[发明专利]基于机器学习的威胁情报工业防火墙

权利要求书

1.一种基于机器学习的威胁情报工业防火墙，其特征在于：包括以下步骤：

步骤一、访问识别：通过Modbus协议访问控制进行身份识别，限制工业控制系统中访问主体对客体的访问，防止未经授权使用或以未授权方式使用某资源，从而保障数据资源在合法范围内得以有效使用和管理；

步骤二、数采与传输：通过OPC协议进行数采与传输的过程，以OPC基金会、工业控制系统应急响应中心(ICSCERT)组织提出的安全问题及防护建议为理论基础，实时捕获OPC通信数据包，解析OPC数据包端口内容，为端口设置一条私密规则，对端口进行动态跟踪与授权管理，在建立连接之后对流经的数据包进行基于端口及协议进行监控，防止非法访问；

步骤三、特征抽取和筛选：用线性判别分析LDA技术先对数据进行降维，然后找出一个线性判别器构成新的特征子空间，之后通过计算得到的矩阵将样本变换到新的子空间中，从而解决不适合正则化模型的过拟合问题，使得变换后的数据可用于算法的训练和验证，同时，针对非监督的学习任务，可以采用深度学习技术从原始图像或语音中提取少量人为干预的特征；

步骤四、训练：在机器学习中，通过使用支持向量机SVM算法，把每个数据在N维空间中用点标出，N是所有的特征总数，每个特征的值是一个坐标的值，将数据分组分开使得各组中距离最近的点到分割线的距离同时最优化，此外，也可以通过逻辑回归算法，将数据拟合进一个逻辑函数来预估一个事件出现的概率，同时，利用深度学习算法学习极端复杂模式的多层神经网络，有效进行高维度训练，并且能在输入层和输出层之间使用隐藏层来对数据的中间表征建模；

步骤五、检验：在以前的训练集上独立同分布的抽样获取测试集，启用leave one out的检测法，按照模型在每一个验证样本上犯错误的平均值的大小(Eloocv)选择模型，在不同的错误衡量下，会得到不同的结果，之后往往选择Eloocv最小的那个错误衡量，从而判断该行为是否为威胁恶意攻击。