CN114638548A - 一种工业控制系统的风控方法、装置及电子设备 - Google Patents
一种工业控制系统的风控方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114638548A CN114638548A CN202210499328.7A CN202210499328A CN114638548A CN 114638548 A CN114638548 A CN 114638548A CN 202210499328 A CN202210499328 A CN 202210499328A CN 114638548 A CN114638548 A CN 114638548A
- Authority
- CN
- China
- Prior art keywords
- industrial
- equipment
- abnormal
- event
- control system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0639—Performance analysis of employees; Performance analysis of enterprise or organisation operations
- G06Q10/06393—Score-carding, benchmarking or key performance indicator [KPI] analysis
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Physics & Mathematics (AREA)
- Game Theory and Decision Science (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本说明书公开了一种工业控制系统的风控方法、装置及电子设备,本说明书实施例采集工业控制系统中所有工业设备的事件信息,并输入预先训练的决策模型中,以通过决策模型根据所有工业设备的事件信息,确定出出现异常的工业设备作为异常设备,以对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对异常设备的风控策略,并基于确定出的风控策略,对异常设备进行风控。在此方法中,在确定风控策略时,考虑了工业控制系统中异常工业设备和其他工业设备之间的相互影响,可以保证执行风控策略后不会对其他工业设备产生安全影响,从而对工业控制系统进行有效风控。
Description
技术领域
本说明书涉及工业控制领域,尤其涉及一种工业控制系统的风控方法、装置及电子设备。
背景技术
在工业控制领域中,工业控制系统涉及的功能安全和信息安全尤为重要。其中,功能安全主要是指工业控制系统中工业设备的操作安全,信息安全主要是指工业控制系统的网络通信安全。
当工业控制系统中的工业设备受到网络攻击时,现有技术中并没有一种及时有效的方法在不影响工业生产的情况下对受到攻击的工业设备进行风控。
即使存在对受到攻击的工业设备的风控方法,也是人为针对受到攻击的工业设备进行风控,但是,在风控过程中并未考虑未受到攻击的工业设备可能存在的安全影响,从而无法对工业控制系统进行有效风控。
发明内容
本说明书实施例提供一种工业控制系统的风控方法、装置及电子设备,以部分解决上述现有技术存在的问题。
本说明书实施例采用下述技术方案:
本说明书提供的一种工业控制系统的风控方法,所述工业控制系统中包含各工业设备,针对每个工业设备,该工业设备执行的风控策略影响所述工业控制系统中至少部分其他工业设备,包括:
采集所述工业控制系统中所有工业设备的事件信息;
将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略;
根据所述风控策略,对所述异常设备进行风控。
可选地,所述事件信息至少包括事件风险等级;
根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,具体包括:
根据所述事件信息中的事件风险等级,从所述工业控制系统中确定出出现异常的工业设备。
可选地,所述事件信息至少包括事件影响范围;
以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略,具体包括:
通过所述决策模型中的评估子模型,根据所述异常设备的事件信息中的事件影响范围以及所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围,确定所述工业控制系统中所有工业设备的当前整体状态评分;
通过所述决策模型中的策略子模型,根据所有工业设备的事件信息,确定各候选风控策略,并针对每个候选风控策略,预估执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的预计下一事件信息;
将所述预计下一事件信息输入所述评估子模型中,通过所述评估子模型输出执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分;
以对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分大于所述当前整体状态评分为约束,从所述各候选风控策略中确定针对所述异常设备的风控策略。
可选地,根据所述异常设备的事件信息中的事件影响范围以及所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围,确定所述工业控制系统中所有工业设备的当前整体状态评分,具体包括:
根据所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度,确定所述异常设备的当前状态评分;
根据所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述其他工业设备对于所述工业控制系统的重要程度,确定所述其他工业设备的当前状态评分;
基于所述异常设备的当前状态评分以及所述其他工业设备的当前状态评分,确定所述工业控制系统中所有工业设备的当前整体状态评分。
可选地,根据所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度,确定所述异常设备的当前状态评分,具体包括:
基于所述事件信息中各事件数据与预设的模糊集中的各事件状态描述之间的对应关系,对所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度进行模糊化处理,得到所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述;
所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述,确定所述异常设备对应的综合事件状态描述;
基于所述异常设备对应的综合事件状态描述与设备状态评分的对应关系,对所述异常设备对应的综合事件状态描述进行去模糊化处理,得到所述异常设备的当前状态评分。
可选地,预先训练所述决策模型,具体包括:
获取历史上所述工业控制系统中所有工业设备的历史事件信息;
将所述历史事件信息输入待训练的决策模型,以通过所述决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第一风控策略;
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练。
可选地,在以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练之前,所述方法还包括:
将所述历史事件信息输入辅助决策模型中,以通过所述辅助决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第二风控策略;以执行所述第二风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述辅助决策模型的模型参数进行调整,得到所述辅助决策模型的调整后参数;
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练,具体包括:
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型的模型参数进行调整,得到所述决策模型的调整后参数;
根据辅助决策模型反馈的所述辅助决策模型的调整后参数,对所述决策模型的调整后参数进行更新;其中,所述辅助决策模型是与决策模型的模型结构相同的模型。
可选地,根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第一风控策略,具体包括:
通过所述决策模型的评估子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定历史上所述工业控制系统中所有工业设备的历史整体状态评分;通过所述决策模型的策略子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定针对所述历史异常设备的各目标风控策略;
将所述历史整体状态评分输入所述决策模型的策略子模型中,以通过所述策略子模型,根据所述历史整体状态评分以及预先确定的执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分,从所有目标风控策略中选择出针对所述历史异常设备的第一风控策略;其中,执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分是由循环神经网络训练所得到的评分矩阵所确定的,所述评分矩阵用于表示针对每个事件策略组合,该事件策略组合与采用该事件策略组合中的目标风控策略进行风控后所得到的下一历史整体状态评分之间的对应关系,所述事件策略组合是指历史事件信息与目标风控策略之间的组合。
本说明书提供的一种工业控制系统的风控装置,包括:
采集模块,用于采集所述工业控制系统中所有工业设备的事件信息;
确定风控策略模块,用于将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略;
风控模块,用于根据所述风控策略,对所述异常设备进行风控。
本说明书提供的一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的工业控制系统的风控方法。
本说明书提供的一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述的工业控制系统的风控方法。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
本说明书实施例中采集工业控制系统中所有工业设备的事件信息,并输入预先训练的决策模型中,以通过决策模型根据所有工业设备的事件信息,确定出出现异常的工业设备作为异常设备,以对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对异常设备的风控策略,并基于确定出的风控策略,对异常设备进行风控。在此方法中,在确定风控策略时,考虑了工业控制系统中异常工业设备和其他工业设备之间的相互影响,可以保证执行风控策略后不会对其他工业设备产生安全影响,从而对工业控制系统进行有效风控。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书实施例提供的工业控制系统的风控方法的流程示意图;
图2为本说明书实施例提供的决策模型和辅助决策模型的结构示意图;
图3为本说明书实施例提供的工业控制系统的风控装置结构示意图;
图4为本说明书实施例提供的电子设备的结构示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书实施例提供的工业控制系统的风控方法的流程示意图,包括:
S100:采集所述工业控制系统中所有工业设备的事件信息。
在本说明书实施例中,工业控制系统可以包括工艺流程涉及的所有工业设备以及安装于部分工业设备上的安全防护产品。其中,工业设备至少包括:工业控制系统中的生产设备以及工业控制系统中的网络设备,生产设备至少包括:控制器,控制器至少可以包括:PLC控制器、DCS控制器、RTU控制器等;网络设备至少包括主机、交换机等。安全防护产品至少包括:工控安全审计产品、网络安全入侵检测产品、防火墙、工控主机安全卫士软件等。其中,安全防护产品可以安装于网络设备上和/或安装于网络设备与生产设备之间的网络通路上。
在本说明书实施例中,可以通过工业控制系统中的安全防护产品采集工业控制系统中所有工业设备当前的事件信息。其中,工业控制系统中所有工业设备的事件信息可以包括工业控制系统中生产设备的事件信息和工业控制系统中网络设备的事件信息。生产设备的事件信息至少包含生产设备的操作信息,网络设备的事件信息至少包括网络设备监控的工业控制系统的网络信息。
事件信息可以包括:事件发起者、事件执行者、事件类别、事件描述、事件风险等级等。另外,由于工业控制系统中所有工业设备之间相互影响,所以,事件信息中还包括事件影响范围。比如,针对每个工业设备,当该工业设备受到攻击时,与该工业设备相关的其他工业设备可能执行错误操作。
其中,事件信息中事件执行者可以是产生事件信息的工业设备,事件发起者可以是导致事件信息产生的工业设备或导致事件信息产生的攻击者。针对事件执行者的具体描述可以包括:事件执行者的静态信息以及事件发起者的动态信息,同样,针对事件发起者的具体描述也可以包括:事件发起者的静态信息以及事件发起者的动态信息。另外,静态信息至少可以包括:事件发起者的名称、IP地址、MAC地址、事件发起者的类型、事件发起者的品牌、型号、版本等。动态信息至少包括:在线状态、故障信息、操作日志等。
可以基于类别范围由大到小,将事件类别分为一级类别、二级类别和三级类别,二级类别是在一级类别基础上的细分,三级类别是在二级类别基础上的细分。一级类别至少包括:网络事件、系统事件、主机事件等。网络事件可以分为:工控事件、攻击事件、IT事件、异常网络事件、防护事件、异常工控事件等二级类别;系统事件可以分为:部署安全防护产品的设备的状态、部署安全防护产品的设备的管理、用户认证、安全策略配置、控制器配置、系统异常等二级类别;主机事件可以分为:主机系统事件、异常主机事件等二级类别。工控事件可以分为控制器操作、上传下载、信息读取、信息写入等三级类别;攻击事件可以分为不可疑的流量、未知流量、潜在的危险流量、尝试侦查信息等三级类别;IT事件可以分为正常IT事件、异常IT事件等三级类别;异常网络事件可以分为:异常连接、异常流量、异常端口服务等三级类别;防护事件可以分为:防火墙阻断日志等三级类别;异常工控事件可以分为:异常工控操作、异常工控组态等三级类别;部署安全防护产品的设备的状态可以分为:部署安全防护产品的设备的系统资源安全、部署安全防护产品的设备的系统资源异常等三级类别;部署安全防护产品的设备的管理可以包括:部署安全防护产品的设备的系统功能获取等三级类别;用户认证可以分为用户登录、用户登出等三级类别;安全策略配置可以分为:工控安全策略配置、获取当前工控安全策略等三级类别;控制器配置可以包括控制器配置错误等三级类别;系统异常可以包括数据库异常等三级类别;主机系统事件可以分为:Windows用户登录、Windows用户退出等三级类别;异常主机事件可以分为:Windows用户登录失败、U盘非法接入、文件非法修改等三级类别。
基于事件类别,还可以对事件类别作进一步的描述,即,事件描述。
事件风险等级可以根据事件的影响大小,将事件风险等级分为高、中、低、无风险四个等级。
事件影响范围可以从事件影响路径、影响的其他工业设备、事件影响规模、事件影响速度等方面进行描述。
比如:一个控制器启动的事件,事件发起者可能是工业设备A,事件执行者可能是控制器1,事件类别是网络事件-工控事件-控制器操作,事件描述可以是控制器1启动,事件风险等级可以是中等级,事件影响范围可以是:控制器1同时影响工业设备B、工业设备C,事件影响规模较小,事件影响速度较快。
S102:将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略。
S104:根据所述风控策略,对所述异常设备进行风控。
在本说明书实施例中,将工业控制系统中所有工业设备当前的事件信息输入预先训练的决策模型中,通过决策模型,根据所有工业设备当前的事件信息,确定出工业控制系统中出现异常的工业设备,作为异常设备。然后,以对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对异常设备的风控策略。最后,根据针对异常设备的风控策略,对异常设备进行风控。其中,决策模型可以是包含评估子模型和策略子模型的强化学习模型。策略子模型用于根据工业控制系统的所有工业设备的事件信息输出针对异常设备的风控策略,评估子模型用于评估策略子模型输出的风控策略的优劣。另外,对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件可以是对异常设备进行风控后工业控制系统中所有工业设备的下一整体状态评分比工业控制系统中所有工业设备的当前整体状态评分高。
在根据所有工业设备当前的事件信息,确定出工业控制系统中出现异常的工业设备时,可以通过决策模型中的策略子模型,根据每个工业设备当前的事件信息中的事件风险等级以及风险阈值,从所有工业设备中确定出出现异常的工业设备,作为异常设备。
在确定异常设备之后,可以通过决策模型中的策略子模型,根据输入决策模型中的所有工业设备的事件信息,从预先构建的策略集中选择出针对异常设备的风控策略,并预估执行风控策略对异常设备进行风控后工业控制系统中所有工业设备的下一事件信息,作为预计下一事件信息。将所有工业设备的预计下一事件信息输入评估子模型中,通过评估子模型,对所有工业设备的预计下一事件信息进行评估,得到下一整体状态评分。基于下一整体状态评分,评价策略子模型输出的风控策略的优劣。
其中,策略集中的风控策略实现的功能可以包括两大类,分别是:阻断和恢复。而实现阻断功能的操作至少包括:防火墙阻断、主机安全卫士杀毒等阻断操作。而实现恢复功能的操作与恢复对象有关。
每个风控策略至少包括:策略执行机构、策略执行机构中的执行人员、策略执行物理位置、策略执行对象、策略执行时间等。其中,策略执行对象可以分为策略阻断对象和策略恢复对象,策略阻断对象至少包括:通信过程、端口服务、文件传输、控制器动作执行等,策略恢复对象至少包括:组态工程、文件传输、配置、操作系统等,配置可以是主机配置、安全防护产品配置等。另外,可以通过主机备份与恢复系统恢复操作系统,通过控制器完整性监测与恢复系统来恢复控制器的组态工程。
具体的,在以对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对异常设备的风控策略时,可以通过决策模型中的评估子模型,根据异常设备的事件信息中的事件影响范围以及工业控制系统中除异常设备以外的其他工业设备的事件信息中的事件影响范围,确定工业控制系统中所有工业设备的当前整体状态评分。
同时,通过决策模型中的策略子模型,根据所有工业设备的事件信息,确定各候选风控策略,并针对每个候选风控策略,预估执行该候选风控策略对异常设备进行风控后工业控制系统中所有工业设备的预计下一事件信息。并将预计下一事件信息输入评估子模型中,通过评估子模型确定执行该候选风控策略对异常设备进行风控后工业控制系统中所有工业设备的下一整体状态评分。
最后,以对异常设备进行风控后工业控制系统中所有工业设备的下一整体状态评分大于当前整体状态评分为约束,从各候选风控策略中确定针对异常设备的风控策略。另外,当存在多个候选风控策略对异常设备进行风控后工业控制系统中所有工业设备的下一整体状态评分大于当前整体状态评分时,可以从多个候选风控策略中选择对异常设备进行风控后工业控制系统中所有工业设备的下一整体状态评分与当前整体状态评分之间的差异最大的候选风控策略,作为针对异常设备的风控策略。
进一步,在确定工业控制系统中所有设备的当前整体状态评分时,可以根据异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度,确定异常设备的当前状态评分。同时,根据工业控制系统中除异常设备以外的其他工业设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及其他工业设备对于工业控制系统的重要程度,确定其他工业设备的当前状态评分。最后,基于异常设备的当前状态评分以及其他工业设备的当前状态评分,确定工业控制系统中所有工业设备的当前整体状态评分。可以将异常设备的当前状态评分以及其他工业设备的当前状态评分进行平均,得到工业控制系统中所有工业设备的当前整体状态评分。
在确定异常设备的当前状态评分时,可以对异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度进行模糊化处理,然后,将异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度进行模糊化后的结果进行融合,得到异常设备的综合模糊结果,并将异常设备的综合模糊结果进行去模糊化,得到异常设备的当前状态评分。
其中,将异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度进行模糊化处理是为了统一事件信息中不同事件数据的评价标准。
具体的,基于事件信息中各事件数据与预设的模糊集中的各事件状态描述之间的对应关系,对异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度进行模糊化处理,得到异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度各自对应的事件状态描述。其中,事件信息中各事件数据可以是事件影响范围数据、事件风险等级数据、事件发生频率数据、重要程度数据等,模糊集中的事件状态描述用于对事件信息中的各事件数据的优劣,事件状态描述比如有:优秀、良好、差、非常差等,或负大值、负中值、负小值、零值、正小值、正中值、正大值等。
