CN117014231B - 基于集成学习的工控网络入侵防护方法及系统 - Google Patents

基于集成学习的工控网络入侵防护方法及系统 Download PDF

Info

Publication number
CN117014231B
CN117014231B CN202311278675.8A CN202311278675A CN117014231B CN 117014231 B CN117014231 B CN 117014231B CN 202311278675 A CN202311278675 A CN 202311278675A CN 117014231 B CN117014231 B CN 117014231B
Authority
CN
China
Prior art keywords
behavior
access
industrial control
equipment terminal
decision
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311278675.8A
Other languages
English (en)
Other versions
CN117014231A (zh
Inventor
黄东华
陶耀东
徐书珩
王文华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shuangpai Zhian Technology Co ltd
Original Assignee
Beijing Shuangpai Zhian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shuangpai Zhian Technology Co ltd filed Critical Beijing Shuangpai Zhian Technology Co ltd
Priority to CN202311278675.8A priority Critical patent/CN117014231B/zh
Publication of CN117014231A publication Critical patent/CN117014231A/zh
Application granted granted Critical
Publication of CN117014231B publication Critical patent/CN117014231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于集成学习的工控网络入侵防护方法及系统,涉及智能网络防护技术领域,包括:获取工控网络中各个终端节点;建立正常行为特征库;建立异常行为特征库;判断是否存在外部设备终端接入工控网络;基于安全性判定算法判断外部设备终端是否安全;使用模拟数据进行集成学习训练异常识别决策模型;基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。本发明的优点在于:本方案可有效的对接入工控网络的外部设备终端进行智能化的识别,有效的保证工控网络的安全,降低工控网络的被入侵风险,进而保障工控系统安全稳定的运行。

