[发明专利]一种ICS的网络数据检测方法及装置

权利要求书

1.一种工业控制系统ICS的网络数据检测方法，其特征在于，所述方法包括：

按时间先后顺序依次接收各个网络数据，直到所接收的所述网络数据的数量达到预设的第一数量时，将第一数量个网络数据组成数据集，所述网络数据为通过ICS接收的网络数据；

使用预设的树集成数据识别模型，对所述数据集中的各个网络数据进行识别处理，得到处理结果，所述处理结果为：所述数据集中的各个网络数据是否为异常数据，其中，所述树集成数据识别模型中包括：第二数量个二叉树子模型，每个二叉树子模型是根据训练样本预先训练的，且一个二叉树子模型中，除叶子节点外的其他节点中存储有该节点的分支节点生成条件，所述训练样本包括：第一数量个网络数据；

当所述数据集中的非异常网络数据的数量大于或等于第一阈值时，利用所述数据集中的非异常数据，对所述树集成数据识别模型中的各个二叉树子模型进行再训练，得到再训练后的树集成数据识别模型，其中，所述再训练后的树集成数据识别模型中，各个二叉树子模型的叶子节点的最大深度不小于再训练前该二叉树子模型的叶子节点的最大深度，所述最大深度表示所述二叉树子模型的根节点到最远叶子节点的路径上的节点数；

当所述再训练后的树集成数据识别模型的各个二叉树子模型中，存在叶子节点对应的网络数据个数大于第二阈值的二叉树子模型时，将该二叉树子模型从所述再训练后的树集成数据识别模型中删除，得到新的树集成数据识别模型；

利用所述新的树集成数据识别模型，在所接收的新的网络数据的数量达到预设的第三数量时，对所接收的新的网络数据进行检测，所述第三数量大于一。

2.根据权利要求1所述的方法，其特征在于，所述按时间先后顺序依次接收各个网络数据，直到所接收的所述网络数据的数量达到预设的第一数量时，将第一数量个网络数据组成数据集的步骤，包括：

按照所述网络数据的发送时间先后顺序，利用预先创建的滑动窗口依次接收各个网络数据；

当所述滑动窗口内的网络数据达到第一数量时，获取所述滑动窗口内的网络数据；

将所述滑动窗口内的第一数量个网络数据组成数据集。

3.根据权利要求1所述的方法，其特征在于，所述使用预设的树集成数据识别模型，对所述数据集中的各个网络数据进行识别处理，得到处理结果的步骤，包括：

将所述数据集输入至所述预设的树集成数据识别模型中；

针对所述数据集中的每个网络数据，确定该网络数据按照当前二叉树子模型的每个节点的分支节点生成条件对应的第一叶子节点，所述当前二叉树子模型是所述预设的树集成数据识别模型中每个二叉树子模型；

计算所述第一叶子节点与当前二叉树子模型的根节点之间的目标深度；

按照预设的深度指标表达式，计算所述目标深度的深度指标值；

将所述目标深度的深度指标值大于第三阈值时的网络数据，确定为异常数据；

将所述目标深度的深度指标值小于或等于第三阈值时的网络数据，确定为非异常数据。