CN117254981B - 一种工控网络安全态势预测方法及装置 - Google Patents

一种工控网络安全态势预测方法及装置 Download PDF

Info

Publication number
CN117254981B
CN117254981B CN202311537061.7A CN202311537061A CN117254981B CN 117254981 B CN117254981 B CN 117254981B CN 202311537061 A CN202311537061 A CN 202311537061A CN 117254981 B CN117254981 B CN 117254981B
Authority
CN
China
Prior art keywords
characterizing
weight
industrial control
prediction model
scoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311537061.7A
Other languages
English (en)
Other versions
CN117254981A (zh
Inventor
刘琳
杨利达
闫印强
孙俊虎
姜海昆
范宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Changyang Technology Beijing Co ltd
Original Assignee
Changyang Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Changyang Technology Beijing Co ltd filed Critical Changyang Technology Beijing Co ltd
Priority to CN202311537061.7A priority Critical patent/CN117254981B/zh
Publication of CN117254981A publication Critical patent/CN117254981A/zh
Application granted granted Critical
Publication of CN117254981B publication Critical patent/CN117254981B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/004Artificial life, i.e. computing arrangements simulating life
    • G06N3/006Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • G06N3/0442Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Biophysics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种工控网络安全态势预测方法及装置,涉及网络安全技术领域,该方法包括:对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;初始化GRU神经网络模型,并利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型;根据评分序列对预测模型进行训练,得到目标预测模型;将当前工控网络流量数据对应的评分序列输入至目标预测模型中,输出预测的工控网络态势。本方案提供的工控网络安全态势预测方法能准确预测即将发生的工控网络安全态势。

Description

一种工控网络安全态势预测方法及装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种工控网络安全态势预测方法及装置。
背景技术
随着工业信息化进程的不断深入,工业控制网络的结构变得愈发复杂,网络协议的种类也愈发繁杂,针对工业控制网络的攻击手段也日益多样化,传统防火墙、入侵防御等静态防御和边界防御为主的安全防护策略已然无法应对具备隐蔽性、渗透性的高级新型威胁。结合工业控制系统的特点,大量学者将工业控制系统的安全研究重点定为网络流量异常检测方面。以安全大数据为基础,从全局视角对工业控制网络全网数据进行安全威胁发现、理解分析、最后响应处理的网络态势感知技术在维护工业控制系统安全性方面具有非常好的适配性。
现有维护工控网络安全的方法大多只是运用各种机器学习或深度学习的方法构建入侵检测系统,通过训练分类器以识别采集的工控网络流量数据是否安全。对于工业控制网络中大规模的数据、已知和未知的威胁并无法有效预测。
发明内容
本发明实施例提供了一种工控网络安全态势预测方法及装置,该方法能准确预测即将发生的工控网络安全态势。
第一方面,本发明实施例提供了一种工控网络安全态势预测方法,包括:
对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
初始化GRU神经网络模型,并利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型;
根据所述评分序列对所述预测模型进行训练,得到目标预测模型;
将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中,输出预测的工控网络态势。
可选地,所述对获取到的工控网络流量数据进行评分,得到按照时间顺序排列评分序列,包括:
对所述工控网络流量数据进行等间隔划分,得到对应不同时间段的子数据;
针对每个所述子数据,均执行:获取该子数据所包括的事件和漏洞;根据所述事件的危险等级和数量,确定所述事件的第一权重和第一评分数量;并根据所述漏洞的危险等级和数量,确定所述漏洞的第二权重和第二评分数量;然后根据所述第一权重、所述第一评分数量、所述第二权重和所述第二评分数量,确定风险评分;
将不同时间段的子数据对应的风险评分按照时间顺序进行排列,得到所述评分序列。
可选地,所述风险评分通过如下公式确定:
其中,f用于表征所述风险评分;N用于表征所述事件的危险等级总数;α n’用于表征第n’危险等级的事件对应的所述第一权重;S n’用于表征第n’危险等级的事件对应的所述第一评分数量;M用于表征所述漏洞的危险等级总数;β m’用于表征第m’危险等级的漏洞对应的所述第二权重;S m’用于表征第m’危险等级的漏洞对应的所述第二评分数量。
可选地,所述利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型,包括:
S1:初始化所述粒子群优化算法,确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值;
S2:初始化种群中每个粒子的位置、速度;
S3:将各所述粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,并确定当前迭代中的个体极值和全局极值;
S4:根据当前迭代次数、所述最大迭代次数、所述惯性权重最大值、所述惯性权重最小值,计算所述当前迭代的惯性权重;
S5:根据所述个体极值、所述全局极值和所述当前迭代的惯性权重,对所述粒子的速度和位置进行更新,得到更新粒子;
S6:判断所述当前迭代次数是否大于所述最大迭代次数,若是,则执行步骤S7;否则,返回步骤S3;
S7:将所述更新粒子作为所述GRU神经网络模型的初始网络权值进行训练,得到所述预测模型。
可选地,所述当前迭代的惯性权重通过如下公式确定:
其中,ω用于表征所述当前迭代的惯性权重;ω max 用于表征所述惯性权重最大值;ω min 用于表征所述惯性权重最小值;K max用于表征所述最大迭代次数;K n用于表示所述当前迭代次数。
可选地,所述对所述粒子的速度和位置进行更新,得到更新粒子;
所述更新粒子的速度通过如下公式确定:
所述更新粒子的位置通过如下公式确定:
其中,用于表征第n+1次迭代时第i个粒子的速度;/>用于表征第n次迭代时第i个粒子的速度;ω用于表征第n次迭代时的惯性权重;/>用于表征第i个粒子在第n次迭代时的个体极值;/>用于表征所述种群在第n次迭代时的全局极值;/>用于表征第n次迭代时第i个粒子的位置;/>用于表征第n+1次迭代时第i个粒子的位置;c 1c 2均为所述学习因子;r 1r 2均为[0,1]内的随机数。
可选地,所述将各所述粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,包括:
将所述评分序列划分为训练数据和测试数据;
根据所述训练数据和各所述粒子的位置参数对所述GRU神经网络模型进行训练,得到第一预测模型;其中,所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用所述测试数据对所述第一预测模型进行测试,计算得到适应度值;
所述适应度值通过如下公式确定:
其中,MSE用于表征所述适应度值;m用于表征所述测试数据的个数;yj用于表征第j个测试数据的真实值;用于表征第j个测试数据的预测值。
可选地,所述根据所述评分序列对所述预测模型进行训练,得到目标预测模型,包括:
将所述评分序列划分为训练数据和测试数据;
根据所述训练数据对所述预测模型进行训练,得到第二预测模型;其中,所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用所述测试集对所述第二预测模型进行测试,获得评价参数;
在所述评价参数小于预设阈值时,确定所述第二预测模型为所述目标预测模型。
第二方面,本发明实施例还提供了一种工控网络安全态势预测装置,包括:
处理模块,用于对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
构建模块,用于初始化GRU神经网络模型,并利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型;
训练模块,用于根据所述评分序列对所述预测模型进行训练,得到目标预测模型;
预测模块,用于将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中,输出预测的工控网络态势。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现上述任一项所述的工控网络安全态势预测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述任一项所述的工控网络安全态势预测方法。
本发明实施例提供了一种工控网络安全态势预测方法及装置,该方法首先对工控网络流量数据进行评分,以得到按照时间顺序排列的评分序列,然后利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型,通过评分序列对该预测模型进行训练,得到目标预测模型,如此便能通过将当前工控网络流量数据对应的评分序列输入至目标预测模型中,输出预测的工控网络态势。如此,本发明提供的工控网络安全态势预测方法能准确预测未来时刻的工控网络态势的评分。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种工控网络安全态势预测方法的流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种工控网络安全态势预测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的众多态势预测的研究中,常见的态势预测方法可分为三类:不确定推理理论方法、机器学习及人工智能领域方法、神经网络方法。
不确定推理理论方法利用不完备、不确定数据,对未来态势值进行合理的预测和推断,主要包含灰色系统理论和D-S证据理论两种。但是,该方法对于数据量小、数据不完整、数据不准确的态势预测更具有便捷性,但对于变化波动大的数据则会有较大的误差。
机器学习及人工智能领域方法通过历史数据序列对未来时间态势值进行预测,主要包括支持向量机、隐马尔可夫模型、卡尔曼算法等。但是,这种方法对小样本、非线性的数据处理效果较好,但难以面对大规模的数据样本进行模型训练,且此类方法对缺失数据导致的结果较为敏感,易对后续结果造成较大影响。
神经网络方法也是使用历史数据序列对未来事件态势值进行预测,不同的是主要使用神经算法如RNN神经网络、RBF神经网络、GRU神经网络等。虽然神经网络方法区别于前两种方法具备良好的容错性和非线性数据处理能力,但以常见的GRU神经网络为例,其采用梯度下降法进行参数寻优,无法保证参数是全局最优解,因此准确性较差。综上所述,需要一种旨在解决GRU神经网络的最优解问题,提高GRU神经网络方法在实际生产场景中的准确性的态势预测方法。
以下为本发明的具体构思及实施方式,如图1所示,本发明实施例提供了一种工控网络安全态势预测方法,该方法包括:
步骤100,对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
步骤102,初始化GRU神经网络模型,并利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型;
步骤104,根据评分序列对预测模型进行训练,得到目标预测模型;
步骤106,将当前工控网络流量数据对应的评分序列输入至目标预测模型中,输出预测的工控网络态势。
本发明实施例中,首先对工控网络流量数据进行评分,以得到按照时间顺序排列的评分序列,然后利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型,通过评分序列对该预测模型进行训练,得到目标预测模型,如此便能通过将当前工控网络流量数据对应的评分序列输入至目标预测模型中,输出预测的工控网络态势。如此,本发明提供的工控网络安全态势预测方法能准确预测未来时刻的工控网络态势的评分。
需要说明的是,为了避免陷入局部极小化情况,提高预测分析效率,本发明实施例的工控网络安全态势预测方法是基于一定的数据量背景进行的,更适用于中小型企业网络安全的态势预测。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100,对获取到的工控网络流量数据进行评分,得到按照时间顺序排列评分序列,包括:
对工控网络流量数据进行等间隔划分,得到对应不同时间段的子数据;
针对每个子数据,均执行:获取该子数据所包括的事件和漏洞;根据事件的危险等级和数量,确定事件的第一权重和第一评分数量;并根据漏洞的危险等级和数量,确定漏洞的第二权重和第二评分数量;然后根据第一权重、第一评分数量、第二权重和第二评分数量,确定风险评分;
将不同时间段的子数据对应的风险评分按照时间顺序进行排列,得到评分序列。
需要说明的是,子数据对应的时间长度均相同,仅起始时刻不同;不同危险等级对应的权重不同,危险等级越高对应的权重值越高;风险评分越高,则当前时间段的工控网络安全存在的风险越高,用户可以根据对应的风险评分列表确定具体的风险程度。
在本发明实施例中,通过对不同时间段内工控网络流量数据的解析,得到的每个时间段内的事件等级及不同事件等级的事件数量、漏洞等级及不同漏洞等级的漏洞数量,然后再基于解析得到的这些参数确定风险评分,通过对不同时间段的风险评分进行顺序排列得到评分序列,使得工控网络流量数据的态势能够通过该评分序列进行可视化展示。
在一个优选的实施方式中,风险评分通过如下公式确定:
其中,f用于表征风险评分;N用于表征事件的危险等级总数;α n’用于表征第n’危险等级的事件对应的第一权重;S n’用于表征第n’危险等级的事件对应的第一评分数量;M用于表征漏洞的危险等级总数;β m’用于表征第m’危险等级的漏洞对应的第二权重;S m’用于表征第m’危险等级的漏洞对应的第二评分数量。
具体地,针对每一危险等级,在对应该危险等级的事件的实测数量小于第一预设阈值时,将该实测数量作为对应该危险等级的事件对应的第一评分数量;在对应该危险等级的事件的实测数量不小于第一预设阈值时,将该第一预设阈值作为对应该危险等级的事件对应的第一评分数量。同理地,针对每一危险等级,在对应该危险等级的漏洞的实测数量小于第二预设阈值时,将该实测数量作为对应该危险等级的漏洞对应的第二评分数量;在对应该危险等级的漏洞的实测数量不小于第二预设阈值时,将该第二预设阈值作为对应该危险等级的事件对应的第二评分数量。
在一个具体的实施方式中,例如,事件的危险等级由高至低依次包括:危急(权重α 1=10,实测数量为4,评分数量≤3)、高危(权重α 2=5,实测数量为5,评分数量≤6)、中危(权重α 3=2,实测数量为5,评分数量≤5)和低危(权重α 4=1,实测数量为8,评分数量≤10),N=4;漏洞的危险等级由高至低依次包括:危急(权重β 1=0.5,实测数量为5,评分数量≤7)、高危(权重β 2=0.4,实测数量为12,评分数量≤10)、中危(权重β 3=0.2,实测数量为20,评分数量≤10)和低危(权重β 4=0.1,实测数量为5,评分数量≤5),M=4,则f=(10×3+5×5+2×5+1×8)+(0.5×5+0.4×10+0.2×10+0.1×5)=82。
在本发明中,为事件评分,/>为漏洞评分,用户可以根据实际应用需求或根据对不同数据的关注度设置权重和评分数量,然后通过将事件评分和漏洞评分进行求和,得到风险评分,实现对风险评分的个性化设置,实现对工控网络流量数据的态势监控。
在步骤102中,初始化GRU神经网络模型,利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型,包括:
S1:初始化粒子群优化算法,确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值;
S2:初始化种群中每个粒子的位置、速度;
S3:将各粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,并确定当前迭代中的个体极值和全局极值;
S4:根据当前迭代次数、最大迭代次数、惯性权重最大值、惯性权重最小值,计算当前迭代的惯性权重;
S5:根据个体极值、全局极值和当前迭代的惯性权重,对粒子的速度和位置进行更新,得到更新粒子;
S6:判断当前迭代次数是否大于最大迭代次数,若是,则执行步骤S7;否则,返回步骤S3;
S7:将更新粒子作为GRU神经网络模型的初始网络权值进行训练,得到预测模型。
在本发明中,通过粒子群优化算法对GRU神经网络模型进行优化,提高了目标预测模型的预测精度。
在一个优选的实施方式中,当前迭代的惯性权重通过如下公式确定:
其中,ω用于表征当前迭代的惯性权重,即第n次迭代的惯性权重;ω max 用于表征惯性权重最大值;ω min 用于表征惯性权重最小值;K max用于表征最大迭代次数;K n用于表示当前迭代次数。
在本发明实施例中,使用对数函数优化粒子群优化算法的惯性权重计算公式,当迭代次数较小时,惯性权重接近权重最大值,此时粒子速度快,能完成对最优解范围的划分;随着迭代次数的不断增大,惯性权重在对数函数作用下,递减速度大幅增快,粒子速度慢,能在最优解范围内完成精细搜索,从而优化了粒子群优化算法的收敛性,解决了GRU神经网络的最优解问题,提高GRU神经网络方法在实际生产场景中的准确性。
在一个优选的实施方式中,对粒子的速度和位置进行更新,得到更新粒子;
更新粒子的速度通过如下公式确定:
更新粒子的位置通过如下公式确定:
其中,用于表征第n+1次迭代时第i个粒子的速度;/>用于表征第n次迭代时第i个粒子的速度;ω用于表征第n次迭代时的惯性权重;/>用于表征第i个粒子在第n次迭代时的个体极值;/>用于表征种群在第n次迭代时的全局极值;/>用于表征第n次迭代时第i个粒子的位置;/>用于表征第n+1次迭代时第i个粒子的位置;c 1c 2均为学习因子;r 1r 2均为[0,1]内的随机数。
在一个优选的实施方式中,针对步骤S3,包括:
将评分序列划分为训练数据和测试数据;
根据训练数据和各粒子的位置参数对GRU神经网络模型进行训练,得到第一预测模型;其中,训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用测试数据对第一预测模型进行测试,计算得到适应度值;
适应度值通过如下公式确定:
其中,MSE用于表征所述适应度值;m用于表征测试数据的个数;yj用于表征第j个测试数据的真实值;用于表征第j个测试数据的预测值。
需要说明的是,在历史时间之后的工控网络态势的预测值即为历史时间之后的时间段对应的风险评分。
在步骤106中,根据评分序列对预测模型进行训练,得到目标预测模型,包括:
将评分序列划分为训练数据和测试数据;
根据训练数据对预测模型进行训练,得到第二预测模型;其中,训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用测试集对第二预测模型进行测试,获得评价参数;
在评价参数小于预设阈值时,确定第二预测模型为目标预测模型。
需要说明的是,评价参数的计算公式也可以与适应度值的计算公式相同。在评价参数不小于预设阈值时,再次对GRU神经网络模型的网络权重进行更新,此时该该更新可以采用返回步骤102利用粒子群优化算法优化所述GRU神经网络模型的网络权值,也可以采用现有参数优化方法对网络权重进行更新。
在步骤108中,将当前工控网络流量数据对应的评分序列输入至目标预测模型中,便能输出预测的下一时间段对应的风险评分,以根据该风险评分确定下一时间段的工控网络态势。
如图2、图3所示,本发明实施例提供了一种工控网络安全态势预测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种工控网络安全态势预测装置所在计算设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
本实施例提供的一种工控网络安全态势预测装置,包括:处理模块300、构建模块302、训练模块304和预测模块306;
处理模块300,用于对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
构建模块302,用于初始化GRU神经网络模型,并利用粒子群优化算法优化GRU神经网络模型的网络权值,构建预测模型;
训练模块304,用于根据评分序列对预测模型进行训练,得到目标预测模型;
预测模块306,用于将当前工控网络流量数据对应的评分序列输入至目标预测模型中,输出预测的工控网络态势。
在一些具体的实施方式中,处理模块300可用于执行上述步骤100,构建模块302可用于执行上述步骤102,训练模块304可用于执行上述步骤104,预测模块306可用于执行上述步骤106。
在一些具体的实施方式中,处理模块300还用于执行如下操作:
对工控网络流量数据进行等间隔划分,得到对应不同时间段的子数据;
针对每个子数据,均执行:获取该子数据所包括的事件和漏洞;根据事件的危险等级和数量,确定事件的第一权重和第一评分数量;并根据漏洞的危险等级和数量,确定漏洞的第二权重和第二评分数量;然后根据第一权重、第一评分数量、第二权重和第二评分数量,确定风险评分;风险评分通过如下公式确定:
其中,f用于表征风险评分;N用于表征事件的危险等级总数;α n’用于表征第n’危险等级的事件对应的第一权重;S n’用于表征第n’危险等级的事件对应的第一评分数量;M用于表征漏洞的危险等级总数;β m’用于表征第m’危险等级的漏洞对应的第二权重;S m’用于表征第m’危险等级的漏洞对应的第二评分数量;
将不同时间段的子数据对应的风险评分按照时间顺序进行排列,得到评分序列。
在一些具体的实施方式中,构建模块302还用于执行如下操作:
S1:初始化粒子群优化算法,确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值;
S2:初始化种群中每个粒子的位置、速度;
S3:将各粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,并确定当前迭代中的个体极值和全局极值;
S4:根据当前迭代次数、最大迭代次数、惯性权重最大值、惯性权重最小值,计算当前迭代的惯性权重;当前迭代的惯性权重通过如下公式确定:
其中,ω用于表征当前迭代的惯性权重;ω max 用于表征惯性权重最大值;ω min 用于表征惯性权重最小值;K max用于表征最大迭代次数;K n用于表示当前迭代次数;
S5:根据个体极值、全局极值和当前迭代的惯性权重,对粒子的速度和位置进行更新,得到更新粒子;更新粒子的速度和位置分别通过如下公式确定:
其中,用于表征第n+1次迭代时第i个粒子的速度;/>用于表征第n次迭代时第i个粒子的速度;ω用于表征第n次迭代时的惯性权重;/>用于表征第i个粒子在第n次迭代时的个体极值;/>用于表征种群在第n次迭代时的全局极值;/>用于表征第n次迭代时第i个粒子的位置;/>用于表征第n+1次迭代时第i个粒子的位置;c 1c 2均为学习因子;r 1r 2均为[0,1]内的随机数;
S6:判断当前迭代次数是否大于最大迭代次数,若是,则执行步骤S7;否则,返回步骤S3;
S7:将更新粒子作为GRU神经网络模型的初始网络权值进行训练,得到预测模型。
在一些具体的实施方式中,构建模块302还用于执行如下操作:
将评分序列划分为训练数据和测试数据;
根据训练数据和各粒子的位置参数对GRU神经网络模型进行训练,得到第一预测模型;其中,训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用测试数据对第一预测模型进行测试,计算得到适应度值;
适应度值通过如下公式确定:
其中,MSE用于表征所述适应度值;m用于表征测试数据的个数;yj用于表征第j个测试数据的真实值;用于表征第j个测试数据的预测值。
在一些具体的实施方式中,训练模块304还用于执行如下操作:
将评分序列划分为训练数据和测试数据;
根据训练数据对预测模型进行训练,得到第二预测模型;其中,训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用测试集对第二预测模型进行测试,获得评价参数;
在评价参数小于预设阈值时,确定第二预测模型为目标预测模型。
可以理解的是,本发明实施例示意的结构并不构成对一种工控网络安全态势预测装置的具体限定。在本发明的另一些实施例中,一种工控网络安全态势预测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种工控网络安全态势预测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种工控网络安全态势预测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种工控网络安全态势预测方法,其特征在于,包括:
对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
初始化GRU神经网络模型,并利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型;
根据所述评分序列对所述预测模型进行训练,得到目标预测模型;
将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中,输出预测的工控网络态势;
所述利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型,包括:
S1:初始化所述粒子群优化算法,确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值;
S2:初始化种群中每个粒子的位置、速度;
S3:将各所述粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,并确定当前迭代中的个体极值和全局极值;
S4:根据当前迭代次数、所述最大迭代次数、所述惯性权重最大值、所述惯性权重最小值,计算所述当前迭代的惯性权重;
S5:根据所述个体极值、所述全局极值和所述当前迭代的惯性权重,对所述粒子的速度和位置进行更新,得到更新粒子;
S6:判断所述当前迭代次数是否大于所述最大迭代次数,若是,则执行步骤S7;否则,返回步骤S3;
S7:将所述更新粒子作为所述GRU神经网络模型的初始网络权值进行训练,得到所述预测模型;
所述当前迭代的惯性权重通过如下公式确定:
其中,ω用于表征所述当前迭代的惯性权重;ω max 用于表征所述惯性权重最大值;ω min 用于表征所述惯性权重最小值;K max用于表征所述最大迭代次数;K n用于表示所述当前迭代次数。
2.根据权利要求1中所述的方法,其特征在于,所述对获取到的工控网络流量数据进行评分,得到按照时间顺序排列评分序列,包括:
对所述工控网络流量数据进行等间隔划分,得到对应不同时间段的子数据;
针对每个所述子数据,均执行:获取该子数据所包括的事件和漏洞;根据所述事件的危险等级和数量,确定所述事件的第一权重和第一评分数量;并根据所述漏洞的危险等级和数量,确定所述漏洞的第二权重和第二评分数量;然后根据所述第一权重、所述第一评分数量、所述第二权重和所述第二评分数量,确定风险评分;
将不同时间段的子数据对应的风险评分按照时间顺序进行排列,得到所述评分序列。
3.根据权利要求2所述的方法,其特征在于,所述风险评分通过如下公式确定:
其中,f用于表征所述风险评分;N用于表征所述事件的危险等级总数;α n’用于表征第n’危险等级的事件对应的所述第一权重;S n’用于表征第n’危险等级的事件对应的所述第一评分数量;M用于表征所述漏洞的危险等级总数;β m’用于表征第m’危险等级的漏洞对应的所述第二权重;S m’用于表征第m’危险等级的漏洞对应的所述第二评分数量。
4.根据权利要求1所述的方法,其特征在于,
所述对所述粒子的速度和位置进行更新,得到更新粒子;
所述更新粒子的速度通过如下公式确定:
所述更新粒子的位置通过如下公式确定:
其中,用于表征第n+1次迭代时第i个粒子的速度;/>用于表征第n次迭代时第i个粒子的速度;ω用于表征第n次迭代时的惯性权重;/>用于表征第i个粒子在第n次迭代时的个体极值;/>用于表征所述种群在第n次迭代时的全局极值;/>用于表征第n次迭代时第i个粒子的位置;/>用于表征第n+1次迭代时第i个粒子的位置;c 1c 2均为所述学习因子;r 1r 2均为[0,1]内的随机数。
5.根据权利要求1所述的方法,其特征在于,所述将各所述粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,包括:
将所述评分序列划分为训练数据和测试数据;
根据所述训练数据和各所述粒子的位置参数对所述GRU神经网络模型进行训练,得到第一预测模型;其中,所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用所述测试数据对所述第一预测模型进行测试,计算得到适应度值;
所述适应度值通过如下公式确定:
其中,MSE用于表征所述适应度值;m用于表征所述测试数据的个数;yj用于表征第j个测试数据的真实值;用于表征第j个测试数据的预测值。
6.根据权利要求1至5中任一所述的方法,其特征在于,所述根据所述评分序列对所述预测模型进行训练,得到目标预测模型,包括:
将所述评分序列划分为训练数据和测试数据;
根据所述训练数据对所述预测模型进行训练,得到第二预测模型;其中,所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值;
利用所述测试数据对所述第二预测模型进行测试,获得评价参数;
在所述评价参数小于预设阈值时,确定所述第二预测模型为所述目标预测模型。
7.一种工控网络安全态势预测装置,其特征在于,包括:
处理模块,用于对获取到的工控网络流量数据进行评分,得到按照时间顺序排列的评分序列;
构建模块,用于初始化GRU神经网络模型,并利用粒子群优化算法优化所述GRU神经网络模型的网络权值,构建预测模型;
训练模块,用于根据所述评分序列对所述预测模型进行训练,得到目标预测模型;
预测模块,用于将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中,输出预测的工控网络态势;
所述构建模块还用于执行如下操作:
S1:初始化所述粒子群优化算法,确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值;
S2:初始化种群中每个粒子的位置、速度;
S3:将各所述粒子的位置参数作为神经网络节点训练GRU神经网络模型,计算适应度值,并确定当前迭代中的个体极值和全局极值;
S4:根据当前迭代次数、所述最大迭代次数、所述惯性权重最大值、所述惯性权重最小值,计算所述当前迭代的惯性权重;
S5:根据所述个体极值、所述全局极值和所述当前迭代的惯性权重,对所述粒子的速度和位置进行更新,得到更新粒子;
S6:判断所述当前迭代次数是否大于所述最大迭代次数,若是,则执行步骤S7;否则,返回步骤S3;
S7:将所述更新粒子作为所述GRU神经网络模型的初始网络权值进行训练,得到所述预测模型;
所述当前迭代的惯性权重通过如下公式确定:
其中,ω用于表征所述当前迭代的惯性权重;ω max 用于表征所述惯性权重最大值;ω min 用于表征所述惯性权重最小值;K max用于表征所述最大迭代次数;K n用于表示所述当前迭代次数。
8.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-6中任一项所述的方法。
CN202311537061.7A 2023-11-17 2023-11-17 一种工控网络安全态势预测方法及装置 Active CN117254981B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311537061.7A CN117254981B (zh) 2023-11-17 2023-11-17 一种工控网络安全态势预测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311537061.7A CN117254981B (zh) 2023-11-17 2023-11-17 一种工控网络安全态势预测方法及装置

Publications (2)

Publication Number Publication Date
CN117254981A CN117254981A (zh) 2023-12-19
CN117254981B true CN117254981B (zh) 2024-02-02

Family

ID=89133592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311537061.7A Active CN117254981B (zh) 2023-11-17 2023-11-17 一种工控网络安全态势预测方法及装置

Country Status (1)

Country Link
CN (1) CN117254981B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117857202B (zh) * 2024-01-19 2024-06-18 湖北旭志信息技术有限公司 一种信息系统的多维度安全评估方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878316A (zh) * 2017-02-28 2017-06-20 新华三技术有限公司 一种风险量化方法及装置
CN108076060A (zh) * 2017-12-18 2018-05-25 西安邮电大学 基于动态k-means聚类的神经网络态势预测方法
US10410158B1 (en) * 2016-07-29 2019-09-10 Symantec Corporation Systems and methods for evaluating cybersecurity risk
CN116319025A (zh) * 2023-03-22 2023-06-23 云南电网有限责任公司信息中心 一种基于机器学习的零信任网络信任评估方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10410158B1 (en) * 2016-07-29 2019-09-10 Symantec Corporation Systems and methods for evaluating cybersecurity risk
CN106878316A (zh) * 2017-02-28 2017-06-20 新华三技术有限公司 一种风险量化方法及装置
CN108076060A (zh) * 2017-12-18 2018-05-25 西安邮电大学 基于动态k-means聚类的神经网络态势预测方法
CN116319025A (zh) * 2023-03-22 2023-06-23 云南电网有限责任公司信息中心 一种基于机器学习的零信任网络信任评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
融合TCN 和GRU 的网络安全态势预测方法;曹波 等;小型微型计算机系统;第1-3节 *

Also Published As

Publication number Publication date
CN117254981A (zh) 2023-12-19

Similar Documents

Publication Publication Date Title
Bontemps et al. Collective anomaly detection based on long short-term memory recurrent neural networks
CN117254981B (zh) 一种工控网络安全态势预测方法及装置
CN106022517A (zh) 一种基于核极限学习机的风险预测的方法和装置
Nayak et al. Hybrid Bayesian optimization hypertuned catboost approach for malicious access and anomaly detection in IoT nomalyframework
CN117455497B (zh) 一种交易风险检测方法及装置
WO2020075462A1 (ja) 学習器推定装置、学習器推定方法、リスク評価装置、リスク評価方法、プログラム
CN117896111A (zh) 一种基于深度迁移强化学习的apt攻击预测方法
Tai et al. Machine learning methods for anomaly detection in industrial control systems
Karakose Reinforcement learning based artificial immune classifier
CN116881916A (zh) 基于异质图神经网络的恶意用户检测方法及装置
Sharma et al. An efficient cyber‐physical system using hybridized enhanced support‐vector machine with Ada‐Boost classification algorithm
Liu et al. An Accelerated Safety Probability Estimation Method for Control Policies of Autonomous Vehicles in Open Environments
Ghannami et al. Diversity metrics for direct-coded variable-length chromosome shortest path problem evolutionary algorithms
Ghatak et al. Introduction to machine learning
Idrissi et al. Ckmsa: an anomaly detection process based on k-means and simulated annealing algorithms
Stringer et al. Causality-aware machine learning for path correction
JP7347547B2 (ja) イベント分析支援装置、イベント分析支援方法、及びプログラム
CN117040926B (zh) 应用知识图谱的工控网络安全特征分析方法和系统
Wang et al. A Security Situation Prediction Model for Industrial Control Network Based on EP-CMA-ES
Demertzis et al. An autonomous self-learning and self-adversarial training neural architecture for intelligent and resilient cyber security systems
CN116360388B (zh) 基于图神经网络的性能-故障关系图谱的推理方法和装置
CN115622805B (zh) 基于人工智能的安全支付防护方法及ai系统
CN118313413B (zh) 一种基于异构图神经网络的物联网链路预测方法及系统
CN116405323B (zh) 安全态势感知攻击预测方法、装置、设备、介质及产品
Yu et al. CAGE: A Curiosity-driven Graph-based Explore-Exploit Algorithm for Solving Deterministic Environment MDPs with Limited Episode Problem

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant