[发明专利]一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法

说明书

一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，所采用的技术方案是：1、分析网络化运动控制系统的多个物理传感器信息，使得所提方法比基于单传感器的方法效果更佳。2、从数据驱动的角度出发，充分利用网络化运动控制系统中已存在的传感器信息，不依赖精确的控制系统模型。3、通过简单的粗粒化操作，用很少的计算代价获得了更多的信息，在满足网络化运动控制系统实时性的同时提升了一定的检测性能。4、贝叶斯网络结合了一定的先验知识，具有更好的泛化能力，并且计算效率极高，是非常适用于网络化运动控制系统的检测方法。

技术领域

本发明属于工业控制系统安全技术领域，具体涉及一种适用于网络化运动控制系统发生隐蔽性攻击的入侵检测方法，保障网络化运动控制系统正常运行。

背景技术

随着网络化运动控制系统技术的日益完善，诸如嵌入式技术、多标准工业控制网络互联、无线技术等多种超前技术被有机地融合起来，拓展了工业控制领域的发展空间。先进的通信网络技术使传统运动控制系统开始向网络化方向发展，系统的封闭性被打破，导致网络化运动控制系统面临病毒、木马、黑客入侵等信息安全威胁。

网络化运动控制系统有多种不同形式的网络攻击，如重放攻击、虚假数据注入攻击、几何攻击、正弦攻击等。其中，正弦攻击具有高隐蔽性和持续性，能够躲避安全审查，是当前研究的热点。正弦攻击的作用点一般作用在传感器到控制器之间的链路上，以及控制器到执行器之间的链路上，对控制网络中的传输数据进行篡改。这里主要研究控制器到执行器之间的链路。当网络化运动控制系统受到正弦攻击时，控制系统中控制器输出被注入了一定幅值和频率的正弦信号，控制过程变量始终在工作范围小幅波动，系统不会偏离正常的工作状态，但是攻击信号的频率会导致与变量相关的执行器开度以一定幅值正弦震荡，最终造成产品缺陷或工控设备损坏，严重时将危及人身安全。因此，网络化运动控制系统中正弦攻击的检测具有重要意义。

发明内容

为了针对现有网络化运动控制系统中的隐蔽性攻击，检测方法通常从控制理论出发，这类方法需要精确的控制理论模型，但是在实际应用中却难以获得，而工业控制系统协议的复杂性使得计算机安全技术难以施展的不足，本发明考虑了多个传感器下网络化运动控制系统受到隐蔽性攻击情况，根据多传感器数据特征融合技术检测网络化运动控制系统中是否存在正弦攻击。当网络化运动控制系统受到正弦攻击时，控制系统中控制器输出被注入了一定幅值和频率的正弦信号，而系统的监控界面很难发现该类攻击。为了有效检测出网络化运动控制系统中是否存在该类攻击，本发明提出了一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，从传感器采样的数据特征来检测网络化运动控制系统是否受到正弦攻击。我们将方法分为模型训练、阈值确定和入侵检测三个阶段。

本发明采用的技术方案如下：

一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法，所述方法包括如下步骤：

1)模型训练阶段，分为五个步骤：

1.1)获取h个传感器下L个周期的历史正常工况时间序列数据，每个周期的数据长度为N，单个传感器在离线情况下采集L个周期的正常工况时间序列数据为将该时间序列数据进行粗粒化处理，即：

其中，y^(s)(w)粗粒化处理得到的多尺度时间序列，s为尺度因子，且s∈N⁺，N⁺为正整数，经过粗粒化处理获得不同尺度因子s下的特征信息，以提升模型的检测性能；

1.2)计算多尺度样本熵值

针对1.1)得到的多尺度时间序列计算其样本熵值，即多尺度样本熵值；

1.3)计算h个传感器下的多尺度样本熵值，并对所得到的多尺度样本熵值数据进行预处理，即查找其中的最小值a与最大值b，确定样本熵值的范围[a,b]，并对该范围进行M(M≥2且M∈N⁺)个合理等区间划分，区间长度为划分完成后给每个子区间一个标签值0,1,2,…；