关键基础设施中基于射频异常检测的PLC控制.docx
- 文档编号:8698626
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:11
- 大小:407.16KB
关键基础设施中基于射频异常检测的PLC控制.docx
《关键基础设施中基于射频异常检测的PLC控制.docx》由会员分享,可在线阅读,更多相关《关键基础设施中基于射频异常检测的PLC控制.docx(11页珍藏版)》请在冰豆网上搜索。
关键基础设施中基于射频异常检测的PLC控制
关键基础设施中基于射频异常检测的PLC控制
SamuelStone,MichaelTemple
DepartmentofElectricalandComputerEngineering,AirForceInstituteofTechnology,2950HobsonWay,Wright-PattersonAirForceBase,
Ohio45433,USA
文章信息:
文章历史:
在2012年1月16日收到 于2012年5月11日接受 在2012年5月29日在线发表
文章关键词:
SCADA系统 可编程序逻辑控制器 无线电频率的排放异常检测
摘要:
计算机的处理能力和效率的进步导致了信息技术(IT)的扩散,信息技术(IT)系统几乎在我们的日常生活的方方面面。
然而IT系统增加了对网络攻击的敏感性,是由于普遍性和IT系统的依赖。
数据采集(SCADA)系统的重要基础设施是特别关注和监控的。
要妥协地使用数据采集(SCADA)系统,特别是可编程逻辑控制器(plc)作为现场设备控制和监控远程进程,否则可能会带来灾难性的后果。
然而,因为他们的机载计算资源(如有限。
处理能力和内存),传统位级IT安全机制不适合维护制度。
本文描述了一种方法来检测异常的操作。
方法是从射频(RF)中提取使用信息来确定操作特征的变化由于恶意行为或系统故障。
实验结果证明用PLC的方法验证基础射频异常的检测是实用的。
1.介绍
现代社会是非常依赖电脑和信息技术(IT)系统的。
然而,这种依赖带来的威胁加剧,对系统进行恶意的网络攻击者成为造成威胁的更好装备。
2001年美国爱国者法案中的规定:
“私营企业、政府和国家安全机构越来越多地依赖于一个相互依存的网络关键物理和信息基础设施。
包括电信、能源、金融服务、水和运输行业.”2003年总统指令7[2]他们从恐怖袭击的目的中得知要求美国国土安全部优先保护关键基础设施资产。
由于对计算机和IT资源延伸的依赖,证明了每一个关键基础设施部门对自动化的重要基础设施和网络监控的功能的监控和数据采集(SCADA)系统控制的重要性。
SCADA系统是一个高度分布式工业控制系统,是在远程集中监测和控制操作 场的网站。
远程站点整合自动化设备,如可编程序逻辑控制器(plc),控制致动器和监控传感器与物理操作有关。
Stuxnet证明制度极易受恶意操纵,然而,有限的处理能力和内存的plc采用排除了在IT系统中一般的典型位级安全机制。
通过分析这些机制一般检测XX或异常活动数据可知更高层次的开放系统互连(OSI)的模型。
最近的研究利用属性是以最低的OSI物理层增加位级安全。
这独特的设备使用无线电频率(RF)足够使人们完成指纹识别。
这些电频辐射几乎不可能复制,他们就可以安全地防止凭证造假。
本文描述了一个基础射频的方法,它将信息提取 从射频特性来检测SCADA系统的异常操作。
异常行为可能是偶然的(如,引起的退化或失败的组件)或故意(如,网络攻击引起的)。
2.背景
数据访问和信任关系一般在移动通信和无线网络的系统验证中通过身份验证方法操作位级OSI模型层。
常见的身份验证凭证包括媒体访问控制(MAC)地址、电子数字(ESNs)、国际移动设备、IMEI数字。
在网络层,额外的保护机制包括使用防火墙和入侵检测系统(ids)来检测和阻止网络攻击。
在客户端,是用于保护病毒检测和基于主机的ids。
不幸的是,这些常见的保护机制通常不会在PLC-basedSCADA系统中实现。
由SCADA系统组成的大多数IT网络服务器和客户端电脑通常缺乏计算资源(如,加工能力和内存)。
此外,这并不少见,对于许多工业控制系统(包括组件plc)已经连续运行了几十年。
简单地说,这种功能的PLC运行能满足绝大多数的病毒检测和IDS的程序。
因此,Stuxnet所说的情况下PLC-based系统会接触到越来越多的威胁,其中包括有可能造成大量的物理损失。
考虑到无法实现位级SCADA系统的保护,本研究着重于在系统操作中利用物理属性检测射频排放的异常活动。
曾被用于设备射频状态评估的属性是分类、标识、身份验证和操作。
在此基础上的研究,这样的属性出现在射频SCADA等设备,是合理的。
然而,如果这些属性还有待确定就可用来检测异常操作。
本研究试图利用物理层特征检测在SCADA组件中的异常和恶意活动。
具体地说,它旨在评估射频发射的属性分类唯一性PLC操作的正常或异常。
PLC-basedSCADA系统的核心设备是半导体集成电路(IC)。
在半导体制造传授操作和环境因素的过程,变化的因素(即、电气)在集成电路设备,被他们设计成等价的。
用标杆划定来测试检查操作变化,以确保设备的功能特性是在公差定义之间,再提供给消费者。
事实上,公差应允设备已经成功利用集成电路的分类和验证独特的射频指纹之间存在固有的差异。
2.1排放收集
评估这领域的研究是利用不同的电响应来测量身体接触,从IC针来验证物理设计的真实性。
特别是相关性研究的目的从集成电路的分类和收集非接触电磁的评估射频排放验证。
对于给定的测试设备,若平均射频信号功率,显著低于“设计”参数,则使用近场射频信号响应,放置在测试设备附近,收集调查。
集合观察收集到的信号(如配置、细节、带宽和频率范围)在很大程度上取决于时钟频率 测试设备和经验基础上开发的。
输出由一个先进的数字采样和存储示波器近场探测的。
这个数字信号用于开发射频指纹而使用处理的。
结果射频指纹图谱可以用于分类测试装置(即,一个对M个的比较,确定最佳匹配)或验证测试设备(即,一个一对一的比较确定匹配的程度)。
2.2基于异常检测认证
生物分类和身份验证方法是耆那教徒以及其他人的。
形成了我们努力检测异常PLC操作的基础。
作为一个演示中的概念验证,身份验证被实现为一个对一个射频指纹代表与当前的操作和存储参考指纹代表比较,是“声称”正常运行的条件。
射频指纹已经以类似的方式使用PIC微控制器有更好的操作,达到99.5%的准确率。
评估是基于分析接受者操作特征(ROC)曲线和常用的二元分类问题如生物认证。
在一个二进制分类里,索赔是验证(即,积极的结果)身份验证(即,阴性结果)。
在PLC异常检测设备中,测试运行在两个可能的条件之一:
“正常”或“异常”。
我们的目标是准确地确定测试设备是否正常运行。
这是通过声称正常运行,不管实际的未知操作正常或异常。
如表1中详细介绍,有四种可能,这一过程要注意,操作正常和声明是基于操作凭证与成功的目标异常分析检测。
在异常检测的背景下(即,一个异常条件存在、声明等),真正的接受和真正拒绝的结果都代表成功。
在另一方面,错误的接受和拒绝虚假的结果,表示失败的条件,必须加以解决。
2.3基础关联处理
从后验概率的角度来看,分类可以和认证相关的流程共同实现。
然而,这样做的会有相当大的计算复杂度、分类和功能。
尽管量化和降低计算的复杂性算法的研究仍在继续,系统的实现和有限的计算资源仍然是有问题的。
基础关联方法是另一种减少计算的需求,基础关联在最佳匹配滤波处理应用程序中常见的一个例子是估计数字通信符号。
它也被运用于图像处理等领域,在嘈杂的环境中需要识别的信号,相关性是相对简单的可实现和预测的计算复杂度。
给定两个离散序列x[n]和y[n],kth-lag的相关元素Rxx[k]和Rxy[k]相关的序列计算:
3.实验方法
用基础关联的方法来检测异常PLC操作条件,我们的目标是可靠地区分期望的正常操作和不期望的异常操作。
作为一个概念验证,基础关联最初实现的使用过程是从PIC24F微控制器实验射频信号数据来描述的。
根据初步调查结果,这一过程 扩展到时域射频信号是根据从艾伦布拉德利PLC中收集的一个数据。
正常和异常信号生成基于下载和测试设备上执行梯子逻辑程序。
三次时域信号被用来评估异常检测和正常操作的信号,两个异常操作信号,是加性高斯白噪声和背景扩展的信号的噪比。
图1-异常检测过程
3.1处理概况
图1说明了异常检测的过程,确定是否一个未知序列Xc[n]与相关联正常或异常的操作条件。
检测异常测试装置活动的过程是基于离散的一系列操作,包括五个步骤:
1.收集操作测试设备的射频信号。
2.计算互相关系列数控CNC[k]的收集测试装置信号与已知的参考信号。
3.从自相关系列神经网络CNC[k]减去互相关系列数控CNC[k]的参考信号。
4.计算之间的差异的大小在系列自相关和互相关系列之间。
5.比较不同阈值的大小来确定收集到的信号代表异常操作。
这个过程是与这组序列信号无关的,{xN[n],xR[n],xC[n]},并不局限于一个特定类型的信号。
在我们的工作中,序列代表离散,从中采样时域波形或基于特征序列。
这些序列类型更详细地解释在章节3.3和4.3。
3.2测试装置操作条件项目
一个正常和两个异常操作条件由三个独立的梯子逻辑程序表示。
注意,这三个项目NOp=5PLC的业务长度、使用MOV和SQR命令执行移动分、平方根操作(图2)。
根据每个操作,结果保存到寄存器中如图2所示,异常操作条件项目,均值分析#1和均值分析#2,是由在正常操作或更换PLC操作条件程序重新排序的,正常的,则模拟潜在的破坏性或恶意修改。
梯子逻辑程序重复执行,直到关闭或停止了PLC的用户干预。
测试设备时从执行的一个梯子逻辑程序收集了PLC的信号。
图2-梯子逻辑程序、操作重新排序和操作替换
图3-信号响应波形正常或异常条件
3.3测试设备的信号
三种响应时域信号波形类型用来评估异常检测:
(i)一个正常的操作的信号(sN[n]);(ii)两个异常操作信号(sA1[n]andsA2[n]);和(iii)摘要背景信号(sB[n])。
所有的数字经过巴特沃斯带通滤波器滤波后信号的收集和采样使用一个公式NOrder=8-order出口押汇的中心频率WBP=57兆赫和带宽=2MHz。
正常和异常操作状态信号如图3所示的反应是从测试设备各自的梯子逻辑程序的执行收集的。
信号的形状表明MOV的存在或SQRPLC的操作。
而正常的和均值分析#1信号响应的波形有相同的长度(关于时间),均值分析#2波形较短,是由于更换一个长SQR操作与短MOV操作。
3.3.1正常信号响应波形
图3中的正常波形是测试设备收集到的,艾伦布拉德利slc-50005/02CPU模块执行正常运行梯子逻辑程序。
在采样率信号响应波形收集中fs=250MSps是使用近场探头基带带宽为WBB=1GHz。
近场探头是定位在NXPslc-500微控制器主板,响应是向下取样的fs=12.5信号负责处理。
正常的波形具有明显的 不同长度的区域对应的NOp=5梯子逻辑PLC操作。
3.3.2异常信号响应波形
异常操作波形生成通过收集信号数据slc-500CPU模块执行异常时的梯子逻辑程序。
异常梯子逻辑程序生成异常波形是由重新排序或替换操作在正常梯子逻辑程序上。
注意,这两个异常波形类似于图3中不同的区域正常的波形,每个区域对应一个PLC操作。
3.3.3背景信号响应波形
一个关键目标是描述异常检测性能在不同的信号噪比(信噪比)的条件下。
实现所需的信噪比条件下,一个类似过滤情况背景信号添加到过滤正常异常信号响应范围有效的信噪比。
3.4信号的相关性
如果一个测试设备操作正常或异常,在实现信号相关性上提供了一个衡量相似性通过比较已知的参考序列xR[N]和用一个未知的收集序列xC[n]来确定,参考序列集等于正常的信号反应sN[n]:
自相关函数在Eq.
(1)被用来生成神经网络向量向量CNN[k]在3.1节中指定。
Eq.
(2)中所述的互相关函数用于生成数控CNCk]向量也在3.1节中指定。
这两个 相关系列是减去获得相关不同矢量C∆[k]。
3.5异常检测过程
量化的一种方式之间的差异的相关结果与已知参考信号波形的正常运行和收集操作波形需要确定信号响应是正常的或异常。
矢量C∆[k]的大小差异量化的f ∆(C∆[k])函数(图1)。
我们的目标是计算单个测试统计值
,代表与已知引用相关的区别波形和收集到的波形测试设备。
3.5.1。
计算检验统计量
测试统计
旨在量化C∆k]作为一个单一值。
当多个方法的量化差异向量被认为是最终的2-norm使用方法。
一个向量的2-norm∥⃗x∥2提供了一个衡量向量的大小[20]。
一个向量的2-norm⃗x的长度n等于
实际上,2-normC∆[k]代表一个量化已知的正常信号和收集操作信号之间的区别。
这函数f∆代表了计算过程检验统计量
:
一个主要因素A1用于规范2-normC∆[k]和确定经验提供一个合理的范围内的
值。
3.5.2时阈值(at)计算
CNC[k]互相关的结果是影响likefiltered情况背景标记sB[n]。
如果阈值的值 aT在图1的流程图中,就是计算基于原始正常波形xN[n]=sN[n],然后用相同情况造成波形正常信号xN[n]=sN[n]+sB[n]检测的异常操作。
一个有效的阈值aT是经过使用多个计算确定的
值与多个不同的随机实现正常信号的模拟情况下提供sB[n]信噪比值。
At这个值是基于的标准偏差和测试统计
多个计算的意思:
将
的值添加到阈值的平均值
根据所需的平衡允许调整错误的接受。
得出更高的阈值结果更多的错误的接受(即,异常操作条件验证为正常)和较低的阈值结果更多的虚假拒绝(即,发现正常操作条件异常)。
例如,使用mσaˆ=1.96σaˆ添加到平均值µaˆ结果在95%的置信区间。
这表明大约95%的预期aˆB值xN[N]+x[N]信号响应下降范围µˆ±1.96σˆ假设一个高斯分布的多个aˆ值。
因为只有aˆ值超过阈值导致异常,2.5%的aˆ值正常波形情况下xN[n]=sN[n]+sB[n]的计算应高于阈值。
基于实证结果这个阈值可以调整使用不同的mσaˆ值。
4.实验结果
第三节中所描述的实验方法被用来演示方法能够准确地检测异常条件由梯子逻辑程序和上述收集到的信号。
异常检测过程是评估使用单一收集信号响应波形正常,在Anom#1,和Anom#2条下每个结合情况在异常检测噪声的影响。
此外,过程是使用NS=60收集信号评估响应波形正常,在Anom#1,和Anom#2条件下,结合每个情况收集的有效性能之间的差异考虑多个波形对于一个给定的梯子逻辑程序。
4.1基于单响应检测(波形)
异常检测使用一个代表信号响应波形正常,Anom#1,Anom#1的操作条件。
异常检测过程是重复信噪比∈[−25,30]dB。
对于每一个信噪比值验证,进行异常检测使用NC=200随机生成不同的模拟情况信号。
这导致钠=200aˆ每个操作条件的值在每个信噪比值验证。
图4显示了测试结果统计ˆa和信噪比正常操作Anom#1和Anom#2运行正常和异常值。
注意,异常的aˆ值信噪比∈[−15,30]dB这个范围内观清晰可辨。
然而,对于信噪比∈(−−25日15)dB的aˆ值,是正常和异常操作重叠和范围并没有完全分离。
图4异常和正常条件aˆ(单值基于响应波形)。
4.2.多个响应检测(基于波形)
4.1节中描述的异常检测过程是重复使用NS=60收集信号响应波形,每个正常操作条件,Anom#1,Anom#1的操作条件。
在单一反应情况下,多个响应过程是重复信噪比∈[−25,30]dB。
结果提出了信噪比∈(0,40)dB由于使用多个响应aˆ退化分离性。
对于每一个信噪比值考虑,进行使用Nz=10个不同的随机生成的模拟情况背景信号的异常检测。
这导致一个总数Na=600aˆ值在每个信噪比为每个操作条件价值的考虑。
图5显示了aˆ的测试结果统计和信噪比正常运行正常和异常值,操作Anom#1和Anom#2。
由于变化而收集到的波形对于给定的运行条件,aˆ的方差大于单个响应波形。
包括aˆ的正常范围值异常范围值。
注意,aˆ值正常和异常范围操作如图5所示的重叠部分,并不是所有信噪比的值都被认为是可分离的。
图5-异常和正常条件aˆ值(基于多个响应波形)
4.3.基于异常检测
异常检测的失败是过程中收集了多个响应波形而需要另一个代表异常和正常的操作条件。
之前的研究工作(5、11、6、12)已经成功地使用统计特性将收集到的波形中提取分类和验证。
因此,我们的下一个步骤是考虑使用的序列形成的统计特征波形作为输入的异常检测过程。
因此,我们的下一个步骤是考虑使用的序列形成的统计特征波形作为输入的异常检测过程。
如上所述,异常检测过程的信号不可论之的,应该使用离散输入序列。
在基于异常检测的情况下,每一个的输入序列,{xN[n],xR[n],xC[n]},是一系列的值代表给定时域波形的统计属性。
基于波形的指纹(5、7)提取和统计的过程被用来创建一个复合指纹特征。
维数序列的使用降低了复合指纹的异常检测。
波形序列是在我们的研究被表示为ND=7500维的矢量考虑的。
这waveform-based序列向量的维数是基于采样率fs时域波形的长度和时间TWF:
一个复合指纹序列生成波形序列是通过以下步骤。
1.将波形序列划分为NR区域。
2.计算瞬时信号特性,是以相位φ,振幅,频率f,为条件的。
3.减去平均值µ收集每个区域每个信号特性偏差。
4.计算每个子区域中的每个信号特性统计属性,标准差σ,方差σ2,偏态γ,和峰度κ。
5.在一个复合指纹序列值的区域有信号属性,附加结果统计属性和统计属性。
6.执行步骤2到4总波形和结果附加到结束的复合指纹序列。
复合指纹特征的向量的维数作为输入序列异常检测过程。
图6-复合指纹序列生成[7]
图6所示,复合指纹序列生成过程,结果在一个ND=156维向量R=12的和总信号,NStat=4每区域统计属性,每个区域NFeat=3信号属性。
4.4基于多个响应检测(功能)
在4.2节中异常检测过程是重复使用相同的Ns=60响应波形信号,每个操作正常条件,Anom#1,Anom#1操作条件。
在4.2节,多个响应过程是对比重复信噪比∈[−25,30]dB和信噪比的结果得出了∈(0,40)数据库,允许直接比较图5中的结果。
对于每个信噪比价值考虑,进行异常检测过程使用NC=10的不同随机生成的模拟情况背景信号。
这导致Na=600为每个操作条件在每个波形信噪比价值考虑。
这一过程不同于time-domain波形的过程,复合指纹为每个生成的波形。
注意,指纹复合使用作为输入序列的异常探测器。
图7显示了测试统计aˆ和信噪比的值在正常运行和异常操作Anom#1和Anom#2。
注意异常的aˆ值观清晰可辨,正常的aˆ值信噪比为∈[10,40]dB。
然而,对于信噪比∈(0,10)dB,aˆ值范围对正常和异常业务重叠和不完全分离。
图7-异常和正常条件aˆ值(基于多个响应特性)。
5.结论
实验结果提供有用的见解和动机来对炼油RF-based集中方法关注异常PLC操作的检测方法。
特别值得一提的是,结果表明,correlation-based异常检测使用一个采集波形响应pre-filtered信噪比∈(−15、30)dB提供足够的可分性,来区分正常和异常的操作条件。
然而,当使用多个收集time-domain波形响应时,Waveform-based的性能将实现将显著下降,和有效的差异化不再是可能的。
这个问题可以使用基于特征加以解决,异常检测是基于射频指纹特征从波形振幅、相位和频率响应提取。
特别是,使用射频指纹特性从同一组的多个采集时域波形收益率的反应来定性的可微性之间的正常和异常操作条件pre-filtered信噪比∈[10,40]dB。
这些有利的结果为进一步的研究提供了坚实的基础,研究集中在PLC设备的验证基于射频排放。
未来的研究将集中在正式waveform-based分析和基于特征的异常检测。
射频指纹的某些元素功效是不选择优化或处理的原因。
我们未来的研究将确定选择特性的相关性来检测异常和实现空间的效率(即,使用一个最低值的射频特性实现健壮的可微性)。
结果提出了射频特性是基于从一维(1d)时域波形响应中提取。
其他1d波形(如,Fourier-based光谱域的反应和2d)时频响应也将被认为是提高异常检测的选项。
注意,本文作者的观点并不能反映美国空军,美国国防部或美国政府官方政策或位置。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关键 基础设施 基于 射频 异常 检测 PLC 控制