[发明专利]工控网络负例样本数据生成方法、装置、服务器和介质

说明书

本发明实施例涉及一种工控网络负例样本数据生成方法、装置、服务器和介质，该包括：获取工业控制网络正例样本数据记录集，正例样本数据记录集包括m条正例样本数据记录，每条正例样本数据记录包括多个维度的采集数据，每条正例样本数据记录设有n个维度数据，每个维度具有相应预设权重；依据维度预设权重，计算每条正例样本数据记录中各维度之间相互紧密程度；将强相关的维度分为一组；分别对每组正例样本数据记录中的维度数据进行攻击，生成负例样本数据。能够获得满足质量、数量要求的负例样本数据，进而实现获得准确的工控网络系统攻击检测模型。

技术领域

本发明实施例涉及工业控制网络（以下简称工控网络）的负例样本数据生成技术，特别涉及工控网络负例样本数据生成方法、装置、服务器和介质。

背景技术

在“工业4.0”及“中国制造2025”的大潮下，工控网络系统正朝着高度信息化方向发展，越来越多的工控网络系统及设备接入互联网，工控网络系统一般包括传感器、执行器、控制器和物理系统等4个部分。传感器采集物理量给控制器，执行器在接收到控制器的算法运算后的控制指令后执行动作(如：打开阀门)，形成闭环控制。

随之而来的各种工控网络系统（industrial control system ICS）安全问题成为企业最大的隐忧，一旦受到攻击，将产生不可估量的后果。从技术上看，工控网络系统除了面临传统的针对计算机的网络安全威胁以外，更重要是利用工控网络系统本身的软件硬件特性、通信协议、操作指令和基础设施生产装置的弱点攻击，导致一般的互联网安全技术人员难以发现，即具有高专业性、高隐蔽性、高复杂性、难以被发现、难以被跟踪（即“三高两难”）特性。

具不完全统计，在相关领域的大数据态势感知研究中80％的时间与精力花费在数据集的建立阶段，是整个研究过程中第一步也是最花费时间的一步，直接关系到态势感知的优劣。目前国内该领域数据集研究成果相对较少，实用性成果更不多见。因此，工控网络安全防护，首要迫切需要的是建立统一规范的数据集，获取安全态势产生影响的要素，为网络安全提供强有力的支撑和研究基础。

工控网络大数据是重要的战略资源，也是保证工控网络系统安全的重要手段，但是，各种过程参数、泵及电动阀门等设备的工作数据，OPC协议、485接口协议、Modbus协议等多种协议数据相关研究很少，且数量巨大、不完整、格式多样、数据重复、特征冗余，因此，工控网络大数据不是可以直接处理的数据。

参见图1，工控网络系统的业务数据的多源异构性一方面来自于产生数据的设备和系统不同,以及数据类型本身的不同;另一方面也来自于不同安全服务商的监测技术或数据输出标准的不同。二者相互叠加,就形成了复杂的异构数据体系,往往很难“互联互通”,建立规范统一的数据集。当数据量不够的时候一个有效的方法便是使用样本生成技术来进行数据集的扩增。通常传统上多数采用均匀分布或者伯努利分布的负采样的方式构建负例样本，随机采样得到的绝大部分样本很难与正样本中的关系与实体组成一个可信样本。而包含正常和受攻击后的训练集以及测试集是工控网络系统攻击检测模型实现的基础，数据量和数据质量影响攻击检测模型最终表现效果。发明人发现现有技术中至少存在如下问题：虽然工控网络数据中心采集的海量实际量测数据是理想的数据样本，但是具有攻击特性的负例样本在实际生产生活中难以获得，导致很难获得准确的工控网络系统攻击检测模型。

发明内容

本发明实施方式的目的在于提供一种工控网络负例样本数据生成方法、装置、服务器和介质，能够获得满足质量、数量要求的负例样本数据，进而实现获得准确的工控网络系统攻击检测模型。

为解决上述技术问题，本发明的实施方式提供了以下解决方案：