[发明专利]一种多设备协同发波检验的物理入侵设备定位方法及系统

权利要求书

1.一种多设备协同发波检验的物理入侵设备定位方法，其特征在于，在串行通信总线网络中，通过总线控制器发送轮询检测指令；从站设备轮流发送检测信号；网络末端监测设备对通信总线进行信号采样和协议分析；利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同，使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算，经弱信号提取后所得到的入侵信号的特征具有可分辨性；利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器，对总线网络中的非法入侵设备进行定位；

构建SVM多分类器之前，根据入侵信号的检测结果，若工控系统遭受非法设备入侵攻击，末端监测设备将会把报警信息上报给串行通信总线网络中的主站设备，主站设备对于系统中存在的非法入侵设备开始实施定位检测；主站发送用于非法设备定位的轮询检测指令，开始对串行通信总线网络中的非法入侵设备进行定位检测；末端监测设备执行完信号采样分析以及差分对比后，将差异信号处理为入侵信号存储在本地数据库中，并判断数据库是否已经存储所有从站检测所构建的入侵信号；若未存储完成，则主站再次发送轮询检测指令；通过重复执行定位检测过程，末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征；

对获得的差异信号数据进行降噪以及弱信号提取处理，根据提取得到的结果判断入侵信号是否存在；末端监测设备将获得的差异信号进行降噪以及弱信号提取处理，并为得到的非法入侵设备的入侵信号打上对应检测源标签再将其存储于本地数据库中，然后根据数据库中的存储结果判断是否开始执行定位检测；

重复执行定位检测过程具体为：

末端监测设备对本地数据库中存储的各检测源非法入侵设备入侵信号进行特征提取，包括各检测源入侵信号能量总和以及各检测源入侵信号能量的斜率分布；重复执行定位检测流程N次，构建非法入侵设备入侵信号的特征向量。

2.根据权利要求1所述的方法，其特征在于，通过总线控制器发送轮询检测指令具体为：

串行通信总线网络中的主站设备监测串行通信总线的使用情况，若通信总线处于空闲状态，则执行非法入侵设备检测与定位过程，并向通信总线发送检测指令，同时根据日志信息判断系统是否遭受非法设备入侵，选择是否开始执行定位过程；若通信总线处于数据传输状态，则等待并持续保持监听状态。

3.根据权利要求1所述的方法，其特征在于，从站设备轮流发送检测信号具体为：

根据检测指令地址码，对应从站收到检测指令后，根据工控系统中串行通信总线类型，采用对应的协议对通信信号进行协议解析，按要求发送检测信号；协议解析完成后，对应从站向通信总线发送一次检测信号，检测信号根据串行通信总线的协议规范设定，并且检测信号在数字序列上有别于所有正常的通信信号，检测信号被串行通信总线网络中的末端监测设备进行识别和解析。

4.根据权利要求1所述的方法，其特征在于，网络末端监测设备对通信总线进行信号采样和协议分析具体为：

串行通信总线网络中末端的监测设备对串行通信总线上的信号进行采集；末端监测设备对采集的信号进行协议分析，判断检测信号的来源。

5.根据权利要求1所述的方法，其特征在于，使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算具体为：

将采集信号与末端监测设备本地数据库中对应检测源的标准信号数据进行差分运算，得到两个信号数据之间的差异；对差异信号进行入侵信号检测，若在差异信号中检测出入侵信号，则判断此时工控系统串行通信总线网络中已遭受非法设备入侵攻击；若在差异信号中没有检测出入侵信号，判断此时工控系统串行通信总线网络没有受到非法设备入侵攻击。

6.根据权利要求1所述的方法，其特征在于，构建SVM多分类器对总线网络中的非法入侵设备进行有效定位具体为：

在系统投入使用前，在各从站之间依次插入典型攻击设备，然后执行定位检测流程，获取各个从站节点间攻击设备的入侵信号特征矩阵，此矩阵为标准入侵信号特征矩阵，并存储于末端监测设备的本地数据库中；将非法设备的入侵信号特征向量与末端监测设备本地数据库中的标准入侵信号特征矩阵输入到SVM多分类器中，完成对非法设备的定位检测。

7.一种多设备协同发波检验的物理入侵设备定位系统，其特征在于，包括：

检测模块，在串行通信总线网络中，通过总线控制器发送轮询检测指令；

发送模块，从站设备轮流发送检测信号；

分析模块，网络末端监测设备对通信总线进行信号采样和协议分析，

运算模块，利用在不同位置发送的检测信号由非法入侵设备在末端监测设备所造成的衰减特性不同，使得不同检测源所产生的观测信号在末端设备与设备数据库中存储的标准信号进行差分运算，经弱信号提取后所得到的入侵信号的特征具有可分辨性；

定位模块，利用总线网络投入使用前设备数据库存储的标准入侵信号特征构建SVM多分类器，对总线网络中的非法入侵设备进行定位；

构建SVM多分类器之前，根据入侵信号的检测结果，若工控系统遭受非法设备入侵攻击，末端监测设备将会把报警信息上报给串行通信总线网络中的主站设备，主站设备对于系统中存在的非法入侵设备开始实施定位检测；主站发送用于非法设备定位的轮询检测指令，开始对串行通信总线网络中的非法入侵设备进行定位检测；末端监测设备执行完信号采样分析以及差分对比后，将差异信号处理为入侵信号存储在本地数据库中，并判断数据库是否已经存储所有从站检测所构建的入侵信号；若未存储完成，则主站再次发送轮询检测指令；通过重复执行定位检测过程，末端监测设备根据各个从站检测的入侵信号提取构建非法设备的入侵信号特征；

对获得的差异信号数据进行降噪以及弱信号提取处理，根据提取得到的结果判断入侵信号是否存在；末端监测设备将获得的差异信号进行降噪以及弱信号提取处理，并为得到的非法入侵设备的入侵信号打上对应检测源标签再将其存储于本地数据库中，然后根据数据库中的存储结果判断是否开始执行定位检测；

重复执行定位检测过程具体为：

末端监测设备对本地数据库中存储的各检测源非法入侵设备入侵信号进行特征提取，包括各检测源入侵信号能量总和以及各检测源入侵信号能量的斜率分布；重复执行定位检测流程N次，构建非法入侵设备入侵信号的特征向量。