CN107037802B - 一种过程控制系统信息安全防护的异常检测方法 - Google Patents

一种过程控制系统信息安全防护的异常检测方法 Download PDF

Info

Publication number
CN107037802B
CN107037802B CN201610969415.9A CN201610969415A CN107037802B CN 107037802 B CN107037802 B CN 107037802B CN 201610969415 A CN201610969415 A CN 201610969415A CN 107037802 B CN107037802 B CN 107037802B
Authority
CN
China
Prior art keywords
event
region
key state
state signal
fault tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610969415.9A
Other languages
English (en)
Other versions
CN107037802A (zh
Inventor
周纯杰
杨军
胡博文
秦元庆
徐海洲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
Original Assignee
Huazhong University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology filed Critical Huazhong University of Science and Technology
Priority to CN201610969415.9A priority Critical patent/CN107037802B/zh
Publication of CN107037802A publication Critical patent/CN107037802A/zh
Application granted granted Critical
Publication of CN107037802B publication Critical patent/CN107037802B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0243Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
    • G05B23/0245Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
    • G05B23/0248Causal models, e.g. fault tree; digraphs; qualitative physics
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16ZINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS, NOT OTHERWISE PROVIDED FOR
    • G16Z99/00Subject matter not provided for in other main groups of this subclass

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种过程控制系统信息安全防护的异常检测方法,首先根据失效事件建立故障树;然后根据预设的分区原则对故障树的叶子事件进行分区隔离;再利用各区域的信息,分别对系统同一关键状态信号进行描述,建立关键状态信号的数学模型;并通过对该数学模型的参数进行拟合求取最佳拟合系数,获得关键状态信号的数据表达式;根据关键性状态的数学表达式计算关键状态信号的描述距离,根据该描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常;这种方法克服了工业控制系统中传统的从物理对象视角进行异常检测的方法的局限性,能够在物理对象遭受攻击时有效的检测系统异常。

Description

一种过程控制系统信息安全防护的异常检测方法
技术领域
本发明属于工业过程控制系统信息安全防护技术领域,更具体地,涉及一种过程控制系统信息安全防护的异常检测方法。
背景技术
为了更方便的管理和监控工业控制系统的运行,将现代化信息网络技术与传统的工业控制系统进行深度融合,实现管控一体化;这种开放的运行模式使得工业控制系统不再是一个孤立的系统,面临由网络化技术带来的各种信息安全问题。
现有的工业控制系统的异常检测大多数都是针对网络数据的分析,包括基于攻击特征的(例如发明专利201010265793.1)、基于规则的(例如发明专利200710306106.4)等;但是对于工业控制系统而言,仅从网络数据的视角来考虑是远远不够的;也有一部分针对工业过程数据的异常检测,例如期刊《东南大学学报(自然科学版)》第9-42期的论文《基于工业控制模型的非参数CUSUM入侵检测方法》提出了一种基于模型的异常检测方法,从系统模型的角度分析数据异常行为,但是这种方法无法有效的检测欺骗攻击;发明专利201310712572.8提出了一种基于本体模型的入侵检测方法,从过程数据、设备节点数据、网络数据等角度综合分析系统异常,但是该方法针对过程数据的分析也存在无法有效检测欺骗攻击和未知攻击的问题。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种过程控制系统信息安全防护的异常检测方法,其目的在于从相互隔离的区域对过程数据进行深度分析,提高检测准确率。
为实现上述目的,按照本发明的一个方面,提供了一种过程控制系统信息安全防护的异常检测方法,包括如下步骤:
(1)采用基于因果模型的循环迭代方法根据失效事件建立故障树;故障树的顶事件为物理对象失效事件,叶子事件为不可分解的传感器异常或执行机构异常;
(2)根据预设的分区原则对故障树的叶子事件进行分区隔离;
(3)利用各区域的信息,分别对系统同一关键状态信号进行描述;建立关键状态信号的数学模型;并通过对该数学模型的参数进行拟合求取最佳拟合系数,获得关键状态信号的数据表达式;
(4)根据关键性状态的数学表达式计算关键状态信号的描述距离,根据该描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。
优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(1)包括如下子步骤:
(1.1)定义整个系统的失效事件,并将该失效事件作为顶事件A;
(1.2)将顶事件A作为被分析事件,获取所有引起顶事件A发生的中间事件B=B1,B2,...,Bn;并获取中间事件B中所有的元素影响顶事件A需要满足的条件;
其中,中间事件B=B1,B2,...,Bn是指满足顶事件A发生条件的所有事件集合;
譬如:当中间事件B1和B2同时发生才可能导致顶事件A发生,则在故障树建立时,顶事件A需要满足的条件是B1∩B2;当中间事件B1和B2中任一事件发生就会导致顶事件A发生,则顶事件A需要满足的条件是B1∪B2
(1.3)将中间事件B作为被分析事件,重复步骤(1.2),获取引起被分析事件发生的直接原因,直至直接原因为叶子事件;其中,叶子事件为传感器或执行机构异常;
(1.4)根据叶子事件和顶事件构建故障树。
优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述分区原则包括:
(a)将影响同一关键状态的多个因素不分在同一区域;
(b)使得关键状态应至少在两个或两个以上的区域被观察到;
(c)将各控制回路所包含的传感器和执行机构部署在同一区域。
优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(2)包括如下子步骤:
(2.1)从故障树的顶事件开始,根据分区原则(c),确定系统的各控制回路中包含的设备,并将各控制回路所包含的传感器和执行机构绑定成一个不可分割的整体;
(2.2)根据分区原则(a)和(b),将引起被分析事件发生的直接原因分到两个及以上的区域;
并将各区域中的直接原因作为被分析事件,将引起该被分析事件的直接原因划分到不同区域;
(2.3)判断当前所划分的区域数量以及分区结果是否满足分区原则(a)和(b);若是,则去除各区域中故障树的中间事件,只保留叶子事件,进入步骤(2.4);
若否,则增加区域,并通过重复步骤(2.1)~步骤(2.3)来重新从故障树的顶事件开始对系统进行区域划分,直至所有的叶子事件分析完毕;去除各区域中故障树的中间事件,只保留叶子事件;
(2.4)根据分区原则(c),将物理对象中不在故障树中的设备填充至对应的区域中。
优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(3)包括如下子步骤:
(3.1)根据各区域的信息特征以及物质流的因果关系建立如下微分代数方程:
fi(X,X′,yi,y′i)=0(i=1,2,...,n)
其中,n表示每个区域中可以建立的微分代数方程的个数,fi表示第i个区域中的微分代数方程,X=(x1,x2,...,xp)表示各区域的信息,p为信息的个数,X′表示X的变化率,Y=(y1,y2,...,yn)表示通过各区域的信息可描述的系统其它信息,Y=(y′1,y′2,...,y′n)表示Y的变化率;
(3.2)根据步骤(3.1)建立的微分代数方程建立关键状态信号的数学模型g(X,ym)=0;
其中,ym是结合物理对象特征定义的系统关键状态信号;
(3.3)采用多元线性回归方法根据系统运行的过程数据对上述数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;
获得关键状态信号的数学表达式yk(i)=β01x12x2+...+βpxp+ε;其中β=β0,β1,...,βp为回归系数,ε为拟合误差,yk(i)为区域冲的关键状态yk
优选地,上述过程控制系统信息安全防护的区域划分方法及异常检测方法,所述步骤(4)包括如下子步骤:
(4.1)根据关键状态信号的数学表达式计算任一两区域i和区域j对关键状态信号的描述距离dyk(i,j),以及区域i与所有其它区域对关键状态信号描述距离的集合Zi
其中yk(i),yk(j)分别表示区域i、区域j对关键状态信号yk的描述,n表示区域总个数,Mi表示区域i中包含的关键状态信号的总个数;dyk(i,j)是指区域i与j对关键状态信号yk的描述距离;
(4.2)对区域p,
当|Zp-Zi|≤θp,i(i=1,2,...,n,i≠p),则判定区域p为正常;
则判定区域p发生异常;其中,θp,i是指区域p与i在正常情况下对关键状态信号描述距离允许的最大误差,δp,i是指区域p与i中传感器的小分辨率(检测精度),是指区域p与i中信号的最大扰动。
本发明提出的上述过程控制系统信息安全防护的区域划分及异常检测方法,克服了工业控制系统中传统的从物理对象视角进行异常检测的方法的局限性,能够在物理对象遭受攻击时有效的检测到系统异常;总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明提供的过程控制系统物理信息的区域划分方法,利用系统故障推理模型构建系统故障树,结合“影响同一关键状态的多个因素应分布在不同的区域”、“同一关键状态应至少在两个或两个以上的区域被观察到”的分区原则,将一个闭环系统的物理信息划分成多个不同的区域,使得多个不同区域均包含了对系统同一关键状态的描述信息,为在多个不同区域对系统同一关键状态进行分析提供了可能;
(2)本发明提供的过程控制系统信息安全防护的异常检测方法,在上述区域划分的基础上,在各区域利用微分代数方程对物理系统状态的因果关系、物质流结构关系建立模型,实现了通过各区域内的相关信息建立精确的数学模型对系统关键状态的描述,以及区域间对同一关键状态描述的距离的表述,使得当某一个区域遭受攻击时,其他相互隔离区域可以检测到由攻击所造成的系统异常,提高检测准确率。
附图说明
图1是实施例提供的过程控制系统信息安全防护的异常检测方法流程示意图;
图2是实施例中实物装置对象结构示意图;
图3是实施例中根据实物装置构建的故障树示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提供的过程控制系统信息安全防护的异常检测方法,在需要进行异常检测的过程控制系统中建立一种通过物理对象分域信息进行异常检测方法;通过物理对象信息的区域划分技术、各区域对系统关键信号状态分析的建模技术以及异常分析技术等对物理对象信息进行异常分析与检测;其流程如图1所示;以下结合图2的场景所示的具体实施例,对本发明进行具体阐述;实施例中提供的过程控制系统信息安全防护的异常检测方法,具体如下:
步骤1:建立故障树;定义物理对象的失效(重大故障)事件,根据失效时间,建立相应的故障树;故障树的顶事件为物理对象失效事件,叶子事件为不可再被继续分解的传感器或执行机构的异常;故障树的建立方法可归纳为:基于因果模型的循环迭代方法,具体表现为:
步骤1.1:定义整个系统的失效事件-“储水水箱因过热而被烧坏”,并将该事件作为故障树的顶事件A;
步骤1.2:分析引起顶事件A发生的所有直接原因(中间事件B),B=B1,B2,...,Bn;实施例中,引起顶事件-“出水水箱因过热而被烧坏”发生的直接原因包括“满足时间要求”和“满足事件要求”;而只有当“时间”和“事件”同时满足时,才能导致“储水水箱因过热而被烧坏”,两个直接原因的关系条件为“∩”;
步骤1.3:分别将“满足时间要求”和“满足事件要求”作为被分析事件,然后分析引起各事件发生的所有直接原因;
重复步骤1.2,直至直接原因为叶子事件(传感器或执行机构的异常);图3为实施例中,根据整个系统的重大事故事件构建的故障树,其中“□”表示事件,“○”表示传感器设备,“○”表示执行器设备。
步骤2:物理对象信息的区域划分。物理对象的区域划分技术首先定义分区的原则,然后根据该原则对步骤1建立的故障树的叶子事件进行分区隔离;具体步骤如下:
步骤2.1:定义分区的原则:(a)影响同一关键状态的多个因素不能分在同一区域;(b)关键状态应至少在两个或两个以上的区域被观察到;(c)各控制回路所包含的传感器和执行机构应部署在同一区域;
步骤2.2:结合图3所示的故障树结构,进行区域划分,具体包括如下子步骤:
步骤2.2.1:分析系统的各控制回路中包含的设备,图2所示装置中,被控对象包括1#水箱液位、2#水箱液位、3#水箱温度,各被控对象对应的控制闭环包含的设备分别为:{L1,V1}、{L2,V2}和{T3,H},在区域划分过程中,将每个闭环包含的设备绑定成一个不可分割的整体。
步骤2.2.2:按照分区原则a,将引起被分析事件的所有直接原因部署在不同区域;譬如,实施例中,被分析事件“出水水箱因过热而被烧坏”发生的条件包含“满足时间要求”和“满足事件要求”,要保证顶事件不发生,满足时间要求和事件要求的条件需要分布在不同区域;
步骤2.2.3:按照分区原则b,分析哪些信息能对某一关键状态信息描述,并将这些信息部署在不同区域;满足时间要求和满足事件要求的推断条件分别应该分布在不同区域;譬如,实施例中,满足时间要求的条件包含两个,并通过“与门”连接;该部分可理解为,当且仅当液位异常和温度异常同时不提示,才会导致满足时间条件发生;因此要保证满足时间条件能被检测到,液位异常的提示信息与温度异常的提示信息应分布在不同区域;又譬如:通过V1、F和P三个变量均可表示1#水箱的进水流量(其中V1和F正相关,P和F负相关),因此将V1、F和P三个变量部署在不同区域;
步骤2.2.4:按照步骤2.2.2和2.2.3所示思路对故障树下一层结构进行分析,直至将图3中包含的传感器与执行机构全部划分完毕,然后除去各区域中的故障树的中间事件,只保留叶子事件;
依照故障树对图2所示系统物理对象区域划分的结果为:
区域1:{T1,L1,V1,V3},区域2:{T2,L2,P},区域3:{T3,L3,V4,F1,M,H};
步骤2.2.5:将系统物理对象中不包含在故障树中的传感器与执行机构填充到上述区域中;
本步骤中,根据步骤2.1中的“原则3进行填充;譬如:在图2所示的实施例的物理系统中,2#自动阀门V2不包含在故障树中,但V2和L2组成了对2#水箱的液位控制闭环,因此将V2归置到区域2;图2所示系统物理对象区域划分的结果为:区域1=(T1,L1,V1,V3};区域2={T2,L2,V2,P};区域3={T3,L3,V4,F1,M,H}。
步骤3:利用各区域的信息,分别对系统同一关键信号状态进行描述;并建立相应的数学模型,具体包括如下子步骤:
步骤3.1:结合图2系统实例,和步骤2的分区结果,建立各区域的微分代数方程,并获取关键状态信号的数学模型;
1)根据区域1的信息,相关的微分代数方程为:
其中,t为采样时间间隔(常数),Δ表示相关状态信号在采样时间间隔里的变化量;结合式(2)和式(3),获得
由于在控制过程中,V3开度固定,故将其看作常数;由此获得上式的简化方程为:
解该微分方程获得L2使用L1的表示方法;
2)根据区域2的信息,相关的微分代数方程为:
上式的简化方程为:
获得L1使用L2的表示方法;
3)根据区域3的信息,获得相关的微分代数方程为:
上式的简化方程为L2=(k′1ΔL3+k′2F1)2;获得得到L2使用L3的表示方法;
步骤3.2:计算数学模型的系数;采集系统运行的过程数据,结合多元线性回归技术,对步骤3.1获得的数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;
由上述微分代数方程可知,建立的数学模型均为非线性模型,采用多元线性回归技术对上述方程的权值进行计算时,需要将上述数学模型线性化,然后再结合多元线性回归技术进行权值计算;本实施例中,其多元线性回归技术采用但不限于最小二乘拟合法;具体如下:
对于p个自变量X,1个因变量Y,(X,Y)=(x1,x2,...,xp,y),其多元线性回归方程为:Y=β01x12x2+...+βpxp+ε;
其中,β=(β0,β1,...,βp)为回归系数,ε为拟合误差;
n组样本分别是(xi1,xi2,...,xip,yi),(i=1,2,...,n);
多元线性回归方程的矩阵形式为:Y=Xβ+ε,采用最小二乘法求回归系数β的估计值
对回归系数β的估计要使得平方损失函数最小,即满足偏导函数矩阵:
从图2所示意的物理装置中采集多组系统运行时的数据,计算获取式(4)所示的矩阵方程中的系数。
步骤4:异常分析;首先根据系统特征,定义需要分析的关键状态信号,然后两两匹配各个区域对关键状态信号的描述,分析出对关键状态信号异常描述的区域;具体如下:
步骤4.1:定义区域间对关键状态信号的描述距离;本实施例中,根据图3所示故障树的结构,系统要保护的重点对象是防止储水水箱应过热而损坏;
造成这种故障的原因,具体包括:1)储水水箱液位低;2)储水水箱温度高;由此确定需要分析的关键状态信号为L3和T3
计算任一两区域对关键状态信号的描述距离:
其中,分别表示区域i、区域j对同一关键状态信号的描述;表示区域i和j对同一关键状态信号的描述距离,表示区域i与所有其它区域对关键状态信号描述距离的集合;
对区域p,当其满足下式(5),则判定该区域正常:
其中表示区域p与i在正常情况下对关键状态信号描述距离允许的最大误差,表示区域p与i中传感器的小分辨率(检测精度),表示区域k与i中信号的最大扰动;
步骤4.2:通过传感器的参数以及离线训练的方式找到与各区域对应的确定
对于区域p,
当其满足则判定区域p中关于L3的描述信号出现异常;
当其满足
则判定区域p中关于T3的描述信号出现异常。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种过程控制系统信息安全防护的异常检测方法,其特征在于,包括如下步骤:
(1)采用基于因果模型的循环迭代方法根据失效事件建立故障树;所述故障树的顶事件为物理对象失效事件,叶子事件为不可分解的传感器异常或执行机构异常;
(2)根据预设的分区原则对故障树的叶子事件进行分区隔离;
(3)建立关键状态信号的数学模型,并通过对所述数学模型的参数进行拟合求取最佳拟合系数;
(4)根据所述关键性状态的数学表达式计算关键状态信号的描述距离,根据所述描述距离计算任意两个区域对关键状态信号的描述距离;根据任意两个区域对关键状态信号的描述距离判定区域是否发生异常。
2.如权利要求1所述的异常检测方法,其特征在于,所述步骤(1)包括如下子步骤:
(1.1)将整个系统的失效事件作为顶事件A;
(1.2)将所述顶事件A作为被分析事件,获取所有引起顶事件A发生的中间事件B=B1,B2,...,Bn;并获取中间事件B中所有的元素影响顶事件A需要满足的条件;
(1.3)将所述中间事件B作为被分析事件,重复步骤(1.2),获取引起被分析事件发生的直接原因,直至直接原因为叶子事件;其中,叶子事件为传感器或执行机构异常;
(1.4)根据叶子事件和顶事件构建故障树。
3.如权利要求1或2所述的异常检测方法,其特征在于,所述分区原则包括:
(a)将影响同一关键状态的多个因素分在不同的区域;
(b)使得关键状态应至少在两个或两个以上的区域被观察到;
(c)将各控制回路所包含的传感器和执行机构部署在同一区域。
4.如权利要求3所述的异常检测方法,其特征在于,所述步骤(2)包括如下子步骤:
(2.1)从故障树的顶事件开始,根据分区原则(c)确定系统的各控制回路中包含的设备,并将各控制回路所包含的传感器和执行机构绑定成一个不可分割的整体;
(2.2)根据分区原则(a)和(b),将引起被分析事件发生的直接原因分到两个及以上的区域;
并将各区域中的直接原因作为被分析事件,将引起所述被分析事件的直接原因划分到不同区域;
(2.3)判断当前所划分的区域数量以及分区结果是否满足分区原则(a)和(b);若是,则去除各区域中故障树的中间事件,只保留叶子事件,进入步骤(2.4);
若否,则增加区域数量,并通过重复步骤(2.1)~步骤(2.3)来重新从故障树的顶事件开始对系统进行区域划分,直至所有的叶子事件分析完毕;去除各区域中故障树的中间事件,只保留叶子事件;
(2.4)根据分区原则(c),将物理对象中不在故障树中的设备填充至对应的区域中。
5.如权利要求1或2所述的异常检测方法,其特征在于,所述步骤(3)包括如下子步骤:
(3.1)根据各区域的信息特征以及物质流的因果关系建立如下微分代数方程:
fi(X,X′,yi,y′i)=0(i=1,2,...,n);
其中,n表示每个区域中可以建立的微分代数方程的个数,fi表示第i个区域中的微分代数方程,X=(x1,x2,...,xp)表示各区域的信息,p为信息的个数,X′表示X的变化率,Y=(y1,y2,...,yn)表示通过各区域的信息可描述的系统其它信息,Y=(y′1,y′2,...,y′n)表示Y的变化率;
(3.2)根据步骤(3.1)建立的微分代数方程建立关键状态信号的数学模型g(X,ym)=0;
其中,ym是结合物理对象特征定义的系统关键状态信号;
(3.3)采用多元线性回归方法根据系统运行的过程数据对所述数学模型的参数进行拟合,求取最佳拟合系数,使得拟合误差最小;
获得关键状态信号的数学表达式yk(i)=β01x12x2+...+βpxp+ε;其中β=β0,β1,...,βp为回归系数,ε为拟合误差,yk(i)为区域i中的关键状态。
6.如权利要求1或2所述的异常检测方法,其特征在于,所述步骤(4)包括如下子步骤:
(4.1)根据关键状态信号的数学表达式计算任一两区域对关键状态信号yk的描述距离dyk(i,j),以及区域i与所有其它区域对关键状态信号描述距离的集合Zi
dyk(i,j)=|yk(i)-yk(j)|(i,j=1,2,...,n,i≠j);
Zi={dym(i,j)|j=1,2,...,n,j≠i,m=1,2,...Mi};
其中yk(i)、yk(j)分别是指区域i,区域j对关键状态信号yk的描述;n是指区域总个数;Mi表示区域i中包含的关键状态信号的总个数;dyk(i,j)是指区域i与j对关键状态信号yk的描述距离;
(4.2)对区域p,
当|Zp-Zi|≤θp,i(i=1,2,...,n,i≠p),则判定区域p为正常;
则判定区域p发生异常;其中,θp,i是指区域p与i在正常情况下对关键状态信号描述距离允许的最大误差,δp,i是指区域p与i中传感器的小分辨率(检测精度),是指区域p与i中信号的最大扰动。
CN201610969415.9A 2016-10-28 2016-10-28 一种过程控制系统信息安全防护的异常检测方法 Active CN107037802B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610969415.9A CN107037802B (zh) 2016-10-28 2016-10-28 一种过程控制系统信息安全防护的异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610969415.9A CN107037802B (zh) 2016-10-28 2016-10-28 一种过程控制系统信息安全防护的异常检测方法

Publications (2)

Publication Number Publication Date
CN107037802A CN107037802A (zh) 2017-08-11
CN107037802B true CN107037802B (zh) 2018-01-26

Family

ID=59531022

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610969415.9A Active CN107037802B (zh) 2016-10-28 2016-10-28 一种过程控制系统信息安全防护的异常检测方法

Country Status (1)

Country Link
CN (1) CN107037802B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127100A (zh) * 2006-08-18 2008-02-20 张湛 一种处理不确定因果关系类信息的智能系统的构造方法
CN103544389A (zh) * 2013-10-18 2014-01-29 丽水学院 基于故障树和模糊神经网络的汽车起重机故障诊断方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130073271A1 (en) * 2010-05-24 2013-03-21 Nec Corporation Static fault tree analysis system and method from system models
CN102722156B (zh) * 2012-06-21 2014-07-02 国电南瑞科技股份有限公司 冶金行业生产过程控制系统故障显示及容错控制方法
US20140359366A1 (en) * 2013-05-28 2014-12-04 Jean-Pascal Schwinn Method and Engineering Apparatus for Performing a Three-Dimensional Analysis of a Technical System
CN103716203B (zh) * 2013-12-21 2017-02-08 华中科技大学 基于本体模型的网络化控制系统入侵检测方法及系统
CN105825342A (zh) * 2016-03-22 2016-08-03 中国特种设备检测研究院 一种管道失效可能性评价方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101127100A (zh) * 2006-08-18 2008-02-20 张湛 一种处理不确定因果关系类信息的智能系统的构造方法
CN103544389A (zh) * 2013-10-18 2014-01-29 丽水学院 基于故障树和模糊神经网络的汽车起重机故障诊断方法

Also Published As

Publication number Publication date
CN107037802A (zh) 2017-08-11

Similar Documents

Publication Publication Date Title
Feng et al. Multi-level anomaly detection in industrial control systems via package signatures and LSTM networks
CN112202736B (zh) 基于统计学习和深度学习的通信网络异常分类方法
Yang et al. Anomaly detection based on zone partition for security protection of industrial cyber-physical systems
Khorrami et al. Cybersecurity for control systems: A process-aware perspective
CN106502234B (zh) 基于双轮廓模型的工业控制系统异常检测方法
EP3428756B1 (de) Integritätsüberwachung bei automatisierungssystemen
DE102017128693A1 (de) Merkmal- und Grenzeinstellung zur Bedrohungserkennung in einem industriellen Anlagensteuersystem
Li et al. Detection and differentiation of replay attack and equipment faults in SCADA systems
Tianfield Cyber security situational awareness
CN104486141A (zh) 一种误报自适应的网络安全态势预测方法
WO2015104691A2 (en) Systems, methods, and devices for detecting anomalies in an industrial control system
WO2017160913A1 (en) Intrusion detection via semantic fuzzing and message provenance
CN112822206B (zh) 网络协同攻击行为的预测方法、装置以及电子设备
CN104539626A (zh) 一种基于多源报警日志的网络攻击场景生成方法
Khalili et al. Distributed adaptive fault-tolerant control of uncertain multi-agent systems
CN111107108B (zh) 一种工业控制系统网络安全分析的方法
CN107831736A (zh) 使用用于造纸机或其它系统的模型参数数据群集的模型‑工厂失配检测
Zedan et al. A machine-learning approach for identification and mitigation of cyberattacks in networked process control systems
CN118353667A (zh) 一种基于深度学习的网络安全预警方法及系统
Ali et al. Survey on cyber security for industrial control systems
Akbarian et al. Attack resilient cloud-based control systems for industry 4.0
CN107037802B (zh) 一种过程控制系统信息安全防护的异常检测方法
Liu et al. A divide and conquer approach to anomaly detection, localization and diagnosis
Quiñones-Grueiro et al. Decision support system for cyber attack diagnosis in smart water networks
Rebaï et al. A contribution to cyber-security of networked control systems: An event-based control approach

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant