基于SARIMA的工业控制系统通信流量在线监测方法技术方案

本发明专利技术公开了一种基于SARIMA的工业控制系统(ICS)通信流量在线监测方法。该方法通过对工业控制网流量序列进行小周期的SARIMA(p,d,q)x(P,D,Q)

【技术实现步骤摘要】
基于SARIMA的工业控制系统通信流量在线监测方法
本专利技术涉及工业控制系统网络流量预测，尤其是涉及一种基于SARIMA的工业控制系统通信流量在线监测方法，属于工业信息安全检测领域。
技术介绍
能源、炼化和交通等关键基础设施是国家稳定运行的神经中枢，是我国网络安全的重中之重。随着国家大型基础设备(智能变电站，智能化工流程工业系统，工业分布式控制系统)的自动化，互联化以及智能化建设的推进，其网络空间安全问题日益凸显。近年来，一系列针对国家关键基础设施的网络攻击造成了极大的国民经济损失和对社会不可逆的破坏。这些顶尖黑客通过更隐蔽，更高效，杀伤力更大的入侵方式频繁入侵枢纽变电站，流程化工业系统甚至核电站的通信网络。目前，针对国家关键基础设施网络系统的防御与加固已经上升到国家战略层面，而通信流量分析则是工业系统安全问题公认最有前景的解决方案。通信流量智能化分析是将传统互联网领域的安全解决方案与现代化的电力通信网络和工业控制系统特性有机结合的交叉学科解决方案。根据相关报告和文献，所有针对工业系统的攻击都会在通信网络上有所体现。大多数的工控网络攻击都会导致相关的通信网络受损，不同的攻击类型导致网络受损的程度和位置会有所不同。以“Blackenergy”为主导的组合拳式的攻击以及一系列恶意代码注入会导致通信网络瘫痪，关键信道被阻塞，数据采集与监控(SCADA)系统被操纵，控制系统迟滞恢复与状态致盲等现象。由于ICS中的数据流量表现出不同的流量模式和类似于互联网流量的特征，因此可以通过生成数学模型加以分析，开发和理解ICS数据流量的特征。对于ICS通信流量这种复杂时间序列，一般采用回归算法进行建模及统计学分析。现有的ICS通信流量分析模型具有算法复杂程度高，对流量的解释性不强以及对ICS通信流量模式的回归分析的准确性与预测精度不高的缺陷。且流量的检测方式一般为离线检测，不能对实时采集的ICS通信流量进行实时分析与建模，同时也无法在线评估异常的程度，从而导致运维人员无法实现对ICS网络状况的态势感知。
技术实现思路
SARIMA模型是近年对通信网络流量进行监督学习的较为热门的算法，搭配分布式的在线检测算法，SARIMA模型可对实时采集的ICS数据流量进行快速，精准地建模，从而对ICS流量的动态变化进行分析与检测，最终实现对ICS网络状况的实时态势感知。本专利技术的目的在于解决在没有先验知识的前提下，对实时采集的ICS通信流量的动态建模问题，针对现有ICS通信流量异常检测算法过于依赖先验知识及算法复杂度高无法实际部署的不足提出了完善的分析方法；生成的动态ICS通信流量阈值模型对国家重大工业基础设施的网络安全防护及异常检测具有指导意义。本专利技术的目的可以通过以下技术方案来实现：一种基于SARIMA的工业控制系统通信流量在线监测方法，其包括如下步骤：1)在ICS通信网络之中部署工业交换机、监控主机以及测试主机，监控主机从工业交换机中实时采集通信流量数据；2)根据选定的流量聚合尺度，建立小周期SARIMA(p,d,q)x(P,D,Q)s模型；3)根据不同的置信度生成ICS动态流量阈值模型；4)对实时采集的流量序列进行动态分析。所述的步骤3)具体为：3.1)采集ICS工业交换机上的实时流量数据，根据设定的采样频率γsamp，聚合尺度生成时间序列，并以一个小周期为一个迭代周期；3.2)对采集到的实时流量数据进行训练，在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)s模型训练与适配之后，输出最优的模型以及模型适配的参数；第i个小周期的模型定义为：其中fSARIMA()为SARIMA(p,d,q)x(P,D,Q)s模型的函数表达式，为第i次迭代的小周期训练集，Tfore为小周期预测的序列个数，s为周期性参数，'BIC'为计量经济学选取最优的(p,d,q,P,D,Q)参数的准则，是SARIMA模型第i次迭代预测出的时间序列；计算第i次迭代的预测均值3.3)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)s模型，对实时采集的第i个小周期的ICS流量数据进行实时动态滚动建模，此时的实时流量数据相当于验证集；将验证集与预测过程生成的基于置信区间的流量阈值上下限进行对比分析；其定义的第i个小周期的上下界阈值为：其中是以1-αP.I为显著性的z分布值，为第i个小周期的动态阈值区间的上界，为动态阈值区间的下界，均为长度为Tfore的时间序列，αP.I为置信度；实时采集的通信流量以及极低的算法复杂度保证了与在时间上的重合性，第i次迭代的正常ICS通信流量(时间序列内的每一个时序样本)定义为：算法实质上是比较动态采集流量的时间序列与两个长度相同的阈值时间序列与所对应的每一个时序样本的大小关系；其中为第i次小周期实时采集的ICS通信流量，Tfore是采集的样本量；第i次小周期的ICS预测序列与训练序列存在实时的相关性，第i次小周期的预测序列可估计为：其中函数∩为对两个时间序列集合取交集。3.4)流量判定结束之后，继续下一个小周期的训练迭代，并重新输出新的最优模型以及模型适配的参数，对新输入的实时流量数据进行再次判定；3.5)循环整个过程，直到达到设定的迭代次数。其中，第i次迭代的异常序列的时间序列判定计算方法如下(默认时间序列的计算方式为对时间序列中一一对应的每一个时序样本进行计算)：其中每一次迭代的小周期待检测序列都需要通过分布式运行的SARIMA(p,d,q)x(P,D,Q)s模型，当该小周期待检测序列触发异常检测条件时，生成异常矩阵当流量的值处于正常区间范围时其中假设ICS异常发生的现实对应时间为序列其中n为异常发生的总次数。则异常发生时小周期序列号的样本数目序列为：其中tdebug为程序运行之前的实时调试时间，γsamp为ICS流量的采样频率。第n次ICS异常发生在第次小周期迭代计算之中，因此ICS异常事件发生的小周期迭代次数(的元素)可以由以下的方程组追溯计算得到：其中Kn为中间变量。SARIMA在线检测算法所生成的动态ICS流量阈值区间的方差可以由以下的算法得到：其中k＝1,2，…，n能对第次小周期迭代的阈值整体偏差进行衡量，对分析ICS网络异常程度具有指导意义。第i次迭代的ICS网络流量异常程度的计算方法为：其中当元素时为轻微的ICS流量异常，为显著的ICS流量异常，当时ICS流量异常的程度最高，此时对ICS网络具有毁灭性的影响。本专利技术的有益效果在于解决了ICS通信流量的动态建模以及异常检测问题；生成的ICS动态通信流量阈值模型对ICS通信网络的网络安全防护具有指导意义。ICS通信流量阈值模型能实时监测流量走向，快速扫描全网并为日常网络维护提供实时、精准的网络流量流向和流量成分的分析，为未来网络优化、网络调整、网络本文档来自技高网...

【技术保护点】
1.一种基于SARIMA的工业控制系统通信流量在线监测方法，其特征在于包括如下步骤：/n1)在ICS通信网络之中部署工业交换机、监控主机以及测试主机，监控主机从工业交换机中实时采集通信流量数据；/n2)根据选定的流量聚合尺度，建立小周期SARIMA(p,d,q)x(P,D,Q)s模型；/n3)根据不同的置信度生成ICS动态流量阈值模型；/n4)对实时采集的流量序列进行动态分析。/n

【技术特征摘要】
1.一种基于SARIMA的工业控制系统通信流量在线监测方法，其特征在于包括如下步骤：
1)在ICS通信网络之中部署工业交换机、监控主机以及测试主机，监控主机从工业交换机中实时采集通信流量数据；
2)根据选定的流量聚合尺度，建立小周期SARIMA(p,d,q)x(P,D,Q)s模型；
3)根据不同的置信度生成ICS动态流量阈值模型；
4)对实时采集的流量序列进行动态分析。


2.根据权利要求1所述的基于SARIMA的工业控制系统通信流量在线监测方法，其特征在于所述的步骤2)具体为：
2.1)定义选定的流量聚合尺度以及小周期分析尺度，用SARIMA(p,d,q)x(P,D,Q)s序列的定义法来产生SARIMA(p,d,q)x(P,D,Q)s的时间序列：
SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的，ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成；
自回归滑动平均模型ARMA(p,q)定义如下：
Xt＝φ1Xt-1+φ2Xt-2+…+φpXt-p+εt-θ1εt-1-…-θqεt-q
上式：Xt为均值化处理之后的小周期的平稳时间序列，其时间序列的长度较短；φp为自回归项AR的系数；θq为滑动平均项MA的系数；εt为随机扰动；p为AR的阶数；q为MA的阶数；
定义一个延迟算子B，BXt＝Xt-1，则AR系数多项式Φ(B)＝1-φ1B-…-φp(B)p，MA系数多项式Θ(B)＝1-θ1B-…-θq(B)q；
引入差分算子Δd＝(1-B)d，则ARIMA(p,d,q)模型表示为：
Φ(B)ΔdXt＝Θ(B)εt
SARIMA模型通过对ARIMA模型进行季节性差分运算得到，SARIMA模型的定义如下：
Φp(B)ΦP(Bs)ΔdΔsDXt＝Θq(B)ΘQ(Bs)εt
其中εt为白噪声序列，d为趋势差分的阶数，D为周期s为补偿的季节差分阶数，Bs为s阶延迟算子，ΔsD为季节性差分算子；BsXt＝Xt-s，ΔsD＝1-Bs，ΦP(Bs)为Bs的Q阶多项式，ΦP(Bs)为Bs的P阶多项式；
2.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)s模型的p,d,q,P,D,Q,阶数进行监督分析并定阶；
2.3)采用最小二乘法对SARIMA(p,d,q)x(P,D,Q)s的p阶系数φk(k＝1,2,…,p)，q阶系数θk(k＝1,2,…,q)，以及季节性P阶系数季节性Q阶系数进行估计；
2.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)s模型对原始序列进行拟合分析，并进行残差检验；若残差为白噪声，则对拟合序列进行反滤波处理，得到原序列的拟合值或预测值；若残差不为白噪声，则重新采用BIC信息准则对ARMA(p,q)模型进行定阶；
2.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)s的数学表达式。


3.根据权利要求1所述的基于SARIMA的工业控制系统通信流量在线监测方法，其特征在于所述的步骤3)具体为：
3.1)采集ICS工业交换机上的实时流量数据，根据设定的采样频率γsamp，聚合...

【专利技术属性】
技术研发人员：杨强，郝唯杰，杨涛，阮伟，王文海，
申请(专利权)人：浙江大学，
类型：发明
国别省市：浙江;33