CN117439817B - 一种工业控制系统入侵响应方法、系统、设备及介质 - Google Patents
一种工业控制系统入侵响应方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN117439817B CN117439817B CN202311753061.0A CN202311753061A CN117439817B CN 117439817 B CN117439817 B CN 117439817B CN 202311753061 A CN202311753061 A CN 202311753061A CN 117439817 B CN117439817 B CN 117439817B
- Authority
- CN
- China
- Prior art keywords
- security policy
- layer security
- network layer
- node
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000004044 response Effects 0.000 title claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims abstract description 45
- 238000005457 optimization Methods 0.000 claims abstract description 19
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 29
- 230000002787 reinforcement Effects 0.000 claims description 15
- 230000009471 action Effects 0.000 claims description 12
- 230000000694 effects Effects 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 9
- 230000004927 fusion Effects 0.000 claims description 7
- 230000008901 benefit Effects 0.000 claims description 6
- 230000009545 invasion Effects 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 238000007599 discharging Methods 0.000 claims description 3
- 238000013139 quantization Methods 0.000 claims description 3
- 238000010187 selection method Methods 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 239000013598 vector Substances 0.000 description 3
- 102100026205 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Human genes 0.000 description 2
- 101100190617 Arabidopsis thaliana PLC2 gene Proteins 0.000 description 2
- 101100408456 Arabidopsis thaliana PLC8 gene Proteins 0.000 description 2
- 101100464304 Caenorhabditis elegans plk-3 gene Proteins 0.000 description 2
- 101000691599 Homo sapiens 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Proteins 0.000 description 2
- 101100093534 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RPS1B gene Proteins 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000003912 environmental pollution Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/092—Reinforcement learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种工业控制系统入侵响应方法、系统、设备及介质,涉及工业控制系统技术领域,包括:确定异常路径;以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略。解决工控网络层安全策略选择时现有多目标优化算法难以找到帕累托最优解的问题,以及缺少物理层策略选择方法的问题。
Description
技术领域
本发明涉及工业控制系统技术领域,特别是涉及一种工业控制系统入侵响应方法、系统、设备及介质。
背景技术
工业控制系统(Industrial control system,ICS)是各式控制系统类型的总称,包括用于工业过程控制的控制系统和相关仪器。工业控制系统面临的网络攻击与传统IT系统面临的网络攻击不同,传统IT系统遭受攻击后可能造成的最大损失是信息泄露、数据篡改等,往往不会直接发生重大危险事故,因为传统IT系统最重要的是信息的保密性。而针对ICS的网络攻击往往会导致严重后果,例如环境污染、设备损坏甚至人员伤亡等。
入侵检测系统负责检测和发现网络中的恶意攻击和活动,入侵响应系统负责选择适当的安全防护策略来抵御攻击或减轻攻击的影响。然而,由于ICS的复杂性和网络攻击的多样性,对部署安全策略提出了重大挑战。
在选择安全防护策略时,必须考虑策略的部署成本、缓解攻击的有效性以及对服务的潜在负面影响,因此,找到一个能够同时最大限度地减少攻击者的利益、降低部署成本,并减轻不利影响的策略集是一项复杂的任务,由此ICS中的决策问题被描述为多目标优化挑战。
目前常用的多目标优化算法在寻找帕累托最优解时存在一定的局限性,在处理具备复杂不规则的帕累托前沿时效果不理想,导致应用到策略选择问题上时,选出的策略不能保证是最优策略;其次从物理层设备状态上,缺少对应的物理策略的选择。
发明内容
为了解决上述问题,本发明提出了一种工业控制系统入侵响应方法、系统、设备及介质,解决工控网络层安全策略选择时现有多目标优化算法难以找到帕累托最优解的问题,以及缺少物理层策略选择方法的问题。
为了实现上述目的,本发明采用如下技术方案:
第一方面,本发明提供一种工业控制系统入侵响应方法,包括:
根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略。
作为可选择的一种实施方式,根据待评估路径的风险值确定异常路径的过程包括:计算所有待评估路径的风险值,以风险值最高的待评估路径为异常路径;
待评估路径的风险值的计算包括:
单个节点的风险值为:;/>是攻击图中节点/>的风险值;是节点/>被攻击的概率;/>是节点/>的权重;
待评估路径的风险值为,n为待评估路径上的节点数。
作为可选择的一种实施方式,网络层安全策略成本为使用当前网络层安全策略产生的成本;
攻击收益为,其中攻击收益/>是指攻击图中的节点/>被攻击者成功入侵后带给攻击者的收益;/>是节点/>的重要性;/>是使用当前网络层安全策略时攻击者成功入侵节点/>的概率;
服务影响为使用网络层安全策略集合对工业控制系统服务所产生的影响,通过可行性量来进行量化,具体为:/>;其中,/>为系统正常运行时间,/>为系统异常运行时间。
作为可选择的一种实施方式,网络层策略动作为:
;
其中,T为领域,表示融合生成新策略时参与融合的策略范围;nr为策略替换个数。
作为可选择的一种实施方式,网络层安全策略包括:关闭响应网络连接、禁用相应端口、禁用相关网络服务、使用补丁修复相关漏洞、更改防火墙配置和加密网络通信;
物理层安全策略包括:针对水箱水位、水压和流量的物理层安全策略包括控制水泵的启停、阀门的开关和水箱的放水操作;针对温度问题的物理层安全策略包括控制加热器或制冷器的启停。
作为可选择的一种实施方式,对每个个体使用基于反向学习的差分进化算法进行变异,使用切比雪夫方法进行解的更新;其中,当种群迭代次数到达设定阈值时,对变异生成的子代进行反向学习从而求得反向解。
作为可选择的一种实施方式,反向解为;其中,/>是当前解的第i维的反向解,/>和/>分别是解取值的最大值和最小值,/>是当前解中第i维的值。
第二方面,本发明提供一种工业控制系统入侵响应系统,包括:
异常定位模块,被配置为根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
网络层策略生成模块,被配置为以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
物理层策略生成模块,被配置为根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略。
第三方面,本发明提供一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成第一方面所述的方法。
第四方面,本发明提供一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述的方法。
与现有技术相比,本发明的有益效果为:
目前通过多目标优化算法在处理具备复杂不规则的帕累托前沿时效果不理想,导致应用到策略选择问题上时,选出的策略不能保证是最优策略;为此,本发明提出基于改进的MOEA/D多目标优化算法的网络层安全策略生成技术,使用强化学习算法和反向学习对MOEA/D算法进行改进;首先在MOEA/D算法的基础上引入强化学习算法,然后在差分进化算法中加入反向学习,最后使用引入反向学习的差分进化算法生成MOEA/D算法的新子代,提高MOEA/D算法解的多样性以及其解的收敛性,具备更强的鲁棒性,能适应多种问题下的安全策略的选择。
本发明首次考虑到了物理层安全策略的实施,物理层采取到的状态信息往往是连续的,为此引入DQN来对物理层安全策略进行选取,满足物理层状态连续的特点,可以根据从物理层装备的实时状态来选择对应的物理策略保障设备的正常运行,解决现有系统缺少物理层策略选择方法的问题。
本发明附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本发明实施例1提供的工业控制系统入侵响应方法流程图;
图2为本发明实施例1提供的工业控制系统入侵响应方法框架图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,术语“包括”和“包含”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
术语解释:
1、MOEA/D算法:基于分解的多目标进化算法(Multi-Objective EvolutionaryAlgorithm based on Decomposition,MOEA/D),用于解决具有多个冲突目标的优化问题。它是一种进化算法,旨在多个冲突的目标之间找到一组最优解,以帮助决策者进行权衡和决策。
2、Q-learning:强化学习算法,用于解决在未知环境中的马尔可夫决策过程(MDP)中的控制问题。它的目标是学习一个最优的策略,使一个智能体在与环境交互时最大化累积的奖励。
3、反向学习:是一种搜索反向解的方法,其主要思想是搜索当前解的同时也搜索反向解,比较当前解和反向解的效果,表现好的解成为候选解。
4、DE算法:差分进化(Differential Evolution,DE)算法是一种用于全局优化的进化算法,通常用于求解连续优化问题。它是一种启发式算法,旨在找到函数的最小值(或最大值)。
5、DQN:深度Q网络(Deep Q-Network,DQN)是一种深度强化学习算法,它结合了深度神经网络和Q学习的思想,用于解决马尔可夫决策过程(MDP)中的强化学习问题。
实施例1
本实施例提出一种工业控制系统入侵响应方法,如图1所示,包括:
根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略。
在本实施例中,利用漏洞扫描工具扫描工业控制系统的漏洞,然后根据相关漏洞信息生成攻击图;
当检测到攻击证据或异常证据后,定位到攻击图中对应的节点,以对应节点为起始节点提取出所有待评估路径。
下面结合图2对本实施例方法进行详细阐述。
本实施例以工控配水系统为例,将检测到的异常状态作为攻击证据;比如水箱中的水位应处于一个安全状态,且水压、流量、温度也均应保持正常,若采集到的水箱水位超出阈值则表示水箱水位异常,水压、流量、温度等同理。
在本实施例中,计算出所有待评估路径的风险值,并排序,从而以风险值最高的待评估路径为异常路径;
其中,单个节点的风险值为:;/>是攻击图中节点/>的风险值;/>是节点/>被攻击的概率,根据该节点上存在的漏洞的CVSS(CommonVulnerability Scoring System,通用漏洞评分系统)度量标准进行计算;/>是节点/>的权重,可根据节点/>在工业控制系统中的重要程度进行设置,节点/>越靠近根节点或下面的分支路径越多则越重要。
待评估路径的风险值为,其中n为待评估路径上的节点数。
在本实施例中,以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,即:。
其中,是使用网络层安全策略集合/>产生的成本,主要指管理成本,例如该策略集合中包含断开PLC1和PLC2之间的连接,对该漏洞进行打补丁进行修理等,则要恢复PLC1和PLC2之间连接所需要的时间成本,安装补丁所付出的时间成本以及经济成本。
是使用网络层安全策略集合/>对工业控制系统服务所产生的影响,可根据影响大小分为三个级别,级别越高表明对工业控制系统造成的负面影响越大,其影响级别通过可行性量/>来量化服务影响,具体为:;其中,/>为系统正常运行时间,为系统异常运行时间。
为攻击者的获取收益,具体为:;其中攻击收益/>是指攻击图中的节点/>被攻击者成功入侵后带给攻击者的收益;/>是该节点的重要性,评判标准和风险值计算过程相同;是当选取当前网络层安全策略集合/>时,攻击者成功入侵该节点的概率,各种策略对于该节点的入侵概率造成不同影响,可由管理者自行根据实际情况进行设定,例如修补当前节点的漏洞,此时攻击者成功入侵该节点的概率变为0。
在候选策略空间中,使用改进的MOEA/D算法提取帕累托解集,即选择最优网络层安全策略;例如包括:关闭响应网络连接(即断开某些PLC之间的网络连接)、禁用相应端口、禁用相关网络服务、使用补丁修复相关漏洞、更改防火墙配置和加密网络通信等。
在本实施例中,改进的MOEA/D算法的具体实现流程包括:
(1)种群随机初始化;具体为将初始种群数值、动作、状态、Q表以及权重向量进行随机赋值。
(2)权重向量标准化;具体为将随机赋值的权重向量进行标准化处理;;/>;其中,k表示第k个种群,k=1,2,…N,N是种群个体数;L表示第L个目标,L=1,2,…,M,M为目标数量。
(3)计算当前状态;具体为计算当前的CV值和DV值;
;
;
;
其中,CV表示所选策略的收敛程度,该值越小,说明选择的实际策略集越接近理想中的完美策略集;表示第/>个策略(个体)和第/>个策略(个体)之间的量化距离;/>表示第/>个个体相对于整个种群的多样性,即代表两个解的相似程度,该值越大,说明策略空间分布越均匀;/>表示整个种群(策略空间)的平均距离,该距离越大,说明所选策略多样性越高,越不相似;N表示要优化的不同固定权重的目标函数个数;mi为第/>个体的解;distance(mi)为当前解mi与理想解之间的距离;/>为当前解mi与理想解之间的最小距离;/>为种群中所有个体两两之间的平均距离,可以量化整个种群中个体之间的平均相似程度或距离。
(4)当种群中位于最优帕累托前沿面的个数不足低于设定阈值时(如低于总种群个数的90%),执行强化学习算法,从Q表中选择网络层策略动作action,基于所选择的动作计算当前状态;其中动作action定义为:
。
其中,T为领域,表示融合生成新策略时,参与融合的策略范围,例如T为5,则新策略的产生会在5个旧策略中融合产生;nr为替换个数,例如,当产生的新策略效果好于邻居内(T)的旧策略时,会将T个旧策略中的nr个策略进行替换掉。
(5)对每一个个体使用基于反向学习的差分进化算法进行变异,然后使用切比雪夫方法进行解的更新;其中,当种群迭代次数到达设定阈值时(如总迭代次数的80%),对变异生成的子代进行反向学习从而求得反向解,公式为:;其中,/>是当前解的第i维的反向解,/>和/>分别是解取值的最大值和最小值,/>是当前解中第i维的值。
(6)计算下一个状态、奖励值并更新Q表,直至达到终止条件,输出最优解。
目前通过多目标优化算法在处理具备复杂不规则的帕累托前沿时效果不理想,导致应用到策略选择问题上时,选出的策略不能保证是最优策略;为此,本实施例提出基于改进的MOEA/D多目标优化算法的网络层安全策略生成技术,使用强化学习算法和反向学习对MOEA/D算法进行改进;首先在MOEA/D算法的基础上引入强化学习算法,然后在差分进化算法中加入反向学习,最后使用引入反向学习的差分进化算法生成MOEA/D算法的新子代,提高MOEA/D算法解的多样性以及其解的收敛性,具备更强的鲁棒性,能适应多种问题下的安全策略的选择。
在本实施例中,首次考虑到了物理层安全策略的实施,物理层采取到的状态信息往往是连续的,为此引入DQN来对物理层安全策略进行选取。DQN是深度强化学习的经典算法,具备解决连续状态问题的能力,满足物理层状态连续的特点,可以根据从物理层装备的实时状态来选择对应的物理策略保障设备的正常运行。
在本实施例中,通过DQN模型的训练,比如将PLC采集到的水箱水位数据作为DQN模型的输入,经训练后可知水位在异常状态下应采取哪些物理措施能较快的回归正常水平;那么,根据所检测到的攻击证据,将其作为DQN模型的输入,由此得到对应的物理动作;所涉及的物理层安全策略包括:针对水箱水位、水压和流量的异常状态数据,控制启停水泵,阀门的开关和水箱的放水操作;针对温度问题,控制加热器或制冷器的启停等。
实施例2
本实施例提供一种工业控制系统入侵响应系统,包括:
异常定位模块,被配置为根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
网络层策略生成模块,被配置为以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
物理层策略生成模块,被配置为根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略。
此处需要说明的是,上述模块对应于实施例1中所述的步骤,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为系统的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
在更多实施例中,还提供:
一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成实施例1中所述的方法。为了简洁,在此不再赘述。
应理解,本实施例中,处理器可以是中央处理单元CPU,处理器还可以是其他通用处理器、数字信号处理器DSP、专用集成电路ASIC,现成可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据、存储器的一部分还可以包括非易失性随机存储器。例如,存储器还可以存储设备类型的信息。
一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例1中所述的方法。
实施例1中的方法可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
本领域普通技术人员可以意识到,结合本实施例描述的各示例的单元及算法步骤,能够以电子硬件或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (9)
1.一种工业控制系统入侵响应方法,其特征在于,包括:
根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略;
所述网络层安全策略成本为使用当前网络层安全策略产生的成本;
所述攻击收益为,其中攻击收益/>是指攻击图中的节点/>被攻击者成功入侵后带给攻击者的收益;/>是节点/>的重要性;/>是使用当前网络层安全策略时攻击者成功入侵节点/>的概率;
所述服务影响为使用网络层安全策略集合对工业控制系统服务所产生的影响,通过可行性量来进行量化,具体为:/>;其中,/>为系统正常运行时间,/>为系统异常运行时间。
2.如权利要求1所述的一种工业控制系统入侵响应方法,其特征在于,根据待评估路径的风险值确定异常路径的过程包括:计算所有待评估路径的风险值,以风险值最高的待评估路径为异常路径;
待评估路径的风险值的计算包括:
单个节点的风险值为:;/>是攻击图中节点/>的风险值;是节点/>被攻击的概率;/>是节点/>的权重;
待评估路径的风险值为,n为待评估路径上的节点数。
3.如权利要求1所述的一种工业控制系统入侵响应方法,其特征在于,网络层策略动作为:
;
其中,T为领域,表示融合生成新策略时参与融合的策略范围;nr为策略替换个数。
4.如权利要求1所述的一种工业控制系统入侵响应方法,其特征在于,网络层安全策略包括:关闭响应网络连接、禁用相应端口、禁用相关网络服务、使用补丁修复相关漏洞、更改防火墙配置和加密网络通信;
物理层安全策略包括:针对水箱水位、水压和流量的物理层安全策略包括控制水泵的启停、阀门的开关和水箱的放水操作;针对温度问题的物理层安全策略包括控制加热器或制冷器的启停。
5.如权利要求1所述的一种工业控制系统入侵响应方法,其特征在于,对每个个体使用基于反向学习的差分进化算法进行变异,使用切比雪夫方法进行解的更新;其中,当种群迭代次数到达设定阈值时,对变异生成的子代进行反向学习从而求得反向解。
6.如权利要求5所述的一种工业控制系统入侵响应方法,其特征在于,反向解为;其中,/>是当前解的第i维的反向解,/>和/>分别是解取值的最大值和最小值,/>是当前解中第i维的值。
7.一种工业控制系统入侵响应系统,其特征在于,包括:
异常定位模块,被配置为根据工业控制系统的漏洞构建攻击图,根据攻击图,以所检测到的异常节点为起始节点提取待评估路径,从而根据待评估路径的风险值确定异常路径;
网络层策略生成模块,被配置为以最小化网络层安全策略成本、攻击收益和服务影响为多目标优化函数,在候选策略空间中采用改进的MOEA/D算法选择最优网络层安全策略;所述改进的MOEA/D算法为当种群中位于最优帕累托前沿面的个数低于设定阈值时,引入强化学习算法选择网络层策略动作,且对种群采用引入反向学习的差分进化算法生成新子代;
物理层策略生成模块,被配置为根据所检测到的异常节点确定待执行的物理层安全策略,从而在异常路径下执行最优网络层安全策略和物理层安全策略;
所述网络层安全策略成本为使用当前网络层安全策略产生的成本;
所述攻击收益为,其中攻击收益/>是指攻击图中的节点/>被攻击者成功入侵后带给攻击者的收益;/>是节点/>的重要性;/>是使用当前网络层安全策略时攻击者成功入侵节点/>的概率;
所述服务影响为使用网络层安全策略集合对工业控制系统服务所产生的影响,通过可行性量来进行量化,具体为:/>;其中,/>为系统正常运行时间,/>为系统异常运行时间。
8.一种电子设备,其特征在于,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成权利要求1-6任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1-6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311753061.0A CN117439817B (zh) | 2023-12-20 | 2023-12-20 | 一种工业控制系统入侵响应方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311753061.0A CN117439817B (zh) | 2023-12-20 | 2023-12-20 | 一种工业控制系统入侵响应方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117439817A CN117439817A (zh) | 2024-01-23 |
| CN117439817B true CN117439817B (zh) | 2024-03-08 |
Family
ID=89553785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311753061.0A Active CN117439817B (zh) | 2023-12-20 | 2023-12-20 | 一种工业控制系统入侵响应方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117439817B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809979A (zh) * | 2018-06-11 | 2018-11-13 | 中国人民解放军战略支援部队信息工程大学 | 基于Q-learning的自动入侵响应决策方法 |
| CN113422776A (zh) * | 2021-06-23 | 2021-09-21 | 孙勐 | 一种面向信息网络安全的主动防御方法及系统 |
| CN114519190A (zh) * | 2022-01-28 | 2022-05-20 | 集美大学 | 基于贝叶斯网络攻击图的多目标网络安全动态评估方法 |
| CN114519463A (zh) * | 2022-02-17 | 2022-05-20 | 西北工业大学 | 一种众包通勤公交调度问题的嵌入式降维组合优化方法 |
| CN116866084A (zh) * | 2023-08-30 | 2023-10-10 | 国网山东省电力公司信息通信公司 | 基于强化学习的入侵响应决策方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8015127B2 (en) * | 2006-09-12 | 2011-09-06 | New York University | System, method, and computer-accessible medium for providing a multi-objective evolutionary optimization of agent-based models |
| US20100015579A1 (en) * | 2008-07-16 | 2010-01-21 | Jerry Schlabach | Cognitive amplification for contextual game-theoretic analysis of courses of action addressing physical engagements |
-
2023
- 2023-12-20 CN CN202311753061.0A patent/CN117439817B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108809979A (zh) * | 2018-06-11 | 2018-11-13 | 中国人民解放军战略支援部队信息工程大学 | 基于Q-learning的自动入侵响应决策方法 |
| CN113422776A (zh) * | 2021-06-23 | 2021-09-21 | 孙勐 | 一种面向信息网络安全的主动防御方法及系统 |
| CN114519190A (zh) * | 2022-01-28 | 2022-05-20 | 集美大学 | 基于贝叶斯网络攻击图的多目标网络安全动态评估方法 |
| CN114519463A (zh) * | 2022-02-17 | 2022-05-20 | 西北工业大学 | 一种众包通勤公交调度问题的嵌入式降维组合优化方法 |
| CN116866084A (zh) * | 2023-08-30 | 2023-10-10 | 国网山东省电力公司信息通信公司 | 基于强化学习的入侵响应决策方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117439817A (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kalech | Cyber-attack detection in SCADA systems using temporal pattern recognition techniques | |
| Zonouz et al. | RRE: A game-theoretic intrusion response and recovery engine | |
| Zheng et al. | Vulnerability assessment of deep reinforcement learning models for power system topology optimization | |
| WO2017171639A1 (en) | Method of detecting cyber attacks on a cyber physical system which includes at least one computing device coupled to at least one sensor and/or actuator for controlling a physical process | |
| Laszka et al. | Synergistic security for the industrial internet of things: Integrating redundancy, diversity, and hardening | |
| Chen et al. | A Model-based Approach to {Self-Protection} in {SCADA} Systems | |
| Zizzo et al. | Adversarial attacks on time-series intrusion detection for industrial control systems | |
| Zhu et al. | On attack-resilient distributed formation control in operator-vehicle networks | |
| Milošević et al. | Quantifying the impact of cyber-attack strategies for control systems equipped with an anomaly detector | |
| CN112261042B (zh) | 一种基于攻击危害评估的防渗透系统 | |
| Kavousi et al. | Automatic learning of attack behavior patterns using Bayesian networks | |
| Rahman et al. | Multi-objective evolutionary optimization for worst-case analysis of false data injection attacks in the smart grid | |
| CN116248311A (zh) | 基于深度强化学习的网络节点安全措施缓解部署优化方法及系统 | |
| Akbarian et al. | A security framework in digital twins for cloud-based industrial control systems: Intrusion detection and mitigation | |
| Heidary et al. | Shipboard microgrid frequency control based on machine learning under hybrid cyberattacks | |
| CN115102166A (zh) | 一种基于博弈论的有源配电网动态防御性能优化方法 | |
| CN117439817B (zh) | 一种工业控制系统入侵响应方法、系统、设备及介质 | |
| CN104837130B (zh) | β分布下信誉值时变的无线传感器网络妥协节点识别方法 | |
| Akbari et al. | Resilient backstepping control for a class of switched nonlinear time-delay systems under hybrid cyber-attacks | |
| Kazeminajafabadi et al. | Optimal detection for Bayesian attack graphs under uncertainty in monitoring and reimaging | |
| Du et al. | Distributed security state estimation-based carbon emissions and economic cost analysis for cyber–physical power systems under hybrid attacks | |
| Oshnoei et al. | Detection and mitigation of coordinate false datainjection attacks in frequency control of power grids | |
| Yao et al. | Bayesian and stochastic game joint approach for Cross-Layer optimal defensive Decision-Making in industrial Cyber-Physical systems | |
| Al Baalbaki et al. | Autonomic critical infrastructure protection (acip) system | |
| CN116886419A (zh) | 基于混合安全指数评估的网络攻击防御方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |