基于RS485总线故障安全偏置电压的入侵设备检测方法及系统

本发明属于入侵检测，具体涉及一种基于rs485总线故障安全偏置电压的入侵设备检测方法及系统。

背景技术：

1、rs485总线由于其简单性和稳定性而被广泛用于工业控制系统(industrialcontrol systems，icss)中的实时分布式控制。现实世界的rs485总线网络包含数百个互连设备，呈现出广泛的网络布局。然而，由于计算资源和实时通信要求的限制，rs485网络中的大多数工业控制协议(例如modbus等)缺乏身份验证和加密等安全措施，攻击者可以将外部入侵设备直接连接到这些通信线路上以发起各种攻击，对icss的稳定运行造成了重大威胁。

2、当前rs485总线中对入侵设备的检测方法在实际设计时主要存在以下不足：

3、(1)检测成本过高。现有方法大多采用高采样频率的采集设备对总线中的通信信号进行采样以构建精细的信道指纹，对检测工具的硬件要求过高。

4、(2)信号特征提取繁琐。现有方法普遍需要对通信信号进行多维特征提取(时域及频域特征)，从而训练机器学习模型来识别通信信号中物理特征的变化。

5、(3)未充分利用总线中的通信资源。现有方法只考虑正常通信信号上的差异识别，未考虑入侵设备对总线空闲时刻电压信号的影响。

技术实现思路

1、本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于rs485总线故障安全偏置电压的入侵设备检测方法及系统，用于解决现有方法对外部入侵设备检测成本过高的技术问题。

2、本发明采用以下技术方案：

3、基于rs485总线故障安全偏置电压的入侵设备检测方法，包括以下步骤：

4、在网络初始化阶段，在网络空闲时刻对rs485总线任意位置的故障安全偏置电压信号和通信时刻的网关设备通信信号进行采样；

5、分别提取故障安全偏置电压信号和网关设备通信信号的电压幅值特征并协同构建信道指纹；

6、在检测阶段对故障安全偏置电压信号和网关设备通信信号进行重采样，生成待检测的信道特征，并与信道指纹进行差分处理生成差异信号；

7、在恒虚警率约束的条件下生成检测阈值，检测差异信号中是否存在入侵信号，最终判断外部入侵设备是否存在。

8、优选地，在网络空闲时，采集rs485总线任意位置处的m段故障安全偏置电压信号和m个网关设备通信信号。

9、优选地，分别提取故障安全偏置电压信号和网关设备通信信号的电压幅值特征具体为：

10、将每个网关设备通信信号内的高电平和低电平采样点标准化为相同的电压电平以获得幅值特征；

11、对m段故障安全偏置电压信号和m个标准化后的网关设备通信信号进行平均以降低噪声强度并构造信道指纹。

12、更优选地，标准化过程如下：

13、

14、其中，xcv表示一个网关设备通信信号，和分别表示一个网关设备通信信号中的高电平和低电平采样点，ave(·)表示采样点的平均算子。

15、更优选地，平均过程如下：

16、

17、其中，k＝1,2,...,n，yf[k]表示一段故障安全偏置电压信号和一个网关设备通信信号拼接后的采样点，yf[k]为信道指纹，xbv为一段故障安全偏置电压信号，为信道指纹中仍然残留的高斯白噪声，n表示从一段故障安全偏置电压信号和一个网关设备通信信号得到的采样点数。

18、优选地，差异信号sd[k]具体为：

19、

20、其中，s[k]为反映外部入侵设备存在的入侵信号，ωs[k]为差异信号中的高斯白噪声，attacked为网络中存在外部入侵设备，no attack为网络中没有入侵设备。

21、优选地，令h0:ωs[k]为网络未受攻击的原条件，h1:s[k]+ωs[k]为网络遭受外部入侵设备攻击的备择条件；则满足(sd[k]|h0)～n(0,σ2)，(sd[k]|h1)～n(ave(s),σ2)，n(·)表示正态分布，基于贝叶斯准则推导出似然比决策方程作为检测外部入侵设备的检测模型；当检测模型检测到信道特征大于检测阈值时，rs485总线网络中存在外部入侵设备。

22、更优选地，检测模型具体为：

23、

24、其中，sd[k]为差异信号，σ为ωs[k]的标准差，n为从一段故障安全偏置电压信号和一个网关设备通信信号得到的采样点数，z为标准正态分布表中计算概率密度的积分下限。

25、更优选地，在恒虚警率约束条件下，当恒虚警率分别设置为0.01％、0.1％和1％时，z的值分别为3.59、3.09和2.32。

26、第二方面，本发明实施例提供了一种基于rs485总线故障安全偏置电压的入侵设备检测系统，包括：

27、采样模块，在网络初始化阶段，在网络空闲时刻对rs485总线任意位置的故障安全偏置电压信号和通信时刻的网关设备通信信号进行采样；

28、提取模块，分别提取故障安全偏置电压信号和网关设备通信信号的电压幅值特征并协同构建信道指纹；

29、差分模块，在检测阶段对故障安全偏置电压信号和网关设备通信信号进行重采样，生成待检测的信道特征，并与信道指纹进行差分处理生成差异信号；

30、检测模块，在恒虚警率约束的条件下生成检测阈值，检测差异信号中是否存在入侵信号，最终判断外部入侵设备是否存在。

31、第三方面，一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于rs485总线故障安全偏置电压的入侵设备检测方法的步骤。

32、第四方面，本发明实施例提供了一种计算机可读存储介质，包括计算机程序，所述计算机程序被处理器执行时实现上述基于rs485总线故障安全偏置电压的入侵设备检测方法的步骤。

33、与现有技术相比，本发明至少具有以下有益效果：

34、基于rs485总线故障安全偏置电压的入侵设备检测方法，由于外部入侵设备在rs485总线中的非授权接入会不可避免地导致总线空闲时刻的故障安全偏置电压和网关设备的通信信号在幅值上产生变化。对总线空闲时刻偏置电压和通信时刻网关通信信号进行采样，分别提取电压幅值特征并协同构建信道指纹，通过对信道指纹上产生的差异识别来检测外部入侵设备。总线空闲时刻故障安全偏置电压和通信时刻网关通信信号两种总线通信资源的协同利用能够显著降低检测方法对采样频率和检测时间的需求；检测方法基于侧信道监控，不占用总线资源，同时基于恒虚警率约束动态生成检测阈值，实时适应检测环境，降低检测开销，实现了以极低成本的方式在rs485总线网络中对各类外部入侵设备的精准检测。

35、进一步的，构建了具有故障安全偏置的rs485现场总线网络的等效电路，从理论上分析了现场总线通信和空闲期间入侵设备对信号幅值的影响，证明了协同利用空闲时刻偏置电压和通信时刻网关通信信号构建信道指纹的有效性。

36、进一步的，依赖对等效电路的分析，设计信号标准化过程，仅提取信号时域的电压幅值特征，简化了传统入侵检测过程中所需提取的特征维度，降低了检测方法的存储、计算开销和硬件成本。

37、进一步的，利用空闲时刻偏置电压和通信时刻网关通信信号构建信道指纹，总线通信和空闲时刻信道资源的充分利用能够更全面快速地反映信道状态，降低检测时间，及时发现入侵设备。

38、进一步的，设检验原理和恒虚警率约束条件的利用摆脱了传统机器学习方法的训练过程，进一步降低检测成本的同时提升了检测模型的可解释性。

39、可以理解的是，上述第二方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

40、综上所述，本发明利用外部入侵设备对故障安全偏置电压信号和网关设备通信信号产生的影响，采用侧信道监控的方式对两种信号进行被动采样，并基于假设检验原理和恒虚警率约束识别信号中电压幅值特征的变化，实现基于rs485总线故障安全偏置电压的入侵设备检测方法。

41、下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。