一种基于免疫学习的工业控制系统功能安全验证方法技术方案

本发明专利技术公开了一种基于免疫学习的工业控制系统功能安全验证方法，包括以下步骤：A、获得工业控制的行为参量数据，包括采用离线在环测试工业控制组件的方式；B、根据行为参量数据，塑造多尺度下工业控制的安全基准模式库；C、通过安全基准模式库辨识异常控制行为；D、基于异常控制行为构筑异常行为模式数据库；其不依赖于正常解析规律和异常黑色特征等先验信息，在不掌握具体缺陷成因、特征及其利用细节的前提下，从行为表现层面精准锁定失效和隐患，显著降低功能安全风险。

Method for verifying functional safety of industrial control system based on immune learning

The invention discloses an industrial control system functional safety verification method based on immune learning, which comprises the following steps: A, behavior parameter data of industrial control, including the use of offline in the loop test of industrial control component; B, according to the behavioral parameters data, database security reference model of industrial control under multi-scale shape; C and through the security reference model library identification of abnormal control behaviors; D, abnormal behavior control construct abnormal behavior patterns based on the database; it does not depend on the normal and abnormal characteristics of black rule without prior information, grasp specific defects causes, characteristics and utilization of the details of the premise, from the behavior level precision lock failure and potential problems. Reduce security risk function.

【技术实现步骤摘要】
一种基于免疫学习的工业控制系统功能安全验证方法
本专利技术涉及工业控制系统功能安全保障领域，具体涉及一种基于免疫学习的工业控制系统功能安全验证方法。
技术介绍
工业控制系统是国家关键基础设施的重要组成部分，关系到国家的战略安全。在工业的转型升级正成为全球经济发展新一轮竞争焦点的背景下，美国的“制造业回归”、德国的“工业4.0”，以及中国的“中国制造2025”战略，都异曲同工地表达了同样的内容：用物联感知、云计算、大数据、工业互联等技术引领工业生产方式的变革，拉动工业经济的创新发展。至此，控制系统与信息技术深度融合的帷幕已经拉开，以电力、能源、交通等工业过程的监测与控制为核心的工业控制系统也正经历着一场前所未有的转型变革，智能化、网络化、服务化、集成化成为不可逆转的潮流趋势，其演进变革体现为以下三个方面的特征：一是专用性向通用性演进。工控系统伴随着IT技术的发展而发展，且大量采用IT通用软硬件，如PC、操作系统、数据库系统、以太网、TCP/IP协议等；二是封闭性向开发性演进。互联网、物联网技术的发展，工业化与信息化的深度融合，使工控系统不再是一个独立的系统。三是硬件型向软件型演进。工控系统由机械化、电气化、电子化朝着软件智能化的方向不断演进。即工控系统不断的由硬到软在演进。工业控制系统功能安全验证的技术路径选择：“力”不从心。产品原理封闭、代码文档隐私、开发团队缺位、三方软件依赖是现代工业控制领域的共性问题，由此导致现有控制系统及其装备质量安全保障技术只能应对自有品牌的已知故障与风险。跨行业、跨装备机理性解析的方式难以有效获得通用电气、西门子、施耐德等工控市场主流公司的支持，更谈不上收集控制数据开展基于先验信息的创新型主动防御。典型代表包括通用电气的Predix平台和西门子的Sinalytics平台等。“防”不胜防。目前，工业系统部署形成的以工业级防火墙、防病毒、防篡改、防拒绝和入侵防御为核心的安全体系，是以“防”为主的、被动式的安全解决思路。然而，“防”不胜防，以“非法”、“异常”、“恶意”等黑色特征为检测目的安全监控根本无法应对主动化、动态式、多变性的网络空间攻击。典型代表包括启明星辰工控漏洞扫描系统和卓越信通工控入侵防御系统等。“名”不符实。对于工控PC、HMI、操作员与工程师站、以及WEB服务器和数据库服务器等进程服务的白名单化，工业系统访问控制列表和用户资产的白名单化，只是在名义上对其身份资格予以了认证鉴别，而在实际的工业过程中，未能对其行为功能进行验证与稽核。“名”不符实的风险隐患，使得传统的工业系统安全保障形同虚设。典型代表包括海天炜业工业级防火墙和三零卫士工控安全监控系统等。
技术实现思路
本专利技术为了解决上述技术问题提供一种基于免疫学习的工业控制系统功能安全验证方法，其不依赖于正常解析规律和异常黑色特征等先验信息，在不掌握具体缺陷成因、特征及其利用细节的前提下，从行为表现层面精准锁定失效和隐患，显著降低功能安全风险。本专利技术通过下述技术方案实现：一种基于免疫学习的工业控制系统功能安全验证方法，包括以下步骤：A、采用离线在环测试工业控制组件的方式获得工业控制的行为参量数据；B、根据行为参量数据，塑造多尺度下工业控制的安全基准模式库；C、通过安全基准模式库辨识异常控制行为；D、基于异常控制行为构筑异常行为模式数据库。本方法通过工业控制组件离线测试的行为大数据驱动塑造安全基准模式库，实现主动防御，以缺陷诱发的异常行为实例集学习构筑异常行为模式数据库，产生进化选择似的缺陷免疫抗体库，通过安全基准模式库和异常行为模式数据库的双因子联合诊断，推动各尺度下控制功能的标准符合性认定，提高工业控制系统的安全性。采用上述方法，基于大量的离线行为参量数据直接构筑安全基准模式库，不依赖于正常解析规律和异常黑色特征等先验信息，在不掌握具体缺陷成因、特征及其利用细节的前提下，构筑多尺度下工业控制的安全基准模式库，从行为表现层面精准锁定失效和隐患，显著降低功能安全风险。步骤B具体为：B1、根据行为参量数据，采用基于贝叶斯网络构建与概率推理的方法重构数据分布痕迹；B2、结合各项工控工业过程实例内置的实际工控对象状态，以主元分析方法把过程变迁实例转化成行为功能模型；结合各项工控作业过程实例内置的实际工控作业指令，以主元分析方法等把本体属性实例转化成处理服务模型；B3、依据行为功能模型和处理服务模型，用图形符号表达工控访问与作业过程中的信息流动形态，形成安全基准模式库。进一步的，步骤B1具体为：B1-1、在行为参量数据上根据各变量对其他变量的相关性影响程度排序，对其他变量影响最大的排在第1位，最先进入建网步骤，在建网阶段每个变量都迭代地从已进入贝叶斯网络的变量中查找可增加当前得分的节点加入父节点集合，直至全部得分不再增加；B1-2、针对每条不完整的行为参量数据进行基于贝叶斯网络的概率推理，找出所有候选值及其相对概率，以概率最大的候选值作为空缺数据填充。进一步的，步骤B2中基于主元分析方法构建行为功能模型具体方法为：B2-1-1、将正常工况下的工业控制对象状态表现数据集变换为均值为0，方差为1的标准数据集；B2-1-2、通过上述标准数据集建立工控访问过程主元模型，提取主元；B2-1-3、计算标准数据集工控访问过程主元模型的统计量及相应的控制限。进一步的，步骤B2中基于主元分析方法构建处理服务模型具体方法为：B2-2-1、将正常工况下的工业控制组件行为指令数据集变换为均值为0，方差为1的标准数据集；B2-2-2、通过上述标准数据集建立工控作业过程主元模型，提取主元；进一步的，步骤C中的辨识方法具体为：C-1、以安全基准模式库推动各尺度下控制功能的标准符合性认定，通过主元分析方法从表现层面辨识异常行为倾向是否会发生；C-2、针对异常控制行为，若可判定其缺陷利用簇类归属，则锁定此病态行为；若无法判定，则转入步骤D。进一步的，在步骤C-1中从表现层面辨识异常行为倾向的方法具体为：C-1-1、在线获取增量化的状态表现行为参量数据，并进行标准化；C-1-2、对标准数据集分别计算统计量Hotelling'sT2和平方预测误差SPE，监控其值是否超过正常状态的控制限，若没有超限，重复步骤C-1-1，若超限，进入步骤C-1-3；C-1-3、计算每个变量对Hotelling'sT2统计量和平方预测误差SPE统计量的贡献率，贡献率最大的变量就是可能引起故障的变量。进一步的，步骤D具体为：D-1、利用计算机技术搭建支持网络与系统高仿真复现、用户行为复制、资源自动配置与释放、环境安全隔离与受控交换的工控蜜网，诱捕病态行为；D-2、在明确缺陷利用机理的前提下，采用特性关系下粗糙集构造的决策树，挖掘先验黑色特征，构筑异常行为模式数据库。步骤D-2构筑异常行为模式数据库的方法具体为：D-2-1、调用基于峰值法的云变换算法来离散化行为参量数据中的所有连续型属性，得到新的行为参量数据集；D-2-2、对于新的行为参量数据集，计算每一个条件属性相对于决策属性每个划分集合的上下近似度和每一个条件属性的加权平均粗糙度；D-2-3、选择特性关系下加权平均粗糙度最小的属性B作为当前的分裂节点，以B为根构造决策树，即对B的每个取值，都可以得到一个样本分枝Q；D-2-4、本文档来自技高网...

【技术保护点】
一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于，包括以下步骤：A、采用离线在环测试工业控制组件的方式获得工业控制的行为参量数据；B、根据行为参量数据，塑造多尺度下工业控制的安全基准模式库；C、通过安全基准模式库辨识异常控制行为；D、基于异常控制行为构筑异常行为模式数据库。

【技术特征摘要】
1.一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于，包括以下步骤：A、采用离线在环测试工业控制组件的方式获得工业控制的行为参量数据；B、根据行为参量数据，塑造多尺度下工业控制的安全基准模式库；C、通过安全基准模式库辨识异常控制行为；D、基于异常控制行为构筑异常行为模式数据库。2.根据权利要求1所述的一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于，步骤B具体为：B1、根据行为参量数据，采用基于贝叶斯网络构建与概率推理的方法重构数据分布痕迹；B2、结合各项工控工业过程实例内置的实际工控对象状态，以主元分析方法把过程变迁实例转化成行为功能模型；结合各项工控作业过程实例内置的实际工控作业指令，以主元分析方法等把本体属性实例转化成处理服务模型；B3、依据行为功能模型和处理服务模型，用图形符号表达工控访问与作业过程中的信息流动形态，形成安全基准模式库。3.根据权利要求2所述的一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于：步骤B1具体为：B1-1、在行为参量数据上根据各变量对其他变量的相关性影响程度排序，对其他变量影响最大的排在第1位，最先进入建网步骤，在建网阶段每个变量都迭代地从已进入贝叶斯网络的变量中查找可增加当前得分的节点加入父节点集合，直至全部得分不再增加；B1-2、针对每条不完整的行为参量数据进行基于贝叶斯网络的概率推理，找出所有候选值及其相对概率，以概率最大的候选值作为空缺数据填充。4.根据权利要求2所述的一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于：步骤B2中基于主元分析方法构建行为功能模型具体方法为：B2-1-1、将正常工况下的工业控制对象状态表现数据集变换为均值为0，方差为1的标准数据集；B2-1-2、通过上述标准数据集建立工控访问过程主元模型，提取主元；B2-1-3、计算标准数据集工控访问过程主元模型的统计量及相应的控制限。5.根据权利要求2所述的一种基于免疫学习的工业控制系统功能安全验证方法，其特征在于：步骤B2中基于主元分析方法构建处理服务模型具体方法为：B2-2-1、将正常工况下的工业控制组件行为指令数据集变换为均值为0，方差为1的标准数据集；B2-2-2、通过上述标准数据集...

【专利技术属性】
技术研发人员：刘单丹，赵勇，
申请(专利权)人：成都巧班科技有限公司，
类型：发明
国别省市：四川,51