[发明专利]一种工业控制网络安全检测方法及系统

权利要求书

1.一种工业控制网络安全检测方法，其特征在于，包括：

为工业控制网络节点转发的数据包添加预定标记；

采集各网络节点数据包，基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类；

根据带预定标记数据包的空间转发路径和异常网络节点的分布，通过图卷积神经网络确定网络攻击路径；

基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击。

2.根据权利要求1所述的方法，其特征在于，所述基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类之前包括：

标注各网络节点数据包对应的异常分类，将标注后的数据包作为样本构建训练集和测试集；

通过训练集和测试集分别对随机森林模型和SVM模型进行训练、测试。

3.根据权利要求1所述的方法，其特征在于，所述基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类还包括；

验证所述待检测轨迹类型识别结果是否准确，将准确识别的网络节点对应的数据包添加到训练集中。

4.根据权利要求1所述的方法，其特征在于，所述基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类包括：

设定随机森林模型输出结果和SVM模型输出结果的权重比例，根据森林模型和SVM模型的输出结果及所述权重比例，判断网络节点的异常类型。

5.根据权利要求1所述的方法，其特征在于，所述基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击包括：

若数据包的源IP地址属于网络攻击路径中网络设备，则对数据包进行丢包处理；

或者,数据包的源IP地址和目的IP均属于网络攻击路径中网络设备，则对数据包进行丢包处理。

6.一种工业控制网络安全检测系统,其特征在于，包括：

数据包标记模块，用于为工业控制网络节点转发的数据包添加预定标记；

异常分类模块，用于采集各网络节点数据包，基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类；

路径检测模块，用于根据带预定标记数据包的空间转发路径和异常网络节点的分布，通过图卷积神经网络确定网络攻击路径；

减轻攻击模块，用于基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击。

7.根据权利要求6所述的系统，其特征在于，所述基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类包括：

设定随机森林模型输出结果和SVM模型输出结果的权重比例，根据森林模型和SVM模型的输出结果及所述权重比例，判断网络节点的异常类型。

8.根据权利要求6所述的系统，其特征在于，所述基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击包括：

若数据包的源IP地址属于网络攻击路径中网络设备，则对数据包进行丢包处理；

或者,数据包的源IP地址和目的IP均属于网络攻击路径中网络设备，则对数据包进行丢包处理。

9.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述工业控制网络安全检测方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述工业控制网络安全检测方法的步骤。