一种工控网络攻击检测系统技术方案

本发明专利技术属于工控网络安全威胁检测技术领域，其目的在于提供一种工控网络攻击检测系统

【技术实现步骤摘要】
一种工控网络攻击检测系统、方法及电子设备


[0001]本专利技术属于工控网络安全威胁检测
，具体涉及一种工控网络攻击检测系统
、
方法及电子设备
。

技术介绍

[0002]随着工业互联网的不断深入发展，工控网络与互联网的融合不断加深，使工控网络中的安全问题日益突出
。
工控网络中的工业控制系统缺少足够的安全防护机制，容易遭受网络攻击
。
这些网络攻击可能会对生产制造产生严重影响，甚至对社会稳定和民生安全产生威胁
。
为了保障工控网络安全稳定的运行，需要对工控网络进行威胁检测，及时发现网络攻击并对其进行防御
。
[0003]现有的网络攻击检测技术将检测设备放置在主干网络中，对工控网络中的通信流量进行检测
。
但是，在使用现有技术过程中，专利技术人发现现有技术中至少存在如下问题：
[0004]不同网络攻击方法需要多个节点协同工作，需要多方信息的融合分析对攻击进行检测发现，而现有技术中，基于流量分析的网络攻击检测技术，仅关注于节点之间的交互信息，使得现有技术在网络攻击检测过程中，缺少工业控制系统节点自身的数据信息，导致现有技术对僵尸网络
、
分布式端口扫描
、DNS(Domain Name Server
，域名服务器
)
放大等攻击方法的检测能力不足
。

技术实现思路

[0005]本专利技术旨在至少在一定程度上解决上述技术问题，本专利技术提供了一种工控网络攻击检测系统
、
方法及电子设备
。
[0006]为了实现上述目的，本专利技术采用以下技术方案：
[0007]第一方面，本专利技术提供了一种工控网络攻击检测系统，包括流量特征提取模块
、
主机信息采集模块
、
数据聚合模块和攻击检测模块，所述流量特征提取模块和主机信息采集模块均通过所述数据聚合模块与所述攻击检测模块连接，所述攻击检测模块中搭载有改进后图神经网络模型；其中，
[0008]所述流量特征提取模块，用于采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；
[0009]所述主机信息采集模块，用于采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；
[0010]所述数据聚合模块，用于对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；
[0011]所述攻击检测模块，用于基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果
。
[0012]本专利技术可以提高已有的威胁检测系统的网络攻击检测能力
。
具体地，本专利技术在实施过程中，分别通过所述流量特征提取模块采集工控网络中的主机节点信息，通过主机信
息采集模块采集工控网络中的流量交互信息，再通过数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，最后通过攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果
。
本专利技术中，由于本申请在基础信息采集阶段除采集主机节点之间的流量交互信息外，还同步采集工控网络中的主机节点信息，并通过数据聚合模块对主机节点信息和流量交互信息进行聚合，最后基于攻击检测模块中的改进后图神经网络模型实现对预处理后信息的网络攻击检测，实现对工控网络中的威胁检测，进而得到攻击检测结果，在此过程中，由于主机节点信息的加入，实现了多方信息融合的作用，使得本专利技术具有主机节点信息和流量交互信息聚合分析的能力，弥补了现有技术中部分网络攻击检测能力不足的问题，进而利于提升威胁检测系统的攻击检测范围和准确率
。
[0013]在一个可能的设计中，所述工控网络攻击检测系统还包括信息存储模块，所述数据聚合模块和所述攻击检测模块均与所述信息存储模块通信连接；其中，
[0014]所述数据聚合模块，还用于得到预处理后信息后，将所述预处理后信息存储至所述信息存储模块；
[0015]所述攻击检测模块，还用于在所述图神经网络模型需要更新时，从所述信息存储模块调用所述预处理后信息，以便对所述图神经网络模型进行更新
。
[0016]在一个可能的设计中，所述改进后图神经网络模型的构建过程如下：
[0017]构建初始图神经网络模型；其中，所述初始图神经网络模型具有
K
个图卷积层，
K
为自然数；
[0018]获取工控网络中的主机节点样本信息和流量交互样本信息，并根据所述主机节点样本信息和流量交互样本信息，得到工控网络对应的网络拓扑关系图，再将所述网络拓扑关系图作为所述初始图神经网络模型的初始网络结构图，将所述网络拓扑关系图中的所有主机节点作为所述初始图神经网络模型中的节点；
[0019]在所述初始图神经网络模型的每个图卷积层中，对其中的所有节点的邻接节点进行聚合处理，得到所述初始图神经网络模型中所有节点的邻接聚合信息；
[0020]将所有节点的邻接聚合信息和所有节点对应的所述主机节点样本信息集合中节点信息进行聚合处理，得到所有节点的节点表示信息；
[0021]将所述初始图神经网络模型中任意两个节点的节点表示信息进行聚合处理，得到当前两个节点的前向边表示信息；
[0022]根据所述前向边表示信息进行所述初始图神经网络模型的损失函数的计算，并根据所述损失函数的计算结果对所述初始图神经网络模型进行后向传播训练，以便得到改进后图神经网络模型
。
[0023]在一个可能的设计中，所述流量交互样本信息包括源
IP
地址
、
目的
IP
地址
、
源端口
、
目的端口和包平均长度；所述主机节点样本信息包括主机存活时间
、
网卡吞吐量
、CPU
使用率和内存占用率
。
[0024]在一个可能的设计中，所述初始图神经网络模型中，第
k
个图卷积层的节点
v
的邻接聚合信息为：
[0025][0026]其中，
v
为从所述网络拓扑关系图
G(V
，
E)
中选中的任一主机节点样本信息对应的
所述初始图神经网络模型中的节点，
u∈V
；表示由节点
v
的所有邻接节点构成的邻接节点集合，
u
为邻接节点集合中的任一节点，
e
uv
表示所述初始图神经网络模型中，节点
v
和节点
u
的连接边；表示第
k
‑1个图卷积层中节点
v
到节点
u
的连接边；
AGG
k本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种工控网络攻击检测系统，其特征在于：包括流量特征提取模块
、
主机信息采集模块
、
数据聚合模块和攻击检测模块，所述流量特征提取模块和主机信息采集模块均通过所述数据聚合模块与所述攻击检测模块连接，所述攻击检测模块中搭载有改进后图神经网络模型；其中，所述流量特征提取模块，用于采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；所述主机信息采集模块，用于采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；所述数据聚合模块，用于对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；所述攻击检测模块，用于基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果
。2.
根据权利要求1所述的一种工控网络攻击检测系统，其特征在于：所述工控网络攻击检测系统还包括信息存储模块，所述数据聚合模块和所述攻击检测模块均与所述信息存储模块通信连接；其中，所述数据聚合模块，还用于得到预处理后信息后，将所述预处理后信息存储至所述信息存储模块；所述攻击检测模块，还用于在所述图神经网络模型需要更新时，从所述信息存储模块调用所述预处理后信息，以便对所述图神经网络模型进行更新
。3.
根据权利要求1所述的一种工控网络攻击检测系统，其特征在于：所述改进后图神经网络模型的构建过程如下：构建初始图神经网络模型；其中，所述初始图神经网络模型具有
K
个图卷积层，
K
为自然数；获取工控网络中的主机节点样本信息和流量交互样本信息，并根据所述主机节点样本信息和流量交互样本信息，得到工控网络对应的网络拓扑关系图，再将所述网络拓扑关系图作为所述初始图神经网络模型的初始网络结构图，将所述网络拓扑关系图中的所有主机节点作为所述初始图神经网络模型中的节点；在所述初始图神经网络模型的每个图卷积层中，对其中的所有节点的邻接节点进行聚合处理，得到所述初始图神经网络模型中所有节点的邻接聚合信息；将所有节点的邻接聚合信息和所有节点对应的所述主机节点样本信息集合中节点信息进行聚合处理，得到所有节点的节点表示信息；将所述初始图神经网络模型中任意两个节点的节点表示信息进行聚合处理，得到当前两个节点的前向边表示信息；根据所述前向边表示信息进行所述初始图神经网络模型的损失函数的计算，并根据所述损失函数的计算结果对所述初始图神经网络模型进行后向传播训练，以便得到改进后图神经网络模型
。4.
根据权利要求3所述的一种工控网络攻击检测系统，其特征在于：所述流量交互样本信息包括源
IP
地址
、
目的
IP
地址
、
源端口
、
目的端口和包平均长度；所述主机节点样本信息包括主机存活时间
、
网卡吞吐量
、CPU
使用率和内存占用率
。
5.
根据权利要求3所述的一种工控网络攻击检测系统，其特征在于：所述初始图神经网络模型中，第
k
个图卷积层的节点
v
的邻接聚合信息为：其中，
v
为从所述网络拓扑关系图
G(V
，
E)
中选中的任一主机节点样本信息对应的所述初始图神经网络模型中的节点，
v∈V
；表示由节点
v
的所有邻接节点构成的邻接节点集合，
...

【专利技术属性】
技术研发人员：宋定航，熊飞，严戴志，吴峰，
申请(专利权)人：国能大渡河流域水电开发有限公司龚嘴水力发电总厂，
类型：发明
国别省市：