一种工业控制系统序列攻击检测方法及设备技术方案

本发明专利技术提供的一种工业控制系统序列攻击检测方法及设备，其中所述方法包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测值类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。本发明专利技术提供的方法在避免单个观测量被篡改后工业控制系统序列攻击检测失效的情况的同时，能够高效、准确地识别出工业控制系统的序列攻击。

A sequence attack detection method and equipment for industrial control system

An industrial control system sequence attack detection method and apparatus are provided, wherein said method comprises: S1, access to a number of measurements of multiple sensors and programmable logic controller control as a test set, and according to the type of the observation value obtained by the classification of the value obtained by the first test set the first set of continuous quantum and discrete quantum set; S2, the first and the first set of discrete quantum continuous quantum set based on using hidden Markov model to generate training, get the corresponding first matching probability and matching probability second; S3, the first and the second matching probability matching probability based on the combination of discrete weights quantum set and continuous quantum set, test control system of industrial sequence attack. The method provided by the invention can avoid the sequential attack detection failure of industrial control system after being tampered with single observation, and meanwhile, it is able to identify sequential attack of industrial control system efficiently and accurately.

【技术实现步骤摘要】
一种工业控制系统序列攻击检测方法及设备
本专利技术涉及入侵检测
，更具体地，涉及一种工业控制系统序列攻击检测方法及设备。
技术介绍
工业控制系统(industrialcontrolsystem，ICS)在近十多年不断地引入了工业以太网和传输控制协议/因特网互联协议(TransmissionControlProtocol/InternetProtocol，TCP/IP)等开放性通信协议，系统平台趋于开放化和标准化，与外部网络的连接变得更为紧密与频繁，特别是新近提出的工业4.0概念融合了智能工厂、智能生产、智能物流等思想。这些现象使得ICS的系统固有漏洞和攻击面日益增加，互联网面临的安全攻击被引入到ICS中。序列攻击是工业控制系统中的一种特殊攻击，该攻击高度依赖控制过程，通过在操作序列中的错误位置插入正常合法报文，干扰工作流程甚至损毁物理设备。现有的序列攻击检测机制大多采用有限状态机、马尔科夫模型等技术，构建正常操作序列模型并以此检测序列攻击。然而这些技术的共同前提是检测者可以获得控制命令序列。但是在现实中，逻辑代码已下装到可编程逻辑控制器(ProgrammableLogicController，PLC)中，由PLC通过总线或电信号控制执行器进行操作。检测者在工业控制网络中仅能捕获到PLC发送的设备观测值信息和人及接口(HumanMachineInterface，HMI)发送的控制命令信息。由于序列攻击主要采用基于单观测量信息的检测技术，但是技术高超的攻击者可攻陷PLC并篡改观测值，导致现有的观测量检测技术失效，无法识别序列攻击，造成严重的业务中断及设备破坏。
技术实现思路
针对上述的技术问题，本专利技术提供一种工业控制系统序列攻击检测方法及设备。第一方面，本专利技术提供一种工业控制系统序列攻击检测方法，包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测量类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。其中，所述取值分类法包括：获取取值个数小于2的所有观测量形成固定量子集；获取取值个数大于预设个数阈值的所有观测量形成连续量子集；以及获取其余的观测量形成离散量子集；其中，所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。其中，通过以下步骤训练所述隐马尔科夫模型：获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集，并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集；根据所述第二离散量子集中的每个离散向量的取值，将所述第二离散量子集转换为离散序列；利用所述离散序列对隐马尔科夫模型进行训练，得到离散隐马尔科夫模型；对所述第二连续量子集中的每个连续向量的取值进行标准化，形成标准化连续量子集；利用所述标准化连续量子集对隐马尔科夫模型进行训练，得到连续隐马尔科夫模型。其中，通过以下步骤获取所述离散量子集和所述连续量子集的权重：对所述训练集进行标准化，计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值；根据所述比值计算标准化训练集中各观测量的熵，并根据所述标准化训练集中各观测量的熵，获取所述标准化训练集中各观测量的权重；根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。其中，通过以下公式计算标准化训练集中各观测量的熵，即其中，Ej为第j观测量的熵；pij为标准化训练集中第i时刻第j观测量的取值占第j观测量的取值之和的比值；n为训练集中第j观测量的取值个数。其中，通过以下公式确定所述离散量子集的权重以及所述连续量子集的权重，即其中，W(Tl)为第l类子集的权重，离散量子集为d类子集，连续量子集为c类子集；k为训练集中观测量的数量；kl为第l类子集中观测量的数量；w(Olj)为第l类子集中第j观测量Oj的权重，且w(Oj)＝(1-Ej)/(k-ΣEj)。其中，通过以下公式得到工业控制系统序列攻击的预测值，即P＝W(Tc)×P_c+W(Td)×P_d其中，P为预测值；W(Td)为离散量子集的权重；W(Tc)为连续量子集的权重；P_d为第一匹配概率；P_c为第二匹配概率；将所述预测值与检测阈值τ进行比较，若所述预测值不小于检测阈值τ，则确认所述工业控制系统正常；否则，确认所述工业控制系统异常，发出警报。其中，所述S1还包括：利用取值分类法获取所述测试集中的第一固定量子集；相应地，所述S3还包括：将所述第一固定量子集的取值序列与基于训练集中第二固定量子集形成的合法取值集合进行匹配，并得到匹配结果；若所述匹配结果为正确，则所述工业控制系统正常；若所述匹配结果为错误，则所述工业控制系统异常，发出警报。第二方面，本专利技术提供一种工业控制系统序列攻击检测设备，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述的方法。第三方面，本专利技术提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述的方法。本专利技术提供的一种工业控制系统序列攻击检测方法及设备，通过将多个可编程逻辑控制器控制的传感器的多个观测量中的第一连续量子集和第一离散量子集，输入训练得到的隐马尔科夫模型，得到工业控制系统序列攻击的检测结果，避免了单个观测量被篡改后工业控制系统序列攻击检测失效的情况；同时基于多个观测量的检测方法，能够高效、准确地识别出工业控制系统的序列攻击。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的工业控制系序列攻击检测方法的流程图；图2为图1所述的工业控制系序列攻击检测方法中的工业控制系统的结构简图；图3为本专利技术另一实施例提供的工业控制系序列攻击检测方法的流程图；图4为本专利技术实施例提供的工业控制系统序列攻击检测设备的结构框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。从2010年出现攻击工业控制系统的超级病毒——“震网”病毒到“Duqu”病毒、“火焰”病毒、“Havex”病毒，以及俄罗斯输气管道爆炸、德国钢厂事故等，都显示出ICS面临着越来越多的复杂攻击。据权威统计信息，仅从2010到2013年间，美国工业控制系统网络应急响应小组(IndustrialControlSystemsCyberEmerg本文档来自技高网...

【技术保护点】
一种工业控制系统序列攻击检测方法，其特征在于，包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测量类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。

【技术特征摘要】
1.一种工业控制系统序列攻击检测方法，其特征在于，包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测量类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。2.根据权利要求1所述的方法，其特征在于，所述取值分类法包括：获取取值个数小于2的所有观测量形成固定量子集；获取取值个数大于预设个数阈值的所有观测量形成连续量子集；以及获取其余的观测量形成离散量子集；其中，所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。3.根据权利要求1或2任一所述的方法，其特征在于，通过以下步骤训练所述隐马尔科夫模型：获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集，并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集；根据所述第二离散量子集中的每个离散向量的取值，将所述第二离散量子集转换为离散序列；利用所述离散序列对隐马尔科夫模型进行训练，得到离散隐马尔科夫模型；对所述第二连续量子集中的每个连续向量的取值进行标准化，形成标准化连续量子集；利用所述标准化连续量子集对隐马尔科夫模型进行训练，得到连续隐马尔科夫模型。4.根据权利要求1所述的方法，其特征在于，通过以下步骤获取所述离散量子集和所述连续量子集的权重：对所述训练集进行标准化，计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值；根据所述比值计算标准化训练集中各观测量的熵，并根据所述标准化训练集中各观测量的熵，获取所述标准化训练集中各观测量的权重；根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。5.根据权利要求4所述的方法，其特征在于，通过以下公式计算标准化训练集中各观测量的熵，即

【专利技术属性】
技术研发人员：孙利民，杨安，王小山，石志强，孙玉砚，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11