CN117035124A - 油气生产复杂系统信息物理攻击识别方法、装置及设备 - Google Patents
油气生产复杂系统信息物理攻击识别方法、装置及设备 Download PDFInfo
- Publication number
- CN117035124A CN117035124A CN202310980794.1A CN202310980794A CN117035124A CN 117035124 A CN117035124 A CN 117035124A CN 202310980794 A CN202310980794 A CN 202310980794A CN 117035124 A CN117035124 A CN 117035124A
- Authority
- CN
- China
- Prior art keywords
- data
- sensor
- gas production
- attack
- oil
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012706 support-vector machine Methods 0.000 claims abstract description 54
- 238000012549 training Methods 0.000 claims abstract description 44
- 238000007781 pre-processing Methods 0.000 claims abstract description 16
- 238000003860 storage Methods 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 5
- 238000010606 normalization Methods 0.000 claims description 5
- 230000011218 segmentation Effects 0.000 claims description 4
- 239000004215 Carbon black (E152) Substances 0.000 claims description 2
- 229930195733 hydrocarbon Natural products 0.000 claims description 2
- 150000002430 hydrocarbons Chemical class 0.000 claims description 2
- 230000002159 abnormal effect Effects 0.000 abstract description 28
- 239000007789 gas Substances 0.000 description 46
- 238000013461 design Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- VNWKTOKETHGBQD-UHFFFAOYSA-N methane Chemical compound C VNWKTOKETHGBQD-UHFFFAOYSA-N 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000003345 natural gas Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002341 toxic gas Substances 0.000 description 1
- 230000001988 toxicity Effects 0.000 description 1
- 231100000419 toxicity Toxicity 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Business, Economics & Management (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Economics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Signal Processing (AREA)
- Human Resources & Organizations (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种油气生产复杂系统信息物理攻击识别方法、装置及设备,该方法包括:确定任一油气生产复杂系统中反馈数据的各传感器;根据各传感器,生成无向图传感器网络;在无向图传感器网络中,提取多个关联传感器系统;在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中采集数据包括正常数据、故障数据和攻击数据;对采集数据进行预处理;采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练;获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中类标签指示待识别的传感器数据为正常数据或故障数据或攻击数据。能够将传感器的设备故障等异常事件与信息物理攻击区分开。
Description
技术领域
本发明涉及油气生产复杂系统信息物理安全威胁识别技术,特别涉及一种油气生产复杂系统信息物理攻击识别方法、装置及设备。
背景技术
油气生产复杂系统中石油与天然气具有易燃烧、易爆炸、有毒等特性,如果发生事故导致火灾、辐射、有毒气体扩散等严重后果,造成人员伤亡和财产损失。随着信息化发展,油气生产复杂系统面临的信息物理攻击也增多。
油气生产复杂系统由网络层,信息层和物理层构成。随着信息化发展,油气生产复杂系统面临新的风险。在各种风险中,信息物理攻击不仅攻击广度大,可以攻击系统的各个层面,而且攻击深度深,早已突破网络层到达信息层,甚至可以对物理层造成影响。信息物理攻击远比其他风险大得多,这是由于信息物理攻击目标明确,对油气物理系统造成影响,造成损失更大;且满足监测系统的特征模式,对监测系统造成屏蔽,使其无法检测到攻击。
信息物理攻击是突破网络层到达信息层的对物理层造成影响的攻击,属于对信息层的攻击的一种,但是,即使未收到攻击,系统也会因为设备故障、老化,人误操作等各种原因而异常,这种异常事件与恶意攻击混在一起,且两者在物理层的外在表现高度相似,只是致因机理不一样。不论恶意攻击还是异常事件,对于物理层的外在表现均为传感器数据异常(控制逻辑攻击会导致传感器数据异常,因此也可以归结于传感器数据异常的一种),内在区别在于是物理层还是信息层的原因导致这种传感器数据异常情况。对于油气生产复杂系统来说,信息物理攻击与异常事件的致因不同,后果和应急安全措施也不同,这是两种不同的异常模式,需要将两者区分开。
因此,为了将设备故障等异常事件与信息物理攻击区分开,亟需一种油气生产复杂系统信息物理攻击识别方法。
发明内容
本发明提供一种油气生产复杂系统信息物理攻击识别方法、装置及设备,能够将传感器的设备故障等异常事件与信息物理攻击区分开。
第一方面,本发明提供一种油气生产复杂系统信息物理攻击识别方法,应用于计算机设备,包括:
确定任一油气生产复杂系统中反馈数据的各传感器;
根据所述各传感器,生成无向图传感器网络;
在所述无向图传感器网络中,提取多个关联传感器系统;
在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中所述采集数据包括正常数据、故障数据和攻击数据;
对所述采集数据进行预处理;
采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型;
获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中所述类标签指示所述待识别的传感器数据为正常数据或故障数据或攻击数据。
在一种可能的设计中,所述确定任一油气生产复杂系统中反馈数据的各传感器,包括:
确定所述油气生产复杂系统中与控制元件形成控制回路的各传感器。
在一种可能的设计中,所述根据所述各传感器,生成无向图传感器网络,包括:
对各传感器之间的管道连接关系进行关系表示,以所述油气生产复杂系统的设备和/或设施为边界,生成无向图传感器网络。
在一种可能的设计中,所述在所述无向图传感器网络中,提取多个关联传感器系统,包括:
判断所述无向图传感器网络中任意两个传感器之间的最短路径中是否具有同类型的传感器;
若没有同类型的传感器,则确定所述任意两个传感器属于关联传感器系统。
在一种可能的设计中,所述对所述采集数据进行预处理,包括:
对所述采集数据进行标准化、归一化处理;
对标准化、归一化处理的采集数据进行加入噪声处理;
对加入噪声处理的采集数据进行数据分割处理,以得到所述采集数据中的训练集和所述采集数据中的测试集。
在一种可能的设计中,所述采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型,包括:
采用所述预处理后的采集数据中的训练集中各训练数据中的特征数据和类标签,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型。
第二方面,本发明提供一种油气生产复杂系统信息物理攻击识别装置,应用于计算机设备,包括:
传感器确定模块,用于确定任一油气生产复杂系统中反馈数据的各传感器;
无向图形成模块,用于根据所述各传感器,生成无向图传感器网络;
传感器提取模块,用于在所述无向图传感器网络中,提取多个关联传感器系统;
数据采集模块,用于在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中所述采集数据包括正常数据、故障数据和攻击数据;
预处理模块,用于对所述采集数据进行预处理;
模型训练模块,用于采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型;
识别模块,用于获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中所述类标签指示所述待识别的传感器数据为正常数据或故障数据或攻击数据。
第三方面,本发明提供一种计算机设备,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的油气生产复杂系统信息物理攻击识别方法。
第四方面,本发明提供一种计算机存储介质,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面以及第一方面各种可能的设计所述的油气生产复杂系统信息物理攻击识别方法。
第五方面,本发明提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上第一方面以及第一方面各种可能的设计所述的油气生产复杂系统信息物理攻击识别方法。
本发明提供的油气生产复杂系统信息物理攻击识别方法、装置及设备,针对任一油气生产复杂系统中,通过确定反馈数据的各传感器、建立无向图传感器网络,提取多个关联传感器系统,采集关联传感器的采集数据,对采集数据行进预处理后,训练SVM模型;采用训练好的SVM模型识别待识别的传感器数据为正常数据或故障数据或攻击数据,能够将传感器的设备故障等异常事件与信息物理攻击区分开。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的油气生产复杂系统信息物理攻击识别的应用场景示意图;
图2为本发明实施例提供的油气生产复杂系统信息物理攻击识别方法的流程示意图;
图3为本发明实施例提供的无向图传感器网络的示意图;
图4为本发明实施例提供的提取多个关联传感器系统的原理图;
图5为本发明实施例提供的油气生产复杂系统信息物理攻击识别装置的结构示意图;
图6为本发明实施例提供的计算机设备的硬件结构示意图;
图7为本发明实施例提供的关联传感器系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的油气生产复杂系统信息物理攻击识别的应用场景示意图。如图1所示,该场景中,包括:接收装置101、处理器102和显示装置103。
可以理解的是,本发明实施例示意的结构并不构成对物品识别方法的具体限定。在本发明另一些可行的实施方式中,上述架构可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置,具体可根据实际应用场景确定,在此不做限制。图1所示的部件可以以硬件,软件,或软件与硬件的组合实现。
在具体实现过程中,接收装置101可以是输入/输出接口,也可以是通信接口。
处理器102,可以对数据进行处理。
显示装置103可以用于显示识别结果。
显示装置还可以是触摸显示屏,用于在显示的上述内容的同时接收用户指令,以实现与用户的交互。
应理解,上述处理器可以通过处理器读取存储器中的指令并执行指令的方式实现,也可以通过芯片电路实现。
另外,本发明实施例描述的网络架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
图2为本发明实施例提供的油气生产复杂系统信息物理攻击识别方法的流程示意图,本实施例的执行主体可以为图1所示处理器,本实施例此处不做特别限制。如图2所示,该方法包括:
S201:确定任一油气生产复杂系统中反馈数据的各传感器。
具体地,确定任一油气生产复杂系统中反馈数据的各传感器,包括:确定油气生产复杂系统中与控制元件形成控制回路的各传感器。
在本实例中,油气生产复杂系统将物理层的传感器数据输送至操作员站以及控制单元,控制单元通过传感器数据进行逻辑控制对现场进行控制,操作员依据传感器数据通过控制单元对现场控制,因此,需提取与控制元件形成控制回路的传感器。若一个传感器可为系统控制、决策提供依据,则此传感器被提取。
S202:根据各传感器,生成无向图传感器网络。
具体地,根据各传感器,生成无向图传感器网络,包括:对各传感器之间的管道连接关系进行关系表示,以油气生产复杂系统的设备和/或设施为边界,生成无向图传感器网络。
在本实例中,油气管道系统的结构固定,关联性高,影响快,可以对各传感器之间的关系进行拓扑,形成无向图。因此,对步骤201提取的传感器进行定位,确定其在油气生产复杂系统的位置,依据传感器在系统中的串并联,对系统中的传感器进行关系表示,以工艺流程为系统、以设备设施为边界,将步骤201提取的传感器进行分区,提取用管道相连的传感器形成无向图。
示例性地,以某LNG接收站中的低压泵系统为例,详细介绍本发明的技术方案,形成的无向图如图3所示。其中,某LNG接收站中的低压泵系统包括传感器,8个,记为:TT_211A.AV(传感器1)、PT_206A.AV(传感器2)、VT_P201A_1.AV(传感器3)、VT_P201A_2.AV(传感器4)、XV_203A_VAL2.OUTON(传感器5)、FV_201A_PIDA.PV(传感器6)、MII_201A.AV(传感器7)、P201A_MAN.IN(传感器8)。
S203:在无向图传感器网络中,提取多个关联传感器系统。
具体地,在无向图传感器网络中,提取多个关联传感器系统,包括:Sa:判断无向图传感器网络中任意两个同类型传感器之间的最短路径中是否具有同类型的传感器。Sb:判若没有同类型的传感器,则确定任意两个传感器属于关联传感器系统。Sc:判若具有同类型的传感器,则确定任意两个传感器不属于关联传感器系统。
在本实例中,从传感器到另一传感器之间的最短路径中没有其他同类型传感器,则两个传感器进行关联,即属于关联传感器系统。参考图7,图7为关联传感器系统的示意图。图7中,温度传感器1与温度传感器3不属于关联传感器,温度传感器2与温度传感器3则属于关联传感器。
根据路径距离对传感器无向图中的每个传感器的关联传感器进行提取,形成多个关联传感器系统。信息物理攻击与异常事件的区别在于周围传感器数据是否异常。将周围节点作为一个整体系统来考虑,信息物理攻击中异常节点团特征值变化较大,异常故障在同一时间内其他节点特征值变化较小,对于传感器数据异常的节点(包括真实传感器数据和显示传感器数据),在同一时间内对其周围的节点传感器异常监测,若周围节点异常,则可能存在故障,若周围节点正常,传感器数据异常则传感器可能受到信息物理攻,如图4所示。综上,对无向图中的传感器进行关联传感器提取。
S204:在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中采集数据包括正常数据、故障数据和攻击数据。
在本实施例中,由于攻击与故障都是突然发生的,且实时数据为控制决策提供依据,采集数据间隔太久会导致错误的传感器数据已经导致决策错误而传感器数据检测还未检测到异常。因此,对关联传感器中的每个传感器进行时序数据采集可以是每隔1s采集一次。采集的采集数据的类型包括正常数据,故障数据,攻击数据。还可以对数据进行标记,标记为正常、故障、攻击3种类型。对步骤S203中的关联传感器系统的每个传感器或关键传感器进行数据采集,采集时间为每隔1s采集一次。表1,采集数据的分布示例。
表1采集数据的数据表
正常数据 | 攻击数据 | 故障数据 | 总计 | |
数据个数 | 5052 | 874 | 142 | 6068 |
S205:对采集数据进行预处理。
具体地,对采集数据进行预处理,包括:对采集数据进行标准化、归一化处理;对标准化、归一化处理的采集数据进行加入噪声处理;对加入噪声处理的采集数据进行数据分割处理,以得到采集数据中的训练集和采集数据中的测试集。
在本实施例中,对采集数据进行预处理,包括数据标准化归一化,加入噪声以提高模型泛化能力,分割训练集和测试集,对数据进行标准化、归一化以加入均值为0,标准差为0.2的高斯噪声,对采集的数据每隔5s提取一组形成测试集,剩余形成训练集。
S206:采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型。
具体地,采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型,包括:采用预处理后的采集数据中的训练集中各训练数据中的特征数据和类标签,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型。
在本实例中,训练集:使用采集数据中的训练集,将关联传感器的数据X={x1,x2,……}作为特征属性输入SVM,以标记y={正常,异常,故障}为类标签输出,对模型进行训练。
示例性地,将传感器TT_211A.AV(传感器1)、PT_206A.AV(传感器2)、VT_P201A_1.AV(传感器3)、VT_P201A_2.AV(传感器4)、XV_203A_VAL2.OUTON(传感器5)、FV_201A_PIDA.PV(传感器6)、MII_201A.AV(传感器7)、P201A_MAN.IN(传感器8)预处理后的训练集数据作为特征属性X={x1,x2,……}以及类标签yn∈{正常,故障,攻击}作为输入来训练模型。
测试集:使用采集数据中的测试集,以测试集中传感器数据X1作为输入,预测测试集中传感器数据的类别,输出测试集的类标签y1={正常,异常,故障},并与原始类标签进行对比,验证模型效果。
示例性地,将测试集中的特征属性X1={x1,x2,……}作为输入,输入至训练好的模型,即将传感器TT_211A.AV(传感器1)、PT_206A.AV(传感器2)、VT_P201A_1.AV(传感器3)、VT_P201A_2.AV(传感器4)、XV_203A_VAL2.OUTON(传感器5)、FV_201A_PIDA.PV(传感器6)、MII_201A.AV(传感器7)、P201A_MAN.IN(传感器8)预处理后的数据输入至训练好的SVM模型,以输出类标签,即监测数据正常或故障或攻击,用于验证模型效果。
S207:获取任意测试数据,输入训练好的SVM模型中,以输出类标签,其中类标签指示测试数据为正常数据或故障数据或攻击数据。
在本实例中,任意测试数据可以是任一传感器输出的采集数据。
综上,本发明实施例提供的油气生产复杂系统信息物理攻击识别方法,针对任一油气生产复杂系统中,通过确定反馈数据的各传感器、建立无向图传感器网络,提取多个关联传感器系统,采集关联传感器的采集数据,对采集数据行进预处理后,训练SVM模型;采用训练好的SVM模型识别待识别的传感器数据为正常数据或故障数据或攻击数据,能够将传感器的设备故障等异常事件与信息物理攻击区分开。
同时,提供了一种针对工艺现场的传感器数据提取方法,通过构建无向图来最大化传感器数据之间的关联性,为后续攻击检测提供可靠数据支持,实现对工艺现场的安全和稳定运行的保障。提供了一种新的传感器数据联合检测方法,将多个传感器异常节点结合成异常系统,实现对整个系统的攻击检测。提供了一种基于SVM模型的新型联合检测方法,用于识别油气生产复杂系统中的信息物理攻击,减少了误报和漏报的可能性,提高了检测的准确性和可靠性。提供的方法不仅在区分正常与异常时效果良好,在区分故障数据与攻击数据效果显著,为油气生产复杂系统的信息物理安全提供了可靠的技术支持。
图5为本发明实施例提供的油气生产复杂系统信息物理攻击识别装置的结构示意图。如图5所示,该油气生产复杂系统信息物理攻击识别装置包括:传感器确定模块501、无向图形成模块502、传感器提取模块503、数据采集模块504、预处理模块505、模型训练模块506和识别模块507。
传感器确定模块501,用于确定任一油气生产复杂系统中反馈数据的各传感器;
无向图形成模块502,用于根据所述各传感器,生成无向图传感器网络;
传感器提取模块503,用于在所述无向图传感器网络中,提取多个关联传感器系统;
数据采集模块504,用于在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中所述采集数据包括正常数据、故障数据和攻击数据;
预处理模块505,用于对所述采集数据进行预处理;
模型训练模块506,用于采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型;
识别模块507,用于获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中所述类标签指示所述待识别的传感器数据为正常数据或故障数据或攻击数据。
在一种可能的设计中,所述传感器确定模块501,具体用于确定所述油气生产复杂系统中与控制元件形成控制回路的各传感器。
在一种可能的设计中,所述无向图形成模块502,具体用于对各传感器之间的管道连接关系进行关系表示,以所述油气生产复杂系统的设备和/或设施为边界,生成无向图传感器网络。
在一种可能的设计中,所述传感器提取模块503,具体用于判断所述无向图传感器网络中任意两个传感器之间的最短路径中是否具有同类型的传感器;若没有同类型的传感器,则确定所述任意两个传感器属于关联传感器系统;若具有同类型的传感器,则确定所述任意两个传感器不属于关联传感器系统。
在一种可能的设计中,所述预处理模块505,具体用于对所述采集数据进行标准化、归一化处理;对标准化、归一化处理的采集数据进行加入噪声处理;对加入噪声处理的采集数据进行数据分割处理,以得到所述采集数据中的训练集和所述采集数据中的测试集。
在一种可能的设计中,所述模型训练模块506,具体用于采用所述预处理后的采集数据中的训练集中各训练数据中的特征数据和类标签,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型。
图6为本发明实施例提供的计算机设备的硬件结构示意图。如图6所示,本实施例的计算机设备包括:至少一个处理器601和存储器602;存储器存储计算机执行指令;至少一个处理器执行存储器存储的计算机执行指令,使得至少一个处理器执行如上的油气生产复杂系统信息物理攻击识别方法。
可选地,存储器602既可以是独立的,也可以跟处理器601集成在一起。
当存储器602独立设置时,该计算机设备还包括总线603,用于连接所述存储器602和处理器601。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上所述的油气生产复杂系统信息物理攻击识别方法。
本发明实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的油气生产复杂系统信息物理攻击识别方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本发明各个实施例所述方法的部分步骤。
应理解,上述处理器可以是中央处理单元(Central Processing Unit,简称CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本发明附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种油气生产复杂系统信息物理攻击识别方法,其特征在于,应用于计算机设备,包括:
确定任一油气生产复杂系统中反馈数据的各传感器;
根据所述各传感器,生成无向图传感器网络;
在所述无向图传感器网络中,提取多个关联传感器系统;
在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中所述采集数据包括正常数据、故障数据和攻击数据;
对所述采集数据进行预处理;
采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型;
获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中所述类标签指示所述待识别的传感器数据为正常数据或故障数据或攻击数据。
2.根据权利要求1所述的方法,其特征在于,所述确定任一油气生产复杂系统中反馈数据的各传感器,包括:
确定所述油气生产复杂系统中与控制元件形成控制回路的各传感器。
3.根据权利要求1所述的方法,其特征在于,所述根据所述各传感器,生成无向图传感器网络,包括:
对各传感器之间的管道连接关系进行关系表示,以所述油气生产复杂系统的设备和/或设施为边界,生成无向图传感器网络。
4.根据权利要求1所述的方法,其特征在于,所述在所述无向图传感器网络中,提取多个关联传感器系统,包括:
判断所述无向图传感器网络中任意两个同类型传感器之间的最短路径中是否具有同类型的传感器;
若没有同类型的传感器,则确定所述任意两个传感器属于关联传感器系统。
5.根据权利要求1所述的方法,其特征在于,所述对所述采集数据进行预处理,包括:
对所述采集数据进行标准化、归一化处理;
对标准化、归一化处理的采集数据进行加入噪声处理;
对加入噪声处理的采集数据进行数据分割处理,以得到所述采集数据中的训练集和所述采集数据中的测试集。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型,包括:
采用所述预处理后的采集数据中的训练集中各训练数据中的特征数据和类标签,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型。
7.一种油气生产复杂系统信息物理攻击识别装置,其特征在于,应用于计算机设备,包括:
传感器确定模块,用于确定任一油气生产复杂系统中反馈数据的各传感器;
无向图形成模块,用于根据所述各传感器,生成无向图传感器网络;
传感器提取模块,用于在所述无向图传感器网络中,提取多个关联传感器系统;
数据采集模块,用于在多个关联传感器系统中,对每个传感器进行时序数据采集,得到采集数据,其中所述采集数据包括正常数据、故障数据和攻击数据;
预处理模块,用于对所述采集数据进行预处理;
模型训练模块,用于采用预处理后的采集数据中的训练集,对初始的支持向量机SVM模型进行训练,得到训练好的SVM模型;
识别模块,用于获取任意待识别的传感器数据,输入训练好的SVM模型中,以输出类标签,其中所述类标签指示所述待识别的传感器数据为正常数据或故障数据或攻击数据。
8.一种计算机设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至6任一项所述的油气生产复杂系统信息物理攻击识别方法。
9.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至6任一项所述的油气生产复杂系统信息物理攻击识别方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述的油气生产复杂系统信息物理攻击识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310980794.1A CN117035124A (zh) | 2023-08-04 | 2023-08-04 | 油气生产复杂系统信息物理攻击识别方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310980794.1A CN117035124A (zh) | 2023-08-04 | 2023-08-04 | 油气生产复杂系统信息物理攻击识别方法、装置及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117035124A true CN117035124A (zh) | 2023-11-10 |
Family
ID=88629275
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310980794.1A Pending CN117035124A (zh) | 2023-08-04 | 2023-08-04 | 油气生产复杂系统信息物理攻击识别方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117035124A (zh) |
-
2023
- 2023-08-04 CN CN202310980794.1A patent/CN117035124A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
US10762561B2 (en) | Systems and methods for improving computation efficiency in the detection of fraud indicators for loans | |
CN106790256B (zh) | 用于危险主机监测的主动机器学习系统 | |
CN108989150B (zh) | 一种登录异常检测方法及装置 | |
CA2738480C (en) | Detection of confidential information | |
US10089686B2 (en) | Systems and methods for increasing efficiency in the detection of identity-based fraud indicators | |
CN109543408B (zh) | 一种恶意软件识别方法和系统 | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
US20150199784A1 (en) | Systems and Methods For Estimating Probability Of Identity-Based Fraud | |
CN114968633A (zh) | 异常日志的检测方法及装置 | |
CN111767192B (zh) | 基于人工智能的业务数据检测方法、装置、设备和介质 | |
CN113343228B (zh) | 事件可信度分析方法、装置、电子设备及可读存储介质 | |
CN114461864A (zh) | 一种告警溯源方法和装置 | |
US10630631B1 (en) | Message content cleansing | |
CN117035124A (zh) | 油气生产复杂系统信息物理攻击识别方法、装置及设备 | |
CN109145609B (zh) | 一种数据处理方法和装置 | |
CN116739605A (zh) | 交易数据检测方法、装置、设备及存储介质 | |
CN111309584A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN114513341A (zh) | 恶意流量检测方法、装置、终端及计算机可读存储介质 | |
Zhang | Supervision and Investigation of Internet Fraud Crimes. | |
Mercaldo et al. | Identification of anomalies in processes of database alteration | |
CN115599312B (zh) | 基于存储集群的大数据处理方法及ai系统 | |
CN116305248A (zh) | 一种针对大数据隐私保护的数据处理系统 | |
US11968162B1 (en) | Message content cleansing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |