[发明专利]一种工业控制系统序列攻击检测方法及设备

权利要求书

1.一种工业控制系统序列攻击检测方法，其特征在于，包括：

S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测量类型，获取所述测试集中的第一连续量子集和第一离散量子集；

S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；

S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。

2.根据权利要求1所述的方法，其特征在于，所述取值分类法包括：

获取取值个数小于2的所有观测量形成固定量子集；

获取取值个数大于预设个数阈值的所有观测量形成连续量子集；以及

获取其余的观测量形成离散量子集；

其中，所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。

3.根据权利要求1或2任一所述的方法，其特征在于，通过以下步骤训练所述隐马尔科夫模型：

获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集，并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集；

根据所述第二离散量子集中的每个离散向量的取值，将所述第二离散量子集转换为离散序列；利用所述离散序列对隐马尔科夫模型进行训练，得到离散隐马尔科夫模型；

对所述第二连续量子集中的每个连续向量的取值进行标准化，形成标准化连续量子集；利用所述标准化连续量子集对隐马尔科夫模型进行训练，得到连续隐马尔科夫模型。

4.根据权利要求3所述的方法，其特征在于，通过以下步骤获取所述离散量子集和所述连续量子集的权重：

对所述训练集进行标准化，计算标准化训练集中每个观测量的取值占所述观测量的取值之和的比值；

根据所述比值计算标准化训练集中各观测量的熵，并根据所述标准化训练集中各观测量的熵，获取所述标准化训练集中各观测量的权重；

根据所述标准化训练集中各观测量的权重确定所述离散量子集的权重和所述连续量子集的权重。

5.根据权利要求4所述的方法，其特征在于，通过以下公式计算标准化训练集中各观测量的熵，即

其中，E_j为第j观测量的熵；p_ij为标准化训练集中第i时刻第j观测量的取值占第j观测量的取值之和的比值；n为训练集中第j观测量的取值个数。

6.根据权利要求5所述的方法，其特征在于，通过以下公式确定所述离散量子集的权重以及所述连续量子集的权重，即

其中，W(T_l)为第l类子集的权重，离散量子集为d类子集，连续量子集为c类子集；k为训练集中观测量的数量；k_l为第l类子集中观测量的数量；w(O_lj)为第l类子集中第j观测量O_j的权重，且w(O_j)＝(1-E_j)/(k-∑E_j)。

7.根据权利要求6所述的方法，其特征在于，通过以下公式得到工业控制系统序列攻击的预测值，即

P＝W(T_c)×P_c+W(T_d)×P_d

其中，P为预测值；W(T_d)为离散量子集的权重；W(T_c)为连续量子集的权重；P_d为第一匹配概率；P_c为第二匹配概率；

将所述预测值与检测阈值τ进行比较，若所述预测值不小于检测阈值τ，则确认所述工业控制系统正常；否则，确认所述工业控制系统异常，发出警报。