方鼎鼎，鄭榮鋒，周安民

（1.四川大學(xué)電子信息學(xué)院，成都 610065；2.四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，成都 610065）

0 引言

工業(yè)控制系統(tǒng)是國家安全戰(zhàn)略的重要組成部分，然而，工業(yè)控制系統(tǒng)的工作特點、運行環(huán)境、操作模式等特性讓傳統(tǒng)的IT防護(hù)解決方案無法實施，許多關(guān)鍵性基礎(chǔ)設(shè)施的控制系統(tǒng)很少有防范突發(fā)事故和惡意攻擊的保護(hù)措施。工業(yè)控制系統(tǒng)一旦受到攻擊往往會導(dǎo)致極其嚴(yán)重的后果，美國埋下的“軟件炸彈”摧毀了前蘇聯(lián)的經(jīng)濟(jì)命脈、波蘭電車脫軌、伊朗核電站因電腦被病毒入侵而癱瘓。因此，加強工業(yè)控制系統(tǒng)的安全防護(hù)具有重要的戰(zhàn)略、經(jīng)濟(jì)價值。

目前對于工業(yè)控制系統(tǒng)安全性的研究都集中于兩方面，一是工業(yè)控制系統(tǒng)入侵檢測，二是工業(yè)控制系統(tǒng)固有脆弱性分析[1]。在入侵檢測技術(shù)中，分析工控中的異常流量是入侵檢測最主要的手段之一。但基于系統(tǒng)安全性的考慮，目前絕大部分工控協(xié)議都是私有協(xié)議，這為構(gòu)建正常流量模型帶來了障礙。西門子公司的S7協(xié)議雖然是私有協(xié)議，但網(wǎng)絡(luò)上已經(jīng)有相當(dāng)多的關(guān)于S7的協(xié)議內(nèi)容分析，因此利用S7協(xié)議流量進(jìn)行協(xié)議特征提取和流量建模，可以驗證協(xié)議特征提取的有效性和準(zhǔn)確性。

不同于傳統(tǒng)IT網(wǎng)絡(luò)流量復(fù)雜多變的特性，為了滿足特定的工業(yè)生產(chǎn)流程，工業(yè)控制網(wǎng)絡(luò)的流量具有一些鮮明的特點。工業(yè)現(xiàn)場設(shè)備一般都利用輪訓(xùn)機制收集并上傳數(shù)據(jù)，網(wǎng)絡(luò)中的流量因此呈現(xiàn)出高度的周期性[2]。Barbosa 等人[3]、Pleijsier等人[4]就實證展示了工業(yè)控制系統(tǒng)在網(wǎng)絡(luò)流量所顯示的以高度周期性方式產(chǎn)生流量、有非常穩(wěn)定的連接圖等特性?；诠I(yè)控制網(wǎng)絡(luò)流量的周期性的特點，Goldenberg[5]和Wool[6]在2013年和2015年針對Modbus和S7 SCADA網(wǎng)絡(luò)分別提出了基于DFA的入侵檢測模型，有效地識別出了工控網(wǎng)絡(luò)中的攻擊行為。隨后，在2016年彭勇等人借鑒傳統(tǒng)IT網(wǎng)絡(luò)中的指紋識別技術(shù)提出了工業(yè)控制系統(tǒng)中場景指紋模型的建立和異常檢測的方法。這些研究都指明了工控系統(tǒng)流量具有周期性，相對簡單、穩(wěn)定的特點，因此，從流量特性出發(fā)是研究工控流量很好的切入點。

有限狀態(tài)機（DFA）模型就是利用工控流量周期性特點建立的一個異常檢測模型。傳統(tǒng)的DFA的構(gòu)建，對于協(xié)議的先驗知識依賴頗為嚴(yán)重，本文通過分析工控流量的特性，利用自然語言處理模型和統(tǒng)計學(xué)的相關(guān)算法直接提取出工控協(xié)議的特征，無需先驗知識就可以完成數(shù)據(jù)包狀態(tài)的標(biāo)記，從而實現(xiàn)DFA模型的構(gòu)建，并同過實驗檢測了模型的效果。

