CN115840926A - 一种工控系统未知威胁发现方法、系统、介质及设备 - Google Patents
一种工控系统未知威胁发现方法、系统、介质及设备 Download PDFInfo
- Publication number
- CN115840926A CN115840926A CN202211563647.6A CN202211563647A CN115840926A CN 115840926 A CN115840926 A CN 115840926A CN 202211563647 A CN202211563647 A CN 202211563647A CN 115840926 A CN115840926 A CN 115840926A
- Authority
- CN
- China
- Prior art keywords
- data
- industrial control
- unit
- preprocessing
- production
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开一种工控系统未知威胁发现方法、系统、介质及设备,其中,所述系统包括数据采集单元、数据预处理单元、数据分析单元、建模单元、融合单元和结果输出单元,数据采集单元与数据预处理单元通信连接,数据预处理单元与数据分析单元通信连接,数据分析单元分别与建模单元和融合单元通信连接,建模单元和融合单元分别与结果输出单元通信连接。本发明通过将生产数据与安全数据融合分析,建立二者之间的关联关系,然后通过二者的变化来发现未知的工控网络攻击行为,并预测未来制造质量和效率的变化情况。
Description
技术领域
本发明涉及工控技术领域,具体地说是一种工控系统未知威胁发现方法、系统、介质及设备。
背景技术
不同于传统网络攻击仅对信息系统和数据造成破坏,工控系统控制现实物理设备,通过对工控网络进行攻击,可以达成与传统物理空间攻击(甚至是火力打击)的等效作用——断能源、断管网、设备损坏、放毒、爆炸等。
智能制造领域安全风险及其事件危害和影响愈来愈大,而且工业控制设备所使用的设备厂商、操作系统、传输协议、计算机语言多样,现有安全防护产品仅能实现对部分工控设备的局部防护,造成安全防护与监管难度大。
发明内容
为此,本发明所要解决的技术问题在于提供一种工控系统未知威胁发现方法、系统、介质及设备,通过将生产数据与安全数据融合分析,建立二者之间的关联关系,然后通过二者的变化来发现未知的工控网络攻击行为,并预测未来制造质量和效率的变化情况。
为解决上述技术问题,本发明提供如下技术方案:
一种工控系统未知威胁发现方法,包括如下步骤:
S1)采集生产数据和安全数据;
S2)对步骤S1)中采集到生产数据和安全数据进行预处理,所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集;
S3)利用注意力机制对步骤S2)中构建的投影数据集进行训练分析,提取对应数据集的重要特征和建模,并生成对应矩阵;
S4)使用归一化均方根误差作为损失函数,并通过计算梯度,反向传播更新参数,反复迭代和训练得到基于注意力机制的深度学习模型;
S5)使用MCF融合不同投影面的向量和矩阵;其中,MCF为Mu l t i-moda l Ci rcul ant Fus i on,多模态循环融合;
S6)基于步骤S4)中得到的基于注意力机制的深度学习模型与步骤S5) 中不同投影面的向量和矩阵融合结果得出各工控检测向量间的关联关系,根据工控生产数据预测可能的网络攻击行为,以及工控网络攻击行为可能导致的业务影响面。
上述工控系统未知威胁发现方法,生产数据为与智能制造装备制造生产产品相关的数据信息。
上述工控系统未知威胁发现方法,安全数据包括智能制造装备输入输出接口的管控信息、输入至智能制造装备内的各类文件是否携带有病毒的数据信息与工控网络异常协议及指令。
上述工控系统未知威胁发现方法,在步骤S5)中,将不同投影面的向量和矩阵进行融合时,具体操作为:将向量的每一行都平移一个元素得到矩阵,以探索不同模态向量的所有可能交互,在得到矩阵之后再结合向量的原特征做交互。
工控系统未知威胁发现系统,包括:
数据采集单元,用于采集生产数据和安全数据;所述数据采集单元包括生产数据采集模块和安全数据采集模块;
数据预处理单元,用于对生产数据和安全数据进行预处理;所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集;
数据分析单元,用于利用注意力分析机制对数据预处理单元构建的投影数据集进行训练分析、提取对应数据集的重要特征和建模并生成对应矩阵;
