[发明专利]基于人工智能的工业控制系统网络安全态势感知系统

权利要求书

1.基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，包括病毒监测单元、数据解析单元、数据融算单元、融算规则库、网速监控单元、使用监测单元、控制器、显示单元、数据库、输入单元和稳态分析单元；

其中，所述病毒监测单元用于进行蠕虫病毒检测，获取各时段中受到蠕虫病毒感染的主机信息，所述病毒监测单元用于在监测到病毒时向数据解析单元传输病毒信号；所述数据解析单元接收病毒监测单元传输的病毒信号进行数据分析得到攻频Pg和中值时间，所述数据分析的具体分析步骤如下：

步骤一：当监测到产生病毒信号时，记录攻击信息，攻击信息包括病毒名称、病毒产生时间；

步骤二：并在监测到产生病毒信号时自动倒计时，倒计时时长为T2时间，T2为预设值；

步骤三：在倒计时阶段继续对病毒进行监测，若产生新的病毒信号，则倒计时自动归为原值，重新按照T2进行倒计时；否则倒计时归零，停止计时；

步骤四：获取到所有的攻击信息，按照时间信息将攻击信息标记为Gj，j＝1...m，Gm为最后一个攻击信息；

步骤五：获取到G1的产生时间和Gm的产生时间，获取到二者的中值时间，中值时间定义为G1产生时间和Gm产生时间的二者之间的中值；并获取到G1的产生时间和Gm的产生时间之间的时间间隔，将该时间间隔标记为攻时Cg；

步骤六：根据m值得到产生病毒的次数为m次；

步骤七：求取攻频Pg＝m/Cg；

所述数据解析单元用于将攻频Pg、中值时间传输到数据融算单元；

所述网速监控单元用于监控主机的实时网络访问速度，并对实时网络访问速度进行稳态分析得到稳态值组Wi；

所述数据融算单元在接收到攻频Pg时，会自动结合融算规则库对稳态值组Wi、攻频Pg、中值时间和实时使用率进行安全分析，具体分析步骤为：

SS1：当接收攻频Pg时，获取到此时的中值时间；

SS2：根据此时的中值时间，以中值时间为标准，获取到在该中值时间前后最近的各两组稳态值组Wi内的稳态值，得到四组稳态值，当该中值时间正好位于对应稳态值Wi的时间节点时，则获取稳态值前两组和后一组稳态值，将该稳态值标记为临近稳值；按照时间顺序将其标记为Lk，k＝1...4；

SS3：求取Lk中的最大值和最小值之间的差值，并将该差值除以最小值，得到差异比Cb；

SS4：获取到接收到攻频Pg时的实时使用率，将实时使用率标记为Sl；

SS5：利用攻频Pg、实时使用率Sl和差异比Cb计算安全评值Pa，具体计算公式为：

Pa＝0.437*Pg+0.328Sl+0.235Cb；

所述数据融算单元用于将安全评值Pa传输到控制器，所述控制器用于对安全评值Pa进行等级评判得到评价信号，具体为：

S10：当Pa≤X2时，此时评价信号为轻度威胁信号；

S20：当X2PaX3时，此时评价信号为中度威胁信号；

S30：当Pa≥X3时，此时评价信号为高度威胁信号；X2、X3均为预设值。

2.根据权利要求1所述的基于人工智能的工业控制系统网络安全态势感知系统，其特征在于，所述稳态分析的具体分析过程如下：

S1：从初始时刻起，每间隔T1时间采集一次实时网络访问速度，将该网络访问速度标记为Fi，i＝1...n；其中，T1为预设值；

S2：令最新的网络访问速度为Fn，取网络访问速度为Fn及其前X1组网络访问速度的值，将其标记为区间网速Ji，i＝n-X1...n；X1为预设值；

S3：求取区间网速Ji的均值，将该均值标记为P；

S4：根据均值P和Ji，求取Ji的稳态值W，具体计算方法为：

当n≤X1时；此时自动对X1的值进行重置，令X1＝n-1；

当nX1时，X1的具体取值为用户预设值；具体稳态值W的计算公式为：

式中，|Ji-P|表示求取Ji与P差值的绝对值；

S5：每获取一个新的实时网络访问速度时，自动计算新的稳态值W，得到稳态值组Wi，i＝1...n；Wi与Ji一一对应；

所述网速监控单元用于将稳态值组Wi传输到数据融算单元；所述使用监测单元用于监测CPU的实时使用率，并将实时使用率传输到数据融算单元。