本發明公開了一種工業過程控制回路的欺騙攻擊檢測方法，該方法針對工業過程中的特定控制回路，利用其正常歷史輸入輸出數據進行閉環辨識，計算被控對象模型，利用測量信號和被控對象模型輸出之間的偏差進行攻擊檢測。該方法對控制系統進行建模，具有良好的可解釋性。其攻擊檢測具體到工業過程中的每一控制回路，特別是高攻擊風險的關鍵回路，能夠快速對受攻擊控制回路進行精準定位，這對工業過程控制系統的安全防護具有重要價值。

技術領域

本發明涉及工控系統的安全防護領域，具體為一種工業過程控制回路的欺騙攻擊檢測方法。

背景技術

網絡通信技術近年來在工業過程控制系統中廣泛應用，但這也使得欺騙攻擊嚴重威脅到工業過程生產安全。欺騙攻擊可以通過作用在控制系統的傳感器與控制器之間的通信線路上，篡改傳感器采集的被控物理對象狀態信息，影響閉環控制系統的正常運行。這就要求工業過程生產控制系統能夠對注入控制回路的攻擊信號進行實時監測。

現有的欺騙攻擊監測方法多基于簡單的數據驅動技術，通過提取出正常運行狀況下的數據相關性特征，以實現攻擊監測。但此類方法通?？山忉屝暂^差，沒有考慮到工業過程控制系統內部的結構特點。另外，此類方法檢測到攻擊后難以及時準確進行攻擊定位，這就給工業過程控制系統的有效安全防護造成困難。

因此，工業過程中亟需一種能夠對控制系統中攻擊進行精確檢測，同時在檢測到攻擊后快速定位到具體控制回路的攻擊檢測方法，以求更大程度地滿足工業過程控制系統的安全防護要求。

發明內容

本發明針對背景技術中存在的問題，提出了一種工業過程控制回路的欺騙攻擊檢測方法。該方法在采集到閉環系統正常運行時的輸入及輸出信號后，首先對閉環系統進行模型辨識。在此基礎上計算被控對象模型，基于模型輸出與測量信號構建系統進行攻擊監測，能夠實現對工業控制系統中特定控制回路的快速準確安全防護。該方法包括以下步驟：

1)針對由工業過程G_p(s)和控制器G_c(s)構成的工業過程控制回路，收集正常運行狀況下的輸入數據r(s)和輸出數據y(s)，其中收集的數據中應包括不少于k＝1次的r(s)數據變化及其對應的y(s)數據變化；

2)采用最小二乘法基于r(s)和y(s)進行閉環系統辨識，得到閉環系統模型G_m(s)，其中，r(s)為參考輸入，G_c(s)為控制器，u(s)為控制輸入，G_p(s)為被控對象，y(s)為系統輸出；

3)若G_m(s)中存在時延，則對時延部分進行逼近后轉步驟3)，否則直接轉步驟3)，其中采用的逼近方式包括一階pade逼近、二階pade逼近和泰勒逼近；

4)利用閉環系統模型G_m(s)和已知的控制器模型G_c(s)計算被控對象G_p(s)的估計模型

5)計算的輸出/與測量信號y_T(s)的偏差//

6)若符合以下攻擊判定條件之一，則視為攻擊存在并轉步驟7)，否則返回步驟5)：

攻擊判定條件1：的幅值絕對值/A_Th為幅值閾值；

攻擊判定條件2：的斜率絕對值/K_Th為斜率閾值；

攻擊判定條件3：條件1且條件1持續時間大于T_Th，T_Th為持續時間閾值；

攻擊判定條件4：條件2且持續增加。

7)按以下規則識別攻擊種類并進行安全預警，轉步驟5)：

a)僅滿足攻擊判定條件1，判定為浪涌攻擊；