控制系统攻击检测方法、检测系统、设备和存储介质与流程

1.本发明涉及工业生产领域，尤其涉及控制系统攻击检测方法、检测系统、设备和计算机存储介质。


背景技术：

2.目前，企业通常采用自动化控制的形式进行工业生产，而用于实现自动化控制工业生产的控制系统一旦遭受攻击，则会严重影响生产进程和生产效益，导致企业和社会遭受巨大的损失。工业过程中的攻击一般作用于控制系统的闭环控制回路，进而影响整个工业生产过程。其中，虚假数据注入(fdi)攻击是目前最常见的一种攻击形式。
3.现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主，在工况不变且工业过程控制系统中无强外部扰动的情况下，上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中，工况并非一成不变，这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外，工业过程控制系统中还普遍存在着外部扰动，上述基于卡尔曼滤波的攻击检测方法难以将较大强度的外部扰动与实际的攻击进行区分。因此，扰动和工况变化使得现有攻击检测方法的误报率较高，在工业过程控制系统攻击监测中的实际应用上受到限制。
4.因此，如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击误预警，以在更大程度上满足工业控制系统的安全防护要求，是工业生产领域目前亟需解决的难题。


技术实现要素：

5.本发明的主要目的在于提供一种控制系统攻击检测方法、装置、设备和计算机存储介质，旨在基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击误预警，以在更大程度上满足工业控制系统的安全防护要求，是工业生产领域目前亟需解决的难题。
6.为实现上述目的，本发明提供一种控制系统攻击检测方法，所述控制系统攻击检测方法应用于检测系统，所述检测系统包括：检测回路探针、传感器和控制器；所述控制系统攻击检测方法包括以下步骤：
7.基于所述检测回路探针转换由所述传感器发出的实时传感信号；
8.基于所述实时传感信号与预设信号参数确定扰动参数；
9.将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据包发送至所述控制器；
10.基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
11.进一步地，在所述基于所述实时传感信号与预设信号参数确定扰动参数的步骤之前，还包括：
12.基于所述检测回路探针获取在工业过程控制回路平稳运行状况下，所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号；
13.基于所述平稳传感信号和所述平稳控制信号确定所述预设信号参数。
14.进一步地，所述基于所述平稳传感信号和所述平稳控制信号确定所述预设信号参数的步骤，包括：
15.基于所述平稳传感信号与所述平稳控制信号辨识被控对象模型；
16.基于所述被控对象模型确定所述预设信号参数。
17.进一步地，所述基于所述被控对象模型确定所述预设信号参数的步骤，包括：
18.基于所述检测回路探针转换由所述控制器发出的实时控制信号；
19.基于所述被控对象模型与所述实时控制信号确定所述预设信号参数。
20.进一步地，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改的步骤，包括：
21.针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值处于预设阈值范围，则确定所述数据包未遭受攻击篡改。
22.进一步地，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改的步骤，还包括：
23.针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值超出预设阈值范围，则确定所述数据包遭受攻击篡改。
24.进一步地，在所述确定所述数据包遭受攻击篡改的步骤后，还包括：
25.基于所述控制器触发预设报警信息。
26.此外，为实现上述目的，一种检测系统，所述检测系统包括：
27.检测回路探针，用于转换由传感器发出的实时传感信号；基于所述实时传感信号与预设信号参数确定扰动参数；将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据包发送至所述控制器；
28.控制器，用于基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
