本发明专利技术公开了针对工业控制系统隐蔽攻击的入侵检测方法及检测系统,首先获取工业控制系统的传感器测量值的原始时间序列作为训练集,利用欧几里得空间投影技术得到传感器原始测量值的簇;利用降噪技术和欧几里得空间投影技术得到信号子空间,获取信号子空间中簇的质心,并将训练集中距离质心最远的测量值作为阈值;获取带有隐蔽攻击的传感器时间序列作为测试集,计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值;比较偏离值和阈值的大小;其次,将隐蔽攻击与上下文信息相结合,针对不同类型的上下文构造不同的过滤函数进一步判断隐蔽攻击是否存在,降低误报率。
Intrusion detection method and detection system for covert attack of industrial control system
【技术实现步骤摘要】
针对工业控制系统隐蔽攻击的入侵检测方法及检测系统
本专利技术属于工业控制系统信息安全
,特别涉及一种针对工业控制系统隐蔽攻击的入侵检测方法及检测系统。
技术介绍
与传统IT网络不同,工业控制系统(ICS)作为关键的基础设施,控制着社会生活所必需的水、电、交通等重要资源,ICS一旦遭受攻击,将造成重大损失。工业控制网络在早期部署中更多的考虑系统的功能性,而忽略了安全性问题。从2010年“震网”病毒的爆发,2015年乌克兰大面积停电事件,到2018年“台积电”工厂病毒事件,针对ICS的攻击事件不断发生,引起了世界各国政府和安全专家对工业控制系统安全的高度重视。目前,针对ICS的入侵检测方法大致分为变种攻击检测和隐蔽过程攻击检测。目前对于变种攻击检测的方法有很多,比如基于特征的入侵检测技术,根据工控流量的周期性特点以及攻击类型的特点可以成功检测出DoS攻击并可以检测出异常的网络流。随着ICS中攻击方式转变为慢渗透,基于特征统计的方法转变为基于行为的检测方式,通过提取异常行为的规则,建立规则库,再将网络流与规则库匹配,提高了检测的准确率,但是这种方法对规则定制的要求非常高。为了解决ICS中通信行为的异常检测问题,有研究者提出使用SVM算法建立正常的通信行为控制模型,此方法的检测精度可以达到96%。由于ICS使用的特殊性,误报问题对于工业入侵检测是一个非常严重的问题。对于ICS入侵检测的最新研究中,在过程级别对隐蔽攻击进行检测成为研究的热点。但是误报问题尚没有好的解决方案。针对ICS对实时性和低误报率的严格要求,本专利技术提出一种针对工业控制系统隐蔽攻击的入侵检测方法及系统。
技术实现思路
针对现有技术存在的不足,本专利技术提供一种针对工业控制系统隐蔽攻击的入侵检测方法及系统,该方法结合工业控制系统的上下文信息,在物理系统的过程级别检测攻击,降低误报率。为了解决上述技术问题,本专利技术采用的技术方案是:本专利技术提供一种针对工业控制系统隐蔽攻击的入侵检测方法,首先,获取工业控制系统的传感器测量值的原始时间序列作为训练集,利用欧几里得空间投影技术得到传感器原始测量值的簇;利用降噪技术和欧几里得空间投影技术得到信号子空间,获取信号子空间中簇的质心,并将训练集中距离质心最远的测量值作为阈值;设计隐蔽攻击,获取带有隐蔽攻击的传感器时间序列作为测试集,测试集作为输入,计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值;比较偏离值和阈值的大小作为第一步判断隐藏攻击是否存在的依据;其次,提取工业控制系统的上下文信息,将隐蔽攻击与上下文信息相结合,针对不同类型的上下文构造不同的过滤函数;过滤函数作为第二步判断隐蔽攻击是否存在的依据。进一步的,所述的针对工业控制系统隐蔽攻击的入侵检测方法,具体包括以下步骤:S1,获取工业控制系统的传感器测量值的原始时间序列后,将原始序列作为训练集投影到L维欧几里得空间中,得到原始序列在向量空间中的簇;S2,进行信号降噪处理和信号子空间投影:利用小波阈值降噪技术提取传感器时间序列的确定性部分,得到降噪后的时间序列;将降噪后的时间序列投影到r(r≤L)维欧几里得空间中,得到信号子空间,计算信号子空间中簇的质心c,并且将训练集中距离质心距离最远的测量值作为阈值Θ;S3,根据获取的工业控制系统的上下文信息构造上下文过滤函数J;S4,设计隐蔽攻击,并获取带有隐蔽攻击的传感器测量值的时间序列作为测试集;S5,测试集中测量值和信号子空间中簇的质心之间的欧式距离的平方值作为偏离值e,判断偏离值e和阈值Θ的大小:当偏离值e小于阈值Θ时,则传感器测量值正常,当偏离值e大于阈值Θ时,再根据上下文过滤函数J进行下一步的判断;S6,当偏离值e大于阈值Θ时,将该测量值作为上下文过滤函数J的输入,判断是否违反工控系统的上下文信息,如果违反上下文信息则给出告警信息,否则放弃告警。优选的是,S2中,信号降噪处理时,使用自适应选择算法获取小波分解的最优分解层数和自适应阈值。优选的是,信号降噪处理时,小波阈值降噪参数选择的流程如下:首先,根据互相关系数确定最优小波基x,令分解层数k=1;然后,小波分解,提取高频系数akj,并对akj进行小波去相关白化检验,判断akj是否表现为白噪声特性,如果表现出白噪声特性,继续分解,直至表现出非白噪声特性,证明分解层数足够,不必再继续分解,此时最优分解层数k=k-1;最后,阈值设置种类m,并对原始信号做k层分解,分别对每层进行m种阈值去噪,确定最优阈值。本专利技术还提供一种针对工业控制系统隐蔽攻击的入侵检测系统,其输入为传感器测量值的时间序列,输出为告警信息,包括:投影模块,用于将时间序列投影到欧几里得空间;降噪模块,用于对时间序列进行降噪处理;偏离计算模块,用于计算偏离值;攻击判定模块,用于第一步判定隐藏攻击是否存在;函数构造模块,用于构造上下文过滤函数J;判定模块,用于第二步判定隐藏攻击是否存在。本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现前述的检测方法。本专利技术还提供一种计算机程序产品,包括处理器可执行的程序,所述计算机程序被处理器执行时实现前述的检测方法。与现有技术相比,本专利技术优点在于:可以在攻击者隐藏阶段发现工控系统的异常状态或行为,并结合工业控制系统的上下文信息做二次检测,不仅可以及时告警,并且可以极大地降低误警率,对于工控系统入侵检测有重要意义,为重要的工业生产过程提供实时安全监测;有效地帮助工控安全人员较早地获取异常信息,以便及时做出响应。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例1的针对工业控制系统隐蔽攻击的入侵检测方法流程示意图;图2为本专利技术实施例1的信号降噪示意图;图3为本专利技术实施例2的针对工业控制系统隐蔽攻击的入侵检测系统的结构框图。具体实施方式为便于对本专利技术的理解,下面将结合附图以及具体实施例对本专利技术做进一步的解释说明,且各个实施例并不构成对本专利技术实施例的限定。实施例1根据隐蔽攻击具有长期潜伏并在物理过程中造成持续性累积破坏的特点,获取系统的确定性行为成为检测隐蔽攻击的重点。由于对工业控制系统的攻击主要集中在传感器和控制器上,因此,工业控制系统的入侵检测与物理网络系统上下文信息的关系更加紧密。本专利技术的入侵检测方法原理是,首先,获取工业控制系统的传感器测量值的原始时间序列作为训练集,考虑到噪声的不可避免性,将原始的时间序列嵌入到L维欧几里得空间,得到传感器原始测量值的簇。其次,利用小波阈值降噪技术对其进行降噪处理,提取信号的确定性部分并投影到欧几里得r(r≤L)维信号子空间,并计算信号子空间中簇的质心,并将训练集序列中距离质心最远的测量值作为阈值Θ;训练完成后,构造隐蔽攻击,获取带有隐蔽攻击的传感器时间序列作为测试集,测试集作为输入,计算测量值与质心之间欧氏距离的平方值作为偏离值。最后,比较偏离值和阈值的大小判断是否可能存在隐蔽攻击,比较偏离值和阈值的大小作为第一步判断隐藏攻击是否存在的依据。为了降低误报率,需要充分本文档来自技高网...
【技术保护点】
1.针对工业控制系统隐蔽攻击的入侵检测方法,其特征在于,首先,获取工业控制系统的传感器测量值的原始时间序列作为训练集,利用欧几里得空间投影技术得到传感器原始测量值的簇;利用降噪技术和欧几里得空间投影技术得到信号子空间,获取信号子空间中簇的质心,并将训练集中距离质心最远的测量值作为阈值;设计隐蔽攻击,获取带有隐蔽攻击的传感器时间序列作为测试集,测试集作为输入,计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值;比较偏离值和阈值的大小作为第一步判断隐藏攻击是否存在的依据;其次,提取工业控制系统的上下文信息,将隐蔽攻击与上下文信息相结合,针对不同类型的上下文构造不同的过滤函数;过滤函数作为第二步判断隐蔽攻击是否存在的依据。
【技术特征摘要】
1.针对工业控制系统隐蔽攻击的入侵检测方法,其特征在于,首先,获取工业控制系统的传感器测量值的原始时间序列作为训练集,利用欧几里得空间投影技术得到传感器原始测量值的簇;利用降噪技术和欧几里得空间投影技术得到信号子空间,获取信号子空间中簇的质心,并将训练集中距离质心最远的测量值作为阈值;设计隐蔽攻击,获取带有隐蔽攻击的传感器时间序列作为测试集,测试集作为输入,计算测试集中测量值与质心之间的欧氏距离的平方值作为偏离值;比较偏离值和阈值的大小作为第一步判断隐藏攻击是否存在的依据;其次,提取工业控制系统的上下文信息,将隐蔽攻击与上下文信息相结合,针对不同类型的上下文构造不同的过滤函数;过滤函数作为第二步判断隐蔽攻击是否存在的依据。2.根据权利要求1所述的针对工业控制系统隐蔽攻击的入侵检测方法,其特征在于,具体包括以下步骤:S1,获取工业控制系统的传感器测量值的原始时间序列后,将原始序列作为训练集投影到L维欧几里得空间中,得到原始序列在向量空间中的簇;S2,进行信号降噪处理和信号子空间投影:利用小波阈值降噪技术提取传感器时间序列的确定性部分,得到降噪后的时间序列;将降噪后的时间序列投影到r(r≤L)维欧几里得空间中,得到信号子空间,计算信号子空间中簇的质心c,并且将训练集中距离质心距离最远的测量值作为阈值Θ;S3,根据获取的工业控制系统的上下文信息构造上下文过滤函数J;S4,设计隐蔽攻击,并获取带有隐蔽攻击的传感器测量值的时间序列作为测试集;S5,测试集中测量值和信号子空间中簇的质心之间的欧式距离的平方值作为偏离值e,判断偏离值e和阈值Θ的大小:当偏离值e小于阈值Θ时,则传感器测量值正常,当偏离值e大于阈值Θ时,再根据上下文过滤函...
【专利技术属性】
技术研发人员:王佰玲,冯艳丽,刘红日,孙公亮,徐丽娟,刘扬,
申请(专利权)人:哈尔滨工业大学威海,哈工大威海创新创业园有限责任公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。