[发明专利]一种工业控制系统序列攻击检测方法及设备

说明书

本发明提供的一种工业控制系统序列攻击检测方法及设备，其中所述方法包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测值类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。本发明提供的方法在避免单个观测量被篡改后工业控制系统序列攻击检测失效的情况的同时，能够高效、准确地识别出工业控制系统的序列攻击。

技术领域

本发明涉及入侵检测技术领域，更具体地，涉及一种工业控制系统序列攻击检测方法及设备。

背景技术

工业控制系统(industrial control system，ICS)在近十多年不断地引入了工业以太网和传输控制协议/因特网互联协议(Transmission Control Protocol/InternetProtocol，TCP/IP)等开放性通信协议，系统平台趋于开放化和标准化，与外部网络的连接变得更为紧密与频繁，特别是新近提出的工业4.0概念融合了智能工厂、智能生产、智能物流等思想。这些现象使得ICS的系统固有漏洞和攻击面日益增加，互联网面临的安全攻击被引入到ICS中。序列攻击是工业控制系统中的一种特殊攻击，该攻击高度依赖控制过程，通过在操作序列中的错误位置插入正常合法报文，干扰工作流程甚至损毁物理设备。

现有的序列攻击检测机制大多采用有限状态机、马尔科夫模型等技术，构建正常操作序列模型并以此检测序列攻击。然而这些技术的共同前提是检测者可以获得控制命令序列。但是在现实中，逻辑代码已下装到可编程逻辑控制器(Programmable LogicController，PLC)中，由PLC通过总线或电信号控制执行器进行操作。检测者在工业控制网络中仅能捕获到PLC发送的设备观测值信息和人及接口(Human Machine Interface，HMI)发送的控制命令信息。

由于序列攻击主要采用基于单观测量信息的检测技术，但是技术高超的攻击者可攻陷PLC并篡改观测值，导致现有的观测量检测技术失效，无法识别序列攻击，造成严重的业务中断及设备破坏。

发明内容

针对上述的技术问题，本发明提供一种工业控制系统序列攻击检测方法及设备。

第一方面，本发明提供一种工业控制系统序列攻击检测方法，包括：S1，获取多个可编程逻辑控制器控制的传感器的多个观测量作为测试集，并依据预先由取值分类法获得的各观测量类型，获取所述测试集中的第一连续量子集和第一离散量子集；S2，基于所述第一离散量子集和所述第一连续量子集，利用训练生成的隐马尔科夫模型，得到各自对应的第一匹配概率和第二匹配概率；S3，基于所述第一匹配概率和所述第二匹配概率，结合离散量子集和连续量子集的权重，得到工业控制系统序列攻击的检测结果。

其中，所述取值分类法包括：获取取值个数小于2的所有观测量形成固定量子集；获取取值个数大于预设个数阈值的所有观测量形成连续量子集；以及获取其余的观测量形成离散量子集；

其中，所述固定量子集、连续量子集以及离散量子集中的每个元素为某时刻获取的同类型观测量组成的向量。

其中，通过以下步骤训练所述隐马尔科夫模型：获取多个可编程逻辑控制器控制的传感器的多个观测量作为训练集，并利用所述取值分类法获取所述训练集中的第二连续量子集和第二离散量子集；根据所述第二离散量子集中的每个离散向量的取值，将所述第二离散量子集转换为离散序列；利用所述离散序列对隐马尔科夫模型进行训练，得到离散隐马尔科夫模型；对所述第二连续量子集中的每个连续向量的取值进行标准化，形成标准化连续量子集；利用所述标准化连续量子集对隐马尔科夫模型进行训练，得到连续隐马尔科夫模型。