[发明专利]一种基于状态时延转换图二次标注的工控系统设备行为建模实现异常检测的方法

说明书

本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模方法及装置，包括：(1)状态数据预处理；对状态数据执行离散变量二元化和连续变量二元化操作，生成多组二元状态集合；(2)状态时延转换图构建；对每个二元状态集合构建与之相对应的状态时延转换图；(3)基于环发现的初级标注；采用状态转换边和环的标注流程，进行初级标注；(4)基于时延特征聚类的二次标注；输出为行为模型中的各参数。本发明实现设备状态转换及相应持续时间的描述，本发明将实时水分配系统中过程设备实时产生的状态数据输入行为模型中，可以有效发现过程设备当前状态是否符合行为模型中描述的数据关系及转换关系，实现异常检测。

技术领域

本发明涉及一种基于状态时延转换图二次标注的工控系统设备行为建模实现异常检测的方法，属于信息安全技术领域。

背景技术

在工业控制系统异常检测研究中，一般采用设备正常行为建模方式实现对未知异常状态的检测，行为模型的优劣直接影响着检测结果的精确度。工控系统中设备主体类型多样使得设备行为建模方法多样。一般将控制行为操作方式作为建模对象，依据建模方式的不同，研究者从统计学、机器学习、控制学等领域多视角地进行了深入研究：采用无随机成分建立的确定型模型，如与/或图、有限状态自动机、关联性规则；采用概率统计的方法通过计算各个操作出现的频率而建立的概率型模型，如支持向量机、贝叶斯网络、Markov链、概率后缀树、混合马尔科夫树；然而，大多从设备操作行为的角度进行语义描述，将控制设备的行为与现场设备的状态分离开来。然而，影响设备状态异常的因素不仅仅是由中间人攻击、拒绝服务攻击等攻击行为引发的设备操作时序、次序等方面的操作异常，还包括由以控制设备的输入/输出寄存器、控制逻辑程序、固件为攻击目标的攻击行为所引发的现场设备状态异常，仅从操作序列角度进行检测，未能全面覆盖各类攻击行为所引发的设备行为特征变化，这将导致较高的误报率。

基于设备状态的建模方式更能直接体现控制系统的操作行为特征，目前的模型有：基于工业控制物理过程的描述型模型，如自回归模型、物理过程模型等。自回归模型在对基于离散类型或者二元变量检测中，存在一定局限性；基于物理过程模型检测实时性强，但要求对物理过程的高细节理解。基于状态规则检测精确度高，但构建方面多需要领域专家人工辅助。

为了解决构建中人工依赖性较强的问题，Almalawi团队采用聚类算法，在对正常状态和临界状态进行有效区分的基础上，基于簇特征抽取临界状态检测规则，推动了临界状态检测方法的发展，但是，其精确率对聚类算法依赖性较强；Xu团队采用Apriori、PrefixSpan等规则挖掘算法和控制设备的控制逻辑程序规约算法自动化构建了控制设备状态规则，并取得了良好的效果；杨安团队结合设备状态信息识别操作间隔中工控设备的异常状态实现异常检测，但是，他们着重检测操作次序和对应的状态变化，而没有考虑状态时延的特征。虽然张仁斌团队考虑了状态时延特征，但其使用均值描述时延特征的方式无法充分表达工业控制系统的运行特点。

发明内容

针对现有技术的不足，本发明提供了一种基于状态时延转换图二次标注的工控系统设备行为建模实现异常检测的方法。本发明还提供了一种实现上述基于状态时延转换图二次标注的工控系统设备行为建模方法的装置。

本发明通过构造状态时延转换图，实现设备状态转换及相应持续时间的描述，并将其中含有的时延特性进行分簇，进一步使用字符标注的方式对设备行为进行描述。

本发明主要解决以下几个问题：

1)现有描述型模型要求对物理过程的高细节理解的问题。

2)现有设备行为建模大多基于网络通讯中控制设备对被控设备的操作序列进行，而对更精准的状态数据建模欠缺的问题。

3)现有基于状态的工控系统设备行为建模中，设备状态持续时间，即“时延特征”欠缺问题。

术语解释：