然后,根据异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及异常设备对于工业控制系统的重要程度各自对应的事件状态描述,确定异常设备对应的综合事件状态描述。也就是,将异常设备的事件影响范围、事件风险等级、事件发生频率和重要程度各自对应的事件状态描述进行综合评估,得到综合事件状态描述。
比如:若事件风险等级低,事件风险等级对应的事件状态描述为负中值;若事件发生频率低,事件发生频率对应的事件状态描述为负小值;若事件影响范围较大,事件影响范围对应的事件状态描述为正中值,则异常设备对应的综合事件状态描述为正小值。
在得到异常设备的综合事件状态描述之后,可以基于异常设备对应的综合事件状态描述与设备状态评分之间的对应关系,对异常设备对应的综合事件状态描述进行去模糊化处理,得到异常设备的当前状态评分。去模糊化处理的方法可以是最大隶属度法、加权平均法、重心法等,对此不作限制。
比如:当综合事件状态描述为负大值时,异常设备的当前状态评分为20,当综合事件状态描述为负中值时,异常设备的当前状态评分为30,当综合事件状态描述为负小值时,异常设备的当前状态评分为45,当综合事件状态描述为零值时,异常设备的当前状态评分为50,当综合事件状态描述为正小值时,异常设备的当前状态评分为60,当综合事件状态描述为正中值时,异常设备的当前状态评分为80,当综合事件状态描述为正大值时,异常设备的当前状态评分为100。
另外,确定工业控制系统中除异常设备之外的其他工业设备的当前状态评分的方法与确定异常设备的当前状态评分的方法相同。确定工业控制系统中所有工业设备的下一整体状态评分的方法与确定工业控制系统中所有工业设备的当前整体状态评分的方法相同,在此不再赘述。
需要说明的是,本申请中所有采集事件信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下,并获得由相应装置所有者给予授权的情况下进行的。
通过上述图1所示的方法可见,本说明书采集工业控制系统中所有工业设备的事件信息,并输入预先训练的决策模型中,以通过决策模型根据所有工业设备的事件信息,确定出出现异常的工业设备作为异常设备,以对异常设备进行风控后工业控制系统中除异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对异常设备的风控策略,并基于确定出的风控策略,对异常设备进行风控。在此方法中,在确定风控策略时,考虑了工业控制系统中异常工业设备和其他工业设备之间的相互影响,可以保证执行风控策略后不会对其他工业设备产生安全影响,从而在不影响其他工业设备的工业生产的情况下,对工业控制系统进行有效风控。
进一步,在使用决策模型进行风控之前,需要对决策模型进行训练。接下来,对决策模型的训练进行说明。其中,决策模型可以包括评估子模型和策略子模型,评估子模型可以是深度神经网络模型,策略子模型可以是人工神经网络模型。
获取历史上工业控制系统中所有工业设备的事件信息,作为历史事件信息,其中,历史事件信息可以包括:历史上工业控制系统中所有工业设备处于真实工控环境下所采集的事件信息,以及历史上工业控制系统中所有工业设备处于实验室内所采集的事件信息。
然后,将历史事件信息输入待训练的决策模型,以通过决策模型,根据历史事件信息,确定出历史上工业控制系统中出现异常的工业设备,作为历史异常设备。并根据历史异常设备的历史事件信息,确定出针对历史异常设备的第一风控策略。以执行第一风控策略对历史异常设备进行风控后工业控制系统中除历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对决策模型进行训练。
其中,执行第一风控策略对历史异常设备进行风控后工业控制系统中除历史异常设备以外的其他工业设备的影响满足预设条件可以是执行第一风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分比历史上工业控制系统中所有工业设备的历史整体状态评分高。
在以执行第一风控策略对历史异常设备进行风控后工业控制系统中除历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对决策模型进行训练时,可以先通过评估子模型,根据输入评估子模型中的历史事件信息,确定历史上工业控制系统中所有工业设备的整体状态评分,作为历史整体状态评分。然后,根据第一风控策略对历史异常设备进行风控,得到执行第一风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史事件信息。然后,将所有工业设备的下一历史事件信息输入评估子模型中,通过评估子模型确定执行第一风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分。最后,以下一历史整体状态评分与历史整体状态评分之间的正向差异为训练目标,对决策模型的模型参数进行调整。其中,下一历史整体状态评分与历史整体状态评分之间的正向差异是指下一历史整体状态评分比历史整体状态评分高。
需要说明的是,通过评估子模型确定历史上工业控制系统中所有工业设备的历史整体状态评分的方法、确定执行第一风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分的方法均与确定工业控制系统中所有设备的当前整体状态评分的方法相同。
另外,为了提高决策模型训练速度(即,收敛速度),可以在决策模型中增加“历史事件信息-目标风控策略”组合与“下一历史整体状态评分”之间的函数关系的先验知识。其中,“历史事件信息-目标风控策略”组合与“下一历史整体状态评分”之间的函数关系是通过循环神经网络训练得到的。
具体的,通过决策模型的评估子模型,根据历史上工业控制系统中所有工业设备的历史事件信息,确定历史上工业控制系统中所有工业设备的历史整体状态评分。同时,通过决策模型的策略子模型,根据历史上工业控制系统中所有工业设备的历史事件信息,确定针对历史异常设备的各目标风控策略。其中,目标风控策略是策略子模型确定出的针对历史异常设备的候选风控策略。
然后,将历史整体状态评分输入决策模型的策略子模型中,以通过策略子模型,根据历史整体状态评分以及预先确定的执行每个目标风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分,从所有目标风控策略中选择出针对历史异常设备的第一风控策略。其中,执行每个目标风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分是由循环神经网络训练所得到的评分矩阵所确定的,评分矩阵用于表示针对每个事件策略组合,该事件策略组合与采用该事件策略组合中的目标风控策略进行风控后所得到的下一历史整体状态评分之间的对应关系,事件策略组合是指历史事件信息与目标风控策略之间的组合。
具体的,将历史整体状态评分与执行每个目标风控策略对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分进行比较,从所有对历史异常设备进行风控后工业控制系统中所有工业设备的下一历史整体状态评分中选择出目标下一历史整体状态评分,其中,目标下一历史整体状态评分是比历史整体状态评分高且与历史整体状态评分差异最大的下一历史整体状态评分。然后,将目标下一历史整体状态评分所对应的目标风控策略作为针对历史异常设备的第一风控策略。
此外,在决策模型中的策略子模型确定各目标风控策略之后,还可以将决策模型中的策略子模型确定出的各目标风控策略与历史事件信息进行组合,得到多个事件策略组合。将每个事件策略组合输入预先训练的循环神经网络中,通过循环神经网络输出每个事件策略组合对应的下一历史整体状态评分。循环神经网络将每个事件策略组合对应的下一历史整体状态评分反馈给策略子模型,通过策略子模型,根据每个事件策略组合对应的下一历史整体状态评分,从所有目标风控策略中选择出下一历史整体状态评分最高的目标风控策略,作为策略子模型确定的针对历史异常设备的第一风控策略。
预先对循环神经网络进行训练时,可以获取历史上工业控制系统中所有工业设备的每个历史事件信息以及每个目标风控策略,针对每个历史事件信息,将该历史事件信息与每个目标风控策略进行组合,得到多个事件策略组合。针对事件策略组合,将该事件策略组合输入待训练的循环神经网络,通过循环神经网络输出采用该事件策略组合中目标风控策略对该事件策略组合中的历史事件信息所涉及的历史异常设备进行风控后所得到的工业控制系统中所有工业设备的下一历史整体状态评分。以采用该事件策略组合中目标风控策略对该事件策略组合中的历史事件信息所涉及的历史异常设备进行风控后所得到的工业控制系统中所有工业设备的下一历史整体状态评分与该事件策略组合对应的真实下一历史整体状态评分之间的差异最小化为训练目标,对循环神经网络进行训练,训练完成的循环神经网络可以得到评分矩阵。其中,评分矩阵中包含每个事件策略组合以及每个事件策略组合对应的下一历史整体状态评分。
此外,为了防止决策模型在训练过程中陷入局部最优,可以设置多个辅助决策模型帮助决策模型进行训练。其中,辅助决策模型可以是多个,且每个辅助决策模型的模型结构与决策模型的模型结构相同,即,每个辅助决策模型可以包括评估子模型和策略子模型。
针对每个辅助决策模型,可以将历史事件信息输入该辅助决策模型中,以通过该辅助决策模型,根据历史事件信息,确定出历史上工业控制系统中出现异常的历史异常设备,并根据历史异常设备的历史事件信息,确定出针对历史异常设备的风控策略,作为第二风控策略。其中,第二风控策略可能与第一风控策略相同,也可能与第一风控策略不同。以执行第二风控策略对历史异常设备进行风控后工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对该辅助决策模型的模型参数进行调整,得到该辅助决策模型的调整后参数。
同时,通过决策模型,以执行第一风控策略对历史异常设备进行风控后工业控制系统中除历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对决策模型的模型参数进行调整,得到决策模型的调整后参数。
最后,通过异步通信的方式,每个辅助决策模型将各自的调整后参数反馈给决策模型。通过决策模型,根据每个辅助决策模型的调整后参数,对决策模型的调整后参数进行更新,得到决策模型的更新后参数。其中,可以将每个辅助决策模型的调整后参数以及决策模型的调整后参数进行平均,得到平均后参数,基于平均后参数对决策模型的调整后参数进行更新。
在得到决策模型的更新后参数之后,通过决策模型,将决策模型的更新后参数反馈给每个辅助决策模型,以使每个辅助决策模型根据更新后参数,对每个辅助决策模型各自的调整后参数进行更新。之后,决策模型和每个辅助决策模型继续下一次迭代训练。另外,决策模型与辅助决策模型处于并行的训练环境。如图2所示。
在图2中,以一个决策模型,三个辅助决策模型为例,决策模型和辅助决策模型均包含评估子模型和策略子模型。决策模型和辅助决策模型的输入均是历史事件信息,决策模型和辅助决策模型的输出分别与工业控制系统进行交互,即,工业控制系统就是环境。另外,决策模型与辅助决策模型之间存在反馈通路,用于反馈模型参数。
另外,同样可以在辅助决策模型中增加循环神经网络训练得到的评分矩阵。
以上为本说明书实施例提供的工业控制系统的风控方法,基于同样的思路,本说明书还提供了相应的装置、存储介质和电子设备。
图3为本说明书实施例提供的一种工业控制系统的风控装置的结构示意图,所述装置包括:
采集模块301,用于采集所述工业控制系统中所有工业设备的事件信息;
确定风控策略模块302,用于将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略;
风控模块303,用于根据所述风控策略,对所述异常设备进行风控。
可选地,所述事件信息至少包括事件风险等级,所述确定风控策略模块302具体用于,根据所述事件信息中的事件风险等级,从所述工业控制系统中确定出出现异常的工业设备。
可选地,所述事件信息至少包括事件影响范围,所述确定风控策略模块302具体用于,通过所述决策模型中的评估子模型,根据所述异常设备的事件信息中的事件影响范围以及所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围,确定所述工业控制系统中所有工业设备的当前整体状态评分;
通过所述决策模型中的策略子模型,根据所有工业设备的事件信息,确定各候选风控策略,并针对每个候选风控策略,预估执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的预计下一事件信息;将所述预计下一事件信息输入所述评估子模型中,通过所述评估子模型输出执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分;以对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分大于所述当前整体状态评分为约束,从所述各候选风控策略中确定针对所述异常设备的风控策略。
可选地,所述确定风控策略模块302具体用于,根据所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度,确定所述异常设备的当前状态评分;根据所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述其他工业设备对于所述工业控制系统的重要程度,确定所述其他工业设备的当前状态评分;基于所述异常设备的当前状态评分以及所述其他工业设备的当前状态评分,确定所述工业控制系统中所有工业设备的当前整体状态评分。
可选地,所述确定风控策略模块302具体用于,基于所述事件信息中各事件数据与预设的模糊集中的各事件状态描述之间的对应关系,对所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度进行模糊化处理,得到所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述;所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述,确定所述异常设备对应的综合事件状态描述;基于所述异常设备对应的综合事件状态描述与设备状态评分的对应关系,对所述异常设备对应的综合事件状态描述进行去模糊化处理,得到所述异常设备的当前状态评分。
可选地,所述装置还包括训练模块304;
所述训练模块304用于,获取历史上所述工业控制系统中所有工业设备的历史事件信息;将所述历史事件信息输入待训练的决策模型,以通过所述决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第一风控策略;以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练。
可选地,在以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练之前,所述训练模块304还用于,将所述历史事件信息输入辅助决策模型中,以通过所述辅助决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第二风控策略;以执行所述第二风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述辅助决策模型的模型参数进行调整,得到所述辅助决策模型的调整后参数。
可选地,所述训练模块304具体用于,以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型的模型参数进行调整,得到所述决策模型的调整后参数;根据辅助决策模型反馈的所述辅助决策模型的调整后参数,对所述决策模型的调整后参数进行更新;其中,所述辅助决策模型是与决策模型的模型结构相同的模型。
可选地,所述训练模块304具体用于,通过所述决策模型的评估子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定历史上所述工业控制系统中所有工业设备的历史整体状态评分;通过所述决策模型的策略子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定针对所述历史异常设备的各目标风控策略;将所述历史整体状态评分输入所述决策模型的策略子模型中,以通过所述策略子模型,根据所述历史整体状态评分以及预先确定的执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分,从所有目标风控策略中选择出针对所述历史异常设备的第一风控策略;其中,执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分是由循环神经网络训练所得到的评分矩阵所确定的,所述评分矩阵用于表示针对每个事件策略组合,该事件策略组合与采用该事件策略组合中的目标风控策略进行风控后所得到的下一历史整体状态评分之间的对应关系,所述事件策略组合是指历史事件信息与目标风控策略之间的组合。
本说明书还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时可用于执行上述图1提供的工业控制系统的风控方法。
基于图1所示的工业控制系统的风控方法,本说明书实施例还提供了图4所示的电子设备的结构示意图。如图4,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1所述的工业控制系统的风控方法。
当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device, PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、系统或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (11)
1.一种工业控制系统的风控方法,其特征在于,所述工业控制系统中包含各工业设备,针对每个工业设备,该工业设备执行的风控策略影响所述工业控制系统中至少部分其他工业设备,包括:
采集所述工业控制系统中所有工业设备的事件信息;
将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略;
根据所述风控策略,对所述异常设备进行风控。
2.如权利要求1所述的方法,其特征在于,所述事件信息至少包括事件风险等级;
根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,具体包括:
根据所述事件信息中的事件风险等级,从所述工业控制系统中确定出出现异常的工业设备。
3.如权利要求1所述的方法,其特征在于,所述事件信息至少包括事件影响范围;
以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略,具体包括:
通过所述决策模型中的评估子模型,根据所述异常设备的事件信息中的事件影响范围以及所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围,确定所述工业控制系统中所有工业设备的当前整体状态评分;
通过所述决策模型中的策略子模型,根据所有工业设备的事件信息,确定各候选风控策略,并针对每个候选风控策略,预估执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的预计下一事件信息;
将所述预计下一事件信息输入所述评估子模型中,通过所述评估子模型输出执行该候选风控策略对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分;
以对所述异常设备进行风控后所述工业控制系统中所有工业设备的下一整体状态评分大于所述当前整体状态评分为约束,从所述各候选风控策略中确定针对所述异常设备的风控策略。
4.如权利要求3所述的方法,其特征在于,根据所述异常设备的事件信息中的事件影响范围以及所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围,确定所述工业控制系统中所有工业设备的当前整体状态评分,具体包括:
根据所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度,确定所述异常设备的当前状态评分;
根据所述工业控制系统中除所述异常设备以外的其他工业设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述其他工业设备对于所述工业控制系统的重要程度,确定所述其他工业设备的当前状态评分;
基于所述异常设备的当前状态评分以及所述其他工业设备的当前状态评分,确定所述工业控制系统中所有工业设备的当前整体状态评分。
5.如权利要求4所述的方法,其特征在于,根据所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度,确定所述异常设备的当前状态评分,具体包括:
基于所述事件信息中各事件数据与预设的模糊集中的各事件状态描述之间的对应关系,对所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度进行模糊化处理,得到所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述;
所述异常设备的事件信息中的事件影响范围、事件风险等级、事件发生频率以及所述异常设备对于所述工业控制系统的重要程度各自对应的事件状态描述,确定所述异常设备对应的综合事件状态描述;
基于所述异常设备对应的综合事件状态描述与设备状态评分的对应关系,对所述异常设备对应的综合事件状态描述进行去模糊化处理,得到所述异常设备的当前状态评分。
6.如权利要求1所述的方法,其特征在于,预先训练所述决策模型,具体包括:
获取历史上所述工业控制系统中所有工业设备的历史事件信息;
将所述历史事件信息输入待训练的决策模型,以通过所述决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第一风控策略;
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练。
7.如权利要求6所述的方法,其特征在于,在以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练之前,所述方法还包括:
将所述历史事件信息输入辅助决策模型中,以通过所述辅助决策模型,根据所述历史事件信息,确定出历史上所述工业控制系统中出现异常的历史异常设备,并根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第二风控策略;以执行所述第二风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述辅助决策模型的模型参数进行调整,得到所述辅助决策模型的调整后参数;
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型进行训练,具体包括:
以执行所述第一风控策略对所述历史异常设备进行风控后所述工业控制系统中除所述历史异常设备以外的其他工业设备的影响满足预设条件为训练目标,对所述决策模型的模型参数进行调整,得到所述决策模型的调整后参数;
根据辅助决策模型反馈的所述辅助决策模型的调整后参数,对所述决策模型的调整后参数进行更新;其中,所述辅助决策模型是与决策模型的模型结构相同的模型。
8.如权利要求6所述的方法,其特征在于,根据所述历史异常设备的历史事件信息,确定出针对所述历史异常设备的第一风控策略,具体包括:
通过所述决策模型的评估子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定历史上所述工业控制系统中所有工业设备的历史整体状态评分;通过所述决策模型的策略子模型,根据历史上所述工业控制系统中所有工业设备的历史事件信息,确定针对所述历史异常设备的各目标风控策略;
将所述历史整体状态评分输入所述决策模型的策略子模型中,以通过所述策略子模型,根据所述历史整体状态评分以及预先确定的执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分,从所有目标风控策略中选择出针对所述历史异常设备的第一风控策略;其中,执行每个目标风控策略对所述历史异常设备进行风控后所述工业控制系统中所有工业设备的下一历史整体状态评分是由循环神经网络训练所得到的评分矩阵所确定的,所述评分矩阵用于表示针对每个事件策略组合,该事件策略组合与采用该事件策略组合中的目标风控策略进行风控后所得到的下一历史整体状态评分之间的对应关系,所述事件策略组合是指历史事件信息与目标风控策略之间的组合。
9.一种工业控制系统的风控装置,其特征在于,包括:
采集模块,用于采集所述工业控制系统中所有工业设备的事件信息;
确定风控策略模块,用于将所述事件信息输入到预先训练的决策模型中,以通过所述决策模型,根据所述事件信息,确定出所述工业控制系统中出现异常的工业设备,作为异常设备,并以对所述异常设备进行风控后所述工业控制系统中除所述异常设备以外的其他工业设备的影响满足预设条件为约束,确定针对所述异常设备的风控策略;
风控模块,用于根据所述风控策略,对所述异常设备进行风控。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-8任一项所述的方法。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述权利要求1-8任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210499328.7A CN114638548B (zh) | 2022-05-09 | 2022-05-09 | 一种工业控制系统的风控方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210499328.7A CN114638548B (zh) | 2022-05-09 | 2022-05-09 | 一种工业控制系统的风控方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114638548A true CN114638548A (zh) | 2022-06-17 |
CN114638548B CN114638548B (zh) | 2022-09-30 |
Family
ID=81953265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210499328.7A Active CN114638548B (zh) | 2022-05-09 | 2022-05-09 | 一种工业控制系统的风控方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114638548B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105159240A (zh) * | 2015-07-23 | 2015-12-16 | 上海极熵数据科技有限公司 | 自动化工业设备的作业调度系统 |
US20180375892A1 (en) * | 2017-06-23 | 2018-12-27 | Ido Ganor | Enterprise cyber security risk management and resource planning |
CN110163766A (zh) * | 2019-04-23 | 2019-08-23 | 中国核电工程有限公司 | 一种核电厂异常处理策略的设计方法 |
CN110780660A (zh) * | 2019-10-14 | 2020-02-11 | 河南中烟工业有限责任公司 | 一种基于生产状态的烟草生产工业控制系统故障诊断方法 |
CN111080440A (zh) * | 2019-12-18 | 2020-04-28 | 上海良鑫网络科技有限公司 | 大数据风控管理系统 |
CN111562997A (zh) * | 2020-04-14 | 2020-08-21 | 深圳震有科技股份有限公司 | 一种媒体通道快速恢复方法、系统及存储介质 |
CN111818159A (zh) * | 2020-07-08 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 数据处理节点的管理方法、装置、设备及存储介质 |
CN114282864A (zh) * | 2021-12-20 | 2022-04-05 | 通威太阳能(成都)有限公司 | 一种调度方法和系统 |
CN114296456A (zh) * | 2021-12-29 | 2022-04-08 | 北京三快在线科技有限公司 | 一种网络训练以及无人驾驶设备的控制方法及装置 |
-
2022
- 2022-05-09 CN CN202210499328.7A patent/CN114638548B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105159240A (zh) * | 2015-07-23 | 2015-12-16 | 上海极熵数据科技有限公司 | 自动化工业设备的作业调度系统 |
US20180375892A1 (en) * | 2017-06-23 | 2018-12-27 | Ido Ganor | Enterprise cyber security risk management and resource planning |
CN110163766A (zh) * | 2019-04-23 | 2019-08-23 | 中国核电工程有限公司 | 一种核电厂异常处理策略的设计方法 |
CN110780660A (zh) * | 2019-10-14 | 2020-02-11 | 河南中烟工业有限责任公司 | 一种基于生产状态的烟草生产工业控制系统故障诊断方法 |
CN111080440A (zh) * | 2019-12-18 | 2020-04-28 | 上海良鑫网络科技有限公司 | 大数据风控管理系统 |
CN111562997A (zh) * | 2020-04-14 | 2020-08-21 | 深圳震有科技股份有限公司 | 一种媒体通道快速恢复方法、系统及存储介质 |
CN111818159A (zh) * | 2020-07-08 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 数据处理节点的管理方法、装置、设备及存储介质 |
WO2022007552A1 (zh) * | 2020-07-08 | 2022-01-13 | 腾讯科技(深圳)有限公司 | 处理节点的管理方法、配置方法及相关装置 |
CN114282864A (zh) * | 2021-12-20 | 2022-04-05 | 通威太阳能(成都)有限公司 | 一种调度方法和系统 |
CN114296456A (zh) * | 2021-12-29 | 2022-04-08 | 北京三快在线科技有限公司 | 一种网络训练以及无人驾驶设备的控制方法及装置 |
Non-Patent Citations (3)
Title |
---|
ABROON QAZI 等: "Evaluation of control strategies for managing supply chain risks using Bayesian Belief Networks", 《2015 INTERNATIONAL CONFERENCE ON INDUSTRIAL ENGINEERING AND SYSTEMS MANAGEMENT (IESM)》 * |
刘勤明: "基于状态监测信息的设备在线健康预测及维护优化研究", 《中国博士学位论文全文数据库 信息科技辑》 * |
张凌涵: "面向智能工业控制系统的安全策略研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114638548B (zh) | 2022-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Khan et al. | HML-IDS: A hybrid-multilevel anomaly prediction approach for intrusion detection in SCADA systems | |
Umer et al. | Machine learning for intrusion detection in industrial control systems: Applications, challenges, and recommendations | |
Zonouz et al. | RRE: A game-theoretic intrusion response and recovery engine | |
Li et al. | Machine learning‐based IDS for software‐defined 5G network | |
Yan et al. | LA‐GRU: Building Combined Intrusion Detection Model Based on Imbalanced Learning and Gated Recurrent Unit Neural Network | |
Suaboot et al. | A taxonomy of supervised learning for idss in scada environments | |
CN113965404A (zh) | 一种网络安全态势自适应主动防御系统及方法 | |
JP2021060987A (ja) | コンピュータネットワークにおけるデータ効率のよい脅威検出の方法 | |
Natarajan | Cyber secure man-in-the-middle attack intrusion detection using machine learning algorithms | |
Leite et al. | A hybrid and learning agent architecture for network intrusion detection | |
Liu et al. | Multi-step attack scenarios mining based on neural network and Bayesian network attack graph | |
CN116866084B (zh) | 基于强化学习的入侵响应决策方法及系统 | |
CN114638548B (zh) | 一种工业控制系统的风控方法、装置及电子设备 | |
Shafei et al. | A Comprehensive Review on Cyber-Attack Detection and Control of Microgrid Systems | |
Mohammadpourfard et al. | Real-time detection of cyber-attacks in modern power grids with uncertainty using deep learning | |
CN116991615A (zh) | 一种基于在线学习的云原生系统故障自愈方法及装置 | |
KR20210046423A (ko) | 머신러닝 기반 보안관제 장치 및 방법 | |
Dehghan et al. | Proapt: Projection of apt threats with deep reinforcement learning | |
Rouff et al. | Sok: Autonomic cybersecurity-securing future disruptive technologies | |
JP2004272879A (ja) | 物理学をベースにしたニューラルネットワーク | |
CN117389155B (zh) | 一种无人机集群的自适应故障检测方法及系统 | |
Renners et al. | Adaptive and intelligible prioritization for network security incidents | |
Lee et al. | Intelligent intrusion detection system | |
CN117787444B (zh) | 一种面向集群对抗场景的智能算法快速集成方法及装置 | |
Duell et al. | The Markov Decision Process Extraction Network. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |