[发明专利]免疫对抗样本的工业控制系统入侵检测方法

说明书

本发明公开了免疫对抗样本的工业控制系统入侵检测方法，通过使用工控系统中的历史数据对循环神经网络进行训练，并将预测结果与真实值进行对比来判断攻击，能够有效地识别出各个种类的攻击。设计了一种回归问题的对抗样本生成方法以方便研究，并针对该问题使用自编码器进行防御，使检测模型对对抗样本具有免疫性。设计的方法包含数据存储模块、数据采集模块、自编码器检测模块、循环神经网络检测模块和报警模块，具有检测率高、实时性强和创新性强的特点。

技术领域

本发明应用于工业控制系统中的安全领域，是一种能有效免疫对抗样本的入侵检测方法。

背景技术

工业控制系统(Industrial Control Systems,ICS)包括分布式控制系统、监控和数据采集系统等，随着工业自动化技术的发展，工业控制系统在工业生产中发挥着越来越重要的作用。工业控制系统中的数据传输从最早的集成控制系统到现在的工业以太网，与传统数据网络的融合度越来越高，越来越多的现场设备与开放的互联网相连，使得系统面临的安全问题更加严峻，被攻击后造成的损失也更加严重。

为了解决这个问题，入侵检测被应用在工业控制系统的安全防护上。入侵检测作为成熟的安全防护手段，主要基于规则、统计和机器学习。随着机器学习算法的发展，入侵检测的精度不断提升，在样本量丰富的情况下，复杂的机器学习算法能表现出更强的检测能力。神经网络擅长处理复杂的机器学习问题，擅长挖掘特征之间的联系，这就使得通过神经网络模型来预测复杂工控数据变得可行。但是随着机器学习研究的深入，存在针对特定算法的对抗样本问题。对抗样本可以使检测算法产生错误的分类结果，给工业控制系统带来巨大的安全威胁。对此，本发明提出了一种基于循环神经网络的入侵检测方法和针对回归问题的一种对抗样本生成方法，并提出了针对对抗样本的防御手段。

发明内容

考虑到上述问题，本发明提出了免疫对抗样本的入侵检测方法，通过使用自编码器判断是否为正常样本，将正常样本送入基于循环神经网络的检测模型中进行检测，从而达到识别攻击的目的。由于上述检测模型仅使用正常的工业生产数据作为训练数据，具有易于采集，实用性较高的特性，并且循环神经网络可以做到一步预测，检测的实时性高。

本发明采用的技术方案为免疫对抗样本的工业控制系统入侵检测方法，实现该方法的系统包含数据采集模块、数据存储模块、自编码器检测模块、循环神经网络检测模块和报警模块，各个模块分工协作。

数据采集模块是对生产过程中的数据进行采集，使用SCADA系统进行采集，采集的数据不仅包括温度、压力等传感器数据，还包括执行数据。采集的数据分成两种，首先是为训练采集数据，这就需要采集正常生产过程下的数据，数据的种类多，同时采集的时间长，需要涵盖多个生产运行周期。其次是为识别攻击采集的数据，因此采集一个时刻的数据即可。数据采集模块同时承担着对数据标准化的工作，由于需要所有维度的数据同时输入神经网络中进行计算，因此需要将所有的数据映射到[0,1]附近，以防止对训练和预测产生影响。

数据存储模块是为了存储采集到的历史数据，为模型的训练提供训练数据，使用文件或者数据库的方式存储。存储的数据是二维结构，由数据采集模块提供数据，提供的是工业生产过程中的正常数据。存储模块应该保证存储的安全，不能丢失或篡改数据。

自编码器检测模块是为了识别正常样本，自编码器使用以sigmoid函数为激活函数的神经元作为基本单位，包含多层隐藏层。自编码器使用数据存储模块提供的正常样本进行训练，训练的输入和训练的目标都是t时刻的数据，并通过重建误差来进行结果的判断。因为自编码器使用正常样本进行训练，因此它本身不能直接判定对抗样本和入侵，只能识别是否为正常样本。自编码器是为了防御对抗样本，并且在本模块中对抗样本可以被识别，但是对于复杂的攻击如欺骗攻击，本模块无法进行有效的检测，因此需要送入到循环神经网络检测模块进行下一步的检测。