CN116700197A - 一种工控监测分析预警系统及分析预警处理方法 - Google Patents

Abstract

本申请提供一种工控监测分析预警系统及其分析预警方法，包括工控监测项目模块、采样模块、预警模块和分析模块；所述工控监测项目模块中设置有工控监测项目，能够根据具体需求对工控监测项目进行选择，所述工控监测项目包括功能应用对应的功能防护节点段；所述采样模块能够对工控监测项目中的功能防护节点段在对应的采样点进行采样；所述预警模块通过获得各功能防护节点段的采样数据获得预警记录，根据预警记录对功能防护节点段的采样频率进行调整；在采样频率进行调整后，所述分析模块根据获得的预警记录对工控监测项目中功能应用的风险趋势进行判断。本申请提高了预警的准确性，安全性和稳定性。

Description

一种工控监测分析预警系统及分析预警处理方法

技术领域

本申请涉及工控监测分析预警系统领域，尤其涉及一种工控监测分析预警系统及分析预警处理方法。

背景技术

现有技术中，工业控制系统是由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统。

工业控制系统通常简称工控系统。

工控系统通常分为离散制造类和过程控制类两大类，控制系统包括SCADA 系统、分布式控制系统(DCS) 、过程控制系统(PCS) 、可编程逻辑控制器(PLC) 、远程终端(RTU)、数控机床及数控系统等。

工业控制系统一般采用数据采集与监视对远程分布运行的设备进行监控，功能主要包括数据采集、参数测量和调节，工控通信网络是各种工业控制设备及组成单元的连接器，传统工业通信网络一般采取专用的协议来构建，形成封闭网络，常见的工控专用协议有OPC 、Modbus 、DNP3 等，工业通信网络类型有 DCS 主控网络、SCADA 远程网络、现场控制级通信网络等类型。

随着互联网技术的应用发展，TCP/IP 协议也逐步应用到工业控制系统，如智能设备、智能楼宇、智能工厂等控制系统。

工控系统防护类型技术产品较多，典型技术产品有工控防火墙、工控加密、工控用户身份认证、工控可信计算、系统安全加固以及工控现场监控等，对此不做赘述。

研究发现，在控制监控系统（或称工控现场）的监控过程中，往往是在大量数据出现异常时，经过多次报警，再由人工或者系统判断，再对异常情况做出判断，这就会使很多情况在初现端倪时无法被系统及时觉察，也就无法提前做出干涉反馈的处理，直到出现明显异常情况才能得到重视和处理，这就可能会使产品和设备发生异常的风险情况大大加强；

对此，为尽早判断异常风险并对异常风险进行初步处理，避免发生后期严重问题，快速掌握数据变化趋势，则需要提供一种方法来获取更多更合适的采样数据，用于能够及时判断对该功能防护节点段的功能发生风险；同时，当判断到某一功能防护节点段的异常风险较高时，异常可能会影响该功能的情况下，则需要以更方便、合理的方式获取更多的预警数据信息来进行进一步甄别，以便筛选到更多的必要数据，能够及时判断该功能发生风险。

而基于常规监控方法并不能完成上述技术任务。

发明内容

以下描述用于揭露本发明以使本领域技术人员能够实现本发明。

以下描述中的优选实施例只作为举例，本领域技术人员可以想到其他显而易见的变型。

在以下描述中界定的本发明的基本原理可以应用于其他实施方案、变形方案、改进方案、等同方案以及没有背离本发明的精神和范围的其他技术方案。

为了解决问题，本申请提供一种工控监测分析预警系统，包括工控监测项目模块、采样模块、预警模块和分析模块；

所述工控监测项目模块中设置有工控监测项目，能够根据具体需求对工控监测项目进行选择，所述工控监测项目包括功能应用对应的功能防护节点段；

所述采样模块能够对工控监测项目中的功能防护节点段在对应的采样点进行采样；

所述预警模块通过获得各功能防护节点段的采样数据获得预警记录，根据预警记录对功能防护节点段的采样频率进行调整；

在采样频率进行调整后，所述分析模块根据获得的预警记录对工控监测项目中功能应用的风险趋势进行判断。

其中，优选的，所述工控监测项目的分类类型包括节点功能异常反馈等级监测项目。

其中，优选的，在节点功能异常反馈等级监测项目中根据其功能应用设置的功能防护节点段包括现场检测终端监测节点段、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段和OT网络通信监测节点段。

本申请还提供一种使用如上所述的工控监测分析预警系统的分析预警处理方法，其步骤包括：S1，设置被选择工控监测项目A包括m个功能防护节点段AD，其中，AD={AD₁，AD₂，AD₃，…，AD_m}，设置第i功能防护节点段AD_i的初始采样频率为η_i，预警阈值为C_i；S2，使用设置在功能防护节点段AD_i的采样点UI以初始采样频率η_i进行采样，其中，功能防护节点段AD_i包括n个采样点UI，UI={ UI₁，UI₂，UI₃，…，UI_n}，设置在功能防护节点段AD_i的第j个采样点UI _j在采样时间T_j获取到采样值C_j，当C_j≥C_i时发生采样预警，生成功能防护节点段AD_i的预警记录，其中，所述预警记录包括发生采样预警的功能防护节点段、采样点、采样时间以及采样值；S3，设置项目A的第i功能防护节点段AD_i的初始采样频率η_i，第一自测时间段T1的预警计数阈值为NUM1₀，根据预警阈值C_i，获取功能防护节点段AD_i的n个采样点在第一自测时间段T1共生成的k1个预警记录E1，其中，预警记录E1包括d个去重采样点UE（2≤d≤n），UE={UE₁，UE₂，UE₃，…，UE_d}，其中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1，当k1＜NUM1₀时，转入步骤S2；当k1≥NUM1₀时，将功能防护节点段AD_i的初始采样频率η_i调整为监测频率η_i’，，对功能防护节点段AD_i的n个采样点以η_i’进行采样，转入步骤S4；

S4，在第二自测时间段T2共获得r个预警记录E2，E2={ E2₁，E2₂，E2₃，…，E2_r}，设置其中第z2个预警记录E2_z2中发生预警的采样点为U_z2，发生预警的采样值为C_z2，获得功能防护节点段AD_i的在第二自测时间段T₂的风险分数F，获得第二自测时间段T₂的风险分数F =；其中，△C _z2为发生预警的采样值C_z2与预警阈值C_i的差值，/>为第二自测时间段T2的r个预警记录E2中发生预警的采样值C_z2与预警阈值C_i的差值之和；

S5，设置功能防护节点段AD_i在第二自测时间段T₂的风险分数最小值为F_min，风险分数最大值F_max；

当F≤F_min时，将功能防护节点段AD_i的采样频率由监测频率η_i’ 调整为初始采样频率η_i，转入步骤S3；

当F_min＜F＜F_max时，对功能防护节点段AD_i的n个采样点以η_i’进行采样_i，重复步骤S4；

当F≥F_max时，判断功能防护节点段AD_i发生具有发生风险趋势，对功能防护节点段AD_i进行风险预警。

其中，在步骤S3中，设置第一自测时间段的预警记录中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1，占比阈值为Q₀；

获得采样点U_z1在第一自测时间段的预警记录中的占比Q₁；

Q₁≤Q₀时，使用采样点U_z1的可靠系数ω_z1进行计算；

Q₁＞Q₀时，则对该采样点U_z1的可靠系数ω_z1进行调整，获得调整后的可靠系数ω_z1’=ω_z1 -（Q₁-Q₀），使用采样点U_z1调整后的可靠系数ω_z1’进行计算。

其中，在步骤S4中，所述第二自测时间段T2在第一自测时间段完成以后。

其中，在步骤S4中，所述第二自测时间段T2完全包括第一自测时间段T1或者部分包括第一自测时间段T1。

本申请实现的有益效果如下：

用户根据需要对工控监测项目模块中的项目进行选择，被选择的项目能够实现若干功能应用，通过获取被选择的项目的实时监测数据，掌握数据变化趋势，对可能会产生的异常情况进行提前预警，或者使用辅助手段在异常情况发生质变前进行干预处理，从而能够避免影响整体工业现场的生产和维护的异常情况的发生，避免造成巨大经济损失，同时也能保证产品质量，提高安全度。

当某一功能防护节点段的预警次数提高时，说明该功能防护节点段的异常风险提高，本次异常可能会影响该系统功能，因此需要更多的获取预警数据信息来进行进一步甄别，相应的提高该功能防护节点段的采样频率，获取更多的采样数据以便筛选到更多的预警数据，通过上述方式动态调整采样频率能够及时判断对该功能防护节点段的功能发生风险，进行提前预警。

本申请克服了多数机理模型仅为简化的线性系统，能够对非线性、自由度较高以及多变量耦合的复杂情况进行判断，触发速度快，成本较低，预警的启动和恢复都十分迅速，应用范围广。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请一种工控监测分析预警系统及分析预警处理方法的流程图。

具体实施方式

下面结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。

基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

设备预警和状态监测根据设备运行规律或观测得到的可能性前兆，在设备真正发生故障之前，及时预报设备的异常状况，采取相应的措施，从而最大程度的降低设备故障所造成的损失。

随着设备装置和工程控制系统的规模和复杂性日益增大，为保证生产过程的安全平稳，通过可靠的状态监控技术及时有效的监测和诊断过程异常就显得尤为迫切和重要。

现有的预警技术主要分为三大类：基于机理模型的方法、基于知识的方法和基于数据驱动的方法。

基于机理模型的方法是通过设备运行机理建立精确的数学模型来估计系统输出，并将之与实际测量值比较，基于知识的方法主要以相关专家和操作人员的启发性经验知识为基础，定性或定量描述过程中各单元之间的连接关系、故障传播模式等，在设备出现异常征兆后通过推理、演绎等方式模拟过程专家在监测上的推理能力，从而自动完成设备故障预警和设备监测。

该类方法无需精确的数学模型，但对专家知识有较强的依赖性，常用的方法主要包括专家系统、故障决策树、有向图、模糊逻辑等。

基于数据驱动的方法通过挖掘过程数据中的内在信息建立数学模型和表达过程状态，根据模型来实施过程的有效监测。

随着智能化仪表和计算机存储技术的广泛应用，海量的过程数据得以有效地监测、收集和存储，而该类方法正是基于这样的海量数据，包括贝叶斯分类器，神经网络，支持向量机，k最近邻算法，聚类算法，主成分分析等算法。

本申请的设计构思是把物理认识与监控系统结合起来，通过分析来进行故障预警的方式，以达到更优化的预警效率和效果；

实施例一

具体的，本申请实施例一提供一种工控监测分析预警系统及分析预警处理方法，其中，所述工控检测分析预警系统包括工控监测项目模块、采样模块、预警模块以及分析模块。

所述工控监测项目模块中设置有工控监测项目，能够根据具体需求对工控监测项目进行选择，所述工控监测项目包括功能应用对应的功能防护节点段；

所述采样模块能够对工控监测项目中的功能防护节点段在对应的采样点进行采样；

所述预警模块通过获得各功能防护节点段的采样数据获得预警记录，根据预警记录对功能防护节点段的采样频率进行调整；

在采样频率进行调整后，所述分析模块根据获得的预警记录对工控监测项目中功能应用的风险趋势进行判断。

其中，优选的，所述工控监测项目的分类类型包括节点功能异常反馈等级监测项目。

其中，优选的，在节点功能异常反馈等级监测项目中根据其功能应用设置的功能防护节点段包括现场检测终端监测节点段、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段和OT网络通信监测节点段。

现场检测终端监测节点段（现场检测终端是安装在现场的直接检测用的仪表终端，例如现场监测仪表端）、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段、OT网络通信监测节点段；

HMI工控机监测节点段：即HMI人机交互接口，其主要构成是“人机显示界面以及工控机操作控制系统”，HMI工控机监测节点段可以监测其自身的工控机操作控制系统受到的网络入侵，并对其基本功能运行造成的损害进行评估，得到节点功能异常反馈等级。

PLC控制器监测节点段：利用可编程逻辑控制器实现自身的受攻击监测，其中，PLC控制器专为工业控制而设计的专用控制器，依赖逻辑代码块在开销非常小的情况下操控工控设备。

RTU：远程终端装置，工控设备与工控网络物理距离较远时维持通讯，具有远程通信以及远程控制功能。

智能IED模块采用智能IED构成，智能IED，即智能电子设备，包括智能传感器、智能变压器、智能断路器等等；

上述OT网络是用于连接生产现场设备与系统，其采用自有专用工业协议(例如Modbus或者其他工控协议，对此不做赘述)实现自动控制的通讯网络。

目前的工业网络几乎都在原有的OT网络基础上构建，IT网络与OT网络共同存在、还有一定的交融，例如Modubus TCP，便是传统OT网络协议的可路由变种。

由此在工控网络中引出一个概念“可路由”，“不可路由”。

其边界通常在监控网(SCADA为核心)与控制系统之间。

本发明实施例提供的工控监测分析预警系统，其通过接入底层工控网络，具体通过对整个工控网络进行划分，形成多个节点段，然后对节点段不同的功能异常运行进行监测，设置采样的频率以及监测逻辑，最终通过功能异常监测识别网络入侵情况从而实现监控处理。

需要说明的是，所述工控监测项目模块中包括有若干能够实现工控监测的项目，例如节点功能异常反馈等级监测等或者其他监测项目；

在本系统中用户能够根据具体需求对项目进行选择，例如在用于对整个工业现场进行设备功能异常的工控监测分析预警系统中，需要根据具体情况对节点功能异常反馈等级等项目进行数据监测和数据分析，系统能够通过获取被选择的项目的实时监测数据，掌握数据变化趋势，对可能会产生的异常情况进行提前预警，或者使用辅助手段在异常情况发生质变前进行干预处理，从而能够避免影响整体工业现场的生产和维护的异常情况的发生，避免造成巨大经济损失，同时也能保证产品质量，提高安全度。

首先来说，功能防护节点段包括现场检测终端监测节点段、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段和OT网络通信监测节点段；上述整个工业现场的架构是由现场检测终端、PLC控制器、RTU端、智能IED模块、HMI工控机和OT网络通信端构成的，对此上述节点设备都具有各自的运行功能，然而当工业系统被入侵后，就可能会造成对各个节点设备进行侵扰，包括篡改设备底层参数（例如：篡改设备底层参数是主要针对现场检测终端和PLC控制器、智能IED模块）、篡改检测数据（例如针对HMI工控机监测节点段）以及截取通信数据以及造成通信异常（主要包括对OT网络通信端造成攻击导致通信速率下降等异常）；

通过上述方案分析可知，各个节点段都有自己的功能，同时日常情况下也会面临设备故障以及设备运行异常等问题，然而进一步的研究发现，设备节点本身具有自检以及运行程序，一旦遭到入侵攻击就会导致其会面临更多的功能异常（会引发更多的设备故障以及设备运行异常报警等等），对此说，对于各个功能节点段都需要进行异常运行监测，并且每个节点设备都设置有自身异常运行监测功能，并对自身的功能运行异常进行评级，得到一个反映节点功能异常反馈等级的实时变化数值，因此说节点功能异常反馈等级是一个实时变化数值；

具体地，现场检测终端可能因为本身设备故障造成了功能异常，也会因为工控入侵造成了功能异常，同时其功能异常还可以分为多个采样类型，例如检测范围异常，检测数值不变动异常等等；同时OT网络通信端对其进行流量数据的深度分析，例如对Modbus（也可以是S7、Profinet、OPC、DNP3等工控协议）进行解析，能够实时发现工业网络中的异常行为，并且能够产生告警（同时也能够监测其工控协议执行异常等问题），也可以监测到网络传输速率下降等功能异常情况，这样就可以针对OT网络通信端进行多种采样类型的不同功能异常进行监测；

用户根据需要对工控监测项目模块中的项目进行选择，被选择的项目能够实现若干功能应用，一般是通过设置功能采样段路实现对应的功能应用；

例如，对整个工业现场进行工控监测过程中，在工控监测项目模块中选择A设备功能监测项目，对A设备功能监测项目中能够实现的功能对应的功能分段的节点段开启采样监控；本实施例中，A设备功能监测项目根据其功能应用共包括有6个功能防护节点段，分别为A1为现场检测终端监测节点段、A2为PLC控制器监测节点段、A3为RTU监测节点段、A4为智能IED模块监测节点段、A5为HMI工控机监测节点段，A6为OT网络通信监测节点段；

其中，A1、A2、A3、A4、A5、A6，根据各个节点段的不同运行功能监测的重要性设置功能防护节点段的初始采样频率；

所述采样模块用于各节点段的数据值，例如，在A1现场检测终端监测节点段设置有4个采样点A11、A12、A13、A14，根据历史数据获得4个采样点的可靠系数ω₁₁=0.5、ω₁₂==0.6、ω₁₃==0.6、ω₁₄==0.6；为对A1现场检测终端监测节点段的每个采样点A11、A12、A13、A14以1小时/次的初始采样频率对设备功能进行采样，则在5月17日8:00-5月17日20:00在A1现场检测终端监测节点段能够获得12*4=48个设备功能采样数据。

所述预警模块中设置有每个节点段的预警等级阈值，当功能防护节点段采样点获取到的采样的节点功能异常反馈等级超过预警等级阈值时，将该次采样做为该功能防护节点段的预警记录保存在预警模块中。

所述预警记录发生预警的功能防护节点段、发生预警的采样点、发生预警的采样时间以及发生预警的采样值。

具体的，例如，设置A1现场检测终端监测节点段的预警等级阈值为40级，当采样点A11、A12、A13、A14中采样到的节点功能异常反馈等级低于预警等级阈值40级时，发生预警，将该次采样做为一次预警记录，在本实施例中，获取第一自测时间段（12小时），也即5月17日8:00-5月17日20:00在A1现场检测终端监测节点段能够获得的48个设备功能采样数据中共包括6次预警记录，分别为5月17日16:00\A11\ 30级（即节点功能异常反馈等级为30级）、5月17日17:00\A11\35级、5月17日19:00\A11\30级、5月17日16:00\A12\35级、5月17日16:00\A14\36级、5月17日20:00\A11\34级；

预警模块通过获得各个功能防护节点段的预警数据，能够对各个功能防护节点段的采样频率进行调整；

具体的，当某一功能防护节点段的预警次数提高时，说明该功能防护节点段的异常风险提高，本次异常可能会影响该系统功能，因此需要更多的获取预警数据信息来进行进一步甄别，因此，当该功能防护节点段在第一自测时间段发生的预警次数不超过预警计数阈值时，说明风险情况不明显，则以初始采样频率继续进行采样监控，则相应的提高该功能防护节点段的采样频率，获取更多的采样数据以便筛选到更多的预警数据。

实施例二

本发明实施例二提供了一种使用实施例一工控监测分析预警系统的分析预警处理方法，其步骤包括：S1，设置被选择工控监测项目A包括m个功能防护节点段AD，其中，AD={AD₁，AD₂，AD₃，…，AD_m}，设置第i功能防护节点段AD_i的初始采样频率为η_i，预警阈值为C_i；S2，使用设置在功能防护节点段AD_i的采样点UI以初始采样频率η_i进行采样；其中，功能防护节点段AD_i包括n个采样点UI，UI={ UI₁，UI₂，UI₃，…，UI_n}，设置在功能防护节点段AD_i的第j个采样点UI _j在采样时间T_j获取到采样值C_j，当C_j≥C_i时发生采样预警，生成功能防护节点段AD_i的预警记录；其中，所述预警记录包括发生采样预警的功能防护节点段、采样点、采样时间以及采样值；S3，设置项目A的第i功能防护节点段AD_i的初始采样频率η_i，第一自测时间段T1的预警计数阈值为NUM1₀，根据预警阈值C_i，获取功能防护节点段AD_i的n个采样点在第一自测时间段T1共生成的k1个预警记录E1，其中，预警记录E1包括d个去重采样点UE（2≤d≤n），UE={ UE₁，UE₂，UE₃，…，UE_d}，其中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1，当k1＜NUM1₀时，转入步骤S2；当k1≥NUM1₀时，将功能防护节点段AD_i的初始采样频率η_i调整为监测频率η_i’，，对功能防护节点段AD_i的n个采样点以η_i’进行采样，转入步骤S4；

S4，在第二自测时间段T2共获得r个预警记录E2，E2={ E2₁，E2₂，E2₃，…，E2_r}，设置其中第z2个预警记录E2_z2中发生预警的采样点为U_z2，发生预警的采样值为C_z2，获得功能防护节点段AD_i的在第二自测时间段T₂的风险分数F，获得第二自测时间段T₂的风险分数F =；

其中，△C _z2为发生预警的采样值C_z2与预警阈值C_i的差值，为第二自测时间段T2的r个预警记录E2中发生预警的采样值C_z2与预警阈值C_i的差值之和；S5，设置功能防护节点段AD_i在第二自测时间段T₂的风险分数最小值为F_min，风险分数最大值F_max；当F≤F_min时，将功能防护节点段AD_i的采样频率由监测频率η_i’ 调整为初始采样频率η_i，转入步骤S3；当F_min＜F＜F_max时，对功能防护节点段AD_i的n个采样点以η_i’进行采样_i，重复步骤S4；当F≥F_max时，判断功能防护节点段AD_i发生具有发生风险趋势，对功能防护节点段AD_i进行风险预警。

在发明实施例具体技术方案中；具体的，例如，设置A1现场检测终端监测节点段在第一自测时间（12小时）内的预警计数阈值为6次，在A1现场检测终端监测节点段包括4个采样点A11、A12、A13、A14在12小时中共发生6次或者6次以上的预警记录时，则需要对A1现场检测终端监测节点段的采样频率在初始采样频率的基础上进行调整，具体计算方法为：设置项目A的第i功能防护节点段AD_i的初始采样频率η_i，设置第一自测时间段T1的预警计数阈值为NUM1₀，根据预警阈值C_i，获取功能防护节点段AD_i的n个采样点在第一自测时间段T1共生成的k1个预警记录E1，其中，预警记录E1包括d个去重采样点UE，即预警记录在上述d个采样点中发生（本实施例中2≤d≤4），UE={ UE₁，UE₂，UE₃，…，UE_d}，其中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1；本实施例中，A1现场检测终端监测节点段初始采样频率η₁=1小时/次，A1现场检测终端监测节点段共包括4个采样点A11，A12，A13，A14，在5月17日8:00-5月17日20:00的12小时内，发生6次警报形成预警记录，预警记录包括3个去重采样点A11，A12， A14，其中在采样点A11发生4次，在采样点A12发生1次，在采样点A14发生1次；为了避免误判，在第一自测时间段的预警记录中，某一采样点在预警记录中的占比Q₁超过占比阈值Q₀时，则说明在该采样点出现误报的可能性变大，则对该采样点的可靠系数进行调整，具体的，例如，A1现场检测终端监测节点段在第一自测时间段中的预警记录包括3个去重采样点A11，A12， A14，其中在采样点A11发生4次，在采样点A12发生1次，在采样点A14发生1次；得到采样点A11在第一自测时间段的预警记录中的占比Q₁=4/6=2/3；

已知占比阈值Q₀=0.5；此时可得Q₁＞Q₀；则对该采样点A11的可靠系数ω₁₁进行调整，采样点A11的初始可靠系数ω₁₁=0.6；调整后A11的初始可靠系数ω₁₁’=ω₁₁ -（Q₁-Q₀）=0.5；则获得调整后的A1现场检测终端监测节点段的采样频率=1×ln2（6+6）/6×（ω₁₁’+ω₁₂+ω₁₄）=1×ln2（6+6）/6×（0.5+0.6+0.6）=2.4；调整采样频率后，使用分析模块进行风险判断，所述分析模块在第二自测时间段T2获得r个预警记录E2，其中，第二自测时间段T2可以为第一自测时间段后的时间段，也可以包括第一自测时间段T1或者部分包括第一自测时间段T1。

预警记录E2={ E2₁，E2₂，E2₃，…，E2_r}，设置其中第z2个预警记录E2_z2中发生预警的采样点为U_z2，发生预警的采样值为C_z2。

获取预警记录中发生预警的采样值C_z2与预警阈值C_i的差值，即△C _z2△C _z2=|C_z2 -C _z2|；

获得功能防护节点段A_i的在第二自测时间段T₂的风险分数F 为第二自测时间段T2的r个预警记录E2中发生预警的采样值C_z2与预警阈值C_i的差值之和，计算公式为F=；设置功能防护节点段A_i在第二自测时间段T₂的风险分数最小值为F_min，风险分数最大值F_max；

当F≤F_min时，将功能防护节点段A_i的采样频率由监测频率η_i’ 重新调整为初始采样频率η_i进行监控；

当F_min＜F＜F_max时，对功能防护节点段A_i的n个采样点以η_i’进行采样_i进行监控；

当F≥F_max时，判断对该功能防护节点段的功能发生风险的可能性较大，进行预警，启用其他辅助装置改善并提升该功能防护节点段的运行功能，或者进行其他提前干涉的处理预案。

进入第二自测时间段，为了避免误判，在第二自测时间段的预警记录中，某一采样点在预警记录中的占比Q₁超过占比阈值Q₀时，则说明在该采样点出现误报的可能性变大，则对该采样点的可靠系数进行调整。

根据已发生的典型事件看，工控系统的安全威胁主要来自自然灾害及环境、人为错误或疏忽大意、设备功能安全故障、恶意代码或者网络攻击，例如工业控制现场的环境威胁，或者人为错误或疏忽大意，工业控制设备的故障、服务器硬件故障；病毒针对PLC的攻击以及网络安全威胁组织针对电力运营商、主要发电企业、石油管道运营商和能源工业设备供货商（简称工控企业）进行的攻击等。

在本发明实施例中，考虑到数据统计的信息安全问题，因此对整个工业网络的架构进行划分，从而形成多个节点段，例如现场检测终端监测节点段、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段和OT网络通信监测节点段。通过上述节点段实现对节点功能异常反馈等级监测；

在本发明实施例中，进行功能异常监测的意义重大，尤其是自身具有的分级评价功能可以快速的各个节点段的功能异常监测，在此基础上再进行整个网络的异常评估，其工作效率高效且安全，以此建立和完善信息安全管理应急方法。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。

所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。

这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (7)

1.一种工控监测分析预警系统，其特征在于，包括工控监测项目模块、采样模块、预警模块和分析模块；

所述工控监测项目模块中设置有工控监测项目，能够根据具体需求对工控监测项目进行选择，所述工控监测项目包括工控监测项目的功能应用对应的功能防护节点段；

所述采样模块能够通过功能防护节点段的采样点进行采样；

所述预警模块通过获得各功能防护节点段的采样数据获得预警记录，根据预警记录对功能防护节点段的采样频率进行调整；

在采样频率进行调整后，所述分析模块根据获得的预警记录对工控监测项目中功能应用的风险趋势进行判断。

2.如权利要求1所述的工控监测分析预警系统，其特征在于，所述工控监测项目的分类类型包括节点功能异常反馈等级监测项目。

3.如权利要求2所述的工控监测分析预警系统，其特征在于，在节点功能异常反馈等级监测项目中根据其功能应用设置的功能防护节点段包括现场检测终端监测节点段、PLC控制器监测节点段、RTU监测节点段、智能IED模块监测节点段、HMI工控机监测节点段和OT网络通信监测节点段。

4.一种使用如权利要求1-3任一项所述的工控监测分析预警系统的分析预警处理方法，其步骤包括：

S1，设置被选择工控监测项目A包括m个功能防护节点段AD，其中，AD={AD1，AD2，AD3，…，ADm}，设置第i功能防护节点段ADi的初始采样频率为ηi，预警阈值为Ci；

S2，使用设置在功能防护节点段ADi的采样点UI以初始采样频率ηi进行采样，其中，功能防护节点段ADi包括n个采样点UI，UI={ UI1，UI2，UI3，…，UIn}，设置在功能防护节点段ADi的第j个采样点UI j在采样时间Tj获取到采样值Cj，当Cj≥Ci时发生采样预警，生成功能防护节点段ADi的预警记录；其中，所述预警记录包括发生采样预警的功能防护节点段、采样点、采样时间以及采样值；

S3，设置项目A的第i功能防护节点段AD_i的初始采样频率η_i，第一自测时间段T1的预警计数阈值为NUM1₀，根据预警阈值C_i，获取功能防护节点段AD_i的n个采样点在第一自测时间段T1共生成的k1个预警记录E1，其中，预警记录E1包括d个去重采样点UE（2≤d≤n），UE={UE₁，UE₂，UE₃，…，UE_d}，其中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1，

当k1＜NUM1₀时，转入步骤S2；

当k1≥NUM1₀时，将功能防护节点段AD_i的初始采样频率η_i调整为监测频率η_i’，，对功能防护节点段AD_i的n个采样点以η_i’进行采样，转入步骤S4；

S4，在第二自测时间段T2共获得r个预警记录E2，E2={ E2₁，E2₂，E2₃，…，E2_r}，设置其中第z2个预警记录E2_z2中发生预警的采样点为U_z2，发生预警的采样值为C_z2，

获得功能防护节点段AD_i的在第二自测时间段T₂的风险分数F，获得第二自测时间段T₂的风险分数F =；

其中，△C _z2为发生预警的采样值C_z2与预警阈值C_i的差值，为第二自测时间段T2的r个预警记录E2中发生预警的采样值C_z2与预警阈值C_i的差值之和；

S5，设置功能防护节点段AD_i在第二自测时间段T₂的风险分数最小值为F_min，风险分数最大值F_max；

当F≤F_min时，将功能防护节点段AD_i的采样频率由监测频率η_i’ 调整为初始采样频率η_i，转入步骤S3；

当F_min＜F＜F_max时，对功能防护节点段AD_i的n个采样点以η_i’进行采样_i，重复步骤S4；

当F≥F_max时，判断功能防护节点段AD_i发生具有发生风险趋势，对功能防护节点段AD_i进行风险预警。

5.如权利要求4所述的工控监测分析预警系统的分析预警处理方法，其特征在于，在步骤S3中，设置第一自测时间段的预警记录中第z1个去重采样点为U_z1，采样点U_z1的可靠系数为ω_z1，占比阈值为Q₀；

获得采样点U_z1在第一自测时间段的预警记录中的占比Q₁；

Q₁≤Q₀时，使用采样点U_z1的可靠系数ω_z1进行计算；

Q₁＞Q₀时，则对该采样点U_z1的可靠系数ω_z1进行调整，获得调整后的可靠系数ω_z1’=ω_z1-（Q₁-Q₀），使用采样点U_z1调整后的可靠系数ω_z1’进行计算。

6.如权利要求4所述的工控监测分析预警系统的分析预警处理方法，其特征在于，在步骤S4中，所述第二自测时间段T2在第一自测时间段完成以后。

7.如权利要求4所述的工控监测分析预警系统的分析预警处理方法，其特征在于，在步骤S4中，所述第二自测时间段T2完全包括第一自测时间段T1或者部分包括第一自测时间段T1。