·690 智能系统学报 第11卷 一个很笼统很抽象的问题对应到了一个多维的因素 统4个基础系统构成，如图2所示。 空间中，这是由模糊的定性概念转换为定量信息的 第一步。 输 推理系统 输 输 终止进程 SCADA信息安全，写文件 统 出 统 统 控制系统 修改注册表一 删除文件 图2解析型因素神经元基本结构 Fig.2 Structure of analytic factor neuron 图1 SCADA信息安全因素空间 2)模拟型因素神经元 Fig.1 Factor space of SCADA information security 一个模拟型因素神经元可表述为： 2.2基于因素神经元的SCADA恶意程序行为因素 Y=F(X,W,T),其中(X,Y)被称为模拟型因素神经 表示方法 元的输入输出模式对集合，X被称为其激发或输入 2.2.1因素神经元核心内容 模式集合，Y被称为其对应的响应或输出模式集合， 使用因素神经元的方法来表示SCADA恶意程 W,T为模拟型因素神经元内部网络模块的可控 序行为的因素。刘增良教授提出的“知识的因素表 参数。 示模型”分为2种)：原子模型和关系模型。 2.2.2油气SCADA系统恶意程序行为因素表示方法 1)原子模型 原子模型M(O)=(0,V,X),O表示SCADA系 知识因素表示的原子模型是一个三元组即 统中恶意程序所有操作的集合，例如恶意程序对主 M(0)=〈0，V,X),也可记为M(0,V,X),其中0是 机系统的文件、注册表、进/线程操作，可以表示 事物集，V是与O配对的因素集，X是基于V的因素 [21:0=FileOperations,RegOperations,Process/ 空间{X()f∈F,FCV?。原子模型是描述事实、概 ThreadOperations},对于其中的文件操作，又有查找 念的模式。 创建、打开、写入、复制、删除和属性设置等重要因 2)关系模型 素，即有因素集合F={FindNextFile,CreateNewFile,. 知识的关系模型是在原子模型基础上定义的， OpenFile,WriteFile,CopyFile,DeleteFile,SetFileAt- 它可表示为：R=〈RM,M,(O),XM),(i=1,2,…)也 tribute{,FcV,V为因素集，X就是基于对应于因素 可记为R(RM,M,(O),XM)。其中RM表示原子模 集合的因素状态空间。 型M,(O)间的变换关系集，M,(O)表示第i个原子 由此可以得到文件操作(FileOperations)知识因 模型，XM表示原子模式M在知识模式集合RM上 素表达的关系模型：R=〈R,M(O)|i=1,2,…,n〉， 的状态及状态转换关系。关系模型是描述规则、推 即R(FileOperations）=〈RM,M(FileOperations), 理、判断及知识动态过程的模式。 XM),其中RM表示文件操作的一个知识模式集合， 因素神经元分为解析型因素神经元和模拟型神 RM=〈{Rid,:if XFile(Find Next File)then遍历磁 经元)，它们都是构成因素神经网络的基本单位。 盘文件}，{Rid,:if XFile(Create File)then在指定 解析型因素神经元是对人类心理模式的模拟，模拟 路径下创建文件}，{Rid,:if Xfile(Copy File)then 型因素神经元则是对人类生理模式的模拟。 复制指定文件到指定路径}，{Rid,:if XFile(Delete 1)解析因素神经元 File)hen删除指定路径的指定文件}，…〉；M(File 一个具有推理功能的解析因素神经元可表述 Operations)为文件操作的知识因素表达原子模型： 为：M={(G,F,X),〈p,q,r〉，〈a,b)},其中 XM表示原子模型M(FileOperations)在知识模式集 〈G,F,X〉共同表达了解析型因素神经元结构、因素 合RM上的状态及状态转换关系，XM=〈Xd,:if在 及状态；P,9,分别执行神经元的推理、判别与内部 系统目录下创建文件and设置文件时间为系统文 控制功能：a是输入信息，b是单元推理目标或响应。 件时间then非法创建文件}，{Xid,:if查找所有文 一个解析型因素神经元就像一台微型自动机， 件and文件写操作then可疑遍历磁盘文件操作}， 通过一组用因素表达的状态，并有一套状态转换规 {Xid3:if创建打开文件and修改文件属性为系统文 则，当外部输入触发时，神经元按感知的信息执行相 件then非法文件属性修改}，{Xid4:if删除SCADA 应的操作，进行状态的转换，并依据自身的输出响应 主机系统目录文件then恶意文件操作}，{Xid:if 函数，输出单元响应。解析型因素神经元基本结构 复制文件至SCADA系统目录and修改该目录下文 包括输人/输出系统、判别系统、推理系统和控制系 件属性hen可疑文件操作}，…〉。一个很笼统很抽象的问题对应到了一个多维的因素 空间中，这是由模糊的定性概念转换为定量信息的 第一步。 图 １ ＳＣＡＤＡ 信息安全因素空间 Ｆｉｇ．１ Ｆａｃｔｏｒ ｓｐａｃｅ ｏｆ ＳＣＡＤＡ ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ２．２ 基于因素神经元的 ＳＣＡＤＡ 恶意程序行为因素 表示方法 ２．２．１ 因素神经元核心内容 使用因素神经元的方法来表示 ＳＣＡＤＡ 恶意程 序行为的因素。 刘增良教授提出的“知识的因素表 示模型”分为 ２ 种［４］ ： 原子模型和关系模型。 １）原子模型 知识因素表示的原子模型是一个三元组即 Ｍ（Ｏ）＝ 〈Ｏ，Ｖ，Ｘ〉，也可记为 Ｍ（Ｏ，Ｖ，Ｘ），其中 Ｏ 是 事物集，Ｖ 是与 Ｏ 配对的因素集，Ｘ 是基于 Ｖ 的因素 空间｛Ｘ（ｆ） ｜ ｆ∈Ｆ，Ｆ⊆Ｖ｝。 原子模型是描述事实、概 念的模式。 ２）关系模型 知识的关系模型是在原子模型基础上定义的， 它可表示为：Ｒ ＝ 〈ＲＭ，Ｍｉ（Ｏ），ＸＭ〉，（ｉ ＝ １，２，…）也 可记为 Ｒ（ＲＭ，Ｍｉ（Ｏ），ＸＭ）。 其中 ＲＭ 表示原子模 型 Ｍｉ（Ｏ）间的变换关系集，Ｍｉ（Ｏ）表示第 ｉ 个原子 模型，ＸＭ 表示原子模式 Ｍ 在知识模式集合 ＲＭ 上 的状态及状态转换关系。 关系模型是描述规则、推 理、判断及知识动态过程的模式。 因素神经元分为解析型因素神经元和模拟型神 经元［１］ ，它们都是构成因素神经网络的基本单位。 解析型因素神经元是对人类心理模式的模拟，模拟 型因素神经元则是对人类生理模式的模拟。 １）解析因素神经元 一个具有推理功能的解析因素神经元可表述 为： Ｍ ＝ ｛〈 Ｇ， Ｆ， Ｘ 〉， 〈 ｐ， ｑ， ｒ 〉， 〈 ａ， ｂ 〉｝， 其 中 〈Ｇ，Ｆ，Ｘ〉共同表达了解析型因素神经元结构、因素 及状态；ｐ，ｑ，ｒ 分别执行神经元的推理、判别与内部 控制功能；ａ 是输入信息，ｂ 是单元推理目标或响应。 一个解析型因素神经元就像一台微型自动机， 通过一组用因素表达的状态，并有一套状态转换规 则，当外部输入触发时，神经元按感知的信息执行相 应的操作，进行状态的转换，并依据自身的输出响应 函数，输出单元响应。 解析型因素神经元基本结构 包括输入／ 输出系统、判别系统、推理系统和控制系 统 ４ 个基础系统构成，如图 ２ 所示。 图 ２ 解析型因素神经元基本结构 Ｆｉｇ．２ Ｓｔｒｕｃｔｕｒｅ ｏｆ ａｎａｌｙｔｉｃ ｆａｃｔｏｒ ｎｅｕｒｏｎ ２）模拟型因素神经元 一 个 模 拟 型 因 素 神 经 元 可 表 述 为： Ｙ ＝Ｆ（Ｘ，Ｗ，Ｔ），其中（Ｘ，Ｙ）被称为模拟型因素神经 元的输入输出模式对集合，Ｘ 被称为其激发或输入 模式集合，Ｙ 被称为其对应的响应或输出模式集合， Ｗ，Ｔ 为模拟型因素神经元内部网络模块的可控 参数。 ２．２．２ 油气 ＳＣＡＤＡ 系统恶意程序行为因素表示方法 原子模型 Ｍ（Ｏ）＝ 〈Ｏ，Ｖ，Ｘ〉，Ｏ 表示 ＳＣＡＤＡ 系 统中恶意程序所有操作的集合，例如恶意程序对主 机系统的文件、 注册表、 进／ 线程操作， 可以表示 为［２］ ： Ｏ ＝ ｛ ＦｉｌｅＯｐｅｒａｔｉｏｎｓ， ＲｅｇＯｐｅｒａｔｉｏｎｓ， Ｐｒｏｃｅｓｓ／ ＴｈｒｅａｄＯｐｅｒａｔｉｏｎｓ｝，对于其中的文件操作，又有查找、 创建、打开、写入、复制、删除和属性设置等重要因 素，即有因素集合 Ｆ ＝ ｛ ＦｉｎｄＮｅｘｔＦｉｌｅ，ＣｒｅａｔｅＮｅｗＦｉｌｅ， ＯｐｅｎＦｉｌｅ， ＷｒｉｔｅＦｉｌｅ， ＣｏｐｙＦｉｌｅ， ＤｅｌｅｔｅＦｉｌｅ， ＳｅｔＦｉｌｅＡｔ⁃ ｔｒｉｂｕｔｅ｝，Ｆ⊆Ｖ，Ｖ 为因素集，Ｘ 就是基于对应于因素 集合的因素状态空间。 由此可以得到文件操作（ＦｉｌｅＯｐｅｒａｔｉｏｎｓ）知识因 素表达的关系模型：Ｒ ＝ 〈Ｒ，Ｍｉ（Ｏ） ｜ ｉ ＝ １，２，…，ｎ〉， 即 Ｒ （ ＦｉｌｅＯｐｅｒａｔｉｏｎｓ） ＝ 〈 ＲＭ， Ｍ （ ＦｉｌｅＯｐｅｒａｔｉｏｎｓ ）， ＸＭ〉，其中 ＲＭ 表示文件操作的一个知识模式集合， ＲＭ＝ 〈｛Ｒｉｄ１ ： ｉｆ ＸＦｉｌｅ（ Ｆｉｎｄ Ｎｅｘｔ Ｆｉｌｅ） ｔｈｅｎ 遍历磁 盘文件｝，｛Ｒｉｄ２ ： ｉｆ ＸＦｉｌｅ（Ｃｒｅａｔｅ Ｆｉｌｅ） ｔｈｅｎ 在指定 路径下创建文件｝，｛Ｒｉｄ３ ： ｉｆ Ｘｆｉｌｅ（Ｃｏｐｙ Ｆｉｌｅ） ｔｈｅｎ 复制指定文件到指定路径｝，｛Ｒｉｄ４ ： ｉｆ ＸＦｉｌｅ（Ｄｅｌｅｔｅ Ｆｉｌｅ） ｔｈｅｎ 删除指定路径的指定文件｝，…〉；Ｍ（Ｆｉｌｅ⁃ Ｏｐｅｒａｔｉｏｎｓ）为文件操作的知识因素表达原子模型； ＸＭ 表示原子模型 Ｍ（ＦｉｌｅＯｐｅｒａｔｉｏｎｓ）在知识模式集 合 ＲＭ 上的状态及状态转换关系，ＸＭ ＝ 〈Ｘｉｄ１ ：ｉｆ 在 系统目录下创建文件 ａｎｄ 设置文件时间为系统文 件时间 ｔｈｅｎ 非法创建文件｝，｛Ｘｉｄ２ ：ｉｆ 查找所有文 件 ａｎｄ 文件写操作 ｔｈｅｎ 可疑遍历磁盘文件操作｝， ｛Ｘｉｄ３ ：ｉｆ 创建打开文件 ａｎｄ 修改文件属性为系统文 件 ｔｈｅｎ 非法文件属性修改｝，｛Ｘｉｄ４ ：ｉｆ 删除 ＳＣＡＤＡ 主机系统目录文件 ｔｈｅｎ 恶意文件操作｝，｛Ｘｉｄ５ ：ｉｆ 复制文件至 ＳＣＡＤＡ 系统目录 ａｎｄ 修改该目录下文 件属性 ｔｈｅｎ 可疑文件操作｝，…〉。 ·６９０· 智 能 系 统 学 报 第 １１ 卷