一种工控网络异常行为检测方法及系统技术方案

本发明专利技术涉及一种工控网络异常行为检测方法及系统，该检测方法包括：构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图；建立表示节点自身属性及与其相关联的邻居的属性的属性向量；将工控网络异常行为检测属性向量表示作为传播图中节点的初始状态，对工控网络异常行为检测节点的属性向量进行迭代更新，得到更新后的节点的属性向量；根据更新后的节点的属性向量判断该节点是否异常。将图神经网络应用于工控网络异常检测，异常检测考虑工控网络拓扑结构的信息即节点之间的关联信息，可以同时抓住结构上的异常和属性上的异常。常和属性上的异常。常和属性上的异常。

【技术实现步骤摘要】
一种工控网络异常行为检测方法及系统


[0001]本专利技术涉及工控网络检测领域，尤其涉及一种工控网络异常行为检测方法及系统。

技术介绍

[0002]目前，随着信息技术的发展，原本物理隔离的工控生产和控制网络不得不打破隔离，与企业管理网络甚至是直接与互联网进行连通，这样原本稳定、可控、可靠的工控网络就面临越来越多的风险。
[0003]对工控网络进行基于异常行为的检测方法，这种方法多利用工控网络流量呈周期性发送的特点，并将扰乱这种周期性的行为视为异常行为，但目前的方法多集中在建立基于数据包序列的异常检测模型上，很少结合时间维度的状态来建立检测模型，针对某个点对工控网络造成的攻击，无法应对是多个网络攻击者联合攻击对工控网络造成的网络崩溃。

技术实现思路

[0004]本专利技术针对现有技术中存在的技术问题，提供一种工控网络异常行为检测方法及系统，将图神经网络应用于工控网络异常检测，异常检测考虑工控网络拓扑结构的信息即节点之间的关联信息，可以同时抓住结构上的异常和属性上的异常。
[0005]根据本专利技术的第一方面，提供了一种工控网络异常行为检测方法，包括：
[0006]步骤1，构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图；
[0007]步骤2，建立表示节点自身属性及与其相关联的邻居的属性的属性向量；
[0008]步骤3，将所述属性向量表示作为传播图中节点的初始状态，对所述节点的属性向量进行迭代更新，得到更新后的节点的属性向量；
[0009]步骤4，根据更新后的节点的属性向量判断该节点是否异常。
[0010]在上述技术方案的基础上，本专利技术还可以作出如下改进。
[0011]可选的，所述步骤1构建工控网络的节点包括：从工控网络的数据中提取多源属性数据，对多源属性数据进行融合，形成所述节点；
[0012]提取多源属性数据的过程中：对于网络流量数据包，提取源IP地址及目的IP地址中的字段。
[0013]可选的，所述步骤2中以构建映射函数的方式将节点自身属性及与其相关联的邻居的属性映射到所述属性向量上。
[0014]可选的，所述属性向量表征的内容包括：节点的属性特征集合、拼接边的特征集合、该节点的相关联的邻居节点的嵌入表示以及该节点的的相关联的邻居节点的属性特征。
[0015]可选的，采用门控图神经网络的方式更新所述节点的属性向量。
[0016]可选的，所述步骤4还包括：对所述属性向量进行聚类，构建损失函数计算各个节点属于每个类的概率，根据聚类结果判断所述节点是否异常。
[0017]可选的，对所述属性向量进行聚类的过程还包括：根据节点到其最近的聚类中心的距离作为评价异常的标准，并同时更新聚类中心。
[0018]根据本专利技术的第二方面，提供一种工控网络异常行为检测系统，包括：传播图构建模块、属性向量构建模块、迭代更新模块和异常判断模块；
[0019]所述传播图构建模块，构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图；
[0020]所述属性向量构建模块，建立表示节点自身属性及与其相关联的邻居的属性的属性向量；
[0021]所述迭代更新模块，将所述属性向量表示作为传播图中节点的初始状态，对所述节点的属性向量进行迭代更新，得到更新后的节点的属性向量；
[0022]所述异常判断模块，根据更新后的节点的属性向量判断该节点是否异常。
[0023]根据本专利技术的第三方面，提供了一种电子设备，包括存储器、处理器，所述处理器用于执行存储器中存储的计算机管理类程序时实现工控网络异常行为检测方法的步骤。
[0024]根据本专利技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机管理类程序，所述计算机管理类程序被处理器执行时实现工控网络异常行为检测方法的步骤。
[0025]本专利技术提供的一种工控网络异常行为检测方法、系统、电子设备及存储介质，将图神经网络应用于工控网络异常检测，异常检测考虑工控网络拓扑结构的信息即节点之间的关联信息，可以同时抓住结构上的异常和属性上的异常，具有较高的准确性和鲁棒性；采用门控图神经网络的方式，考虑当前时刻邻居节点的属性和前一时刻该节点的属性来更新当前节点的属性。
附图说明
[0026]图1为本专利技术提供的一种工控网络异常行为检测方法流程图；
[0027]图2为本专利技术提供的一种工控网络异常行为检测系统的结构框图；
[0028]图3为本专利技术提供的一种可能的电子设备的硬件结构示意图；
[0029]图4为本专利技术提供的一种可能的计算机可读存储介质的硬件结构示意图。
具体实施方式
[0030]以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。
[0031]图1为本专利技术提供的一种工控网络异常行为检测方法流程图，如图1所示，该检测方法包括：
[0032]步骤1，构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图。
[0033]步骤2，建立表示节点自身属性及与其相关联的邻居的属性的属性向量。
[0034]步骤3，将工控网络异常行为检测属性向量表示作为传播图中节点的初始状态，对
工控网络异常行为检测节点的属性向量进行迭代更新，得到更新后的节点的属性向量。
[0035]步骤4，根据更新后的节点的属性向量判断该节点是否异常。
[0036]本专利技术提供一种工控网络异常行为检测方法及系统，将图神经网络应用于工控网络异常检测，异常检测考虑工控网络拓扑结构的信息即节点之间的关联信息，可以同时抓住结构上的异常和属性上的异常。
[0037]实施例1
[0038]本专利技术提供的实施例1为本专利技术提供的一种工控网络异常行为检测的实施例，结合图2可知，该检测方法的实施例包括：
[0039]步骤1，构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图。
[0040]在一种可能的实施例方式中，构建工控网络的节点包括：从工控网络的数据中提取多源属性数据，对多源属性数据进行融合，形成工控网络异常行为检测节点。
[0041]在一种可能的实施例方式中，提取多源属性数据的过程中：对于网络流量数据包，提取源IP地址及目的IP地址中的字段。
[0042]工控网络流量数据包，其最常见的数据格式是PCAP格式，通过对两个节点之间传输的完全数据包统计，能够完整的解释两个端点通信过程中产生和传输的每一个络流量数据包。
[0043]步骤2，建立表示节点自身属性及与其相关联的邻居的属性的属性向量。
[0044]在一种可能的实施例方式中，以构建映射函数的方式将节点自身属性及与其相关联的邻居的属性映射到工控网络异常行为检测属性向量上。
[0045]在一种可能的实施例方式中，工控网络异常行为检测属性向量表征的内容包括：节点的属性特征集合、本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种工控网络异常行为检测方法，其特征在于，所述检测方法包括：步骤1，构建工控网络的节点，获取各个节点自身属性及与其相关联的邻居的属性，构建传播图；步骤2，建立表示节点自身属性及与其相关联的邻居的属性的属性向量；步骤3，将所述属性向量表示作为传播图中节点的初始状态，对所述节点的属性向量进行迭代更新，得到更新后的节点的属性向量；步骤4，根据更新后的节点的属性向量判断该节点是否异常。2.根据权利要求1所述的检测方法，其特征在于，所述步骤1构建工控网络的节点包括：从工控网络的数据中提取多源属性数据，对多源属性数据进行融合，形成所述节点；提取多源属性数据的过程中：对于网络流量数据包，提取源IP地址及目的IP地址中的字段。3.根据权利要求1所述的检测方法，其特征在于，所述步骤2中以构建映射函数的方式将节点自身属性及与其相关联的邻居的属性映射到所述属性向量上。4.根据权利要求1所述的检测方法，其特征在于，所述属性向量表征的内容包括：节点的属性特征集合、拼接边的特征集合、该节点的相关联的邻居节点的嵌入表示以及该节点的的相关联的邻居节点的属性特征。5.根据权利要求1所述的检测方法，其特征在于，采用门控图神经网络的方式更新所述节点的属性向量。6.根据权利要求1所述的检测方法，其特征在于，所述步骤4还包括：对所述属性向量...

【专利技术属性】
技术研发人员：周显敬，刘虎，汪寒雨，桂顺，
申请(专利权)人：武汉卓尔信息科技有限公司，
类型：发明
国别省市：