Description

基于集成学习的工控网络入侵防护方法及系统
技术领域
本发明涉及智能网络防护技术领域,具体是涉及基于集成学习的工控网络入侵防护方法及系统。
背景技术
工控指的是工业自动化控制,主要利用电子电气、机械、软件组合实现。即是工业控制,或者是工厂自动化控制。主要是指使用计算机技术,微电子技术,电气手段,使工厂的生产和制造过程更加自动化、效率化、精确化,并具有可控性及可视性,工控网络作为工控系统中的信息传输单元,对于工控网络的安全防护是保持工控系统安全稳定运行的重要课题。
在工控系统的运行过程中,通常需要接入外部的设备终端,对工控系统进行输入加工信息或进行调试维修,而现有技术缺乏对于接入工控网络的外部设备终端的智能安全防护,难以对外部设备的访问行为进行智能化分析识别,难以实现对于外部设备终端的智能化访问防护,使工控网络存在的较大入侵风险。
发明内容
为解决上述技术问题,提供一种基于集成学习的工控网络入侵防护方法及系统,本技术方案解决了上述的现有技术缺乏对于接入工控网络的外部设备终端的智能安全防护,难以对外部设备的访问行为进行智能化统计,进而实现对于外部设备终端的智能化访问防护,使工控网络存在的较大入侵风险的问题。
为达到以上目的,本发明采用的技术方案为:
一种基于集成学习的工控网络入侵防护方法,包括:
获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库;
基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
使用模拟数据进行集成学习训练异常识别决策模型;
基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
优选的,所述使用模拟数据进行集成学习训练异常识别决策模型具体包括:
建立行为判定逻辑和决策行为库,所述决策行为库用于存储决策行为;
随机生成若干个模拟访问行为的模拟行为特征;
基于行为判定逻辑,对每一个模拟访问行为进行行为判定;
基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图;
基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑;
其中,所述决策行为包括正常行为应对决策、高风险行为应对决策和低风险行为应对决策。
优选的,所述行为特征-行为判定-决策行为流向逻辑具体为:
获取访问行为的行为特征,并基于访问行为的行为特征与正常行为特征库中的元素进行相似度计算,记为正常相似度,判断是否存在于访问行为的行为特征相似度超过阈值的正常行为特征,若是,则认定该访问行为为正常访问行为,执行正常行为应对决策,若否,则基于访问行为的行为特征与异常行为特征库中的元素进行相似度计算,记为异常相似度,判断是否存在与访问行为的行为特征相似度超过阈值的异常行为特征,若是,则认定该访问行为高风险行为,执行高风险行为应对决策,若否,则认定该访问行为低风险行为,执行低风险行为应对决策。
优选的,所述正常行为应对决策为不做响应;
所述高风险行为应对决策为即时断开外部设备终端的接入,将外部设备终端标记为高风险终端,并将外部设备终端的设备特征存入高风险设备特征库;
所述低风险行为应对决策为计算所有正常相似度的平均值,记为正常相似均值,计算所有异常相似度的平均值,记为异常相似均值,基于正常相似均值和异常相似均值,通过行为指标计算公式,计算该访问行为的接入行为指标,并将该接入行为指标作为历史接入行为指标与该外部设备终端的设备特征建立一一对应关系,存入安全接入设备特征库。
优选的,所述行为指标计算公式为: 式中,/>为访问行为的接入行为指标,/>为正常相似均值,/>为异常相似均值。
优选的,所述安全性判定算法具体为:
判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
判断初步安全设备终端是否为初次接入外部设备终端,若是,则上传设备特征至后台管理终端,由后台管理权限人员确认后,建立后台管理权限人员与该初步安全设备终端的一一对应关系后,判定外部设备终端安全,若否,则从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全;
其中,所述综合评价公式具体为: 式中,A为初步安全设备终端的历史接入综合评分,/>为第i个初步安全设备终端的历史接入行为指标,n为初步安全设备终端的接入次数。
进一步的,提出一种基于集成学习的工控网络入侵防护系统,用于实现如上述的基于集成学习的工控网络入侵防护方法,包括:
链路自检模块,所述链路自检模块用于获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
行为特征统计模块,所述行为特征统计模块用于基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库和基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
接入监测模块,所述接入监测模块用于实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
模型训练模块,所述模型训练模块用于使用模拟数据进行集成学习训练异常识别决策模型;
模型存储模块,所述模型存储模块用于存储异常识别决策模型;
安全判别模块,所述安全判别模块用于获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
防护决策模块,所述防护决策模块用于基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
可选的,所述安全判别模块包括:
初步识别单元,所述初步识别单元用于判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
初次接入判定单元,所述初次接入判定单元用于判断初步安全设备终端是否为初次接入外部设备终端;
安全性判定单元,所述安全性判定单元用于从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全。
可选的,所述模型训练模块包括:
行为模拟单元,所述行为模拟单元用于随机生成若干个模拟访问行为的模拟行为特征;
决策行为逻辑训练单元,所述决策行为逻辑训练单元用于基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图,同时基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑。
与现有技术相比,本发明的有益效果在于:
本发明提出一种基于集成学习的工控网络入侵防护方案,基于深度学习,进行训练异常识别决策模型,获得行为特征-行为判定-决策行为流向逻辑,对接入工控通讯链路的外部设备终端的访问行为进行智能化的识别判断,并进行自动化决策,可有效的保证对接入工控网络的外部设备终端进行智能化的识别,并对存在入侵风险的访问行为进行及时的中断连接,可有效的保证工控网络的安全,降低工控网络的被入侵风险;
对于接入工控系统的外部设备终端,对其进行安全性判定,进行外部设备终端的安全性判定,对于存在入侵风险的外部终端设备,禁止其接入工控网络,可有效的保证接入工控网络的外部设备的安全性,进而有效的保证在外部设备终端接入工控网络时存在的入侵风险,保障工控系统安全稳定的运行。
附图说明
图1为本发明提出的基于集成学习的工控网络入侵防护方法流程图;
图2为本发明中的训练异常识别决策模型的方法流程图;
图3为本发明中一些实施例训练得到的行为特征-行为判定-决策行为流向逻辑的具体流程图;
图4为本发明中的安全性判定算法的具体流程图;
图5为本发明提出的基于集成学习的工控网络入侵防护系统结构框图。
具体实施方式
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
参照图1所示,一种基于集成学习的工控网络入侵防护方法,包括:
获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库;
基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库,可以理解的是,工控通讯链路可能存在的属性为控制通讯、数据传输等,对于不同属性的工控通讯链路,其对应的正常访问行为和异常访问行为不同,因此本方案中针对每一条工控通讯链路建立对应的属性进行建立正常行为特征库和异常行为特征库,进而为后续外部接入设备的行为特征进行智能化精准识别提供数据支撑;
实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
使用模拟数据进行集成学习训练异常识别决策模型;
基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
基于深度学习,进行训练异常识别决策模型,获得行为特征-行为判定-决策行为流向逻辑,对接入工控通讯链路的外部设备终端的访问行为进行智能化的识别判断,并进行自动化决策,可有效的保证对接入工控网络的外部设备终端进行智能化的识别,同时对于接入工控系统的外部设备终端,对其进行安全性判定,进行外部设备终端的安全性判定,对于存在入侵风险的外部终端设备,禁止其接入工控网络,可有效的保证接入工控网络的外部设备的安全性。
参照图2所示,使用模拟数据进行集成学习训练异常识别决策模型具体包括:
建立行为判定逻辑和决策行为库,决策行为库用于存储决策行为;
随机生成若干个模拟访问行为的模拟行为特征;
基于行为判定逻辑,对每一个模拟访问行为进行行为判定;
基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图;
基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑;
其中,决策行为包括正常行为应对决策、高风险行为应对决策和低风险行为应对决策。
具体的,参照图3所示,在一些实施例中,训练得到的行为特征-行为判定-决策行为流向逻辑具体为:
获取访问行为的行为特征,并基于访问行为的行为特征与正常行为特征库中的元素进行相似度计算,记为正常相似度,判断是否存在于访问行为的行为特征相似度超过阈值的正常行为特征,若是,则认定该访问行为为正常访问行为,执行正常行为应对决策,若否,则基于访问行为的行为特征与异常行为特征库中的元素进行相似度计算,记为异常相似度,判断是否存在与访问行为的行为特征相似度超过阈值的异常行为特征,若是,则认定该访问行为高风险行为,执行高风险行为应对决策,若否,则认定该访问行为低风险行为,执行低风险行为应对决策。
正常行为应对决策为不做响应;
高风险行为应对决策为即时断开外部设备终端的接入,将外部设备终端标记为高风险终端,并将外部设备终端的设备特征存入高风险设备特征库;
低风险行为应对决策为计算所有正常相似度的平均值,记为正常相似均值,计算所有异常相似度的平均值,记为异常相似均值,基于正常相似均值和异常相似均值,通过行为指标计算公式,计算该访问行为的接入行为指标,并将该接入行为指标作为历史接入行为指标与该外部设备终端的设备特征建立一一对应关系,存入安全接入设备特征库。
行为指标计算公式为: 式中,/>为访问行为的接入行为指标,/>为正常相似均值,/>为异常相似均值。
本方案中,基于机器集成学习进行训练外部设备终端接入工控网络的入侵防护行为特征-行为判定-决策行为流向逻辑,按照行为判定逻辑对访问行为的行为特征进行智能化判定后,对不同的访问行为进行智能化决策,对于会对工控通讯链路造成损失的异常访问行为,直接标记为高风险行为,断开外部设备终端的接入,并禁止外部设备终端再次接入工控网络,对于正常访问行为,进行放行,对于不属于异常访问行为的低风险访问行为,基于该访问行为与正常访问行为和异常访问行为之间的相似度,进行计算行为指标,以该指标作为该次访问行为的安全性,行为指标越大,则说明该访问行为与正常访问行为之间相似度越高,该访问行为越安全,行为指标越小,则说明该访问行为与异常访问行为之间相似度越高,该访问行为越危险。
参照图4所示,安全性判定算法具体为:
判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
判断初步安全设备终端是否为初次接入外部设备终端,若是,则上传设备特征至后台管理终端,由后台管理权限人员确认后,建立后台管理权限人员与该初步安全设备终端的一一对应关系后,判定外部设备终端安全,若否,则从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全;
其中,综合评价公式具体为: 式中,A为初步安全设备终端的历史接入综合评分,/>为第i个初步安全设备终端的历史接入行为指标,n为初步安全设备终端的接入次数。
本方案中,对于首次接入工控网络的外部设备终端,通过与管理权限人员与建立一一对应关系,再准许接入工控网络,此方式可便于后续进行工控网络侵入事故时的快速溯源,降低工控网络的数据丢失风险;
对于非初次接入工控网络的设备终端,若其多次接入工控网络的访问行为均存在低风险,通过综合评价公式进行计算该设备终端的接入安全性评估,并对可能存在侵入风险的外部设备终端进行隔绝接入,进而有效的提高外部设备终端接入工控网络的识别算法的智能性和工控网络对于外部终端设备入侵防护的安全性。
进一步的,基于与上述基于集成学习的工控网络入侵防护方法相同的发明构思,提出一种基于集成学习的工控网络入侵防护系统,具体包括:
链路自检模块,链路自检模块用于获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
行为特征统计模块,行为特征统计模块用于基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库和基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
接入监测模块,接入监测模块用于实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
模型训练模块,模型训练模块用于使用模拟数据进行集成学习训练异常识别决策模型;
模型存储模块,模型存储模块用于存储异常识别决策模型;
安全判别模块,安全判别模块用于获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
防护决策模块,防护决策模块用于基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
安全判别模块包括:
初步识别单元,初步识别单元用于判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
初次接入判定单元,初次接入判定单元用于判断初步安全设备终端是否为初次接入外部设备终端;
安全性判定单元,安全性判定单元用于从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全。
模型训练模块包括:
行为模拟单元,行为模拟单元用于随机生成若干个模拟访问行为的模拟行为特征;
决策行为逻辑训练单元,决策行为逻辑训练单元用于基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图,同时基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑。
上述基于集成学习的工控网络入侵防护系统的使用过程为:
步骤一:链路自检模块获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
步骤二:行为特征统计模块基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库和基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
步骤三:接入监测模块用于实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
步骤四:行为模拟单元随机生成若干个模拟访问行为的模拟行为特征,同时决策行为逻辑训练单元基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图,同时基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑,并将行为特征-行为判定-决策行为流向逻辑存入模型存储模块;
步骤五:初步识别单元判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
步骤六:初次接入判定单元判断初步安全设备终端是否为初次接入外部设备终端,若是,则上传设备特征至后台管理终端,由后台管理权限人员确认后,建立后台管理权限人员与该初步安全设备终端的一一对应关系后,判定外部设备终端安全,若否,安全性判定单元从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全;
步骤七:防护决策模块基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
综上所述,本发明的优点在于:本方案可有效的对接入工控网络的外部设备终端进行智能化的识别,有效的保证工控网络的安全,降低工控网络的被入侵风险,进而保障工控系统安全稳定的运行。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。

Claims (7)

1.一种基于集成学习的工控网络入侵防护方法,其特征在于,包括:
获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库;
基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
使用模拟数据进行集成学习训练异常识别决策模型;
基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策;
所述使用模拟数据进行集成学习训练异常识别决策模型具体包括:
建立行为判定逻辑和决策行为库,所述决策行为库用于存储决策行为;
随机生成若干个模拟访问行为的模拟行为特征;
基于行为判定逻辑,对每一个模拟访问行为进行行为判定;
基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图;
基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑;
其中,所述决策行为包括正常行为应对决策、高风险行为应对决策和低风险行为应对决策;
所述行为特征-行为判定-决策行为流向逻辑具体为:
获取访问行为的行为特征,并基于访问行为的行为特征与正常行为特征库中的元素进行相似度计算,记为正常相似度,判断是否存在于访问行为的行为特征相似度超过阈值的正常行为特征,若是,则认定该访问行为为正常访问行为,执行正常行为应对决策,若否,则基于访问行为的行为特征与异常行为特征库中的元素进行相似度计算,记为异常相似度,判断是否存在与访问行为的行为特征相似度超过阈值的异常行为特征,若是,则认定该访问行为高风险行为,执行高风险行为应对决策,若否,则认定该访问行为低风险行为,执行低风险行为应对决策。
2.根据权利要求1所述的一种基于集成学习的工控网络入侵防护方法,其特征在于:
所述正常行为应对决策为不做响应;
所述高风险行为应对决策为即时断开外部设备终端的接入,将外部设备终端标记为高风险终端,并将外部设备终端的设备特征存入高风险设备特征库;
所述低风险行为应对决策为计算所有正常相似度的平均值,记为正常相似均值,计算所有异常相似度的平均值,记为异常相似均值,基于正常相似均值和异常相似均值,通过行为指标计算公式,计算该访问行为的接入行为指标,并将该接入行为指标作为历史接入行为指标与该外部设备终端的设备特征建立一一对应关系,存入安全接入设备特征库。
3.根据权利要求2所述的一种基于集成学习的工控网络入侵防护方法,其特征在于,所述行为指标计算公式为:式中,/>为访问行为的接入行为指标,/>为正常相似均值,/>为异常相似均值。
4.根据权利要求3所述的一种基于集成学习的工控网络入侵防护方法,其特征在于,所述安全性判定算法具体为:
判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
判断初步安全设备终端是否为初次接入外部设备终端,若是,则上传设备特征至后台管理终端,由后台管理权限人员确认后,建立后台管理权限人员与该初步安全设备终端的一一对应关系后,判定外部设备终端安全,若否,则从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全;
其中,所述综合评价公式具体为: 式中,A为初步安全设备终端的历史接入综合评分,/>为第i个初步安全设备终端的历史接入行为指标,n为初步安全设备终端的接入次数。
5.一种基于集成学习的工控网络入侵防护系统,其特征在于,用于实现如权利要求1-4任一项所述的基于集成学习的工控网络入侵防护方法,包括:
链路自检模块,所述链路自检模块用于获取工控网络中各个终端节点,并确定各个终端节点之间的通讯链路,记为工控通讯链路;
行为特征统计模块,所述行为特征统计模块用于基于工控网络的历史管理日志,确定每一个工控通讯链路的正常访问行为特征,建立正常行为特征库和基于工控通讯链路的属性和历史防护数据,确定所有对工控通讯链路造成损失的异常访问行为特征,建立异常行为特征库;
接入监测模块,所述接入监测模块用于实时监测工控网络的通讯链路状态,判断是否存在外部设备终端接入工控网络,若是,则对外部设备终端接入的工控通讯链路施加接入标记,若否,则不做响应;
模型训练模块,所述模型训练模块用于使用模拟数据进行集成学习训练异常识别决策模型;
模型存储模块,所述模型存储模块用于存储异常识别决策模型;
安全判别模块,所述安全判别模块用于获取接入工控网络的外部设备终端的设备特征,并基于安全性判定算法判断外部设备终端是否安全,若是,则记录外部设备终端的设备特征,并允许外部设备终端接入工控通讯链路,若否,则不允许外部设备终端接入工控通讯链路;
防护决策模块,所述防护决策模块用于基于异常识别决策模型对接入工控通讯链路的外部设备终端的访问行为进行识别决策。
6.根据权利要求5所述的一种基于集成学习的工控网络入侵防护系统,其特征在于,所述安全判别模块包括:
初步识别单元,所述初步识别单元用于判定接入工控网络的外部设备终端的设备特征是否存储在高风险设备特征库中,若是,则直接判定外部设备终端不安全,若否,则将外部设备终端标记为初步安全设备终端;
初次接入判定单元,所述初次接入判定单元用于判断初步安全设备终端是否为初次接入外部设备终端;
安全性判定单元,所述安全性判定单元用于从安全接入设备特征库调取该初步安全设备终端的历史接入行为指标,并基于该初步安全设备终端的历史接入行为指标,通过综合评价公式计算该初步安全设备终端的历史接入综合评分,若历史接入综合评分大于安全评分预设值,则判定为该初步安全设备终端安全,若历史接入综合评分小于安全评分预设值,则判定为该初步安全设备终端不安全。
7.根据权利要求6所述的一种基于集成学习的工控网络入侵防护系统,其特征在于,所述模型训练模块包括:
行为模拟单元,所述行为模拟单元用于随机生成若干个模拟访问行为的模拟行为特征;
决策行为逻辑训练单元,所述决策行为逻辑训练单元用于基于行为判定指标生成该模拟访问行为的若干个决策行为逻辑流向图,并筛选出最合理的决策行为逻辑流向图,作为该模拟访问行为的训练决策行为逻辑流向图,同时基于对若干个模拟访问行为的模拟行为特征的训练决策行为逻辑流向图的确定,建立行为特征-行为判定-决策行为流向逻辑。
CN202311278675.8A 2023-10-07 2023-10-07 基于集成学习的工控网络入侵防护方法及系统 Active CN117014231B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311278675.8A CN117014231B (zh) 2023-10-07 2023-10-07 基于集成学习的工控网络入侵防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311278675.8A CN117014231B (zh) 2023-10-07 2023-10-07 基于集成学习的工控网络入侵防护方法及系统

Publications (2)

Publication Number Publication Date
CN117014231A CN117014231A (zh) 2023-11-07
CN117014231B true CN117014231B (zh) 2023-12-22

Family

ID=88576583

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311278675.8A Active CN117014231B (zh) 2023-10-07 2023-10-07 基于集成学习的工控网络入侵防护方法及系统

Country Status (1)

Country Link
CN (1) CN117014231B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112561197A (zh) * 2020-12-23 2021-03-26 国网江苏省电力有限公司南京供电分公司 一种带有主动防御影响范围的电力数据预取与缓存方法
CN113259349A (zh) * 2021-05-12 2021-08-13 国家计算机网络与信息安全管理中心 一种轨道交通控制网络的监测方法及装置
CN115189927A (zh) * 2022-06-24 2022-10-14 华北电力大学 一种基于零信任的电力网络安全防护方法
CN115664851A (zh) * 2022-12-14 2023-01-31 深圳市永达电子信息股份有限公司 一种基于业务行为的安全管控方法及装置
CN116318930A (zh) * 2023-02-24 2023-06-23 深圳市赛柏特通信技术有限公司 一种安全远程接入方法、系统及存储介质
CN116488949A (zh) * 2023-06-26 2023-07-25 中国电子信息产业集团有限公司第六研究所 工控系统入侵检测处理方法、系统、装置及存储介质
CN116582373A (zh) * 2023-07-14 2023-08-11 北京辰尧科技有限公司 一种用户访问控制方法、系统及电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112561197A (zh) * 2020-12-23 2021-03-26 国网江苏省电力有限公司南京供电分公司 一种带有主动防御影响范围的电力数据预取与缓存方法
CN113259349A (zh) * 2021-05-12 2021-08-13 国家计算机网络与信息安全管理中心 一种轨道交通控制网络的监测方法及装置
CN115189927A (zh) * 2022-06-24 2022-10-14 华北电力大学 一种基于零信任的电力网络安全防护方法
CN115664851A (zh) * 2022-12-14 2023-01-31 深圳市永达电子信息股份有限公司 一种基于业务行为的安全管控方法及装置
CN116318930A (zh) * 2023-02-24 2023-06-23 深圳市赛柏特通信技术有限公司 一种安全远程接入方法、系统及存储介质
CN116488949A (zh) * 2023-06-26 2023-07-25 中国电子信息产业集团有限公司第六研究所 工控系统入侵检测处理方法、系统、装置及存储介质
CN116582373A (zh) * 2023-07-14 2023-08-11 北京辰尧科技有限公司 一种用户访问控制方法、系统及电子设备

Also Published As

Publication number Publication date
CN117014231A (zh) 2023-11-07

Similar Documents

Publication Publication Date Title
CN110768846A (zh) 一种智能变电站网络安全防护系统
CN111598179B (zh) 电力监控系统用户异常行为分析方法、存储介质和设备
CN115936428B (zh) 增量配电网防外破定值优化系统
CN103647662B (zh) 一种故障监测报警方法及装置
CN112798979B (zh) 基于深度学习技术的变电站接地线状态检测系统及方法
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
CN111383128A (zh) 一种用于监测电网嵌入式终端设备运行状态的方法及系统
CN107749778A (zh) 一种通信光缆故障预警方法及装置
CN117014231B (zh) 基于集成学习的工控网络入侵防护方法及系统
CN115131706A (zh) 一种电力作业违章数据化智能图像识别系统及方法
CN117141265A (zh) 一种智能无线充电桩的运行监测系统及监测方法
CN116385925A (zh) 一种生产现场智慧安全管理方法及系统
CN113159503A (zh) 一种远程遥控智能安全评估系统和方法
CN115659351B (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN111210092A (zh) 一种基于深度学习的堆垛机预测性维护方法及其系统
CN116739299A (zh) 一种任务信息处理方法与系统
CN115310586A (zh) 针对网络攻击的有源配电网信息物理系统运行态势预测方法及系统
CN116170197A (zh) 一种用户行为数据的风险控制方法及装置
CN108683639A (zh) 一种计算机网络异常检测及自动修复系统、方法及移动终端
CN114880670A (zh) 一种终端安全数据指标可视化系统
CN107464069B (zh) 一种采煤机健康度评价方法
CN115604016B (zh) 一种行为特征链模型的工控异常行为监测方法和系统
CN117648689B (zh) 基于人工智能的工控主机安全事件自动响应方法
TW201929584A (zh) 基地台之障礙辨識伺服器及方法
CN114973618A (zh) 一种基于现场作业的异常告警评估和处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant