[发明专利]一种工控现场设备隐蔽攻击检测方法

权利要求书

1.一种工控现场设备隐蔽攻击检测方法，其特征在于，包括：

将工控对象的观测输出与预测的期望输出进行对比，得到残差序列并进行残差预处理；

计算残差序列的排列熵；

若残差序列的排列熵在预设时间间隔内的下降幅度大于预设的第一阈值，则确定工控对象遭遇隐蔽攻击，否则，则确定工控对象没有遭遇隐蔽攻击；

其中，在将工控对象的观测输出与预测的期望输出进行对比，得到残差序列并进行残差预处理之前，所述方法还包括：

构建工控对象状态空间模型；

根据构建的工控对象状态空间模型，利用卡尔曼滤波预测工控对象的期望输出，得到预测的期望输出；

采集工控对象的观测输出；

其中，所述构建工控对象状态空间模型包括：

若工控对象的动态行为可用明确的物理方程式表示，则对物理方程式进行数学推导获取对应的状态空间模型；

若工控对象的动态行为无法用明确的物理方程式描述，则将工控对象置于无攻击环境下运行一段时间，收集运行过程中工控对象的输入输出数据，运用系统辨识技术获取工控对象的状态空间模型；

其中，所述状态空间模型表示为：

x_k＝Ax_k-1+Bu_k+ε_k

y_k＝Cx_k-1+Du_k+e_k

其中，x_k和y_k分别表示工控对象在k时刻的状态变量和输出变量，x_k-1表示工控对象在k-1时刻的状态变量，ε_k和e_k分别表示k时刻的过程噪声和测量噪声，u_k表示工控对象在k时刻的输入变量，A为状态转移矩阵，B为控制输入增益矩阵，C为输出矩阵，D为前馈矩阵；

其中，所述根据构建的工控对象状态空间模型，利用卡尔曼滤波预测工控对象的期望输出，得到预测的期望输出包括：

执行卡尔曼滤波的时间更新方程，所述时间更新方程表示为：

其中，时间更新方程借助状态转移矩阵A，将工控对象k时刻的后验状态x_k映射为k+1时刻的先验状态将k时刻的后验预测误差协方差矩阵P_k映射为k+1时刻的先验预测误差协方差矩阵Q_k表示k时刻的过程噪声协方差矩阵，A^T和B^T中的T表示矩阵转置；

执行预测方程：在获取k+1时刻的先验状态后，利用输出矩阵C预测k+1时刻的期望输出：

执行卡尔曼滤波的测量更新方程，所述测量更新方程表示为：

其中，所述测量更新方程利用工控对象k+1时刻的实际观测输出y_k+1修正k+1时刻的先验状态获得对应时刻的后验状态x_k+1，K_k+1表示k+1时刻的卡尔曼增益矩阵，R_k+1是k+1时刻的测量噪声协方差矩阵，I为单位矩阵；

所述时间更新方程、预测方程、测量更新方程迭代执行，推动卡尔曼滤波对工控对象期望输出的预测过程。

2.根据权利要求1所述的工控现场设备隐蔽攻击检测方法，其特征在于，所述残差序列由工控对象的观测输出序列和预测的期望输出序列在同一时刻的值相减得到。

3.根据权利要求1所述的工控现场设备隐蔽攻击检测方法，其特征在于，所述进行残差预处理包括：

若工控对象的实际输出值大于预设的第二阈值时，工控系统危险，则将区间[-τ-δ,-δ+e]分割成一系列相邻小区间，位于同一个小区间内的所有残差值映射为该区间内任意一个固定值，其中，τ表示检测阈值，δ表示噪声阈值，e为分割后每个小区间的大小。

4.根据权利要求3所述的工控现场设备隐蔽攻击检测方法，其特征在于，所述进行残差预处理还包括：

若工控对象的实际输出值小于预设的第三阈值时，工控系统危险，则将区间[δ-e,τ+δ]分割成一系列相邻小区间，位于同一个小区间内的所有残差值映射为该区间内任意一个固定值。

5.根据权利要求1所述的工控现场设备隐蔽攻击检测方法，其特征在于，所述计算残差序列的排列熵包括：

将残差序列分解成一系列长度均为n的滑动窗口；

对每个滑动窗口中的元素进行升序排列，重排序后得到新的索引序列IS＝[j₁,j₂,…,j_n]，其中，1≤j_i≤n,1≤i≤n，j_n表示重排序后第j个滑动窗口中的第n个元素的原索引值，每个滑动窗口共有n！种可能的索引序列{π_i|1≤i≤n！}；

对残差序列各滑动窗口内的元素进行重排序后，计算每个索引序列π_i出现的相对频率：

其中，K为滑动窗口的总数，j表示滑动窗口的序号；

根据得到的p(π_i)，计算残差序列的排列熵：

其中，H(n)表示残差序列的排列熵。