[发明专利]基于神经网络和最优推荐的工控系统异常行为发现系统

摘要

本发明属于信息技术领域，公开了一种基于神经网络和最优推荐的工控系统异常行为发现系统，对工业控制系统流量数据进行分析对工业控制系统中高维数据进行降维，实现无关属性删除和冗余属性去冗余，在遵循真实的输入输出样本内在的联系同时，实现入侵特征的动态选择。系统对不同场景被检测流量数据进行建模，利用样本流量和建模成功后的流量进行对比来检测被测流量数据特性与正常流量特性的差距性，发现异常流量。本发明基于最优推荐理论对流量进行场景比对和挖掘分析，建立恶意流量(场景)最优推荐模型，利用云计算技术，设计并实现基于云平台的按需定制式工业控制设备及系统的恶意攻击行为发现与检测功能。

主权项

一种基于神经网络和最优推荐的工控系统异常行为发现系统，其特征在于，所述基于神经网络和最优推荐的工控系统异常行为发现系统包括数据采集模块、特征降维模块、行为分析模块和异常监测模块；所述数据采集模块：基于Libpcap模块抓取工程师站上的流量数据包，即可采集工业以太网上传输的任何过程控制信息；这种被动采集的方法不会增加网络中的数据流；所述特征降维模块：基于神经网络的入侵特征选择模型，该模型在传统的神经网络的基础上增加了入侵特征的动态选择层，该层节点与输入节点间设计了连接开关，当连接开关合上时，表示该特征被选择，当连接开关松开时，该特征就没有被选中，从而完全遵循真实的输入输出样本内在的联系，实现入侵特征的动态选择；所述行为分析模块：对网络流量进行分析；在系统初始时，由于行为模型不存在，系统会自动切换到学习模式，行为学习模块开始工作，当学习一段默认的时间后，行为学习模块完成行为模型的初始化工作；此时系统开启异常监控模块，进入到正常工作状态；所述异常监测模块：异常监测模块首先会对系统数据流进行分类，并和学习到的行为模型进行比较，如果比较结果，判断为正常流量，则进行快速转发；如果判定为异常流量；系统基于最优推荐模型来精确地刻画流量的变化，并以此作为依据来进行异常行为判断；系统对此异常流量发出告警，由管理员进行判断，如果管理员认为此异常流量是正常行为的，则将对应的异常行为添加到行为模型中，否则将学习到的行为转为黑名单。