CN116382250B - 一种工控攻击事件监测感知处理方法及系统、存储介质 - Google Patents
一种工控攻击事件监测感知处理方法及系统、存储介质 Download PDFInfo
- Publication number
- CN116382250B CN116382250B CN202310590024.6A CN202310590024A CN116382250B CN 116382250 B CN116382250 B CN 116382250B CN 202310590024 A CN202310590024 A CN 202310590024A CN 116382250 B CN116382250 B CN 116382250B
- Authority
- CN
- China
- Prior art keywords
- attack vector
- attack
- individual
- individuals
- fitness
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 43
- 238000003672 processing method Methods 0.000 title claims abstract description 23
- 238000003860 storage Methods 0.000 title claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims abstract description 90
- 238000012545 processing Methods 0.000 claims abstract description 74
- 230000009471 action Effects 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000004364 calculation method Methods 0.000 claims abstract description 25
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 17
- 230000002068 genetic effect Effects 0.000 claims abstract description 14
- 238000005457 optimization Methods 0.000 claims description 39
- 210000000349 chromosome Anatomy 0.000 claims description 37
- 238000012360 testing method Methods 0.000 claims description 23
- 238000005520 cutting process Methods 0.000 claims description 19
- 238000012216 screening Methods 0.000 claims description 15
- 238000004088 simulation Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 10
- 108090000623 proteins and genes Proteins 0.000 claims description 10
- 230000035772 mutation Effects 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 6
- 230000009193 crawling Effects 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 4
- 230000002759 chromosomal effect Effects 0.000 claims description 3
- 238000010606 normalization Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 7
- 230000009466 transformation Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000001788 irregular Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000005094 computer simulation Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24065—Real time diagnostics
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种工控攻击事件监测感知处理方法及系统、存储介质,通过工业系统中的两个以上的控制节点对同一指令信息进行执行得到执行动作,从执行动作不一致指令信息中确定得到异常指令信息;然后从漏洞数据库中得到多个攻击信息,通过异常指令信息与攻击信息进行比对,得到异常指令信息的处理方式;从而保障对工业系统的攻击事件实时监测处理管理操作;并且在进行得到多个攻击信息过程中,利用遗传算法及文本处理方式进行计算处理,避免局部最优解的情况发生同时保障得到的攻击信息数量足够且更好地对攻击事件进行自动处理。
Description
技术领域
本发明涉及工控攻击领域,尤其涉及一种工控攻击事件监测感知处理方法及系统、存储介质。
背景技术
工控攻击指的是针对工业控制系统(Industrial Control System,ICS)或工业物联网(Industrial Internet ofThings,IIoT)的恶意攻击。这些攻击可能导致生产中断、设备瘫痪、信息泄露等损失。
传统的工控攻击事件监测方式是利用人工的方式识别监测工控攻击事件的发生,无法准确识别;并且因为人工的排查攻击信息的原因,无法保障及时的监测到工控攻击事件发生,进而无法保障对工控攻击事件及时处理,经常会导致设备故障事件发生。
发明内容
本发明的目的在于提供一种工控攻击事件监测感知处理方法及系统、存储介质,解决了现有技术中指出的上述技术问题。
本发明提出了一种工控攻击事件监测感知处理方法,包括如下操作步骤:
获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
当所述执行动作不一致时,从所述执行动作中确定异常动作;
从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。
较佳的,所述基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息,包括如下操作步骤:
根据所述漏洞数据随机生成一定数量的攻击向量个体;将所述攻击向量个体进行归一化处理,得到初始优化攻击向量个体;根据所述初始优化攻击向量个体,构建初始攻击向量种群i=(p1,p2,p3,...,pi);其中,pi为第i个攻击向量个体;
对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作;对所述初始优化攻击向量个体进行模拟测试,得到攻击向量测试得分s;预设适应度函数值e,并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f;
所述初始优化攻击向量个体的适应度f的计算方式为:
式中,fi为第i个初始优化攻击向量个体的适应度;
e为适应度函数值;
si为第i个初始优化攻击向量个体的攻击向量测试得分;
根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体i'=(p'1,p'2,p'3,...,p'i),计算获取所述最优攻击向量个体的适应度fi';其中,p'i为第i个最优攻击向量个体;
定义最优攻击向量个体输出分值参数u,并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值D;
所述最优攻击向量个体的输出分值D的计算方式为:
D=fi'×u;
式中,fi'为第i个最优攻击向量个体的适应度;
u为最优攻击向量个体输出分值参数;
D为最优攻击向量个体的输出分值;
预设输出分值最低阈值M,从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值M的最优攻击向量个体,并确定为攻击信息。
较佳的,所述根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体,包括如下操作步骤:
个体选择操作:预设适应度第一阈值K与适应度第二阈值L,判断所述适应度是否大于或等于所述适应度第二阈值L;若判断所述适应度大于或等于所述适应度第二阈值L,则判断所述适应度对应的初始优化攻击向量个体为最优攻击向量个体;
若判断所述适应度小于所述适应度第二阈值L,则进一步判断所述适应度是否大于或等于所述适应度第一阈值M;若判断所述适应度大于或等于所述适应度第一阈值M,则确定所述适应度对应的初始优化攻击向量个体为父个体;
所述适应度第一阈值K小于所述适应度第二阈值L;
将所述父个体的染色体互换基因序列,得到多个子个体;
对所述子个体的染色体进行变异操作,得到多个变异个体i”=(p”1,p”2,p”3,...,p”i);将所述变异个体作为初始优化攻击向量个体,计算获取初始优化攻击向量个体的适应度后返回上述个体选择操作进行迭代处理操作,同时将迭代次数n加1;预设迭代次数最大阈值N,若所述迭代次数小于所述迭代次数最大阈值N,则继续进行迭代,得到多个最优攻击向量个体;直至所述迭代次数等于所述迭代次数最大阈值N;
所述迭代次数n初始为0。
较佳的,所述将所述父个体的染色体互换基因序列,得到多个子个体包括如下操作步骤:
将所述父个体通过文本处理方式进行对齐,得到优化父个体;
任意选择交叉点,对所述优化父个体进行切割,得到多个切割分体;
将所述切割分体进行重新组合,获取多个子个体。
较佳的,所述将所述父个体通过文本处理方式进行对齐,得到优化父个体,包括如下操作步骤:
提取所述父个体的关键词;根据所述关键词进行重新组合获取第一优化父个体;
获取所有所述初始优化父个体的长度,基于所述初始优化父个体的长度,计算获取所述初始优化父个体长度平均值;
根据所述初始优化父个体长度平均值,对所述初始优化父个体进行对齐操作,得到优化父个体。
本发明提供了一种工控攻击事件监测感知处理系统,包括模拟执行模块、异常筛选模块、攻击信息生成模块、中央处理器;
其中,所述模拟执行模块,用于获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
所述异常筛选模块,用于当所述执行动作不一致时,从所述执行动作中确定异常动作;
从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
所述攻击信息生成模块,用于利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
所述中央处理器,用于判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。
本发明提供了一种工控攻击事件监测感知处理存储介质,所述存储介质烧录有计算机程序,所述计算机程序在服务器的内存中运行时实现上述所述的一种工控攻击事件监测感知处理方法。
与现有技术相比,本发明实施例至少存在如下方面的技术优势:
分析本发明提供的上述一种工控攻击事件监测感知处理方法及系统、存储介质可知,在具体应用时通过对工业系统中的两个以上的控制节点对同一指令信息进行执行得到执行动作,从执行动作不一致指令信息中确定得到异常指令信息;然后从漏洞数据库中得到多个攻击信息,通过异常指令信息与攻击信息进行比对,得到异常指令信息的处理方式;从而保障对工业系统的攻击事件实时监测处理管理操作;并且在进行得到多个攻击信息过程中,利用遗传算法及文本处理方式进行计算处理,保障得到的攻击信息数量足够且更好地对攻击事件进行自动处理。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种工控攻击事件监测感知处理系统的整体架构示意图;
图2为本发明实施例二提供的一种工控攻击事件监测感知处理方法的操作流程示意图;
图3为本发明实施例二提供的一种工控攻击事件监测感知处理方法中攻击示意图;
图4为本发明实施例二提供的一种工控攻击事件监测感知处理方法中生成多个攻击信息的操作流程示意图;
图5为本发明实施例二提供的一种工控攻击事件监测感知处理方法中得到多个最优攻击向量个体的操作流程示意图;
图6为本发明实施例二提供的一种工控攻击事件监测感知处理方法中得到多个子个体的操作流程示意图;
图7为本发明实施例二提供的一种工控攻击事件监测感知处理方法中得到优化父个体的操作流程示意图。
