一种基于人机信任双向检测的系统异常检测方法

技术领域

本发明涉及人机信任领域，尤其是涉及一种基于人机信任双向检测的系统异常检测方法。

背景技术

近年来，工业系统安全事故频发，功能性安全事故时有发生，关键制造行业的功能安全需要持续性关注，工业制造领域的关键基础设施是网络安全的重中之重，控制指令容易遭到恶意篡改，工作状态可被随机破坏，一出问题具有极大的破坏力与杀伤力，会长期影响工业系统中的生产安全。通过互联网对工业系统中关键环节进行数据注入，影像重放等攻击是常见的攻击手段。

常见的针对基于系统能力的信任判别方法强调系统具体的客观可信任水平较高，是不容易受到攻击的部分，因此，现有工业系统常重视操作人员恶意攻击系统的隐患，而忽略了系统可能遭受攻击的现实情况。操作人员通常对系统容易导致过度信任以及信任误用现象，对系统的信任度过高容易导致在系统遭受攻击的情况下，难以及时发现并上报；对系统的信任度过低容易导致对系统功能使用上的不完善。常规的判断系统是否遭受恶意攻击的判别方法强调主观判断，使得该方法仍不能适用于一般的实际情境。

因此，如何使用一个双向检测方法，同时判断系统是否遭受攻击，操作人员是否存在恶意操作，能够有效应对工业系统中存在的安全隐患与操作人员的安全生产难题，具有极强的现实意义。

发明内容

为此，本发明所要解决的技术问题在于当操作人员主观信任水平与系统能力出现差异的情况下，估计系统异常类型，解决基于系统能力和主观信任水平判别方法的局限性，从而本申请提出一种基于人机信任双向监测的系统异常判别方法。该方法根据特定事件概率与制定测试水平大小关系判别故障类型，解决了工业系统安全中的潜在危险。

为达到上述目的，本发明的技术方案如下：一种基于人机信任双向检测的系统异常检测方法，包括如下步骤：

S1：机器评估实际操作精度：根据机器测量结果，对实际产品的操作精度进行测量，计算实际操作精度和平均操作合格概率；

S2：操作人员的评估理论操作合格概率：通过操作人员历史数据或所有人员能力平均值，计算操作人员理论操作合格概率；

S3：将S1步骤中获得的实际操作精度通过K-S检验计算实际操作精度符合正态分布的概率，并将符合正态分布的概率与指定测试水平比较，判断系统是否存在操作员恶意操作或系统遭受攻击，若不存在则结束对本操作的检测，若存在则进行下一步骤；

S4：通过平均操作合格概率，操作次数和操作人员理论操作合格概率，计算实际操作合格率低于或高于理论操作合格率的概率；并将实际操作合格率低于或高于理论操作合格率的概率与指定测试水平比较，当实际操作合格率小于指定测试水平时，存在操作员恶意操作隐患，当实际操作合格率大于指定测试水平时，系统存在遭受攻击隐患；将检测结果上报并结束对本操作的检测，对每一个操作都重复S1-S4过程，直到所有操作都检测完成。

进一步地，所述S1步骤中，机器评估实际操作精度包括以下步骤：

S11：对于平均实际操作精度

S12：对于实际操作标准差σ满足：

S13：对于平均操作合格概率

其中#

进一步地，所述S2步骤中，评估操作人员理论操作精度包括以下步骤：

如果该操作人员有历史操作数据，将评估操作人员理论操作合格概率P

其中x

如果该操作人员无历史操作数据，将该评估操作人员理论操作合格概率直接评估为所有操作人员历史操作合格概率的平均值。

进一步地，所述步骤S3中，通过K-S检验判断是否存在操作员恶意操作/系统遭受攻击包括以下步骤：

S31：对S1步骤中得到的平均实际操作精度

S32：对S1步骤中得到实际操作精度的大小C

S33：计算理论离散频率分布g(x)与实际离散频率分布f(x)的最大距离D：

D＝maX|f(x)-g(x)|

S34：根据理论正态分布

S35：当实际操作符合正态分布时，系统不存在操作员恶意操作/系统遭受攻击；当实际操作不符合正态分布时，系统存在操作员恶意操作/系统遭受攻击风险。

进一步地，所述步骤S4中具体操作如下：

S41：对平均操作合格概率

S42：对平均操作合格概率

S43：对指定测试水平α＝0.01，若P

S44：恶意操作的定义为操作员非正常操作且合格率过低，当S3步骤中得到操作合格率不符合正态分布，且实际操作合格率低于理论操作合格率的概率小于指定测试水平，判定为出现恶意操作现象，并在系统中进行记录上报，并进行进一步核实；

S45：系统故障的定义为存在系统性偏差，当S3步骤中得到操作合格率不符合正态分布，且实际操作合格率高于理论操作合格率的概率小于指定测试水平，判定为出现系统故障现象，并在系统中进行记录上报，并进行进一步核实；对每一个操作都进行判断，直到所有操作都检测完成。

本发明的有益效果在于：本发明采用符合正态分布概率与实际操作合格率低于/高于理论操作合格率与指定测试水平的大小关系评估系统异常，避免由于过度信任导致忽略恶意篡改系统信息等攻击，同时有效识别操作人员恶意操作，双向保护整体系统正常运行；采用贝叶斯估计的方法计算异常概率，方法简单直接，计算效率高，可快速发现系统异常结果，并判别系统异常类型。

附图说明

图1为本发明一个实施例的一种基于人机信任双向监测的系统异常判别方法的流程图；

图2为本发明一个实施例的一种基于人机信任双向监测的系统异常判别方法的现场层与操作员层的结构图。

具体实施方式

如图1所示，本发明提出的一种基于人机信任双向监测的系统异常判别方法，包括如下步骤：

S1：机器评估实际操作精度：根据机器测量结果，对实际产品的操作精度进行测量，计算实际操作精度；该步骤具体包括以下子步骤：

S11：对于平均实际操作精度

S12：对于实际操作标准差σ满足：

S13：对于平均操作合格概率

其中#

系统参数选取如下：

S2：评估操作人员理论操作精度。该步骤具体包括以下子步骤：

如果该操作人员有历史操作数据，将评估操作人员理论操作合格概率P

其中x

如果该操作人员无历史操作数据，将该评估操作人员理论操作合格概率接评估为所有操作人员历史操作合格概率的平均值。

系统参数选取如下，M＝100，假设系统出现如下三种情况P

S3：一种基于人机信任双向检测的系统异常检测方法，所述步骤S3中，通过K-S检验判断是否存在操作员恶意操作/系统遭受攻击，该步骤具体包含如下子步骤：

S31：对S1步骤中得到的平均实际操作精度

S32：对S1步骤中得到实际操作精度的大小C

S33：计算理论离散频率分布g（x)与实际离散频率分布f(x)的最大距离D：

D＝maX|f(x)-g(x)|

S34：根据理论正态分布

S35：当实际操作符合正态分布时，系统不存在操作员恶意操作/系统遭受攻击；当实际操作不符合正态分布时，系统存在操作员恶意操作/系统遭受攻击风险。

在指定测试水平α＝0.01下，P

S4：如图2所示，通过互联网控制现场层的工业操作设备后，恶意勒索是常见的工业系统攻击原因。通过互联网的数据注入、影像重放攻击通过写入恶意信息覆盖原始数据，将大量无意义信息写入电机，工业摄像头，工业机械臂系统，影响工业设备的正常运行；从操作员层角度，恶意操作的出现是因为操作员的认知出现问题，进而影响决策，执行等步骤，最终导致了恶意操作现象，无法正常使用工业设备，在整体系统中，原本系统对操作人员，操作人员对系统均相互信任度高，但由于相互信任度过高，操作人员容易忽略工业操作设备遭受的恶意攻击，对生产安全造成影响；工业设备也容易单一按照操作人员指令运行，无法有效识别恶意操作。为检测恶意操作或系统攻击，本发明实施例中步骤S4中检测方案为：

S41：对S1步骤中得到的平均操作合格概率

S42：对S1步骤中得到的平均操作合格概率

S43：对指定测试水平α＝0.01下，若P

S44：恶意操作的定义为操作员非正常操作且合格率过低，当S3步骤中得到操作合格率不符合正态分布，且实际操作合格率低于理论操作合格率的概率小于指定测试水平，判定为出现恶意操作现象，并在系统中进行记录上报，并进行进一步核实。系统中P

S45：系统故障的定义为存在系统性偏差，当S3步骤中得到操作合格率不符合正态分布，且实际操作合格率高于理论操作合格率的概率小于指定测试水平，判定为出现系统故障现象，并在系统中进行记录上报，并进行进一步核实。系统中P

上述技术方案中，基于人机双向信任的的检测方法基于操作员数据以及实际操作数据进行系统检测，相较于基于主观信任水平与系统能力的判断方法，能够有效应对恶意篡改等现场层攻击与恶意操作等操作员问题。

本实施例所述的一种基于人机信任双向监测的系统异常判别方法，无需复杂的系统，通过贝叶斯计算估算异常概率；通过与可容忍误差进行比较判断误差类型，适应工业现场的复杂情况；该方法简单直接，计算效率高，可快速获得系统异常结果。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。