[发明专利]基于神经网络和最优推荐的工控系统异常行为发现系统

权利要求书

1.一种基于神经网络和最优推荐的工控系统异常行为发现系统，其特征在于，所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块；

所述数据采集模块：基于Libpcap模块抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息；这种被动采集的方法不会增加网络中的数据流；

所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述行为分析模块：对网络流量进行分析；在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作；此时系统开启异常监控模块，进入到正常工作状态；

所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量；系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断；系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单；

所述基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法：

步骤一，首先搭建基于工业以太网的实验平台，并采集平台流量作为流量数据集；

步骤二，然后基于该数据集对网络流量的平稳性、周期性、自相似性重要特性进行分析；

步骤三，总结出工业控制网络的流量特性，并分析其流量特性与传统以太网流量特性的差异；

所述特征降维模块实现方法包括：

(1)从工业控制系统场景出发，对工业控制系统原始流量数据进行分析；

(2)根据数据长度、流量周期性、响应时间、控制信息、时序性关键特征，对不同场景被检测流量数据进行建模；

(3)最后利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距发现异常流量；

(4)系统采用基于神经网络的特征选择模型；该模型在传统的神经网络的基础上增加特征的动态选择层；所述动态选择层层节点与输入节点间设计连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述的基于神经网络和最优推荐的工控系统异常行为发现系统的异常监测模块实现方法，包括：

第一步，系统通过采用漏洞扫描、动态测试、静态测试技术，对初始数据的挖掘、整理得出数据内部的规律特点；分析系统已知部分的信息、部分信息未知的少数据、贫信息的不确定性，基于灰色决策理论，建立控制网络设备库，恶意行为库和工业控制协议套件库；

第二步，然后，基于最优搜索理论，建立最优推荐模型；

第三步，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意行为检测与发现模型。