[发明专利]一种针对工业控制系统攻击的双级检测方法

权利要求书

1.一种针对工业控制系统攻击的双级检测方法，其特征在于，具体包括以下步骤：

S1，工控传感器网络实时采集工控系统底层传感器数据，数据分别传输给工控系统PLC与独立的嵌入式攻击检测系统，嵌入式攻击检测系统中的嵌入式处理器不允许上位机对其进行更新，下载口不允许在线接通；工控系统PLC将收到的传感器数据上传到SCADA系统，同时嵌入式攻击检测系统通过网络线缆接收SCADA系统统计后的下行数据；

S2，在系统没有攻击的情况下，嵌入式攻击检测系统通过读取传感器采集的数据，提炼工控系统各个传感器正常运行的独立数据分布特征，独立数据分布特征包括均值点附近的概率分布类型和估计误差协方差，以及依托于工控系统内部物理关系抽象而成的变量之间的函数关系，并把提炼的特征规律存储到独立运行的嵌入式处理器中，记为系统健康数据模型；

S3，工业控制系统的攻击检测方法包括两级；

第一级，利用传感器直采数据与SCADA系统统计数据对比来检测SCADA系统受攻击情况记为一级攻击警报；检测方式为：把同一时间戳SCADA系统下行的系统控制变量数据与嵌入式攻击检测系统直接读取的传感器数据相比较，如果差距超过了数据传输的最大量化误差范围，则认为SCADA系统已经遭到恶意程序入侵；

第二级，利用传感器直采数据统计规律与健康数据模型对比来判断传感器受攻击情况记为二级攻击警报；其中，传感器直采数据统计规律包括概率分布类型、协方差大小与变量之间函数关系；检测方式为：在不触发一级攻击警报的前提下，首先统计传感器各个变量的均值之间的函数关系是否在健康模型函数关系的误差允许范围之内，如果超出该范围则认为传感器驱动程序已经遭到恶意篡改；如果函数关系没有问题，统计各个传感器数据的概率密度分布类型以及其协方差，与健康数据模型对比，如果超出置信区间则认为传感器驱动程序已经遭到恶意篡改。