抗温度干扰的工控系统物理入侵检测阈值估计方法及装置与流程

1.本发明涉及工控系统攻击检测技术领域，尤其涉及一种抗温度干扰的工控系统物理入侵检测阈值估计方法及装置。


背景技术：

2.工业控制系统大多采用现场总线结构，将通信网络与互联网隔离，较容易抵御网络入侵攻击，但由于工业控制系统的大多数设备部署在远程无人值守的地方，攻击者可以很轻易地接入物理入侵设备来控制整个工业控制系统，导致如何对工业控制系统进行物理入侵检测成为当前的研究热点。但现阶段对于物理入侵检测方法的研究缺乏考虑不同温度变化，在实际应用中，由于季节更替、气候变化、设备自身运行产生热量等因素的影响，环境温度并不是保持恒定不变的。当环境温度改变时，不仅会导致设备或者导线的温度变化，进而使阻抗发生变化，难以准确地对对工业控制系统进行物理入侵检测，甚至会导致物理入侵检测方法失效。


技术实现要素：

3.为了克服现有技术的缺陷，本发明提供一种抗温度干扰的工控系统物理入侵检测阈值估计方法及装置，能够考虑环境温度对工控系统物理入侵检测的干扰，提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
4.为了解决上述技术问题，第一方面，本发明一实施例提供一种抗温度干扰的工控系统物理入侵检测阈值估计方法，包括：
5.根据所述工控系统的实际工作环境设置环境温度范围，并从所述环境温度范围内选择多个不同的测试温度；
6.在每一所述测试温度下，控制物理入侵设备与所述工控系统连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的入侵测试信号，以及控制所述物理入侵设备与所述工控系统断开连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的未入侵测试信号；
7.对于每一所述测试温度下的入侵测试信号和未入侵测试信号，将所述入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将所述未入侵测试信号与所述标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征；
8.当得到所有所述测试温度下的入侵特征和未入侵特征时，根据每一所述测试温度下的入侵特征和未入侵特征，确定每一所述测试温度下的检测阈值。
9.进一步地，在所述当得到所有所述测试温度下的入侵特征和未入侵特征时，根据每一所述测试温度下的入侵特征和未入侵特征，确定每一所述测试温度下的检测阈值之后，还包括：
10.基于最小二乘法，根据所有所述测试温度下的检测阈值拟合检测阈值随温度变化
的变化曲线，根据所述变化曲线确定每一所述测试温度下的最佳检测阈值。
11.进一步地，所述抗温度干扰的工控系统物理入侵检测阈值估计方法，还包括：
12.在标准室温下，所述工控系统处于初始状态时，向所述工控系统发送入侵检测信号，以将所述工控系统反馈的应答信号作为所述标准信号。
13.进一步地，所述在每一所述测试温度下，控制物理入侵设备与所述工控系统连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的入侵测试信号，以及控制所述物理入侵设备与所述工控系统断开连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的未入侵测试信号，具体为：
14.在所述测试温度下，控制所述物理入侵设备与所述工控系统连接，向所述工控系统发送入侵检测信号，以将所述工控系统反馈的应答信号作为所述测试温度下的入侵测试信号；
15.继续控制所述物理入侵设备与所述工控系统断开连接，向所述工控系统发送所述入侵检测信号，以将所述工控系统反馈的应答信号作为所述测试温度下的未入侵测试信号。
16.进一步地，所述对于每一所述测试温度下的入侵测试信号和未入侵测试信号，将所述入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将所述未入侵测试信号与所述标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征，具体为：
17.将所述入侵测试信号与所述标准信号进行差分对比，得到所述入侵差异信号，并基于降噪技术和弱信号检测技术，从所述入侵差异信号中提取时域特征作为所述入侵特征；
18.将所述未入侵测试信号与所述标准信号进行差分对比，得到所述未入侵差异信号，并基于降噪技术和弱信号检测技术，从所述未入侵差异信号中提取时域特征作为所述未入侵特征。
19.第二方面，本发明一实施例提供一种抗温度干扰的工控系统物理入侵检测阈值估计装置，包括：
20.测试温度选择模块，用于根据所述工控系统的实际工作环境设置环境温度范围，并从所述环境温度范围内选择多个不同的测试温度；
21.测试信号获取模块，用于在每一所述测试温度下，控制物理入侵设备与所述工控系统连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的入侵测试信号，以及控制所述物理入侵设备与所述工控系统断开连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的未入侵测试信号；
22.信号特征提取模块，用于对于每一所述测试温度下的入侵测试信号和未入侵测试信号，将所述入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将所述未入侵测试信号与所述标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征；
23.检测阈值估计模块，用于当得到所有所述测试温度下的入侵特征和未入侵特征时，根据每一所述测试温度下的入侵特征和未入侵特征，确定每一所述测试温度下的检测阈值。
24.进一步地，所述检测阈值估计模块，还用于在所述当得到所有所述测试温度下的入侵特征和未入侵特征时，根据每一所述测试温度下的入侵特征和未入侵特征，确定每一所述测试温度下的检测阈值之后，基于最小二乘法，根据所有所述测试温度下的检测阈值拟合检测阈值随温度变化的变化曲线，根据所述变化曲线确定每一所述测试温度下的最佳检测阈值。
25.进一步地，所述抗温度干扰的工控系统物理入侵检测阈值估计装置，还包括：
26.标准信号获取模块，用于在标准室温下，所述工控系统处于初始状态时，向所述工控系统发送入侵检测信号，以将所述工控系统反馈的应答信号作为所述标准信号。
27.进一步地，所述在每一所述测试温度下，控制物理入侵设备与所述工控系统连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的入侵测试信号，以及控制所述物理入侵设备与所述工控系统断开连接，对所述工控系统进行物理入侵检测，获取每一所述测试温度下的未入侵测试信号，具体为：
28.在所述测试温度下，控制所述物理入侵设备与所述工控系统连接，向所述工控系统发送入侵检测信号，以将所述工控系统反馈的应答信号作为所述测试温度下的入侵测试信号；
29.继续控制所述物理入侵设备与所述工控系统断开连接，向所述工控系统发送所述入侵检测信号，以将所述工控系统反馈的应答信号作为所述测试温度下的未入侵测试信号。
30.进一步地，所述对于每一所述测试温度下的入侵测试信号和未入侵测试信号，将所述入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将所述未入侵测试信号与所述标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征，具体为：
31.将所述入侵测试信号与所述标准信号进行差分对比，得到所述入侵差异信号，并基于降噪技术和弱信号检测技术，从所述入侵差异信号中提取时域特征作为所述入侵特征；
32.将所述未入侵测试信号与所述标准信号进行差分对比，得到所述未入侵差异信号，并基于降噪技术和弱信号检测技术，从所述未入侵差异信号中提取时域特征作为所述未入侵特征。
33.相比于现有技术，本发明的实施例，具有如下有益效果：
34.通过从预先设置的环境温度范围内选择多个不同的测试温度，在每一测试温度下，依次控制物理入侵设备与工控系统连接和断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号和未入侵测试信号，对于每一测试温度下的入侵测试信号和未入侵测试信号，分别将入侵测试信号和未入侵测试信号与预先获取的标准信号进行差分对比，从得到的差异信号中提取入侵特征和未入侵特征，当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值，能够考虑环境温度对工控系统物理入侵检测的干扰，提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
附图说明
35.图1为本发明第一实施例中的一种抗温度干扰的工控系统物理入侵检测阈值估计方法的流程示意图；
36.图2为本发明第二实施例中示例的拟合的变化曲线图；
37.图3为本发明第二实施例中示例的实验阶段的流程示意图；
38.图4为本发明第二实施例中示例的实验阶段和实际使用阶段的流程示意图；
39.图5为本发明第三实施例中的一种抗温度干扰的工控系统物理入侵检测阈值估计装置的结构示意图。
具体实施方式
40.下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
