[发明专利]一种用于工业控制系统入侵检测方法及系统

权利要求书

1.一种用于工业控制系统入侵检测方法，其特征在于，包括以下步骤：

通过带镜像口的交换机设备利用抓包软件抓取工业控制系统流入程序的数据包，并对数据包进行解析；

将上述数据包解析结果发送给IDS的命令解析器；

所述命令解析器将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行匹配；

如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，则属于恶意入侵程序，并且命令解析器发出警报并暂停工业控制系统的运行；

如果判断出数据包解析结果与规则库中对应的攻击特征匹配失败，则将对数据包进行协议解析工作，识别、提取其中有效特征，包括：通信数据的源IP地址、源端口号、目的IP地址、目的端口号、包间隔时间、包发送时间、包功能码；

在上述提取的有效特征中，利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；

对特征集中的数据进行预处理，将每一条网络通信报文处理成一条标准化的多维向量数据；

将上述处理后的多维向量数据输入到集成学习模型中，对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；

若检测到有异常数据，则判断属于恶意入侵程序，然后命令解析器发出警报并暂停工业控制系统的运行，并将提取攻击特征并添加到上述规则库中；

若未检测到有异常数据，则判断不属于恶意入侵程序。

2.根据权利要求1所述的一种用于工业控制系统入侵检测方法，其特征在于，上述数据包来源可以是实际现场数据也可以是安全工程师提交的数据；抓包软件为Wireshark和Fiddler4中任意一个，能够用于安全工程师自己提交新发现的疑似恶意入侵程序进行检测，如果是恶意入侵程序添加到规则库中，以不断丰富规则库。

3.根据权利要求2所述的一种用于工业控制系统入侵检测方法，其特征在于，上述机器学习特征选择技术采用决策树算法进行特征筛选的内容包括信息熵和互信息，通过建立高质量且不冗余的特征集合，能有效代表系统所采集的网络数据，且合理利用运算资源。

4.根据权利要求3所述的一种用于工业控制系统入侵检测方法，其特征在于，上述预处理方法具体包括缺失值补充、特征编码、数据极大极小标准化。

5.根据权利要求4所述的一种用于工业控制系统入侵检测方法，其特征在于，上述集成学习是指通过融合多个机器学习算法来完成学习任务，集成学习方法为stacking集成学习算法，stacking集成学习算法是一种异构算法，能够给工业控制系统入侵检测带来不同学习模型的训练效果。

6.根据权利要求5所述的一种用于工业控制系统入侵检测方法，其特征在于，上述警报包括警报器发出的声音警报以及三色灯发出的闪光警报，能够通过声光报警提醒工作人员及时进行处理。

7.一种用于工业控制系统入侵检测系统，其特征在于，包括：

节点，用于捕获工业控制系统流入的数据包，根据协议解码对所述数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；

命令解析器，用于将接收到的所述数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果所述数据包解析结果与规则库中对应的攻击特征匹配成功，所述命令解析器进行报警；

协议解析模块，用于对数据包进行协议解析工作，识别、提取其中有效特征；

特征选择模块，用于利用专家知识或者机器学习特征选择技术，选择合适的特征建立特征集；

预处理模块，用于将每一条网络通信报文处理成一条标准化的多维向量数据；

集成学习模型，用于对有标签的工业控制系统通信数据进行有监督学习，并在实时检测时，对到来的每一个工业控制系统通信数据包判断是否为异常数据；

处理判别模块，用于处理实际运行的工业控制系统的通信数据，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。