本發(fā)明屬于工業(yè)控制系統(tǒng)技術(shù)領(lǐng)域，涉及一種基于雙輪廓模型的工業(yè)控制系統(tǒng)異常檢測方法。

背景技術(shù)：

由于工業(yè)控制系統(tǒng)廣泛采用通用軟硬件和網(wǎng)絡(luò)設(shè)施，以及與企業(yè)管理信息系統(tǒng)的集成，導(dǎo)致工業(yè)控制系統(tǒng)越來越開放，并且與企業(yè)內(nèi)網(wǎng)，甚至是與互聯(lián)網(wǎng)產(chǎn)生了數(shù)據(jù)交換。也就是說以前工業(yè)控制系統(tǒng)在物理環(huán)境上的相對封閉性以及工業(yè)控制系統(tǒng)軟、硬件的專用性將會被打破，通過互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)將有可能獲取相關(guān)工業(yè)控制系統(tǒng)較為詳細(xì)的信息，再加上運(yùn)營工業(yè)控制系統(tǒng)的企業(yè)安全意識普遍較差，這樣就給敵對政府、恐怖組織、商業(yè)間諜、內(nèi)部不法人員、外部非法入侵者等創(chuàng)造了可乘之機(jī)。

在ICS(工業(yè)控制系統(tǒng))中存在以下缺點(diǎn)：1)在ICS中由于設(shè)備商眾多，缺乏統(tǒng)一的系統(tǒng)硬件、操作軟件和應(yīng)用軟件、協(xié)議規(guī)范標(biāo)準(zhǔn)，導(dǎo)致在ICS組態(tài)時存在自身的脆弱性。2)該系統(tǒng)中應(yīng)用廣泛的Modbus TCP協(xié)議缺乏認(rèn)證、授權(quán)機(jī)制，數(shù)據(jù)為明文傳輸，只可能通過網(wǎng)絡(luò)中的安全網(wǎng)關(guān)對現(xiàn)場設(shè)備層的采集到的數(shù)據(jù)進(jìn)行安全防護(hù)，而傳統(tǒng)的安全防護(hù)方法主要是基于協(xié)議數(shù)據(jù)包格式匹配的過濾技術(shù)，這種規(guī)則配置方法很難攔截眾多惡意攻擊者的攻擊，如構(gòu)造符合協(xié)議規(guī)范數(shù)據(jù)包進(jìn)行攻擊。3)在現(xiàn)場設(shè)備層中設(shè)備寄存器值易被攻擊者篡改，而數(shù)據(jù)包格式依然符合協(xié)議規(guī)范，該攻擊不易被察覺，使企業(yè)管理層做出錯誤決策。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種基于雙輪廓模型的工業(yè)控制系統(tǒng)異常檢測方法，該方法能夠解決現(xiàn)場設(shè)備層中對未知攻擊和設(shè)備異常類別識別存在的不足。

為達(dá)到上述目的，本發(fā)明提供如下技術(shù)方案：

一種基于雙輪廓模型的工業(yè)控制系統(tǒng)異常檢測方法，在該異常檢測過程中涉及的工業(yè)控制網(wǎng)絡(luò)設(shè)備包括：安全網(wǎng)關(guān)、可編程邏輯控制器、現(xiàn)場傳感器設(shè)備和安全管理平臺、工程師站；所述安全網(wǎng)關(guān)包括異常檢測子系統(tǒng)和數(shù)據(jù)包深度解析系統(tǒng)，該方法具體包括以下步驟：

S1：工程師站對系統(tǒng)組態(tài)、運(yùn)行，各區(qū)域所在PLC對其IO模塊所接的受控設(shè)備進(jìn)行鑒別，匹配受控設(shè)備信息列表，形成主、從站的周期性通信方式；

S2：PLC將數(shù)據(jù)信息實(shí)時反饋給安全網(wǎng)關(guān)，安全網(wǎng)關(guān)的數(shù)據(jù)包深度解析系統(tǒng)提取數(shù)據(jù)特征，去除多余的屬性特征，只留下關(guān)于系統(tǒng)行為模式相關(guān)的特征，包括基于通信頻率的協(xié)議特征、數(shù)據(jù)包傳遞方向特征以及寄存器值變化規(guī)律；

S3：異常檢測子系統(tǒng)根據(jù)數(shù)據(jù)包深度解析系統(tǒng)所提取的特征向量，根據(jù)分類器進(jìn)行測量和統(tǒng)計，進(jìn)行異常檢測，并對異常結(jié)果向安全管理平臺發(fā)出警報。

進(jìn)一步，在步驟S2中，數(shù)據(jù)包深度解析系統(tǒng)針對Modbus TCP協(xié)議的報文格式規(guī)定數(shù)據(jù)包中應(yīng)該存在的特征字段以及這些字段的期望值，逐層對報文進(jìn)行深度解析，歸納協(xié)議的指令和狀態(tài)特征；

對于數(shù)據(jù)包協(xié)議特征集，通過建立一個的主、從站通信的滑動時間窗口，由周期性時間窗口對重要特征進(jìn)行頻率標(biāo)記，對數(shù)據(jù)包進(jìn)行周期性采集與特征提取，建立特征向量；

根據(jù)在Modbus TCP協(xié)議的ICS中，現(xiàn)場設(shè)備層主站、從站之間的通信存在高度的周期性特點(diǎn)以及對從站設(shè)備的周期性讀寫操作，得出包到達(dá)時間間隔規(guī)律、事務(wù)處理標(biāo)識符頻率、讀從站功能碼頻率、寫從站功能碼頻率、從站通信地址頻率、數(shù)據(jù)包的傳遞方向，從而基于通信頻率對每一類有規(guī)律的特征值構(gòu)造出特征向量X＝(x₁,x₂,x₃…x_n)。

進(jìn)一步，所述包到達(dá)時間間隔規(guī)律是指PLC對受控設(shè)備所發(fā)出的相同指令的時間間隔保持一致；所述事務(wù)處理標(biāo)識符頻率、讀從站功能碼頻率、寫從站功能碼頻率、從站通信地址頻率指的是，通過Modbus TCP協(xié)議特征和周期性的規(guī)律分析，得出數(shù)據(jù)包各個字段的特征頻率；所述數(shù)據(jù)包的方向是指PLC與底層受控設(shè)備數(shù)據(jù)交互時，依據(jù)數(shù)據(jù)包的源地址、目的地址生成數(shù)據(jù)包的傳遞方向。

進(jìn)一步，在步驟S3中，當(dāng)使用分類算法檢測Modbus TCP協(xié)議的向量特征時，先用k-means聚類算法對協(xié)議特征向量預(yù)處理：隨機(jī)選擇k個對象，作為初始化聚類簇，計算各個聚類簇中數(shù)據(jù)的均值，通過使用標(biāo)準(zhǔn)準(zhǔn)則函數(shù)，判斷聚類簇中心是否穩(wěn)定，該標(biāo)準(zhǔn)準(zhǔn)則函數(shù)定義為：

其中，x_k表示聚類簇中的某一個點(diǎn)，c_i表示某個聚類的均值；這樣既縮短了分類時間，又提高分類準(zhǔn)確度，滿足ICS的實(shí)時性要求，一旦檢測出異常情況立即產(chǎn)生警報通知安全管理平臺。

進(jìn)一步，在步驟S3中，通過分析可編程邏輯控制器與現(xiàn)場傳感器設(shè)備之間傳感器寄存器值，主控PLC計數(shù)寄存器值的規(guī)律性變化，生成時間與寄存器值的關(guān)系映射表，分析巨涌攻擊特點(diǎn)是攻擊者在t時刻篡改正常值使其突然增大，對照寄存器值關(guān)系映射表，設(shè)定寄存器閾值β為正常情況下輸出值的2倍，發(fā)現(xiàn)實(shí)時檢測值θ一旦超過閾值β，立即向安全管理平臺發(fā)出警報；只有當(dāng)實(shí)時的寄存器值沒有超過閾值β時，利用TCM-KNN算法分類器類進(jìn)行判別，這樣比僅僅運(yùn)用算法分類器的檢測方法更具有實(shí)時性；

