[发明专利]一种工业控制系统状态机构建方法

说明书

本发明公开一种工业控制系统状态机构建方法，该工业控制系统状态机构建方法从聚类算法出发，采用最先进的BLOCK‑DBSCAN算法，无论从速度还是准确性都有提高。并且，提出了关于DBSCAN的聚类算法参数的自适应方法，针对工业控制系统可以有效准确的找到最佳匹配参数，让效率大幅提高。然后利用奖罚机制对聚类结果进行再分类，解决了聚类算法无法将高维的协议信息充分分开的问题。最后通过APTA树的构建达到对工业控制系统状态机的构建，解决了对状态机构建的这一难点。本发明工业控制系统状态机构建方法解决了工业控制系统协议状态机的构建问题，对未来工业控制系统入侵检测提供了坚实基础。

技术领域

本发明的技术方案涉及工业控制技术，具体地说是一种工业控制系统状态机构建方法。

背景技术

有限状态机(finite-state machine，缩写FSM)，又叫有限状态自动机，简称状态机，是能够表示有限个状态以及这些状态之间的转移和动作等行为的数学模型。针对于工业协议控制系统中的应用，又称为协议状态机。

BLOCK-DBSCAN聚类算法是2021年提出的改进DBSCAN算法，相对于现有的聚类算法的优势主要体现在其时间复杂度优势和准确性优势。其使用了覆盖树算法加快了范围查询速度，提出ε/2范围规范球这个聚类判别概念。

工业控制系统由于长期在相对封闭的内网环境中运行，工业控制系统安全常常被忽视。随着网络技术的不断发展和工业互联网的兴起，工业控制系统已经成为网络安全的重灾区。工业监控系统SCADA在设计之初没有考虑到目前的工业控制发展，存在严重的漏洞。工业控制系统由于工作周期、更换设备成本等问题，还在使用老旧的系统和软件设备，由于时间跨度太久导致先验知识的缺失情况时常出现。在工业控制系统中，由于技术问题、人力成本、时间成本等原因，不能由人力实时监控由攻击导致的控制系统状态异常跳变的安全问题。在网络安全层面，协议逆向是近年来研究的一个主要方向。状态机是协议逆向的重要部分，其理论架构极其适合工业控制系统安全研究，但是现阶段的协议分类方法，时间成本较高。

发明内容

针对工业控制安全系统现状，本发明提出一种工业控制系统状态机构建方法，该方法根据协议状态机构建问题提出新的思路，与现有方法时间复杂度和准确率上实现了提高，为工业控制系统状态机异常跳变检测提出理论支撑。

本发明解决该技术问题所采用的技术方案：一种工业控制系统状态机构建方法，其特征在于，该方法包括下述步骤：

第一步，数据预处理

针对二进制协议的特性，选取1bit作为处理单位；处理数据时以每个单位为依据进行切割；将数据的每一个单位作为一个特征，数据长度最大的协议命令得到一个长度为m的序列；以数据长度最大的协议命令为基准，将数据长度不同的协议命令以零位补偿的方式进行基准化处理，一个协议包的n个协议命令经过数据预处理后得到一个n×m的二维矩阵；该二维矩阵里面的元素为高维空间的坐标，抽象图形表示形式为高维空间中的点；

第二步，采用BLOCK-DBSCAN算法对数据进行分类

设置BLOCK-DBSCAN算法参数，其中，ε为近邻区域半径，设定MinPts为以点P为中心、以ε为半径的邻域内点的数量；N_ε(P)为包含点P的以ε为半径的邻域内点的数量，如果N_ε(P)大于Minpts,则P为一个核心点；

将一个协议包的抽象图形通过覆盖树扫描，筛选出满足如下条件的点：

N_ε/2(p)＞＝MinPts (1)

其中N_ε/2(p)表示为以p点为中心、ε/2为半径的近邻域中点的数量，该公式表示为在P点的ε/2近邻域内的样本点数量大于MinPts；设置如下两条定义：