[发明专利]一种针对PLC控制系统的入侵检测系统

权利要求书

1.一种针对PLC控制系统的入侵检测系统，应用于PLC控制系统、控制台和工业服务器组成的工业网络中，在PLC控制系统作业场景下，控制器PLC和传感器反馈的变量形成闭环控制，所述入侵检测系统通过工业交换机接入工业网络中，其特征在于，所述入侵检测系统包括：

作业数据采集模块，所述作业数据采集模块采用6N137光耦隔离芯片对编码器进行电压隔离，所述作业数据采集模块用于对所述PLC控制系统的作业现场内的传感器数据进行周期性采集，所述传感器用于检测所述作业现场内设备的工作状态信息；所述作业数据采集模块采集的传感器信息包括机械臂中每个关节的速度、加速度和位置，采集频率为5Hz；

数据驱动入侵检测模块，用于基于稳态作业数据集，构建稳态作业预测模型，并根据所述稳态作业预测模型，依据所述作业数据采集模块所采集的传感器数据，对所述PLC控制系统进行数据驱动入侵检测；

网络数据采集模块，用于通过PLC控制系统中的工业交换机的网口对所述PLC控制系统的作业现场内所传输的网络数据包进行实时捕获，并对捕获的网络数据包进行解析获取网络数据；

网络通信协议入侵检测模块，用于基于正常网络通信数据集，构建正常网络通信协议模型，并根据所述正常网络通信协议模型，依据所述网络数据采集模块所采集的网络数据，对所述PLC控制系统进行网络通信协议入侵检测；

其中，所述网络通信协议入侵检测模块构建正常网络通信协议模型的过程，包括：采集作业现场正常网络通信数据，构建正常网络通信数据集；对所述正常网络通信数据集进行特征提取及选择并记录协议通信类型；其中，选出的特征包括功能码、读写首地址、读写数据长度、协议帧的总长度、网络帧的标志位、设备标识和交互标识；对选出的特征进行主成分分析降维处理，生成网络通信特征集；对所述网络通信特征集进行量化处理，生成网络通信特征向量；对所述网络通信特征向量进行聚类分析，构建正常网络通信协议模型；

所述网络通信协议入侵检测模块对所述PLC控制系统进行网络通信协议入侵检测的过程，包括：

对所述网络数据采集模块采集的网络数据中的源IP、目的IP、源端口、目的端口、源MAC和目的MAC提取后进行哈希值计算，将计算的哈希值与预先构建的哈希表中相应哈希值进行匹配；如果不匹配，则判定出现入侵行为；如果匹配，则将当前网络通信的协议类型与先前记录的协议类型进行匹配，如果不匹配，则进行规则学习，更新协议规则库，如果匹配，则将当前网络通信协议传至所述正常网络通信协议模型进行入侵检测，如果发现入侵，则对入侵的数据包进行提取，提取出异常协议数据包，以构建异常规则库；

所述数据驱动入侵检测模块构建稳态作业预测模型的过程，包括：

在作业现场处于稳定工作状态的情况下，对作业现场内的传感器数据进行采集，构建稳态作业数据集；并对所述稳态作业数据集进行预处理；

将所述稳态作业数据集滞后两个采样点后，转化为有监督学习的数据集；

基于转化的数据集，经长短记忆神经网络训练，构建稳态作业预测模型；

所述数据驱动入侵检测模块根据构建的稳态作业预测模型，对所述PLC控制系统进行数据驱动入侵检测的过程，包括：

从所述作业数据采集模块的第三个采样周期开始，利用所述稳态作业预测模型预测选定时刻的传感器输出响应；

将选定时刻的传感器实际输出响应与所述稳态作业预测模型预测的输出响应进行欧式距离计算；当计算结果大于设定的阈值时，则判定出现入侵行为。

2.如权利要求1所述的针对PLC控制系统的入侵检测系统，其特征在于，所述入侵检测系统还包括入侵响应输出模块，所述入侵响应输出模块包括：急停响应单元和报警响应单元；其中，

所述急停响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时，对所述PLC控制系统中的PLC控制器进行紧急制动处理；

所述报警响应单元用于在所述数据驱动入侵检测模块和所述网络通信协议入侵检测模块中至少一个检测到所述PLC控制系统受到入侵时，生成报警信息和对应的日志信息，进行报警响应。

3.如权利要求2所述的针对PLC控制系统的入侵检测系统，其特征在于，所述入侵检测系统还包括监控服务器，所述入侵响应输出模块还包括数据传输单元；所述数据传输单元用于将所述报警信息和日志信息传输给所述监控服务器，所述监控服务器用于显示所述报警信息和日志信息。