考慮到寄存器值可能被攻擊者以每次數(shù)值的增量很小的數(shù)據(jù)篡改，系統(tǒng)難以察覺的特點(diǎn)，并且在ICS中一個完整的周期性運(yùn)行，在每一個周期的相同時間點(diǎn)上寄存器值是相同的或差別極小，依此規(guī)律，利用TCM-KNN算法分類器來檢測每個對應(yīng)時間點(diǎn)上實(shí)際寄存器值與映射表寄存器值的偏差，來實(shí)時監(jiān)測寄存器值是否正常；寄存器值一旦遭到篡改，安全網(wǎng)關(guān)立即將異常情況報告給安全管理平臺，記錄異常情況所在區(qū)域以及該區(qū)域PLC編號，向該P(yáng)LC發(fā)送控制指令。

進(jìn)一步，所述TCM-KNN算法是將經(jīng)典的分類算法K-近鄰與直推信度機(jī)(transductive confidence machines，TCM)相結(jié)合，以距離計算的方法(樣本之間特征向量歐式距離)根據(jù)已分類的ICS寄存器數(shù)據(jù)集對待測數(shù)據(jù)進(jìn)行分類；

為了量化實(shí)時寄存器值與映射表中寄存器值的差異程度，定義的奇異值來表示：

TCM中采用的置信度機(jī)制是基于隨機(jī)性檢測的，對置信度的估算采用隨機(jī)性檢測函數(shù)來進(jìn)行，定義P值為檢測函數(shù)的值實(shí)時寄存器值i相對于同類別y的P值：

在待分類樣本集中每個樣本對應(yīng)每類都有一個P值，P值可以計算為一次處理一個樣本，P值的取值范圍為[0,1]，P值越大表明i歸屬于y的可能性越大。

本發(fā)明的有益效果在于：

1、采用異常檢測的雙輪廓模型的思想，不斷對異常樣本的增加與學(xué)習(xí)，以及雙輪廓檢測模型的協(xié)同判別檢測，從而提高了異常檢測的準(zhǔn)確率及其泛化能力。

2、該雙輪廓模型的思想，不僅在數(shù)據(jù)采集區(qū)域針對寄存器值異常情況進(jìn)行檢測，而且控制層網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程提出了協(xié)議特征的檢測算法。

3、通過分析主、從站通信的高度周期性和協(xié)議特征規(guī)律，建立周期性滑動時間窗口，對可代表ICS的重要特征元素進(jìn)行標(biāo)記，構(gòu)造出數(shù)據(jù)元素豐富并具有代表性的特征向量。

c4、對于PLC寄存器值繪制關(guān)于時間的映射表，根據(jù)映射表規(guī)律設(shè)定閾值β，首先通過判別實(shí)時寄存器值是否大于閾值β，一旦發(fā)生異常就產(chǎn)生報警響應(yīng)，否則，再對實(shí)時寄存器值進(jìn)行TCM-KNN分類器監(jiān)測，這樣分情況的檢測有利于提高ICS的實(shí)時性。

附圖說明

為了使本發(fā)明的目的、技術(shù)方案和有益效果更加清楚，本發(fā)明提供如下附圖進(jìn)行說明：

圖1為基于Modbus TCP的ICS的異常檢測系統(tǒng)結(jié)構(gòu)圖；

圖2為Modbus TCP報文結(jié)構(gòu)圖；

圖3為PLC控制系統(tǒng)實(shí)例；

圖4為寄存器值檢測數(shù)據(jù)獲取流程圖；

圖5為基于聚類的SVM異常行為檢測模型；

圖6為寄存器值異常檢測算法流程圖。

具體實(shí)施方式

下面將結(jié)合附圖，對本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)的描述。

本發(fā)明針對工業(yè)控制系統(tǒng)中Modbus TCP協(xié)議特征，構(gòu)造基于通信行為頻率的特征向量，建立了基于異常行為的聚類算法優(yōu)化SVM的檢測模型。根據(jù)主控PLC傳感器寄存器值、計數(shù)寄存器值的高度周期性規(guī)律，ICS中控制寄存器模型預(yù)計輸出值與寄存器實(shí)際值的出入，建立了基于異常行為的TCM-KNN檢測模型，從而建立雙輪廓模型的異常檢測系統(tǒng)。

如圖1所示，在該異常檢測方法中涉及到的主要工控設(shè)備有：安全網(wǎng)關(guān)、主控PLC、受控設(shè)備、安全管理平臺、工程師站，各自扮演的角色為：

1.安全網(wǎng)關(guān)：包括數(shù)據(jù)包深度解析系統(tǒng)與異常檢測子系統(tǒng)，數(shù)據(jù)包深度解析系統(tǒng)對Modbus TCP數(shù)據(jù)包的深度解析與特征提取，異常檢測子系統(tǒng)是底層網(wǎng)絡(luò)與安全管理平臺交互數(shù)據(jù)的檢測與報警。其Modbus TCP協(xié)議特征如圖2所示。

2.主控PLC：在ICS中，按照監(jiān)控計劃，PLC被用做本地控制器。PLC擁有一個用戶可編程的存儲器，用于存儲指令以實(shí)現(xiàn)特定功能，如I/O控制、邏輯、定時、計數(shù)、三種模式的比例-積分-微分(PID)控制、通信、算術(shù)以及數(shù)據(jù)和文件處理。PLC可通過位于工程師工作站的編程接口訪問。如圖3所示。

3.受控設(shè)備：包括液位計、壓力計、溫濕度傳感器、執(zhí)行器等，負(fù)責(zé)工業(yè)生產(chǎn)過程中物理量的采集，并將采集信息經(jīng)PLC上傳至安全網(wǎng)關(guān)進(jìn)行異常檢測，同時，受控設(shè)備接受PLC的控制指令，完成指令動作，使工業(yè)生產(chǎn)過程有序進(jìn)行。

4.安全管理平臺：負(fù)責(zé)對安全網(wǎng)關(guān)安全機(jī)制的配置以及異常報警的處理。

5.工程師站：提供工業(yè)過程控制的工程師使用，對計算機(jī)系統(tǒng)進(jìn)行組態(tài)、編程、修改等的工作站。

本方案主要針對基于Modbus TCP協(xié)議的ICS，先由工程師站對系統(tǒng)組態(tài)、運(yùn)行，各區(qū)域所在PLC對其IO模塊所接的受控設(shè)備進(jìn)行鑒別，匹配受控設(shè)備信息列表，形成主、從站的周期性通信方式。

PLC將數(shù)據(jù)信息實(shí)時反饋給安全網(wǎng)關(guān)，網(wǎng)關(guān)的數(shù)據(jù)包深度解析系統(tǒng)提取數(shù)據(jù)特征，去除多余的屬性特征，只留下關(guān)于系統(tǒng)行為模式相關(guān)的特征，包括基于通信頻率的協(xié)議特征、數(shù)據(jù)包傳遞方向特征以及寄存器值變化規(guī)律。

然后，入侵檢測子系統(tǒng)的數(shù)據(jù)分析模塊進(jìn)行異常檢測，并對異常結(jié)果向安全管理平臺發(fā)出警報。

入侵檢測子系統(tǒng)是根據(jù)數(shù)據(jù)包深度解析系統(tǒng)所提取的特征向量，根據(jù)分類器進(jìn)行測量和統(tǒng)計。

對于協(xié)議特征的數(shù)據(jù)向量，由于ICS主從站通信的高度周期性，并分析Modbus TCP的協(xié)議特征，得出數(shù)據(jù)包交互時間間隔規(guī)律，事務(wù)處理標(biāo)識符頻率、讀從站功能碼頻率、寫從站功能碼頻率、從站通信地址頻率以及數(shù)據(jù)包傳遞方向等特征元素，構(gòu)造出特征元素豐富的向量X＝(x₁,x₂,x₃…x_n)，建立k-means聚類算法優(yōu)化SVM的異常檢測模型。最后得到ICS實(shí)時數(shù)據(jù)包構(gòu)造決策函數(shù)：

對于PLC傳感器寄存器值、計數(shù)寄存器值繪制周期性的時間—寄存器值關(guān)系映射表，得到系統(tǒng)運(yùn)行對應(yīng)寄存器值的規(guī)律。并根據(jù)此映射表分別設(shè)定各個寄存器值的閾值β，當(dāng)檢測到其實(shí)際值大于等于閾值β時，立即向安全管理平臺發(fā)出異常警報。當(dāng)寄存器實(shí)際值小于閾值β時，采用TCM-KNN算法對寄存器值進(jìn)行實(shí)時檢測，以防止篡改數(shù)值的增量很小異常情況。

在該工控系統(tǒng)中，一方面，根據(jù)ICS的Modbus TCP協(xié)議特征與系統(tǒng)運(yùn)行的高度周期性，由數(shù)據(jù)包深度解析系統(tǒng)得到協(xié)議特征向量，運(yùn)用基于聚類的SVM算法建立了基于行為模式的異常檢測系統(tǒng)，同時，基于行為模式的異常檢測系統(tǒng)極大提高了異常情況的識別能力，另一方面，現(xiàn)場設(shè)備層PLC中傳感器寄存器值、計數(shù)寄存器值的變化規(guī)律，生成寄存器值關(guān)于時間的映射表，構(gòu)造了TCM-KNN異常檢測模型，分析ICS正常運(yùn)行寄存器值與實(shí)時寄存器值的偏差，來實(shí)現(xiàn)寄存器值異常的檢測。因此，從ICS中的Modbus TCP協(xié)議特征和寄存器值變化規(guī)律兩個不同類別的角度出發(fā)，構(gòu)造出了雙輪廓模型的異常檢測系統(tǒng)，實(shí)現(xiàn)不符合主從站操作規(guī)律意圖、寄存器值篡改等異常情況，同時通過兩者的協(xié)同檢測與判定，極大提高了系統(tǒng)異常檢測率以及擴(kuò)大了異常情況檢測類別。

具體實(shí)施例：

基于雙輪廓模型的ICS異常檢測方法，主要涉及到以下3個模塊：數(shù)據(jù)包深度解析系統(tǒng)、異常檢測子系統(tǒng)、安全管理平臺。

數(shù)據(jù)包深度解析系統(tǒng)是逐層對報文進(jìn)行深度解析，關(guān)于Modbus應(yīng)用協(xié)議報文頭，它包含了傳輸標(biāo)識、協(xié)議標(biāo)識、長度和單元標(biāo)識等，以及標(biāo)記功能碼周期性特點(diǎn)，歸納各協(xié)議的指令和狀態(tài)特征，并根據(jù)主從站通信周期記錄通信行為頻率。

異常檢測子系統(tǒng)根據(jù)來自數(shù)據(jù)包深度解析系統(tǒng)的信息，實(shí)時數(shù)據(jù)分析，對于Modbus TCP協(xié)議構(gòu)造事務(wù)處理標(biāo)識符頻率、讀從站功能碼頻率、寫從站功能碼頻率、從站通信地址頻率的特征向量，建立k-means聚類算法優(yōu)化SVM的異常檢測模型，對于寄存器值提取其關(guān)于時間的映射關(guān)系表，先通過設(shè)定的閾值β判斷是否存在異常情況，如果實(shí)際值小于閾值，再通過TCM-KNN算法分類器模型進(jìn)行異常檢測，并將判斷結(jié)果實(shí)時報告給安全管理平臺。

安全管理平臺主要負(fù)責(zé)管理及監(jiān)視現(xiàn)場設(shè)備層到過程監(jiān)控層整個網(wǎng)絡(luò)的運(yùn)行。

對于ICS中基于Modbua TCP協(xié)議特征的異常檢測的主要方法是，從報文結(jié)構(gòu)的層面分析，Modbus/TCP報文包含了Modbus應(yīng)用協(xié)議報文頭(MBAP，Modbus Application Protocol)和協(xié)議數(shù)據(jù)單元(PDU，Protocol Data Unit)兩大部分，對于Modbus應(yīng)用協(xié)議報文頭，它包含了傳輸標(biāo)識(Transaction ID)、協(xié)議標(biāo)識(Protocol ID)、長度(Length)和單元標(biāo)識(Unit ID)。對于Modbus TCP通信常用的功能碼，比如，讀線圈功能碼01、讀輸入離散量02、寫單個線圈05、寫多個線圈15、讀輸入寄存器04、寫單個寄存器06等，該協(xié)議中對主、從站的通信存在高度周期性。因此，構(gòu)造數(shù)據(jù)包時間間隔、事務(wù)處理標(biāo)識符頻率、讀從站功能碼頻率、寫從站功能碼頻率、從站通信地址頻率、數(shù)據(jù)包傳遞方向的特征向量，建立k-means聚類的SVM異常檢測模型。

在ICS正常運(yùn)行情況下，由安全網(wǎng)關(guān)獲取訓(xùn)練樣本，采用k-means和SVM相結(jié)合的分類方法進(jìn)行異常檢測，先用k-means聚類算法將特征向量大致聚為k類，然后再對已經(jīng)聚好的k類用支持向量機(jī)進(jìn)行細(xì)分，這樣分類既縮短時間，又提高分類準(zhǔn)確度。其具體算法流程如圖5所示。

首先將樣本數(shù)據(jù)X₁，X₂，X₃…X_n作為輸入樣本，通過k-means聚類算法產(chǎn)生k個類別。然后，將聚類產(chǎn)生的數(shù)據(jù)作為輸入構(gòu)造SVM分類器，對ICS進(jìn)行實(shí)時異常檢測。

設(shè)定訓(xùn)練參數(shù)懲罰因子為c，徑向基核函數(shù)K(x_i，x)，針對聚類算法的結(jié)果，構(gòu)造分類超平面為w·x_i+b＝0，完成數(shù)據(jù)分類：

w·x_i+b≥1→y_i＝+1 (1)

w·x_i+b≤1→y_i＝-1 (2)

SVM線性分類問題化為二次回歸問題：

其中：y_i(w·x_i+b)-1+ξ_i≥0,ξ_i≥0,i＝1,2,…n，c>0為懲罰因子，ξ_i為松弛變量。然后引入拉格朗日因子α＝[α₁,α₂…α_n]，構(gòu)造對偶支持向量機(jī)

針對未知的實(shí)時檢測數(shù)據(jù)構(gòu)造決策函數(shù)

當(dāng)使用SVM分類Modbus TCP協(xié)議的向量特征時，先用k-means聚類算法對協(xié)議特征向量預(yù)處理，然后再對已經(jīng)聚好的k類用支持向量機(jī)進(jìn)行細(xì)分，隨機(jī)選擇k個對象，作為初始化聚類簇，計算各個聚類簇中數(shù)據(jù)的均值，通過使用標(biāo)準(zhǔn)準(zhǔn)則函數(shù)，判斷聚類簇中心是否穩(wěn)定，該標(biāo)準(zhǔn)準(zhǔn)則函數(shù)可定義為：

其中，x_k表示聚類簇中的某一個點(diǎn)，c_i表示某個聚類的均值。

對于ICS中主控PLC傳感器寄存器值、計數(shù)寄存器值關(guān)于時間呈現(xiàn)周期性變化的規(guī)律，寄存器值檢測數(shù)據(jù)獲取流程如圖4所示，通過系統(tǒng)多個周期下的正常運(yùn)行，繪制出寄存器值關(guān)于時間的映射表，分析寄存器值變化設(shè)定寄存器閾值β，首先通過判別實(shí)時寄存器值是否大于閾值β，一旦發(fā)生異常就產(chǎn)生報警響應(yīng)，否則，再對實(shí)時寄存器值進(jìn)行TCM-KNN分類器監(jiān)測，其檢測方法如下：

TCM-KNN算法就是依照已分類的樣本類別對待測樣本進(jìn)行分類，此異常檢測模型如圖6所示，為了量化待測樣本與現(xiàn)有樣本的差異程度，因此，定義的奇異值來表示：

其中，表示樣本i同類別y中所有樣本的距離，即距離序列，表示序列中第j個最小距離，代表樣本i與除類別y外的其他類別中所有樣本的距離序列，代表序列中第j個最短距離，k表示選取的最近鄰數(shù)目。同類別的樣本由于具有相似性，它們的特征向量在特征空間上的分布具有聚集性，樣本之間的距離比較小，不同類別的樣本存在差異性則相反。

TCM中采用的置信度機(jī)制是基于隨機(jī)性檢測的，對置信度的估算采用隨機(jī)性檢測函數(shù)來進(jìn)行，定義P值為檢測函數(shù)的值。

定義了待測樣本i相對于類別y的P值：

其中，#是集合的“勢”，表示有限集合的元素個數(shù)；α_i表示i的奇異值；α_j是集合中任意樣本的奇異值；j是類別y中奇異值大于i的奇異值的樣本個數(shù)；n是集合的元素個數(shù)；P值是待分類樣本屬于已存在的幾類樣本空間的概率。在待分類樣本集中每個樣本對應(yīng)每類都有一個P值，P值可以計算為一次處理一個樣本，P值的取值范圍為[0,1]，P值越大表明i歸屬于y的可能性越大。

在位于PLC上層的安全網(wǎng)關(guān)上設(shè)備中運(yùn)行基于TCM-KNN算法的異常檢測機(jī)制，根據(jù)寄存器值關(guān)于時間的周期性映射表，構(gòu)造寄存器值正常樣本集X'。

根據(jù)式(8)計算出正常樣本集X'中相對于某特征f的奇異值α_x。

由安全網(wǎng)關(guān)采集到的實(shí)時數(shù)據(jù)作為待檢測樣本Y，由式(8)計算出待測樣本Y相對于正常樣本的奇異值α_y。

從而依據(jù)式(9)得出樣本Y的P值P(α_y)。通常設(shè)定出p(α_i)的閾值τ為0.95，當(dāng)待檢測樣本P(α_y)≥τ時，判定為正常寄存器值，當(dāng)P(α_y)＜τ時，判定為異常寄存器值，并向安全管理平臺發(fā)送警報響應(yīng)。

因此，對于ICS的高度周期性特點(diǎn)，根據(jù)ICS協(xié)議特征提取以及主控PLC中傳感器寄存器值、計數(shù)寄存器值的變化規(guī)律，分別運(yùn)用基于k-means聚類算法的SVM和TCM-KNN算法分類器構(gòu)造異常檢測模型，從而構(gòu)造出雙輪廓異常檢測模型，從協(xié)議特征和寄存器值規(guī)律性變化兩個角度出發(fā)，由雙輪廓異常檢測模型協(xié)同檢測判別，極大提高了異常檢測率及異常情況類別。

最后說明的是，以上優(yōu)選實(shí)施例僅用以說明本發(fā)明的技術(shù)方案而非限制，盡管通過上述優(yōu)選實(shí)施例已經(jīng)對本發(fā)明進(jìn)行了詳細(xì)的描述，但本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解，可以在形式上和細(xì)節(jié)上對其做出各種各樣的改變，而不偏離本發(fā)明權(quán)利要求書所限定的范圍。