An industrial control system sequence attack detection method and apparatus are provided, wherein said method comprises: S1, access to a number of measurements of multiple sensors and programmable logic controller control as a test set, and according to the type of the observation value obtained by the classification of the value obtained by the first test set the first set of continuous quantum and discrete quantum set; S2, the first and the first set of discrete quantum continuous quantum set based on using hidden Markov model to generate training, get the corresponding first matching probability and matching probability second; S3, the first and the second matching probability matching probability based on the combination of discrete weights quantum set and continuous quantum set, test control system of industrial sequence attack. The method provided by the invention can avoid the sequential attack detection failure of industrial control system after being tampered with single observation, and meanwhile, it is able to identify sequential attack of industrial control system efficiently and accurately.
【技术实现步骤摘要】
一种工业控制系统序列攻击检测方法及设备
本专利技术涉及入侵检测
,更具体地,涉及一种工业控制系统序列攻击检测方法及设备。
技术介绍
工业控制系统(industrialcontrolsystem,ICS)在近十多年不断地引入了工业以太网和传输控制协议/因特网互联协议(TransmissionControlProtocol/InternetProtocol,TCP/IP)等开放性通信协议,系统平台趋于开放化和标准化,与外部网络的连接变得更为紧密与频繁,特别是新近提出的工业4.0概念融合了智能工厂、智能生产、智能物流等思想。这些现象使得ICS的系统固有漏洞和攻击面日益增加,互联网面临的安全攻击被引入到ICS中。序列攻击是工业控制系统中的一种特殊攻击,该攻击高度依赖控制过程,通过在操作序列中的错误位置插入正常合法报文,干扰工作流程甚至损毁物理设备。现有的序列攻击检测机制大多采用有限状态机、马尔科夫模型等技术,构建正常操作序列模型并以此检测序列攻击。然而这些技术的共同前提是检测者可以获得控制命令序列。但是在现实中,逻辑代码已下装到可编程逻辑控制器(ProgrammableLogicController,PLC)中,由PLC通过总线或电信号控制执行器进行操作。检测者在工业控制网络中仅能捕获到PLC发送的设备观测值信息和人及接口(HumanMachineInterface,HMI)发送的控制命令信息。由于序列攻击主要采用基于单观测量信息的检测技术,但是技术高超的攻击者可攻陷PLC并篡改观测值,导致现有的观测量检测技术失效,无法识别序列攻击,造成严重的业务中断及设备 ...
【技术保护点】
一种工业控制系统序列攻击检测方法,其特征在于,包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测量类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。
【技术特征摘要】
1.一种工业控制系统序列攻击检测方法,其特征在于,包括:S1,获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集,并依据预先由取值分类法获得的各观测量类型,获取所述测试集中的第一连续量子集和第一离散量子集;S2,基于所述第一离散量子集和所述第一连续量子集,利用训练生成的隐马尔科夫模型,得到各自对应的第一匹配概率和第二匹配概率;S3,基于所述第一匹配概率和所述第二匹配概率,结合离散量子集和连续量子集的权重,得到工业控制系统序列攻击的检测结果。2.根据权利要求1所述的方法,其特征在于,所述取值分类法包括:获取取值个数小于2的所有观测量形成固定量子集;获取取值个数大于预设个数阈值的所有观测量形成连续量子集;以及获取其余的观测量形成离散量子集;其中,所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。3.根据权利要求1或2任一所述的方法,其特征在于,通过以下步骤训练所述隐马尔科夫模型:获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集,并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集;根据所述第二离散量子集中的每个离散向量的取值,将所述第二离散量子集转换为离散序列;利用所述离散序列对隐马尔科夫模型进行训练,得到离散隐马尔科夫模型;对所述第二连续量子集中的每个连续向量的取值进行标准化,形成标准化连续量子集;利用所述标准化连续量子集对隐马尔科夫模型进行训练,得到连续隐马尔科夫模型。4.根据权利要求1所述的方法,其特征在于,通过以下步骤获取所述离散量子集和所述连续量子集的权重:对所述训练集进行标准化,计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值;根据所述比值计算标准化训练集中各观测量的熵,并根据所述标准化训练集中各观测量的熵,获取所述标准化训练集中各观测量的权重;根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。5.根据权利要求4所述的方法,其特征在于,通过以下公式计算标准化训练集中各观测量的熵,即
【专利技术属性】
技术研发人员:孙利民,杨安,王小山,石志强,孙玉砚,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。