【技术实现步骤摘要】
一种工业控制网络的智能协同自进化防御方法及系统
[0001]本专利技术涉及网络安全领域,特别是涉及一种工业控制网络的智能协同自进化防御方法及系统。
技术介绍
[0002]近年来,随着工业互联网的发展,工业控制系统受到的网络攻击愈发广泛,相比IT系统受到攻击会导致的信息泄露、数据篡改等事故,针对工业控制网络的攻击通常会导致严重后果,如环境污染、设备损坏,甚至人员伤亡。因此,工业控制网络安全问题亟待解决。
[0003]入侵检测(Intrusion Detection,ID)是应对工业控制系统的网络攻击的首要任务。入侵检测通过监控工业网络系统,记录网络流信息,分析信息特征,对袭击行为和异常操作进行判断,从而及时发现入侵企图。然而,通常的入侵检测算法一般都是先采集系统数据并离线训练模型,此后模型保持不变,虽然从实验角度来看可以达到较好效果,但是在实际动态场景中则效果不佳。主要原因有两个:首先,很多工业控制系统的数据是无法提前获取的,因此无法离线训练;其次,对于近年来新兴的APT攻击等复杂多变的网络攻击,固定的模型很难实现准确地检测。因此,根据入侵检测效果实时对入侵检测算法进行动态升级是十分必要的。
[0004]在检测到工业控制网络受攻击后,及时采取合适的防御策略是保证系统安全的关键。通常的做法是在现有的专家策略库中选择针对特定攻击的防御策略。然而,由于工业控制系统具有动态性、APT攻击具有绕过防火墙、IPS等传统安全方案的能力,且能够根据防御策略自适应更新入侵方式,因此,传统的、单一不变的防御策略无法对攻击进...
【技术保护点】
【技术特征摘要】
1.一种工业控制网络的智能协同自进化防御方法,其特征在于,包括:S1、在各个终端设备构建基于动态模型的工业控制网络入侵检测模型,所述工业控制网络包括多个无线通讯的终端设备;S2、利用所述入侵检测模型对所述各个终端设备进行实时入侵检测,判断所述各个终端设备是否受到恶意攻击;S3、若是,则利用现有防御策略库进行防御,并判断是否防御成功;所述现有防御策略库包括多个安全防御策略;S4、若否,则对所述现有防御策略库进行初始化;S5、对初始化后的防御策略库中每个安全防御策略计算突变概率;S6、根据所述突变概率对所述每个安全防御进行突变、交叉和环境选择,得到此时工业控制网络的最优防御策略;S7、根据所述最优防御策略更新所述现有防御策略库;S8、对步骤S4
‑
S7进行迭代计算,实现工业控制网络安全防御策略的自进化。2.根据权利要求1所述的工业控制网络的智能协同自进化防御方法,其特征在于,所述构建基于动态模型的工业控制网络入侵检测模型,具体包括:构建初始检测模型;所述初始检测模型包括输入层和输出层,所述输入层中神经元的数量为在工业控制网络上使用的物理协议的最大传输单元中定义的流量数据向量的数量,输出层中神经元的数量为分组分配给的类的数量;获取流量数据;将所述流量数据输入所述初始检测模型得到攻击类别;根据所述攻击类别计算预测误差;判断所述预测误差是否会收敛到零;若是,则判断所述预测误差是否在95%的置信区间内;若是,则所述初始检测模型架构不变;若否,则对所述初始检测模型添加隐含层,得到所述基于动态模型的工业控制网络入侵检测模型。3.根据权利要求2所述的工业控制网络的智能协同自进化防御方法及,其特征在于,所述对初始检测模型添加隐含层,得到所述基于动态模型的工业控制网络入侵检测模型,具体包括:确定隐含层中神经元的数量;将确定神经元数量的隐含层连接到所述初始检测模型,得到第二检测模型;对所述第二检测模型进行训练,得到所述基于动态模型的工业控制网络入侵检测模型。4.根据权利要求3所述的工业控制网络的智能协同自进化防御方法,其特征在于,采用如下公式确定隐含层中神经元的数量:
其中,为隐含层中神经元的数量;为隐含层中神经元的数量;是所有攻击种类的向量;||c
i
||为第i类流量数据的数量;σ(∈
t
|c
i
)是第i类流量数据预测误差的标准差;是向下取整函数;为上一时刻的检测模型自由度。5.根据权利要求2所述的工业控制网络的智能协同自进化防御方法,其特征在于,所述“构建初始检测模型”步骤之后,“获取流量数据”步骤之前,还包括:利用工控网络终端设备的历史流量数据对所述初...
【专利技术属性】
技术研发人员:江浩,索毓涵,李赟,李俊,高建磊,李耀兵,赵千,巩天宇,许丰娟,
申请(专利权)人:国家工业信息安全发展研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。