CN113741372B - 一种降低工业过程控制系统偏差攻击误报的方法 - Google Patents

一种降低工业过程控制系统偏差攻击误报的方法 Download PDF

Info

Publication number
CN113741372B
CN113741372B CN202111049094.8A CN202111049094A CN113741372B CN 113741372 B CN113741372 B CN 113741372B CN 202111049094 A CN202111049094 A CN 202111049094A CN 113741372 B CN113741372 B CN 113741372B
Authority
CN
China
Prior art keywords
deviation
attack
signal
industrial process
control system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111049094.8A
Other languages
English (en)
Other versions
CN113741372A (zh
Inventor
陈夕松
胡羽聪
陶思琦
张勇气
梅彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING RICHISLAND INFORMATION ENGINEERING CO LTD
Original Assignee
NANJING RICHISLAND INFORMATION ENGINEERING CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING RICHISLAND INFORMATION ENGINEERING CO LTD filed Critical NANJING RICHISLAND INFORMATION ENGINEERING CO LTD
Priority to CN202111049094.8A priority Critical patent/CN113741372B/zh
Publication of CN113741372A publication Critical patent/CN113741372A/zh
Application granted granted Critical
Publication of CN113741372B publication Critical patent/CN113741372B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/41885Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by modeling, simulation of the manufacturing system
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/32Operator till task planning
    • G05B2219/32339Object oriented modeling, design, analysis, implementation, simulation language
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Manufacturing & Machinery (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本发明公开了一种降低工业过程控制系统偏差攻击误报方法,针对工业过程中控制系统,在数据驱动的基础上建立被控对象模型,基于模型进行偏差攻击检测。同时结合工业过程控制系统的结构特点,对扰动和偏差攻击信号进行辨别,避免了由于扰动信号造成的偏差攻击误报,显著提高了偏差攻击识别的准确性,对工业过程控制系统的安全防护具有重要价值。

Description

一种降低工业过程控制系统偏差攻击误报的方法
技术领域
本发明涉及工控系统的安全防护领域,具体为一种降低工业过程控制系统偏差攻击误报的方法。
背景技术
相较于浪涌攻击等其它假数据注入攻击,偏差攻击作用幅值大且作用时间长,实际中对工业系统造成的危害很大。在进行偏差攻击检测时,如果采用基于模型的方法计算估计模型和实际对象的输出信号偏差进行检测,经常会出现扰动和攻击难以识别的问题,进而导致攻击检测系统误报率高。
事实上,一个工业过程的运行装置,如常减压、连续重整等,往往有多个变量需要检测,如温度、压力、流量等等,它们往往分别由各自的闭环控制系统进行控制。当控制系统外部出现扰动时,如原料性质的波动等等,其会通过不同的扰动通道作用到多个控制回路,进而扩散到整个装置的不同控制系统中。
不同于扰动的影响,实际的假数据注入攻击是人为蓄意注入的,其往往在工业系统中控制回路的一个或多个传感器网络通道上直接发起。能否根据扰动和攻击的不同特点,设计出一种能够辨别控制系统中扰动和偏差攻击的方法,从而降低或避免由于扰动引起的攻击误预警,已成为当前提高工业过程控制系统的安全防护有效性的一个重要方面。
发明内容
本发明针对背景技术中存在的问题,公开了一种降低工业过程控制系统偏差攻击误报的方法。该方法在数据驱动的基础上建立被控对象模型,基于模型进行异常信号检测。结合工业过程控制系统的结构特点,辨别检测到的异常信号还是扰动还是偏差攻击,从而提升对偏差攻击的识别准确率。该方法包括以下步骤:
1)收集由工业过程Gp,m(s)和控制器Gc,m(s)构成的第m个工业过程控制回路Lm在正常运行状况下的输入输出历史数据,m∈[0,1,2…,M];
2)利用Lm的历史数据计算被控对象Gp,m(s)的估计模型
Figure BDA0003252056300000011
其中采用最小二乘法估计模型参数;
3)计算估计模型
Figure BDA0003252056300000012
的输出与测量信号的偏差a1,a2,…aM
4)若a1,a2,…aM中存在偏差超出阈值KTh,则将超出KTh的偏差视为异常信号并转步骤5),否则转步骤3);
5)若a1,a2,…aM中仅有一个异常信号am,转步骤6),否则转步骤7);
6)计算异常信号am在其幅值上升段amr与阶跃信号幅值上升段εr的余弦相似度Sm
Figure BDA0003252056300000021
式(1)中,amr与εr均为长度为T的时间序列,下标t表示在t采样时刻对应的时间序列值。若Sm大于相似度阈值STh则进行偏差攻击预警并转步骤3),否则视作扰动,直接转步骤3);
7)比较超出阈值的n个异常信号(n≥2),以任一异常信号为基准,计算其余n-1个异常信号与基准信号abase的相似度fm,异常信号am与基准信号abase的相似度fm的计算方式为:
Figure BDA0003252056300000022
式(2)中,fm为基准信号abase和异常信号am的归一化均方根误差,这两个信号均为长度为Ts的时间序列,
Figure BDA0003252056300000023
为基准信号abase的平均值,下标t表示t时刻对应的时间序列值。,若fm均大于fTh,则进行偏差攻击预警并转步骤3),否则视作扰动,直接转步骤3)。
有益效果:
本发明公开了一种降低工业过程控制系统偏差攻击误报的方法,该方法在数据驱动的基础上建立闭环系统模型,具有很好的可解释性。结合工业过程控制系统的结构特点,辨别检测到的异常信号是扰动或是偏差攻击,避免了由于扰动信号造成的偏差攻击误报,显著提高了偏差攻击识别的准确性,对工业过程控制系统的安全防护具有重要价值。
附图说明
图1为本发明实施例工业控制系统示意图;
图2为本发明一种降低工业过程控制系统偏差攻击误报的方法流程图;
图3为本发明实施例中存在偏差攻击的控制系统仿真图;
图4为本发明实施例中存在扰动作用的控制系统仿真图;
图5为本发明实施例中偏差攻击作用于一个回路的检测效果图;
图6为本发明实施例中扰动作用于一个回路的检测效果图;
图7为本发明实施例中偏差攻击作用于多个回路的检测效果图;
图8为本发明实施例中扰动作用于多个回路的检测效果图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,由具体的操作流程说明本方法在工业过程系统中降低偏差攻击误报的实施效果。本实施案例在以本发明技术方案为前提下进行实施,但本发明的保护范围不限于下述的实施例。
本发明所述降低偏差攻击误报方法具体针对工业过程控制系统中的控制回路,本实施例中取控制系统中控制回路数M=5并建立如图1所示的工业过程控制系统。
本实施案例流程如图2所示,本实施例对比了幅值同为1且作用时间段均为t=[16.65s,23.31s]的偏差攻击和扰动作用结果,分别作用于单个控制回路和5个控制回路,结合仿真结果说明了该方法的有效性。其中,偏差攻击直接作用于控制回路的传感器通道,篡改传感器采集的被控物理对象状态信息导致控制器无法接收到真实数据,进而影响闭环控制系统的正常运行,其作用于5个控制回路的示意图如图3所示。扰动作用通过不同扰动通道作用于控制系统,如图4所示。具体实施步骤如下:
1)收集由工业过程Gp,m(s)和控制器Gc,m(s)构成的第m个工业过程控制回路Lm在正常运行状况下的输入输出历史数据,m∈[0,1,2…,M];
2)利用Lm的历史数据计算被控对象Gp,m(s)的估计模型
Figure BDA0003252056300000031
本实例中利用最小二乘法计算出的估计模型为:
Figure BDA0003252056300000032
Figure BDA0003252056300000033
Figure BDA0003252056300000034
Figure BDA0003252056300000035
Figure BDA0003252056300000036
3)计算估计模型
Figure BDA0003252056300000037
的输出与测量信号的偏差a1,a2,…aM,偏差攻击和扰动作用于一个回路的仿真以作用在回路1上为例,其中偏差攻击作用下的检测结果如图5所示,扰动作用下的检测结果如图6所示。偏差攻击和扰动作用于5个回路的仿真例中,偏差攻击作用下的检测结果如图7所示,扰动作用下的检测结果如图8所示。
4)若a1,a2,…aM中存在偏差超出阈值KTh,则将超出KTh的偏差视为异常信号并转步骤5),否则转步骤3),本实例中KTh取0.3,通过图5-8可以看出偏差均存在超出阈值的情况,转步骤5);
5)若a1,a2,…aM中仅有一个异常信号am,转步骤6),否则转步骤7),本实例中图5-6中可以看出两图中分别只有一个异常信号,图5中的异常信号记作a1,fig5,图6中的异常信号记作a1,fig6,转步骤6)进行偏差攻击识别,图7-8中的a1-a5全部超出阈值,转步骤7)进行偏差攻击识别;
6)计算超出阈值的异常信号a1,fig5和a1,fig6在幅值上升段a1r,fig5和a1r,fig6分别与阶跃信号上升段εr的相似度:
Figure BDA0003252056300000041
Figure BDA0003252056300000042
本实例中异常信号的幅值上升段为信号幅值距离二分之一最高幅值最近的采样点前后3.33s的时间段序列,εr为单位阶跃信号上升沿前后3.33s时间段序列,STh取0.9,从结果可以看出S1,fig5超出STh值,即图5中的异常信号被视为偏差攻击,进行预警,图6中异常信号视为扰动,直接转步骤3);
7)比较超出阈值的n个信号(n≥2),以任一信号为基准,计算其余n-1个信号与基准信号相似度fm,本实例中fTh选择为80%,首先计算图7中异常信号间相似度,选取a1为基准信号,计算其它信号和a1的相似度为:
Figure BDA0003252056300000043
Figure BDA0003252056300000044
Figure BDA0003252056300000045
Figure BDA0003252056300000046
可以看出图7中信号相似度均大于fTh,视作偏差攻击,则进行偏差攻击预警转步骤3),计算图8中异常信号间相似度,同样选取a1为基准信号,计算其它信号和a1的相似度:
Figure BDA0003252056300000051
Figure BDA0003252056300000052
Figure BDA0003252056300000053
Figure BDA0003252056300000054
从图8中可见,其它信号与基准信号的相似度均很低,视作扰动,直接转步骤3)。
综上所述,该方法通过辨别控制系统中的扰动和偏差攻击,从而有效降低了工业过程控制系统偏差攻击误报率,对工业过程控制系统的安全防护具有重要价值。

Claims (4)

1.一种降低工业过程控制系统偏差攻击误报的方法,其特征在于针对工业过程中控制系统,在监测到异常信号的基础上,利用控制系统中偏差攻击和扰动作用方式的不同来对二者进行辨别,避免由于扰动信号造成的偏差攻击误报,主要包括以下步骤:
1)收集由工业过程Gp,m(s)和控制器Gc,m(s)构成的第m个工业过程控制回路Lm在正常运行状况下的输入输出历史数据,m∈[0,1,2…,M];
2)利用Lm的历史数据计算被控对象Gp,m(s)的估计模型
Figure FDA0003252056290000011
3)计算估计模型
Figure FDA0003252056290000012
的输出与测量信号的偏差a1,a2,…aM
4)若a1,a2,…aM中存在偏差超出阈值KTh,则将超出KTh的偏差视为异常信号并转步骤5),否则转步骤3);
5)若a1,a2,…aM中仅有一个异常信号am,转步骤6),否则转步骤7);
6)计算异常信号am在其幅值上升段amr与阶跃信号幅值上升段εr的相似度Sm,若Sm大于相似度阈值STh则进行偏差攻击预警并转步骤3),否则视作扰动,直接转步骤3);
7)比较超出阈值的n个异常信号,n≥2;以任一异常信号为基准,分别计算其余n-1个异常信号与基准信号abase的相似度fm,若均大于阈值fTh,则进行偏差攻击预警并转步骤3);否则视作扰动,直接转步骤3)。
2.根据权利要求1所述的方法,其特征在于计算异常信号am的幅值上升段amr与阶跃信号幅值上升段εr的余弦相似度Sm:
Figure FDA0003252056290000013
上式中,amr与εr均为长度为T的时间序列,amr,t表示幅值上升段amr序列在t采样时刻对应的时间序列值,εr,t表示阶跃信号幅值上升段εr序列在t采样时刻对应的时间序列值。
3.根据权利要求1所述的方法,其特征在于计算异常信号am与基准信号abase间的相似度fm
Figure FDA0003252056290000014
上式中,fm为基准信号abase和异常信号am的归一化均方根误差,这两个信号均为长度为Ts的时间序列,abase,t表示基准信号abase序列在t时刻对应的时间序列值,am,t表示异常信号am序列在t时刻对应的时间序列值;
Figure FDA0003252056290000021
为基准信号abase的平均值。
4.根据权利要求1所述的方法,其特征在于采用最小二乘法辨识模型Gp,m(s)的参数以获得估计模型
Figure FDA0003252056290000022
CN202111049094.8A 2021-09-08 2021-09-08 一种降低工业过程控制系统偏差攻击误报的方法 Active CN113741372B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111049094.8A CN113741372B (zh) 2021-09-08 2021-09-08 一种降低工业过程控制系统偏差攻击误报的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111049094.8A CN113741372B (zh) 2021-09-08 2021-09-08 一种降低工业过程控制系统偏差攻击误报的方法

Publications (2)

Publication Number Publication Date
CN113741372A CN113741372A (zh) 2021-12-03
CN113741372B true CN113741372B (zh) 2023-01-24

Family

ID=78737031

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111049094.8A Active CN113741372B (zh) 2021-09-08 2021-09-08 一种降低工业过程控制系统偏差攻击误报的方法

Country Status (1)

Country Link
CN (1) CN113741372B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114527651A (zh) * 2022-01-21 2022-05-24 深圳市三旺通信股份有限公司 控制系统攻击检测方法、检测系统、设备和存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011879A (zh) * 2019-04-29 2019-07-12 燕山大学 一种基于并行滤波的传感器网络安全实时在线监测系统
CN110740127A (zh) * 2019-09-26 2020-01-31 浙江工业大学 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法
CN111413949A (zh) * 2020-03-30 2020-07-14 南京富岛信息工程有限公司 一种降低工业过程故障预警误报率的方法
CN111723366A (zh) * 2019-03-19 2020-09-29 中国科学院沈阳自动化研究所 一种基于状态估计偏差的错误数据注入攻击鲁棒检测方法
CN111988303A (zh) * 2020-08-17 2020-11-24 南京邮电大学 适用于电力系统负荷频率控制的虚假数据注入攻击检测方法
CN112688315A (zh) * 2020-12-16 2021-04-20 国网辽宁省电力有限公司经济技术研究院 一种基于电动汽车配电网信息物理系统的攻防系统及方法
CN113268731A (zh) * 2021-05-13 2021-08-17 北京航空航天大学杭州创新研究院 一种针对负荷频率控制系统虚假数据攻击的估计方法
CN113285495A (zh) * 2021-06-09 2021-08-20 东南大学 一种针对虚假注入攻击的微电网分布式同步检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3767246B1 (en) * 2018-04-24 2022-08-10 Mitsubishi Electric Corporation Attack detection device, attack detection program, and attack detection method
US11411983B2 (en) * 2019-10-16 2022-08-09 General Electric Company Dynamic, resilient sensing system for automatic cyber-attack neutralization

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111723366A (zh) * 2019-03-19 2020-09-29 中国科学院沈阳自动化研究所 一种基于状态估计偏差的错误数据注入攻击鲁棒检测方法
CN110011879A (zh) * 2019-04-29 2019-07-12 燕山大学 一种基于并行滤波的传感器网络安全实时在线监测系统
CN110740127A (zh) * 2019-09-26 2020-01-31 浙江工业大学 一种基于改进的自适应卡尔曼滤波的偏差攻击的估计方法
CN111413949A (zh) * 2020-03-30 2020-07-14 南京富岛信息工程有限公司 一种降低工业过程故障预警误报率的方法
CN111988303A (zh) * 2020-08-17 2020-11-24 南京邮电大学 适用于电力系统负荷频率控制的虚假数据注入攻击检测方法
CN112688315A (zh) * 2020-12-16 2021-04-20 国网辽宁省电力有限公司经济技术研究院 一种基于电动汽车配电网信息物理系统的攻防系统及方法
CN113268731A (zh) * 2021-05-13 2021-08-17 北京航空航天大学杭州创新研究院 一种针对负荷频率控制系统虚假数据攻击的估计方法
CN113285495A (zh) * 2021-06-09 2021-08-20 东南大学 一种针对虚假注入攻击的微电网分布式同步检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
伪量测建模与AUKF在配电网虚假数据注入攻击辨识中的应用;陈碧云等;《电网技术》;20190930;第43卷(第9期);第3226-3236页 *

Also Published As

Publication number Publication date
CN113741372A (zh) 2021-12-03

Similar Documents

Publication Publication Date Title
CN106888205B (zh) 一种非侵入式基于功耗分析的plc异常检测方法
Yin et al. Fault detection based on a robust one class support vector machine
CN107636619B (zh) 信息处理装置、信息处理系统、信息处理方法及记录介质
Terai et al. Cyber-attack detection for industrial control system monitoring with support vector machine based on communication profile
CN110648480B (zh) 一种基于变化速率的单变量报警系统及方法
CN106368813A (zh) 一种基于多元时间序列的异常报警数据检测方法
CN110057406B (zh) 一种多尺度自适应的机械设备趋势预警方法
CN105933681B (zh) 面向行为识别的灵敏度自适应调整方法
CN113741372B (zh) 一种降低工业过程控制系统偏差攻击误报的方法
CN111970229B (zh) 一种针对多种攻击方式的can总线数据异常检测方法
CN112800600B (zh) 一种基于多尺度样本熵和贝叶斯网络的隐蔽性攻击检测方法
MX2022002953A (es) Sistemas y metodos para predecir riesgos de proceso de fabricacion.
CN109951420B (zh) 一种基于熵和动态线性关系的多级流量异常检测方法
CN110991074B (zh) 一种位移传感器测量数据有效性的判定方法
CN110290118B (zh) 一种基于隐马尔可夫模型的重复加工过程隐蔽性攻击检测方法
KR101997580B1 (ko) 상관도를 고려한 데이터 분류 방법 및 이 방법을 수행하기 위한 프로그램이 저장된 컴퓨터 판독가능한 저장매체
CN117072460B (zh) 一种基于振动数据和专家经验的离心泵状态监测方法
CN112528227A (zh) 一种基于数理统计的传感器异常数据识别方法
CN113819959B (zh) 一种基于海林格距离和相关系数的悬浮系统异常检测方法
CN108595380B (zh) 一种高炉异常炉况检测方法
CN111712771A (zh) 能够执行具有多个机器人的生产系统中的问题诊断的数据处理装置以及方法
CN113721586B (zh) 一种工业过程控制回路的欺骗攻击检测方法
Oliosi et al. On sensor data clustering for machine status monitoring and its application to predictive maintenance
CN113052272A (zh) 一种异常检测方法、装置、电子设备及存储介质
CN109495437B (zh) 一种利用在线机器学习算法的工业控制系统中网络异常探测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant