[发明专利]一种基于机器学习的工控行为检测方法和系统有效
| 申请号: | 202110005460.3 | 申请日: | 2021-01-05 |
| 公开(公告)号: | CN112333211B | 公开(公告)日: | 2021-04-23 |
| 发明(设计)人: | 傅涛;郑建平;郑轶;王力;邓勇 | 申请(专利权)人: | 博智安全科技股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06N20/00 |
| 代理公司: | 北京元周律知识产权代理有限公司 11540 | 代理人: | 校丽丽 |
| 地址: | 210012 江苏省南*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 机器 学习 行为 检测 方法 系统 | ||
1.一种基于机器学习的工控行为检测方法,其特征在于,所述检测方法包括:
对工控协议通讯行为样本进行解析,提取协议样本;
将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;
对实时工控协议通讯行为进行解析,提取实时协议数据;
若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;
若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常;
所述工控协议通讯行为样本包括第一行为样本和第二行为样本;
所述对工控协议通讯行为样本进行解析,提取协议样本,具体为:
对所述第一行为样本进行解析,提取第一协议样本;
对所述第二行为样本进行解析,提取第二协议样本;
相应的,将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库,具体为:
将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
将所述第二协议样本输入机器学习模块中进行训练;
获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库;
所述将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库,具体为:
将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中;
所述获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库,具体包括:
若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则采用信息量权重法重新计算所有权重不为1的第二协议样本的权重;并且若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除;其中,所述阈值权重为0.5;
若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,采用信息量权重法重新计算所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
2.根据权利要求1所述的检测方法,其特征在于,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则判定所述实时工控协议通讯行为异常。
3.根据权利要求1所述的检测方法,其特征在于,若所述实时协议数据与所述通讯正常库和所述通讯异常库中的数据均不匹配,则发出告警信息。
4.根据权利要求1所述的检测方法,其特征在于,所述协议样本和所述实时协议数据均包括:源IP、目的IP、协议名称、协议控制命令、协议控制点位和协议控制值中的至少一种。
5.一种基于机器学习的工控行为检测系统,其特征在于,所述检测系统包括:
第一解析单元,用于对工控协议通讯行为样本进行解析,提取协议样本;
训练单元,用于将所述协议样本输入机器学习模块中进行训练,确定通讯正常库和通讯异常库;
第二解析单元,用于对实时工控协议通讯行为进行解析,提取实时协议数据;
检测单元,用于若所述实时协议数据与所述通讯正常库中的数据匹配,则判定所述实时工控协议通讯行为正常;
若所述实时协议数据与所述通讯异常库中的数据匹配,则判定所述实时工控协议通讯行为异常;
所述工控协议通讯行为样本包括第一行为样本和第二行为样本;
所述第一解析单元具体用于:
对所述第一行为样本进行解析,提取第一协议样本;
对所述第二行为样本进行解析,提取第二协议样本;
所述训练单元具体用于:
将所述第一协议样本输入机器学习模块中进行训练,确定通讯正常库;
将所述第二协议样本输入机器学习模块中进行训练;
获取所述第二协议样本的权重,并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库;
所述训练单元还具体用于:
将所述第一协议样本的权重标记为1,并将所述第一协议样本添加至通讯正常库中;
若所述第二协议样本存在于所述通讯正常库中,且其权重不为1,则采用信息量权重法重新计算所有权重不为1的第二协议样本的权重;并且若更新后的第二协议样本的权重小于阈值权重,则将所述第二协议样本转入所述通讯异常库中;并且,若所述第二协议样本存在于所述通讯正常库中,将其从所述通讯正常库中删除;若更新后的第二协议样本的权重大于或等于所述阈值权重,则将所述第二协议样本添加至所述通讯正常库中;并且,若所述第二协议样本存在于所述通讯异常库中,将其从所述通讯异常库中删除;其中,所述阈值权重为0.5;
若所述第二协议样本不存在于所述通讯正常库中,则将所述第二协议样本的权重设置为预设权重,采用信息量权重法重新计算所有权重不为1的第二协议样本的权重,并将所述第二协议样本转入通讯异常库中;其中,所述预设权重小于0.5。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于博智安全科技股份有限公司,未经博智安全科技股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110005460.3/1.html,转载请声明来源钻瓜专利网。