41.需要说明的是，文中的步骤编号，仅为了方便具体实施例的解释，不作为限定步骤执行先后顺序的作用。本实施例提供的方法可以由相关的终端设备执行，且下文均以处理器作为执行主体为例进行说明。
42.如图1所示，第一实施例提供一种抗温度干扰的工控系统物理入侵检测阈值估计方法，包括步骤s1～s4：
43.s1、根据工控系统的实际工作环境设置环境温度范围，并从环境温度范围内选择多个不同的测试温度；
44.s2、在每一测试温度下，控制物理入侵设备与工控系统连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号，以及控制物理入侵设备与工控系统断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的未入侵测试信号；
45.s3、对于每一测试温度下的入侵测试信号和未入侵测试信号，将入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将未入侵测试信号与标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征；
46.s4、当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值。
47.在工控系统rs485总线网络中，攻击者通过物理入侵方式直接在工控系统中植入外接的未授权设备，利用该未授权设备获取通信信息并伪造控制指令，危及工控系统的安全和稳定。由于工控系统所处环境温度的改变，利用物理入侵检测方法对未授权设备的检测会出现很大概率的误报与漏报，造成物理入侵检测方法的失效。
48.作为示例性地，在步骤s1中，根据工控系统的实际工作环境，预先设置测试场景的环境温度范围，并从环境温度范围内选择多个不同的测试温度。例如设置环境温度范围为0～60℃，每隔10℃设置一个采集信号的温度点，即从环境温度范围内选择0℃、10℃、20℃、30℃、40℃、50℃、60℃作为测试温度，选择的测试温度的总个数p＝7。
49.在步骤s2中，在工控系统的末端接入测试所用的物理入侵设备，以模拟测试场景下的入侵动作。在每一测试温度下，先控制物理入侵设备与工控系统连接，对工控系统进行
物理入侵检测，获取该测试温度下的入侵测试信号，再控制物理入侵设备与工控系统断开连接，对工控系统进行物理入侵检测，获取该测试温度下的未入侵测试信号，从而得到所有测试温度下的入侵测试信号和未入侵测试信号。
50.在步骤s3中，对于每一测试温度下的入侵测试信号和未入侵测试信号，将入侵测试信号与预先获取的标准信号进行差分对比，得到入侵差异信号，从入侵差异信号中提取入侵特征，同时将未入侵测试信号与该标准信号进行差分对比，得到未入侵差异信号，从未入侵差异信号中提取未入侵特征，从而得到所有测试温度下的入侵特征和未入侵特征。其中，可预先在标准室温下，工控系统处于初始状态时，对工控系统进行物理入侵检测，获取该标准信号。
51.在步骤s4中，当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，将入侵特征和未入侵特征的平均特征值作为该测试温度下的检测阈值，从而得到所有测试温度下的检测阈值，使得在实际场景下对工控系统进行物理入侵检测时，可根据当前的环境温度选择相应的检测阈值，提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
52.本实施例通过从预先设置的环境温度范围内选择多个不同的测试温度，在每一测试温度下，依次控制物理入侵设备与工控系统连接和断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号和未入侵测试信号，对于每一测试温度下的入侵测试信号和未入侵测试信号，分别将入侵测试信号和未入侵测试信号与预先获取的标准信号进行差分对比，从得到的差异信号中提取入侵特征和未入侵特征，当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值，能够考虑环境温度对工控系统物理入侵检测的干扰，提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
53.在优选的实施例当中，所述抗温度干扰的工控系统物理入侵检测阈值估计方法，还包括：在标准室温下，工控系统处于初始状态时，向工控系统发送入侵检测信号，以将工控系统反馈的应答信号作为标准信号。
54.作为示例性地，在标准室温下，工控系统处于初始状态时，通过监测设备向工控系统发送入侵检测信号，具体地，监测设备通过网关设备向工控系统的总线发送入侵检测信号，以将监测设备采集到的信号，即工控系统反馈的应答信号作为标准信号存储在数据库中。
55.假设工控系统处于初始状态时的标准室温为t0，工控系统中第m个位置的设备是监测设备，则在网关设备发出入侵检测信号x(t)的情况下，监测设备所采集到的标准信号为：
56.y0(t)＝ρm(z0,t0)
·
x(t) n(t)
ꢀꢀꢀ
(1)；
57.式(1)中，z0代表工控系统处于初始状态时的网络阻抗，ρm(
·
)代表在网络阻抗以及环境温度影响下的监测设备处的电压分配系数，n(t)代表标准信号采集时的环境噪声。
58.在优选的实施例当中，所述在每一测试温度下，控制物理入侵设备与工控系统连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号，以及控制物理入侵设备与工控系统断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的未入侵测试信号，具体为：在测试温度下，控制物理入侵设备与工控系统连接，向工控系统发送
入侵检测信号，以将工控系统反馈的应答信号作为测试温度下的入侵测试信号；继续控制物理入侵设备与工控系统断开连接，向工控系统发送入侵检测信号，以将工控系统反馈的应答信号作为测试温度下的未入侵测试信号。
59.作为示例性地，在测试温度下，先控制物理入侵设备与工控系统连接，通过监测设备向工控系统发送入侵检测信号，具体地，监测设备通过网关设备向工控系统的总线发送入侵检测信号，以将监测设备采集到的信号，即工控系统反馈的应答信号作为该测试温度下的入侵测试信号，再控制物理入侵设备与工控系统断开连接，通过监测设备向工控系统发送入侵检测信号，具体地，监测设备通过网关设备向工控系统的总线发送入侵检测信号，以将监测设备采集到的信号，即工控系统反馈的应答信号作为该测试温度下的未入侵测试信号。
60.假设测试温度为t，若连接物理入侵设备，则在网关设备发出相同的入侵检测信号x(t)的情况下，监测设备所采集到的入侵测试信号为：
61.y
test
(t)＝ρm(z
′
,t)
·
x(t) υ(t)
ꢀꢀꢀ
(2)；
62.式(2)中，z
′
代表入侵场景下工控系统的网络阻抗，ρm(
·
)代表在网络阻抗以及环境温度影响下的监测设备处的电压分配系数，υ(t)代表入侵测试信号采集时的环境噪声。
63.若断开物理入侵设备，则在网关设备发出相同的入侵检测信号x(t)的情况下，监测设备所采集的未入侵测试信号为：
64.y
test
(t)＝ρm(z0,t)
·
x(t) υ(t)
ꢀꢀꢀ
(3)；
65.式(3)中，z0代表工控系统处于初始状态时的网络阻抗，ρm(
·
)代表在网络阻抗以及环境温度影响下的监测设备处的电压分配系数，υ(t)代表未入侵测试信号采集时的环境噪声。
66.在优选的实施例当中，所述对于每一测试温度下的入侵测试信号和未入侵测试信号，将入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将未入侵测试信号与标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征，具体为：将入侵测试信号与标准信号进行差分对比，得到入侵差异信号，并基于降噪技术和弱信号检测技术，从入侵差异信号中提取时域特征作为入侵特征；将未入侵测试信号与标准信号进行差分对比，得到未入侵差异信号，并基于降噪技术和弱信号检测技术，从未入侵差异信号中提取时域特征作为未入侵特征。
67.作为示例性地，从数据库中提取标准信号，将入侵测试信号与标准信号进行差分对比，得到入侵差异信号，并基于降噪技术和弱信号检测技术，从入侵差异信号中提取时域特征作为入侵特征，同时，将未入侵测试信号与标准信号进行差分对比，得到未入侵差异信号，并基于降噪技术和弱信号检测技术，从未入侵差异信号中提取时域特征作为未入侵特征。
68.其中，分别对入侵测试信号与标准信号、未入侵测试信号与标准信号进行差分对比，得到的差异信号δy(t)应为：
[0069][0070]
由式(4)可知，当测试温度t＝t0时，未入侵场景下差异信号的电压分配系数ρm(z0,
t)-ρm(z0,t0)＝0，而入侵场景下差异信号的电压分配系数ρm(z
′
,t)-ρm(z0,t0)≠0，根据物理入侵检测方法可以有效识别出入侵场景与未入侵场景；当测试温度t≠t0时，未入侵场景下差异信号的电压分配系数与入侵场景下差异信号的电压分配系数均不等于0，此时根据物理入侵检测方法则无法准确识别入侵场景与未入侵场景，因此现有的物理入侵检测方法受温度变化的干扰影响较大。
[0071]
故在得到该测试温度下的入侵差异信号和未入侵差异信号后，继续对入侵差异信号、未入侵差异信号进行特征提取，提取的差异信号特征r
δy,y0
(τ)应为：
[0072][0073]
式(5)中，μ
′m(δz,δt)与μm(0,δt)分别表示入侵场景与未入侵场景下的互相关幅值系数，δz＝z
′‑
z0表示入侵场景下工控系统的网络阻抗相比于初始状态下工控系统的网络阻抗的变化量，δt＝t-t0表示入侵场景/未入侵场景下的测试温度相比于初始状态下测试温度的变化量，r
xx
(τ)为入侵检测信号x(t)的自相关结构，r
υx
(τ)表示入侵检测信号x(t)与入侵测试信号/未入侵测试信号采集时的环境噪声υ(t)的互相关结果，r
nx
(τ)表示入侵检测信号x(t)与标准信号采集时的环境噪声n(t)的互相关结果。
[0074]
由于未入侵场景下工控系统的网络阻抗与初始状态下工控系统的网络阻抗相同，因此互相关幅值系数必然满足μ
′m≠μm，此时从互相关结果中提取的差异信号特征也必然满足，入侵特征不等于未入侵特征，进而可以从中寻找合适的检测阈值以识别入侵场景与未入侵场景。
[0075]
且由于差异信号与标准信号有相同的周期，当两个信号的偏移量τ＝0时，互相关结果的幅值达到最大值，利用差异信号在偏移0时刻的幅值作为差异信号特征，记入侵特征为f
attack
、未入侵特征为f
normal
，并将入侵特征与未入侵特征的平均特征值作为测试温度t时识别入侵场景与未入侵场景的检测阈值，检测阈值η
t
为：
[0076]
η
t
＝(f
attack
f
normal
)/2
ꢀꢀꢀ
(6)。
[0077]
在预设的环境温度范围0～60℃内，从0℃开始、以10℃为增量依次遍历所有选择的测试温度，并在每一测试温度下进行测试信号获取、差异信号特征提取操作，提取m组入侵特征和m组未入侵特征，直到所有测试温度均被遍历，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值，从而得到所有测试温度下的检测阈值。
[0078]
基于第一实施例，第二实施例提供一种抗温度干扰的工控系统物理入侵检测阈值估计方法。
[0079]
在本实施例当中，在所述当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值之后，还包括：基于最小二乘法，根据所有测试温度下的检测阈值拟合检测阈值随温度变化的变化曲线，根据变化曲线确定每一测试温度下的最佳检测阈值。
[0080]
作为示例性地，当得到所有测试温度下的检测阈值后，基于最小二乘法，拟合检测阈值随温度变化的变化曲线，根据变化曲线确定每一测试温度下的最佳检测阈值，生成温度-阈值表，将温度-阈值表存储至数据库，使得在实际场景下对工控系统进行物理入侵检测时，可从数据库中调用温度-阈值表，根据当前的环境温度选择相应的最佳检测阈值，进一步提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
[0081]
在同一测试温度t下，将物理入侵设备连接得到的n组入侵特征表示为将物理入侵设备断开得到的n组未入侵特征表示为随机选取测试温度t下的入侵特征和未入侵特征取平均，并认为这是该测试温度t下识别入侵和未入侵场景的检测阈值，最终得到每一个测试温度下区分入侵场景和未入侵场景的n个检测阈值。
[0082]
其中，生成测试温度t
p
下第k个检测阈值可以表示为：
[0083][0084]
利用最小二乘法自适应拟合阈值随温度变化的变化曲线，得到变化曲线的拟合系数，其中最小二乘法拟合曲线过程为：
[0085]
η
θ
(t)＝θ0 θ1t θ2t2ꢀꢀꢀ
(8)；
[0086][0087]
式(8)中，η
θ
(t)为在测试温度t下利用最小二乘法拟合出的阈值，θ0、θ1、θ2为待拟合的曲线系数。当初始温度为20℃，0-60℃每隔10℃设置一个采集信号的温度点，利用ltspice仿真数据得到差异信号特征，利用梯度下降法求解θ，通过matlab拟合出检测阈值随温度变化的变化曲线，如图2所示，根据图2进而确定每个测试温度下的最佳检测阈值，将最佳检测阈值与测试温度保存为温度-阈值表。
[0088]
例如，下表为利用温度-阈值表推出的温度每隔5℃对应的最佳测试阈值：
[0089]
温度/℃0510152025303540阈值-17.1-14.8-12.6-10.5-8.5-6.5-4.7-3.0-1.4
[0090]
图2为利用matlab拟合出的识别入侵场景和未入侵场景的检测阈值随温度变化的变化曲线，即阈值拟合曲线，可以看出拟合出的变化曲线可以识别入侵场景和未入侵场景。
[0091]
本实施例通过基于最小二乘法，根据所有测试温度下的检测阈值拟合检测阈值随温度变化的变化曲线，根据变化曲线确定每一测试温度下的最佳检测阈值，能够更加精准地估计每一测试温度下的检测阈值，从而进一步提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
[0092]
为了更加清楚地说明本实施例，如图3-4所示，当工控系统投入使用后，结合图4，具体说明数据库的使用：
[0093]
在实验阶段，在标准温度下生成标准信号并存储至标准信号数据库，在实际使用阶段可以利用标准信号数据库中的标准信号进行差异对比。
[0094]
在实验阶段，拟合检测阈值随温度变化的变化曲线，将得到的温度-阈值表存储至至阈值温度数据库，在实际使用阶段可以直接在物理入侵检测过程中，调用阈值-温度数据库中的温度-阈值表来调节阈值。
[0095]
基于与第二实施例相同的发明构思，第三实施例提供如图5所示的一种抗温度干扰的工控系统物理入侵检测阈值估计装置，包括：测试温度选择模块21，用于根据工控系统的实际工作环境设置环境温度范围，并从环境温度范围内选择多个不同的测试温度；测试
信号获取模块22，用于在每一测试温度下，控制物理入侵设备与工控系统连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号，以及控制物理入侵设备与工控系统断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的未入侵测试信号；信号特征提取模块23，用于对于每一测试温度下的入侵测试信号和未入侵测试信号，将入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将未入侵测试信号与标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征；检测阈值估计模块24，用于当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值。
[0096]
在优选的实施例当中，检测阈值估计模块24，还用于在所述当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值之后，基于最小二乘法，根据所有测试温度下的检测阈值拟合检测阈值随温度变化的变化曲线，根据变化曲线确定每一测试温度下的最佳检测阈值。
[0097]
在优选的实施例当中，所述抗温度干扰的工控系统物理入侵检测阈值估计装置，还包括：标准信号获取模块，用于在标准室温下，工控系统处于初始状态时，向工控系统发送入侵检测信号，以将工控系统反馈的应答信号作为标准信号。
[0098]
在优选的实施例当中，所述在每一测试温度下，控制物理入侵设备与工控系统连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号，以及控制物理入侵设备与工控系统断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的未入侵测试信号，具体为：在测试温度下，控制物理入侵设备与工控系统连接，向工控系统发送入侵检测信号，以将工控系统反馈的应答信号作为测试温度下的入侵测试信号；继续控制物理入侵设备与工控系统断开连接，向工控系统发送入侵检测信号，以将工控系统反馈的应答信号作为测试温度下的未入侵测试信号。
[0099]
在优选的实施例当中，所述对于每一测试温度下的入侵测试信号和未入侵测试信号，将入侵测试信号与预先获取的标准信号进行差分对比，从得到的入侵差异信号中提取入侵特征，以及将未入侵测试信号与标准信号进行差分对比，从得到的未入侵差异信号中提取未入侵特征，具体为：将入侵测试信号与标准信号进行差分对比，得到入侵差异信号，并基于降噪技术和弱信号检测技术，从入侵差异信号中提取时域特征作为入侵特征；将未入侵测试信号与标准信号进行差分对比，得到未入侵差异信号，并基于降噪技术和弱信号检测技术，从未入侵差异信号中提取时域特征作为未入侵特征。
[0100]
综上所述，实施本发明的实施例，具有如下有益效果：
[0101]
通过从预先设置的环境温度范围内选择多个不同的测试温度，在每一测试温度下，依次控制物理入侵设备与工控系统连接和断开连接，对工控系统进行物理入侵检测，获取每一测试温度下的入侵测试信号和未入侵测试信号，对于每一测试温度下的入侵测试信号和未入侵测试信号，分别将入侵测试信号和未入侵测试信号与预先获取的标准信号进行差分对比，从得到的差异信号中提取入侵特征和未入侵特征，当得到所有测试温度下的入侵特征和未入侵特征时，根据每一测试温度下的入侵特征和未入侵特征，确定每一测试温度下的检测阈值，能够考虑环境温度对工控系统物理入侵检测的干扰，提高不同环境温度下工控系统物理入侵检测的准确性和成功率。
[0102]
以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员
来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。
[0103]
本领域普通技术人员可以理解实现上述实施例中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。