CN112769815B - 一种智能工控安全监控与防护方法和系统 - Google Patents

一种智能工控安全监控与防护方法和系统 Download PDF

Info

Publication number
CN112769815B
CN112769815B CN202110004253.6A CN202110004253A CN112769815B CN 112769815 B CN112769815 B CN 112769815B CN 202110004253 A CN202110004253 A CN 202110004253A CN 112769815 B CN112769815 B CN 112769815B
Authority
CN
China
Prior art keywords
data packet
threat
industrial control
intelligent industrial
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110004253.6A
Other languages
English (en)
Other versions
CN112769815A (zh
Inventor
王英彬
韩勇桥
杨盛万
马永清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Lanjun Wangan Technology Development Co ltd
Original Assignee
Beijing Lanjun Wangan Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Lanjun Wangan Technology Development Co ltd filed Critical Beijing Lanjun Wangan Technology Development Co ltd
Priority to CN202110004253.6A priority Critical patent/CN112769815B/zh
Publication of CN112769815A publication Critical patent/CN112769815A/zh
Application granted granted Critical
Publication of CN112769815B publication Critical patent/CN112769815B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

提供了一种智能工控安全监控与防护方法、系统和存储介质。所述方法包括:获取将要输入到所述智能工控系统中的数据包,将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类;以及根据所述威胁种类判断所述数据包是否具有威胁,如果判断所述数据包具有威胁,则进行报警和/或对所述数据包进行拦截,如果判断所述数据包不具有威胁,则允许所述数据包输入所述智能工控系统以进行后续操作。通过本发明的方案,不但可以实时监控智能工控系统以判断数据包是否具有威胁,还可以给出威胁的类别,对于威胁的定位更加精确,并且可以拦截判断为具有威胁的数据包,从而提高智能工控系统的安全性。

Description

一种智能工控安全监控与防护方法和系统
技术领域
本发明涉及智能工业控制系统领域,具体涉及一种用于智能工控系统的智能工控安全监控与防护方法和系统。
背景技术
工业控制系统(简称工控系统)作为国家重点信息基础设施的重要组成部分,其安全性受到了越来越多的重视,但由于工控系统建立之初是以业务优先,并未考虑太多安全方面的因素,而传统的防护方式也只是采用防火墙、杀毒软件等被动防护方式,因此工控系统极易因本身存在的漏洞而被攻击者攻破。目前所能采取的措施比较有限,基本是发现漏洞后上报厂家进行漏洞修复,但这种方法效率很低,并且很多情况下厂家也不能提供很好的修复方案,因为厂家设计产品时主要考虑产品的性能,并未将相对复杂的例如登录认证、权限管理等安全因素引入到产品中。工控网络安全管理人员在威胁识别、发现隐患及系统维护方面都面临着很大的难题,发生网络攻击时,网络安全管理人员很难及时发现攻击并且针对不同攻击采取相应措施。
因此,需要一种能够解决上述问题至少之一的智能工控安全监控与防护系统。
发明内容
为解决上述技术问题至少之一,本发明提出了如下的智能工控安全监控与防护方法和相应的系统。
根据本发明的第一方面,提供一种智能工控安全监控与防护方法,包括:
获取将要输入到所述智能工控系统中的数据包,将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类;以及
根据所述威胁种类判断所述数据包是否具有威胁,如果判断所述数据包具有威胁,则进行报警和/或对所述数据包进行拦截,如果判断所述数据包不具有威胁,则允许所述数据包输入所述智能工控系统以进行后续操作
在一个实施方案中,所述威胁识别模型是通过以下方式被预训练的:
定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合;
获取关于智能工控系统运行的至少一个数据包,从所述至少一个数据包中提取出一个或多个数据包特征,并且将获取到的所述至少一个数据包及其相关信息存储到数据库中;
获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集,其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类,并且其中所述数据包包括正常数据包和异常数据包;以及
将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数,其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关。
在一个实施方案中,所述方法还包括:
获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包,向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别,根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。
在一个实施方案中,所述使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数包括:
将所述数据集表示为{(x(1),y(1)),(x(2),y(2))…,(x(m),y(m))},x(i)=[xi1,xi2…xij]T,其中x(i)表示所述数据集的m个数据包中的第i个数据包,xij表示所述第i个数据包的第j个数据包特征,y(i)为所述威胁种类集合Y={y1,y2,…yk}中的一种,其表示所述第i个数据包具有的威胁种类,并且将所述模型参数表示为θ=[θ12,...θk];
定义假设函数为
Figure GDA0003983573120000031
其中
Figure GDA0003983573120000032
为归一化项,p(y(i)=k|x(i);θ)表示数据包x(i)具有的威胁y(i)为yk的概率;
根据所述假设函数hθ得出代价函数
Figure GDA0003983573120000033
Figure GDA0003983573120000034
其中1{·}的取值规则为大括号内的表达式值为真时取1,为假时取0;
对代价函数进行求导得出如下梯度公式:
Figure GDA0003983573120000035
其中
Figure GDA0003983573120000036
然后采用梯度下降法迭代更新的公式
Figure GDA0003983573120000037
对所述模型参数θ进行迭代更新以求出所述模型参数θ的最优解,其中α为学习率。
在一个实施方案中,所述从所述至少一个数据包中提取出一个或多个数据包特征进一步包括:判断并提取出在所述智能工控系统的正常运行过程中基本保持稳定但是在所述智能工控系统受到攻击时表现为异常的数据包特征。
根据本发明的第二方面,提供一种智能工控安全监控与防护系统,包括:
数据包获取单元,所述数据包获取单元被配置用于获取将要输入到所述智能工控系统中的数据包,将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类;以及
判断单元,所述判断单元被配置用于根据所述威胁种类判断所述数据包是否具有威胁,如果判断所述数据包具有威胁,则进行报警和/或对所述数据包进行拦截,如果判断所述数据包不具有威胁,则允许所述数据包输入所述智能工控系统以进行后续操作。