建模单元,用于使用归一化均方根误差作为损失函数并通过计算梯度、反向传播更新参数、反复迭代和训练得到基于注意力机制的深度学习模型;
融合单元,用于使用MCF融合不同投影面的向量和矩阵;
结果输出单元,用于利用融合单元输出的融合结果以及深度学习模型得出各工控检测向量间的关联关系并根据工控生产数据预测可能的网络攻击行为以及工控网络攻击行为可能导致的业务影响面;
数据采集单元与数据预处理单元通信连接,数据预处理单元与数据分析单元通信连接,数据分析单元分别与建模单元和融合单元通信连接,建模单元和融合单元分别与结果输出单元通信连接。
计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述工控系统未知威胁发现方法。
计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,所述计算机程序被处理器执行时实现上述工控系统未知威胁发现方法。
本发明的技术方案取得了如下有益的技术效果:
1、基于生产制造的最终目标——生产功能安全,融合生产制造过程数据分析,发现未知工控网络攻击行为。
2、分析制造生产质量和效率,与制造装备(含控制器型号)、制造过程、控制指令及序列等之间的关系,预测未来制造质量和效率的变化情况。
附图说明
图1为本发明中工控系统未知威胁发现系统的工作原理图;
图2为工控系统未知威胁发现系统发现工控系统未知威胁的流程图;
图3为注意力机制原理图;
图4为工控系统未知威胁发现处理的计算机设备原理图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,工控系统未知威胁发现系统,包括:
数据采集单元,用于采集生产数据和安全数据;所述数据采集单元包括生产数据采集模块和安全数据采集模块;
数据预处理单元,用于对生产数据和安全数据进行预处理;所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集;
数据分析单元,用于利用注意力分析机制对数据预处理单元构建的投影数据集进行训练分析、提取对应数据集的重要特征和建模并生成对应矩阵;
建模单元,用于使用归一化均方根误差作为损失函数并通过计算梯度、反向传播更新参数、反复迭代和训练得到基于注意力机制的深度学习模型;
融合单元,用于使用MCF融合不同投影面的向量和矩阵;
结果输出单元,用于利用融合单元输出的融合结果以及深度学习模型得出各工控检测向量间的关联关系并根据工控生产数据预测可能的网络攻击行为以及工控网络攻击行为可能导致的业务影响面;
数据采集单元与数据预处理单元通信连接,数据预处理单元与数据分析单元通信连接,数据分析单元分别与建模单元和融合单元通信连接,建模单元和融合单元分别与结果输出单元通信连接。
如图2所示,利用上述工控系统未知威胁发现系统对工控系统内未知威胁进行识别判断的具体步骤为:
S1)采集生产数据和安全数据;
S2)对步骤S1)中采集到生产数据和安全数据进行预处理,所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集,工控设备的相关属性具体包括智能制造装备厂商型号、加工的目标产品、工序特点等;
S3)利用注意力机制对步骤S2)中构建的投影数据集进行训练分析,提取对应数据集的重要特征和建模,并生成对应矩阵;
S4)使用归一化均方根误差作为损失函数,并通过计算梯度,反向传播更新参数,反复迭代和训练得到基于注意力机制的深度学习模型;
S5)使用MCF融合不同投影面的向量和矩阵;将不同投影面的向量和矩阵进行融合时,具体操作为:将向量的每一行都平移一个元素得到矩阵,以探索不同模态向量的所有可能交互,在得到矩阵之后再结合原特征做交互;其中,投影面为网络安全、产品误差、生产顺序、装备执行异常等观测角度形成的投影面;
S6)基于步骤S4)中得到的基于注意力机制的深度学习模型与步骤S5) 中不同投影面的向量和矩阵融合结果得出各工控检测向量间的关联关系,根据工控生产数据预测可能的网络攻击行为,以及工控网络攻击行为可能导致的业务影响面。
其中,生产数据为与智能制造装备制造生产产品相关的数据信息,如智能制造装备运行、待机、报警、调试、空闲等状态信息,以及持续时长、机床当前的加工坐标、正在加工的程序号、机床当前使用的刀具号、实时转速、进给倍率、进给量、实时负载、相对坐标、绝对坐标、机械坐标、剩余移动量等信息;安全数据包括智能制造装备输入输出接口的管控信息、输入至智能制造装备内的各类文件是否携带有病毒的数据信息与工控网络异常协议及指令,如网口、RS232/RS485串口、USB端口等接口的异常检测信息。
在步骤S5)中,将向量的每一行都平移一个元素得到矩阵,在得到矩阵之后再结合原特征做交互,简单举例说明一下,以V和C为注意力范围和文本特征,则有:
A=circ(V)
B=circ(C)
其中,A为注意力范围特征矩阵,B为文本特征矩阵;
得到矩阵之后再结合向量原特征做交互:
其中,G为文本特征加权求和均值,F为注意力范围特征加权求和均值, d为文本特征数量,a为权重系数。在得到矩阵之后再结合向量原特征做交互时,基于G求出各个文本特征对应的a的值,然后在利用a的值求出各个注意力范围特征对应的F值。
如图3所示,注意力机制原理:
将Source(即为文本特征)各数据集中的构成元素想象成是由一系列的 <Key,Val ue>数据对构成,此时给定Target中的某个元素Query,通过计算 Query(投影面)和各个Key(参数标签)的相似性或者相关性,得到每个Key 对应Va l ue(参数值)的权重系数,然后对Va l ue进行加权求和,即得到了最终的Attent i on数值。所以本质上Attent i on机制是对Source中元素的Va l ue 值进行加权求和,而Query和Key用来计算对应Va l ue的权重系数a。即可以将其本质思想改写为如下公式:
其中,Lx=||Source||代表Source的长度,公式含义即如上所述。因为在计算Attent ion的过程中,Source中的Key和Va l ue合二为一,指向的是同一个东西,也即输入工控生产、安全等相关事件中每个日志条目对应的语义编码,所以可能不容易看出这种能够体现本质思想的结构。注意力机制可从大量信息中有选择地筛选出少量重要信息并聚焦到这些重要信息上,忽略大多不重要的信息。聚焦的过程体现在权重系数的计算上,权重越大越聚焦于其对应的Va l ue值上,即权重代表了信息的重要性,而Va l ue是其对应的生产日志、安全检测日志中某个条目的具体数值。
在实际应用中,工控设备的用户最为关心的是影响工控系统正常运行和生产的各种参数,包括机器的转数、工件的精度等,但有时候无法知道是何种原因导致设备运转异常,所以不同的数据采集和检测项里,对于各种属性与异常结果的关联性是不同权重的(机床进刀量会直接影响产品精度,权重较高;而电机转数同样会影响产品精度,权重较低)。但该权重具体是8:2还是7:3或其他数值,在对于加工不同工件,甚至不同的加工过程(打孔、表面切削等),都有不同的权重。在本发明中,将生产数据和安全数据进行关联,并确定不同生产数据与不同安全数据之间的关联关系,在根据这个关联关系来依据工控生产数据预测可能的网络攻击行为以及工控网络攻击行为可能导致的业务影响,进而有利于用户能够有针对性地快速解决工控网络攻击行为带来的问题。
基于上述工控系统未知威胁发现方法,相应的,本实例中还提供一种存储有计算机程序的计算机可读存储介质,该计算机程序被处理器执行时实现如下步骤:采集生产数据和安全数据,然后对生产数据和安全数据进行预处理,再利用注意力介质对预处理结果进行训练分析并提取预处理结果的重要特征与建模,然后生成相应的矩阵,再使用归一化均方根误差作为损失函数,并通过计算梯度,反向传播更新参数,反复迭代和训练得到基于注意力机制的深度学习模型,然后使用MCF融合不同投影面的向量和矩阵,最后基于深度学习模型与不同投影面的向量和矩阵融合结果得出各工控检测向量间的关联关系,根据工控生产数据预测可能的网络攻击行为,以及工控网络攻击行为可能导致的业务影响面。
如图4所示,基于上述工控系统未知威胁发现方法以及计算机可读存储介质,本实施例中,还提供了一种计算机设备,其包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其中可读存储介质与处理器均设置在总线上,处理器执行计算机程序时实现如下步骤:采集生产数据和安全数据,然后对生产数据和安全数据进行预处理,再利用注意力介质对预处理结果进行训练分析并提取预处理结果的重要特征与建模,然后生成相应的矩阵,再使用归一化均方根误差作为损失函数,并通过计算梯度,反向传播更新参数,反复迭代和训练得到基于注意力机制的深度学习模型,然后使用MCF融合不同投影面的向量和矩阵,最后基于深度学习模型与不同投影面的向量和矩阵融合结果得出各工控检测向量间的关联关系,根据工控生产数据预测可能的网络攻击行为,以及工控网络攻击行为可能导致的业务影响面。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (7)
1.一种工控系统未知威胁发现方法,其特征在于,包括如下步骤:
S1)采集生产数据和安全数据;
S2)对步骤S1)中采集到生产数据和安全数据进行预处理,所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集;
S3)利用注意力机制对步骤S2)中构建的投影数据集进行训练分析,提取对应数据集的重要特征和建模,并生成对应矩阵;
S4)使用归一化均方根误差作为损失函数,并通过计算梯度,反向传播更新参数,反复迭代和训练得到基于注意力机制的深度学习模型;
S5)使用MCF融合不同投影面的向量和矩阵;
S6)基于步骤S4)中得到的基于注意力机制的深度学习模型与步骤S5)中不同投影面的向量和矩阵融合结果得出各工控检测向量间的关联关系,根据工控生产数据预测可能的网络攻击行为,以及工控网络攻击行为可能导致的业务影响面。
2.根据权利要求1所述的工控系统未知威胁发现方法,其特征在于,生产数据为与智能制造装备制造生产产品相关的数据信息。
3.根据权利要求1所述的工控系统未知威胁发现方法,其特征在于,安全数据包括智能制造装备输入输出接口的管控信息、输入至智能制造装备内的各类文件是否携带有病毒的数据信息与工控网络异常协议及指令。
4.根据权利要求1~3任一所述的工控系统未知威胁发现方法,其特征在于,在步骤S5)中,将不同投影面的向量和矩阵进行融合时,具体操作为:将向量的每一行都平移一个元素得到矩阵,以探索不同模态向量的所有可能交互,在得到矩阵之后再结合向量的原特征做交互。
5.工控系统未知威胁发现系统,其特征在于,包括:
数据采集单元,用于采集生产数据和安全数据;所述数据采集单元包括生产数据采集模块和安全数据采集模块;
数据预处理单元,用于对生产数据和安全数据进行预处理;所述预处理为依据工控设备的相关属性、生产数据和安全数据构建不同维度的投影数据集;
数据分析单元,用于利用注意力分析机制对数据预处理单元构建的投影数据集进行训练分析、提取对应数据集的重要特征和建模并生成对应矩阵;
建模单元,用于使用归一化均方根误差作为损失函数并通过计算梯度、反向传播更新参数、反复迭代和训练得到基于注意力机制的深度学习模型;
融合单元,用于使用MCF融合不同投影面的向量和矩阵;
结果输出单元,用于利用融合单元输出的融合结果以及深度学习模型得出各工控检测向量间的关联关系并根据工控生产数据预测可能的网络攻击行为以及工控网络攻击行为可能导致的业务影响面;
数据采集单元与数据预处理单元通信连接,数据预处理单元与数据分析单元通信连接,数据分析单元分别与建模单元和融合单元通信连接,建模单元和融合单元分别与结果输出单元通信连接。
6.计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~4中任一所述的工控系统未知威胁发现方法。
7.计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~4中任一所述的工控系统未知威胁发现方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211563647.6A CN115840926A (zh) | 2022-12-07 | 2022-12-07 | 一种工控系统未知威胁发现方法、系统、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211563647.6A CN115840926A (zh) | 2022-12-07 | 2022-12-07 | 一种工控系统未知威胁发现方法、系统、介质及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115840926A true CN115840926A (zh) | 2023-03-24 |
Family
ID=85578215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211563647.6A Pending CN115840926A (zh) | 2022-12-07 | 2022-12-07 | 一种工控系统未知威胁发现方法、系统、介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115840926A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166484A (zh) * | 2019-06-06 | 2019-08-23 | 中国石油大学(华东) | 一种基于LSTM-Attention网络的工业控制系统入侵检测方法 |
CN113162893A (zh) * | 2020-09-29 | 2021-07-23 | 国网河南省电力公司电力科学研究院 | 基于注意力机制的工业控制系统网络流量异常检测方法 |
-
2022
- 2022-12-07 CN CN202211563647.6A patent/CN115840926A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166484A (zh) * | 2019-06-06 | 2019-08-23 | 中国石油大学(华东) | 一种基于LSTM-Attention网络的工业控制系统入侵检测方法 |
CN113162893A (zh) * | 2020-09-29 | 2021-07-23 | 国网河南省电力公司电力科学研究院 | 基于注意力机制的工业控制系统网络流量异常检测方法 |
Non-Patent Citations (1)
Title |
---|
朱家英 等: "基于动态注意力机制和多模态循环融合的帕金森氏症识别", 计算机应用研究HTTPS://KNS.CNKI.NET/KCMS/DETAIL/51.1196.TP.20220916.0929.009.HTML, pages 1 - 10 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113392402B (zh) | 一种基于模糊测试的电力物联网协议漏洞检测系统及方法 | |
CN105763392B (zh) | 一种基于协议状态的工控协议模糊测试方法 | |
CN111614491B (zh) | 一种面向电力监控系统安全态势评估指标选取方法及系统 | |
CN107391598A (zh) | 一种威胁情报自动生成方法及系统 | |
CN108600195A (zh) | 一种基于增量学习的快速工控协议格式逆向推断方法 | |
CN113067798B (zh) | Ics入侵检测方法、装置、电子设备和存储介质 | |
CN116366376B (zh) | 一种apt攻击溯源图分析方法 | |
CN111200530A (zh) | 一种基于kpi指标进行根因分析的方法及装置 | |
CN114721336A (zh) | 一种仪控系统工艺参数的信息安全事件预警方法 | |
CN113516565A (zh) | 一种基于知识库的电力监控系统告警智能处理方法及其装置 | |
CN115981902A (zh) | 一种细粒度分布式微服务系统异常根因定位方法及装置 | |
CN113098888A (zh) | 异常行为预测方法、装置、设备及存储介质 | |
Chen et al. | Exploiting local and global invariants for the management of large scale information systems | |
CN107579944A (zh) | 基于人工智能和MapReduce安全攻击预测方法 | |
CN115840926A (zh) | 一种工控系统未知威胁发现方法、系统、介质及设备 | |
CN116991743A (zh) | 一种基于协议逆向的工控设备黑盒模糊测试方法 | |
CN111967003A (zh) | 基于黑盒模型与决策树的风控规则自动生成系统及方法 | |
CN114523337A (zh) | 一种刀具磨损状态识别方法、装置、电子设备及存储介质 | |
CN109754159B (zh) | 一种电网运行日志的信息提取方法及系统 | |
Eid et al. | IIoT network intrusion detection using machine learning | |
Chen et al. | AI BOX: Artificial intelligence-based autonomous abnormal network traffic response mechanism | |
CN116150666B (zh) | 储能系统故障检测方法、装置及智能终端 | |
CN117540372B (zh) | 智能学习的数据库入侵检测与响应系统 | |
KR102555371B1 (ko) | M-svdd 기법을 이용한 스마트 공장의 이상 징후 탐지 시스템 및 그 방법 | |
CN116915459A (zh) | 一种基于大语言模型的网络威胁分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |