[发明专利]一种工控系统隐蔽攻击实时检测方法及装置

权利要求书

1.一种工控系统隐蔽攻击实时检测方法，其特征在于，包括：

获取工控系统在无攻击环境下的正常残差序列的先验正态分布；

在攻击检测过程中，将工控系统同一时刻的观测输出与期望输出进行对比，得到待检测残差序列；

向所述待检测残差序列中随机插入预设比例的、人工生成的、符合正常残差序列先验正态分布的残差值，得到新残差序列，计算所述新残差序列的偏态系数；

判断所述偏态系数的绝对值是否大于预设的阈值，若大于，则工控系统遭遇隐蔽攻击，否则，工控系统没有遭遇隐蔽攻击；

其中，所述获取工控系统在无攻击环境下的正常残差序列的先验正态分布包括：

获取工控系统在无攻击环境下的正常残差序列；

利用极大似然估计法估计所述正常残差序列的均值μ_nor和方差形成所述正常残差序列的先验正态分布其中，均值μ_nor和方差分别表示为：

其中，r_{nor_i}表示残差序列r_nor中的第i个值，n为残差序列r_nor的总长度。

2.根据权利要求1所述的工控系统隐蔽攻击实时检测方法，其特征在于，在将工控系统同一时刻的观测输出与期望输出进行对比，得到待检测残差序列之前，所述方法还包括：

构建工控系统状态空间模型；

根据构建的工控系统状态空间模型，利用卡尔曼滤波预测工控系统的期望输出；

采集工控系统的观测输出。

3.根据权利要求2所述的工控系统隐蔽攻击实时检测方法，其特征在于，所述构建工控系统状态空间模型包括：

若工控系统的动态行为可用明确的物理方程式表示，则对物理方程式进行数学推导获取对应的状态空间模型；

若工控系统的动态行为无法用明确的物理方程式描述，则将工控系统置于无攻击环境下运行预设的时间，收集运行过程中工控系统的输入、输出数据，运用系统辨识技术获取工控系统的状态空间模型。

4.根据权利要求3所述的工控系统隐蔽攻击实时检测方法，其特征在于，所述状态空间模型表示为：

x_k＝Ax_k-1+Bu_k+ε_k

y_k＝Cx_k-1+Du_k+e_k

其中，x_k和y_k分别表示工控系统在k时刻的状态变量和输出变量，x_k-1表示工控系统在k-1时刻的状态变量，ε_k和e_k分别表示k时刻的过程噪声和测量噪声，u_k表示工控系统在k时刻的输入变量，A为状态转移矩阵，B为控制输入增益矩阵，C为输出矩阵，D为前馈矩阵。