[发明专利]基于神经网络和最优推荐的工控系统异常行为发现系统

说明书

本发明属于信息技术领域，公开了一种基于神经网络和最优推荐的工控系统异常行为发现系统，对工业控制系统流量数据进行分析对工业控制系统中高维数据进行降维，实现无关属性删除和冗余属性去冗余，在遵循真实的输入输出样本内在的联系同时，实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模，利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性，发现异常流量。本发明基于最优推荐理论对流量进行场景比对和挖掘分析，建立恶意流量(场景)最优推荐模型，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。

技术领域

本发明属于信息技术领域，尤其涉及一种基于神经网络和最优推荐的工控系统异常行为发现系统。

背景技术

随着计算机技术、通信技术和控制技术的发展，传统的工业控制领域正经历着一场前所未有的变革，开始向网络化方向发展。工业控制系统的结构从最初的CCS(计算机集中控制系统)，到第二代的DCS(分散控制系统)，发展到现在流行的FCS(现场总线控制系统)；将网络化与现场总线联系在一起。在工业控制领域较有影响的现场总线系统有：FF、LonWorks、Profibus、CAN、HART，以及RS485的总线网络等。现场总线基金会己经制定的统一标准((FF)，其慢速总线标准Hl已得到通过成为国际标准，其高速总线标准H2还在制订中。

神经网络是模拟人类生理上的神经机制的计算模型，具有大规模并行处理、良好的自学习、自适应、极强的非线性逼近和容错能力等特点，避免了复杂的数学推导，在参数漂移与样本缺损情况下，依然能保持稳定的输出。近年来已渗透到各个领域，在智能控制、模式识别、非线性优化、信号处理等方面得到广泛应用。因此，将神经网络运用到工业控制系统中，对提高工业控制系统的安全审计能力，具有重要的价值。

综上所述，现有技术存在的问题是：传统的检测系统在处理高维数据中无关属性和冗余属性问题中存在检测率低、检测速度慢等特点。

发明内容

针对现有技术存在的问题，本发明提供了一种基于神经网络和最优推荐的工控系统异常行为发现系统，

本发明是这样实现的，一种基于神经网络和最优推荐的工控系统异常行为发现系统，所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块；

所述数据采集模块：基于Libpcap模块抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息；这种被动采集的方法不会增加网络中的数据流；

所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；

所述行为分析模块：对网络流量进行分析；在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作；此时系统开启异常监控模块，进入到正常工作状态；

所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量；系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断；系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单。

本发明的另一目的在于提供一种所述的基于神经网络和最优推荐的工控系统异常行为发现系统的数据采集模块与行为分析模块实现方法，所述数据采集模块与行为分析模块实现方法：

步骤一，首先搭建基于工业以太网的实验平台，并采集平台流量作为流量数据集；