CN110716476A - 基于人工智能的工业控制系统网络安全态势感知系统 - Google Patents

Abstract

本发明公开了一种基于人工智能的工业控制系统网络安全态势感知系统，包括病毒监测单元、数据解析单元、数据融算单元、融算规则库、网速监控单元、使用监测单元、控制器、显示单元、数据库、输入单元和稳态分析单元；本发明通过病毒监测单元以及数据解析单元对遭受到的病毒攻击进行分析和判定；之后通过网速监控单元对安全网络的实时网速进行监控和分析，并得到网速的稳态值组；同时通过使用监测单元来实时监控CPU的使用率；之后结合近期的病毒攻击频率、稳态值组和实时使用率进行综合分析，从而得到评价信号，并将不同的评价信号传输到数据库存储。

Description

基于人工智能的工业控制系统网络安全态势感知系统

技术领域

本发明属于网络安全领域，涉及安全感知技术，具体是基于人工智能的工业控制系统网络安全态势感知系统。

背景技术

公告号为CN105100013B的专利公开了一种感知网络安全设备的方法、网络安全设备及控制器，解决了现有技术无法实现控制器感知网络安全设备的问题。该方法包括：网络安全设备接收链路层发现协议LLDP报文；所述网络安全设备将网络安全设备的设备信息添加在所述LLDP报文中，并发送添加了所述网络安全设备的设备信息的LLDP报文至控制器，以使所述控制器通过所述LLDP报文中网络安全设备的设备信息来感知所述网络安全设备。

但是其对于网络安全的感知和监控，仅仅是依靠控制器通过所述LLDP报文中网络安全设备的设备信息来感知所述网络安全设备，其没有做到综合对系统的病毒攻击，CPU使用突变，以及相关的病毒攻击情况进行客观综合反映，得到结构不够精确；对整个的系统安全情况没有良好评价；为了解决上述缺陷，现提供一种解决方案。

发明内容

本发明的目的在于提供基于人工智能的工业控制系统网络安全态势感知系统。

本发明的目的可以通过以下技术方案实现：

基于人工智能的工业控制系统网络安全态势感知系统，包括病毒监测单元、数据解析单元、数据融算单元、融算规则库、网速监控单元、使用监测单元、控制器、显示单元、数据库、输入单元和稳态分析单元；

其中，所述病毒监测单元用于进行蠕虫病毒检测，获取各时段中受到蠕虫病毒感染的主机信息，所述病毒监测单元用于在监测到病毒时向数据解析单元传输病毒信号；所述数据解析单元接收病毒监测单元传输的病毒信号进行数据分析得到攻频Pg和中值时间；

所述数据解析单元用于将攻频Pg、中值时间传输到数据融算单元；

所述网速监控单元用于监控主机的实时网络访问速度，并对实时网络访问速度进行稳态分析得到到稳态值组Wi；

所述数据融算单元在接收到攻频Pg时，会自动结合融算规则库对稳态值组Wi、攻频Pg、中值时间和实时使用率进行安全分析，具体分析步骤为：

SS1：当接收攻频Pg时，获取到此时的中值时间；

SS2：根据此时的中值时间，以中值时间为标准，获取到在该中值时间前后最近的各两组稳态值组Wi内的稳态值，得到四组稳态值，当该中值时间正好位于对应稳态值Wi的时间节点时，则获取稳态值前两组和后一组稳态值，将该稳态值标记为临近稳值；按照时间顺序将其标记为Lk，k＝1...4；

SS3：求取Lk中的最大值和最小值之间的差值，并将该差值除以最小值，得到差异比Cb；

SS4：获取到接收到攻频Pg时的实时使用率，将实时使用率标记为Sl；

SS5：利用攻频Pg、实时使用率Sl和差异比Cb计算安全评值Pa，具体计算公式为：

Pa＝0.437*Pg+0.328Sl+0.235Cb；

式中，攻频Pg、实时使用率Sl和差异比Cb对Pa值的影响不同，为了突出该影响值，故引入均衡值0.437、0。328和0.235；

所述数据融算单元用于将安全评值Pa传输到控制器，所述控制器用于对安全评值Pa，进行等级评判得到评价信号，具体为：

S10：当Pa≤X2时，此时评价信号为轻度威胁信号；

S20：当X2<Pa<X3时，此时评价信号为中度威胁信号；

S30：当Pa≥X3时，此时评价信号为高度威胁信号；X2、X3均为预设值。

进一步地，所述数据分析的具体分析步骤如下：

步骤一：当监测到产生病毒信号时，记录攻击信息，攻击信息包括病毒名称、病毒产生时间；

步骤二：并在监测到产生病毒信号时自动倒计时，倒计时时长为T2时间，T2为预设值；

步骤三：在倒计时阶段继续对病毒进行监测，若产生新的病毒信号，则倒计时自动归为原值，重新按照T2进行倒计时；否则倒计时归零，停止计时；

步骤四：获取到所有的攻击信息，按照时间信息将攻击信息标记为Gj，j＝1...m，Gm为最后一个攻击信息；

步骤五：获取到G1的产生时间和Gm的产生时间，获取到二者的中值时间，中值时间定义为G1产生时间和Gm产生时间的二者之间的中值；并获取到G1的产生时间和Gm的产生时间之间的时间间隔，将该时间间隔标记为攻时Cg；

步骤六：根据m值得到产生病毒的次数为m次；

步骤七：求取攻频Pg＝m/Cg。

进一步地，所述稳态分析的具体分析过程如下：

S1：从初始时刻起，每间隔T1时间采集一次实时网络访问速度，将该网络访问速度标记为Fi，i＝1...n；其中，T1为预设值；

S2：令最新的网络访问速度为Fn，取网络访问速度为Fn及其前X1组网络访问速度的值，将其标记为区间网速Ji，i＝n-X1...n；X1为预设值；

S3：求取区间网速Ji的均值，将该均值标记为P；

S4：根据均值P和Ji，求取Ji的稳态值W，具体计算方法为：

当n≤X1时；此时自动对X1的值进行重置，令X1＝n-1；

当n>X1时，X1的具体取值为用户预设值；具体稳态值W的计算公式为：

式中，|J_i-P|表示求取Ji与P差值的绝对值；

S5：每获取一个新的实时网络访问速度时，自动计算新的稳态值W，得到稳态值组Wi，i＝1...n；Wi与Ji一一对应；

所述网速监控单元用于将稳态值组Wi传输到数据融算单元；所述使用监测单元用于监测CPU的实时使用率，并将实时使用率传输到数据融算单元。

进一步地，所述控制器用于将安全评值传输到显示单元进行显示，并在产生轻度威胁信号、中度威胁信号和高度威胁信号时，分别对应显示“轻度威胁”、“中等威胁”和“高危”字眼。

进一步地，所述控制器还用于将评价信号打上时间戳传输到数据库进行实时存储；

所述稳态分析单元用于对数据库内存储的带有时间戳的评价信号进行综合评价，具体评价方法为：

S100：根据时间戳，获取到上月内评价信号的次数；上月时间指代为一个月时间过完进入下个月的零点时，及进入上月的综合评价；

S200：获取到上月的轻度威胁信号、中度威胁信号和高度威胁信号，各自相较于评价信号次数的占比；并将占比依次标记为Zb1、Zb2和Zb3；

S300：计算网络评价分Wp，具体计算公式为Wp＝Zb1+2*Zb2+3*Zb3；

S400：当Wp＞X4时，产生极差信号；

所述稳态分析单元用于将极差信号传输到控制器，所述控制器用于在接收到稳态分析单元传输的极差信号时，自动驱动显示单元显示“网络安全问题重大，建议重做”。

进一步地，所述输入单元用于录入所有的预设值，包括T1、T2、X1、X2、X3和X4。

本发明的有益效果：

本发明通过病毒监测单元以及数据解析单元对遭受到的病毒攻击进行分析和判定；之后通过网速监控单元对安全网络的实时网速进行监控和分析，并得到网速的稳态值组；同时通过使用监测单元来实时监控CPU的使用率；之后结合近期的病毒攻击频率、稳态值组和实时使用率进行综合分析，从而得到评价信号，并将不同的评价信号传输到数据库存储；

之后利用稳态分析单元对评价信号及其对应的时间戳进行分析，得到本系统的整体安全状况，是否符合相应的要求；同时根据分析结果给出相应的系统安全建议，也就是其是否需要重做；本发明简单有效，且易于实用。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。

图1为本发明的系统框图。

具体实施方式

如图1所示，基于人工智能的工业控制系统网络安全态势感知系统，包括病毒监测单元、数据解析单元、数据融算单元、融算规则库、网速监控单元、使用监测单元、控制器、显示单元、数据库、输入单元和稳态分析单元；

其中，所述病毒监测单元用于进行蠕虫病毒检测，获取各时段中受到蠕虫病毒感染的主机信息，采用现有的蠕虫病毒检测方法对主机进行蠕虫病毒检测，本申请中病毒监测单元对的蠕虫病毒检测方式不作限制；所述病毒监测单元用于在监测到病毒时向数据解析单元传输病毒信号；所述数据解析单元接收病毒监测单元传输的病毒信号进行数据分析，具体分析步骤如下：

步骤一：当监测到产生病毒信号时，记录攻击信息，攻击信息包括病毒名称、病毒产生时间；

步骤二：并在监测到产生病毒信号时自动倒计时，倒计时时长为T2时间，T2为预设值；

步骤三：在倒计时阶段继续对病毒进行监测，若产生新的病毒信号，则倒计时自动归为原值，重新按照T2进行倒计时；否则倒计时归零，停止计时；

步骤四：获取到所有的攻击信息，按照时间信息将攻击信息标记为Gj，j＝1...m，Gm为最后一个攻击信息；

步骤五：获取到G1的产生时间和Gm的产生时间，获取到二者的中值时间，中值时间定义为G1产生时间和Gm产生时间的二者之间的中值；并获取到G1的产生时间和Gm的产生时间之间的时间间隔，将该时间间隔标记为攻时Cg；

步骤六：根据m值得到产生病毒的次数为m次；

步骤七：求取攻频Pg＝m/Cg；

所述数据解析单元用于将攻频Pg、中值时间传输到数据融算单元；

所述网速监控单元用于监控主机的实时网络访问速度，并对实时网络访问速度进行稳态分析，具体分析过程如下：

S1：从初始时刻起，每间隔T1时间采集一次实时网络访问速度，将该网络访问速度标记为Fi，i＝1...n；其中，T1为预设值；

S2：令最新的网络访问速度为Fn，取网络访问速度为Fn及其前X1组网络访问速度的值，将其标记为区间网速Ji，i＝n-X1...n；X1为预设值；

S3：求取区间网速Ji的均值，将该均值标记为P；

S4：根据均值P和Ji，求取Ji的稳态值W，具体计算方法为：

当n≤X1时；此时自动对X1的值进行重置，令X1＝n-1；

当n>X1时，X1的具体取值为用户预设值；具体稳态值W的计算公式为：

式中，|J_i-P|表示求取Ji与P差值的绝对值；

S5：每获取一个新的实时网络访问速度时，自动计算新的稳态值W，得到稳态值组Wi，i＝1...n；Wi与Ji一一对应；

所述网速监控单元用于将稳态值组Wi传输到数据融算单元；所述使用监测单元用于监测CPU的实时使用率，并将实时使用率传输到数据融算单元；

所述数据融算单元在接收到攻频Pg时，会自动结合融算规则库对稳态值组Wi、攻频Pg、中值时间和实时使用率进行安全分析，具体分析步骤为：

SS1：当接收攻频Pg时，获取到此时的中值时间；

SS2：根据此时的中值时间，以中值时间为标准，获取到在该中值时间前后最近的各两组稳态值组Wi内的稳态值，得到四组稳态值，当该中值时间正好位于对应稳态值Wi的时间节点时，则获取稳态值前两组和后一组稳态值，将该稳态值标记为临近稳值；按照时间顺序将其标记为Lk，k＝1...4；

SS3：求取Lk中的最大值和最小值之间的差值，并将该差值除以最小值，得到差异比Cb；

SS4：获取到接收到攻频Pg时的实时使用率，将实时使用率标记为Sl；

SS5：利用攻频Pg、实时使用率Sl和差异比Cb计算安全评值Pa，具体计算公式为：

Pa＝0.437*Pg+0.328Sl+0.235Cb；

式中，攻频Pg、实时使用率Sl和差异比Cb对Pa值的影响不同，为了突出该影响值，故引入均衡值0.437、0。328和0.235；

所述数据融算单元用于将安全评值Pa传输到控制器，所述控制器用于对安全评值Pa，进行等级评判得到评价信号，具体为：

S10：当Pa≤X2时，此时评价信号为轻度威胁信号；

S20：当X2<Pa<X3时，此时评价信号为中度威胁信号；

S30：当Pa≥X3时，此时评价信号为高度威胁信号；X2、X3均为预设值；

所述控制器用于将安全评值传输到显示单元进行显示，并在产生轻度威胁信号、中度威胁信号和高度威胁信号时，分别对应显示“轻度威胁”、“中等威胁”和“高危”字眼。

所述控制器还用于将评价信号打上时间戳传输到数据库进行实时存储；

所述稳态分析单元用于对数据库内存储的带有时间戳的评价信号进行综合评价，具体评价方法为：

S100：根据时间戳，获取到上月内评价信号的次数；上月时间指代为一个月时间过完进入下个月的零点时，及进入上月的综合评价；

S200：获取到上月的轻度威胁信号、中度威胁信号和高度威胁信号，各自相较于评价信号次数的占比；并将占比依次标记为Zb1、Zb2和Zb3；

S300：计算网络评价分Wp，具体计算公式为Wp＝Zb1+2*Zb2+3*Zb3；

S400：当Wp＞X4时，产生极差信号；

所述稳态分析单元用于将极差信号传输到控制器，所述控制器用于在接收到稳态分析单元传输的极差信号时，自动驱动显示单元显示“网络安全问题重大，建议重做”。

所述输入单元用于录入所有的预设值，包括T1、T2、X1、X2、X3和X4。

基于人工智能的工业控制系统网络安全态势感知系统，在工作时，首先通过病毒监测单元以及数据解析单元对遭受到的病毒攻击进行分析和判定；之后通过网速监控单元对安全网络的实时网速进行监控和分析，并得到网速的稳态值组；同时通过使用监测单元来实时监控CPU的使用率；之后结合近期的病毒攻击频率、稳态值组和实时使用率进行综合分析，从而得到评价信号，并将不同的评价信号传输到数据库存储；

之后利用稳态分析单元对评价信号及其对应的时间戳进行分析，得到本系统的整体安全状况，是否符合相应的要求；同时根据分析结果给出相应的系统安全建议，也就是其是否需要重做；本发明简单有效，且易于实用。

以上内容仅仅是对本发明结构所作的举例和说明，所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离发明的结构或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。

Claims (6)

1.基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，包括病毒监测单元、数据解析单元、数据融算单元、融算规则库、网速监控单元、使用监测单元、控制器、显示单元、数据库、输入单元和稳态分析单元；

其中，所述病毒监测单元用于进行蠕虫病毒检测，获取各时段中受到蠕虫病毒感染的主机信息，所述病毒监测单元用于在监测到病毒时向数据解析单元传输病毒信号；所述数据解析单元接收病毒监测单元传输的病毒信号进行数据分析得到攻频Pg和中值时间；

所述数据解析单元用于将攻频Pg、中值时间传输到数据融算单元；

所述网速监控单元用于监控主机的实时网络访问速度，并对实时网络访问速度进行稳态分析得到到稳态值组Wi；

所述数据融算单元在接收到攻频Pg时，会自动结合融算规则库对稳态值组Wi、攻频Pg、中值时间和实时使用率进行安全分析，具体分析步骤为：

SS1：当接收攻频Pg时，获取到此时的中值时间；

SS2：根据此时的中值时间，以中值时间为标准，获取到在该中值时间前后最近的各两组稳态值组Wi内的稳态值，得到四组稳态值，当该中值时间正好位于对应稳态值Wi的时间节点时，则获取稳态值前两组和后一组稳态值，将该稳态值标记为临近稳值；按照时间顺序将其标记为Lk，k＝1...4；

SS3：求取Lk中的最大值和最小值之间的差值，并将该差值除以最小值，得到差异比Cb；

SS4：获取到接收到攻频Pg时的实时使用率，将实时使用率标记为Sl；

SS5：利用攻频Pg、实时使用率Sl和差异比Cb计算安全评值Pa，具体计算公式为：

Pa＝0.437*Pg+0.328Sl+0.235Cb；

所述数据融算单元用于将安全评值Pa传输到控制器，所述控制器用于对安全评值Pa，进行等级评判得到评价信号，具体为：

S10：当Pa≤X2时，此时评价信号为轻度威胁信号；

S20：当X2<Pa<X3时，此时评价信号为中度威胁信号；

S30：当Pa≥X3时，此时评价信号为高度威胁信号；X2、X3均为预设值。

2.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述数据分析的具体分析步骤如下：

步骤一：当监测到产生病毒信号时，记录攻击信息，攻击信息包括病毒名称、病毒产生时间；

步骤二：并在监测到产生病毒信号时自动倒计时，倒计时时长为T2时间，T2为预设值；

步骤三：在倒计时阶段继续对病毒进行监测，若产生新的病毒信号，则倒计时自动归为原值，重新按照T2进行倒计时；否则倒计时归零，停止计时；

步骤四：获取到所有的攻击信息，按照时间信息将攻击信息标记为Gj，j＝1...m，Gm为最后一个攻击信息；

步骤五：获取到G1的产生时间和Gm的产生时间，获取到二者的中值时间，中值时间定义为G1产生时间和Gm产生时间的二者之间的中值；并获取到G1的产生时间和Gm的产生时间之间的时间间隔，将该时间间隔标记为攻时Cg；

步骤六：根据m值得到产生病毒的次数为m次；

步骤七：求取攻频Pg＝m/Cg。

3.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述稳态分析的具体分析过程如下：

S1：从初始时刻起，每间隔T1时间采集一次实时网络访问速度，将该网络访问速度标记为Fi，i＝1...n；其中，T1为预设值；

S2：令最新的网络访问速度为Fn，取网络访问速度为Fn及其前X1组网络访问速度的值，将其标记为区间网速Ji，i＝n-X1...n；X1为预设值；

S3：求取区间网速Ji的均值，将该均值标记为P；

S4：根据均值P和Ji，求取Ji的稳态值W，具体计算方法为：

当n≤X1时；此时自动对X1的值进行重置，令X1＝n-1；

当n>X1时，X1的具体取值为用户预设值；具体稳态值W的计算公式为：

式中，|J_i-P|表示求取Ji与P差值的绝对值；

S5：每获取一个新的实时网络访问速度时，自动计算新的稳态值W，得到稳态值组Wi，i＝1...n；Wi与Ji一一对应；

所述网速监控单元用于将稳态值组Wi传输到数据融算单元；所述使用监测单元用于监测CPU的实时使用率，并将实时使用率传输到数据融算单元。

4.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述控制器用于将安全评值传输到显示单元进行显示，并在产生轻度威胁信号、中度威胁信号和高度威胁信号时，分别对应显示“轻度威胁”、“中等威胁”和“高危”字眼。

5.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述控制器还用于将评价信号打上时间戳传输到数据库进行实时存储；

所述稳态分析单元用于对数据库内存储的带有时间戳的评价信号进行综合评价，具体评价方法为：

S100：根据时间戳，获取到上月内评价信号的次数；上月时间指代为一个月时间过完进入下个月的零点时，及进入上月的综合评价；

S200：获取到上月的轻度威胁信号、中度威胁信号和高度威胁信号，各自相较于评价信号次数的占比；并将占比依次标记为Zb1、Zb2和Zb3；

S300：计算网络评价分Wp，具体计算公式为Wp＝Zb1+2*Zb2+3*Zb3；

S400：当Wp＞X4时，产生极差信号；

所述稳态分析单元用于将极差信号传输到控制器，所述控制器用于在接收到稳态分析单元传输的极差信号时，自动驱动显示单元显示“网络安全问题重大，建议重做”。

6.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述输入单元用于录入所有的预设值，包括T1、T2、X1、X2、X3和X4。

Images