一种工业控制系统数据驱动下的假数据注入攻击检测方法与流程

1.本发明涉及工控系统的安全防护领域，具体为一种工业控制系统数据驱动下的假数据注入攻击检测方法。


背景技术：

2.假数据注入攻击近年来因其隐匿性逐渐成为工业控制系统安全研究的重点。隐匿性指假数据注入攻击能够逃避攻击检测器的特点，例如经过精心设计的攻击方法对于目前检测器中常采用的残差检测方法难以检测，即具有隐匿特性。
3.常见的假数据注入攻击有浪涌、偏差和几何攻击等，这些攻击不需要攻击者了解系统知识，但往往容易被攻击检测器检测到，因而不具有隐匿性。若攻击者了解控制系统知识，则可能构造出具有隐匿性的攻击。例如，对于模型如下的控制系统：
[0004][0005]
上式中三者分别表示k时刻下的系统状态变量，控制输入和输出，x(k+1)表示k+1时刻下的系统状态变量，表示状态矩阵，表示输入矩阵,表示输出矩阵，为扰动量，表示扰动通道作用矩阵，分别表示系统中存在的过程噪声和测量噪声，相互独立。将控制系统进一步整理为输入输出模型形式，k时刻的输入输出模型通过选择q时间长度的变量序列yq(k)和uq(k)构造：
[0006]yq
(k)＝γx(k)+huuq(k)+η(k)
[0007]
上式中
[0008]
η(k)代表系统中噪声，
[0009][0010][0011]
攻击者可以通过截获通信线路中的数据获取系统运行过程中的信息，例如利用控制和输出序列进行统计分析，通过收集的数据经过奇异值分解，得到γ的左零矩阵γ
⊥
的基矩阵，然后生成攻击序列。该攻击序列已证明对基于最小二乘的残差检测器具有隐匿性，给工业控制系统带来安全风险。
[0012]
此外，工业控制系统还普遍存在扰动，且常引发攻击检测器误报警。因此，亟需一
种检测方法实现对这类隐匿式攻击的准确检测，特别是避免扰动导致的误报警情况，以保障企业工业生产过程的安全稳定。


技术实现要素：

[0013]
本发明针对背景技术中存在的问题，设计了一种工业控制系统数据驱动下的假数据注入攻击检测方法。该方法主要包括以下步骤：
[0014]
1)利用测量变量序列和控制量序列q为序列长度，k代表系统运行的第k时刻，进行状态和扰动估计，得到状态和扰动的第一组合估计值扰动估计基于扩张状态观测器，扩张状态观测器具体形式为：
[0015][0016]
上式中，上式中，其中a,b,c,d分别为控制系统中参数矩阵，表示系统矩阵，表示输入矩阵,表示输出矩阵,表示扰动通道作用矩阵，i表示单位矩阵；k
x
,ky,ku,kd分别为x(k),y(k),u(k),d(k)的维数，es为扩张状态观测器的增益，；
[0017]
2)在中分离出扰动估计值
[0018][0019]
其中为维数为kd的单位阵，为零矩阵，将和yq(k)一起通过通讯网络传输至控制器和检测器；
[0020]
3)考虑到数据在通讯网络传输中可能受到攻击，检测器接收到的数据记为和利用和控制器中的uq(k)进行状态和扰动估计，得到第二组合估计值扩张观测器具体形式为：
[0021][0022]
其中es为扩张状态观测器的增益，为第二组合估计值中的状态分量，为第二组合估计值中的扰动分量；
[0023]
4)在中分离出估计的扰动分量具体分离方式为：
[0024][0025]
其中i
kd
为维数为kd的单位阵，为零矩阵；
[0026]
5)建立和序列的滑动窗口，k时刻更新对应滑动窗口内序列为
和对于一个特定序列d，在时刻k-1处建立的长度为ks的扰动量滑动窗口如下：ds(k)＝[d(k-ks+1)
t
…
d(k)
t
]
t
；
[0027]
6)计算扰动量的相关系数：
[0028][0029]
其中和分别是的均值和标准差，和分别是的均值和标准差，n为序列长度。将计算的扰动量间相关系数ρ和预设阈值ρ
th
对比，若ρ＜ρ
th
视为存在攻击，预警后转步骤1)；否则直接转步骤1)。
[0030]
有益效果：
[0031]
本发明公开了一种工业控制系统数据驱动下的假数据注入攻击检测方法，该方法能够有效检测具有隐匿性的数据驱动下的假数据注入攻击，同时避免工业控制回路中外部扰动引起的攻击误报，实现对工控系统中对数据驱动下的隐匿式攻击的精准检测，对工业过程控制系统的安全防护具有重要价值。
附图说明
[0032]
图1为本发明实施例中控制回路及攻击检测系统结构图；
[0033]
图2为本发明攻击检测流程图；
[0034]
图3为本发明实施例中作用于系统输出的攻击仿真图；
[0035]
图4为本发明实施例中作用于扰动量的攻击仿真图；
[0036]
图5为本发明实施例中攻击作用之前的扰动估计结果图；
[0037]
图6为本发明实施例中直接受到攻击后的扰动估计结果图；
[0038]
图7为本发明实施例中由受到攻击的输出量得到的扰动估计结果图；
[0039]
图8为本发明实施例中相关系数检验效果图。
具体实施方式
[0040]
下面结合附图和具体实施例对本发明作进一步说明，由具体的操作流程说明工控系统数据驱动下的假数据注入攻击检测方法的实施效果。本实施案例在以本发明技术方案为前提下进行实施，但本发明的保护范围不限于下述的实施例。
[0041]
本实例中控制回路结构示意图如图1所示，采用数字仿真形式加以说明。控制系统基本模型包含3个状态变量，1个测量输出量和1个控制输入量，具体模型参数设置如下：
[0042][0043]
c＝[1 1 0],d＝[0.02 0.03 0.05]
t
[0044]
为模拟真实场景，仿真过程中加入了方差均为1.0
×
10-3
的高斯过程噪声和测量噪声，加入了幅值为0.7且叠加方差为1.0
×
10-3
的高斯噪声扰动量，数据驱动下的假数据注入攻击作用于工业过程现场和控制室间的通讯网络。本实施例基于控制系统输入输出模型，
序列长度q＝8。
[0045]
本实施案例工作流程如图2所示，在系统中于170时刻注入数据驱动下的假数据注入攻击，传输过程中输出序列yq(k)和均会受到攻击，本实施例中yq(k)受到的攻击为8维向量，攻击量从零值附近随时间慢慢增大，如图3所示；受到的攻击为1维向量，攻击量从零值附近随时间慢慢增大，如图4所示。
[0046]
本实例中相关系数攻击检测方法的阈值取ρ
th
＝0.9，通过计算扰动信号间相关系数ρ进行攻击检测，若ρ＜ρ
th
，则视为系统受到攻击。本实施案例具体实施步骤如下：
[0047]
1)利用测量变量序列和控制量序列q为序列长度，k代表系统运行的第k时刻，进行状态和扰动估计，得到状态和扰动的第一组合估计值扰动估计基于扩张状态观测器，扩张状态观测器具体形式为：
[0048][0049]
上式中，上式中，a,b,c,d分别为控制系统中参数矩阵，表示系统矩阵，表示输入矩阵,表示输出矩阵,表示扰动通道作用矩阵，k
x
,ky,ku,kd分别为x(k),y(k),u(k),d(k)的维数，es为扩张状态观测器的增益，通过配置的极点于[0.3+0.1i 0.3-0.1i 0.4 0.8]，可得es＝[3.5362
ꢀ‑
1.1758
ꢀ‑
1.2011
ꢀ‑
4.9066]
t
；
[0050]
2)在中分离出扰动估计值具体分离方式为：
[0051][0052]
其中为维数为kd的单位阵，为零矩阵，分离出的如图5所示，将和yq(k)一起通过通讯网络传输至控制器和检测器；
[0053]
3)考虑到数据在通讯网络传输中可能受到攻击，检测器接收到的数据记为和为受到攻击后的如图6所示，利用和控制器中的uq(k)进行状态和扰动估计，得到第二组合估计值扩张观测器具体形式为：
[0054][0055]
其中es为扩张状态观测器的增益，为第二组合估计值中
的状态分量，为第二组合估计值中的扰动分量；
[0056]
4)在中分离出估计的扰动分量具体分离方式为：
[0057][0058]
其中为维数为kd的单位阵，为零矩阵，此时分离出的扰动分量如图7所示；
[0059]
5)建立和序列的滑动窗口，k时刻更新对应滑动窗口内序列为和对于一个特定序列d，在时刻k-1处建立的长度为ks的扰动量滑动窗口如下：ds(k)＝[d(k-ks+1)
t
…
d(k)
t
]
t
；
[0060]
6)计算扰动量和的相关系数：
[0061][0062]
其中和分别是的均值和标准差，和是的均值和标准差，n代表序列长度，将计算的扰动量间相关系数ρ和预设阈值ρ
th
对比，检测结果如图8所示，可以看出在攻击在170时刻发生之后，相关系数迅速降低到预警线以下，检测器报警，转步骤1)。
[0063]
综上所述，该攻击检测方法能够成功检测数据驱动下对常规残差检测器具有隐匿性的攻击，同时避免扰动场景下存在的攻击误报警问题，对工业过程控制系统的安全防护具有重要价值。
[0064]
本发明已通过上述实施例及其附图说明清楚，在不背离本发明精神和实质的情况下，所属领域的技术人员可根据本发明做出相应变化和修正，这些变化和修正都属于本发明权利要求的保护范围。
[0065]
本发明未涉及方法均与现有技术相同或可采用现有技术加以实现。

技术特征：
1.一种工业控制系统数据驱动下的假数据注入攻击检测方法，其特征在于该方法针对具有隐匿性的数据驱动下的假数据注入攻击，观测系统扰动，将扰动量和输出量传递至控制器/攻击检测器，攻击检测器利用输出量再次估计扰动量，并计算两个扰动量的相关系数进行攻击检测，包括以下步骤：1)利用测量变量序列y
q
(k)＝[y(k)
t y(k+1)
t
ꢀ…ꢀ
y(k+q-1)
t
]
t
和控制量序列u
q
(k)＝[u(k)
t u(k+1)
t
ꢀ…ꢀ
u(k+q-1)
t
]进行状态和扰动估计，得到状态和扰动的第一组合估计值其中：q为序列长度，k代表系统运行的第k时刻；2)在中分离出扰动估计值将和y
q
(k)一起通过通讯网络传输至控制器和检测器；3)检测器接收到的数据记为和利用和控制器中的u
q
(k)进行状态和扰动估计，得到第二组合估计值4)在中分离出估计的扰动分量5)建立和序列的滑动窗口，k时刻更新对应滑动窗口内序列为和6)计算和的相关系数，并和预设阈值对比，若存在攻击则预警并转步骤1)；否则直接转步骤1)。2.根据权利要求1所述的方法，其特征在于基于扩张状态观测器进行状态和扰动的组合估计：式中式中其中a,b,c,d分别为控制系统中的参数矩阵，表示状态矩阵，表示输入矩阵,表示输出矩阵,表示扰动通道作用矩阵，i表示单位矩阵；k
x
,k
y
,k
u
,k
d
分别为x(k),y(k),u(k),d(k)的维数，e
s
为扩张状态观测器的增益。3.根据权利要求1所述的方法，其特征在于采用下式将扰动估计值从第一组合估计值中分离：其中为维数为k
d
的单位阵，为零矩阵。4.根据权利要求1所述的方法，其特征在于采用下式将估计的扰动分量从第二组合估计值中分离：
式中为k
d
维的单位阵，为零矩阵。5.根据权利要求1所述的方法，其特征在于采用下式在时刻k处建立长度为k
s
的扰动量滑动窗口d
s
(k)：d
s
(k)＝[d(k-k
s
+1)
t
…
d(k)
t
]
t
。6.根据权利要求1所述的方法，其特征在于采用下式计算和的相关系数数其中和分别是的均值和标准差，和分别是的均值和标准差，n为序列长度。7.根据权利要求1所述的方法，其特征在于相关系数ρ的阈值设置为ρ
th
，若ρ＜ρ
th
，则视为系统受到攻击，否则视为系统不存在攻击。

技术总结
本发明公开了一种工业控制系统数据驱动下的假数据注入攻击检测方法，该方法基于扩张观测器估计并提取扰动量，于扰动序列上设置滑动窗口，设计基于计算滑动窗口内序列相关系数的攻击检测方法。该方法能够成功检测数据驱动下对常规残差检测器具有隐匿性的攻击，同时避免扰动场景下存在的攻击误报警问题，实现对工控系统中数据驱动下的假数据注入攻击的精准检测，对工业过程控制系统的安全防护具有重要价值。价值。价值。


技术研发人员：陈夕松 胡羽聪 刘克淳 张勇气
受保护的技术使用者：南京富岛信息工程有限公司
技术研发日：2023.06.20
技术公布日：2023/8/14