本發明公開了基于狀態轉換時延圖的水分配系統異常檢測方法及系統，獲取水分配系統的混合數據類型狀態數據集；所述混合數據類型狀態數據集，包括：數據采集時間、每個水塔對應的水位、每個水塔所連接的每個水管的開關狀態、和每個水管所連接的每個閥門開關狀態；將混合數據類型狀態數據集，轉換成二元數據類型狀態數據集；基于二元數據類型狀態數據集，生成狀態轉換時延圖；獲取水分配系統中的實時數據；其中，實時數據，包括：儲水塔的水位、水管的打開/關閉狀態、閥門開關的打開/關閉狀態；將所獲取的實時數據，輸入到狀態轉換時延圖中，輸出水分配系統的異常檢測結果。

技術領域

本申請涉及信息安全技術領域，特別是涉及基于狀態轉換時延圖的水分配系統異常檢測方法及系統。

背景技術

本部分的陳述僅僅是提到了與本申請相關的背景技術，并不必然構成現有技術。

依據工業網絡部署層次,針對工業控制網絡的攻擊可分為3類：監控網攻擊，即來自信息空間的網絡攻擊，如篡改數據分組，破壞其完整性；系統攻擊，注入非法命令破壞現場設備，或違反總線協議中的數據分組格式的定義，如篡改其中某些參數，令其超出范圍而形成攻擊；語義攻擊(也稱序列攻擊)，攻擊命令是符合協議規范的，但違背了工控系統的生產邏輯過程，導致設備狀態偏離正常行為軌道，使系統處于“危險狀態”或“臨界狀態”。語義攻擊是工業控制網絡環境中最為隱蔽，破壞力最大的一類攻擊方式，典型的“震網”病毒事件通過修改離心機頻率而引發離心機故障，便屬于此類攻擊。

當前面向工業控制網絡語義攻擊的異常檢測方法可分成三類:基于流量的異常檢測、基于協議解析的異常檢測、基于設備狀態的異常檢測。慢滲透的語義攻擊方式使得基于流量的異常檢測已漸漸失去其優勢。基于協議的異常檢測方法以解析專有協議為基礎進行研究，其檢測效果受到對專有協議解析能力的限制。因此，傳統的基于流量和基于協議的方式在語義攻擊檢測中受限較大。綜上所述，構建面向設備狀態的工業控制網絡語義攻擊異常檢測方法，是極其重要也是十分迫切的。

目前基于狀態的異常檢測方法中，有基于說明的方式、基于狀態規則的方式和基于模型的方式。基于說明的方式對說明文件可信性的依賴性較強，一旦該文件被惡意篡改，其檢測結果將無法受到信任；在基于狀態規則方式的研究方面，Carcano采用狀態描述語言表達控制系統的狀態規則集，實現異常檢測，但是該方法狀態規則集需要人工創建；為了解決這一問題，Almalawi通過聚類算法對正常狀態和臨界狀態的分類，自動抽取出正常狀態規則集和臨界狀態規則集；我們團隊通過改進的Apriori算法和PrefixSpan算法，實現了狀態中沖突和次序特性的自動獲取。然而，基于狀態規則集的方式對時序性數據的處理能力有限。基于模型的方式大多結合操作序列進行聯合檢測，常用的模型有：有限狀態自動機、馬爾科夫鏈、概率后綴樹、混合馬爾可夫樹、貝葉斯網絡等，然而，僅從操作序列角度進行檢測，未能全面覆蓋各類攻擊行為所引發的設備行為特征變化，這將導致較高的誤報率。楊安團隊結合設備狀態信息識別操作間隔中工控設備的異常狀態實現異常檢測，但是他們著重檢測操作次序和對應的狀態變化，而沒有考慮狀態時延的特征。雖然張仁斌團隊考慮了狀態時延特征，但其使用均值描述時延特征的方式無法充分表達水分配系統的運行特點。

在實現本申請的過程中，發明人發現現有技術中存在以下技術問題：

現有水分配系統中基于設備狀態的實時性檢測方法缺乏問題，現有語義攻擊下臨界狀態特征描述性不完整的問題，現有數據可信性及有效性不高的問題，現有水分配系統在遇到閥門被非法或惡意順序打開或關閉時，監管系統無法實時精準檢測出來。

發明內容

為了解決現有技術的不足，本申請提供了基于狀態轉換時延圖的水分配系統異常檢測方法及系統；通過提取水分配系統中設備狀態數據，包括儲水塔的水位、水管的打開/關閉狀態、閥門開關的打開/關閉狀態，構建狀態轉換時延圖，將從控制設備(PLC)和被控設備(水管、閥門)中實時采集的數據輸入狀態轉換時延圖中，實現對水分配系統的實時異常檢測。

第一方面，本申請提供了基于狀態轉換時延圖的水分配系統異常檢測方法；