一种工业自动化控制设备安全状态监测方法及装置与流程

本发明涉及数据处理，尤其是涉及一种工业自动化控制设备安全状态监测方法及装置。

背景技术：

1、工业自动化控制设备是工业控制系统中的重要组成部分，用于监测和控制各种工业过程。它们通常用于控制工厂设备、能源系统、交通系统等关键基础设施。工业自动化控制设备终端面临的安全威胁可能导致生产中断、设备损坏甚至人员伤亡，因此工控终端的安全状态监测至关重要。

2、工业自动化控制设备的安全状态监测是指对工控终端进行实时监测和分析，以获取工控终端的安全状态信息。它包括对工控终端的硬件、操作系统、工控软件和网络连接等方面的监测，以检测潜在的安全漏洞、恶意攻击和异常行为，及时发现并应对安全威胁，确保工控系统的可靠运行和生产安全。

3、由此可见，如何保障对工业自动化控制设备的安全状态监测，已成为本领域技术人员所要亟待解决的技术问题。

技术实现思路

1、本发明提供一种工业自动化控制设备安全状态监测方法及装置，运算复杂度低，适用于部署在计算资源受限的工业环境现场进行有效的工控设备安全状态监测。

2、为了解决上述技术问题，本发明实施例提供了一种工业自动化控制设备安全状态监测方法，包括：

3、在进入安全状态监测模式前，采集工控设备正常安全状态下的网络流量数据特征值，将所述网络流量数据特征值分为拟合样本和校验样本；

4、选定多个数据分布模型，逐个采用最大似然估计法对所述拟合样本进行拟合分析，得到对应的拟合概率分布函数；

5、采用桶-树二维索引法对所述校验样本进行快速排序，得到排序后的第一数据，计算所述第一数据对应的经验累积分布函数；

6、根据k-s检验，计算各个所述拟合概率分布函数和对应的所述经验累积分布函数的拟合程度；

7、确定与工控设备正常安全状态相匹配的目标数据分布模型，并确定与所述目标数据分布模型相对应的异常状态感知阈值；

8、在进入安全状态监测模式后，采集工控设备的实时网络流量数据特征值；

9、将所述实时网络流量数据特征值插入到桶-树二维索引中进行快速排序，得到排序后的第二数据，计算所述第二数据对应的实时经验累积分布函数；

10、采用k-s检验，计算工控设备正常安全状态下对应的所述概率分布函数和所述实时经验累积分布函数的符合程度，得到校验偏差值；

11、在所述校验偏差值大于所述异常状态感知阈值时，判定工控设备处于异常安全状态。

12、作为其中一种优选方案，所述数据分布模型至少包括高斯分布模型、对数正态分布模型、泊松分布模型、韦布尔分布模型、伽马分布模型和指数分布模型。

13、作为其中一种优选方案，所述选定多个数据分布模型，逐个采用最大似然估计法对所述拟合样本进行拟合分析，得到对应的拟合概率分布函数，具体包括：

14、从多个数据分布模型中选择一个数据分布模型；

15、计算该数据分布模型对应的似然函数，所述似然函数为：

16、

17、其中，l(θ)为似然函数，x为采集时间内的网络流量数据特征值集合，θ为选择的数据分布模型的模型参数；

18、对所述似然函数取对数，得到对数似然函数为：

19、

20、对所述对数似然函数进行求导，得到对应的最大似然估计参数值；

21、将所述最大似然估计参数值带入到选择的特征分布模型对应的累计分布函数中进行计算，计算式如下：

22、

23、其中，为累计分布函数，为最大似然估计参数值；

24、重复上述步骤，直至得到所有所述数据分布模型对应的最大似然估计参数值和累计分布函数。

25、作为其中一种优选方案，所述采用桶-树二维索引法对所述校验样本进行快速排序，具体包括：

26、将所述校验样本中的数据按照分桶方式进行区分，存放到对应的桶数组中；

27、将各个所述桶数组中内的数据按照树状数组结构进行排列。

28、作为其中一种优选方案，所述根据k-s检验，计算各个所述拟合概率分布函数和对应的所述经验累积分布函数的拟合程度，具体包括：

29、根据k-s检验，分别计算每个所述桶数组内存放的数据对应网络流量数据分布特征值的第一参数、第二参数和第三参数，计算式如下：

30、

31、

32、

33、其中，为反映最大正向k-s距离的第一参数，为反映最大反向k-s距离的第二参数，为反映存储在第j个桶数组里的特征数量的第三参数，为第个区间对应的桶数组，为概率分布函数，为经验累积分布函数，计算公式如下：

34、

35、其中，表示若则为1；

36、基于最大的所述第一参数和最大的所述第二参数，得到反映拟合程度的k-s校验拟合距离。

37、本发明另一实施例提供了一种工业自动化控制设备安全状态监测装置，包括处理器，所述处理器被配置为：

38、在进入安全状态监测模式前，采集工控设备正常安全状态下的网络流量数据特征值，将所述网络流量数据特征值分为拟合样本和校验样本；

39、选定多个数据分布模型，逐个采用最大似然估计法对所述拟合样本进行拟合分析，得到对应的拟合概率分布函数；

40、采用桶-树二维索引法对所述校验样本进行快速排序，得到排序后的第一数据，计算所述第一数据对应的经验累积分布函数；

41、根据k-s检验，计算各个所述拟合概率分布函数和对应的所述经验累积分布函数的拟合程度；

42、确定与工控设备正常安全状态相匹配的目标数据分布模型，并确定与所述目标数据分布模型相对应的异常状态感知阈值；

43、在进入安全状态监测模式后，采集工控设备的实时网络流量数据特征值；

44、将所述实时网络流量数据特征值插入到桶-树二维索引中进行快速排序，得到排序后的第二数据，计算所述第二数据对应的实时经验累积分布函数；

45、采用k-s检验，计算工控设备正常安全状态下对应的所述概率分布函数和所述实时经验累积分布函数的符合程度，得到校验偏差值；

46、在所述校验偏差值大于所述异常状态感知阈值时，判定工控设备处于异常安全状态。

47、作为其中一种优选方案，所述数据分布模型至少包括高斯分布模型、对数正态分布模型、泊松分布模型、韦布尔分布模型、伽马分布模型和指数分布模型。

48、作为其中一种优选方案，所述选定多个数据分布模型，逐个采用最大似然估计法对所述拟合样本进行拟合分析，得到对应的拟合概率分布函数，具体包括：

49、从多个数据分布模型中选择一个数据分布模型；

50、计算该数据分布模型对应的似然函数，所述似然函数为：

51、

52、其中，l(θ)为似然函数，x为采集时间内的网络流量数据特征值集合，θ为选择的数据分布模型的模型参数；

53、对所述似然函数取对数，得到对数似然函数为：

54、

55、对所述对数似然函数进行求导，得到对应的最大似然估计参数值；

56、将所述最大似然估计参数值带入到选择的特征分布模型对应的累计分布函数中进行计算，计算式如下：

57、

58、其中，为累计分布函数，为最大似然估计参数值；

59、重复上述步骤，直至得到所有所述数据分布模型对应的最大似然估计参数值和累计分布函数。

60、作为其中一种优选方案，所述采用桶-树二维索引法对所述校验样本进行快速排序，具体包括：

61、将所述校验样本中的数据按照分桶方式进行区分，存放到对应的桶数组中；

62、将各个所述桶数组中内的数据按照树状数组结构进行排列。

63、作为其中一种优选方案，所述根据k-s检验，计算各个所述拟合概率分布函数和对应的所述经验累积分布函数的拟合程度，具体包括：

64、根据k-s检验，分别计算每个所述桶数组内存放的数据对应网络流量数据分布特征值的第一参数、第二参数和第三参数，计算式如下：

65、

66、

67、

68、其中，为反映最大正向k-s距离的第一参数，为反映最大反向k-s距离的第二参数，为反映存储在第j个桶数组里的特征数量的第三参数，为第个区间对应的桶数组，为概率分布函数，为经验累积分布函数，计算公式如下：

69、

70、其中，表示若则为1；

71、基于最大的所述第一参数和最大的所述第二参数，得到反映拟合程度的k-s校验拟合距离。

72、相比于现有技术，本发明实施例的有益效果在于以下所述中的至少一点：

73、在进入安全状态监测模式前，充分考虑各个模型在工控设备正常安全状态下的匹配度，并筛选确定与工控设备正常安全状态相匹配的目标数据分布模型，以及确定与目标数据分布模型相对应的异常状态感知阈值，然后进入实时监测模式，对工业自动化控制设备的安全状态进行监测，持续计算设备运行过程中的网络流量数据特征分布，采用k-s检验判定网络流量数据分布特征与基准特征分布的符合程度，如果偏差大于异常状态感知阈值则为运行状态异常。整个监测方法无需侵入到设备内部安装特定程序采集系统运行状态进行安全状态感知，整个过程运算复杂度低，适用于部署在计算资源受限的工业环境现场进行有效的工控设备安全状态监测。