29.此外，为实现上述目的，本发明还提供一种终端设备，所述终端设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的控制系统攻击检测程序，所述控制系统攻击检测程序被所述处理器执行时实现如上述中的控制系统攻击检测方法的步骤。
30.此外，为实现上述目的，本发明还提供一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述的控制系统攻击检测方法的步骤。
31.此外，本发明实施例还提出一种计算机程序产品，该计算机程序产品上包括控制系统攻击检测程序，所述控制系统攻击检测程序被处理器执行时实现如上所述的控制系统攻击检测方法的步骤。
32.其中，在所述处理器上运行的控制系统攻击检测程序被执行时所实现的步骤可参照本发明控制系统攻击检测方法的各个实施例，此处不再赘述。
33.本发明提出的控制系统攻击检测方法，通过基于所述检测回路探针转换由所述传
感器发出的实时传感信号；基于所述实时传感信号与预设信号参数确定扰动参数；将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据包发送至所述控制器；基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
34.本发明是针对虚假数据注入(fdi)攻击所提出的控制系统攻击检测方法，而虚假数据注入攻击是的原理是通过篡改控制回路传感器与控制器之间通信包中数据使控制器无法感知系统真实状态，进而影响控制系统正常运行。在本发明所提供的控制系统攻击检测方法中，先通过检测回路探针实时转换传感器发出的实时传感信号，然后根据该实时传感信号与预设信号参数进行运算，确定传感信号在传输过程中由于工况变化被干扰所对应的扰动参数，然后检测回路探针将包含实时传感信号、预设信号参数和扰动参数的数据包发送至控制器，若工业过程控制回路遭受攻击，则上述数据包内的实时传感信号会产生变化；控制器针对接收到的数据包内的实时传感信号和预设信号参数进行运算得到残差参数，并将残差参数与扰动参数进行比对得到比对结果，即可根据比对结果确定数据包是否遭受篡改，从而确定工业过程控制回路是否遭受攻击。
35.如此，本发明提供的控制系统攻击检测方法，基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击误预警，以在更大程度上满足工业控制系统的安全防护要求。
附图说明
36.图1是本发明实施例方案涉及的终端设备的硬件运行环境的结构示意图；
37.图2是本发明一种控制系统攻击检测方法一实施例的流程示意图；
38.图3是本发明一实施例涉及的检测回路探针的应用原理图；
39.图4是本发明一实施例涉及的检测系统的结构原理图；
40.图5是本发明控制系统攻击检测方法一实施例的应用流程图；
41.图6是本发明一实施例涉及的控制回路扰动检测效果图；
42.图7是本发明一实施例涉及的控制回路无攻击状态下扰动残差检测效果图；
43.图8是本发明一实施例涉及的控制回路输出数据受到攻击下扰动残差检测效果图；
44.图9是本发明一实施例涉及的控制回路无攻击状态下卡尔曼滤波检测效果图；
45.图10是本发明一实施例涉及的控制回路输出数据受到攻击下卡尔曼滤波检测效果图；
46.图11是本发明一种检测系统的模块结构示意图。
47.本发明目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
48.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
49.如图1所示，图1是本发明实施例方案涉及终端设备的硬件运行环境的结构示意图。
50.需要说明的是，图1即可为终端设备的硬件运行环境的结构示意图。本发明实施例
终端设备可以是用于执行控制系统攻击检测的检测系统，pc，便携计算机等终端设备。
51.如图1所示，该终端设备包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还包括标准的有线接口、无线接口。网络接口1004可选的包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
52.本领域技术人员可以理解，图1中示出的终端设备结构并不构成对终端设备的限定，包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
53.如图1所示，作为一种计算机存储介质的存储器1005中包括操作系统、网络通信模块、用户接口模块以及分布式任务的处理程序。其中，操作系统是管理和控制样本终端设备硬件和软件资源的程序，支持分布式任务的处理程序以及其它软件或程序的运行。
54.在图1所示的终端设备中，用户接口1003主要用于与各个终端进行数据通信；网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；而处理器1001可以用于调用存储器1005中存储的控制系统攻击检测程序，并执行以下操作：
55.基于所述检测回路探针转换由所述传感器发出的实时传感信号；
56.基于所述实时传感信号与预设信号参数确定扰动参数；
57.将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据包发送至所述控制器；
58.基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
59.进一步地，在所述基于所述实时传感信号与预设信号参数确定扰动参数的步骤之前，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
60.基于所述检测回路探针获取在工业过程控制回路平稳运行状况下，所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号；
61.基于所述平稳传感信号和所述平稳控制信号确定所述预设信号参数。
62.进一步地，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
63.基于所述平稳传感信号与所述平稳控制信号辨识被控对象模型；
64.基于所述被控对象模型确定所述预设信号参数。
65.进一步地，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
66.基于所述检测回路探针转换由所述控制器发出的实时控制信号；
67.基于所述被控对象模型与所述实时控制信号确定所述预设信号参数。
68.进一步地，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
69.针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值处于预设阈值范围，则确定所述数据包未遭受攻击篡改。
70.进一步地，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
71.针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值超出预设阈值范围，则确定所述数据包遭受攻击篡改。
72.进一步地，在所述确定所述数据包遭受攻击篡改的步骤后，处理器1001可以调用存储器1005中存储的控制系统攻击检测程序，还执行以下操作：
73.基于所述控制器触发预设报警信息。
74.基于上述的结构，提出本发明控制系统攻击检测方法的各个实施例。
75.需要说明的是，工业过程中的攻击一般作用于控制系统的闭环控制回路，进而影响整个工业生产过程。其中，虚假数据注入(fdi)攻击是目前最常见的一种攻击形式。
76.现有检测虚假数据注入的方法以基于卡尔曼滤波的阈值检测为主，在工况不变且工业过程控制系统中无强外部扰动的情况下，上述方法在工业过程中的攻击检测具有较好效果。然而在实际工业过程生产中，工况并非一成不变，这就导致上述基于卡尔曼滤波的攻击检测方法容易由于工况变化而产生攻击误报。此外，工业过程控制系统中还普遍存在着外部扰动，上述基于卡尔曼滤波的攻击检测方法难以将较大强度的外部扰动与实际的攻击进行区分。因此，扰动和工况变化使得现有攻击检测方法的误报率较高，在工业过程控制系统攻击监测中的实际应用上受到限制。
77.因此，如何基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击误预警，以在更大程度上满足工业控制系统的安全防护要求，是工业生产领域目前亟需解决的难题。
78.基于上述现象，提出本发明控制系统攻击检测方法的各实施例。需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
79.第一实施例：请参照图2和图4，图2为本发明控制系统攻击检测方法第一实施例的流程示意图，图4为检测系统的结构原理图。本发明提供的控制系统攻击检测方法，所述控制系统攻击检测方法应用于检测系统，所述检测系统包括：检测回路探针、传感器和控制器，包括以下步骤：
80.步骤s100，基于所述检测回路探针转换由所述传感器发出的实时传感信号。
81.安装于工业过程控制回路的检测回路探针的转换器实时转换由传感器发出的实时传感信号，以确定传感器在对控制器进行数据传输前，实时传感信号的初始内容。
82.具体地，例如，请参照图3，基于检测回路探针内的a/d转换器实时转换传感器发出的传感信号y(s)，从而得到对应的离散传感信号y(k)。
83.步骤s200，基于所述实时传感信号与预设信号参数确定扰动参数。
84.检测回路探针根据实时转换得到的实时传感信号，与工业过程控制回路平稳运行状况下存在干扰的预设信号参数进行比对运算，将运算得到的差值作为由于工况变化产生的干扰所对应的扰动参数。
85.具体地，例如，请参照图6，在检测回路探针内的微处理器中针对离散传感信号y(k)和预设信号参数ym(k)进行比对运算，得到扰动参数d(k)＝y(k)-ym(k)。
86.步骤s300，将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据
包发送至所述控制器。
87.检测回路探针将存储在存储模块的包含实时传感信号、预设信号参数和扰动参数的数据包，通过通讯模块发送至控制器，以供控制器进行运算核对。
88.步骤s400，基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
89.在检测回路探针将数据包发送至控制器的过程中，若工业过程控制回路遭受攻击，则数据包会遭受篡改，从而使数据包中的实时传感信号发生改变，控制器在接收到数据包后，针对数据包中的实时传感信号与预设信号参数进行运算得到残差参数，然后将残差参数与扰动参数进行比对，即可判断实时传感信号与预设信号参数的差距是由于工况变化产生的干扰造成，还是由于工业过程控制回路遭受攻击所造成。
90.具体地，例如，通过检测回路探针发送包含干扰参数d(k)与实时传感参数y(k)的数据包至控制器，考虑到此过程中实时传感参数y(k)可能受到虚假数据注入攻击a(k)，到达控制器的系统输出数据记为ya(k)＝y(k)+a(k)；控制器在接收到数据包后，针对数据包中的实时传感信号ya(k)与预设信号参数ym(k)进行运算得到残差参数z(k)，然后将残差参数z(k)与扰动参数d(k)进行比对，即可判断实时传感信号y(k)与预设信号参数ym(k)的差距是由于工况变化产生的干扰造成，还是由于工业过程控制回路遭受攻击所造成。
91.在本实施例中，通过安装于工业过程控制回路的检测回路探针的转换器实时转换由传感器发出的实时传感信号，以确定传感器在对控制器进行数据传输前，实时传感信号的初始内容；检测回路探针根据实时转换得到的实时传感信号，与工业过程控制回路平稳运行状况下存在干扰的预设信号参数进行比对运算，将运算得到的差值作为由于工况变化产生的干扰所对应的扰动参数；检测回路探针将存储在存储模块的包含实时传感信号、预设信号参数和扰动参数的数据包，通过通讯模块发送至控制器，以供控制器进行运算核对；在检测回路探针将数据包发送至控制器的过程中，若工业过程控制回路遭受攻击，则数据包会遭受篡改，从而使数据包中的实时传感信号发生改变，控制器在接收到数据包后，针对数据包中的实时传感信号与预设信号参数进行运算得到残差参数，然后将残差参数与扰动参数进行比对，即可判断实时传感信号与预设信号参数的差距是由于工况变化产生的干扰造成，还是由于工业过程控制回路遭受攻击所造成。
92.如此，本实施例本发明提供的控制系统攻击检测方法，基于工况变化的情况下能够准确检测工业控制系统是否遭受攻击，并且能够避免由于工况变化和扰动引起的攻击误预警，以在更大程度上满足工业控制系统的安全防护要求。
93.进一步地，基于上述控制系统攻击检测方法第一实施例，提出本发明控制系统攻击检测方法的第二实施例。
94.在本发明控制系统攻击检测方法的第二实施例中，在上述步骤s200之前，还包括：
95.步骤a1，基于所述检测回路探针获取在工业过程控制回路平稳运行状况下，所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号；
96.步骤a2，基于所述平稳传感信号和所述平稳控制信号确定所述预设信号参数。
97.请参照图5，检测回路探针获取工业过程控制回路平稳运行状况下的历史数据，即传感器发出的平稳传感信号和控制器发出的平稳控制信号，以根据平稳传感信号和平稳控
制信号确定用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数，从而在攻击检测时作为用于比对实时传感信号的标准参数。
98.进一步地，在一种可行的实施例中，上述步骤a2，包括：
99.步骤a21，基于所述平稳传感信号与所述平稳控制信号辨识被控对象模型。
100.步骤a22，基于所述被控对象模型确定所述预设信号参数。
101.请参照图5，检测回路探针在获取工业过程控制回路平稳运行状况下的历史数据，即平稳传感信号和平稳控制信号后，基于计算机运行将模拟量转换为数字量的原理，根据平稳传感信号和平稳控制信号辨识生成与该工业过程控制回路对应的被控对象模型，然后根据该被控对象模型确定用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数。
102.进一步地，在一种可行的实施例中，上述步骤a22，包括：
103.步骤a221，基于所述检测回路探针转换由所述控制器发出的实时控制信号。
104.请参照图5，安装于工业过程控制回路的检测回路探针的转换器实时转换由控制器发出的实时控制信号，以供检测回路探针的微处理器根据该实时控制信号确定预设信号参数。
105.步骤a222，基于所述被控对象模型与所述实时控制信号确定所述预设信号参数。
106.请参照图5，检测回路探针在转换得到实时控制信号后，根据该实时控制信号与预先存储在存储器内的被控对象模型进行运算，从而确定用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数。
107.具体地，例如，请参照图5，检测回路探针内的a/d转换器转换工业过程控制回路平稳运行状况下的控制信号u(s)和传感器信号y(s)，得到对应的离散信号u(k)和y(k)，基于u(k)和y(k)离线辨识被控对象模型gm(s)，然后将被控对象模型gm(s)参数转化为gm(z)，将控制器输出的时间序列u(k)转换为u(z)，进而针对控制器输出的时间序列u(z)和被控对象模型gm(z)计算模型输出：
108.ym(z)＝u(z)*gm(z)；
109.最后将ym(z)转换成时间序列ym(k)，并将时间序列ym(k)作为代表工业过程控制回路在未遭受攻击的情况下的预设信号参数。
110.在本实施例中，检测回路探针获取工业过程控制回路平稳运行状况下的历史数据，即传感器发出的平稳传感信号和控制器发出的平稳控制信号，基于计算机运行将模拟量转换为数字量的原理，根据平稳传感信号和平稳控制信号辨识生成与该工业过程控制回路对应的被控对象模型；然后检测回路探针在转换得到实时控制信号，并根据该实时控制信号与预先存储在存储器内的被控对象模型进行运算，从而确定用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数。
111.如此，本实施例提供了用于代表工业过程控制回路在未遭受攻击的情况下的预设信号参数的生成步骤，以在攻击检测时作为用于比对实时传感信号的标准参数，涉及的运算原理简单，并且运算成本较低，提高了本发明控制系统攻击检测方法的实用性。
112.进一步地，基于上述控制系统攻击检测方法第一实施例，提出本发明控制系统攻击检测方法的第三实施例。
113.在本发明控制系统攻击检测方法的第三实施例中，在上述步骤s400中，将所述残
差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改的步骤，包括：
114.步骤s401，针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值处于预设阈值范围，则确定所述数据包未遭受攻击篡改。
115.需要说明的是，在本实施例中，预设阈值范围是用户根据工业过程控制回路的实际情况主观设置的数值范围，可以采用实时传感信号的峰值的百分比进行表示，其中，实时传感信号可以为温度、压力、流量、液位或者浓度等等，在此不做具体限制。
116.控制器在接收到检测回路探针发送的数据包后，针对数据包中的实时传感信号和预设信号参数计算得到残差参数，然后将残差参数与扰动参数进行计算得到差值，若差值处于用户根据工业过程控制回路的实际情况主观设置的数值范围，则确定数据包未遭受攻击篡改。
117.具体地，例如，请参照图7，假定预设阈值范围d
th
为实时传感信号的峰值的20％，控制器在接收到数据包后，针对数据包中的实时传感信号ya(k)与预设信号参数ym(k)进行运算得到残差参数z(k)，然后将残差参数z(k)与扰动参数d(k)进行计算得到差值d(u)，若差值d(u)小于或等于实时传感信号的峰值的20％，即差值d(u)处于预设阈值范围d
th，
则确定数据包未遭受攻击篡改，从而确定工业过程控制回路未遭受攻击。
118.进一步地，在一种可行的实施例中，在上述步骤s400中，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改的步骤，还包括：
119.步骤s402，针对所述残差参数与所述扰动参数进行计算得到差值，若所述差值超出预设阈值范围，则确定所述数据包遭受攻击篡改。
120.控制器在接收到检测回路探针发送的数据包后，针对数据包中的实时传感信号和预设信号参数计算得到残差参数，然后将残差参数与扰动参数进行计算得到差值，若差值超出用户根据工业过程控制回路的实际情况主观设置的数值范围，则确定数据包遭受攻击篡改。
121.具体地，例如，请参照图8，假定预设阈值范围d
th，
为实时传感信号的峰值的20％，控制器在接收到数据包后，针对数据包中的实时传感信号ya(k)与预设信号参数ym(k)进行运算得到残差参数z(k)，然后将残差参数z(k)与扰动参数d(k)进行计算得到差值d(u)，若差值d(u)超出实时传感信号的峰值的20％，即差值d(u)超出预设阈值范围d
th
，则确定数据包遭受攻击篡改，从而确定工业过程控制回路遭受攻击。
122.进一步地，在一种可行的实施例中，在上述步骤s402之后，还包括：
123.步骤s403，基于所述控制器触发预设报警信息。
124.控制器在通过计算实时传感信号与扰动参数得到的差值超出预设阈值范围，确定工业过程控制回路遭受攻击后，触发预设报警信息以提醒用户及时处理；其中，预设报警信息包括向用户终端发送报警信息或者进行声音报警，在此不做具体限制。
125.在本实施例中，控制器在接收到检测回路探针发送的数据包后，针对数据包中的实时传感信号和预设信号参数计算得到残差参数，然后将残差参数与扰动参数进行计算得到差值，若差值处于用户根据工业过程控制回路的实际情况主观设置的数值范围，则确定数据包未遭受攻击篡改；若差值超出用户根据工业过程控制回路的实际情况主观设置的数值范围，则确定数据包遭受攻击篡改，确定工业过程控制回路遭受攻击后，触发预设报警信息以提醒用户及时处理；其中，预设报警信息包括向用户终端发送报警信息或者进行声音
报警，在此不做具体限制。
126.如此，本实施例提供了将残差参数与扰动参数进行比对以确定数据包是否遭受攻击篡改，从而确定工业过程控制回路是否遭受攻击的具体步骤，提高了本发明控制系统攻击检测方法的实用性。
127.此外，为便于对比分析，在此针对卡尔曼滤波进行举例说明：分别用卡尔曼滤波对工况变化下无攻击/受攻击状态的系统进行攻击检测，卡尔曼滤波攻击检测方法中残差阈值设置为0.1，如果残差的绝对值超出阈值，视作系统被攻击，如图9为系统无攻击状态下卡尔曼滤波进行攻击检测的结果，如图10为系统受攻击状态下卡尔曼滤波进行攻击检测的结果。图9中可见，在100s、150s和200s时刻，残差超出阈值，基于卡尔曼滤波的攻击检测方法在这些时刻进行攻击预警，而这些预警实际上由扰动或者工况的变化引起，全部属于误预警；图10中，基于卡尔曼滤波的攻击检测在300s时有效检测到了攻击，但也存在图9中显示的误预警情况。相比之下，本发明通过检测回路探针执行的控制系统攻击检测方法则有效避免了基于卡尔曼滤波的攻击检测方法存在的误预警。
128.此外，请参照图11，本发明实施例还提出一种检测系统，本发明检测系统包括：
129.检测回路探针，用于转换由传感器发出的实时传感信号；基于所述实时传感信号与预设信号参数确定扰动参数；将包含所述实时传感信号、所述预设信号参数和所述扰动参数的数据包发送至所述控制器；
130.控制器，用于基于所述控制器针对所述实时传感信号和所述预设信号参数计算得到残差参数，将所述残差参数与所述扰动参数进行比对以确定所述数据包是否遭受攻击篡改。
131.优选地，检测回路探针，包括：
132.获取模块，用于基于所述检测回路探针获取在工业过程控制回路平稳运行状况下，所述传感器发出的平稳传感信号和所述控制器发出的平稳控制信号；
133.参数确定模块，用于基于所述平稳传感信号和所述平稳控制信号确定所述预设信号参数。
134.优选地，参数确定模块，包括：
135.模型辨识单元，用于基于所述平稳传感信号与所述平稳控制信号辨识被控对象模型；基于所述被控对象模型确定所述预设信号参数。
136.优选地，模型辨识单元，包括：
137.参数确定单元，用于基于所述检测回路探针转换由所述控制器发出的实时控制信号；基于所述被控对象模型与所述实时控制信号确定所述预设信号参数。
138.此外，本发明实施例还提出一种终端设备，该终端设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的控制系统攻击检测程序，该控制系统攻击检测程序被所述处理器执行时实现如上述中的控制系统攻击检测方法的步骤。
139.其中，在所述处理器上运行的控制系统攻击检测程序被执行时所实现的步骤可参照本发明控制系统攻击检测方法的各个实施例，此处不再赘述。
140.此外，本发明实施例还提出一种存储介质，应用于计算机，该存储介质可以为非易失性计算机可读存储介质，该存储介质上存储有控制系统攻击检测程序，所述控制系统攻击检测程序被处理器执行时实现如上所述的控制系统攻击检测方法的步骤。
141.其中，在所述处理器上运行的控制系统攻击检测程序被执行时所实现的步骤可参照本发明控制系统攻击检测方法的各个实施例，此处不再赘述。
142.此外，本发明实施例还提出一种计算机程序产品，该计算机程序产品上包括控制系统攻击检测程序，所述控制系统攻击检测程序被处理器执行时实现如上所述的控制系统攻击检测方法的步骤。
143.其中，在所述处理器上运行的控制系统攻击检测程序被执行时所实现的步骤可参照本发明控制系统攻击检测方法的各个实施例，此处不再赘述。
144.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
145.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
146.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一个用于执行控制系统攻击检测方法的检测系统执行本发明各个实施例所述的方法。
147.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。