【技术实现步骤摘要】
本专利技术属于工业系统故障监测,具体涉及一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法。
技术介绍
1、随着信息和通信技术(ict)的广泛应用,传统工业控制系统(ics)与网络空间紧密结合,形成工业信息物理系统(icps)。icps的主要由过程层、控制层、监控层和企业层组成。其中,过程层通过区域总线(can-bus)与控制层交互,使得控制器一方面可以从过程层的传感器中采集生产测量数据,另一方面向过程层的执行器(或伺服机构)发送控制指令;控制层通过工业以太网(industrial ethernet)与监控层设备进行通信,使得监控层的监控主机(工程师站或操作员站)得以实时跟踪生产过程的运行状态、根据生产需求调节控制器参数等;监控层一般通过互联网(internet)与企业层相连,以充分利用工业云平台的计算、存储等资源完成智能决策和复杂模型训练等任务。在icps的标准通信模式下,ot(operational technology)与it(information technology)深度融合与高度协作,完成智能制造任务。
2、与传统的工业控制系统(ics)相比,尽管ict技术的广泛应用使得icps的运行过程更智能和高效,但与此同时也引发了愈发复杂的安全问题。一方面,工业现场恶劣的生产环境导致物理过程故障时有发生,比如传感器漂移、执行器粘滞等。另一方面,通信协议或软硬件设备的固有漏洞使得系统容易受到各种类型的恶意攻击,比如拒绝服务攻击(denial-of-service,dos)攻击和欺骗攻击等。因此,icps同时
3、(1)基于物理层的异常检测通常根据传感器的测量值或执行器的控制量等信息来检测异常状态。例如,aboelwafa等人[1]利用传感器数据在时间和空间上的相关性来识别异常。yang等人[2]考虑了流程的体系结构,将其划分为多个区域分别进行异常检测。然而,这些方法虽然在一定程度上可以检测出物理空间的异常状态,但是无法抵御来自网络空间的恶意攻击。这是因为一方面网络攻击从开始渗透到造成物理影响存在延迟,基于物理层的异常检测方法缺乏对攻击信号的早期识别,导致检测滞后性严重;另一方面,基于物理层的异常检测方法无法检测未直接造成物理影响、但同样具有潜在威胁的攻击,如窃听攻击、扫描攻击等。
4、(2)基于信息层的异常检测通常利用网络流量数据包的特征来判断系统是否受到攻击。例如,schneider等人[3]提出采用堆叠去噪自动编码器实现针对网络流量原始字节流的异常检测。kwon等[4]使用dnp数据包作为电力系统的网络特征进行异常行为检测。但是,由于基于单个数据包的异常检测方法难以应对中间人攻击(man-in-the-middle,mitm)等基于数据包序列进行设计的攻击。因此,jamdagni等人[5]使用n-gram文本分类技术提取网络流量数据包序列的原始特征,并将其转换为特征向量用于异常检测。casas等人[6]在数据包序列的时间滑窗内定义了人工特征。然而,基于信息层的异常检测方法无法识别物理空间的异常状态,这是因为现有研究中通常针对数据包序列采用固定滑窗或固定时间间隔的划分策略。然而,真实系统的网络环境往往具有较强的不确定,导致网络流量的动态性很强,特别是包含物理层数据的报文分布极度不均匀。缺乏全面的物理层特征使得系统难以检测发生在物理层的异常状态。
5、充分融合icps的网络层和物理层的特征信息是实现全面异常检测的关键。然而,icps的物理层数据和网络层数据之间存在严重的异构性,导致融合困难。其中,物理层数据通常是从工业现场的scada系统中采样得到的时间序列数据。结合工业数采模块(dataacquisition module,dam),控制器可以周期性读取来自不同生产设备的运行数据,因此物理层数据具有结构化的特点。网络层数据通常是设备间通信行为的记录,一般以网络流量数据包的形式记录在路由或者审计系统中。受到网络环境中时延、丢包、重传等因素的影响,网络层数据动态性较强,属于非结构化数据。因此,在icps中融合物理层和网络层数据以实现全面异常检测主要面临的问题包括。
技术实现思路
1、针对icps中现有异常检测方法缺乏对信息物理层信息的全面挖掘和有效利用导致异常检测面临实时性不强、检测精度不高等问题,本专利技术提供一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法,通过有效融合信息物理异构数据,提高了异常检测的实时性和准确性。
2、为实现上述技术目的,本专利技术采用如下技术方案:
3、一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法,包括:
4、离线训练:
5、获取多次通信事件的数据包序列,每次通信事件对应1个数据包序列;
6、针对每个数据包序列,提取其序列层次的粗粒度特征,以及解析所有数据包得到数据包层次的细粒度特征,再将序列层次的粗粒度特征与数据包层次的细粒度特征进行融合,得到数据包序列的总体特征向量;
7、以数据包序列的总体特征向量为观测数据,采用字典将观测数据投影到高维特征空间,学习字典和线性分类器;
8、在线测试:获取当前通信事件的数据包序列,按离线训练阶段相同的方法获得其总体特征向量,并基于学习得到的字典获得总体特征向量的稀疏编码,再将稀疏编码输入至线性分类器,输出即为工业系统当前的状态标签。
9、进一步的,在解析数据包时,将各数据包按通信协议类型划分为专用数据包或通用数据包:若数据包依赖于专用工业通信协议,则将数据包划分为专用数据包;若数据包依赖于一般通信协议,则将数据包划分为通用数据包;
10、若数据包为专用数据包,其中包括来自物理过程的负载数据,则解析得到的细粒度特征包括信息层特征和物理层特征;
11、若数据包为通用数据包,则解析得到的细粒度特征仅包括信息层特征。
12、进一步的,在进行特征融合时,将数据包序列si中的数据包集合划分为专用数据包子集、通用单播数据包子集、通用广播数据包子集,对专用数据包子集中所有数据包中的物理层特征进行拼接得到对专用数据包子集中所有数据包中的信息层特征进行拼接得到对通用单播数据包子集中所有数据包中的信息层特征进行拼接得到对通用广播数据包子集中所有数据包中的信息层特征进行拼接得到对数据包序列si的序列级别的特征拼接得到最后,对上述拼接得到的与数据包序列的粗粒度特征进行堆叠,得到序列的总体特征向量
13、
14、进一步的,对专用数据包子集中所有数据包中的物理层特征直接进行拼接,表示为:
15、
16、其中,是第i个数据包序列si中第j个专用数据包的第k维物理层特征,代表第i个数据包序列si对应拼接得到的物理层特征向本文档来自技高网...
【技术保护点】
1.一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在解析数据包时,将各数据包按通信协议类型划分为专用数据包或通用数据包:若数据包依赖于专用工业通信协议,则将数据包划分为专用数据包;若数据包依赖于一般通信协议,则将数据包划分为通用数据包;
3.根据权利要求1所述的方法,其特征在于,在进行特征融合时,将数据包序列si中的数据包集合划分为专用数据包子集、通用单播数据包子集、通用广播数据包子集,对专用数据包子集中所有数据包中的物理层特征进行拼接得到对专用数据包子集中所有数据包中的信息层特征进行拼接得到对通用单播数据包子集中所有数据包中的信息层特征进行拼接得到对通用广播数据包子集中所有数据包中的信息层特征进行拼接得到对数据包序列si的序列级别的特征拼接得到最后,对上述拼接得到的与数据包序列的粗粒度特征进行堆叠,得到序列的总体特征向量
4.根据权利要求3所述的方法,其特征在于,对专用数据包子集中所有数据包中的物理层特征直接进行拼接,表示为:
5.根据权利要求3所述的方法
6.根据权利要求5所述的方法,其特征在于,另一方面对信息层特征中的类别型数据进行拼接,类别型数据中的协议类型拼接方式具体为:设工业系统中使用的通信协议种类数NPT,统计目标拼接子集中采用第i种通信协议的数据包数量,得述协议类型关系向量再将协议类型关系向量转化为特征编码向量V(ΨIP)。
7.根据权利要求6所述的方法,其特征在于,在得到目标拼接子集的每种文本型数据和每种类别型数据的特征编码向量后,再将其拼接得到目标拼接子集的信息层特征向量:
8.根据权利要求1所述的方法,其特征在于,提取的序列层次的粗粒度特征,是指反映网络流量的宏观变化,包括:序列中的数据包数量、序列中通信的持续时间、序列的比特率。
9.根据权利要求1所述的方法,其特征在于,采用字典将观测数据投影到高维特征空间,学习字典和线性分类器;所述采用字典将观测数据投影到高维特征空间,利用输入信号的有监督信息学习一个重建的判别性字典和一个线性分类器,其中采用考虑标签一致性约束的KSVD算法(LC-KSVD),构建学习目标函数如下:
...【技术特征摘要】
1.一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在解析数据包时,将各数据包按通信协议类型划分为专用数据包或通用数据包:若数据包依赖于专用工业通信协议,则将数据包划分为专用数据包;若数据包依赖于一般通信协议,则将数据包划分为通用数据包;
3.根据权利要求1所述的方法,其特征在于,在进行特征融合时,将数据包序列si中的数据包集合划分为专用数据包子集、通用单播数据包子集、通用广播数据包子集,对专用数据包子集中所有数据包中的物理层特征进行拼接得到对专用数据包子集中所有数据包中的信息层特征进行拼接得到对通用单播数据包子集中所有数据包中的信息层特征进行拼接得到对通用广播数据包子集中所有数据包中的信息层特征进行拼接得到对数据包序列si的序列级别的特征拼接得到最后,对上述拼接得到的与数据包序列的粗粒度特征进行堆叠,得到序列的总体特征向量
4.根据权利要求3所述的方法,其特征在于,对专用数据包子集中所有数据包中的物理层特征直接进行拼接,表示为:
5.根据权利要求3所述的方法,其特征在于,分别以专用数据包子集、通用单播数据包子集、通用广播数据包子集为目标拼...
【专利技术属性】
技术研发人员:阳春华,邓文锋,黄科科,刘杰,李繁飙,桂卫华,
申请(专利权)人:中南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。