一种基于动态时延分析的工控系统重放攻击检测方法

本发明属于工业过程状态监测，特别是涉及一种基于动态时延分析的工控系统重放攻击检测方法。

背景技术：

1、工业过程普遍采用集散控制系统(distributed control system,dcs)或数据采集与监视控制系统(supervisory control and data acquisition,scada)。这些工业控制系统采用多层分级、合作自治的结构形式，在电力、冶金、石化等各行各业都获得了极其广泛的应用。

2、随着智能制造的深度推进和工业互联网的迅速发展，工业控制系统网络安全的风险日趋严峻。一方面，工控系统由于其功能重要性，成为网络攻击的热门对象；另一方面，由于当前工业控制系统底层硬件普遍低智低能，大规模硬件设备升级改造接受度低，传统信息安全加解密方案并不能直接用于工控系统安全防护，这就使得一些隐蔽的网络攻击手段不易被发现，尤其是重放攻击。

3、重放攻击可以通过篡改工业设备运行时的测量数据来实现。相关基于残差检测的技术可通过确定实时的测量数据是否满足历史数据的分布来检测攻击。但是攻击者可以使用该设备正常运行工作时采集的数据使得该方法失效。目前，现有技术提出了基于水印方案的重放攻击检测，但该方法需要牺牲控制系统性能，且水印信号会给控制系统执行器带来较大负担，缩短设备寿命(文献doi:10.1109/allerton.2009.5394956)。另一种滑动目标重放攻击检测方法通过实时改变控制系统硬件，实现对重放攻击特征放大，进而检测，但该方法需要大规模硬件改造，物理可行性较差(文献doi:10.1109/tac.2020.3005686)。现有检测方法无法实现控制系统性能和硬件无损或无法摆脱对控制系统硬件投入和改造的约束。

技术实现思路

1、为了解决上述问题，本发明提出了一种基于动态时延分析的工控系统重放攻击检测方法，能够不损失控制系统性能，不额外缩短控制系统硬件寿命，不依托控制系统硬件改造，实现对工业控制系统重放攻击的检测，保证工业控制系统连续稳定运行。

2、为达到上述目的，本发明采用的技术方案是：一种基于动态时延分析的工控系统重放攻击检测方法，包括动态时延估计方法(步骤s1～s3)和动态时延感知报警策略(步骤s4～s5)，具体包括以下操作步骤：

3、s1：从一个一般工业控制系统中获取连续t个时刻的输入量和输出量数据，并且计算出输入量和输出量数据的整体关联系数和整体时延估计；

4、s2：根据整体关联系数和整体时延估计初始化滑动窗的移动范围k和滑动窗的大小l逐点进行动态延时估计计算，并针对未满足延时提取要求的时间点ti进行迭代优化，迭代的范围是通过逐步增大滑动窗体l至当前点时延估计λ(ti)趋于收敛即可停止扩大；

5、s3：根据所获取的动态延时估计计算结果，由时延估计值获得控制系统的输入量和输出量之间的动态延时序列λ(i)；对计算获得的动态时延序列λ(i)进行统计，确定常规状态下的时延范围和窗体大小范围l∈[lmin,lmax]；

6、s4：首先根据获得的时延范围和窗体大小范围预设滑动窗的初始大小、窗体延展范围以及窗体的移动范围；

7、s5：通过下式计算判别时延估计值是否属于常规状态下的时延范围，来判定过程是否存在异常状态：

8、

9、jab(i)为第i时刻变量间的关系状态描述，1为异常，0为正常；

10、s6：通过逐步延展滑动窗的策略来进一步跟踪确认报警信息，若当前窗体大小满足lonline>lmax时且有趋于稳定时依然不处于正常范围，则判定为两个变量间存在传递异常，并发出警报。

11、进一步的是，所述步骤s1包括步骤：

12、假设a，b是输入量和输出量数据，n个观测值，μa和μb是均值，σa和σb是标准差，然后带有整体延时估计值e的整体关联系数方程为：

13、

14、通过计算样本期望来获得整体关联系数：

15、

16、其中，sa和sb分别代表a和b的样本标准差；

17、绝对值最大的被认定为关联系数，并且当关系系数取最大时的时刻即为序列间的整体延时估计；计算最大值φmax＝max{φab(e),0}≥0，以及最小值φmin＝min{φab(e),0}≤0，同时得到相应的标签emax和emin，然后通过下式估计整体时延λ：

18、

19、进一步的是，在步骤s2中，所述动态时延计算的求取过程包括步骤：

20、获取滑动关联系数方程为：

21、

22、其中，t代表的是时间，k表示滑动窗的移动范围，l表示滑动窗的大小，r是表示滑动窗的观测半径，因此有l＝2r+1；μa(i)、μb(i+k)分别代表a和b第i时刻对应的均值，sa(i)和sb(i+k)分别代表a和b第i时刻对应的样本标准差；

23、计算滑动关联系数的最大值与最小值：

24、φab(t)max＝max{φab(t)(kt),0}≥0

25、φab(t)min＝min{φab(t)(kt),0}≤0

26、以及相应的标识ktmax和ktmin；

27、通过下式来确定变量a与变量b之间延时，获得动态延时估计：

28、

29、进一步的是，在步骤s2中，为了提升离线计算效率，预设l从50，进行搜索，逐步放大l至时延估计趋于收敛即可停止扩大。

30、进一步的是，匹配长度初始化与离线匹配一样需要对匹配的对比窗的初始大小及匹配范围进行初始化，预设当前窗体大小lonline从50开始，先计算数据量为lonline的当前时刻的时延估计值，并基于逐步放大lonline来进一步确认报警信息；当lonline>lmax＝llth，llth为边界窗体大小，且有趋于稳定时依然不处于正常范围，则判定为变量a，b间存在传递异常，并发出警报。

31、进一步的是，确定滑动窗的移动范围k和滑动窗的大小l时，对于参数k在整体延时估计中与整体序列的长度相当，但随着时间序列不断产生计算量会呈几何倍数增长，因此需要确定一个合适的移动范围，可根据randomised algorithms(ra)，首先定义一个估计函数：

32、

33、并且有：

34、

35、其中ε∈(0,1)是给定的精度要求，1-δ是相应的置信水平为δ∈(0,1)；

36、根据hoeffding不等式得到，单边的chernoff边界为：

37、

38、进一步的是，同理根据ra，确定l为样本数据对比窗体的宽度，定义估计函数：

39、

40、其中，lm(t)为t时刻获取λm(t)对应的窗体大小；根据hoeffding不等式可得单边的chernoff边界为：

41、

42、采用本技术方案的有益效果：

43、本发明的浮动窗动态匹配机制可以根据遭到攻击的时间的变化而可以调整浮动窗检查数据的范围，从而通过对相关联的变量间存在的时间维度的信息流进行识别可以有效提升信号传递异常的诊断效率。与现有技术相比，本方法主要依赖于设备运行的历史数据、无需任何外加设备、无需牺牲控制系统性能并且操作简便实现成本低，从而解决工业系统的重放攻击检测问题。