[发明专利]攻击识别数据模型的生成与应用方法

权利要求书

1.一种攻击识别数据模型的生成与应用方法，用于一自动控制系统，攻击识别系统包括一控制设备、一受控设备及一识别模块，该攻击识别数据模型的生成与应用方法包括以下步骤：

a)于一训练模式下，对白名单的多个样本流量的多个数值进行统计以获得多个样本值，其中基于所有该样本值可对一第一数量的多个流量类别进行识别；

b)基于该多个样本值与所对应的该多个流量类别执行一分类学习演算法来对该多个样本值以外的数值进行分类，以产生一攻击识别数据模型，其中该攻击识别数据模型包括多个识别特征，基于所有该识别特征可对一第二数量的该多个流量类别进行识别，该第二数量大于该第一数量；

c)控制该识别模块于一识别模式下接收多个陌生流量；及

d)基于该攻击识别数据模型的该多个识别特征及各该陌生流量的数值分类各该陌生流量至白名单的该流量类别或黑名单的该流量类别，其中该多个陌生流量是由该控制设备发送至该受控设备，或由该受控设备发送至该控制设备，其中该多个样本值包括多个白名单样本值与多个黑名单样本值，该步骤a)包括以下步骤：

a11)对白名单的该多个样本流量的该多个数值进行统计以获得多个白名单样本值；及

a12)对该多个白名单样本值执行一反向分析处理以获得该多个黑名单样本值，

其中，该反向分析处理是依照当前使用的网络协定的传输限制、惯用数值和/或白名单样本值未涵盖的数值范围，来产生黑名单样本值，并且为了平衡训练用的白名单样本与黑名单样本的数量，该反向分析处理后，复制原始样本值使得黑名单样本与白名单样本数量一致。

2.如权利要求1所述的攻击识别数据模型的生成与应用方法，其中各该样本流量及各该陌生流量包括多个栏位，该多个识别特征分别用来识别不同的该多个流量类别；

该步骤a)是选择该多个栏位的至少其中之一，并对所有该样本流量的所选择的各该栏位的所有该数值进行统计，以获得所选择的各该栏位的至少一该样本值；

该步骤d)是判断各该陌生流量的该多个栏位的至少其中之一的数值是否符合任一该识别特征以决定各该陌生流量为所对应的该流量类别。

3.如权利要求1所述的攻击识别数据模型的生成与应用方法，其中各该样本流量及各该陌生流量包括多个栏位，该分类学习演算法包括以下步骤：

e1)执行一决策树演算法来决定一分类条件，其中该分类条件将该多个样本流量划分为多个子群，各该子群分别对应一种白名单的该流量类别或一种黑名单的该流量类别，该分类条件是该多个栏位的其中之一的数值或数值范围，且是基于该栏位的至少一白名单样本值或至少一黑名单样本值所决定；

e2)计算各该子群的一纯度；

e3)于任一该子群的该纯度不符一预设纯度时，对该子群执行该决策树演算法来决定另一该分类条件，其中另一该分类条件将该子群再划分为该多个子群；及

e4)重复执行步骤e2)及步骤e3)直到所有该子群的该纯度皆符合该预设纯度。

4.如权利要求3所述的攻击识别数据模型的生成与应用方法，其中该步骤b)是将该纯度符合该预设纯度的各该子群所对应的所有该分类条件设定为所对应的该流量类别的该识别特征。

5.如权利要求3所述的攻击识别数据模型的生成与应用方法，其中多个分类条件是该多个栏位的数值或数值范围。

6.如权利要求3所述的攻击识别数据模型的生成与应用方法，其中该决策树演算法是分类与回归树演算法，该纯度是吉尼系数。

7.如权利要求1所述的攻击识别数据模型的生成与应用方法，其中该攻击识别系统包括一中继设备，该攻击识别数据模型的生成与应用方法于该步骤c)之前还包括以下步骤：

f1)于该中继设备收到任一流量时，产生该流量的一副本；

f2)将该副本传输至该识别模块作为该陌生流量；及

f3)转传该流量至该流量的一目的地栏位所指示的该控制设备或该受控设备。