[发明专利]基于节点依赖关系的网络化CPS异常检测方法及系统

说明书

本发明公开了一种基于节点依赖关系的网络化CPS异常检测方法及系统，实施步骤包括：确定节点依赖关系，收集正常运行下的历史数据，根据历史数据中的动态测量值、控制信息值分别确定其分布函数值及依赖度量值的正常值；基于分布函数值计算每一个当前的动态测量值对其存在物理‑物理依赖关系的动态测量值的第一依赖度量值，以及每一个当前的控制信息值对其存在信息‑物理依赖关系的动态测量值的第二依赖度量值，分别判断和正常值的偏差是否大于预设阈值进行异常状态检测；系统为前述方法对应的系统。本发明仅依赖于测量数据和控制信号，适用性强，通用性好，具有更强的抵御欺骗能力，具有很高的检测效果，能够检测大多数系统异常。

技术领域

本发明涉及大规模复杂信息物理系统安全检测应用领域，具体涉及一种基于节点依赖关系的网络化CPS(Cyber-Physical System,网络化信息物理系统)异常检测方法及系统，用于针对网络化CPS实现异常检测。

背景技术

网络化CPS(Cyber-Physical System,网络化信息物理系统)是信息系统与物理系统紧密耦合形成的大规模复杂系统，通过集成先进的感知、计算、通信、控制等信息技术和自动控制技术，构建了物理空间与信息空间中人、机、物、环境、信息等要素相互映射、适时交互、高效协同的复杂系统，实现系统内资源配置和运行的按需响应、快速迭代、动态优化，如智能交通系统、智能电网系统和智能工厂。网络化CPS不同的物理组件接收信息系统内多个控制器的命令操控，并返回测量的感知数据到信息系统内的状态评估器，网络化CPS内的控制器基于状态评估器对当前不同组件的状态评估，进一步作出决定去控制物理系统内的组件。

在网络化CPS中，每个控制器和物理组件能被看成一个节点，系统共有两类节点：信息节点和物理节点。如信息系统内的可编程逻辑控制器(Programmable LogicControllers,PLCs)是信息系统的一个控制器，被称为信息节点；物理系统的一个组件被称为物理节点，如智能电网中的变电站。图1描述了网络化CPS的结构和数据在不同节点间的传输过程，参见图1，物理节点将其反馈的测量数据发送给状态评估器，网络化CPS内的控制器基于状态评估器对当前不同组件的状态评估，进一步作出决定发出控制信号去控制物理节点。

尽管传统的物理系统与信息系统结合有效地提高了系统服务效能和简化了系统管控操作。然而，新的脆弱性被暴露，例如攻击者能够利用无线网络的脆弱性来入侵控制系统，从而引起系统异常，导致系统损坏。面对信息物理系统可能遭遇的多种攻击和异常导致的系统故障，许多针对系统异常的检测方法已经被提出，可以分为四类：(1)基于模型的检测器，利用系统的物理属性特点构造模型，通过数据输入和模型，计算输出数据。将计算的输出数据与实际测量数据作对比，一旦不匹配，认为系统异常；(2)基于数据关联挖掘的检测器，主要通过挖掘多维感知数据中存在的时间维度和空间维度的关系来判断系统行为是否异常，所述关系包括连续感知数据之间的关联及离散命令之间的关联；(3)基于机器学习分类器的检测器，利用二分类方法训练一个分类器，当新的数据作为输入时，二分类器将数据分为异常和正常。如果当前数据异常，则认为系统异常。

尽管以上的方法能够有效识别系统异常，仍然存在如下问题：(1)构造基于模型的检测器是十分困难的，特别对于大规模信息物理系统而言，即使是领域专家，也几乎无法全面刻画有效的检测模型；(2)尽管当前数据挖掘方法和机器学习的方法多种多样，但能够有效的同时将两类数据即命令数据和感知数据同时关联实施有效而全面的异常检测方法是困难的，当前针对异构数据的关联挖掘技术还不够成熟；(3)先前的检测方法没有对信息系统和物理系统之间的关系进行清晰的建模及刻画，特别地，以上方法面向特定环境下的特定问题，具有不同的特定约束，进而很难将这些方法进行通用。因此，针对网络化CPS的结构特点，如何设计一个通用的，不被特定环境限制的，能够反映信息系统和物理系统关系的系统异常检测方法，已经成为一项亟待解决的关键技术问题。

发明内容