CN109525453B - 基于节点依赖关系的网络化cps异常检测方法及系统 - Google Patents
基于节点依赖关系的网络化cps异常检测方法及系统 Download PDFInfo
- Publication number
- CN109525453B CN109525453B CN201811299889.2A CN201811299889A CN109525453B CN 109525453 B CN109525453 B CN 109525453B CN 201811299889 A CN201811299889 A CN 201811299889A CN 109525453 B CN109525453 B CN 109525453B
- Authority
- CN
- China
- Prior art keywords
- value
- physical
- node
- dynamic measurement
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
Abstract
本发明公开了一种基于节点依赖关系的网络化CPS异常检测方法及系统,实施步骤包括:确定节点依赖关系,收集正常运行下的历史数据,根据历史数据中的动态测量值、控制信息值分别确定其分布函数值及依赖度量值的正常值;基于分布函数值计算每一个当前的动态测量值对其存在物理‑物理依赖关系的动态测量值的第一依赖度量值,以及每一个当前的控制信息值对其存在信息‑物理依赖关系的动态测量值的第二依赖度量值,分别判断和正常值的偏差是否大于预设阈值进行异常状态检测;系统为前述方法对应的系统。本发明仅依赖于测量数据和控制信号,适用性强,通用性好,具有更强的抵御欺骗能力,具有很高的检测效果,能够检测大多数系统异常。
Description
技术领域
本发明涉及大规模复杂信息物理系统安全检测应用领域,具体涉及一种基于节点依赖关系的网络化CPS(Cyber-Physical System,网络化信息物理系统)异常检测方法及系统,用于针对网络化CPS实现异常检测。
背景技术
网络化CPS(Cyber-Physical System,网络化信息物理系统)是信息系统与物理系统紧密耦合形成的大规模复杂系统,通过集成先进的感知、计算、通信、控制等信息技术和自动控制技术,构建了物理空间与信息空间中人、机、物、环境、信息等要素相互映射、适时交互、高效协同的复杂系统,实现系统内资源配置和运行的按需响应、快速迭代、动态优化,如智能交通系统、智能电网系统和智能工厂。网络化CPS不同的物理组件接收信息系统内多个控制器的命令操控,并返回测量的感知数据到信息系统内的状态评估器,网络化CPS内的控制器基于状态评估器对当前不同组件的状态评估,进一步作出决定去控制物理系统内的组件。
在网络化CPS中,每个控制器和物理组件能被看成一个节点,系统共有两类节点:信息节点和物理节点。如信息系统内的可编程逻辑控制器(Programmable LogicControllers,PLCs)是信息系统的一个控制器,被称为信息节点;物理系统的一个组件被称为物理节点,如智能电网中的变电站。图1描述了网络化CPS的结构和数据在不同节点间的传输过程,参见图1,物理节点将其反馈的测量数据发送给状态评估器,网络化CPS内的控制器基于状态评估器对当前不同组件的状态评估,进一步作出决定发出控制信号去控制物理节点。
尽管传统的物理系统与信息系统结合有效地提高了系统服务效能和简化了系统管控操作。然而,新的脆弱性被暴露,例如攻击者能够利用无线网络的脆弱性来入侵控制系统,从而引起系统异常,导致系统损坏。面对信息物理系统可能遭遇的多种攻击和异常导致的系统故障,许多针对系统异常的检测方法已经被提出,可以分为四类:(1)基于模型的检测器,利用系统的物理属性特点构造模型,通过数据输入和模型,计算输出数据。将计算的输出数据与实际测量数据作对比,一旦不匹配,认为系统异常;(2)基于数据关联挖掘的检测器,主要通过挖掘多维感知数据中存在的时间维度和空间维度的关系来判断系统行为是否异常,所述关系包括连续感知数据之间的关联及离散命令之间的关联;(3)基于机器学习分类器的检测器,利用二分类方法训练一个分类器,当新的数据作为输入时,二分类器将数据分为异常和正常。如果当前数据异常,则认为系统异常。
尽管以上的方法能够有效识别系统异常,仍然存在如下问题:(1)构造基于模型的检测器是十分困难的,特别对于大规模信息物理系统而言,即使是领域专家,也几乎无法全面刻画有效的检测模型;(2)尽管当前数据挖掘方法和机器学习的方法多种多样,但能够有效的同时将两类数据即命令数据和感知数据同时关联实施有效而全面的异常检测方法是困难的,当前针对异构数据的关联挖掘技术还不够成熟;(3)先前的检测方法没有对信息系统和物理系统之间的关系进行清晰的建模及刻画,特别地,以上方法面向特定环境下的特定问题,具有不同的特定约束,进而很难将这些方法进行通用。因此,针对网络化CPS的结构特点,如何设计一个通用的,不被特定环境限制的,能够反映信息系统和物理系统关系的系统异常检测方法,已经成为一项亟待解决的关键技术问题。
发明内容
本发明要解决的技术问题是:针对现有技术的上述问题,提供一种基于节点依赖关系的网络化CPS异常检测方法及系统,本发明仅依赖于测量数据和控制信号,适用性强,通用性好,具有更强的抵御欺骗能力,具有很高的检测效果,能够检测大多数系统异常。
为了解决上述技术问题,本发明采用的技术方案为:
一种基于节点依赖关系的网络化CPS异常检测方法,实施步骤包括:
1)确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
2)收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
3)根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;
4)采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;
5)进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。
可选地,步骤3)中确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值。
可选地,所述基于核密度估计来计算物理节点反馈的动态测量值的分布函数值的函数表达式如式(1)所示;
式(1)中,p(yi)是指某个物理节点反馈的动态测量值yi的分布函数值,N表示历史数据中动态测量值yi的独立测量次数,h为平滑参数,为动态测量值yi的第d次独立测量值,d为测量次数,K是核函数,核函数为非负函数且积分为1。
可选地,步骤3)中确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值。
可选地,所述基于核密度估计来计算信息节点输出的控制信息值的估算概率密度的函数表达式如式(2)所示;
式(2)中,p(xk)是指某个信息节点输出的控制信息值xk的估算概率密度,M表示历史数据中信息节点输出的控制信息值xk的独立测量次数,h为平滑参数,为控制信息值xk的第d次独立测量值,d为测量次数,K是核函数,核函数为非负函数且积分为1。
可选地,步骤3)以及步骤4)中第一依赖度量值的计算函数表达式如式(3)所示;
式(3)中,Dce(yi,yj)为动态测量值yi对动态测量值yj的第一依赖度量值,p(yi)为动态测量值yi的分布函数值,p(yj)为动态测量值yj的分布函数值。
可选地,步骤3)以及步骤4)中第二依赖度量值的计算函数表达式如式(4)所示;
式(4)中,Dcm(xk,yi)表示信息节点的控制信息值xk对物理节点的动态测量值yi的第二依赖度量值,p(yi)为动态测量值yi的分布函数值。
本发明还提供一种基于节点依赖关系的网络化CPS异常检测系统,包括计算机设备,所述计算机设备被编程以执行所述基于节点依赖关系的网络化CPS异常检测方法的步骤。
本发明还提供一种基于节点依赖关系的网络化CPS异常检测系统,包括:
节点依赖关系确定程序单元,用于确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
历史数据输入程序单元,用于收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
历史数据分布函数值及检测阈值计算程序单元,用于根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;
当前数据依赖关系计算程序单元,用于采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;
当前数据异常状态检测程序单元,用于进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。
可选地,所述历史数据分布函数值及检测阈值计算程序单元确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的分布函数值,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值;所述历史数据分布函数值及检测阈值计算程序单元确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值。
和现有技术相比,本发明通过计算信息节点和物理节点间测量数据存在的潜在关系来识别数据修改,具有下述优点:
1、本发明仅依赖于测量数据和控制信号,适用性强,通用性好,不需考虑信息物理系统的物理约束和系统知识,不需要根据不同系统制定不同的检测模型(这样会完全依赖于数据挖掘)。
2、本发明具有更强的抵御欺骗能力,本发明充分利用了系统的多维数据,信息节点的控制数据和物理节点的传感器数据,除非攻击者控制大量节点来掩盖攻击,否则很难能完全掩盖系统异常。
3、本发明具有很高的检测效果,能够检测大多数系统异常。
附图说明
图1为现有网络化CPS的结构和数据在不同节点间的传输过程示意图。
图2为本发明实现小规模输水的网络化CPS的结构示意图。
图3为本发明实施例方法的基本流程示意图。
图4为本发明实施例中攻击案例下的检测结果示意图。
具体实施方式
下文将以图2所示用于实现小规模输水的网络化CPS为例,对本发明基于节点依赖关系的网络化CPS异常检测方法进行进一步的详细说明。
如图2所示,该实现小规模输水的网络化CPS包含1个信息节点A(水泵PLC),3个物理节点B、C和D,信息节点A控制物理节点B、C和D的操作。三个物理节点的B、C和D动态测量值分别用y1,y2和y3来描述,分别用于测量三个蓄水池水量的传感器数据;信息节点A输出的控制信息值为x1。
如图3所示,本实施例基于节点依赖关系的网络化CPS异常检测方法的实施步骤包括:
1)确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
2)收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
3)根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;
4)采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
5)进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。本实施例中,将第一预设检测阈值记为e1、第二预设检测阈值记为e2。
本实施例中,步骤1)~步骤3)为历史数据处理部分。
在网络化信息物理系统中,如果两个节点能相互交互并相互影响,则称两个节点之间存在连接。节点之间的连接可以通过物理手段如物理连接,或网络通信的方式建立。本发明将节点间的连接定义为节点间的依赖。主要存在两类依赖:定义一,直接依赖。信息物理系统中两个节点相互直接通信,相互直接影响。具体而言,若一个节点的测量值发生变化能够直接影响另外一个节点的测量值,称这两个节点之间存在直接依赖。假设节点A和节点B间存在直接依赖,则记为<A,B>。定义二,间接依赖。两个节点不能直接相互通信,然而一个节点测量值的变化仍然能影响另外一个节点的测量值,我们称两个节点间存在间接依赖,或者这两个节点以一种间接的方式相互依赖。如图1所示,节点A和节点C间的依赖为间接依赖,记为[A,C]。本实施例的基本原理是同时收集信息系统每个控制器流出的控制命令和每个物理组件被传感器测量的感知数据,通过利用节点间的依赖,对节点间的依赖进行建模及量化,并通过学习大量数据集获得已量化的依赖关系的正常范围,构建节点与节点间的依赖实现对系统异常的检测。物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;定义符号x和y,分别是节点A和节点B的测量值,节点A和节点B可以是信息节点或物理节点。若节点A和节点B之间存在直接依赖或者间接依赖,且节点A是信息节点,节点B是物理节点,则称其为信息-物理依赖。若节点A和节点B之间存在直接依赖或者间接依赖,且节点A是物理节点,节点B是物理节点,则称其为物理-物理依赖。当A和B是物理节点,具有动态的测量值x和y。没有攻击的情况下,x和y处于一个确定的正常范围内,其分布p(x)和p(y)可以被评估。在有攻击的情况下,x和y将会超过正常范围,p(x)和p(y)也将会偏离正常的范围。为量化从x到y的依赖,使用信息论中交叉熵的概念并基于已评估的p(x)和p(y),来计算节点A和节点B间的依赖值。当A是信息节点且B是物理节点,A的动态测量值将为整数,x的不同值代表不同的指令或者不同的安全等级。每一个指令保证测量值y处于一个具体的正常子范围。因此,无攻击的情况下,在x的值和物理测量值y的子区间之间存在固定的一一对应关系,p(x)和p(y)将应用控制-测量(control-measure,CM)模型进行评估。当上述两类依赖关系在系统某一时刻遭遇破坏时,将触发系统警告,发现数据异常。本实施例步骤1)中,针对图2所示小规模输水的网络化CPS,通过系统知识和数据变化的分析,梳理出下述依赖关系:<A,B>,<A,C>,<A,D>,[B,C],[B,D],[C,D],即包括<A,B>,<A,C>,<A,D>三种直接依赖,以及[B,C],[B,D],[C,D]三种间接依赖。需要说明的是,对于不同的具体网络化CPS,其会有不同的依赖关系。但是,网络化CPS中节点之间的依赖关系是客观存在的,本实施例基于节点依赖关系的网络化CPS异常检测方法是和具体依赖关系无关的。
本实施例中,步骤2)收集被检测的网络化CPS正常运行下的历史数据时,运行检测器收集每个节点的测量数据10000次,并将同一时间的数据作为一组。
本实施例中,步骤3)中确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值。本实施例中,基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度的函数表达式如式(1)所示;
式(1)中,p(yi)是指某个物理节点反馈的动态测量值yi的估算概率密度,N表示历史数据中动态测量值yi的独立测量次数,h为平滑参数,为动态测量值yi的第d次独立测量值,d为测量次数,K是核函数,核函数为非负函数且积分为1。
核密度估计KDE是一个非参数化的概率密度估计函数,平滑参数(smoothingparameter)h成为带宽(bandwidth)的评价因子,且满足h>0,平滑参数h的选择会影响检测准确率(detection accuracy),因此可以通过评估选择合适的平滑参数h的值以实现最佳检测准确率;三角函数(triangular),单值函数(uniform),高斯函数(gaussian)等都可被用作核密度估计(Kernel Density Estimation,KDE)的核函数,本实施例中具体采用高斯函数(gaussian)作为核密度估计KDE的内核对所有独立同分布的样本值进行拟合,以估计控制信息值xk或动态测量值yi的估算概率密度。式(1)所示基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度运用了交叉熵模型(CE Model)来对两个物理节点间的依赖关系进行量化。交叉熵是一个来自信息理论的概念,代表在最优编码下,将一个事件从一个分布p(x)传递至另一个分布q(x)所需的平均编码长度。交叉熵模型的数学定义如下式(1-0)所示:
式(1-0)中,Hp(q)表示交叉熵,q(x)和p(x)分别表示两个分布函数值。
考虑节点间因为直接或间接交互而导致的节点间的依赖关系。当图2中的节点A和节点B是两个物理节点,分别具有两个动态的测量值x和y.测量值x的变化被认为是一个事件,该事件被传输至节点B引起y的变化。因此,我们应用CE模型对两个物理节点间的依赖进行量化,并给出基于交叉熵模型,通过核密度估计来计算物理节点反馈的动态测量值的估算概率密度的函数表达式如式(1)所示。
本实施例中,将历史数据中的每一组数据作为一次输入,评估三个物理节点B、C和D的动态测量值y1,y2和y3的分布。对于物理节点B动态测量值y1, 为测量物理节点y1的第d次独立测量值,1≤d≤10000。动态测量值y1的独立同分布是p(y1),基于核密度估计能将动态测量值y1的估算概率密度计算为:
式(1-1)为式(1)中动态测量值yi的下标i取值为1、N=10000时的具体表达式,内核Kh=1/hK(x/h)是一个比例内核(scaled kernel),对应的参量含义与式(1)中相同。
式(1-2)为式(1)中动态测量值yi的下标i取值为2、N=10000时的具体表达式,内核Kh=1/hK(x/h)是一个比例内核(scaled kernel),对应的参量含义与式(1)中相同。
式(1-3)为式(1)中动态测量值yi的下标i取值为3、N=10000时的具体表达式,内核Kh=1/hK(x/h)是一个比例内核(scaled kernel),对应的参量含义与式(1)中相同。
本实施例中,步骤3)中确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值。本实施例中,基于核密度估计来计算信息节点输出的控制信息值的估算概率密度的函数表达式如式(2)所示;
式(2)中,p(xk)是指某个信息节点输出的控制信息值xk的估算概率密度,M表示历史数据中信息节点输出的控制信息值xk的独立测量次数,h为平滑参数,为控制信息值xk的第d次独立测量值,d为测量次数,K是核函数,核函数为非负函数且积分为1。
将历史数据中信息节点A输出的控制信息值为x1,可以评估信息节点A输出的控制信息值x1的分布。对于信息节点A的控制信息值x1, 为控制信息值x1的第d次独立测量值。控制信息值x1的独立同分布是p(x1),基于核密度估计能将控制信息值x1的估算概率密度计算为:
式(2-1)为式(2)中控制信息值xk的下标k取值为1、N=10000时的具体表达式,内核Kh=1/hK(x/h)是一个比例内核(scaled kernel),对应的参量含义与式(2)中相同。
本实施例中,步骤4)~步骤5)为实时数据处理部分。
本实施例中,步骤4)中采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值(控制信息值x1)、物理节点当前反馈的动态测量值(动态测量值y1,y2和y3);
本实施例中,步骤3)以及步骤4)中第一依赖度量值的计算函数表达式如式(3)所示;
式(3)中,Dce(yi,yj)为动态测量值yi对动态测量值yj的第一依赖度量值,p(yi)为动态测量值yi的分布函数值,p(yj)为动态测量值yj的分布函数值。
针对图2所示小规模输水的网络化CPS,y1,y2和y3三种动态测量值间的第一依赖度量值包括Dce(y1,y2),Dce(y2,y1),Dce(y1,y3),Dce(y3,y1),Dce(y2,y3)和Dce(y3,y2),参见如式(3),其对应的函数表达式分别为如式(3-1)~式(3-6)所示:
式(3-1)~式(3-6)为式(3)中动态测量值yi和动态测量值yj的下标取值为1、2、3时的具体表达式,对应的参量含义与式(3)中相同。式(3-1)和式(3-2)是两个相反的依赖具有不同的依赖值,式(3-3)和式(3-4)是两个相反的依赖具有不同的依赖值,式(3-5)和式(3-6)是两个相反的依赖具有不同的依赖值。以式(3-1)和式(3-2)为例,式(3-1)的方向是从y1到y2,即y2依赖于y1,式(3-2)的方向是从y2到y1,即y1依赖y2。
本实施例中,步骤3)以及步骤4)中第二依赖度量值的计算函数表达式如式(4)所示;
式(4)中,Dcm(xk,yi)表示信息节点的控制信息值xk对物理节点的动态测量值yi的第二依赖度量值,p(yi)为动态测量值yi的分布函数值。在图2中,给定节点A是信息节点具有整数值x,节点B是物理节点具有动态测量值y.在攻击之下,例如,攻击者控制信息节点发送错误的指令,x的整数值和y的子区间之间的正常的固定对应关系将会被打破。然而,从整体看,x的值是整数值,代表不同的指令,未发生变化;y的测量值仍然可能会保持在正常范围内;从而x和y的分布p(x)和p(y)仍然没有变化。因此,交叉熵模型不能用于度量一个信息节点和一个物理节点间的信息-物理依赖,更不能基于此来检测针对信息节点的攻击和异常。因此,本实施例中设计并提出了式(4)所示控制-测量模型(CM模型)来对一个信息节点和一个物理节点间的信息-物理依赖关系进行量化。式(4)中,xk可代表系统指令或者系统安全等级,而yi是对系统状态的测量。以上CM模型能够测量没有攻击的情况下,xk的值和yi的子区间之间的正常的一一对应关系,即信息节点的各指令对物理节点的动态测量值的控制关系。举一例子,节点A可以是一个水箱的控制节点,控制水箱阀门的打开和关闭;A的值xk可以是0和1,分别代表打开和关闭水箱阀门;水箱是物理节点B,水箱内储水量的深度是动态物理测量值yi,假设水箱总容量深度为100cm.当水深yi在0-90cm之间,A的值xk为1,表示水箱阀门被关闭并保持此状态;当水深yi超过90cm并在90-100cm之间时,控制节点A向水箱B发送打开指令,x的值变为0.即xk的值1与yi的子区间0-90cm相对应,xk的值0与yi的子区间90-100cm相对应。基于以上对信息节点的值和物理节点的动态测量值之间的对应控制关系的刻画及量化,可以更加有效地实现对异常和攻击的检测。
本实施例中,对信息节点A的控制信息值x1和物理节点B、C和D的动态测量值y1、y2和y3,计算第二依赖度量值Dcm(x1,y1)、Dcm(x1,y2)和Dcm(x1,y3)如式(4-1)~式(4-3)所示:
式(4-1)~式(4-3)为式(4)中动态测量值yi和动态测量值yj的下标取值为1、2、3,以及信息节点的控制信息值xk中的下标值为1时的具体表达式,对应的参量含义与式(4)中相同。
本实施例中,第一预设检测阈值e1、第二预设检测阈值e2均为实数,在步骤3)中得到所有第一依赖度量值以及第二依赖度量值时,则可以根据其初步确定第一预设检测阈值e1、第二预设检测阈值e2的取值,并且采用训练数据的数量越多,则判断精确度越好。
本实施例中,第一依赖度量值的正常值记为dce[normal],第二依赖度量值的正常值记为dcm[normal]。如果Dce(y1,y2),Dce(y2,y1),Dce(y1,y3),Dce(y3,y1),Dce(y2,y3)和Dce(y3,y2)任意一个和第一依赖度量值的正常值dce[normal]的差值大于第一预设检测阈值e1,则判定被检测的网络化CPS处于异常状态;如果Dcm(x1,y1)、Dcm(x1,y2)和Dcm(x1,y3)任意一个和第二依赖度量值的正常值dcm[normal]的差值大于第二预设检测阈值e2,则判定被检测的网络化CPS处于异常状态;异常检测过程将一直运行保障每个单位时间对数据进行异常检测。此后,随着新测量的数据不断循环,如果系统并未流出警告,则认为系统一直处于正常状态。
为了对本实施例基于节点依赖关系的网络化CPS异常检测方法进行验证,分别针对图2所示实现小规模输水的网络化CPS进行了攻击案例检测。如图4所示,在初始状态下,信息节点A没有控制指令流出,物理节点B、物理节点C、物理节点D的液面保持不变,在发出攻击行为后,信息节点A有控制指令流出,物理节点B、物理节点C、物理节点D页面下降,使用本实施例基于节点依赖关系的网络化CPS异常检测方法则检测到y1,y2和y3三种动态测量值间的第一依赖度量值包括Dce(y1,y2),Dce(y2,y1),Dce(y1,y3),Dce(y3,y1),Dce(y2,y3)和Dce(y3,y2)和第一依赖度量值的正常值dce[normal]的差值大于第一预设检测阈值e1,且第二依赖度量值Dcm(x1,y1)、Dcm(x1,y2)和Dcm(x1,y3)和第二依赖度量值的正常值dcm[normal]的差值均大于第二预设检测阈值e2,从而可以判断图2所示实现小规模输水的网络化CPS处于异常状态,从而可以确定图2所示实现小规模输水的网络化CPS受到了攻击。图4描述了多种攻击发生时,执行本实施例基于节点依赖关系的网络化CPS异常检测方法的检测效果,可以看出,本实施例基于节点依赖关系的网络化CPS异常检测方法具有非常高的检测效果。
此外,本实施例还提供一种基于节点依赖关系的网络化CPS异常检测系统,包括计算机设备,计算机设备被编程以执行本实施例前述基于节点依赖关系的网络化CPS异常检测方法的步骤。
此外,与本实施例前述基于节点依赖关系的网络化CPS异常检测方法完全对应,本实施例还提供一种基于节点依赖关系的网络化CPS异常检测系统,包括:
节点依赖关系确定程序单元,用于确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
历史数据输入程序单元,用于收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
历史数据分布函数值及检测阈值计算程序单元,用于根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;
当前数据依赖关系计算程序单元,用于采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;
当前数据异常状态检测程序单元,用于进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。
本实施例中,历史数据分布函数值及检测阈值计算程序单元确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的分布函数值,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值;历史数据分布函数值及检测阈值计算程序单元确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种基于节点依赖关系的网络化CPS异常检测方法,其特征在于实施步骤包括:
1)确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
2)收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
3)根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;所述确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值;所述确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值;
4)采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;
5)进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。
6.一种基于节点依赖关系的网络化CPS异常检测系统,包括计算机设备,其特征在于:所述计算机设备被编程以执行权利要求1~5中任意一项所述基于节点依赖关系的网络化CPS异常检测方法的步骤。
7.一种基于节点依赖关系的网络化CPS异常检测系统,其特征在于包括:
节点依赖关系确定程序单元,用于确定被检测的网络化CPS中的节点依赖关系,所述节点依赖关系包括物理-物理依赖关系以及信息-物理依赖关系,所述物理-物理依赖关系具体是指两个物理节点中一个物理节点的动态测量值会直接或者间接影响另一个物理节点的动态测量值;所述信息-物理依赖关系具体是指物理节点的动态测量值会直接或者间接影响信息节点的控制信息值;
历史数据输入程序单元,用于收集被检测的网络化CPS正常运行下的历史数据,包括信息节点输出的控制信息值、物理节点反馈的动态测量值;
历史数据分布函数值及检测阈值计算程序单元,用于根据历史数据中的物理节点反馈的动态测量值,确定物理节点反馈的动态测量值的分布函数值,基于历史数据中的动态测量值的分布函数值计算每一个物理节点的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值,并将所有第一依赖度量值的均值作为第一依赖度量值的正常值;根据历史数据中的信息节点输出的控制信息值,确定信息节点输出的控制信息值的分布函数值,基于历史数据中的控制信息值的分布函数值计算每一个信息节点的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值,并将所有第二依赖度量值的均值作为第二依赖度量值的正常值;所述确定物理节点反馈的动态测量值的分布函数值具体是指基于核密度估计来计算物理节点反馈的动态测量值的估算概率密度,并将获得的估算概率密度作为该物理节点反馈的动态测量值的分布函数值;所述确定信息节点输出的控制信息值的分布函数值具体是指基于核密度估计来计算信息节点输出的控制信息值的估算概率密度,并将获得的估算概率密度作为该信息节点输出的控制信息值的分布函数值;
当前数据依赖关系计算程序单元,用于采集被检测的网络化CPS当前运行数据,包括信息节点当前输出的控制信息值、物理节点当前反馈的动态测量值;基于动态测量值的分布函数值计算每一个物理节点当前的动态测量值对其存在物理-物理依赖关系的另一个物理节点的动态测量值的第一依赖度量值;基于控制信息值的分布函数值计算每一个信息节点当前的控制信息值对其存在信息-物理依赖关系的物理节点的动态测量值的第二依赖度量值;
当前数据异常状态检测程序单元,用于进行异常状态检测,如果任意当前动态测量值的第一依赖度量值与第一依赖度量值的正常值之间的偏差大于第一预设检测阈值,或者任意当前控制信息值的第二依赖度量值与第二依赖度量值的正常值之间的偏差大于第二预设检测阈值,则判定被检测的网络化CPS当前处于异常状态;否则判定被检测的网络化CPS当前处于正常状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811299889.2A CN109525453B (zh) | 2018-11-02 | 2018-11-02 | 基于节点依赖关系的网络化cps异常检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811299889.2A CN109525453B (zh) | 2018-11-02 | 2018-11-02 | 基于节点依赖关系的网络化cps异常检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109525453A CN109525453A (zh) | 2019-03-26 |
CN109525453B true CN109525453B (zh) | 2021-01-01 |
Family
ID=65774320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811299889.2A Active CN109525453B (zh) | 2018-11-02 | 2018-11-02 | 基于节点依赖关系的网络化cps异常检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109525453B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112600814B (zh) * | 2020-12-08 | 2022-06-14 | 震兑工业智能科技有限公司 | 一种船舶cps系统欺骗攻击检测方法及系统 |
CN113239024B (zh) * | 2021-04-22 | 2023-11-07 | 辽宁工程技术大学 | 一种基于离群值检测的银行异常数据检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103234753A (zh) * | 2013-04-11 | 2013-08-07 | 华北电力大学 | 基于高斯过程建模的风电机组轴系状态监测方法 |
CN106710653A (zh) * | 2016-12-05 | 2017-05-24 | 浙江大学 | 一种用于核电机组运行监控的实时数据异常诊断方法 |
WO2017171639A1 (en) * | 2016-03-29 | 2017-10-05 | Singapore University Of Technology And Design | Method of detecting cyber attacks on a cyber physical system which includes at least one computing device coupled to at least one sensor and/or actuator for controlling a physical process |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160330225A1 (en) * | 2014-01-13 | 2016-11-10 | Brightsource Industries (Israel) Ltd. | Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System |
-
2018
- 2018-11-02 CN CN201811299889.2A patent/CN109525453B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103234753A (zh) * | 2013-04-11 | 2013-08-07 | 华北电力大学 | 基于高斯过程建模的风电机组轴系状态监测方法 |
WO2017171639A1 (en) * | 2016-03-29 | 2017-10-05 | Singapore University Of Technology And Design | Method of detecting cyber attacks on a cyber physical system which includes at least one computing device coupled to at least one sensor and/or actuator for controlling a physical process |
CN106710653A (zh) * | 2016-12-05 | 2017-05-24 | 浙江大学 | 一种用于核电机组运行监控的实时数据异常诊断方法 |
Non-Patent Citations (1)
Title |
---|
Anomaly Detections for CPSs based on Quantitative Dependence Metrics;Xiaoxue Liu等;《2018 12th IEEE International Conference on Anti-counterfeiting,Security, and Identification (ASID)》;20181111;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN109525453A (zh) | 2019-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112202736B (zh) | 基于统计学习和深度学习的通信网络异常分类方法 | |
CN110441065B (zh) | 基于lstm的燃气轮机在线检测方法与装置 | |
CN107725283A (zh) | 一种基于深度信念网络模型的风机故障检测方法 | |
Pavlenko et al. | Sustainability of cyber-physical systems in the context of targeted destructive influences | |
CN108418841A (zh) | 基于ai的下一代关键信息基础设施网络安全态势感知系统 | |
Ye et al. | EWMA forecast of normal system activity for computer intrusion detection | |
Baraldi et al. | Unsupervised clustering for fault diagnosis in nuclear power plant components | |
EP3364157A1 (en) | Method and system of outlier detection in energy metering data | |
CN112187528B (zh) | 基于sarima的工业控制系统通信流量在线监测方法 | |
CN104615122B (zh) | 一种工控信号检测系统及检测方法 | |
CN112565187B (zh) | 基于逻辑回归的电网攻击检测方法、系统、设备及介质 | |
CN109525453B (zh) | 基于节点依赖关系的网络化cps异常检测方法及系统 | |
CN108445759A (zh) | 一种传感器饱和约束下网络化系统的随机故障检测方法 | |
CN109492790A (zh) | 基于神经网络与数据挖掘的风电机组健康管理方法 | |
CN113036913A (zh) | 一种综合能源设备状态监测方法及装置 | |
CN116050665A (zh) | 供热设备故障预测方法 | |
Kong et al. | Remaining useful life prediction for degrading systems with random shocks considering measurement uncertainty | |
CN105183659A (zh) | 基于多级模式预测的软件系统行为异常检测方法 | |
CN113191485A (zh) | 一种基于narx神经网络的电力信息网络安全检测系统及方法 | |
CN110414734B (zh) | 一种计及风资源利用率预测评估的方法 | |
Zhang et al. | Analytic hierarchy process-based fuzzy post mining method for operation anomaly detection of building energy systems | |
CN107083951B (zh) | 油气井监测方法和装置 | |
CN115580446A (zh) | 一种基于去中心化联邦学习的非侵入式负荷检测方法 | |
Haomin et al. | Fault prediction for power system based on multidimensional time series correlation analysis | |
CN111382946B (zh) | 设备健康状态的自主评估方法、系统及工业互联网设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |