[发明专利]一种基于多目标优化算法的工业控制系统安全防护方法及装置

权利要求书

1.一种基于多目标进化优化算法的工业控制防护方法，其特征在于，包括如下步骤：

步骤S1、针对工业控制系统中的攻击层、事件层和资产层，通过多层贝叶斯网络模型对工业控制系统信息攻击传播过程进行建模；

步骤S2、构建信息安全收益、功能安全收益和物理安全收益的安全防护需求指标及指标量化方法；

步骤S3、通过多目标猴王进化算法获取最优防护策略集；

步骤S4、结合不同的需求背景得出相应最优防护策略，应用所述最优防护策略对所述工业控制系统进行安全防护；

所述步骤S1包括：

根据网络漏洞信息和已知的网络攻击，将得到的无属性工业控制系统的攻击传播过程转换为包括攻击层、事件层、资产层的多层贝叶斯网络模型；

所述步骤S2包括：

在系统风险处于可接受范围内和有限成本的约束条件下，从信息安全、功能安全和物理安全三个安全防护需求角度构建适应度函数模型：

优化目标：max{SecA(X),SycA(X),StcA(X)}；

约束条件：Risk(X)≤Risk_Thr，Cost(X)≤Cost_Thr，SecA(X)≥0，SycA(X)≥0StcA(X)≥0；

决策变量：X＝{x₁,...x_i,...,x_m}_1×m；

参数定义：SecA(X)：在安全策略X下，系统的信息安全收益；

SycA(X)：在安全策略X下，系统的功能安全收益；

StcA(X)：在安全策略X下，系统的物理安全收益；

Risk(X)：在安全策略X下，系统的风险；

Cost(X)：在安全策略X下，安全部署成本；

Risk_Thr：安全部署可接受风险值；

Cost_Thr：安全部署可接受的成本；

m：防护技术数量；

c_i：防护技术x_i的成本；

定义系统安全状态为一组列向量：

其中，o_m表示第m个变量的安全状态值即贝叶斯网络节点，这里采用百分制评价实施安全防护技术后，系统在信息安全、功能安全或物理安全状态值，实施同一安全防护技术在三个安全目标表现存在优化或恶化或无影响；因此，o_m取值定义为：

定义状态偏移程度为D(X)，D(X)的计算过程如下所示：

构建数据集：

其中，表示在当前系统状态下，实施安全策略X下系统的安全状态，表示在当前系统状态下，不实施任何安全措施下系统的安全状态；

安全策略X实施后的系统状态偏移程度为：

根据上述计算方法，按照如下公式(1)-(5)分别计算多目标指标量化结果：

系统的信息安全收益SecA(X)＝D(X)|SecA(X)(1)

系统的功能安全收益SycA(X)＝D(X)|SycA(X)(2)

系统的物理安全收益StcA(X)＝D(X)|StcA(X)(3)

系统风险量化

防护成本量化

其中，P(x_i)表示节点x_i被攻击成功的概率，其值可以根据节点自身的条件概率表以及其父节点被攻击成功的概率；A_i表示对应的置产损失值；

所述步骤S3包括：

S301、初始化算法各项参数，生成安全防护策略初始种群；

S302、计算每个个体对应的目标值；

S303、根据Pareto支配关系，选出非支配解，选择性将其存储至EA，并更新EA；

S304、选择出全局最优个体作为猴王个体；

S305、计算子代种群；

S306、选择出个体为下一代种群；

S307、判断是否达到最大迭代次数，如果是，则输出最优策略；否则继续执行步骤S301～S306，直至达到最大迭代次数，输出最优策略。