一种信息物理工业控制系统的重放攻击检测方法技术方案

本发明专利技术公开一种信息物理工业控制系统的重放攻击检测方法，包括以下内容：建立信息物理工业控制系统模型；收集工业控制系统输入输出数据，使用等价空间方法生成检测残差；量化分析攻击下的残差变化；基于残差量化分析，给出四种被动最优等价矩阵设计方法以提高检测性能；在被动设计基础上，进一步给出一种攻击事件触发的主动设计方案提高检测性能；选取统计量，设置检测阈值与报警策略，完成检测。所提出的重放攻击检测方法，可以准确检测针对信息物理工业控制系统的重放攻击，同时具有保持系统控制性能、易于实现、可区分故障和攻击等优点。点。点。

【技术实现步骤摘要】
一种信息物理工业控制系统的重放攻击检测方法


[0001]本专利技术属于工业信息物理系统
，特别是涉及一种信息物理工业控制系统的重放攻击检测方法。

技术介绍

[0002]信息物理系统将传感、计算、通信和控制集成到物理系统中，为复杂系统的信息服务、控制和实时感知提供了有效的框架。近年来，已经广泛应用于水电、交通、工业控制等领域中。控制系统在信息物理框架中得到了极大的改造和开发，但同时也引发了网络安全风险和网络攻击的脆弱性。针对控制系统的网络攻击一般被分为泄露攻击、欺骗攻击和破坏攻击。重放攻击是一种典型的欺骗攻击，它的实施不依赖于控制系统模型信息，可以在保持隐匿的条件下使控制性能致命恶化。因此，在网络安全抵御重放攻击的强烈需求下，重放攻击检测成为技术关键。
[0003]重放攻击的检测大多采用水印法、移动目标法和端到端加密。水印法通过在系统控制信号中加入认证噪声信号来抵御重放攻击。移动目标法通过增加额外的系统动态，包括额外的控制通道、传感通道和系统状态，在其中引入与攻击者无关的时变元素来检测重放攻击。基于加密算法的端到端加密方法是通信中最本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种信息物理工业控制系统的重放攻击检测方法，其特征在于，包括步骤：S100：建立信息物理工业控制系统模型，建立状态空间方程表达，并建立重放攻击过程描述；S200：收集控制系统输入输出数据，基于信息物理工业控制系统模型，使用等价空间方法生成检测残差；S300：量化分析重放攻击导致的残差变化，包括输入输出均重放和仅有输出重放两种情况下的残差变化；S400：基于残差量化分析结果，建立四种的最优等价矩阵的被动方法；S500：在被动方法基础上，建立基于攻击事件触发的主动方法；S600：选取统计量，设置检测阈值与报警策略，完成检测。2.根据权利要求1所述的一种信息物理工业控制系统的重放攻击检测方法，其特征在于，在所述步骤S100中，建立信息物理工业控制系统模型，建立状态空间方程表达，并建立重放攻击过程描述，包括步骤：S110：建立带有噪声的线性时不变信息物理工业控制系统模型：其中，x(k)表示系统状态，u(k)表示系统输入，y(k)表示测量输出；w(k)和v(k)分别表示过程噪声和测量噪声，相互独立且都为零均值高斯白噪声，满足：cov{[w
T
(k) v
T
(k)]
T
}＝diag{Q,R}其中，Q＞0,R＞0是已知的协方差矩阵，diag{Q,R}是由Q和R构成的块对角阵；A,B
u
,B
w
,C是具有预设维数的已知矩阵；S120：建立重放攻击过程描述：在信息物理工业控制系统中，控制器和检测器分别被配置以确保系统的控制性能和检测异常的能力，控制信号和测量信号通过网络传输；在不存在攻击和故障的情况下，系统中的信号传输满足：y为系统输出，令y
c
表示控制器接收到的系统输出，y
d
表示检测器接收到的系统输出；u为系统输入，使u
c
表示控制器输出，u
d
表示检测器接收到的控制信号。3.根据权利要求2所述的一种信息物理工业控制系统的重放攻击检测方法，其特征在于，所述重放攻击过程包括步骤：S121：攻击者通过窃听攻击记录时间范围[t
r1
,t
r2
]的传感器输出，和/或控制输入，[t
r1
,t
r2
]是一段足够长的时间间隔；S122：当k≥T0时，k表示系统运行时刻，T0表示攻击开始时刻，攻击者使用记录的数据取代传感器输出，y
c
(k)＝y
d
(k)＝y(τ
k
)，τ
k
表示攻击者有记录的过去的系统运行时刻，其中，t
r1
≤τ
k
＜＜t
r2
且T0＞＞t
r2
；向系统输入添加一个恶意信号u
a
(k)以破坏系统性能，u(k)＝u
c
(k)+u
a
(k)；使用记录的数据取代检测器的控制信号输入，u
d
(k)＝u(τ
k
)。4.根据权利要求2或3所述的一种信息物理工业控制系统的重放攻击检测方法，其特征
在于，在所述步骤S200中，收集控制系统输入输出数据，基于信息物理工业控制系统模型，使用等价空间方法生成检测残差，包括步骤：S210：当k＞s时，k表示系统运行时刻，s表示等价关系的阶数，用s个连续的系统数据生成矩阵Y
s
(k)、U
s
(k)、W
s
(k)和V
s
(k)，分别为用等价空间法表示的系统测量输出、系统输入、过程噪声和测量噪声；Y
s
(k)＝col{y(k
‑
s),y(k
‑
s+1),
…
,y(k)}；U
s
(k)＝col{u(k
‑
s),u(k
‑
s+1),
…
,u(k)}；W
s
(k)＝col{w(k
‑
s),w(k
‑
s+1),
…
,w(k)}；V
s
(k)＝col{v(k
‑
s),v(k
‑
s+1),
…
,v(k)}；其中，col表示用多个向量构成列向量；S220：可得到系统的等价关系表示：Y
s
(k)＝H
0,s
x(k
‑
s)+H
u,s
U
s
(k)+E
s
(k)；E
s
(k)是由过程噪声和测量噪声组成的复合噪声矩阵，E
s
(k)＝H
w,s
W
s
(k)+H
v,s
V(k)，H
u,s
、H
0,s
、H
v,s
和H
w,s
分别由控制系统模型系数矩阵生成的对应的等价关系模型系数矩阵；S230：定义基于等价空间方法生成的残差：r
s
(k)＝Z
s
(Y
s
(k)
‑
H
u,s
U
s
(k))；其中，Z
s
是等价矩阵，Z
s
的第i行z
s,i
从等价空间中引入；进一步推导出r
s
(k)＝Z
s
E
s
(k)～N(0,Θ
s
)，N表示高斯分布，Θ
s
为残差的协方差矩阵。5.根据权利要求4所述的一种信息物理工业控制系统的重放攻击检测方法，其特征在于，在所述步骤S300中，量化分析重放攻击导致的残差变化，包括输入输出均重放和仅有输出重放两种情况下的残差变化，包括步骤：当k≥T0时，k表示系统运行时刻，T0表示攻击开始时刻，传感器输出被攻击者记录的历史数据取代，y
c
(k)＝y
d
(k)＝y(τ
k
)，τ
k

【专利技术属性】
技术研发人员：赵东，薛茜星，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：