[发明专利]一种基于机器学习的工控态势感知系统及方法

权利要求书

1.一种基于机器学习的工控态势感知系统，包括：

数据收集模块，用于对不同的网络安全设备的告警数据集进行收集；

原始告警数据库模块，用于统一处理不同种类的安全设备所产生告警信息；

告警聚类模块，用于实现告警聚合；

候选攻击序列库模块，用于候选攻击序列的生成；

攻击序列模式挖掘模块，用于生成最大攻击模式MASP。

2.一种基于机器学习的工控态势感知方法，包括：

S1：数据收集：在企业内网和互联网部署了预设数量的防火墙、入侵检测系统(Intrusion Detection Systems，IDS)、入侵诱捕系统(简称蜜罐，Honeypot)和漏洞扫描系统，对不同的网络安全设备的告警数据集进行收集；

S2：构建原始告警数据库：首先需要对不同种类的安全设备所产生告警信息的格式进行规范化处理，然后，通过采用正则表达式，以字符串匹配的方式从告警日志中提取的属性信息，构建原始告警数据库；

S3：聚类同一阶段告警：首先对原始冗余告警数据进行提炼压缩，减少处理数据的规模，然后以告警类型为单位进行研究，构建告警类型与攻击阶段的映射关系，并采用关联规则挖掘算法Apriori实现告警聚合；

S4：形成候选攻击序列库：首先，引入滑动窗口的概念对全局告警序列进行划分，得到候选序列集，窗口大小即一个攻击事件中包含的最大攻击阶段数；然后，根据滑动窗口大小对攻击序列进行划分，得到的候选攻击序列集；

S5：挖掘攻击序列模式：选用基于划分的模式增长类算法PrefixSpan进行攻击序列模式挖掘，在构建投影数据库时增加剪枝的步骤，将存在非频繁项的后缀从投影数据集中删除；并扫描投影序列数大于最小支持度的投影数据集。

3.根据权利要求2所述的基于机器学习的工控态势感知方法，其中，步骤S3中，所述聚类同一阶段告警具体为：

S31：将原始告警数据中重复告警、并发告警、反复告警三种冗余进行压缩提炼；

S32：在构建告警与攻击阶段映射关系的过程中，如果告警序列中两个类型的告警a₁、a₂经常在较短的时间间隔内先后出现，且正向出现＜...,a₁,...,a₂,...＞以及反向出现＜...,a₂,...,a₁,...＞的频率均大于给定阈值，则认为两个告警属于同一阶段的攻击；

步骤33：采用关联规则挖掘算法Apriori，来实现告警聚合，将同样包含告警信息a₁与a₂的两类项集{...,a₁,...,a₂,...}与{...,a₂,...,a₁,...}分别计数，如果两个告警a₁与a₂在给定的时间间隔内以a₁、a₂或a₂、a₁的顺序出现的频率均大于给定的阈值minsup，且两个告警a₁与a₂之间正向发生的概率support_D(a₁,a₂)/support_D(a₁)，与反向发生的概率support_D(a₂,a₁)/support_D(a₂)均大于给定的阈值minconf，则认为两告警满足强关联规则，并将其归为同一攻击阶段，并将攻击阶段与告警类型的对应关系存入数据库中。

4.根据权利要求2所述的基于机器学习的工控态势感知方法，其中，步骤S4中所述形成候选攻击序列库具体包括：

S41：对同一攻击阶段的告警聚类，得到一个全局攻击序列；

S42：规定一个阈值，假设所有的多阶段攻击事件均在指定的最大阶段阈值内完成，并根据窗口大小完成将全局攻击序列划分为多个候选序列集。