在具有确定特性的网络物理系统中检测异常的系统和方法技术方案

确定信息物理系统(CPS)中异常源的系统和方法。预测工具可以在输入窗口期间获取多个CPS特征值，以及预测预测窗口的多个CPS特征值。异常识别工具可以确定预测窗口中多个CPS要素的总预测误差，在总预测误差超过总误差阈值时识别信息物理系统中的异常，并确定至少一个CPS特征作为异常源。

【技术实现步骤摘要】
在具有确定特性的网络物理系统中检测异常的系统和方法相关申请本专利申请要求于2018年12月28日提交的、专利申请号为RU2018147248俄罗斯联邦专利的优先权，该专利通过引用被完全并入到本文。
实施例通常涉及计算机安全领域，更具体地，涉及网络物理系统的安全性。
技术介绍
技术流程(TP)的安全运行是当前工业安全问题之一。例如，石化行业的TP通常具有很高的过程危险率，因为它们涉及易燃易爆液体以及高温和高压气体。这种TP面临的主要威胁包括：在操作控制中的非故意误差或恶意操作；设备和装置的磨损和失效；对控制系统和信息系统的网络攻击等。网络物理系统(CPS)的安全系统用于应对此类威胁，例如，在生产设施和企业中。这些系统传统上分几个阶段构建。在设计设施时，将构建紧急停机系统(ESS)，该系统随后与工业控制系统(ICS)集成，但也允许手动控制。ESS系统的缺点是相当大的过程的惰性和决策中的人为因素的存在。此外，ESS的工作原理基于仪器正确运行的假设。实际上不可能确保仪器完全安全运行，因为仪器偶尔会出现故障，往往出现与时间相关的误差，而且所有仪器的冗余费用极高而且在技术上并不是一直如此合理的。监测过程正确性的一种方法是使用内置的自诊断系统监测单个设备、机器、仪器、控制回路等。如果检测到故障，此类系统会向过程操作员发送信号，通常需要手动干预设备。尽管此类系统具有优势(例如，它们“考虑”了设备操作的细节，这些由设备制造商设计等)，但它们存在一些缺陷。缺陷包括上述一些自我监测系统所基于的设备的问题。这种系统的另一个缺陷是它们是局域的且与其他非局域的过程的监测是隔离的。换句话说，每个此类系统仅在所连接的设备或装置的范围内“看到”过程，而不存在相关设备和单元之间的逻辑或物理关联。因此，当异常已经威胁到设备或仪器的正常运行，需要立即响应时，过程中的异常检测通常会在后进行。此外，在某些情况下，由于仪器的物理特性(例如，被重油产品堵塞的液位计)，这种系统往往会出现多次误差响应，导致人员强行断开连接。对技术系统(TS)设备和过程进行无损监测的另一种传统方法包括安装额外的外部(与设备和ICS有关)监测系统。这种监测方法实际上涉及建立并行基础设施，包括仪器、通信线路、数据收集和处理服务器等。此类系统可与现有的APC和ESS系统集成，也可以与它们保持外部关系。尽管这些系统具有冗余诊断仪器、专业高效的诊断方法、几乎无限的诊断信息处理能力等优点，但其主要缺陷在于其成本高，复杂性，有时不可能部署在实际生产设施中。这些问题与包含传感器和执行器的所有网络物理系统相关，无论是上述过程(TS的一部分)还是物联网，特别是工业物联网。例如，由于网络攻击，物联网的传感器可以提供不正确的值，从而导致物联网的计算机设备操作不正确，进而导致电能消耗增加、未经授权访问信息等问题。出现技术问题，需要创建一个系统来检测具有确定特性的网络物理系统(CPS)中的异常，其中从CPS中发生异常到检测到异常的时间是比现有技术短。其中一个现有技术是公开号为20140189860美国专利申请所提出的技术，它描述了通过发现系统运行中标准偏差来检测网络攻击的方法。该方法使用各种方法来检测偏差，并确定网络攻击的媒介。它还描述了从“噪声”中(例如，通过设置阈值)识别异常的方法。然而，该技术并不能解决上述技术问题。
技术实现思路
本文所述的实施方案基本上满足了上述的工业需求。例如，与现有异常相比，第一个技术结果包括：通过构建CPS特征值预测模型并根据CPS特性计算CPS总误差阈值，减少了从具有确定特性的信息物理系统(CPS)发生异常时到检测到异常时所经过的时间，因此超出由总预测误差计算的阈值，则意味着CPS中出现异常。第二个技术结果包括：通过构建CPS特征值预测模型并根据CPS特性计算CPS总误差阈值，提高了在具有确定特性的CPS中检测异常的准确性。在一个实施例中，一种用于确定信息物理系统(CPS)中异常源的系统，所述系统包括：计算平台，包括至少一个处理器的计算硬件和可操作地耦合的到所述至少一个处理器的存储器；当指令在所述计算平台上执行时，使得所述计算平台实现：预测工具，配置为在输入窗口期间获取多个CPS特征值，所述输入窗口由训练后的预测模型确定，以及利用所述训练后的预测模型和在输入窗口期间获取的所述CPS特征值，预测预测窗口的多个CPS特征值；以及异常识别工具，配置为确定在所述预测窗口的所述多个CPS特征的总预测误差，当所述总预测误差超过总误差阈值时，识别所述信息物理系统中的异常，以及当所述多个CPS特征中的至少一个CPS特征对所述总预测误差的预测误差贡献高于所述多个CPS特征中的其他CPS特征对总预测误差的贡献时，则识别至少一个CPS特征作为异常源。在一个实施例中，一种用于确定信息物理系统(CPS)异常源的方法，所述方法包括：在输入窗口期间获取多个CPS特征值，所述输入窗口由训练后的预测模型确定；利用所述训练后的预测模型和在输入窗口期间获取的所述CPS特征值，预测预测窗口的多个CPS特征值；确定在所述预测窗口的所述多个CPS特征的总预测误差；当所述总预测误差超过总误差阈值时，识别所述信息物理系统中的异常；以及当所述多个CPS特征中的至少一个CPS特征对所述总预测误差的预测误差贡献高于所述多个CPS特征中的其他CPS特征对总预测误差的贡献时，则识别至少一个CPS特征作为异常源。在一个实施例中，一种用于训练信息物理系统(CPS)预测模型的方法，所述方法包括：获取初始样本，所述初始样本包括多个历史CPS特征值；基于所述多个历史CPS特征值和所述多个历史CPS特征的至少一个特性构建训练样本；基于在所述输入窗口每一时刻的所述多个CPS特征值，构建所述训练后的预测模型以预测在预测窗口每一时刻的所述多个CPS特征值并所述输入窗口和预测窗口位于监测周期内并根据历史CPS特征的至少一个特性进行选择；以及基于所述训练样本训练所述预测模型。上述内容并非旨在描述本文件中的所阐述的每个实施例或本主题的每个实现。下面的图片以及详细描述更具体地说明了各种实施例。附图说明结合附图参考下面不同实施例的详细描述来可以对本文的主题进行更完整地理解，其中：图1a是根据实施例中的、技术系统的示例的框图。图1b是图1a中所述技术系统的特定实现的示例的框图。图1c是根据实施例的、利用具有便携式设备的物联网的示例系统的阐述与框图。图1d是根据实施例中的、一组合理的设备传感器的框图。图2是根据实施例的、用于训练具有确定特性的CPS特征值预测模型以及用于计算误差阈值以在CPS中查找异常的框图。图3是根据实施例中的、训练CPS特征值预测模型以及用于计算误差阈值以在具有确定特性的CPS中查找异常的方法的流程图。图4是根据实施例中的、用于检测CPS异常源的系统的框架图。图5是根据实施例中的、用于检测具有确定特性的CPS中的异常源的方法的流程图。图6是根据实施例中的、一个特征本文档来自技高网...

【技术保护点】
1.一种用于确定信息物理系统(CPS)中异常源的系统，所述系统包括：/n计算平台，包括至少一个处理器的计算硬件和与所述至少一个处理器可操作地耦合的存储器；/n指令，当在所述计算平台上执行所述指令时，使得所述计算平台实现：/n预测工具，配置为：/n在输入窗口期间获取多个CPS特征值，所述输入窗口由训练后的预测模型确定，以及/n利用所述训练后的预测模型和在输入窗口期间获取的所述CPS特征值，预测预测窗口的多个CPS特征值；以及/n异常识别工具，配置为：/n确定所述预测窗口中的多个CPS特征的总预测误差，/n当所述总预测误差超过总误差阈值时，识别所述信息物理系统中的异常，以及/n当所述多个CPS特征中的至少一个CPS特征对所述总预测误差的预测误差贡献高于所述多个CPS特征中的其他CPS特征对所述总预测误差的贡献时，则识别所述至少一个CPS特征作为异常源。/n

【技术特征摘要】
20181228 RU 2018147248;20190624 US 16/450,1951.一种用于确定信息物理系统(CPS)中异常源的系统，所述系统包括：
计算平台，包括至少一个处理器的计算硬件和与所述至少一个处理器可操作地耦合的存储器；
指令，当在所述计算平台上执行所述指令时，使得所述计算平台实现：
预测工具，配置为：
在输入窗口期间获取多个CPS特征值，所述输入窗口由训练后的预测模型确定，以及
利用所述训练后的预测模型和在输入窗口期间获取的所述CPS特征值，预测预测窗口的多个CPS特征值；以及
异常识别工具，配置为：
确定所述预测窗口中的多个CPS特征的总预测误差，
当所述总预测误差超过总误差阈值时，识别所述信息物理系统中的异常，以及
当所述多个CPS特征中的至少一个CPS特征对所述总预测误差的预测误差贡献高于所述多个CPS特征中的其他CPS特征对所述总预测误差的贡献时，则识别所述至少一个CPS特征作为异常源。


2.根据权利要求1所述的系统，其中所述多个CPS特征值由所述预测工具实时地获取，以及所述总预测误差是在时间等于预测范围窗口和输入窗口之和后确定的，所述预测范围窗口包括所述输入窗口和所述预测窗口之间的时间。


3.根据权利要求1所述的系统，其中所述多个CPS特征在历史监测周期内获取，其包括初始样本数据，以及所述总预测误差由所述初始样本数据在所述历史监测周期内确定。


4.根据权利要求1所述的系统，其中所述多个CPS特征包括传感器测量、执行器的受控变量、执行器的设定值、比例积分微分(PID)控制器的输入信号或PID控制器的输出信号中的至少一个。


5.根据权利要求1所述的系统，所述异常识别工具配置为通过对所述多个CPS特征的每个特征误差赋予权重比来确定所述总预测误差，每个特征误差的总和包含所述总预测误差。


6.根据权利要求5所述的系统，其中，针对具有噪声数据或无效数据的特征，或者如果所述特征之前已经被用户禁用，则特征误差的所述权重比被赋予低值。


7.根据权利要求5所述的系统，其中，当特征的异常不影响CPS操作时，则针对所述特征，特征误差的所述权重比被赋予低值，当所述特征的异常影响CPS操作时，则针对所述特征，特征误差的权重比被赋予高值。


8.根据权利要求1所述的系统，其中，当在所述计算平台上执行所述指令时，使得所述计算平台进一步实现训练工具，所述训练工具配置为通过以下步骤生成所述训练后的预测模型：
获取初始样本，所述初始样本包括多个历史CPS特征值；
基于所述多个历史CPS特征值和所述多个历史CPS特征的至少一个特性构建训练样本；
构建所述训练后的预测模型，用于在所述预测窗口的每一时刻并基于所述输入窗口的每一时刻的所述多个CPS特征值预测所述多个CPS特征值，所述输入窗口和所述预测窗口位于监测周期内并根据历史CPS特征的至少一个特性进行选择；以及
基于所述训练样本训练所述预测模型。


9.根据权利要求8所述的系统，其中所述历史CPS特征值包括异常发生。


10.根据权利要求8所述的系统，其中所述训练工具进一步配置为：
预测所述监测周期内每一时刻的所述多个CPS特征值；
利用所述预测确定预测的总误差；以及
基于所述历史CPS特征的至少一个特性计算所述总误差阈值。


11.根据权利要求8所述的系统，其中所述构建训练样本包括：
对所述初始样本数据进行去噪；
移除所述初始样本数据中的任何空白；
移除所述历史CPS特征值中的任何波动；
移除所述初始样本数据中任何无效的数据集；
将所述初始样本数据...

【专利技术属性】
技术研发人员：A·B·拉夫连季耶夫，A·M·沃龙佐夫，P·V·菲洛诺夫，D·K·沙雷伽，V·I·什库廖夫，N·N·德米多夫，D·A·伊万诺夫，
申请(专利权)人：卡巴斯基实验室股份公司，
类型：发明
国别省市：俄罗斯;RU