本發明涉及一種基于狀態時延轉換圖二次標注的工控系統設備行為建模方法及裝置，包括：(1)狀態數據預處理；對狀態數據執行離散變量二元化和連續變量二元化操作，生成多組二元狀態集合；(2)狀態時延轉換圖構建；對每個二元狀態集合構建與之相對應的狀態時延轉換圖；(3)基于環發現的初級標注；采用狀態轉換邊和環的標注流程，進行初級標注；(4)基于時延特征聚類的二次標注；輸出為行為模型中的各參數。本發明實現設備狀態轉換及相應持續時間的描述，本發明將實時水分配系統中過程設備實時產生的狀態數據輸入行為模型中，可以有效發現過程設備當前狀態是否符合行為模型中描述的數據關系及轉換關系，實現異常檢測。

技術領域

本發明涉及一種基于狀態時延轉換圖二次標注的工控系統設備行為建模實現異常檢測的方法，屬于信息安全技術領域。

背景技術

在工業控制系統異常檢測研究中，一般采用設備正常行為建模方式實現對未知異常狀態的檢測，行為模型的優劣直接影響著檢測結果的精確度。工控系統中設備主體類型多樣使得設備行為建模方法多樣。一般將控制行為操作方式作為建模對象，依據建模方式的不同，研究者從統計學、機器學習、控制學等領域多視角地進行了深入研究：采用無隨機成分建立的確定型模型，如與/或圖、有限狀態自動機、關聯性規則；采用概率統計的方法通過計算各個操作出現的頻率而建立的概率型模型，如支持向量機、貝葉斯網絡、Markov鏈、概率后綴樹、混合馬爾科夫樹；然而，大多從設備操作行為的角度進行語義描述，將控制設備的行為與現場設備的狀態分離開來。然而，影響設備狀態異常的因素不僅僅是由中間人攻擊、拒絕服務攻擊等攻擊行為引發的設備操作時序、次序等方面的操作異常，還包括由以控制設備的輸入/輸出寄存器、控制邏輯程序、固件為攻擊目標的攻擊行為所引發的現場設備狀態異常，僅從操作序列角度進行檢測，未能全面覆蓋各類攻擊行為所引發的設備行為特征變化，這將導致較高的誤報率。

基于設備狀態的建模方式更能直接體現控制系統的操作行為特征，目前的模型有：基于工業控制物理過程的描述型模型，如自回歸模型、物理過程模型等。自回歸模型在對基于離散類型或者二元變量檢測中，存在一定局限性；基于物理過程模型檢測實時性強，但要求對物理過程的高細節理解。基于狀態規則檢測精確度高，但構建方面多需要領域專家人工輔助。

為了解決構建中人工依賴性較強的問題，Almalawi團隊采用聚類算法，在對正常狀態和臨界狀態進行有效區分的基礎上，基于簇特征抽取臨界狀態檢測規則，推動了臨界狀態檢測方法的發展，但是，其精確率對聚類算法依賴性較強；Xu團隊采用Apriori、PrefixSpan等規則挖掘算法和控制設備的控制邏輯程序規約算法自動化構建了控制設備狀態規則，并取得了良好的效果；楊安團隊結合設備狀態信息識別操作間隔中工控設備的異常狀態實現異常檢測，但是，他們著重檢測操作次序和對應的狀態變化，而沒有考慮狀態時延的特征。雖然張仁斌團隊考慮了狀態時延特征，但其使用均值描述時延特征的方式無法充分表達工業控制系統的運行特點。

發明內容

針對現有技術的不足，本發明提供了一種基于狀態時延轉換圖二次標注的工控系統設備行為建模實現異常檢測的方法。本發明還提供了一種實現上述基于狀態時延轉換圖二次標注的工控系統設備行為建模方法的裝置。

本發明通過構造狀態時延轉換圖，實現設備狀態轉換及相應持續時間的描述，并將其中含有的時延特性進行分簇，進一步使用字符標注的方式對設備行為進行描述。

本發明主要解決以下幾個問題：

1)現有描述型模型要求對物理過程的高細節理解的問題。

2)現有設備行為建模大多基于網絡通訊中控制設備對被控設備的操作序列進行，而對更精準的狀態數據建模欠缺的問題。

3)現有基于狀態的工控系統設備行為建模中，設備狀態持續時間，即“時延特征”欠缺問題。

術語解釋：