基于大数据的工控网络安全态势预测方法及系统技术方案

本发明专利技术公开了基于大数据的工控网络安全态势预测方法及系统，构建了Kafka分布式消息转发订阅框架；对消费者程序进行扩展，在消费者程序构建神经网络模型并进行训练，训练过程中神经网络模型对工控网络流量数据进行分析并学习提取网络安全态势的方法，根据输入的工控网络流量数据，输出得到该流量数据是否正常，将训练生成的神经网络模型反馈至生产者程序；对生产者程序进行扩展对生产者程序添加对流量数据进行判断是否安全的功能以及对违规命令进行系统遭受攻击的反馈，生产者程序利用消费者程序反馈训练生成的神经网络模型对工控网络流量数据进行安全态势预测，同时当生产者程序预测准确性降低时反馈至消费者程序，使其重新训练神经网络模型。其重新训练神经网络模型。其重新训练神经网络模型。

【技术实现步骤摘要】
基于大数据的工控网络安全态势预测方法及系统


[0001]本专利技术涉及信息
，尤其涉及基于大数据的工控网络安全态势预测方法及系统。

技术介绍

[0002]随着科学技术的进步，工业控制网络的结构变得愈发复杂，网络协议的种类也愈发繁杂，针对工业控制网络的攻击手段也日益多样化，传统防火墙、入侵防御等静态防御和边界防御为主的安全防护策略已然无法应对具备隐蔽性、渗透性的高级新型威胁。结合工业控制系统的特点，大量学者将工业控制系统的安全研究重点定为网络流量异常检测方面。以安全大数据为基础，从全局视角对工业控制网络全网数据进行安全威胁发现、理解分析、最后响应处理的网络态势感知技术在维护工业控制系统安全性方面具有非常好的适配性。
[0003]现有维护工控网络安全的方法大多只是运用各种机器学习或深度学习的方法构建入侵检测系统，通过训练分类器以识别采集的工控网络流量数据是否安全。对于工业控制网络中大规模的数据、已知和未知的威胁并无法有效预测。

技术实现思路

[0004]本专利技术提供了一种基于大数据的工控网络安全态势预测方法及系统，用以解决或者至少部分解决现有技术中无法对工业控制网络中的态势进行准确预测的技术问题。
[0005]为了解决上述技术问题，本专利技术第一方面提供了基于大数据的工控网络安全态势预测方法，包括：T1：构建Kafka分布式消息转发订阅框架，该框架包括主题、生产者程序和消费者程序，主题用于发布订阅工控网络流量数据，生产者程序用于从工控网络中采集工控网络流量数据，并以流数据的形式生产至Kafka的对应分区中，消费者程序用于Kafka的对应分区中读取工控网络流量数据并进行转发；S2：对消费者程序进行扩展，包括：在消费者程序构建神经网络模型，并对神经网络模型进行训练，训练过程中神经网络模型对工控网络流量数据进行分析并学习提取网络安全态势的方法，根据输入的工控网络流量数据，输出得到该流量数据是否正常，训练完成后，将训练生成的神经网络模型反馈至生产者程序；S3：对生产者程序进行扩展，包括：对生产者程序添加对流量数据进行判断是否安全的功能以及对违规命令进行系统遭受攻击的反馈，生产者程序利用消费者程序反馈训练生成的神经网络模型对采集的工控网络流量数据实现安全态势预测，同时当生产者程序预测准确性降低时反馈至消费者程序，使其重新训练神经网络模型。
[0006]在一种实施方式中，S1中生产者程序以旁路的方式与工控网络并联，对工控网络流量数据进行采集。
[0007]在一种实施方式中，步骤S3对消费者程序进行扩展，还包括对消费者程序添加数
据压缩、数据降维的功能，且构造的消费者程序包括多个，一部分消费者程序负责拉取Kafka中的数据并带入神经网络模型中进行训练，并将训练生成的神经网络模型反馈至生产者程序，还接收生产者程序的反馈以重新训练模型；另一部分消费者程序负责统计Kafka中遭受各攻击种类的流量数据的数量，对特定攻击种类或未知威胁这类型数量不足的样本进行样本增强，然后将样本增强后的数据再次缓存于Kafka中。
[0008]在一种实施方式中，对特定攻击种类或未知威胁这类型数量不足的样本进行样本增强，包括：针对给定小样本时间序列，训练一个时间序列生成模型，并使用该时间序列生成模型生成仿真时间序列添加到原样本中。
[0009]在一种实施方式中，所述方法还包括：当消费者程序未反馈神经网络模型于生产者程序时，生产者程序将已处流量数据缓存至Kafka中用作后续消费者程序训练神经网络模型的训练数据，其中，已处理流量数据为通过人工标记的数据；当生产者程序收到消费者程序的神经网络模型训练完毕的反馈时，采集工控网络原始流量数据以及已处理流量数据，已处理流量数据送入消费者程序中的神经网络模型进行训练，并用训练得到的模型对原始流量数据进行分类，生成数据的安全态势标签，并生产至Kafka中进行缓存。
[0010]基于同样的专利技术构思，本专利技术第二方面提供了基于大数据的工控网络安全态势预测系统，包括：Kafka框架构建模块，用于构建Kafka分布式消息转发订阅框架，该框架包括主题、生产者程序和消费者程序，主题用于发布订阅工控网络流量数据，生产者程序用于对工控网络数据进行读取并以流数据的形式生产至Kafka的对应分区中，消费者程序用于Kafka的对应分区中读取工控网络流量数据并进行转发；态势感知模块，用于对消费者程序进行扩展，包括：在消费者程序构建神经网络模型，并对神经网络模型进行训练，训练过程中神经网络模型对工控网络流量数据进行分析并学习提取网络安全态势的方法，根据输入的工控网络流量数据，输出得到该流量数据是否正常，训练完成后，将训练生成的神经网络模型反馈至生产者程序；安全态势预测模块，用于对生产者程序进行扩展，包括：对生产者程序添加对流量数据进行判断是否安全的功能以及对违规命令进行系统遭受攻击的反馈，生产者程序利用消费者程序反馈训练生成的神经网络模型对采集的工控网络流量数据实现安全态势预测，同时当生产者程序预测准确性降低时反馈至消费者程序，使其重新训练神经网络模型。
[0011]基于同样的专利技术构思，本专利技术第三方面提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被执行时实现第一方面所述的方法。
[0012]基于同样的专利技术构思，本专利技术第四方面提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面所述的方法。
[0013]相对于现有技术，本专利技术的优点和有益的技术效果如下：本专利技术提出的基于大数据的工控网络安全态势预测方法及系统，可以根据实际情况对生产者程序和消费者程序进行扩展，从而可以增强对不同工控网络的适应性，且系统
易于定制和扩展特定功能，实现对已知或未知高级持续威胁的高时效性、高准确度智能检测。消费者程序训练生成的模型能够反馈至生产者程序处，使其对采集的工控网络流量数据实现安全态势预测，同时，当生产者程序预测准确性降低时反馈至消费者程序，使其重新训练神经网络模型。上述反馈机制可使得系统预测感知网络安全态势的准确率始终维持在较高水平，让系统可自适应自演化面向大规模工控网络进行安全威胁智能诊断。
附图说明
[0014]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0015]图1为网络态势感知基本框架图；图2是本专利技术实施例中提出的基于大数据的工控网络安全态势预测方法的流程图；图3是本专利技术实施例中基于大数据的工控网络安全态势感知模型框架图；图4是本专利技术实施例中感知模型框架中小样本增强模型的示意图；图5是本专利技术实施例中感知模型框架中神经网络模型的示意图；图6是本专利技术实施例中基于大数据的工控网络安全态势预测系统的结构框图；图7为本专利技术实施例提供的计算机可读存储介质的结构示意图；图8为本专利技术实施例提供的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于大数据的工控网络安全态势预测方法，其特征在于，包括：S1：构建Kafka分布式消息转发订阅框架，该框架包括主题、生产者程序和消费者程序，主题用于发布订阅工控网络流量数据，生产者程序用于从工控网络中采集工控网络流量数据，并以流数据的形式生产至Kafka的对应分区中，消费者程序用于Kafka的对应分区中读取工控网络流量数据并进行转发；S2：对消费者程序进行扩展，包括：在消费者程序构建神经网络模型，并对神经网络模型进行训练，训练过程中神经网络模型对工控网络流量数据进行分析并学习提取网络安全态势的方法，根据输入的工控网络流量数据，输出得到该流量数据是否正常，训练完成后，将训练生成的神经网络模型反馈至生产者程序；S3：对生产者程序进行扩展，包括：对生产者程序添加对流量数据进行判断是否安全的功能以及对违规命令进行系统遭受攻击的反馈，生产者程序利用消费者程序反馈训练生成的神经网络模型对采集的工控网络流量数据实现安全态势预测，同时当生产者程序预测准确性降低时反馈至消费者程序，使其重新训练神经网络模型。2.如权利要求1所述的基于大数据的工控网络安全态势预测方法，其特征在于，S1中生产者程序以旁路的方式与工控网络并联，对工控网络流量数据进行采集。3.如权利要求1所述的基于大数据的工控网络安全态势预测方法，其特征在于，步骤S3对消费者程序进行扩展，还包括对消费者程序添加数据压缩、数据降维的功能，且构造的消费者程序包括多个，一部分消费者程序负责拉取Kafka中的数据并带入神经网络模型中进行训练，并将训练生成的神经网络模型反馈至生产者程序，还接收生产者程序的反馈以重新训练模型；另一部分消费者程序负责统计Kafka中遭受各攻击种类的流量数据的数量，对特定攻击种类或未知威胁这类型数量不足的样本进行样本增强，然后将样本增强后的数据再次缓存于Kafka中。4.如权利要求3所述的基于大数据的工控网络安全态势预测方法，其特征在于，对特定攻击种类或未知威胁这类型数量不足的样本进行样本增强，包括：针对给定小样本时间序列，训练一个时间序列生成模型，并使用该时间序列生成模型生成仿真时间序列添加到原...

【专利技术属性】
技术研发人员：石小川，马超，张典，
申请(专利权)人：武汉大学，
类型：发明
国别省市：