多层次工控系统异常检测方法研究与实现

作     者：马标 

作者单位：苏州大学 

学位级别：硕士

导师姓名：贾俊铖

授予年度：2021年

学科分类：0839[工学-网络空间安全] 08[工学] 0835[工学-软件工程] 0802[工学-机械工程] 080201[工学-机械制造及其自动化] 

主      题：工业控制系统 高周期性 异常检测 传感器数值 

摘      要：随着工业化和信息化的深度融合,工业控制系统在完成工业生产任务的基础上还需要具有数据分析、远程操控等功能,因此越来越多的工业控制系统打破自身的封闭性选择接入互联网,升级为工业互联网。虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。因此,为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。本文在现有工控异常检测方法的基础上,分析了工控数据的高周期性特点,完成了以下三部分的研究内容:（1）提出了一种基于融合马尔科夫模型的工控网络流量异常检测方法,能够检测更加复杂的语义攻击。该方法将工控网络流量映射为不同的状态事件,根据状态事件构建状态转移图,通过状态转移图将多周期混合流量进行分离并对每个子周期分别构建DFA（Deterministic Finite Automaton）模型,最后为了检测更加复杂的语义攻击在DFA节点中加入时间间隔信息。（2）提出了一种基于WAGAN（Wavelet Attention GAN）的工控传感器数值异常检测方法,通过检测现场设备的传感器数值发现异常行为。WAGAN模型通过多级离散小波变换分解重构的方式去除传感器数值的噪声并增强数据特征,然后使用注意力机制和LSTM（Long Short-Term Memory）网络学习数据的有效特征。最后使用重构误差和判别器误差的权重和来判断测试样本是否异常。（3）基于所提出的基于融合马尔科夫模型的工控网络流量异常检测方法和基于WAGAN的工控传感器数值异常检测方法,设计实现了一个多层次工控异常检测系统,此系统能有效检测工控异常。