在一个实施方案中,所述系统还包括模型训练单元,所述模型训练单元被配置用于通过以下方式预训练所述威胁识别模型:
定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合;
获取关于智能工控系统运行的至少一个数据包,从所述至少一个数据包中提取出一个或多个数据包特征,并且将获取到的所述至少一个数据包及其相关信息存储到数据库中;
获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集,其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类,并且其中所述数据包包括正常数据包和异常数据包;以及
将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数,其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关。
在一个实施方案中,所述系统还包括模型修正单元,所述模型修正单元被配置用于:
获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包,向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别,根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。
在一个实施方案中,所述模型训练单元被进一步配置为通过使用以下机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数:
将所述数据集表示为{(x(1),y(1)),(x(2),y(2))…,(x(m),y(m))},x(i)=[xi1,xi2…xij]T,其中x(i)表示所述数据集的m个数据包中的第i个数据包,xij表示所述第i个数据包的第j个数据包特征,y(i)为所述威胁种类集合Y={y1,y2,…yk}中的一种,其表示所述第i个数据包具有的威胁种类,并且将所述模型参数表示为θ=[θ12,...θk];
定义假设函数为
Figure GDA0003983573120000051
其中
Figure GDA0003983573120000052
为归一化项,p(y(i)=k|x(i);θ)表示数据包x(i)具有的威胁y(i)为yk的概率;
根据所述假设函数hθ得出代价函数
Figure GDA0003983573120000053
Figure GDA0003983573120000054
其中1{·}的取值规则为大括号内的表达式值为真时取1,为假时取0;
对代价函数进行求导得出如下梯度公式:
Figure GDA0003983573120000061
其中
Figure GDA0003983573120000062
然后采用梯度下降法迭代更新的公式
Figure GDA0003983573120000063
对所述模型参数θ进行迭代更新以求出所述模型参数θ的最优解,其中α为学习率。
在一个实施方案中,所述从所述至少一个数据包中提取出一个或多个数据包特征还包括:判断并提取出在所述智能工控系统的正常运行过程中基本保持稳定但是在所述智能工控系统受到攻击时表现为异常的数据包特征。
根据本发明的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,其中,所述计算机程序在被处理器执行时实现上述任一项所述的方法。
通过本发明的方案,不但可以实时监控智能工控系统以判断数据包是否具有威胁,还可以给出威胁的具体类别,对于威胁的定位更加精确,并且可以对判断为具有威胁的数据包进行拦截。另外,相对于防火墙、杀毒软件等传统的设置白名单的被动防护方式,本发明提供了一种智能的主动防护方式,对于以往未曾出现过的数据包也可以通过模型来判定其是否有威胁,从而提高智能工控系统的安全性。
附图说明
现在将仅通过参考附图的非限制性示例来描述本发明,其中:
图1是根据本发明一个实施方案的智能工控安全监控与防护方法的示意图。
图2是根据本发明另一个实施方案的智能工控安全监控与防护方法的示意图。
图3是根据本发明一个实施方案的预训练威胁识别模型的方法的流程图。
图4是根据本发明一个实施方案的智能工控安全监控与防护系统的框图。
图5是根据本发明一个实施方案的与智能工控系统相连接的智能工控安全监控与防护系统。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施方案对本发明进行进一步详细说明。应当理解,此处描述的具体实施方案仅仅用以解释本发明,并不用于限定本发明。
本发明中提到的智能工控系统可以包括现场控制层、过程监控层和生产管理层。另外本发明还涉及虚拟工控系统,该虚拟工控系统也可以和智能工控系统一样包括现场控制层、过程监控层和生产管理层。该虚拟工控系统可以用于对威胁识别模型进行预训练和/或测试。
图1示出了根据本发明一个实施方案的智能工控安全监控与防护方法100的流程图。图2示出了根据本发明另一个实施方案的智能工控安全监控与防护方法200的示意图。
如图1所示的,方法100包括:
S101、获取将要输入到智能工控系统中的数据包,将获取的数据包输入到预训练的威胁识别模型中进行威胁识别并且确定数据包具有的威胁种类。
S102、根据威胁种类判断数据包是否具有威胁,如果判断数据包具有威胁,则进行报警和/或对数据包进行拦截,如果判断数据包不具有威胁,则允许数据包输入智能工控系统以进行后续操作。
图2以框图的形式具体地示出了智能工控安全监控与防护方法的实施路径。首先对来自外部系统的数据包进行抓取和分析,然后将该数据包输入到经过预训练的威胁识别模型中使用机器学习方法对其进行威胁识别,其中该威胁识别模型的预训练过程包括威胁分类、特征提取和利用数据库中的数据包建立数据集(将在下文进行讨论),判断该数据包是否具有威胁,如果判断数据包具有威胁,则进行报警和/或对数据包进行拦截,然后计算误拦截率和误通过率以修正模型(将在下文进行讨论);如果判断数据包不具有威胁,则允许数据包输入到智能工控系统以进行后续操作。
图3示出了根据本发明一个实施方案的预训练威胁识别模型方法300的流程图。如图3所示,方法300包括:
S301、定义包含一个或多个种类的关于智能工控系统的威胁的威胁种类集合。
S302、获取关于智能工控系统运行的至少一个数据包,从至少一个数据包中提取出一个或多个数据包特征,并且将获取到的至少一个数据包及其相关信息存储到数据库中。
S303、获取数据库中存储的多于一个的数据包及其相关信息以建立数据集,其中相关信息包括数据包的数据包特征和数据包具有的威胁种类,并且其中数据包包括正常数据包和异常数据包。
S304、将数据集中的一部分作为训练集以使用机器学习算法对威胁识别模型进行训练从而计算出威胁识别模型的模型参数,其中模型参数与输入到威胁识别模型中的数据包属于每一种威胁类型的概率有关。
在步骤S301中,定义威胁种类集合可以依据国家信息安全漏洞共享平台公开发布的工控系统行业漏洞数据的漏洞描述。例如,可以将威胁种类集合定义为包括以下10个威胁种类中的任意一个或多个的组合:无威胁、服务器拒绝服务、获取管理员权限、设备连接中断、越权访问资源、读取服务器任意文件内容、获得设备内存读访问权限、修改用户系统的注册表、未经身份验证请求密码存储文件和加载恶意DLL文件进行命令执行。该威胁种类集合可以涵盖多数常见威胁。
在步骤S302中,获取的至少一个数据包是已经输入过智能工控系统的历史数据包,该历史数据包及其相关信息被存入数据库中,其中该相关信息包括该数据包的全部数据包特征和威胁种类。从至少一个数据包中提取出一个或多个数据包特征可以基于以下标准:判断并提取出在智能工控系统的正常运行过程中基本保持稳定但是在智能工控系统受到攻击时表现为异常的数据包特征,即能够影响判断数据包是否具有威胁的数据包特征。例如如果频繁出现源IP地址和目标IP地址相同的数据包,会大量消耗主机系统资源,可以判断智能工控系统有很大可能是受到攻击,因此可以提取源地址和目标地址作为数据包特征。在一个实施例中,可以从数据包中提取以下7项数据包特征中的任意一个或多个的组合:源地址、目标地址、源端口、目标端口、协议类型、数据包内容和时间戳。
在步骤S303中,正常数据包为不具有威胁的数据包,异常数据包为具有威胁的数据包。优选地,可以将正常数据包和异常数据包的比例选取为1:1,以达到较好的训练效果。例如,可以从数据库中获取1000条正常数据包作为数据集正样本,并且获取1000条异常数据包作为数据集负样本。在步骤S304中,例如,可以取4/5的数据集样本作为训练集。
在一个实施方案中,可以对威胁识别模型进行修正。在一个实施例中,可以使用测试集和虚拟工控系统对威胁识别模型进行修正:获取数据集中的另一部分(例如,1/5的数据集样本)作为测试集,向预训练的威胁识别模型发送测试集进行威胁识别得到模拟威胁识别结果,并且将其中模拟威胁识别结果为不具有威胁的数据包输入到一个虚拟工控系统中进行测试,根据该数据包的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据误拦截率和/或误通过率对预训练的威胁识别模型进行修正。在另一个实施例中,可以仅使用测试集对威胁识别模型进行修正:在得到测试集的模拟威胁识别结果之后,可以直接将该模拟威胁识别结果与在步骤S303中获得的测试集的威胁类型进行比对,从而计算误拦截率和/或误通过率并且对预训练的威胁识别模型进行修正。在又一个实施例中,还可以使用实时获取的数据包和智能工控系统对威胁识别模型进行修正:实时抓取将要输入到智能工控系统中的数据包,向预训练的威胁识别模型发送实时抓取的数据包进行威胁识别,并且将该实时数据包输入到智能工控系统中,根据实时数据包的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据误拦截率和/或误通过率对预训练的威胁识别模型进行修正。
优选地,可以使用softmax回归算法来训练威胁识别模型,其具体包括以下过程:
首先将从数据包中提取的数据包特征表示为x1,x2,...xj,共j个特征,将其作为威胁识别模型的输入;然后将威胁种类集合表示为Y={y1,y2,…yk},共k个种类,将其作为威胁识别模型的输出。数据集的数据包样本的数量为m,可以将数据集表示为{(x(1),y(1)),(x(2),y(2))…,(x(m),y(m))},x(i)=[xi1,xi2…xij]T,其中x(i)表示数据集的m个数据包中的第i个数据包,xij表示第i个数据包的第j个数据包特征,y(i)为威胁种类集合Y={y1,y2,…yk}中的一种,其表示第i个数据包具有的威胁种类(例如在上文的实施方案中,(x(1),y1)表示第1个数据包的威胁种类为无威胁,x11表示第1个数据包的源地址)。将模型参数表示为θ=[θ12,...θk],共k个向量,与威胁种类的数量一致。如下文公式(1)所示的,可以使用模型参数θ来计算输入x(i)和输出y(i)之间的关系。
定义假设函数为
Figure GDA0003983573120000101
其中θ=[θ12,...θk];
Figure GDA0003983573120000102
为归一化项,其能够使所有概率之和为1;p(y(i)=k|x(i);θ)表示给定的样本数据包x(i)具有的威胁y(i)的种类为yk的概率。该算法的最终目的是通过样本数据包求出θ的最优解。
根据假设函数hθ得出代价函数
Figure GDA0003983573120000111
其中1{·}的取值规则为大括号内的表达式值为真时取1,为假时取0。
对代价函数进行求导得出如下梯度公式:
Figure GDA0003983573120000112
其中
Figure GDA0003983573120000113
然后采用梯度下降法对参数进行迭代更新,最终求出θ的最优解,梯度下降法迭代更新的公式为:
Figure GDA0003983573120000114
其中α为学习率,其取值范围为0-1。例如,α可以根据实际情况取值为0.01、0.03或0.05等。优选地,α可以取值为0.01。
图4示出了根据本发明一个实施方案的智能工控安全监控与防护系统400。该系统400可以与智能工控系统和/或虚拟工控系统的过程监控层相连接以传输数据包(如图5所示)。该系统400包括数据包获取单元401和判断单元402。数据包获取单元401可以用于获取将要输入到智能工控系统中的数据包,将获取的数据包输入到预训练的威胁识别模型中进行威胁识别并且确定数据包具有的威胁种类。判断单元402可以用于根据威胁种类判断数据包是否具有威胁,如果判断数据包具有威胁,则进行报警和/或对数据包进行拦截,如果判断数据包不具有威胁,则允许数据包输入智能工控系统以进行后续操作。
在一个实施方案中,系统400还包括模型训练单元,可以用于从数据库中抽取样本数据,并根据不同的算法对数据进行学习,得出相应结果。例如,可以使用线性回归、逻辑回归和/或softmax回归等算法。在一个实施方案中,系统400还包括模型修正单元,可以用于如上文所述的使用测试集数据包或实时数据包对威胁识别模型进行修正。
在一个实施方案中,系统400还包括拦截单元,可以用于对判断为具有威胁的数据包进行拦截,被拦截的数据包超过其传送寿命后就被丢弃掉。在一个实施方案中,系统400还包括日志单元,可以用于记录智能工控安全监控与防护系统需要向用户展示的所有信息。在一个实施方案中,系统400还包括异常报警单元,可以用于当模型训练模块判断一数据包具有威胁时,即进行报警。在一个实施方案中,系统400还包括数据库,可以用于存储智能工控安全监控与防护系统涉及到的所有数据包及其相关信息。
本领域普通技术人员应理解,图4中示出的系统的示意图仅仅是与本发明的方案相关的部分结构的示例性说明框图,并不构成对体现本发明的方案的计算机设备、处理器或计算机程序的限定。具体的计算机设备、处理器或计算机程序可以包括比图中所示更多或更少的部件或模块,或者组合或拆分某些部件或模块,或者可具有不同的部件或模块布置。
应理解,本发明的智能工控安全监控与防护系统的各个单元可全部或部分地通过软件、硬件、固件或其组合来实现。所述各单元各自可以硬件或固件形式内嵌于计算机设备的处理器中或独立于所述处理器,也可以软件形式存储于计算机设备的存储器中以供处理器调用来执行所述各单元的操作。所述各单元各自可以实现为独立的部件或模块,或者两个或更多个单元可实现为单个部件或模块。
本发明可以实现为一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在由处理器执行时实现本发明的方法的部分或全部步骤。在一个实施例中,所述计算机程序被分布在网络耦合的多个计算机设备或处理器上,以使得所述计算机程序由一个或多个计算机设备或处理器以分布式方式存储、访问和执行。单个方法步骤/操作,或者两个或更多个方法步骤/操作,可以由单个计算机设备或处理器或由两个或更多个计算机设备或处理器执行。一个或多个方法步骤/操作可以由一个或多个计算机设备或处理器执行,并且一个或多个其他方法步骤/操作可以由一个或多个其他计算机设备或处理器执行。一个或多个计算机设备或处理器可以执行单个方法步骤/操作,或执行两个或更多个方法步骤/操作。
本领域普通技术人员可以理解,本发明的方法的全部或部分步骤可以通过计算机程序来指示相关的硬件如计算机设备或处理器完成,所述的计算机程序可存储于非暂时性计算机可读存储介质中,该计算机程序被执行时导致本发明的方法的步骤被执行。根据情况,本文中对存储器、存储、数据库或其它介质的任何引用可包括非易失性和/或易失性存储器。非易失性存储器的示例包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、闪存、磁带、软盘、磁光数据存储装置、光学数据存储装置、硬盘、固态盘等。易失性存储器的示例包括随机存取存储器(RAM)、外部高速缓冲存储器等。
以上描述的各技术特征可以任意地组合。尽管未对这些技术特征的所有可能组合进行描述,但这些技术特征的任何组合都应当被认为由本说明书涵盖,只要这样的组合不存在矛盾。
尽管结合实施例对本发明进行了描述,但本领域技术人员应理解,上文的描述和附图仅是示例性而非限制性的,本发明不限于所公开的实施例。在不偏离本发明的精神的情况下,各种改型和变体是可能的。

Claims (11)

1.一种智能工控安全监控与防护方法,包括:
获取将要输入到智能工控系统中的数据包,将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类,所述预训练的威胁识别模型具有模型参数,其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关;以及
根据所述威胁种类判断所述数据包是否具有威胁,如果判断所述数据包具有威胁,则进行报警和/或对所述数据包进行拦截,如果判断所述数据包不具有威胁,则允许所述数据包输入所述智能工控系统以进行后续操作。
2.根据权利要求1所述的方法,其中所述威胁识别模型是通过以下方式被预训练的:
定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合;
获取关于智能工控系统运行的至少一个数据包,从所述至少一个数据包中提取出一个或多个数据包特征,并且将获取到的所述至少一个数据包及其相关信息存储到数据库中;
获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集,其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类,并且其中所述数据包包括正常数据包和异常数据包;以及
将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数。
3.根据权利要求2所述的方法,其中所述方法还包括:
获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包,向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别,根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。
4.根据权利要求2所述的方法,其中所述使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数包括:
将所述数据集表示为{(x(1),y(1)),(x(2),y(2))…,(x(m),y(m))},x(i)=[xi1,xi2…xij]T,其中x(i)表示所述数据集的m个数据包中的第i个数据包,xij表示所述第i个数据包的第j个数据包特征,y(i)为所述威胁种类集合Y={y1,y2,…yk}中的一种,其表示所述第i个数据包具有的威胁种类,并且将所述模型参数表示为θ=[θ12,...θk];
定义假设函数为
Figure FDA0004067551290000021
其中
Figure FDA0004067551290000022
为归一化项,p(y(i)=k|x(i);θ)表示数据包x(i)具有的威胁y(i)为yk的概率;
根据所述假设函数hθ得出代价函数
Figure FDA0004067551290000023
Figure FDA0004067551290000024
其中1{·}的取值规则为大括号内的表达式值为真时取1,为假时取0;
对代价函数进行求导得出如下梯度公式:
Figure FDA0004067551290000025
其中
Figure FDA0004067551290000026
然后采用梯度下降法迭代更新的公式
Figure FDA0004067551290000031
对所述模型参数θ进行迭代更新以求出所述模型参数θ的最优解,其中α为学习率。
5.根据权利要求2所述的方法,其中所述从所述至少一个数据包中提取出一个或多个数据包特征进一步包括:判断并提取出在所述智能工控系统的正常运行过程中基本保持稳定但是在所述智能工控系统受到攻击时表现为异常的数据包特征。
6.一种智能工控安全监控与防护系统,包括:
数据包获取单元,所述数据包获取单元被配置用于获取将要输入到智能工控系统中的数据包,将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类,所述预训练的威胁识别模型具有模型参数,其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关;以及
判断单元,所述判断单元被配置用于根据所述威胁种类判断所述数据包是否具有威胁,如果判断所述数据包具有威胁,则进行报警和/或对所述数据包进行拦截,如果判断所述数据包不具有威胁,则允许所述数据包输入所述智能工控系统以进行后续操作。
7.根据权利要求6所述的系统,其中所述智能工控安全监控与防护系统还包括模型训练单元,所述模型训练单元被配置用于通过以下方式预训练所述威胁识别模型:
定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合;
获取关于智能工控系统运行的至少一个数据包,从所述至少一个数据包中提取出一个或多个数据包特征,并且将获取到的所述至少一个数据包及其相关信息存储到数据库中;
获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集,其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类,并且其中所述数据包包括正常数据包和异常数据包;以及
将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数。
8.根据权利要求7所述的系统,其中所述智能工控安全监控与防护系统还包括模型修正单元,所述模型修正单元被配置用于:
获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包,向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别,根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量,从而计算出误拦截率和/或误通过率,并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。
9.根据权利要求7所述的系统,其中所述模型训练单元被进一步配置为通过使用以下机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数:
将所述数据集表示为{(x(1),y(1)),(x(2),y(2))…,(x(m),y(m))},x(i)=[xi1,xi2…xij]T,其中x(i)表示所述数据集的m个数据包中的第i个数据包,xij表示所述第i个数据包的第j个数据包特征,y(i)为所述威胁种类集合Y={y1,y2,…yk}中的一种,其表示所述第i个数据包具有的威胁种类,并且将所述模型参数表示为θ=[θ12,...θk];
定义假设函数为
Figure FDA0004067551290000041
其中
Figure FDA0004067551290000042
为归一化项,p(y(i)=k|x(i);θ)表示数据包x(i)具有的威胁y(i)为yk的概率;
根据所述假设函数hθ得出代价函数
Figure FDA0004067551290000043
Figure FDA0004067551290000044
其中1{·}的取值规则为大括号内的表达式值为真时取1,为假时取0;
对代价函数进行求导得出如下梯度公式:
Figure FDA0004067551290000051
其中
Figure FDA0004067551290000052
然后采用梯度下降法迭代更新的公式
Figure FDA0004067551290000053
对所述模型参数θ进行迭代更新以求出所述模型参数θ的最优解,其中α为学习率。
10.根据权利要求7所述的系统,其中所述从所述至少一个数据包中提取出一个或多个数据包特征还包括:判断并提取出在所述智能工控系统的正常运行过程中基本保持稳定但是在所述智能工控系统受到攻击时表现为异常的数据包特征。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序在被处理器执行时实现根据权利要求1-5中任一项所述的方法。
CN202110004253.6A 2021-01-04 2021-01-04 一种智能工控安全监控与防护方法和系统 Active CN112769815B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110004253.6A CN112769815B (zh) 2021-01-04 2021-01-04 一种智能工控安全监控与防护方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110004253.6A CN112769815B (zh) 2021-01-04 2021-01-04 一种智能工控安全监控与防护方法和系统

Publications (2)

Publication Number Publication Date
CN112769815A CN112769815A (zh) 2021-05-07
CN112769815B true CN112769815B (zh) 2023-04-18

Family

ID=75699142

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110004253.6A Active CN112769815B (zh) 2021-01-04 2021-01-04 一种智能工控安全监控与防护方法和系统

Country Status (1)

Country Link
CN (1) CN112769815B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114598514A (zh) * 2022-02-24 2022-06-07 烽台科技(北京)有限公司 工控威胁检测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108960291A (zh) * 2018-06-08 2018-12-07 武汉科技大学 一种基于并行化Softmax分类的图像处理方法和系统
CN110059726A (zh) * 2019-03-22 2019-07-26 中国科学院信息工程研究所 工业控制系统的威胁检测方法及装置
CN112003838A (zh) * 2020-08-06 2020-11-27 杭州安恒信息技术股份有限公司 网络威胁的检测方法、装置、电子装置和存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9998487B2 (en) * 2016-04-25 2018-06-12 General Electric Company Domain level threat detection for industrial asset control system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108960291A (zh) * 2018-06-08 2018-12-07 武汉科技大学 一种基于并行化Softmax分类的图像处理方法和系统
CN110059726A (zh) * 2019-03-22 2019-07-26 中国科学院信息工程研究所 工业控制系统的威胁检测方法及装置
CN112003838A (zh) * 2020-08-06 2020-11-27 杭州安恒信息技术股份有限公司 网络威胁的检测方法、装置、电子装置和存储介质

Also Published As

Publication number Publication date
CN112769815A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
US11647039B2 (en) User and entity behavioral analysis with network topology enhancement
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US11316891B2 (en) Automated real-time multi-dimensional cybersecurity threat modeling
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
EP4111370A2 (en) Treating data flows differently based on level of interest
US8418247B2 (en) Intrusion detection method and system
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US7900194B1 (en) Kernel-based intrusion detection using bloom filters
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
CN111327601B (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
WO2013059270A1 (en) User-defined countermeasures
CN113364750B (zh) 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法
US10931706B2 (en) System and method for detecting and identifying a cyber-attack on a network
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20230086187A1 (en) Detection of anomalies associated with fraudulent access to a service platform
US11785034B2 (en) Detecting security risks based on open ports
CN112769815B (zh) 一种智能工控安全监控与防护方法和系统
CN109743339B (zh) 电力厂站的网络安全监测方法和装置、计算机设备
Ghanshala et al. BNID: a behavior-based network intrusion detection at network-layer in cloud environment
US20230087309A1 (en) Cyberattack identification in a network environment
CN112565255A (zh) 一种基于bp神经网络的电力物联网设备安全预警方法
CN112272176A (zh) 一种基于大数据平台的网络安全防护方法及系统
CN113923021A (zh) 基于沙箱的加密流量处理方法、系统、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant