基于状态转换时延图的水分配系统异常检测方法及系统技术方案

本发明专利技术公开了基于状态转换时延图的水分配系统异常检测方法及系统，获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；将混合数据类型状态数据集，转换成二元数据类型状态数据集；基于二元数据类型状态数据集，生成状态转换时延图；获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；将所获取的实时数据，输入到状态转换时延图中，输出水分配系统的异常检测结果。

【技术实现步骤摘要】
基于状态转换时延图的水分配系统异常检测方法及系统
本申请涉及信息安全
，特别是涉及基于状态转换时延图的水分配系统异常检测方法及系统。
技术介绍
本部分的陈述仅仅是提到了与本申请相关的
技术介绍
，并不必然构成现有技术。依据工业网络部署层次,针对工业控制网络的攻击可分为3类：监控网攻击，即来自信息空间的网络攻击，如篡改数据分组，破坏其完整性；系统攻击，注入非法命令破坏现场设备，或违反总线协议中的数据分组格式的定义，如篡改其中某些参数，令其超出范围而形成攻击；语义攻击(也称序列攻击)，攻击命令是符合协议规范的，但违背了工控系统的生产逻辑过程，导致设备状态偏离正常行为轨道，使系统处于“危险状态”或“临界状态”。语义攻击是工业控制网络环境中最为隐蔽，破坏力最大的一类攻击方式，典型的“震网”病毒事件通过修改离心机频率而引发离心机故障，便属于此类攻击。当前面向工业控制网络语义攻击的异常检测方法可分成三类:基于流量的异常检测、基于协议解析的异常检测、基于设备状态的异常检测。慢渗透的语义攻击方式使得基于流量的异常检测已渐渐失去其优势。基于协议的异常检测方法以解析专有协议为基础进行研究，其检测效果受到对专有协议解析能力的限制。因此，传统的基于流量和基于协议的方式在语义攻击检测中受限较大。综上所述，构建面向设备状态的工业控制网络语义攻击异常检测方法，是极其重要也是十分迫切的。目前基于状态的异常检测方法中，有基于说明的方式、基于状态规则的方式和基于模型的方式。基于说明的方式对说明文件可信性的依赖性较强，一旦该文件被恶意篡改，其检测结果将无法受到信任；在基于状态规则方式的研究方面，Carcano采用状态描述语言表达控制系统的状态规则集，实现异常检测，但是该方法状态规则集需要人工创建；为了解决这一问题，Almalawi通过聚类算法对正常状态和临界状态的分类，自动抽取出正常状态规则集和临界状态规则集；我们团队通过改进的Apriori算法和PrefixSpan算法，实现了状态中冲突和次序特性的自动获取。然而，基于状态规则集的方式对时序性数据的处理能力有限。基于模型的方式大多结合操作序列进行联合检测，常用的模型有：有限状态自动机、马尔科夫链、概率后缀树、混合马尔可夫树、贝叶斯网络等，然而，仅从操作序列角度进行检测，未能全面覆盖各类攻击行为所引发的设备行为特征变化，这将导致较高的误报率。杨安团队结合设备状态信息识别操作间隔中工控设备的异常状态实现异常检测，但是他们着重检测操作次序和对应的状态变化，而没有考虑状态时延的特征。虽然张仁斌团队考虑了状态时延特征，但其使用均值描述时延特征的方式无法充分表达水分配系统的运行特点。在实现本申请的过程中，专利技术人发现现有技术中存在以下技术问题：现有水分配系统中基于设备状态的实时性检测方法缺乏问题，现有语义攻击下临界状态特征描述性不完整的问题，现有数据可信性及有效性不高的问题，现有水分配系统在遇到阀门被非法或恶意顺序打开或关闭时，监管系统无法实时精准检测出来。
技术实现思路
为了解决现有技术的不足，本申请提供了基于状态转换时延图的水分配系统异常检测方法及系统；通过提取水分配系统中设备状态数据，包括储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态，构建状态时延转换图，将从控制设备(PLC)和被控设备(水管、阀门)中实时采集的数据输入状态时延转换图中，实现对水分配系统的实时异常检测。第一方面，本申请提供了基于状态转换时延图的水分配系统异常检测方法；基于状态转换时延图的水分配系统异常检测方法，包括：获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；将混合数据类型状态数据集，转换成二元数据类型状态数据集；基于二元数据类型状态数据集，生成状态转换时延图；获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；将所获取的实时数据，输入到状态转换时延图中，输出水分配系统的异常检测结果。第二方面，本申请提供了基于状态转换时延图的水分配系统异常检测系统；基于状态转换时延图的水分配系统异常检测系统，包括：历史数据获取模块，其被配置为：获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；二元数据转换模块，其被配置为：将混合数据类型状态数据集，转换成二元数据类型状态数据集；状态转换时延图生成模块，其被配置为：基于二元数据类型状态数据集，生成状态转换时延图；实时数据获取模块，其被配置为：获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；异常检测模块，其被配置为：将所获取的实时数据，输入到预先构建的状态转换时延图中，输出水分配系统的异常检测结果。与现有技术相比，本申请的有益效果是：本专利技术能够精准检测出水分配系统的阀门打开或关闭顺序是否被不法分子恶意操控。本专利技术以语义攻击下水分配系统临界状态描述为理论基础，并在状态时延转换图中添加“时延”特性，提高异常检测的精确度；以从水分配系统中实时获取的状态数据流为检测数据源，状态时延转换图为水分配系统正常行为描述模型，保证了检测的实时性。提高实时检测效率，提高异常检测精确度，提高检测结果的可靠性。传统的检测方式将采集的某一时间段内的状态数据建立行为描述模型，并与正常行为模型进行对比，发现异常状态，与之相反，本专利技术可实时采集数据，实时进行处理。与传统的状态规则构建方法相比，本专利技术在语义攻击下临界状态描述的理论研究指导下，构建的具有“时延”特性的状态转换时延图，更符合水分配系统行为特点，具有较高的可靠性及有效性。本专利技术附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。附图说明构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。图1为第一个实施例的方法流程图；图2为第一个实施例的方法流程细节示意图；图3为第一个实施例的语义攻击下设备临界状态表达方式；图4为第二个实施例的系统功能模块示意图。具体实施方式应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属
的普通技术人员通常理解的相同含义。需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还本文档来自技高网...

【技术保护点】
1.基于状态转换时延图的水分配系统异常检测方法，其特征是，包括：/n获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；/n将混合数据类型状态数据集，转换成二元数据类型状态数据集；/n基于二元数据类型状态数据集，生成状态转换时延图；/n获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；/n将所获取的实时数据，输入到状态转换时延图中，输出水分配系统的异常检测结果。/n

【技术特征摘要】
1.基于状态转换时延图的水分配系统异常检测方法，其特征是，包括：
获取水分配系统的混合数据类型状态数据集；所述混合数据类型状态数据集，包括：数据采集时间、每个水塔对应的水位、每个水塔所连接的每个水管的开关状态、和每个水管所连接的每个阀门开关状态；
将混合数据类型状态数据集，转换成二元数据类型状态数据集；
基于二元数据类型状态数据集，生成状态转换时延图；
获取水分配系统中的实时数据；其中，实时数据，包括：储水塔的水位、水管的打开/关闭状态、阀门开关的打开/关闭状态；
将所获取的实时数据，输入到状态转换时延图中，输出水分配系统的异常检测结果。


2.如权利要求1所述的基于状态转换时延图的水分配系统异常检测方法，其特征是，所述将混合数据类型状态数据集，转换成二元数据类型状态数据集；具体步骤包括：
混合数据类型状态数据集，包括：离散变量、连续变量和二元变量；
采用离散变量二元方法，将离散变量转换为二元变量；
采用连续变量二元方法，将连续变量转换为二元变量。


3.如权利要求2所述的基于状态转换时延图的水分配系统异常检测方法，其特征是，所述采用离散变量二元方法，将离散变量转换为二元变量；具体步骤包括：
离散变量取值空间有限，设离散变量DV取值范围为则其对应的二元变量为：当DV＝d0时，对应的二元变量bd0＝1，其余二元变量取值为0，即BDV＝{1，0，...，0}；此时离散变量列数由原来的1列变为nd列。


4.如权利要求2所述的基于状态转换时延图的水分配系统异常检测方法，其特征是，所述采用连续变量二元方法，将连续变量转换为二元变量；具体步骤包括：
设连续变量CV取值范围为[c0，c1]，采用Kmeans聚类算法，将连续变量划分nc个簇，编号分别对应为CV对应的离散变量集合为当CV＝ct，ct∈dc0时，则DCV0＝1，DCV1＝0，…，此时连续变量列数由原来的1列，扩展为nc列。


5.如权利要求1所述的基于状态转换时延图的水分配系统异常检测方法，其特征是，所述基于二元数据类型状态数据集，生成状态转换时延图；具体步骤包括：
将已遍历的状态数据集设置为空；
首先遍历经过连续变量和离散变量二元化后的二元数据集中的每一行tmpL；
如果tmpL的上一行数据为空，则上一行数据LastL＝tmpL；
如果tmpL的上一行数据LastL＝＝tmpL，则时延数据duraStep＝duraStep+1；
如果tmpL的上一行数据LastL≠tmpL，则执行以下步骤：
第一步：设置下一结束索引endIndex＝begIndex+durastep-1，其中begIndex是当前时间段内的开始索引；
第二步：依据二元数据集中与开始索引和结束索引所对应的时间，计算持续时间dura_Time，判断LastL是否存在于已遍历的状态集中，如果不存在，则将LastL添加到已遍历状态集中；
第三步：获取上一状态及当前状态分别在状态集中的索引：laStIndex和tmpIndex，设当前状态转移为lastIndex→tmpIndex，判断当前状态转移是否在边集合中，如果不在边集合中，则将当前状态转移添加到边集合中，并将其对应的时延dura_Time加入到边对应的时延列表中；如果存在于边集合中，则将当前时延dura_Time添加到边对应的时延列表中；
最后：更新begIndex＝endIndex+1；durastep＝0；LastL＝tmpL。


6.如权利要求1所述的基于状态转换时延图的水分配系统异常检测方法，其特征是，所述状态转换时延图，定义为：
SEG＝(Vs，Ds)；
设为图中顶点集合，顶点集合表示所有设备状态；

表示从顶点vi到vj的状态转换关系；

表示状态转换集合；

是一个状态转换所对应的一组时延序列；

是所有状态转换集合Rs所对应的时延集。


7.如权利要求1...

【专利技术属性】
技术研发人员：徐丽娟，赵大伟，吴晓明，杨淑棉，丁潇，唐超凡，
申请(专利权)人：山东省计算中心国家超级计算济南中心，
类型：发明
国别省市：山东;37