[发明专利]基于机器学习的威胁情报工业防火墙

说明书

本发明涉及防火墙技术领域，尤其涉及一种基于机器学习的威胁情报工业防火墙，包括以下步骤：步骤一、访问识别：通过Modbus协议访问控制进行身份识别，限制工业控制系统中访问主体对客体的访问；步骤二、数采与传输：通过OPC协议进行数采与传输的过程；步骤三、特征抽取和筛选：用线性判别分析LDA技术先对数据进行降维；步骤四、训练：在机器学习中，通过使用支持向量机SVM算法；步骤五、检验：在以前的训练集上独立同分布的抽样获取测试集，启用leave one out的检测法。本发明支持几十种工业协议的深度识别和信息网络协议的深度识别，引领工控安全的广度。

技术领域

本发明涉及防火墙技术领域，尤其涉及一种基于机器学习的威胁情报工业防火墙。

背景技术

现在，工业控制系统已成为国家关键基础设施的重要组成部分，它的安全关系到国家的战略安全。而如今，由于工业控制系统的高可靠性、高实时性以及专用的网络通信协议等特点，传统的互联网防护技术难以在工业控制系统实施，工业控制系统安全威胁主要来源也已从内部恶意篡改、环境因素、误操作、集成商后门、错误配置等逐渐变化为黑客攻击、工业病毒、无线风险，以及设备漏洞等。多数执行者都已意识到，威胁情报是针对此类高级网络攻击的有力武器。而伴随着机器学习的不断发展，可以将威胁情报与行为检测系统充分结合起来，构造一款集机器自学习引擎、并针对工控系统而设计的防御系统——工业防火墙，从而快速识别出系统中的非法操作、异常行为以及外部攻击，在第一时间进行告警并阻断。

发明内容

本发明的目的在于克服上述技术的不足，而提供一种基于机器学习的威胁情报工业防火墙。

本发明为实现上述目的，采用以下技术方案：

一种基于机器学习的威胁情报工业防火墙，其特征在于：包括以下步骤：步骤一、访问识别：通过Modbus协议访问控制进行身份识别，限制工业控制系统中访问主体对客体的访问，防止未经授权使用或以未授权方式使用某资源，从而保障数据资源在合法范围内得以有效使用和管理；

步骤二、数采与传输：通过OPC协议进行数采与传输的过程，以OPC基金会、工业控制系统应急响应中心(ICSCERT)组织提出的安全问题及防护建议为理论基础，实时捕获OPC通信数据包，解析OPC数据包端口内容，为端口设置一条私密规则，对端口进行动态跟踪与授权管理，在建立连接之后对流经的数据包进行基于端口及协议进行监控，防止非法访问；

步骤三、特征抽取和筛选：用线性判别分析LDA技术先对数据进行降维，然后找出一个线性判别器构成新的特征子空间，之后通过计算得到的矩阵将样本变换到新的子空间中，从而解决不适合正则化模型的过拟合问题，使得变换后的数据可用于算法的训练和验证，同时，针对非监督的学习任务，可以采用深度学习技术从原始图像或语音中提取少量人为干预的特征；

步骤四、训练：在机器学习中，通过使用支持向量机SVM算法，把每个数据在N维空间中用点标出，N是所有的特征总数，每个特征的值是一个坐标的值，将数据分组分开使得各组中距离最近的点到分割线的距离同时最优化，此外，也可以通过逻辑回归算法，将数据拟合进一个逻辑函数来预估一个事件出现的概率，同时，利用深度学习算法学习极端复杂模式的多层神经网络，有效进行高维度训练，并且能在输入层和输出层之间使用隐藏层来对数据的中间表征建模；

步骤五、检验：在以前的训练集上独立同分布的抽样获取测试集，启用leave oneout的检测法，按照模型在每一个验证样本上犯错误的平均值的大小 (Eloocv)选择模型，在不同的错误衡量下，会得到不同的结果，之后往往选择Eloocv最小的那个错误衡量，从而判断该行为是否为威胁恶意攻击。

本发明的有益效果是:(1)深度性，本发明支持几十种工业协议的深度识别和信息网络协议的深度识别，引领工控安全的广度。

(2)抽象性，将威胁情报检测问题映射为机器学习能够解决的类别，问题映射的恰当与否直接关系到机器学习技术解决工业控制系统安全问题成功与否。