1 工控異常檢測模型

工控異常檢測模型是用來監(jiān)控檢測工業(yè)控制系統(tǒng)中流量的模型。通過分析正常的工業(yè)控制系統(tǒng)工作流量，利用特定的方法提取出正常的流量模型，該模型可以對工業(yè)控制網(wǎng)絡(luò)中的異常流量進(jìn)行檢測并報警。工控異常檢測模型如圖1所示。

圖1 工控異常檢測模型

在傳統(tǒng)的DFA檢測模型中，在數(shù)據(jù)處理階段，都需要協(xié)議的先驗知識來提取數(shù)據(jù)流中的關(guān)鍵字段，并以關(guān)鍵字段為特征，為各類數(shù)據(jù)包打上唯一的“狀態(tài)標(biāo)簽”，形成數(shù)據(jù)流的狀態(tài)集。本文通過自然語言處理中常用的N-Gram模型提取出數(shù)據(jù)流中的N-Gram單元頻繁集，利用關(guān)聯(lián)規(guī)則算法確定頻繁集與其在數(shù)據(jù)包應(yīng)用層具體位置的聯(lián)系，提取出數(shù)據(jù)包的特征字段，以特征字段標(biāo)識數(shù)據(jù)包，形成狀態(tài)集，再通過狀態(tài)轉(zhuǎn)移來實現(xiàn)異常流量的檢測。

在模型檢測過程中分別會將異常行為分為以下幾類：

（1）未知信道，表示會話的雙方出現(xiàn)IP地址的改變。

（2）未知狀態(tài)，出現(xiàn)了場景中從未出現(xiàn)過的狀態(tài)。

（3）未知轉(zhuǎn)移，出現(xiàn)了錯誤的數(shù)據(jù)包狀態(tài)轉(zhuǎn)換。

2 協(xié)議特征提取

2.1 數(shù)據(jù)預(yù)處理

S7協(xié)議是西門子工業(yè)設(shè)備中人機交互界面（HMI）與PLC之間常用的通訊協(xié)議，作為私有協(xié)議，S7協(xié)議的格式并未公開，同時S7協(xié)議在數(shù)據(jù)包中是以明文形式存在，對其進(jìn)行二進(jìn)制數(shù)據(jù)分析是可行的[7]。在工業(yè)控制環(huán)境中，PLC與HMI的通信都是相對獨立的，以每個PLC與不同上位機之間的連接建立單獨的信道對S7協(xié)議進(jìn)行研究，可以濾除信道中無關(guān)數(shù)據(jù)包的干擾，使檢測模型更加簡單高效。

彭勇等人在對工業(yè)控制系統(tǒng)研究中提出了場景指紋模型，其中有一個關(guān)鍵概念是“工控協(xié)議數(shù)據(jù)包的包大小類型有限”[8]。在本地搭建的模擬真實發(fā)電廠工作模式的西門子仿真實驗平臺中，獲取到的數(shù)據(jù)訓(xùn)練集也驗證了這一點。在仿真平臺多個工作周期的數(shù)十萬交互數(shù)據(jù)包中，也只發(fā)現(xiàn)了8種長度的數(shù)據(jù)包，長度分別為 76、86、87、91、94、97、115、131。數(shù)據(jù)包各長度在數(shù)據(jù)集中的占比如圖2所示。

圖2 各長度數(shù)據(jù)包在訓(xùn)練集中的占比

因此，在數(shù)據(jù)預(yù)處理階段，先提取出工控數(shù)據(jù)流中的S7協(xié)議部分，再將S7協(xié)議數(shù)據(jù)流按信道劃分，最后在不同信道下，以數(shù)據(jù)包長度大小再次進(jìn)行劃分得到協(xié)議特征提取樣本。流程如圖3所示。

圖3 協(xié)議樣本提取流程

工控數(shù)據(jù)流是由Wireshark工具捕獲的，而S7協(xié)議是應(yīng)用層協(xié)議，故分析時應(yīng)當(dāng)剔除掉樣本中應(yīng)用層以上的數(shù)據(jù)，只對應(yīng)用層二進(jìn)制數(shù)據(jù)進(jìn)行分析。

