一种降低工业过程控制系统偏差攻击误报的方法与流程

1.本发明涉及工控系统的安全防护领域，具体为一种降低工业过程控制系统偏差攻击误报的方法。


背景技术：

2.相较于浪涌攻击等其它假数据注入攻击，偏差攻击作用幅值大且作用时间长，实际中对工业系统造成的危害很大。在进行偏差攻击检测时，如果采用基于模型的方法计算估计模型和实际对象的输出信号偏差进行检测，经常会出现扰动和攻击难以识别的问题，进而导致攻击检测系统误报率高。
3.事实上，一个工业过程的运行装置，如常减压、连续重整等，往往有多个变量需要检测，如温度、压力、流量等等，它们往往分别由各自的闭环控制系统进行控制。当控制系统外部出现扰动时，如原料性质的波动等等，其会通过不同的扰动通道作用到多个控制回路，进而扩散到整个装置的不同控制系统中。
4.不同于扰动的影响，实际的假数据注入攻击是人为蓄意注入的，其往往在工业系统中控制回路的一个或多个传感器网络通道上直接发起。能否根据扰动和攻击的不同特点，设计出一种能够辨别控制系统中扰动和偏差攻击的方法，从而降低或避免由于扰动引起的攻击误预警，已成为当前提高工业过程控制系统的安全防护有效性的一个重要方面。


技术实现要素：

5.本发明针对背景技术中存在的问题，公开了一种降低工业过程控制系统偏差攻击误报的方法。该方法在数据驱动的基础上建立被控对象模型，基于模型进行异常信号检测。结合工业过程控制系统的结构特点，辨别检测到的异常信号还是扰动还是偏差攻击，从而提升对偏差攻击的识别准确率。该方法包括以下步骤：
6.1)收集由工业过程g
p,m
(s)和控制器g
c,m
(s)构成的第m个工业过程控制回路l
m
在正常运行状况下的输入输出历史数据，m∈[0,1,2
…
,m]；
[0007]
2)利用l
m
的历史数据计算被控对象g
p,m
(s)的估计模型其中采用最小二乘法估计模型参数；
[0008]
3)计算估计模型的输出与测量信号的偏差a1,a2,
…
a
m
；
[0009]
4)若a1,a2,
…
a
m
中存在偏差超出阈值k
th
，则将超出k
th
的偏差视为异常信号并转步骤5)，否则转步骤3)；
[0010]
5)若a1,a2,
…
a
m
中仅有一个异常信号a
m
，转步骤6)，否则转步骤7)；
[0011]
6)计算异常信号a
m
在其幅值上升段a
mr
与阶跃信号幅值上升段ε
r
的余弦相似度s
m
：
[0012]
[0013]
式(1)中，a
mr
与ε
r
均为长度为t的时间序列，下标t表示在t采样时刻对应的时间序列值。若s
m
大于相似度阈值s
th
则进行偏差攻击预警并转步骤3)，否则视作扰动，直接转步骤3)；
[0014]
7)比较超出阈值的n个异常信号(n≥2)，以任一异常信号为基准，计算其余n
‑
1个异常信号与基准信号a
base
的相似度f
m
，异常信号a
m
与基准信号a
base
的相似度f
m
的计算方式为：
[0015][0016]
式(2)中，f
m
为基准信号a
base
和异常信号a
m
的归一化均方根误差，这两个信号均为长度为t
s
的时间序列，为基准信号a
base
的平均值，下标t表示t时刻对应的时间序列值。，若f
m
均大于f
th
，则进行偏差攻击预警并转步骤3),否则视作扰动，直接转步骤3)。
[0017]
有益效果：
[0018]
本发明公开了一种降低工业过程控制系统偏差攻击误报的方法，该方法在数据驱动的基础上建立闭环系统模型，具有很好的可解释性。结合工业过程控制系统的结构特点，辨别检测到的异常信号是扰动或是偏差攻击，避免了由于扰动信号造成的偏差攻击误报，显著提高了偏差攻击识别的准确性，对工业过程控制系统的安全防护具有重要价值。
附图说明
[0019]
图1为本发明实施例工业控制系统示意图；
[0020]
图2为本发明一种降低工业过程控制系统偏差攻击误报的方法流程图；
[0021]
图3为本发明实施例中存在偏差攻击的控制系统仿真图；
[0022]
图4为本发明实施例中存在扰动作用的控制系统仿真图；
[0023]
图5为本发明实施例中偏差攻击作用于一个回路的检测效果图；
[0024]
图6为本发明实施例中扰动作用于一个回路的检测效果图；
[0025]
图7为本发明实施例中偏差攻击作用于多个回路的检测效果图；
[0026]
图8为本发明实施例中扰动作用于多个回路的检测效果图。
具体实施方式
[0027]
下面结合附图和具体实施例对本发明作进一步说明，由具体的操作流程说明本方法在工业过程系统中降低偏差攻击误报的实施效果。本实施案例在以本发明技术方案为前提下进行实施，但本发明的保护范围不限于下述的实施例。
[0028]
本发明所述降低偏差攻击误报方法具体针对工业过程控制系统中的控制回路，本实施例中取控制系统中控制回路数m＝5并建立如图1所示的工业过程控制系统。
[0029]
本实施案例流程如图2所示，本实施例对比了幅值同为1且作用时间段均为t＝[16.65s,23.31s]的偏差攻击和扰动作用结果，分别作用于单个控制回路和5个控制回路，结合仿真结果说明了该方法的有效性。其中，偏差攻击直接作用于控制回路的传感器通道，篡改传感器采集的被控物理对象状态信息导致控制器无法接收到真实数据，进而影响闭环
控制系统的正常运行，其作用于5个控制回路的示意图如图3所示。扰动作用通过不同扰动通道作用于控制系统，如图4所示。具体实施步骤如下：
[0030]
1)收集由工业过程g
p,m
(s)和控制器g
c,m
(s)构成的第m个工业过程控制回路l
m
在正常运行状况下的输入输出历史数据，m∈[0,1,2
…
,m]；
[0031]
2)利用l
m
的历史数据计算被控对象g
p,m
(s)的估计模型本实例中利用最小二乘法计算出的估计模型为：
[0032][0033][0034][0035][0036][0037]
3)计算估计模型的输出与测量信号的偏差a1,a2,
…
a
m
，偏差攻击和扰动作用于一个回路的仿真以作用在回路1上为例，其中偏差攻击作用下的检测结果如图5所示，扰动作用下的检测结果如图6所示。偏差攻击和扰动作用于5个回路的仿真例中，偏差攻击作用下的检测结果如图7所示，扰动作用下的检测结果如图8所示。
[0038]
4)若a1,a2,
…
a
m
中存在偏差超出阈值k
th
，则将超出k
th
的偏差视为异常信号并转步骤5)，否则转步骤3)，本实例中k
th
取0.3，通过图5
‑
8可以看出偏差均存在超出阈值的情况，转步骤5)；
[0039]
5)若a1,a2,
…
a
m
中仅有一个异常信号a
m
，转步骤6)，否则转步骤7)，本实例中图5
‑
6中可以看出两图中分别只有一个异常信号，图5中的异常信号记作a
1,fig5
，图6中的异常信号记作a
1,fig6
，转步骤6)进行偏差攻击识别，图7
‑
8中的a1‑
a5全部超出阈值，转步骤7)进行偏差攻击识别；
[0040]
6)计算超出阈值的异常信号a
1,fig5
和a
1,fig6
在幅值上升段a
1r,fig5
和a
1r,fig6
分别与阶跃信号上升段ε
r
的相似度：
[0041][0042][0043]
本实例中异常信号的幅值上升段为信号幅值距离二分之一最高幅值最近的采样点前后3.33s的时间段序列，ε
r
为单位阶跃信号上升沿前后3.33s时间段序列，s
th
取0.9，从结果可以看出s
1,fig5
超出s
th
值，即图5中的异常信号被视为偏差攻击，进行预警，图6中异常
信号视为扰动，直接转步骤3)；
[0044]
7)比较超出阈值的n个信号(n≥2)，以任一信号为基准，计算其余n
‑
1个信号与基准信号相似度f
m
，本实例中f
th
选择为80％，首先计算图7中异常信号间相似度，选取a1为基准信号，计算其它信号和a1的相似度为：
[0045][0046][0047][0048][0049]
可以看出图7中信号相似度均大于f
th
，视作偏差攻击，则进行偏差攻击预警转步骤3)，计算图8中异常信号间相似度，同样选取a1为基准信号，计算其它信号和a1的相似度：
[0050][0051][0052][0053][0054]
从图8中可见，其它信号与基准信号的相似度均很低，视作扰动，直接转步骤3)。
[0055]
综上所述，该方法通过辨别控制系统中的扰动和偏差攻击，从而有效降低了工业过程控制系统偏差攻击误报率，对工业过程控制系统的安全防护具有重要价值。