[发明专利]基于生成对抗网络的多点FDI攻击检测方法

说明书

一种生成对抗网络的工业信息物理系统多点FDI攻击检测方法，包括以下步骤：1)建立不同类型的FDI攻击模型；2)建立GAN模型；3)建立采用LSTM‑RNN为生成器和辨别器单元的LR‑GAN模型；4)基于LR‑GAN的多点FDI攻击检测算法设计；5)基于LR‑GAN的多点FDI攻击检测框架设计。本发明用新颖的生成对抗网络，能够在多链路、多设备存在FDI攻击的情况下，保证ICPS系统的正常运行并在检测到攻击的同事提升系统安全性能。另外设计一个新的多点FDI攻击检测算法，同时提出了一个基于LR‑GAN的FDI攻击检测框架。

技术领域

本发明涉及工业信息物理系统(Industrial Cyber-Physical System,ICPS)安全控制与运行领域，具体涉及一种基于生成对抗网络的多点虚假数据注入攻击(False DataInjection,FDI)检测方法，应用于ICPS中来解决针对多链路或多设备的FDI 攻击检测问题。

背景技术

随着ICPS开始在各种工业系统中得到应用，人们不必再去工业现场进行人为物理操作，而是利用ICPS的分布式远程控制特性，通过可编程逻辑控制器 (ProgrammableLogic Controller，PLC)和传感器等智能设备对系统进行控制和监视。对于由这些PLC和传感器组合起来的控制网络，工作人员可以使用监控和数据采集系统(Supervisory ControlAnd Data Acquisition，SCADA)并结合中央计算机进行操作。这种自动化智能操作得益于ICPS将物理过程与信息空间结合到一起，但这种连接也使得ICPS遭受不同类型信息物理攻击的风险大大增加。因此，设计一种有效的攻击检测方法来解决工业信息物理系统中存在的各种攻击问题迫在眉睫。

目前，针对ICPS的攻击威胁主要有FDI攻击、DoS攻击等,其中FDI攻击相比于其他攻击，危害更大且难以防范。FDI通常发生在大型流程工业以及电网系统这类需要大范围传输数据的ICPS系统，攻击者能够在掌握目标系统相关知识的情况下，利用欺骗，截取，篡改等手段向目标系统注入虚假数据，使其偏离稳定状态，甚至崩溃。电网、水处理系统、石油化工系统等基础设施的重要性加之 FDI攻击的隐蔽特性，使得对FDI攻击本身以及对其的检测成为热点研究问题。

近年来，在针对FDI的检测方面，研究主要集中与以下两个方向：

(1)基于网络流量分析：网络流量的波动通常表示ICPS的状态变化，这使得基于网络流量挖掘的攻击检测成为可能。传统的基于网络流量分析的FDI攻击检测系统通常提取IP地址和端口、流量持续时间、相邻包之间的平均时间间隔等信息，然后对这些信息进行数据挖掘，以识别系统的异常行为。常用的流量挖掘技术包括有监督聚类，神经网络，多分类支持向量机等。这些技术的目的是在网络流量和系统行为之间建立复杂的关系，进而将这些关系与当前网络流量数据一起用于判断目标系统的安全状态。

(2)基于过程数据分析：过程数据信息是ICPS攻击检测系统中需要考虑的重要因素，FDI攻击正是通过篡改进程信息来误导控制器做出错误的决策，并最终对系统造成致命的损害。现有研究将过程变量分为三类：常量、枚举和连续变量，然后为每个过程变量建立一个正常的行为模型。在系统运行过程中，一旦观测到的过程值由于虚假数据注入的影响而偏离其正常行为模型，系统就会产生报警。另有研究人员使用来自多个工业传感器的测量数据来表示系统状态，并提出了一种状态距离测量方法。可以通过检测当前状态和临界状态之间的接近程度来识别 FDI攻击。此外，有研究人员总结了基于残差分析的两类虚假数据入侵检测方法：序列检测和变化检测。前者的目标是尽快发现入侵，即确定IDS能够做出正常/ 异常判断的最短剩余序列。后者在未知时间点检测到可能的异常。

上述两种方法虽然对于常规的FDI攻击有较好的检测效果，但是对于高水平攻击者发动的多点FDI攻击，即在多链路或多设备上注入虚假数据，已有的检测方法无法奏效。

发明内容