[发明专利]免疫对抗样本的工业控制系统入侵检测方法

摘要

本发明公开了免疫对抗样本的工业控制系统入侵检测方法，通过使用工控系统中的历史数据对循环神经网络进行训练，并将预测结果与真实值进行对比来判断攻击，能够有效地识别出各个种类的攻击。设计了一种回归问题的对抗样本生成方法以方便研究，并针对该问题使用自编码器进行防御，使检测模型对对抗样本具有免疫性。设计的方法包含数据存储模块、数据采集模块、自编码器检测模块、循环神经网络检测模块和报警模块，具有检测率高、实时性强和创新性强的特点。

主权项

1.免疫对抗样本的工业控制系统入侵检测方法，实现该方法的系统包含数据采集模块、数据存储模块、自编码器检测模块、循环神经网络检测模块和报警模块，各个模块分工协作；其特征在于：数据采集模块是对生产过程中的数据进行采集，使用SCADA系统进行采集，采集的数据不仅包括温度、压力等传感器数据，还包括执行数据；采集的数据分成两种，首先是为训练采集数据，这就需要采集正常生产过程下的数据，数据的种类多，同时采集的时间长，需要涵盖多个生产运行周期；其次是为识别攻击采集的数据，因此采集一个时刻的数据即可；数据采集模块同时承担着对数据标准化的工作，由于需要所有维度的数据同时输入神经网络中进行计算，因此需要将所有的数据映射到[0,1]附近，以防止对训练和预测产生影响；数据存储模块是为了存储采集到的历史数据，为模型的训练提供训练数据，使用文件或者数据库的方式存储；存储的数据是二维结构，由数据采集模块提供数据，提供的是工业生产过程中的正常数据；存储模块保证存储的安全，不能丢失或篡改数据；自编码器检测模块是为了识别正常样本，自编码器使用以sigmoid函数为激活函数的神经元作为基本单位，包含多层隐藏层；自编码器使用数据存储模块提供的正常样本进行训练，训练的输入和训练的目标都是t时刻的数据，并通过重建误差来进行结果的判断；因为自编码器使用正常样本进行训练，因此它本身不能直接判定对抗样本和入侵，只能识别是否为正常样本；自编码器是为了防御对抗样本，并且在本模块中对抗样本被识别，但是对于复杂的攻击如欺骗攻击，自编码器检测模块无法进行有效的检测，因此需要送入到循环神经网络检测模块进行下一步的检测；循环神经网络检测模块是为了检测入侵行为的，是主要检测模块，大部分的攻击行为将由本模块检测出来；由于在工业生产过程中收集异常样本比较困难，因此只使用数据存储模块提供的正常数据进行训练，并进行预测；循环神经网络使用GRU作为基本的神经元以防止梯度消失问题，循环神经网络包含多个隐藏层；循环神经网络检测模块使用循环神经网络进行预测，输入一段时间的生产数据，预测一个时刻的数据；同时考虑到预测时间序列会出现的滞后现象，使用w长度的数据{xt‑w+1,xt‑w+2…xt}来预测xt，保证了预测的精度；将预测值与真实值进行对比，计算距离，并通过距离与阈值的比较来确定是否发生入侵；由于采用预测的方法，在发现异常时直接找到引起异常的数据维度，易于发现入侵的源头；报警模块是自编码器检测模块和循环神经网络检测模块触发报警后调用的模块，自编码器检测模块和循环神经网络检测模块对一条待检测的数据样本都有一票否决权；由于对抗样本欺骗循环神经网络检测模块，因自编码器检测模块一旦检测到异常，直接报警；同样的循环神经网络检测模块处理自编码器检测模块无法处理的复杂攻击，因此也能够直接报警。