CN111385140A - 生成监控网络物理系统的数据以早期确定异常的系统和方法 - Google Patents

生成监控网络物理系统的数据以早期确定异常的系统和方法 Download PDF

Info

Publication number
CN111385140A
CN111385140A CN201911259747.8A CN201911259747A CN111385140A CN 111385140 A CN111385140 A CN 111385140A CN 201911259747 A CN201911259747 A CN 201911259747A CN 111385140 A CN111385140 A CN 111385140A
Authority
CN
China
Prior art keywords
features
cps
feature
prediction
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911259747.8A
Other languages
English (en)
Other versions
CN111385140B (zh
Inventor
安德雷·B·拉夫兰特耶夫
阿特姆·M·沃龙佐夫
帕维尔·V·菲洛诺夫
德米特里·K·沙利伽
维亚切斯拉夫·I·什库列夫
尼古拉·N·德米多夫
德米特里·A·伊万诺夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN111385140A publication Critical patent/CN111385140A/zh
Application granted granted Critical
Publication of CN111385140B publication Critical patent/CN111385140B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/076Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/042Knowledge-based neural networks; Logical representations of neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明涉及生成监控网络物理系统的数据以早期确定异常的系统和方法。本发明提供了一种使用图形用户界面早期确定异常的方法和系统。在一个方面中,这样的方法包括:接收关于网络物理系统的一个或多个特征的信息;接收关于用于监控所述一个或多个特征的时间段的信息;基于用于在图形用户界面中绘制曲线图的预测模型,生成所述时间段中的所述网络物理系统的所述一个或多个特征的值的预测;针对所述时间段中的所述一个或多个特征中的全部特征确定所述预测的总误差,并且针对所述时间段中的所述一个或多个特征中的每个特征确定误差;确定所述一个或多个特征中的一个特征的误差大于预定阈值;以及将所述一个特征识别为所述网络物理系统中的异常的来源。

Description

生成监控网络物理系统的数据以早期确定异常的系统和方法
技术领域
本发明涉及计算机安全领域,更具体地涉及生成用于监控网络物理系统(cyber-physical system)的数据以早期确定异常的系统和方法。
背景技术
工业安全的紧迫问题之一是技术过程(Technological Processes,TP)的安全操作问题。例如,石油化工部门的TP具有生产过程中高危险度的特点,因为石油化工部门的TP利用高度易燃易爆的液体和气体在高温高压下工作。这类TP的主要威胁包括操作控制中的意外错误或恶意动作、设备和子组件的磨损和故障、对控制系统和计算机系统的计算机攻击等。
为了防止这些威胁,使用了网络物理系统(Cyber-Physical System,CPS)的安全系统,例如生产设施和企业的那些安全系统。这类系统的构建传统上分几个阶段进行。在对企业进行布局时,会布置紧急停机(Emergency Shutdown,ESD)系统,然后将该紧急停机系统与技术过程的工业控制系统(Industrial Control System of The TechnologicalProcess,ICS TP)集成在一起,但也允许手动控制。ESD系统的缺点包括过程的大的响应延迟以及在决策过程中存在人为因素。此外,ESD在仪器正常运行的前提下工作。在实践中,由于仪器会定期发生故障,仪器倾向于暂时停机,并且所有仪器的冗余极其昂贵,并且在技术上并不总是可行的,因此无法在最大程度上确保仪器无故障地运行。
检查TP正常工作的一种方法是通过内置的自诊断系统监控各个子组件、设备、仪器、控制回路等。当检测到停机时,这类系统会向TP的操作员发送信号,并且通常涉及对一个或另一个子组件的手动干预。尽管这类系统具有明显的益处,诸如允许特定子组件的指定运作,其由设备提供者进行这类系统的开发等,但仍有许多明显的缺点。这些缺点包括上面提到的关于其上建立有各个自控制系统的仪器的问题。这类系统的另一缺点是这类系统是局部的,并且其整体与过程的监控分离。换言之,这些系统中的每一者仅在与其连接的设备或子组件的框架中“看到”该过程,而相关的子组件和安装之间没有逻辑或物理关联。因此,技术过程中的异常的检测通常发生在异常变得对特定设备的正常工作造成威胁的阶段,并且需要立即响应。此外,在某些情况下,由于仪器的物理特性(诸如液位计的石蜡涂层上有重的石油化工物质),这些系统往往会产生重复的误报警,导致工作人员需要断开这些系统。
对设备和技术系统(Technological System,TS)的过程进行无损控制的另一种传统方法包括在该设备和ICS TP外部安装其它控制系统。实际上,使用这种控制方法,布置并行基础架构,该基础架构包括仪器、通信线路、用于采集和处理数据的服务器等。这类系统可以与ICS TP和ESD的现有系统集成在一起,或者这类系统可以相对于ICS TP和ESD保留在外部。尽管这类系统具有明显的益处,诸如诊断仪器的冗余、严密专业化的且有效的诊断方法、处理诊断信息的能力几乎不受限制等,但主要缺点是成本高且复杂度高,或者有时无法实现将这类系统部署在实际生产中。
所有包含传感器和致动器的网络物理系统(CPS)都会出现类似的问题,该传感器和该致动器既用于上述的为TS的一部分的技术过程,又用于物联网(IoT)(尤其是用于工业物联网)。例如,由于计算机攻击,物联网的传感器提供了虚假数据,导致物联网的计算机设备无法正常工作,这可以导致诸如电力消耗增加、对信息的未授权访问等问题。
所描述的用于CPS的安全性和监控CPS的系统通常具有图形用户界面(GraphicUser Interface,GUI),该图形用户界面具有用户(或操作员)通过CPS的关键特性或特征观察CPS的能力。此外,这类系统中的GUI被设计为,当传感器的读数超过指定的技术范围时警告CPS的用户。在这种情况下,用户将执行动作以纠正已发生的情况。然而,通常异常情况的发生比传感器读数超出范围时要早得多,因此本可以提前纠正异常。然而,现有的用于监控CPS的GUI的系统未提供提前纠正异常的能力。
因此,提出了以下技术问题:不存在任何一种在图形用户界面系统中生成用于监控网络物理系统的数据以便确定异常的系统和方法,在该系统和方法中,从CPS中发生异常的时刻到检测出异常的时刻所花费的时间小于现有技术中的时间。
发明内容
第一技术结果是提供了图形用户界面,该图形用户界面允许用户执行对网络物理系统的监控,以便早期确定异常。
第二技术结果是实现了由用户对网络物理系统进行自动化控制,以便早期确定异常。
根据一变型方面,使用了一种在图形用户界面(GUI)系统中生成用于监控网络物理系统的数据以便早期确定异常的方法,其中:用于选择特征的GUI元件用于接收关于用户从该特征列表中选择的该CPS的至少一个特征的信息,该用于选择特征的GUI元件特别包含网络物理系统(CPS)的特征列表;用于选择时间段的GUI元件用于接收关于由用户选择的、用于监控该CPS的所选择的特征的时间段的信息;预测装置用于借助于用于预测该CPS的所选择的特征的值的模型,生成针对监控时间段的该CPS的特征的值的预测;异常确定装置用于确定对于该监控时间段的来自该特征列表的该CPS的所有特征的预测的总误差以及该CPS的每个所选择的特征的预测误差;用于生成曲线图的GUI元件用于生成由预测装置和异常确定装置针对该监控时间段所生成的数据的值的曲线图。
根据一个特定的变型方面,由预测装置和异常确定装置所生成的所提及的数据的值特别包括如下值:CPS的每个选择的特征;针对CPS的每个选择的特征的预测;针对CPS的特征的预测的总误差;针对CPS的每个选择的特征的预测误差;总预测误差的阈值。
根据另一特定的变型方面,另外,异常确定装置用于在总预测误差大于总误差阈值时确定CPS中出现异常,并且用于生成曲线图的GUI元件用于生成关于CPS中的异常的数据,如果CPS的所选择的特征中的至少一个特征的预测误差对总预测误差的贡献大于特征列表中的该CPS的所有特征中的该CPS的至少一个其它特征的预测误差对总预测误差的贡献,则用于生成曲线图的GUI元件生成对于该CPS的该至少一个特征的值的曲线图。
根据又一特定的变型方面,至少一个附加的用于选择生成模式的GUI元件用于接收关于由用户选择的、监控该CPS的所选择的特征的模式(实时模式或编码/解码模式)的信息,其中,如果选择了实时模式,则所述用于生成曲线图的GUI元件用于生成当前时刻的这些值的曲线图。
根据一个特定的变型方面,至少一个用于选择事件的GUI元件用于生成该CPS的其中发生异常的事件的列表,并且在用户选择了这些事件中的一者时,生成在异常发生时以及所指示的监控时段期间的针对所选择的事件的所提到的数据的值的所提到的曲线图。
根据另一特定的变型方面,针对该CPS的每个所选择的特征,上述CPS的事件列表还包含:特征的标识符;特征的描述;针对特征的预测误差;特征的可观察值;特征的预测值;特征的测量单位;特征变化的允许限度;特征到设备的关联。
根据又一特定的变型方面,至少一个用于对特征分组的GUI元件用于获取关于由用户选择的一组特征(特别是那些属于同一PID控制器的特征)的信息,以及所提及的用于生成曲线图的GUI元件用于针对来自选择的一组特征的CPS特征生成在指示的监控时间段期间的所提及值的曲线图。
根据一个特定的变型方面,至少一个GUI元件用于从用户选择的CPS的特征生成子列表,并在用户选择所述子列表时,用于生成曲线图的GUI元件用于生成来自所述子列表的特征的值的曲线图。
根据另一特定的变型方面,至少一个用于选择生成模式的GUI元件用于获取关于由用户选择的、在生成曲线图的GUI元件中生成或不生成针对所选择的CPS的特征的预测误差的模式的信息。
根据又一特定的变型方面,至少一个GUI元件用于获取关于由用户选择的、在用于生成特征的曲线图的GUI元件上对所选择的特征排序并显示的方法的信息;其中,一旦选择了排序模式,将按最大预测误差对特征的值的曲线图进行排序-从在第一曲线图中的特征的最大预测误差到最后一个曲线图中的特征的最小预测误差。
根据一个特定的变型方面,还存在训练装置和计算装置,而对用于预测CPS的特征的值以及用于计算误差阈值以确定具有定义的特性的CPS中的异常的模型进行训练是通过如下步骤序列来完成的:训练装置用于获取初始样本(也为数据集或集合),该初始样本包含针对CPS的历史观察时段的CPS的特征的值,其中异常百分比不超过给定值;基于初始样本并考虑到CPS的特性,训练装置用于生成训练样本,该训练样本包括针对于包含在该历史观察时段内的观察时段的上述CPS的特征中的至少一个特征的值;训练装置用于基于在输入窗口的每个时刻处的该CPS的那些特征的值的数据构建用于预测在预测窗口的每个时刻处的CPS的特征的值的模型,其中输入窗口和预测窗口是包含在观察时段中的时间间隔,并且取决于CPS的特性,输入窗口和预测窗口之间的距离选择为等于预测范围,该预测范围是根据CPS的特性进行选择的;训练装置用于基于训练样本的数据对预测模型执行训练;经教导的预测模型使用计算装置用于对观察时段的每个时刻处的CPS的特征的值进行预测;计算装置用于确定在观察时段的每个时刻处的总预测误差,该总预测误差是使用构建的预测模型获取的;训练装置用于根据CPS的特性来计算总误差阈值,使得总预测误差超过计算出的阈值意味着CPS中发生异常。
根据另一特定的变型方面,预测装置用于获取针对输入窗口的CPS的特征的值,该输入窗口为时间间隔且包含在观察时段内,输入窗口由经教导的预测模型确定;预测装置使用经教导的预测模型并基于获取的针对输入窗口的CPS的特征的值的数据,对针对预测窗口的CPS的特征值进行预测,该预测窗口为时间段且包含在观察时段内;异常确定装置用于针对预测窗口确定CPS的特征的总预测误差;如果总预测误差大于总误差阈值,则异常确定装置用于确定CPS中出现异常;如果CPS的至少一个特征的预测误差对总预测误差的贡献大于CPS的至少一个其它特征的预测误差对总预测误差的贡献,则异常确定装置用于确定该CPS的该至少一个特征为异常的来源。
根据变型方面,使用了一种用于在图形用户界面(GUI)系统中生成用于监控网络物理系统的数据以便早期确定异常的系统,该系统包括:用于选择特征的GUI元件,该用于选择特征的GUI元件特别包含网络物理系统(CPS)的特征列表并且被设计为接收关于由用户从特征列表中选择的该CPS的至少一个特征的信息;用于选择时间段的GUI元件,该用于选择时间段的GUI元件被设计为接收关于由用户选择的、用于监控该CPS的所选择的特征的时间段的信息;预测装置,该预测装置被设计为针对监控时间段预测该CPS的所选择的特征;异常确定装置,该异常确定装置被设计为确定在监控时间段期间的来自该特征列表的该CPS的所有特征的预测的总误差以及该CPS的每个所选择的特征的预测误差;用于生成曲线图的GUI元件,该用于生成曲线图的GUI元件被设计为生成由预测装置和异常确定装置生成的数据的值在监控时段中的曲线图。
以上对示例性方面的简化概述用于提供对本发明的基本理解。本概述不是对所有预期方面的广泛概述,并且既不旨在确定所有方面的关键或重要元素,也不界定本发明的任何或全部方面的范围。其唯一目的是以简化的形式呈现一个或多个方面,作为对本发明的以下更详细描述的序言。为了实现前述内容,本发明的一个或更多个方面包括权利要求中所描述和示例性指出的特征。
附图说明
通过参照附图阅读本发明的方面的如下描述,本发明的其它目的、特征和优势将变得明显,其中:
图1a示意性地示出了根据本发明的示例性方面的技术系统的示例。
图1b示意性地示出了根据本发明的示例性方面的技术系统的实现的特定示例。
图1c使用可穿戴设备的示例示出了物联网的可行的变型组织。
图1d示出了设备的传感器的可行的阵列。
图2示出了根据本发明的示例性方面的用于训练模型的系统,该模型用于预测具有确定的特性的CPS的特征的值并且计算用于确定该CPS中的异常的误差阈值。
图3示出了根据本发明的示例性方面的用于训练模型的方法,该模型用于预测CPS的特征的值并计算用于确定具有定义的特性的CPS中的异常的误差阈值。
图4示出了根据本发明的示例性方面的用于确定CPS的异常的来源的系统。
图5示出了确定具有定义的特性的CPS中的异常的来源的示例。
图6示出了一个特征的值的时间函数的示例,还指定了输入窗口、预测窗口和预测范围。
图7示出了特征的值、特征的预测值、异常发生时刻附近的总预测误差的时间函数的示例。
图8示出了平滑前后总预测误差的动态的示例。
图9示出了根据本发明的示例性方面的用于在包含一组GUI元件的图形用户界面(GUI)系统中生成用于监控网络物理系统的数据以便早期确定异常的系统。
图10a至图10c示出了根据本发明的示例性方面的用于选择显示模式的GUI元件、用于生成特征的预测误差的GUI元件以及用于选择显示顺序的GUI元件。
图11a示出了根据本发明的示例性方面的用于预测误差设置的GUI元件。
图11b示出了根据本发明的示例性方面的用于更改预测误差的GUI元件。
图12示出了根据本发明的示例性方面的用于选择事件的GUI元件。
图13示出了根据本发明的示例性方面的用于选择模型的GUI元件。
图14示出了根据本发明的示例性方面的在包含一组GUI元件的图形用户界面(GUI)系统中生成用于监控网络物理系统的数据以便早期确定异常的方法。
图15为示出本发明的示例性方面的计算机系统的框图。
具体实施方式
本文中在逐步增加技术系统的各元件的IT安全性的系统、方法和计算机程序产品的上下文中描述了示例性方面。本领域的普通技术人员将意识到,以下的描述仅是说明性的,而不旨在以任何方式进行限制。其它方面将容易地将其自身暗示给受益于本发明的本领域技术人员。现在将详细地参考附图中所示的示例性方面的实现方式。在整个附图和以下的描述中,将尽可能地使用相同的附图标记来指代相同或相似的项。
以下定义和概念将用于描述本发明的各不同方面。
控制对象为外部(控制和/或扰动)动作所施加到的技术对象,该动作的目的是更改控制对象的状态,这类对象尤其为设备(诸如电动机)或技术过程(或技术过程的一部分)。
技术过程(technological process,TP)是材料生产过程,该过程在于连续更改材料实体(劳动对象)的状态。
技术过程的控制(或过程控制)是一组用于在最终产品的生成过程中控制技术参数的方法。
控制回路由材料实体和控制功能组成,所述材料实体和控制功能是将计量的技术参数的值自动调节到所期望的设置的值所需的。控制回路包括传感器、控制器和致动器。
技术参数(或过程变量(process variable),PV)为正在被观察和控制的TP的特定部分的当前计量值。例如,技术参数可以为传感器的测量值。
设定点是技术参数的正被保持的值。
可控制的参数(或受控变量(manipulated variable),MV)是被调节以使技术参数的值保持在设定点的水平的参数。
外部动作是一种在定义的方向上改变动作所施加到的元件(例如,技术系统(TS)的元件)的状态的方法,该动作以信号的形式从TS的一个元件传输到TS的另一元件。
控制对象的状态是控制对象的基本属性的集合,这些基本属性由状态参数表示,该状态参数可以在外部动作(包括来自控制子系统的控制动作)的影响下进行更改或保持。状态参数是表征对象的基本属性的一个或多个数值,在特定实例中,状态参数是物理量的数值。
控制对象的正式状态是控制对象的对应于过程图或其它技术文档(对于TP而言)或移动路线(对于设备而言)的状态。
控制动作是目标性的(动作的目标是作用于对象的状态)、合法的(由TP指定的)、来自控制子系统的控制主体对控制对象的外部动作,从而导致控制对象状态的改变或维持控制对象的状态。
扰动动作是目标性的或非目标性的、非法的(不是由TP指定的)、对控制对象的状态的外部动作,包括来自控制主体的动作。
控制主体是将控制动作施加于控制对象、或者在将控制动作直接施加于对象之前将控制动作发送至另一用于操纵的控制主体的设备。
多级控制子系统是包括多个级别的控制主体的聚合。
网络物理系统是一个IT概念,其涉及物理过程中的计算机资源的集成。在这类系统中,传感器、设备和IT系统沿着整个增值链进行连接,超越了单个企业或业务的范围。这些系统通过标准因特网协议相互交互,用于预测、自调节并适应变化。网络物理系统的示例为技术系统、物联网(包括可穿戴设备)和工业物联网。
物联网(Internet of Things,IoT)是物理对象(“事务”)的计算机网络,该物理对象配备有用于相互之间或与其环境进行交互的内置技术。物理网包括如下技术:
·如可穿戴设备、运输装置的电子系统、智能汽车、智能城市、工业系统等的技术。
工业物联网(Industrial Internet of Things,IIoT)是物联网的子类,工业物联网同样包括面向消费者的应用,诸如可穿戴设备、“智能家居”技术和具有自动控制的汽车。这两个概念的区别特征是具有内置传感器的设备、机床和基础设施,该设备、机床和基础设施通过因特网发送数据并通过软件进行控制。
技术系统(TS)是多级控制子系统的控制主体和控制对象(TP或设备)的在功能上相互连接的聚合,通过控制主体的状态变化来实现控制对象的状态变化。技术系统的结构由技术系统(多级控制子系统的相互连接的控制主体和控制对象)的基本元件以及这些元件之间的关联形成。在技术系统中的控制对象为技术过程的情况下,控制的最终目标为:通过改变控制对象的状态来改变工作对象(原材料、半成品等)的状态。在技术系统中的控制对象为设备的情况下,控制的最终目标为更改设备(运输工具、航天器)的状态。TS的元件之间的功能关系以这些元件的状态之间的关系为前提。元件之间可能没有直接的物理关联,例如,致动器和技术操作之间没有物理关联,但是切削速度例如在功能上与主轴的旋转频率相关,即使这些状态参数不是物理上关联的。
控制主体的状态是控制主体的基本属性的集合,这些基本属性由状态参数表示,该状态参数可以在外部动作的影响下更改或保持。
控制主体的基本属性(以及因此,状态的基本参数)是对控制对象的状态的基本属性有直接影响的属性。控制对象的基本属性是对TS的运作的可控制的因素(精度、安全性、有效性)有直接影响的属性。例如,切割条件符合正式规定的条件、列车根据其线路的移动、将反应器温度保持在可允许的范围内。根据可控制的因素,选择控制对象的状态参数,并因此收集对控制对象施加控制作用的控制主体的相关联的状态参数。
技术系统的元件的状态为控制主体的状态或控制对象的状态。
技术系统的元件的实际状态是指在作用于控制对象的特定时刻的该技术系统的元件的状态,其是通过计量状态参数和拦截TS的元件之间的信号(通信)确定的。状态参数的计量例如借助于安装在TS中的传感器来完成。
技术系统的实际状态为技术系统的元件的相关联的实际状态的聚合。
控制论模块是网络物理控制系统的元件,其控制技术系统的元件的运作的过程。
状态空间是一种使动态系统(技术系统或网络物理系统)的状态变化形式化的方法。
计算机攻击(也称为网络攻击)是通过软件对IT系统和数据通信网络执行的目的性动作,该目的性动作被执行的目的是破坏这些系统和网络的信息安全。
图1a示意性地示出了技术系统100的示例,该技术系统包括元件110a和元件110b,其中,TS的元件为:控制对象110a;控制主体110b,其形成多级控制子系统120;水平链路130a和竖直链路130b。控件主体110b按级别140分组。
图1b示意性地示出了技术系统100’的实现方式的特定示例。控制对象110a’为TP或设备;控制对象110a’受到由自动控制系统(Automated Control System,ICS)120’开发和实现的控制动作。在ICS中,实现了三个级别140’,这三个级别由通过水平方向上的水平链路(级别内的链路,图中未示出)和沿竖直方向的竖直链路130b’(级别之间的链路)二者相互连接的控制主体110b’组成。这些相互关系是功能性的,即,在通常情况下,在一个级别上的控制主体110b’的状态变化引起该级别和其它级别上的与该控制主体110b’相关的控制主体110b’的状态变化。沿着在控制主体之间建立的水平链路和竖直链路,以信号的形式发送关于控制主体的状态变化的信息,即,关于所讨论的控制主体的状态变化的信息是相对于其它控制主体110b’的外部动作。根据控制主体110b’的目的来区分ICS120’中的级别140’。级别的数量可以根据自动控制系统120’的复杂性而变化。简单的系统可以包含一个或多个低级别。有线网络、无线网络和集成微电路用于TS的元件(110a、110b)和TS 100的子系统之间的物理链路;以太网、工业以太网和工业网络用于TS的元件(110a、110b)和TS 100的子系统之间的逻辑链路。使用了不同类型和标准的工业网络和协议:Profibus、FIP、ControlNet(控制网)、Interbus-S、DeviceNet、P-NET、WorldFIP、LongWork,、Modbus等。
高级别(监控控制与数据采集(supervisory control and data acquisition,SCADA)的级别)是调度操作员控制的级别,并且该高级别至少包括以下控制主体110b’:控制器、控制计算机、人机界面(Human-Machine Interface,HMI)(在图1b示出为单个SCADA控制主体)。该级别旨在监控TS的元件(110a’、110b’)的状态,获取并累积关于TS的元件(110a’、110b’)的状态的信息,并在必要时更正该信息。
中间级别(控制(CONTROL)级别)是控制器的级别,并且中间级别至少包括以下控制主体:可编程逻辑控制器(Programmable Logic Controller,PLC)、计数器、继电器和调节器。PLC类型的控制主体110b’从仪表类型的控制主体和传感器类型的控制主体110b’接收关于控制对象110a’的状态的信息。PLC类型的控制主体根据编程的控制算法对致动器类型的控制主体发布(创建)控制动作。致动器直接在低级别上实现控制动作(将其应用于控制对象)。致动器是执行(effectuating)装置(设备)的一部分。调节器(诸如比例积分微分(proportional–integral–derivative,PID)控制器)是具有反馈的控制回路中的装置。
低级别(输入/输出级别)是诸如以下控制主体的级别:传感器、控制控制对象110a’的状态的仪表、以及致动器。致动器直接作用于控制对象110a’的状态,使其符合正式状态,即符合与(在TP的情况下的)技术规范、工艺流程图或一些其它技术文档或(在设备的情况下的)运动路线相对应的状态。在该级别上,在来自传感器类型的控制主体110b’的信号与中间级别的控制主体的输入之间执行协调,并且在由PLC类型的控制主体110b’开发的控制动作和实现这些动作的致动器类型的控制主体110b’之间执行协调。致动器是执行设备的一部分。执行设备根据来自调节器或控制设备的信号执行调节元件的移位。执行设备是自动控制链中的最后的链路,通常情况下,执行设备由如下模块组成:
·放大器设备(接触器、变频器、放大器等)的模块;
·具有反馈元件(输出轴位置传感器、末端位置信号、手动驱动等)的致动器(电动、气动、液压驱动)的模块;
·调节元件(阀、闸、滑块)的模块。
取决于应用条件,执行设备在设计上可以彼此不同。通常将致动器和调节元件分配给执行设备的基本模块。
在特定示例中,执行设备作为整体被称为致动器。
用于企业的工业控制系统(Industrial Control System For Enterprise,ICSE)120a’是企业的自动控制系统。
图1c示出了使用可穿戴设备的示例的物联网的一种可行的变型组织。在一方面中,该系统包含多个不同的用户计算机设备151。在用户设备151中,可以有例如:智能手机152、平板电脑153、笔记本电脑154、可穿戴设备(诸如增强现实眼镜155、健身追踪器、智能手表156)等。用户设备151包含许多不同的传感器157a至传感器157n,诸如心律监控器2001和计步器2003。
应当注意,传感器157a至传感器157n可以位于单个用户设备151上或多个设备上。此外,多个传感器可以同时位于多个设备上。一些传感器可以用多个复制件表示。例如,蓝牙模块可以出现在所有设备上,而智能手机可以包含两个或更多个麦克风,这些麦克风需要用于抑制噪声并确定距声源的距离。
图1d示出了设备151的一批可能的传感器。在传感器157a至传感器157n中可以存在下列传感器,例如:
·用于确定用户的脉搏的心律监控器(心跳传感器)2001。在一个示例性方面中,心律监控器可以包含电极并测量心电图;
·血氧饱和度传感器2002;
·计步器2003;
·指纹确定传感器2004;
·手势传感器2005,用于识别用户的手势;
·对准用户的眼睛的摄像头2006,用于确定用户的眼睛的运动以及通过眼睛的虹膜或视网膜认证用户的身份;
·用户体温传感器2007(例如,与用户的身体直接接触或非接触型的体温传感器);
·麦克风2008;
·紫外线辐射传感器2009;
·地理定位系统的接收器2010(诸如GPS、GLONASS、北斗(BeiDou)、伽利略(Galileo)、DORIS、IRNSS、QZSS或其它接收器);
·GSM模块2011;
·蓝牙模块2012;
·Wi-Fi模块2013;
·对准用户设备周围的摄像头2014;
·周围温度的传感器2015;
·气压计2016,需要测量大气压并根据该大气压确定海拔高度;
·地磁传感器2017(电子罗盘),需要确定方位基点和方位角;
·用于确定空气湿度的传感器2018;
·用于照明度的传感器2019,需要确定色温和亮度;
·接近度传感器2020,用于确定距位于附近的不同物体的距离;
·图像深度传感器2021,用于获取空间的三维图像;
·加速度计2022,用于测量空间中的加速度;
·陀螺仪2023,需要确定空间位置;
·霍尔(磁场)传感器2024,用于确定磁场强度;
·剂量计/辐射计2025,用于确定辐射等级;
·NFC模块2026;
·LTE模块2027。
图2示出了一种用于训练模型的系统201,该模型用于预测具有定义的特性(即,在训练预测模型时要考虑的CPS的特性)的网络物理系统(CPS)的特征的值,并且该模型用于计算用于确定该CPS中的异常的误差阈值。以简化的变型示出了网络物理系统200。网络物理系统200的示例为先前描述的技术系统100(参见图1a-图1b)、物联网(参见图1c-图1d)和工业物联网。为了在本申请的下列部分中清楚,将TS视为CPS 200的主要示例。
系统201包括训练装置211和与训练装置211连接的计算装置212。如上面在图1a至图1b的描述中提到的,CPS包含多个控制主体(诸如传感器、致动器和PID控制器)。将来自这些主体的数据以未处理的形式发送到PLC。为此可以使用模拟信号。然后,PLC对数据执行处理并将数据转换成数字形式,然后,该数据被发送到SCADA系统110b’和所讨论的系统201。因此,训练装置211获得初始样本,该初始样本包含针对CPS的历史观察时段的CPS 200的特征的值(即,CPS的遥测数据),其中异常的百分比不超过给定值(诸如不超过1%)。CPS的特征是控制主体(即传感器、致动器和PID控制器)的数值特性。训练装置211基于初始样本并考虑CPS的特性生成训练样本,该训练样本包括在不大于CPS的所述历史观察时段的观察时段内所获得的CPS的多个特征中的至少一个特征的值。在特定的示例性方面中,训练样本包括异常发生时的至少一个时刻。生成训练样本可以包括从噪声、数据间隙、特征的值中的野值和无效数据集清除初始样本的数据的步骤、转换成统一的时间网格的步骤、以及从初始样本中消除引起误报警(诸如故障传感器的读数)的特征的步骤。在特定的示例性方面中,使用CPS的技术文档(诸如描述传感器和致动器的可能状态和技术特性的技术文档)以及还基于CPS的用户提供的数据(诸如关于已知故障传感器的数据),可以生成训练样本。
然后,训练装置211基于在输入窗口的每个时刻的CPS的特征的值的数据,执行构建用于预测在预测窗口的每个时刻的CPS的特征的值的模型。即,输入窗口和预测窗口是位于所述观察时段内并且根据CPS的特性选择的时间间隔。并且在所述观察时段的范围内以给定的周期性来保存CPS的特征的值。例如,如果每秒保存CPS的特征的值,则上述时刻在每秒之后也互不相同。输入窗口和预测窗口之间的距离为预测范围(例如,从输入窗口的结束到预测窗口的开始),该预测范围还取决于CPS的特性。在特定的示例性方面中,输入窗口和预测窗口可以彼此交叉。在另一特定的示例性方面中,输入窗口和预测窗口不彼此交叉。预测范围既可以采用非负值(对未来的预测),也可以采用负值(例如,编码/解码类型的分析)。
训练装置211然后使用训练样本的数据对预测模型执行训练。然后计算装置212使用经教导的预测模型对观察时段的每个时刻的CPS的特征的值进行预测。计算装置212确定总预测误差(即,针对CPS的特征的预测值),该总预测误差例如作为在预测窗口的每个时刻计算出的、在特征的可观察值与特征的预测值之间的平均误差或平均加权误差。在此之后,训练装置211用于根据CPS的特性来计算总误差的阈值,使得如果总预测误差超过计算出的阈值,则表示CPS中出现异常。在特定的示例性方面中,这是指定的总预测误差的精度的分位数,例如在99%的显著级别处。
例如,由于计算机攻击、由于人为干预TS或TP的工作、由于与换班周期有关的技术过程的故障或偏差、由于控制回路切换为手动操作或者由于传感器读数不正确、以及还由于现有技术中已知的其它原因,CPS中可以出现异常。
在特定的示例性方面中,系统201还包括远程服务器213,该远程服务器213可以执行训练装置211和计算装置212的一些功能:构建预测模型和训练预测模型、以及预测观察时段期间的CPS的特征的值、确定总预测误差以及计算总预测误差的阈值。在又一特定的示例性方面中,训练装置211和计算装置212可以位于远程服务器213上。由于远程服务器213可以具有比训练装置211和计算装置212大得多的计算能力,因此由远程服务器2123执行这些功能可以提高系统201的工作速度和质量。
因此,系统201使得能够训练预测模型,并且确定输入窗口和预测窗口的大小以及确定总预测误差的阈值,所述输入窗口和预测窗口的大小和该阈值可以在用于确定CPS中的异常的来源的系统和方法中使用(参见图4至图5)。
在特定的示例性方面中,CPS的特征包括如下中的至少一者:
·传感器的测量值(传感器的技术参数);
·致动器的可控制参数;
·致动器的设定点;
·PID控制器的输入信号或输出信号,PID控制器的内部参数。
在又一特定的示例性方面中,在初始样本中标记出具有已知CPS异常的时刻,将具有已知CPS异常的那些时刻包括在训练样本中。也就是说,初始样本也将包含关于CPS中何时出现已知异常的时刻的信息(标记)。这将使得可以教导预测模型并更准确地确定总误差阈值。
在另一特定的示例性方面中,当生成训练样本时,对出现CPS异常的时刻执行标记。在又一特定的示例性方面中,从初始样本生成测试样本,该测试样本的数据用于评估预测质量,并且,如果预测质量的评估不符合指定的标准,则将重复训练预测模型,直到预测质量的评估符合指定的标准的时刻为止(因此不会出现训练过度)。但是,如果预测质量的评估不符合指定的标准,则可以选择不同的预测模型。在特定的示例中,预测质量例如通过如下质量度量之一确定:NAB(Numenta异常基准,(Numenta Anomaly Benchmark))度量、F1度量。
在特定的示例性方面中,网络物理系统具有如下特性中的至少一个特性:
·网络物理系统在其中正在运作的行业分支;
·由CPS参数所描述的过程的类型,特别是如下类型之一:连续的、输送机类型、周期性(例如,对于周期性过程,可以选择一个观察时段,该观察时段是一个周期的时段的倍数);
·在CPS的特征中存在季节性和/或趋势;
·CPS的过程的惰性;
·CPS对CPS及其周围环境发生的变化的响应时间;
·对工人和生态的生产危险等级;
·由于异常情况而使技术过程停止的成本;
·控制的类型,特别是使用PID控制器、有限自动机或者组合的方法执行的控制的类型;
·控制主体的类型,其由至少一个特征表征,控制主体的类型为以下之一:传感器、致动器或PID控制器;
·CPS的自诊断数据;
·控制主体的可服务性状态(可服务的或故障的);
·控制主体在技术过程级别上的关系。
作为CPS的示例,可以提到石化行业的企业以及这些企业的各个装置和设施。这类企业的CPS可以具有以下CPS特性中的一者或多者:
·技术过程不间断运作的时间段中的高值(例如,超过一年);
·TP的响应时间长(例如,超过一分钟);
·因此,在构建预测模型时,对于其特征在于CPS的参数对CPS的其它参数和外部因素的变化的响应时间较长的CPS类型,将选择较大的观察时段;
·存在TP的季节性;
·对工人和生态的生产的高危险等级。因此,当构建预测模型时,对于特征为高危险等级的生产的CPS,将选择低的总误差阈值,以便检测大量异常。也就是说,可以将总误差阈值计算为指定的总预测误差的准确度的分位数,即较低阶的分位数(诸如0.90)。可能将会发生误报警,但这绝不会影响生产过程,并且在使用构建的模型进行编码/解码类型的数据分析的阶段中,将有可能检测到大量异常,并在CPS用户的参与下完善误差阈值,以筛选出误报警,同时保持所有重要的异常被分析;
·TP停止的高成本。
初级石油提炼中的技术过程的特征在于存在基于PID控制(级联)原理的控制系统并包含大量(通常超过一百个)自调节控制回路,这些控制系统和自调节控制回路通过设计的和嵌入式的控制逻辑以及通过过程的物理学而相互关联,并监控诸如温度、压力、液位等的量。这类控制系统的设计细节使得可以实现一系列完整的过程监控方法,该过程监控方法包括神经网络、用于分析PID控制器固件完整性的方法以及用于分析PID控制器固件的适当设定点的方法等。石油提炼的特定因素的存在(诸如过程中液体成分的石蜡含量高、加工温度高(通常在350摄氏度左右)、子组件中焦炭形成和焦炭堵塞以及其它因素)是造成这些参数特殊性(诸如强烈的噪声、间隙、仪表数据中的异常值、控制数据中趋势成分的存在、某些仪表数据集的无效性等)的原因。此外,基于PID控制器的控制系统的其它特殊性是诸如将PID控制器定期切换到手动模式之类的因素,这既可以对设备进行常规控制,又可以在异常情况(对参数数据有很大影响)下进行控制。因此,在上述示例中,CPS的特性会影响CPS的特征的值、预测模型的构建以及总预测误差的确定。
因此,与现有技术相比,所描述的方法可以缩短从具有某些特性的网路物理系统(CPS)中发生异常时刻到该异常检测出的时刻所经过的时间,这是由于构建了用于预测CPS的特征的值并根据CPS的特性计算CPS的总误差阈值的模型,从而总预测误差超过了计算出的阈值表示CPS中出现异常。由于构建了用于预测CPS的特征的值以及根据CPS的特性计算CPS的总误差阈值的模型,还将提高检测具有某些特性的CPS中的异常的准确度。此外,将创建一种用于确定具有某些特性的CPS中的异常的系统,其中从CPS中的异常发生的时刻到检测出该异常的时刻所经过的时间比现有技术中的时间短。
因此,在一个特定的示例性方面中,针对其特征在于对工人和生态的高危险等级的生产的CPS类型,选择低的总误差阈值。在另一特定的示例性方面中,对于其特征在于CPS的特征对CPS的其它特征和外部因素的变化的响应时间更长的CPS,选择更长的观察时段。
在又一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中:
·如果由一特征表征的控制主体提供了具有噪声的数据或无效数据或者被CPS的用户定期断开连接,则为该特征的加权因子分配低值;
·对于异常的发生不影响CPS的工作的特征,为该特征的加权因子分配低值;以及对于异常的发生影响CPS的工作的特征,为该特征的加权因子分配高值。
特征的加权因子的值等于1是基本变型方面的特性(等同于没有加权因子)。
在又一特定的示例性方面中,训练样本还包含至少一个其它CPS的特征,该至少一个其它CPS至少具有预定数量的与当前CPS的特性相同的特性。因此,系统201将能够使用具有相同的特性的多个CPS的数据来更准确地教导预测模型并确定误差阈值。
在一个特定的示例性方面中,将指数平滑应用于总预测误差。这是为了减小第一种错误的值。
在特定的示例性方面中,预测模型为神经网络。在又一特定的示例性方面中,预测模型包括一组模型(即集合),通过对该组模型中的各个模型的工作结果求平均来做出决定。在另一特定的示例性方面中,利用遗传算法优化神经网络。在另一特定的示例性方面中,使用以下质量度量之一来选择神经网络:NAB度量、F1度量。
在又一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中特征的加权因子的值由可以(例如,根据模型的先前预测结果)预测CPS的给定特征的值的准确程度来定义。在这种情况下,可以将预测误差视为具有定义的加权因子的加权的误差。
在特定的示例性方面中,在生成训练样本时,使用CPS的技术文档(描述传感器和致动器的可能状态和技术特性的先验信息)。这将使得可以通过使用CPS的技术文档协调模型的参数(当计算总预测误差时的对加权因子的选择、观察时段的选择、总误差阈值的更改等)来构建更高质量的模型。
在另一特定的示例性方面中,来自用户的报告(用户也是操作员,用户的报告是后验信息)可以用于提高模型的质量或将来通过使用用户的报告协调模型的参数来构建新的模型。
特征的加权因子的值可以由训练装置211根据该特征的重要性并基于CPS的技术文档或用户报告来分配。例如,如果一特定的传感器经常发生故障或提供错误的读数,则可以为该传感器分配低值的加权因子,或者根本不分配任何加权因子,以便其读数不会影响预测模型或用于确定CPS中的异常的误差阈值的值。
在特定的示例性方面中,训练装置211用于通过使用CPS的技术文档或用户报告来构建CPS特征的注册表,该注册表特别包含特征的描述、特征的物理维度、特征是否描述了CPS的对象的物理量、特征的额定测量精度、特征的加权因子和由该特征描述的对象的名称。鉴于CPS特征的注册表来构建预测模型,使用该注册表对模型的参数进行协调。
在另一特定的示例性方面中,在构建训练样本时,观察时段不包括以下时刻的CPS特征的值:已知CPS特征的值异常的时刻,特别是在CPS上正在进行启动/设置或诊断工作时的时间段以及手动控制CPS的时间段。
在特定的示例性方面中,通过训练装置211构建预测模型如下进行。首先,选择神经网络的架构模板。例如,多层感知器、卷积神经网络、递归神经网络等。接下来,生成所选择的架构的描述:
·优化器及其参数;
·加权因子的初始值和移位;
·层的最大数量;
·针对各个层:
·可能的层类型的列表,其至少由以下层的子集组成:密集层、卷积层、GRU、LSTM、丢失(dropout)层;
·激活函数:线性函数、ReLU、Tanh、sigmoid、Softmax等;
·层的可能尺寸(层中的神经元的数量)。
此后,使用优化器对神经元网络的架构进行优化。在特定的示例性方面中,使用遗传算法对神经元网络的架构进行优化。质量度量也用于选择最佳架构。在特定的示例性方面中,使用如下质量度量之一:NAB度量、F1度量。
图3示出了一种训练模型的方法,该模型用于预测网络物理系统(CPS)的特征的值并计算用于确定具有定义的特性的CPS中的异常的误差阈值。在步骤310中,获取初始样本,该初始样本包含在CPS的历史观察时段期间的CPS的特征的值。在特定的示例性方面中,初始样本中的异常的百分比不超过给定值。然后,在步骤320中,基于初始样本并考虑CPS的特性,生成训练样本,该训练样本包括在不大于所述历史观察时段的观察时段期间的CPS的上述特征中的至少一项特征的值。在特定的示例性方面中,训练样本包括已发生异常的至少一个时刻。在步骤330中,构建用于以下操作的模型:基于在输入窗口的每个时刻的CPS的那些特征的值的数据来预测在预测窗口的每个时刻的CPS的特征的值,其中,输入窗口和预测窗口位于所述观察时段内,并且是根据CPS的特性来选择的,而输入窗口和预测窗口之间的距离等于预测范围,该预测范围是根据CPS的特性来选择的。接下来,在步骤340中,利用训练样本的数据来教导预测模型。
在步骤350中,经教导的预测模型用于预测在观察时段的每个时刻CPS的特征的值。此后,在步骤360中,对于使用构建的预测模型所获得的在观察时段的每个时刻的预测,确定总误差。在步骤370中,根据CPS的特性来计算总误差阈值,从而总预测误差超过计算出的总误差阈值表示CPS中出现异常。应当注意,以上关于在图2中示出的系统201公开的特定示例性方面也可应用于图3中描述的方法。例如,在特定的示例性方面之一中,在步骤320a中,获取CPS的技术文档或关于先前检测到的异常的用户报告。接下来,在步骤330a中,训练装置211用于使用CPS的技术文档或用户报告来构建CPS的特征的注册表,其中,该注册表尤其包含特征的描述、特征的物理维度、特征是否描述了CPS的对象的物理量、特征的额定测量精度、特征的加权因子和由该特征描述的对象的名称,鉴于CPS特征的注册表,构建预测模型(步骤330)。其它特定的示例性方面已经在上文中在图2中列出。
图4示出了一种用于确定网络物理系统的异常的来源的系统。用于确定异常的来源的系统220包括预测装置221和异常确定装置222。预测装置221被设计为获取针对输入窗口(该输入窗口由经教导的预测模型确定)的CPS的特征的值,并且还使用经教导的预测模型并基于获取的用于输入窗口的CPS特征的值的数据,对针对预测窗口的CPS的特征的值执行预测。CPS的特征为传感器、致动器和PID控制器的数值特性。输入窗口和预测窗口是在经教导的预测模型中指定的时间间隔,其中输入窗口包含特征的值,该特征的值用于预测对于预测窗口的特征的值。也就是说,输入窗口和预测窗口是通过在图2至图3中描述的系统和方法所确定的。输入窗口和预测窗口位于观察时段内,并根据CPS的特性进行选择。输入窗口与预测窗口之间的距离为预测的范围(例如,从输入窗口的结束到预测窗口的开始),该预测范围也取决于CPS的特性。该预测范围可以采用非负值(对未来的预测)和负值。在特定的示例性方面中,输入窗口和预测窗口可以彼此交叉(预测范围为负)。在另一特定的示例性方面中,输入窗口和预测窗口彼此不交叉(预测范围为正)。
异常确定装置222被设计为确定针对预测窗口的CPS的特征的总预测误差,如果总预测误差大于总误差阈值(即,总误差的阈值),则确定CPS中出现异常,并且如果CPS的(在上述特征列表中的CPS的所有特征中的)至少一个特征的预测误差对总预测误差的贡献大于CPS的(在上述特征列表中的CPS的所有特征中的)其它特征对总预测误差的贡献,则确定该CPS的该至少一个特征为异常的来源。例如,在上述特征列表中的CPS的所有特征中确定具有最大预测误差的CPS的5个特征。在特定的示例性方面中,总误差阈值为总预测误差的指定精度的分位数,诸如在显著性水平上的分位数99%。
在特定的示例性方面中,CPS的特征的值以实时模式出现,因此在等于预测范围和输入窗口的总和的时间之后,确定预测窗口的总预测误差,也就是说,在针对预测窗口的每个时刻将会获取CPS的特征的实际值时,确定预测窗口的总预测误差。
在另一特定的实例中,如果CPS的特征的值包含在历史观察时段(即执行观察的整个时间段)的初始样本中,则从所述历史观察时段的初始样本的数据确定预测窗口的总预测误差。
在特定的示例性方面中,CPS的特征包括如下中的至少一者:传感器的测量值(传输器的技术参数)、致动器的可控制参数、致动器的设定点、PID控制器的输入信号或输出信号。
在特定的示例性方面中,网络物理系统具有如下特性中的至少一个特性:
·网络物理系统在其中正在运作的行业分支;
·由CPS的参数所描述的过程的类型,特别是如下类型之一:连续的、输送机类型、周期性;
·存在CPS的特征的季节性和/或趋势;
·CPS的过程的惰性;
·CPS对CPS及其周围环境发生的变化的响应时间;
·对工人和生态的生产危险等级;
·由于异常情况而使技术过程停止的成本;
·控制的类型,特别是使用PID控制器、有限自动机还是组合的方法执行的控制的类型;
·控制主体的类型,其由至少一个特征表征,控制主体的类型为以下之一:传感器、致动器或PID控制器;
·CPS的自诊断数据;
·控制主体的可服务性状态;
·控制主体在技术过程级别上的关系。
在特定的示例性方面中,预测模型为神经网络。在又一特定的示例性方面中,预测模型包括一组模型(即集合),通过对该组模型中的各个模型的工作结果求平均来做出决定。在另一特定的示例性方面中,利用遗传算法优化神经网络。在另一特定的示例性方面中,使用以下质量度量之一,来选择神经网络:NAB度量、F1度量。
在又一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中:
·如果由一特征表征的控制主体提供了具有噪声的数据或无效数据或者被CPS的用户定期断开连接,则为该特征的加权因子分配低值;
·对于异常的发生不影响CPS的工作的特征,为该特征的加权因子分配低值;以及对于异常的发生影响CPS的工作的特征,为该特征的加权因子分配高值。
在一个特定的示例性方面中,将指数平滑应用于总预测误差。这是为了减少第一种错误。
在又一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中特征的加权因子的值由可以预测CPS的给定特征的值的准确程度来定义。在这种情况下,可以将预测误差视为具有定义的加权因子的加权误差。
在又一特定的示例性方面中,获取CPS的技术文档或关于先前由经教导训练的系统检测到的异常的用户报告,借助于训练装置211根据特征的重要性并基于CPS的技术文档或用户报告来选择用于该特征的加权因子。
图5示出了确定具有定义的特性的网络物理系统的异常的来源的方法的示例。在步骤510中,针对输入窗口,获取CPS的特征的值,该输入窗口由经教导的预测模型(如图3至图4中示出的系统和方法中使用的预测模型)确定。接下来,在步骤520中,使用经教导的预测模型和所获取的针对输入窗口的CPS的特征的值的数据,预测针对预测窗口的CPS的特征的值。此后,在步骤530中,针对预测窗口,确定CPS的特征的总预测误差,并且如果总预测误差超过总误差阈值,则在步骤540中确定CPS中出现异常。因此,在步骤550中,如果CPS的至少一个特征的预测误差对总预测误差的贡献大于CPS的其它特征的预测误差对总预测误差的贡献,则将该CPS的该至少一个特征确定为所述异常的来源。例如,在上述特征列表中的CPS的所有特征中确定,具有最大预测误差的CPS的5个特征。
在特定的示例性方面中,CPS的特征的值以实时模式出现,因此在等于预测范围和输入窗口的总和的时间之后,确定预测窗口的总预测误差,也就是说,当针对预测窗口的每个时刻将会获取CPS的特征的实际值时,确定预测窗口的总误差。
在另一特定的实例中,如果CPS的特征的值包含在历史观察时段的初始样本中,则从所述历史观察时段的初始样本的数据确定预测窗口的总预测误差。
在特定的示例性方面中,CPS的特征包括如下中的至少一者:传感器的测量值(传输器的技术参数)、致动器的可控制参数、致动器的设定点、PID控制器的输入信号或输出信号。
在特定的示例性方面中,网络物理系统具有如下特性中的至少一个特性:
·网络物理系统在其中正在运作的行业分支;
·由CPS参数所描述的过程的类型,特别是如下类型之一:连续的、输送机类型、周期性的;
·存在CPS特征的季节性和/或趋势;
·CPS的过程的惰性;
·CPS对CPS及其周围环境发生的变化的响应时间;
·对工人和生态的生产危险等级;
·由于异常情况而使技术过程停止的成本;
·控制的类型,特别是使用PID控制器、有限自动机或者组合的方法执行的控制的类型;
·控制主体的类型,其由至少一个特征表征,控制主体的类型为以下之一:传感器、致动器或PID控制器;
·CPS的自诊断数据;
·控制主体的可服务性状态;
·控制主体在技术过程级别上的关系。
在特定的示例性方面中,预测模型为神经网络。在又一特定的示例性方面中,预测模型包括一组模型(即集合),通过对该组模型中的各个模型的工作结果求平均来做出决定。在另一特定的示例性方面中,利用遗传算法优化神经网络。在另一特定的示例性方面中,使用以下质量度量之一,来选择神经网络:NAB度量、F1度量。
在又一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中:
·如果由一特征表征的控制主体提供了具有噪声的数据或无效数据或者被CPS的用户定期断开连接,则为该特征的加权因子分配低值;
·对于异常的发生不影响CPS的工作的特征,为该特征的加权因子分配低值;以及对于异常的发生影响CPS的工作的特征,为该特征的加权因子分配高值。
在一个特定的示例性方面中,将指数平滑应用于总预测误差。这是为了减少第一种错误。
在另一特定的示例性方面中,在针对CPS的每个特征的误差计算总预测误差时,使用加权因子,其中特征的加权因子的值由可以预测CPS的给定特征的值的准确程度来定义。在这种情况下,可以将预测误差视为利用定义的加权因子加权的误差。
在又一特定的示例性方面中,获取CPS的技术文档或关于先前由经教导的系统检测到的异常的用户报告,借助于训练装置211根据特征的重要性并基于CPS的技术文档或用户报告选择用于该特征的加权因子。
下面是所描述的图2至图5的系统和方法的工作的示例。在获取包含CPS的历史观察时段0期间的CPS特征的值的初始样本之后,生成针对观察时段
Figure BDA0002311289040000281
(即,观察时段T1为T0的子集)的训练样本。训练样本由观察时段1的每个观察时刻xt的CPS的m个特征(CPS特征的值的向量)组成:
·
Figure BDA0002311289040000282
其中:
·t≥0为时间,m>0为特征的数量。
用于所述特征的时间输入窗口为L(使得该窗口的长度为正),h为预测范围,
Figure BDA0002311289040000283
为预测窗口(使得该窗口的长度为正),即,基于用于时段L的特征的值的数据预测特征的值的时间段。这里,L,
Figure BDA0002311289040000284
图6示出了一个特征的值的时间函数的示例,还指定了输入窗口L、预测窗口
Figure BDA0002311289040000285
和预测范围h。在通常情况下,输入窗口L和预测窗口
Figure BDA0002311289040000286
可以彼此交叉或不交叉。关于示出的示例,下面我们将讨论根据图2至图3的训练用于预测CPS的特征的值并计算误差阈值R以确定异常的模型的系统和方法的工作,该CPS具有CPS的已定义的特性。训练样本是基于初始样本且考虑了CPS的特性所生成的,该训练样本包括观察时段(例如,从16:00到16:08的整个时间间隔)期间的CPS的特征的值。使用训练样本,构建了用于根据输入窗口L的每个时刻的CPS参数值的数据来对预测窗口
Figure BDA0002311289040000287
的每个时刻的CPS特征的值进行预测的模型。输入窗口L和预测窗口
Figure BDA0002311289040000288
在观察时段内,并根据CPS的特性进行选择。预测范围h也根据CPS的特性进行选择。通过如下公式计算特征的预测值:
·
Figure BDA0002311289040000291
其中:
·F(·)为预测模型。
利用整个训练样本的数据来完成对预测模型的训练。此后,将对于观察时段的每个时刻的CPS特征的值进行预测。这可以通过移位输入窗口和预测范围来完成,以便最终获取在观察时段的每个时刻的CPS特征的预测值。此后,对预测窗口的每个时刻的CPS参数确定总预测误差。在特定的示例性方面中,在时刻t的总预测误差为平均误差:
·
Figure BDA0002311289040000292
其中,p>0。
可以将差
Figure BDA0002311289040000293
定义为在时刻t≥0的编号为
Figure BDA0002311289040000294
的特征的预测误差。在又一特定的示例性方面中,可以将总预测误差阈值R计算为总预测误差
Figure BDA0002311289040000295
的给定精度的分位数(例如,分位数为约0.95)。因此,当
Figure BDA0002311289040000296
时发生异常。此外,可以将指数平滑应用于总预测误差。
关于示出的示例,我们将进一步讨论根据图4至图5的用于确定具有某些特性的CPS中的异常的来源的系统和方法的工作。根据示例性方面,CPS的特征的值以实时模式出现以用于确定当前时刻的CPS中的异常的来源,或者出现针对历史观察时段的CPS的特征的值以追溯性地确定CPS中的异常的来源。作为示例,我们现在将讨论CPS的特征的值以实时模式出现的一个示例性方面。因此,CPS的特征的值在输入窗口L(其由经教导的预测模型确定,参见图2至图3)期间出现。此后,使用经教导的预测模型和在输入窗口L期间获得的CPS的特征的值的数据,对预测窗口
Figure BDA0002311289040000297
的CPS的特征的值进行预测。针对预测窗口确定CPS的特征的总预测误差,如果总预测误差超过总误差阈值,则确定在CPS中出现异常。此后,如果至少一个CPS特征对总预测误差的贡献大于其它CPS特征对总预测误差的贡献,则确定该至少一个CPS特征为异常的来源。
图7示出了特征的值、特征的预测值、异常出现时刻附近的总预测误差的时间函数的示例。前两个曲线图表示特征的值变化的动态,即从相应控制主体(传感器、致动器和PID控制器)获得的实际值以及通过使用图2至图5中描述的系统和方法所获取的控制主体的预测值的动态。底部的曲线图示出了(对于两个特征的)总预测误差的动态以及总预测误差超过总误差阈值(这意味着发生异常)的时刻。
在一个特定的示例性方面中,将指数平滑应用于总预测误差。这是为了减少第一种错误。
图8示出了平滑前后总预测误差的动态的示例。从曲线图中可以明显看出,在第一种情况下,使用根据图4至图5的系统和方法,由于总误差超过总误差阈值,因此异常确定装置222将确定异常,而在第二种情况下,鉴于误差瞬时偏差的减少,没有确定异常,这与现实更加一致。也就是说,对总预测误差的平滑可以减少重复确定同一异常的可能性以及该误差中的噪声。在检测到异常之后,确定具有对总预测误差最大贡献的CPS的特征,该特征为异常的来源。
在特定的示例性方面中,可以将度p>0的平均误差(例如,均方误差)用作总预测误差。在又一特定的示例性方面中,总预测误差可以为度p的加权的平均误差。
在特定的示例性方面中,在图4至图5中描述的系统和方法中,当确定异常时,可以将伴随的关于检测到的异常的信息显示给CPS的用户(操作员)。例如,在跨越检测到异常的时刻的时间段期间参数值变化的曲线图。此外,该曲线图可以示出参数的预测值、总误差阈值和相应参数的误差阈值、以及检测到异常的时刻和作为异常的来源的参数的指示。在进一步分析之后,CPS的用户可以确认或拒绝异常和作为异常的来源的参数的检测。这将允许减少第一类错误,并增加确定异常和识别作为给定异常的来源的参数的准确性。下面将在图9中更详细地示出一种在图形用户界面(Graphic User Interface,GUI)系统中生成用于监控网络物理系统的数据以便早期确定的异常的系统。
图9示出了一种在图形用户界面(GUI)系统中生成用于监控网络物理系统的数据以便早期确定异常的系统。该GUI系统包含至少一个用于选择特征的GUI元件910,该元件特别地包含网络物理系统的特征列表(以下简称,特征列表)并且被设计为接收关于来自特征列表的CPS的至少一个特征的信息,该至少一个特征是由CPS的用户(也为操作员)选择的。使用用于选择特征列表的GUI 911来选择该特征列表。此外,至少一个用于选择时间段的GUI元件920被设计为接收关于用户选择的用于监控所选择的CPS特征的时间段的信息。该系统同样包含预测装置221和异常确定装置222,其中该预测装置221被设计为生成针对指示的监控时间段的CPS的特征的预测,该异常确定装置222被设计为生成针对CPS的所选择的特征的总预测误差以及针对在指示的监控时间段期间的CPS的每个选择的特征的预测误差。预测装置221和异常确定装置222可以根据上述按照图4至图5的系统和方法和相应的特定变型方面中的系统和方法起作用。此外,图2至图5中描述的变型方面也可以应用于GUI系统。
用于生成曲线图的至少一个GUI元件930被设计为生成由预测装置221和异常确定装置222在所指示的监控时间段中生成的数据值。在特定的示例性方面中,所述数据值特别包括以下内容:
·CPS的每个所选择的特征;
·对于CPS的每个所选择的特征的预测;
·对于CPS的特征的总预测误差;
·对于CPS的每个所选择的特征的预测误差;
·总预测误差的阈值。
另外,异常确定装置222还被设计为当总预测误差大于总误差阈值时,确定CPS中发生异常,并且用于生成曲线图的GUI元件930还被设计为生成关于CPS中的异常的数据,并且还被设计为如果CPS的至少一个特征的预测误差对总预测误差的贡献大于CPS的至少一个其它的特征(同样来自该特征列表中的CPS的所有特征)对总预测误差的贡献,则生成CPS的所有特征(即来自上述提到的特征列表)中的该至少一个特征的值的曲线图。
图9和图10a至图10b还示出了所描述的系统的工作的示例性示例。具体地,通过使用用于选择特征的GUI元件910,用户选择特征,其中,利用用于生成曲线图的GUI 930生成(构建)在指示的监控时间段920期间的用于该特征的曲线图。
例如,在图10a中,上部的两个曲线图是针对所选择的特征的实际值和预测值(“A_feed_stream1”和“A_reactor_feed”)的曲线图。在底部的第三曲线图中,示出了针对CPS的所有特征的总预测误差(即,其基于上述特征列表中的CPS的所有特征的实际值和预测值计算出)和总预测误差的阈值(水平线)。还示出了CPS中出现异常的时刻(在每个曲线图的中心处的竖直虚线),该时刻为总预测误差超过总误差阈值的时刻。也就是说,总预测误差由特征的预测误差组成,因此每个特征的预测误差可能很小,但同时总预测误差可以超过总误差阈值,导致将发生异常。因此,对于CPS的用户来说检测到这种异常是有问题的。然而,使用图9中提出的系统可以简化此过程,即可以确定异常发生的时刻并生成CPS的特征的值和这些特征的预测值的曲线图(然后将它们提供给用户)。由用于生成曲线图的GUI 930生成的这些曲线图可以针对用户选择的特征以及针对上述特征列表中具有最大预测误差的特征(即这些特征对总预测误差的贡献大于其它所选择的特征的贡献,并且这些特征来自CPS所有特征))而生成(并显示给用户)。这些特征正是最有可能为异常的来源的特征。
在特定的示例性方面中,图9中描述的GUI系统还包括用于选择显示模式的GUI元件940,该元件被设计为接收关于由用户选择的、监控CPS所选择的特征的模式(实时模式或编码/解码模式)的信息,其中,如果选择了实时模式,则上述用于生成曲线图的GUI元件930生成当前时刻的那些值的曲线图(参见图10a至图10c)。
所描述的系统还包括用于选择生成模式的GUI元件921,该元件被设计为接收关于由用户选择的、在用于生成曲线图的GUI元件930中生成或不生针对CPS的所选择的特征的预测误差的模式的信息。在给定的示例中,这是均方误差(Mean Squared Error,MSE)。例如,在图10a和图10c中,没有选择显示特征的预测误差。同时,在图10b中,已选择显示特征的预测误差,因此在用于生成曲线图的GUI元件930中,在每个特征的曲线图之后,显示针对该特征的预测误差的曲线图。例如,第一曲线图用于特征“A_feed_stream1”,第二曲线图包含该特征的预测误差。最下面的曲线图显示了特征的总预测误差。
用于选择显示顺序的GUI元件922被设计为接收关于由用户选择的、在用于生成曲线图的GUI元件930上对所选择的特征排序并显示的方法的信息。例如,可以选择排序模式(排序的标签,在图10a至图10b中选择),其中特征的值的曲线图将按最大预测误差进行排序,即从第一曲线图中的特征的最大预测误差到最后一个曲线图中的特征的最小预测误差。该显示模式可以为默认显示模式。其还允许系统自动生成关于最有可能发生异常和TP扰动的位置的CPS信息并将其显示给用户。还可以选择按照在之前提到的CPS的特征列表中呈现所选择的特征的顺序的显示模式(在图10c中选择的)。
在另一特定的示例性方面中,GUI系统还包含至少一个用于选择事件的GUI元件950(参见图12),该GUI元件950被设计为生成CPS的事件的列表,其中,在所述事件中,发生异常;并且在用户选择这些事件中的一者时,所提到的至少一个用于选择事件的GUI元件950被设计为生成在异常发生时以及在所指示的监控时段期间针对所选择的事件的所提到的数据的值的曲线图。
在一个特定的示例性方面中,针对CPS的每个特征,所述列表910还包含:
·特征的标识符;
·特征的描述;
·针对特征的预测误差;
·特征的可观察值;
·特征的预测值;
·特征的测量单位;
·特征变化的允许限度;
·特征到设备(PLC等)的关联。
图11a示出了用于预测误差设置的GUI元件970,该GUI元件970被设计为接收关于用户选择的、用于显示用于更改预测误差的GUI 971的信息,该用于更改预测误差的GUI971接着用于显示总预测误差阈值的当前值并被设计为接收关于由用户做出的上述总预测误差阈值的值的更改的信息。因此,用于更改预测误差的GUI 971将更改上述总预测误差阈值的值。例如,当出现大量误报警时,用户可以提高总预测误差阈值。显然,总预测误差阈值的改变后的值还将导致CPS的异常的确定(在图4至图5中)中的相应变化。
在图11b中,用于更改预测误差的GUI 971还被设计为显示用于CPS的每个所选择的特征的预测误差的加权因子的值,并用于接收由用户做出的所述加权因子的值的更改。在这种情况下,将重新计算总预测误差,例如通过预测装置221使用所述加权因子的改变后的值重新计算总预测误差。
在又一特定的示例性方面中,至少一个用于对特征分组的GUI元件912被设计为获取关于由用户选择的一组特征(特别是那些属于同一PID控制器的特征)的信息,以及用于生成曲线图的GUI元件930针对来自选择的一组特征的CPS特征生成在指示的监控时间段期间的所提及的值的曲线图,从允许用户在创建的不同组之间快速切换,在用户看来,这些不同的组可以关联至TP的重要部分。
在一个特定的示例性方面中,至少一个用于显示特征组的GUI元件913被设计为显示来自所生成的特征组的CPS的特征。也就是说,由于GUI 912对特征分组,将生成在GUI913中显示的特征组,并且用户能够选择或编辑那些组,以及通过GUI 930显示来自那些组的CPS特征的值的曲线图。
在又一特定的示例性方面中,至少一个GUI元件在功能上能够从用户选择的CPS的特征生成子列表,并在用户选择所述子列表时,能够生成来自所述子列表的特征的值的曲线图(图中未示出)。
图13示出了用于选择模型的GUI元件960,该GUI元件960被设计为执行选择用于预测CPS的特征的值的模型。
图14示出了一种在图形用户界面(GUI)的系统中生成用于监控网络物理系统的数据以便早期确定异常的方法。在步骤1410中,至少一个用于选择特征的GUI元件910(该元件特别包含网络物理系统(CPS)的特征列表)用于接收关于由用户从所提及的特征列表选择的至少一个CPS特征的信息。然后,在步骤1420中,至少一个用于选择时间段的GUI元件920用于接收关于由用户选择的用于监视所选择的CPS特征的时间段的信息。接下来,在步骤1430中,预测装置211使用用于预测所选择的CPS的特征的值的模型,预测所指示的监控时间段期间的CPS的特征的值。此后,在步骤1440中,异常确定装置222用于针对在所指示的监控时间段期间的所选择的CPS的特征确定总预测误差以及针对在所指示的监控时间段期间的每个所选择的CPS的特征确定预测误差。因此,在步骤1450中,至少一个用于生成曲线图的GUI元件930用于生成针对监控CPS所需要的下列值中的每个值在监控时间段内的曲线图:
·CPS的每个选择的特征;
·针对CPS的每个选择的特征的预测;
·针对CPS的特征的总预测误差;
·针对CPS的每个选择的特征的预测误差;
·总预测误差的阈值。
之前在图9至图13中针对GUI系统描述的特定示例性方面也适用于根据图14中的方法。
显然,根据图9至图14的系统和方法实现了所述的技术效果,即该系统和方法提供了图形用户界面,该图形用户界面允许用户执行网络物理系统的监控以便早期确定异常,并且还实现了网络物理系统的用户进行自动化控制以便早期确定异常。此外,所述的技术问题将被解决,该技术问题涉及缺乏用于生成用于监控网络物理系统的数据以在图形用户界面系统中执行异常确定的系统和方法,在该系统和该方法中,从CPS中发生异常的时刻到检测到CPS中的异常的时刻所花费的时间小于现有技术中所需的时间。
图15为示出根据示例性方面的计算机系统20的框图,在所述计算机系统20上可实施使用图形用户界面早期确定异常的系统和方法的各方面。应当注意,计算机系统20可以对应于例如如前文所述的系统100。计算机系统20可以为多个计算设备的形式、或单一计算设备的形式,例如:台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、主机、嵌入式设备和其它形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输TM(HyperTransport TM)、无限带宽TM(InfiniBand TM)、串行ATA、I2C、和其它合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任一组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传输信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除的存储设备27、一个或多个不可移除的存储设备28、或其组合。一个或多个可移除的存储设备27和一个或多个不可移除的存储设备28借助存储器接口32连接到系统总线23。在一个方面,存储设备和相应的计算机可读存储介质为用于存储计算机指令、数据结构、程序模块、和计算机系统20的其它数据的电源独立的模块。系统存储器22、可移除的存储设备27和不可移除的存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其它存储技术,诸如在固态驱动器(Solid StateDrive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘驱动器中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其它介质。
计算机系统20的系统存储器22、可移除的存储设备27和不可移除的存储设备28可以用于存储操作系统35、附加应用程序37、其它程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,诸如键盘、鼠标、触针、游戏控制器、语音输入设备、触点输入设备、或其它外围设备,诸如借助一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal SerialBus,USB)、或其它外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其它外围输出设备(未示出),诸如扬声器和其它视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,诸如但不限于路由器、网站、对等设备或其它的网络节点。计算机系统20可以包括用于借助一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如局域计算机网络(Local-Area computer Network,LAN)50、广域计算机网络(Wide-Area computer Network,WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、同步光纤网(SONET)接口、和无线接口。
本发明的方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备的处理器(诸如计算机系统20)访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其它自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助网络(例如,因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任一组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过因特网)。在一些方面中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的方面。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文中所使用的术语“模块”指的是例如现实世界的设备、部件、或使用硬件(例如通过专用集成电路(Application Specific Integrated Circuit,ASIC)或FPGA)实现的部件的布置,或者指的是硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令集(该指令集在被执行时将微处理器系统转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在计算机系统(例如上文在图15中更详细描述的计算机系统)的处理器上运行。因此,每个模块可以以各种适合的配置来实现,而不应受限于本文中所例示的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例程特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了多个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。

Claims (20)

1.一种使用图形用户界面早期确定异常的方法,所述方法包括:
接收关于网络物理系统的一个或多个特征的信息;
接收关于用于监控所述一个或多个特征的时间段的信息;
基于用于在图形用户界面中绘制曲线图的预测模型,生成所述时间段中的所述网络物理系统的所述一个或多个特征的值的预测;
针对所述时间段中的所述一个或多个特征中的全部特征确定所述预测的总误差,并且针对所述时间段中的所述一个或多个特征中的每个特征确定误差;
确定针对所述一个或多个特征中的一个特征的误差大于预定阈值;以及
将所述一个特征识别为所述网络物理系统中的异常的来源。
2.根据权利要求1所述的方法,还包括:生成显示所述一个或多个特征的值的预测和所述总误差的曲线图。
3.根据权利要求1所述的方法,还包括:
确定所述总误差大于总误差阈值;
识别所述网络物理系统的所述一个或多个特征中的其误差大于所述一个或多个特征中的其它特征的误差的特征;以及
生成所识别的特征的预测值的曲线图。
4.根据权利要求2所述的方法,还包括:
确定所述曲线图中的数据的显示模式,其中,所述显示模式包括实时模式和编码/解码模式;以及
响应于所述显示模式为实时模式,生成当前时刻的值的曲线图。
5.根据权利要求1所述的方法,还包括:
生成与所述网络物理系统上发生的异常有关的事件的列表;
检测一个或多个所述事件的选择;以及
生成所述时间段中的异常发生时刻的针对所选择的一个或多个所述事件的值的曲线图。
6.根据权利要求5所述的方法,其中,每个特征对应于事件的列表,并且每个事件的列表包括:相应特征的标识符、所述相应特征的描述、所述相应特征的预测误差、所述相应特征的可观察值、所述相应特征的预测值、所述相应特征的测量单位、所述相应特征的变化的可允许限度、所述相应特征到设备的关联。
7.根据权利要求1所述的方法,还包括:
获取历史观察时段期间的网络物理系统的样本数据,其中,在所述历史观察时段期间,异常百分比不超过阈值;
生成至少包含异常发生的时刻的训练样本;
使用所述训练样本训练用于预测在指定的所述时间段的每个时刻的所述一个或多个特征的值的所述模型。
8.根据权利要求7所述的方法,其中,用于预测值的所述模型为神经网络。
9.一种使用图形用户界面早期确定异常的系统,所述系统包括:
硬件处理器,所述硬件处理器被配置为:
接收关于网络物理系统的一个或多个特征的信息;
接收关于用于监控所述一个或多个特征的时间段的信息;
基于用于在图形用户界面中绘制曲线图的预测模型,生成所述时间段中的所述网络物理系统的所述一个或多个特征的值的预测;
针对所述时间段中的所述一个或多个特征中的全部特征确定所述预测的总误差,并且针对所述时间段中的所述一个或多个特征中的每个特征确定误差;
确定针对所述一个或多个特征中的一个特征的误差大于预定阈值;以及
将所述一个特征识别为所述网络物理系统中的异常的来源。
10.根据权利要求9所述的系统,其中,所述硬件处理器还被配置为:生成显示所述一个或多个特征的值的预测和所述总误差的曲线图。
11.根据权利要求9所述的系统,其中,所述硬件处理器还被配置为:
确定所述总误差大于总误差阈值;
识别所述网络物理系统的所述一个或多个特征中的其误差大于所述一个或多个特征中的其它特征的误差的特征;以及
生成所识别的特征的预测值的曲线图。
12.根据权利要求10所述的系统,其中,所述硬件处理器还被配置为:
确定所述曲线图中的数据的显示模式,其中,所述显示模式包括实时模式和编码/解码模式;以及
响应于所述显示模式为实时模式,生成当前时刻的值的曲线图。
13.根据权利要求9所述的系统,其中,所述硬件处理器还被配置为:
生成与所述网络物理系统上发生的异常有关的事件的列表;
检测一个或多个所述事件的选择;以及
生成在所述时间段中的异常发生时刻的针对所选择的一个或多个所述事件的值的曲线图。
14.根据权利要求13所述的系统,其中,每个特征对应于事件的列表,并且每个事件的列表包括:相应特征的标识符、所述相应特征的描述、所述相应特征的预测误差、所述相应特征的可观察值、所述相应特征的预测值、所述相应特征的测量单位、所述相应特征的变化的可允许限度、所述相应特征到设备的关联。
15.根据权利要求9所述的系统,其中,所述硬件处理器还被配置为:
获取历史观察时段期间的网络物理系统的样本数据,其中,在所述历史观察时段期间,异常百分比不超过阈值;
生成至少包含异常发生的时刻的训练样本;
使用所述训练样本训练用于预测在指定的所述时间段的每个时刻的所述一个或多个特征的值的所述模型。
16.根据权利要求15所述的系统,其中,用于预测值的所述模型为神经网络。
17.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有使用图形用户界面早期确定异常的指令,所述指令包括用于如下操作的指令:
接收关于网络物理系统的一个或多个特征的信息;
接收关于用于监控所述一个或多个特征的时间段的信息;
基于用于在图形用户界面中绘制曲线图的预测模型,生成所述时间段中的所述网络物理系统的所述一个或多个特征的值的预测;
针对所述时间段中的所述一个或多个特征中的全部特征确定所述预测的总误差,并且针对所述时间段中的所述一个或多个特征中的每个特征确定误差;
确定针对所述一个或多个特征中的一个特征的误差大于预定阈值;以及
将所述一个特征识别为所述网络物理系统中的异常的来源。
18.根据权利要求17所述的非暂时性计算机可读介质,其中,所述指令还包括用于如下操作的指令:生成显示所述一个或多个特征的值的预测和所述总误差的曲线图。
19.根据权利要求17所述的非暂时性计算机可读介质,其中,所述指令还包括用于如下操作的指令:
确定所述总误差大于总误差阈值;
识别所述网络物理系统的所述一个或多个特征中的其误差大于所述一个或多个特征中的其它特征的误差的特征;以及
生成所识别的特征的预测值的曲线图。
20.根据权利要求18所述的非暂时性计算机可读介质,所述指令还包括用于如下操作的指令:
确定所述曲线图中的数据的显示模式,其中,所述显示模式包括实时模式和编码/解码模式;以及
响应于所述显示模式为实时模式,生成当前时刻的值的曲线图。
CN201911259747.8A 2018-12-28 2019-12-10 生成监控网络物理系统的数据以早期确定异常的系统和方法 Active CN111385140B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2018147245A RU2724716C1 (ru) 2018-12-28 2018-12-28 Система и способ формирования данных для мониторинга кибер-физической системы с целью раннего определения аномалий в системе графического интерфейса пользователя
RU2018147245 2018-12-28
US16/456,463 2019-06-28
US16/456,463 US11175976B2 (en) 2018-12-28 2019-06-28 System and method of generating data for monitoring of a cyber-physical system for early determination of anomalies

Publications (2)

Publication Number Publication Date
CN111385140A true CN111385140A (zh) 2020-07-07
CN111385140B CN111385140B (zh) 2022-11-15

Family

ID=71124256

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911259747.8A Active CN111385140B (zh) 2018-12-28 2019-12-10 生成监控网络物理系统的数据以早期确定异常的系统和方法

Country Status (3)

Country Link
US (1) US11175976B2 (zh)
CN (1) CN111385140B (zh)
RU (1) RU2724716C1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009127A (zh) * 2023-08-23 2023-11-07 航电所(成都)科技有限公司 火电厂云端系统的软件升级方法及系统

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11803773B2 (en) * 2019-07-30 2023-10-31 EMC IP Holding Company LLC Machine learning-based anomaly detection using time series decomposition
US11385782B2 (en) 2019-09-06 2022-07-12 Ebay Inc. Machine learning-based interactive visual monitoring tool for high dimensional data sets across multiple KPIs
US20210073658A1 (en) * 2019-09-06 2021-03-11 Ebay Inc. Anomaly detection by correlated metrics
CN113111573B (zh) * 2021-03-24 2022-09-23 桂林电子科技大学 基于gru的滑坡位移预测方法
US20220318627A1 (en) * 2021-04-06 2022-10-06 Nec Laboratories America, Inc. Time series retrieval with code updates
KR20220141220A (ko) * 2021-04-12 2022-10-19 이베이 인크. 다수의 kpi들에 걸친 고차원 데이터 세트들에 대한 머신 학습 기반 대화형 비주얼 모니터링 툴
US20240078440A1 (en) 2022-08-24 2024-03-07 AO Kaspersky Lab Method for identifying patterns and anomalies in the flow of events from a cyber-physical system
EP4336294A1 (en) 2022-09-09 2024-03-13 AO Kaspersky Lab System and method for detecting anomalies in a cyber-physical system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100030544A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. Detecting Outliers in Network Traffic Time Series
US7739143B1 (en) * 2005-03-24 2010-06-15 Amazon Technologies, Inc. Robust forecasting techniques with reduced sensitivity to anomalous data
CN105259895A (zh) * 2015-10-14 2016-01-20 山东科技大学 一种工业过程微小故障的检测和分离方法及其监测系统
CN108089962A (zh) * 2017-11-13 2018-05-29 北京奇艺世纪科技有限公司 一种异常检测方法、装置及电子设备
US20180176241A1 (en) * 2016-12-21 2018-06-21 Hewlett Packard Enterprise Development Lp Abnormal behavior detection of enterprise entities using time-series data

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6611726B1 (en) 1999-09-17 2003-08-26 Carl E. Crosswhite Method for determining optimal time series forecasting parameters
US7808916B1 (en) * 2005-12-28 2010-10-05 At&T Intellectual Property Ii, L.P. Anomaly detection systems for a computer network
US8624730B2 (en) * 2010-11-09 2014-01-07 Landis+Gyr Innovations, Inc. Systems for detecting, collecting, communicating, and using information about environmental conditions and occurrences
US8683591B2 (en) * 2010-11-18 2014-03-25 Nant Holdings Ip, Llc Vector-based anomaly detection
WO2013043863A1 (en) 2011-09-20 2013-03-28 The Trustees Of Columbia University In The City Of New York Adaptive stochastic controller for energy efficiency and smart buildings
US9197511B2 (en) * 2012-10-12 2015-11-24 Adobe Systems Incorporated Anomaly detection in network-site metrics using predictive modeling
US9177139B2 (en) * 2012-12-30 2015-11-03 Honeywell International Inc. Control system cyber security
RU2625051C1 (ru) * 2016-02-18 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ обнаружений аномалий в технологической системе
US10826932B2 (en) * 2018-08-22 2020-11-03 General Electric Company Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7739143B1 (en) * 2005-03-24 2010-06-15 Amazon Technologies, Inc. Robust forecasting techniques with reduced sensitivity to anomalous data
US20100030544A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. Detecting Outliers in Network Traffic Time Series
US20100027432A1 (en) * 2008-07-31 2010-02-04 Mazu Networks, Inc. Impact Scoring and Reducing False Positives
CN105259895A (zh) * 2015-10-14 2016-01-20 山东科技大学 一种工业过程微小故障的检测和分离方法及其监测系统
US20180176241A1 (en) * 2016-12-21 2018-06-21 Hewlett Packard Enterprise Development Lp Abnormal behavior detection of enterprise entities using time-series data
CN108089962A (zh) * 2017-11-13 2018-05-29 北京奇艺世纪科技有限公司 一种异常检测方法、装置及电子设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009127A (zh) * 2023-08-23 2023-11-07 航电所(成都)科技有限公司 火电厂云端系统的软件升级方法及系统

Also Published As

Publication number Publication date
US20200210264A1 (en) 2020-07-02
CN111385140B (zh) 2022-11-15
RU2724716C1 (ru) 2020-06-25
US11175976B2 (en) 2021-11-16

Similar Documents

Publication Publication Date Title
CN111385140B (zh) 生成监控网络物理系统的数据以早期确定异常的系统和方法
RU2724075C1 (ru) Система и способ определения источника аномалии в кибер-физической системе, обладающей определенными характеристиками
US11334407B2 (en) Abnormality detection system, abnormality detection method, abnormality detection program, and method for generating learned model
JP6810097B2 (ja) 異常検出器
EP3847586A1 (en) Computer-implemented method, computer program product and system for anomaly detection and/or predictive maintenance
JP6961740B2 (ja) 産業用コントローラのデータ完全性を保証するためのaiの使用
EP3674946B1 (en) System and method for detecting anomalies in cyber-physical system with determined characteristics
EP3312695B1 (en) Information processing system, information processing method, information processing program, and recording medium
KR20220062329A (ko) 제조 프로세스 위험을 예측하기 위한 시스템 및 방법
EP4206963A1 (en) System and method for diagnostics and monitoring of anomalies of a cyber-physical system
EP3674828B1 (en) System and method of generating data for monitoring of a cyber-physical system for early determination of anomalies
WO2021110388A1 (en) System, device and method for model based analytics
US20230205193A1 (en) System and method for diagnostics and monitoring of anomalies of a cyber-physical system
Galotto et al. Data based tools for sensors continuous monitoring in industry applications
RU2749252C1 (ru) Способ определения источников аномалии в кибер-физической системе
RU2784981C1 (ru) Способ диагностики и мониторинга аномалий в кибер-физической системе
EP4246888A1 (en) System and method for determination of anomalies in a cyber-physical system
US20230297057A1 (en) System and method for determination of anomalies in a cyber-physical system
RU2800740C1 (ru) Система и способ выявления аномалий в киберфизической системе
US20240086267A1 (en) System and method for detecting anomalies in a cyber-physical system
EP4336294A1 (en) System and method for detecting anomalies in a cyber-physical system
CN116781309A (zh) 用于确定信息物理系统中的异常的系统和方法
US11237550B2 (en) Ultrasonic flow meter prognostics with near real-time condition based uncertainty analysis
RU2790331C1 (ru) Способ определения аномалии в киберфизической системе
CN117687373A (zh) 用于检测信息物理系统中的异常的系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant