[发明专利]一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法

说明书

一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法，分为模型训练、阈值确定和入侵检测三个阶段，且每个阶段都需要进行数据预处理操作；为了保留有用信息，防止失真，提出使用均值滤波的方法得出理论均值，随后计算残差，即将采样值减去均值，并取绝对值，得到残差值序列；在数据预处理之后，首先使用Baum‑Welch算法进行训练得到模型参数，然后使用前向算法估计概率值，确定阈值，最后通过判断实时观测序列与模型的亲和性来判断是否存在攻击。本发明能提取出扰动与攻击，有效检测隐蔽性攻击，且在量化方法和最终判断决策上可以根据具体数据调整，适用范围广。

技术领域

本发明属于工业控制系统安全技术领域，具体涉及一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法。

背景技术

在工业控制系统中，伴随着信息化与自动化的深度融合，原本相对独立的工业控制系统越来越多地与企业管理网相互联通，使得安全问题威胁逐渐向工业控制系统扩散，工业控制系统安全问题日益突出。隐蔽式网络攻击是高技术的、采用对抗性隐蔽逃逸技术、借助网络控制、以窃取机密信息或长期控制及破坏的攻击统称。通常情况下，隐蔽性攻击具有高技术性，高隐蔽性和长期持续性，能长期躲避安全检测，篡改控制系统输入输出信号，随着设备的持续运行，逐渐损伤工控设备，造成产品缺陷。

现有的入侵检测方法通常主要考虑比较明显的恶意攻击，难以发现工业控制系统中的隐蔽性攻击，且控制系统工作环境的扰动会对隐蔽性攻击的检测造成干扰，使入侵检测更加困难。因此，隐蔽性攻击的入侵检测方法一直是研究难点。重复加工过程需要伺服驱动单元执行重复性的工作，其输入为周期性的信号或指令，其输出要求能稳定无静差地跟踪这种周期性的输入信号。

发明内容

为了克服现有入侵检测方法的无法检测隐蔽性攻击的不足，假设隐蔽性攻击入侵到控制系统，篡改控制输出数据，同时又逃过了工业控制系统的检测，而外置传感器的采样数据数据未受篡改，为了有效检测出工业控制系统中存在的该类攻击，本发明提出了一种基于隐马尔可夫模型的隐蔽性攻击检测方法，从传感器采样的数据特征来检测是否存在攻击，将方法分为模型训练、阈值确定和入侵检测三个阶段，且每个阶段都需要进行数据预处理操作。

本发明采用的技术方案如下：

一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法，所述方法包括如下步骤：

1)模型训练阶段，过程如下：

步骤1.1)均值滤波

采用均值滤波方法，得到一定周期的采样数据下的均值：

其中，T是周期大小，t＝1,...,T，N是周期数，是第n个周期的第t位上的采样值；均值近似认为是工控系统的无扰动真实数据，周期取得越大越精准；

步骤1.2)计算残差

将采样数据μ_t减去对应索引位置t上的均值得到残差

当t超过T时，重新从索引位置1开始累加即可；由这个残差伴随时间组成序列，这时就完成了初步的数据预处理，也可以认为是完成了特征提取。如果选择的是正常状态下(不存在攻击)的数据，理论上每个索引位置上的值，都会具有正态分布的特性(因为存在自然扰动)。将每个索引位置的新采样值减去对应均值，就会消除原始数据的周期性，仅留下正常工业控制系统中自然存在的扰动。理论上，这个残差值向量近似认为是高斯白噪声。

步骤1.3)量化

针对重复加工过程的扰动特性，对前述预处理之后的数据进行适当量化得到离散的观测值。具体的，根据实际得到的残差值得到幅度范围，将数据的幅度分为K个小区间，每个区间给定一个量化值，也就是观测值；原本连续的残差数据经过量化之后就变为了离散的观测值，也就是训练数据。