[发明专利]一种基于工控设备信号的攻击检测方法及系统

说明书

本发明公开了一种基于工控设备信号的攻击检测方法及系统，本发明的方法包括：获取工控设备信号建立攻击预测模型；对攻击预测模型的参数进行训练和优化，从而获得攻击检测模型；利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值；将信号预测值与信号实测值进行比较，从而判断工业控制系统是否遭受攻击。本发明只需要对工控设备信号进行检测，对得到的信号数据进行建模，通过模型得到信号预测值，将其与信号实测值进行比对，即可判定系统是否异常(遭受攻击)。本发明简单，易于实现，不仅保障了核反应堆工控系统的实时性、安全性等要求，而且能够很方便的在其他工控系统使用，提高了扩展性。

技术领域

本发明涉及工业控制系统检测技术领域，具体涉及一种基于工控设备信号的攻击检测方法及系统。

背景技术

目前，越来越多的工业控制系统内部网络需要和外部网络互连，使工业控制系统暴露于公共网络之中，面临更多的攻击。为了保证工业控制系统的安全性，网络安全技术被越来越多地应用。入侵检测系统和流量分析技术是目前应用最广泛的信息网络攻击检测方法之一，通过监视和分析网络流量以检测出带有异常行为的数据分组和用户。

但是，传统的攻击检测技术并不能直接应用到工业控制系统中，因为工业控制系统，特别是应用于核反应堆的工控系统非常注重实时性和可靠性，如果将攻击检测模块直接集成到工控设备之中，由于执行攻击检测可能会影响到工控设备操作的实时性，对实时任务产生很大的干扰；此外，由于工控设备的特殊性，一些设备可能不能够集成攻击检测模块，造成了系统的不可扩展性。

发明内容

为了解决现有信息网络攻击检测技术无法应用到工控系统中或应有存在局限的技术问题，本发明提供了一种基于工控设备信号的攻击检测方法，该方法只需要对工控设备信号进行检测，对得到的信号数据进行建模；不仅保障了工控系统的实时性要求，而且能够很方便的在其它工控系统使用，提高了扩展性。

本发明通过下述技术方案实现：

一种基于工控设备信号的攻击检测方法，该方法包括以下步骤：

步骤一、获取工控设备信号建立攻击预测模型；

步骤二、对攻击预测模型的参数进行训练和优化，从而获得攻击检测模型；

步骤三、利用攻击检测模型根据当前时刻检测出的信号矢量得到工况设备信号预测值；将信号预测值与信号实测值进行比较，从而判断工业控制系统是否遭受攻击。

本发明的工作原理为：工业控制系统底层架构通常是本地控制器和外围硬件设备组成，本地控制器通常是控制各种传感器和外设执行特定的任务；因此，本发明根据控制器的状态信号和硬件设备返回给控制器的测量信号建立攻击检测模型，比较信号的测量值与预测值，从而判断是否异常。

优选的，本发明的步骤一获取的工控设备信号包括但不限于工业控制器发送到硬件设备的控制信号、工业控制器接收传感器返回的测量值信号以及控制器状态信号。

优选的，本发明的步骤一建立的攻击预测模型包括：

s(k+1)＝A*s(k)+B*d(k)+M*u(k)

v(k)＝C*s(k)+L*u(k)

其中，u＝[u₁，u₂，...u_n]^T，v＝[v₁，v₂，...v_n]^T，u_i表示控制器发送到硬件设备的控制信号，用v_i表示控制器接收传感器返回的测量值信号，u和v表示信号矢量，k表示某个时刻，s(k)表示k时刻控制器状态信号矢量，v(k)表示k时刻控制器接收传感器返回的测量值信号矢量；u(k)表示k时刻控制器发送的控制信号矢量；d(k)为确定性噪声矢量；A，B，C，M，L为参数。