基于信息物理特征融合的工业信息物理系统跨层异常检测方法

技术领域

本发明属于工业系统故障监测技术领域，具体涉及一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法。

背景技术

随着信息和通信技术(ICT)的广泛应用，传统工业控制系统(ICS)与网络空间紧密结合，形成工业信息物理系统(ICPS)。ICPS的主要由过程层、控制层、监控层和企业层组成。其中，过程层通过区域总线(CAN-Bus)与控制层交互，使得控制器一方面可以从过程层的传感器中采集生产测量数据，另一方面向过程层的执行器(或伺服机构)发送控制指令；控制层通过工业以太网(Industrial Ethernet)与监控层设备进行通信，使得监控层的监控主机(工程师站或操作员站)得以实时跟踪生产过程的运行状态、根据生产需求调节控制器参数等；监控层一般通过互联网(Internet)与企业层相连，以充分利用工业云平台的计算、存储等资源完成智能决策和复杂模型训练等任务。在ICPS的标准通信模式下，OT(Operational Technology)与IT(Information Technology)深度融合与高度协作，完成智能制造任务。

与传统的工业控制系统(ICS)相比，尽管ICT技术的广泛应用使得ICPS的运行过程更智能和高效，但与此同时也引发了愈发复杂的安全问题。一方面，工业现场恶劣的生产环境导致物理过程故障时有发生，比如传感器漂移、执行器粘滞等。另一方面，通信协议或软硬件设备的固有漏洞使得系统容易受到各种类型的恶意攻击，比如拒绝服务攻击(Denial-of-Service,DoS)攻击和欺骗攻击等。因此，ICPS同时面临来自物理层和网络层的多种异常的威胁。为了保障ICPS生产过程的安全稳定运行，亟需提出一种有效的异常检测方法。目前，ICPS的异常检测得到了广泛的关注，但是大多数研究工作从物理层或网络层的角度提出异常检测方法，比如：

(1)基于物理层的异常检测通常根据传感器的测量值或执行器的控制量等信息来检测异常状态。例如，Aboelwafa等人[1]利用传感器数据在时间和空间上的相关性来识别异常。Yang等人[2]考虑了流程的体系结构，将其划分为多个区域分别进行异常检测。然而，这些方法虽然在一定程度上可以检测出物理空间的异常状态，但是无法抵御来自网络空间的恶意攻击。这是因为一方面网络攻击从开始渗透到造成物理影响存在延迟，基于物理层的异常检测方法缺乏对攻击信号的早期识别，导致检测滞后性严重；另一方面，基于物理层的异常检测方法无法检测未直接造成物理影响、但同样具有潜在威胁的攻击，如窃听攻击、扫描攻击等。

(2)基于信息层的异常检测通常利用网络流量数据包的特征来判断系统是否受到攻击。例如，Schneider等人[3]提出采用堆叠去噪自动编码器实现针对网络流量原始字节流的异常检测。Kwon等[4]使用DNP数据包作为电力系统的网络特征进行异常行为检测。但是，由于基于单个数据包的异常检测方法难以应对中间人攻击(Man-In-The-Middle,MITM)等基于数据包序列进行设计的攻击。因此，Jamdagni等人[5]使用N-GRAM文本分类技术提取网络流量数据包序列的原始特征，并将其转换为特征向量用于异常检测。Casas等人[6]在数据包序列的时间滑窗内定义了人工特征。然而，基于信息层的异常检测方法无法识别物理空间的异常状态，这是因为现有研究中通常针对数据包序列采用固定滑窗或固定时间间隔的划分策略。然而，真实系统的网络环境往往具有较强的不确定，导致网络流量的动态性很强，特别是包含物理层数据的报文分布极度不均匀。缺乏全面的物理层特征使得系统难以检测发生在物理层的异常状态。

充分融合ICPS的网络层和物理层的特征信息是实现全面异常检测的关键。然而，ICPS的物理层数据和网络层数据之间存在严重的异构性，导致融合困难。其中，物理层数据通常是从工业现场的SCADA系统中采样得到的时间序列数据。结合工业数采模块(Dataacquisition module,DAM)，控制器可以周期性读取来自不同生产设备的运行数据，因此物理层数据具有结构化的特点。网络层数据通常是设备间通信行为的记录，一般以网络流量数据包的形式记录在路由或者审计系统中。受到网络环境中时延、丢包、重传等因素的影响，网络层数据动态性较强，属于非结构化数据。因此，在ICPS中融合物理层和网络层数据以实现全面异常检测主要面临的问题包括。

发明内容

针对ICPS中现有异常检测方法缺乏对信息物理层信息的全面挖掘和有效利用导致异常检测面临实时性不强、检测精度不高等问题，本发明提供一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法，通过有效融合信息物理异构数据，提高了异常检测的实时性和准确性。

为实现上述技术目的，本发明采用如下技术方案：

一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法，包括：

离线训练：

获取多次通信事件的数据包序列，每次通信事件对应1个数据包序列；

针对每个数据包序列，提取其序列层次的粗粒度特征，以及解析所有数据包得到数据包层次的细粒度特征，再将序列层次的粗粒度特征与数据包层次的细粒度特征进行融合，得到数据包序列的总体特征向量；

以数据包序列的总体特征向量为观测数据，采用字典将观测数据投影到高维特征空间，学习字典和线性分类器；

在线测试：获取当前通信事件的数据包序列，按离线训练阶段相同的方法获得其总体特征向量，并基于学习得到的字典获得总体特征向量的稀疏编码，再将稀疏编码输入至线性分类器，输出即为工业系统当前的状态标签。

进一步的，在解析数据包时，将各数据包按通信协议类型划分为专用数据包或通用数据包：若数据包依赖于专用工业通信协议，则将数据包划分为专用数据包；若数据包依赖于一般通信协议，则将数据包划分为通用数据包；

若数据包为专用数据包，其中包括来自物理过程的负载数据，则解析得到的细粒度特征包括信息层特征和物理层特征；

若数据包为通用数据包，则解析得到的细粒度特征仅包括信息层特征。

进一步的，在进行特征融合时，将数据包序列s

进一步的，对专用数据包子集中所有数据包中的物理层特征直接进行拼接，表示为：

其中，

进一步的，分别以专用数据包子集、通用单播数据包子集、通用广播数据包子集为目标拼接子集，对各目标拼接子集的信息层特征进行拼接时，一方面对信息层特征中的文本型数据进行拼接，文本型数据中的设备地址拼接方式具体为：

设工业系统中的设备总数N

然后将设备地址关系矩阵向量化处理，得到目标拼接子集的关于设备地址的特征编码向量V(Φ

进一步的，另一方面对信息层特征中的类别型数据进行拼接，类别型数据中的协议类型拼接方式具体为：设工业系统中使用的通信协议种类数N

进一步的，在得到目标拼接子集的每种文本型数据和每种类别型数据的特征编码向量后，再将其拼接得到目标拼接子集的信息层特征向量：

其中，

进一步的，提取的序列层次的粗粒度特征，是指反映网络流量的宏观变化，包括：序列中的数据包数量、序列中通信的持续时间、序列的比特率。

进一步的，采用字典将观测数据投影到高维特征空间，学习字典和线性分类器；所述采用字典将观测数据投影到高维特征空间，利用输入信号的有监督信息学习一个重建的判别性字典和一个线性分类器，其中采用考虑标签一致性约束的KSVD算法(LC-KSVD)，构建学习目标函数如下：

其中，

为了进行优化，将上式改写成：

令

上述式子已转换为传统的字典学习优化函数的形式，此时直接使用K-SVD方法进行参数更新得到

但是，由于

在线检测阶段，对于一个待测试的样本y

最后使用线性分类器

有益效果

本发明提出的基于信息物理异构数据融合技术的工业信息物理系统跨层异常检测方法，可以应用于工业领域的信息安全防护。本发明：(1)基于通信事件触发的网络流量划分技术，收集系统全局范围内的信息物理数据，实现信息物理异构数据在时间尺度上的对齐；(2)基于深度包解析的特征提取与融合技术，充分挖掘不同层级的特征信息并得到结构化的特征表示；(3)通过具有标签约束的基于核的奇异值分解技术，通过对高维数据进行表示学习实现系统异常状态的判别。

本发明可以在统一的框架下检测工业信息物理系统的异常行为，包括物理过程故障、网络攻击等，从而有效提高ICPS系统的安全防护能力。相比于传统的仅依赖于物理层的异常检测方法，可以有效识别网络攻击，并且检测时延为传统方法的25％，；相比于传统的仅依赖于网络层的异常检测方法，可以有效识别物理故障，检测精度提高了18％。

附图说明

图1是本申请实施例所述异常检测方法概念图；

图2是本申请实施例所述基于通信事件触发的网络流量划分示意图；

图3是本申请实施例所述基于深度包解析的特征提取与融合示意图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例以本发明的技术方案为依据开展，给出了详细的实施方式和具体的操作过程，对本发明的技术方案作进一步解释说明。

本发明实施例提供一种基于信息物理特征融合的工业信息物理系统跨层异常检测方法，主要由离线训练和在线检测两个部分组成。其中离线训练包括流量划分、特征提取与融合、模型训练。如图1所示。

一、离线训练

1、基于通信事件触发(Communication Event-Triggered)的网络流量划分

工业系统总是按照一定的顺序轮询物理层的变量，对应变量的数据以负载(Payload)的形式记录在专用数据包中。比如对于一个只有Temp变量和Flow变量的工业系统，控制器将会按照“Temp->Flow”的顺序从内存缓冲区中读取，然后进入监听状态，等待下一次读取。因此，定义读取所有专用数据包为一个通信事件，依据该原则可以将网络流量数据包划分为多个数据包序列。图2展示了基于通信事件触发的网络流量划分方法，在每个通信事件中，系统按顺序读取所有变量，当变量读取完后便认为跳至下一个通信事件。将总体网络流量数据包表示为集合S，那么采用所提出的网络流量划分方法可以划分出多个数据包序列(样本)：

S＝{s

其中，N代表集合S中序列的数量，每个序列s

s

其中|s

2、基于深度包解析(Deep Packet Inspection)的特征提取与融合

在获取数据包序列后，为了充分考虑信息空间和物理空间的特征信息，本实施例采用基于深度包解析的特征提取与融合方法。如图3所示，该方法由以下模块组成：

a.数据包过滤(Packets filtering)：不同类型的数据包通常记录不同的设备活动信息。根据数据包的通信协议类型，可以将每个序列s

1)专用数据包集合

其中

2)通用数据包集合

其中

b.报文内容解析(Content inspection)：根据ISO/IEC 7498-1中定义的开放系统互连参考模型(Open Systems Interconnection,OSI)，计算机网络架构可分为7个层级，每个层级都有特定的功能及对应字段。为了提取专用数据包和通用数据包中的不同层级的特征信息，需要根据具体通信协议的封装规则进行解析。

1)专用数据包解析特征：从专用数据包集合

其中，

其中，

2)通用数据包解析特征：通用数据包分单播数据包(Unicast packet)和广播数据包(Broadcast packet)，分别记为

其中，从单播数据包

其中，

其中，

其中，

其中，

除了数据包层次的细粒度特征以外，还要考虑序列层次的粗粒度特征，反映网络流量的宏观变化，比如，较长的数据包传输间隔或数据包数量发生变化表明可能发生了某种异常。考虑数据包序列s

其中，

c.特征堆叠融合(Stack fusion)：由于序列长度不一致，不能直接对解析得到的特征进行编码，需要进行特征级融合。具体地，根据报文解析中得到的特征中包含连续型数据、文本型数据和类别型数据。其中，连续型数据指的是

1)对于数值型数据，通过采用基于通信事件触发的网络流量划分可以保证每个序列均包含了相同维度的物理层特征。因此，可以直接拼接

其中

2)对于文本型数据，文本型数据主要包括设备的IP地址、MAC地址等特征。以IP地址为例说明处理方法。假设系统中存在三种类型的共N

其中φ

3)对于类别型数据，类别型数据主要包括协议类型等特征。以协议类型为例说明处理方法。假设系统中共出现有N

其中ψ

最后对所有特征编码进行堆叠，可以得到数据包序列s

其中，

表1基于深度包解析的特征提取算法

3、基于字典学习的异常检测

稀疏编码已成功应用于计算机视觉和图像分析中的各种问题，包括图像降噪，图像恢复，图像分类等。针对异常检测任务，本专利采用考虑标签一致性约束的KSVD算法(LC-KSVD)，目标是利用输入信号的有监督信息学习一个重建的判别性字典和一个线性分类器。因此，学习目标函数如下：

其中，

令

上述式子已转换为传统的字典学习优化函数的形式，因此在训练阶段可以直接使用K-SVD方法进行参数更新得到

在线检测阶段，对于一个待测试的样本y

最后使用线性分类器

基于LC-KSVD的异常检测的伪代码如算法表2所示。

表2基于LC-KSVD的异常检测算法

/>

以上实施例为本申请的优选实施例，本领域的普通技术人员还可以在此基础上进行各种变换或改进，在不脱离本申请总的构思的前提下，这些变换或改进都应当属于本申请要求保护的范围之内。