2.2 N-Gram模型提取頻繁項集

N-Gram是一種自然語言處理模型，在自然語言處理中基于一定的語料庫，可以利用N-Gram對句子的合理性進(jìn)行有效地判斷[9]。二進(jìn)制數(shù)據(jù)作為機器間進(jìn)行指令、信息的傳輸載體，是一種公認(rèn)的機器語言。因此本文利用自然語言處理模型N-Gram對二進(jìn)制數(shù)據(jù)進(jìn)行切分。N-Gram切分的基本思想是利用一個長為n的窗口，這個窗口從語言處理文本的第一個字符開始向后移動，每次移動一個字符單元。這個窗口中包含的n個字符即為一個N-Gram數(shù)據(jù)單元。圖4為n=3時的切分示意圖。

本文利用N-Gram模型對S7協(xié)議進(jìn)行分析，要完成以下兩步：

（1）n值的確定，不同的n值會直接影響特征字段的提取。

（2）計算N-Gram字段出現(xiàn)的頻率確定頻繁項集，這需要設(shè)定一個合適的閾值。

圖4 3-Gram單元切分圖解

首先為了便于分析，將二進(jìn)制數(shù)據(jù)流轉(zhuǎn)化為16進(jìn)制形式，就如圖4所示，然后利用N-Gram對16進(jìn)制數(shù)據(jù)進(jìn)行切分。如何進(jìn)行切分，關(guān)鍵還是在于確定合適的n值，以保證切分后的數(shù)據(jù)串能涵蓋較為完整的協(xié)議信息。實踐中，一般很少利用高于4元的，因為訓(xùn)練它需要龐大的語料，并且數(shù)據(jù)稀疏嚴(yán)重，時間復(fù)雜度高，最后精度也提升不了多少。因此本文中分別對n=1，n=2，n=3時進(jìn)行S7協(xié)議應(yīng)用層數(shù)據(jù)切分，最后利用齊夫分布[10]來確定合適的n值。如圖5是n=1，n=2，n=3時的齊夫分布圖，可以發(fā)現(xiàn)當(dāng)n=1時最接近于直線。因此選定n=1來進(jìn)行切分，可以提取出最多的協(xié)議信息。

圖5 齊夫分布圖

2.3 1-Gram頻繁單元的篩選

利用n=1對數(shù)據(jù)幀進(jìn)行切分，可想而知會得到大量的1-Gram單元，這些獲取的1-Gram單元中必然包含具有一定意義且頻繁出現(xiàn)的數(shù)據(jù)單元，首先可以將頻次明顯極低，不符合特征要求的串刪除。其次再利用基于基礎(chǔ)相似度計算模型中的向量空間模型，計算1-Gram單元間的相似度，最終得到篩選后的頻繁數(shù)據(jù)單元。本文利用Jaccard參數(shù)[11]來比較1-Gram樣本的相似性和分散性的概率，獲得1-Gram頻繁數(shù)據(jù)單元，Jaccard參數(shù)的計算公式如下。

將切分好的1-Gram集合隨機的分成A和B兩部分，在兩部分分別統(tǒng)計每個單元出現(xiàn)的次數(shù)，而后按照降序排列，此時，降序排列號就是和A（A1,A2…），B（B1,B2…）按照公式（1）代入計算得到兩部分的相似度。計算長度為91的數(shù)據(jù)包1-Gram單元Jaccard參數(shù)，結(jié)果如圖6所示。

圖6 1-Gram單元Jaccard系數(shù)值

將圖6中（Ai+Bi）/2升序排列，當(dāng)其對應(yīng)的Jaccard參數(shù)值最大時其對應(yīng)的（Ai+Bi）/2即為閾值，然后依據(jù)閾值進(jìn)行篩選，低于閾值的就刪去，對高于或者等于閾值的數(shù)據(jù)單元進(jìn)行存儲，這些被存儲的數(shù)據(jù)單元就是1-Gram頻繁數(shù)據(jù)單元，之后再進(jìn)行下一步處理。

2.4 利用關(guān)聯(lián)規(guī)則挖掘 1-Gram頻繁數(shù)據(jù)單元同其位置信息的聯(lián)系

關(guān)聯(lián)規(guī)則挖掘的目的在于從海量數(shù)據(jù)中找尋數(shù)據(jù)間的有價值的規(guī)律和關(guān)系[12]。本文利用Apriori關(guān)聯(lián)規(guī)則算法進(jìn)行關(guān)聯(lián)數(shù)據(jù)挖掘。關(guān)聯(lián)規(guī)則的獲取就必須引入兩個關(guān)鍵的概念支持度和置信度，設(shè)有兩個事件A和B，以及發(fā)生過的總事件的集合T，支持度定義如下：

即為A事件發(fā)生時B事件也發(fā)生占總的發(fā)生事件的比例。

置信度定義如下：

即當(dāng)A事件發(fā)生時B事件也發(fā)生的事件總數(shù)與A事件發(fā)生的總數(shù)的比值。

因此，根據(jù)這兩個指標(biāo)，關(guān)聯(lián)規(guī)則的挖掘有兩個基本步驟，首先找出所有的頻繁項，獲得頻繁項集，也就是根據(jù)最小項集支持度，在集合中找出頻繁項集。其次根據(jù)最小置信度，尋找符合條件的關(guān)聯(lián)規(guī)則。

在一個工控場景中S7協(xié)議數(shù)據(jù)包長度類型有限，出現(xiàn)的1-Gram頻繁數(shù)據(jù)單元同其出現(xiàn)在數(shù)據(jù)包中的位置可能有著一定的關(guān)聯(lián)規(guī)則，通過統(tǒng)計每個1-Gram單元同其在每個數(shù)據(jù)幀中的位置信息，并利用關(guān)聯(lián)規(guī)則算法可以獲得1-Gram單元與其存在位置信息的某種聯(lián)系。

因此對于1-Gram數(shù)據(jù)單元進(jìn)行關(guān)聯(lián)規(guī)則分析的步驟如下：

設(shè)1-Gram頻繁數(shù)據(jù)單元在數(shù)據(jù)包中出現(xiàn)的事件為P，并設(shè)1-Gram單元在數(shù)據(jù)包位置N出現(xiàn)的事件為K。

它們的關(guān)聯(lián)規(guī)則定義為R：p->k。它表示當(dāng)頻繁數(shù)據(jù)單元在數(shù)據(jù)包出現(xiàn)后，同時頻繁數(shù)據(jù)單元又在數(shù)據(jù)幀位置N出現(xiàn)的概率。如果這個事件出現(xiàn)的概率很大，那么就可以認(rèn)為1-Gram數(shù)據(jù)單元只要在數(shù)據(jù)幀中出現(xiàn)，則它大概率在數(shù)據(jù)幀的位置N上，在本文中就可以認(rèn)為如果1-Gram數(shù)據(jù)單元出現(xiàn)在數(shù)據(jù)包位置N上，則它屬于數(shù)據(jù)包的特征單元，按出現(xiàn)位置次序拼接特征單元得到數(shù)據(jù)包特征串。

圖7 關(guān)聯(lián)規(guī)則計算結(jié)果

如圖7所示，以長度為91的S7協(xié)議數(shù)據(jù)包為例，通過計算發(fā)現(xiàn)除了位于66，67及90，91位置的1-Gram單元以外，其他位置的頻繁項單元置信度都為100%，這意味著在整個工作流程中這些位置的字節(jié)并沒有發(fā)生過變化。顯然，這些字節(jié)對于S7協(xié)議的研究并沒有任何幫助，故我們將頻繁1-Gram單元與位置之間關(guān)聯(lián)規(guī)則置信度的篩選閾值設(shè)為10-75%。同時，由于66，67位置出現(xiàn)的頻繁項單元置信度低于閾值，所以如表所示，滿足條件的只有90，91位置的頻繁項單元。

置信度太低，則表明字節(jié)與位置的關(guān)聯(lián)不強，字節(jié)沒有代表性，但置信度閾值的下限需根據(jù)工控場景的復(fù)雜度動態(tài)調(diào)整，如果場景足夠復(fù)雜，則特征位中的特征值種類可能會比較多導(dǎo)致每個特征值的占比降低。由于工業(yè)控制系統(tǒng)流量的周期性，置信度太高則可能會受一些周期出現(xiàn)的無用字節(jié)的干擾。作為一個周期性工業(yè)流程的特征串，特征串提取后必然也應(yīng)當(dāng)具有周期性，故最后還需對特征串進(jìn)行周期性檢驗。

至此，完成了S7協(xié)議應(yīng)用層特征串提取的整個過程，圖8為流程圖。

圖8 S7協(xié)議應(yīng)用層特征串提取流程

特征串提取后，就可以利用特征串來區(qū)分一個信道下的數(shù)據(jù)包的不同狀態(tài)，相同特征串的數(shù)據(jù)包歸為一類，以字符si標(biāo)記這類數(shù)據(jù)包的狀態(tài)，實現(xiàn)單個數(shù)據(jù)包狀態(tài)標(biāo)記。

3 有限狀態(tài)機模型

在工業(yè)控制網(wǎng)絡(luò)環(huán)境中，為了滿足特定的工藝生產(chǎn)流程，網(wǎng)絡(luò)流量具有明顯的規(guī)律性，因此可以用一個五元組：(q,Σ,δ,s,t)來描述網(wǎng)絡(luò)中各個連接的數(shù)據(jù)交互情況，這就是一個有限確定自動機模型。其中q為一個信道中下行數(shù)據(jù)流量有限狀態(tài)的集合；Σ為導(dǎo)入模型的數(shù)據(jù)流；δ為狀態(tài)轉(zhuǎn)移函數(shù)；s為當(dāng)前狀態(tài)，是q的一個子集，t為s轉(zhuǎn)移到下一個狀態(tài)的可能性的集合，當(dāng)s完成一個正常狀態(tài)轉(zhuǎn)移時，有如下公式：

建立狀態(tài)機的流程圖如圖9所示：

圖9 有限狀態(tài)機建立流程圖

在工業(yè)控制網(wǎng)絡(luò)中，網(wǎng)絡(luò)流量一般分為兩大類，一類是上位機發(fā)送給PLC對工控現(xiàn)場進(jìn)行實時控制的下行數(shù)據(jù)，一類是上位機HMI軟件與PLC協(xié)商由PLC定時發(fā)送給HMI軟件工控現(xiàn)場實時數(shù)據(jù)，能實時反映工控現(xiàn)場的工作情況。因為針對工控網(wǎng)絡(luò)的攻擊通常都是通過獲取上位機權(quán)限進(jìn)而控制PLC的，為了降低模型的復(fù)雜度，所以在傳統(tǒng)的有限狀態(tài)機的構(gòu)建中，只考慮下行數(shù)據(jù)。

4 實驗檢測

4.1 網(wǎng)絡(luò)拓?fù)?/h3>

本地搭建的西門子工業(yè)控制系統(tǒng)實驗仿真平臺是模擬實際的發(fā)電廠的工作模式，仿真平臺由3臺上位機同 3個西門子 PLC（2個 S7-200，一個 S7-300），還有燈、蜂鳴器、發(fā)電機構(gòu)建而成。整個系統(tǒng)分為兩部分，一是控制端，由3臺上位機構(gòu)成，上位機分為工程師站、操作員站、還有實時服務(wù)器，在工程師站安裝了PLC編程軟件，可對3個PLC進(jìn)行編程。第二部份是設(shè)備端，即由3個PLC、燈、蜂鳴器、發(fā)電機構(gòu)成，S7-200控制蜂鳴器報警，S7-300控制發(fā)電機運作。

3臺上位機中安裝了西門子公司提供的人機交互界面組態(tài)軟件（HMI），通過HMI可以實時監(jiān)測控制整個系統(tǒng)的運行情況，并收集系統(tǒng)運行過程中的數(shù)據(jù)流。通過路由器端口將流量鏡像到檢測主機中，再利用Wireshark工具就可以將數(shù)據(jù)流輸出成pcap類型文件。當(dāng)系統(tǒng)正常運作時，這些抓取的數(shù)據(jù)流就是本文的模型訓(xùn)練數(shù)據(jù)，當(dāng)對系統(tǒng)模擬攻擊時，抓取的數(shù)據(jù)就是本文需要的異常檢測數(shù)據(jù)。工控實驗平臺的網(wǎng)絡(luò)拓?fù)鋱D如圖10。

圖10 西門子仿真實驗平臺網(wǎng)絡(luò)拓?fù)?/p>

4.2 模型訓(xùn)練

當(dāng)工控實驗平臺正常運轉(zhuǎn)時，連續(xù)抓取了8個小時左右的數(shù)據(jù)包作為正常數(shù)據(jù)集進(jìn)行模型訓(xùn)練，按照上文所述的數(shù)據(jù)處理規(guī)則，數(shù)據(jù)集中總共有3個信道，工程師站與S7-200、工程師站與S7-300、操作員站與S7-300，將這3個信道分別編碼為信道1、信道2、信道3。在不同信道下按長度劃分?jǐn)?shù)據(jù)包并分別提取每個長度數(shù)據(jù)包的特征，每個特征構(gòu)成一個數(shù)據(jù)包狀態(tài)。從而構(gòu)建不同信道下，下行數(shù)據(jù)包DFA狀態(tài)機模型。以信道2為例，下行數(shù)據(jù)包只有長度為91、87的S7協(xié)議數(shù)據(jù)包如圖11所示。

圖11 信道2下行數(shù)據(jù)包

分別對兩種長度數(shù)據(jù)包提取特征，則得到91數(shù)據(jù)包特征 4種（s1、s2、s3、s4），87數(shù)據(jù)包特征 1種（s5）。從而得到DFA有限狀態(tài)機模型的正常狀態(tài)轉(zhuǎn)移如圖12。

圖12 有限狀態(tài)機正常狀態(tài)轉(zhuǎn)移

圖12是信道2下行流量有限狀態(tài)機模型狀態(tài)轉(zhuǎn)移，其中的帶箭頭的線段表示正常的狀態(tài)轉(zhuǎn)移，其中標(biāo)明的數(shù)字表示狀態(tài)轉(zhuǎn)移條件概率。同理其他信道也是如此構(gòu)建有限狀態(tài)機模型，當(dāng)信道中出現(xiàn)未知的狀態(tài)，未知的狀態(tài)轉(zhuǎn)移則模型報警。

4.3 異常檢測結(jié)果

在仿真平臺上通過實施以下幾種異常操作獲取異常數(shù)據(jù)流量進(jìn)行異常檢測：

中間人攻擊，通過攔截HMI與PLC之間正常工作時的網(wǎng)絡(luò)通信數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行篡改和嗅探，可以同時達(dá)到欺騙HMI與PLC的目的。

響應(yīng)注入攻擊，HMI組態(tài)軟件除了對系統(tǒng)進(jìn)行數(shù)據(jù)收集的功能外，也會同時對PLC返回的各項參數(shù)如發(fā)電機轉(zhuǎn)速值進(jìn)行監(jiān)測，如果轉(zhuǎn)速超過一定閾值，HMI軟件就會對操作人員進(jìn)行告警，通過捕獲PLC發(fā)往HMI的響應(yīng)數(shù)據(jù)包，并修改數(shù)據(jù)包中的關(guān)鍵內(nèi)容，可以掩蓋PLC的異常運行信息。

序列攻擊，通過修改數(shù)據(jù)包的傳送次序，來達(dá)到篡改工業(yè)控制系統(tǒng)運行邏輯的目的，因為數(shù)據(jù)包是網(wǎng)絡(luò)中出現(xiàn)的正常數(shù)據(jù)包，對單一數(shù)據(jù)包的檢驗方式無法發(fā)現(xiàn)這種異常

Snap7攻擊，工業(yè)控制場景中往往缺乏PLC對于HMI設(shè)備的檢測認(rèn)證機制，因此同過在局域網(wǎng)內(nèi)的另一臺主機上安裝S7協(xié)議的編程軟件，對PLC進(jìn)行編程操作。

正常流量數(shù)據(jù)集，一個合格的入侵檢測模型的建立不僅要能識別流量的異常，對于正常流量也應(yīng)具有足夠低的誤檢率。

通過表1中的實驗結(jié)果可知，本文提出的基于工業(yè)控制系統(tǒng)流量特性有限狀態(tài)機模型在西門子工控仿真實驗平臺上運行良好，不僅可以準(zhǔn)確識別出工業(yè)控制網(wǎng)絡(luò)中的常見異常，對于正常流量也未產(chǎn)生誤報警。

表1 流量檢測結(jié)果

5 結(jié)語

基于工業(yè)控制系統(tǒng)流量特性的有限狀態(tài)機，利用了工業(yè)控制系統(tǒng)流量周期性和工業(yè)控制系統(tǒng)中包長度類型有限的特點，在傳統(tǒng)的DFA模型中，改進(jìn)了協(xié)議特征提取方式，無需先驗知識就可對未知格式的工控協(xié)議進(jìn)行特征提取，能很好地識別系統(tǒng)的邏輯異常行為，提高了模型的檢測精度和適用范圍。