[发明专利]基于因素神经网络的油气管网SCADA安全防御方法

权利要求书

1.基于因素神经网络的油气管网SCADA安全防御方法其特征在于，系统由各类解析型因素神经元(知识元)及其协作机制实现对具有分布式特征的SCADA系统的安全防御,包括如下部分：

执行神经元：配置在SCADA系统各级工控机、工程师站、操作员站等各级上下位机上。用于捕捉和判断运行程序的程序行为因素(以下简称“因素”)，通过与执行神经元内部的因素知识库比较，判断该程序是否为恶意程序并采取相应措施；

因素知识库神经元：用于储存程序因素的规则库，包括合法因素知识库和恶意因素知识库；其知识的获取来自预置方式和系统运行过程中判定为合法程序的因素；所述合法因素知识库，即由油气管网SCADA系统所有主机上经执行神经元判断为合法的程序因素组成的知识库；所述的恶意因素知识库，即由恶意因素组成的攻击识别知识库；

统计神经元：对整个SCADA系统中的计算机遭受的攻击信息和主机配置信息进行统计；所述攻击信息包括：被攻击主机的详细位置、攻击类型、攻击来源；

分析神经元：接收来自统计神经元的攻击统计信息和配置信息，分析判断出整个系统的可能遭受攻击的敏感区域；所述主机配置信息，包括：系统主机部署情况和主机上工控软件等已知程序的统计信息；

追踪神经元：接收统计神经元的信息，对攻击信息进行分析，查找攻击来源,并接收外来的攻击破案信息；

预警神经元：接收分析神经元和追踪神经元的信息，包括系统遭受攻击的情况以及攻击来源是否侦破，进而进行攻击威胁预警；

评价神经元：接收分析神经元和追踪神经元的信息，包括系统遭受攻击的情况以及攻击来源是否侦破，进而对SCADA系统安全态势进行评价；

管理神经元：接收因素知识库神经元发送的知识更新信息和统计神经元发送的计算机配置信息，同时接收来自外部发送来的新加入计算机的信息，实现神经元的注册、注销和神经元的发现等服务；为同类执行神经元以及SCADA系统新加入的计算机配置神经元并部署装备任务，并交调度组装神经元执行；所述新加入计算机的信息，包括计算机的位置部署信息、软件配置信息；

调度组装神经元：接收管理神经元任务信息，从因素知识库神经元获取更新知识，负责对新老神经元进行组装或知识更新配置，并将新组装的执行神经元部署到新加入SCADA系统的计算机上。

2.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法，其特征在于，所述的因素知识库，包括根据单个计算机上的工控软件配置信息进行组装的合法因素知识库和恶意因素知识库，属于因素知识库神经元所存储信息的一部分。

3.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法，其特征在于，执行神经元通过钩子技术挂钩程序系统API函数，来获得程序因素，主要有三种途径：a、截取系统服务分配表；b、截取可移植的执行体；c、截取系统服务的软件终端。

4.根据权利要求1所述基于因素神经网络的油气管网SCADA安全防御方法，其特征在于，所述执行神经元，部署在分布式SCADA系统三层网络架构中各级工控机、工程师站、操作员站等；所述分布式SCADA系统三层网络架构包括：现场层、监控层、调度层；执行神经元C₁₁、C₁₂...C_1k...C_mk部署在现场层，执行神经元B₁、B₂...B_j部署在监控层，执行神经元A部署在调度层；其中，C_i1、C_i2...C_ik∈B_i，且B₁、B₂...B_j∈Ai,(i,j,m,k＝1,2,3...)。

5.根据权利要求1、2、4所述基于因素神经网络的油气管网SCADA安全防御方法，其特征在于，所述程序因素包括：进程线程创建因素；文件操作因素；注册表操作因素；网络操作因素；用户账号操作因素；拦截系统API调用因素。