基于双向安全基线的工业控制系统异常检测方法研究

Industrial control system is widely used in the areas such as energy, transportation, metallurgy, and so on. It is the heart of the critical national infrastructure, and it is the important basis for the development of the national economic production and social civilization. Industrial control system has the characteristics of complicated application scenario, relatively uniform application layer data structure, the attack data hiding in normal protocol request medium characteristics, and so on. The research content includes the following three aspects: first, through the establishment of industrial control application layer protocol generalization model, starting from the data link layer of industrial control network traffic, extended upward to multi-layer fusion, and then to the underlying data for industrial control network semantic information extraction; Secondly, based on the migration of learning methods, make full use of historical samples, combined with a small amount of industrial control network instant samples, automated analysis, digging the dependent or causal relationship between the underlying data, completed the establishment of the industrial control network behavior of reverse baseline; Immune genetic methods will finally reference baseline from the aspects of features of the definition of industrial control network is extended to the model level, normal behavior modeling of industrial control network. This project research is helpful to solve the security problems of critical national infrastructure, to provide security for the national production and personal safety.

工业控制系统是覆盖能源、交通、冶金等领域的国家关键基础设施的核心，是国民经济生产和社会文明发展的重要基础。本项目结合工控应用场景复杂多样，以及工控应用层数据结构相对规整、流量差异小、攻击数据隐藏于正常协议请求中等特点，在工控数据特征融合及双向工控行为安全基线建立等方面进行理论及技术创新。研究内容包括以下三个方面：首先，通过建立工控应用层协议泛化模型，从工控网络流量的数据链路层开始，向上延伸进行多层融合，进而对面向工控网络的底层数据语义信息进行提取；其次，基于迁移学习的方法，充分利用历史样本，并结合少量的工控网络即时样本，自动化地分析、挖掘底层数据间的依赖或因果关系，完成工控网络行为逆向基线的建立；最后借鉴免疫遗传的方法将工控网络正向基线的定义从特征层面扩展到模型层面，对工控网络的正常行为进行建模。本项目研究有助于解决国家关键基础设施面临的安全问题，为国民生产和人身安全提供安全保障。

本课题结合工控应用层数据结构相对规整、流量差异小、攻击数据隐藏于正常协议请求中等特点，针对工业控制系统中异常检测技术进行深入研究。首先通过针对工控网络通信协议结构化语义分析及工控数据多类型、多维度特征分析，完成了工控网络底层数据解析、数据融合、特征建模等方面的研究。其次，研究了基于迁移学习的工控网络行为逆向安全基线建模方法，并且建立了多视角网络行为表征模型；提出了基于AdaBoost的集成极限学习机算法，采用机器学习方法建立工控网络行为逆向安全基线；提出了基于Tradaboost算法工控网络行为逆向安全基线建立方法。最后，结合轻量级免疫遗传算法相关理论方法，建立了工控网络异常检测的人工免疫模型；研究了基于多样化机器学习方法的正向安全基线，提高了恶意攻击识别的精度和鲁棒性，形成了基于多样化机器学习方法的正向安全统一防线；研究了工控系统在受到攻击时的安全检测及模型系统的安全状态估计，设计了一种观测器来保证在检测到攻击时立即调整系统，确保系统达到一个安全稳定的状态。