该论文针对工业控制系统入侵检测中常用的二分类（正常vs攻击）评估方法存在的局限性，提出了一种行为特征化框架。传统方法使用二进制标签来评估，容易掩盖网络物理攻击的行为多样性。作者设计了五个可解释的物理基元（漂移、尖峰、振荡、重复、切换），将原始多变量过程轨迹映射到这些基元，从而在行为层面上表征攻击。框架应用于三个公开ICS基准数据集（SWaT、WADI、HAI），发现攻击窗口相对于正常操作有明显行为转变，且三个数据集在行为空间中占据不同区域，显示出跨数据集偏差和内部多样性。WADI以重复行为为主，HAI强调持续漂移和振荡，而SWaT以更隐蔽的冻结遥测行为为特征。为评估影响，作者使用随机森林基线模型，发现二进制评价指标会限制对不同行为代理下性能的可见性。例如，在SWaT中，宏观F1从二进制评估下的85.44%下降到行为代理多分类预测下的37.84%，WADI和HAI也观察到类似退化。据此，作者主张用行为分层评估来补充传统二进制基准测试，以揭示聚合分数掩盖的盲点，并更好地支持针对性的应急响应。