[发明专利]一种工业控制网络安全检测方法及系统

说明书

本发明提供一种工业控制网络安全检测方法及系统，该方法包括：为工业控制网络节点转发的数据包添加预定标记；采集各网络节点数据包，基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类；根据带预定标记数据包的空间转发路径和异常网络节点的分布，通过图卷积神经网络确定网络攻击路径；基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击。通过该方案可以实时检测工控网络异常，确定网络攻击路径，并能保障检测准确率。

技术领域

本发明涉及工业互联网领域，尤其涉及一种工业控制网络安全检测方法及系统。

背景技术

工业互联网作为智能制造的基础平台，其在现代工业制造发展过程中起到越来越关键的作用。结合物联网、大数据、人工智能等先进技术，形成资源富集、协同参与、融合实体制造与网络的新生态。工业互联网中，必然会涉及到工业控制网络，由于工厂内部生产设备需要和外部进行信息交互，以及控制中心与生产设备间需要进行数据交互，在数据交互过程中，可能存在外部恶意入侵风险，严重影响正常的工业生产。

目前，常见的工业生产中网络异常检测多是采集网络流量数据，通过对一段时间的网络流量特征监测分析后，与特征阈值比对，判断是否发生网络异常，该方法简单易于实现，但对网络异常检测较为滞后，且检测准确率不高。

发明内容

有鉴于此，本发明实施例提供了一种工业控制网络安全检测方法及系统，以解决现有网络安全检测较为滞后且准确率不高的问题。

在本发明实施例的第一方面，提供了一种工业控制网络安全检测方法，包括：

为工业控制网络节点转发的数据包添加预定标记；

采集各网络节点数据包，基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类；

根据带预定标记数据包的空间转发路径和异常网络节点的分布，通过图卷积神经网络确定网络攻击路径；

基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击。

在本发明实施例的第二方面，提供了一种工业控制网络安全检测系统，包括：

数据包标记模块，用于为工业控制网络节点转发的数据包添加预定标记；

异常分类模块，用于采集各网络节点数据包，基于各网络节点数据包特征通过森林模型和SVM模型对网络节点进行异常分类；

路径检测模块，用于根据带预定标记数据包的空间转发路径和异常网络节点的分布，通过图卷积神经网络确定网络攻击路径；

减轻攻击模块，用于基于网络攻击路径通过相应的丢包策略或隔断处理减轻网络攻击。

本发明实施例的第三方面，提供了一种电子设备，至少包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如本发明实施例第一方面所述方法的步骤。

本发明实施例的第四方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例第一方面提供的所述方法的步骤。

本发明实施例中，通过训练后的随机森林模型和SVM模型对工控网络中的异常节点进行分类，并通过图卷积神经网络获取网络攻击或入侵路径，进行采取相应的措施缓解攻击，不仅能够实时检测网络异常，而且可以保障检测准确度，基于标记数据包的转发路径和异常节点分布，既可以获知网络入侵路径，同时能够验证异常检测结果，并基于攻击路径，缓解网络攻击，并方便后续排查维护。

附图说明