引用本文

吕雪峰, 谢耀滨. 一种基于状态迁移图的工业控制系统异常检测方法. 自动化学报, 2018, 44(9): 1662-1671. doi: 10.16383/j.aas.2017.c160832

LV Xue-Feng, XIE Yao-Bin. An Anomaly Detection Method for Industrial Control Systems via State Transition Graph. ACTA AUTOMATICA SINICA, 2018, 44(9): 1662-1671. doi: 10.16383/j.aas.2017.c160832

http://www.aas.net.cn/cn/article/doi/10.16383/j.aas.2017.c160832

关键词

工业控制系统，状态迁移图，异常检测，田纳西-伊斯曼过程 

摘要

基于状态的工业控制系统入侵检测方法以其高准确率受到研究者的青睐，但是这种方法往往依赖专家经验事先定义系统的临界状态，且处理不了系统状态变量较多的情况.针对这一问题，提出一种新的基于状态迁移图的异常检测方法.该方法利用相邻数据向量间的余弦相似度和欧氏距离建立系统正常状态迁移模型，不需要事先定义系统的临界状态，并通过以下两个条件来判定系统是否处于异常：1）新的数据向量对应的状态是否位于状态迁移图内；2）前一状态到当前状态是否可达.文章建立了恶意数据攻击模型，并以田纳西-伊斯曼（Tennessee-eastman，TE）过程MATLAB模型作为仿真平台进行了仿真测试.仿真结果表明，该方法即使在系统遭受轻微攻击的情况下也有较好的检测结果，且消耗较少的时空资源.

文章导读

工业控制系统(Industrial control system)广泛应用于国家基础设施, 工控系统一旦遭到破坏可能会造成难以估量的经济损失甚至人员伤亡.一个典型的工业控制网路可分为企业网络层、控制网络层和现场网络层, 如图 1所示.

图 1  典型的工业控制系统网络架构

近年来, 由于IT系统的软件和硬件技术不断集成到工控领域, IT领域的一些漏洞和后门也出现在工控系统上.以智能制造为核心的工业4.0, 在推动工业转型的同时也使得工控系统面临更多来自互联网的威胁[1]. 2010年, 世界首个网络超级破坏武器"震网"病毒[2]被检测出来, 证明了工控系统是可被攻击并被利用的.此后又相继爆发了"毒区"、"火焰"等病毒和一连串的工控系统入侵事件.工控信息安全受到越来越多的重视, 针对工控系统入侵检测的研究也成为目前的一个热点.

由于工控保护机制的存在, 大的破坏性攻击容易被检测出来, 因此对入侵检测的研究越来越集中于隐蔽攻击[3-5].当前, 工控系统入侵检测的研究方法主要包含三类: 1)基于概率统计的方法[6-7]; 2)基于机器学习的方法[8-12]; 3)基于状态的方法[13-16].

基于状态的方法因为更好地考虑了工控系统的物理特性, 检测准确度高, 目前大部分研究都是基于此类方法[13].基于状态的方法通过历史数据和专家经验定义系统的临界状态, 实时监控系统当前状态与临界状态的距离以判断系统是否处于危险之中.Fovino等[15]通过监控系统状态的变化来检测复杂攻击, 创立了系统的虚拟镜像作为系统的内部表示, 并用规则语言描述系统的临界状态, 但是仅考虑了离散输入输出数据, 没有考虑连续数据. Carcano等[17]进一步考虑了连续输入和输出, 但在输入输出数据量庞大的情况下, 很难定义系统的临界状态.针对这一问题, Khalili等[13]提出了一个系统化的解决方案SysDetect, 该方案基于Apriori算法, 通过专家经验的判定可显著减少算法下一次迭代产生的候选临界状态数.但是该方法依然不能很好地处理高维数据, 且在一定程度上依赖人工判定.

针对当前工控入侵检测系统存在的问题, 本文提出一种新的基于状态迁移图的异常检测方法.利用工控系统与物理世界交互的特性, 采用数据驱动的方法进行建模, 即利用系统运行时系统变量的数据来建立检测模型.但考虑到数据维度可能过高, 不直接以系统变量数据来描述系统运行状态, 而是以相邻数据向量间的余弦相似度和欧氏距离来表征, 因而可以处理高维数据.状态迁移图刻画系统运行过程中的正常模型, 根据正常历史数据样本训练得出, 所以不需要依赖专家预先定义系统的临界状态.

图 2  工业控制过程:传感器和执行器易成为攻击目标

图 3  余弦相似度和欧氏距离取值示意

本文提出了一种新的基于状态迁移图的异常检测方法, 详细描述了其状态表示、状态图生成和在线检测过程, 建立了工控系统的恶意数据攻击模型, 并基于TE仿真模型进行了各项实验, 最后从时空资源消耗和检测性能两方面对方法进行了讨论.该方法具有较小的时空消耗, 且考虑了系统运行的动态特性, 能够快速检测出异常, 因而适用于资源受限和对实时性要求较高的工业控制系统.

作者简介

吕雪峰

数学工程与先进计算国家重点实验室硕士研究生.主要研究方向为工控安全.E-mail:lvxuefeng10@163.com

谢耀滨 

解放军信息工程大学网络空间安全学院讲师.主要研究方向为工控安全.本文通信作者. E-mail:yb_xie@163.com