CN110096013A - 一种工业控制系统的入侵检测方法及装置 - Google Patents

Abstract

本申请公开了一种工业控制系统的入侵检测方法，在现有技术的基础上，还额外将从响应数据包和对应请求数据包中提取到的TTL值加入用于判别是否存在入侵现象的特征参数中，由于TTL会随着数据包在数据网络中各交换机间的转发而发生变化，且一旦因入侵而对数据包进行篡改或其它操作，往往会影响数据包在整个数据网络中的正常走向，其TTL值也会区别于未被入侵时的，因此本申请通过基于包含有TTL值的特征参数进行检测，让传统只能应用在静态网络框架下的入侵检测方案拓展到了动态网络框架的应用场景下，适用范围更广。本申请还同时公开了一种工业控制系统的入侵检测装置，具有上述有益效果。

Description

一种工业控制系统的入侵检测方法及装置

技术领域

本申请涉及入侵检测技术领域，特别涉及一种工业控制系统的入侵检测方法及装置。

背景技术

数据采集与监控系统(Supervisory Control And Data Acquisition，SCADA)作为工业控制系统的重要组成，其是否处于安全的运行状态对工业控制系统至关重要。由于其中包含有很多重要的数据，经常遇到不法分子的入侵攻击，意图窃取数据或者篡改数据，因此对其进行入侵检测是十分必要的。

现有针对工业控制系统的入侵检测往往是静态的，即工业控制系统在下发控制命令的主站和响应控制命令的从站之间网络状况和连接关系是固定的，而随着物联网技术的发展，工业也随之向着自动化、智能化、远程化迈进，工业控制系统的网络框架逐渐从固定的静态向更加灵活的动态转变，传统针对静态网络框架的入侵检测机制无法适用于动态的网络框架，因此入侵检测效果不好。

因此，如何提供一种适用于动态网络框架的工业控制系统的入侵检测机制，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种工业控制系统的入侵检测方法及装置，旨在为动态网络框架的工业控制系统提供一种入侵检测效果良好的检测机制。

为实现上述目的，本申请提供一种工业控制系统的入侵检测方法，该方法包括：

获取实际运行状态下从站返回的响应数据包和与所述响应数据包对应的请求数据包；

从所述请求数据包和所述响应数据包中提取得到包括TTL值在内的特征参数；

利用预设的决策树判别模型对所述特征参数进行判别，得到判别结果；其中，所述决策树判别模型是将与所述特征参数同类型的训练样本输入决策树算法经训练后得到的；

根据所述判别结果确定对应的数据处理过程是否存在入侵现象。

可选的，得到所述决策树判别模型的过程包括：

获取非入侵特征参数，并根据所述非入侵特征参数得到非入侵训练样本；其中，所述非入侵特征参数指从未被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

获取入侵特征参数，并根据所述入侵特征参数得到入侵训练样本；其中，所述入侵特征参数指从被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

将所述非入侵训练样本和所述入侵训练样本均作为训练样本输入初始的决策树模型进行特征训练，得到所述决策树判别模型。

可选的，根据所述入侵特征参数得到入侵训练样本，包括：

将所述入侵特征参数表示为入侵特征向量，并根据所述入侵特征向量得到真入侵特征点；

对所述真入侵特征点进行增量处理，得到伪入侵特征点；

根据所述真入侵特征点和所述伪入侵特征点得到所述入侵训练样本。

可选的，对所述真入侵特征点进行增量处理，得到伪入侵特征点，包括：

获取人为控制所述工业控制系统处于预设入侵状态时得到的人为入侵特征点；其中，所述预设入侵状态包括恶意相应注入、恶意状态命令注入、恶意参数命令注入、恶意代码注入攻击以及拒绝服务攻击中的至少一项；

做每个所述真入侵特征点与距离其最近的人为入侵特征点间的连线；

根据预设伪特征点选取规则，从每条所述连线上分别选取得到每个所述伪入侵特征点。

可选的，当所述预设伪特征点选取规则具体为中点选取规则时，从每条所述连线上分别选取得到每个所述伪入侵特征点，具体为：

将每条所述连线的中点分别选取为每个所述伪入侵特征点。

可选的，所述决策树判别模型具体为多个子决策树判别模型的集合，各所述子决策树判别模型根据不同的训练样本分别训练得到的，所述决策树据判别模型的判别结果为各所述子决策树判别模型分别得出的判别结果中比重较大的。

