技术领域
[0001] 本
发明属于工业过程控制系统信息安全防护技术领域,更具体地,涉及一种过程控制系统信息安全防护的异常检测方法。
背景技术
[0002] 为了更方便的管理和监控工业控制系统的运行,将现代化信息网络技术与传统的工业控制系统进行深度融合,实现管控一体化;这种开放的运行模式使得工业控制系统不再是一个孤立的系统,面临由网络化技术带来的各种信息安全问题。
[0003] 现有的工业控制系统的异常检测大多数都是针对网络数据的分析,包括基于攻击特征的(例如发明
专利201010265793.1)、基于规则的(例如发明专利200710306106.4)等;但是对于工业控制系统而言,仅从网络数据的视
角来考虑是远远不够的;也有一部分针对工业过程数据的异常检测,例如期刊《东南大学学报(自然科学版)》第9-42期的论文《基于工业控
制模型的非参数CUSUM入侵检测方法》提出了一种基于模型的异常检测方法,从系统模型的角度分析数据异常行为,但是这种方法无法有效的检测欺骗攻击;发明专利
201310712572.8提出了一种基于本
体模型的入侵检测方法,从过程数据、设备
节点数据、网络数据等角度综合分析系统异常,但是该方法针对过程数据的分析也存在无法有效检测欺骗攻击和未知攻击的问题。
发明内容
[0004] 针对
现有技术的以上
缺陷或改进需求,本发明提供了一种过程控制系统信息安全防护的异常检测方法,其目的在于从相互隔离的区域对过程数据进行深度分析,提高检测准确率。
[0005] 为实现上述目的,按照本发明的一个方面,提供了一种过程控制系统信息安全防护的异常检测方法,包括如下步骤:
[0006] (1)采用基于因果模型的循环
迭代方法根据失效事件建立故障树;故障树的顶事件为物理对象失效事件,叶子事件为不可分解的
传感器异常或执行机构异常;
[0007] (2)根据预设的分区原则对故障树的叶子事件进行分区隔离;
[0008] (3)利用各区域的信息,分别对系统同一关键状态
信号进行描述;建立关键状态信号的数学模型;并通过对该数学模型的参数进行拟合求取最佳拟合系数,获得关键状态信号的数据表达式;
[0009] (4)根据关键性状态的数学表达式计算关键状态信号的描述距离,根据该描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。
[0010] 优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(1)包括如下子步骤:
[0011] (1.1)定义整个系统的失效事件,并将该失效事件作为顶事件A;
[0012] (1.2)将顶事件A作为被分析事件,获取所有引起顶事件A发生的中间事件B=B1,B2,...,Bn;并获取中间事件B中所有的元素影响顶事件A需要满足的条件;
[0013] 其中,中间事件B=B1,B2,...,Bn是指满足顶事件A发生条件的所有事件集合;
[0014] 譬如:当中间事件B1和B2同时发生才可能导致顶事件A发生,则在故障树建立时,顶事件A需要满足的条件是B1∩B2;当中间事件B1和B2中任一事件发生就会导致顶事件A发生,则顶事件A需要满足的条件是B1∪B2;
[0015] (1.3)将中间事件B作为被分析事件,重复步骤(1.2),获取引起被分析事件发生的直接原因,直至直接原因为叶子事件;其中,叶子事件为传感器或执行机构异常;
[0016] (1.4)根据叶子事件和顶事件构建故障树。
[0017] 优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述分区原则包括:
[0018] (a)将影响同一关键状态的多个因素不分在同一区域;
[0019] (b)使得关键状态应至少在两个或两个以上的区域被观察到;
[0020] (c)将各控制回路所包含的传感器和执行机构部署在同一区域。
[0021] 优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(2)包括如下子步骤:
[0022] (2.1)从故障树的顶事件开始,根据分区原则(c),确定系统的各控制回路中包含的设备,并将各控制回路所包含的传感器和执行机构绑定成一个不可分割的整体;
[0023] (2.2)根据分区原则(a)和(b),将引起被分析事件发生的直接原因分到两个及以上的区域;
[0024] 并将各区域中的直接原因作为被分析事件,将引起该被分析事件的直接原因划分到不同区域;
[0025] (2.3)判断当前所划分的区域数量以及分区结果是否满足分区原则(a)和(b);若是,则去除各区域中故障树的中间事件,只保留叶子事件,进入步骤(2.4);
[0026] 若否,则增加区域,并通过重复步骤(2.1)~步骤(2.3)来重新从故障树的顶事件开始对系统进行区域划分,直至所有的叶子事件分析完毕;去除各区域中故障树的中间事件,只保留叶子事件;
[0027] (2.4)根据分区原则(c),将物理对象中不在故障树中的设备填充至对应的区域中。
[0028] 优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(3)包括如下子步骤:
[0029] (3.1)根据各区域的信息特征以及物质流的因果关系建立如下微分代数方程:
[0030] fi(X,X′,yi,y′i)=0(i=1,2,...,n)
[0031] 其中,n表示每个区域中可以建立的微分代数方程的个数,fi表示第i个区域中的微分代数方程,X=(x1,x2,...,xp)表示各区域的信息,p为信息的个数,X′表示X的变化率,Y=(y1,y2,...,yn)表示通过各区域的信息可描述的系统其它信息,Y=(y′1,y′2,...,y′n)表示Y的变化率;
[0032] (3.2)根据步骤(3.1)建立的微分代数方程建立关键状态信号的数学模型g(X,ym)=0;
[0033] 其中,ym是结合物理对象特征定义的系统关键状态信号;
[0034] (3.3)采用多元线性回归方法根据系统运行的过程数据对上述数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;
[0035] 获得关键状态信号的数学表达式yk(i)=β0+β1x1+β2x2+...+βpxp+ε;其中β=β0,β1,...,βp为回归系数,ε为拟合误差,yk(i)为区域冲的关键状态yk。
[0036] 优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(4)包括如下子步骤:
[0037] (4.1)根据关键状态信号的数学表达式计算任一两区域i和区域j对关键状态信号的描述距离dyk(i,j),以及区域i与所有其它区域对关键状态信号描述距离的集合Zi:
[0038]
[0039]
[0040] 其中yk(i),yk(j)分别表示区域i、区域j对关键状态信号yk的描述,n表示区域总个数,Mi表示区域i中包含的关键状态信号的总个数;dyk(i,j)是指区域i与j对关键状态信号yk的描述距离;
[0041] (4.2)对区域p,
[0042] 当|Zp-Zi|≤θp,i(i=1,2,...,n,i≠p),则判定区域p为正常;
[0043] 当 则判定区域p发生异常;其中,θp,i是指区域p与i在正常情况下对关键状态信号描述距离允许的最大误差,
δp,i是指区域p与i中传感器的小
分辨率(检测
精度), 是指区域p与i
中信号的最大扰动。
[0044] 本发明提出的上述过程控制系统信息安全防护的区域划分及异常检测方法,克服了工业控制系统中传统的从物理对象视角进行异常检测的方法的局限性,能够在物理对象遭受攻击时有效的检测到系统异常;总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
[0045] (1)本发明提供的过程控制系统物理信息的区域划分方法,利用系统故障推理模型构建系统故障树,结合“影响同一关键状态的多个因素应分布在不同的区域”、“同一关键状态应至少在两个或两个以上的区域被观察到”的分区原则,将一个
闭环系统的物理信息划分成多个不同的区域,使得多个不同区域均包含了对系统同一关键状态的描述信息,为在多个不同区域对系统同一关键状态进行分析提供了可能;
[0046] (2)本发明提供的过程控制系统信息安全防护的异常检测方法,在上述区域划分的
基础上,在各区域利用微分代数方程对物理系统状态的因果关系、物质流结构关系建立模型,实现了通过各区域内的相关信息建立精确的数学模型对系统关键状态的描述,以及区域间对同一关键状态描述的距离的表述,使得当某一个区域遭受攻击时,其他相互隔离区域可以检测到由攻击所造成的系统异常,提高检测准确率。
附图说明
[0047] 图1是
实施例提供的过程控制系统信息安全防护的异常检测方法流程示意图;
[0048] 图2是实施例中实物装置对象结构示意图;
[0049] 图3是实施例中根据实物装置构建的故障树示意图。
具体实施方式
[0050] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0051] 本发明提供的过程控制系统信息安全防护的异常检测方法,在需要进行异常检测的过程控制系统中建立一种通过物理对象分域信息进行异常检测方法;通过物理对象信息的区域划分技术、各区域对系统关键信号状态分析的建模技术以及异常分析技术等对物理对象信息进行异常分析与检测;其流程如图1所示;以下结合图2的场景所示的具体实施例,对本发明进行具体阐述;实施例中提供的过程控制系统信息安全防护的异常检测方法,具体如下:
[0052] 步骤1:建立故障树;定义物理对象的失效(重大故障)事件,根据
失效时间,建立相应的故障树;故障树的顶事件为物理对象失效事件,叶子事件为不可再被继续分解的传感器或执行机构的异常;故障树的建立方法可归纳为:基于因果模型的循环迭代方法,具体表现为:
[0053] 步骤1.1:定义整个系统的失效事件-“储
水水箱因
过热而被烧坏”,并将该事件作为故障树的顶事件A;
[0054] 步骤1.2:分析引起顶事件A发生的所有直接原因(中间事件B),B=B1,B2,...,Bn;实施例中,引起顶事件-“出水水箱因过热而被烧坏”发生的直接原因包括“满足时间要求”和“满足事件要求”;而只有当“时间”和“事件”同时满足时,才能导致“储水水箱因过热而被烧坏”,两个直接原因的关系条件为“∩”;
[0055] 步骤1.3:分别将“满足时间要求”和“满足事件要求”作为被分析事件,然后分析引起各事件发生的所有直接原因;
[0056] 重复步骤1.2,直至直接原因为叶子事件(传感器或执行机构的异常);图3为实施例中,根据整个系统的重大事故事件构建的故障树,其中“□”表示事件,“○”表示传感器设备,“○”表示执行器设备。
[0057] 步骤2:物理对象信息的区域划分。物理对象的区域划分技术首先定义分区的原则,然后根据该原则对步骤1建立的故障树的叶子事件进行分区隔离;具体步骤如下:
[0058] 步骤2.1:定义分区的原则:(a)影响同一关键状态的多个因素不能分在同一区域;(b)关键状态应至少在两个或两个以上的区域被观察到;(c)各控制回路所包含的传感器和执行机构应部署在同一区域;
[0059] 步骤2.2:结合图3所示的故障树结构,进行区域划分,具体包括如下子步骤:
[0060] 步骤2.2.1:分析系统的各控制回路中包含的设备,图2所示装置中,被控对象包括1#水箱液位、2#水箱液位、3#水箱
温度,各被控对象对应的控制闭环包含的设备分别为:
{L1,V1}、{L2,V2}和{T3,H},在区域划分过程中,将每个闭环包含的设备绑定成一个不可分割的整体。
[0061] 步骤2.2.2:按照分区原则a,将引起被分析事件的所有直接原因部署在不同区域;譬如,实施例中,被分析事件“出水水箱因过热而被烧坏”发生的条件包含“满足时间要求”和“满足事件要求”,要保证顶事件不发生,满足时间要求和事件要求的条件需要分布在不同区域;
[0062] 步骤2.2.3:按照分区原则b,分析哪些信息能对某一关键状态信息描述,并将这些信息部署在不同区域;满足时间要求和满足事件要求的推断条件分别应该分布在不同区域;譬如,实施例中,满足时间要求的条件包含两个,并通过“与
门”连接;该部分可理解为,当且仅当液位异常和温度异常同时不提示,才会导致满足时间条件发生;因此要保证满足时间条件能被检测到,液位异常的提示信息与温度异常的提示信息应分布在不同区域;又譬如:通过V1、F和P三个变量均可表示1#水箱的进水流量(其中V1和F正相关,P和F负相关),因此将V1、F和P三个变量部署在不同区域;
[0063] 步骤2.2.4:按照步骤2.2.2和2.2.3所示思路对故障树下一层结构进行分析,直至将图3中包含的传感器与执行机构全部划分完毕,然后除去各区域中的故障树的中间事件,只保留叶子事件;
[0064] 依照故障树对图2所示系统物理对象区域划分的结果为:
[0065] 区域1:{T1,L1,V1,V3},区域2:{T2,L2,P},区域3:{T3,L3,V4,F1,M,H};
[0066] 步骤2.2.5:将系统物理对象中不包含在故障树中的传感器与执行机构填充到上述区域中;
[0067] 本步骤中,根据步骤2.1中的“原则3进行填充;譬如:在图2所示的实施例的物理系统中,2#自动
阀门V2不包含在故障树中,但V2和L2组成了对2#水箱的液位控制闭环,因此将V2归置到区域2;图2所示系统物理对象区域划分的结果为:区域1=(T1,L1,V1,V3};区域2={T2,L2,V2,P};区域3={T3,L3,V4,F1,M,H}。
[0068] 步骤3:利用各区域的信息,分别对系统同一关键信号状态进行描述;并建立相应的数学模型,具体包括如下子步骤:
[0069] 步骤3.1:结合图2系统实例,和步骤2的分区结果,建立各区域的微分代数方程,并获取关键状态信号的数学模型;
[0070] 1)根据区域1的信息,相关的微分代数方程为:
[0071]
[0072]
[0073] 其中,t为
采样时间间隔(常数),Δ表示相关状态信号在采样时间间隔里的变化量;结合式(2)和式(3),获得
[0074] 由于在控制过程中,V3开度固定,故将其看作常数;由此获得上式的简化方程为:
[0075] 解该微分方程获得L2使用L1的表示方法;
[0076] 2)根据区域2的信息,相关的微分代数方程为:
[0077]
[0078] 上式的简化方程为:
[0079]
[0080] 获得L1使用L2的表示方法;
[0081] 3)根据区域3的信息,获得相关的微分代数方程为:
[0082]
[0083] 上式的简化方程为L2=(k′1ΔL3+k′2F1)2;获得得到L2使用L3的表示方法;
[0084] 步骤3.2:计算数学模型的系数;采集系统运行的过程数据,结合多元线性回归技术,对步骤3.1获得的数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;
[0085] 由上述微分代数方程可知,建立的数学模型均为非线性模型,采用多元线性回归技术对上述方程的权值进行计算时,需要将上述数学模型线性化,然后再结合多元线性回归技术进行权值计算;本实施例中,其多元线性回归技术采用但不限于最小二乘拟合法;具体如下:
[0086] 对于p个自变量X,1个因变量Y,(X,Y)=(x1,x2,...,xp,y),其多元线性回归方程为:Y=β0+β1x1+β2x2+...+βpxp+ε;
[0087] 其中,β=(β0,β1,...,βp)为回归系数,ε为拟合误差;
[0088] n组样本分别是(xi1,xi2,...,xip,yi),(i=1,2,...,n);
[0089] 令
[0090] 多元线性回归方程的矩阵形式为:Y=Xβ+ε,采用最小二乘法求回归系数β的估计值
[0091] 对回归系数β的估计要使得平方损失函数 最小,即满足偏导函数矩阵:
[0092]
[0093] 从图2所示意的物理装置中采集多组系统运行时的数据,计算获取式(4)所示的矩阵方程中的系数。
[0094] 步骤4:异常分析;首先根据系统特征,定义需要分析的关键状态信号,然后两两匹配各个区域对关键状态信号的描述,分析出对关键状态信号异常描述的区域;具体如下:
[0095] 步骤4.1:定义区域间对关键状态信号的描述距离;本实施例中,根据图3所示故障树的结构,系统要保护的重点对象是防止储水水箱应过热而损坏;
[0096] 造成这种故障的原因,具体包括:1)储水水箱液位低;2)储水水箱温度高;由此确定需要分析的关键状态信号为L3和T3;
[0097] 计算任一两区域对关键状态信号的描述距离:
[0098]
[0099]
[0100]
[0101]
[0102] 其中, 分别表示区域i、区域j对同一关键状态信号 的描述;表示区域i和j对同一关键状态信号 的描述距离, 表示区域i与所有其它区
域对关键状态信号 描述距离的集合;
[0103] 对区域p,当其满足下式(5),则判定该区域正常:
[0104]
[0105] 其中 表示区域p与i在正常情况下对关键状态信号描述距离允许的最大误差, 表示区域p与i中传感器的小分辨率(检测精度), 表示区域k与i中信号的最大扰动;
[0106] 步骤4.2:通过传感器的参数以及离线训练的方式找到与各区域对应的和 确定 和
[0107] 对于区域p,
[0108] 当其满足 则判定区域p中关于L3的描述信号出现异常;
[0109] 当其满足
[0110] 则判定区域p中关于T3的描述信号出现异常。
[0111] 本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
