一种基于云边协同的多维时间序列异常检测方法及系统技术方案

本发明专利技术涉及智能网联工控系统安全协同防护领域，尤其涉及一种基于云边协同的多维时间序列异常检测方法及系统。该系统包括：采集传感器和执行器数据的工控数据采集防护层；进行模型部署、进行ICS实时数据的异常检测并将结果和策略下发至工控系统的边缘计算层；对多维时间序列异常检测模型进行训练更新并将模型下发至边端的云计算层；去除时序信号规律性的谱残差数据处理方法；提取状态特征、控制特征、时间特征的s

【技术实现步骤摘要】
一种基于云边协同的多维时间序列异常检测方法及系统


[0001]本专利技术涉及工控系统异常检测领域，尤其涉及一种基于云边协同的多维时间序列异常检测方法及系统。

技术介绍

[0002]随着万物互联的发展，工控系统网络安全问题已经成为一个关系到国家政治、经济、国防等多方面的重要问题。异常检测技术是工控系统中重要的网络安全检测技术，该技术提供了对工控系统内部非法操作和外部恶意攻击的实时保护，从而能够实现在系统受到各种危害之前进行报警和阻断响应。最近几年，工控系统的漏洞越来越多，工控系统面临的安全威胁越来越严重，异常检测技术受到越来越多人的高度重视。
[0003]目前，用户对网络异常检测提出了更高的要求：既不能漏掉重要的攻击事件，也不能出现大量纷繁复杂的报警；既不能增加管理员监控负担，也不能降低重要资产的准确报警和响应能力。而受工控系统场景复杂、工控系统开源数据集较少等因素影响，当前的异常检测方法大多存在攻击检测率低、误报率高、不能对异常设备进行精确定位、复杂模型在边端难以部署等问题。所以迫切需要速度更快、功能更好、性能更强的异常检测系统以适应在高速环境下各种应用安全的需要。
[0004]鉴于上述现有技术存在的缺陷，我们专利技术了一种基于云边协同的多维时间序列异常检测方法及系统，该系统布置简单，操作方便，异常检测效果明显。一方面，本系统是由边缘计算层将数据上传至云计算层，由云计算层对异常检测模型进行训练和更新，然后下发至边端部署，在边端进行推理和检测，这种云边协同方式可以有效解决边端计算资源不足等问题；另一方面，和当前的一些异常检测方法相比，我们提出的基于多维特征的工控异常检测模型精确率高、误报率低，能够有效识别出工控系统中的异常信息，为工控系统安全防护提供了支撑。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的不足，适应现实需要，提供一种基于云边协同的多维时间序列异常检测方法及系统，通过云计算层和边缘计算层的协同，在边端实现异常检测模型的部署和推理，所部署的基于多维特征的工控异常检测模型能够对工控系统的攻击事件进行精准检测，从而对工控系统面临的威胁进行协同防护和快速响应。
[0006]为了实现本专利技术的目的,本专利技术采用的技术方案为：一种基于云边协同的多维时间序列异常检测方法及系统，包括云计算层、边缘计算层、工控数据采集及防护层、基于多维特征的工控异常检测模型，其特征在于：所述工控数据采集及防护层负责采集工控系统中传感器及工控设备上执行器的数据，把数据传输到边缘计算层；所述边缘计算层将ICS历史数据上传到云计算层；所述云计算层将采集到的工控数据存储数据库，对多维时间序列异常检测模型进行训练更新，并将模型下发至边缘计算层；所述边缘计算层部署模型后，对ICS实时数据进行异常检测，并将检测结果和生成策略下发至工控系统；所述基于多维特征
的工控异常检测模型先对传感器数据进行谱残差(Spectral Residual)和min
‑
max归一化处理、对执行器数据进行one
‑
hot编码，再针对传感器数据提取状态特征和时间特征、针对执行器数据提取控制特征，然后对下一时刻的数据进行预测，最后采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差，选择合适的误差阈值，判断异常，并根据马氏距离中各个维度的特征所占比重进行异常定位。
[0007]所述工控数据采集及防护层通过SCADA系统向PLC发送命令，PLC控制现场设备，执行器将电信号转化为物理信号控制现场设备运行，传感器将物理信号转化为电信号来反映当前设备的状态，所述工控数据采集及防护层将采集到的传感器数据和执行器数据传输到边缘计算层。
[0008]所述边缘计算层设置有ICS数据采集终端，所述ICS数据采集终端记录汇总由工控数据采集及防护层传输来的数据，并用socket网络通讯建立云计算层和边缘计算层的连接，然后把ICS历史数据上传至云计算层。
[0009]所述云计算层设置有云端数据库，将边缘计算层传输来的ICS历史数据进行存储；所述云计算层设置有计算卡，根据ICS历史数据进行模型训练更新，在完成模型训练后，把模型下发到边缘计算层，然后断开socket连接。
[0010]所述边缘计算层设置有CPU进行模型推理，模型部署后，对ICS实时数据进行异常检测，并将检测结果和生成策略下发至工控系统。
[0011]所述基于多维特征的工控异常检测模型在读取数据后，先对带有缺失值的无效数据进行数据插值或者删除处理，对传感器数据进行谱残差(Spectral Residual)处理，提取出偏差，然后进行min
‑
max归一化处理，再对执行器数据进行one
‑
hot编码。
[0012]所述基于多维特征的工控异常检测模型通过s
‑
net和t
‑
net网络提取出传感器数据的状态特征和时间特征，通过u
‑
net网络提取出执行器数据的控制特征，通过p
‑
net和d
‑
net网络对t时刻的状态进行预测和解码。
[0013]所述基于多维特征的工控异常检测模型采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差，通过选择合适的误差阈值，判断异常，并根据马氏距离中各个维度的特征所占比重进行异常定位。
[0014]本专利技术的有益效果在于：
[0015](1)将工控系统数据传输到云端，在云端进行模型训练，将训练好的模型下发部署到边端，在边端进行推理。解决了边端计算资源有限，计算能力不足等问题；
[0016](2)针对现有的工控异常检测的模型对单设备攻击不能精确定位、对多设备的攻击检测能力不足等问题，结合工控系统的特征，研究设计了一种基于多维特征的工控异常检测模型，精确率高、误报率低，能够有效检测攻击事件，为工控系统的安全防护提供了科学支撑。
附图说明
[0017]下面结合附图和实施案例对本专利技术做进一步的说明。
[0018]图1为本专利技术的云边协同系统架构图；
[0019]图2为本专利技术的模型网络结构图；
[0020]图3为本专利技术的模型工作流程图。
具体实施方式
[0021]下面结合附图和实施例对本专利技术进一步说明：
[0022]参见图1、图2、图3。
[0023]具体实施方式一：结合图2、图3说明本实施方式，本实施方式具体为一种基于多维特征的工控异常检测模型，所述模型包括如下步骤：
[0024]步骤一：数据预处理
[0025](1)利用谱残差提取信号偏差
[0026]谱残差的方法是首先通过傅里叶变换，把图像从空间域转换到频率域，得到log频谱，然后对log频谱进行滤波，相减，得到频谱残差，最后进行傅里叶逆变换，将序列变换回空间域。在谱残差实验结果中，带噪声的信号经过谱残差方法处理后的曲线和噪声自身的曲线很相似，这表明谱残差的方法能够去除时序信号的规律性，提取出信号的偏差。而工控本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于云边协同的多维时间序列异常检测方法及系统，包括云计算层、边缘计算层、工控数据采集及防护层、基于多维特征的工控异常检测模型，其特征在于：所述工控数据采集及防护层负责采集工控系统中传感器及工控设备上执行器的数据，把数据传输到边缘计算层；所述边缘计算层将ICS历史数据上传到云计算层；所述云计算层将采集到的工控数据存储数据库，对多维时间序列异常检测模型进行训练更新，并将模型下发至边缘计算层；所述边缘计算层部署模型后，对ICS实时数据进行异常检测，并将检测结果和生成策略下发至工控系统；所述基于多维特征的工控异常检测模型首先对传感器数据进行谱残差(Spectral Residual)和min
‑
max归一化处理、对执行器数据进行one
‑
hot编码，再针对传感器数据提取状态特征和时间特征、针对执行器数据提取控制特征，然后对下一时刻的数据进行预测，最后采用考虑特征之间相关性的马氏距离来衡量预测值和实际值之间的误差，选择合适的误差阈值，判断异常，并根据马氏距离中各个维度的特征所占比重进行异常定位。2.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统，其特征在于：所述工控数据采集及防护层通过SCADA系统向PLC发送命令，PLC控制现场设备，执行器将电信号转化为物理信号控制现场设备运行，传感器将物理信号转化为电信号来反映当前设备的状态，所述工控数据采集及防护层将采集到的传感器数据和执行器数据传输到边缘计算层。3.根据权利要求1所述的一种基于云边协同的多维时间序列异常检测方法及系统，其特征在于：所述边缘计算层设置有ICS数据采集终端，所述ICS数据采集终端记录汇总由工控数据采集及防护层传输来的数据，并用socket网络通讯建立云计算层和边缘计算层的连接，然后把ICS历史数据上传至云计算层。4.根据权利要求1所...

【专利技术属性】
技术研发人员：季振洲，刘华赞，张立钊，黎凯凯，李冲，贾东升，孔胜嵩，和树繁，
申请(专利权)人：哈尔滨工业大学威海，
类型：发明
国别省市：