[发明专利]一种事故规则的生成方法和系统

说明书

本申请提供一种事故规则的生成方法，包括：S1、获取工控系统发生事故的历史数据，并作为训练数据，所述训练数据构成训练集；S2、构建决策树；S3、获取事故规则。本发明通过对事故历史数据建立决策树，并且根据建立的决策树抽取出事故判断的规则，抽取出来的规则，与人工经验建立的规则格式一致，不仅生成的速度快、准确，而且能挖掘出潜在的规则，同时也易于维护。

技术领域

本发明涉及工业控制领域，更具体地，涉及一种事故规则的生成方法和系统。

背景技术

随着网络攻击的不断增多，入侵检测系统已经成为组建安全网络系统的重要组成部分。检测入侵事件，保护工业控制网络安全，维护工业控制系统的正常运转，是当前工控系统的核心内容之一。

工控系统包含多种设备，各设备之间相互影响，有很多设备需要监测和综合判断工控系统的安全状态。

目前工业控制系统入侵检测主要有以下两大类方法：一是基于规则的入侵检测方法，主要实现方式是通过匹配规则码或特征码来检测出入侵行为；这种方式准确率较高，误报率低，但是检测效果完全取决与规则库，而且无法发现未知的攻击行为，有较大的局限性。二是基于机器学习的检测方法，主要实现方式是通过训练神经网络模型，判别系统是否具有属于恶意程序的行为特征，这种方法的优点是具备一定的泛化能力，可以检测出未知的攻击行为；但由于基于神经网络的方法训练得到的判断模型类似于一个黑盒，人类无法理解，而且无法进行维护。所以，本发明通过对事故历史数据建立决策树，并且根据建立的决策树抽取出事故判断的规则。抽取出来的规则，与人工经验建立的规则一致，并且便于维护。

发明内容

为克服现有技术的上述缺陷，本发明提出了一种事故规则的生成方法和系统，利用机器学习中的决策树，利用历史事故的数据库，自动建立一个根据各个设备的参数，实现对事故规则的自动获取，从而能够提取出更全面的事故判断规则，并且由于整个过程是数据驱动，能够根据新的事故历史数据，实现对事故判断规则库的自动更新。

根据本发明提出了一种事故规则的生成方法，包括：

S1、获取工控系统发生事故的历史数据，并作为训练数据，所述训练数据构成训练集；S2、构建决策树；S3、获取事故规则。

进一步的，所述历史数据的格式为：时刻，设备数值，工控系统安全状态。

进一步的，所述步骤S2中包括以下步骤：

S21.获取工控系统中的设备信息，组成设备列表R，创建决策树的根节点N；

S22.如果训练集为空，将根节点N标记为False，构建结束；

S23.如果训练集中的所有数据中工控系统安全状态相同，则以所述工控系统安全状态标记根节点N；否则，转到步骤S24；

S24.如果设备列表R为空，将根节点N作为叶节点，统计训练集中频次最多的工控系统安全状态，并以所述工控系统安全状态标记根节点N，构建结束；

S25.遍历对设备列表R中的设备，如果设备的数值是连续性数值，则对该数值进行离散化；

S26.选择设备列表R中具有最高信息增益率的设备D，标记根节点N为设备D；

S27.在训练集中统计所述设备D的数值，构建分支，从而构成在训练集上针对所述设备列表R的决策树。

进一步的，构建分支包括以下步骤：

(1)在训练集中将包含所述设备D的数值的训练数据作为集合s；

(2)如果s为空，则为所述分支增加叶节点，将叶标记为训练集中频次最多的安全状态；否则为所述分支增加子决策树，该子决策树是在集合s上，针对设备列表(R-{D})构建的决策树。