基于统计学习和深度学习的工业控制系统通信网络异常分类方法

摘要

本发明公开了一种基于统计学习和深度学习的工业控制系统(ICS)通信网络异常分类方法。该方法基于大数据量的工业控制系统通信网络正常运行时的流量，设计LSTM深度学习结构参数并进行建模分析。通过分析结合前期基于SARIMA在线统计学习模型所生成的实时通信流量数据阈值，设计关联算法分析背景流量与实时流量之间的数值关系。根据ICS网络异常事件分类算法对ICS通信网络异常进行具体分类。本发明以浙江省某工控安全虚实结合的靶场测试台进行实验分析，同时在实验室环境搭建实物仿真平台进行验证实验，并给出了详细的实例验证其算法的可靠性和准确性。

说明书

技术领域

本发明涉及工业控制系统网络异常检测，尤其是涉及一种基于统计学习和深度学习的工业控制系统通信流量异常分类方法，属于工业信息安全检测领域。

背景技术

能源、炼化和交通等关键基础设施是国家稳定运行的神经中枢，是我国网络安全的重中之重。随着国家大型基础设备(智能变电站，智能化工流程工业系统，工业分布式控制系统)的自动化，互联化以及智能化建设的推进，其网络空间安全问题日益凸显。近年来，一系列针对国家关键基础设施的网络攻击造成了极大的国民经济损失和对社会不可逆的破坏。这些顶尖黑客通过更隐蔽，更高效，杀伤力更大的入侵方式频繁入侵枢纽变电站，流程化工业系统甚至核电站的通信网络。目前，针对国家关键基础设施网络系统的防御与加固已经上升到国家战略层面，而通信流量分析则是工业系统安全问题公认最有前景的解决方案。通信流量智能化分析是将传统互联网领域的安全解决方案与现代化的电力通信网络和工业控制系统特性有机结合的交叉学科解决方案。通过流量分析技术提取工业控制系统运行中的网络异常事件，采用基于统计学习和深度学习相结合的方法可以达到对异常事件精准定位，定性以及定量分析，并从原理结构上对其进行详细分类。

根据相关报告和文献，所有针对工业系统的攻击都会在通信网络上有所体现。大多数的工控网络攻击都会导致相关的通信网络受损，不同的攻击类型导致网络受损的程度和位置会有所不同。以“Blackenergy”为主导的组合拳式的攻击以及一系列恶意代码注入会导致通信网络瘫痪，关键信道被阻塞，数据采集与监控(SCADA)系统被操纵，控制系统迟滞恢复与状态致盲等现象。由于ICS中的数据流量表现出不同的流量模式和类似于互联网流量的特征，因此可以通过生成数学模型加以分析，开发和理解ICS数据流量的特征。对于ICS通信流量这种复杂时间序列，一般采用回归算法进行建模及统计学分析。对于ICS通信网络异常分析及事件分类，一般采用传统的机器学习算法对异常事件进行离线分析与建模。目前的ICS异常检测算法无法对实时的异常进行精准定位，且存在较高的误报率。现有的ICS异常事件分类模型具有算法复杂程度高，对分类的原理解释性不强以及对ICS的典型网络异常分类的准确性不高的缺陷。且异常事件的分类方式一般为基于机器学习的离线分类方式，不能实时对采集的ICS通信流量进行动态分析并跟踪异常事件的源头，最后返回异常事件的种类。由于无法对ICS异常事件追根溯源，因此导致运维人员无法对ICS网络状况进行实时态势感知及预警，同时也无法采用对应的网络防御措施对其进行安全审计与加固。

发明内容

基于SARIMA统计学习及LSTM深度学习的工业控制系统通信网络异常分类方法可以对实时采集的ICS数据流量进行正常流量动态阈值生成，并根据组合分类算法对当前采集到的ICS数据流量，动态正常流量阈值区间，静态的背景流量预测值，伯克利滤波器滤波后的流量及白名单内记录事件的时间进行整合运算，从而快速，精准地对实时的ICS异常事件进行分类与溯源，达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知，预警以及安全防护升级。

本发明的目的在于解决在没有先验知识的前提下，对实时采集的ICS通信流量进行动态建模以及异常分类检测，针对现有ICS异常事件分类检测算法过于依赖先验知识，分类精确度不高及算法复杂度高导致无法实际部署等不足提出了完善的分析方法；设计的基于统计学习和深度学习的ICS网络异常事件分类算法模型对国家重大工业基础设施的网络安全防护及异常检测具有指导意义。

本发明的目的可以通过以下技术方案来实现：

基于统计学习和深度学习的工业控制系统通信网络异常分类方法包括如下步骤：

1)ICS通信网络的监控主机从ICS通信网络的工业交换机中实时采集通信流量数据，工业服务器存储实时采集的通信流量数据，；

2)根据ICS通信网络正常流量数据，设计LSTM深度学习模型结构参数并进行建模，生成离线LSTM深度学习模型并存储于工业服务器；

3)用多个小周期的SARIMA模型进行在线检测

分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)

4)在线LSTM模型辨识ICS通信网络背景流量

将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入，并在线输出对应的预测序列；

5)设计异常流量组合分类器，进行数值统计运算对ICS通信网络异常进行分类。

本发明的有益效果在于解决了ICS通信流量的网络异常检测及分类问题；生成的基于统计学习和深度学习的网络异常事件分类方法对ICS的网络安全防护具有指导意义。ICS网络异常分类方法能实时监测网络流量动态，快速分析网络异常事件。对典型的ICS系统提供实时、精准的异常网络事件源头定位，详细的异常事件产生影响及异常事件种类分析；从而为未来网络优化、网络调整、网络建设以及网络安全防护提供决策支持。本发明前期对实际采集的ICS通信网络流量进行精确可靠的实时动态建模，并根据组合算法在流量层面上针对不同的网络异常事件进行智能化的异常分类检测，能满足对典型ICS的入侵检测，分类安全防护以及安全态势感知。该发明能高效准确地抵御针对ICS的典型网络攻击，显著提升系统抵御典型网络异常的裕度。

本发明针对ICS通信网络流量的特点，深度结合现有基于SARIMA统计学习模型以及LSTM深度学习建模的理论。前期通过对实时采集的ICS通信流量数据进行分布式小周期的SARIMA模型建模，高效稳定的生成ICS通信网络流量实时阈值区间。根据阈值区间以及LSTM深度学习模型生成的ICS通信网络背景流量预测序列，设计的ICS网络异常事件分类方法可以快速，精准地对实时的ICS异常事件进行分类与溯源，达到对ICS网络流量进行异常检测的后续分析。最终实现对ICS网络状况的实时态势感知，预警以及安全防护升级。本发明实地采集浙江省某虚实结合的工控靶场以及工控测试台的ICS通信流量数据，并进行建模分析，建立具有适当参数的分布式小周期SARIMA模型。利用统计学习的思想，使用优化的SARIMA(p,d,q)x(P,D,Q)

附图说明

图1是本发明的方法流程图；

图2是本发明的实验测试台搭建效果图；

图3是本发明进行在线检测时多个小周期迭代的简明示意图；

图4是LSTM深度学习的算法框图；

图5是分布式SARIMA统计学习算法的多个小周期迭代的简明示意图；

图6是SARIMA统计学习算法与LSTM机器学习算法的交叉计算示意图；

图7是LSTM模型训练损失函数图。

具体实施方式

下面根据附图详细说明本发明，本发明的目的和效果将变得更加明显。图1为本发明的整体流程框图。

图2为本发明的实验测试台搭建效果图。实验根据前期采集了浙江大学某虚实结合的ICS靶场的通信网络流量搭建符合实验环境的ICS网络测试平台。该平台配置了工业PLC控制器，工业以太网交换机以及工控上位主机。其中上位机与PLC之间采用TCP/IP的通信协议。PLC到现场设备层之间采用工业类Modbus协议。对实际ICS通信网络流量进行采集并存储，对流量的特性进行离线分析。流量探针部署的位置在工控上位机与控制器之间的工业交换机上，分析流量的类型为单个交换机口的局部流量以及交换机镜像口的全流量。根据图1的发明整体算法流程框图，实验前期对镜像口全流量数据进行建模与数据分析，采用小周期的分布式SARIMA模型对实时采集的ICS通信流量数据进行动态阈值建模以及异常检测；后期采用LSTM深度学习算法对ICS通信网络背景流量进行预测建模，并结合组合分类算法对ICS网路异常事件进行溯源以及分类。

在无任何人为操作与干扰的情况下，本次实验一共抓取了正常运行的ICS通信网络中的Pcap数据包，大约运行时长为20小时，无丢包现象。另外抓取了ICS通信网络的背景流量Pcap数据包，大概运行时间为20小时，此背景流量数据包为ICS内的设备全部设置为待机模式，主机与监控机保持通信状态，无人为干扰与其他人为操作时的通信流量。其ICS通信网络流量的具体细节如图3所示，其中ICS正常流量的聚合尺度分别为1s，30s，60s。

参照图1所示的方法总体流程架构，一种基于统计学习和深度学习的工业控制系统通信网络异常分类方法，其包括如下步骤：

1)在ICS通信网络之中部署工业交换机、监控主机、测试主机以及工业服务器，监控主机从工业交换机中实时采集通信流量数据，工业服务器存储实时采集的通信流量数据，并由此搭建ICS网络测试平台，其中测试平台由ICS攻击注入平台以及网络安全平台构成，该ICS网络测试平台的搭建细节如图2所示；

2)根据大量的ICS通信网络正常流量数据，设计LSTM深度学习模型结构参数并进行建模，生成离线LSTM深度学习模型并存储于工业服务器；

2.1)参照图4的LSTM算法原理图，定义的LSTM深度学习算法的网络结构采用控制门的机制，由记忆细胞、输入门、输出门、遗忘门组成。其前向计算方法可以表示为：

g

i

f

o

s

h

其中W为权重矩阵，b为权重向量，用于设置在输入层，记忆层以及输出层建立连接。s

2.2)简化的基于ICS通信网络流量时间序列的LSTM深度学习模型函数如下：

Model

其中fLSTM()是简化的LSTM深度学习模型函数，该函数使用大数据量的ICS正常通信流量的训练序列X′

3)参照图5，分布式运行多个小周期的SARIMA(p,d,q)x(P,D,Q)

3.1)定义选定的流量聚合尺度以及小周期分析尺度，用SARIMA(p,d,q)x(P,D,Q)

SARIMA(p,d,q)x(P,D,Q)s模型是通过对ARMA(p,q)模型分别进行d阶差分以及D阶季节性差分计算得到的，ARMA(p,q)模型是由AR(p)以及MA(q)模型组合而成；

自回归滑动平均模型ARMA(p,q)定义如下：

X

上式：X

定义一个延迟算子B，BX

引入差分算子Δ

Φ(B)Δ

SARIMA模型通过对ARIMA模型进行季节性差分运算得到，SARIMA模型的定义如下：

Φ

其中ε

3.2)使用贝叶斯信息准则BIC对SARIMA(p,d,q)x(P,D,Q)

3.3)采用最小二乘法对SARIMA(p,d,q)x(P,D,Q)

3.4)采用最优BIC准则下的SARIMA(p,d,q)x(P,D,Q)

3.5)得到小周期的SARIMA(p,d,q)x(P,D,Q)

3.6)采集ICS工业交换机上的实时流量数据，根据设定的采样频率γ

3.7)对采集到的实时流量数据进行训练，在一个小周期内进行SARIMA(p,d,q)x(P,D,Q)

其中f

计算第i次迭代的预测均值

3.8)分布式运行小周期的SARIMA(p,d,q)x(P,D,Q)

其中

第i次迭代的正常ICS通信流量定义为：

其中

第i次小周期的ICS预测序列

其中函数∩为对两个时间序列集合取交集。

3.9)流量判定结束之后，继续下一个小周期的训练迭代，并重新输出新的最优模型以及模型适配的参数，对新输入的实时流量数据进行再次判定；

3.10)循环整个过程，直到达到设定的迭代次数。

假设ICS异常发生的现实对应时间为序列

其中t

第n次ICS异常发生在第

其中K

SARIMA在线检测算法所生成的动态ICS流量阈值区间的方差

其中k＝1,2，…，n

4)参照6所示的算法对照图，将出现异常的对应小周期SARIMA模型的训练集作为已存储的LSTM深度学习模型的输入，并在线输出对应的预测序列；

基于LSTM深度学习模型的在线ICS正常通信流量预测分析算法如下所示：

其中Model

离线运行的LSTM深度学习模型可作为先验知识验证ICS通信网络的正常背景流量。异常事件发生时所在的第

LSTM深度学习模型在线的预测序列的方差

其中k＝1,2，…，n

5)设计异常流量组合分类算法，通过对上述已获取的变量进行数值统计运算对ICS通信网络异常进行分类；

5.1)实时的时间标签误差算法定义如下：

其中预定义的误差ε作为限制异常事件时间戳与记录白名单时间戳偏差的临界值，

若

5.2)通过发生异常事件时小周期的在线SARIMA模型阈值上下限，以及LSTM模型预测的ICS通信网络背景流量，计算对应第

其中

由LSTM深度学习模型在线的预测序列的方差

因此当如下的不等式成立时，可以推断出ICS通信网络存在故障或异常；

此时ICS通信流量异常是由ICS网络端异常或者通信数据传输故障造成。

5.3)不同的网络攻击对ICS通信网络流量会产生不同的影响，特别是针对某些类型的报文消息。通过对实时采集分析的ICS通信网络流量采用了Berkeley packet Filter(BPF)滤波算法来区分不同的数据包类型，BPF滤波算法定义为：

其中

定义[X

此时type＝TCP,UDP,ARP……

该分布偏差的基线可由大数据量的ICS正常通信流量的训练序列

当

其中

此时的Att

由此检测到的ICS通信网络异常事件可以被详细分为ICS通信网络恶意行为操作，ICS网络端异常或者通信数据传输故障以及ICS通信网络恶意入侵攻击三类。

在对浙江大学某虚实结合的ICS靶场上实际采集的通信网络流量进行前期离线分析的基础上，针对ICS通信网络流量的特征，进一步在测试环境之中搭建实际的测试平台，部署的工业交换机，监控主机及测试主机并分为ICS攻击注入平台以及网络安全平台进行在线测试分析。如图2所示，该实验台逻辑上可分为攻击注入平台和ICS网络安全平。ICS网络安全平台配备了三套PLC控制器(ECS700)，一套内嵌探针算法机制的监控系统(Core i7,8086K)，一套搭载具备PLC指令上送下发以及组态配置修改发布功能的工控软件的工程师站(Core i5,8600K)和一个工业以太网交换机。攻击注入平台(Core i5,i5-6267u,MacBookpro)通过光纤连接到工业以太网交换机上对目标ICS控制系统注入恶意的网络攻击。工程师站与PLC之间的网络通信传输采用TCP/IP通信协议，PLC与现场设备之间的网络通信传输采用Modbus协议。搭载探针机制的监控系统从工业以太网交换机的镜像端口或通用端口动态采集ICS通信网络流量，并利用Python编写的基于统计和机器学习的混合异常检测分类方法内嵌到监控系统中，对恶意操作行为、网络异常和网络攻击进行及时的特征识别，异常检测以及详细分类。

分布式小周期的SARIMA模型对ICS通信网络流量进行建模分析，并实时生成阈值区间，其中定义的ICS流量的采样频率为1ms。

根据采集得到的ICS通信网络背景流量数据，选择合适的LSTM训练参数离线训练出基于LSTM深度学习的ICS通信网络背景流量模型。其LSTM训练参数表如下表所示：

表1

如图7所示，得到的离线ICS通信网络背景流量模型能很好的拟合带有时序性的背景流量，其训练的损失函数随着迭代步长的增加而减少，最终达到1.4％左右。图7中，横坐标的数据为LSTM模型训练的迭代次数(Epoch)，纵坐标为模型训练的损失函数(Lossfunction)；其中小方框内的图为损失函数下降较为明显的情况，其中的算法迭代次数(Epoch)为60-600，5000-7000，9500-11000时损失函数下降速度较快。模型的训练算法如下：

Model

其中Para[]为表1中的LSTM训练参数。

对存储的LSTM离线模型进行测试与验证。采集新一轮的ICS通信网络背景流量作为模型新的输入，并以实际的数据作为输出验证。截取采集的每200个序列为训练序列，20个序列为预测序列(总计220个为一个周期)，计算该预测序列的MAPE，RMSE值，并不间断采用新一轮的ICS通信网络背景流量，并重复10个分析周期，其MAPE，RMSE，Time如表2所示：

表2

其中1-220表示前1-200个数据样本为训练集，后201-220表示测试集。可以看出在每个分析的序列集中，MAPE值小于0.15，RMSE值大约小于100。441-660、881-1000、1001-1220样本具有相似的MAPE和RMSE，反映了ICS网络背景流量数据的周期性和自相似性特征。

对实时采集的ICS通信网络流量进行分布式的SARIMA(p,d,q)x(P,D,Q)

其时间序列所对应的时间戳为：

{13:52:19,13:52:20,13:52:21,…,13:52:50,13:52:51}，该时间戳表明ICS通信流量与工业现场实际环境相互吻合，物理信息空间上相互对应。

因此在对小周期T

验证SARIMA模型的建模特性之后，对下一个不同采样频率的ICS流量序列进行实时异常检测，定义的ICS流量的采样频率γ

SARIMA(5,0,3)x(0,0,1)

表3

SARIMA(5,0,3)x(0,0,1)

表4

测试算法对ICS网络异常事件的分类效果，此时由测试主机笔记本接入工业交换机，对监控主机进行TCP-flooding攻击；该异常流量序列在时序上的体现为单位时间内流量会存在突增的现象，攻击过后流量会恢复正常。TCP-flooding攻击于14:36:50注入，流量突增，随后于14:38:00停止注入异常流量。

此时阈值区间的上界时间序列为：

此时阈值区间的下界时间序列为：

其时间序列所对应的时间戳为：

{14:36:20,14:37:20,14:38:20,…,14:54:20,14:55:20}

通过上述模型，我们可以近似得到较短时间间隔内某实际时刻的正常流量阈值。例如在时刻14:36:20，当置信区间为95％时其正常流量的区间为[350.3,1650.3]，当置信区间为90％时其正常流量的区间为[398.3,1621.6]。由此我们可以得到正常情况下ICS某时刻通信流量的阈值模型。

由于时刻14:36:20,14:37:20,14:38:20时存在：

此时异常事件发生的实时时间为：

其中n为3，表示存在三处异常。

t

由公式

由

通过计算分析，此时存在

SARIMA在线检测算法所生成的动态ICS流量阈值区间的方差

对ICS异常事件来自计划之中的ICS检修或者是合法的行为操作的可能性进行评估。

通过查询行为审计时间表

由此可得该3个ICS异常事件为恶意的行为操作而非计划之中的ICS检修或者是合法的行为操作。

对ICS异常事件来自自身异常或故障带来的ICS通信网络背景流量显著变化的可能性进行评估。

由于三个异常发生在同一个小周期SARIMA模型的第17个迭代周期内。因此存在：

计算LSTM预测方差

因此存在：

由此可得该异常事件并非由网络自身异常或故障带来的ICS通信网络背景流量显著变化；ICS通信网络背景流量保持原有的模式，底层协议与心跳报文未受到影响。

对ICS异常事件来自网络攻击的可能性做评估。

计算BPF滤波之后的偏差

计算大数据量离线LSTM训练集下的包分布基准Dist

根据实际经验所得，ICS测试台的通信网络冗余数据较少，因此简单取：

由上可知最可能的异常类型为针对TCP报文的攻击，即TCP-Flooding攻击。因此Att

综上所述，在14:36:20-14:39:20这个时段，ICS通信网络存在异常事件，其异常事件产生的原因为恶意的非法，非授权操作，根据计算分析可知其为恶意入侵攻击，入侵者采用的攻击方式为TCP-Flooding攻击。