CN117729047B

CN117729047B - 一种用于工控网络流量审计的智能学习引擎方法及系统

Info

Publication number: CN117729047B
Application number: CN202311844948.0A
Authority: CN
Inventors: 胡仁豪; 靳涛; 张赛平; 陈云芳
Original assignee: Beijing Wangteng Technology Co ltd
Current assignee: Beijing Wangteng Technology Co ltd
Priority date: 2023-12-29
Filing date: 2023-12-29
Publication date: 2024-06-21
Anticipated expiration: 2043-12-29
Also published as: CN117729047A

Abstract

本发明提供一种用于工控网络流量审计的智能学习引擎方法及系统。该发明通过对工控网络流量进行全面审计，自动收集工控网络的流量数据行为并提取行为特征，并通过智能学习引擎进行进一步的智能分析。通过学习模型建立的算法，综合监督式学习和非监督式学习，实现自动化特征规则的提取和生成。同时，智能学习引擎还能够根据网络拓扑和网络协议的实际情况，自动组合出适用的新的特征规则，并对特征规则以外的异常数据和操作行为进行告警。

Description

一种用于工控网络流量审计的智能学习引擎方法及系统

技术领域

本发明涉及工控网络安全技术领域，特别涉及一种用于工控网络流量审计的智能学习引擎方法及系统。

背景技术

工控网络安全是当前亟待解决的重要问题之一。工控网络流量审计是工控网络安全的重要组成部分，通过对工控网络的流量数据进行分析和学习，可以发现潜在的异常行为和安全威胁。

然而，现有的工控网络流量审计系统存在一些问题。首先，手动提取特征规则需要大量的人力和时间成本，且容易出现遗漏和错误。其次，现有系统无法自动学习和优化规则，导致规则的准确性和适用性有限。此外，现有系统的效率较低，无法满足大规模工控网络的需求。

发明内容

鉴于上述问题，本发明提出一种用于工控网络流量审计的智能学习引擎方法及系统。该发明通过对工控网络流量进行全面审计，自动收集工控网络的流量数据行为并提取行为特征，并通过智能学习引擎进行进一步的智能分析。通过学习模型建立的算法，综合监督式学习和非监督式学习，实现自动化特征规则的提取和生成。同时，智能学习引擎还能够根据网络拓扑和网络协议的实际情况，自动组合出适用的新的特征规则，并对特征规则以外的异常数据和操作行为进行告警。

作为本发明的第一方面，本发明公开了一种用于工控网络流量审计的智能学习引擎方法，其特征在于，包括：

步骤S1：收集工控网络流量数据；

步骤S2：基于收集的工控网络流量数据，执行用户节点行为特征的提取和表征；

步骤S3：建立基于监督式学习模型和非监督式学习模型的智能学习引擎；

步骤S4：通过智能学习引擎进行用户行为特征的分类，并自动进行规则生成；

步骤S5：基于自动生成的特征规则，执行异常数据和操作行为的告警。

优选的是，步骤S2中，从工控网络流量数据提取用户节点的源/目的IP地址、端口号、协议类型、数据包大小，作为用户行为特征。

优选的是，步骤S2中，将流量数据转化为用户行为特征向量，用户行为特征向量x_n＝<x_n1、x_n2...x_ni...x_nm>表示第n个用户节点的用户行为特征向量，向量各组成元素x_n1、x_n2...x_ni...x_nm表示用户行为特征。

优选的是，对用户行为特征进行分类标记，以标记的行为类型，表明其属于正常用户行为或异常用户行为；以(k_n，x_n)的数据对，表示用户行为特征向量x_n及其分类标记k_n，从而，构建用户行为数据集{(k₁，x₁)，(k₂，x₂)，...(k_n，x_n)，...(k_N，x_N)}，N为该用户行为数据集的容量。

优选的是，步骤S3中，监督式学习模型表示为：将用户行为数据集{(k₁，x₁)，(k₂，x₂)，...(k_n，x_n)，...(k_N，x_N)}随机划分为B个子集合，表示为将每个子集合所含的用户行为特征向量联合为矩阵x^b，作为该监督式学习模型的输入层输入值，该监督式学习模型的输出层的输出值为子集合的包含的分类标记k₁至k_N组合的输出队列k^b，通过训练确定该监督学习网络的神经网络参数/>

优选的是，步骤S3中，非监督式学习模型表示为：对于只包含用户行为特征向量的数据集{x₁,x₂,…,x_M}，将其随机划分为B个子集合，表示为/>其中x^b表示数据集中用户行为特征向量联合的矩阵；q^b表示基于联合的矩阵x^b输入非监督式学习模型所得的非监督用户行为特征量；进而，计算非监督用户行为特征量q^b和监督学习网络的输出层的输出队列k^b二者之间的logits值：/>其中是非监督用户行为特征量q^b的第i维，/>是输出队列k^b的第i个队列值，/>表示向量内积运算；根据该logits值计算本子集合的InfoNCE损失函数：/>其中τ为一个预置常数；对于总的B个子集合，InfoNCE损失函数：/>由此训练非监督式学习模型的神经网络参数/>获得最优化的神经网络参数/>

优选的是，步骤S4中，根据该非监督式学习模型基于用户行为特征向量x＝<x₁、x₂、...x_i...x_m>，输出非监督用户行为特征量q，再将以上用户行为特征向量x输入监督式学习模型的输入层，监督式学习模型的输出层输出队列k，继续求l_pos＝(q₁·k₁,q₂·k₂,...q_i·k_i,...)^T,从而确定输出队列k中内积值最大的作为用户行为特征的分类。

优选的是，步骤S4中，所述智能学习引擎根据用户行为特征分类，使用关联规则挖掘算法，挖掘用户节点之间的关联规则，根据关联规则的挖掘结果，生成新的特征规则，所述特征规则根据已有用户节点的行为审计监测规则进行扩展或修改，以适应相同用户行为特征分类的用户节点。

优选的是，步骤S4中，所述智能学习引擎设计了特征规则组合策略，并执行特征规则的评估和优化。

作为本发明的第二方面，本发明提供了一种用于工控网络流量审计的智能学习引擎系统，其特征在于，包括：

流量数据收集模块，用于收集工控网络流量数据；

用户特征提取模块，用于基于收集的工控网络流量数据，执行用户节点行为特征的提取和表征；

智能学习引擎，包括监督式学习模型和非监督式学习模型，智能分析用户节点的行为特征类型，实现自动化特征规则的提取和生成；

告警模块，基于自动生成的特征规则，执行异常数据和操作行为的告警。

通过以上技术方案，本发明提供了一种高效、准确的工控网络流量审计解决方案，有助于提高工控网络的安全性，保障关键基础设施的稳定运行。具体的有益效果包括：(1)提高工控网络安全性：通过对工控网络流量的实时审计和分析，可以有效识别潜在的安全威胁和漏洞，从而提高整个工控网络的安全性。(2)降低人工干预成本：通过自动化地收集、分析和学习系统正常运行状态下的流量数据行为，减少了人工干预的需求，降低了人力成本。(3)提高特征规则提取的准确性：通过学习模型建立的算法，综合了监督式学习和非监督式学习，能够更准确地提取用户节点的行为特征，从而提高特征规则提取的准确性。(4)实现自动化特征规则的生成：通过智能学习引擎，可以自动生成容易理解的操作规则，实现了特征规则的自动化提取和生成。(5)提高异常检测和报警效率：智能学习引擎能够根据网络拓扑和网络协议的实际情况，自动组合出适用的新的特征规则，并对特征规则以外的异常数据和操作行为进行告警，从而提高了异常检测和报警的效率。(6)支持灵活的策略制定部署：智能学习引擎可以实现“一键式”的特征规则学习和策略制定部署，使得策略制定更加灵活便捷，便于在不同工控网络流量审计系统中快速部署最优化的特征规则。

附图说明

以下参考附图描述的实施例是示例性的，旨在用于解释和说明本发明，而不能理解为对本发明的保护范围的限制。

图1是本发明公开的一种用于工控网络流量审计的智能学习引擎方法的流程图；

图2是本发明公开的一种用于工控网络流量审计的智能学习引擎系统的结构图。

具体实施方式

为使本发明实施的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行更加详细的描述。

需要说明的是：在附图中，自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施例是本发明一部分实施例，而不是全部的实施例，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提出一种用于工控网络流量审计的智能学习引擎方法，参见图1，其具体流程包括：

步骤S1：收集工控网络流量数据。

为了收集工控网络的流量数据，需要部署流量采集设备，如网络流量监测器或数据包捕获器。这些设备可以在网络中截获表示用户节点行为的数据包，并将其保存为流量数据。

在部署设备之前，我们需要设置设备的参数，包括采集时间间隔、采集范围等，以确保采集到全面和准确的流量数据。

例如，可以在一个工控网络中部署了一个网络流量监测器，并设置了每分钟采集一次流量数据，采集范围包括所有与工控网络相连的设备。对这些流量数据需要进行预处理，包括数据清洗、格式转换等，以便后续分析和处理。

步骤S2：基于收集的工控网络流量数据，执行用户节点行为特征的提取和表征。

通过对收集到的工控网络流量数据进行深度分析，提取出反映用户节点行为的关键特征，作为用户行为特征。这些用户行为特征可能包括源/目的IP地址、端口号、协议类型、数据包大小等。

通过特征提取，将流量数据转化为用户行为特征向量，用于后续的智能分析和规则生成。以向量x_n＝<x_n1、x_n2...x_ni...x_nm>表示第n个用户节点的用户行为特征向量，向量各组成元素x_n1、x_n2...x_ni...x_nm表示上述源/目的IP地址、端口号、协议类型、数据包大小等用户行为特征。

进而，对用户行为特征进行分类标记，以标记的行为类型，表明其属于正常用户行为或异常用户行为。以(k_n，x_n)的数据对，表示用户行为特征向量x_n及其分类标记k_n，从而，构建用户行为数据集{(k₁，x₁)，(k₂，x₂)，...(k_n，x_n)，...(k_N，x_N)}，N为该用户行为数据集的容量。

同时，从流量数据提取不包含所述分类标记的用户行为特征向量，构建用户行为数据集{x₁,x₂,…,x_M}。

步骤S3：建立基于监督式学习模型和非监督式学习模型的智能学习引擎。

所述智能学习引擎模型综合了监督式学习(Supervised learning)技术和非监督式学习(Unsupervised Learning)技术优点，能够自动收集、分析和学习正常运行状态下的用户行为的流量数据，在此基础上智能分析用户节点的行为特征类型，并自动生成容易理解的操作规则和白名单，实现自动化特征规则的提取和生成。

其中，监督式学习基于上述用户行为数据集中的用户行为特征向量和分类标记进行训练，能够识别出流量数据中已明确类别的显性用户行为。该监督式学习模型表示为：将用户行为数据集{(k₁，x₁)，(k₂，x₂)，...(k_n，x_n)，...(k_N，x_N)}随机划分为B个子集合，表示为/>将每个子集合所含的用户行为特征向量联合为矩阵x^b，作为该监督式学习模型的输入层输入值，该监督式学习模型的输出层的输出值为子集合的包含的分类标记k₁至k_N组合的输出队列k^b，通过训练确定该监督学习网络的神经网络参数/>

所述智能学习引擎模型还使用非监督式学习算法，对从流量数据提取且不包含所述分类标记的用户行为特征向量，进行聚类和异常检测，以发现潜在的异常行为。非监督式学习模型表示为：对于只包含用户行为特征向量的数据集{x₁,x₂,…,x_M}，将其随机划分为B个子集合，表示为/>其中x^b表示数据集中用户行为特征向量联合的矩阵；q^b表示基于联合的矩阵x^b输入非监督式学习模型所得的非监督用户行为特征量；进而，计算非监督用户行为特征量q^b和监督学习网络的输出层的输出队列k^b二者之间的logits值：/>其中/>是非监督用户行为特征量q^b的第i维，/>是输出队列k^b的第i个队列值，/>表示向量内积运算；根据该logits值计算本子集合的InfoNCE损失函数：/>其中τ为一个预置常数；对于总的B个子集合，InfoNCE损失函数：/>由此训练非监督式学习模型的神经网络参数/>获得最优化的神经网络参数/>

步骤S4：通过智能学习引擎进行用户行为特征的分类，并自动进行规则生成。

为了实现智能分析和规则生成，使用步骤S3构建和训练的智能学习引擎，对从实际的流量数据中提取的用户行为特征向量进行分析，以实现用户节点的行为特征分类。具体来说，根据步骤S3中最终获得的该非监督式学习模型基于用户行为特征向量x＝<x₁、x₂、...x_i...x_m>，输出非监督用户行为特征量q，再将以上用户行为特征向量x输入监督式学习模型的输入层，监督式学习模型的输出层输出队列k，继续求l_pos＝(q₁·k₁,q₂·k₂,...q_i·k_i,...)^T,从而确定输出队列k中内积值最大的作为用户行为特征的分类。

基于学习到的用户行为特征分类，可以自动生成容易理解的操作规则，用于特征规则的提取和生成。智能学习引擎根据用户行为特征分类，使用关联规则挖掘算法，如Apriori算法，来挖掘用户节点A和用户节点B之间的关联规则。关联规则可以描述用户节点A和用户节点B的特征之间的关系。例如，我们可以发现某些特定的设备类型在用户节点A中与特定的用户行为特征模式相关联，然后将这些关联关系应用于B。根据关联规则的挖掘结果，生成新的特征规则。这些规则可以根据已有A的行为审计监测规则进行扩展或修改，以适应B的特征。然后，需要对生成的规则进行验证和调整，以确保其准确性和适用性。

并且，智能学习引擎设计了特征规则组合策略。策略包括使用AND逻辑运算符组合同一子网内的特征规则，使用OR逻辑运算符组合不同子网之间的特征规则。智能学习引擎能够执行特征规则的评估和优化，对自动生成的特征规则进行了评估和优化；通过使用交叉验证方法，评估了规则的准确性和适用性。根据评估结果，对规则进行了优化，调整了规则的权重和增加了一些缺失的特征。对于特征规则中存在的不完整性，采用了补充规则和默认规则的方式进行处理。补充规则根据已有规则和行为数据进行推断和生成，以填补规则的缺失部分。默认规则作为特殊情况下的默认行为规则，以覆盖无法被其他规则描述的行为。

从而，智能学习引擎可以根据实际需求，自动生成易于理解的特征规则和策略，并将其快速应用于不同的工控网络流量审计系统中。这样，用户无需具备专业知识，也能轻松实现特征规则的学习和策略制定部署。

基于S4自动生成的特征规则，我们可以对特征规则以外的异常数据和操作行为进行告警。我们设计了告警策略，包括告警级别、告警方式等，以及相应的应对措施。例如，基于特征规则，能够对特征规则以外的异常数据和操作行为进行告警。可以设计了告警策略，包括高级别告警方式(如邮件通知、短信通知)和低级别告警方式(如日志记录、界面提示)，以及相应的应对措施(如封锁源IP地址、断开连接)。

参见图2，本发明提供了一种用于工控网络流量审计的智能学习引擎系统，包括：

流量数据收集模块，用于收集工控网络流量数据；

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种用于工控网络流量审计的智能学习引擎方法，其特征在于，包括，

步骤S1：收集工控网络流量数据；

步骤S5：基于自动生成的特征规则，执行异常数据和操作行为的告警；

步骤S3中，监督式学习模型表示为：；将用户行为数据集随机划分为/>个子集合，表示为/>；将每个子集合所含的用户行为特征向量联合为矩阵/>，作为该监督式学习模型的输入层输入值，该监督式学习模型的输出层的输出值为子集合的包含的分类标记/>至/>组合的输出队列/>，通过训练确定该监督式学习模型的神经网络参数/>；

非监督式学习模型表示为：；对于只包含用户行为特征向量的数据集，将其随机划分为/>个子集合，表示为/>，其中/>表示数据集中用户行为特征向量联合的矩阵；/>表示基于联合的矩阵/>输入非监督式学习模型所得的非监督用户行为特征量；进而，计算非监督用户行为特征量/>和监督式学习网络的输出层的输出队列/>二者之间的logits值：/>，其中/>是非监督用户行为特征量/>的第/>维，/>是输出队列/>的第/>个队列值，/>表示向量内积运算；根据该logits值计算本子集合的InfoNCE损失函数：/>，其中为一个预置常数；对于总的/>个子集合，InfoNCE损失函数：/>，由此训练非监督式学习模型的神经网络参数/>，获得最优化的神经网络参数/>。

2.权利要求1所述的智能学习引擎方法，其特征在于，步骤S2中，从工控网络流量数据提取用户节点的源/目的IP地址、端口号、协议类型、数据包大小，作为用户行为特征。

3.权利要求2所述的智能学习引擎方法，其特征在于，步骤S2中，将流量数据转化为用户行为特征向量，用户行为特征向量

表示第n个用户节点的用户行为特征向量，向量各组成元素/>表示用户行为特征。

4.权利要求3所述的智能学习引擎方法，其特征在于，对用户行为特征进行分类标记，以标记的行为类型，表明其属于正常用户行为或异常用户行为；以的数据对，表示用户行为特征向量/>及其分类标记/>，从而，构建用户行为数据集，/>为该用户行为数据集的容量。

5.权利要求4所述的智能学习引擎方法，其特征在于，步骤S4中，根据该非监督式学习模型，基于用户行为特征向量/>，输出非监督用户行为特征量/>，再将以上用户行为特征向量/>输入监督式学习模型的输入层，监督式学习模型的输出层输出队列/>，继续求/>,从而确定输出队列/>中内积值最大的作为用户行为特征的分类。

6.权利要求5所述的智能学习引擎方法，其特征在于，步骤S4中，所述智能学习引擎根据用户行为特征分类，使用关联规则挖掘算法，挖掘用户节点之间的关联规则，根据关联规则的挖掘结果，生成新的特征规则，所述特征规则根据已有用户节点的行为审计监测规则进行扩展或修改，以适应相同用户行为特征分类的用户节点。

7.权利要求6所述的智能学习引擎方法，其特征在于，步骤S4中，所述智能学习引擎设计了特征规则组合策略，并执行特征规则的评估和优化。

8.一种用于工控网络流量审计的智能学习引擎系统，可实现如权利要求1~7任一项所述的一种用于工控网络流量审计的智能学习引擎方法，其特征在于，包括：

流量数据收集模块，用于收集工控网络流量数据；