CN106502234B - 基于双轮廓模型的工业控制***异常检测方法 - Google Patents

基于双轮廓模型的工业控制***异常检测方法 Download PDF

Info

Publication number
CN106502234B
CN106502234B CN201610905449.1A CN201610905449A CN106502234B CN 106502234 B CN106502234 B CN 106502234B CN 201610905449 A CN201610905449 A CN 201610905449A CN 106502234 B CN106502234 B CN 106502234B
Authority
CN
China
Prior art keywords
value
plc
time
data packet
register value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610905449.1A
Other languages
English (en)
Other versions
CN106502234A (zh
Inventor
王浩
廖杰
王平
李勇
胡润
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing Ruanjiang Turing Artificial Intelligence Technology Co ltd
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN201610905449.1A priority Critical patent/CN106502234B/zh
Publication of CN106502234A publication Critical patent/CN106502234A/zh
Application granted granted Critical
Publication of CN106502234B publication Critical patent/CN106502234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0208Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterized by the configuration of the monitoring system
    • G05B23/0213Modular or universal configuration of the monitoring system, e.g. monitoring system having modules that may be combined to build monitoring program; monitoring system that can be applied to legacy systems; adaptable monitoring system; using different communication protocols
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24065Real time diagnostics

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明涉及一种基于双轮廓模型的工业控制***异常检测方法,涉及的工业控制网络设备包括:安全网关、可编程逻辑控制器、现场传感器设备和安全管理平台、工程师站;该方法包括以下步骤:S1:工程师站对***组态、运行,各区域所在PLC对其IO模块所接的受控设备进行鉴别,匹配受控设备信息列表,形成主、从站的周期性通信方式;S2:PLC将数据信息实时反馈给安全网关,安全网关的数据包深度解析***提取数据特征,去除多余的属性特征,只留下关于***行为模式相关的特征,包括基于通信频率的协议特征、数据包传递方向特征以及寄存器值变化规律;S3:异常检测子***进行异常检测并对异常结果向安全管理平台发出警报。

Description

基于双轮廓模型的工业控制***异常检测方法
技术领域
本发明属于工业控制***技术领域,涉及一种基于双轮廓模型的工业控制***异常检测方法。
背景技术
由于工业控制***广泛采用通用软硬件和网络设施,以及与企业管理信息***的集成,导致工业控制***越来越开放,并且与企业内网,甚至是与互联网产生了数据交换。也就是说以前工业控制***在物理环境上的相对封闭性以及工业控制***软、硬件的专用性将会被打破,通过互联网或企业内网将有可能获取相关工业控制***较为详细的信息,再加上运营工业控制***的企业安全意识普遍较差,这样就给敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等创造了可乘之机。
在ICS(工业控制***)中存在以下缺点:1)在ICS中由于设备商众多,缺乏统一的***硬件、操作软件和应用软件、协议规范标准,导致在ICS组态时存在自身的脆弱性。2)该***中应用广泛的Modbus TCP协议缺乏认证、授权机制,数据为明文传输,只可能通过网络中的安全网关对现场设备层的采集到的数据进行安全防护,而传统的安全防护方法主要是基于协议数据包格式匹配的过滤技术,这种规则配置方法很难拦截众多恶意攻击者的攻击,如构造符合协议规范数据包进行攻击。3)在现场设备层中设备寄存器值易被攻击者篡改,而数据包格式依然符合协议规范,该攻击不易被察觉,使企业管理层做出错误决策。
发明内容
有鉴于此,本发明的目的在于提供一种基于双轮廓模型的工业控制***异常检测方法,该方法能够解决现场设备层中对未知攻击和设备异常类别识别存在的不足。
为达到上述目的,本发明提供如下技术方案:
一种基于双轮廓模型的工业控制***异常检测方法,在该异常检测过程中涉及的工业控制网络设备包括:安全网关、可编程逻辑控制器、现场传感器设备和安全管理平台、工程师站;所述安全网关包括异常检测子***和数据包深度解析***,该方法具体包括以下步骤:
S1:工程师站对***组态、运行,各区域所在PLC对其IO模块所接的受控设备进行鉴别,匹配受控设备信息列表,形成主、从站的周期性通信方式;
S2:PLC将数据信息实时反馈给安全网关,安全网关的数据包深度解析***提取数据特征,去除多余的属性特征,只留下关于***行为模式相关的特征,包括基于通信频率的协议特征、数据包传递方向特征以及寄存器值变化规律;
S3:异常检测子***根据数据包深度解析***所提取的特征向量,根据分类器进行测量和统计,进行异常检测,并对异常结果向安全管理平台发出警报。
进一步,在步骤S2中,数据包深度解析***针对Modbus TCP协议的报文格式规定数据包中应该存在的特征字段以及这些字段的期望值,逐层对报文进行深度解析,归纳协议的指令和状态特征;
对于数据包协议特征集,通过建立一个的主、从站通信的滑动时间窗口,由周期性时间窗口对重要特征进行频率标记,对数据包进行周期性采集与特征提取,建立特征向量;
根据在Modbus TCP协议的ICS中,现场设备层主站、从站之间的通信存在高度的周期性特点以及对从站设备的周期性读写操作,得出包到达时间间隔规律、事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率、数据包的传递方向,从而基于通信频率对每一类有规律的特征值构造出特征向量X=(x1,x2,x3…xn)。
进一步,所述包到达时间间隔规律是指PLC对受控设备所发出的相同指令的时间间隔保持一致;所述事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率指的是,通过Modbus TCP协议特征和周期性的规律分析,得出数据包各个字段的特征频率;所述数据包的方向是指PLC与底层受控设备数据交互时,依据数据包的源地址、目的地址生成数据包的传递方向。
进一步,在步骤S3中,当使用分类算法检测Modbus TCP协议的向量特征时,先用k-means聚类算法对协议特征向量预处理:随机选择k个对象,作为初始化聚类簇,计算各个聚类簇中数据的均值,通过使用标准准则函数,判断聚类簇中心是否稳定,该标准准则函数定义为:
其中,xk表示聚类簇中的某一个点,ci表示某个聚类的均值;这样既缩短了分类时间,又提高分类准确度,满足ICS的实时性要求,一旦检测出异常情况立即产生警报通知安全管理平台。
进一步,在步骤S3中,通过分析可编程逻辑控制器与现场传感器设备之间传感器寄存器值,主控PLC计数寄存器值的规律性变化,生成时间与寄存器值的关系映射表,分析巨涌攻击特点是攻击者在t时刻篡改正常值使其突然增大,对照寄存器值关系映射表,设定寄存器阈值β为正常情况下输出值的2倍,发现实时检测值θ一旦超过阈值β,立即向安全管理平台发出警报;只有当实时的寄存器值没有超过阈值β时,利用TCM-KNN算法分类器类进行判别,这样比仅仅运用算法分类器的检测方法更具有实时性;
考虑到寄存器值可能被攻击者以每次数值的增量很小的数据篡改,***难以察觉的特点,并且在ICS中一个完整的周期性运行,在每一个周期的相同时间点上寄存器值是相同的或差别极小,依此规律,利用TCM-KNN算法分类器来检测每个对应时间点上实际寄存器值与映射表寄存器值的偏差,来实时监测寄存器值是否正常;寄存器值一旦遭到篡改,安全网关立即将异常情况报告给安全管理平台,记录异常情况所在区域以及该区域PLC编号,向该PLC发送控制指令。
进一步,所述TCM-KNN算法是将经典的分类算法K-近邻与直推信度机(transductive confidence machines,TCM)相结合,以距离计算的方法(样本之间特征向量欧式距离)根据已分类的ICS寄存器数据集对待测数据进行分类;
为了量化实时寄存器值与映射表中寄存器值的差异程度,定义的奇异值来表示:
TCM中采用的置信度机制是基于随机性检测的,对置信度的估算采用随机性检测函数来进行,定义P值为检测函数的值实时寄存器值i相对于同类别y的P值:
在待分类样本集中每个样本对应每类都有一个P值,P值可以计算为一次处理一个样本,P值的取值范围为[0,1],P值越大表明i归属于y的可能性越大。
本发明的有益效果在于:
1、采用异常检测的双轮廓模型的思想,不断对异常样本的增加与学习,以及双轮廓检测模型的协同判别检测,从而提高了异常检测的准确率及其泛化能力。
2、该双轮廓模型的思想,不仅在数据采集区域针对寄存器值异常情况进行检测,而且控制层网络的数据传输过程提出了协议特征的检测算法。
3、通过分析主、从站通信的高度周期性和协议特征规律,建立周期性滑动时间窗口,对可代表ICS的重要特征元素进行标记,构造出数据元素丰富并具有代表性的特征向量。
c4、对于PLC寄存器值绘制关于时间的映射表,根据映射表规律设定阈值β,首先通过判别实时寄存器值是否大于阈值β,一旦发生异常就产生报警响应,否则,再对实时寄存器值进行TCM-KNN分类器监测,这样分情况的检测有利于提高ICS的实时性。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为基于Modbus TCP的ICS的异常检测***结构图;
图2为Modbus TCP报文结构图;
图3为PLC控制***实例;
图4为寄存器值检测数据获取流程图;
图5为基于聚类的SVM异常行为检测模型;
图6为寄存器值异常检测算法流程图。
具体实施方式
下面将结合附图,对本发明的优选实施例进行详细的描述。
本发明针对工业控制***中Modbus TCP协议特征,构造基于通信行为频率的特征向量,建立了基于异常行为的聚类算法优化SVM的检测模型。根据主控PLC传感器寄存器值、计数寄存器值的高度周期性规律,ICS中控制寄存器模型预计输出值与寄存器实际值的出入,建立了基于异常行为的TCM-KNN检测模型,从而建立双轮廓模型的异常检测***。
如图1所示,在该异常检测方法中涉及到的主要工控设备有:安全网关、主控PLC、受控设备、安全管理平台、工程师站,各自扮演的角色为:
1.安全网关:包括数据包深度解析***与异常检测子***,数据包深度解析***对Modbus TCP数据包的深度解析与特征提取,异常检测子***是底层网络与安全管理平台交互数据的检测与报警。其Modbus TCP协议特征如图2所示。
2.主控PLC:在ICS中,按照监控计划,PLC被用做本地控制器。PLC拥有一个用户可编程的存储器,用于存储指令以实现特定功能,如I/O控制、逻辑、定时、计数、三种模式的比例-积分-微分(PID)控制、通信、算术以及数据和文件处理。PLC可通过位于工程师工作站的编程接口访问。如图3所示。
3.受控设备:包括液位计、压力计、温湿度传感器、执行器等,负责工业生产过程中物理量的采集,并将采集信息经PLC上传至安全网关进行异常检测,同时,受控设备接受PLC的控制指令,完成指令动作,使工业生产过程有序进行。
4.安全管理平台:负责对安全网关安全机制的配置以及异常报警的处理。
5.工程师站:提供工业过程控制的工程师使用,对计算机***进行组态、编程、修改等的工作站。
本方案主要针对基于Modbus TCP协议的ICS,先由工程师站对***组态、运行,各区域所在PLC对其IO模块所接的受控设备进行鉴别,匹配受控设备信息列表,形成主、从站的周期性通信方式。
PLC将数据信息实时反馈给安全网关,网关的数据包深度解析***提取数据特征,去除多余的属性特征,只留下关于***行为模式相关的特征,包括基于通信频率的协议特征、数据包传递方向特征以及寄存器值变化规律。
然后,入侵检测子***的数据分析模块进行异常检测,并对异常结果向安全管理平台发出警报。
入侵检测子***是根据数据包深度解析***所提取的特征向量,根据分类器进行测量和统计。
对于协议特征的数据向量,由于ICS主从站通信的高度周期性,并分析Modbus TCP的协议特征,得出数据包交互时间间隔规律,事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率以及数据包传递方向等特征元素,构造出特征元素丰富的向量X=(x1,x2,x3,…,xn),建立k-means聚类算法优化SVM的异常检测模型。最后得到ICS实时数据包构造决策函数:
对于PLC传感器寄存器值、计数寄存器值绘制周期性的时间—寄存器值关系映射表,得到***运行对应寄存器值的规律。并根据此映射表分别设定各个寄存器值的阈值β,当检测到其实际值大于等于阈值β时,立即向安全管理平台发出异常警报。当寄存器实际值小于阈值β时,采用TCM-KNN算法对寄存器值进行实时检测,以防止篡改数值的增量很小异常情况。
在该工控***中,一方面,根据ICS的Modbus TCP协议特征与***运行的高度周期性,由数据包深度解析***得到协议特征向量,运用基于聚类的SVM算法建立了基于行为模式的异常检测***,同时,基于行为模式的异常检测***极大提高了异常情况的识别能力,另一方面,现场设备层PLC中传感器寄存器值、计数寄存器值的变化规律,生成寄存器值关于时间的映射表,构造了TCM-KNN异常检测模型,分析ICS正常运行寄存器值与实时寄存器值的偏差,来实现寄存器值异常的检测。因此,从ICS中的Modbus TCP协议特征和寄存器值变化规律两个不同类别的角度出发,构造出了双轮廓模型的异常检测***,实现不符合主从站操作规律意图、寄存器值篡改等异常情况,同时通过两者的协同检测与判定,极大提高了***异常检测率以及扩大了异常情况检测类别。
具体实施例:
基于双轮廓模型的ICS异常检测方法,主要涉及到以下3个模块:数据包深度解析***、异常检测子***、安全管理平台。
数据包深度解析***是逐层对报文进行深度解析,关于Modbus应用协议报文头,它包含了传输标识、协议标识、长度和单元标识等,以及标记功能码周期性特点,归纳各协议的指令和状态特征,并根据主从站通信周期记录通信行为频率。
异常检测子***根据来自数据包深度解析***的信息,实时数据分析,对于Modbus TCP协议构造事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率的特征向量,建立k-means聚类算法优化SVM的异常检测模型,对于寄存器值提取其关于时间的映射关系表,先通过设定的阈值β判断是否存在异常情况,如果实际值小于阈值,再通过TCM-KNN算法分类器模型进行异常检测,并将判断结果实时报告给安全管理平台。
安全管理平台主要负责管理及监视现场设备层到过程监控层整个网络的运行。
对于ICS中基于Modbua TCP协议特征的异常检测的主要方法是,从报文结构的层面分析,Modbus/TCP报文包含了Modbus应用协议报文头(MBAP,Modbus ApplicationProtocol)和协议数据单元(PDU,Protocol Data Unit)两大部分,对于Modbus应用协议报文头,它包含了传输标识(Transaction ID)、协议标识(Protocol ID)、长度(Length)和单元标识(Unit ID)。对于Modbus TCP通信常用的功能码,比如,读线圈功能码01、读输入离散量02、写单个线圈05、写多个线圈15、读输入寄存器04、写单个寄存器06等,该协议中对主、从站的通信存在高度周期性。因此,构造数据包时间间隔、事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率、数据包传递方向的特征向量,建立k-means聚类的SVM异常检测模型。
在ICS正常运行情况下,由安全网关获取训练样本,采用k-means和SVM相结合的分类方法进行异常检测,先用k-means聚类算法将特征向量大致聚为k类,然后再对已经聚好的k类用支持向量机进行细分,这样分类既缩短时间,又提高分类准确度。其具体算法流程如图5所示。
首先将样本数据X1,X2,X3,…,Xn作为输入样本,通过k-means聚类算法产生k个类别。然后,将聚类产生的数据作为输入构造SVM分类器,对ICS进行实时异常检测。
设定训练参数惩罚因子为c,径向基核函数K(xi,x),针对聚类算法的结果,构造分类超平面为w·xi+b=0,完成数据分类:
w·xi+b≥1→yi=+1 (1)
w·xi+b≤1→yi=-1 (2)
SVM线性分类问题化为二次回归问题:
其中:yi(w·xi+b)-1+ξi≥0,ξi≥0,i=1,2,…n,c>0为惩罚因子,ξi为松弛变量。然后引入拉格朗日因子α=[α12…αn],构造对偶支持向量机
针对未知的实时检测数据构造决策函数
当使用SVM分类Modbus TCP协议的向量特征时,先用k-means聚类算法对协议特征向量预处理,然后再对已经聚好的k类用支持向量机进行细分,随机选择k个对象,作为初始化聚类簇,计算各个聚类簇中数据的均值,通过使用标准准则函数,判断聚类簇中心是否稳定,该标准准则函数可定义为:
其中,xk表示聚类簇中的某一个点,ci表示某个聚类的均值。
对于ICS中主控PLC传感器寄存器值、计数寄存器值关于时间呈现周期性变化的规律,寄存器值检测数据获取流程如图4所示,通过***多个周期下的正常运行,绘制出寄存器值关于时间的映射表,分析寄存器值变化设定寄存器阈值β,首先通过判别实时寄存器值是否大于阈值β,一旦发生异常就产生报警响应,否则,再对实时寄存器值进行TCM-KNN分类器监测,其检测方法如下:
TCM-KNN算法就是依照已分类的样本类别对待测样本进行分类,此异常检测模型如图6所示,为了量化待测样本与现有样本的差异程度,因此,定义的奇异值来表示:
其中,表示样本i同类别y中所有样本的距离,即距离序列,表示序列中第j个最小距离,代表样本i与除类别y外的其他类别中所有样本的距离序列,代表序列中第j个最短距离,k表示选取的最近邻数目。同类别的样本由于具有相似性,它们的特征向量在特征空间上的分布具有聚集性,样本之间的距离比较小,不同类别的样本存在差异性则相反。
TCM中采用的置信度机制是基于随机性检测的,对置信度的估算采用随机性检测函数来进行,定义P值为检测函数的值。
定义了待测样本i相对于类别y的P值:
其中,#是集合的“势”,表示有限集合的元素个数;αi表示i的奇异值;αj是集合中任意样本的奇异值;j是类别y中奇异值大于i的奇异值的样本个数;n是集合的元素个数;P值是待分类样本属于已存在的几类样本空间的概率。在待分类样本集中每个样本对应每类都有一个P值,P值可以计算为一次处理一个样本,P值的取值范围为[0,1],P值越大表明i归属于y的可能性越大。
在位于PLC上层的安全网关上设备中运行基于TCM-KNN算法的异常检测机制,根据寄存器值关于时间的周期性映射表,构造寄存器值正常样本集X'。
根据式(8)计算出正常样本集X'中相对于某特征f的奇异值αx
由安全网关采集到的实时数据作为待检测样本Y,由式(8)计算出待测样本Y相对于正常样本的奇异值αy
从而依据式(9)得出样本Y的P值P(αy)。通常设定出P(αi)的阈值τ为0.95,当待检测样本P(αy)≥τ时,判定为正常寄存器值,当P(αy)<τ时,判定为异常寄存器值,并向安全管理平台发送警报响应。
因此,对于ICS的高度周期性特点,根据ICS协议特征提取以及主控PLC中传感器寄存器值、计数寄存器值的变化规律,分别运用基于k-means聚类算法的SVM和TCM-KNN算法分类器构造异常检测模型,从而构造出双轮廓异常检测模型,从协议特征和寄存器值规律性变化两个角度出发,由双轮廓异常检测模型协同检测判别,极大提高了异常检测率及异常情况类别。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其做出各种各样的改变,而不偏离本发明权利要求书所限定的范围。

Claims (6)

1.一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:根据ICS协议特征提取以及PLC中传感器寄存器值和计数寄存器值的变化规律,分别运用基于k-means聚类算法的SVM和TCM-KNN算法分类器构造异常检测模型,从而构造出双轮廓异常检测模型;在该异常检测过程中涉及的工业控制网络设备包括:安全网关、PLC、现场传感器设备和安全管理平台、工程师站;所述安全网关包括异常检测子***和数据包深度解析***;
该方法具体包括以下步骤:
S1:工程师站对***组态与运行、各区域所在PLC对其IO模块所接的受控设备进行鉴别,匹配受控设备信息列表,形成主、从站的周期性通信方式;
S2:PLC将数据信息实时反馈给安全网关,安全网关的数据包深度解析***提取数据特征,去除多余的属性特征,只留下关于***行为模式相关的特征,包括基于通信频率的协议特征、数据包传递方向特征以及寄存器值变化规律;
S3:异常检测子***根据数据包深度解析***所提取的特征向量X,根据分类器进行测量和统计,进行异常检测,并对异常结果向安全管理平台发出警报。
2.根据权利要求1所述的一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:在步骤S2中,数据包深度解析***针对Modbus TCP协议的报文格式规定数据包中应该存在的特征字段以及这些字段的期望值,逐层对报文进行深度解析,归纳协议的指令和状态特征;
对于数据包协议特征集,通过建立一个的主、从站通信的滑动时间窗口,由周期性时间窗口对重要特征进行频率标记,对数据包进行周期性采集与特征提取,建立特征向量X;
根据在Modbus TCP协议的ICS中,现场设备层主站、从站之间的通信存在高度的周期性特点以及对从站设备的周期性读写操作,得出包到达时间间隔规律、事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率、数据包的传递方向,从而基于通信频率对每一类有规律的特征值构造出特征向量X=(x1,x2,x3,…,xn)。
3.根据权利要求2所述的一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:所述包到达时间间隔规律是指PLC对受控设备所发出的相同指令的时间间隔保持一致;所述事务处理标识符频率、读从站功能码频率、写从站功能码频率、从站通信地址频率指的是,通过Modbus TCP协议特征和周期性的规律分析,得出数据包各个字段的特征频率;所述数据包的方向是指PLC与受控设备数据交互时,依据数据包的源地址、目的地址生成数据包的传递方向。
4.根据权利要求3所述的一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:在步骤S3中,当使用分类算法检测Modbus TCP协议的向量特征时,先用k-means聚类算法对协议特征向量预处理:随机选择k个对象,作为初始化聚类簇,计算各个聚类簇中数据的均值,通过使用标准准则函数,判断聚类簇中心是否稳定,该标准准则函数定义为:
其中,xk表示聚类簇k个点中的其中一个点,ci表示聚类簇中第i个聚类的均值;这样既缩短了分类时间,又提高分类准确度,满足ICS的实时性要求,一旦检测出异常情况立即产生警报通知安全管理平台。
5.根据权利要求4所述的一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:在步骤S3中,通过分析PLC与现场传感器设备之间传感器寄存器值,PLC计数寄存器值的规律性变化,生成时间与寄存器值的关系映射表,分析巨涌攻击特点,即攻击者在t时刻篡改正常值使其突然增大,对照寄存器值关系映射表,设定寄存器阈值β为正常情况下输出值的2倍,发现实时检测值θ一旦超过阈值β,立即向安全管理平台发出警报;只有当实时的寄存器值没有超过阈值β时,利用TCM-KNN算法分类器类进行判别,这样比仅仅运用算法分类器的检测方法更具有实时性;
利用TCM-KNN算法分类器来检测每个对应时间点上实时的寄存器值与映射表寄存器值的偏差,来实时监测寄存器值是否正常;寄存器值一旦遭到篡改,安全网关立即将异常情况报告给安全管理平台,记录异常情况所在区域以及该区域PLC编号,向该PLC发送控制指令。
6.根据权利要求5所述的一种基于双轮廓模型的工业控制***异常检测方法,其特征在于:所述TCM-KNN算法是将经典的分类算法K-近邻与直推信度机相结合,以距离计算的方法,即样本之间特征向量欧式距离,根据已分类的ICS的寄存器数据集对待测数据进行分类;
为了量化实时寄存器值与映射表中寄存器值的差异程度,定义的奇异值来表示:
其中,表示样本i同类别y中所有样本的距离,即距离序列,表示序列中第j个最小距离,代表样本i与除类别y外的其他类别中所有样本的距离序列,代表序列中第j个最短距离,k表示选取的最近邻数目;
TCM中采用的置信度机制是基于随机性检测的,对置信度的估算采用随机性检测函数来进行,定义实时寄存器值相对于同类别y的检测函数的值,即P值为:
其中,#是集合的“势”,表示有限集合的元素个数;αi表示i的奇异值;αj是集合中任意样本的奇异值;j是类别y中奇异值大于i的奇异值的样本个数;n是集合的元素个数;P值是待分类样本属于已存在的几类样本空间的概率;
在待分类样本集中每个样本对应每类都有一个P值,P值计算为一次处理一个样本,P值的取值范围为[0,1],P值越大表明i归属于y的可能性越大。
CN201610905449.1A 2016-10-17 2016-10-17 基于双轮廓模型的工业控制***异常检测方法 Active CN106502234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610905449.1A CN106502234B (zh) 2016-10-17 2016-10-17 基于双轮廓模型的工业控制***异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610905449.1A CN106502234B (zh) 2016-10-17 2016-10-17 基于双轮廓模型的工业控制***异常检测方法

Publications (2)

Publication Number Publication Date
CN106502234A CN106502234A (zh) 2017-03-15
CN106502234B true CN106502234B (zh) 2018-11-23

Family

ID=58293754

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610905449.1A Active CN106502234B (zh) 2016-10-17 2016-10-17 基于双轮廓模型的工业控制***异常检测方法

Country Status (1)

Country Link
CN (1) CN106502234B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4000232A4 (en) * 2019-07-15 2023-04-12 ICS Security (2014) Ltd. SYSTEM AND METHOD OF PROTECTING AN ICS NETWORK THROUGH AN HMI SERVER IN IT

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107423435B (zh) * 2017-08-04 2020-05-12 电子科技大学 多维时空数据的多层次异常检测方法
CN107703901B (zh) * 2017-11-21 2023-12-19 丹东华通测控有限公司 一种旁路工控信息安全工业控制***
CN112074834A (zh) * 2018-05-03 2020-12-11 西门子股份公司 用于运营技术***的分析装置、方法、***和存储介质
WO2020013958A1 (en) * 2018-07-10 2020-01-16 Siemens Aktiengesellschaft Hybrid unsupervised machine learning framework for industrial control system intrusion detection
CN109443421A (zh) * 2018-09-13 2019-03-08 东南大学 一种NB-IoT无线温湿度传感器
CN111385252B (zh) * 2018-12-28 2023-10-24 诺佐米网络有限公司 用于检测基础设施的异常的方法和装置
CN111435234A (zh) * 2019-01-15 2020-07-21 上海多维明软信息技术有限公司 一种智能网关控制***及方法
CN109981583B (zh) * 2019-02-26 2021-09-24 重庆邮电大学 一种工控网络态势评估方法
CN110086810B (zh) * 2019-04-29 2020-08-18 西安交通大学 基于特征行为分析的被动式工控设备指纹识别方法及装置
CN110099058B (zh) * 2019-05-06 2021-08-13 江苏亨通工控安全研究院有限公司 Modbus报文检测方法、装置、电子设备及存储介质
CN110266680B (zh) * 2019-06-17 2021-08-24 辽宁大学 一种基于双重相似性度量的工业通信异常检测方法
CN110324323B (zh) * 2019-06-19 2024-01-19 全球能源互联网研究院有限公司 一种新能源厂站涉网端实时交互过程异常检测方法及***
CN110320890B (zh) * 2019-07-08 2021-08-03 北京科技大学 一种针对plc控制***的入侵检测***
CN110442837B (zh) * 2019-07-29 2023-04-07 北京威努特技术有限公司 复杂周期模型的生成方法、装置及其检测方法、装置
CN110456765B (zh) * 2019-07-29 2020-12-25 北京威努特技术有限公司 工控指令的时序模型生成方法、装置及其检测方法、装置
CN111586057B (zh) * 2020-05-09 2022-08-16 杭州安恒信息技术股份有限公司 transaction级别的Modbus协议工控异常行为检测方法、***
CN111800312B (zh) * 2020-06-23 2021-08-24 中国核动力研究设计院 一种基于报文内容分析的工控***异常检测方法及***
CN114089712B (zh) * 2020-08-07 2024-04-05 北京京东乾石科技有限公司 一种数据处理方法和装置
CN112990274A (zh) * 2021-02-20 2021-06-18 国网山东省电力公司电力科学研究院 一种基于大数据的风电场异常数据自动辨识方法
CN113516162A (zh) * 2021-04-26 2021-10-19 湖南大学 一种基于OCSVM和K-means算法的工控***流量异常检测方法与***
CN113341864A (zh) * 2021-06-07 2021-09-03 重庆高新技术产业研究院有限责任公司 一种基于plc的控制相似性可逆向逻辑***及其分析方法
CN114615304B (zh) 2022-04-18 2022-07-22 成都秦川物联网科技股份有限公司 前分平台式工业物联网控制方法及***
CN114723334B (zh) * 2022-05-12 2022-09-20 张家港长三角生物安全研究中心 一种生物制品的生产预警方法及***
CN114944957B (zh) * 2022-06-06 2023-01-24 山东云天安全技术有限公司 一种异常数据检测方法、装置、计算机设备及存储介质
CN115190191B (zh) * 2022-09-13 2022-11-29 中电运行(北京)信息技术有限公司 基于协议解析的电网工业控制***及控制方法
CN115412376B (zh) * 2022-11-02 2023-02-14 北京网藤科技有限公司 基于智能特征匹配的攻击模式验证方法和***
CN117792831A (zh) * 2024-02-27 2024-03-29 天津大学四川创新研究院 一种多协议Modbus网关控制***与方法
CN117834389B (zh) * 2024-03-04 2024-05-03 中国西安卫星测控中心 一种基于异常通信业务特征元矩阵的故障分析方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680753B2 (en) * 2002-07-10 2010-03-16 Satyam Computer Services Limited System and method for fault identification in an electronic system based on context-based alarm analysis
CN103404082A (zh) * 2011-03-15 2013-11-20 欧姆龙株式会社 连接异常检测方法、网络***和主装置
CN103731433A (zh) * 2014-01-14 2014-04-16 上海交通大学 一种物联网攻击检测***和攻击检测方法
CN104883278A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种利用机器学习对网络设备进行分类的方法
CN105306463A (zh) * 2015-10-13 2016-02-03 电子科技大学 基于支持向量机的Modbus TCP入侵检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013055807A1 (en) * 2011-10-10 2013-04-18 Global Dataguard, Inc Detecting emergent behavior in communications networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7680753B2 (en) * 2002-07-10 2010-03-16 Satyam Computer Services Limited System and method for fault identification in an electronic system based on context-based alarm analysis
CN103404082A (zh) * 2011-03-15 2013-11-20 欧姆龙株式会社 连接异常检测方法、网络***和主装置
CN103731433A (zh) * 2014-01-14 2014-04-16 上海交通大学 一种物联网攻击检测***和攻击检测方法
CN104883278A (zh) * 2014-09-28 2015-09-02 北京匡恩网络科技有限责任公司 一种利用机器学习对网络设备进行分类的方法
CN105306463A (zh) * 2015-10-13 2016-02-03 电子科技大学 基于支持向量机的Modbus TCP入侵检测方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4000232A4 (en) * 2019-07-15 2023-04-12 ICS Security (2014) Ltd. SYSTEM AND METHOD OF PROTECTING AN ICS NETWORK THROUGH AN HMI SERVER IN IT

Also Published As

Publication number Publication date
CN106502234A (zh) 2017-03-15

Similar Documents

Publication Publication Date Title
CN106502234B (zh) 基于双轮廓模型的工业控制***异常检测方法
US11843628B2 (en) Cyber security appliance for an operational technology network
CN111262722B (zh) 一种用于工业控制***网络的安全监测方法
Perez et al. Machine learning for reliable network attack detection in SCADA systems
Zhou et al. Design and analysis of multimodel-based anomaly intrusion detection systems in industrial process automation
CN109981583B (zh) 一种工控网络态势评估方法
CN106789885A (zh) 一种大数据环境下用户异常行为检测分析方法
Fang et al. A practical model based on anomaly detection for protecting medical IoT control services against external attacks
EP4022405B1 (en) Systems and methods for enhancing data provenance by logging kernel-level events
Perez et al. Forget the myth of the air gap: Machine learning for reliable intrusion detection in SCADA systems
Zhang et al. Intrusion detection in SCADA systems by traffic periodicity and telemetry analysis
Colbert et al. Intrusion detection in industrial control systems
US11392115B2 (en) Zero-trust architecture for industrial automation
Wu et al. Factor-analysis based anomaly detection and clustering
WO2022115419A1 (en) Method of detecting an anomaly in a system
CN112230584A (zh) 应用于工控领域的安全监视可视化***及安全监视方法
Sun et al. Intrusion detection system based on in-depth understandings of industrial control logic
Sestito et al. A general optimization-based approach to the detection of real-time Ethernet traffic events
Zhang et al. Unsupervised IoT fingerprinting method via variational auto-encoder and K-means
Kim et al. Unknown payload anomaly detection based on format and field semantics inference in cyber-physical infrastructure systems
Chimphlee et al. Unsupervised clustering methods for identifying rare events in anomaly detection
Ma et al. Cyber Physical System for Distributed Network Using DoS Based Hierarchical Bayesian Network
Werner et al. Near real-time intrusion alert aggregation using concept-based learning
Pordelkhaki et al. Intrusion detection for industrial control systems by machine learning using privileged information
Mubarak et al. Ics cyber attack detection with ensemble machine learning and dpi using cyber-kit datasets

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240426

Address after: 400020 12-1 to 12-12, building 1, No. 8, West Ring Road, Jiangbei District, Chongqing

Patentee after: Chongqing ruanjiang Turing Artificial Intelligence Technology Co.,Ltd.

Country or region after: China

Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2

Patentee before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS

Country or region before: China