[发明专利]一种非侵入式基于功耗分析的PLC异常检测方法

权利要求书

1.一种非侵入式基于功耗分析的PLC异常检测方法,其特征在于该方法具体如下：

步骤1：在PLC的电源模块与CPU模块之间串联一个电阻，然后用数据采集器对电阻两端的电压降进行采集，采样率为γ；

步骤2：让PLC运行正常的程序一段时间t₁，并对PLC的功耗信息进行持续采集，将采集到的功耗信息传到上位机用于训练LSTM网络模型，

具体训练步骤如下：

2.1)将接收到的样本按照t₂的时长进行切分，切分后得到了一系列的正样本S＝{s₁,s₂,…s_t,…,s_n}，其中s_t表示第t个样本，包含t₂时长的功耗信息；

2.2)对得到的正样本S进行预处理，过滤掉直流信号和高频噪声，得到新的功耗信息样本S′＝{s₁′,s₂′,…s_t′,…,s_n′}用于后续分析；

2.3)得到样本S′后，提取每个样本的概率密度分布信息，并利用LibXtract库提取基本时域和频域的特征，将这些特征一起构成一个原始的特征样本库；

2.4)使用稀疏编码算法从原始的特征样本库中提取具有区分度的特征组合f＝{f₁,f₂,…,f_i,…,f_m}，其中，f_i表示第i个特征，总的特征维数为m；因此，对于每一个功耗信息样本s_t′，根据特征组合f，提取出一个对应的特征值样本组合从最初得到的功耗信息样本S＝{s₁,s₂,…,s_n}中提取出最终的特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}，并将该样本用于后续的训练；

2.5)用上述特征值样本X＝{x⁽¹⁾,x⁽²⁾,…,x⁽ⁿ⁾}训练一个LSTM神经网络模型，模型训练好之后用于异常样本的检测；

步骤3：完成初始LSTM网络的训练后，对PLC进行实时检测，采集PLC当前的功耗信息，根据前t个样本来预测第(t+1)个样本是否为正常样本，

步骤4：由于LSTM网络每次都是根据前t个样本来预测第(t+1)个样本，因此在进行样本检测的时候，对前t个样本进行实时更新，

步骤5：持续对PLC进行检测，一旦连续发现三个检测样本均为异常样本时，则判定当前PLC中运行的指令并非原来的正常指令，而是遭到攻击后的恶意指令，因此说明PLC已经遭到攻击。

2.根据权利要求1所述的非侵入式基于功耗分析的PLC异常检测方法，其特征在于所述的γ为250KSa/s，t₁为18小时，t₂为5秒钟，m为13。