本发明专利技术公开了一种过程控制系统信息安全防护的异常检测方法,首先根据失效事件建立故障树;然后根据预设的分区原则对故障树的叶子事件进行分区隔离;再利用各区域的信息,分别对系统同一关键状态信号进行描述,建立关键状态信号的数学模型;并通过对该数学模型的参数进行拟合求取最佳拟合系数,获得关键状态信号的数据表达式;根据关键性状态的数学表达式计算关键状态信号的描述距离,根据该描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常;这种方法克服了工业控制系统中传统的从物理对象视角进行异常检测的方法的局限性,能够在物理对象遭受攻击时有效的检测系统异常。
【技术实现步骤摘要】
一种过程控制系统信息安全防护的异常检测方法
本专利技术属于工业过程控制系统信息安全防护
,更具体地,涉及一种过程控制系统信息安全防护的异常检测方法。
技术介绍
为了更方便的管理和监控工业控制系统的运行,将现代化信息网络技术与传统的工业控制系统进行深度融合,实现管控一体化;这种开放的运行模式使得工业控制系统不再是一个孤立的系统,面临由网络化技术带来的各种信息安全问题。现有的工业控制系统的异常检测大多数都是针对网络数据的分析,包括基于攻击特征的(例如专利技术专利201010265793.1)、基于规则的(例如专利技术专利200710306106.4)等;但是对于工业控制系统而言,仅从网络数据的视角来考虑是远远不够的;也有一部分针对工业过程数据的异常检测,例如期刊《东南大学学报(自然科学版)》第9-42期的论文《基于工业控制模型的非参数CUSUM入侵检测方法》提出了一种基于模型的异常检测方法,从系统模型的角度分析数据异常行为,但是这种方法无法有效的检测欺骗攻击;专利技术专利201310712572.8提出了一种基于本体模型的入侵检测方法,从过程数据、设备节点数据、网络数据等角度综合分析系统异常,但是该方法针对过程数据的分析也存在无法有效检测欺骗攻击和未知攻击的问题。
技术实现思路
针对现有技术的以上缺陷或改进需求,本专利技术提供了一种过程控制系统信息安全防护的异常检测方法,其目的在于从相互隔离的区域对过程数据进行深度分析,提高检测准确率。为实现上述目的,按照本专利技术的一个方面,提供了一种过程控制系统信息安全防护的异常检测方法,包括如下步骤:(1)采用基于因果模型的循环迭代方法根据失效事件建立故障树;故障树的顶事件为物理对象失效事件,叶子事件为不可分解的传感器异常或执行机构异常;(2)根据预设的分区原则对故障树的叶子事件进行分区隔离;(3)利用各区域的信息,分别对系统同一关键状态信号进行描述;建立关键状态信号的数学模型;并通过对该数学模型的参数进行拟合求取最佳拟合系数,获得关键状态信号的数据表达式;(4)根据关键性状态的数学表达式计算关键状态信号的描述距离,根据该描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(1)包括如下子步骤:(1.1)定义整个系统的失效事件,并将该失效事件作为顶事件A;(1.2)将顶事件A作为被分析事件,获取所有引起顶事件A发生的中间事件B=B1,B2,...,Bn;并获取中间事件B中所有的元素影响顶事件A需要满足的条件;其中,中间事件B=B1,B2,...,Bn是指满足顶事件A发生条件的所有事件集合;譬如:当中间事件B1和B2同时发生才可能导致顶事件A发生,则在故障树建立时,顶事件A需要满足的条件是B1∩B2;当中间事件B1和B2中任一事件发生就会导致顶事件A发生,则顶事件A需要满足的条件是B1∪B2;(1.3)将中间事件B作为被分析事件,重复步骤(1.2),获取引起被分析事件发生的直接原因,直至直接原因为叶子事件;其中,叶子事件为传感器或执行机构异常;(1.4)根据叶子事件和顶事件构建故障树。优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述分区原则包括:(a)将影响同一关键状态的多个因素不分在同一区域;(b)使得关键状态应至少在两个或两个以上的区域被观察到;(c)将各控制回路所包含的传感器和执行机构部署在同一区域。优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(2)包括如下子步骤:(2.1)从故障树的顶事件开始,根据分区原则(c),确定系统的各控制回路中包含的设备,并将各控制回路所包含的传感器和执行机构绑定成一个不可分割的整体;(2.2)根据分区原则(a)和(b),将引起被分析事件发生的直接原因分到两个及以上的区域;并将各区域中的直接原因作为被分析事件,将引起该被分析事件的直接原因划分到不同区域;(2.3)判断当前所划分的区域数量以及分区结果是否满足分区原则(a)和(b);若是,则去除各区域中故障树的中间事件,只保留叶子事件,进入步骤(2.4);若否,则增加区域,并通过重复步骤(2.1)~步骤(2.3)来重新从故障树的顶事件开始对系统进行区域划分,直至所有的叶子事件分析完毕;去除各区域中故障树的中间事件,只保留叶子事件;(2.4)根据分区原则(c),将物理对象中不在故障树中的设备填充至对应的区域中。优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(3)包括如下子步骤:(3.1)根据各区域的信息特征以及物质流的因果关系建立如下微分代数方程:fi(X,X′,yi,y′i)=0(i=1,2,...,n)其中,n表示每个区域中可以建立的微分代数方程的个数,fi表示第i个区域中的微分代数方程,X=(x1,x2,...,xp)表示各区域的信息,p为信息的个数,X′表示X的变化率,Y=(y1,y2,...,yn)表示通过各区域的信息可描述的系统其它信息,Y=(y′1,y′2,...,y′n)表示Y的变化率;(3.2)根据步骤(3.1)建立的微分代数方程建立关键状态信号的数学模型g(X,ym)=0;其中,ym是结合物理对象特征定义的系统关键状态信号;(3.3)采用多元线性回归方法根据系统运行的过程数据对上述数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;获得关键状态信号的数学表达式yk(i)=β0+β1x1+β2x2+...+βpxp+ε;其中β=β0,β1,...,βp为回归系数,ε为拟合误差,yk(i)为区域i中的关键状态yk。优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(4)包括如下子步骤:(4.1)根据关键状态信号的数学表达式计算任一两区域i和区域j对关键状态信号的描述距离dyk(i,j),以及区域i与所有其它区域对关键状态信号描述距离的集合Zi:dyk(i,j)=|yk(i)-yk(j)|(i,j=1,2,...,n,i≠j);Zi={dym(i,j)|j=1,2,...,n,j≠i,m=1,2,...Mi;其中yk(i),yk(j)分别表示区域i、区域j对关键状态信号yk的描述,n表示区域总个数,Mi表示区域i中包含的关键状态信号的总个数;dyk(i,j)是指区域i与j对关键状态信号yk的描述距离;(2)对区域p,当则判定区域p为正常;当则判定区域p发生异常;其中,是指区域p与i在正常情况下对关键状态信号描述距离允许的最大误差,δp,i是指区域p与i中传感器的小分辨率(检测精度),是指区域p与i中信号的最大扰动。本专利技术提出的上述过程控制系统信息安全防护的区域划分及异常检测方法,克服了工业控制系统中传统的从物理对象视角进行异常检测的方法的局限性,能够在物理对象遭受攻击时有效的检测到系统异常;总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:(1)本专利技术提供的过程控制系统物理信息的区域划分方法,利用系统故障推理模型构建系统故障树,结合“影响同一关键状态的多个因素应分布在不同的区域”、“同一关键状态应至少在两个或两个以本文档来自技高网...
【技术保护点】
一种过程控制系统信息安全防护的异常检测方法,其特征在于,包括如下步骤:(1)采用基于因果模型的循环迭代方法根据失效事件建立故障树;所述故障树的顶事件为物理对象失效事件,叶子事件为不可分解的传感器异常或执行机构异常;(2)根据预设的分区原则对故障树的叶子事件进行分区隔离;(3)建立关键状态信号的数学模型,并通过对所述数学模型的参数进行拟合求取最佳拟合系数;(4)根据所述关键性状态的数学表达式计算关键状态信号的描述距离,根据所述描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。
【技术特征摘要】
1.一种过程控制系统信息安全防护的异常检测方法,其特征在于,包括如下步骤:(1)采用基于因果模型的循环迭代方法根据失效事件建立故障树;所述故障树的顶事件为物理对象失效事件,叶子事件为不可分解的传感器异常或执行机构异常;(2)根据预设的分区原则对故障树的叶子事件进行分区隔离;(3)建立关键状态信号的数学模型,并通过对所述数学模型的参数进行拟合求取最佳拟合系数;(4)根据所述关键性状态的数学表达式计算关键状态信号的描述距离,根据所述描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。2.如权利要求1所述的异常检测方法,其特征在于,所述步骤(1)包括如下子步骤:(1.1)将整个系统的失效事件作为顶事件A;(1.2)将所述顶事件A作为被分析事件,获取所有引起顶事件A发生的中间事件B=B1,B2,...,Bn;并获取中间事件B中所有的元素影响顶事件A需要满足的条件;(1.3)将所述中间事件B作为被分析事件,重复步骤(1.2),获取引起被分析事件发生的直接原因,直至直接原因为叶子事件;其中,叶子事件为传感器或执行机构异常;(1.4)根据叶子事件和顶事件构建故障树。3.如权利要求1或2所述的异常检测方法,其特征在于,所述分区原则包括:(a)将影响同一关键状态的多个因素分在不同的区域;(b)使得关键状态应至少在两个或两个以上的区域被观察到;(c)将各控制回路所包含的传感器和执行机构部署在同一区域。4.如权利要求1或2所述的异常检测方法,其特征在于,所述步骤(2)包括如下子步骤:(2.1)从故障树的顶事件开始,根据分区原则(c)确定系统的各控制回路中包含的设备,并将各控制回路所包含的传感器和执行机构绑定成一个不可分割的整体;(2.2)根据分区原则(a)和(b),将引起被分析事件发生的直接原因分到两个及以上的区域;并将各区域中的直接原因作为被分析事件,将引起所述被分析事件的直接原因划分到不同区域;(2.3)判断当前所划分的区域数量以及分区结果是否满足分区原则(a)和(b);若是,则去除各区域中故障树的中间事件,只保留叶子事件,进入步骤(2.4);若否,则增加区域数量,并通过重复步骤(2.1)~步骤(2.3)来重新从故障树的顶事件开始对系统进行区域划分,直至所有的叶子事件分析完毕;去除各...
【专利技术属性】
技术研发人员:周纯杰,杨军,胡博文,秦元庆,徐海洲,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。