可选的，该工业控制系统的入侵检测方法还包括：

验证刚生成的决策树判别模型的判别准确性；

当刚生成的决策树判别模型未通过所述判别准确性的验证时，调整所述决策树判别模型的参数直至通过所述判别准确性的验证。

为实现上述目的，本申请还提供了一种工业控制系统的入侵检测装置，该装置包括：

数据包对获取单元，用于获取实际运行状态下从站返回的响应数据包和与所述响应数据包对应的请求数据包；

特征参数提取单元，用于从所述请求数据包和所述响应数据包中提取得到包括TTL值在内的特征参数；

决策树判别模型判别单元，用于利用预设的决策树判别模型对所述特征参数进行判别，得到判别结果；其中，所述决策树判别模型是将与所述特征参数同类型的训练样本输入决策树算法经训练后得到的；

入侵现象存在与否确定单元，用于根据所述判别结果确定对应的数据处理过程是否存在入侵现象。

为解决现有技术缺陷，本申请提供的工业控制系统的入侵检测方法，在现有技术针对静态网络框架提供的入侵检测方法的基础上，还额外将从响应数据包和对应请求数据包中提取到的TTL值加入用于判别是否存在入侵现象的特征参数中，由于TTL会随着数据包在数据网络中各交换机的转发发生变化，因此基于响应数据包和对应请求数据包各自的TTL可以计算得到该请求经过的交换机的个数，由于一旦因入侵而对数据包进行篡改或进行其它操作，往往会影响数据包在整个数据网络中的正常走向，其TTL值也会区别于未被入侵时的，因此本申请通过包含有TTL值的特征参数得以让传统只能应用在静态网络框架下的入侵检测方案拓展到了动态网络框架的应用场景下，适用范围更广，适应了发展方向。

本申请同时还提供了一种工业控制系统的入侵检测装置，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种工业控制系统的入侵检测方法的流程图；

图2为本申请实施例提供的一种决策树判别模型的生成方法的流程图；

图3为本申请实施例提供的一种根据入侵特征参数得到入侵训练样本的方法的流程图；

图4为本申请实施例提供的一种得到伪入侵特征点的方法的流程图；

图5为本申请实施例提供的一种工业控制系统的入侵检测装置的结构框图。

具体实施方式

本申请的目的是提供一种工业控制系统的入侵检测方法及装置，旨在为动态网络框架的工业控制系统提供一种入侵检测效果良好的检测机制。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

实施例一

请参见图1，图1为本申请实施例提供的一种工业控制系统的入侵检测方法的流程图，需要说明的是，本实施例的下述步骤的执行主体均为工业控制系统中的工控主站，包括以下步骤：

S101：获取实际运行状态下从站返回的响应数据包和与响应数据包对应的请求数据包；

请求数据包为工控主站根据控制需求向相应工控从站下发的数据包，响应数据包为接收到请求数据包的工控从站响应于请求数据包中的控制命令做出的响应。需要说明的是，本步骤获取到的响应数据包和请求数据包是在工业控制系统处于实际运行状态下，且当前所处的运行状态下是否存在入侵是未知的，所以需要进行后续的入侵检测。

S102：从请求数据包和响应数据包中提取得到包括TTL值在内的特征参数；

在S101的基础上，本步骤旨在从请求数据包和响应数据包中提取得到特征参数，相比于传统应用于静态网络架构下提取到的特征参数，本申请为将应用场景拓展至动态网络架构，还额外提取了TTL值。其中，TTL，英文全称为Time To Live，该值最初用来表示指定IP包被路由器丢弃之前允许通过的最大网段数量，该值会在指定IP包每被一个路由器转发就会减少1，因此该值也能够用来表示经过的路由器的数量。具体的，该TTL具体为包括从数据库中查询指定IP包(匹配规则包括源IP、源端口、目的IP、目的端口和协议类型等)的初始TTL值(即初始TTL往往会预先通过上述匹配规则关联的存储在相关的数据库中便于查询)、从响应数据包提取得到的当前TTL值，以及初始TTL与当前TTL指之间的差值中这三种。

该TTL值往往还结合通信时延一并作为额外的特征参数来表征动态网络架构下是否存在入侵现象，该通信时延可根据发出请求数据包到接收到响应数据包的时差计算得到，除此之外，常规的特征参数还可以包括源IP、目的IP、目的端口、数据包大小等等，根据实际应用场景的不同也可以灵活增加或删减一些特征参数，只需要提取一些可用于帮助判别是否存在入侵现象的特征即可。

S103：利用预设的决策树判别模型对特征参数进行判别，得到判别结果；

在S102的基础上，本步骤旨在利用预设的决策树判别模型来对提取到的特征参数进行判别，并得到决策树判别模型输出的判别结果。其中，该决策树判别模型是一个二分判别模型，即只能够得到结论为存在入侵现象和不存在入侵现象的判别结果，且之所以该决策树判别模型能够通过对该特征参数进行判别，从而得出对应数据处理过程是否存在入侵现象的结论，是因为该决策树判别模型是将与特征参数同类型的训练样本输入决策树算法经训练后得到的，也就说是训练样本也是相同类型的特征参数，只不过是在工业控制系统处于已知运行状态下从数据包提取得到的。

为便于理解，本申请还通过图2提供了一种决策树判别模型的生成方法的流程图，包括如下步骤：

S201：获取非入侵特征参数，并根据非入侵特征参数得到非入侵训练样本；

其中，非入侵特征参数指从未被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数。

S202：获取入侵特征参数，并根据入侵特征参数得到入侵训练样本；

其中，入侵特征参数指从被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数。

之所以需要得到非入侵训练样本和入侵特征训练样本，是出于如果单独基于其中一种训练样本得到的判别模型并不能很好的实现判别的目的，是因为不与非入侵训练样本的特征具有一致性，并不一定就认为其是与存在入侵现象，因此使用了与判别结果相对应的两类训练样本。

其中，根据非入侵特征参数/入侵特征参数得到非入侵训练样本/入侵训练样本的过程较为复杂，通常特征参数是一个不易进行特征学习的参数值的合集，往往还需要通过诸如特征向量的转换方法来将其进行转换，甚至可以将其转换为特征图中的一个特征点，以便基于特征点间的关系来进行特征一致性的判别。

进一步的，相比于获取用于得到非入侵训练样本的非入侵状态参数，入侵特征参数较为难以获取，或者说想获取到与非入侵训练样本相同数量级的入侵训练样本，需要花费比非入侵训练样本数倍或数百倍的时间，因此往往在同样的时间花费下，可得到的入侵训练样本的数量远少于非入侵训练样本，由于决策树判别模型的特性，在两类训练样本的数量不均衡时，训练处的判别模型的判别效果不太理想。因此，为尽可能的提升判别模型的判别准确率，本申请还针对于提出了人为基于少量的真实入侵特征参数通过增量处理使得得到的入侵训练样本的数量尽可能的多的思想，将在后续实施例具体展开对其中几种可行方案的阐述。

S203：将非入侵训练样本和入侵训练样本均作为训练样本输入初始的决策树模型进行特征训练，得到决策树判别模型。

在S201和S202的基础上，本步骤将非入侵训练样本和入侵训练样本均作为训练样本输入初始的决策树模型进行特征训练，得到决策树判别模型。

由于决策树模型本身属于弱分类器，其并不如传统的线性分类器判别的准确，但这是由于其设计初衷决定的，相比于线性分类器，其更加简单，判别速度更快，除特殊情况下对判别准确度提出的极高的要求，在工业控制系统的入侵检测中，决策树模型作为一个更常用的模型存在。为尽可能的提高决策树模型的判别准确率，本申请提供了如下的方式来实现这一目的：

该决策树判别模型具体为多个子决策树判别模型的集合，各子决策树判别模型根据不同的训练样本分别训练得到的，该决策树判别模型的判别结果为各子决策树判别模型分别得出的判别结果中比重较大的，即相同判别结果数量较多的将作为该决策树判别模型最终输出的判别结果。

进一步的，为了防止生成的决策树判别模型是一个不可用的判别模型，还可以验证刚生成的决策树判别模型的判别准确性，并当刚生成的决策树判别模型未通过判别准确性的验证时，调整决策树判别模型的参数直至通过判别准确性的验证。

S104：根据判别结果确定对应的数据处理过程是否存在入侵现象。

在S103的基础上，本步骤将根据判别结果的具体内容确定出对应的数据处理过程是否存在入侵现象，也就是请求数据包和响应数据包在转发过程中是否受到入侵。

为解决现有技术缺陷，本申请提供的工业控制系统的入侵检测方法，在现有技术针对静态网络框架提供的入侵检测方法的基础上，还额外将从响应数据包和对应请求数据包中提取到的TTL值加入用于判别是否存在入侵现象的特征参数中，由于TTL会随着数据包在数据网络中各交换机的转发发生变化，因此基于响应数据包和对应请求数据包各自的TTL可以计算得到该请求经过的交换机的个数，由于一旦因入侵而对数据包进行篡改或进行其它操作，往往会影响数据包在整个数据网络中的正常走向，其TTL值也会区别于未被入侵时的，因此本申请通过包含有TTL值的特征参数得以让传统只能应用在静态网络框架下的入侵检测方案拓展到了动态网络框架的应用场景下，适用范围更广，适应了发展方向。

实施例二

请参见图3，图3为本申请实施例提供的一种根据入侵特征参数得到入侵训练样本的方法的流程图，在实施例一提出要通过增量处理得到尽可能的多的入侵训练样本的基础上，本实施例给出了一种实现方案，包括以下步骤：

S301：将入侵特征参数表示为入侵特征向量，并根据入侵特征向量得到真入侵特征点；

之所以将其称为真入侵特征点，是为了区别于后续进行增量处理得到的伪入侵特征点。其中，真入侵特征点是在工业控制系统已知处于被入侵状态时采集到的入侵特征参数经处理得到的，是真实的、有效的、有代表性的；伪入侵特征点则是通过各种手段，人为得到的非真实的、具有一定代表性的入侵特征点，根据增量方式的不同，其将表现出与真入侵特征点不同程度的仿真性，仿真性越高，表示其越贴近真入侵特征点，代表能力越强。

S302：对真入侵特征点进行增量处理，得到伪入侵特征点；

其中，实现增量的处理方式有很多，例如最简单的，可以直接在特征分布图上平移真入侵特征点的方式得到，或直接基于一定的偏移系数得到，这些增量处理方式都是最初级的方式，其虽然可以通过最简单的方式、最快速的得到对一些伪入侵特征点，但其与真实情况贴近度较差，对判别准确率的提升影响不会太高；复杂一点的，可以通过人为诸如恶意内容的方式，控制工业控制系统处于入侵状态，进而针对性的采集得到处于某种具体入侵状态时的入侵特征参数，并基于此得到伪入侵特征点，相比于初级的那种，此种方式由于可确定是处于入侵状态下得到的，虽然与实际情况不完全一样(因为实际情况无法事先预料)，但已经比较接近实际情况，此时得到的伪入侵特征点的可信程度相对较高；更进一步的，还可以在第二种方式的基础上结合真入侵特征点对人为得到的人为入侵特征点再进行一些处理，以进一步提升其可信度，具体实现方式也有多种，将通过后续实施例对其中一种优选的进行描述。

S303：根据真入侵特征点和伪入侵特征点得到入侵训练样本。

在实施例一的基础上，本实施例通过增量处理尽可能的增加了入侵训练样本的数量，使得基于此训练得到的决策树判别模型的判别准确率更高。

实施例三

请参见图4，图4为本申请实施例提供的一种得到伪入侵特征点的方法的流程图，在实施例二的基础上，本实施例具体提供了一种优选的伪入侵特征点的获取方式，包括如下步骤：

S401：获取人为控制工业控制系统处于预设入侵状态时得到的人为入侵特征点；

本步骤即为在实施例二中提及的稍复杂的哪种增量处理方式，但并未直接其得到的特征点作为伪入侵特征点，而是将其作为得到伪入侵特征点的一个前置基础，以期得到更合适、更贴近实际情况的伪入侵特征点。

S402：做每个真入侵特征点与距离其最近的人为入侵特征点间的连线；

在S301的基础上，本步骤旨在做每个真入侵特征点与距离其最近的人为入侵特征点间的连线，目的在于通过最近距离首先挑选得到与真入侵特征点最贴近的人为入侵特征点，之后再通过连线方式再从连线上选取得到伪入侵特征点。

S403：根据预设伪入侵特征点选取规则，从每条连线上分别选取得到每个伪入侵特征点。

具体的，根据预设伪特征点选取规则的不同，伪入侵特征点将会在连线上的不同位置选取得到，例如中点选取规则、三等分点选取规则、靠近真入侵特征点的选取规则、基于权值的加权平均法选取规则等等，可根据实际情况下所有可能存在的特殊要求灵活选择，此处并不做具体限定。

具体的，当该预设伪入侵特征点选取规则具体为中点选取规则时，会将每条连线的中点选取为一个伪入侵特征点。

因为情况复杂，无法一一列举进行阐述，本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子，在不付出足够的创造性劳动下，应均在本申请的保护范围内。

实施例四

下面请参见图5，图5为本申请实施例提供的一种工业控制系统的入侵检测装置的结构框图，该装置可以包括：

数据包对获取单元100，用于获取实际运行状态下从站返回的响应数据包和与所述响应数据包对应的请求数据包；

特征参数提取单元200，用于从所述请求数据包和所述响应数据包中提取得到包括TTL值在内的特征参数；

决策树判别模型判别单元300，用于利用预设的决策树判别模型对所述特征参数进行判别，得到判别结果；其中，所述决策树判别模型是将与所述特征参数同类型的训练样本输入决策树算法经训练后得到的；

入侵现象存在与否确定单元400，用于根据所述判别结果确定对应的数据处理过程是否存在入侵现象。

其中，该工业控制系统的入侵检测装置还隐含包含有决策树判别模型生成单元500，用于预先生成在决策树判别模型判别单元300中使用的决策树判别模型，该决策树判别模型生成单元500可以包括：

非入侵特征参数及非入侵训练样本获得子单元，用于获取非入侵特征参数，并根据非入侵特征参数得到非入侵训练样本；其中，非入侵特征参数指从未被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

入侵特征参数及入侵训练样本获得子单元，用于获取入侵特征参数，并根据入侵特征参数得到入侵训练样本；其中，入侵特征参数指从被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

决策树判别模型获得子单元，用于将非入侵训练样本和入侵训练样本均作为训练样本输入初始的决策树模型进行特征训练，得到决策树判别模型。

其中，该入侵特征参数及入侵训练样本获得子单元中根据入侵特征参数获得入侵训练样本的部分可以包括：

真入侵特征点获得模块，用于将入侵特征参数表示为入侵特征向量，并根据入侵特征向量得到真入侵特征点；

增量处理模块，用于对真入侵特征点进行增量处理，得到伪入侵特征点；

入侵训练样本获得模块，用于根据真入侵特征点和伪入侵特征点得到入侵训练样本。

其中，该增量处理模块可以包括：

认为入侵特征点获取子模块，用于获取人为控制工业控制系统处于预设入侵状态时得到的人为入侵特征点；其中，预设入侵状态包括恶意相应注入、恶意状态命令注入、恶意参数命令注入、恶意代码注入攻击以及拒绝服务攻击中的至少一项；

连线连接子模块，用于做每个真入侵特征点与距离其最近的人为入侵特征点间的连线；

伪入侵特征点选取子模块，用于根据预设伪特征点选取规则，从每条连线上分别选取得到每个伪入侵特征点。

其中，该伪入侵特征点选取子模块包括：

中点选取微模块，用于将每条连线的中点分别选取为每个伪入侵特征点。

进一步的，该工业控制系统的入侵检测装置还可以包括：

模型验证单元，用于验证刚生成的决策树判别模型的判别准确性；

模型参数调整单元，用于当刚生成的决策树判别模型未通过判别准确性的验证时，调整决策树判别模型的参数直至通过判别准确性的验证。

本实施例作为对应于上述任意方法实施例的装置实施例存在，拥有方法实施例的全部有益效果，此处不再赘述。

基于上述实施例，本申请还提供了一种工业控制系统中的工控主站，该工控主站可以包括存储器和处理器，其中，该存储器中存有计算机程序，该处理器调用该存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然，该工控主站还可以包括各种必要的网络接口、电源以及其它零部件等。

本申请还提供了一种计算机可读存储介质，其上存有计算机程序，该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random AccessMemory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (8)

1.一种工业控制系统的入侵检测方法，其特征在于，包括：

获取实际运行状态下从站返回的响应数据包和与所述响应数据包对应的请求数据包；

从所述请求数据包和所述响应数据包中提取得到包括TTL值在内的特征参数；

利用预设的决策树判别模型对所述特征参数进行判别，得到判别结果；其中，所述决策树判别模型是将与所述特征参数同类型的训练样本输入决策树算法经训练后得到的；

根据所述判别结果确定对应的数据处理过程是否存在入侵现象。

2.根据权利要求1所述的入侵检测方法，其特征在于，得到所述决策树判别模型的过程包括：

获取非入侵特征参数，并根据所述非入侵特征参数得到非入侵训练样本；其中，所述非入侵特征参数指从未被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

获取入侵特征参数，并根据所述入侵特征参数得到入侵训练样本；其中，所述入侵特征参数指从被入侵的工业控制系统在运行中产生的响应数据包和对应的请求数据包中提取到的包括TTL值在内的特征参数；

将所述非入侵训练样本和所述入侵训练样本均作为训练样本输入初始的决策树模型进行特征训练，得到所述决策树判别模型。

3.根据权利要求2所述的入侵检测方法，其特征在于，根据所述入侵特征参数得到入侵训练样本，包括：

将所述入侵特征参数表示为入侵特征向量，并根据所述入侵特征向量得到真入侵特征点；

对所述真入侵特征点进行增量处理，得到伪入侵特征点；

根据所述真入侵特征点和所述伪入侵特征点得到所述入侵训练样本。

4.根据权利要求3所述的入侵检测方法，其特征在于，对所述真入侵特征点进行增量处理，得到伪入侵特征点，包括：

获取人为控制所述工业控制系统处于预设入侵状态时得到的人为入侵特征点；其中，所述预设入侵状态包括恶意相应注入、恶意状态命令注入、恶意参数命令注入、恶意代码注入攻击以及拒绝服务攻击中的至少一项；

做每个所述真入侵特征点与距离其最近的人为入侵特征点间的连线；

根据预设伪特征点选取规则，从每条所述连线上分别选取得到每个所述伪入侵特征点。

5.根据权利要求4所述的入侵检测方法，其特征在于，当所述预设伪特征点选取规则具体为中点选取规则时，从每条所述连线上分别选取得到每个所述伪入侵特征点，具体为：

将每条所述连线的中点分别选取为每个所述伪入侵特征点。

6.根据权利要求1至5任一项所述的入侵检测方法，其特征在于，所述决策树判别模型具体为多个子决策树判别模型的集合，各所述子决策树判别模型根据不同的训练样本分别训练得到的，所述决策树判别模型的判别结果为各所述子决策树判别模型分别得出的判别结果中比重较大的。

7.根据权利要求6所述的入侵检测方法，其特征在于，还包括：

验证刚生成的决策树判别模型的判别准确性；

当刚生成的决策树判别模型未通过所述判别准确性的验证时，调整所述决策树判别模型的参数直至通过所述判别准确性的验证。

8.一种工业控制系统的入侵检测装置，其特征在于，包括：

数据包对获取单元，用于获取实际运行状态下从站返回的响应数据包和与所述响应数据包对应的请求数据包；

特征参数提取单元，用于从所述请求数据包和所述响应数据包中提取得到包括TTL值在内的特征参数；

决策树判别模型判别单元，用于利用预设的决策树判别模型对所述特征参数进行判别，得到判别结果；其中，所述决策树判别模型是将与所述特征参数同类型的训练样本输入决策树算法经训练后得到的；

入侵现象存在与否确定单元，用于根据所述判别结果确定对应的数据处理过程是否存在入侵现象。