[发明专利]基于IL的闭源电力工控系统恶意行为识别方法及系统

说明书

基于IL的闭源电力工控系统恶意行为识别方法，包括如下步骤：获取闭源电力工控系统底层多域数据并对数据进行预处理，形成样本集；对样本集进行类别标注，并设定比例将图像随机划分为训练集和测试集；构建恶意行为分类模型并对其进行训练，得到经过训练的恶意行为分类模型；基于训练后的恶意行为分类模型对待分类恶意行为进行分类；当闭源电力工控系统出现新数据流时，结合新数据流基于增量学习动态调整恶意行为分类模型；基于调整后的恶意行为分类模型对待分类恶意行为进行分类。本发明能够在闭源电力工控系统中有新的数据流出现时，对分类模型进行动态调整从而确保其使用时的准确性，并通过调整样本集数量减小了模型动态更新的开销。

技术领域

本发明属于电力信息安全领域，更具体地，涉及一种基于IL的闭源电力工控系统恶意行为识别方法及系统。

背景技术

随着经济的不断发展，电力需求也越来越大，电力系统的整体运营和规划正受到各种科学技术发展的冲击，面临着各种各样的问题，电力行业的网络安全也日益严峻。恶意行为检测是信息安全领域的研究重点，在电力工控系统中也起到了非常重要的安全防护作用。恶意行为，是为实现一定的目的针对某一目标所采取的一系列操作的过程，是一个不断向攻击目的逼近的动态过程。通常采用扫描、口令攻击、恶意代码、缓冲区溢出、欺骗、后门、会话劫持、网络监听、拒绝服务等方法，对目标网络或系统产生影响和破坏，如篡改信息、骗取和假冒数据、盗取服务和资源、破坏系统可用性等。对恶意行为进行识别是保护电力行业网络安全的重要措施。

传统的识别恶意行为的方法主要是特征检测法。基于特征码的特征检测法只能对已存在于数据库中的恶意行为进行检测，对未知的恶意行为无能为力。并且，随着信息技术的不断发展，为避开检测系统对恶意行为的识别，攻击者将恶意行为转移至底层系统。如，Rootkit木马会对PLC系统底层组件构成威胁。除此之外，恶意行为识别在电力行业的研究还比较少。目前，电力行业的恶意行为防护大致有两种类型，即恶意行为的事前防御和恶意行为的事后清除。修改注册表、发恶意电子邮件、恶意网页攻击是当前恶意行为攻击的主要途径，可以通过修改注册表，设置相应的软件防患于未然，即恶意行为的事前防御。使用杀毒软件对恶意行为进行查杀、清除或者手动删除即恶意行为的事后清除。而对于未知及隐藏的恶意行为不能及时准确的进行识别和防护，从中可以看出目前电力行业的恶意行为识别仍然存在很多的问题和缺陷。

网络隔离技术是当前保障电力工业控制系统网络安全较为有效的措施之一，通过网络隔离装置，可以对服务进行过滤，对基于路由的攻击进行保护，并且将电力工控系统与其他系统划分开，以此实现网段隔离，并对系统中的安全漏洞进行隐藏。目前在电力工控系统中还没有基于流量信息去检测恶意行为的技术，电力工控系统的恶意行为识别主要基于电力工控网络的日志和流量信息去检测未知的行为，以保障工控电力系统的安全，存在处理数据量、实时性、准确性和可靠性等方面的不足。

发明内容

为解决现有技术中存在的不足，本发明的目的在于，提供一种闭源电力工控系统恶意行为识别方法及系统，通过增量学习的方法，基于形式化表征的闭源电力工控系统底层多域数据，构建恶意行为识别的动态模型。

本发明采用如下的技术方案。

基于IL的闭源电力工控系统恶意行为识别方法，包括如下步骤：

步骤1，获取闭源电力工控系统底层多域数据并对数据进行预处理，将数据变换为图像并形成样本集；

步骤2，对样本集进行类别标注，类别包括图像是否属于恶意行为以及所属的恶意行为类别，并设定比例将图像随机划分为训练集和测试集；

步骤3，构建恶意行为分类模型并对其进行训练，得到经过训练的恶意行为分类模型；

步骤4，基于训练后的恶意行为分类模型对待分类恶意行为进行分类，得到恶意行为对应的类别；

步骤5，当闭源电力工控系统出现新数据流时，结合新数据流基于增量学习动态调整恶意行为分类模型；