CN111741018A

CN111741018A - 工控数据攻击样本生成方法、系统、电子设备及存储介质

Info

Publication number: CN111741018A
Application number: CN202010720078.6A
Authority: CN
Inventors: 周文; 李晓明; 沙芸; 任琳琳; 晏涌; 刘学君; 曹雪莹; 陈建萍
Original assignee: China Aviation Oil Group Co ltd; Beijing Institute of Petrochemical Technology
Current assignee: China Aviation Oil Group Co ltd; Beijing Institute of Petrochemical Technology
Priority date: 2020-07-24
Filing date: 2020-07-24
Publication date: 2020-10-02
Anticipated expiration: 2040-07-24
Also published as: CN111741018B

Abstract

本发明公开了工控数据攻击样本生成方法、系统、电子设备及存储介质，涉及工业控制系统攻击样本生成技术领域。一种工控数据攻击样本生成方法，包括：从业务数据集中抽取正例样本形成正例样本数据集；攻击样本也称为负例样本。对所述正例样本数据集进行攻击，生成的攻击样本集合称为预攻击样本数据集；对于所述的预攻击样本数据集生成稀疏矩阵，并采用SGD方法进行填充，生成初始攻击样本；基于所述初始攻击样本数据集采用双判别模型的生成式对抗网络形成攻击样本生成模型；调用所述攻击样本生成模型生成攻击样本数据集。采用本发明的技术方案，能够批量的高效生成对抗性较强的高质量工控系统攻击样本集合。

Description

工控数据攻击样本生成方法、系统、电子设备及存储介质

技术领域

本发明涉及工业控制系统攻击样本生成技术领域，具体涉及工控数据攻击样本生成方法、系统、电子设备及存储介质。

背景技术

越来越多的工控系统及设备接入互联网，工控系统网络面临更加复杂的网络空间安全。传统的入侵检测系统的研究主要集中在网络的入侵防护层面，一旦网络被攻破，入侵者直接进入业务层篡改业务数据，将会造成巨大损失。因此，基于判别模型识别工控系统业务数据的风险，是工控系统的安全的最后一道屏障。

然而，将判别模型尤其是深度学习等算法，应用于工业领域业务数据风险识别的前提是获得该领域大量的标注数据集。本发明人发现，虽然工控系统每天都会产生大量的业务数据，但是这些样本基本都是正常情况下的数据，攻击样本数据即攻击样本数据很少，有质量的攻击样本更是少之又少，严重影响了业务数据的安全分析算法的发展。工控系统中数据本身的数据特性，导致其难以生成有质量的大量攻击样本，攻击样本生成是本领域技术人员亟待解决的技术问题。

发明内容

本发明针对工控系统的攻击样本较少的情况，提出了一种工控业务数据集的攻击样本生成方法、系统、电子设备及存储介质。本发明基于双判定模型的生成式对抗网络，设计满足三个约束的攻击样本生成方法，建立攻击样本生成模型，生成攻击样本集合。采用本发明的技术方案，能够批量生成攻击性较强的工控系统攻击样本集合。

根据本发明的一个方面，一种工控业务数据集的攻击样本生成方法，包括：从业务数据集中抽取正例样本形成正例样本数据集；对所述正例样本数据集进行攻击，生成预攻击样本数据集；稀疏化处理预攻击样本数据集形成预攻击样本稀疏矩阵；填充所述预攻击样本稀疏矩阵，形成初始攻击样本数据集；基于所述初始攻击样本数据集采用双判别模型的生成式对抗网络形成攻击样本生成模型；调用所述攻击样本生成模型生成攻击样本数据集。

优选地，所述攻击为偏差攻击、几何攻击和浪涌攻击。

优选地，所述稀疏化处理为基于所述预攻击样本数据集，对其中预攻击样本进行向量拆分，将数据无冲突的所述预攻击样本数据集中的预攻击样本放入预攻击样本矩阵的对应列的任一行中，形成所述预攻击样本稀疏矩阵。

优选地，所述填充为基于矩阵UV分解方法和SGD优化方法，填充所述预攻击样本稀疏矩阵。

优选地，所述双判别模型为判别模型F和判别模型R；所述双判别模型结合约束条件和优化算法形成攻击样本生成模型。

优选地，所述约束条件为：依据所述判别模型F最小化所述正例样本的损失形成第一正例样本，最大化所述初始攻击样本损失形成第一攻击样本；依据所述判别模型R最小化第一攻击样本损失形成第二攻击样本；以初始攻击样本数据集的分布为指导，优化所述第二攻击样本。

优选地，所述生成攻击样本数据集包括：将所述初始攻击样本数据集和所述正例样本数据集输入到所述攻击样本生成模型中；依据所述约束条件迭代所述初始攻击样本数据集生成所述攻击样本数据集；所述攻击样本数据集生成后需要进行收敛性检测，以更新所述攻击样本生成模型。

优选地，所述生成攻击样本数据集还包括：确定所述初始攻击样本数据集的数据类型及类别标识。

根据本发明的一个方面，一种工控业务数据集的攻击样本生成系统，其特征在于，包括：数据抽取模块，其用于从业务数据集中抽取正例样本形成正例样本数据集；攻击模块，其用于对所述正例样本数据集进行攻击，生成预攻击样本数据集；稀疏化模块，其用于稀疏化处理预攻击样本数据集形成预攻击样本稀疏矩阵；填充模块，其用于填充所述预攻击样本稀疏矩阵，形成初始攻击样本数据集；模型生成模块，其用于基于所述初始攻击样本数据集采用基于双判别模型的生成式对抗网络形成攻击样本生成模型；攻击样本生成模块，其用于调用所述攻击样本生成模型生成攻击样本数据集。

根据本发明的一个方面，一种电子设备，包括：至少一个处理器；以及

与所述至少一个处理器耦合连接的存储器；其中，所述存储器存储有计算机程序，所述计算机程序能够被所述至少一个处理器执行，以实现工控数据攻击样本生成方法。

根据本发明的一个方面，一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被执行时，能够实现工控数据攻击样本生成方法。

本发明的有益效果在于：

本发明所提供的工控数据攻击样本生成方法，能够根据现有正例样本数据集生成大量攻击样本。根据正例样本变化梯度挑选正例样本集，以增加挑选出的正例样本质量。基于偏差攻击生成的稀疏预攻击样本矩阵，通过稀疏矩阵填补，生成初始攻击样本集，能够进一步增加样本数量。根据初始攻击样本集和正常样本，通过双判定模型中的判别模型F（攻击判定模型）和判别模型R（入侵判定模型），生成具有较强攻击能力的大量负例样本，从而构建工控系统业务数据的相对平衡样本集。

附图说明

图1为本发明的工控数据攻击样本生成方法实施的整体流程图；

图2为本发明的实施例中正例样本、原始负例样本和生成的负例样本进行聚类的结果数据图；

图3为本发明的实施例中机坪压力数据的样本数据对比图；

图4为本发明的实施例中泵轴温的样本数据对比图；

图5为本发明的实施例中过滤器压差的样本数据对比图；

图6为本发明的实施例中一个正例样本的数据趋势图；

图7为本发明的实施例中另一个正例样本的数据趋势图。

具体实施方式

现在将参照若干示例性实施例来论述本发明的内容。应当理解，论述了这些实施例仅是为了使得本领域普通技术人员能够更好地理解且因此实现本发明的内容，而不是暗示对本发明的范围的任何限制。

如本文中所使用的，术语“包括”及其变体要被解读为意味着“包括但不限于”的开放式术语。术语“基于”要被解读为“至少部分地基于”。术语“一个实施例”和“一种实施例”要被解读为“至少一个实施例”。术语“另一个实施例”要被解读为“至少一个其他实施例”。

图1为本发明的一种工控业务数据集的攻击样本生成方法一个实施例的流程图。在本实施例中，攻击样本与负例样本意义相同，应被予以相同意义的解读。如图1所示，本实施例的基于双判别模型的生成式对抗网络生成攻击样本的方法具体可以包括如下步骤：

步骤101：从业务数据集中抽取正例样本形成正例样本数据集。在本实施例中，首先需要从工控系统业务数据集中抽取出有效的正例样本。其中工控系统业务数据集数据量很大，但重复数据过多，需要在其中找出有效的正例样本集合。对于业务数据集，根据时间序列，计算业务数据变化的梯度，将梯度较大的数据称为交界数据，该交界数据即为重要的正例样本。此种正例样本提取方式是因为当前工控数据集中样本冗余比较多，为了精简冗余的样本，需要挑选重要的正例样本。

例如，在某工控业务系统中，一个月内的130个点位数据，共获得了41366条正例样本数据，这些正例样本数据值都是类似的。体现了工控系统运行的稳定状态，但这些数据生成正例样本集时，需要进行大量过滤。从图6、图7的正例样本点位数据的变化折线图中可以看到数据的上升沿和下降沿，抽取这些数据生成正例样本集合。本实施例中通过表1展示出实际应用过程中的一个正例样本的具体数据值参数如下：

表1

步骤102：对所述正例样本数据集进行攻击，生成预攻击样本数据集。预攻击样本又称为负例样本，预攻击样本根据现有的常用攻击方式建立。攻击方式有浪涌攻击、偏差攻击和几何攻击。

每种攻击都希望做到在不被工控系统发现的情况下，对其进行最大的破坏，即对正例样本数据集中的正例样本进行篡改，使其更符合工控系统中的负例样本数据。设攻击的注入向量为x，攻击向量为b，e为测量误差，受到攻击后统一模型的测量值如下式表示：

G_b=Hx+b+e （1）

此时，受攻击的状态变量x_b如下：

X_b=x+b （2）

此时业务数据集中的正例样本线性表达式可如下表示：

（3）

其中，G_b表示正例样本，i受攻击后的测量值，b_i表示点位的攻击值，e_i表示该点位的测量误差。如果X_bi表示第i个点位正例样本数据的状态变量，则第i个点位残差表达式如下：

（4）

所有点位的状态估计的残差表达式可如下表示：

（5）

求下式的最优解，为了使攻击后的残差总和尽可能小于一定的阈值，构造最优的攻击向量，使攻击后的总残差最小，即使得整个被攻击的正例样本数据残差更小，以使得生成的预攻击样本的仿真性更强：

（6）

其中，β为优化量，γ为正则化参数。

在针对正例样本进行攻击的同时，需要满足两个条件，条件一：

表示第个点位正例样本数据的状态变量，以此来确定优化量β：

-β=0 i=1,2,3,…，d （7）

条件二：

在本实施例中以偏差攻击且以工控系统某一正例样本数据集为例，对正例样本进行考察，其中的数据存在相互关联关系。定义当某一组业务单位各自不同的状态时，假定关系分别定义如下：

在某状态时，对某一组业务相关数据进行偏差攻击：

E_t=E_t-1+ (1/η)*||d||₁ （8）

其中，E_t是t时刻的偏差攻击结果，该值为前一时刻的值加上一个扰动；其中d表示在该数据的在各个梯度不为0时的平均梯度差；η是系数。例如，当系统中所有流量计累计和增大时，表示该系统目前正处于工作状态液位会有变化，反之处于休息状态液位变化很小。如果这个时候液位变化依然很大，则传感数据出错。在这种业务情况下，偏差攻击是通过对正例样本中的具有业务关联关系的数据进行随机值修改，以生成更加提高生成的攻击样本的真实性。

预攻击样本的来源是经过业务分析，按一定规则产生的数据，用偏差攻击、几何攻击和浪涌攻击等攻击模式进行模拟攻击。其中，在本实施例中较为优选地采用偏差攻击作为攻击方式，其比较符合工业控制数据集的真实情况，例如不断篡改泵的轴承温度，使其一直在合理范围内，实际温度已经很高，抑制其系统保护程序的启动。本实施例中通过表2展示出实际应用过程中的一个正例样本被攻击后生成的预攻击样本数据集如下：

表2

步骤103：稀疏化处理预攻击样本数据集形成预攻击样本稀疏矩阵。在获取到正例样本数据集和预攻击样本数据集后，将每一个预攻击样本向量拆成数据，并将其不冲突的放在预攻击样本矩阵的对应列的随机行上，组成预攻击样本稀疏矩阵。这是由于依据攻击方式获得的预攻击样本数据集为比较符合工控系统的攻击样本数据，但是其数量较少，无法得到大量的攻击样本数据。稀疏化矩阵填充目的是为了初步扩大负例样本个数，即扩充攻击样本数量，以便在后续步骤中，调用双判别模型进行训练。

步骤104：填充所述预攻击样本稀疏矩阵，形成初始攻击样本数据集。针对预攻击样本稀疏矩阵，基于矩阵分解原理用优化的方法填补该矩阵，得到初始攻击样本。具体实施方式如下：

已知预攻击样本稀疏矩阵R:

在矩阵R中，

号表示稀疏位置，但这些值不是不存在，而是被隐藏了，需要通过该矩阵已有真实值去估计这些稀疏位置的值。

针对预攻击样本稀疏矩阵进行分解，本实施例采用UV分解原理进行，矩阵的UV分解原理需要预先随机设置预攻击样本的潜在影响因子，即认为该矩阵是由两个向量P和Q相乘生成的，这样可以基于SGD优化方法进行迭代，得到稀疏值。此步骤主要是为了预攻击样本数据集的扩容，为了让扩容的预攻击样本更合理。

设p_u和q_i分别为向量P和Q的第u个和第i个分量，r_ui为矩阵R的第u行第i列的元素值。对于所有的u和i，满足：

r_ui=p_u×q_i；

满足约束：min∑（r_ui-p_u×q_i）（9）

对公式（9），分别求p_u和q_i的偏导数：

（10）

（11）

SGD优化方法的流程如下：

1、随机初始化所有p_u和q_i；

2、对给定的次数重复下面的步骤

对所有已知的r_ui，重复下面的步骤：

更新p_u和q_i：

（12）

（13）

其中，α是学习率。

迭代结束后，将得到p_u和q_i，从而得出稀疏位置的值。由此得到初始攻击样本数据集。

步骤105：基于所述初始攻击样本数据集采用基于双判别模型的生成式对抗网络形成攻击样本生成模型。基于双判别模型的生成式对抗网络在正例样本、初始攻击样本结合约束条件形成攻击样本生成模型，在攻击样本生成模型、初始攻击样本和正例样本之间的约束下，通过迭代得到最终的攻击样本集合。

基于双判别模型生成式对抗网络的特点是该攻击样本生成模型中存在两个判别模型，一个是攻击判别模型F。该模型在学习正例样本的基础上，使生成的攻击样本成为更真实的攻击样本。这里需要两个约束条件：1、正例样本的损失率需要最小化；2、攻击样本的损失率需要最大化。而最大化某个数据是非常困难的事情，因此针对该攻击样本取对数，并加负号，将问题变为更易于求解的极小值。

另一个模型是入侵判别模型R，R模型是帮助新生成的攻击样本能够“欺骗”判别模型，使其看起来像正例样本，因此，需要针对该攻击样本修改其标签并最小化损失函数；另外，生成的攻击样本需要与原攻击样本足够像，以初始攻击样本数据集的分布为指导，优化所述第二攻击样本。由此根据攻击判别模型F和入侵判别模型R结合正例样本数据集和初始化攻击样本数据集形成攻击样本生成模型。本实施例中的三个约束相互制约，既使得生成的攻击样本能够被判别模型F判别为负例样本，同时被判别模型R判别为正例，也能够使得生成的样本与最初形成的预攻击样本数据集中的预攻击样本更像。

步骤106：调用攻击样本生成模型生成攻击样本数据集，基于双判别模型的生成式攻击模型的样本生成方法流程如下：

1、读入初始化攻击样本数据集和正例样本数据集，样本向量分别用

和

表示；

2、for 所有训练轮数do

for 每个训练批次 do

抽取m个初始化攻击样本（一批）{x^* ₁,x^* ₂,…，x^* _m}

抽取m个正例样本（一批）{x₁，x₂，…，x_m}

最小化损失函数梯度方向，更新双判定模型：

判别模型F，理论上要针对攻击样本损失最大化，将其转化为最小化问题，将损失取log加负号，变成极小值问题：

（14）

对正例样本损失最小化：

（15）

为了正例样本数据的数量级与攻击样本一致，公式（15）也需要取对数：

（16）

对于入侵判别模型R，应当让攻击样本有入侵能力，该模型需要将攻击样本分类成正例样本，以保持其攻击性，因此需要在修改其标签的情况下，最小化损失函数:

（17）

对于生成式对抗网络来说，需要保证新的攻击样本与旧的有足够的相似度，

中，

服从原负例样本分布：

end for

return 攻击样本数据集

由此形成的攻击样本数据集具备更高的质量，其对于工业系统中训练深度学习算法来说具备极大价值。

本实施例中通过表3展示出实际应用过程中的一个通过的调用攻击样本生成模型生成攻击样本数据集生成的具体数据值参数如下：

表3

图2 为本发明的实施例中对公共数据集（WADI）中，正例样本、原负例样本和生成的负例样本进行聚类的结果。其中，簇1“×”为正例样本，簇2“·”和簇3“*”分别为原负例样本和专利方法生成的负例样本；从聚类结果可以看出，生成的负例样本与原有负例样本相似度很高，与正例样本距离较远。说明生成的负例样本是合理的。

图3-5为本发明的实施例中对现有业务数据集中的三种攻击分别生成负例样本。图3是具体实施过程中机坪压力数据的正例样本，经过偏差攻击后形成的负例样本和通过调用攻击样本生成模型生成攻击样本数据集生成的负例样本的对比图；图4是具体实施过程中泵轴温进行偏差攻击的正例样本，经过偏差攻击后形成的负例样本以及通过调用攻击样本生成模型生成攻击样本数据集生成的负例样本的对比图；图5是具体实施过程中过滤器压差的正例样本，经过偏差攻击后形成的负例样本和通过调用攻击样本生成模型生成攻击样本数据集生成的负例样本的对比图。从这三张图中可以看出，正例样本都是上面的一条单独曲线，下面两条线分别是攻击产生的负例样本和专利生成的负例样本。1、从数值上看，生成的负例样本与攻击产生的负例样本更接近；2、从趋势上看，生成的负例样本趋势与攻击的负例样本趋势类似，同时与正例样本的趋势也相似。说明专利方法生成的负例样本是合理的。

至少一个处理器；以及

与所述至少一个处理器耦合连接的存储器；其中，

所述存储器存储有计算机程序，所述计算机程序能够被所述至少一个处理器执行，以实现本发明所述的方法。

依据本发明的另一个方面，提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被执行时，能够实现本发明所述的方法。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和设备的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例节能信号发送/接收的方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

应理解，本发明的发明内容及实施例中各步骤的序号的大小并不绝对意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

Claims

1.一种工控数据攻击样本生成方法，其特征在于，包括：

从业务数据集中抽取正例样本形成正例样本数据集；

对所述正例样本数据集进行攻击，生成预攻击样本数据集；

稀疏化处理预攻击样本数据集形成预攻击样本稀疏矩阵；

填充所述预攻击样本稀疏矩阵，形成初始攻击样本数据集；

基于所述初始攻击样本数据集采用双判别模型的生成式对抗网络形成攻击样本生成模型；

调用所述攻击样本生成模型生成攻击样本数据集。

2.根据权利要求1所述的工控数据攻击样本生成方法，其特征在于，所述攻击为偏差攻击、几何攻击和浪涌攻击。

3.根据权利要求1所述的工控数据攻击样本生成方法，其特征在于，所述稀疏化处理为基于所述预攻击样本数据集，对其中预攻击样本进行向量拆分，将数据无冲突的所述预攻击样本数据集中的预攻击样本放入预攻击样本矩阵的对应列的随机行中，形成所述预攻击样本稀疏矩阵。

4.根据权利要求1所述的工控数据攻击样本生成方法，其特征在于，所述填充为基于矩阵UV分解方法和SGD优化方法，填充所述预攻击样本稀疏矩阵。

5.根据权利要求1所述的工控数据攻击样本生成方法，其特征在于，所述双判别模型的生成式对抗网络中，含有判别模型F和判别模型R；所述双判别模型结合约束条件和优化算法形成所述攻击样本生成模型。

6.根据权利要求5所述的工控数据攻击样本生成方法，其特征在于，所述约束条件为：

依据所述判别模型F最小化所述正例样本的损失形成第一正例样本，最大化所述初始攻击样本损失形成第一攻击样本；

依据所述判别模型R最小化所述第一攻击样本损失形成第二攻击样本；

以初始攻击样本数据集的分布为指导，优化所述第二攻击样本。

7.根据权利要求5所述的工控数据攻击样本生成方法，其特征在于，所述生成攻击样本数据集包括：

将所述初始攻击样本数据集和所述正例样本数据集输入到所述攻击样本生成模型中；

依据所述约束条件迭代所述初始攻击样本数据集生成所述攻击样本数据集；

所述攻击样本数据集生成后进行收敛性检测，以更新所述攻击样本生成模型。

8.一种如权利要求1-7任一所述的工控数据攻击样本生成系统，其特征在于，包括：

数据抽取模块，其用于从业务数据集中抽取正例样本形成正例样本数据集；

攻击模块，其用于对所述正例样本数据集进行攻击，生成预攻击样本数据集；

稀疏化模块，其用于稀疏化处理预攻击样本数据集形成预攻击样本稀疏矩阵；

填充模块，其用于填充所述预攻击样本稀疏矩阵，形成初始攻击样本数据集；

模型生成模块，其用于基于所述初始攻击样本数据集采用双判别模型的生成式对抗网络形成攻击样本生成模型；

攻击样本生成模块，其用于调用所述攻击样本生成模型生成攻击样本数据集。

9.一种电子设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器耦合连接的存储器；其中，

所述存储器存储有计算机程序，所述计算机程序能够被所述至少一个处理器执行，以实现权利要求1-7任一项所述的工控数据攻击样本生成方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，当所述计算机程序被执行时，能够实现权利要求1-7任一项所述的工控数据攻击样本生成方法。