附图标记:模拟执行模块10;异常筛选模块20;攻击信息生成模块30;中央处理器40;第一生成模块31;第二生成模块32;第一计算模块33;第三生成模块34;第二计算模块35。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面通过具体的实施例并结合附图对本发明做进一步的详细描述。
实施例一
如图1所示,本发明提出了一种工控攻击事件监测感知处理系统,包括模拟执行模块10、异常筛选模块20、攻击信息生成模块30、中央处理器40;
其中,所述模拟执行模块10,用于获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
所述异常筛选模块20,用于当所述执行动作不一致时,从所述执行动作中确定异常动作;
从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
所述攻击信息生成模块30,用于利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
所述中央处理器40,用于判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。
较佳的,所述攻击信息生成模块30,包括第一生成模块31、第二生成模块32、第一计算模块33、第三生成模块34、第二计算模块35;
所述第一生成模块31,用于根据所述漏洞数据随机生成一定数量的攻击向量个体;
所述第二生成模块32,用于将所述攻击向量个体进行归一化处理,得到初始优化攻击向量个体;根据所述初始优化攻击向量个体,构建初始攻击向量种群i=(p1,p2,p3,...,pi);其中,pi为第i个攻击向量个体;
所述第一计算模块33,用于对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作;对所述初始优化攻击向量个体进行模拟测试,得到攻击向量测试得分s;预设适应度函数值e,并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f;
所述初始优化攻击向量个体的适应度f的计算方式为:
式中,fi为第i个初始优化攻击向量个体的适应度;
e为适应度函数值;
si为第i个初始优化攻击向量个体的攻击向量测试得分;
所述第三生成模块34,用于根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体i'=(p'1,p'2,p'3,...,p'i),计算获取所述最优攻击向量个体的适应度fi';其中,p'i为第i个最优攻击向量个体;
所述第二计算模块35,用于定义最优攻击向量个体输出分值参数u,并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值D;
所述最优攻击向量个体的输出分值D的计算方式为:
D=fi'×u;
式中,fi'为第i个最优攻击向量个体的适应度;
u为最优攻击向量个体输出分值参数;
D为最优攻击向量个体的输出分值;
预设输出分值最低阈值M,从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值M的最优攻击向量个体,并确定为攻击信息。
较佳的,所述第三生成模块34,具体用于个体选择操作:预设适应度第一阈值K与适应度第二阈值L,判断所述适应度是否大于或等于所述适应度第二阈值L;若判断所述适应度大于或等于所述适应度第二阈值L,则判断所述适应度对应的初始优化攻击向量个体为最优攻击向量个体;
若判断所述适应度小于所述适应度第二阈值L,则进一步判断所述适应度是否大于或等于所述适应度第一阈值M;若判断所述适应度大于或等于所述适应度第一阈值M,则确定所述适应度对应的初始优化攻击向量个体为父个体;
所述适应度第一阈值K小于所述适应度第二阈值L;
将所述父个体的染色体互换基因序列,得到多个子个体;
对所述子个体的染色体进行变异操作,得到多个变异个体i”=(p”1,p”2,p”3,...,p”i);将所述变异个体作为初始优化攻击向量个体,计算获取初始优化攻击向量个体的适应度后返回上述个体选择操作进行迭代处理操作,同时将迭代次数n加1;预设迭代次数最大阈值N,若所述迭代次数小于所述迭代次数最大阈值N,则继续进行迭代,得到多个最优攻击向量个体;直至所述迭代次数等于所述迭代次数最大阈值N;
所述迭代次数n初始为0。
较佳的,所述第三生成模块,还用于将所述父个体通过文本处理方式进行对齐,得到优化父个体;
任意选择交叉点,对所述优化父个体进行切割,得到多个切割分体;
将所述切割分体进行重新组合,获取多个子个体。
较佳的,所述第三生成模块,在具体操作时,还用于提取所述父个体的关键词;根据所述关键词进行重新组合获取第一优化父个体;
获取所有所述初始优化父个体的长度,基于所述初始优化父个体的长度,计算获取所述初始优化父个体长度平均值;
根据所述初始优化父个体长度平均值,对所述初始优化父个体进行对齐操作,得到优化父个体。
综上,本发明提供的上述一种工控攻击事件监测感知处理系统,在具体操作时,通过模拟执行模块执行得到执行动作,然后通过异常筛选模块从执行动作不同的指令信息中筛选出异常指令信息;然后由攻击信息生成模块,基于漏洞数据库通过遗传算法生成多个攻击信息;最终通过中央处理器判断出与攻击信息相同的异常指令信息,达到攻击事件监测的目的,并对异常指令信息进行自动处理,同时对非常规的异常指令信息进行上报处理后保存至漏洞数据库;
具体在进行生成攻击信息过程中,使用归一化、染色体编码、个体选择、染色体变换、个体变异的操作,得到最优攻击向量个体,扩大全局范围,避免出现局部最优解状况出现。
实施例二
如图2所示,相应地,本发明还提出了一种工控攻击事件监测感知处理方法,包括如下操作步骤:
步骤S10:获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
这里对应于同一指令信息源执行的指令信息可能相同,也可能因为指令信息被篡改而不同。
以篡改方式是修改PLC逻辑代码为例进行说明,如图3所示,图3为本发明实施例二提供的一种工控攻击事件监测感知处理方法中攻击示意图;
假设工业系统包括控制节点1、控制节点2和控制节点3,且其中的控制节点1和控制节点3在根据“下降”的指令信息源执行机械手臂下降操作时未被修改PLC逻辑代码,则控制节点1和控制节点3最终执行的是机械手臂下降操作;同时,控制节点2在根据“下降”的指令信息源执行机械手臂下降操作时,被修改PLC逻辑代码至第二操作阶段,则控制节点2最终执行的可能是夹住操作;此时,控制节点1执行的是下降—机械手臂下降、控制节点2执行的是下降—机械手臂夹住、控制节点3执行的是下降—机械手臂下降,可以将控制节点1中的机械手臂下降、控制节点2中的机械手臂夹住和控制节点3中的机械手臂下降称为同一指令信息。
本实施例中,服务器可以对控制节点执行的指令信息进行校验,而由于指令信息一般数据量较大,对指令信息进行校验需要消耗较长的时间,可以由控制节点针对指令信息生成执行动作,服务器对获取到的执行动作进行校验,以提高指令信息校验的效率。
这里的执行动作可以是根据指令信息的大小和修改时间中的至少一种生成的。
本实施例中,至少两个控制节点中的任意一个控制节点都可以针对指令信息源对应的指令信息生成一个执行动作。
需要说明的是,所有控制节点针对同一指令信息生成执行动作的算法相同,从而保证在指令信息相同时,生成的执行动作也相同;在指令信息不同时,生成的执行动作不同。
步骤S20:当所述执行动作不一致时,从所述执行动作中确定异常动作;
服务器对获取到的所有执行动作进行比较,当所有执行动作都一致时,说明至少两个控制节点中执行的指令信息相同,这些控制节点是正常控制节点,这些控制节点上执行的指令信息是正常指令信息。当所有执行动作中存在不一致的执行动作时,说明存在至少一个控制节点执行的指令信息与其他控制节点执行的资源不同,即存在至少一个控制节点执行的指令信息被篡改,使得其最终执行的指令信息并不是该指令信息源真正指示的指令信息。
当执行动作不一致时,服务器需要从执行动作中确定异常动作,再根据异常动作确定异常控制节点和异常指令信息。其中,当服务器接收到两个控制节点发送的执行动作时,服务器可以对该两个控制节点获取指令信息的路径进行追踪,以确定异常动作,或者,服务器可以将该执行动作不一致的结果上报给工业系统的维护者,由该维护者确定异常动作。当服务器接收到至少三个控制节点发送的执行动作时,服务器可以根据多数一致性原则从执行动作中确定异常动作,该多数一致性原则是指多数相同的执行动作是正常执行动作,剩余的执行动作是异常执行动作的原则。
步骤S30:从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
服务器在确定出异常动作后,可以确定发送该异常动作的控制节点,将该控制节点确定为异常控制节点。
步骤S40:将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
服务器在确定异常控制节点后,可以在该异常控制节点中查找该指令信息源所对应的指令信息,将该指令信息确定为异常指令信息。
本发明实施例中,由于同一指令信息是指控制节点中对应于同一指令信息源执行的指令信息;当比较工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作,且执行动作不一致时,说明各个控制节点中对应于同一指令信息源存储的指令信息不同,也即,控制节点执行的指令信息的PLC逻辑代码被篡改,使得最终执行的指令信息并不是该指令信息源真正指示的指令信息,此时再确定异常控制节点中执行的异常指令信息。可见,本实施例可以在不需要用户检查的情况下,主动确定异常控制节点中执行的异常指令信息,解决了根据用户投诉识别异常控制节点中执行的异常指令信息时,由于用户检查的处理周期较长,导致指令信息校验的效率较低的问题,从而提高了指令信息校验的效率。另外,由于用户不会获取到被篡改的异常指令信息,从而降低了异常指令信息对工业系统的危害。
步骤S50:利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
需要说明的是,本实施例采用爬虫技术从互联网大数据中爬取工业系统相关的漏洞数据(漏洞数据会对应存储漏洞的解决方案),然后利用工业系统相关的漏洞数据构建漏洞数据库,通过漏洞数据库中的漏洞数据和当前识别出异常的异常指令信息进行对比处理异常指令信息;
需要说明的是,上述攻击信息是针对每条漏洞数据生成的多个攻击信息;即每条漏洞数据会被攻击者识别到后采取多个方式(多个攻击信息)进行攻击系统;
遗传算法是是一种通过模拟自然进化过程搜索最优解的方法。该算法通过数学的方式,利用计算机仿真运算,将问题的求解过程转换成类似生物进化中的染色体基因的交叉、变异等过程;在求解较为复杂的组合优化问题时,相对一些常规的优化算法,通常能够较快地获得较好的优化结果(即攻击信息)。
步骤S60:判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。
综上,本申请实施例首先对指令信息识别出是否有异常,达到实时监测的目的,然后利用大数据爬取到的漏洞数据库对异常指令信息进行处理,同时,对非常规漏洞交由技术人员进行处理,并保存至漏洞数据库,保障下次出现同样类型的漏洞(攻击事件)时,系统可自行处理,可处理攻击事件及时,避免人工处理造成的时延,进而避免更大的错误出现;使运维人员及时了解工控网络中的所有活动,迅速定位故障问题并快速找到责任人;通过实时告警,及时将问题解决在萌芽阶段,可有效减少因配置导致设备的宕机次数以及宕机时间。
具体地,如图4所示,在步骤S50中,基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息,包括如下操作步骤:
步骤S51:根据所述漏洞数据随机生成一定数量的攻击向量个体(每个攻击向量个体表示一个可能的攻击向量);将所述攻击向量个体进行归一化处理,得到初始优化攻击向量个体;根据所述初始优化攻击向量个体,构建初始攻击向量种群i=(p1,p2,p3,...,pi);其中,pi为第i个攻击向量个体;
步骤S52:对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作;对所述初始优化攻击向量个体进行模拟测试,得到攻击向量测试得分s;预设适应度函数值e,并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f(适应度是为了评估每个攻击向量个体的优劣程度,即每个攻击向量个体的对漏洞数据的攻击成功率);
所述初始优化攻击向量个体的适应度f的计算方式为:
式中,fi为第i个初始优化攻击向量个体的适应度;
e为适应度函数值;
si为第i个初始优化攻击向量个体的攻击向量测试得分;
需要说明的是,本申请实施例中的对初始优化攻击向量个体的染色体进行编码指的是对初始优化攻击向量个体进行二进制编码(将每个初始优化攻击向量个体参数的取值范围划分成若干区间,然后将每个区间用固定长度的二进制串进行表示)或实数编码(将初始优化攻击向量个体参数的取值范围映射到实数空间中,然后用实数向量来表示染色体)的方式,方便后续操作中对初始优化攻击向量个体进行个体选择、染色体变换、个体变异的操作。
步骤S53:根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体i'=(p'1,p'2,p'3,...,p'i),计算获取所述最优攻击向量个体的适应度fi';其中,p'i为第i个最优攻击向量个体;
需要说明的是,本申请实施例中计算获取最优攻击向量个体的适应度的方式与上述计算获取初始优化攻击向量个体的方式一致,即同样需要对最优攻击向量个体进行模拟测试得到最优攻击向量个体的攻击向量测试得分,其中,有最优攻击向量个体是初始优化攻击向量个体直接确定而来,为保障本申请方法的计算速度,这些最优攻击向量个体的测试得分可直接由上述初始优化攻击向量个体的初始得分表示;
上述本申请实施例中,对每个初始优化攻击向量个体进行个体选择操作,可从初始优化攻击向量个体中选择适应度较高的个体,使其有更大概率被保留下来;染色体交换操作,对两个不同的个体进行染色体交换,从而得到新的个体;个体变异操作,对新的个体进行变异操作,得到最优个体,避免陷入局部最优解,从而达到得到多个最优攻击向量个体的目的。
步骤S54:定义最优攻击向量个体输出分值参数u,并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值D;
所述最优攻击向量个体的输出分值D的计算方式为:
D=fi'×u;
式中,fi'为第i个最优攻击向量个体的适应度;
u为最优攻击向量个体输出分值参数;
D为最优攻击向量个体的输出分值;
步骤S55:预设输出分值最低阈值M,从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值M的最优攻击向量个体,并确定为攻击信息。
需要说明的是,本发明实施例通过每个漏洞数据生成多个可能会出现的攻击向量个体(即针对一个漏洞可能产生的所有的攻击方式);然后对攻击向量个体进行归一化操作,得到初始优化攻击向量个体,使数据分布更加均匀,可视化效果更好;然后对每个初始优化攻击向量个体进行染色体编码操作,方便后续操作中对初始优化攻击向量个体进行个体选择、染色体变换、个体变异的操作;对每个初始优化攻击向量个体进行个体选择操作,可从初始优化攻击向量个体中选择适应度较高的个体,使其有更大概率被保留下来;染色体交换操作,对两个不同的个体进行染色体交换,从而得到新的个体;个体变异操作,对新的个体进行变异操作,得到最优个体,避免陷入局部最优解,从而达到得到多个最优攻击向量个体的目的;进一步对最优攻击向量个体进行计算输出得分并筛选得到攻击信息,在大的搜索空间中找到全局最优解,而不仅限于局部最优解。
具体地,如图5所示,在步骤S53中,根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体,包括如下操作步骤:
步骤S531:个体选择操作:预设适应度第一阈值K与适应度第二阈值L,判断所述适应度是否大于或等于所述适应度第二阈值L;若判断所述适应度大于或等于所述适应度第二阈值L,则判断所述适应度对应的初始优化攻击向量个体为最优攻击向量个体;
若判断所述适应度小于所述适应度第二阈值L,则进一步判断所述适应度是否大于或等于所述适应度第一阈值M;若判断所述适应度大于或等于所述适应度第一阈值M,则确定所述适应度对应的初始优化攻击向量个体为父个体;
所述适应度第一阈值K小于所述适应度第二阈值L;
需要说明的是,本申请实施例中的适应度第一阈值K是因为初始得到的多个初始优化攻击向量个体的适应度可能不是最优的适应度(即初始生成的攻击向量个体可能不能直接对漏洞数据攻击成功),因此,需筛选其中适应度大于或等于适应度第二阈值L的初始优化攻击向量个体作为最优攻击向量个体,直接进行下一步操作(即步骤S54中计算最优攻击向量个体的输出分值);同时筛选其中适应度大于或等于适应度第一阈值M又小于适应度第二阈值L的初始优化攻击向量个体作为父个体进行优化操作,从而得到最优攻击向量个体。
步骤S532:将所述父个体的染色体互换基因序列,得到多个子个体;
解释说明:上述本申请实施例是将两个父个体(即适应度大于或等于适应度最低阈值K的初始优化攻击向量个体)的参数进行互换,然后得到新的个体(即子个体)。
步骤S533:对所述子个体的染色体进行变异操作,得到多个变异个体i”=(p”1,p”2,p”3,...,p”i);将所述变异个体作为初始优化攻击向量个体,计算获取初始优化攻击向量个体的适应度后返回上述步骤S531(即个体选择操作)进行迭代处理操作,同时将迭代次数n加1;预设迭代次数最大阈值N,若所述迭代次数小于所述迭代次数最大阈值N,则继续进行迭代,得到多个最优攻击向量个体;直至所述迭代次数等于所述迭代次数最大阈值N;
所述迭代次数n初始为0。
需要说明的是,本申请实施例基于个体的适应度,对初始优化攻击向量个体进行个体选择,可保障适应度高的个体保留、染色体变换,得到更多的适应度较高的个体,个体变异的操作,对父个体进行扩大范围的操作,避免出现局部最优解的问题,从而得到多个最优攻击向量个体,进一步使得到的攻击信息涉及范围更广,提高系统判断精度。
具体地,如图6所示,在步骤S532中,将所述父个体的染色体互换基因序列,得到多个子个体,包括如下操作步骤:
步骤S5321:将所述父个体通过文本处理方式进行对齐,得到优化父个体;
需要说明的是,本发明实施例采用的技术方案,通过文本处理方式得到优化父个体(其中文本处理方式是指文本关键词提取与组合,具体详见后续操作步骤S53211-步骤S53213),所有优化父个体的长度应保证相同,并且各个父个体的关键点位应相同(即各个关键词的位置对应,保障后续进行选择交叉点进行切割并组合后得到的子个体的编码正确),可保障后续处理过程中的基因互换操作对齐;
步骤S5322:任意选择交叉点,对所述优化父个体进行切割,得到多个切割分体;
需要说明的是,本申请实施例可选择一个或多个交叉点对父个体进行切割得到切割分体,其中,所有父个体的交叉点的位置相同,以保障交叉组合后的子个体的长度相同。
步骤S5323:将所述切割分体进行重新组合,获取多个子个体。
重复上述步骤,直至所述父个体切割得到的所有切割分体均互相组合为子个体。
需要说明的是,上述本发明实施例组合的方式为更换原有父个体的一个或多个分体,从而得到的子个体的长度与原父个体的长度相同;
本申请实施例通过对父个体进行文本对齐,使后续切割获得子个体的长度与父个体的长度相同,进一步使子个体所反映的攻击信息完整,避免因父个体或长或短导致组合得到的子个体无法完整表述攻击信息;将切割分体重新组合得到子个体,可扩大全局范围,避免因数据范围过小导致局部最优解。
具体地,如图7所示,在步骤S5321中,将所述父个体通过文本处理方式进行对齐,得到优化父个体,包括如下操作步骤:
步骤S53211:提取所述父个体的关键词;根据所述关键词进行重新组合获取第一优化父个体;
需要说明的是,上述提取关键词并重新组合得到初始优化父个体的操作为文本清洗操作,清洗其中不重要的信息,得到关键词后重新组合生成父个体为初始优化父个体。
步骤S53212:获取所有所述初始优化父个体的长度,基于所述初始优化父个体的长度,计算获取所述初始优化父个体长度平均值;
步骤S53213:根据所述初始优化父个体长度平均值,对所述初始优化父个体进行对齐操作,得到优化父个体。
需要说明的是,本发明实施例所采用的技术方案,首先对父个体进行清洗操作,筛除其中不重要信息,从而得到初始优化父个体,再对初始优化父个体进行计算长度平均值进而对初始优化父个体进行对齐操作,保障后续步骤(即上述步骤S5322-步骤S5323)中得到的优化父个体的长度相同,同时进行切割并重新组合得到的子个体的长度与父个体的长度一致。
综上所述,本发明实例提出的一种工控攻击事件监测感知处理方法及系统、存储介质,在具体应用时,通过对工业系统中的两个以上的控制节点对同一指令信息进行执行得到执行动作,服务器可以对控制节点执行的指令信息进行校验,而由于指令信息一般数据量较大,对指令信息进行校验需要消耗较长的时间,可以由控制节点针对指令信息生成执行动作,服务器对获取到的执行动作进行校验,以提高指令信息校验的效率;
进而从执行动作不一致指令信息中确定得到异常指令信息;采用爬虫技术从互联网大数据中爬取工业系统相关的漏洞数据,然后利用工业系统相关的漏洞数据构建漏洞数据库,通过漏洞数据库中的漏洞数据和当前识别出异常的异常指令信息进行对比处理异常指令信息;
通过漏洞数据库得到攻击向量个体,对攻击向量个体进行归一化处理得到初始优化攻击向量个体后,对初始优化攻击向量个体进行二进制编码(将每个初始优化攻击向量个体参数的取值范围划分成若干区间,然后将每个区间用固定长度的二进制串进行表示)或实数编码(将初始优化攻击向量个体参数的取值范围映射到实数空间中,然后用实数向量来表示染色体)的方式,方便后续操作中对初始优化攻击向量个体进行个体选择、染色体变换、个体变异的操作。
基于个体的适应度,对初始优化攻击向量个体进行个体选择,可保障适应度高的个体保留、染色体变换,得到更多的适应度较高的个体,在此操作中,通过文本处理方式得到优化父个体,所有优化父个体的长度应保证相同,并且各个父个体的关键点位应相同(即各个关键词的位置对应,保障后续进行选择交叉点进行切割并组合后得到的子个体的编码正确),可保障后续处理过程中的基因互换操作对齐,个体变异的操作,对父个体进行扩大范围的操作,避免出现局部最优解的问题,从而得到多个最优攻击向量个体,进一步使得到的攻击信息涉及范围更广,提高系统判断精度。
通过异常指令信息与攻击信息进行比对,得到异常指令信息的处理方式;从而保障对工业系统的攻击事件实时监测处理管理操作;并且在进行得到多个攻击信息过程中,利用遗传算法及文本处理方式进行计算处理,保障得到的攻击信息数量足够且更好地对攻击事件进行自动处理;
对指令信息识别出是否有异常,然后利用大数据爬取到的漏洞数据库对异常指令信息进行处理,同时,对非常规漏洞交由技术人员进行处理,并保存至漏洞数据库,保障下次出现同样类型的漏洞(攻击事件)时,系统可自行处理,可处理攻击事件及时,避免人工处理造成的时延,进而避免更大的错误出现;使运维人员及时了解工控网络中的所有活动,迅速定位故障问题并快速找到责任人;通过实时告警,及时将问题解决在萌芽阶段,可有效减少因配置导致设备的宕机次数以及宕机时间。
本发明提供了一种工控攻击事件监测感知处理存储介质,所述存储介质烧录有计算机程序,所述计算机程序在服务器的内存中运行时实现上述所述的一种工控攻击事件监测感知处理方法。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;本领域的普通技术人员可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (7)
1.一种工控攻击事件监测感知处理方法,其特征在于,包括如下操作步骤:
获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
当所述执行动作不一致时,从所述执行动作中确定异常动作;
从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
所述基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息,包括如下操作步骤:
根据所述漏洞数据随机生成一定数量的攻击向量个体;将所述攻击向量个体进行归一化处理,得到初始优化攻击向量个体;根据所述初始优化攻击向量个体,构建初始攻击向量种群;其中,pi为第i个攻击向量个体;
对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作;对所述初始优化攻击向量个体进行模拟测试,得到攻击向量测试得分s;预设适应度函数值e,并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f;
根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体,计算获取所述最优攻击向量个体的适应度fi';其中,p'i为第i个最优攻击向量个体;
定义最优攻击向量个体输出分值参数u,并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值D;
预设输出分值最低阈值M,从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值M的最优攻击向量个体,并确定为攻击信息。
2.根据权利要求1所述的一种工控攻击事件监测感知处理方法,其特征在于,所述初始优化攻击向量个体的适应度f的计算方式为:;
式中,fi为第i个初始优化攻击向量个体的适应度;
e为适应度函数值;
si为第i个初始优化攻击向量个体的攻击向量测试得分;
所述最优攻击向量个体的输出分值D的计算方式为:D=fi'×u;
式中,fi'为第i个最优攻击向量个体的适应度;
u为最优攻击向量个体输出分值参数;
D为最优攻击向量个体的输出分值。
3.根据权利要求2所述的一种工控攻击事件监测感知处理方法,其特征在于,所述根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体,包括如下操作步骤:
个体选择操作:预设适应度第一阈值K与适应度第二阈值L,判断所述适应度是否大于或等于所述适应度第二阈值L;若判断所述适应度大于或等于所述适应度第二阈值L,则判断所述适应度对应的初始优化攻击向量个体为最优攻击向量个体;
若判断所述适应度小于所述适应度第二阈值L,则进一步判断所述适应度是否大于或等于所述适应度第一阈值M;若判断所述适应度大于或等于所述适应度第一阈值M,则确定所述适应度对应的初始优化攻击向量个体为父个体;
所述适应度第一阈值K小于所述适应度第二阈值L;
将所述父个体的染色体互换基因序列,得到多个子个体;对所述子个体的染色体进行变异操作,得到多个变异个体;将所述变异个体作为初始优化攻击向量个体,计算获取初始优化攻击向量个体的适应度后返回上述个体选择操作进行迭代处理操作,同时将迭代次数n加1;预设迭代次数最大阈值N,若所述迭代次数小于所述迭代次数最大阈值N,则继续进行迭代,得到多个最优攻击向量个体;直至所述迭代次数等于所述迭代次数最大阈值N;
所述迭代次数n初始为0。
4.根据权利要求3所述的一种工控攻击事件监测感知处理方法,其特征在于,所述将所述父个体的染色体互换基因序列,得到多个子个体包括如下操作步骤:
将所述父个体通过文本处理方式进行对齐,得到优化父个体;
任意选择交叉点,对所述优化父个体进行切割,得到多个切割分体;
将所述切割分体进行重新组合,获取多个子个体。
5.根据权利要求4所述的一种工控攻击事件监测感知处理方法,其特征在于,所述将所述父个体通过文本处理方式进行对齐,得到优化父个体,包括如下操作步骤:
提取所述父个体的关键词;根据所述关键词进行重新组合获取第一优化父个体;
获取所有所述第一优化父个体的长度,基于所述第一优化父个体的长度,计算获取所述第一优化父个体长度平均值;
根据所述第一优化父个体长度平均值,对所述第一优化父个体进行对齐操作,得到优化父个体。
6.一种工控攻击事件监测感知处理系统,其特征在于,包括模拟执行模块、异常筛选模块、攻击信息生成模块、中央处理器;
其中,所述模拟执行模块,用于获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作;
所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息;
所述异常筛选模块,用于当所述执行动作不一致时,从所述执行动作中确定异常动作;
从所述至少两个控制节点中确定生成所述异常动作的异常控制节点;
将所述异常控制节点中执行的所述指令信息确定为异常指令信息;
所述攻击信息生成模块,用于利用爬虫技术爬取得到多个漏洞数据,利用所述漏洞数据构建漏洞数据库;基于所述漏洞数据库中所有漏洞数据通过遗传算法计算,分别对应生成多个攻击信息;
所述漏洞数据表征漏洞位置及漏洞处理方式;
所述中央处理器,用于判断所述异常指令信息与所述攻击信息是否有一致;若有一致,则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复;若不一致,则确定当前异常指令信息为非常规漏洞;将所述非常规漏洞记录并上报进行处理,得到对应的处理方式;将所述非常规漏洞及所述处理方式保存至所述漏洞数据库;
所述攻击信息生成模块,包括第一生成模块、第二生成模块、第一计算模块、第三生成模块、第二计算模块;
所述第一生成模块,用于根据所述漏洞数据随机生成一定数量的攻击向量个体;
所述第二生成模块,用于将所述攻击向量个体进行归一化处理,得到初始优化攻击向量个体;根据所述初始优化攻击向量个体,构建初始攻击向量种群;其中,pi为第i个攻击向量个体;
所述第一计算模块,用于对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作;对所述初始优化攻击向量个体进行模拟测试,得到攻击向量测试得分s;预设适应度函数值e,并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f;
所述初始优化攻击向量个体的适应度f的计算方式为:;
式中,fi为第i个初始优化攻击向量个体的适应度;
e为适应度函数值;
si为第i个初始优化攻击向量个体的攻击向量测试得分;
所述第三生成模块,用于根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作,并进行迭代操作,得到多个最优攻击向量个体,计算获取所述最优攻击向量个体的适应度fi';其中,p'i为第i个最优攻击向量个体;
所述第二计算模块,用于定义最优攻击向量个体输出分值参数u,并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值D;
所述最优攻击向量个体的输出分值D的计算方式为:D=fi'×u;
式中,fi'为第i个最优攻击向量个体的适应度;
u为最优攻击向量个体输出分值参数;
D为最优攻击向量个体的输出分值;
预设输出分值最低阈值M,从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值M的最优攻击向量个体,并确定为攻击信息。
7.一种工控攻击事件监测感知处理存储介质,其特征在于,所述存储介质烧录有计算机程序,所述计算机程序在服务器的内存中运行时实现上述权利要求1-5任一项所述的一种工控攻击事件监测感知处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310590024.6A CN116382250B (zh) | 2023-05-24 | 2023-05-24 | 一种工控攻击事件监测感知处理方法及系统、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310590024.6A CN116382250B (zh) | 2023-05-24 | 2023-05-24 | 一种工控攻击事件监测感知处理方法及系统、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116382250A CN116382250A (zh) | 2023-07-04 |
CN116382250B true CN116382250B (zh) | 2023-11-28 |
Family
ID=86971284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310590024.6A Active CN116382250B (zh) | 2023-05-24 | 2023-05-24 | 一种工控攻击事件监测感知处理方法及系统、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116382250B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110222505A (zh) * | 2019-05-30 | 2019-09-10 | 北方工业大学 | 一种基于遗传算法的工控攻击样本扩张方法及系统 |
CN114448738A (zh) * | 2022-04-11 | 2022-05-06 | 北京网藤科技有限公司 | 一种用于工控网络的攻击向量生成方法及系统 |
CN115659345A (zh) * | 2022-09-20 | 2023-01-31 | 中国信息通信研究院 | 一种代码漏洞的修复方法、装置、可读介质及电子设备 |
CN116016198A (zh) * | 2022-12-26 | 2023-04-25 | 中国电子信息产业集团有限公司第六研究所 | 一种工控网络拓扑安全评估方法、装置及计算机设备 |
-
2023
- 2023-05-24 CN CN202310590024.6A patent/CN116382250B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110222505A (zh) * | 2019-05-30 | 2019-09-10 | 北方工业大学 | 一种基于遗传算法的工控攻击样本扩张方法及系统 |
CN114448738A (zh) * | 2022-04-11 | 2022-05-06 | 北京网藤科技有限公司 | 一种用于工控网络的攻击向量生成方法及系统 |
CN115659345A (zh) * | 2022-09-20 | 2023-01-31 | 中国信息通信研究院 | 一种代码漏洞的修复方法、装置、可读介质及电子设备 |
CN116016198A (zh) * | 2022-12-26 | 2023-04-25 | 中国电子信息产业集团有限公司第六研究所 | 一种工控网络拓扑安全评估方法、装置及计算机设备 |
Non-Patent Citations (2)
Title |
---|
基于半监督分簇策略的工控入侵检测;崔君荣;尚文利;万明;赵剑明;苑薇薇;曾鹏;;信息与控制(04);全文 * |
基于贝叶斯攻击图的工控网络安全分析研究;尹志铭;《中国优秀硕士学位论文全文数据库》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116382250A (zh) | 2023-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kessentini et al. | A cooperative parallel search-based software engineering approach for code-smells detection | |
Jones et al. | A strategy for using genetic algorithms to automate branch and fault-based testing | |
WO2005013081A2 (en) | Methods and systems for applying genetic operators to determine system conditions | |
JP2008538429A (ja) | ゼータ統計を用いるモデル最適化方法及びシステム | |
CN107729241B (zh) | 一种基于变异体分组的软件变异测试数据进化生成方法 | |
WO2014173272A1 (zh) | 数字化人机界面监视单元布局方法及布局系统 | |
CN112910859A (zh) | 基于c5.0决策树和时序分析的物联网设备监测预警方法 | |
CN116862081B (zh) | 一种污染治理设备运维方法及系统 | |
CN111126820A (zh) | 反窃电方法及系统 | |
Ma et al. | Condition-based maintenance optimization for multicomponent systems under imperfect repair—based on RFAD model | |
Sandhu et al. | A study on early prediction of fault proneness in software modules using genetic algorithm | |
Kotelyanskii et al. | Parameter tuning for search-based test-data generation revisited: Support for previous results | |
EP4009586A1 (en) | A system and method for automatically neutralizing malware | |
CN112888008B (zh) | 基站异常检测方法、装置、设备及存储介质 | |
CN116382250B (zh) | 一种工控攻击事件监测感知处理方法及系统、存储介质 | |
Moat et al. | Survival analysis and predictive maintenance models for non-sensored assets in facilities management | |
CN116882756B (zh) | 基于区块链的电力安全管控方法 | |
CN109977030B (zh) | 一种深度随机森林程序的测试方法及设备 | |
Alweshah et al. | Evolution of software reliability growth models: a comparison of auto-regression and genetic programming models | |
CN116886329A (zh) | 一种面向工控系统安全的量化指标优化方法 | |
JP7190246B2 (ja) | ソフトウェア不具合予測装置 | |
CN114444933A (zh) | 一种基于建筑工程的危险源分析方法、设备和介质 | |
Lil et al. | Validation of a methodology for assessing software reliability | |
CN115080286A (zh) | 一种网络设备日志异常的发现方法及装置 | |
JP6984265B2 (ja) | 情報処理装置、情報処理方法、および、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |