[发明专利]一种基于机器学习的工控行为检测方法和系统

说明书

本发明公开了一种基于机器学习的工控行为检测方法和系统，属于工控网络安全技术领域，能够解决现有自动识别异常工控行为的难度较大，效率较低的问题。所述检测方法包括：对工控协议通讯行为样本进行解析，提取协议样本；将协议样本输入机器学习模块中进行训练，确定通讯正常库和通讯异常库；对实时工控协议通讯行为进行解析，提取实时协议数据；若实时协议数据与通讯正常库中的数据匹配，则判定实时工控协议通讯行为正常；若实时协议数据与通讯异常库中的数据匹配，则判定实时工控协议通讯行为异常。本发明用于工控行为异常检测。

技术领域

本发明涉及一种基于机器学习的工控行为检测方法和系统，属于工控网络安全技术领域。

背景技术

随着工业控制网络和互联网络不断的融合，工业控制系统正朝着数字化、网络化、智能化的方向发展，越来越多的工控系统及相关设备与外部公共网络连接，工业互连已成为不可避免的趋势，高度网络化、开放协议和通用组件互联，带来了更多的攻击路径和攻击方式，网络空间的安全问题直接延伸到工业控制系统中，工控系统面临更加复杂的信息安全威胁，自动识别异常工控行为成为了亟待解决的问题。

传统审计系统需要人工对协议进行检测规则配置，系统获取流量数据，并解析工控行为报文，根据检测规则判断该工控行为是否为异常操作行为。检测规则配置，需要运维人员对协议以及业务非常了解，随着工控设备使用协议越来越多，协议指令也越来越复杂，人工配置协议检测规则难度变大，且配置过程中容易配置错误；并且现有机器学习不完善，只能学习到行为，不能对协议操作指令检测规则进行自动化分类配置，需要人为配置；这些都会导致自动识别异常工控行为的难度较大，效率较低。

发明内容

本发明提供了一种基于机器学习的工控行为检测方法和系统，能够解决现有自动识别异常工控行为的难度较大，效率较低的问题。

一方面，本发明提供了一种基于机器学习的工控行为检测方法，所述检测方法包括：对工控协议通讯行为样本进行解析，提取协议样本；将所述协议样本输入机器学习模块中进行训练，确定通讯正常库和通讯异常库；对实时工控协议通讯行为进行解析，提取实时协议数据；若所述实时协议数据与所述通讯正常库中的数据匹配，则判定所述实时工控协议通讯行为正常；若所述实时协议数据与所述通讯异常库中的数据匹配，则判定所述实时工控协议通讯行为异常。

可选的，所述工控协议通讯行为样本包括第一行为样本和第二行为样本；所述对工控协议通讯行为样本进行解析，提取协议样本，具体为：对所述第一行为样本进行解析，提取第一协议样本；对所述第二行为样本进行解析，提取第二协议样本；相应的，将所述协议样本输入机器学习模块中进行训练，确定通讯正常库和通讯异常库，具体为：将所述第一协议样本输入机器学习模块中进行训练，确定通讯正常库；将所述第二协议样本输入机器学习模块中进行训练；获取所述第二协议样本的权重，并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。

可选的，所述将所述第一协议样本输入机器学习模块中进行训练，确定通讯正常库，具体为：将所述第一协议样本的权重标记为1，并将所述第一协议样本添加至通讯正常库中；所述获取所述第二协议样本的权重，并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库，具体包括：若所述第二协议样本存在于所述通讯正常库中，且其权重不为1，则更新所有权重不为1的第二协议样本的权重；并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中；若所述第二协议样本不存在于所述通讯正常库中，则将所述第二协议样本的权重设置为预设权重，更新所有权重不为1的第二协议样本的权重，并将所述第二协议样本转入通讯异常库中；其中，所述预设权重小于0.5。