本发明专利技术提供了一种工控网络的入侵检测方法和系统,属于工业控制领域。所述工控网络的入侵检测方法包括:采集工控网络中各节点的数据,建立入侵检测行为知识库;构建工控入侵检测精度及其影响因素之间的训练模型;将当前时刻工控网络中各节点的网络和主机行为数据输入至训练模型中,并与所述知识库进行对比分析;若检测结果是入侵行为,则记录相关证据并响应处置;若检测结果是非入侵行为,则提取行为,并归纳入知识库;根据构建的训练模型对模型中的参数进行调整。本发明专利技术能够在较少人工参与的前提下,在运行过程中进行自适应优化,提升工控入侵检测系统对动态环境的适应性,始终保持理想的工控入侵检测精度。保持理想的工控入侵检测精度。保持理想的工控入侵检测精度。
【技术实现步骤摘要】
一种工控网络的入侵检测方法和系统
[0001]本专利技术属于工业控制领域,具体来讲,涉及一种工控网络的入侵检测方法,以及一种工控网络的入侵检测系统。
技术介绍
[0002]近年来,工业控制系统,简称“工控系统”,已经广泛应用于金融、交通、水利、制造、能源、军工等重要领域,是国家关键信息基础设施中的重要组成部分,直接影响国计民生。随着工控系统与互联网的不断融合,以及网络空间安全形势日益严峻,针对工控系统的攻击越来越多,工控领域正成为网络空间安全对抗的主战场,保障工控系统安全稳定运行已成为国家政治、军事、经济、社会稳定亟需解决的核心问题之一。入侵检测是工控系统安全防护的重要手段之一。通过对工控网络或工控系统中的若干关键点收集信息并对其进行分析,从中发现工控网络或系统中是否有违反安全策略的行为和被攻击的迹象。然而,现有工控入侵检测技术存在以下主要问题:1、检测速度远小于网络传输速度,从而造成误报、漏报;2、从部署环境来看,集团规模网络关键节点数据量大,由于检测对比库(知识库)缺乏针对性,计算能力不足,造成检测能力不足。而对于单一企业而言,由于网络节点数据量小,检测能力略显臃肿,这就造成资源的浪费,经济性失调,缺乏灵活多变的适应策略;3、与其它网络安全产品兼容性较差,在信息交互和协作阻断上能力不足;4、基于网络的入侵检测对加密数据流检测能力差,受限于本身硬件及存储、运算、成本因素,对大量的计算分析能力做了阉割,容易遭受攻击;5、现有的入侵检测技术仅适用于静态环境,而且只能进行人为手动调优,浪费大量人力。
[0003]就目前而言,针对工控入侵模型训练还缺乏理论研究。例如,于2020年04月10日公开的专利技术名称为一种基于遥测技术的工控领域的入侵检测系统、公开号为CN110995733A的专利文献记载了一种能够对工业控制系统的入侵进行及时响应的系统,该方法够对工业控制系统通信过程中传输的数据包进行实时捕捉与解析,并能够对解析到的数据进行分析以判断工业控制系统目前所处的状态,也可以根据不同的判断向技术人员发出不同的提示信息,但是该方法运行过程死板仅适用于静态环境,不能对工控入侵过程中产生的大量数据进行快速计算,检测对比库(知识库)较小,且缺乏针对性。
技术实现思路
[0004]为了实现上述目的,本专利技术一方面提供了一种工控网络的入侵检测方法。
[0005]所述入侵检测方法可以包括以下步骤:S100、采集工控网络中各节点的网络数据和主机数据,建立工控入侵检测行为知识库,所述知识库包括历史行为数据、特定行为数据和其他行为数据,历史行为数据指网络和主机的正常操作行为数据,特定行为数据指入侵攻击行为数据;S200、构建工控入侵检测的训练模型,所述训练模型包括健康基准子模型、告警诊断子模型和威胁预测子模型;S300、将当前时刻工控网络中各节点的网络和主机行为数据输入至所述训练模型中,并与所述知识库中历史时刻工控网络中各节点的网络和主
机行为数据进行对比分析,获得当前时刻检测结果,并根据检测结果度量工控入侵检测精度;S400、若检测结果输出是入侵行为,则记录相关证据并进行响应处置;若检测结果输出是非入侵行为,则提取行为,与当前系统/用户行为进行对比,并归纳入所述知识库;S500、更新所述训练模型,并针对下一时刻的网络数据进行检测。
[0006]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,步骤S200中,可以利用历史行为数据形成健康基准子模型、告警诊断子模型和威胁预测子模型,可以利用特定行为数据形成告警诊断子模型和威胁预测子模型,可以利用策略维护记录形成威胁预测子模型。
[0007]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,步骤S300中,可以采用主成分分析算法、BA算法和ELM分类器算法计算当前时刻检测结果。
[0008]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,S300可以包括以下子步骤:S310、接收不同类型的数据,并进行特征提取和分析;S320、每一个影响因素对应至少一个调优策略,每条调优策略拥有独立权重,根据各节点的网络数据和对立权重,进行网络数据训练;S330、对训练网络数据进行编码和标准化,获得标准训练网络数据;S340、采用预设算法对标准训练网络数据进行降维,获得降维网络数据;S350、根据降维网络数据对优化后的分类器进行训练,获得所述训练模型;S360、进行模型验证;S370、对验证后的训练模型添加附加标识信息,形成模型部署信息,再将添加标识信息后的网络包按照预设协议通信过程中的网络包顺序存入日志文件或数据库中。
[0009]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,子步骤S310具体可包括:将收集到的网络和主机数据按照不同工作模式进行聚类分析,获得不同工作模式的数据合集;针对收集的网络流量信息和日志数据信息,提取告警诊断信息,并进行分类;针对收集的网络流量信息、日志数据信息和基线信息,形成策略配置信息;针对收集的网络流量信息和日志数据信息,分析提取威胁信息,并利用回归分析技术形成威胁预测信息。
[0010]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,子步骤S350中,可以利用MEC集成的AI训练平台公有云服务完成算法模型训练。
[0011]在本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,度量工控入侵检测精度可以包括:相邻两次误报间隔时间和相邻两次漏报间隔时间。
[0012]本专利技术另一方面提供了一种工控网络的入侵检测系统,所述入侵检测系统可以包括数据采集单元、工控入侵检测行为知识库、训练模型构建单元、入侵检测单元、入侵检测精度度量单元、入侵响应单元、行为数据提取单元和训练模型更新单元。
[0013]在本专利技术的工控入侵模型训练系统的一个示例性实施例中,数据采集单元,用于采集工控网络中各节点的网络数据和主机数据;工控入侵检测行为知识库,用于存储历史行为数据、特定行为数据和其他行为数据;训练模型构建单元,用于构建工控入侵检测的训练模型,所述训练模型包括健康基准子模型、告警诊断子模型和威胁预测子模型;入侵检测单元,用于将当前时刻工控网络中各节点的网络和主机行为数据输入至训练模型中,并与所述知识库进行对比分析,输出当前时刻检测结果;入侵检测精度度量单元,用于根据检测结果度量工控入侵检测精度;入侵响应单元,用于检测结果输出是入侵行为时,记录相关证据并进行响应处置;行为数据提取单元,用于检测结果输出是非入侵行为,提取行为,与当
前系统/用户行为进行对比,并归纳入所述知识库;训练模型更新单元,用于根据当前时刻工控网络中各节点的网络和主机行为数据,更新训练模型。
[0014]本专利技术的一种工控网络的入侵检测方法的一个示例性实施例中,所述入侵检测系统可以包括数据采集单元、工控入侵检测行为知识库、训练模型构建单元、入侵检测单元、入侵检测精度度量单元、入侵响应单元、行为数据提取单元和训练模型更新单元,其中,数据采集单元,用于采集工控网络中各节点的网络数据和主机数据;工控入侵检测行为知识库,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控网络的入侵检测方法,其特征在于,所述入侵检测方法包括以下步骤:S100、采集工控网络中各节点的网络数据和主机数据,建立工控入侵检测行为知识库,所述知识库包括历史行为数据、特定行为数据和其他行为数据,历史行为数据指网络和主机的正常操作行为数据,特定行为数据指入侵攻击行为数据;S200、构建工控入侵检测的训练模型,所述训练模型包括健康基准子模型、告警诊断子模型和威胁预测子模型;S300、将当前时刻工控网络中各节点的网络和主机行为数据输入至所述训练模型中,并与所述知识库中历史时刻工控网络中各节点的网络和主机行为数据进行对比分析,获得当前时刻检测结果,并根据检测结果度量工控入侵检测精度;S400、若检测结果输出是入侵行为,则记录相关证据并进行响应处置;若检测结果输出是非入侵行为,则提取行为,与当前系统/用户行为进行对比,并归纳入所述知识库;S500、更新所述训练模型,并针对下一时刻的网络数据进行检测。2.根据权利要求1所述的工控网络的入侵检测方法,其特征在于,步骤S200中,利用历史行为数据形成健康基准子模型、告警诊断子模型和威胁预测子模型,利用特定行为数据形成告警诊断子模型和威胁预测子模型,利用策略维护记录形成威胁预测子模型。3.根据权利要求1所述的工控网络的入侵检测方法,其特征在于,步骤S300中,采用主成分分析算法、BA算法和ELM分类器算法计算当前时刻检测结果。4.根据权利要求1所述的工控网络的入侵检测方法,其特征在于,步骤S300包括以下子步骤:S310、接收不同类型的数据,并进行特征提取和分析;S320、每一个影响因素对应至少一个调优策略,每条调优策略拥有独立权重,根据各节点的网络数据和对立权重,进行网络数据训练;S330、对训练网络数据进行编码和标准化,获得标准训练网络数据;S340、采用预设算法对标准训练网络数据进行降维,获得降维网络数据;S350、根据降维网络数据对优化后的分类器进行训练,获得所述训练模型;S360、进行模型验证;S370、对验证后的训练模型添加附加标识信息,形成模型部署信息,再将添加标识信息后的网络包按照预设协议通信过程中的网络包顺序存入日志文件或数据库中。5.根据权利要求4所述的工控网络的入侵检测方法,其特征在于,子步骤S310具体包括:将收集到的网络和主机数据按照不同工作模式进行聚类分析,获得不同工作模式的数据合集;针对收集的网络流量信息和日志数据信息,提取告警诊断信息,并进行分类;针对收集的网络流量信息、日志数据信息和基线信息,形成策略配置信息;针对收集的网络流量信息和日志数据信息,分析提取威胁信息,并利用回归分析技术形成威胁预测信息。6.根据权利要求4所述的工控网络的入侵检测方法,其特征在于,子步骤S350中,利用MEC集成的AI训练平台公有云服务完成算法模型训练。7.根据权利要求1所述的工控系统前端的入侵检测方法,其特征在于,度量工控入...
【专利技术属性】
技术研发人员:余健,陈炫邑,张运迪,邓君,曾莎莉,吴鹏,
申请(专利权)人:中国石油集团川庆钻探工程有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。