基于深度自编码器的工控业务数据虚假注入攻击检测方法技术

本发明专利技术公开了一种基于深度自编码器的工控业务数据虚假注入攻击检测方法，包括：S1、对工控设备历史数据进行数据预处理，进行模型训练得到虚假注入攻击检测模型；S2、对随机注入攻击数据进行数据预处理，输入训练好的虚假注入攻击检测模型设置模型阈值；S3、实时采集OPC服务器上的工控业务数据进行数据预处理，通过训练好的虚假注入攻击检测模型进行结果预测，判断预测值是否为虚假注入数据。本发明专利技术通过深度学习模型实时检测工控设备业务数据虚假数据注入攻击的异常数据，并能够根据异常数据关联相关设备进行告警，便于第一时间感知设备运行的异常情况，进行快速准确的判断，有效维护系统的安全运行。系统的安全运行。系统的安全运行。

【技术实现步骤摘要】
基于深度自编码器的工控业务数据虚假注入攻击检测方法


[0001]本专利技术属于工业控制
，具体涉及一种基于深度自编码器的工控业 务数据虚假注入攻击检测方法。

技术介绍

[0002]工业控制系统与生产关系的紧密结合、物理设备间的复杂关系以及系统可 用性在安全指标中优先级最高，使其面临多种安全威胁。采用加密认证技术会 大大提高工业控制系统中数据的传输延时，由于工业控制系统对于实时性的高 要求，使得其被恶意窃取甚至篡改的可能性增大。
[0003]假数据注入攻击可以篡改由工业控制系统(ICS)采集到的量测信号，影响 控制系统的重要决策。在量测信号中注入虚假数据不仅不易察觉，还能达到破 坏系统的目的。攻击者根据自身掌握的信息多少，可能采取随机注入恶意值或 者注入根据先验信息精心计算的偏差值的方式。无论是随机的还是有准确目的 的假数据注入攻击都会对系统造成严重危害，因此如何实时高效地检测虚假数 据注入，对于保障工控系统安全运行具有重要意义。

技术实现思路

[0004][0005]针对现有技术中的上述不足，本专利技术提供的一种基于深度自编码器的工控 业务数据虚假注入攻击检测方法解决了如何实时高效地检测虚假数据注入，保 障工控系统安全运行的问题。
[0006]为了达到上述专利技术目的，本专利技术采用的技术方案为：一种基于深度自编码 器的工控业务数据虚假注入攻击检测方法，包括：
[0007]S1、对工控设备历史数据进行数据预处理，进行模型训练得到虚假注入攻 击检测模型；
[0008]S2、对随机注入攻击数据进行数据预处理，输入训练好的虚假注入攻击检 测模型设置模型阈值；
[0009]S3、实时采集OPC服务器上的工控业务数据进行数据预处理，通过训练好 的虚假注入攻击检测模型进行结果预测，判断预测值是否为虚假注入数据。
[0010]进一步地：所述工控设备历史数据为OPC服务器采集的传感器测量的工控 设备的历史业务数据。
[0011]进一步地：所述步骤S1中的数据预处理具体为：从工控设备的历史业务数 据中根据点表及设备运维信息筛选正常运行的业务数据，并对数据进行标准化 处理。
[0012]进一步地：所述模型训练具体为：采用keras深度学习框架构建自编码器网 络结构，采用relu作为激活函数，使用均方误差作为损失函数，优化器为Adam， 通过调整epochs、batch_size、lr参数优化模型，使得损失函数降到最低，即编 码器输出数据能够很
好的重构解码器的输入数据信息。
[0013]进一步地：所述模型训练获得的模型保存后并上传至服务器。
[0014]进一步地：所述步骤S2中的阈值设置方法为：将异常业务数据输入训练好 的虚假注入攻击检测模型，根据检测率高误报率低原则和应用场景需求设置模 型阈值。
[0015]进一步地：所述检测率和误报率的计算公式为：
[0016][0017][0018]进一步地：所述异常业务数据来源为：采样抽取训练集数据，通过随机、 偏差、浪涌虚假注入攻击方式构造异常数据，或根据工业控制系统点表及设备 运维信息筛选异常业务数据。
[0019]进一步地：所述步骤S3的具体步骤为：保存训练好的虚假注入攻击检测模 型及判断阈值并上传至服务器，实时采集OPC服务器上的工控业务数据进行数 据预处理，然后加载预先训练好的虚假注入攻击检测模型进行结果预测，如果 预测值和真实值之前的偏差超过阈值则认为是虚假注入数据，如果预测值和真 实值之间的偏差小于阈值则认为是正常数据。
[0020]进一步地：根据用户过滤条件从虚假注入数据中获取告警信息并可视化； 所述告警信息中包括设备类型、设备名称、设备编号、设备业务数据、设备所 属作业单元；所述可视化筛选条件可以是指定时间段、设备类型，后台根据筛 选条件查询数据库获取数据返回给前端，前端可视化告警信息。
[0021]本专利技术的有益效果为：本专利技术通过深度学习模型实时检测工控设备业务数 据虚假数据注入攻击的异常数据，并能够根据异常数据关联相关设备进行告警， 便于第一时间感知设备运行的异常情况，进行快速准确的判断，有效维护系统 的安全运行。
附图说明
[0022]图1为本专利技术工作原理图。
具体实施方式
[0023]下面对本专利技术的具体实施方式进行描述，以便于本
的技术人员理 解本专利技术，但应该清楚，本专利技术不限于具体实施方式的范围，对本
的 普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本专利技术的精 神和范围内，这些变化是显而易见的，一切利用本专利技术构思的专利技术创造均在保 护之列。
[0024]如图1所示，一种基于深度自编码器的工控业务数据虚假注入攻击检测方 法，包括：
[0025]S1、对工控设备历史数据进行数据预处理，进行模型训练得到虚假注入攻 击检测模型；
[0026](1)数据来源
[0027]工业控制系统中OPC服务器采集的传感器测量的工控设备的历史业务数据。
[0028](2)数据处理
[0029]从工控设备的历史业务数据中根据点表及设备运维信息筛选正常运行的业 务数据，并对数据进行标准化处理。
[0030](3)模型训练
[0031]采用keras深度学习框架构建自编码器网络结构，采用relu作为激活函数， 使用均方误差作为损失函数，优化器为Adam，通过调整epochs、batch_size、lr 等参数优化模型，使得损失函数降到最低，即编码器输出数据能够很好的重构 解码器的输入数据信息。
[0032](4)模型保存
[0033]将步骤(3)训练获得的模型保存并上传服务器。
[0034]S2、对随机注入攻击数据进行数据预处理，输入训练好的虚假注入攻击检 测模型设置模型阈值；
[0035](1)异常数据来源
[0036]a)采样抽取训练集数据，通过随机、偏差、浪涌等虚假注入攻击方式构造 异常数据，通过python脚本实现。
[0037]b)根据工业控制系统点表及设备运维信息筛选异常业务数据，通过python 脚本及人工辅助实现。
[0038](2)阈值确定
[0039]将通过上述2种方法获取的异常业务数据输入已经训练好的编码器模型， 根据检测率高误报率低原则和应用场景需求设置模型阈值。
[0040][0041][0042]其中，检测率越高误报率越低模型效果越好。
[0043]S3、实时采集OPC服务器上的工控业务数据进行数据预处理，通过训练好 的虚假注入攻击检测模型进行结果预测，判断预测值是否为虚假注入数据。
[0044]保存训练好的虚假注入攻击检测模型及判断阈值并上传服务器，业务数据 采集模块实时采集OPC服务器上的工控业务数据进行数据预处理，然后加载预 先训练好的异常检测模型进行结果预测，如果预测值和真实值之前的偏差超过 阈值则认为是虚假注入数据，如果预测值和真实值之间的偏差小于阈值则认为 本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于深度自编码器的工控业务数据虚假注入攻击检测方法，其特征在于，包括：S1、对工控设备历史数据进行数据预处理，进行模型训练得到虚假注入攻击检测模型；S2、对随机注入攻击数据进行数据预处理，输入训练好的虚假注入攻击检测模型设置模型阈值；S3、实时采集OPC服务器上的工控业务数据进行数据预处理，通过训练好的虚假注入攻击检测模型进行结果预测，判断预测值是否为虚假注入数据。2.根据权利要求1所述的基于深度自编码器的工控业务数据虚假注入攻击检测方法，其特征在于，所述工控设备历史数据为OPC服务器采集的传感器测量的工控设备的历史业务数据。3.根据权利要求1所述的基于深度自编码器的工控业务数据虚假注入攻击检测方法，其特征在于，所述步骤S1中的数据预处理具体为：从工控设备的历史业务数据中根据点表及设备运维信息筛选正常运行的业务数据，并对数据进行标准化处理。4.根据权利要求1所述的基于深度自编码器的工控业务数据虚假注入攻击检测方法，其特征在于，所述模型训练具体为：采用keras深度学习框架构建自编码器网络结构，采用relu作为激活函数，使用均方误差作为损失函数，优化器为Adam，通过调整epochs、batch_size、lr参数优化模型，使得损失函数降到最低，即编码器输出数据能够很好的重构解码器的输入数据信息。5.根据权利要求1所述的基于深度自编码器的工控业务数据虚假注入攻击检测方法，其特征在于，所述模型训练获得的模型保存后并上传至服务器。6.根据权利要求1所述的基于深度自编码器的工控业务数据虚假...

【专利技术属性】
技术研发人员：杨瑞瑞，徐砚，李立，
申请(专利权)人：中国电子科技网络信息安全有限公司，
类型：发明
国别省市：