[发明专利]一种工控入侵检测自适应优化方法及装置

说明书

本发明提供一种工控入侵检测自适应优化方法及装置，能够提升工控入侵检测系统对动态环境的适应性。所述方法包括：S101，获取工控入侵检测精度的影响要素；S102，度量工控入侵检测精度；S103，构建工控入侵检测精度及其影响要素之间的关联模型；S104，根据构建的关联模型，基于反馈控制机制，利用模糊推理机制对工控入侵检测系统进行自适应调优。本发明适用于工控入侵检测优化操作。

技术领域

本发明涉及工控信息安全领域，特别是指一种工控入侵检测自适应优化方法。

背景技术

近年来，工业控制系统(简称“工控系统”，Industrial Control Systems，ICS)目前已经广泛应用于金融、交通、水利、制造、能源、军工等重要领域，是国家关键信息基础设施中的重要组成部分，直接影响国计民生。近年来，随着工控系统与互联网的不断融合，以及网络空间安全形势日益严峻，针对工控系统的攻击越来越多，工控领域正成为网络空间安全对抗的主战场，保障工控系统安全稳定运行已成为国家政治、军事、经济、社会稳定亟需解决的核心问题之一。

入侵检测(Intrusion Detection System,IDS)是工控系统安全防护的重要手段之一。通过对工控网络或工控系统中的若干关键点收集信息并对其进行分析，从中发现工控网络或系统中是否有违反安全策略的行为和被攻击的迹象。然而，已有的入侵检测技术仅适用于静态环境，未考虑实际系统运行过程中多变的网络环境和攻击方式对入侵检测精度的不良影响，因此入侵检测系统无法根据环境的变化进行动态自适应的调优，而只能进行人为手动调优，浪费大量人力，并且不及时的系统调优很可能使检测精度显著下降，进一步导致工控系统安全防护水平降低，存在严重的安全隐患。

发明内容

本发明要解决的技术问题是提供一种工控入侵检测自适应优化方法及装置，以解决现有工控入侵检测技术所存在的无法根据环境的变化进行动态自适应的调优的问题。

为解决上述技术问题，本发明实施例提供一种工控入侵检测自适应优化方法，包括：

S101，获取工控入侵检测精度的影响要素；

S102，度量工控入侵检测精度；

S103，构建工控入侵检测精度及其影响要素之间的关联模型；

S104，根据构建的关联模型，基于反馈控制机制，利用模糊推理机制对工控入侵检测系统进行自适应调优。

进一步地，度量的工控入侵检测精度包括：相邻两次误报间隔时间T_a和相邻两次漏报间隔时间T_r。

进一步地，所述构建工控入侵检测精度及其影响要素之间的关联模型包括：

对T_a和T_r在预先定义的模糊集上分别进行模糊化；

根据T_a和T_r的模糊化结果以及预先制定的模糊满意度规则，得到对T_a的模糊化满意度S_a和对T_r的模糊化满意度S_r；

根据模糊化满意度S_a和S_r生成每一个影响要素的模糊化调优策略。

进一步地，每一个影响因素对应1条或多条调优策略，每条调优策略拥有各自的权重。

进一步地，所述根据构建的关联模型，基于反馈控制机制，利用模糊推理机制对工控入侵检测系统进行自适应调优包括：

将每条调优策略进行解模糊化，得到对应影响要素的定量调优值；

利用得到的定量调优值，调整对应的影响要素的取值；