基于跨域因果圖的FCC分餾系統(tǒng)攻擊故障辨識方法

摘 要：針對催化裂化（fluid catalytic cracking，FCC）分餾系統(tǒng)在網絡攻擊和系統(tǒng)故障具有相似特征情況下難以辨識的問題，提出了一種基于跨域因果圖的攻擊故障辨識方法。首先，將數據驅動和拓撲知識融合以構建跨域因果圖，涵蓋物理層和信息層的變量節(jié)點和設備節(jié)點；其次，結合多源異常證據集，設計了基于弗洛伊德的異常因果傳播路徑搜索算法，得到異常節(jié)點間的因果傳播路徑；最后根據必經點約束、單點異常約束、必經點最大數量約束等條件，結合異常發(fā)生時間，得到異常傳播路徑的最小樹型圖，根據根節(jié)點位置判斷系統(tǒng)異常類型。該方法在FCC分餾仿真系統(tǒng)上驗證了有效性，結果表明其辨識準確率為94.84%，對正常工況、故障工況和攻擊工況的檢測召回率分別為97.11%、93.25%、95.30%，相比同類方案，該方法不僅解決了相似特征帶來的辨識難題，還能在保證較高的辨識準確率的同時，給出異常傳播路徑，為安全防護提供報警信息。

關鍵詞：跨域因果圖；路徑搜索；最小樹型圖；攻擊故障辨識；催化裂化

中圖分類號：TP309"" 文獻標志碼：A

文章編號：1001-3695（2025）01-037-0269-07

doi：10.19734/j.issn.1001-3695.2024.01.0164

Discrimination between attacks and faults for FCC fractionation system withcross-domain causal diagram

Abstract： To solve the problem that attacks had similar characteristics like faults in physical data，this paper proposed a discrimination method，with cross-domain causal diagram，between attacks and faults for FCC fractionation system.Firstly，the process of cross-domain causal graph construction integrated data-driven method and topological knowledge method，covering the physical layer and information layer.Secondly，combined with the multi-source anomaly evidence，this paper presented a causal path search method based on Floyd algorithm to obtain the causal paths between abnormal nodes.Finally it obtained the minimum fork tree of the anomaly propagation path according to the dominators constraint，the single point anomaly constraint，the maximum number constraint of dominators，along with the occurrence time of abnormal nodes.This method determined the root cause of anomaly according to the position of the root node.The test on a simulated FCC fractionation system validated the effectiveness of the proposed method.The results show that the identification accuracy of this method is 94.84%，and the recall rates of normal，fault and attack conditions are 97.11%，93.25% and 95.30%.Compared with similar schemes，this method not only solves the identification problems caused by similar features，but also provides the abnormal propagation path and provides alarm information for security protection while ensuring high identification accuracy.

Key words：cross-domain causal diagram；path search；minimum fork tree；attacks and faults identification；fluid catalytic cracking

0 引言

催化裂化分餾系統(tǒng)是石油煉化過程的重要組成部分，若系統(tǒng)發(fā)生異常，輕則影響產品質量，重則造成重大安全事故。隨著工業(yè)互聯網的普及，FCC分餾系統(tǒng)引入了網絡攻擊，其最終也會導致物理過程發(fā)生異常。網絡攻擊造成的系統(tǒng)異常在過程變量上的特征與生產現場的偶發(fā)性故障具有相似性［1］，而應對網絡攻擊和系統(tǒng)故障的防護策略截然不同，所以辨識出異常發(fā)生的根本原因（攻擊故障辨識）是互聯網環(huán)境下控制裝置安全防護亟待解決的問題。

近年來，已有學者提出一些攻擊故障辨識方法，主要研究方向分為兩類：一類利用物理過程數據實現辨識［2，3］，另一類則綜合利用物理過程數據［4～6］和通信網絡數據［7～9］實現辨識。在第一類研究中，Gupta等人［10］提出了一種非侵入式的電力電子系統(tǒng)異常診斷方法，將局部測量電壓和頻率通過物理經驗規(guī)律映射到某平面上，再利用軌跡窗口檢測各區(qū)域內的軌跡情況，以實現對FDI攻擊和配電線路故障的辨別。Zhang等人［11］提出了一種結合自適應估計的特制水印算法，通過自適應觀測器預估系統(tǒng)輸出，再設計集成水印算法的兩種信號處理器來生成重放攻擊和傳感器故障下的殘差和閾值，實現辨別。Wang等人［12］針對智能電網在無故障時受到測量竄改攻擊出現的虛假故障問題，設計了基于記憶脈沖神經P系統(tǒng)及其通用矩陣推理算法的方法。以上研究無論是基于模型的方法，還是數據驅動的方法，都只利用了物理過程數據實現攻擊故障辨識， 沒有充分利用通信網絡數據及相關信息，忽略了跨域攻擊在通信網絡中的痕跡，難以區(qū)分具有相似物理數據特征的網絡攻擊和系統(tǒng)故障。在第二類研究中，Farajzadeh-Zanjani等人［13］引入一種新的生成對抗網絡ACIL來學習少數類分布和多數類分布，實現對電力信息物理系統(tǒng)的攻擊、故障分類。Eslami等人［14］分別使用了馬爾可夫鏈模型和混合編碼及消息認證方法來檢測故障和數據注入攻擊，并設計了綜合檢測方案以同時檢測攻擊和故障。雖然上述研究綜合采用了故障診斷技術和入侵檢測技術，但仍未解決物理數據特征相似造成的攻擊故障辨識難題，區(qū)分開攻擊和故障后也不支持異常溯源，難以進行異常根因定位，不利于開展安全防護和維修工作。

針對上述問題，本文提出基于跨域因果圖的攻擊故障辨識方法。首先，該方法綜合利用物理過程數據和通信拓撲結構構建跨域因果圖，實現對物理域和信息域的覆蓋，為跨域異常溯源和異常根因定位提供因果關系。其中，為構建物理域因果圖，本文創(chuàng)新性地提出了基于時滯互信息的變量因果分析方法。傳統(tǒng)互信息分析方法只能衡量變量間的相關關系，由于缺乏方向性而無法衡量因果關系。因此，本文方法在其基礎上，引入時滯參數來計算得到變量間的時滯互信息曲線，通過判斷兩曲線的超前滯后關系確定變量之間的信息流方向，彌補了互信息在非對稱性上的不足，并能用于異常傳播路徑識別。計算變量間信息流方向的原則是自變量發(fā)生在因變量之前［15］。在跨域因果圖基礎上，提出基于改進弗洛伊德算法的最小樹型圖生成方法，用于實現攻擊故障辨識。該方法利用物理過程數據和通信報文數據充分挖掘網絡攻擊和系統(tǒng)故障在物理域和信息域中的行為特征，再基于改進弗洛伊德算法得到異常傳播路徑，具有完整跨域異常傳播路徑的樣本即為攻擊場景下的樣本，而異常根因點處于物理域則判定為故障樣本，以此應對物理數據特征相似造成的攻擊故障辨識難題。本文在實驗章節(jié)設計了兩組具有物理反應過程相似異常現象的實驗場景，用于驗證上述方法。

1 催化裂化分餾系統(tǒng)及攻擊故障辨識框架

1.1 催化裂化分餾系統(tǒng)

FCC分餾系統(tǒng)作為煉油工藝的重要組成部分，是一個典型的工業(yè)控制系統(tǒng)，既包含信息層，又包含物理層，如圖1所示。信息層分為控制層和監(jiān)控層，其中，控制層部署了四臺可編程邏輯控制器（PLC）用于接收監(jiān)控層的指令，采集反應過程數據和控制反應進行；監(jiān)控層包括操作員站、工程師站、人機界面（HMI）和歷史數據庫服務器，實現對生產過程的監(jiān)督控制；另外為應對海量數據存儲及實時異常檢測需求，在 PLC和監(jiān)控層主機間設置了實時數據庫服務器。物理層則包括FCC分餾反應過程及各類傳感器和執(zhí)行器等設備，反應過程包括分餾塔、油氣分離器和汽提塔等部分［16］。

1.2 攻擊故障辨識框架

本文以經典的結焦和沖塔［17］為例設計故障場景，以常見的竄改攻擊和虛假數據注入攻擊（1 data injection attack，FDIA）為例設計攻擊場景。圖2給出了基于跨域因果圖的FCC分餾系統(tǒng)攻擊故障辨識框架，由跨域因果圖構建和異常根因識別兩部分組成。

跨域因果圖構建過程融合了數據驅動方法和拓撲知識方法，分別構建物理域變量因果圖和信息域設備因果圖，再根據物理域和信息域間的通信關系連接兩圖即可構建跨域因果圖。

在異常根因識別方面，首先從前期工作所得的多源異常證據中提取出異常節(jié)點，并根據跨域因果圖提供的因果關系去除不可達點，剩余節(jié)點作為弗洛伊德算法的必經節(jié)點約束條件；之后考慮到異常傳播具有快速性以及本實驗環(huán)境均為單點異常場景，因此利用弗洛伊德算法計算各節(jié)點間的最短路徑，并施加單點異常約束；最后結合必經點最大數量約束，篩選出最有可能的幾種異常傳播路徑及對應根節(jié)點，對比以上情況的根節(jié)點異常發(fā)生時間，發(fā)生異常時刻最早的即為最終異常根源點，給出對應的異常傳播路徑。根據異常根源點位置及異常傳播路徑的完整性即可確定異常是由攻擊導致的還是由故障導致的。

2 基于數據和知識的跨域因果圖構建

定量的數據驅動方法可以提高跨域因果圖構建效率，而定性的拓撲知識方法則可以去除跨域因果圖的冗余錯誤關系，兩者結合以構建包含物理層和信息層的跨域因果圖，可以有效應對復雜工業(yè)生產過程安全風險。

2.1 基于時滯互信息的變量因果分析

格蘭杰因果分析方法［18］在大規(guī)模化工過程中會給出大量冗余的偽相關的非直接因果關系，加之工業(yè)系統(tǒng)本身變量因果關系復雜的特性［19］，都給建模成本和異常傳播路徑識別帶來了困難。因此，本文使用基于互信息的相關性分析方法，再結合時滯參數計算變量間的信息流方向，得到局部變量因果圖。互信息（mutual information，MI）基于信息熵理論，是變量間相互依賴性的量度，可以表示某變量中包含另一變量的信息量。互信息是非負值，即I（X，Y）≥0，而且是對稱的，即I（X，Y）=I（Y，X）。

文獻［20］給出了一種基于K-近鄰統(tǒng)計量的互信息估計方法，式（1）給出X與Y兩個時序變量之間的互信息計算方法，式（2）給出了式（1）中部分算式的說明。

I（X，Y）=ψ（k）-〈ψ（nx（i）+1）+ψ（ny（i）+1）〉+ψ（N）（1）

其中：ψ（k）是digamma函數；k為鄰居數；N為樣本數；nx（i）是以k為鄰居數、xi為中心點的點zi=（xi，yi）數量，同理可得ny（i），〈…〉表示X、Y所有樣本點i∈［1，…，N］的平均值。

互信息只能衡量相關關系，不能提供信息流方向，因此在計算互信息基礎上，考慮加入時滯參數彌補不對稱性的需求。因此，在文獻［20］基礎上，加入時滯參數計算如下：

I1：X［t：t+n］，Y［t+i：t+n+i］，i=0～Tmax（3）

I2：Y［t：t+n］，X［t+i：t+n+i］，i=0～Tmax（4）

其中：Tmax表示最大時滯值，最小為信號周期。

式（3）計算滯后Y變量對X變量的時滯互信息I1，該曲線表示I1關于時滯參數i∈［0，Tmax］的變化情況。式（4）則表示相反的含義。比較I1和I2曲線的關系，若I1超前于I2，則可以認為X超前于Y，因果關系為X→Y。

以一個例子來進行說明，對于某周期約為T（由于有小信號噪聲）的函數x，以及在x基礎上受到干擾后存在滯后t_delay時刻的函數y，周期大致仍為T。取t=0，n=4×T，令Tmax=2×T，計算I1和I2，容易知道，I1達到第一個極大值的時刻大概為t_delay，而I2達到第一個極大值的時刻大概為T-t_delay。當Tgt;gt;t_delay時，顯然可以通過判斷I1和I2的超前或滯后關系來得到x與y的信息流方向。

由于FCC分餾系統(tǒng)的過程變量呈現非周期性，所以可視為T→∞，這種情況下取某一時段內的數據計算時滯互信息，有且僅有一個極大值，所以分別取I1和I2的峰值時刻比較大小即可判斷變量間的信息流方向。

2.2 基于拓撲知識的模塊關聯分析和跨域因果分析

為連接各局部反應過程的變量因果子圖，并與信息域設備銜接起來，本文利用FCC分餾系統(tǒng)工藝圖和仿真模型結構，基于拓撲知識挖掘物理反應過程各模塊間的因果關系，并構建控制層和監(jiān)控層的設備因果圖。

如圖1所示，FCC分餾物理過程分為催化裂化分餾主塔、油氣分離器、汽提塔、分餾塔底油漿循環(huán)四個模塊。各模塊之間通過關鍵管道或設備進行連接，下面予以詳細分析。分餾主塔和油氣分離器通過塔頂閥門FV01連通，因此，FV01對油氣分離器內的壓強PI03和底部液位LI03有直接強作用，但由于FV01受PC01控制器控制，所以FV01受分餾主塔的影響更強，受PI03和LI03的作用較小。考慮到FCC分餾系統(tǒng)多變量之間耦合關系強且復雜，為避免引入過多的低相互作用關系，這里將上述模塊間因果關系處理為FV01→PI03、FV01→LI03。同理，處理其他模塊間的連接關系，結果如表1所示。

關于控制層和監(jiān)控層，可以根據通信網絡的信息流方向來構建設備因果圖。本文所設計的仿真系統(tǒng)在控制層部署了4臺PLC（P1～P4），用于接收操作員站（operator station，OS）的指令和工程師站（engineer station，ES）的組態(tài)來控制反應過程進行，并將現場數據上傳至實時數據庫服務器（real-time database server，RTDBS）；工程師站除下發(fā)組態(tài)給PLC外，還可以配置操作員站；實時數據庫服務器將采集的數據發(fā)送給操作員站、工程師站和人機界面（HMI）；HMI實現對生產過程的實時數據展示，并存入歷史數據庫服務器（history database server，HDBS）中。以上因果關系分析如表2所示。

2.3 構建流程

在構建跨域因果圖時，首先按照模塊化思想將系統(tǒng)分為信息層和物理層，對信息層做基于拓撲知識的設備因果圖構建，詳見表2，對物理層按照工藝區(qū)域分為四部分，對各部分分別做數據驅動的變量因果圖構建，參照式（1）～（4）；其次，根據物理層各工藝段之間的關鍵聯系，組建變量因果子圖成為完整的物理域變量因果圖，見表1；最后，根據表3中的控制層和被控變量的對應關系將物理域因果圖和信息域因果銜接起來，構成跨域因果圖。

所構建的跨域因果圖如圖3所示，覆蓋物理層、控制層和監(jiān)控層的變量節(jié)點和設備節(jié)點。

3 基于異常因果傳播路徑搜索的攻擊故障辨識

攻擊故障辨識可以從尋找異常傳播路徑和確定異常根因點位置的角度出發(fā)，利用多源異常證據集得到關鍵異常節(jié)點狀態(tài)，利用跨域因果圖得到異常節(jié)點間的因果關系，在此基礎上，提出基于異常因果傳播路徑的搜索算法，可以準確定位系統(tǒng)異常的根因點位置，并識別出異常的根本原因是攻擊還是故障。

3.1 基于弗洛伊德算法的異常因果傳播路徑搜索

異常因果傳播路徑搜索旨在確定異常節(jié)點間的因果關系。當兩節(jié)點均處于異常狀態(tài)時，且存在因果關系，那么兩點及兩點間的因果方向即組成一條異常傳播路徑，將其擴展為涵蓋物理域和信息域的n個異常節(jié)點，那么就能得到各節(jié)點間的異常傳播路徑。要完成上述工作，首先需要得到多源異常證據集和跨域因果圖。多源異常證據集源自于前期工作所設計的綜合異常檢測方法，如表4所示，每個樣本包含46個節(jié)點的狀態(tài)，其中有9個信息域設備節(jié)點，依次為HMI、HDBS、RTDBS、OS、ES、PLC（P1～P4），以及37個物理域過程變量節(jié)點，依次為FV01～FV10、FI01～FI09、FI11～FI14、TI01～TI07、PI01～PI04、LI01～LI03。其中，節(jié)點狀態(tài)為0表示正常，為1則表示異常。至于跨域因果圖，第2章的變量因果分析方法彌補了化工過程高耦合高復雜性造成的機理缺失缺陷，所計算出的因果關系在設備未失效情況下可以作為異常傳播的參考方向，而基于拓撲知識的分析可直接作為異常傳播的參考方向。據此，下面提出基于弗洛伊德算法的異常因果傳播路徑搜索流程。

首先從多源異常證據集某樣本Evi中提取出非0狀態(tài)的變量節(jié)點作為該樣本的證據集AbEvi={n1，n2，…，nm}，判斷其是否存在異常點：

其中：l表示異常傳播路徑；len（AbEvi）表示非0狀態(tài)節(jié)點個數。

若不存在異常點，則可以直接判斷該樣本為正常狀態(tài)，l={-1}，以便與節(jié)點編號區(qū)分開；若僅有1個異常節(jié)點，考慮到節(jié)點自身存在可達性，可能該樣本處于異常剛發(fā)生階段，因此認為l={n1}。若存在2個及以上的異常節(jié)點，則需要先進行可達性判斷，用于減小異常檢測誤報帶來的影響。可達性判斷的原理是去除與其他點距離均為inf的節(jié)點，這里需要提及的是，所有有直接因果關系的節(jié)點間的距離都處理為1，不存在因果關系的節(jié)點間距離則設為一個無窮大值，即inf=9999999999，那么跨域因果圖就轉變?yōu)橛邢蛴袡鄨D。按式（6）進行可達性判斷并得到不可達點序列delete_id={n1，n2，…，ni}。

其中：graph［ni］［nj］表示ni→nj的邊權值，graph［nj］［ni］相反。

從AbEvi中去除delete_id中的節(jié)點后得到剩余節(jié)點集AbEvi′，考慮到異常傳播具有快速性特點，且本問題屬于多源路徑搜索問題，因此利用弗洛伊德算法計算各節(jié)點間的最短路徑，并令AbEvi′作為必經節(jié)點約束。這里需要注意的是，去除不可達點后需要再執(zhí)行一次式（5），不同的是，當節(jié)點數量多于1個時，執(zhí)行弗洛伊德算法，原理如下：

節(jié)點ni到達節(jié)點nj（i≠j）有兩種方式：a）無中轉節(jié)點：ni→nj；b）有中轉節(jié)點（1或多個）：ni→nk1→…→nj。

找到ni到nj的最短距離，只需要比較兩條路徑的長短，即判斷graph［ni］［nj］與graph［ni］［nk］+graph［nk］［nj］的大小，前者表示ni到nj的當前距離，后者表示從ni先到中轉節(jié)點nk再到nj的距離之和。若后者更小，則更新graph［ni］［nj］，并更新父節(jié)點parent［ni］［nj］為parent［nk］［nj］，以便回溯ni到nj的異常傳播路徑。

由于方式b）可能經過多個中轉節(jié)點，所以為得到ni到nj的最終最短距離，需要對所有除ni和nj以外的節(jié)點都做一次判斷，將之擴展到每個ni到每個nj的最短距離求解問題，那么對ni和nj以及中轉節(jié)點nk都做n次循環(huán)處理即可。輸出結果為異常傳播路徑集path={l1，l2，…，lp}，lp：ni→nk1→…→nj。

算法1 因果路徑搜索算法

輸入：多源異常證據集樣本Evi、有向有權圖graph及父節(jié)點parent。

輸出：異常傳播路徑集path。

AbEvi.add（Evi［i］），if Evi［i］！=‘0’/*提取非0狀態(tài)節(jié)點組成證據集*/

if len（AbEvi）==0 then l={-1}

elif len（AbEvi）==1 then l={n1}

else delete_id=judge_access（AbEvi，graph）

AbEvi′=remove delete_id from AbEvi //去除不可達點

do 2～3（AbEvi′） else Floyd（AbEvi′，graph，parent） /*執(zhí)行約束條件下的弗洛伊德算法*/

for nk in AbEvi’ do

for ni in AbEvi’ do

for nj in AbEvi’ do

if |ni，nk|+|nk，nj|lt;|ni，nj|then

renew graph［i］［j］，parent［i］［j］

end if

get path from parent //遞歸回溯父節(jié)點得到路徑

end if

3.2 基于異常根因定位的攻擊故障辨識

考慮單點異常場景，即故障和攻擊均由單個變量節(jié)點或單個設備節(jié)點注入并影響到多個節(jié)點，因此可以對異常傳播路徑集path={l1，l2，…，lp}施加單點異常約束條件，得到若干個可能的異常傳播路徑集pathi={l1，l2，…，lq}，i表示根節(jié)點為ni，意味著pathi中的任意路徑l的根節(jié)點，或者也可以稱之為起始點，均為ni。式（7）（8）展示了兩個路徑集的區(qū)別。

l：ni→nk1→…→nj；l∈path；i，k1，j∈AbEvi′（7）

l：ni→nk1→…→nj；l∈pathi；i，k1，j∈AbEvi′（8）

由于每次ni到nj的路徑都更新為最小值，所以再通過該節(jié)點的路徑都能保證是最短的，也就相當于保證了兩節(jié)點間不存在冗余路徑，對pathi內的若干條路徑l，只需要將各路徑中的相同節(jié)點重合起來即可得到完整的系統(tǒng)異常傳播路徑li，li是單起點多終點路徑，呈最小樹型圖結構，如圖4所示。

由于正確的異常傳播路徑遵循因果關系，應與必經節(jié)點約束AbEvi′最大程度相匹配，所以對若干條系統(tǒng)異常傳播路徑li施加必經節(jié)點最大數量約束，以0.8×amount（AbEvi′）為篩選閾值，篩選出最有可能的一或幾種異常傳播路徑及對應根節(jié)點。最后根據根節(jié)點異常發(fā)生時間的先后，發(fā)生異常時刻最早的即為最終異常根源點root，并給出對應的異常傳播路徑l_end。根據異常根源點位置及異常傳播路徑的完整性即可確定異常是由攻擊導致的還是由故障導致的。在異常傳播路徑完整性得以保障的情況下，異常根源點位置處于信息域則判定為攻擊，處于物理域則判定為故障。

算法2 異常根因定位算法

輸入：必經節(jié)點約束集AbEvi′、有向有權圖graph。

輸出：異常根源點位置root、異常傳播路徑l_end。

get pathi from path，i∈AbEvi′ //提取某固定根的路徑

li ← merge_path（pathi） //合并路徑得到最小樹型圖

for nj in li do （i≠j）

if |ni，nj| ！=inf then amount_li++

end if

end for

root_list.add（ni） if amount_ligt;=0.8×amount（AbEvi′） /*篩選出符合必經點最大數量約束條件的異常傳播路徑*/

if len（root_list）==0 then root=-1，l_end=1

else root←judge_time（root_list） //結合異常發(fā)生時間

end if

l_end←li，ni=root

4 實驗結果與分析

4.1 實驗場景

設計的FCC分餾仿真系統(tǒng)如圖5所示，覆蓋物理層和信息層。其中，物理層使用化工建模軟件Aspen Plus Dynamics構建FCC分餾過程模型，并將其內置的PID控制器進行解耦完成外置處理：基于Python編寫10條控制回路的PID邏輯，并按劃分的工藝段歸屬于PLC1～PLC4。進一步地，各工藝段內的現場數據由對應PLC采集并上傳至監(jiān)控層。控制層和監(jiān)控層之間通過編寫的Modbus TCP通信協議來交互數據。監(jiān)控層設備均部署在本機上，使用虛擬IP完成基本業(yè)務行為。

本文設計了兩組在物理反應過程上具有相似異常現象的實驗場景，分別為沖塔故障和竄改攻擊，以及換熱器結焦故障和虛假數據注入攻擊。前兩者主要會造成分餾塔塔頂溫度和分餾塔中段塔板溫度偏高，影響側線產物質量；后兩者則會造成分餾塔塔底油漿循環(huán)部分溫度偏高，加劇結焦過程。下面介紹四種實驗場景的模擬方法。

a）沖塔故障。令中段循環(huán)回流流量調節(jié)閥FV04保持不變來保證分餾塔中段塔板內氣液含量基本不變，用于模擬中段回流斷流；另外令中段循環(huán)的熱負荷絕對值減小，即降低冷卻水溫度，用以模擬分餾塔的熱平衡失衡效果。

b）竄改攻擊。攻擊者利用系統(tǒng)漏洞獲得工程師站ES的操作權限，并對PLC1下發(fā)配置指令以修改分餾塔頂溫度控制回路TC01和分餾塔中段塔板溫度控制回路TC02的設定值sp，影響效果與沖塔故障類似。

c）換熱器結焦故障。降低油漿上返塔熱負荷絕對值，令冷卻水的降溫效果變差。

d）虛假數據注入攻擊。竄改PLC4上傳的分餾塔底溫度TI06，通過構造TI06+δ=355，δ∈Euclid Math TwoRAp導致操作員站或工程師站下發(fā)錯誤策略，使塔底溫度控制回路TC03設定值偏離正常值。

4.2 實驗結果分析

本實驗采集了正常工況、兩種故障工況以及兩種攻擊工況下各415個樣本，樣本描述見表4。之后利用上述方法進行攻擊故障辨識，所得異常傳播路徑、異常根源點位置以及辨識結果陳述如下：

a）沖塔故障。該故障下的異常傳播路徑如圖6所示。該故障使用中段循環(huán)回流流量調節(jié)閥FV04來模擬中段回流斷流現象，因此該變量為異常根源點，并引發(fā)其他變量產生異常，該節(jié)點在圖6中進行了加粗表示。中段回流斷流導致分餾塔熱平衡失衡，首先會影響分餾塔第15層塔板溫度TI04，接著分別影響三部分區(qū)域：（a）分餾塔頂溫度TI01異常，受其影響油氣分離器部分溫度也會異常，進而影響粗汽油干點，導致產物質量降低；（b）回煉油回流流量FI06異常，進而導致分餾塔底部溫度TI05異常；（c）側線產物柴油質量異常，這一點主要體現在汽提塔各主要變量異常，例如塔頂流量閥FV03、汽提蒸汽輸入流量FI11、塔底液位LI02以及柴油產出流量FI12。

b）竄改攻擊。該攻擊下的異常傳播路徑如圖7所示。

類似于沖塔故障，該工況主要影響分餾塔塔頂溫度TI01、第15層塔板溫度TI04以及回煉油回流流量FI06，其根源點為工程師站。從圖7可以看出，精心設計的攻擊區(qū)別于故障，可以實現小范圍內的特定路徑影響效果，同時能在物理域變量上營造出類似于故障的異常現象。

c）換熱器結焦故障。

異常傳播路徑如圖8所示。該故障通過降低油漿上返塔熱負荷絕對值來實現模擬。由于用于冷卻油漿上返塔部分的冷卻水溫度降低，所以為了保證分餾塔內熱平衡穩(wěn)定，系統(tǒng)會使返塔油漿流速增快，即油漿返塔流量FI08異常，進而影響其他變量。主要影響三部分工藝：（a）影響塔底油漿溫度并加劇結焦問題，該過程通過影響油漿外甩量及閥門開度FI09、FV07，進一步影響塔底液位LI01，最終導致分餾塔底部溫度TI05異常；（b）影響側線產物柴油質量，油漿返塔流量FI08波及上返塔流量調節(jié)閥開度FV06，并使32層塔板溫度TI06異常，進而影響汽提塔部分工藝，異常表現與沖塔故障類似，不再贅述；（c）影響分餾塔塔頂溫度TI01及粗汽油干點TI02，該部分是由汽提塔部分的影響過渡而來。

d）虛假數據注入攻擊。類似于換熱器結焦故障，該工況主要影響塔底32層塔板溫度TI06、油漿返塔量FI08及油漿外甩量FI09，其根源點為PLC4。從圖9也可以看出，精心設計的FDIA是有目的、有針對性地實施小范圍內的特定節(jié)點攻擊，同時達到類似于換熱器結焦故障的異常現象。

除上述正確檢測結果以外，還存在少量辨識錯誤結果，這些情況是由異常檢測誤報、漏報問題，以及偶然網絡故障造成的丟包問題所導致的。最后，給出評估本方法辨識效果的各個指標及對應含義。如圖10所示，本文屬于三分類問題。

圖中，N表示樣本，第一個下標字母表示樣本真實標簽，第二個下標字母表示辨識標簽，n表示正常工況normal；a：a1、a2表示攻擊工況attack；f：f1、f2表示故障工況fault。根據準確率A（accuracy）、精確率P（precision）、召回率R（recall）及調和平均值F1的定義，計算各工況類別的檢測指標如下：

對Pa1和Pa2計算均值可得到攻擊工況下的Pa，同理得到Pf、Ra、Rf。再對Pn、Pa、Pf計算均值可得到P，同理得到R，計算如下：

表5給出了本方法的分辨指標結果，驗證了本方法的有效性，檢測準確率為94.84%。

為表明本方法的特點和優(yōu)勢，對比同類辨識方法如表6所示。

本方法在構建跨域因果圖時即考慮了物理過程變量數據和通信網絡拓撲，該圖包括物理域變量節(jié)點和信息域設備節(jié)點，因此支持跨域異常溯源，而同類方法只實現檢測而不支持溯源及定位。另外，考慮到攻擊故障辨識的難點在于兩者具有相似的物理異常特征，因此本實驗設計了兩組在物理反應過程上具有相似異常現象的實驗場景，而同類方法沒有提及此問題。

5 結束語

針對FCC分餾系統(tǒng)難以分辨具有相似物理特征的跨域攻擊和系統(tǒng)故障問題，本文提出一種基于跨域因果圖的攻擊故障辨識方法。該方法綜合利用拓撲知識和數據驅動來構建跨域因果圖，其中數據驅動方法中提出考慮時滯參數來彌補互信息在非對稱性上的不足；之后基于多源異常證據集，設計了基于弗洛伊德的異常因果路徑搜索算法，用于生成異常傳播路徑，并確定異常根源點位置，實現攻擊故障辨識。最后，FCC分餾仿真系統(tǒng)的測試結果驗證了本方法的有效性和可行性。本方法充分考慮了跨域攻擊在信息域中的行為特征，并能較好地分辨出正常、故障和攻擊三種工況，所給出的異常傳播路徑也能為系統(tǒng)維修和防御提供參考。

未來研究工作將致力于兩方面內容：a）研究時滯互信息分析方法的抗干擾能力，使其在高密度小鋸齒信號下仍能準確衡量因果關系；b）研究攻擊故障辨識對于工業(yè)控制系統(tǒng)的一般性框架，不局限于區(qū)分某幾類攻擊和故障。

參考文獻：

［1］Khan M A，Bharath Kurukuru V S，Sahoo S，et al.From physics to data oriented cyber attack profile emulation in grid connected PV systems［C］//Proc of the 22nd IEEE Workshop on Control and Modelling of Power Electronics.Piscataway，NJ：IEEE Press，2021：1-8.

［2］Hemmati R，Faraji H.Identification of cyber-attack/outage/fault in zero-energy building with load and energy management strategies［J］.Journal of Energy Storage，2022，50：104290.

［3］Agrawal A，Affijulla S.A concept for discrimination of electrical fault from cyber attack in smart electric grid［J］.Journal of Electrical Engineering，2022，73（4）：299-304.

［4］Tian Wende，Wang Shaochen，Sun Suli，et al.Intelligent prediction and early warning of abnormal conditions for fluid catalytic cracking process［J］.Chemical Engineering Research and Design，2022，181：304-320.

［5］Taira G R，Park S W，Zanin A C，et al.Fault detection in a fluid catalytic cracking process using Bayesian recurrent neural network［J］.IFAC-PapersOnLine，2022，55（7）：715-720.

［6］Amin Md T，Imtiaz S，Khan F.Process system fault detection and diagnosis using a hybrid technique［J］.Chemical Engineering Science，2018，189：191-211.

［7］Zhang Yichi，Yang Chunhua，Huang Keke，et al.Intrusion detection of industrial Internet-of-Things based on reconstructed graph neural networks［J］.IEEE Trans on Network Science and Engineering，2023，10（5）：2894-2905.

［8］Xu Hao，Sun Zihan，Cao Yuan，et al.A data-driven approach for intrusion and anomaly detection using automated machine learning for the Internet of Things［J］.Soft Computing，2023，27（19）：14469-14481.

［9］Alkadi O，Moustafa N，Turnbull B，et al.A deep blockchain framework-enabled collaborative intrusion detection for protecting IoT and cloud networks［J］.IEEE Internet of Things Journal，2021，8（12）：9463-9472.

［10］Gupta K，Sahoo S，Mohanty R，et al.Distinguishing between cyber attacks and faults in power electronic systems—a noninvasive approach［J］.IEEE Journal of Emerging and Selected Topics in Power Electronics，2023，11（2）：1578-1588.

［11］Zhang Kangkang，Keliris C，Parisini T，et al.Identification of sensor replay attacks and physical faults for cyber-physical systems［J］.IEEE Control Systems Letters，2022，6：1178-1183.

［12］Wang Tao，Liu Wei，Cabrera L V，et al.A novel fault diagnosis method of smart grids based on memory spiking neural P systems considering measurement tampering attacks［J］.Information Sciences，2022，596：520-536.

［13］Farajzadeh-Zanjani M，Hallaji E，Razavi-Far R，et al.Generative-adversarial class-imbalance learning for classifying cyber-attacks and faults—a cyber-physical power system［J］.IEEE Trans on Depen-dable and Secure Computing，2022，19（6）：4068-4081.

［14］Eslami A，Abdollahi F，Khorasani K.Stochastic fault and cyber-attack detection and consensus control in multi-agent systems［J］. International Journal of Control，2022，95（9）：2379-2397.

［15］Granger C W J.Testing for causality：a personal viewpoint［J］.Journal of Economic Dynamics and Control，1980，2：329-352.

［16］齊從政.催化裂化分餾及吸收穩(wěn)定系統(tǒng)的動態(tài)模擬［D］.北京：北京化工大學，2021.（Qi Congzheng.Dynamic simulation of catalytic cracking fractionation and absorption stabilization system［D］.Beijing：Beijing University of Chemical Technology，2021.）

［17］胡瑾秋，蔡爽，張來斌.基于多尺度建模的煉油化工過程報警根源分析［J］.石油學報（石油加工），2018，34（2）：341-353.（Hu Jinqiu，Cai Shuang，Zhang Laibin.Alarm root cause analysis in refinery process based on multi-scale modeling［J］.Acta Petrolei Sinica（Petroleum Processing Section），2018，34（2）：341-353.）

［18］任偉杰，韓敏.多元時間序列因果關系分析研究綜述［J］.自動化學報，2021，47（1）：64-78.（Ren Weijie，Han Min.Survey on causality analysis of multivariate time series［J］.Acta Automatica Sinica，2021，47（1）：64-78.）

［19］郭小萍，洪升園，李元.基于簡化因果圖的工業(yè)過程故障根本變量診斷［J］.計算機應用研究，2022，39（12）：3720-3723.（Guo Xiao-ping，Hong Shengyuan，Li Yuan.Root variable diagnosis of industrial process fault based on simplifying causality diagram［J］.Application Research of Computers，2022，39（12）：3720-3723.

［20］Kraskov A，Stgbauer H，Grassberger P.Estimating mutual information［J］.Physical Review E，2004，69（6）：066138.