication Date Title
CN107609540B (zh) 一种指纹传感器的校准参数的获取方法、装置及移动终端
EP3515040B1 (en) Reliable cyber-threat detection in rapidly changing environments
CN108922129B (zh) 一种调整安防传感器报警阈值的方法、装置、云端及系统
WO2022062775A1 (zh) 一种基于车辆终端系统的监控处理方法、系统及相关设备
CN109397703A (zh) 一种故障检测方法及装置
CN109992969B (zh) 一种恶意文件检测方法、装置及检测平台
CN115032895A (zh) 攻击检测方法、系统、终端设备以及存储介质
CN108298393A (zh) 基于深度网络过滤电梯困人误报的方法
CN112671724B (zh) 一种终端安全检测分析方法、装置、设备及可读存储介质
US20230076346A1 (en) Two-dimensionality detection method for industrial control system attacks
CN113075438B (zh) 一种窃电检测方法及其装置、防窃电装置和可读存储介质
CN106681906A (zh) 指纹模块工作异常的检测方法、装置和终端设备
CN113393325A (zh) 交易检测方法、智能设备及计算机存储介质
CN113726779A (zh) 规则误报测试方法、装置、电子设备及计算机存储介质
KR102250200B1 (ko) 화재모니터링장치 및 그 동작 방법
CN114527651A (zh) 控制系统攻击检测方法、检测系统、设备和存储介质
KR20050102515A (ko) 이동통신 단말기를 이용한 냄새 식별 장치
CN210135949U (zh) 一种氢气瓶监测系统
CA3037673C (en) Anomaly detection and neural network algorithms for pst hydrocyclone condition monitoring
CN106886724B (zh) 一种用户设备的多维度解锁方法及用户设备
CN215268530U (zh) 一种监控系统
KR102444941B1 (ko) 화재모니터링장치 및 그 동작 방법
CN117714177A (zh) 一种基于众测任务的异常行为检测方法
CN118099485B (zh) 燃料电池系统工况检测方法、自动化试验方法及测试系统
CN114244539B (zh) Web应用攻击分析方法和装置、计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination