[发明专利]攻击检测方法、系统、终端设备以及存储介质

说明书

本申请公开了一种攻击检测方法、系统、终端设备以及存储介质，其攻击检测方法包括：接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包，并基于所述预设信号参数及所述实时传感信号计算得到残差参数；基于所述残差参数及所述扰动参数，判断所述数据包是否遭受攻击篡改；若未遭受攻击篡改，则向所述回路探针发送相似检验指令，以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测，其中，所述实时控制信号与所述实时传感信号对应，并由所述回路探针转换获得。本申请解决了攻击检测漏报和误报问题，提高攻击检测的准确率。

技术领域

本申请涉及安全防护领域，尤其涉及一种攻击检测方法、系统、终端设备以及存储介质。

背景技术

工业控制系统是国家关键基础设施中的重要组成部分，但在工业控制系统的使用过程中，往往会受到攻击，导致国家工业受到巨大影响，经济受到损失。

现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主，在工况不变且工业过程控制系统中无强外部扰动的情况下，上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中，工况并非一成不变，这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外，工业过程控制系统中还普遍存在着外部扰动，上述基于卡尔曼滤波的攻击检测方法难以区分较大强度的外部扰动与实际的攻击，并且外部扰动也会遭受攻击。因此，扰动和工况变化使得现有攻击检测方法的漏报率和误报率较高，在工业过程控制系统攻击监测中的实际应用上受到限制。

因此，如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击漏报和误报，以在更大程度上满足工业控制系统的安全防护要求，是工业生产领域目前亟需解决的难题。

发明内容

本申请的主要目的在于提供一种攻击检测方法、系统、终端设备以及存储介质，旨在解决攻击检测漏报和误报问题，提高攻击检测的准确率。

为实现上述目的，本申请提供一种攻击检测方法，所述攻击检测方法应用于控制器，所述控制器与回路探针交互，所述攻击检测方法包括：

接收所述回路探针发送的包含扰动参数、预设信号参数及实时传感信号的数据包，并基于所述预设信号参数及所述实时传感信号计算得到残差参数；

基于所述残差参数及所述扰动参数，判断所述数据包是否遭受攻击篡改；

若未遭受攻击篡改，则向所述回路探针发送相似检验指令，以供所述回路探针基于所述实时传感信号对实时控制信号进行攻击检测，其中，所述实时控制信号与所述实时传感信号对应，并由所述回路探针转换获得。

可选地，所述基于所述残差参数及所述扰动参数，判断所述数据包是否遭受攻击篡改的步骤包括：

若所述残差参数与所述扰动参数相等，则表明所述数据包未遭受攻击篡改；

若所述残差参数与所述扰动参数的差值超出预设阈值，则表明所述数据包遭受攻击篡改。

可选地，所述基于所述残差参数及所述扰动参数，判断所述数据包是否遭受攻击篡改之后的步骤包括：

若遭受攻击篡改，则触发第一攻击报警信息。

本申请实施例还提供一种攻击检测方法，所述攻击检测方法应用于回路探针，所述回路探针与控制器交互，所述攻击检测方法包括以下步骤：

获取预先处理的实时传感信号及对应的实时控制信号；

计算所述实时传感信号与预设信号参数，得到扰动参数；

向所述控制器发送包含所述扰动参数、所述预设信号参数及所述实时传感信号的数据包，以供所述控制器基于所述预设信号参数及所述实时传感信号计算得到残差参数，并基于所述残差参数及所述扰动参数，判断所述数据包是否遭受攻击篡改；