一種非侵入式基于功耗分析的PLC異常檢測方法技術

本發明專利技術公開了一種非侵入式基于功耗分析的PLC異常檢測方法，該方法包括將一個電阻串聯接入PLC的電源模塊與CPU模塊之間，通過數據采集設備采集電阻兩端電壓降，獲取PLC運行時的功耗信息；將采集到的功耗進行樣本切分，對每個樣本提取合適的特征集合，形成特征值樣本；根據PLC正常運行時的特征值樣本訓練一個基于長短記憶單元的神經網絡模型，并將新采集到的待測功耗特征值樣本與LSTM網絡預測的特征值信息進行對比，以確定待測樣本是否為異常樣本，由此判斷PLC是否遭到攻擊。該方法無需修改PLC的軟硬件配置，相對原工業控制系統是非侵入式的，且能夠對PLC進行實時的監控，在不需要獲取PLC遭到攻擊時的異常樣本情況下就能實現對攻擊的檢測。

A non invasive method for PLC anomaly detection based on power analysis

The invention discloses a non-invasive method for anomaly detection of power analysis based on PLC, the method comprises a resistor is connected between the power of the PLC module and the CPU module, the data acquisition equipment acquisition voltage drop, power consumption information acquisition of the PLC runtime; the power consumption of the collected samples of segmentation each sample from the feature set, the formation of characteristic value of sample; according to the characteristics of the normal operation of the PLC when the value of training a neural network model based on the length of the memory element, and the new acquisition of the measured power consumption characteristics and the characteristic value of LSTM network prediction value information are compared to determine whether the sample to be tested the abnormal samples, thus determine whether PLC attack. This method does not need to modify the configuration of hardware and software of PLC, relative to the original industrial control system is non intrusive, and can be used for real-time monitoring of PLC in detection of attacks without abnormal samples get attacked by PLC.

【技術實現步驟摘要】
一種非侵入式基于功耗分析的PLC異常檢測方法
本專利技術涉及工業控制系統的安全領域，尤其涉及針對工業控制系統中PLC的攻擊的檢測與防御方法,具體公開了一種非侵入式基于功耗分析的PLC異常檢測方法。
技術介紹
工業控制系統是一個國家的重要基礎設施，在滿足人民物質需求，保障經濟可持續發展以及維護社會穩定方面具有重要作用。工業控制系統如果遭到惡意攻擊者的破壞，可能影響國民經濟的正常發展，甚至造成社會動蕩。因此研究與工業控制系統相關的安全監控技術，是一項與國計民生息息相關的工作，具有重大意義。最初的工業控制系統是以孤島方式運行的，使用專用設備與協議并且與外界物理環境相對隔絕，因此在很長一段時間內都是相對安全的。但是為了滿足企業不斷提高的經營管理要求，順應信息化以及工業化深度融合的潮流，隨著近年來信息技術以及物聯網的飛速發展，信息技術大范圍的應用于工業控制系統中。‘兩化融合’帶來了生產力的極大提升的同時，也給工業控制系統帶來了巨大的安全問題，由于外界網絡的接入，現在的工業控制系統不僅需要面臨來自企業內部的安全威脅，還可能遭受來自互聯網的攻擊。據ICS-CERT公布的數據顯示，2010-2013四年的時間里，全球工業控制領域相關的安全事件高達623件，這些事件中59％都發生在石油化工、核電、電力等能源行業，作為典型的技術密集型行業，一旦其工業控制系統因遭受惡意攻擊而出現安全問題，不僅會影響生產活動的順利進行，還有可能引起設備爆炸，工作人員傷亡等重大安全事故。工業控制系統所面臨的嚴峻安全形勢，引起了各界的廣泛關注。傳統的工業控制系統安全防護手段中，大多是將信息系統領域的安全防護手段移植到工業控制系統中來。由于硬件結構以及軟件系統的限制，工業控制系統中很多專有設備無法應用傳統的安全防護手段，由于資源的限制也無法經受頻繁的漏洞掃描；另一方面，侵入式的安全防護方法如安裝第三方軟件，很可能會給工業控制系統帶來新的潛在風險，而且工業控制系統運行過程中無法容忍哪怕短暫的停機或中斷。因此，傳統的安全防護方法無法很好地應用于實際中，一種非侵入式的安全防護方法則顯得尤為必要。PLC作為工業控制系統中的關鍵設備，直接與現場傳感器及執行器相連，控制工業現場的實施過程，一旦其運行指令遭到惡意篡改，就會造成巨大災難，今年來針對PLC的攻擊大幅度增加，而目前尚無針對PLC特性而設計的有效安全防護手段。因此，針對PLC本身的特性設計出一套安全防護系統，用于檢測對PLC的攻擊，能夠很好地加強針對工業控制系統的安全防護。
技術實現思路
針對上述存在的問題，本專利技術在對工業控制系統本身的特點進行深入研究的基礎上，提供了一種非侵入式基于功耗分析的PLC異常檢測方法，該方法能夠在不改變原系統的軟硬件的基礎上，對PLC運行的惡意指令進行實時監測。同時，該方法不需要對異常樣本進行學習，基于PLC正常運行時的功耗信息，就能實現對已知和未知攻擊進行檢測。由于PLC直接與控制現場進行通信，讀取傳感器中的現場信息并發送控制指令，因此針對工業控制系統的攻擊往往會通過獲取PLC的控制權限的方式，使其運行錯誤的控制指令，從而導致控制現場紊亂。該方法通過對PLC運行時的功耗進行分析，從而識別出PLC中運行的是正常程序的指令，還是遭到攻擊被篡改后的惡意指令。該方法通過在PLC的電源模塊與CPU模塊之間串聯一個電阻來獲取PLC運行時的功耗信息，由于現在普遍應用的PLC大多為模塊式的，因此串聯電阻不會對PLC的軟硬件做出修改，只需要在不同模塊的供電線之間接入一個電阻即可。通過以太網可以將PLC的功耗信息傳輸給上位機進行處理，上位機通過分析PLC的實時運行功耗可以判斷PLC是否遭到攻擊，因此，該方法是非侵入式的異常檢測方法，基于該方法可以完成實時監控系統，監控系統與原工業控制系統相對獨立，不會互相影響。該方法在進行異常檢測的過程中，不需要采集PLC遭到攻擊時的異常樣本進行學習，僅僅通過一段時間的正常樣本進行訓練，就可以實現對異常程序進行檢測的目的，因此它既可以檢測已知攻擊，也可以檢測未知攻擊。因而，該方法部署簡單，訓練方便，實用性強。該方法具體如下：步驟1：首先在PLC的電源模塊與CPU模塊之間串聯一個電阻(如0.1歐姆)，然后用數據采集器對電阻兩端的電壓降進行采集，采樣率為γ。由于電阻兩端的電壓降能反映其電流變化，而PLC的輸出電壓是穩定的，所以電壓降可以反映PLC的CPU功耗信息。步驟2：讓PLC運行正常的程序一段時間t1并對PLC的功耗信息進行持續采集，將采集到的功耗信息傳到上位機用于訓練模型，具體訓練步驟如下：1)將接收到的功耗信息按照t2的時長進行切分，切分后得到了一系列的正樣本S＝{s1,s2,…,st,…,sn}，其中st表示第t個樣本，包含t2時長的功耗信息。2)對得到的正樣本S進行預處理，過濾掉直流信號和高頻噪聲，得到有用的功耗信息樣本S′＝{s1′,s2′,…st′,…,sn′}用于后續分析。3)得到樣本S′后，先提取每個樣本的概率密度分布信息，然后利用LibXtract庫提取峰值、平均值、方差等基本時域和頻域的特征，將這些特征一起構成一個原始的特征樣本庫。4)由于特征樣本庫具有豐富但冗余的特征信息，所以接下來使用稀疏編碼算法從中提取具有區分度的特征組合f＝{f1,f2,…,fi,…,fm}，，其中，fi表示第i個特征，總的特征維數為m。因此，對于每一個功耗信息樣本st′，根據特征組合f，可以提取出一個對應的特征值樣本組合這樣，從最初得到的功耗信息樣本S＝{s1,s2,…,sn}中提取出最終的特征值樣本X＝{x(1),x(2),…,x(n)}，并將該樣本用于后續的訓練。5)用上述特征值樣本X＝{x(1),x(2),…,x(n)}訓練一個基于長短記憶單元(LSTM)的神經網絡模型，該模型可以學習PLC正常運行時功耗變化的信息，模型訓練好之后可以用于異常樣本的檢測。上述參數中，γ、t1、t2、m均可以根據實際需求自行設定，我們通過實驗得到一組較好的參數組合，其中γ為250KSa/s，t1為18小時，t2為5秒鐘，m為13。步驟3：完成初始LSTM網絡的訓練后，就可以對PLC進行實時檢測，采集PLC當前的功耗信息，傳送給上位機進行檢測，判斷PLC是否遭到攻擊，具體檢測過程包括如下步驟：1)將PLC運行時當前的功耗信息傳輸至上位機，上位機將得到的功耗信息按照t2的時長進行切分，得到待測樣本st+1。2)對于得到的每一個待測樣本st+1，首先進行預處理，然后按照特征組合f＝{f1,f2,…,fm}提取相應的特征值，最終得到一個特征值樣本3)用根據特征值樣本X＝{x(1),x(2),…,x(n)}訓練得到的LSTM網絡對時間序列進行預測，即根據前t個樣本的特征對下一個時間步(t+1)的樣本進行預測，即LSTM網絡會根據學習到的前t時刻的樣本序列信息來預測(t+1)時刻每一個特征值的大小，從而可以得到一個預測樣本4)對比LSTM網絡預測的樣本x(t+1)′與真實獲得的樣本x(t+1)，由于每一個特征值之間都會存在一定的預測誤差，因此最后可以得到一個誤差矩陣對于每一個特征的誤差而言5)根據得到的誤差矩陣對當前樣本進行判斷，如果誤差矩陣滿足關系則當前樣本為異常樣本，如果不滿足本文檔來自技高網...

【技術保護點】
一種非侵入式基于功耗分析的PLC異常檢測方法,其特征在于該方法具體如下：步驟1：在PLC的電源模塊與CPU模塊之間串聯一個電阻，然后用數據采集器對電阻兩端的電壓降進行采集，采樣率為γ；步驟2：讓PLC運行正常的程序一段時間t

【技術特征摘要】
1.一種非侵入式基于功耗分析的PLC異常檢測方法,其特征在于該方法具體如下：步驟1：在PLC的電源模塊與CPU模塊之間串聯一個電阻，然后用數據采集器對電阻兩端的電壓降進行采集，采樣率為γ；步驟2：讓PLC運行正常的程序一段時間t1，并對PLC的功耗信息進行持續采集，將采集到的功耗信息傳到上位機用于訓練LSTM網絡模型，步驟3：完成初始LSTM網絡的訓練后，對PLC進行實時檢測，采集PLC當前的功耗信息，根據前t個樣本來預測第(t+1)個樣本是否為正常樣本，步驟4：由于LSTM網絡每次都是根據前t個樣本來預測第(t+1)個樣本，因此在進行樣本檢測的時候，對前t個樣本進行實時更新，步驟5：持續對PLC進行檢測，一旦連續發現三個檢測樣本均為異常樣本時，則判定當前PLC中運行的指令并非原來的正常指令，而是遭到攻擊后的惡意指令，因此說明PLC已經遭到攻擊。2.根據權利要求1所述的非侵入式基于功耗分析的PLC異常檢測方法，其特征在于所述的步驟2具體訓練步驟如下：1)將接收到的樣本按照t2的時長進行切分，切分后得到了一系列的正樣本S＝{s1,s2,…st,…,sn}，其中st表示第t個樣本，包含t2時長的功耗信息；2)對得到的正樣本S進行預處理，過濾掉直流信號和高頻噪聲，得到新的功耗信息樣本S′＝{s1′,s2′,…st′,…,sn′}用于后續分析；3)得到樣本S′后，提取每個樣本的概率密度分布信息，并利用LibXtract庫提取基本時域和頻域的特征，將這些特征一起構成一個原始的特征樣本庫；4)使用稀疏編碼算法從原始的特征樣本庫中提取具有區分度的特征組合f＝{f1,f2,…,fi,…,fm}，其中，fi表示第i個特征，總的特征維數為m；因此，對于每一個功耗信息樣本st′，根據特征組合f，提取出一個對應的特征值樣本組合從最初得到的功耗信息樣本S＝{s1,s2,…,sn}中提取出最終的特征值樣本X＝{x(1),x(2),…,x(n)}，并將該樣本用于后續的訓練；5)用上述特征值樣本X＝{x(1),x(2),…,x(n)}訓練一個LSTM神經網絡模型，模型訓練好之后用于異常樣本的檢測。3.根據權利要求2所述的非侵入式基于功耗分析的...

【專利技術屬性】
技術研發人員：肖玉珺，徐文淵，馬卓然，張國明，
申請(專利權)人：浙江大學，
類型：發明
國別省市：浙江,33