[发明专利]基于状态转换时延图的水分配系统异常检测方法及系统

说明书

本发明公开了基于状态转换时延图的水分配系统异常检测方法及系统，获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；将混合数据类型状态数据集，转换成二元数据类型状态数据集；基于二元数据类型状态数据集，生成状态转换时延图；获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；将所获取的实时数据，输入到状态转换时延图中，输出水分配系统的异常检测结果。

技术领域

本申请涉及信息安全技术领域，特别是涉及基于状态转换时延图的水分配系统异常检测方法及系统。

背景技术

本部分的陈述仅仅是提到了与本申请相关的背景技术，并不必然构成现有技术。

依据工业网络部署层次,针对工业控制网络的攻击可分为3类：监控网攻击，即来自信息空间的网络攻击，如篡改数据分组，破坏其完整性；系统攻击，注入非法命令破坏现场设备，或违反总线协议中的数据分组格式的定义，如篡改其中某些参数，令其超出范围而形成攻击；语义攻击(也称序列攻击)，攻击命令是符合协议规范的，但违背了工控系统的生产逻辑过程，导致设备状态偏离正常行为轨道，使系统处于“危险状态”或“临界状态”。语义攻击是工业控制网络环境中最为隐蔽，破坏力最大的一类攻击方式，典型的“震网”病毒事件通过修改离心机频率而引发离心机故障，便属于此类攻击。

当前面向工业控制网络语义攻击的异常检测方法可分成三类:基于流量的异常检测、基于协议解析的异常检测、基于设备状态的异常检测。慢渗透的语义攻击方式使得基于流量的异常检测已渐渐失去其优势。基于协议的异常检测方法以解析专有协议为基础进行研究，其检测效果受到对专有协议解析能力的限制。因此，传统的基于流量和基于协议的方式在语义攻击检测中受限较大。综上所述，构建面向设备状态的工业控制网络语义攻击异常检测方法，是极其重要也是十分迫切的。

目前基于状态的异常检测方法中，有基于说明的方式、基于状态规则的方式和基于模型的方式。基于说明的方式对说明文件可信性的依赖性较强，一旦该文件被恶意篡改，其检测结果将无法受到信任；在基于状态规则方式的研究方面，Carcano采用状态描述语言表达控制系统的状态规则集，实现异常检测，但是该方法状态规则集需要人工创建；为了解决这一问题，Almalawi通过聚类算法对正常状态和临界状态的分类，自动抽取出正常状态规则集和临界状态规则集；我们团队通过改进的Apriori算法和PrefixSpan算法，实现了状态中冲突和次序特性的自动获取。然而，基于状态规则集的方式对时序性数据的处理能力有限。基于模型的方式大多结合操作序列进行联合检测，常用的模型有：有限状态自动机、马尔科夫链、概率后缀树、混合马尔可夫树、贝叶斯网络等，然而，仅从操作序列角度进行检测，未能全面覆盖各类攻击行为所引发的设备行为特征变化，这将导致较高的误报率。杨安团队结合设备状态信息识别操作间隔中工控设备的异常状态实现异常检测，但是他们着重检测操作次序和对应的状态变化，而没有考虑状态时延的特征。虽然张仁斌团队考虑了状态时延特征，但其使用均值描述时延特征的方式无法充分表达水分配系统的运行特点。

在实现本申请的过程中，发明人发现现有技术中存在以下技术问题：

现有水分配系统中基于设备状态的实时性检测方法缺乏问题，现有语义攻击下临界状态特征描述性不完整的问题，现有数据可信性及有效性不高的问题，现有水分配系统在遇到阀门被非法或恶意顺序打开或关闭时，监管系统无法实时精准检测出来。

发明内容

为了解决现有技术的不足，本申请提供了基于状态转换时延图的水分配系统异常检测方法及系统；通过提取水分配系统中设备状态数据，包括储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态，构建状态转换时延图，将从控制设备(PLC)和被控设备(水管、阀门)中实时采集的数据输入状态转换时延图中，实现对水分配系统的实时异常检测。

第一方面，本申请提供了基于状态转换时延图的水分配系统异常检测方法；