用于控制系统安全性的系统和方法与流程

用于控制系统安全性的系统和方法
1.关于联邦资助的研究或开发的声明
2.本发明是在美国能源部授予的合同号de ac07-05-id14517的政府支持下完成的。政府对本发明有一定的权利。
技术领域
3.本公开涉及控制系统安全性，并且具体涉及用于全面评估控制系统和/或其相应控制回路的网络-物理健康的系统、方法、装置和/或非暂时性计算机可读存储介质。


背景技术：

4.如本文所使用的，“网络-物理”系统是指包括被配置为可操作地和/或通信地将物理组件耦合到计算组件的网络组件(反之亦然)的系统。如本文所使用的，“计算组件”可以指代被配置为实施与物理过程和/或物理过程属性有关的控制逻辑和/或控制功能的组件。如本文所使用的，“物理组件”可以指代用于实现控制逻辑和/或控制功能的任何合适的部件，该控制逻辑和/或控制功能可包括以下一项或多项：监视、感测、修改、致动、调制、管理、调节和/或控制物理过程和/或物理过程属性。如本文所使用的，“网络组件”可以指代用于将计算组件通信地和/或可操作地耦合到组件的任何合适的部件(例如，用于将物理组件耦合到系统的计算和/或控制基板的网络基础设施)。
5.用于保护网络-物理系统的常规技术可能会尝试保护内部通信基础设施免受网络攻击。然而，常规系统可能不会将网络组件的健康和/或检测到的网络异常与由此可能受到影响的物理组件的状态相关联(并且可能无法这样做，因为网络安全组件可能不会与系统的特定物理组件相关)。物理组件的健康可以与网络组件分开且独立地进行评估。用于检测物理组件中的异常的常规技术可依赖于基于物理组件的已知故障模式的基本识别技术。
6.用于保护网络-物理系统的常规技术可能试图保证用于与系统的物理组件通信的网的安全性和/或完整性。此类安全性保证可基于周边安全性，由此系统的内部网免受来自一种或多种外部网的攻击和/或入侵(例如，可依赖于系统的安全网关和/或外部通道)。基于这些保证，常规系统可以假设与物理组件的内部通信是安全的。因此，对网关、外部通信通道和/或系统物理组件的成功攻击可导致完全受损。此外，即使在维持安全性保证时，攻击者也可能经由受损物理组件影响网络-物理系统。因此，常规系统可能无法充分保护网络-物理系统免受各种网络和/或物理攻击。
7.需要用于保护网络-物理系统的系统、方法、装置和/或非暂时性计算机可读存储介质，其施加最小开销，能够检测网络和物理攻击和/或故障模式，并且能够评估控制系统的获取的网络和/或物理状态的有效性。


技术实现要素：

8.本文公开了用于保护控制系统(和/或其相应的控制元件)的系统、方法、装置和/或非暂时性计算机可读存储介质，其可以包括：评估控制系统的网络-物理健康；确定与通
过控制系统的相应控制系统通信上下文特定的网络-物理状态信息相对应的误差度量；检测控制系统中的异常和/或尤其基于所确定的误差度量来量化控制系统的所获取的网络-物理状态的置信度；确定检测到的异常的原因；获取控制系统的网络-物理状态；监视所获取的网络-物理状态；将所获取的网络-物理状态与学习的网络和/或物理行为进行比较和/或类似。
9.附加方面和优点将从以下参考附图进行的优选实施例的详细描述中变得明显。
附图说明
10.图1a是如本文所公开的网络-物理系统的一个实施例的示意性框图；
11.图1b是如本文所公开的包括网络-物理拓扑的数据结构的一个实施例的示意性框图；
12.图2是如本文所公开的弹性安全代理的一个实施例的示意性框图；
13.图3a至3b是示出了如本文所公开的包括网络-物理状态元数据的实施例的数据结构的实施例的示意性框图；
14.图3b示出了如本文所公开的网络和/或物理状态签名之间的关系；
15.图4是示出了如本文所公开的包括网络-物理健康元数据的数据结构的实施例的示意性框图；
16.图5a至5b是如本文所公开的弹性安全代理的另一实施例的示意性框图；
17.图6是如本文所公开的用于保护网络-物理系统的方法的一个实施例的流程图；
18.图7a至7b是如本文所公开的用于保护网络-物理系统的方法的另一实施例的流程图；
19.图8是如本文所公开的用于通过弹性安全代理确定异常误差度量的来源的方法的一个实施例的流程图；
20.图9是如本文所公开的用于通过弹性安全代理确定高误差度量的来源的方法的另一个实施例的流程图；
21.图10是如本文所公开的用于通过弹性安全代理确定异常误差度量的来源的方法的另一个实施例的流程图；
22.图11是如本文所公开的用于表征网络-物理系统的选定区域的网络-物理健康的方法的一个实施例的流程图；
23.图12a至13b是如本文所公开的弹性安全代理的另一实施例的示意性框图；
24.图14a至14b是被配置为尤其基于一个或多个网络和/或物理状态配置文件来评估网络和/或物理健康的弹性安全代理的另一实施例的示意性框图；以及
25.图15至18是如本文所公开的用于保护网络-物理系统的方法的另一实施例的流程图。
具体实施方式
26.图1a是如本文所公开的网络-物理系统100的一个实施例的示意性框图。网络-物理系统100可以包括如本文所公开的网络-物理组件102(例如，可以网络通信、计算和物理基板之间的紧密耦合为特征)。网络-物理系统100可以包括以下一个或多个：工业控制系
统、智能控制系统、分布式控制系统、嵌入式控制系统、车辆控制系统、建筑物控制系统、过程控制系统、工厂控制系统、制造控制系统、电力控制系统、电网系统、监督控制和数据获取(scada)系统等。在图1a实施例中，网络-物理系统100包括控制系统101。控制系统101可包括网络-物理组件(组件102)，其可以包括但不限于：网络通信组件(网络组件120)、网络计算和/或控制组件(计算组件iso)、物理组件140等。控制系统101还可包括弹性安全代理110，如本文进一步详细公开的，其可被配置为防止、检测和/或缓解网络-物理攻击。
27.控制系统101可包括和/或实施一个或多个“网络-物理控制元件”105。如本文所使用的，“网络-物理控制元件”(cpce)105是指网络-物理组件102，其被配置为实施与一个或多个物理过程变量155有关的控制功能。如本文所使用的，“物理过程变量”或“过程变量”155可指代能够由控制系统101的网络-物理组件102感知、测量、监视、调整、操纵、管理、保护、调节和/或以其它方式控制的任何合适的物理现象。物理过程变量(ppv)155可包括由cpce 105实施的控制功能的操纵变量。ppv 155可包括和/或对应于物理过程150、物理过程属性152等中的一个或多个。如本文所使用的，“物理过程”150可指代能够由网络-物理系统100控制的任何物理现象和/或过程，其可包括但不限于：工业过程、机械过程、机电过程、电气过程、电力过程、发电过程、配电过程、电功率调节过程、电功率存储过程、电功率负载过程、制造过程、流体过程、化学过程等。如本文所使用的，物理过程150的属性152(或“物理过程属性”152)可指代能够由网络-物理系统100控制的任何合适的属性、变量、过程变量、特性、参数和/或状态。如本文所使用的，“控制”ppv 155可指代以下一项或多项：通过使用控制系统101的网络-物理组件102感测、测量、监视、调整、操纵、管理、调节、保护和/或以其它方式控制ppv 155。因此，如本文所使用的，cpce 105可包括、体现和/或对应于控制系统101的一个或多个网络-物理组件102。cpce 105可包括、体现和/或实施控制功能、网络-物理控制功能、控制路径、网络-物理控制路径、控制回路、网络-物理控制回路、控制部件、网络-物理控制部件等中的一个或多个。如本文进一步详细公开的，cpce 105可包括控制系统101的网络组件120、计算组件130和/或物理组件140。
28.cpce 105的计算和/或控制操作可由计算组件130实施，该计算组件可通过一个或多个网络组件120紧密耦合到cpce 105的对应物理组件140。控制系统101的网络组件120可包括、体现和/或实施网络通信服务，该网络通信服务被配置为可操作地和/或通信地耦合控制系统101的组件102。网络组件120可包括用于将控制系统101的物理组件140可操作地和/或通信地耦合到控制系统101的计算组件130的任何合适的部件，该部件可包括但不限于：通信组件、通信设备、通信接口组件、通信介质、通信端口、集中器组件、集中器设备、接收器、发送器、收发器、换能器、继电器、网组件、网设备、网接口、网组件、网通信介质(例如，网布线、端口等)、网集线器、网集中器、网交换机、网路由器、网安全设备、网防火墙、网过滤器、网驱动程序、网协议驱动程序、网络节点(网络节点124)等。在一些实施例中，网络组件120可包括、体现和/或实施控制系统网122。如本文所使用的，控制系统(cs)网122可指代用于通信地耦合网络-物理系统100的组件102的任何合适的部件，诸如控制系统101。cs网122可包括但不限于：通信网、电子通信网、内部网、互联网协议(ip)网、无线网、局域网(lan)、广域网(wan)、虚拟专用网(vpn)、无线网(例如，ieee 802.11a-n无线网、网、近场通信(nfc)网等)、公共交换电话网(pstn)、移动网(例如，被配置为实施用于移动数据通信的一种或多种技术标准或通信方法的网，该技术标准或通信方法诸如全球移动通信系统
(gsm)、码分多址(cdma)、cdma2000(码分多址2000)、ev-do(增强语音数据优化或仅增强语音数据)、宽带cdma(wcdma)、高速下行链路分组接入(hsdpa)、高速上行链路分组接入(hsupa)、长期演进(lte)、lte-a(高级长期演进)等)、嵌入式网、控制网、过程控制网、传感器网、致动器网、scada网、分布式网协议(dnps)网络、国际电工委员会60870(iec 60870)网、实验物理和工业控制系统(epics)、网组合、相量网、多种网、多种单独网、多种可通信和/或可操作耦合的网等。在一些实施例中，网络组件120还可被配置为保护cs网122上的通信，这可包括对在cs网122内通信的消息的完整性进行加密、签名、认证和/或验证。如本文所使用的，在cs网122上通信的消息可包括以下一个或多个：信号、控制信号、控制系统信号、命令、传感器命令、致动器命令、传感器信号、传感器数据信号、致动器信号、致动器命令信号、分组、数据分组、网分组、ip分组、dnp3分组、scada分组、同步相量、同步相量数据等。
29.在一些实施例中，网络组件120还可包括网络安全组件123，其可被配置为将cs网122(和/或其部分)安全地耦合到一种或多种外部网。网络安全组件123可包括被配置为防止、检测和/或缓解来自外部网的攻击的周边安全部件。网络安全组件123可包括但不限于：如本文所公开的网关、通道、防火墙、端口监视器、网过滤器、入侵检测系统等。
30.cs网122可包括和/或被配置为通信地耦合多个网络节点(网络节点124)。如本文所使用的，网络-物理系统100的“网络节点”、“网络节点”或“节点”124是指可在控制系统101内接收、发出、发送、生成、转发、路由和/或以其它方式通信网络通信(例如，如上文所公开的消息)的点。网络节点124可包括控制系统101的能够操作地和/或通信地耦合到cs网122的任何合适的网络-物理组件102，包括但不限于：网络组件120(例如，网络基础设施，诸如网设备、集中器、集线器、路由器、网关、网接口设备、网络安全组件12s等)、计算组件iso(例如，计算设备、控制器132、自动化控制器134、监视设备、rtu等)、联网物理组件140(例如，联网传感器设备144、联网致动器设备146)等。联网传感器设备144/致动器设备146可包括相应的网络节点124(图1b中未示出以避免模糊所公开的实施例的细节)。
31.控制系统101的计算组件130可包括、体现和/或实施控制系统101的计算服务，其可包括但不限于：计算服务、控制服务、监视服务、配置服务、接口服务、人机界面(hmi)服务等。计算组件130可包括用于实施计算服务的任何合适的部件，其可包括但不限于：处理器、通用处理器、专用处理器、专用集成电路(asic)、现场可编程门阵列(fpga)、计算设备(例如，包括处理器、存储器、非暂时性存储设备、网接口等的设备)、监视设备、hmi设备、监控计算设备、远程终端单元(rtu)、智能电子设备(ied)、控制设备、过程控制器、微控制器、控制逻辑、可编程逻辑、可编程逻辑控制器(plc)、控制器、线性控制器、比例积分微分(pid)控制器、控制元件、继电器、保护继电器、安全继电器、开关、自动化控制器、实时自动化控制器(rtac)等。在图1a的实施例中，控制系统101的计算组件130可包括控制器132、自动化控制器134和hmi设备136。然而，本公开在这方面不受限制，并且可适于包括任何数量和/或类型的计算组件130。
32.控制系统101的物理组件140可包括和/或对应于如本文所公开的一个或多个ppv 155(例如，一个或多个物理过程150和/或物理过程属性152)。物理组件140还可包括被配置为实施物理操作的组件，该物理操作可包括但不限于：感测、测量、监视、操纵、致动、影响、修改、管理、调节和/或控制相应的ppv 155(和/或其它物理组件140)。物理组件140可包括用于实施物理操作的任何合适的部件，包括但不限于：机械设备、机电设备、电气设备、固态
设备、数字设备、模拟设备、气动设备、液压设备、监视设备、接收器设备、收发器设备、物理控制设备、感测设备(例如，传感器设备144)、致动设备(例如，致动器设备146)等。
33.在一些实施例中，控制系统101的物理组件140可操作地和/或通信地耦合到控制系统101的一个或多个其它组件102。物理组件140可耦合到控制系统101的其它物理组件140、控制系统101的网络组件120、控制系统101的计算组件130等(例如，可操作地和/或可通信耦合到控制器132，如图1a所示)。与控制系统101的一个或多个其它组件102可操作地和/或通信地耦合的物理组件140可被称为一个或多个组件102的“接收器”。控制系统101的物理组件140可包括和/或耦合到用于与控制系统101的其它组件102对接的部件，该部件可包括用于向控制系统101的其它组件102发送信号和/或从控制系统的其它组件接收信号的部件。用于对接的部件可包括以下一个或多个：换能器、模数转换器(dac)、接收器、发送器、收发器、端口、接口、通信端口、通信接口、通信介质、网端口、网接口、网接口设备、网通信介质等。在一些实施例中，控制系统101的一个或多个物理组件140可直接耦合到控制系统101的一个或多个其它组件102。例如，一个或多个物理组件140可通过直接设备对设备耦合、专用通信介质等直接耦合到控制器132。替代地或另外，控制系统101的一个或多个物理组件140可尤其通过控制系统101的网络组件120可操作地和/或通信地耦合到cs网122(例如，可包括和/或通信地耦合到cs网122)。与cs网122可操作地和/或通信地耦合的物理组件140可被称为“联网”物理组件140。
34.如上文所公开，控制系统101的物理组件140可包括用于执行一个或多个物理操作的部件，其可包括但不限于：传感器设备144、致动器设备146等(例如，传感器设备144a-n和致动器设备146a-n，如图1a所示)。如本文所使用的，控制系统101的传感器设备144可包括用于获得与ppv 155有关的信息的任何合适的部件，其可包括但不限于以下一个或多个：scada传感器、有源传感器、无源传感器、测量设备、监视设备、机电传感器设备、电气测量设备、电流测量设备、电压测量设备、电容测量设备、电感式传感器、电阻测量设备、阻抗测量设备、相位测量单元(pmu)、磁传感器、磁场传感器、各向异性磁阻(amr)传感器、电弧检测设备、霍尔效应传感器、功率测量设备、电功率测量设备(例如，功率计)、光传感器、颜色传感器、光电传感器、光电辐射传感器、红外传感器、图像捕获设备、机械测量设备、机械功率测量设备、扭矩传感器、转速计、位置传感器、全球定位系统(gps)设备、速度测量设备、车速传感器、速度计、角速度传感器、取向传感器、瓷砖传感器、指南针、加速度计、陀螺仪、压力传感器、冲击传感器、振动传感器、超声波传感器、温度传感器、热电偶设备、湿度传感器、接近传感器、化学传感器、微粒传感器、气体传感器、烟雾传感器、流量传感器、液位传感器、触摸传感器、纳米传感器等。
35.控制系统101的物理组件140还可包括致动器设备146a-n。如本文所使用的，控制系统101的致动器设备146可包括用于实施与ppv 155有关的物理操作的任何合适的部件。致动器设备146可包括但不限于以下一个或多个：scada致动器、线性致动器、旋转致动器、流体致动器、液压致动器、液压缸致动器、气动致动器、机械致动器、齿轮齿条致动器、梳齿驱动致动器、链条致动器、螺旋千斤顶致动器、磁致动器、电动致动器、机电致动器、电动马达、伺服机构、螺线管、步进马达、扭矩马达、形状记忆允许致动器、开关、旋转开关、拨动开关、电子开关、电动开关、继电器、固态继电器、模拟开关、纵横开关、晶体管开关、机电继电器、衔铁吸合式继电器(attracted armature relay)、感应继电器、机械继电器、动圈式继
电器、电动继电器、热继电器、断路器、扭曲卷绕聚合物(tcp)致动器、超卷绕聚合物(scp)致动器、热致动器、热双压电晶片致动器、软性致动器、形状记忆聚合物(smp)致动器、光敏聚合物/光活化聚合物(lap)致动器、介电弹性体(de)致动器、离子聚合物金属复合材料(ipmc)致动器、电活性聚合物(eap)致动器等。在一些实施例中，致动器设备146可被配置为获取关于一个或多个ppv 155(物理过程150和/或其属性152)、致动器设备146本身、由致动器设备146实施的物理操作等的状态信息。致动器设备146还可被配置为将获取的状态信息通信到一个或多个计算组件130。替代地或另外，致动器设备146可包括和/或耦合到如本文所公开的一个或多个传感器设备144，其可被配置为获取和/或通信状态信息。如图1a所示，cpce 105的物理组件140可包括一个或多个致动器设备146a-n，每个致动器设备包括用于实施与cpce 105的ppv 155有关的物理操作的合适部件，该物理操作可包括移动、操纵、调节和/或致动与ppv 155可操作地耦合的机构。
36.如上文所公开的，控制系统101可包括、体现和/或被配置为实施一个或多个cpce 105。实施cpce 105可包括通过使用控制系统101的网络-物理组件102来控制一个或多个ppv 155。因此，cpce 105可包括和/或体现控制系统101的网络-物理组件102。如图1a所示，cpce 105可包括：计算组件130，其被配置为实施与cpce 105的相应ppv 155有关的一个或多个控制功能；物理组件140，计算组件130通过该物理组件实现控制功能；以及网络组件120，cpce 105的计算组件130可通过该网络组件可操作地和/或通信地耦合到cpce 105的物理组件140。
37.图1a所示的cpce 105的计算组件130可包括控制器132。控制器132可被配置为实施与一个或多个ppv 155有关的控制功能。因此，图1a所示的cpce 105的物理组件140可包括一个或多个ppv 155以及物理组件140，控制器132通过该物理组件感测、测量、监视、调整、操纵、管理、调节和/或以其它方式控制ppv 155，该物理组件诸如一个或多个传感器设备144a-n、一个或多个致动器设备146a-n等。图1a的cpce 105还可包括网络组件120(例如，网络节点124)，控制器132可通过该网络组件可操作地和/或通信地耦合到cpce 105的物理组件140。
38.控制器132可包括用于实施计算和/或控制如本文所公开的操作的任何合适的部件。实施cpce 105的控制功能可包括控制器132：确定控制功能的状态(例如，控制功能的ppv 155的状态)并根据所确定的状态确定控制决策。如本文所使用的，cpce 105的控制功能的状态可指代以下一个或多个：cpce 105的物理组件140的状态、cpce 105的ppv 155的状态、可操作地耦合到ppv 155的物理组件140的状态(例如，传感器设备144a-n、致动器设备146a-n中的一个或多个的状态等)，cpce 105的计算组件130的状态(例如，控制器132的状态)、cpce 105的网络组件120的状态等。
39.在一些实施例中，cpce 105的控制功能可包括控制ppv 155的值，并且实施控制功能可包括控制器132：通过使用一个或多个传感器设备144a-n来获取ppv 155的当前状态，并确定控制决策以减少ppv 155的获取状态与目标状态或设置点之间的误差。控制器132可通过使用一个或多个传感器设备144a-n来获取ppv 155的当前状态，并且可通过使用一个或多个致动器设备146a-n来实现控制决策。在一些实施例中，控制器132可被配置为实施pid控制功能，其可包括控制器132：通过使用cpce 105的一个或多个物理组件140(例如，通过使用一个或多个传感器设备144a-n)获取ppv 155的状态；计算误差值e(t)，该误差值量
化ppv 155的获取状态和目标状态之间的偏差；并确定控制输出u(t)的比例、积分和/或微分分量以使误差值e(t)随时间最小化(该控制输出u(t)对应于由例如一个或多个致动器设备146a-n实施的物理操作)。替代地或另外，由控制器132实施的控制功能可包括保护功能，其可包括：(通过使用一个或多个传感器设备144a-n)监视ppv 155的状态，并确定是否根据受检视状态采取一种或多种保护动作(由一个或多个致动器设备146a-n实现的保护动作)。作为非限制性示例，cpce 105可实施保护继电器功能，该保护继电器功能被配置为响应于检测到故障状态而断开支路断路器。尽管本文描述了控制功能的特定示例，但是本公开在这方面不受限制，并且可适于与被配置为实施任何合适的控制、保护、调节、监视和/或管理与任何合适的物理过程150、物理过程属性152和/或ppv 155相关的操作的任何合适的监视和/或控制部件一起使用。
40.如上文所公开，cpce 105的计算组件130(诸如控制器132)可利用物理组件140来实施cpce 105的控制功能。图1a所示的cpce 105的物理组件140可包括一个或多个传感器设备144a-n，其可被配置为：获取关于ppv 155和/或cpce 105的一个或多个其它物理组件140的信息，将获取的信息通信到控制器132等等。传感器设备144可使用任何合适的通信部件来通信由此获取的信息，其包括但不限于：信号、控制信号、控制系统信号、传感器信号、传感器数据信号、设备对设备耦合、分组、数据分组、网分组、ip分组、dnp3分组、scada分组、同步相量、同步相量数据等。在一些实施例中，一个或多个传感器设备144a-n可耦合到cs网122(例如，可包括联网物理组件140和/或可通过一个或多个网络组件120耦合到cs网122)。替代地或另外，如本文所公开的，传感器设备144a-n中的一个或多个可直接耦合到cpce 105的一个或多个计算组件130(例如，可直接耦合到图1a的cpce 105的控制器132)。在一些实施例中，传感器设备144a-n中的一个或多个可被配置为将传感器数据通信到控制系统101的其它网络-物理组件102，诸如另一个控制器132(图1a中未示出以避免模糊所示实施例的细节)、自动化控制器134、hmi设备136等。在一些实施例中，传感器设备144可适于接收和/或实施配置数据，其可包括配置传感器设备144、配置由传感器设备144获取的数据的通信、配置传感器设备144的数据获取(例如，配置数据获取频率、采样周期、分辨率等)等。传感器配置数据可通过cs网122、直接从控制器132(或另一网络-物理组件102)等通信。
41.控制系统101的致动器设备146a-n可被配置为实施物理操作，该物理操作可包括影响、操纵、修改、调节、保护、管理和/或以其它方式控制以下一个或多个：ppv 155(例如，物理过程150和/或其物理过程属性152a-n)、其它物理组件140等。致动设备146a-n可被配置为响应于控制信号而实施物理操作，该控制信号可包括但不限于：信号、控制信号、控制系统信号、致动器信号、致动器控制信号、命令、致动器命令、消息、分组、数据分组、网分组、ip分组、dnp3分组、scada分组等。在一些实施例中，一个或多个传感器设备144a-n可耦合到cs网122(例如，可包括联网物理组件140和/或可通过一个或多个网络组件120耦合到cs网122)。替代地或另外，如本文所公开的，致动器设备146a-n中的一个或多个可直接耦合到一个或多个网络计算组件130(例如，可直接耦合到图1a的cpce 105的控制器132)。如上文所公开的，控制器132可利用致动器设备146a-n中的一个或多个来实施cpce 105的控制功能。一个或多个致动器设备146a-n可被配置为响应于来自控制器132的控制信号而实施物理操作。替代地或另外，致动器设备146a-n中的一个或多个可被配置为响应于来自控制系统101的其它网络-物理组件102(诸如另一个控制器132(图1a中未示出以避免模糊所示实施例的
细节)、自动化控制器134、hmi设备136等)的命令信号而实施物理操作。在一些实施例中，致动器设备146可适于接收和/或实施配置数据，这可包括配置致动器设备146、标识被授权以向致动器设备146发出控制信号的组件102、配置致动器设备146对控制信号的响应，配置由致动器设备146实施的物理操作(例如，调整控制灵敏度，设置物理操作的范围和/或边线(throw))等。致动器配置数据可通过cs网122、直接从控制器132(或另一网络-物理组件102)等通信。
42.在一些实施例中，cpce 105可包括和/或耦合到自动化控制器134。自动化控制器134可被配置为实施涉及和/或包括多个cpce 105(图1a中未示出的其它cpce 105以避免模糊所示实施例的细节)的自动化功能。自动化控制器134可被配置为监视、协调、管理和/或控制一个或多个cpce 105的操作，其可包括：配置cpce 105的网络组件120，配置cpce 105的计算组件130(例如，配置控制器132以实施指定的控制功能、指定控制功能的设置点等)，配置cpce 105的物理组件140，监视cpce 105的计算组件130，监视cpce 105的物理组件140(例如，监视cpce 105的传感器和/或致动器设备144/146)，(例如，通过使用cpce 105的传感器设备144)监视cpce 105的ppv 155，(例如，向cpce 105的致动器设备146发出命令)控制cpce 105的物理组件140等。替代地或另外，自动化控制器134可控制一个或多个cpce 105，其可包括实施如本文所公开的cpce 105的控制功能。
43.尽管图1a描绘了包括控制系统101的特定网络-物理组件102、尤其包括网络组件120、计算组件130和/或物理组件140的示例性cpce 105，但是本公开在这方面不受限制并且可包括包含被配置为根据任何合适的控制功能控制任何类型和/或数量的ppv 155、物理过程150和/或物理过程属性152的任何合适的网络-物理组件102的cpce 105。此外，控制系统101的网络-物理组件102可用于多个cpce 105，计算组件130可用于实施多个不同的cpce 105，传感器设备144可被配置为将传感器和/或测量数据提供给多个cpce 105的计算组件130，致动器设备146可被配置为响应于来自多个cpce 105的计算组件130的命令而实施物理操作，等等。
44.如上文所公开的，控制器132可被配置为通过使用物理组件140(例如，通过使用一个或多个传感器设备144和/或致动器设备146)来实施cpce 105的控制功能。控制器132可利用一个或多个物理组件140以：获取cpce 105的状态(例如，确定ppv 155和/或cpce 105的其它物理组件140的状态)，并实现与ppv 155有关的控制决策。因此，控制器132可与一个或多个物理组件140“紧密耦合”和/或对其具有“物理依赖性”。如本文所使用的，cpce 105的“物理依赖性”是指cpce 105的计算组件130(例如，控制器132)对cpce 105的一个或多个物理组件140的依赖性。在一些实施例中，cpce 105的物理组件140可对cpce 105的一个或多个计算组件130具有“网络依赖性”。如上文所公开的，图1a的cpce 105的致动器设备146可被配置为根据由cpce 105的控制器132生成的控制信号来实施与ppv 155有关的物理操作。因此，致动器设备146可能对控制器132具有网络依赖性。致动器设备146还可对网络组件120具有网络依赖，通过该网络组件，致动器设备146可操作地和/或通信地耦合到控制器132。cpce 105的网络-物理组件102之间的依赖性可被称为“网络-物理依赖性”。如本文所公开的，图1a所示的cpce 105可包括控制器132与物理组件140之间的网络-物理依赖性，控制器132取决于该网络-物理依赖性来实施cpce 105的控制功能，该网络-物理依赖性可包括控制器132和物理组件140(控制器132通过该物理组件获取与cpce 105的状态有关的信
息)以及致动器设备(控制器132通过该致动器设备实现控制操作)等等之间的网络-物理依赖性。
45.如上文所公开的，用于保护网络-物理系统100的常规技术可被配置为防止和/或检测针对网络组件120的攻击(例如，保护cs网122免受外部攻击)。常规系统可能试图基于周边安全性(例如，通过保护通向外部网的网关和/或通道)来保证cs网122的安全性，并且因而可根据内部通信安全且可被信任的假设进行操作。替代地，一些常规系统可能试图保护内部通信(例如，可对在内部网122上通信的消息进行加密和/或签名)。这些常规系统还可监视物理组件140以检测已知的故障模式。然而，这些常规技术可能提供不充分的保护，并且可能无法检测和/或缓解某些类型的网络-物理攻击。由于资源约束，常规系统可能主要依赖周边安全性，使得对周边安全措施的成功攻击可能导致完全受损。此外，即使内部通信是安全的，常规的安全技术仍然可能使控制系统101变得重要；攻击者可能仍然能够经由物理和/或计算环境影响控制系统101。
46.常规系统可能无法检测和/或缓解针对网络-物理系统100的物理和/或计算组件的攻击。如本文所使用的，“物理”或“组件”攻击是指与特定网络-物理组件102有关的攻击。网络-物理组件102可通过外部网、cs网122或通过物理和/或计算环境受到攻击。物理组件140可通过尤其改变物理环境(例如，移动或遮蔽传感器设备144)、连接到致动器设备146的本地通信部件(例如，车载通信端口)等而受到攻击。组件攻击还可包括利用受损网络-物理组件102通过尤其实施“对抗性操作”等来破坏控制系统101(和/或其一个或多个cpce 105)的操作。如本文所使用的，“对抗性操作”是指被配置为中断和/或干扰控制系统101和/或其cpce 105的操作的操作。对抗性操作可包括使网络-物理组件102将对抗性信号引入控制系统101、修改对控制信号的响应、修改计算和/或控制操作等。物理组件攻击可包括使传感器设备144将对抗性传感器数据馈送到控制器132，使致动器设备146改变其对控制信号的响应等等。作为进一步的非限制性示例，组件攻击可针对计算组件130，这可能会减慢由此实施的控制操作(例如，使控制器132实施更高优先级的计算密集型任务)，修改控制由控制器132实施的功能、改变控制功能的参数等。
47.用于保护网络-物理系统100的常规机制可能无法检测到组件攻击和/或将区分此类攻击与网络攻击。此外，组件攻击的对抗性操作(和对应的对抗性信号)可被配置为对标称内部通信进行仿真，并且因而可能不被常规系统(包括试图保护内部通信的常规系统)检测到。此外，即使检测到异常通信，常规系统也可能将此类异常误标识为指示网络攻击，而不是针对控制系统101的特定组件102的攻击。
48.组件攻击可能导致cs网122内的异常网络行为，这尤其可表现为与由受损组件102执行的对抗性操作和/或控制系统101的组件102试图对由此类异常操作(例如，控制系统101的网122上进出控制系统101的组件102的通信的变化)归因的中断做出响应相对应的异常网络通信。如上文所公开的，常规系统可能无法区分由于组件攻击归因的通信与指示正常操作的通信。例如，包括由受损传感器设备144产生的对抗性信号的消息可类似于在正常操作期间由传感器设备144产生的包括非对抗性信号的消息。作为进一步的示例，包括由受损控制器132输出的对抗性控制信号(和/或来自受损致动器设备146的返回信号)的消息可类似于标称操作期间的消息。因此，可能无法通过常规的网络健康监视来检测组件攻击。此外，即使常规系统能够检测由于组件攻击归因的网络异常，常规系统仍然无法确定此类网
络异常的原因。常规系统可能尝试使用网络组件120(例如，网络安全组件123，诸如入侵检测系统)来检测网络攻击，该网络组件与组件攻击所针对的控制系统101的物理组件140(例如，物理组件140，诸如传感器设备144、致动器设备146等)没有关联。因此，由于网络攻击的常规识别依赖于监视与控制系统101的物理和/或计算环境分离和/或独立的网络组件120，因此常规系统可能无法检测由于组件攻击归因的网络异常和/或确定此类异常的来源(例如，可能将网络异常的原因误标识为网络攻击和/或cs网122的受损，而不是影响控制系统101的物理组件140的攻击)。
49.常规系统也可能无法对由于组件攻击归因的物理异常充分地做出响应。由于组件攻击导致的物理异常可能无法被常规安全系统检测到(因为与受损组件有关的通信在cs网122内，此类系统可能认为该通信是安全的)。此外，即使被配置为监视物理组件140的常规系统也可能无法检测由于组件攻击而归因的物理异常。如上文所公开的，由组件攻击归因的物理异常可能不对应于与控制系统101的物理组件140的已知故障模式相关联的物理异常。因此，常规的物理健康监视可能无法检测组件攻击。此外，即使常规系统能够检测与组件攻击相关联的物理异常，常规系统仍然无法确定此类物理异常的原因是组件攻击而不是物理故障模式。此外，常规系统可能无法标识受损物理组件140和/或区分受损物理组件140与经历物理故障的物理组件140。
50.如上文所公开的，控制系统101可包括弹性安全(rs)代理110。在一些实施例中，rs代理110可包括控制系统101的计算组件130(诸如计算设备、rtu、plc、控制器132、自动化控制器134、hmi设备136等)和/或由其体现。在图1a的实施例中，rs代理110在控制器132上实施。如本文进一步详细公开的，rs代理110可被配置为保护控制系统101，其可包括：生成状态密钥160，该状态密钥包括与控制系统101(和/或其相应区域)的当前网络-物理状态相对应的网络-物理密钥数据；通过控制系统101的cpce 105通信状态密钥160；并尤其基于与状态密钥160的通信相对应的误差度量175来确定与控制系统101有关的网络-物理健康元数据180。rs代理110可被配置为根据网络-物理状态元数据111生成和/或通信状态密钥160，该状态密钥包括、表征、定义和/或以其它方式指示控制系统101的网络-物理状态。状态密钥160可包括网络-物理密钥数据162，其可源自于控制系统101的当前和/或实时网络-物理状态。网络-物理密钥数据162可包括被配置为表征控制系统101(和/或其选定区域)的网络状态的网络种子，以及被配置为表征控制系统101(和/或其选定区域)的物理状态的物理种子。因此，攻击者不可能欺骗和/或重放状态密钥160。此外，状态密钥160可使用简单的计算技术导出，使得状态密钥160的生成和通信施加低开销，并且可由网络-物理组件102以最少计算资源(例如，通过控制器132、plc等)实施。
51.由rs代理110通信的状态密钥160可包括和/或相对应于控制系统101(和/或其相应区域)的网络-物理状态。如本文所使用的，网络-物理系统100(诸如控制系统101)的“网络-物理状态”可指代控制系统101的网络-物理组件102的状态，其可包括和/或对应于：由相应的网络-物理组件102实施的网络和/或物理服务的状态、相应的网络-物理组件102的配置、相应的网络-物理组件102的利用等。rs代理110可包括和/或通信地耦合到网络-物理状态元数据111，其可被配置为包括、定义和/或表征控制系统101(和/或其相应区域)的网络-物理状态。网络-物理状态元数据111可包括网络状态参数112，其可对应于控制系统101的网络-物理状态的相应方面、特性和/或特征。在一些实施例中，rs代理110可被配置为获
取和/或维护网络-物理状态元数据111(例如，通过尤其从控制系统101的相应的网络-物理组件102获取获取与该控制系统的网络-物理状态有关的信息)。替代地或另外，rs代理110可通信地耦合到由另一个实体(图1a中未示出以避免模糊所公开的实施例的细节)获取的网络-物理状态元数据111。
52.网络-物理状态元数据111可包括和/或对应于控制系统101的网络-物理拓扑115。如本文所使用的，网络-物理系统100的“网络-物理拓扑”115可指代其网络-物理组件102的网络和/或物理布置。因此，控制系统101的网络-物理拓扑115可为控制系统101独有的、为控制系统101的特定配置独有的、为控制系统101的特定网络-物理状态独有的等。控制系统101的网络-物理拓扑115可包括、定义和/或表征控制系统101的网络路径126。如本文所使用的，网络路径126是指控制系统101的相应网络组件120和/或计算组件130可通过其可操作地和/或通信地耦合到控制系统101的相应物理组件140和/或ppv 155(反之亦然)的部件。图1a所示的控制系统101的网络-物理拓扑115可包括、定义和/或表征网络路径126，控制器132(和/或其它计算组件130)可通过该网络路径可操作地和/或通信地耦合到相应的传感器设备144和/或致动器设备146。如本文所公开的，网络路径126可包括一个或多个网络组件120、cs网122的部分、网络节点124、一个或多个设备对设备耦合件等。网络-物理拓扑115还可包括、定义和/或表征控制系统101的物理控制拓扑，其可包括关于物理控制耦合件和/或控制系统101的计算组件130和/或物理组件140与相应的ppv 155(例如，物理过程150和/或物理过程属性152)之间的相关关系的信息。在图1a的实施例中，物理控制拓扑可对应于控制器132与相应的传感器设备144a-n/致动器设备146a-n和/或ppv 155a-n之间的耦合(例如，可指示相应的传感器设备144a-n/致动器设备146a-n与相应的物理过程150和/或物理过程属性152之间的物理耦合)。
53.图1b示出了被配置为包括、定义和/或表征如本文所公开的网络-物理拓扑115的实施例的数据结构的实施例。在一些实施例中，控制系统101的网络-物理拓扑115可包括控制系统101的配置(和/或控制系统的相应网络-物理组件102的配置)和/或由其体现。替代地或另外，网络-物理拓扑115可通过使用一种或多种数据结构(诸如图1b中所示的一种或多种数据结构)来表示和/或维护。包括与控制系统101的网络-物理拓扑115有关的信息的数据结构可维持在任何合适的计算机可读介质(包括存储器、易失性存储器、非易失性存储器、非易失性存储设备、固件等)中。
54.在一些实施例中，网络-物理拓扑115可包括与控制系统101内的网络通信有关的信息，包括与将控制系统101的计算组件130可操作地和/或通信地耦合到相应物理组件140的部件有关的信息。如图1b所示，网络-物理拓扑115可包括和/或表示控制系统101的网络节点124(例如，网络节点124a-n)。因此，网络-物理拓扑115可包括、表示和/或对应于cs网122的拓扑。图1b所示的网络-物理拓扑115可对应于图1a中描绘的控制系统101，并且因而可包括关于控制器132的信息。如图所示，控制器132可通信地耦合到cs网122，并且因而可包括和/或相对应于cs网122的网络节点124a。网络-物理拓扑115还可包括网络节点124b-d，其可表示和/或对应于通过其实施cs网122的部分的网络组件120(例如，可包括网络设备、集中器、交换机、路由器等)。
55.在一些实施例中，网络-物理拓扑115还可包括与控制系统101的物理组件140之间的关系有关的信息。如图1b所示，网络-物理拓扑115可包括和/或表示传感器设备144a-n
和/或致动器设备146a-n与相应ppv 155(相应的物理过程150、物理过程属性152a-n等)之间的关系。网络-物理拓扑结构115可包括与相应的传感器设备144a-n有关的信息，并且可指示传感器设备144a-n中的一个或多个可操作地耦合到物理过程150(和/或相应的物理过程属性152a-n)。网络-物理拓扑115还可被配置为指示能够由相应的传感器设备144a-n感测、测量和/或监视的ppv 155，指示能够由相应的传感器设备144a-n获取的传感器数据的类型等。网络-物理拓扑115可标识与物理过程150(和/或其相应的物理过程属性152a-n)可操作地耦合的致动器设备146a-n，指示ppv 155能够由相应的致动器设备146a-n调整、操纵、管理、保护、调节、管理和/或以其它方式控制，指示能够由相应的致动器设备146a-n实施的物理操作的类型等。尽管图1b图示了包括特定的网络-物理组件102的网络-物理拓扑115的实施例，但是本公开在这方面不受限制，并且可适于与以任何合适配置可操作地耦合到任何数量和/或类型的ppv 155的任何合适的网络-物理组件102一起使用。
56.在一些实施例中，网络-物理拓扑115还可包括与控制系统101的相应cpce 105有关的信息。在图1b的实施例中，cpce 105可包括物理控制部分149和网络部分129。物理控制部分149可包括和/或对应于网络-物理组件102，其被配置为感测、测量、监视、调整、操纵、管理、调节和/或以其它方式控制cpce 105的ppv 155(例如，物理过程150和/或其一个或多个物理过程属性152)。cpce 105的物理控制部分149可包括：计算组件130，其被配置为实施与指定的ppv 155有关的控制功能；以及物理组件140，通过其可实现控制功能(例如，控制器132被配置为通过使用一个或多个传感器设备144和/或致动器设备146实施与ppv 155有关的控制功能)。cpce 105的物理控制部分149可包括和/或对应于一个或多个物理控制耦合件148。如本文所使用的，“物理过程控制耦合件”或“物理控制耦合件”148是指包括和/或对应于通过cpce 105的计算组件130和/或物理组件140对ppv 155的控制的耦合件。因此，物理控制耦合件148可指代包括和/或对应于由cpce 105控制的物理过程150和/或一个或多个物理过程属性152的耦合件。cpce 105的网络部分129可包括关于cpce 105的计算组件130与cpce 105的物理组件140之间的网络-物理耦合和/或路径126(包括替代网络路径(例如，通过cs网122耦合相同的组件130/140的不同路线))的信息。
57.如图1b所示，图1a的控制系统101可包括多个cpce 105a-n，每个cpce被配置为控制相应的ppv 155a-n。cpce 105a可被配置为控制ppv 155a，其可包括和/或对应于(物理过程150的)物理过程属性152a-b等等，cpce 105n被配置为控制ppv 155n，其可包括和/或对应于物理过程属性152n。cpce 105a的物理控制部分149a可指示控制器132被配置为使用传感器设备144a-b和致动器设备146a-b来实施与ppv 155a有关的控制功能。cpce 105n的物理控制部分149n可指示控制器132还被配置为使用传感器设备144n和致动器设备146n来实施与ppv 155n有关的控制功能。网络部分129a-n可包括与相应cpce 105a-n的计算组件130与相应cpce 105a-n的物理组件140之间的网络-物理耦合和/或路径126有关的信息。在图1b的实施例中，网络路径126可被表示为一系列网络节点124。然而，本公开在这方面不受限制，并且可适于使用用于表示和/或定义网络-物理耦合件和/或路径126(例如，网络地址表、路由表等)的任何合适的部件。如图1b所示，cpce 105a的网络部分129a可包括一系列网络节点124，通过该系列网络节点，可在控制器132(在网络节点124a处)与耦合到cpce 105a的相应物理组件140的网络节点124(相应的传感器设备144a-b、致动器设备146a-b等，包括替代路径)之间通信消息。信息部分129n可指示网络路径126，控制器132可通过该网络路径
通信地耦合到cpce 105n的物理组件140(例如，分别是传感器设备144n和致动器设备146n)。
58.网络-物理拓扑115还可包括与通过相应cpce 105的控制路径(网络-物理控制元件路径108)有关的信息。如本文所使用的，“控制路径”或“网络-物理控制”(cpc)路径108是指通过cpce 105的网络-物理组件102的路径，该路径包括和/或对应于cpce 105的ppv 155。cpce 105可包括多个cpc路径108，每个cpc路径对应于cpce 105的计算组件130通过其控制ppv 155的相应路径。cpc路径108可包括：第一网络路径126、物理控制耦合件148和第二网络路径126。第一网络路径126可包括cpce 105的计算组件130与物理控制耦合件148之间的网络路径126，并且第二网络路径126可包括从物理控制耦合件148返回计算组件130的网络路径126。如上文所公开的，物理控制耦合件148是指包括和/或对应于cpce 105的ppv 155(例如，物理过程150和/或其一个或多个属性152)的耦合件。如本文进一步详细公开的，物理控制耦合件148可包括cpce 105的物理组件140之间的耦合件，该耦合件通过和/或跨过ppv 155(例如，可包括从致动器设备146由、跨过和/或通过ppv 155到传感器设备144的路径)。替代地或另外，物理控制耦合件148可包括ppv 155与可操作地耦合到其的一个或多个网络-物理组件102之间的相关性(例如，可包括ppv 155的状态和/或操作地耦合到其的一个或多个物理组件140的状态)。因此，如本文所使用的，cpc路径108可指代网络路径，该网络路径包括cpce 105的一个或多个网络路径126和cpce 105的一个或多个物理耦合件148(物理耦合件148包括和/或对应于cpce 105的相应ppv 155)。
59.图1b描绘了cpce 105a的示例性cpc路径108(在图1b中标记为108{105a})。图1b所示的cpc路径108可包括：通过cpce 105a的网络部分129a的第一网络路径126(例如，从控制器132到致动器设备146b的第一网络路径126)、通过cpce 105a的物理控制部分149a的物理控制耦合件148(例如，从致动器设备146b由、跨越和/或通过物理过程属性152a到传感器设备144a的物理耦合件148)，以及通过网络部分129a的第二网络路径126(例如，从传感器设备144b返回控制器132的第二网络路径126)。
60.返回参考图1a，rs代理110可被配置为通过尤其使用和/或根据网络-物理状态元数据111来确定和/或评估控制系统101的网络和/或物理状态。rs代理110可被配置为生成状态密钥160，其可包括与控制系统101的网络-物理状态相对应的密钥数据。rs代理110还可被配置为通过控制系统101的相应cpce 105(根据如上所公开的控制系统101的网络-物理拓扑115)通信状态密钥160，响应于状态密钥160的通信而获得验证数据171，并且通过尤其将相应的状态密钥160与对应的验证数据171进行比较来确定与控制系统101有关的网络-物理健康元数据180。
61.图2是如本文所公开的rs代理110的一个实施例的示意性框图。rs代理110可包括计算资源201、由该计算资源体现和/或耦合到该计算资源，该计算资源可包括但不限于：处理资源202、存储资源204、网络通信资源206等。处理资源202可包括用于实施如本文所公开的计算服务的任何合适的部件(例如，处理器、通用处理器、asic、可编程逻辑、plc等)。存储资源204可包括用于存储和/或维护数据的任何合适的部件，诸如易失性存储器、随机存取存储器(ram)、静态ram(sram)、动态ram(dram)、非易失性存储器、电池支持的ram、非易失性存储资源、非暂时性存储资源、非暂时性存储设备、非暂时性存储介质、固态存储设备、固态存储介质等。网络通信资源206可包括用于将rs代理110可通信地和/或可操作地耦合到cs
网122的任何合适的部件，诸如网络接口、网络接口设备等。在一些实施例中，rs代理110(和/或其部分)可被体现为硬件组件，诸如上面公开的计算资源201。替代地或另外，rs代理110(和/或其部分)可被体现为存储在非暂时性存储资源206内的计算机可读指令205。计算机可读指令205可被配置为由rs代理110的处理资源202执行，该执行可使rs代理110实施用于保护如本文所公开的控制系统101的操作。
62.rs代理110可被配置为通过控制系统101的选定区域通信状态密钥160。状态密钥160可包括和/或源自于控制系统101的网络-物理状态，如网络-物理状态元数据111所指示的。在图2的实施例中，网络-物理状态元数据111尤其可包括网络状态元数据220。网络状态元数据220可被配置为包括、定义和/或表征控制系统101的网络状态。如本文所使用的，诸如本文公开的控制系统101之类的网络-物理系统100的“网络状态”可指代以下一项或多项：控制系统101的一个或多个组件102的网络状态、控制系统101的网络组件120的状态、网络组件120的配置、网络组件120的利用率(例如，特定网络组件120和/或网络节点124的利用率)、cs网122的状态、cs网122的利用率、cs网122的配置等。
63.在一些实施例中，网络状态元数据220可包括、定义和/或表征控制系统101的一个或多个网络节点(网络节点124)处的网络状态。网络状态元数据220可包括、定义和/或表征网络节点124处的网络通信的任何合适的方面。在一些实施例中，网络状态元数据220可包括特定网络节点124处的网络通信的统计特性，该特性可包括但不限于：通信速度、消息之间的平均时间增量、平均消息时延、每个目的地的消息数量、消息源的数量、平均消息大小、零大小消息的数量、平均数据长度、最大数据长度、数据速度等。替代地或另外，网络状态元数据220可包括与特定网络节点124之间的网络通信(例如，控制器132与一个或多个传感器144、致动器146、自动化控制器134等之间的通信)相对应的参数222，其可包括但不限于：进出节点124的通信速度、进出节点124的消息之间的平均时间增量、在节点124之间通信的消息的时延、在节点124之间通信的消息的平均大小等。尽管本文描述了网络状态元数据220和/或网络状态参数222的特定示例，但是本公开在这方面不受限制，并且可适于利用与网络-物理系统100的网络状态有关的任何合适的信息，包括获取、估计、确定和/或监视与控制系统101的网络状态的任何合适的特性和/或方面有关的任何合适类型的网络状态参数222。在一些实施例中，网络状态元数据220可包括、定义和/或表征控制系统101的相应cpce 105的网络状态。如本文所使用的，cpce 105的网络状态可指代cpce 105的网络-物理组件102的网络状态(例如，cpce 105的计算组件130通过其耦合到的cpce 105的物理组件的网络组件120的网络状态、cpce 105的网络部分129的状态等，如本文所公开)。因此，cpce 105的网络状态可包括和/或对应于控制系统101的网络状态的子集。cpce 105的网络状态可由网络节点124处的网络通信的状态包括、定义和/或表征，cpce 105的计算组件130通过该网络节点可操作地和/或通信地耦合到cpce 105的物理组件。
64.在一些实施例中，网络-物理状态元数据111还可包括物理状态元数据240，其可包括、定义和/或表征控制系统101的物理状态。如本文所使用的，网络-物理系统100(诸如本文所公开的控制系统101)的“物理状态”可指代以下一项或多项：控制系统101的一个或多个网络-物理组件102的物理状态、控制系统101的物理组件140的状态(例如，物理过程150、物理过程属性152、传感器设备144、致动器设备146等中的一个或多个的状态)、配置物理组件140的配置(例如，一个或多个传感器设备144和/或致动器设备146的配置)、物理组件140
的利用率(例如，一个或多个传感器设备144和/或致动器设备146的利用率)、由控制系统的物理组件140实施的物理操作的状态(例如，由一个或多个传感器设备144进行的获取数据的状态、由一个或多个致动器设备146实施的物理操作的状态)等。物理状态元数据240可包括参数(物理状态参数242)，其可包括、定义和/或表征：控制系统101的物理状态、特定网络-物理组件102、特定物理组件140、控制系统101的特定区域、特定cpce 105、特定cpc路径108、特定物理控制耦合件148等。
65.在一些实施例中，物理状态元数据240可包括、定义和/或表征控制系统101的一个或多个传感器设备144a-n的物理状态。与传感器设备144有关的物理状态元数据240可包括与传感器设备144有关的任何合适的信息，包括但不限于：传感器设备144的配置、由传感器设备144获取的数据、所获取的传感器的特性数据、诊断数据等。如本文所公开的，与传感器设备144有关的物理状态元数据240可包括与传感器设备144的配置有关的任何合适的信息，(例如，传感器设备144被配置为获取传感器数据的频率、获取周期、分辨率、通信设置等)。物理状态元数据240还可包括与传感器设备144获取的数据有关的信息，其可包括与特定物理过程150、物理过程属性152、特定物理组件140等有关的传感器和/或测量数据。物理状态元数据240还可包括由传感器设备144获取的数据的特性，其可包括但不限于：传感器数据的最大值、传感器数据的最小值、传感器数据的分布、传感器数据的统计性质(例如，传感器数据的均值、偏差和/或方差)等。物理状态元数据240还可包括与传感器设备144有关的诊断数据，其可包括传感器设备144的状态、由传感器设备144获取的传感器数据的误差率、传感器设备144的状况等。
66.物理状态元数据240还可包括、定义和/或表征控制系统101的一个或多个致动器设备146a-n的物理状态。与致动器设备146有关的物理状态元数据240可包括与致动器设备146有关的任何合适的信息，其包括但不限于：致动器设备146的配置、由致动器设备146实施的物理操作、诊断数据等。物理状态元数据240可包括与如本文所公开的致动器设备146的配置有关的任何合适的信息(例如，致动器设备146对控制信号的响应、致动器设备146的灵敏度等)。物理状态元数据240可指示致动器设备146被配置为调制特定物理过程150和/或物理过程属性152的程度。作为非限制性示例，包括保护继电器的致动器设备146的物理状态可指示保护继电器是断开还是闭合。作为进一步的非限制性示例，包括阀门控制设备的致动器设备146的物理状态可指示阀门控制设备打开的程度(例如，全开、40％打开、全闭等)。作为附加的非限制性示例，被配置为向电动马达供电的致动器设备146的物理状态可指示当前正在向其供电的功率量(例如，100％功率、40％功率、无功率、瓦特数等)。物理状态元数据240还可包括与致动器设备146有关的诊断信息，包括致动器设备146的状态、致动器设备146的状况等。与致动器设备146有关的物理状态元数据240还可包括与致动器设备146和/或与其耦合的物理过程150有关的传感器数据，诸如温度、功率消耗、负载、效率等。
67.在一些实施例中，物理状态元数据240还可包括和/或表征一个或多个物理组件140所依赖的计算组件130(例如，紧密耦合到如本文所公开的一个或多个物理组件140的计算组件130)的物理状态。物理状态元数据240可被配置为表征图1a的cpce 105的控制器132的操作，诸如控制器132对由传感器设备144a-n中的一个或多个获取的传感器数据的响应时间、控制器132的控制功能的响应时间(例如，传感器数据的获取与对应的控制操作之间的时间)、信号通信到一个或多个致动器设备146a-n的时延等。
68.物理状态元数据240还可被配置为定义和/或表征一个或多个物理过程150和/或物理过程属性152的状态。表征物理过程150和/或物理过程属性152的状态的物理状态参数242可包括和/或对应于可操作地耦合到其的一个或多个组件102的物理状态(例如，一个或多个传感器设备144a-n、致动器设备146a-n、计算组件130等的状态)。与物理过程150有关的物理状态参数242可包括但不限于：由可操作地耦合到物理过程150的一个或多个传感器设备144a-n获取的传感器数据、获取的传感器数据的特性、由可操作地耦合到物理过程150的一个或多个致动器设备146a-n实施的物理操作、物理操作的特性等。与物理过程属性152有关的物理状态参数242可包括但不限于：由可操作地耦合到物理过程属性152的一个或多个传感器设备144a-n获取的传感器数据、获取的传感器数据的特性、由可操作地耦合到物理过程属性152的一个或多个致动器设备146a-n实施的物理操作、物理操作的特性等。
69.在一些实施例中，物理状态元数据240还可被配置为包括、定义和/或表征控制系统101的相应cpce 105的物理状态。如本文所使用的，cpce 105的物理状态是指cpce 105的网络-物理组件102的物理状态(例如，如本文所公开的，cpce 105的实施中涉及的网络-物理组件102的物理状态)、cpce 105的ppv 155的物理状态等。图1b所示的cpce 105a的物理状态可包括和/或对应于传感器设备144a-b和/或致动器设备146a-b中的一个或多个的物理状态。替代地或另外，如本文所公开的，cpce 105a的物理状态还可包括和/或对应于以下一项或多项：ppv 155a的物理状态(例如，物理过程150和/或物理过程属性152a-b)、控制器132的物理状态等。
70.如上文所公开的，rs代理110可通信地耦合到尤其由状态获取组件210获取的网络-物理状态元数据111。如本文所公开的，状态获取组件210可包括用于获取网络-物理状态元数据111的任何合适的部件。状态获取组件210可包括计算组件130和/或存储在非暂时性存储介质上的计算机可读指令，该指令被配置为使计算组件130获取和/或维护网络-物理状态元数据111，如本文所公开的。状态获取组件210可包括状态监视器、状态估计器、状态观察器等中的一个或多个。替代地或另外，rs代理110被配置为获取控制系统101(和/或其相应的cpce 105)的网络-物理状态，其可包括：确定、估计和/或获取和/或维护与控制系统101(和/或其相应的cpce 105)有关的网络-物理状态元数据111。rs代理110可被配置为确定、估计和/或以其它方式获取：控制系统101的网络状态(例如，网络状态元数据220)、控制系统101的物理状态(例如，物理状态元数据240)等。rs代理110可被配置为尤其通过以下各项来获取与控制系统101的网络和/或物理状态有关的信息：从控制系统101的相应网络-物理组件102请求网络和/或物理状态信息、监视控制系统101的网络-物理组件102、监视在cs网122上通信的消息(例如，消息嗅探、消息采样、分组检测、深度分组检测等)、监视(从一个或多个物理组件140)通信到控制系统101的计算组件130的传感器数据、监视从控制系统101的计算组件130通信(到一个或多个物理组件140)的控制信号等。rs代理110还可被配置为通过使用获取的信息来确定和/或估计控制系统101的网络和/或物理状态。
71.在一些实施例中，rs代理110(和/或状态获取组件210)可被配置为维护和/或确定一个或多个网络-物理状态签名118。如本文所使用的，“网络-物理状态签名”(cpss)118是指被配置为包括、表征、验证、认证、对应于和/或源自于诸如本文公开的控制系统101之类的网络-物理系统100(和/或其一部分)的网络和/或物理状态的签名。cpss 118可包括签名，该签名被配置为包括、表征、验证、认证、对应于和/或源自于控制系统101(和/或其部
分)的网络-物理状态元数据111。如本文所使用的，cpss 118可包括和/或指代以下一个或多个：网络状态签名228、物理状态签名248等。如本文所使用的，网络状态签名228是指cpss 118，其被配置为包括、表征、验证、认证、对应于和/或源自于控制系统101(和/或部分)的网络状态元数据220。如本文所使用的，物理状态签名248是指cpss 118，其被配置为包括、表征、验证、认证、对应于和/或源自于控制系统101(和/或部分)的物理状态元数据240。
72.cpss 118可尤其通过将签名生成函数应用于网络-物理状态元数据111的选定部分等来生成。签名生成函数可包括用于生成签名的任何合适的部件，包括但不限于：密码签名函数、非密码签名函数、校验和、哈希函数、密码哈希函数、非密码哈希函数、分段哈希函数、上下文触发分段哈希(ctph)函数、模糊哈希函数、nilsimsa哈希函数等。导出cpss 118可包括：对网络-物理状态元数据111和/或其选定部分进行序列化(例如，对包括网络-物理状态元数据111、网络状态元数据220、物理状态元数据240、其选定部分等的数据结构进行序列化)，以及将签名生成函数应用于序列化数据。生成网络状态签名228可包括：对网络状态元数据220和/或其部分进行序列化，以及将签名生成函数应用于序列化数据。生成物理状态签名248可包括：对物理状态元数据240和/或其部分进行序列化，以及将签名生成函数应用于序列化数据。
73.在一些实施例中，rs代理110可被配置为根据签名模式116(在本文进一步详细公开)生成cpss 118，使得cpss 118的部分可与网络-物理状态元数据111的特定部分(和/或其它cpss 118)相关。rs代理110可被配置为根据ctph签名生成函数而生成cpss 118，其可包括：a)将滚动哈希函数和非滚动哈希函数初始化，b)将序列化数据馈送到滚动哈希函数和非滚动哈希函数中的每一个，c)响应于滚动哈希函数产生预定触发值：在签名输出中记录非滚动哈希函数的当前状态的至少一部分，并返回到(a)处继续进行。在一个实施例中，滚动哈希函数r包括x、y、z、c和窗口参数，其中x、y、z和c被初始化为零；窗口是具有n个值的阵列(每个值均被初始化为零)；并且响应于字节d而根据以下伪代码更新滚动哈希：
74.update(r){
75.y＝y-x
76.y＝y n*d
77.x＝x d
78.x＝x-window[c mod n]
[0079]
window[c mod n]＝d
[0080]
c＝c 1
[0081]
z＝z＜＜5
[0082][0083]
return(x y z)}
[0084]
非滚动哈希函数可包括用于计算非滚动哈希值的任何合适的部件，包括但不限于：密码哈希函数、非密码哈希函数等。非滚动哈希函数可包括md5哈希函数、fowler-noll-vo(fnv)哈希函数等中的一个或多个。滚动哈希函数的触发器可对应于网络-物理状态元数据111、网络-物理拓扑115、签名模式116(在本文进一步详细地公开)等的大小和/或组织。rs代理110还可被配置为根据以下伪代码从两个块大小b和b*2中的每一个处的网络和/或物理状态元数据[state_metadata)导出的cpss 118(state_sig)：
[0085][0086][0087]
在一些实施例中，cpss 118可对应于控制系统101的相应部分。rs代理110可包括和/或维护多个cpss 118，每个cpss 118对应于控制系统101的相应部分(和/或网络-物理状态元数据111的相应部分)的网络和/或物理状态。替代地或另外，cpss 118的部分可对应于控制系统101的部分(和/或网络-物理状态元数据111的部分)。在一些实施例中，rs代理110可被配置为根据签名模式116生成和/或管理cpss 118。如本文所使用的，签名模式116是指cpss 118可通过其与控制系统101的相应部分(例如，特定网络-物理组件102、cpce 105、cpc路径108、cpce部分109等)、网络-物理状态元数据111的部分和/或其它cpss 118相关的部件。因此，网络-物理拓扑115可包括和/或对应于签名模式116。签名模式116可定义通过其从网络-物理状态元数据111生成cpss 118的方案。签名模式116可指定网络-物理状态元数据111结合到一个或多个cpss 118中，确定指定的网络-物理状态元数据111被序列化的方式，指定cpss 118通过其从序列化数据导出的签名生成函数的配置等。签名模式116可被配置为将特定cpss 118(和/或其部分)与从其中导出特定cpss 118的网络-物理状态
元数据111相关。签名模式116还可被配置为将cpss 118(和/或其部分)与控制系统101的部分(例如，控制系统101的与cpss 118从其中导出的网络-物理状态元数据111相对应的部分)相关。签名模式116可被配置为尤其通过标识从其中导出相应cpss 118的网络-物理状态元数据111以及将标识的网络-物理状态元数据111与网络-物理组件102、cpce 105、cpc路径108和/或由此表征的cpce部分109相关而与cpss 118相关。
[0088]
图3a示出了包括如本文所公开的网络-物理状态元数据111和/或签名模式116的实施例的数据结构的实施例。图3a实施例的网络-物理状态元数据111可对应于图1b所示的网络-物理拓扑115。图3a所示的网络-物理状态元数据111可包括、定义和/或表征cpce 105a的网络和/或物理状态(与控制系统101的其它部分有关的网络-物理状态元数据111，诸如cpce 105n被省略以避免混淆所公开实施例的细节)。在图3a中，如本文所公开的，网络-物理状态元数据111可包括网络状态元数据220和物理状态元数据240。网络状态元数据220可包括、定义和/或表征cpce 105a的网络状态(例如，cpce 105a的网络部分129a的状态)。网络状态元数据220可包括与控制系统101的相应网络区域的状态有关的信息。如本文所使用的，“网络区域”是指特定的网络组件120(例如，网络节点124)、cpce 105、cpe路径108、cpce部分109、网络路径126等。网络状态元数据220可包括与cpce 105a的网络部分129a的状态有关的信息。网络状态元数据220a可通过使用如本文所公开的任何合适的信息来包括、定义和/或表征网络节点124a处(例如，控制器132处)的网络通信状态。在图3a的实施例中，网络状态元数据220a可包括网络状态参数212，其可包括和/或对应于如本文所公开的网络节点124a处的网络通信的统计特性(例如，分组之间的时间、分组时延、每个目的地的分组数量等)。网络状态元数据220a的网络状态参数212还可包括与对网络状态元数据220a的获取有关的信息(例如，可指示网络状态元数据220a的寿命、特定的网络状态参数212等)。网络状态元数据220b-e可分别包括、定义和/或表征网络节点124b-e处的网络通信状态(图1b中未示出220b-e的相应网络状态参数212以避免模糊所示实施例的细节)。替代地或另外，网络状态元数据220可被配置为维护与包括多个网络组件120(和/或网络节点124)的网络区域的状态有关的信息，诸如与特定网络路径126、cpce网络部分129等有关的信息。网络状态元数据220f可包括、定义和/或表征控制器132与传感器设备144b之间的网络通信的状态，并且因而可包括如上文公开的网络状态参数212和/或与分组速度、数据速度和/或该控制器与该传感器设备之间的网络通信的时延有关的网络状态参数212(例如，包括网络节点124a、124b和/或124c的网络路径126的状态)。网络状态元数据220g可包括和控制器与传感器设备144a之间的网络通信有关的信息(例如，包括网络节点124a、124b、124c和/或124d的网络路径126)。网络状态元数据220h可包括和控制器132与致动器设备146a-b之间的网络通信(例如，包括网络节点124a和124e的网络路径126)等等有关的信息。在一些实施例中，网络状态元数据2201可包括与cpce 105a的网络部分129a(包括相应的网络节点124a-e和/或将控制器132耦合到相应物理组件140(例如，传感器设备144a-b和致动器设备146a-b)的相应网络路径126)的状态有关的信息。在一些实施例中，网络状态元数据220z可包括与控制系统101的网络状态(包括cs网122、相应cpce 105、cpce路径108、网络部分129、cs网122等的网络状态)有关的信息。
[0089]
图3a所示的物理状态元数据240可包括、定义和/或表征尤其是cpce 105a的物理控制部分149a的状态(例如，物理控制部分149a的网络-物理组件102(诸如传感器设备
144a-b、致动器设备146a-b等)的物理状态)。物理状态元数据240a可通过使用如本文所公开的任何合适的物理状态信息来包括、定义和/或表征传感器设备144a的物理状态。物理状态元数据240a可包括物理状态参数242，其可包括和/或对应于以下一项或多项：由传感器设备144a获取的传感器数据、所获取的传感器数据的分布(例如，所获取的传感器数据的平均值、均值、最大值、最小值和/或偏差)、传感器设备144a的配置(例如，传感器获取频率)等。在一些实施例中，物理状态元数据240a还可包括获取参数242，其可包括与获取物理状态元数据240a(和/或其相应的物理参数242)有关的信息，如本文所公开的。物理状态元数据240b可包括、定义和/或表征传感器设备144b的物理状态。物理状态元数据240b可包括多个物理状态参数242，如上文所公开的(未示出单独的物理状态参数242以避免模糊所公开实施例的细节)。物理状态元数据240c可通过使用如本文所公开的任何合适的物理状态信息来包括、定义和/或表征致动器设备146a的状态。物理状态元数据240c可包括物理状态参数242，其可包括和/或对应于以下一项或多项：致动器设备144a的致动状态(例如，由致动器设备144a实施的物理操作的状态(status/state))、致动器数据等。致动器数据可包括与致动器设备144a有关的信息，诸如致动器设备144a的配置、致动器设备144a的温度、致动器设备144a上的负载、诊断等。物理状态元数据240b可包括、定义和/或表征致动器设备146b的物理状态。物理状态元数据240d可包括多个物理状态参数242，如上文所公开的(未示出单独的物理状态参数242以避免模糊所公开实施例的细节)。在一些实施例中，物理状态元数据240还可包括物理状态元数据240e，其可包括、定义和/或表征cpce 105a的计算组件130的物理状态(例如，控制器132的物理状态)。物理状态元数据240e可包括与控制器132的物理状态有关的任何合适的信息，包括物理状态参数242，该物理状态参数包括和/或对应于以下一项或多项：由控制器132实施的控制功能(例如，控制功能的参数、物理过程属性152a的目标等)、控制器132的输入状态(例如，在控制器132处接收的输入数据的状态，其可包括和/或对应于从传感器设备144a通信到控制器132的传感器数据)、控制器132的输出状态(例如，由控制器132输出到致动器设备144a的控制指令和/或信号)、控制器132的计算时延(例如，执行计算和/或控制操作所需的时间)等。在一些实施例中，物理状态元数据240还可包括与相应物理控制区域的物理状态有关的信息。如本文所使用的，“物理控制区域”是指特定的计算计算组件130、物理组件140和/或ppv 155(例如，相应cpce 105的计算组件130和/或物理组件140、cpc路径108、物理控制部分149等)。在图3a的实施例中，物理状态元数据240f可被配置为表征物理控制部分149a的状态，并且因而可包括和/或对应于物理状态元数据240a-e。在一些实施例中，物理状态元数据240z可被配置为表征控制系统101的物理状态，并且因而可包括和/或对应于与控制系统的基本上所有物理组件140和/或计算组件130、控制系统101的相应cpce 105、cpce路径108、物理耦合件148、物理控制部分149和/或ppv 155有关的物理状态信息。
[0090]
在一些实施例中，物理状态元数据220还可包括与相应cpce 105的物理控制耦合件148和/或物理控制部分149有关的信息。图3a示出了与cpce 105a的物理控制部分149a有关的物理控制元数据249的实施例。在图3a的实施例中，物理控制元数据249与和cpe 105a的控制器132有关的物理状态元数据240e一起组织。然而，本公开在这方面不受限制，并且可被配置为以任何合适的部件、位置和/或数据结构维护物理控制元数据249。如本文所使用的，物理控制元数据249是指与特定计算组件130和/或物理组件140对特定ppv 155的控
制有关的信息。物理控制元数据249可包括物理控制模型，该物理控制模型被配置为尤其将ppv 155的状态与控制输入和/或输出相关联。物理控制元数据249可包括数学模型，通过该数学模型，耦合到ppv 155的致动器设备146的状态可与耦合到ppv 155的传感器设备144的状态相关(反之亦然)。物理控制元数据249可对应于与ppv 155相关的控制功能(例如，可对应于传递函数和/或其它控制模型，控制器132响应于从传感器设备144和/或致动器设备146接收的与ppv 155有关的控制输入和/或反馈而通过该其它控制模型确定一个或多个致动器设备146的控制输出)。物理控制元数据249可提供用于验证物理控制耦合件148的状态，这可包括确定由耦合到ppv 155的传感器设备144所指示的ppv的物理状态是否与由耦合到ppv 155的致动器设备146所指示的ppv的物理状态一致(反之亦然)。作为非限制性示例，物理控制耦合件148的ppv 155可包括马达。与马达耦合的传感器设备144可指示由马达输出的机械功率量(例如，可指示以每分钟转数(rpm)表示的马达转速、马达上的负载、扭矩等)。与马达耦合的致动器设备146可选择性地将马达耦合到电源，并且因而，致动器设备146的状态可指示供应给马达的功率量。物理控制元数据249可指示马达的(如传感器设备144所指示的)输出功率应在(如致动器设备146的状态所指示的)输入功率的指定范围内。不一致可指示计算组件和/或物理组件140中的一个或多个(控制器132、传感器设备144和/或致动器设备146中的一个或多个)的受损、物理组件140中的一个或多个(和/或ppv 155本身)的故障等。作为进一步的非限制性示例，物理控制耦合件148的ppv 155可包括保护继电器，该保护继电器被配置为尤其控制与一个或多个发电机、一个或多个负载等耦合的支路断路器。传感器设备144和/或致动器设备146的状态可指示发电机和/或负载是否彼此同相，一个或多个支路是否正在经历故障(例如，接地故障、相间故障)等。物理控制元数据249可指示ppv 155的状态是否与其控制功能一致(例如，可对由对应控制器实施的保护功能进行建模，这可指示异相状况在阈值时间段内恢复稳定，接地支路在阈值时间段内跳闸等)。
[0091]
如上文所公开的，根据签名模式116生成cpss 118可包括生成与控制系统101的特定区域(例如，网络-物理组件102、cpce 105、cpc路径108、cpce部分109等)相对应的cpss 118。生成与控制系统101的特定网络-物理组件102相对应的cpss 118可包括：标识网络-物理状态元数据111的与特定网络-物理组件102有关的部分，以及根据所标识的网络-物理状态元数据111导出cpss 118，如本文所公开的。生成与特定cpce 105相对应的cpss 118可包括：标识网络-物理状态元数据111的与cpce 105的网络-物理状态有关的部分(例如，标识网络-物理状态元数据111的与一个或多个cpce部分109内的网络-物理组件102有关的部分)，以及根据所标识的网络-物理状态元数据111导出cpss 118，如本文所公开的。在一些实施例中，rs代理110还可被配置为生成与特定cpc路径108相对应的cpss 118。生成与特定cpc路径108相对应的cpss 118可包括：标识网络-物理状态元数据111的与包括在cpc路径108中的网络-物理组件102有关的部分，以及根据所标识的网络-物理状态元数据111导出cpss 118，如本文所公开的。签名模式116可被配置为将cpss 118与从其中导出cpss 118的网络-物理状态元数据111的部分相关。签名模式116还可被配置为将cpss 118与特定的网络-物理组件102、cpce 105、cpc路径108、cpce部分109等相关。
[0092]
在一些实施例中，rs代理110还可被配置为根据如本文公开的签名模式116生成网络状态签名228。根据签名模式116生成网络状态签名228可包括生成与网络状态元数据220的选定部分(例如，网络状态元数据220的与选定网络-物理组件102、cpce 105、cpc路径
108、cpce部分109等相对应的部分)相对应的网络状态签名228，以及将网络状态元数据220的选定部分与从其中导出的相应网络状态签名228(和/或网络状态签名228的部分)相关。因此，签名模式116可提供用于将网络状态签名228与网络状态元数据220的特定部分和/或控制系统101的特定部分相关。
[0093]
在一些实施例中，物理状态签名248可根据签名模式116导出，如本文所公开的。根据签名模式116生成物理状态签名248可包括生成与物理状态元数据240的选定部分(例如，物理状态元数据240的与选定网络-物理组件102、cpce 105、cpc路径108、cpce部分109等相对应的部分)相对应的物理状态签名248，以及将物理状态元数据240的选定部分与从其中导出的相应物理状态签名248(和/或物理状态签名248的部分)相关。因此，签名模式116可提供用于将物理签名248与物理状态元数据240的特定部分和/或控制系统101的特定部分相关。
[0094]
图3a描绘了如本文所公开的签名模式116的实施例。图3a的签名模式116可对应于图1b的网络-物理拓扑115，并且具体地对应于cpce 105a的网络-物理拓扑。图3a所示的签名模式116可定义与cpce 105a的网络部分129a相对应的网络状态签名228。签名模式116可定义网络状态签名228a，其可从网络状态元数据220a导出并且因而可对应于控制器132的网络状态(例如，网络节点124a处的网络通信状态)。签名模式116可进一步定义网络状态签名228b-e，其可分别从网络状态元数据220b-e导出并且因而可对应于网络部分129a的相应网络节点124b-e处的网络通信的状态。替代地或另外，签名模式116可定义与包括多个网络组件120(和/或网络节点124)的网络区域相对应的网络状态签名228，诸如与特定网络路径126、cpce网络部分129等有关的信息。网络状态签名228f可被配置为表征控制器132与传感器设备144b之间的网络路径126，并且因而可从网络状态元数据220a-c和/或220f导出。签名模式116可进一步定义网络状态签名228g，其可被配置为表征控制器132与传感器设备144a之间的网络通信，并且因而可从网络状态元数据220a-d和/或220g导出。签名模式116可进一步定义网络状态签名228h，其可被配置为表征控制器132与致动器设备146a-b之间的网络通信并且因而可从网络状态元数据220a、220e和/或220h导出。签名模式116可进一步定义网络状态签名2281，其可被配置为表征网络部分129a的状态并且因而可从网络状态元数据220a-h中的一个或多个导出。签名模式116可进一步定义网络状态签名228z，其可被配置为表征控制系统101(例如，cs网122)的网络状态并且因而可从基本上所有网络状态元数据220导出。签名模式116可定义与控制系统101的其它部分、其它cpce 105b-n(在图3a中未示出以避免混淆所示实施例的细节)等相对应的其它网络状态签名228。
[0095]
签名模式116还可被配置为定义物理状态签名248，其可从物理状态元数据240的指定部分导出并且因而可表征以下各项的物理状态：相应的网络-物理组件102、相应的cpce 105、相应的cpc路径108、相应的cpce部分109等。在图3a的实施例中，签名模式116可被配置为定义与图1b所示的cpce 105a相对应的物理状态签名248。签名模式116可定义物理状态签名248a-d，其可从相应的物理状态元数据240a-d导出，并且因而可对应于cpce 105a的物理控制部分149a的相应的传感器/致动器设备144a-b/146a-b的物理状态。签名模式116可进一步定义与控制器132有关的物理状态签名248(从物理状态元数据240e导出)。在一些实施例中，签名模式116可进一步定义与cpce 105a的ppv 155a有关的签名模式，诸如与耦合到物理过程属性152a-b(从物理状态元数据240a-d导出)的传感器设备144a-b/致
动器设备146a-b的物理状态相对应的物理状态签名248f。签名模式116可进一步定义物理状态签名248g，其可对应于cpce 105a的物理控制部分149a的物理状态，该物理状态包括该cpce的计算组件130的物理状态(例如，控制器132以及传感器设备144a-b/致动器设备146a-b的物理状态，其从物理状态元数据240a-e和/或240f导出)。在一些实施例中，签名模式116可进一步定义物理状态签名248n，其可从基本上所有的物理状态元数据240(例如，物理状态元数据240a-n)导出并且因而可对应于控制系统101的物理状态。签名模式116可定义与控制系统101的其它部分、其它cpce 105(在图3a中未示出以避免混淆所示实施例的细节)等相对应的其它物理状态签名248。
[0096]
在一些实施例中，签名模式116可定义相应cpss 118之间的关系。该关系可对应于从其中导出相应cpss 118的网络-物理状态元数据111。尤其可通过根据签名模式116生成cpss 118和/或通过根据签名模式116配置签名生成功能来建立关系。如上文所公开的，签名生成函数可包括上下文触发和/或分段签名生成函数(例如，ctph和/或模糊哈希函数)，其可被配置为响应于输入数据(和/或其中检测到的触发器)而生成一系列签名值。rs代理110可生成cpss 118，使得其相应部分和/或序列对应于网络-物理状态元数据111的相应部分(例如，相应网络状态元数据220a-n、物理状态元数据240a-n等)。
[0097]
rs代理110和/或签名模式116可被配置为将cpss 118的部分映射到相应的网络-物理状态元数据111、控制系统101的部分和/或一个或多个其它cpss 118。如图3b所示，rs代理110和/或签名模式116可定义图3a所示的网络状态签名228a-n和/或物理状态签名248a-n之间的映射。签名模式116可指示网络状态签名228n源自于基本上所有网络状态元数据220(例如，网络状态元数据220a-n)，并且因而覆盖、涵盖和/或包括网络状态元数据228a-i中的每一个。签名模式116可标识网络状态签名228n内的包括和/或对应于相应网络状态签名228a-i的部分和/或序列(反之亦然)。如图3b所示，签名模式116可指示网络状态签名228n的第一部分包括网络状态签名228a，第二部分包括网络状态签名228b，以此类推，其中第五部分包括网络状态签名228e。签名模式116可进一步定义相应网络状态签名228a-i之间的映射。签名模式116可指示网络状态签名228f包括网络状态签名228a-c，网络状态签名228g包括网络状态签名228a-d，网络状态签名228h包括网络状态签名228a和228e，网络状态签名2281包括网络状态签名228a-h，依此类推。
[0098]
如图3b所示，rs代理110和/或签名模式116还可被配置为定义图3a的物理状态签名248a-n之间的映射。签名模式116可指示物理状态签名248n源自于基本上所有物理状态元数据240(例如，物理状态元数据240a-n)，并且因而覆盖、涵盖和/或包括相应的物理状态签名248a-g，并且可指示物理状态签名248n内的包括相应物理状态签名248a-g的部分和/或序列(反之亦然)。如图3b所示，签名模式116可指示物理状态签名248n的第一部分包括物理状态签名248a，第二部分包括物理状态签名248b，以此类推，其中第五部分包括物理状态签名248e。签名模式116可进一步定义相应物理状态签名248a-g之间的映射。签名模式116可指示物理状态签名248f包括物理状态签名248a-d，物理状态签名248g包括物理状态签名248a-e，以此类推。尽管本文描述了cpss 118和/或签名模式116的特定实施例，但是本公开在这方面不受限制并且可适于与根据任何合适的方案生成的任何合适的签名类型一起使用。
[0099]
返回参考图1a，如上文所公开的，网络-物理攻击可能导致受损组件102实施对抗
性操作和/或将对抗性信号注入控制系统101。网络-物理攻击可能导致一个或多个组件102提供对抗性网络-物理状态信息，从而导致对控制系统101的网络-物理状态的不准确甚至对抗性估计。rs代理110可被配置为尤其是通过监视控制系统101的cpce 105而确保网络-物理状态元数据111是有效的，每个cpce 105包括网络部分129、物理控制部分149等，如本文所公开的。rs代理110可被配置为：联合获取网络和/或物理验证信息，验证控制系统101的网络-物理状态的完整性，和/或使用验证的网络-物理数据来评估网络-物理控制系统101的健康。rs代理110可联合评估控制系统101的网络和物理状态，这可使得rs代理110能够检测网络-物理攻击，包括：针对控制系统101的特定组件102的攻击、通过物理环境的攻击、通过计算环境进行的攻击等。
[0100]
在一些实施例中，rs代理110可被配置为验证网络-物理状态元数据111的部分和/或评估控制系统101的网络-物理健康。如图1a所示，rs代理110可被配置为通过控制系统101的cpce 105通信网络-物理状态密钥(状态密钥160)，响应于状态密钥160的通信而接收验证数据171，并且根据对应的验证数据171生成验证密钥170。rs代理110还可被配置为验证控制系统101的网络-物理状态和/或尤其基于在状态密钥160通过控制系统101的部分的通信期间引入的误差来确定控制系统101的网络-物理健康。
[0101]
返回参考图2，rs代理110可被配置为生成包括网络-物理密钥数据162的状态密钥160。如本文所使用的，“网络-物理密钥数据”(cpkd)162可包括与如本文公开的控制系统101的网络-物理状态有关的任何合适的信息。状态密钥160的cpkd 162可对应于控制系统101的网络-物理状态。cpkd 162可包括、对应于和/或源自于网络-物理状态元数据111(和/或其部分)，其可包括但不限于：网络-物理状态参数112、cpss 118、网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242、物理状态签名248、其部分等。在一些实施例中，为状态密钥160生成cpkd 162可包括结合一个或多个先前生成的状态密钥160的cpkd 162。状态密钥160的cpkd 162可包括网络密钥数据(网络种子和/或网络种子数据)和/或物理密钥数据(物理种子和/或物理种子数据)。网络密钥数据可源自于网络状态元数据220(和/或其部分)。物理密钥数据可源自于物理状态元数据240(和/或其部分)。
[0102]
rs代理110还可被配置为通过控制系统101的相应cpce 105通信状态密钥160，响应于该通信而获取验证数据171，并通过使用获取的验证数据171生成对应的验证密钥170。验证密钥170可包括网络-物理验证数据(cpvd)172，其可对应于对应的状态密钥160的cpkd 162。rs代理110可被配置为将验证密钥170与对应的状态密钥160进行比较，这可包括将状态密钥160的cpkd 162与对应的验证密钥170的cpvd 172进行比较。如在本文进一步详细公开的，rs代理110可被配置为尤其基于该比较来确定与网络-物理系统100有关的网络-物理健康元数据180。
[0103]
如图2所示，rs代理110可被配置为通过尤其使用如本文公开的网络-物理状态元数据111来生成状态密钥160。由rs代理110生成的状态密钥160可包括相应的标识符，其可被配置为：区分状态密钥160与由此生成的其它状态密钥160，确定状态密钥160的时间顺序，提供用于将在rs代理110处接收到的验证数据171与相应的状态密钥160的数据相关联，提供用于同步状态密钥160(和/或响应于状态密钥160而返回的验证数据171)等。在一些实施例中，由rs代理110生成的每个状态密钥160可包括标识符、唯一标识符、序列号、序列标
识符、时间戳、同步数据等中的一个或多个。如上文所公开的，每个状态密钥160可包括如本文所公开的cpkd 162。在一些实施例中，cpkd 162可对应于控制系统101的当前获取的网络-物理状态。因此，每个状态密钥160的cpkd 162可包括、对应于和/或源自于以下至少一部分：控制系统101的网络状态(例如，包括网络状态元数据220的至少一部分、一个或多个网络状态参数222、一个或多个网络状态签名228等)和控制系统101的物理状态(例如，包括物理状态元数据240的至少一部分，一个或多个物理状态参数242、一个或多个网络状态签名248等)。
[0104]
在一些实施例中，rs代理110可被配置为生成包括“对应”cpkd 162的状态密钥160。如本文所使用的，“对应的”cpkd 162是指包括、对应于和/或源自于控制系统101的对应区域的网络和/或物理状态的cpkd 162。如本文所使用的，控制系统101的区域可指代一个或多个网络-物理组件102、cpce 105、cpc路径108、cpce部分109、网络节点124、网络路径126、ppv 155、物理过程耦合件148等。因此，覆盖控制系统101的区域的网络-物理状态信息可指代包括、定义和/或表征该区域的网络和/或物理状态的网络-物理状态信息。对应的cpkd 162可指代cpkd 162，其包括覆盖控制系统101的对应区域的网络状态元数据220和物理状态元数据240。rs代理110可被配置为从与控制系统101的对应区域有关的网络状态信息(例如，网络状态元数据220、网络状态参数222、网络状态签名228)和物理状态信息(例如，网络状态元数据220、网络状态参数222、网络状态签名228)生成cpkd 162。rs代理110可被配置为通过使用网络-物理拓扑115和/或签名模式116来生成包括对应cpkd 162的状态密钥160，如本文所公开的。rs代理110可生成状态密钥160，使得相应状态密钥160的cpkd 162包括和/或对应于控制系统101的对应部分(例如，可操作地和/或可通信地耦合的、作为同一cpce 105的部分的、在相同cpc路径108上，和/或类似，的部分)的网络状态和物理状态。作为非限制性示例，rs代理110可将与特定网络组件120有关的网络状态信息(例如，特定网络节点124处的网络通信的状态)结合到状态密钥160的cpkd 162中，并且作为响应，可结合与和特定网络组件120可操作地和/或可通信地耦合的网络-物理组件102有关的物理状态信息。作为进一步的非限制性示例，rs代理110可将特定物理组件140的物理状态(例如，特定传感器设备144和/或致动器设备146的物理状态)结合到状态密钥160的cpkd 162中，并且作为响应，可将网络状态信息结合到与和特定物理组件140可操作地和/或可通信地耦合的网络-物理组件102的cpkd 162中。
[0105]
在一些实施例中，rs代理110可被配置为生成包括覆盖控制系统101的选定区域的cpkd 162的状态密钥160。如本文所使用的，“覆盖”控制系统101的特定区域的cpkd 162是指包括、对应于和/或源自于与特定区域相对应的网络-物理状态元数据111的cpkd 162，该特定区域可包括和/或对应于一个或多个cpce 105(和/或cpc路径108、cpce部分109和/或其网络-物理组件102)。生成覆盖控制系统101的选定区域的cpkd 162可包括：标识与该选定区域相对应的网络-物理状态元数据111，并通过使用标识的网络-物理状态元数据111生成cpkd 162。与控制系统101的选定区域相对应的网络-物理状态元数据111可通过使用网络-物理拓扑115和/或签名模式116来标识，如本文所公开的。cpkd 162可覆盖控制系统的选定区域，可包括和/或对应于以下一项或多项：网络-物理状态元数据111、网络-物理状态参数112、cpss 118、网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242、物理状态签名248、其部分等。
[0106]
rs代理110可被配置为选择控制系统101的区域以供相应状态密钥160的cpkd 162以任何合适的粒度覆盖。rs代理110可被配置为生成cpkd 162，该cpkd被配置为覆盖特定的：网络-物理组件102、cpce 105、cpc路径108、cpce部分109、网络路径126、物理过程耦合件148等。rs代理110可被配置为根据任何合适的选择机制来选择区域以供相应的状态密钥160的cpkd 162覆盖，该选择机制包括但不限于：随机选择、伪随机选择、循环选择、自适应选择(以确保控制系统101的充分覆盖)、加权选择(以增加cpkd 162对控制系统101的重要和/或敏感部分的监视)、确定性选择(例如，根据隔离方案进行的选择，如在本文进一步详细公开的)等。
[0107]
rs代理110可被配置为通过控制系统101通信状态密钥160。在一些实施例中，rs代理110可被配置为通过由状态密钥160的cpkd 162覆盖的控制系统101的区域(例如，通过由相应状态密钥的cpkd 162覆盖的控制系统101的区域，如本文所公开的)通信相应状态密钥160。因此，选择控制系统101的区域以供相应状态密钥160的cpkd 162覆盖可包括选择相应状态密钥160将通过其中进行通信的控制系统101的区域。替代地，rs代理110可被配置为通过控制系统101的选定区域通信状态密钥160，该选定区域可根据该状态密钥的cpkd 162覆盖的控制系统101的区域来选择或不选择。
[0108]
在一些实施例中，通过控制系统101通信状态密钥160可包括rs代理110将状态密钥160解析为多个片段161，通过相应的cpe路径108发送每个片段161，并响应于该通信而接收验证数据171。在一些实施例中，每个状态密钥片段161可包括相应的cpkd片段163，其可包括对应状态密钥160的cpkd 162的网络和/或物理状态密钥数据的至少一部分。在一些实施例中，每个片段161还可包括片段标识符，其可被配置为：将片段161与相应的状态密钥160相关联(区分相应状态密钥160的片段161和/或其它状态密钥160的片段161)，将片段161与状态密钥160的部分相关联，提供用于将在rs代理110处接收的验证数据171与状态密钥160和/或其相应的片段161相关联(例如，将响应于状态密钥160的相应片段161的通信而返回的验证数据171相关联)，提供用于同步片段161(和/或响应于片段161而返回的验证数据171)等。
[0109]
在图2的实施例中，rs代理110被配置为将状态密钥160解析为多个片段161a-n，其包括第一片段161a和最后片段161n，每个片段161a-n包括cpkd 162的相应片段(例如，相应的cpkd片段163a-n)。在一些实施例中，第一片段161a的cpkd片段163a可包括和/或对应于控制系统101的网络状态，而最后一个片段161n可包括和/或对应于控制系统101的物理状态(例如，cpkd片段163a可包括cpkd 162的与由cpkd 162覆盖的控制系统101的区域的网络状态有关的部分，并且cpkd片段163n可包括cpkd 162的与该区域的物理状态有关的部分)。替代地，cpkd片段163a-n可包括和/或对应于与控制系统101的网络和物理状态相对应的cpkd 162的部分。
[0110]
在一些实施例中，rs代理110可被配置为根据解析模式117生成状态密钥片段161。如本文所公开的，解析模式117可对应于网络-物理状态元数据111、网络-物理拓扑115和/或签名模式116。解析模式117可定义可将相应状态密钥160的cpkd 162解析为多个cpkd片段163a-n的方案，每个cpkd片段163a-n包括和/或对应于覆盖由cpkd 162覆盖的区域的至少一部分的网络和/或物理密钥数据。解析模式117可提供用于生成cpkd片段163a-n包括被配置为覆盖控制系统101的对应区域(例如，由cpkd 162覆盖的区域的对应子区域)的网络
和/或物理状态信息。如上文所公开的，状态密钥160的cpkd 162可被配置为覆盖控制系统101的选定区域。rs代理110可生成相应状态密钥160的片段161a-n，使得每个片段161a-n包括cpkd片段163a-n，其包括和/或源自于对应的网络和/或物理状态信息，如本文所公开的。在一些实施例中，解析状态密钥160的cpkd 162可包括：为状态密钥160的第一片段161a生成cpkd片段163a，该第一片段包括和/或对应于由cpkd 162覆盖的区域的第一部分的网络-物理状态；以及为包括和/或对应于该区域的第二部分的状态密钥160的最后一个片段161n生成cpkd片段163n。作为非限制性示例，cpkd片段163a可包括被配置为表征区域的第一部分的网络和/或物理状态的网络-物理状态参数112和/或cpss 118，并且cpkd片段163n可包括被配置为表征第二部分的网络和/或物理状态的网络-物理状态参数112和/或cpss 118。因此，第一状态密钥片段161a的cpkd片段163a可覆盖该区域的第一部分，而最后一个状态密钥片段161n的cpkd片段163n可覆盖该区域的第二部分。
[0111]
如上文所公开的，rs代理110可被配置为通过控制系统101通信状态密钥160，这可包括将状态密钥160解析为多个片段161a-n以及通过控制系统101通信相应片段161a-n。在一些实施例中，通信状态密钥160的片段161a-n可包括通过cs网122发出片段161a-n，接收响应于相应密钥片段161a-n的通信而返回的验证数据171a-n，以及使用返回的验证数据171a-n来尤其评估控制系统101的网络和/或物理健康，如本文所公开的。在一些实施例中，响应于状态密钥片段161的通信而返回的验证数据171可包括其网络-物理再现或其副本(例如，验证数据171a-n可分别包括cpkd片段163a-n的网络-物理再现)。如本文所使用的，诸如cpkd 162(和/或cpkd片段163a-n)之类的数据的“网络-物理再现”或“网络-物理副本”是指通过网络-物理系统100(诸如控制系统101)通信的数据的副本和/或再现。cpkd片段163a-n的网络-物理再现可包括通过控制系统101通信的cpkd片段163a-n的副本和/或再现。rs代理110可被配置为尤其通过将相应状态密钥160与响应于相应状态密钥160的相应片段161a-n的通信而获取的验证数据171a-n进行比较来确定与控制系统101有关的网络-物理健康元数据180。rs代理110可被配置为将相应验证数据171a-n与状态密钥160的对应部分(例如，状态密钥160的cpkd 162的对应部分)进行比较。如上文所公开的，状态密钥160的每个状态密钥片段161a-n可包括相应的cpkd片段163a-n，其可包括以下一个或多个：网络-物理状态元数据111、网络-物理状态参数112、cpss 118、网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242、物理状态签名248、其部分等。因此，响应于状态密钥片段161的通信而获取的验证数据171可包括该状态密钥片段的cpkd片段163的网络-物理再现(例如，网络-物理状态元数据111的网络-物理再现、网络-物理状态参数112、cpss 118、网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242、物理状态签名248、其部分等)。rs代理110可被配置为将(相应验证数据171a-n的)相应cpkd片段163a-n的网络-物理再现与原始状态密钥160的对应cpkd片段161a-n进行比较。如在本文进一步详细公开的，rs代理110可确定片段误差177a-n，该片段误差被配置为量化相应cpkd片段163a-n与其对应的网络-物理重构(例如，通过控制系统101的相应cpc路径108通信的验证cpkd片段173a-n)之间的误差、差异和/或距离。
[0112]
在一些实施例中，rs代理110可被配置为通过使用响应于状态密钥160的相应片段161a-n的通信而返回的验证数据171a-n来生成相应状态密钥160(验证密钥170)的网络-物
理重构。如本文所使用的，数据的“网络-物理重构”(诸如状态密钥160)是指从多个网络-物理再现品重构的数据，每个网络-物理再现对应于数据的相应部分。rs代理110可被配置为获取与状态密钥160的每个片段161a-n相对应的验证数据171a-n，并使用获取的验证数据171a-n生成与状态密钥160相对应的验证密钥170。获取验证数据171a-n可包括rs代理110通过cs网122(例如，经由一个或多个网络路径126)接收包括验证数据171a-n的消息。替代地或另外，获取验证数据171a-n可包括检测包括cs网122内的相应验证数据171a-n的消息。该检测可包括监视cs网122上的网络通信以检测包括与状态密钥片段161相对应的验证数据171的消息。该监视可包括(例如，基于消息的标识和/或寻址信息、消息的内容、消息数据、消息的数据流等)嗅探和/或检测cs网122上的消息以检测与相应的状态密钥片段161a-n的通信相对应的消息。rs代理110可被配置为通过cs网122检索检测到的消息(例如，检索cs网122上的广播消息、检索通过耦合到rs代理110的网络节点124通信的消息等)。
[0113]
在一些实施例中，rs代理110还可被配置为同步获取的验证数据171a-n，这可包括将验证数据171a-n与对应的状态密钥160相关联。rs代理110可通过使用以下一项或多项来将包括验证数据171的消息与对应的状态密钥160相关联：状态密钥160的标识符、消息的标识符、消息的地址、验证数据171的标识符(例如，对应状态密钥片段161的片段标识符)等。该同步还可包括确定相应验证数据171a-n的时延，这可包括rs代理110确定与验证数据171a-n相对应的状态密钥片段161a-n在cs网122上发送的时间与获取对应的验证数据171a-n的时间(例如，rs代理110返回和/或检测到包括相应的验证数据171a-n的消息的时间)之间的时间。该同步还可包括响应于验证数据171a-n的时延超过时延阈值而拒绝该验证数据。
[0114]
生成验证密钥170还可包括确定验证密钥170的验证网络-物理密钥数据(验证cpkd 172)。确定验证cpkd 172可包括通过使用获取的验证数据171a-n生成验证cpkd片段173a-n。如上文所公开的，在一些实施例中，每个状态密钥片段161a-n可包括状态密钥160的cpkd 162的相应部分(例如，相应的cpkd片段163a-n，其包括相应的网络-物理状态元数据111、网络-物理状态参数112、cpss 118、网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242、物理状态签名248、其部分等)。获取的验证数据171a-n可包括状态密钥160的相应片段161a-n的网络-物理再现，并且因而可包括其相应的cpkd片段163a-n的网络-物理再现(例如，包括状态密钥160的cpkd 162的相应部分的网络-物理再现)。因此，在一些实施例中，获取的验证数据171a-n可包括验证cpkd片段173a-n。生成验证密钥170的验证cpkd 172可包括从获取的验证数据171a-n获得验证cpkd片段173a-n，并且组合验证cpkd片段173a-n以形成验证cpkd 172。该组合可包括根据状态密钥160的cpkd 162内的对应cpkd片段163a-n的布置来布置验证cpkd片段173a-n。rs代理110可被配置为根据签名模式116重构cpkd片段173a-n，如本文所公开的。
[0115]
如上文所公开的，rs代理110可被配置为通过控制系统101的选定区域通信相应状态密钥160的片段161。rs代理110可被配置为通过由状态密钥片段161的cpkd片段163覆盖的控制系统101的区域来通信该状态密钥片段，如本文所公开的。替代地，rs代理110可被配置为通过可能对应于或可能不对应于由cpkd 162和/或其cpkd片段163覆盖的控制系统的区域的区域来通信状态密钥160和/或其片段161。
[0116]
在一些实施例中，通信状态密钥片段161可包括将状态密钥片段161(通过cs网
122)发送到选定致动器设备146，致动器设备146将与状态密钥片段161相对应的验证数据171(由、跨越和/或通过ppv 155)发送到选定传感器设备144，以及传感器设备144将验证数据171(通过cs网122)返回到rs代理110。致动器设备146和/或传感器设备144可根据任何合适的选择机制和/或标准来选择，如本文所公开的。
[0117]
在一些实施例中，rs代理110可被配置为通过选定cpce 105通信状态密钥片段161a-n。通过选定cpce 105通信状态密钥片段161可包括通过cpce 105的网络部分129和cpce 105的物理控制部分149通信片段161。通过选定cpce 105通信状态密钥160可包括通过该状态密钥的cpc路径108通信该状态密钥的片段161，每个cpc路径108包括第一网络路径126、物理控制耦合件148和第二网络路径126，如本文所公开的。通过cpc路径108通信状态密钥片段161可包括通过以下各项发送状态密钥片段161：第一网络路径126、物理控制耦合件148和第二网络路径126。如本文进一步详细公开的，通过物理控制耦合件148通信状态密钥片段161可包括由、跨越和/或通过ppv 155(例如，物理过程150和/或其物理过程属性152)通信验证数据171。cpce 105和/或cpc路径108可根据如本文所公开的任何合适的选择机制和/或标准来选择(例如，可根据由其cpkd片段163覆盖的控制系统101的区域来选择)。通过cpc路径108通信状态密钥片段161可包括将片段161通过第一网络路径126发出到物理控制耦合件148，以及接收由、跨越和/或通过使用通过第二网络路径126的物理控制耦合件148通信的验证数据171。
[0118]
在一些实施例中，通过cpc路径108通信状态密钥片段161可包括将片段161(通过第一网络路径126)发出到相关器166。如本文所使用的，相关器166是指控制系统101的网络-物理组件102，其被配置为由、跨过和/或通过使用ppv 155来确定和/或传与状态密钥片段161相对应的验证数据171。相关器166可被配置为通过、由和/或跨越物理控制耦合件148的物理过程150和/或物理过程属性152来通信验证数据171。如本文所使用的，接收器168是指控制系统101的网络-物理组件102，其被配置为检测、接收和/或解译由相关器166通信的验证数据171。接收器168可被配置为检测、接收和/或解译通过、由和/或跨越物理控制耦合件148的物理过程150和/或物理过程属性152通信的验证数据171。
[0119]
在一些实施例中，相关器166包括和/或耦合到致动器设备146，致动器设备146可操作地耦合到物理耦合件148的ppv 155。相关器166(例如，致动器设备146)可被配置为接收状态密钥片段161，并且将包括验证数据171的相关信号发送到选定接收器168。相关器166(例如，致动器设备146)可被配置为尤其通过执行被配置为影响、操纵和/或修改物理过程150和/或物理过程属性152的物理操作来发送相关信号，如本文所公开的。相关器166可被配置为将状态密钥片段161转换为能够由此执行的物理操作，该物理操作被配置为在与验证数据171相对应的ppv 155中产生变化(例如，物理过程150和/或物理过程属性152)。在一些实施例中，该改变可被配置为对ppv 155和/或与其相关的控制功能具有可忽略的影响。在一些实施例中，相关器166可被配置为在ppv 155的物理介质上通信验证数据171。作为非限制性示例，ppv 155可包括在导体上发送和/或分配电功率，并且相关器166(例如，致动器设备146)可被配置为尤其通过电力线通信(plc)和/或其它技术在导体上发送验证数据171。相关器166(例如，致动器设备146)可被配置为在与ppv 155相关联的任何合适的介质上发送验证数据171，该介质包括但不限于：物理介质、电介质(例如，一个或多个导体、迹线、线等)、声学介质、液压介质、气动介质、无线介质(例如，电磁信号传播介质)等。替代地
或另外，相关器166(例如，致动器设备146)可被配置为通过使用跨过、通过和/或由ppv 155通信的信号来通信验证数据171。相关器166(例如，致动器设备146)可被配置为通信在物理过程150和/或物理过程属性152上携带的验证数据171(可使用在物理过程150和/或属性152上、跨越和/或通过该物理过程和/或属性作为载波信号传播的信号，调制信号，和/或以其它方式使用信号来通信验证数据171)。替代地或另外，相关器166(例如，致动器设备146)可被配置为将验证数据171嵌入在经由ppv 155通信的信号和/或数据中(例如，可通过隐写术、网络隐写术、图像隐写术和/或任何其它合适的技术嵌入验证数据171)。
[0120]
在一些实施例中，接收器168包括和/或耦合到与物理控制耦合件148的ppv 155可操作地耦合的传感器设备144。接收器168(传感器设备144)可被配置为：接收由相关器166通信的验证数据171，并且经由cs网122将验证数据171返回到rs代理110。接收验证数据171可包括接收器168(例如，传感器设备144)获取传感器数据，该传感器数据包括跨越ppv 155通信的验证数据171，如上文所公开的。接收验证数据171还可包括传感器设备144(和/或与其紧密耦合的计算组件130)检测所获取的传感器数据内的验证数据171。接收验证数据171可包括标识所获取的传感器数据内的相关信号和/或验证数据171、隔离所标识的相关信号和/或验证数据171、提取所标识的相关信号和/或或验证数据171、过滤所获取的传感器数据等。替代地或另外，接收验证数据171可包括在与物理耦合件148的ppv 155(例如，物理过程150和/或物理过程属性152)相对应的介质上接收包括验证数据171的信号，该介质诸如物理介质、电介质、声学介质、液压介质、气动介质、无线介质等，如上文所公开的。在一些实施例中，接收器168(例如，传感器设备144)可被配置为接收在ppv 155的信号上通信和/或嵌入在通过ppv 155通信的信号和/或数据中的验证数据171，如上文所公开的。
[0121]
在一些实施例中，相关器166可包括和/或耦合到控制系统101的计算组件130，该计算组件被配置为跨越物理控制耦合件148通信与状态密钥片段161相对应的验证数据171(例如，通过使用与其紧密耦合的一个或多个物理组件140)。相关器166可包括和/或耦合到控制器132，该控制器被配置为：接收状态密钥片段161，并且作为响应，使一个或多个致动器设备146由、跨越和/或通过物理过程150和/或物理过程属性152来发送验证数据171，如本文所公开的。在一些实施例中，接收器168可包括和/或耦合到计算组件130，该计算组件130被配置为接收由、跨过和/或通过物理过程150和/或物理过程属性152通过使用与其紧密耦合的一个或多个物理组件140通信的验证数据171。接收器168可包括控制器132，其被配置为：通过使用与物理过程150和/或物理过程属性152操作地耦合的一个或多个传感器设备144接收验证数据171，如本文所公开的。接收器168(例如，控制器132)可被配置为通过使用由一个或多个传感器设备144获取的传感器数据来确定验证数据171，并且将验证数据171返回到rs代理110，如本文所公开的。
[0122]
在一些实施例中，相关器166可包括计算组件130，其被配置为尤其接收状态密钥片段161，并且通过使用与其可操作地和/或可通信地耦合的一个或多个物理组件140确定与片段161相对应的验证数据171。计算组件130还可包括接收器168，并且可被配置为将所确定的验证数据171返回到rs代理110，如本文所公开的。相关器166(例如，控制器132)可被配置为尤其通过确定与状态密钥片段161的cpkd片段163相对应的网络-物理密钥数据来确定验证数据171。相关器166(例如，控制器132)可尤其通过获取与cpkd片段163相对应的网络-物理状态信息(例如，ppv 155和/或与其可操作地耦合的物理组件140(诸如一个或多个
致动器设备146、传感器设备144等)的网络-物理状态等)并从获取的网络-物理状态信息导出网络-物理密钥数据来确定网络-物理密钥数据。确定验证数据171可包括使用物理控制元数据249来验证ppv 155的物理状态(如与该ppv耦合的一个或多个致动器设备146所指示)与ppv 155的状态(如对应的传感器设备144所指示)一致。确定验证数据171可包括基于致动器设备146的状态预测ppv 155的状态，基于传感器设备144的状态获取ppv 155的状态，和/或将预测的状态与获取的状态进行比较。ppv 155的状态可根据与其有关的物理控制元数据249来确定和/或估计，该物理控制元数据尤其可包括模型，通过该模型，可根据与ppv 155可操作地耦合的致动器设备146的状态确定该ppv的状态(如由一个或多个传感器设备144所指示的)。确定验证数据171可包括根据预测的状态与获取的状态之间的噪声和/或误差将噪声和/或误差引入状态密钥片段161(验证数据171)的网络-物理再现中。接收器168(例如，控制器132)还可被配置为将包括网络-物理密钥数据的验证数据171返回到rs代理110，如本文所公开的。尽管本文描述了用于通信状态密钥160、状态密钥片段161和/或对应的验证数据171的特定机制，但是本公开在这方面不受限制，并且可适于使用任何合适的部件(例如，由、跨越和/或通过任何合适的ppv 155和/或根据与该ppv有关的任何合适的网络-物理状态信息)通信状态密钥160、状态密钥片段161和/或对应的验证数据171。
[0123]
通信状态密钥160还可包括rs代理110获取响应于状态密钥160的相应片段161a-n的通信而返回的验证数据171a-n，并且通过使用获取的验证数据171a-n确定验证cpkd片段173a-n。获取验证数据171a-n可包括验证包括验证数据171a-n的消息、将验证数据171a-n与状态密钥160相关联、同步验证数据171a-n、确定相应验证数据171a-n的时延等，如本文所公开的。rs代理110还可被配置为生成验证密钥170，其可包括状态密钥160的cpkd 162的网络-物理重构(可包括验证cpkd 172)。生成验证密钥170可包括通过使用确定的验证cpkd片段173a-n来重构验证cpkd 172，这可包括根据解析模式117重构验证cpkd 172，对应片段161a-n(和/或其cpkd片段163a-n)通过该解析模式而生成，如本文所公开的。
[0124]
在一些实施例中，rs代理110可被配置为将状态密钥160与响应于状态密钥160通过控制系统101的部分的通信而返回的验证数据171进行比较。该比较可包括将相应状态密钥160与对应的验证密钥170进行比较(例如，将相应状态密钥160的cpkd 162与对应的验证密钥170的验证cpkd 172进行比较)。替代地或另外，该比较可包括将相应状态密钥160的片段161a-n与对应的验证数据171a-n进行比较(和/或将cpkd片段163a-n与对应的验证cpkd片段173a-n进行比较)。rs代理110还可被配置为确定和/或维护与状态密钥160的通信有关的误差度量175，包括但不限于：密钥误差176、片段误差177等。rs代理110可被配置为确定密钥误差度量(密钥误差176)，其可对应于验证密钥170与对应的状态密钥160(和/或验证cpkd 172与对应的状态密钥160的cpkd 162)之间的误差、距离和/或差异。状态密钥160的密钥误差度量176可被配置为量化由状态密钥160的网络-物理重构引入的误差(例如，通过控制系统101的相应cpc路径108通信状态密钥160的片段161)。替代地或另外，rs代理110可被配置为确定片段误差度量(片段误差177)，其可对应于状态密钥片段161与对应的验证数据171(和/或cpkd片段163与对应的验证cpkd片段173)之间的误差、距离和/或差异。状态密钥片段161的片段误差177可被配置为量化由其网络-物理再现引入的误差(例如，通过控制系统101的cpc路径108通信片段161)。在一些实施例中，状态密钥160的密钥误差176可对应于其相应片段161a-n的片段误差177a-n。
[0125]
rs代理110可被配置为使用任何合适的部件确定状态密钥160、cpkd 162、状态密钥片段161和/或cpkd片段163(si)与对应的验证密钥170、验证cpkd 172、验证数据171和/或或cpkd片段173(s2)之间的误差度量175。在一些实施例中，rs代理110被配置为尤其根据均方根(rms)技术如下所示计算误差度量175：
[0126][0127]
在上面的表达式中，e
rms
可包括s1与s2之间的rms误差，并且n可为s1和s2的长度。替代地或另外，rs代理110可被配置为尤其根据编辑距离如下计算误差度量175：
[0128]
e＝i d 3c 5w
[0129]
c w≤min(l1,l2)
[0130]
i d＝|l1,l2|
[0131]
在上面的表达式中，l1可包括s1的长度(状态密钥160、cpkd 162、片段161、cpkd片段163等)，l2可为s2的长度(验证密钥170、验证cpkd 172、验证数据171、验证cpkd片段173等)，i是插入次数，d是删除次数，c是改变次数，并且w是s1与s2之间的交换次数。在一些实施例中，编辑距离可从0至64重新缩放到0至100，以如下产生误差度量m：
[0132][0133]
误差度量(m)可包括s1和s2偏离彼此的同源序列的程度的加权百分比(例如，有多少位不同和/或处于不同的顺序)。因此，低误差度量(m)可指示s1和s2对应于共同原型(例如，相同的或网络-物理状态和/或cpkd 162/163)。高误差度量(m)可指示si与s2之间的同源性很小或没有同源性(例如，可指示网络-物理状态、cpkd 162、cpkd片段163等的显著变化)。尽管本文描述了用于确定误差度量的特定实施例，但是本公开在这方面不受限制并且可适于使用用于量化状态密钥160和/或状态密钥片段161通过控制系统101的相应cpc路径108通信引入的误差的任何合适的部件、技术和/或机制，如本文所公开的。
[0134]
rs代理110还可被配置为尤其基于响应于通信相应的状态密钥160而确定的误差度量175等来确定控制系统101的网络-物理健康和/或验证网络-物理状态元数据111(和/或其部分)，如本文所公开的。如上文所公开的，用于表征控制系统101的网络-物理状态的网络-物理状态元数据111可从相应网络-物理组件102获取(例如，通过从相应网络-物理组件102请求网络-物理状态信息、监视cs网122上的通信、估计网络-物理状态信息等)。如果网络-物理组件102中的一个或多个受损，则从其获取的网络-物理状态信息可能不准确(或甚至是对抗性的)，从而导致对控制系统101的网络-物理状态的确定、估计和/或获取不准确(例如，攻击者可通过受损组件102、通过物理环境、经由cs网122、从外部网等引入对抗性网络-物理状态信息)。通过控制系统101的相应cpce 105和/或cpc路径108通信状态密钥160可确保从其网络-物理组件102获取的网络-物理状态信息是准确的。尽管攻击者可能能够仿真和/或对cs网122上的通信进行仿真和/或“欺骗”(例如，注入对抗性消息、信号等)，但是攻击者(和/或由此受损网络-物理组件102)可能不能对状态密钥160(和/或状态密钥片段161)的通信进行仿真和/或欺骗，如本文所公开的，更不用说通信包括网络-物理密钥数据162的状态密钥160了，该网络-物理密钥数据包括和/或对应于上下文特定的网络-物
理状态元数据111和/或cpss 118。例如，攻击者可能不知道从其中导出网络-物理状态元数据111和/或cpss 118的网络-物理拓扑115和/或网络-物理状态信息，并且因而可能无法对状态密钥160、状态密钥片段161和/或对应的验证数据171的通信进行仿真，如本文所公开的。此外，即使外部攻击者能够在cs网122内捕获状态密钥片段161和/或验证数据171，但是覆盖控制系统101的不同区域的cpkd 162(例如，包括和/或根据网络-物理拓扑115和/或签名模式116源自于不同的网络-物理状态元数据111和/或cpss 118)的使用、对底层网络-物理状态元数据111本身(和/或对应的cpss 118)的改变、包括覆盖控制系统101的不同区域的cpkd 162和/或cpkd片段163的状态密钥160和/或状态密钥片段161的使用、以及通过控制系统101的不同区域通信状态密钥160和/或片段161的(例如，由、跨过和/或通过不同cpce 105的物理过程耦合件148通信状态密钥片段161)可能使攻击者无法在播放或类似攻击中采用此类捕获的数据(或使用捕获的数据来尝试逆向工程设计状态密钥和/或状态密钥片段161以供播放)。尽管攻击者可能受损控制系统101的网络-物理组件102，但是攻击者可能无法配置受损组件102来正确地通信状态密钥160和/或状态密钥片段161，如本文所公开的。此外，rs代理110可能能够在相对简单的设备上操作。rs代理110可被配置为使用低开销技术导出cpss签名118，该低开销技术可能能够在诸如plc之类的基本设备上操作。
[0135]
rs代理110可通过使用与状态密钥160和/或状态密钥片段161通过控制系统101的相应区域的通信有关的误差度量175来确定控制系统101的网络-物理健康元数据180。如上文所公开的，增加误差度量175可指示状态密钥160和/或状态密钥片段161通过控制系统101的通信误差增加，该误差增加可能是由于控制系统101的网络和/或物理健康的劣化。因此，网络-物理健康元数据180的健康度量可与由rs代理110确定的误差度量175成反比。在一个实施例中，rs代理110可被配置为尤其基于最近生成的和/或通过控制系统101通信的状态密钥160的误差度量175来确定网络-物理健康元数据180。网络-物理健康元数据180可包括和/或对应于状态密钥窗口(例如，最后n个状态密钥160的误差度量)。作为非限制性示例，rs代理110可被配置为如下计算包括最后n个误差度量175(e)的健康度量：
[0136][0137]
在上面的表达式中，cph可包括网络-物理健康度量，并且ei可包括与最后n个状态密钥160的相应状态密钥160相关联的误差度量175。
[0138]
网络-物理健康元数据180还可包括与网络-物理状态元数据111有关的置信度度量。网络-物理健康元数据180可量化网络-物理状态元数据111准确反映控制系统101的网络-物理状态的置信度。如上文所公开的，网络-物理状态元数据111可尤其通过从控制系统101的相应区域(例如，相应的网络-物理组件102、cpce 105、cpc路径108、cpce部分109等)获取网络-物理状态信息来确定。可从rs代理110被配置为通过其中通信相应状态密钥160和/或状态密钥片段161的区域获取网络-物理状态信息。因此，与相应状态密钥160和/或状态密钥片段161的通信相对应的误差度量175可对应于从中获取控制系统101的网络和/或物理状态(和/或从中确定网络-物理状态元数据111)的网络-物理状态信息的误差。因此，由rs代理110确定的置信度度量可与误差度量175成反比，使得误差度量175的增加导致置信度度量降低，反之亦然。在一些实施例中，rs代理110可通过使用一个或多个误差度量175
(例如，最后n个误差度量175，如上文所公开的)来确定置信度度量。
[0139]
在一些实施例中，rs代理110还可被配置为将误差度量175与控制系统101的特定区域(例如，特定cpce 105、cpc路径108、cpce部分109、网络-物理组件102、信息节点124、网络路径126、物理过程耦合件148等)相关联。如上文所公开的，响应于状态密钥160(和/或相应状态密钥片段161)通过控制系统101的相应区域的通信而确定的误差度量175可指示由通过相应区域通信而引入的误差。rs代理110可被配置为将特定状态密钥160(和/或相应状态密钥片段161)的误差度量175与控制系统101的区域相关联，特定状态密钥160(和/或相应密钥片段161)通过该区域而通信。rs代理110可被配置为将密钥误差176与通过其通信对应状态密钥160的cpce 105相关联，将片段误差177a-n与通过其通信对应状态密钥片段161的cpc路径108相关联，以此类推。rs代理110可被配置为确定与控制系统101的相应区域(例如，相应cpce 105、cpc路径108、网络-物理组件102等)相对应的网络-物理健康度量180，其可尤其基于与相应区域相关联的误差度量175，如上文所公开的。
[0140]
在一些实施例中，rs代理110还可被配置为将误差度量175与网络-物理状态元数据111的相应部分相关联。rs代理110可被配置为将特定状态密钥160(和/或相应状态密钥片段161)的误差度量175与和控制系统101的区域相对应的网络-物理状态元数据111的部分相关联，特定状态密钥160(和/或相应的密钥片段161)通过该区域而通信(例如，与cpce 105、cpc路径108、cpce部分109、网络-物理组件102、网络节点124等相对应的网络-物理状态元数据111的部分，通过该部分，通信状态密钥160和/或状态密钥片段161)。rs代理110还可被配置为确定网络-物理状态元数据111的相应部分的置信度度量。置信度度量可尤其基于与网络-物理状态元数据111的相应部分相关联的误差度量，如本文所公开的。
[0141]
如上文所公开的，状态密钥160的片段161可通过一个或多个cpce 105(通过cpce 105的相应cpc路径108)而通信。因此，由rs代理110通信的状态密钥160可“覆盖”控制系统101的相应网络-物理控制区域。如本文所使用的，由状态密钥160“覆盖”的网络-物理控制区域(由状态密钥160覆盖的“区域”，或状态密钥160的“被覆盖区域”)是指控制系统101的网络-物理控制区域，状态密钥160(和/或其片段161)通过该网络-物理控制区域通信。网络-物理控制区域可包括和/或对应于一个或多个cpce 105(和/或其区域)。在一些实施例中，rs代理110可配置状态密钥160以覆盖与其cpkd 162相对应的区域。替代地，rs代理110可配置状态密钥160以覆盖控制系统101的区域，该区域可能对应于或可能不对应于由其cpkd 162覆盖的区域。rs代理110可基于如本文所公开的任何合适的标准来选择由相应状态密钥160覆盖的区域，该选择可独立于相应状态密钥160的cpkd 162。
[0142]
通过控制系统101的选定区域通信状态密钥160可包括通过该区域的相应cpc路径108通信该状态密钥的相应片段161a-n。通过cpc路径108通信状态密钥片段161可包括将片段161通过该区域的cpce 105的网络部分129发出到cpce 105的物理控制部分149，并且将对应的验证数据171a-n通过cpce 105的网络部分129从cpce 105的物理控制部分149回传。通信状态密钥片段161可包括rs代理110：将片段161(通过输入网络路径126)发出到选定相关器166，使相关器166(例如，选定的致动器设备146)由、跨过和/或通过cpce 105的ppv 155将对应的验证数据171通信到选定的接收器168(例如，选定的传感器设备144)，并且使接收器168将验证数据171(通过返回网络路径126)返回到rs代理110。因此，通过其通信状态密钥160的cpc路径108可表示如下：
[0143][0144]
输入网络路径126可包括网络节点124，rs代理110将状态密钥片段161通过该网络节点发出到物理控制耦合件148的选定相关器166(例如，致动器设备146)。物理控制耦合件148可标识ppv 155，由、跨越和/或通过该ppv，相关器166将对应的验证数据171发送到选定接收器168(例如，传感器设备144)。返回网络路径126可包括网络节点124，验证数据171通过网络节点返回到rs代理110。由状态密钥160覆盖的区域可包括cpc路径108的并集(例如，与相应cpc路径108相对应的cpce 105的并集)，通过该并集通信该状态密钥的相应片段161。
[0145]
如本文所公开的，状态密钥160的误差度量175可量化所得验证密钥170(和/或所得验证数据171的网络-物理再现)的网络-物理重构中的误差。因此，覆盖控制系统101的选定区域的状态密钥160的误差度量175可量化由、跨越和/或通过该选定区域通信而引入的误差。因此，rs代理110可被配置为将状态密钥160的密钥误差176归因于由此覆盖的区域的网络-物理组件102(例如，确定该区域内的一个或多个网络-物理组件102促成由此产生的密钥误差176)。rs代理110还可被配置为将状态的片段误差177a-n归因于cpc路径108的网络-物理组件102，状态密钥160的对应片段161a-n通过该cpc路径通信(例如，确定相应的cpc路径108的一个或多个网络-物理组件102促成对应的片段误差177a-n)。rs代理110可被配置为在网络-物理健康元数据180中记录归因于相应网络-物理组件102(和/或对应的网络-物理状态元数据111)的误差度量175，如本文所公开的。在一些实施例中，rs代理110还可被配置为尤其通过通信重叠和/或相关状态密钥160并评估其所得误差度量175来进一步细化特定误差度量175所归因于的网络-物理组件102。如上文所公开的，状态密钥160(和/或其片段161)可覆盖控制系统101的相应区域。如本文所使用的，“相关”或“重叠”状态密钥160是指覆盖指定“重叠区域”的至少一部分的状态密钥160。如本文所使用的，“目标”或“重叠”区域可指代如本文所公开的网络-物理控制区域(例如，可包括一个或多个cpce 105)。因此，重叠区域可包括和/或对应于一组网络-物理组件102、cpc路径108、cpce部分109、网络节点124等。重叠状态密钥160可指代被配置用于通过同一重叠区域(例如，通过重叠区域的一个或多个cpce 105)通信的状态密钥160。因此，重叠状态密钥160可指代被配置用于通过重叠cpc路径108通信的状态密钥160。如本文所使用的，“相关”或“重叠”cpc路径108是指通过控制系统101的同一重叠区域的cpc路径108(例如，通过重叠区域的一个或多个cpce 105的cpc路径108)。重叠cpc路径108可对应于重叠区域的相应的网络路径126和/或物理过程耦合件148。例如，通过同一重叠区域的第一和第二cpc路径108可覆盖重叠区域的相应部分(portions/section)和/或子区域(例如，可覆盖重叠区域的相应的cpce 105、cpce部分109、网络路径和/或物理耦合件148)。rs代理110可配置重叠cpc路径108以隔离特定区域和/或网络-物理组件102(例如，在重叠区域的特定网络-物理组件102的包括/排除方面有所不同)。被配置为隔离重叠区域的特定部分的重叠cpc路径108在本文中可被称为“隔离”cpc路径108。作为进一步示例，第一和第二重叠cpc路径108可包括隔离cpc路径108：第一cpc路径108可包括不包括在第二cpc路径108中的第一网络-物理组件102，和/或第二cpc路
径108可包括不包括在第一cpc路径108中的第二网络-物理组件102。rs代理110可配置隔离cpc路径108以隔离特定网络-物理区域和/或组件102，这可使得其误差度量175的差异能够归因于特定网络-物理区域和/或组件102。rs代理110可被配置为评估重叠状态密钥160和/或隔离cpc路径108的误差度量175，以尤其进一步细化误差度量175应归因于的网络-物理组件102(和/或对应的网络-物理状态元数据111)。因此，rs代理110可确定异常误差度量175的原因和/或来源。
[0146]
作为非限制性示例，rs代理110可通过cpce 105a通信第一状态密钥160a，该cpce可对应于如图1b所示的cpce 105a。因此，第一状态密钥160a可覆盖cpce 105a。通信第一状态密钥160a可包括通过cpce 105a的相应cpc路径108通信该第一状态密钥的相应片段161a-n，获取对应的验证数据171a-n，以及如下确定误差度量177a-n：
[0147][0148][0149]
如上文所指示，片段161aa的通信可包括通过cpc路径108aa通信片段161aa，这可包括：rs代理110将片段161aa通过包括网络节点124a和124e的输入网络路径126发出到第一相关器166(致动器设备146a)；致动器设备146a将对应的验证数据171aa通过物理过程属性152a发送到第一接收器168(传感器设备144a)；以及传感器设备144a将验证数据171aa通过包括网络节点124d、b、c和a的第一返回网络路径126返回到rs代理110。所得片段误差177aa可量化片段161aa与所获取的片段171aa之间的误差验证数据，如本文所公开的。通过cpc路径108an通信片段161an可包括rs代理110：将片段161an通过输入网络路径126发送到第二相关器166(致动器设备146b)；致动器设备146b将对应的验证数据171an通过物理过程属性152b发送到第二接收器168(传感器设备144b)；以及传感器设备144b将验证数据171an通过包括网络节点126b和126a的第二返回网络路径126返回到rs代理110。所得片段误差177an可对应于片段161an与对应的验证数据171an之间的误差，如本文所公开的。
[0150]
相应的误差度量177aa-an可指示相应cpc路径108aa-an的网络-物理组件的网络-物理健康。误差度量177aa可指示网络节点124a-e、传感器设备144a、致动器设备146a和/或物理过程属性152a的网络-物理健康。误差度量177an可指示网络节点126a、b和e、传感器设备144b、致动器设备146b和/或物理过程属性152b的网络-物理健康。片段误差177aa-an之间的差异可归因于在相应cpc路径108a-n中包括和/或排除网络-物理组件102。片段误差177aa-an的差异可对应于以下一个或多个的网络-物理健康的差异：网络节点124c、传感器
设备144a-b、致动器设备146a-b、物理过程属性152a-b等。
[0151]
在一些实施例中，rs代理110可被配置为调适状态密钥160和/或状态密钥片段161的通信以尤其进一步细化特定误差度量175可归因于的网络-物理组件102(例如，确定异常误差度量的原因和/或来源175)。该调适可包括配置一系列重叠状态密钥160的通信，如上面所公开的，该系列重叠状态密钥可通过控制系统101的同一重叠区域来通信。rs代理110可通过隔离cpc路径108配置状态密钥160的通信，该cpc路径相对于特定网络-物理组件102的包括/排除而变化，使得其误差度量175的差异可归因于在相应的隔离cpc路径108中包括/排除的特定网络-物理组件组件102。
[0152]
响应于状态密钥160a的通信，rs代理110可以调适后续状态密钥160b的通信，如上面所公开的。rs代理110可以将状态密钥160b配置为与状态密钥160a重叠，这可以包括配置状态密钥160b用于通过cpce 105a进行通信。rs代理110可以被配置为通过cpc路径108ba-bn通信片段161ba-bn，cpc路径108ba-bn可以对应于相同的cpce 105a，但是不同于关于包含和/或排除特定信息物理组件102的状态密钥160a的cpc路径108aa-an。rs代理110可以被配置为通信状态密钥160b，如下：
[0153][0154]
误差度量177ba可量化在通过cpc路径108ba通信片段161a期间引入的误差，该cpc路径在网络节点124c方面不同于cpc路径108aa。rs代理110可配置片段161ba以绕过网络节点124c，同时利用cpc路径108aa的相同或类似的网络-物理组件102。由于cpc路径108aa和108ba仅在网络节点124c方面不同，因此rs代理110可将片段误差177aa和177ba之间的差异归因于网络节点124c。在一个实施例中，片段误差177aa可能是异常的，并且作为响应，rs代理110可调适后续状态密钥160(例如，状态密钥160b)的通信以隔离与片段误差177aa相关联的cpc路径108aa的组件。rs代理110可确定片段误差171ba是标称上的，并且由于cpc路径108ba因包括网络节点124c而不同于与异常片段误差177aa相关联的cpc路径108aa，因此rs代理110可确定网络节点124c是异常的来源和/或原因(例如，网络节点124c可能受损和/或遭受网络攻击)。rs代理110还可被配置为通信后续状态密钥160以(例如，凭借通过在其包括网络节点124c方面不同的路径通信后续状态密钥160并比较所得误差度量175)验证网络节点124c是异常的来源。
[0155]
如上文所示，rs代理110可配置cpc路径108bn，通过该cpc路径，状态密钥片段161bn可被配置为隔离cpc路径108an的一个或多个网络-物理组件102。rs代理110可调适后
续状态密钥160b的cpc路径108bn，以便尤其细化所得片段误差177an和/或177bn可归因于的网络-物理组件102，如上面所公开的。rs代理110可配置cpc路径108bn以在选定的网络-物理组件102方面不同于cpc路径108an。cpc路径108bn可在其物理耦合件148方面不同于cpc路径108an。cpc路径108bn的物理耦合可包括将验证数据171bn从致动器设备146b发送到传感器设备144a(而不是如在cpc路径108an中一样发送到传感器设备144b)。因此，rs代理110可确定片段误差177an和177bn之间的差异可归因于通过物理控制耦合件148进行通信，该物理控制耦合件包括致动器设备146b和传感器设备144a或144b。rs代理110可进一步确定与177bn相比较高片段误差177an的原因和/或来源是传感器设备144b，并且与177an相比较高片段误差177bn的原因和/或来源是传感器设备144a。
[0156]
在一些实施例中，rs代理110还可被配置为检测高误差度量175，并且作为响应，配置后续状态密钥160和/或状态密钥片段161的通信以尤其确定其来源和/或原因。响应于检测到高误差度量175(例如，超过一个或多个误差阈值的误差度量175)，rs代理110可被配置为确定“误差区域”，其可包括控制系统101的由具有高误差度量175的状态密钥160覆盖的区域。rs代理110还可被配置为标识所确定的误差区域中包括的网络-物理组件102，其可能是高误差度量175的潜在原因。rs代理110可被配置为维护包括作为高误差度量175的潜在原因的网络-物理组件102的一组(“误差组”)，其最初可包括标识的网络-物理组件102。因此，rs代理110最初可将高误差度量175归因于误差组内的网络-物理组件102。在一些实施例中，rs代理110还可被配置为进一步确定和/或细化误差度量175的原因和/或来源，这可包括：作为高误差度量175的潜在原因而排除网络-物理组件102(例如，细化误差组和/或误差区域)；确定所标识的网络-物理组件102的异常权重，该异常权重指示相应网络-物理组件102是高误差度量175的原因的可能性；确定用于所标识的网络-物理组件102的误差权重，该误差权重指示可归因于相应的网络-物理组件102的误差度量175等。rs代理110可被配置为通信重叠状态密钥160，评估重叠状态密钥160的误差度量175，并且基于该评估确定和/或细化误差度量175的原因。
[0157]
rs代理110可被配置为根据网络-物理隔离方案来调适状态密钥160的通信。实施网络-物理隔离方案可包括rs代理110配置重叠状态密钥160以在网络隔离方案中隔离选定的网络区域(例如，隔离网络组件120、网络节点124等)。rs代理110可通过具有相同或类似的计算组件130和/或物理组件140(相同或类似的物理过程耦合件148)的隔离cpc路径108来通信重叠状态密钥160，同时改变其网络区域的选定部分(例如，改变其网络路径126)。rs代理110可将重叠状态密钥160的片段161通信到相同或类似的相关器166，和/或从相同或类似的接收器168获取验证数据171。实施网络隔离方案还可包括rs代理110修改相应状态密钥片段161(和/或对应的验证数据171)的网络路径126以包括和/或省略选定的网络区域，使得重叠状态密钥160和/或片段161的通信覆盖重叠区域内的不同网络区域。rs代理110还可被配置为评估重叠状态密钥160(和/或状态密钥片段161)的误差度量175，检测误差度量175的变化，并将检测到的变化归因于特定的网络区域(根据在相应的隔离cpc路径108中包括和/或省略的网络组件120之间的差异)。实施网络-物理隔离方案还可包括rs代理在物理隔离方案中隔离物理控制区域(例如，隔离计算组件130和/或物理组件140)，这可包括rs代理110通过具有相同或类似的网络区域(例如，网络路径126)的隔离cpc路径108通信重叠状态密钥160，同时改变其物理控制区域(例如，改变计算组件130和/或物理组件140
和/或物理耦合件148，通过该物理耦合件发送状态密钥片段161和/或接收对应的验证数据171)。实施物理隔离方案可包括rs代理110通过相同或类似的网络路径126通信重叠状态密钥160的状态密钥片段161，同时修改物理控制区域以包括和/或排除选定的物理组件140和/或由、跨越和/或通过不同的物理过程150和/或物理过程属性152来通信验证数据171。rs代理110还可被配置为评估重叠状态密钥160的误差度量175，检测误差度量175的变化，并将检测到的变化归因于特定的计算组件130和/或物理组件140(根据相应的隔离cpc路径108中包括和/或排除的组件130/140)。在一个实施例中，rs代理110可检测具有异常误差度量175的状态密钥160，并且作为响应，可调适一个或多个后续状态密钥160以与由此覆盖的区域重叠(例如，可生成状态密钥160，该状态密钥与由具有异常误差度量175的状态密钥160覆盖的区域重叠)。rs代理110可通过隔离路径108通信重叠状态密钥160，如上文所公开的，该隔离路径可关于特定网络-物理组件102的包括和/或排除而变化。如上文所公开的，rs代理110可根据网络和/或物理隔离方案来配置隔离路径108。rs代理110可评估重叠状态密钥160的误差度量175。响应于具有低误差度量175的重叠状态密钥160，rs代理110可指示由此覆盖的网络-物理组件102可作为异常误差度量175的潜在原因被排除(可从误差组和/或区域中去除)。响应于具有高误差度量175的重叠状态密钥160，rs代理110可指示由此覆盖的网络-物理组件102(尚未作为异常的潜在原因而排除)可保留作为异常的潜在原因。rs代理110可继续调适后续状态密钥160的通信以进一步细化异常的潜在原因，这可包括通过隔离cpce路径108来通信后续状态密钥160，该隔离cpce路径被配置为选择性地包括和/或排除保留在误差组和/或区域中的网络-物理组件102。rs代理110可继续迭代地调适后续状态密钥160的通信，直到异常的原因被确定，不可能进一步细化(根据控制系统101的网络-物理拓扑115)，和/或满足另一个终止标准。
[0158]
尽管本文描述了对状态密钥160和/或状态密钥片段161的通信的修改的特定示例，但是本公开在这方面不受限制并且可适于利用对状态密钥160、状态密钥片段161等的通信的任何合适的修改和/或调适，以确定，指示和/或隔离控制系统101的网络-物理组件102、网络节点124、网络路径126和/或物理过程耦合件148，使得误差度量175(和/或其部分)可归因于此。
[0159]
在一些实施例中，响应于对异常度量175的检测，rs代理110可被配置为：标识作为异常的潜在原因的网络-物理组件102，并且确定所标识的网络-物理组件102的异常权重，该异常权重指示相应网络-物理组件102是异常的原因的可能性。标识的网络-物理组件102可包括由具有异常误差度量175的状态密钥160覆盖的网络-物理组件102。rs代理110可被配置为将初始异常权重分配给每个标识的网络-物理组件102，通过隔离cpc路径108(根据如上文所公开的网络和/或物理隔离方案)通信重叠状态密钥160，并基于响应于重叠状态密钥160通过相应cpc路径108的通信而确定的误差度量175来确定相应网络-物理组件102的异常权重。rs代理110可被配置为增加由具有较高误差度量175的重叠状态密钥160覆盖的网络-物理组件102的异常权重，并减小由具有较低误差度量175的重叠状态密钥160覆盖的网络-物理组件102的异常权重。替代地或另外，rs代理110可被配置为增加与较高片段误差177相关联的隔离cpc路径108中包括的网络-物理组件102的异常权重，并且减小与较低片段误差177相关联的隔离cpc路径108中包括的网络-物理组件102的异常权重。rs代理110可继续迭代地细化所标识的网络-物理组件102的异常权重直到满足终止标准(例如，直到
异常权重已经收敛，相应网络-物理组件102的异常权重充分发散以致于能够确定异常误差度量175的原因，不可能进一步细化，和/或满足另一个标准)。
[0160]
在一些实施例中，rs代理110可被配置为确定控制系统101的特定区域内的网络-物理组件102的误差权重。rs代理110可配置一系列状态密钥160以用于通过控制系统101的指定区域通信，该指定区域包括一个或多个cpce105(例如，一系列重叠状态密钥160)。rs代理110还可被配置为通过相应的隔离cpc路径108通信该系列重叠状态密钥160(和/或其片段161)，并且可配置隔离cpc路径108以选择性地包括和/或排除特定的网络-物理组件102。
[0161]
在一些实施例中，rs代理110可比较相应重叠状态密钥160(和/或相应隔离cpc路径108)的误差度量175。该比较可包括检测误差度量175(误差度量d值)之间的增量。响应于检测到超过误差d阈值的误差度量d，rs代理110可被配置为调适后续状态密钥160以确定误差度量d的原因和/或来源(例如，通过标识网络-物理组件102作为误差度量d的潜在原因，以及实施网络和/或物理隔离方案以细化和/或加权标识的网络-物理组件102作为误差度量d的潜在来源，如本文所公开的)。在一些实施例中，rs代理110可配置一系列状态密钥160用于通过指定重叠区域通信。rs代理110可配置重叠状态密钥160以用于通过相应的隔离cpc路径108(例如，根据网络-物理隔离方案，如本文所公开的)通信。rs代理110可被配置为尤其基于该系列重叠状态密钥160的误差度量175来确定指定区域内的相应网络-物理组件102的误差权重。rs代理110可被配置为尤其通过以下各项确定指定区域内的相应网络-物理组件102的误差权重，向指定区域内的每个网络-物理组件102指派初始误差权重(和/或指派其先前确定的误差权重)，通过指定区域的相应隔离cpc路径108通信一系列重叠状态密钥160，评估该系列状态密钥160的误差度量175，以及根据所得误差度量175调整指派给相应网络-物理组件102的误差权重。rs代理110可被配置为增加由具有较高误差度量175的状态密钥160覆盖的网络-物理组件102的误差权重，并减小由具有较低误差度量175的状态密钥160覆盖的网络-物理组件102的误差权重。替代地或另外，rs代理110可被配置为增加具有较高片段误差177的隔离cpc路径108中包括的网络-物理组件102的误差权重，并且减小具有较低片段误差177的隔离cpc路径108中包括的网络-物理组件102的误差权重。如本文所公开的，rs代理110可继续迭代地细化误差权重直到满足终止标准。
[0162]
rs代理110可尤其基于为通过控制系统101通信的状态密钥160确定的误差度量175来确定控制系统101的网络-物理健康元数据180，如本文所公开的。rs代理110还可被配置为尤其基于与覆盖相应区域的状态密钥160相对应的误差度量175来确定控制系统101的相应区域的网络-物理健康度量。rs代理110可尤其基于覆盖相应cpce 105的状态密钥160的误差度量175来确定控制系统101的相应cpce 105的网络-物理健康度量。rs代理110还可被配置为确定相应cpc路径108的网络-物理健康度量，其可尤其基于与状态密钥160(和/或状态密钥片段161)通过相应的cpc路径108通信相对应的误差度量175(例如，片段误差177)。rs代理110还可被配置为尤其基于状态密钥160和/或状态密钥片段161的误差度量由、跨越和/或通过特定网络-物理组件102来确定特定网络-物理组件102(例如，一个或多个网络-物理组件102的组、cpce部分109等)的网络-物理健康度量。rs代理110还可被配置为尤其基于归因于特定网络-物理组件102(和/或其组)的异常、针对该异常确定的异常权重和/或误差权重等来确定用于该特定网络-物理组件(和/或其组)的网络-物理健康度量，如本文所公开的。rs代理110还可被配置为确定与网络-物理状态元数据111(和/或其相应)
有关的置信度度量。置信度度量可尤其基于为通过控制系统101通信的状态密钥160确定的误差度量175，如本文所公开的。rs代理110还可被配置为尤其基于误差度量175、归因于该误差度量的异常、异常权重和/或误差权重来确定与相应cpce 105、cpc路径108、cpce部分109、网络-物理组件102等相对应的网络-物理状态元数据111的置信度度量，如上文所公开的。rs代理110还可被配置为确定和/或监视控制系统101(及其相应区域)的网络-物理健康，这可包括确定网络健康度量282指示和物理健康度量284。网络健康度量282可被配置为指示控制系统101(和/或其相应区域)的网络健康。网络健康度量282可指示控制系统101内的网络通信的健康、cs网122(和/或其相应部分)的健康、相应网络组件120的健康、相应网络节点124的健康等。网络健康度量282尤其可基于通过控制系统101的cpc路径108通信的状态密钥160的误差度量175(例如，通过相应的网络组件120、网络节点124、cs网122的部分等通信的状态密钥160的误差度量175，如本文所公开的)。如本文所公开的，网络健康度量282可进一步结合为网络状态元数据220(和/或其部分)确定的置信度度量。
[0163]
物理健康度量284可被配置为指示控制系统101(和/或其相应区域)的物理健康。物理健康度量284可指示相应cpce 105、cpc路径108、计算组件130、物理组件140、物理控制耦合件148、ppv 155等的健康。物理健康度量284尤其可基于通过控制系统101的相应cpce 105的物理控制部分149通信的状态密钥160的误差度量175(例如，用于由、跨越和/或通过控制系统101的物理控制耦合件148通信的验证数据171的误差度量175，如本文所公开的)。如本文所公开的，物理健康度量284可进一步结合为网络状态元数据220(和/或其部分)确定的置信度度量。
[0164]
图4描绘了如本文所公开的网络-物理健康元数据180的实施例。在图4的实施例中，网络-物理健康元数据180可包括在网络-物理拓扑115和/或签名模式116中。由rs代理110维护的网络-物理健康元数据180可包括网络健康元数据182和物理健康元数据184。rs代理110可被配置为维护与如图1b所示的控制系统101的相应部分相对应的网络健康元数据182和/或物理健康元数据184。rs代理110可被配置为确定与cpce 105a和/或其相应部分有关的网络健康元数据182和/或物理健康元数据184。rs代理110可被配置为确定与cpce 105a的网络部分129a的相应区域(相应网络区域，诸如相应网络组件120、网络节点124、网络路径126等)有关的网络健康元数据182。
[0165]
如本文所公开的，网络健康元数据182可包括与控制系统101(和/或其相应区域)的网络健康有关的信息。网络健康元数据182可包括一个或多个网络健康参数181，其可包括但不限于：误差参数181a、置信度参数181b、状态参数181n等。误差参数181a可包括与和状态密钥160(和/或状态密钥片段161)由、跨越和/或通过控制系统101的相应网络区域(例如，相应网络组件120、网络节点124、网络路径126、网络部分129等)的通信相关联的误差度量175有关的信息。误差参数181a可包括误差度量175的分布(例如，平均值、均值、最小值、最大值、方差、偏差等)、误差度量175的寿命(例如，自从rs代理110捕获到与网络区域相对应的误差度量175以来的时间)、误差度量175和/或归因于相应网络区域的权重(例如，为相应网络区域确定的误差权重)、归因于相应网络区域的异常(例如，为相应的网络区域确定的异常权重)等。置信度参数181b可指示与相应网络区域有关的网络状态元数据220中的置信度。置信度参数181b可量化与相应网络区域相对应的网络状态元数据220准确地表示其网络状态的置信度。置信度参数181b可尤其基于网络健康元数据182的误差参数181a，如本
文所公开的。状态参数181n可指示控制系统101(和/或其相应的网络区域)的网络状态的健康。状态参数181n可基于误差参数181a和/或置信度参数181b。替代地或另外，状态参数181n可尤其通过将控制系统101的网络状态(例如，网络状态元数据220和/或其相应部分)与预定网络行为(例如，网络状态基线、网络状态配置文件等，如本文中进一步详细公开的)进行比较来确定。状态参数181n可指示控制系统101(和/或其相应的网络区域)的网络状态对应于“健康”网络状态和/或行为的程度。替代地或另外，状态参数181n可指示控制系统101(和/或其相应的网络区域)的网络状态对应于“不健康”网络状态和/或行为的程度。确定状态参数181n可包括将网络状态元数据220与和相应“健康”和/或“不健康”网络行为(例如，“健康”和/或“不健康”的网络状态基线552，如本文进一步详细公开的)相对应的对应网络状态特性进行比较。因此，状态参数181n可指示控制系统101的网络状态(如由网络状态元数据220所指示的)是对应于“健康”网络行为还是对应于指示网络攻击、网络受损的“不健康”网络行为等。网络健康元数据182还可包括一个或多个网络健康度量282，其可被配置为量化控制系统101(和/或其相应的网络区域)的网络健康。如本文所公开的，网络健康度量282尤其可基于网络健康元数据182的健康参数181a-n。网络健康度量282可与误差参数181a成反比和/或与置信度参数181b成正比。替代地或另外，网络健康度量282可与网络状态元数据220和“健康”网络行为之间的误差、差异和/或距离成反比和/或与网络状态元数据220和“不健康”的网络行为(如状态参数181n所指示)之间的误差、差异和/或距离成反比。
[0166]
如本文所公开的，物理健康元数据184可包括与控制系统101(和/或其相应区域)的物理健康有关的信息。物理健康元数据184可包括一个或多个物理健康参数183，其可包括但不限于：误差参数183a、置信度参数183b、状态参数183n等。误差参数183a可包括关于与和状态密钥160(和/或状态密钥片段161)由、跨越和/或通过控制系统101的相应物理控制区域(例如，通过相应的物理控制部分149)的通信相关联的误差度量175有关的信息。物理的误差参数183a可包括误差度量175的分布(例如，平均值、均值、最小值、最大值、方差、偏差等)、误差度量175的寿命(例如，自从rs代理110捕获到与物理区域相对应的误差度量175以来的时间)、误差度量175和/或归因于相应物理控制区域的权重(例如，为相应物理控制区域确定的误差权重)、归因于相应物理控制区域的异常(例如，为相应的物理区域确定的异常权重)等。置信度参数183b可指示与相应物理控制区域有关的物理状态元数据240中的置信度。置信度参数183b可量化与相应物理控制区域相对应的物理状态元数据240准确地表示其物理状态的置信度。置信度参数183b可尤其基于物理健康元数据184的误差参数183a，如本文所公开的。状态参数183n可指示控制系统101(和/或其相应的物理控制区域)的物理状态的健康。状态参数183n可基于误差参数183a和/或置信度参数183b。替代地或另外，状态参数183n可尤其通过将控制系统101的物理状态(例如，物理状态元数据240和/或其相应部分)与预定物理控制行为(例如，物理状态基线、物理状态配置文件等，如本文中进一步详细公开的)进行比较来确定。状态参数183n可指示控制系统101(和/或其相应的物理控制区域)的物理状态对应于“健康”物理状态和/或行为的程度。替代地或另外，状态参数183n可指示控制系统101(和/或其相应的物理控制区域)的物理状态对应于“不健康”物理行为的程度。确定状态参数183n可包括将物理状态元数据240与和相应“健康”和/或“不健康”物理状态和/或行为(例如，“健康”和/或“不健康”的物理状态基线554，如本文进一步详
细公开的)相对应的对应物理状态特性进行比较。因此，状态参数183n可指示控制系统101的物理状态(如物理状态元数据220所指示的)是否对应于“健康”物理行为或指示组件攻击、物理攻击、计算组件130和/或物理组件140的受损、物理故障模式等的物理行为。物理健康元数据184还可包括一个或多个物理健康度量284，其可被配置为量化控制系统101(和/或其相应的物理区域)的物理健康。物理健康度量284尤其可基于物理健康参数183a-n，如本文所公开的。物理健康度量284可与误差参数183a成反比和/或与置信度参数183b成正比。替代地或另外，物理健康度量284可与物理状态元数据240和“健康”物理行为之间的误差、差异和/或距离成反比和/或与物理状态元数据240和“不健康”的物理行为(如状态参数183n所指示)之间的误差、差异和/或距离成反比。
[0167]
如图4所示，rs代理110可被配置为维护与控制系统101(和/或其相应的网络区域)有关的网络健康元数据182(和网络健康度量282)。rs代理110可被配置为确定和/或维护多个网络健康元数据182a-n(和对应的网络健康度量282)，其包括与包括cpce 105a的相应网络节点124a-e的网络区域的健康有关的网络健康元数据182a(和对应的网络状态元数据220a-e)，与和cpce 105a的相应网络路径126相对应的网络区域的健康有关的网络健康元数据182f-h(和分别对应的网络状态元数据220a-c、220a-d和220a-e)，以及与cpce 105a的网络部分129的健康有关的网络健康元数据182l(和对应的网络状态元数据220a-e)。rs代理110还可被配置为确定与控制系统101的基本上所有的网络组件120有关(并且与基本上所有的网络状态元数据220a-n相对应)的网络健康元数据182n。
[0168]
rs代理110还可被配置为维护与控制系统101(例如，其相应的物理控制区域)有关的物理健康元数据184(和物理健康度量284)。图4示出了与cpce 105a有关的物理健康元数据184的实施例，包括：分别与传感器设备144a-b和致动器设备146a-b有关的物理健康元数据184a-e(以及对应的身体状态元数据240a-d)；与控制器132有关的物理健康元数据184e(以及对应的物理状态元数据240e)；与cpce 105a的物理组件140的健康有关的物理健康元数据184f(例如，传感器设备144a-b和致动器设备146a-b，以及对应的物理状态元数据240a-d)；以及与物理控制部分149a(例如，控制器132、传感器设备144a-b、致动器设备146a-b、ppv 155a和对应的物理状态元数据240a-e)有关的物理状态元数据184g。rs代理110还可被配置为确定物理健康元数据184n，其与控制系统101的基本上所有的计算组件130和/或物理组件140有关并且可与基本上所有的物理状态元数据240a-n相对应。
[0169]
返回参考图2，rs代理110还可被配置为基于和/或响应于误差度量175、确定的网络-物理健康元数据180、网络健康元数据182、网络健康度量282、物理健康元数据184、物理健康度量284等来实施缓解操作。缓解操作可包括但不限于：提供对控制系统101(和/或其相应区域)的网络-物理状态的访问，提供对网络状态元数据220(和/或其相应部分)的访问，提供对物理状态元数据240(和/或其相应部分)的访问，提供对由rs代理110确定的误差度量175的访问，提供对由rs代理110(和/或其相应部分)确定的网络-物理健康元数据180的访问，提供对由rs代理110确定的网络健康元数据182和/或网络健康度量282的访问，提供对由rs代理110确定的物理健康元数据184和/或物理健康度量284的访问等。提供访问可包括生成与以下一项或多项有关的通知：控制系统101的网络-物理状态、网络-物理状态元数据111、网络状态元数据220、物理状态元数据240、网络-物理健康元数据180、网络健康元数据182、网络健康度量282、物理健康元数据184、物理健康度量284等。生成通知可包括向
cs网122和/或一种或多种外部网(例如，计算设备、rtu、hmi设备、自动化控制器134等)内的一个或多个用户和/或端点发出通知。
[0170]
缓解操作可包括响应于误差度量175超过一个或多个误差阈值而生成通知。生成与超过确定的误差阈值的误差度量175和/或异常误差度量175的通知可包括生成标识误差度量175、与误差度量175相关联的cpce 105、被标识为误差度量175的原因和/或来源的网络-物理组件102、被标识为误差度量175的潜在原因和/或来源(和/或为其指派的相应权重)的网络-物理组件102等的通知。生成与网络和/或物理置信度度量有关的通知可包括生成标识置信度度量、与置信度度量相关联的cpce 105、与置信度度量相对应的网络-物理状态元数据111、与网络-物理状态元数据111相关联的网络-物理组件102等的通知。
[0171]
缓解操作可包括响应于网络健康元数据182、网络健康参数181和/或网络健康度量282未能满足一个或多个网络健康阈值而生成通知。替代地或另外，缓解操作可包括响应于确定控制系统101(和/或其区域)的网络状态对应于特定网络行为(例如，由网络健康元数据184的状态度量181n指示的“健康”网络行为、“不健康”网络行为等，如本文所公开的)而生成通知。生成与网络健康度量282有关的通知可包括生成标识网络健康度量282、与网络健康度量282相对应的网络区域(例如，网络组件120、网络节点124、cpce 105等)、与网络健康度量282相关联的网络行为(例如，与网络健康度量282相对应的“健康”或“不健康”网络行为)等的通知。
[0172]
缓解操作可包括响应于物理健康元数据184、物理健康参数181和/或物理健康度量284未能满足一个或多个物理健康阈值而生成通知。替代地或另外，缓解操作可包括响应于确定控制系统101(和/或其区域)的物理状态对应于特定物理行为(例如，由物理健康元数据184的状态度量181n指示的“健康”物理行为、“不健康”物理行为等，如本文所公开的)而生成通知。生成与物理健康度量284有关的通知可包括生成标识物理健康度量284、与物理健康度量284相对应的物理控制区域(例如，计算组件130、物理节点140、cpce 105等)、与物理健康度量284相关联的物理行为(例如，与物理健康度量284相对应的“健康”或“不健康”物理行为)等的通知。
[0173]
缓解操作可包括修改cpce 105、cpc路径108、相应的网络-物理组件102等的操作。缓解操作可包括修改与高误差度量175、异常、不良网络健康度量282、不良物理健康度量284、“不健康”网络行为、“不健康”物理行为等相关联的cpce 105。缓解操作可包括减缓相应cpce 105的控制功能、停止cpce 105的控制功能、修改cpce 105的控制功能(例如，实施cpce105的“安全模式”)、将cpce 105与控制系统101的其它cpce 105隔离、将cpce 105的网络-物理组件102与控制系统101的其它网络-物理组件102隔离等。rs代理110可根据安全策略211实施缓解操作。安全策略211可维持在rs代理110的存储器和/或存储资源内(例如，在易失性存储器、非易失性存储器、非暂时性存储设备等中)。替代地或另外，rs代理110可通信地耦合到维护在控制系统101的另一个网络-物理组件102的存储器和/或存储资源内的安全策略211。安全策略211可定义用于相应缓解操作的触发器，如本文所公开的(例如，可定义误差阈值、健康阈值、置信阈值等)。安全策略211还可包括与通知有关的信息(例如，指定通知的内容、通知的接收者和/或端点等)。安全策略211可进一步定义缓解操作以响应于特定误差度量211、健康度量、置信度度量等而实施。安全策略211可指定对相应cpce 105、控制功能、网络-物理拓扑115(以隔离相应cpce 105和/或网络-物理组件102)等的修改。
[0174]
图5a是如本文所公开的包括弹性安全代理110的网络-物理系统100的另一个实施例的示意性框图。在图5a实施例中，网络-物理系统100包括如本文所公开的控制系统101。图5a实施例的控制系统101可包括多个cpce 105a-n，每个cpce 105a-n包括相应的计算组件130(例如，相应的控制器132a-n)，该计算组件被配置为通过使用相应的物理组件140a-n(例如，相应的传感器设备144a-n和致动器设备146a-n)实施与相应的ppv 155a-n(例如，相应的物理过程150a-n)有关的控制功能。图5b是被配置为表示和/或对应于控制系统101的网络-物理拓扑115的数据结构的示意图。如图5a所示，控制器132a-n可包括和/或对应于相应的网络节点124a-n。控制器132a-n可分别通过网络节点1240和124p耦合到物理组件140。物理组件140a-n可操作地耦合到相应cpce 105a-n的ppv 155a-n(传感器设备144a-n和致动器设备146a-n分别可操作地耦合到cpce 105a-n的物理过程150a-n)。在图5b中，网络-物理拓扑115还可包括与相应cpce 105a-n有关的信息，该信息包括与该网络-物理拓扑的物理控制部分149a-n和/或信息部分129a-n有关的信息，如本文所公开的。物理控制部分149a-n可标识：计算组件130，其被配置为实施相应cpce 105a-n的控制功能(例如，控制器132a-n)；以及物理组件140(例如，分别为致动器设备146a-n和传感器设备144a-n)，通过该物理组件实现控制功能。网络部分129a-n包括和相应控制器132a-n与其物理组件140a-n之间的网络路径126(例如，将每个控制器132a-n耦合到相应的致动器设备146a-n和传感器设备144a-n的网络路径)有关的信息。
[0175]
图5b进一步示出了网络-物理状态元数据111的实施例，该网络-物理状态元数据被配置为尤其包括、定义和/或表征控制系统101的网络-物理状态，如本文所公开的。如本文所公开的，网络-物理状态元数据111可包括网络状态元数据220和/或物理状态元数据240。网络状态元数据220可被配置为包括、定义和/或表征控制系统101的相应区域(例如，相应网络-物理组件102、网络节点124、网络路径126、cpce 105、cpc路径108等)。在图5b的实施例中，网络-物理状态元数据111可包括：网络状态元数据220a-n，以及网络状态元数据220n-p，该网络状态元数据可包括被配置为表征相应网络节点124a-p的状态的网络状态参数222，如本文所公开的(图5b中未示出单独的网络状态参数222以避免模糊所示实施例的细节)。替代地或另外，网络状态元数据220可包括物理状态元数据220z，其被配置为表征网络-物理系统100的网络状态(例如，可对应于cs网122和/或与其耦合的网络节点124的网络状态)。网络-物理状态元数据111还可包括：物理状态元数据240aa-nd，其可包括物理状态参数242，该物理状态参数被配置为表征相应致动器设备146a-n、传感器设备144a-n和/或控制器132a-n的物理状态，如本文所公开的(图5b中未示出单独的物理状态参数242以避免模糊所示实施例的细节)。替代地或另外，物理状态元数据240可包括条目240zz，其被配置为表征控制系统101的物理状态(例如，可对应于控制系统101的计算组件130和/或物理组件140的物理状态)。
[0176]
图5b进一步示出了签名模式116的实施例，该签名模式可包括和/或定义与控制系统101的相应区域(例如，相应网络区域、物理控制区域等)有关的cpss 118。签名模式116可定义网络状态签名228a-p，其可表征相应网络节点124a-p处的网络通信的状态，并且可源自于相应网络状态元数据220a-p，如本文所公开的。签名模式116可进一步定义网络签名228q-s，其可被配置为表征cpce 105a-n的相应网络部分129a-n的网络状态(可源自于表征包括在相应的网络部分129a-n中的网络节点124的网络状态的网络状态元数据220)。替代
地或另外，签名模式116可包括网络状态签名228z，其可被配置为表征网络-物理系统100的网络状态。
[0177]
签名模式116可进一步定义物理状态签名248aa-ac，其可被配置为表征cpce 105a的物理控制部分149a的部分(例如，分别表征致动器设备146a、传感器设备144a和控制器132a的物理状态)。签名模式116可进一步定义物理状态签名248ad，其可被配置为表征cpce 105a的物理控制部分149a的状态，如本文所公开的。签名模式116可定义类似的物理状态签名248ba-bn至248na-nd，其可被配置为表征cpce 105b-n的相应物理控制部分149b-n的物理状态。替代地或另外，签名模式116可定义物理状态签名240zz，其可被配置为表征控制系统101的物理状态。
[0178]
参考图5a，控制系统101可包括rs代理110，如本文所公开的。rs代理110可包括和/或通信地耦合到网络-物理状态元数据111，如本文所公开的。在图5a的实施例中，rs代理110可被配置用于在自动化控制器134上操作，该自动化控制器可通信地耦合到相应cpce 105a-n的控制器132a-n。在一些实施例中，自动化控制器134可被配置为控制和/或管理cpce 105a-n，如本文所公开的(例如，可配置控制器132a-n以实施与物理过程150a-n有关的一个或多个更高级别的功能)。
[0179]
签名模式116还可包括和/或对应于由rs代理110确定的网络-物理健康元数据180。如图5b所示，rs代理110可被配置为(例如，以与签名模式116相同和/或类似的粒度)维护与控制系统101的相应网络和/或物理区域相对应的网络-物理健康元数据180。然而，本公开在这方面不受限制，并且可适于以任何合适的数据结构和/或任何合适的粒度级别维护网络健康元数据182和/或物理健康元数据184。维护网络-物理健康元数据180的粒度尤其可对应于网络-物理拓扑115(可对应于rs代理110能够将误差度量175指派给相应网络-物理组件102的粒度，如本文所公开)。
[0180]
在图5a的实施例中，rs代理110可包括安全模块510，其可被配置为尤其通过控制系统101的选定cpce 105a-n通信状态密钥160，确定与相应状态密钥160的通信相对应的误差度量175，和/或尤其基于确定的误差度量175来确定控制系统101的网络-物理健康元数据180，如本文所公开的。rs代理110还可包括：密钥模块512，其被配置为生成状态密钥160；解析模块514，其被配置为将状态密钥160解析为相应状态密钥片段161a-n；通信模块516，其被配置为通过控制系统101的选定区域通信状态密钥片段161a-n；以及重构模块514，其被配置为通过使用响应于状态密钥160的片段161a-n的通信而获取的验证数据171a-n来生成与该状态密钥相对应的验证密钥170。
[0181]
rs代理110可包括计算资源201、由该计算资源体现和/或耦合到该计算资源，该计算资源可包括但不限于：处理资源202、存储资源204、网络通信资源206等，如本文所公开的。rs代理110的部分(例如，模块510、512、514、516、518和/或其部分中的一个或多个)可由计算资源201体现(例如，可包括计算资源201的硬件组件(诸如一个或多个处理器、可编程逻辑等)和/或由该硬件组件体现)。替代地或另外，如本文所公开的，rs代理110的模块510、512、514、516和/或518中的一个或多个可体现为存储在非暂时性存储资源206内的计算机可读指令205。
[0182]
安全模块510可被配置为根据安全策略211通信状态密钥160。安全策略211可包括和/或指定与rs代理110的操作有关的任何合适的信息，包括但不限于：状态密钥160通过控
制系统101通信的速率(例如，频率、周期等)、阈值(例如，误差阈值、密钥误差阈值、片段误差阈值、健康阈值、置信阈值等)、缓解策略等。
[0183]
安全策略211可包括和/或对应于覆盖模式511。覆盖方案511可包括用于通过相应状态密钥160和/或相应状态密钥160的cpkd 162覆盖控制系统101(和/或其相应部分)的方案。覆盖模式511可定义可选择通过哪些区域来通信相应状态密钥160(和/或其片段161a-n)的标准。覆盖方案511可进一步定义可选择控制系统101的将由相应状态密钥160的cpkd 162覆盖的区域的标准(例如，从其中导出应状态密钥160的cpkd 162的cpss 118的配置和/或网络-物理状态参数112)。覆盖模式511还可包括用于将状态密钥160解析为相应片段161a-n、通过选定的cpe路径108通信状态密钥片段161a-n和/或对应的验证数据171a-n、重构验证数据171a-n以形成相应的验证密钥170等等的模式。在一些实施例中，安全模块510可根据控制系统101的网络-物理状态、相应状态密钥160的误差度量175等来调适覆盖模式511。安全模块510可被配置为尤其根据隔离方案调适覆盖方案511，如本文所公开的(例如，以实施网络-物理隔离方案)。安全模块510可被配置为调适覆盖模式511以确定和/或细化高误差度量的潜在原因，确定控制系统101的相应区域(例如，相应网络-物理组件102)的异常权重，表征控制系统101的选定区域的网络-物理健康，确定控制系统101的相应区域(例如，相应网络-物理组件102)的误差权重等，如本文所公开的。
[0184]
密钥模块512可被配置为生成状态密钥160(例如，可包括状态密钥生成器，如本文所公开的)。密钥模块512可被配置为生成被配置为覆盖控制系统101的选定区域的状态密钥160(例如，被配置用于通过选定区域的cpc路径108通信的状态密钥160)。密钥模块512还可被配置为生成状态密钥160，其包括配置为覆盖控制系统101的选定区域的cpkd 160(例如，cpkd 162，其包括被配置为覆盖控制系统101的选定区域的网络密钥数据和/或物理密钥数据)。密钥模块512可被配置为响应于来自安全模块510的命令而生成状态密钥160，该命令可被配置为指定要被状态密钥160覆盖的区域和/或指定cpkd 162包括在状态密钥160(例如，网络-物理状态参数112、cpss 118等)中。
[0185]
解析模块514可被配置为将状态密钥160解析为多个片段161a-n，如本文所公开的。解析模块514可被配置为解析状态密钥160，使得该状态密钥的片段161a-n与对应的cpkd片段163a-n有关。解析模块514可被配置为根据控制系统101的网络-物理状态元数据111、网络-物理拓扑115和/或签名模式116(例如，根据解析模式117，如本文所公开)来解析状态密钥160。
[0186]
通信模块516可被配置为监视和/或覆盖控制系统101的选定区域，这可包括通过控制系统101的选定区域通信状态密钥160(和/或其片段161a-n)。通信模块516可被配置为通过由安全模块510指定的cpce 105和/或cpc路径108来通信状态密钥160。安全模块510可根据密钥方案选择cpce 105和/或cpc路径108用于通信相应状态密钥160和/或状态密钥片段161a-n，该密钥方案可包括安全模块510可通过其选择cpce 105和/或cpc路径108的选择标准。选择标准可包括加权标准，其中向cpce 105a-n指派相应权重(w，其包括指派给cpce 105a-n的第/个cpce 105的权重)。安全模块510可被配置为根据(例如，在加权选择、加权循环选择等中)指派给cpce 105a-n的权重来选择该cpce。安全模块510还可被配置为基于一个或多个加权因子来确定相应cpce 105a-n的权重。在一些实施例中，安全模块510可被配置为向相应的cpce 105a-n如下指派权重：
[0187]
wi＝w
pri，i
w
err
·ei
w
err_age
·
err_agei[0188]
在上面的表达式中，w是指派给cpce 105a-n的第/个cpce 105的权重，并且w
pri，i
可以是指派给cpce 105的权重因子，其可对应于用于监视cpce 105的相对优先级(相对于cpce 105a-n的其它部分)。w
err
可为应用于cpce 105(ei)的误差度量175和/或误差参数181a/183a的加权和/或缩放因子，使得具有较高误差度量175和/或误差参数181a/183a的cpce 105比其它cpce 105更频繁地监视。w
err_age
可为应用于误差寿命参数(err_agei)的加权和/或缩放因子，其可对应于cpce 105的误差度量175(和/或误差参数181a/183a)的寿命(例如，自从通过cpce 105最后通信状态密钥160和/或状态密钥片段161以来经过的时间)，使得具有较高误差寿命参数的cpce 105比其它cpce 105更有可能被选择。替代地或另外，安全模块510可被配置为根据隔离方案来选择cpce 105和/或cpc路径108，如本文所公开的。安全模块510可被配置为调适状态密钥序列160(和/或其片段161a-n)的通信，使得所得误差度量175可归因于控制系统101的特定网络和/或物理区域(例如，以确定高误差度量175的原因和/或来源，如本文所公开的)。
[0189]
通信模块516可被配置为通过由安全模块510选择的cpce 105和/或cpc路径108发送状态密钥片段161a-n，如本文所公开的。通过cpc路径108通信状态密钥片段161可包括将片段161发送到选定的相关器166(例如，致动器设备146)，以及从接收器168(例如，传感器设备144)接收对应的验证数据171。通过cpc路径108进行的通信可包括通过物理控制耦合件148通信与状态密钥片段161相对应的验证数据171，该物理控制耦合件包括和/或对应于选定cpce 105的ppv 155(例如，特定物理过程150)，如本文所公开的。通信模块516还可被配置为获取与每个状态密钥片段161a-a相对应的验证数据171a-n、验证包括验证数据171a-n的消息、确定验证数据171a-n的时延、同步验证数据171a-n、将验证数据171a-n与状态密钥160和/或其对应的cpkd片段163a-n相关联等，如本文所公开的。重构模块518可被配置为通过尤其使用所获取的验证数据171a-n来生成验证密钥170，验证cpkd 172和/或验证cpkd片段173a-n。重构模块518可被配置为从状态密钥160的相应片段161a-n的网络-物理再现(验证数据171a-n)生成该状态密钥(验证密钥170)的网络-物理重构，如本文所公开的。
[0190]
在图5a的实施例中，rs代理110的安全模块510还可被配置为尤其响应于相应状态密钥160的通信而确定误差度量175，如本文所公开的。误差度量175可包括密钥误差176，其被配置为量化状态密钥160(和/或其cpkd 162)与对应的验证密钥170(和/或其验证cpkd 162)之间的误差和/或差异，如本文所公开的。误差度量175可包括片段误差177a-n，其可被配置为量化状态密钥片段161a-n(和/或其cpkd片段163a-n)与对应的验证数据171a-n(和/或其cpkd片段163a-n)之间的误差和/或差异。安全模块510还可被配置为尤其基于所确定的误差度量175来确定网络-物理健康元数据180，其包括网络健康元数据182和/或物理健康元数据184，如本文所公开的。
[0191]
在一些实施例中，安全模块510还可被配置为尤其基于与控制系统101有关的误差度量175和/或网络-物理健康元数据180来确定、调适和/或修改覆盖模式511。如上文所公开的，覆盖模式511可指定由rs代理110生成和/或通信的状态密钥160的配置。覆盖模式511可定义一个或多个后续状态密钥160、状态密钥序列160等的配置。安全模块510可尤其根据误差度量175和/或网络-物理健康元数据180等来确定覆盖模式511。在一些实施例中，安全
模块510可被配置为确定高误差度量175的来源和/或原因。安全模块510可响应于通过特定cpce 105a-n通信所标识的状态密钥160(和/或其片段161a-n)而检测超过一个或多个阈值的误差度量175。作为响应，安全模块510可实施迭代隔离方案(例如，如本文所公开的网络-物理隔离方案)。该隔离方案的每次迭代可包括安全模块510配置后续状态密钥160，使得后续状态密钥160与所标识的状态密钥160相关和/或有关。与特定状态密钥160相关和/或有关的状态密钥160是指被配置用于与特定状态密钥160通过相同的cpce 105a-n和/或通过作为特定状态密钥160的相关cpc路径108进行通信的状态密钥160。安全模块510可配置后续状态密钥160以对应于所标识的状态密钥160(通过使用覆盖模式511)，使得后续状态密钥160(和/或其片段161a-n)被配置用于通过与所标识的cpc路径108相对应的特定cpce 105a-n和/或cpc路径108进行的通信。安全模块510还可配置后续状态密钥160用于通过cpc路径108进行通信，该cpc路径在包括/排除特定网络的物理组件102方面不同于所标识的cpc路径108(和/或一个或多个先前迭代的cpc路径108)。在一个实施例中，迭代隔离方案可包括标识作为高误差度量175的潜在原因的一组网络-物理组件102，这可包括确定包括特定cpce 105a-n的网络-物理组件102。该隔离方案可包括配置状态密钥160用于通过特定的cpce 105-a经由包括和/或排除该组的网络-物理组件中的一个或多个的cpc路径108进行通信，评估后续状态密钥160的误差度量175，以及尤其基于对误差度量175的评估(和/或对该组的相应网络-物理组件102进行加权)来去除或保留该组内的相应网络-物理组件102，如本文所公开的。保护引擎160可继续进行迭代隔离方案，直到确定高误差度量的来源，误差来源不可能进一步细化，和/或已经满足其它终止标准。响应于确定高误差度量175的来源(和/或确定指示特定网络-物理组件102和/或区域是误差来源的可能性的权重)，安全模块510可更新网络-物理健康元数据180和/或实施一个或多个缓解操作，如本文所公开的。
[0192]
在一些实施例中，安全模块510可使用覆盖模式511来生成隔离序列(例如，重叠状态密钥160的序列，如本文所公开的)。该隔离序列可被配置为使得其相应的重叠状态密钥160的误差度量175的差异可归因于控制系统101的特定区域(例如，特定网络-物理组件102、信息节点124、信息路径126、cpce 105、cpc路径108、cpce部分109等，如本文所公开的)。实施隔离序列可包括安全模块510通过相应的隔离cpc路径108迭代地通信重叠状态密钥160、评估所得误差度量175，以及将误差度量175中的差异归因于控制系统101的特定区域，如本文所公开的。安全模块510可继续迭代地通信重叠状态密钥160，直到误差度量175以指定的粒度级别归因于其相应区域，不可能进一步细化和/或满足其它终止标准。实施隔离序列还可包括安全模块510根据归因于控制系统101的相应区域的误差度量175更新网络-物理健康元数据180，如本文所公开的。
[0193]
以下是示例性隔离序列，其包括被配置用于通过包括cpce 105a-n的重叠区域进行通信的状态密钥160a-n(例如，重叠状态密钥160a-n)。
[0194][0195]
如上文所示，状态密钥160a的片段161aa-an可被配置为分别通过cpce 105a和105n进行通信；状态密钥160b的片段161ba-bn可被配置为分别通过cpce 105a和105n进行通信；依此类推，状态密钥160c的片段161ca-cn分别通过cpce 105b和105n通信。所得误差度量175a-c可包括：密钥误差176a-c，其可指示状态密钥160a-n与对应的验证密钥170a-c之间的误差；以及片段误差177aa-cn，其可指示状态密钥片段161aa-cn与对应的验证数据171aa-cn之间的误差。
[0196]
安全模块510可被配置为评估误差度量175a-n，以便尤其将其间的差异归因于控制系统101的相应区域，如本文所公开的。在一个实施例中，安全模块510可评估密钥误差175a-c，以便尤其将差异归因于特定cpce 105a-n。作为非限制性示例，密钥误差176c可显著地低于密钥误差176a和/或176b，它们可基本相同(例如，密钥误差176c可比176a和176b低δe)。基于覆盖模式511，安全模块510可确定δe的原因是cpce 105a(因为较高密钥误差176a和176c均包括由cpce 105c引入的误差，该误差被排除在密钥误差176c之外)。安全模块510还可排除作为增加误差的潜在原因的网络节点1240，因为尤其网络节点1240也包括在较低密钥误差176c中。因此，安全模块510可将误差区域和/或误差组细化为计算/物理组件132a、144a和/或146a。安全模块510可确定在不为物理过程150a创建替代物理控制耦合件148(例如，包括/排除致动器设备146a和/或传感器设备144a中的一个或多个的物理控制耦合件148)的情况下不可能进一步细化。安全模块510还可被配置为通过尤其调适一个或多个后续状态密钥160以包括和/或排除cpce 105a(和/或其物理控制区域)并且评估所得误差度量175来验证δe可归因于cpce 105a，如本文所公开的。
[0197]
在另一个实施例中，安全模块510可如下确定密钥误差176a-c中的每一个包括可归因于相应cpce 105a-n的误差：176a＝e{105a} e{105b}；176b＝e{105a} e{105n}；以及176c＝e{105b} e{105n}。因此，密钥误差176a和176b之间的差异可对应于e{105b}与e{105n}之间的差异(δbn)，密钥误差176b和176c之间的差异可对应于e{105a}和e{105b}之
间的差异(δab)，并且密钥误差176a和176c之间的差异可对应于e{105a}和e{105n}之间的差异(δan)。如本文所公开的，安全模块510可将所确定的差异归因于相应的cpce 105a-n和/或调适后续状态密钥160以验证和/或进一步细化所确定的差异。如本文所公开的，安全模块510还可被配置为将片段误差177aa-cn之间的差异归因于控制系统101的相应区域和/或调适后续状态密钥160以验证和/或进一步细化所确定的差异。
[0198]
作为另一示例，安全模块510可如下配置一个或多个后续状态密钥160d-f以用于通过cpce 105a-n的相应cpce 105进行通信：
[0199][0200][0201]
如上文所示，状态密钥160d-f的片段161da-fn可通过相同的和/或类似的cpc路径108通过相应的cpce 105a-n进行通信。因此，所得密钥误差170f-e可对应于通过相应cpce 105a-n的通信误差，并且密钥误差170f-e与密钥误差170a-c之间的差异可归因于相应cpce 105a-n，如本文所公开的。此外，相应状态密钥160d-f的片段误差177da-dn、177ea-en和/或177fa-fn的差异可归因于cpce 105a-n的相应网络-物理组件102，如本文所公开的。
[0202]
在一些实施例中，安全引擎510还可被配置为确定网络-物理状态置信度(cpsc)度量575，其可被配置为尤其量化网络-物理状态元数据111(和/或其相应部分)的准确度中的置信度。cpcs度量575尤其可基于为相应状态密钥160确定的误差度量175。如上文所公开的，误差度量175可量化cpdk 162在通过相应cpc路径108的通信期间被修改的程度。因此，误差度量175可指示从相应cpc路径108的网络-物理组件102获取的网络和/或物理状态信息准确的可能性(例如，准确地表示控制系统101和/或其相应区域的实际的、当前的网络和/或物理状态)。安全引擎510可确定cpsc度量575与误差度量175成反比。安全引擎510可确定网络-物理状态元数据111的相应部分的cpsc度量575。安全引擎510可尤其基于覆盖相应区域的状态密钥160的误差度量175来确定控制系统101的区域的cpsc度量575。安全引擎510可尤其基于与相应状态密钥片段161(和/或对应的验证数据171)由、跨越和/或通过相应网络区域的通信相对应的误差度量175来确定控制系统101的网络区域的cpsc度量575
(例如，网络状态元数据220，其被配置为表征相应网络组件120、网络节点124、网络路径126等的状态)。安全引擎510可尤其基于与相应状态密钥片段161(和/或对应的验证数据171)由、跨越和/或通过相应物理控制区域的通信相对应的误差度量175来确定控制系统101的物理控制区域的cpsc度量575(例如，物理状态元数据240，其被配置为表征相应计算组件130、物理组件140、物理控制耦合件148、ppv 155等的状态)。
[0203]
如上文所公开的，安全模块510可被配置为确定控制系统101(和/或其相应区域)的网络-物理健康元数据180，其可基于为相应状态密钥160确定的误差度量175，如本文所公开的。安全模块510还可被配置为将cpsc度量575结合到网络-物理健康元数据180中，这可尤其指示网络-物理状态元数据111准确地表示控制系统101的网络-物理状态的置信度。安全模块510可被配置为将cpsc度量575结合到网络健康元数据182中，该结合包括指示网络状态元数据220准确地表示控制系统101(和/或其相应区域)的网络状态的确定置信度。安全模块510还可被配置为将cpsc度量575结合到网络健康元数据182中，该结合包括指示物理状态元数据240准确地表示控制系统101(和/或其相应区域)的物理状态的确定置信度。
[0204]
在一些实施例中，安全引擎510还可被配置为评估和/或监视网络-物理状态元数据111(和/或其相应部分)。安全模块510可被配置为确定与对控制系统101的网络状态的评估相对应的网络状态度量553(如网络状态元数据220所指示的)，以及与对控制系统101的物理状态的评估相对应的物理状态度量555(如物理状态元数据240所指示的)。
[0205]
确定网络状态度量553可包括安全模块510将一个或多个网络状态评估规则应用于网络状态元数据220。如本文所使用的，“网络状态评估规则”(cser)是指安全模块510可通过其评估指定的网络状态特性的标准和/或计算机可读指令。如本文所使用的，“网络状态特性”可包括和/或对应于网络状态元数据220、一个或多个网络状态参数222、一个或多个网络状态签名228、其部分等。cser可包括用于评估指定网络状态特性的任何手段，包括但不限于：表达式、正则表达式、数学表达式、逻辑表达式、比较、数学比较、不等式、线性规划(lp)逻辑、非lp逻辑等。网络状态度量553可指示由安全模块510评估的cser，标识成功验证的cser，标识cser评估失败(和/或与cser评估失败相关联的网络-物理组件102)，指定由对相应cser的评估产生的分数等。作为非限制性示例，cser可指定所指定网络节点124处的每个发出者的消息低于一个或多个阈值。对cser的评估可包括将所指定网络节点124的网络状态特性与一个或多个阈值进行比较(例如，将所指定的网络节点124的每个发出者的消息网络状态参数222与阈值进行比较)。替代地，对cser的评估可包括确定与所指定网络节点124的每个发出者的消息特性相对应的cser分数。作为另一非限制性示例，网络状态度量553可指示所指定网络节点124是否满足cser，标识具有接近和/或超过阈值中的一个或多个的每个发出者的消息网络状态参数222的网络节点124，和/或指定相应网络节点124的cser评估分数。
[0206]
在一些实施例中，确定物理状态度量555可包括安全模块510应用一个或多个物理状态评估规则。如本文所使用的，“物理状态评估规则”(pser)是指计算机可读指令，物理状态评估器1252可通过该计算机可读指令评估控制系统101的物理状态1202的指定特性(评估一个或多个物理状态特性)。如本文所使用的，“物理状态特性”可包括和/或对应于物理状态元数据240、一个或多个物理状态参数242、一个或多个物理状态签名248、其部分等。替
代地或另外，物理状态特性和/或pser可对应于物理控制耦合件148和/或物理控制元数据249(例如，可对应于物理组件140与尤其在物理控制元数据249中定义的一个或多个ppv 155之间的关系，如本文所公开的)。pser可包括用于评估指定物理状态特性的任何手段，如本文所公开的(例如，标准、指令、表达式等)。物理状态度量555可指示由安全模块510评估的pser，标识成功验证的pser，标识pser评估失败(和/或与pser评估失败相关联的物理组件102)，指定与对相应pser的评估相对应的分数等。
[0207]
作为非限制性示例，pser可指定控制器132响应于由指定传感器设备144获取的电流测量值超过电流阈值而使指定的致动器设备146断开断路器。评估pser可包括确定传感器设备144的物理状态是否对应于致动器设备146的物理状态(和/反之亦然)。该评估可包括确定由传感器设备144获取的电流测量值是否超过阈值，并且如果是，则确定致动器设备146是否被配置为断开断路器。响应于确定致动器设备146未能断开断路器和/或未能在阈值时间内断开断路器，对pser的评估可能失败。替代地或另外，对pser的评估可包括确定与致动器设备146断开断路器的时间相对应的pser分数。在另一个非限制性示例中，pser可指定由指定的致动器设备146(马达控制器)控制的马达的输入电功率(如由耦合到电源(电功率计)的第一传感器设备144测量的)应在电动马达系统的输出机械功率(如由第二传感器设备144(机械功率计)测量的)的效率阈值内。评估pser可包括确定从第一传感器设备144获取的输入电功率是否在从第二传感器设备144获取的输出机械功率的阈值内，和/或致动器设备146的所获取的致动状态是否对应于由第一/第二传感器设备144报告的输入电功率和/或输出机械功率。评估可包括确定由第一传感器设备144报告的输入电功率对应于致动器设备146的致动状态，但是由第二设备144报告的输出机械功率比输入电功率低超过效率阈值。作为响应，安全引擎510可确定对pser的评估指示第一传感器设备144和/或电动马达的故障和/或受损。作为另一非限制性示例，对pser的评估可包括将第一和第二传感器设备144的物理状态相关(例如，确定由第一传感器设备144报告的输入电功率在由第二传感器设备144报告的输出机械功率的效率阈值内)，但未能将致动器设备146的物理状态相关(例如，确定致动器设备146的致动状态对应于与第一和第二传感器设备144的物理状态不同的输入电功率和/或输出机械功率)。作为响应，安全引擎510可确定对pser的评估指示致动器设备146的故障和/或受损。如本文所公开的，cser和/或pser可维持在rs代理110的安全策略211内。尽管本文描述了cser和/或pser的特定示例，但是本公开在这方面不受限制，并且可适于使用、定义和/或评估与控制系统101有关的任何合适的网络和/或物理状态特性。
[0208]
在一些实施例中，确定网络状态度量55s可包括安全模块510将网络状态元数据220与一个或多个网络状态基线552进行比较。如本文所使用的，“网络状态基线”(csb)552是指控制系统101(和/或其相应区域)的网络行为、网络状态和/或网络状态元数据220的特定类型和/或分类。csb 552可包括和/或对应于一个或多个特性(网络状态基线特性)，其可对应于控制系统101的相应网络状态特性(例如，对应于网络状态元数据220和/或其部分，如本文所公开的)。相应csb 552的特征可从网络-物理状态信息中提取、学习和/或确定，该网络-物理状态信息诸如在控制系统101的操作期间获取的网络-物理状态信息、在控制的模拟操作期间获取的网络-物理状态信息系统101、训练数据(例如，与指定的网络和/或物理状态分类相对应的网络和/或物理状态信息)、当前网络-物理状态元数据111、先前网络-物理状态元数据等。在一些实施例中，csb 552(和/或其特性)可通过机器学习技术(例如，
分类器，如本文中进一步详细公开的)来确定。在一些实施例中，与控制系统101(和/或其相应区域)有关的csb 552可维持在rs代理110的存储资源204内。替代地或另外，一个或多个csb 552可由控制系统101的一个或多个其它组件102维护。
[0209]
在一些实施例中，rs代理110可包括和/或通信地耦合到多个csb 552，每个csb包括被配置为表征控制系统101(和/或其相应区域)(包括但不限于“健康”csb 552、“不健康”csb 552等)的网络行为的相应类型、类别和/或分类。如本文所使用的，“健康”csb 552是指被配置为表征控制系统101的“健康”网络状态、行为和/或特性(如网络状态元数据220所指示的)的csb 552。rs代理110可包括多个健康csb 552，每个健康csb对应于在不同的相应条件下(例如，在不同的操作模式中、在不同的环境条件下、不同的操作时间、响应于不同类型的干扰进行操作等)的网络状态、行为和/或网络状态元数据220。如本文所使用的，“不健康”csb 552是指被配置为表征控制系统101的“不健康”网络状态、行为和/或特性(如网络状态元数据220所指示的)的csb 552。rs代理110可包括多个不健康csb 552，每个不健康csb对应于不同的相应网络威胁条件下的网络状态、行为和/或网络状态元数据220，该网络威胁条件可包括但不限于：特定类型的网络攻击、针对特定网络组件120(例如，网络基础设施、网络安全组件123、网络节点124等)的攻击、特定网络组件120受损、针对cs网122的攻击、来自一种或多种外部网的外部网攻击、将对抗性网络通信注入cs网122、控制操纵尝试、dos攻击、丢包攻击、大流量攻击、数据完整性攻击、播放攻击、mitm攻击、有针对性的主机攻击、有针对性的协议攻击、操纵流量攻击、操纵传感器数据攻击(例如，注入和/或播放捕获的传感器数据)、受操纵控制攻击(例如，注入和/或播放捕获的控制输出)等。
[0210]
csb 552还可包括和/或定义可将相应csb 552的特征与网络状态元数据220进行比较的手段。相应csb 552的网络基线特性可定义用于评估控制系统101的特定网络状态特性的值、范围、阈值和/或其它标准(例如，指定的网络状态元数据220、网络状态参数222、网络状态签名、其部分等)。csb 552定义操作，通过该操作可确定网络状态元数据220与相应csb 552之间的误差、差异和/或距离。在一些实施例中，csb 552可与置信度度量相关联，该置信度度量可量化csb 552准确地表征特定类型的网络状态、行为和/或网络状态元数据220的置信度。csb 552的置信度度量可指示健康csb 552准确地表征健康网络行为(并且可与不健康csb 552区分)等的置信度。
[0211]
确定控制系统101(和/或其相应区域)的网络状态度量553可包括将与控制系统101(和/或其相应区域)有关的网络状态元数据220与一个或多个csb 552进行比较。该比较可包括将相应csb 550的网络基线特征与对应的网络状态特征(例如，网络状态元数据220、网络状态参数222、网络状态签名228、其部分等)进行比较。该比较可包括确定相应csb 552的csb误差度量，其可被配置为量化控制系统101(和/或其相应区域)和相应csb 552的网络状态、行为和/或网络状态元数据220之间的误差、差异和/或距离。由安全模块510确定的网络状态度量553可包括和/或对应于确定的csb误差度量。在一些实施例中，安全模块510可配置网络状态度量553以量化控制系统101的网络状态(如网络状态元数据220所指示的)对应于健康csb 552、不健康csb 552等的程度。网络状态度量553可指示控制系统101(和/或其相应区域)的网络健康，其可与健康csb 552的csb误差度量成反比和/或与不健康csb 552的csb误差度量成比例。替代地或另外，由安全模块510确定的网络状态度量553可标识一个或多个最接近的csb 552，其可包括与控制系统101的网络状态最接近(例如，最小的
csb误差度量)的csb 552和/或具有满足一个或多个接近度阈值的csb误差度量的csb 552。网络状态度量553可指示最接近的csb 552是否包括健康csb 552、不健康csb 552等。如本文所公开的，网络状态度量553还可包括置信度度量，其可对应于csb 552的置信度度量。
[0212]
在一些实施例中，确定物理状态度量550可包括安全模块510将物理状态元数据240与一个或多个物理状态基线554进行比较。如本文所使用的，“物理状态基线”(psb)是指控制系统101(和/或其相应区域)的物理行为、物理状态和/或物理状态元数据240的特定类型和/或分类。psb 554可包括和/或对应于一个或多个特性(物理基线特性)，其可对应于控制系统101的相应物理状态特性(例如，对应于物理状态元数据240和/或其部分，如本文所公开的)。可(例如，从网络-物理状态信息、网络-物理状态元数据111、先前的网络-物理状态元数据111、机器学习技术等)提取、学习和/或确定相应psb 554的特征，如上文所公开的。
[0213]
在一些实施例中，rs代理110可包括和/或通信地耦合到多个psb 554，每个csb包括被配置为表征控制系统101(和/或其相应区域)(包括但不限于“健康”psb 554、“不健康”psb 554等)的物理行为的相应类型、类别和/或分类。如本文所使用的，“健康”psb 554是指被配置为表征控制系统101的“健康”物理状态、行为和/或特性、物理状态元数据240等的psb 554。rs代理110可包括多个健康psb 554，每个健康psb对应于在不同的相应条件下(例如，在不同的操作模式中、在不同的环境条件下、不同的操作时间、响应于不同类型的干扰进行操作等)的物理状态、行为和/或物理状态元数据240。如本文所使用的，“不健康”psb 554是指被配置为表征“不健康”物理状态、行为、特性、物理故障模式等的psb 554。rs代理110可包括多个不健康psb 554，每个不健康psb对应于不同的相应物理威胁条件下的物理状态、行为和/或物理状态元数据240，该物理威胁条件可包括但不限于：特定类型的物理和/或组件攻击、针对特定计算组件130的攻击、特定计算组件130受损、针对特定物理组件140的攻击、特定物理组件140受损、通过物理环境进行的攻击、物理故障模式等。psb 554可与置信度度量相关联，并且可包括和/或定义相应psb 554的特征可通过其成为物理状态元数据240的手段，如本文所公开的。
[0214]
确定控制系统101(和/或其相应区域)的物理状态度量555可包括将与控制系统101(和/或其相应区域)有关的物理状态元数据240与一个或多个psb 554进行比较。该比较可包括将相应psb 554的物理基线特性与对应的物理状态特性(例如，物理状态元数据240、物理状态参数242、物理状态签名248、其部分等)进行比较。该比较可包括确定相应psb 554的psb误差度量，其可被配置为量化控制系统101(和/或其相应区域)和相应psb 554的物理状态、行为和/或物理状态元数据240之间的误差、差异和/或距离。由安全模块510确定的物理状态度量555可包括和/或对应于确定的psb误差度量。在一些实施例中，安全模块510可配置物理状态度量555以量化控制系统101的物理状态(如物理状态元数据240所指示的)对应于健康psb 554、不健康psb 554等的程度。物理状态度量555可指示控制系统101(和/或其相应区域)的物理健康，其可与健康psb 554的psb误差度量成反比和/或与不健康csb 554的psb误差度量成比例。替代地或另外，由安全模块510确定的物理状态度量555可标识一个或多个最接近的psb 554，其可包括与控制系统101的物理状态最接近(例如，最小的psb误差度量)的psb 554和/或具有满足一个或多个接近度阈值的psb误差度量的psb 554。物理状态度量555可指示最接近的psb 554是否包括健康psb 554、不健康psb 554等。如本
文所公开的，物理状态度量555还可包括置信度度量，其可对应于psb 554的置信度度量。
[0215]
如上文所公开的，安全引擎510可被配置为确定控制系统101的网络健康元数据182，这可包括确定被配置为量化控制系统101(和/或其相应区域)的网络健康的网络健康度量282。如本文所公开的，网络健康度量282尤其可基于由安全模块510确定的误差度量175和/或置信度度量575。安全引擎510还可被配置为将网络状态度量553结合到网络健康度量282中。在一些实施例中，网络健康度量282尤其可基于对一个或多个cser的评估，如本文所公开的。替代地或此外，确定网络健康度量282可包括将控制系统101的网络状态(如网络状态元数据220所指示的)与一个或多个csb 552进行比较。因此，网络健康度量282可指示控制系统101(和/或其相应区域)对应于健康csb 552和/或不同于不健康csb 552的程度。网络健康度量282还可被配置为标识一个或多个接近的csb 552和/或指示接近的csb 552是否包括健康和/或不健康的csb 552。
[0216]
安全引擎510还可被配置为确定控制系统101的物理健康元数据184，这可包括确定被配置为量化控制系统101(和/或其相应区域)的物理健康的物理健康度量284。如本文所公开的，物理健康度量284尤其可基于由安全模块510确定的误差度量175和/或置信度度量575。安全引擎510还可被配置为将物理状态度量555结合到物理健康度量284中。在一些实施例中，物理健康度量284尤其可基于对一个或多个pser的评估，如本文所公开的。替代地或另外，物理健康度量284可对应于控制系统101的物理状态(如物理状态元数据240所指示的)与一个或多个psb 554之间的比较。物理健康度量284可指示控制系统101(和/或其相应区域)对应于健康psb 554和/或不同于不健康psb 554的程度。物理健康度量284还可被配置为标识一个或多个接近的psb 554和/或指示接近的psb 554是否包括健康和/或不健康的psb 554。
[0217]
安全模块510还可被配置为根据误差度量175和/或网络-物理健康元数据180来实施缓解操作，如本文所公开的。缓解操作可包括使自动化控制器134基于误差度量175和/或与其有关的网络-物理健康元数据180来修改cpce 105a-n中的一个或多个。该修改可包括减慢cpce 105a-n中的一个或多个(降低控制器132a-n中的一个或多个的控制频率)、停止cpce 105a-n中的一个或多个的控制功能、修改cpce 105a-n中的一个或多个的控制功能(例如，配置控制器132中的一个或多个以在“安全模式”下操作)、将cpce 105a-n中的一个或多个与控制系统101隔离等。如本文所公开的，安全模块510可根据安全策略211来实施缓解操作。
[0218]
安全引擎510还可被配置为根据网络状态度量553和/或物理状态度量555和/或对应的网络健康度量282和/或物理健康度量284来实施缓解操作。安全引擎510可被配置为响应于网络状态度量553和/或物理状态度量555而实施缓解操作，该度量指示一个或多个cser和/或pser的故障和/或与一个或多个不健康csb 552和/或psb 554的接近度，如本文所公开的。如上文所公开的，网络状态度量553可标识cser失败和/或指示与不健康的csb 552的接近度。cser失败和/或不健康csb 552可对应于特定类型的网络攻击、针对特定网络组件120的网络攻击、特定网络组件120(例如，一个或多个网络节点124)受损等。安全引擎510可根据所标识的cser失败和/或不健康csb 552来实施缓解操作，这可包括以下操作：生成与发生故障的cser相对应的通知、生成指示不健康csb 552的通知、缓解与故障的cser和/或不健康csb 552相关联的网络攻击和/或网络攻击向量，该缓解可包括实施以下操作：
缓解针对所标识的网络组件120的网络攻击(例如，停用所标识的网络组件120)、缓解所标识的网络组件120的受损(例如，过滤由所标识的网络组件120注入的对抗性消息)，关闭所标识的网络攻击向量(例如，关闭一个或多个网关和/或外部通道)等。
[0219]
安全引擎510还可被配置为响应于一个或多个pser的故障和/或接近不健康的psb 554而实施缓解操作。如上文所公开的，pser故障和/或不健康psb 555可对应于特定类型的物理和/或组件攻击、物理故障模式等。实施与pser故障和/或接近不健康psb 555相对应的缓解操作可包括实施以下操作：生成指示故障pser的通知、生成指示不健康psb 554的通知、缓解与故障pser和/或不健康psb 554相关联的攻击和/或故障模式等。缓解操作可包括以下操作：缓解针对所标识的计算组件130的攻击(例如，重置指定的计算组件130、修改由此实施的控制功能等)、缓解针对所标识的物理组件140的攻击(例如，忽略由所标识的传感器设备144获取的传感器数据和/或停用所标识的致动器设备146)、停用以所标识的故障模式下操作的物理组件140和/或ppv 155等。
[0220]
图6是如本文所公开的用于保护网络-物理系统100的方法600的一个实施例的流程图。步骤610可包括生成状态密钥160，每个状态密钥160包括cpkd 162，该cpkd包括和/或对应于控制系统101的网络-物理状态。步骤610可包括生成具有相应cpkd 162的状态密钥160，每个状态密钥160的cpkd 162包括相应的网络种子(例如，网络状态元数据220、一个或多个网络状态参数222、一个或多个网络状态签名228、其部分等)和相应的物理种子(例如，物理状态元数据240、一个或多个物理状态参数242、一个或多个物理状态签名248、其部分等)。
[0221]
步骤620可包括通过网络-物理系统100通信状态密钥160，如本文所公开的。步骤620可包括通过网络-物理系统100的相应网络-物理组件102通信状态密钥160。步骤620可包括通过相应的cpce 105(和/或相应的cpc路径108)通信状态密钥160，如本文所公开的。步骤620可包括通过一个或多个网络路径126和一个或多个物理过程耦合件148通信每个状态密钥160。步骤620可包括将状态密钥160发出到选定的相关器166(例如，选定的致动器设备146)，将对应的验证数据171发送到选定的接收器168(例如，选定的传感器设备144)，以及从选定的接收器168返回验证数据171。步骤620可包括根据确定的选择标准为相应状态密钥160选择cpce 105和/或cpc路径108。该选择标准可包括加权选择标准，如本文所公开的。步骤620还可包括获取与相应状态密钥160的通信相对应的验证数据171，如本文所公开的。
[0222]
步骤6s0可包括生成与相应状态密钥160相对应的验证密钥170。步骤6s0可包括从和/或通过使用获取的验证数据171生成验证密钥170。步骤6s0可包括产生相应状态密钥160的网络-物理重构，如本文所公开的。
[0223]
步骤640可包括计算相应状态密钥160的误差度量175。步骤640可包括将相应状态密钥160与对应的验证密钥170(例如，根据响应于相应状态密钥160的通信而获取的验证数据171构造的验证密钥170)进行比较。误差度量175可根据任何合适的技术来计算，该技术包括但不限于：rms误差、编辑距离等。
[0224]
步骤650可包括尤其基于在步骤640处确定的误差度量175来确定控制系统的网络-物理健康元数据180，如本文所公开的。步骤650可包括确定网络健康元数据182、物理健康元数据184等，如本文所公开的。步骤650可包括确定与控制系统101的相应网络区域和/
或对应的网络状态元数据220(例如，相应网络组件120、网络节点124、网络路径126等)有关的网络健康和/或置信度度量)。步骤650可包括确定与控制系统101的相应物理控制区域和/或对应的物理状态元数据240(例如，相应网络组件120、网络节点124、网络路径126等)有关的物理健康和/或置信度度量)。步骤650还可包括基于所确定的误差度量175和/或网络-物理健康元数据180来实施一个或多个缓解操作，如本文所公开的。在一些实施例中，步骤650可包括确定网络健康度量282和/或物理健康度量284，如本文所公开的。确定网络健康度量282可包括确定和/或评估一个或多个网络健康参数181，诸如误差参数181a、置信度参数181b、状态参数181n等。确定物理健康度量284可包括确定和/或评估一个或多个物理健康参数183，诸如误差参数183a、置信度参数183b、状态参数183n等。确定网络状态元数据182(和/或网络健康度量282)的状态参数181n可包括将控制系统101的网络状态(例如，网络状态元数据220)与一个或多个csb 552(例如，健康csb 552、不健康的csb 552、网络基线特性、网络状态预测、网络状态估计值等)进行比较，如本文所公开的。确定物理状态元数据184(和/或物理健康度量284)的状态参数183n可包括将控制系统101的物理状态(例如，物理状态元数据240)与一个或多个psb 554(例如，健康psb 554、不健康的psb 554、物理基线特性、物理状态预测、物理状态估计值等)进行比较，如本文所公开的。步骤650还可包括根据所确定的误差度量175、网络-物理健康元数据180、网络健康元数据182、网络健康度量282、物理健康元数据184、物理健康度量284等实施一个或多个缓解操作，如本文所公开的。
[0225]
图7a是如本文所公开的用于保护网络-物理控制系统101的方法700的另一个实施例的流程图。步骤710可包括生成状态密钥160，该状态密钥包括与控制系统101的网络-物理状态有关的cpkd 162，如本文所公开的。cpkd 162可包括网络状态参数222、网络状态签名228、物理状态参数242、物理状态签名248等中的一个或多个。步骤710可包括根据如本文所公开的网络-物理拓扑115和/或签名模式116(例如，被配置为覆盖控制系统101的对应区域的信息密钥数据和物理密钥数据)生成对应的cpkd 162。
[0226]
步骤720可包括将状态密钥160解析为多个片段161a-n，每个片段161a-n包括相应的cpkd片段163a-n。cpkd片段163a-n可包括：网络状态参数222和/或网络状态签名228(或其部分)，以及物理状态参数242和/或物理状态签名248(或其部分)。步骤720可包括根据网络-物理拓扑115、签名模式116和/或密钥模式中的一个或多个生成对应的cpkd片段163a-n，如本文所公开的。
[0227]
步骤730可包括通过选定的cpce 105通信状态密钥160的片段161a-n，可根据任何合适的选择机制和/或标准来选择该选定cpce 105，如本文所公开的。替代地或另外，cpce 105可根据cpkd 162和/或由此覆盖的cpkd片段163来选择。步骤730可包括经由相应的cpc路径108通过选定的cpce105通信状态密钥160的每个片段161a-n，每个cpc路径108包括第一网络路径126、物理控制耦合件148和第二网络路径126。通过cpc路径108通信状态密钥片段161a-n可包括将片段161a-n发出到选定的相关器166(例如，选定的致动器设备146)、由、跨越和/或通过cpce 105的ppv 155(例如，物理过程150、物理过程属性152)通信与片段161a-n相对应的验证数据171a-n，以及从接收器168返回验证数据171a-n，如本文所公开的。
[0228]
步骤740可包括获取与状态密钥160的相应片段161a-n的通信相对应的验证数据171a-n，如本文所公开的。步骤740还可包括确定验证cpkd片段173a-n和/或通过使用确定
的验证cpkd片段173a-n生成状态密钥160(验证密钥170)的网络-物理重构。
[0229]
步骤750可包括确定状态密钥160的误差度量175。步骤750可包括尤其通过将状态密钥160与验证密钥170进行比较(和/或将相应的cpkd 162与对应的验证cpkd 172进行比较)来确定密钥误差176。步骤750还可包括尤其通过将相应状态密钥片段161a-n与对应的验证数据171a-n进行比较(和/或将相应cpkd片段163a-n与对应的验证cpkd片段173a-n进行比较)来确定相应的片段误差177a-n。
[0230]
步骤760可包括尤其基于在步骤750处确定的误差度量175来确定控制系统的网络-物理健康元数据180，如本文所公开的。步骤760可包括确定网络健康度量282、物理健康度量284等。步骤760还可包括评估一个或多个cser和/或将控制系统101(和/或其相应区域)的网络状态与一个或多个csb 552进行比较，如本文所公开的。步骤760还可包括评估一个或多个pser和/或将控制系统101(和/或其相应区域)的物理状态与一个或多个psb 554进行比较，如本文所公开的。步骤760还可包括基于所确定的误差度量175、网络-物理健康元数据180、网络健康度量282和/或物理健康度量284来实施一个或多个缓解操作，如本文所公开的。图7b是用于凭借通过如本文所公开的网络-物理系统100的选定区域通信状态密钥160来保护网络-物理系统的方法701的一个实施例的流程图。步骤711可包括选择要被相应状态密钥160覆盖的区域。步骤711可包括基于随机选择、伪随机选择、循环选择、自适应选择(以确保控制系统101充分覆盖)、加权选择(以增加对控制系统101的重要和/或敏感部分的监视)、确定性选择(例如，基于隔离方案的选择，如本文所公开的)等中的一个或多个来选择区域。在一些实施例中，步骤711可包括被配置为分布控制系统101的区域108的覆盖范围的选择方案(例如，可包括循环选择方案)。步骤711的选择方案可被配置为均匀分布控制系统101的相应cpce 105和/或cpce路径108的覆盖范围。替代地，对步骤711的选择可被配置为偏向控制系统101的指定区域的覆盖范围(例如，相对于被指派较低优先级的区域，增加被指派更高优先级的区域的覆盖范围)。在一些实施例中，对步骤711的选择可被配置为基于区域的特性来偏向选择(例如，增加表现出较高误差度量175的区域的覆盖范围)。步骤711可包括实施加权选择方案(例如，加权随机、伪随机和/或循环选择方案)。步骤711可包括对控制系统101的相应区域进行加权，如本文所公开的。该加权可基于以下一项或多项：指派给相应区域的优先级、与相应区域相关联的误差度量175、误差度量175的寿命、与相应区域下令对应的网络-物理状态元数据111的置信度度量、置信度度量的寿命、与相应区域有关的网络-物理健康元数据180等。
[0231]
步骤721可包括生成相应的状态密钥160。步骤721可包括根据在步骤711选择的区域生成相应的状态密钥160。步骤721可包括为相应状态密钥160生成cpkd 162，使得每个状态密钥160的cpkd 162被配置为覆盖状态密钥160的选定区域。替代地，步骤721可包括独立于对步骤711的选择为相应状态密钥160生成cpkd 162，使得相应状态密钥160的cpkd 162独立于相应状态密钥160(和/或其片段161)通过其通信的控制系统101的区域。步骤721可包括使用任何合适的选择标准来选择控制系统101的将被相应状态密钥160的cpkd 162覆盖的区域，如本文所公开的。
[0232]
步骤731可包括通过在步骤711处为状态密钥160选择的控制系统101的区域通信状态密钥160。通信状态密钥160可包括将状态密钥160分割为多个片段161a-n，并且通过状态密钥160的选定区域通信每个片段161a-n。在一些实施例中，步骤731可包括经由相应的
cpe路径108通过选定区域通信每个片段161a-n。步骤731可包括根据选择机制来选择cpe路径108，如本文所公开的。步骤731可包括为片段161a-n选择cpe路径108以确保选定区域的覆盖(例如，以覆盖通过选定区域的不同cpe路径108、覆盖该区域的不同网络-物理组件102、覆盖不同的网络路径126、覆盖不同的物理控制耦合件148等)。
[0233]
步骤741可包括通过控制系统101的选定区域获取与相应状态密钥160的通信相对应的验证数据171，并且步骤751可包括确定对应的误差度量175，如本文所公开的。步骤761可包括尤其基于所确定的误差度量175来确定控制系统101(和/或其选定区域)的网络-物理健康元数据180，如本文所公开的。步骤761还可包括确定网络-物理健康元数据180，其包括：网络健康元数据182、网络健康参数181、网络健康度量282、物理健康元数据184、物理健康参数183和/或物理健康度量284，如本文所公开的。步骤761可包括根据所确定的误差度量175和/或网络-物理健康元数据180来实施缓解操作，如本文所公开的。
[0234]
图8是如本文所公开的用于保护网络-物理系统100的方法800的另一个实施例的流程图。步骤810可包括检测异常误差度量175。步骤810可包括检测超过一个或多个误差阈值的误差度量175(例如，超过相应误差阈值的密钥误差176和/或片段误差177a-n)。步骤810可对应于状态密钥160的通信，并且对异常的检测可尤其通过将状态密钥160(和/或其cpkd 162)与状态密钥160的网络-物理重构(对应的验证密钥170和/或验证cpkd 172，如本文所公开的)进行比较而对应于对状态密钥160的误差度量175的计算。步骤810还可包括更新网络-物理健康元数据180以尤其将异常误差度量与状态密钥160(和/或其片段161)通过其通信的cpce 105和/或cpc路径108相关联。
[0235]
步骤820可包括调适一个或多个后续状态密钥160的通信以尤其隔离检测到的异常的来源等。步骤820可包括根据网络-物理隔离方案配置后续状态密钥160的通信，如本文所公开的。步骤820可包括配置后续状态密钥160以通过重叠区域进行通信，该重叠区域对应于由与异常误差度量175相关联的状态密钥160覆盖的区域。步骤820可包括配置后续状态密钥160以通过通过重叠区域的隔离cpc路径108进行通信，该重叠区域关于包括和/或排除指定的网络-物理组件102而变化，如本文所公开的。
[0236]
步骤830可包括尤其基于后续状态密钥160的误差度量175来归因异常，如本文所公开的。步骤830可包括确定后续状态密钥160的误差度量175是标称的，并且作为响应，防止检测到的异常归因于包括在后续状态密钥160的通信中的网络-物理组件102。替代地或另外，步骤830可包括确定后续状态密钥160的误差度量175为高和/或异常的，并且作为响应，将检测到的异常归因于包括在后续状态密钥160的通信中的指定网络-物理组件102。步骤830可包括迭代地调适后续状态密钥160的通信直到满足终止标准(例如，确定检测到的异常的来源，不可能进一步细化等，如本文所公开的)。步骤830还可包括更新网络-物理健康元数据180以尤其将检测到的异常与其确定的来源相关联和/或响应于对异常的检测和/或归因而实施一个或多个缓解操作，如本文所公开的。
[0237]
图9是如本文所公开的用于保护网络-物理系统100的方法900的另一个实施例的流程图。步骤910可包括检测具有高误差度量175的状态密钥160，如本文所公开的(例如，具有超过一个或多个误差阈值的误差度量175的状态密钥160)。步骤910还可包括响应于对异常的检测而实施一个或多个缓解操作，如本文所公开的。
[0238]
步骤920可包括标识高误差度量的潜在来源，如本文所公开的。步骤920可包括标
识误差区域，该误差区域包括由状态密钥160覆盖的控制系统101的区域。该标识可包括标识通过其通信状态密钥160的cpce 105、通过其通信状态密钥160的片段161a-n的cpc路径108等。步骤920还可包括标识包括异常的潜在来源的误差组。误差组最初可包括所确定的误差区域内的网络-物理组件102(例如，通过其通信状态密钥160和/或其片段161的网络-物理组件102)。步骤920还可包括将初始异常权重指派给所标识的网络-物理组件102中的每一个，如本文所公开的。
[0239]
步骤930可包括调适后续状态密钥160的通信以包括潜在来源中的一个或多个以及排除潜在来源中的一个或多个，如本文所公开的。步骤930可包括配置后续状态密钥160以与误差区域重叠(例如，配置后续状态密钥160以通过一组cpce 105进行通信，该组cpce包括所标识的cpce 105中的一个或多个和/或排除所标识的cpce 105中的一个或多个)。步骤930可包括配置后续状态密钥160，使得其片段161a-n通过与所标识的cpc路径108不同的相应隔离cpc路径108尤其通过排除所标识的潜在来源中的一个或多个(例如，包括/排除所标识的网络-物理组件102中的一个或多个，如本文所公开)进行通信。
[0240]
步骤940可包括确定后续状态密钥160的误差度量175是否相对于高误差度量175减小(例如，误差度量175是否指示正常操作)。如果误差度量175已经减小，则该流程可在步骤950处继续；否则，所述流程可在步骤960处继续。
[0241]
步骤950可包括去除包括在后续状态密钥160的通信中的潜在来源(该潜在来源作为高误差度量175的潜在来源)(例如，从误差组和/或误差区域中去除对应的网络-物理组件102)。步骤950还可包括保留从后续状态密钥160中排除的潜在来源作为高误差度量175的潜在来源(例如，将对应的网络-物理组件102保留在误差组和/或误差区域中)。替代地或另外，步骤950可包括减小由后续状态密钥160覆盖的相应网络-物理组件102的异常权重，如本文所公开的。
[0242]
步骤960可包括保留所包括的潜在来源，如本文所公开的(例如，将对应的网络-物理组件102保留在误差组和/或误差区域中)。替代地或另外，步骤960可包括增加由后续状态密钥160覆盖的相应网络-物理组件102的异常权重，如本文所公开的。
[0243]
步骤970可包括确定是否继续细化高误差度量175的潜在来源。步骤970可包括确定：是否已经标识出高误差度量的来源(例如，潜在来源是否已经被细化到阈值数量的网络-物理组件102、控制系统101的足够窄的区域等)，潜在来源的进一步细化是否是可能的(例如，基于控制系统101的网络-物理拓扑115)，和/或是否已经满足另一个终止标准(例如，是否已经完成阈值数量的迭代)。步骤970还可包括更新网络-物理健康元数据180以指示异常的潜在来源和/或指示指派给相应网络-物理组件102的异常权重，如本文所公开的。步骤970可包括响应于对异常来源的确定(和/或其潜在来源的细化)而实施一个或多个缓解操作，如本文所公开的。如果步骤970处的确定要继续，则该流程可在步骤930处继续，其中另一个后续状态密钥160可适于包括和/或排除高误差度量175的剩余潜在来源，如本文所公开的。
[0244]
图10是如本文所公开的用于保护网络-物理系统100的方法1000的另一个实施例的流程图。步骤1010可包括检测状态密钥异常(例如，具有异常误差度量175的状态密钥160，如本文所公开的)。步骤1010还可包括响应于对异常的检测而实施一个或多个缓解操作，如本文所公开的。步骤1020可包括确定误差区域，该误差区域可包括和/或对应于由具
有异常误差度量175的状态密钥160覆盖的区域。步骤1020还可包括将初始异常权重指派给所确定的误差区域内的每个网络-物理组件102，如本文所公开的。步骤1030可包括配置重叠状态密钥160，这可包括配置状态密钥160以覆盖与误差区域重叠的区域，如本文所公开的。步骤1030可包括通过控制系统101的与误差区域相对应和/或重叠的区域通信重叠状态密钥160。误差区域可包括和/或对应于一个或多个cpce 105，并且步骤1030可包括通过一个或多个cpce 105中的至少一个通信重叠状态密钥160。步骤1030还可包括通过一个或多个隔离cpc路径108通信重叠状态密钥160的片段161，如本文所公开的。
[0245]
步骤1040可包括确定重叠状态密钥160的误差度量175是否是标称的(例如，低于异常误差度量175)。如果误差度量175是标称的，则该流程可在步骤1050处继续；否则，所述流程可在步骤1060处继续。步骤1050可包括减小由重叠状态密钥160和/或cpc路径108覆盖的相应网络-物理组件102的异常权重，重叠状态密钥160的片段161通过该cpc路径进行通信，如本文所公开的。步骤1060可包括增加由重叠状态密钥160和/或cpc路径108覆盖的相应网络-物理组件102的异常权重，重叠状态密钥160的片段161通过该cpc路径进行通信，如本文所公开的。
[0246]
步骤1070可包括确定是否继续迭代细化指派给误差区域的相应网络-物理组件102的异常权重，如本文所公开的。步骤1070可包括确定异常权重是否已经收敛、异常权重的分布是否足以区分异常的原因、不可能进一步细化和/或其它终止标准。
[0247]
图10是用于表征网络-物理系统100的选定区域的网络-物理健康的方法1100的一个实施例的流程图。步骤1010可包括检测状态密钥异常(例如，具有异常误差度量175的状态密钥160，如本文所公开的)。步骤1010还可包括响应于对异常的检测而实施一个或多个缓解操作，如本文所公开的。步骤1020可包括确定误差区域，该误差区域可包括和/或对应于由具有异常误差度量175的状态密钥160覆盖的区域。步骤1020还可包括将初始异常权重指派给所确定的误差区域内的每个网络-物理组件102，如本文所公开的。步骤1030可包括配置重叠状态密钥160，这可包括配置状态密钥160以覆盖与误差区域重叠的区域，如本文所公开的。步骤1030可包括通过控制系统101的与误差区域相对应和/或重叠的区域通信重叠状态密钥160。误差区域可包括和/或对应于一个或多个cpce 105，并且步骤1030可包括通过一个或多个cpce 105中的至少一个通信重叠状态密钥160。步骤1030还可包括通过一个或多个隔离cpc路径108通信重叠状态密钥160的片段161，如本文所公开的。
[0248]
步骤1040可包括确定重叠状态密钥160的误差度量175是否是标称的(例如，低于异常误差度量175)。如果误差度量175是标称的，则该流程可在步骤1050处继续；否则，所述流程可在步骤1060处继续。步骤1050可包括减小由重叠状态密钥160和/或cpc路径108覆盖的相应网络-物理组件102的异常权重，重叠状态密钥160的片段161通过该cpc路径进行通信，如本文所公开的。步骤1060可包括增加由重叠状态密钥160和/或cpc路径108覆盖的相应网络-物理组件102的异常权重，重叠状态密钥160的片段161通过该cpc路径进行通信，如本文所公开的。
[0249]
步骤1070可包括确定是否继续迭代细化指派给误差区域的相应网络-物理组件102的异常权重，如本文所公开的。步骤1070可包括确定异常权重是否已经收敛、异常权重的分布是否足以区分异常的原因、不可能进一步细化和/或其它终止标准。
[0250]
图11是如本文所公开的用于表征网络-物理系统的选定区域的网络-物理健康的
方法1100的一个实施例的流程图。步骤1100可包括选择控制系统101的区域来表征。步骤1110可包括检测具有高的和/或异常误差度量175的状态密钥160，如本文所公开的。替代地，步骤1100可包括基于选择标准(诸如加权选择标准)来选择区域，如本文所公开的。选定区域可包括和/或对应于控制系统101的一个或多个cpce 105。在一些实施例中，步骤1110还可包括将初始误差权重指派给选定区域的相应网络-物理组件102、网络区域和/或物理控制区域，如本文所公开的。
[0251]
步骤1120可包括通过选定区域通信重叠状态密钥160(例如，如本文所公开的，相对于选定区域重叠的状态密钥160)。步骤1120可包括根据网络-物理隔离方案通信重叠状态密钥160，如本文所公开的。通信重叠状态密钥160可包括通过相应的隔离cpc路径108通信重叠状态密钥160的相应片段161，该隔离cpc路径可被配置为在包含和/或排除选定区域的相应部分方面不同(例如，在包含和/或排除一个或多个网络-物理组件102方面不同)。
[0252]
步骤1130可包括确定相应重叠状态密钥160的误差度量175的差异是否超过阈值。响应于确定重叠状态密钥160的误差度量175具有超过阈值的误差差异(δe)，该流程可在步骤1140处继续；否则，所述流程可在步骤1150处继续。步骤1140可包括将误差差分δe与高误差状态密钥160的隔离部分相关联。高误差状态密钥160可包括的重叠状态密钥160的状态密钥160的误差度量175超过重叠状态密钥160的其它低误差状态密钥160的误差度量175。高误差状态密钥160的隔离部分可包括由高误差状态密钥160覆盖并且未由低误差状态密钥覆盖的选定区域的一部分和/或子区域160。隔离部分可包括网络-物理组件102，其：a)包括在高误差状态密钥160的片段161通过其通信的隔离cpc路径108中，和b)排除在低误差状态密钥160的片段161通过其通信的隔离cpc路径108之外。步骤1140可包括将误差差异(δe)和/或其一部分归因于高差错状态密钥160的隔离部分。在一些实施例中，步骤1140可包括增加高误差状态密钥160的隔离部分的相应网络-物理组件102、网络区域和/或物理控制区域的误差权重，如本文所公开的。在一些实施例中，步骤1140还可包括将低误差状态密钥160的隔离部分与误差差异解除关联，这可减小低误差状态密钥160的隔离部分的相应网络-物理组件102、网络区域和/或物理控制区域的误差权重，如本文所公开的。
[0253]
如上文所公开的，rs代理110可被配置为通过控制系统101的相应cpce 105(和/或相应的网络-物理组件102、cpce部分109等)确定与状态密钥160的通信相关联的误差。状态密钥160可包括cpkd 162，该cpkd可被配置为表征控制系统101的所获取的网络-物理状态(例如，可包括和/或源自于网络-物理状态元数据111)。在一些实施例中，rs代理110可被配置为获取与控制系统101有关的网络-物理状态信息。rs代理110可被配置为结合通过控制系统101的选定区域通信状态密钥160来获取网络-物理状态信息。rs代理110可被配置为从与状态密钥160通过其通信的区域相同和/或类似的区域获取网络-物理状态信息(和/或返回对应的网络-物理重构数据)。因此，与状态密钥160相关联的误差度量175可指示结合状态密钥160的通信获取的网络-物理状态信息准确地反映控制系统101的网络-物理状态的可能性。
[0254]
图12a是如本文所公开的包括rs代理110的网络-物理系统100的另一个实施例的示意性框图。rs代理110可包括安全引擎1210、密钥生成器1212、通信管理器1216和网络-物理误差监视器(误差监视器1218)，它们可被配置为尤其通过控制系统101通信状态密钥160，确定与状态密钥160(和/或其相应片段161a-n)的通信相对应的误差度量175，和/或尤
其基于所确定的误差度量175来确定控制系统101的网络-物理健康元数据180。rs代理110还可包括获取引擎1206和状态引擎1290，它们可被配置为尤其获取控制系统101和/或其相应区域的网络-物理状态1201(表示为图12a中的网络-物理状态1201)。rs代理110可包括计算资源201、由该计算资源体现和/或耦合到该计算资源，该计算资源可包括但不限于：处理资源202、存储资源204、网络通信资源206等，如本文所公开的。rs代理110的部分(例如，1206、1210、1212、1216、1218和/或1219和/或其部分中的一个或多个)可由计算资源201体现(例如，可包括计算资源201的硬件组件(诸如一个或多个处理器、可编程逻辑等)和/或由该硬件组件体现)。替代地或另外，如本文所公开的，1206、1210、1212、1216、1218和/或1219中的一个或多个可体现为存储在非暂时性存储资源206内的计算机可读指令205。
[0255]
安全引擎1210可被配置为实施安全策略211，如本文所公开的，该安全策略可包括和/或对应于覆盖模式511。覆盖模式511可包括用于生成和/或通信状态密钥160(和/或其相应片段161a-n)的方案，如本文所公开的。安全引擎1210还可被配置为基于和/或响应于误差度量175和/或所确定的网络-物理健康元数据180来实施缓解操作，如本文所公开的。
[0256]
密钥生成器1212可被配置为生成包括相应cpkd 162的状态密钥160和/或将状态密钥160分割为相应片段161a-n，每个片段161a-n包括相应cpkd片段163a-n，如本文所公开的。通信管理器1216可被配置为通过控制系统101的相应cpc路径108通信状态密钥160的片段161a-n，并且响应于片段161a-n的通信而获取验证数据171a-n，如本文所公开的。误差监视器1218可被配置为监视在状态密钥160(和/或状态密钥片段161a-n)通过控制系统101的cpe路径108的通信期间引入的误差，这可包括通过使用所获取的验证数据171a-n生成状态密钥160(验证密钥170)的网络-物理重构，和/或将状态密钥160与对应的验证密钥170进行比较，如本文所公开的。生成验证密钥170可包括通过使用验证cpkd片段173a-n从所获取的验证数据171a-n重构验证cpkd片段173a-n和/或重构用于相应状态密钥160的验证cpkd 172，如本文所公开的。
[0257]
在图12a的实施例中，rs代理110还可包括获取引擎1206，其可被配置为获取与网络-物理状态元数据111相对应的网络-物理状态数据1207，如本文所公开的，该网络-物理状态数据可被配置为包括、定义和/或表征控制系统101和/或其相应区域的网络-物理状态。获取引擎1206可被配置为获取与以下各项有关的网络-物理状态数据1207：网络状态元数据220、一个或多个网络状态参数222、一个或多个网络状态签名228、物理状态元数据240、一个或多个物理状态参数242、一个或多个物理状态签名248、其部分等。获取引擎1206可被配置为获取与以下相应各项有关的网络-物理状态信息：网络-物理组件102、cpce 105、cpe路径108、cpe部分109、信息组件120、cs网122(和/或其部分)、网络节点124、网络路径126、网络部分129、计算组件130、物理组件140(例如，传感器设备144、致动器设备146等)、ppv 155(例如，物理过程150、物理过程属性152等)、物理控制耦合件148、物理控制部分149等。获取引擎1206可被配置为使用任何合适的手段、机制和/或技术来获取网络-物理状态数据1207，如本文所公开的，该手段、机制和/或技术可包括但不限于：请求网络-物理状态信息(例如，通过cs网122发出针对网络-物理状态信息的请求)，捕获包括网络-物理状态信息的消息，捕获在相应计算组件130与物理组件140之间通信的控制消息(例如，控制器132与一个或多个传感器设备144和/或致动器设备146之间的消息)，在cs网122上捕获消息，检测在cs网122上通信的消息(例如，深度包检测)，在cs网122上提取网络-物理状态信
息消息，从包括响应于相应状态密钥160和/或状态密钥片段161的通信而返回的验证数据171的消息中获取网络-物理状态信息等。
[0258]
获取引擎1206可被配置为根据覆盖模式511从控制系统101(和/或其相应区域)获取网络-物理状态信息，如本文所公开的。覆盖模式511可包括与网络-物理状态数据1207的获取有关的任何合适的信息，包括但不限于：获取频率(例如，可指定获取引擎1206被配置为获取与控制系统101的相应区域有关的网络-物理状态数据1207的频率)、获取周期(例如，可指定获取引擎1206被配置为获取与控制系统101的相应区域有关的网络-物理状态数据1207的周期)、监视频率、监视周期、连续获取方案、连续监视方案、离散获取方案、离散监视方案、分段监视方案、分段获取方案等。获取引擎1206可获取网络-物理状态数据1207，其被配置为表征控制系统101在指定获取时间α(与获取频率、周期、连续获取、分阶段获取等相对应的获取时间α)的网络-物理状态1201。如上文所公开的，获取引擎1206可被配置为通过多种不同的手段和/或从多个不同的来源(例如，不同的网络-物理组件102)获取网络-物理状态数据1207。因此，获取与指定获取时间α相对应的网络-物理状态数据1207可包括获取多个网络-物理状态(cps)数据集1209，每个cps数据集1209对应于相同(或类似)的获取时间α并且包括通过相应手段捕获和/或从相应来源(例如，相应的网络-物理组件102)获取的网络和/或物理状态数据1207。获取与获取时间α相对应的网络-物理状态信息1201可包括生成、请求和/或接收多个cps数据集1209，以及将cps数据集1209与获取时间α相关联。该相关联可包括尤其根据cps数据集1209的获取时延来同步cps数据集1209。如本文所使用的，cps数据集1209的获取时延(l
acq
)是指获取引擎1206尝试和/或期望获取cps数据集1209的时间与获取引擎1206接收、捕获、提取和/或以其它方式获取特定cps数据集1209的时间之间的时延。cps数据集1209的获取时延(l
acq
)可包括针对以下各项的时延：向cps数据集1209的来源(特定网络-物理组件102)通信请求、在该来源处获取cps数据集1209、将cps数据集1209传回到获取引擎1206、由获取引擎获取cps数据集1209(例如，用于在rs代理110处监视、捕获、检测、提取和/或以其它方式获取cps数据集1209的时延)等。该同步可包括将获取时间α(时间戳和/或其它标识信息)与接收到的cps数据集1209(例如，cps数据集1209的时间戳和/或其它标识信息)相关。获取引擎1206可被配置为评估cps数据集1209的获取时延，并且可拒绝具有超过一个或多个时延阈值的获取时延的cps数据集1209(例如，拒绝cps数据集1209，其中l
acq
》δat，其中δat是获取时延阈值)。
[0259]
获取引擎1206还可被配置为同步cps数据集1209的网络和/或物理状态信息。同步可包括缓解cps数据集1209之间的状态同步偏差。如本文所使用的，“状态抖动”或“状态同步偏差”(s
dev
)是指网络-物理状态数据1207的目标获取时间(例如，α)与相应cps数据集1209的获取时间之间的差异(例如α
cps-α＝s
dev
，其中α
cps
是cps数据集1209的获取时间并且s
dev
是α
cps
与目标获取时间α之间的偏差)。获取引擎1206可被配置为同步cps数据集1209的网络-物理状态信息，使得cps数据集1209的网络-物理状态信息对应于相同(和/或基本相同)的获取时间(例如，获取时间α)。在一些实施例中，cps数据集1209可包括时间戳和/或指示其网络和/或物理状态信息的获取时间的其它同步信息。替代地或另外，获取引擎1206可尤其通过检测cps数据集1209的网络-物理状态信息、评估与网络-物理状态信息相关联的时间戳、访问cps数据集1209的同步信息(例如，访问与传感器、致动器和/或cps数据集1209的控制数据相关联的时间戳)等来确定相应cps数据集1209的cps获取时间(α
cps
)。在一些实
施例中，获取引擎1206可被配置为基于请求、捕获、提取和/或以其它方式获取cps数据集1209所涉及的时延来估计cps数据集1209的cps获取时间(α
cps
)。cps数据集1209的cps获取时间(α
cps
)可对应于请求cps数据集1209所涉及的时延(例如，用于将请求通信到网络-物理组件102的时延(l
req
)，使得从中返回的网络和/或物理状态信息对应于α l
req
而不是α)。cps数据集1209的相应来源的lreq尤其可由与网络路径126和/或其间将rs代理110耦合到相应来源的通信节点124有关的网络状态元数据220来定义。在另一个实施例中，获取引擎1206可确定从网络-物理组件102接收的cps数据集1209的cps获取时间(α
cps
)，该网络-物理组件被配置为根据特定方案监视向rs代理110发出网络-物理状态信息。获取引擎1206可根据监视方案(例如，基于其频率和/或周期)来确定cps获取时间(α
cps
)；sdev可对应于获取时间α(例如，获取频率和/或周期)与cps数据集1209的来源的监视方案之间的差异和/或偏移(例如，α
cps
＝α
±omon
和/或s
dev
＝o
mon
，其中o
mon
是cps数据集1209的来源的监视方案与目标获取时间α之间的偏移和/或差异)。在其它实施例中，cps数据集1209的cps获取时间(α
cps
)可对应于在获取引擎1206生成cps数据集1209中所涉及的时延(从例如在控制系统101的网络-物理组件102之间通信的消息捕获、检测、提取和/或以其它方式获取cps数据集1209的网络-物理状态信息，如本文所公开的)，使得α
cps
＝α l
gen
，和/或s
dev
＝l
gen
，其中l
gen
是获取引擎1206生成cps数据集1209中所涉及的时延。
[0260]
在一些实施例中，获取引擎1206可被配置为根据所确定的cps获取时间(α
cps
)、时延和/或其状态偏差s
dev
来修改一个或多个cps数据集1209的网络-物理状态信息。获取引擎1206可被配置为忽略不太可能对网络-物理状态元数据111的准确性产生不利影响的s
dev
(例如，可忽略低于状态偏差阈值的s
dev
)。在一些实施例中，获取引擎1206可被配置为缓解状态偏差(s
dev
)，这可包括修改具有超过一个或多个阈值的状态偏差s
dev
的网络-物理状态信息。该修改可包括基于在α
cps
处获取的网络-物理状态信息来估计、外推、计算和/或以其它方式确定与目标获取时间α相对应的网络-物理状态信息，其中α
cps-α＝s
dev acps-a＝sdev。获取引擎1206可被配置为根据模型(诸如过程模型、观察器模型、卡尔曼滤波器等)来修改网络-物理状态信息，如本文中进一步详细公开的。替代地或另外，获取引擎1206可被配置为调适对相应cps数据集1209的获取以尤其减小其s
dev
(和/或减小其间的cps获取时间(α
cps
)的差异)。获取引擎1206可被配置为基于其s
dev
来调度对相应cps数据集1209的获取，这可包括调度对一个或多个cps数据集1209的请求的通信(例如，根据一个或多个cps数据集1209的网络-物理状态信息的相应来源的请求时延l
req
来调度请求)，配置相应来源以根据目标获取时间α获取和/或通信网络-物理状态信息(例如，将一个或多个网络-物理组件102的监视方案与目标获取时间α同步)，调度操作以生成一个或多个cps数据集1209(例如，基于获取引擎1206的时延l
gen
调度操作以生成一个或多个cps数据集1209的网络-物理状态信息)等。获取被配置为表征控制系统101在目标获取时间α处的网络-物理状态的网络-物理状态数据1207可包括获取引擎1206在获取时间α之前发出针对相应网络-物理状态信息的请求(例如，在α-l
req
处发出对cps数据集1209的请求，其中l
req
是cps数据集1209的网络-物理状态信息的来源的请求时延)。获取引擎1206还可被配置为调度操作以在获取时间α之前生成网络-物理状态信息(例如，调度操作以在α-l
gen
处从cs网122上的消息监视、捕获、检测和/或提取网络-物理状态信息网络，其中l
gen
是获取引擎1206生成网络-物理状态信息的时延)。尽管本文描述了用于同步所获取的网络-物理状态数据1207(和/或相应的cps数据
集1209)的设备的特定示例，但是本公开在这方面不受限制，并且可适于使用任何合适的同步技术。
[0261]
获取引擎1206还可被配置为从所获取的网络-物理状态数据1207导出所获取的网络-物理状态元数据1211。获取引擎1206可被配置为导出：与网络状态元数据220(和/或其相应部分)相对应的所获取的网络状态元数据1211、与一个或多个网络状态参数222相对应的所获取的网络状态参数1222、与一个或多个网络状态签名228(和/或其部分)相对应的所获取的网络状态签名1228、与物理状态元数据240(和/或其相应部分)相对应的所获取的物理状态元数据1240、与一个或多个物理状态参数242相对应的所获取的物理状态参数1242、与一个或多个物理状态签名(和/或其部分)相对应的所获取的网络状态签名1248等等。该导出可包括但不限于：从所获取的网络-物理状态数据1207中提取特征，对所获取的网络-物理状态数据1207执行计算(例如，计算特定网络节点124处的网络通信的统计特性，如本文所公开)，从所获取的网络-物理状态数据1207外推所获取的网络状态参数1222和/或物理状态参数1242，从所获取的网络-物理状态数据1207估计所获取的网络状态参数1222和/或物理状态参数1242，从所获取的网络-物理状态数据1207预测所获取的网络状态参数1222和/或物理状态参数1242等。该导出还可包括计算表征所获取的网络-物理状态元数据1211的一个或多个cpss 118签名，其可包括所获取的网络状态签名1228、所获取的物理状态签名1248等。获取引擎1206可被配置为根据签名模式116生成签名1228和/或1248，如本文所公开的。
[0262]
rs代理110还可包括状态引擎1290，其可被配置为将获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中。在一些实施例中，结合所获取的网络-物理状态元数据1211可包括将所获取的网络-物理状态元数据1211导入到网络-物理元数据111中。该导入可包括用所获取的网络-物理状态元数据1211替换现有的网络-物理状态元数据111(如果有)。替代地或另外，如本文进一步详细公开的，该导入可包括保留网络-物理状态元数据111，其被配置为表征控制系统101在一个或多个先前获取时间处的网络-物理状态。状态引擎1290还可被配置为用获取信息更新网络-物理状态元数据111(例如，将网络-物理状态元数据111与其获取时间相关联，如本文所公开的)。
[0263]
在一些实施例中，获取引擎1206可被配置为结合通信管理器1216通信状态密钥160来获取网络-物理状态数据1207(和/或cps数据集1209)。如上文所公开的，rs代理110可被配置为通过控制系统101的选定区域通信状态密钥160。因此，由状态密钥160覆盖的控制系统101的区域可指代状态密钥160将通过其通信的控制系统101的区域。获取引擎1206可被配置为从由相应状态密钥160覆盖的控制系统101的区域获取网络-物理状态数据1207。获取引擎1206可被配置为在通信相应状态密钥160期间(例如，在通信状态密钥160的同时)获取网络-物理状态数据1207。通过控制系统101的选定区域传递状态密钥160可触发获取引擎1206对与选定区域有关的网络-物理状态信息的获取(例如，通信状态密钥160的时间可包括和/或对应于获取引擎1206的目标获取时间α)。响应于状态密钥160的通信，获取引擎1206可被配置为获取尤其与由状态密钥160覆盖的区域内的网络-物理组件102等有关的网络-物理状态数据1207。因此，相应状态密钥160的误差度量175可准确地指示对应所获取的网络-物理状态数据1207(和/或从其中导出的所获取的网络-物理状态元数据1211)中的误差可能性。
[0264]
在一些实施例中，获取引擎1206还可被配置为结合状态密钥片段161的通信来获取网络-物理状态数据1207(和/或相应的cps数据集1209)。如上文所公开的，通过控制系统101的选定区域通信状态密钥160可包括通过选定区域的cpc路径108通信状态密钥160的片段161a-n。通过cpce 105的cpc路径108通信状态密钥片段161可包括：通过第一网络路径126发出片段161(发出到相关器166，诸如致动器设备146、控制器132等)，将对应的验证数据171通过包括和/或对应于cpce 105的ppv 155的物理控制耦合件148通信到接收器168(例如，传感器设备144、控制器132等)，并且通过第二网络路径126返回验证数据171。结合通过cpc路径108通信状态密钥片段161来获取网络-物理状态数据1207可包括获取与cpe路径108有关的网络-物理状态数据1207(例如，获取与cpe路径108的网络-物理组件102有关的cps数据集1209)。在一些实施例中，获取与状态密钥160相对应的网络-物理状态数据1207可包括获取多个区域网络-物理状态(rcps)数据集1217a-n，该rcps数据集1217a-n包括与状态密钥160的相应片段161a-n通过相应cpc路径108的通信相对应的网络和/或物理状态数据1207。与状态密钥片段161的通信相对应的rcps数据集1217可包括但不限于与以下各项有关的网络-物理状态信息：cpe路径108的网络-物理组件102、一个或多个网络路径126、一个或多个物理控制耦合件148、一个或多个ppv 155等。如本文所公开的，获取rcps数据集1217可包括获取与目标获取时间α相对应的一个或多个cps数据集1209。在一些实施例中，通过其通信相应状态密钥片段161a-n的cpe路径108可重叠(可共同具有一个或多个网络-物理组件102)。获取引擎1206可被配置为调适rcps数据1217a-n的获取以防止冗余获取(例如，结合相同状态密钥160的不同片段161a-n的通信防止获取相同的网络-物理状态数据1207)。获取引擎1206还可被配置为从rcps数据1217a-n导出获取的网络-物理状态元数据1211，其可被结合到网络-物理状态元数据111中，如本文所公开的。
[0265]
安全引擎1210可被配置为尤其响应于相应状态密钥160的通信而确定误差度量175，这可包括确定量化状态密钥160与其对应的网络-物理重构(验证密钥170)之间的差异的密钥误差176和/或量化相应状态密钥160的片段161a-n与其相对应的网络-物理再现(相应的验证数据171a-n)之间的差异的片段误差177a-n。安全引擎1210还可被配置为尤其基于所确定的误差度量175来确定与控制系统101有关的网络-物理健康元数据180。
[0266]
如上文所公开的，获取引擎1206可被配置为结合相应状态密钥160(和/或其片段161)的通信来获取网络-物理状态元数据1211。获取引擎1206可被配置为获取网络-物理状态元数据1211，其被配置为覆盖与相应状态密钥160相同和/或类似的区域。因此，响应于相应状态密钥160的通信而确定的误差度量175可指示对应所获取的网络-物理状态元数据1211是否包括对控制系统101(和/或其相应区域)的网络-物理状态1201的准确表征。安全引擎1210可被配置为确定cpsc度量575，其可被配置为量化对网络-物理状态元数据111(和/或其相应部分)的置信度，如本文所公开的。在图12a的实施例中，安全引擎1210还可被配置为确定与所获取的网络-物理状态元数据1211有关的cpsc度量575。cpsc度量575可尤其基于与所获取的网络-物理状态元数据1211相对应的状态密钥160的误差度量175。cpsc度量575可包括获取置信度1276，其可量化所获取的网络-物理状态元数据1211准确地表示控制系统101的网络-物理状态1201(和/或由与其相关联的状态密钥160覆盖的控制系统101的区域)。为结合特定状态密钥160的通信而获得的所获取的网络-物理状态元数据1211确定的获取置信度1276可对应于特定状态密钥160的误差度量175(例如，密钥误差176)。在
一些实施例中，cpsc度量575还可包括一个或多个获取集置信度1277a-n，其可量化从相应获取的rcps数据1217a-n导出的所获取的网络-物理状态元数据1211的部分准确地表示控制系统101(和/或其相应区域)的网络-物理状态1201的置信度。为结合特定状态密钥160的相应片段161a-n的通信而获得的获取的网络-物理状态元数据1211确定的获取集置信度1277a-n可对应于特定状态密钥160的误差度量175(例如，特定状态密钥160的相应片段误差177a-n)。cpsc度量575还可结合与从控制系统101获取网络-物理状态元数据1211有关的特性，如状态获取噪声、获取时延、获取频率、状态抖动、状态偏差等，如本文所公开的。
[0267]
如上文所公开的，状态引擎1290可被配置为将所获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中。状态引擎1290可被配置为根据其cpsc度量575结合所获取的网络-物理状态元数据1211。响应于cpsc度量575指示对所获取的网络-物理状态元数据1211的准确性的高置信度(满足置信阈值的cpsc度量575)，状态引擎1290可被配置为将所获取的网络-物理状态元数据1211导入到网络-物理元数据111，如本文所公开的(例如，用所获取的网络-物理状态元数据1211替换现有的网络-物理状态元数据111)。该导入可包括更新网络-物理状态元数据111以尤其指示获取网络-物理状态元数据111的相应部分的时间(例如，指定导入的网络-物理状态元数据111的获取时间α)。在一些实施例中，状态引擎1290可被配置为丢弃由所获取的网络-物理状态元数据1211替换的网络-物理状态元数据111(例如，丢弃在当前获取时间α之前获取的网络-物理状态元数据111)。替代地或另外，状态引擎1290可被配置为在数据存储设备(例如，历史数据存储设备1219)中维护与一个或多个先前获取时间α相对应的网络-物理状态元数据111。历史数据存储设备1219可包括任何合适的存储部件，如本文所公开的。历史数据存储设备1219可包括和/或对应于rs代理110的存储资源。替代地或另外，历史数据存储设备1219可包括外部存储资源(例如，可包括控制系统101的另一个网络-物理组件102的数据存储资源)。历史数据存储设备1219可包括多个历史网络-物理状态数据集，每个历史网络-物理状态数据集包括与相应时间相对应的网络-物理状态元数据111。
[0268]
导入所获取的网络-物理状态元数据1211还可包括尤其基于与如本文所公开的所获取的网络-物理状态元数据1211相对应的误差度量175和/或cpsc度量575来确定网络-物理健康元数据180。在一些实施例中，状态引擎1290可被配置为基于其误差度量175和/或cpsc度量575来确定是否导入所获取的网络-物理状态元数据1211。状态引擎1290可将所获取的网络-物理状态元数据1211的误差度量175和/或cpsc度量575与一个或多个阈值进行比较，并且可基于该比较来确定是否结合所获取的网络-物理状态元数据1211。状态引擎1290可推迟低置信度获取的网络-物理状态元数据1211(具有不能满足一个或多个误差和/或置信度阈值的误差度量175和/或cpsc度量575的所获取的网络-物理状态元数据1211)的结合。响应于低置信度获取的网络-物理状态元数据1211，状态引擎1290可配置后续状态密钥160以覆盖控制系统101的相同和/或重叠区域。状态引擎1290可评估所得误差度量175和/或cpsc度量575，确定误差度量175和/或cpsc度量575是否满足误差和/或置信度阈值，并且如果满足，则导入最近获取的网络-物理状态元数据1211。如果状态引擎1290确定误差度量175和/或cpsc度量575仍然不能满足误差和/或置信度阈值，则状态引擎1290可结合所获取的网络-物理状态元数据1211，这可包括记录在网络-物理健康元数据180中与其相关联的低cpsc度量575，如本文所公开的。状态引擎1290还可被配置为更新对应的获取参数
112以指示低cpsc度量575和/或标记网络-物理状态元数据111的对应部分以用于重新获取。
[0269]
在一些实施例中，rs代理110可被配置为根据覆盖模式511生成和/或通信状态密钥160。覆盖方案511可包括选择标准，通过该选择标准可选择控制系统101的区域用于由相应状态密钥160(和/或其相应片段161a-n)覆盖。为状态密钥160选择区域可包括选择状态密钥160(和/或其片段161a-n)将通过其通信的区域。该选择还可包括选择区域用于从中获取网络-物理状态元数据1211，如本文所公开的。在一些实施例中，覆盖方案511可包括加权选择标准，该加权选择标准结合与控制系统101的相应区域(例如，相应cpce 105)有关的各种因素，诸如优先级、误差度量175、误差度量寿命等。在图12的实施例中，覆盖方案511可包括与和控制系统101的相应区域有关的网络-物理状态元数据1211的获取相对应的加权选择标准。选择标准可配置状态密钥160的通信以确保所获取的网络-物理状态元数据1211覆盖控制系统101。在一些实施例中，可如下向相应cpce 105指派权重：
[0270]
wi＝w
pri，i
w
err
·ei
w
err_age
·
err_agei wc·ci
w
state_age
·
state_agei[0271]
在上面的表达式中，wi是指派给特定cpce 105的权重，w
pri，i
可为优先权加权因子，w
err
可为应用于cpce 105(ei)的误差度量175和/或误差度量参数181的误差加权和/或缩放因子，并且w
err_age
可为应用于误差寿命参数(err_agei)的加权和/或缩放因子，如本文所公开的。加权还可包括应用于网络-物理状态置信度参数(ci)的置信度权重因子(wc)，这可包括和/或对应于与cpce 105相对应的网络-物理状态元数据111准确地表示cpce 105的网络-物理状态的置信度(例如，可包括和/或对应于网络-物理健康元数据180和/或cpsc度量575的置信度度量，如本文所公开的)。网络-物理状态置信度参数(c，)可与置信度和/或cpsc度量575成反比，使得具有较低置信度和/或cpsc度量575的cpce 105的覆盖优先于具有较高置信度和/或cpsc度量575的cpce 105。w
state_age
可为应用于网络-物理状态参数(state_agei)的加权和/或缩放因子，其可对应于cpce 105的网络-物理状态元数据111的寿命，使得具有较高状态寿命参数的cpce 105相对于其它cpce 105被加权以供选择。在一些实施例中，获得cpce 105的误差度量175的时间可对应于从中获取相对应的网络-物理元数据111的时间，并且因而，cpce 105的网络-物理状态寿命参数(state_agei)可与cpce 105的误差寿命参数(err_agei)类似或相同，使得在加权时可以省略(或组合)该参数中的一个或多个。因此，覆盖方案511可定义选择和/或加权标准，通过该选择和/或加权标准可选择控制系统101的区域用于由相应状态密钥160和/或从中获取的网络-物理状态元数据111覆盖。
[0272]
在一些实施例中，覆盖方案511可定义一个或多个“快照”方案。如本文所使用的，“快照”覆盖方案(快照方案)是指其中一组状态密钥160被配置用于基本上同时地通过控制系统101的目标区域进行通信的覆盖方案。目标区域可包括和/或对应于控制系统101的多个cpce 105。在一些实施例中，目标区域可覆盖控制系统101(例如，可包括控制系统101的基本上所有的网络-物理组件102、cpe 105、cpe路径108和/或ppv 155)。实施覆盖目标区域的快照方案可包括配置一组状态密钥160以覆盖目标区域(例如，配置一组状态密钥160使得目标区域由相应状态密钥160覆盖的区域的并集覆盖和/或包含在该并集内)。
[0273]“基本上同时”通信一组状态密钥160可包括基本上在同一时间、基本上同时、并行、在单独线程上等地通信该组状态密钥160。基本上同时通信一组状态密钥160可包括独
立于获取与其相对应的验证密钥170而发送状态密钥160(例如，可包括在获取与该组状态密钥160中的任一个相对应的验证密钥170之前发送该组密钥中的多个状态密钥160)。基本上同时通信该组状态密钥160可包括基本上在同一时间、基本上同时、并行地、在单独线程上等地通信该组密钥中的相应状态密钥160的片段161a-n。替代地或另外，基本上同时通信该组状态密钥160可包括该组密钥中的相应状态密钥160的片段161a-n的交错通信。基本上同时通信该组状态密钥160可包括独立于获取与其相对应的验证数据171a-n而通信状态密钥160的片段161a-n(例如，可包括在获取与该组密钥中的状态密钥160中的任一个的片段161a-n中的任一个相对应的验证数据171a-n之前发送该组密钥中的多个状态密钥160的多个片段161a-n)。
[0274]
实施快照方案还可包括结合该组状态密钥160的基本上同时通信来获取覆盖目标区域的网络-物理状态元数据1211。实施快照方案可包括获取网络-物理状态元数据1211，其被配置为表征目标区域在获取时间α处的信息和/或物理状态，该获取时间α对应于该组状态密钥160的同时发送。获取引擎1206可被配置为获取多个cps数据集1209，每个cps数据集1209包括被配置为表征目标区域的相应部分的网络和/或物理状态的网络-物理状态数据1207。实施快照方案可包括基本上同时(例如，基本上在同一时间、同时、并行地、交错等)请求、监视、捕获、检测、生成和/或以其它方式获取多个cps数据集1209。在一些实施例中，实施快照方案可包括将cps数据集1209与获取时间α相关联、将cps数据集1209同步到获取时间α、根据获取时间α修改cps数据集1209中的一个或多个的网络-物理状态信息，从其中导出所获取的网络-物理状态元数据1211等，如本文所公开的。实施快照方案还可包括状态引擎1290根据该组对应的状态密钥160的误差度量127和/或cpsc度量575导入所获取的网络-物理状态元数据1211，如本文所公开的。
[0275]
由状态引擎1290维护的网络-物理状态元数据111可包括、定义和/或表征控制系统101的网络-物理状态1201，包括控制系统101(和/或其相应区域)的网络状态1202和物理状态1204。网络状态1202可包括和/或表征为网络状态元数据220、网络状态参数222、网络状态签名228、所获取的网络状态元数据1220、所获取的网络状态参数1222、所获取的网络状态签名1228等。物理状态1204可包括和/或表征为物理状态元数据240、物理状态参数242、物理状态签名248、所获取的物理状态元数据1240、所获取的物理状态参数1242、所获取的物理状态签名1248等。
[0276]
安全引擎1210可被配置为根据误差度量175、cpsc度量575和/或与状态密钥160的发送和/或网络-物理状态元数据111的获取有关的其它信息来确定控制系统101(和/或其相应区域)的网络-物理健康元数据180，如本文所公开的。在图12a的实施例中，安全引擎1210还可被配置为基于控制系统101的确定的网络-物理状态1201来确定网络-物理健康元数据180。安全引擎1210可包括被配置为确定网络状态度量553的网络状态评估器1252，该网络状态度量可被配置为量化控制系统101(和/或其相应区域)的网络状态1202的健康，如本文所公开的。安全引擎1210还可包括被配置为确定物理状态度量555的物理状态评估器1254，该物理状态度量可被配置为量化控制系统101(和/或其相应区域)的物理状态1204的健康，如本文所公开的。确定网络状态度量553可包括网络状态评估器1252将一个或多个cser应用于控制系统101的网络状态特征，如本文所公开的，该网络状态特性包括和/或对应于以下一个或多个：控制系统101的1202、网络状态元数据220、所获取的网络状态元数据
1220、其部分等。确定物理状态度量555可包括物理状态评估器1254将一个或多个pser应用于控制系统101的物理状态特征，如本文所公开的，该物理状态特性包括和/或对应于以下一个或多个：控制系统101的1204、物理状态元数据240、所获取的物理状态元数据1240、其部分等。
[0277]
在一些实施例中，确定网络状态度量553可包括网络状态评估器1252将控制系统101(和/或其相应区域)的所获取的网络状态1202与一个或多个csb 552进行比较，如本文所公开的。csb 552可包括网络基线特性，如本文所公开的，该网络基线特性可被配置为表征相应的网络状态1202、网络行为和/或网络状态元数据220/1220。相应csb 552的特征可对应于控制系统101(和/或其相应区域)的网络状态1202的相应特性，诸如网络状态元数据220、网络状态参数222、网络状态签名228、所获取的网络状态元数据1220、所获取的网络状态参数1222、所获取的网络状态签名1228、其部分等。可从网络状态信息(例如，所获取的网络-物理状态数据1205、所获取的网络状态元数据1220、网络状态元数据220、维持在历史数据存储设备1219中的网络状态元数据20、训练数据等)中提取、确定和/或学习相应csb 552的特征。确定网络状态度量553可包括确定相应csb 552的csb误差度量，其可量化控制系统101的网络状态1202对应于相应csb 552(包括健康的csb 552和不健康的csb 552)的程度。该比较还可包括标识一个或多个接近csb 552，其可包括最接近地对应于控制系统101的当前网络状态1202的csb 552，如本文所公开的。
[0278]
在一些实施例中，确定物理状态度量555可包括物理状态评估器1252将控制系统101(和/或其相应区域)的所获取的物理状态1204与一个或多个psb 554进行比较，如本文所公开的。psb 554可包括物理基线特性，如本文所公开的，该物理基线特性可被配置为表征相应的物理状态1204、物理行为和/或物理状态元数据240/1240。相应psb 554的特征可对应于控制系统101(和/或其相应区域)的物理状态1204的相应特性，诸如物理状态元数据240、物理状态参数242、物理状态签名248、所获取的物理状态元数据1240、所获取的物理状态参数1242、所获取的物理状态签名1248、其部分等。可从物理状态信息(例如，所获取的物理状态数据1205、所获取的物理状态元数据1240、物理状态元数据240、维持在历史数据存储设备1219中的物理状态元数据20、训练数据等)中提取、确定和/或学习相应psb 554的特征。确定物理状态度量555可包括确定相应psb 554的psb误差度量，其可量化控制系统101的物理状态1204对应于相应psb 554(包括健康的psb 554和不健康的psb 554)的程度。该比较还可包括标识一个或多个接近psb 554，其可包括最接近地对应于控制系统101的当前物理状态1204的psb 554，如本文所公开的。
[0279]
安全引擎1210还可被配置为将网络状态度量553结合到网络健康元数据182中，如本文所公开的。安全引擎1210可被配置为确定控制系统101(和/或其相应区域)的网络健康度量282，其可包括和/或对应于误差度量175和/或cpsc度量575，如本文所公开的。安全引擎1210还可被配置为将网络状态度量553结合到网络健康度量282中，如本文所公开的。在一些实施例中，网络健康度量282尤其可基于对一个或多个cser的评估、相应csb 552的csb误差度量(例如，健康和/或不健康的csb 552)等，如本文所公开的。网络健康度量282可被配置为量化控制系统101(和/或其相应区域)的所获取的网络状态1202对应于健康和/或不健康的csb 552的程度，标识接近的csb 552等。
[0280]
安全引擎1210还可被配置为将物理状态度量555结合到物理健康元数据184中，如
本文所公开的。安全引擎1210可被配置为确定控制系统101(和/或其相应区域)的物理健康度量284，其可包括和/或对应于误差度量175和/或cpsc度量575，如本文所公开的。安全引擎1210还可被配置为将物理状态度量555结合到物理健康度量284中，如本文所公开的。在一些实施例中，物理健康度量284尤其可基于对一个或多个pser的评估、相应psb 554的psb误差度量(例如，健康和/或不健康的psb 554)等，如本文所公开的。物理健康度量284可被配置为量化控制系统101(和/或其相应区域)的所获取的物理状态1202对应于健康和/或不健康的psb 554的程度，标识接近的psb 554等。
[0281]
安全引擎1210可被配置为根据所确定的网络-物理状态元数据180、网络健康元数据182、网络健康度量282、物理健康元数据184和/或物理健康度量284来实施一个或多个缓解操作，如本文所公开的。安全引擎1210可被配置为响应于网络状态度量553和/或物理状态度量555而实施缓解操作，该度量指示一个或多个cser和/或pser的故障，如本文所公开的。替代地或另外，安全引擎1210可被配置为响应于网络状态度量553和/或物理状态度量555而实施缓解操作，该度量指示控制系统101的网络状态1202和/或物理状态1204接近不健康的csb 552和/或psb 554。安全引擎1210可被配置为根据所标识的cser/pser故障、接近不健康的csb 552和/或psb 554等来实施缓解操作。如上文所公开的，网络状态度量553可标识cser失败和/或指示所获取的网络状态1202接近不健康的csb 552(和/或在其接近阈值内)。cser失败和/或接近不健康csb 552可指示特定类型的网络攻击、针对特定网络组件120的网络攻击、特定网络组件120(例如，一个或多个网络节点124)受损等。安全引擎1210可实施对应的缓解操作，这可包括以下操作：生成与发生故障的cser相对应的通知、生成指示不健康csb 552的通知、缓解与故障的cser和/或不健康csb 552相关联的网络攻击和/或网络攻击向量，该缓解可包括实施以下操作：缓解针对所标识的网络组件120的网络攻击(例如，停用所标识的网络组件120)、缓解所标识的网络组件120的受损(例如，过滤由所标识的网络组件120注入的对抗性消息)，关闭所标识的网络攻击向量(例如，关闭一个或多个网关和/或外部通道)等。
[0282]
安全引擎1210还可被配置为响应于一个或多个pser的故障和/或确定所获取的物理状态1204接近不健康的psb 554而实施缓解操作。如上文所公开的，pser故障和/或接近不健康psb 554可指示特定类型的物理和/或组件攻击、物理攻击向量、物理故障模式等。安全引擎1210可实施对应的缓解操作，其可包括以下操作：生成指示故障pser的通知、生成指示不健康psb 554的通知、缓解与故障pser和/或不健康psb 554相关联的攻击和/或故障模式等。缓解操作可包括以下操作：缓解针对所标识的计算组件130的攻击(例如，重置指定的计算组件130、修改由此实施的控制功能等)、缓解针对所标识的物理组件140的攻击(例如，忽略由所标识的传感器设备144获取的传感器数据和/或停用所标识的致动器设备146)、停用以所标识的故障模式下操作的物理组件140和/或ppv 155等。
[0283]
图12b是如本文所公开的包括rs代理110的网络-物理系统100的另一个实施例的示意性框图。rs代理110可被配置为通过控制系统101的选定区域通信状态密钥160，并且确定状态密钥160的误差度量175，如本文所公开的。rs代理110还可被配置为获取控制系统101(和/或其相应区域)的网络-物理状态1201，这可包括结合相应状态密钥160(和/或其片段161)的通信来获取网络-物理状态元数据1211，确定cpsc度量575，量化所获取的网络-物理状态元数据1211的准确性的置信度，和/或根据所确定的cpsc度量575结合所获取的网
络-物理状态元数据1211。rs代理110可包括网络状态评估器1252，其可被配置为根据所获取的网络状态1202尤其确定控制系统101(和/或其相应区域)的网络状态度量553，如本文所公开的。rs代理110还可包括物理状态评估器1254，其可被配置为根据所获取的物理状态1204尤其确定控制系统101(和/或其相应区域)的物理状态度量555，如本文所公开的。
[0284]
如上文所公开的，获取网络-物理状态元数据1211可包括获取网络-物理状态数据1207，其被配置为包括、定义和/或表征控制系统101(和/或其相应区域)在指定的获取时间α处的网络-物理状态1201。由rs代理110维护的对应网络-物理状态元数据111可对应于指定获取时间α之前的时间(例如，可对应于前一获取时间α-1或α-δα，其中1和/或δα表示指定获取时间α与最后获取网络-物理状态元数据111的时间之间的时间(其可对应于获取频率和/或周期)，如本文所公开的)。在一些实施例中，状态引擎1290可被配置为结合所获取的网络-物理状态元数据1211，这可包括导入网络-物理状态元数据111、丢弃由此替换的网络-物理状态元数据111和/或将丢弃的网络-物理状态元数据111丢弃到历史数据存储设备1219中，如本文所公开的。响应于结合所获取的网络-物理状态元数据1211，更新后的网络-物理状态元数据111可表征控制系统101(和/或其相应区域)在指定获取时间α处的网络状态1202和/或物理状态1204。
[0285]
在图12b的实施例中，状态引擎1290还可被配置为维护与多个和/或一定范围的获取时间α相对应的网络-物理状态元数据111。状态引擎1290可被配置为保留与当前获取时间α和一个或多个先前获取时间α-1、α-2(以此类推)相对应的网络-物理状态元数据111。在一些实施例中，状态引擎1290被配置为维护与控制系统101(和/或其相应区域)的网络-物理状态1201的滑动窗口相对应的网络-物理状态元数据111，该网络-物理状态包括但不限于：与当前获取时间α相对应的网络-物理状态1201a、与先前获取时间α-1相对应的网络-物理状态1201b(以此类推)，包括与获取时间α-n相对应的网络-物理状态1201n。维护网络-物理状态元数据可包括：获取在指定获取时间α处的网络-物理状态元数据1211、导入所获取的网络-物理状态元数据1211、将指定获取时间α指定为网络-物理状态元数据111的当前获取时间α、保留与获取时间α至α-n相对应的网络-物理状态元数据111，以及丢弃与α至α-n之外的获取时间相对应的网络-物理状态元数据111。该保留可包括维护网络-物理状态元数据111的多个版本，每个版本与α和α-n之间的相应获取时间相关联(例如，保留网络状态元数据220、网络状态参数222、网络状态签名228、物理状态元数据240、物理状态参数242和/或具有在α与α-n之间的获取时间的物理状态签名248)。该丢弃可包括标识具有α至α-n之外的获取时间的网络-物理状态元数据111、去除所标识的网络-物理状态元数据111，和/或将所标识的网络-物理状态元数据111移动到数据存储设备(例如，历史数据存储设备1219，如上文所公开的)。由rs代理110维护的网络-物理状态元数据111可包括、定义和/或表征控制系统101(和/或其相应区域)在相应获取时间α至α-n处的网络-物理状态1201，其可分别对应于网络-物理状态1201a-n。
[0286]
如上文所公开的，网络状态评估器1252可被配置为确定控制系统101(和/或其相应区域)的网络状态度量553，其可尤其包括评估一个或多个cser，如本文所公开的。替代地或另外，确定网络状态度量553可包括将网络状态1202a-n中的一个或多个(例如，当前的网络状态1202a)与相应的csb 552进行比较，如本文所公开的。物理状态评估器1254可被配置为确定控制系统101(和/或其相应区域)的物理状态度量555，其可尤其包括评估一个或多
个pser，如本文所公开的。替代地或另外，确定物理状态度量555可包括将物理状态1204a-n中的一个或多个(例如，当前的物理状态1204a)与相应的psb 554进行比较，如本文所公开的。
[0287]
在图12b的实施例中，确定网络状态度量553可包括评估与网络状态1202a-n的滑动窗口相对应的cser。作为非限制性示例，cser可要求一个或多个网络节点124的均值消息大小特性保持低于指定阈值。评估cser可包括确定网络节点124在相应获取时间α-n至α(在如在网络状态元数据111中维护的网络状态1202n-a处)的均值消息大小特性。评估cser可包括确定均值消息大小是否在整个滑动窗口(从α-n至α)中满足指定阈值。替代地或另外，评估cser可包括从α至α-n计算均值消息大小(例如，组合跨网络状态1202n-a的均值消息大小特性)，并且将计算的均值消息大小与指定阈值进行比较。作为另一非限制性示例，cser可与跨越一定范围的获取时间(例如，从α-n至α)的网络行为。cser可包括“未使用的连接”规则，该规则可要求“未使用的连接”的数量低于阈值。评估“未使用的连接”cser规则可包括：标识针对在窗口中的较早获取时间(例如，在α-n处或附近)断开连接的请求，以及检测“未使用的”连接(例如，检测在大约获取时间α-n处断开且在获取时间α处保持未使用的连接)。如果未使用的连接的数量超过未使用的连接阈值，则cser的评估可能会失败。
[0288]
在图12b的实施例中，确定物理状态度量555可包括评估与物理状态1204a-n的滑动窗口相对应的pser。作为非限制性示例，pser可要求由一个或多个cpce 105控制的发生器在受到干扰后的阈值时间内保持同相和/或恢复同相操作。评估pser可包括确定物理状态元数据240是否指示发电机从α-n至α异相，并且如果是，则确定发电机保持异相的时间量。响应于确定发电机异相超过阈值重新同步时间，对pser的评估可能会失败。作为另一非限制性示例，pser可指示致动器146(保护继电器)响应于一个或多个传感器设备144检测到故障而断开支路断路器。评估pser可包括(基于一个或多个传感器设备144的物理状态元数据240)确定是否在α-n至α期间检测到故障，并且如果是，则确定致动器146是否响应于检测到误差而断开支路断路器。响应于确定致动器设备146未能断开支路断路器和/或未能在检测到故障之后的指定时间断开支路断路器，对pser的评估可能失败。作为另一非限制性示例，另一个pser可指定致动器146在故障状况清除之后的指定时间内闭合支路断路器。评估pser可包括(基于与物理状态1204n-a有关的物理状态元数据111)确定故障是否在α-n至α期间清除，并且如果是，则确定致动器146是否在该检测的指定时间内闭合分支断路器。尽管本文描述了与在多个获取时间α处的网络-物理状态1201a-n有关的cser和/或pser的特定示例，但是本公开在这方面不受限制并且可适于使用、定义和/或评估覆盖任何合适的时间段、窗口和/或时间范围的任何合适的网络和/或物理状态特性。
[0289]
在图12b的实施例中，网络状态评估器1252还可被配置为确定网络状态增量(cyδ)度量1263。确定cyδ度量1263可包括将对控制系统101(和/或其相应区域)的网络状态1202的变化量化为获取时间的函数。确定cyδ度量1263可包括将网络状态信息与网络状态1202a-n的滑动窗口相关联，这可提供对导致控制系统101的网络状态1202和/或物理状态1204的时延和/或逐渐变化的网络攻击的检测。cyδ度量1263可使得安全引擎1210能够在控制系统101的网络状态1202表现出其特性之前(例如，在网络状态1202从健康csb 552转变为不健康csb 552之前)检测和/或缓解网络-物理攻击。物理状态评估器1254还可被配置为确定物理状态δ(phyδ)度量1265。确定phyδ度量1265可包括将对控制系统101(和/或
其相应区域)的物理状态1204的变化量化为获取时间的函数。确定phyδ度量1265可包括将物理状态信息与网络状态1204a-n的滑动窗口相关联，这可提供对导致控制系统101的网络状态1202和/或物理状态1204的时延和/或逐渐变化的网络-物理攻击和/或故障模式的检测。phyδ度量1265可使得安全引擎1210能够在控制系统101的物理状态1204表现出其特性之前(例如，在物理状态1204从健康csb 554转变为不健康csb 554之前)检测和/或缓解网络-物理攻击和/或故障模式。
[0290]
确定cyδ度量1263可包括网络状态评估器1252确定相应网络状态1202a-n之间的差异，以及量化相应网络状态1202a-n在一个或多个cser的评估方面的趋势的程度。确定cyδ度量1263可包括确定关于cser评估分数的趋势(例如，cser分数是否趋向于朝向cser失败)。替代地或另外，确定cyδ度量1263可包括确定cser失败的趋势(例如，从获取时间α-n至α的cser失败的次数)。在一些实施例中，确定cyδ度量1263可包括确定所获取的网络状态1202a-n是否趋向于不健康csb 552和远离健康csb 552(反之亦然)。
[0291]
确定phyδ度量1265可包括物理状态评估器1254确定相应物理状态1204a-n之间的差异，以及量化相应物理状态1204a-n在一个或多个pser的评估方面的趋势的程度。确定phyδ度量1265可包括确定关于pser评估分数的趋势(例如，pser分数是否趋向于朝向pser失败)。替代地或另外，确定phyδ度量1265可包括确定pser失败的趋势(例如，从获取时间α-n至α的pser失败的次数)。在一些实施例中，确定phyδ度量1265可包括评估相应物理状态1204a-n之间的差异，以及量化所获取的物理状态1204a-n趋向于不健康psb 554和远离健康psb 554的程度(反之亦然)。
[0292]
在一些实施例中，确定cyδ度量1263可包括估计控制系统101的网络状态1202和/或其相应区域的轨迹(例如，估计)。轨迹估计尤其可基于网络状态1202a-n的滑动窗口。估计轨迹可包括对网络状态1202a-n的变化进行建模(例如，对网络状态1202从获取时间α-n至当前获取时间α的变化进行建模)。确定cyδ度量1263还可包括根据估计的轨迹来预测控制系统101(和/或其相应区域)的网络状态1202(例如，预测时间α 1、α 2(以此类推)的网络状态1202)，和/或将预测的网络状态1202与一个或多个csb 552进行比较，如本文所公开的。因此，cyδ度量1263可指示在网络状态1202表现出指定csb 552的特性之前网络状态1202将对应于指定csb 552的可能性。cyδ度量1263可量化控制系统101(和/或其相应区域)的未来网络状态1202将对应于健康csb 552、不健康csb 552等的概率。确定cyδ度量1263可包括确定预测的接近csb 552(例如，预测接近控制系统101和/或其相应区域的未来网络状态1202的csb 552)。如本文所公开的，确定phyδ度量1265可包括估计物理状态1204的轨迹、预测物理状态1204和/或将预测的物理状态1204与一个或多个psb 554进行比较。
[0293]
在一些实施例中，确定cyδ度量1263可包括根据获取时间α估计网络状态1202的一个或多个特性的轨迹(该特性包括和/或对应于：网络状态元数据220、网络状态参数222、网络状态签名228、所获取的网络状态元数据1220、所获取的网络状态参数1222、所获取的网络状态签名1228、其部分等)。确定网络状态特性的轨迹可包括将相应获取时间处(在分
别与获取时间α至α-n相对应的网络状态1202n-a中)的特性值拟合到建模函数。确定网络状态特性的轨迹还可包括确定特性的预测值(例如，预测在未来获取时间α 1、α 2、...α n处的特性值)。如图12b所示，确定网络状态特性a的轨迹(cya)可包括将获取时间α-n至α处的cya的值拟合到建模函数(fc
cya
)。cya的预测值可通过使用拟合建模函数(fc
cya
)来确定。在图12b的实施例中，网络状态评估器1252被配置为确定cya在下一个获取时间α 1处的预测值。确定cya度量1263可包括将一个或多个网络状态特性的预测值与一个或多个csb 552的对应特征进行比较。在图12b的实施例中，该比较可包括将cya的预测值与阈值(t_c
cya
)进行比较，这可区分“健康”网络状态1202与“不健康”网络状态1202(例如“健康”网络状态1202可对应于cya低于t_c
cya
的网络状态1202，而“不健康的”网络状态1202可对应于其中cya超过t_ccya的网络状态1202)。因此，由网络状态评估器1252产生所得网络状态度量1263可被配置为指示网络状态1202正在转变为“不健康”网络状态1202(例如，不健康csb 552)。因此，确定cyδ度量1263可包括确定预测的接近csb 552，如上文所公开的。如本文所公开的，确定phyδ度量1265可包括估计物理状态1202的一个或多个特性的轨迹、预测物理状态特性和/或将预测的物理状态特性与一个或多个psb 554进行比较。尽管本文描述了用于估计网络状态1202和/或物理状态1204(和/或其特性)的轨迹和/或确定预测状态和/或状态特性的特定技术，但是本公开在这方面不受限制并且可适于使用任何合适的估计和/或预测手段(例如，插值、线性拟合、曲线拟合、指数拟合、多项式拟合、savitsky-golay多项式估计等)。
[0294]
安全引擎1210可被配置为确定控制系统101(和/或其相应区域)的网络-物理健康元数据180，这可包括确定网络健康元数据182和物理健康元数据184。安全引擎1210可被配置为确定网络健康度量282，其可尤其基于误差度量175、cpsc度量575和网络状态度量553，如本文所公开的。在图12b的实施例中，确定网络健康度量282还可包括结合由网络状态评估器1252确定的cyδ度量1263，如本文所公开的。网络健康度量282因此可被配置为将网络状态信息与网络状态1202a-n的滑动窗口相关，这可提供对导致控制系统101的网络状态1202和/或物理状态1204的时延和/或逐渐变化的网络攻击的检测。结合cyδ度量1263可包括关于对一个或多个cser的评估(例如网络状态1202是否趋向于朝向增加cser失败)监视控制系统101(和/或其相应区域)的网络状态1202n-a。结合cyδ度量1263可包括量化控制系统101(和/或其相应区域)的网络状态1202趋向于远离健康csb 552、趋向于朝向不健康csb 552等的程度。替代地或另外，结合cyδ度量1263可包括量化相应网络状态特性趋向远离健康csb 552的特性、趋向于朝向不健康csb 552的特性等的程度。在一些实施例中，结合cyδ度量1263可包括标识预测的接近csb 552，其可包括控制系统101(和/或其相应区域)的网络状态1202被预测收敛到的csb 552。
[0295]
安全引擎1210还可被配置为确定物理健康度量284，其可尤其基于误差度量175、cpsc度量575和物理状态度量555，如本文所公开的。在图12b的实施例中，确定物理健康度量284还可包括结合由物理状态评估器1254确定的phyδ度量1265，如本文所公开的。物理健康度量284因此可被配置为将物理状态信息与物理状态1204a-n的滑动窗口相关，这可提供对导致控制系统101的网络状态1202和/或物理状态1204的时延和/或逐渐变化的组件攻击、物理攻击向量和/或故障模式的检测。结合phyδ度量1265可包括关于对一个或多个pser的评估(例如物理状态1204是否趋向于朝向增加pser失败)监视控制系统101(和/或其
相应区域)的物理状态1204n-a。结合phyδ度量1265可包括量化控制系统101(和/或其相应区域)的物理状态1204趋向于远离健康psb 554、趋向于朝向不健康psb 554等的程度。替代地或另外，结合phyδ度量1265可包括量化相应物理状态特性趋向于远离健康psb 554的特性、趋向于朝向不健康psb 554的特性等的程度。在一些实施例中，结合phyδ度量1265可包括标识预测的接近psb 554，其可包括控制系统101(和/或其相应区域)的物理状态1204被预测收敛到的psb 554。
[0296]
如本文所公开的，安全引擎1210可被配置为根据所确定的网络-物理状态元数据180来实施缓解操作。安全引擎1210还可被配置为根据网络状态度量553和/或物理状态度量555和/或对应的网络健康度量282和/或物理健康度量284来实施缓解操作。在图12b的实施例中，安全引擎1210还可被配置为响应于cyδ度量1263和/或phyδ度量1265指示控制系统101的网络和/或物理健康正在劣化(例如，趋向于朝向不健康的csb 552和/或psb 554)而实施缓解操作。安全引擎1210可被配置为响应于以下一项或多项而确定控制系统101(和/或其区域)的网络状态1202趋向于朝向不健康csb 552：预测的网络状态1202与健康csb 552之间的csb误差度量未能满足一个或多个健康状况误差阈值、预测的网络状态1202之间的csb误差度量、预测的接近csb 552未能包括健康csb 552、预测的网络状态1202与不健康csb 552之间的csb误差度量未能满足一个或多个不健康误差阈值、预测的接近csb 552包括不健康csb 552等。安全引擎1210还可被配置为确定控制系统101的物理状态1202正在劣化和/或趋向于朝向不健康psb 554，如上面所公开的(例如，尤其基于预测的物理状态1204与健康和/或不健康psb 552、预测的接近psb 554等之间的psb误差度量等)。
[0297]
如上文所公开的，安全引擎1210可被配置为根据所标识的接近的csb 552和/或psb 554来实施缓解操作。在图12b的实施例中，安全引擎1210还可被配置为根据预测的接近csb 552和/或psb 554来实施缓解操作。如上文所公开的，cyδ度量1263可指示控制系统101(和/或其区域)的网络状态1202预测在未来获取时间(例如，在获取时间α p，其中p是预测时间)收敛到不健康csb 552。作为响应，安全引擎1210可根据预测的不健康csb 552来实施缓解操作，如上所公开的(可实施与响应于确定网络状态1202对应于不健康csb 552而实施的缓解操作相对应的缓解操作)。安全引擎1210可根据预测和/或对预测的接近度的置信度来调适缓解操作。安全引擎1210可被配置为与对应的cpsc度量575成比例和/或与接近度成反比地增加缓解操作的优先级(和/或对应通知的警告级别)。安全引擎1210还可被配置为根据预测的不健康psb 554来实施缓解操作，如上文所公开的。
[0298]
图13a是如本文所公开的rs代理110的另一个实施例的示意性框图。在图13a的实施例中，rs代理110可包括安全引擎1210、密钥生成器1212、通信管理器1216、误差监视器1218和/或获取引擎1206，如本文所公开的。rs代理110还可包括状态引擎1290，其可被配置为维护网络-物理状态元数据111，该网络-物理状态元数据被配置为表征控制系统101(和/或其相应区域)的网络-物理状态1201，如本文所公开的。在图13a的实施例中，状态引擎1290还可被配置为确定控制系统101(和/或其相应区域)的估计的网络-物理状态元数据1311，这可包括尤其基于由rs代理110维护的现有网络-物理状态元数据111(和/或现有网络-物理状态1201)来确定控制系统101的估计的网络-物理状态1301。状态引擎1290还可被配置为确定状态估计度量1375，其可被配置为量化所获取的网络-物理状态元数据1211与对应的估计的网络-物理状态元数据1311之间的误差、差异和/或距离。
[0299]
如上文所公开的，获取引擎1206可被配置为获取网络-物理状态元数据1211，其可被配置为表征控制系统101(和/或其选择的区域)在指定获取时间α处的网络-物理状态1201。状态引擎1290可被配置为结合所获取的网络-物理状态元数据1211，其可包括结合到现有的网络-物理状态元数据111中，该网络-物理状态元数据被配置为表征控制系统101(和/或其相应区域)在指定获取时间α之前(例如，在获取时间α-p处，其中p是自从上次获取网络-物理状态元数据111以来的时间)的网络-物理状态1201。在图13a的实施例中，状态引擎1290还可被配置为确定与所获取的网络-物理状态元数据1211相对应的估计的网络-物理状态元数据1311，这包括尤其基于与先前获取时间α-p相对应的网络-物理状态元数据111确定在获取时间α处的网络-物理状态估计值1301。确定网络-物理状态估计1301可包括尤其基于与先前获取时间α-p相对应的现有网络-物理状态元数据111来确定估计网络-物理状态元数据1311。确定网络-物理状态估计1301可包括确定网络状态估计值1302(和/或估计的网络状态元数据1320)、确定物理状态估计值1304(和/或估计的物理状态元数据1340)等。确定估计的网络-物理状态元数据1311可包括预测从所获取的网络-物理状态元数据1211的获取时间α-p至获取时间α的现有网络-物理状态元数据111。因此，估计的网络-物理状态元数据1311和所获取的网络-物理状态元数据1211可对应于相同(和/或基本上类似)的获取时间α。状态估计器1290还可被配置为尤其通过将所获取的网络-物理状态元数据1211与估计的网络-物理状态元数据1311进行比较来确定用于所获取的网络-物理状态元数据1211的状态估计度量1375。状态估计量度1375可包括网络状态估计量度1376，其可被配置为量化所获取的网络状态元数据1220与估计的网络状态元数据1320之间的误差、差异和/或距离。状态估计量度1375还可包括物理状态估计量度1378，其被配置为量化所获取的物理状态元数据1240与估计的物理状态元数据1340之间的误差、差异和/或距离。
[0300]
状态引擎1290可使用任何合适的状态估计和/或观察技术来确定与所获取的网络-物理状态元数据1211相对应的网络-物理状态估计值1301。在一些实施例中，状态引擎1290被配置为通过使用控制系统101的过程模型1315(和/或与相应cpce 105相对应的过程模型1315)来确定网络-物理状态估计值1301。过程模型1315可包括用于对网络-物理状态估计值1301进行建模和/或确定的任何合适的部件。在一个实施例中，过程模型1315可如下包括和/或对应于控制系统101(和/或其相应的cpce 105)的线性时变(ltv)模型：
[0301]
cps
α
＝a
α-p
cps
α-p
b
α-puα-p
n
α-pwα-p
[0302]yα-p
＝c
α-p
cps
α-p
d
α-p-u
α-p
v
α-p
[0303]
在上面的表达式中，cps
α
可包括控制系统101在获取时间α(与所获取的网络-物理状态元数据1211相对应的获取时间α，如本文所公开的)的估计网络-物理状态1301，其可基于cps
α-p
，可配置为对控制系统101在较早获取时间(例如，由rs代理110维护的现有网络-物理状态元数据111的获取时间α-p)的网络-物理状态1201进行建模；u
α-p
、w
α-p
、v
α-p
和y
α-p
可配置为分别对控制系统101在获取时间α-p处的控制输入、过程噪声、测量噪声和输出状态进行建模。参数a
α-p
、-n
α-p
可包括加权和/或缩放因子。如本文所公开的，过程和/或测量噪声(w
α-p
和/或v
α-p
)可对应于误差度量175和/或cpsc度量575(和/或对应的网络-物理健康元数据180)。
[0304]
在一些实施例中，状态引擎1290可被配置为确定用于所获取的网络-物理状态元数据1211的状态估计度量1375。确定被配置为表征选定cpce 105在指定的获取时间α处的
网络-物理状态的所获取的网络-物理状态元数据1211的状态估计度量1375可包括：基于选定cpce 105在先前获取时间(例如，获取时间α-p)处的网络-物理状态1201来确定cpce 105的网络-物理状态估计值1301，以及将网络-物理状态估计值1301与所获取的网络-物理状态元数据1211进行比较。确定网络-物理状态估计值1301可包括：标识与选定cpce 105有关的网络-物理状态元数据111，确定所标识的网络-物理状态元数据111相对于指定获取时间α的获取时间(例如，确定现有网络-物理状态元数据111的先前获取时间α-p)，以及基于所标识的网络-物理状态元数据111、所确定的获取时间α-p和选定cpce 105的过程模型1315来确定估计的网络-物理状态元数据1311。确定估计的网络-物理状态元数据1311可包括预测从从先前的获取时间α-p至指定的获取时间α的现有网络-物理状态元数据111。确定估计的网络-物理状态元数据1311可包括使用过程模型1315根据现有网络状态元数据220确定估计的网络状态元数据1320，根据现有物理状态元数据240确定估计的物理状态元数据1340等。
[0305]
状态估计量度1375可被配置为量化所获取的网络-物理状态元数据1211与估计的网络-物理状态元数据1311不同的程度。确定所获取的网络-物理状态元数据1211的状态估计度量1375可包括将所获取的网络-物理状态元数据1211与对应的估计的网络-物理状态元数据1311进行比较。状态估计量度1375可包括网络估计量度1376和物理估计量度1378。网络状态误差度量1376可量化所获取的网络状态元数据1220(例如，所获取的网络状态参数和/或签名1222/1228)与对应的估计的网络状态元数据1320之间的差异。物理状态误差度量1378可量化所获取的物理状态元数据1240(例如，所获取的物理状态参数和/或签名1242/1248)与对应的估计的物理状态元数据1340之间的差异。
[0306]
状态引擎1290还可被配置为将所确定的状态估计度量1375结合到网络-物理健康元数据180中。状态引擎1290可被配置为将状态误差参数181结合到网络健康元数据182和/或物理健康元数据184中，这可量化相应获取的网络-物理元数据1211偏离对应的估计网络-物理状态元数据1311的程度。状态引擎1290可被配置为将网络估计度量1376结合到对应的网络健康元数据182中并且将物理估计度量1378结合到对应的物理健康元数据184中。安全引擎1210可被配置为基于结合的状态估计度量1375确定与控制系统101的相应区域有关的复合网络-物理健康度量。安全引擎1210可被配置为确定网络健康度量282，其可尤其基于误差度量175、cpsc度量575和/或网络估计度量1376，如本文所公开的。安全引擎1210可被配置为确定物理健康度量284，其可尤其基于误差度量175、cpsc度量575和/或物理估计度量1378，如本文所公开的。
[0307]
安全引擎1210可被配置为根据所确定的网络健康度量282和/或物理健康度量284来实施缓解操作。安全引擎1210可被配置为响应于误差度量175超过一个或多个误差阈值、cpsc度量575未能满足一个或多个置信阈值等等来实施缓解操作，如本文所公开的。安全引擎1210可被配置为(通过使用一个或多个网络和/或物理估计阈值等)检测高网络估计度量1376和/或物理估计度量1378。安全引擎1210可被配置为响应于高网络估计度量1376而实施缓解操作，这可指示所获取的网络状态元数据1211和对应的估计的网络-物理状态元数据1376之间的差异，这可能是由于网络攻击，和/或一个或多个网络组件120、cs网122、网络节点124受损等。响应于检测到高网络估计量度1376，安全引擎1210可被配置为调适后续状态密钥160的通信以尤其确定高网络估计量度1376的来源，如本文所公开的(例如，根据网
络隔离方案调适后续状态密钥160的通信)。安全引擎1210还可被配置为响应于网络估计度量1376而实施缓解操作，其可包括但不限于：生成与网络估计度量1376有关的通知(例如，标识高网络估计度量1376的潜在原因的通知)、停用、隔离和/或重置与高网络估计度量1376相关联的网络-物理组件102(例如，网络组件120、网络节点124、网络路径126等)等等。
[0308]
安全引擎1210还可被配置为响应于检测到高物理估计度量1378而实施缓解操作。响应于所获取的状态元数据1211覆盖具有高网络估计量度1378的指定cpce 105，安全引擎1210可被配置为调适后续状态密钥160的通信以尤其确定高物理估计量度1378的来源，如本文所公开的(例如，根据物理隔离方案调适后续状态密钥160的通信)。安全引擎1210还可被配置为响应于高物理估计度量1378而实施缓解操作，其可包括但不限于：生成与高物理估计度量1378有关的通知(例如，标识高物理估计量度1378的潜在原因的通知)、减慢cpce 105的控制功能、停止cpce 105的控制功能、修改cpce 105的控制功能(例如，实施cpce 105的“安全模式”)、将cpce 105与控制系统101的其它cpce 105隔离、将cpce 105的物理组件140与控制系统101的其它网络-物理组件102隔离等。
[0309]
图13b是如本文所公开的包括rs代理110的网络-物理系统100的另一个实施例的示意性框图。rs代理110可被配置为通过控制系统101的选定区域通信状态密钥160，并且确定状态密钥160的误差度量175，如本文所公开的。rs代理110还可被配置为获取控制系统101(和/或其相应区域)的网络-物理状态1201，这可包括结合相应状态密钥160(和/或其片段161)的通信来获取网络-物理状态元数据1211，确定cpsc度量575，量化所获取的网络-物理状态元数据1211的准确性的置信度，和/或根据所确定的cpsc度量575结合所获取的网络-物理状态元数据1211。rs代理110还可被配置为维护与一定范围的获取时间α相对应的网络-物理状态元数据111，其包括被配置为表征控制系统101(和/或其相应区域)的多个网络-物理状态1201a-n的网络-物理状态元数据111，每个网络-物理状态1201a-n对应于相应的获取时间α至α-n。
[0310]
在图13b的实施例中，状态引擎1290可被配置为确定与所获取的网络-物理状态元数据1211相对应的估计的网络-物理状态元数据1311，并且确定对应的状态估计度量1375，如本文所公开的。状态引擎1290还可被配置为确定网络状态预测、物理状态预测、网络特征预测、物理特征预测等，如本文所公开的。rs代理110可包括网络状态评估器1252，其可被配置为根据所获取的网络状态1202a-n和一个或多个csb 552(例如，通过使用由状态引擎1290确定的网络状态预测和/或网络特性预测)确定控制系统101(和/或其相应区域)的网络状态度量553和/或cyδ度量1263，如本文所公开的。rs代理110还可包括物理状态评估器1254，其可被配置为根据所获取的物理状态1204a-n和一个或多个psb 554(例如，通过使用由状态引擎1290确定的物理状态预测和/或物理特性预测)确定控制系统101(和/或其相应区域)的物理状态度量555和/或phyδ度量1265，如本文所公开的。
[0311]
安全引擎1210可被配置为确定控制系统101(和/或其相应区域)的网络-物理健康元数据180，这可包括确定网络健康元数据182和物理健康元数据184。安全引擎1210可被配置为确定网络健康度量282，其可尤其基于误差度量175、cpsc度量575、网络状态度量553、cyδ度量1263和/或网络估计度量1376，如本文所公开的。安全引擎1210可被配置为确定物理健康度量284，其可尤其基于误差度量175、cpsc度量575、物理状态度量555、phyδ度量1265和/或物理估计度量1378，如本文所公开的。
[0312]
安全引擎1210可被配置为根据所确定的网络健康度量282和/或物理健康度量284来实施缓解操作。安全引擎1210可被配置为响应于误差度量175超过一个或多个误差阈值、cpsc度量575未能满足一个或多个置信阈值等来实施缓解操作，如本文所公开的。安全引擎1210还可被配置为响应于：网络状态度量553、cyδ度量1263、物理状态度量555和/或phyδ度量1265而实施缓解操作，如本文所公开的。在图13b的实施例中，安全引擎1210还可被配置为基于网络估计度量1376和/或物理估计度量1378来实施缓解操作，如上文所公开的。
[0313]
图14a是如本文所公开的rs代理110的另一个实施例的示意性框图。rs代理110可包括安全引擎1210、密钥生成器1212、通信管理器1216、误差监视器1218、获取引擎1206和状态引擎1290，如本文所公开的。rs代理110可包括和/或通信地耦合到数据存储设备1401，该数据存储设备可包括网络-物理状态元数据111、安全策略211和/或覆盖模式511，如本文所公开的。在一些实施例中，数据存储设备1401可由rs代理110的存储资源204体现。替代地或另外，数据存储设备1401可包括控制系统101的一个或多个其它网络-物理组件102的存储资源。rs代理110可被配置为通信状态密钥160、获取网络-物理状态元数据1211、确定与相应状态密钥160相对应的误差度量175、确定与所获取的网络-物理状态元数据1211相对应的cpsc度量575、结合所获取的网络-物理状态元数据1211，和/或根据所确定的误差度量175、cpsc度量575等来确定网络-物理健康元数据180，如本文所公开的。
[0314]
在图14a的实施例中，安全引擎1210还可被配置为确定控制系统101(和/或其相应区域)的网络-物理状态误差度量1471，该网络-物理状态误差度量1471量化所获取的网络-物理状态1201与一个或多个网络-物理状态配置文件之间的误差、差异和/或距离。如本文所使用的，“网络-物理状态配置文件”是指网络状态分类特征和对应分类值的集合，其被配置为表征控制系统101的指定网络-物理分类和/或区分指定的网络-物理状态分类与其它网络-物理状态分类。网络状态配置文件1412可包括网络分类特征和/或分类值，其被配置为表征指定的网络状态分类1413。物理状态配置文件1414可包括物理分类特征和/或分类值，其被配置为表征指定的物理状态分类1415。如本文所使用的，网络状态分类1413是指控制系统101的网络状态1202的特定分类(和/或网络状态范围1202)，其指示特定网络状态类型、网络行为、网络操作等。如本文所使用的，物理状态分类1415是指控制系统101的物理状态1204(和/或物理状态范围1204)的特定分类，其指示特定物理状态类型、物理行为、物理操作等。
[0315]
数据存储设备1401还可包括分类模式1416，其可定义网络状态配置文件1412的网络分类特征1422(例如，网络状态配置文件1412的网络状态分类1413通过其表征和/或区分的网络分类特征1422)。网络分类特征1422可包括能够从控制系统101获取的网络-物理状态信息的子集(例如，可对应于网络-物理状态数据1207、cps数据集1209、rcps数据1217、所获取的网络-物理状态元数据1211、所获取的网络状态元数据1220、所获取的网络状态参数1222、所获取的网络状态签名1228、网络-物理状态元数据111、网络状态元数据220、网络状态参数222和/或网络状态签名228的子集，如本文所公开的)。网络分类特征1422可包括和/或对应于被确定为表征和/或区分网络状态配置文件1412的网络状态分类1413的网络状态特性，并且可排除被确定为无区别性的网络状态特性。
[0316]
在一些实施例中，网络分类特征1422可尤其由网络状态分类器1424来确定和/或学习。网络状态分类器1424可通过使用网络分类训练数据1402来学习网络分类特征1422。
网络分类训练数据1402可包括多个训练数据集1421a-n，每个训练数据集包括与指定的网络状态分类1413相对应的网络状态数据1432，该指定的网络状态分类可指示网络状态数据1432对应于：特定网络状态分类1413(例如，是特定网络状态分类1413的真阳性)，不对应于特定网络状态分类1413(例如，是真阴性)，对应于不同的网络状态分类1413，不对应于任何网络状态分类1413等。网络状态分类器1424可使用训练数据集1421来尤其学习和/或提取导致网络分类训练数据1402的准确分类的网络分类特征1422。网络状态分类器1424可使用训练数据集1421来尤其学习和/或提取网络分类特征1422，其能够表征与指定的网络状态分类1413相对应的网络分类训练数据1402和/或区分其与和其它网络状态分类1413相对应的网络分类训练数据1402。网络状态分类器1424可包括任何合适的分类部件，包括但不限于：自组织图(som)、人工神经网络(a-nn)、自动编码器、蒙特卡罗分类器等。训练数据集1421a-n可包括在控制系统101的操作期间(和/或在模拟操作期间)捕获的网络状态数据1432，并且因而可具有大维度(例如，可包括网络状态信息的全维度、元数据220、参数222和/或能够从网络-物理系统100获取的签名228)。网络状态分类器1424可被配置为降低网络分类训练数据1402的维数，这可包括确定与能够从控制系统101获取的网络状态信息的子集相对应的网络分类特征1422。网络状态分类器1424还可被配置为确定网络分类值1428，其可包括与网络状态分类特征1422相对应的值、权重和/或其它分类信息。网络分类值1428可包括和/或对应于控制系统101的所获取的网络状态1202的特性(网络状态特性)，诸如网络状态元数据220、网络状态参数222、网络状态签名228、其部分等。
[0317]
在一些实施例中，物理分类特征1442可尤其由物理状态分类器1444来确定和/或学习。物理状态分类器1444可通过使用物理分类训练数据1404来学习物理分类特征1444，如本文所公开的。物理分类训练数据1404可包括多个训练数据集1441a-n，每个训练数据集包括具有指定的物理状态分类1415的物理状态数据1434，如本文所公开的。物理状态分类器1444可使用训练数据集1441来尤其学习和/或提取导致物理分类训练数据1404的准确分类的物理分类特征1442。物理状态分类器1444可包括任何合适的分类部件，如本文所公开的。物理状态分类器1444可被配置为降低物理训练数据1404的维度，这可包括确定物理分类特征1442，该物理分类特征包括能够从控制系统101获取的物理状态信息的子集。物理状态分类器1444还可被配置为确定与物理状态分类参数1442相对应的物理分类值1448。物理分类值1448可包括与物理状态分类特征1442相对应的值、权重和/或其它分类信息。物理分类值1448可包括和/或对应于所获取的控制系统101的物理状态1204的特性(物理状态特性)，诸如物理状态元数据240、物理状态参数242、物理状态签名248、其部分等。
[0318]
在一些实施例中，rs代理110可包括多个网络状态配置文件1412a-n和/或物理状态配置文件1414a-n。rs代理110可包括被配置为表征控制系统101(和/或其相应区域)的“健康”网络状态的网络状态配置文件1412a、被配置为表征“不健康”网络状态的网络状态配置文件1412n等等。健康网络状态配置文件1412a可包括网络分类特征1422和/或对应的分类值1428，其被配置为表征控制系统101的“健康”网络状态1202，如本文所公开的(例如，与不同操作条件相对应的健康网络状态1202)。“不健康”网络状态配置文件1412n可包括网络分类特征1422和/或对应的分类值1428，其被配置为表征控制系统101的“不健康”网络状态1202，如本文所公开的(例如，与特定类型的网络攻击、特定网络组件120受损等相对应的网络状态1202)。健康和不健康网络状态配置文件1412a-n可通过使用对应的网络分类训练
数据1402来学习，如本文所公开的(例如，与各种健康和/或不健康网络状态1202和/或行为相对应的训练数据集1421)。
[0319]
rs代理110还可包括被配置为表征控制系统101(和/或其相应区域)的“健康”物理状态1204的物理状态配置文件1412a。健康物理状态配置文件1412a可包括物理分类特征1442和/或对应的分类值1448，其被配置为表征控制系统101的“健康”物理状态1204，如本文所公开的(例如，与不同操作条件相对应的健康物理状态1204)。“不健康”物理状态配置文件1414n可包括物理分类特征1442和/或对应的分类值1448，其被配置为表征控制系统101的“不健康”物理状态1204，如本文所公开的(例如，与特定类型的组件和/或物理攻击相对应的物理状态1204、物理攻击向量、特定计算组件130和/或物理组件140受损、物理故障模式等)。
[0320]
健康物理状态配置文件1412a可例如表征保护继电器组件在不同负载条件下(例如，当发电机和/或负载联机和/或脱机时)、在对干扰做出响应时(例如，当暂时异相时)、在故障条件期间等的行为。健康的物理状态配置文件1412a可包括物理状态信息，其指示对此类条件的健康或“标称”响应(例如，在指定时间内平衡发电/负载、稳定异相条件、响应于故障条件而断开断路器等等)。不健康的物理状态配置文件1414n可对应于针对特定计算组件130和/或物理组件140(和/或物理环境)的攻击、物理故障模式等期间的物理状态1204和/或行为。健康和不健康物理状态配置文件1414a-n可通过使用对应的物理分类训练数据1404来学习，如本文所公开的(例如，与各种健康和/或不健康物理状态1204和/或行为相对应的训练数据集1441)。
[0321]
rs代理110可被配置为尤其通过使用获取引擎1206来获取和/或维护网络-物理状态元数据111。如上文所公开的，获取引擎1206可被配置为获取与控制系统101的选定区域的网络和/或物理状态有关的网络-物理状态元数据1211，其可被结合到由rs代理110(连同对应的cpsc度量575)维护的网络-物理状态元数据111中。在图14a的实施例中，获取引擎1206可被配置为根据分类模式1416获取网络-物理状态元数据1211，其可对应于由此能够获取的网络-物理状态信息的子集(例如，控制系统101的网络和/或物理状态的降低维度表示，如本文所公开的)。获取引擎1206可被配置为获取网络-物理状态数据1207，其包括与分类模式1416的网络分类特征1422和/或物理分类特征1442有关的信息，并且排除其它网络和/或物理状态信息。因此，获取引擎1206可从控制系统101获取范围更有限的网络-物理状态信息，这可减少对其施加的开销。获取引擎1206还可被配置为根据分类模式1416获取网络-物理状态元数据1211，其包括所获取的网络状态元数据1220(例如，所获取的网络状态参数1222和/或网络状态签名1228)和/或所获取的物理状态元数据1240(例如，所获取的物理状态参数1222和/或物理状态签名1248)。安全引擎1210可被配置为确定与所获取的网络-物理状态元数据1211相对应的cpsc度量575，并且状态引擎1290可被配置为根据所确定的cpsc度量575将所获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中，如本文所公开的。
[0322]
在图14a的实施例中，安全引擎1210还可被配置为确定网络-物理状态误差度量1471，其可量化控制系统101(和/或其区域)的网络-物理状态1201(由rs代理110获取的)与相应的网络状态配置文件1412和/或物理状态配置文件1414不同的程度。安全引擎1210可被配置为确定一个或多个网络状态误差度量1472，其可量化控制系统101的所获取的网络
状态1202(例如，网络状态元数据220)与相应的网络状态配置文件1412之间的误差。确定网络状态配置文件1412的网络状态误差度量1472可包括将网络状态配置文件1412的网络分类值1428与网络状态1202的对应特性(例如，网络状态元数据220、一个或多个网络状态参数222、一个或多个网络状态签名228、所获取的网络状态元数据1220、一个或多个所获取的网络状态参数1222、一个或多个所获取的网络状态签名1228、其部分等)进行比较。网络状态配置文件1412的网络分类值1428可包括指定的网络状态信息的签名(如由网络分类特征1422指定的)。确定网络状态配置文件1412的网络状态误差度量1472可包括将签名与从网络状态1202导出的签名(例如，从由rs代理110维护的网络状态元数据220导出的签名)进行比较。
[0323]
在一些实施例中，安全引擎1210可被配置为确定多个网络状态误差度量1472a-n，其中每个网络状态误差度量可被配置为量化控制系统101(和/或其相应区域)的网络状态1202与相应的网络配置文件1412a-n之间的误差、差异和/或距离。安全引擎1210可被配置为确定网络状态误差度量1472a，其可量化网络状态1202与健康网络状态配置文件1412a之间的误差、差异和/或距离。安全引擎1210还可被配置为确定与其它网络状态配置文件1412相对应的网络状态误差度量1472，其包括可被配置为量化网络状态1202与不健康的网络状态配置文件1412n(例如，与特定类型的网络攻击、特定网络组件120受损等相对应的不健康的网络状态配置文件1412n)之间的误差、差异和/或距离的网络状态误差度量1472n。
[0324]
在一些实施例中，安全引擎1210可被配置为确定与控制系统101的相应区域(例如，相应cpce 105)有关的网络状态误差度量1472a-n，这可包括将覆盖相应区域的网络状态元数据220与相应网络状态配置文件1412(例如，健康的网络状态配置文件1412a、不健康的网络状态配置文件1412n等等)的对应网络分类值1428进行比较，如本文所公开的。网络误差度量1472a-n还可包括置信度度量，其可包括和/或对应于对应网络配置文件1412a-n的置信度度量和/或与从其中导出网络误差度量1472a-n的网络状态1202a-n相关联的cpsc度量575(例如，网络状态元数据220的cpsc度量575和/或相应网络状态1202a-n的所获取的物理状态元数据1220)。
[0325]
安全引擎1210可被配置为确定物理状态误差度量1474，其可量化控制系统101的所获取的物理状态1204与相应的物理状态配置文件1414之间的误差、差异和/或距离。确定物理状态配置文件1412的物理状态误差度量1474可包括将物理状态配置文件1412的物理分类值1448与物理状态1204的对应特性(例如，物理状态元数据240、一个或多个物理状态参数242、一个或多个物理状态签名248、所获取的物理状态元数据1240、一个或多个所获取的物理状态参数1242、一个或多个所获取的物理状态签名1248、其部分等)进行比较。物理状态配置文件1412的物理分类值1448可包括指定的物理状态信息的签名(如由物理分类特征1442指定的)。确定物理状态配置文件1412的物理状态误差度量1474可包括将签名与从物理状态1204导出的签名(例如，从由rs代理110维护的物理状态元数据240导出的签名)进行比较。
[0326]
在一些实施例中，安全引擎1210可被配置为确定多个物理状态误差度量1474a-n，其中每个物理状态误差度量可被配置为量化控制系统101(和/或其相应区域)的物理状态1204与相应的物理配置文件1414a-n之间的误差、差异和/或距离。安全引擎1210可被配置为确定物理状态误差度量1474a，其可量化物理状态1204与健康物理状态配置文件1414a之
间的误差、差异和/或距离。安全引擎1210还可被配置为确定与其它物理状态配置文件1414相对应的物理状态误差度量1474，其包括可被配置为量化物理状态1204与不健康的物理状态配置文件1414n(例如，与特定类型的组件攻击、物理攻击向量、特定物理组件130受损、故障模式等相对应的不健康的物理状态配置文件1414n)之间的误差、差异和/或距离的物理状态误差度量1474n。
[0327]
在一些实施例中，安全引擎1210可被配置为确定与控制系统101的相应区域(例如，相应cpce 105)有关的物理状态误差度量1474a-n，这可包括将覆盖相应区域的物理状态元数据240与相应物理状态配置文件1414(例如，健康的物理状态配置文件1414a、不健康的物理状态配置文件1414n等等)的对应物理分类值1428进行比较，如本文所公开的。物理误差度量1474a-n还可包括置信度度量，其可包括和/或对应于对应物理配置文件1414a-n的置信度度量和/或与从其中导出物理误差度量1474a-n的物理状态1204a-n相关联的cpsc度量575(例如，物理状态元数据240的cpsc度量575和/或相应物理状态1204a-n的所获取的物理状态元数据1240)。
[0328]
安全引擎1210还可被配置为确定控制系统101的网络-物理健康元数据180。安全引擎1210可通过使用网络健康度量282来确定控制系统101(和/或其相应区域)的网络健康度量182。网络健康度量282可结合一个或多个网络状态误差度量1472。在一些实施例中，由安全引擎1210确定的网络健康度量282可与健康网络状态配置文件1412a的网络状态误差度量1472a成反比。在一些实施例中，网络健康度量282可结合与其它不健康网络状态配置文件1412n有关的网络误差度量1472。网络健康度量282可与不健康网络状态配置文件1412n的网络状态误差度量1472n成比例。安全引擎1210还可被配置为通过使用物理健康度量284来量化控制系统101(和/或其相应区域)的物理健康。物理健康度量284可结合一个或多个物理状态误差度量1474a-n。在一些实施例中，由安全引擎1210确定的物理健康度量284可与控制系统101的所获取的物理状态1204与健康物理状态配置文件1414a的物理状态误差度量1474a之间的误差成反比。在一些实施例中，物理健康度量284可结合与其它物理状态配置文件1414有关的物理状态误差度量1474。安全引擎1210可结合用于“不健康”物理状态分类1415的物理状态误差度量1474n。物理健康度量284可与不健康物理状态配置文件1414n(例如，与特定类型的物理攻击、物理攻击向量和/或故障模式相对应的不健康物理状态配置文件1414n)的物理状态误差度量1474n成比例。
[0329]
在一些实施例中，安全引擎1210可被配置为确定与控制系统101的选定区域(例如，选定cpce 105、cpce路径108、cpce部分109、网络部分129、物理控制部分149等)相对应的网络健康度量282和/或物理健康度量284。安全引擎1210可根据网络-物理状态元数据111和/或对应的分类模式1416的粒度以任何合适的粒度级别确定网络健康度量282和/或物理健康度量284。安全引擎1210还可被配置为将针对相应网络区域确定的网络健康度量282和/或物理健康度量284与尤其和相应网络区域相关联的误差度量175和/或cpsc度量575相关联。
[0330]
安全引擎1210还可被配置为尤其基于所确定的网络健康度量282来实施一个或多个缓解操作，如本文所公开的。该缓解操作可包括标识“不健康的”网络组件120和/或网络节点124，如本文所公开的(例如，标识具有偏离“健康”的网络通信特性的网络通信特性的网络节点124)。如本文所公开的，该缓解操作可包括确定异常误差度量175(和/或网络状态
误差1472a-n)的原因和/或来源。该缓解操作可包括但不限于：提供对网络健康度量282(和/或网络状态元数据220、网络状态配置文件1412、网络状态误差度量1472、误差度量175和/或从其中导出网络健康度量282的cpsc度量575的访问)，生成与未能满足一个或多个网络健康阈值的网络健康度量282、异常网络健康度量282有关的通知，根据所确定的网络健康度量282实施缓解操作(例如，停用一个或多个网络组件120、网络节点124等)等等。该缓解操作可与控制系统101的特定网络区域有关和/或可根据安全策略211来实施，如本文所公开的。
[0331]
如上文所公开的，由安全引擎1210确定的物理健康度量284可指示控制系统101(和/或其相应的物理控制区域)的物理健康。安全引擎1210还可被配置为尤其基于所确定的物理健康度量284来实施一个或多个缓解操作，如本文所公开的。该缓解操作可包括标识“不健康的”计算组件130和/或物理组件140，如本文所公开的(例如，标识具有偏离健康物理状态配置文件1412a的物理状态的计算组件130和/或物理组件140)。如本文所公开的，该缓解操作可包括确定异常误差度量175(和/或物理状态误差1474a-n)的原因和/或来源。缓解操作可包括但不限于：提供对物理健康度量284(和/或物理状态元数据240、物理状态配置文件1414、物理状态误差度量1474a-n、误差度量175和/或从其中导出物理健康度量284的cpsc度量575)、生成与未能满足一个或多个物理健康阈值的物理健康度量284有关的通知、根据所确定的物理健康度量284实施缓解操作(例如，停用一个或多个物理组件140、停止一个或多个cpce 105的控制功能、修改一个或多个cpce 105的控制功能、将cpce 105与控制系统101的其它cpce 105隔离、将cpce 105的网络-物理组件102与控制系统101的其它网络-物理组件102隔离等)等等。
[0332]
图14b是被配置为评估控制系统101的网络和/或物理健康的rs代理110的另一个实施例的示意性框图。rs代理110可包括安全引擎1210、密钥生成器1212、通信管理器1216、误差监视器1218、获取引擎1206、状态引擎1290和包括网络-物理状态配置文件的状态存储设备1401，如本文所公开的。安全引擎1210可被配置为监视控制系统101的网络-物理健康(例如，确定网络-物理健康元数据180)和/或响应于该监视而实施缓解操作。安全引擎1210可配置rs代理110以生成状态密钥160，通过控制系统101通信状态密钥160，结合相应状态密钥160的通信获取网络-物理状态元数据1211，确定相应状态密钥160的误差度量175，确定与结合相应状态密钥160的通信获取的网络-物理状态元数据1211相对应的cpsc度量575，结合所获取的网络-物理状态元数据1211，和/或根据所确定的误差度量175、cpsc度量575等确定网络-物理健康元数据180，如本文所公开的。
[0333]
在图14b的实施例中，状态引擎1290可被配置为维护网络-物理状态元数据111，该网络-物理状态元数据被配置为表征控制系统101(和/或其相应区域)在指定时间范围内的网络-物理状态1201。状态引擎1290可被配置为维护与网络-物理状态1201a-n相对应的网络-物理状态元数据111，该网络-物理状态与相应获取时间α至α-n相对应，如本文所公开的。安全引擎1210还可被配置为确定网络状态误差度量1472a-n和/或物理状态误差度量1474a-n，如本文所公开的。网络状态误差度量1472a-n可被配置为量化控制系统101的相应当前网络状态1202a与相应网络状态配置文件1412a-n(包括健康网络状态配置文件1412a和/或不健康的网络状态配置文件1412n)之间的误差、差异和/或距离。物理状态误差度量1474a-n可被配置为量化控制系统101的相应当前网络状态1204a与相应物理状态配置文件
1414a-n(包括健康物理状态配置文件1414a和/或不健康的物理状态配置文件1414n)之间的误差、差异和/或距离。
[0334]
在图14b的实施例中，安全引擎1210还可被配置为确定网络趋势误差度量1473a-n和/或物理趋势误差度量1475a-n。确定网络趋势误差度量1473a-n可包括将控制系统101(和/或其相应区域)的网络状态1202的变化量化为获取时间的函数，这可包括监视网络状态1202在网络状态1202a-n的滑动窗口内相对于相应网络状态配置文件1412a-n的变化。网络趋势误差度量1473a-n可提供对导致控制系统101的网络状态1202的时延和/或逐渐改变的网络攻击的检测，如上文所公开的。在一些实施例中，确定网络趋势误差度量1473a-n可包括将相应的网络状态1204a-n与相应的网络状态配置文件1412a-n进行比较(例如，将每个网络状态1204a-n与相应的健康网络状态1412a和不健康网络状态1412n进行比较，如本文所公开的)。该确定还可包括计算网络状态误差增量(δcyerr)，每个网络状态误差增量均量化在相应获取时间α-n至α之间相应网络状态误差1472a-n的变化(相应网络状态1202a-n的网络状态误差1472a-n的变化)。网络趋势误差度量1473a-n可量化控制系统101(和/或其相应区域)的网络状态1202随时间推移趋向于远离和/或朝向相应网络状态配置文件1412a-n的程度。网络趋势误差度量1473a-n可指示网络状态1202趋向于远离健康的网络状态配置文件1412a和/或趋向于朝向不健康的网络状态配置文件1412n(反之亦然)。安全引擎1210还可被配置为估计和/或预测控制系统101(和/或其相应区域)的网络状态1202将在网络状态分类1413之间转变(例如，从健康网络状态配置文件1412a转变到不健康网络状态配置文件1412n，反之亦然)的时间。替代地或另外，确定网络趋势误差度量1473a-n可包括量化网络状态1202的相应特性随时间推移而趋向于远离相应网络状态配置文件1412a-n的网络分类值1428的程度。确定网络趋势误差度量1473a-n还可包括估计和/或预测网络状态1202的特性将对应于相应网络状态配置文件1412a-n的指定网络分类特征1422的时间(例如，在网络状态特性将对应于不健康网络状态配置文件1412n的时间)。如本文所公开的，网络趋势误差度量1473a-n可与从其中导出网络趋势误差度量1473a-n的网络状态元数据111的afcp度量575和/或与相应网络状态配置文件1412a-n相关联的置信度度量相关联。
[0335]
在图14b的实施例中，安全引擎1210还可被配置为确定物理趋势误差1475a-n和/或物理趋势误差1475a-n。确定物理趋势误差度量1475a-n可包括将控制系统101(和/或其相应区域)的物理状态1204的变化量化为获取时间的函数，这可包括监视物理状态1204在物理状态1204a-n的滑动窗口内相对于相应物理状态配置文件1414a-n的变化。物理趋势误差度量1475a-n可提供对导致控制系统101的物理状态1204的时延和/或逐渐改变的物理攻击的检测，如上文所公开的。在一些实施例中，确定物理趋势误差度量1475a-n可包括将相应的物理状态1204a-n与相应的物理状态配置文件1414a-n进行比较(例如，将每个物理状态1204a-n与相应的健康物理状态1414a和不健康物理状态1414n进行比较，如本文所公开的)。该确定还可包括计算物理状态误差增量(δphyerr)，每个物理状态误差增量均量化在相应获取时间α-n至α之间相应物理状态误差1472a-n的变化(相应物理状态1204a-n的物理状态误差1472a-n的变化)。物理趋势误差度量1475a-n可量化控制系统101(和/或其相应区域)的物理状态1204随时间推移趋向于远离和/或朝向相应物理状态配置文件1414a-n的程度。物理趋势误差度量1475a-n可指示物理状态1204趋向于远离健康的物理状态配置文件
1414a和/或趋向于朝向不健康的物理状态配置文件1414n(反之亦然)。安全引擎1210还可被配置为估计和/或预测控制系统101(和/或其相应区域)的物理状态1204将在物理状态分类1413之间转变(例如，从健康物理状态配置文件1414a转变到不物理网络状态配置文件1414n，反之亦然)的时间。替代地或另外，确定物理趋势误差度量1475a-n可包括量化物理状态1204的相应特性随时间推移而趋向于远离相应物理状态配置文件1414a-n的物理分类值1428的程度。确定物理趋势误差度量1475a-n还可包括估计和/或预测物理状态1204的特性将对应于相应物理状态配置文件1414a-n的指定物理分类特征1422的时间(例如，在物理状态特性将对应于不健康物理状态配置文件1414n的时间)。如本文所公开的，物理趋势误差度量1475a-n可与从其中导出网络-物理误差度量1475a-n的物理状态元数据111的afcp度量575和/或与相应物理状态配置文件1414a-n相关联的置信度度量相关联。
[0336]
安全引擎1210可被配置为尤其基于误差度量175、cpsc度量575、网络状态误差度量1472a-n和/或物理状态误差度量1474a-n来确定控制系统101(和/或其相应区域)的网络-物理健康元数据180，如本文所公开的。在图14b的实施例中，安全引擎1210还可被配置为将网络趋势误差度量1473a-n结合到网络健康度量282中。结合网络趋势误差度量1473a-n包括调适网络健康度量282以指示控制系统101(和/或其相应区域)的网络状态1202趋向于远离健康网络状态配置文件1412a和/或趋向于朝向不健康的网络状态配置文件1412n的程度。网络健康度量282可进一步指示控制系统101(和/或其相应区域)的网络状态1202被估计和/或预测转变到指定的不健康网络状态配置文件1412n的时间。替代地或另外，安全引擎1210可配置网络健康度量282以指示控制系统101的网络状态1202的相应特性趋向于远离健康网络状态配置文件1412a的网络分类特征1422和/或网络分类值1428和/或趋向于朝向不健康网络状态配置文件1412n的网络分类特征1422和/或网络分类值1428的程度。安全引擎1210还可配置网络健康度量282以指示控制系统101的网络状态1202的指定特性被估计和/或预测以转变到所标识的不健康网络状态配置文件1412n的指定分类特征的时间。网络健康度量282可进一步结合与网络趋势误差度量1473a-n有关的置信度度量，其可量化从其中导出网络趋势误差度量1473a-n的网络状态元数据220的置信度和/或相应的网络状态配置文件1412a-n的置信度。
[0337]
安全引擎1210还可被配置为将物理误差度量1475a-n结合到物理健康度量284中。结合物理趋势误差度量1475a-n包括调适物理健康度量284以指示控制系统101(和/或其相应区域)的物理状态1204趋向于远离健康物理状态配置文件1414a和/或趋向于朝向不健康的物理状态配置文件1414n的程度。物理健康度量284可进一步指示控制系统101(和/或其相应区域)的物理状态1204被估计和/或预测转变到指定的不健康物理状态配置文件1414n的时间。替代地或另外，安全引擎1210可配置物理健康度量284以指示控制系统101的物理状态1204的相应特性趋向于远离健康物理状态配置文件1414a的物理分类特征1422和/或物理分类值1428和/或趋向于朝向不健康物理状态配置文件1414n的物理分类特征1422和/或物理分类值1428的程度。安全引擎1210还可配置物理健康度量284以指示控制系统101的物理状态1204的指定特性被估计和/或预测以转变到所标识的不健康物理状态配置文件1414n的指定分类特征的时间。物理健康度量284可进一步结合与物理趋势误差度量1475a-n有关的置信度度量，其可量化从其中导出物理趋势误差度量1475a-n的物理状态元数据220的置信度和/或相应的物理状态配置文件1414a-n的置信度。
[0338]
安全引擎1210还可被配置为尤其基于所确定的网络健康度量282和/或物理健康度量284来实施一个或多个缓解操作，如本文所公开的。安全引擎1210可被配置为响应于确定网络状态1202a对应于所标识的不健康网络状态配置文件1412n而实施缓解操作。可根据所标识的不健康网络状态配置文件1412n来实施缓解操作，如本文所公开的。安全引擎1210可被配置为响应于确定物理状态1202n对应于所标识的不健康物理状态配置文件1414n而实施缓解操作。可根据所标识的不健康物理状态配置文件1414n来实施缓解操作，如本文所公开的。在图14b的实施例中，安全引擎1210还可被配置为基于网络趋势误差度量1473a-n实施缓解操作，这可包括标识控制系统101的网络状态1202所趋向于的不健康网络状态配置文件1412n。可根据所标识的不健康网络状态配置文件1412a来调适缓解操作，如上文所公开的。安全引擎1210还可被配置为基于物理趋势误差度量1475a-n实施缓解操作，这可包括标识控制系统101的物理状态1204所趋向于的不健康物理状态配置文件1414n。可根据所标识的不健康物理状态配置文件1414a来调适缓解操作，如上文所公开的。
[0339]
图15是如本文所公开的用于保护网络-物理系统100(诸如控制系统101)的方法1500的另一个实施例的流程图。步骤1510可包括生成状态密钥160，每个状态密钥160包括cpkd 162，该cpkd包括和/或对应于控制系统101的网络-物理状态，如本文所公开的。
[0340]
步骤1520可包括通过网络-物理系统100通信状态密钥160，如本文所公开的。如所公开的，步骤1520还可包括获取网络-物理状态数据1207。步骤1520可包括从由状态密钥160覆盖的控制系统101的区域(例如，状态密钥160和/或其片段161通过其通信的区域)获取网络-物理状态数据1207。替代地或另外，步骤1520可包括获取与相应状态密钥片段161a-n的通信相对应的区域rcps数据1217a-n，如本文所公开的。如本文所公开的，步骤1520可包括获取多个cps数据集1209。如本文所公开的，步骤1520还可包括从获取的网络-物理状态数据1207导出网络-物理状态元数据1211。
[0341]
步骤1530可包括计算状态密钥误差度量175，其可量化相应状态密钥160和/或其网络-物理重构之间的误差。步骤1530可包括将每个状态密钥160与对应的验证密钥170进行比较(和/或将相应状态密钥160的状态密钥片段161a-n与对应的验证数据171a-n进行比较)。步骤1530还可包括确定误差度量175的来源和/或原因，这可包括调适一个或多个后续状态密钥160的通信，和/或评估其所得误差度量175，如本文所公开的。步骤1530还可包括确定所获取的网络-物理状态元数据1211的cpsc度量575。cpsc度量575可被配置为量化所获取的网络-物理状态元数据1211准确地表示控制系统101(和/或其相应区域)的网络-物理状态的置信度。因此，cpsc度量575可与为对应状态密钥160(和/或状态密钥片段161)确定的误差度量175成反比。
[0342]
步骤1540可包括将所获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中，如本文所公开的。步骤1540可包括将所获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中和/或将所结合的网络-物理状态元数据111与对应的cpsc度量575相关联。步骤1540可包括调适一个或多个后续状态密钥160的通信以尤其确定低cpsc度量575的原因和/或来源和/或获得具有较高cpsc度量575的所获取的网络-物理状态元数据1211。
[0343]
步骤1550可包括尤其基于在步骤1530和/或1540处确定的误差度量175和/或cpsc度量575来确定控制系统的网络-物理健康元数据180，如本文所公开的。在一些实施例中，
步骤1550还可包括将所获取的控制系统101的网络-物理状态(例如，网络-物理状态元数据111和/或所获取的网络-物理状态元数据1211)与网络-物理状态估计值(例如，状态估计值1313)进行比较。该比较可包括确定状态估计误差度量1375，其可被结合网络-物理健康元数据180中，如本文所公开的。替代地或另外，步骤1550还可包括确定一个或多个网络状态误差1472和/或物理状态误差1474，其可量化控制系统101(和/或其区域)的所获取的网络-物理状态与一个或多个网络状态配置文件1412和/或物理状态配置文件1414之间的误差，该误差1472/1474可结合到网络-物理健康元数据180中，如本文所公开的。
[0344]
图16是如本文所公开的用于保护网络-物理系统100的方法1600的另一个实施例的流程图。步骤1610可包括通过控制系统101的选定区域通信状态密钥160，如本文所公开的。步骤1610可包括通过控制系统101的选定cpc路径108通信每个状态密钥160的片段161a-n，如本文所公开的，每个cpc路径108包括：第一网络路径126，片段161通过该第一网络路径发出到选定的相关器166；与ppv 155相对应的物理控制耦合件148，通过该物理控制耦合件，将与片段161相对应的验证数据171发送到选定的接收器168(和/或通过该物理控制耦合件，以其它方式确定验证数据171)；以及第二网络路径126，通过该第二网络路径返回验证数据171。
[0345]
步骤1620可包括结合状态密钥160的通信来获取网络-物理状态数据1207。步骤1620可包括结合通过控制系统101通信状态密钥160来获取控制系统101的网络-物理状态。步骤1620可包括从由相应状态密钥160覆盖的控制系统101的区域获取网络-物理状态数据1207。步骤1620可包括与状态密钥160的通信同时地获取网络-物理状态数据1207。在一些实施例中，步骤1620可包括从由相应状态密钥片段161a-n覆盖的控制系统101的区域获取rcps数据1217a-n，该rcps数据1217a-n结合相应状态密钥片段161a-n的通信而获取。替代地或另外，步骤1620可包括与状态密钥160和/或状态密钥片段161a-n的通信分开地(例如，在这种通信之前、之后和/或与其交错地)获取网络-物理状态数据1207和/或rpcs数据1217a-n。步骤1620还可包括通过使用所获取的网络-物理状态数据1207来确定所获取的网络-物理状态元数据1211，如本文所公开的。
[0346]
步骤1620还可包括确定与状态密钥160的通信相对应的误差度量175和/或确定与网络-物理状态元数据1211的获取相对应的cpsc度量575，如本文所公开的。步骤1620可包括确定高误差度量175和/或低cpsc度量575的来源和/或原因，如本文所公开的(例如，通过调适后续重叠状态密钥160的通信，使得其片段161a-n通过相应的隔离cpc路径108通信，并评估其所得误差度量175)。步骤1620可包括将误差度量175和/或cpsc度量575指派给控制系统101的相应区域和/或所获取的网络-物理状态元数据1211，如本文所公开的。步骤1630还可包括将所获取的网络-物理状态元数据1211结合到网络-物理状态元数据111中，这可包括将误差度量175和/或cpsc度量575与所结合的网络-物理状态元数据111相关联，如本文所公开的。误差度量175可指示与通过由网络状态元数据220和/或物理状态元数据240的相应部分表征的控制系统的区域通信状态密钥160(和/或状态密钥片段161)相关联的误差。cpsc度量575可指示网络状态元数据220和/或物理状态元数据240的相应部分准确地表示由此表征的控制系统101的区域的网络和/或物理状态的置信度(例如，基于与在获取网络-物理状态期间通过此类区域通信状态密钥160和/或状态密钥片段161相关联的误差度量175)。在一些实施例中，步骤1620还可包括维护网络-物理状态元数据111，其被配置为表
征控制系统101的多个网络-物理状态1201a-n，该网络-物理状态1201a-n对应于获取时间的范围和/或滑动窗口(例如，从当前获取时间α至先前获取时间α-n)。
[0347]
步骤1630可包括评估控制系统101(和/或其相应区域)的网络-物理健康。步骤1630可包括评估控制系统101(和/或其区域)的所获取的网络-物理状态1201。在一些实施例中，步骤1630可包括确定网络健康度量282和/或物理健康度量284，如本文所公开的。网络健康度量282尤其可基于误差度量175、cpsc度量575、网络状态度量553、cyδ度量1263、网络状态估计度量1376、网络状态误差度量1472等。步骤1630可包括评估一个或多个cser、将控制系统101的所获取的网络状态1202与一个或多个csb 552(例如，健康csb 552和/或不健康csb 552)进行比较、将网络状态1202与一个或多个网络状态配置文件1412(例如，健康的网络状态配置文件1412a和/或不健康的网络状态配置文件1412n)进行比较等。步骤1630可包括尤其通过将网络状态信息与网络状态1202a-n的滑动窗口相关、确定相应cser、网络状态度量553和/或网络状态误差度量1472a-n的趋势、确定网络状态1202的轨迹估计值确定相应的网络状态特性的轨迹等来确定cyδ度量1263。步骤1630可包括将所获取的网络状态1202与健康的网络状态配置文件1412a进行比较，如上文所公开的。步骤1640可包括将网络状态元数据220、网络状态参数222、网络状态签名228和/或其部分与健康的网络状态配置文件1412a的对应网络分类值1428进行比较。该比较可包括确定网络状态误差1472a，其可量化所获取的控制系统101(和/或其区域)的网络状态与健康的网络状态配置文件1412a之间的误差。步骤1630还可包括将所确定的网络状态误差1472a与表征网络状态元数据220的cpsc度量575、网络状态参数222和/或通过其确定网络状态误差1472a的网络状态签名228相关联，如本文所公开的。
[0348]
步骤1630还可包括确定物理健康度量284。物理健康度量284尤其可基于误差度量175、cpsc度量575、物理状态度量555、phyδ度量1265、物理状态估计度量1376、物理状态误差度量1474等。步骤1630可包括评估一个或多个pser、将控制系统101的所获取的物理状态1204与一个或多个psb 554(例如，健康psb 554和/或不健康psb 554)进行比较、将物理状态1204与一个或多个物理状态配置文件1414(例如，健康的物理状态配置文件1414a和/或不健康的物理状态配置文件1414n)进行比较等。步骤1630可包括尤其通过将网络状态信息与物理状态1204a-n的滑动窗口相关、确定相应pser、物理状态度量555和/或物理状态误差度量1474a-n的趋势、确定物理状态1204的轨迹估计值确定相应的物理状态特性的轨迹等来确定phyδ度量1265。步骤1630可包括将所获取的物理状态1204与健康的物理状态配置文件1414a进行比较，如上文所公开的。步骤1640可包括将物理状态元数据240、物理状态参数242、物理状态签名248和/或其部分与健康的物理状态配置文件1414a的对应物理分类值1448进行比较。该比较可包括确定物理状态误差1474a，其可量化所获取的控制系统101(和/或其区域)的物理状态与健康的物理状态配置文件1414a之间的误差。步骤1630还可包括将所确定的物理状态误差1474a与表征物理状态元数据240的cpsc度量575、物理状态参数242和/或通过其确定物理状态误差1474a的物理状态签名248相关联，如本文所公开的。
[0349]
在一些实施例中，步骤1630还可包括根据所确定的控制系统101的网络-物理健康
来实施缓解操作。步骤1630可包括根据误差度量175、cpsc度量575、网络状态度量553、物理状态度量555、cyδ度量1263、phyδ度量1265、网络状态误差度量1472a-n、物理状态误差度量1474a-n、网络趋势误差度量1473a-n、物理趋势误差度量1475a-n、网络健康度量282和/或物理健康度量284来实施缓解操作，如本文所公开的。
[0350]
图17是如本文所公开的用于保护网络-物理系统100的方法1700的另一个实施例的流程图。步骤1710可包括获取系统100的网络-物理状态，如本文所公开的。步骤1710可包括获取控制系统101的网络状态和/或维护对应的网络状态元数据220。步骤1710还可包括获取控制系统101的物理状态和/或维护对应的物理状态元数据240。步骤1710可包括在通过控制系统101通信状态密钥160(和/或状态密钥片段161)的同时获取网络-物理状态数据1207。步骤1710可包括从由相应状态密钥160覆盖的控制系统101的区域获取网络-物理状态数据1207。步骤1710还可包括从由相应cpkd片段160覆盖的控制系统101的区域获取rcps数据集1217。步骤1710还可包括确定所获取的网络-物理状态数据1207的cpsc度量575和/或将所获取的网络-物理状态数据1207结合到网络-物理状态元数据111中，如本文所公开的。步骤1710还可包括根据分类模式1416获取和/或维护网络-物理状态元数据111。步骤1710可包括获取与指定的网络分类特征1422相对应的网络状态元数据220和/或获取与指定的物理分类因素1442相对应的物理状态元数据240。分类模式1416可包括能够由rs代理110获取的网络-物理状态信息的子集。
[0351]
步骤1720可包括尤其通过将控制系统101的所获取的网络状态与相应的网络状态配置文件1412进行比较等来确定网络状态误差度量1472。步骤1720可包括确定多个网络状态误差度量1472a-n，每个网络状态误差度量量化所获取的网络状态1202与相应的网络状态配置文件1412a-n之间的误差。网络状态误差度量1472a-n可包括量化所获取的网络状态1202与一个或多个健康的网络状态配置文件1412a之间的误差的网络状态误差度量1472a、量化所获取的网络状态1202与一个或多个不健康的网络状态配置文件1412a之间的误差的网络状态误差度量1472n等，如本文所公开的。
[0352]
步骤1730可包括确定控制系统101(和/或其区域)的网络健康度量282。步骤1730可包括评估在步骤1720处确定的网络状态误差度量1472a-n。步骤1730可包括确定网络状态误差度量282，其：与量化所获取的网络状态与健康的网络状态配置文件1412a之间的误差的网络状态误差度量1472a成反比和/或与量化所获取的网络状态与不健康的网络状态配置文件1412n之间的误差的网络状态误差度量1472n成比例。步骤1730还可包括将网络健康度量282与cpsc度量575相关联，如本文所公开的。步骤1730还可包括根据所确定的网络健康度量282来实施一个或多个缓解操作，如本文所公开的。步骤1740可包括尤其通过将控制系统101的所获取的物理状态1204与相应的网络状态配置文件1412进行比较等来确定物理状态误差度量1474。步骤1720可包括确定多个物理状态误差度量1474a-n，每个物理状态误差度量量化所获取的物理状态1204与相应的物理状态配置文件1412a-n之间的误差。物理状态误差度量1474a-n可包括量化所获取的物理状态1204与一个或多个健康的物理状态配置文件1414a之间的误差的物理状态误差度量1474a、量化所获取的物理状态1204与一个或多个不健康的物理状态配置文件1414n之间的误差的物理状态误差度量1474n等，如本文所公开的。
[0353]
步骤1750可包括确定控制系统101(和/或其区域)的物理健康度量284。步骤1750
可包括评估在步骤1740处确定的物理状态误差度量1474a-n。步骤1750可包括确定物理状态误差度量284，其：与量化所获取的物理状态1204与健康的物理状态配置文件1414a之间的误差的物理状态误差度量1474成反比和/或与量化所获取的物理状态1204与不健康的物理状态配置文件1414n之间的误差的物理状态误差度量1474n成比例。步骤1750还可包括将物理健康度量284与cpsc度量575相关联，如本文所公开的。步骤1750还可包括响应于所确定的物理健康度量284而实施一个或多个缓解操作，如本文所公开的。
[0354]
图18是如本文所公开的用于保护网络-物理系统100的方法1800的另一个实施例的流程图。步骤1802可包括学习一个或多个网络状态配置文件1412。步骤1802可包括学习一个或多个健康的网络状态配置文件1412a和/或不健康的网络状态配置文件1412n，如本文所公开的。步骤1804可包括学习一个或多个物理状态配置文件1414。步骤1804可包括学习一个或多个健康的物理状态配置文件1414a和/或不健康的物理状态配置文件1414n，如本文所公开的。
[0355]
步骤1810可包括获取控制系统101(和/或其区域)的网络状态1202和/或物理状态1204，如本文所公开的。步骤1820可包括确定网络状态误差度量1472，并且步骤1830可包括确定对应的网络健康度量282，如本文所公开的。步骤1832可包括接收关于网络健康度量282的反馈。步骤1832的反馈可包括关于网络健康度量282的准确性的指示(例如，健康的网络健康度量282是否准确地指示健康的网络行为，不健康的网络健康度量282是否准确地指示不健康的网络行为，等等)。步骤1832可包括将反馈结合到网络状态配置文件1412中，这可包括根据反馈调整网络状态配置文件1412中的一个或多个(例如，调整网络分类参数1422和/或网络分类参数值1428，等等)。
[0356]
步骤1840可包括确定物理状态误差度量1474，并且步骤1850可包括确定对应的物理健康度量284，如本文所公开的。步骤1852可包括接收关于物理健康度量284的反馈。步骤1852的反馈可包括关于物理健康度量284的准确性的指示(例如，健康的物理健康度量284是否准确地指示健康的物理行为，不健康的物理健康度量284是否准确地指示不健康的物理行为，等等)。步骤1852可包括将反馈结合到物理状态配置文件1414中，这可包括根据反馈调整物理状态配置文件1412中的一个或多个(例如，调整物理分类参数1442和/或物理分类参数值1448，等等)。
[0357]
本公开已经参考各种示例性实施例而得出。然而，本领域技术人员将认识到，在不脱离本公开的范围的情况下，可以对示例性实施例进行改变和修改。例如，各种操作步骤以及用于执行操作步骤的组件可根据特定应用或考虑与系统操作相关联的任何数量的成本函数以替代方式实施，例如，可删除、修改步骤中的一个或多个或将其与其它步骤组合。
[0358]
此外，如本领域普通技术人员将理解的，本公开的原理可反映在计算机可读存储介质上的计算机程序产品中，该计算机可读存储介质具有体现在该存储介质中的计算机可读程序代码部件。可利用任何有形的、非暂时性的计算机可读存储介质，其包括磁存储设备(硬盘、软盘等)、光存储设备(cd-rom、dvd、蓝光光盘等)、闪存等。这些计算机程序指令可加载到通用计算机、专用计算机或其它可编程数据处理装置以产生机器，使得在该计算机或其它可编程数据处理装置上执行的指令创建用于实施指定功能的手段。这些计算机程序指令还可存储在计算机可读存储器中，该计算机可读存储器可以特定方式引导计算机或其它可编程数据处理装置起作用，使得存储在计算机可读存储器中的指令产生制品，该制品包
括实施指定功能的实施手段。计算机程序指令还可以加载到计算机或其它可编程数据处理装置上，以使在计算机或其它可编程装置上执行一系列操作步骤，以产生计算机实施过程，使得在计算机或其它可编程装置上执行的指令提供用于实施指定功能的步骤。
[0359]
尽管本公开的原理已经在各种实施例中示出，但是在不脱离本公开的原理和范围的情况下可使用特别适于特定环境和操作要求的结构、布置、比例、元件、材料和组件的许多修改。这些和其它变化或修改旨在包括在本公开的范围内。
[0360]
已经参考各种实施例描述了前述说明书。然而，本领域普通技术人员应当理解，在不脱离本公开的范围的情况下，可以做出各种修改和改变。因此，本公开应被视为说明性的而非限制性的，并且所有这样的修改均意图包括在其范围内。同样，上面已经关于各个实施例描述了益处、其它优点和问题的解决方案。然而，这些益处、优点、问题的解决方案以及可能导致任何益处、优点或解决方案发生或变得更明显的任何要素均不应被解释为关键的、必需或基本的特征或要素。如本文所使用的，术语“包括(comprises)、“包含(comprising)”及其任何其它变型意图涵盖非排它性包括，使得包括元件列表的过程、方法、物品或装置不仅包括那些元件，而且可以包括这些过程、方法、物品或装置没有明确列出或固有的其它元件。而且，如本文所使用的，术语“经耦合”、“耦合”及其任何其它变型意图涵盖物理连接、电连接、磁连接、光学连接、通信连接、功能连接和/或任何其它连接。
[0361]
本领域技术人员应当理解，在不脱离本发明的基本原理的情况下，可对上述实施例的细节进行许多改变。因此，本发明的范围应仅由权利要求确定。