[发明专利]一种基于自学习白名单的工控异常行为分析方法及系统

权利要求书

1.一种基于自学习白名单的工控异常行为分析系统，其特征在于，包括异常行为检测系统、自学习系统和白名单系统；其中，自学习系统和白名单系分别与异常行为检测系统通讯连接，自学习系统和白名单系统通讯连接；

白名单系统包括白名单数据库、信息特征对比模块和数据更新模块；

白名单数据库，用于储存系统设置的白名单数据和账号；

信息特征对比模块，用于将请求授权数据与白名单数据进行对比，如果相同则授权，如果不相同，则不给与授权；

数据更新模块，用于更新白名单的数据和白名单的授权权限；

异常行为检测系统包括规则检测模块、自动梳理模块、指令监测模块、报文异常检测模块、漏洞攻击检测模块、协议入侵检测模块和以太网入侵检测模块；自学习系统包括特征提取模块、特征映射模块、训练数据库、评估模块、特征学习模块和修复更改模块；其中，

规则检测模块，用于规划检测规则，且检测规则按照各检测场景进行分类，便于检测规则的查看与配置；

自动梳理模块，用于自动获取网络连接信息，以及自动发现各网络、活跃IP，并将发现的网段进行梳理并绘制出网络拓扑图，便于查看各主机之间的网络连接情况；

指令监测模块，用于根据预设的指令针对网络环境中重点或者敏感操控命令进行专门监测并记录；

报文异常检测模块，用于网络伪造报文攻击检测，及时发现恶意构造的异常报文和畸形报文；

漏洞攻击检测模块，用于系统内置多条工控漏洞攻击检测规则，支持利用已知工控设备漏洞的入侵攻击行为检测；

协议入侵检测模块，用于对工控语言的解读，研究其中各种入侵途径，从而形成工控网络检测策略；

以太网入侵检测模块，用于对标准以太网的网络流量进行检测防止入侵行为的发生；

特征提取模块，用于提取数据中的特征；

特征映射模块，用于将高维数据的特征向量映射到一维或者低维空间的过程；

训练数据库，用于从数据中提取出隐含的过去未知的有价值的潜在信息；

评估模块，用于评估已有行为的正确性或优良度，并自动修改系统结构或参数以改进自身品质；

特征学习模块，用于学习并将得到的改进和保存；

修复更改模块，用于修复滋生的不足并更改；

基于自学习白名单的工控异常行为分析系统的操作方法，具体包括以下步骤；

S1、首先对获取的数据信息导入异常行为检测系统，对其导入的数据进行检测并阻止异常数据通过，然后将不具有入侵危险的数据导入白名单系统中；

S2、对导入白名单系统中的数据和白名单数据库进行特征分析并对比，当数据对比符合时，给予数据授权请求；当数据对比不符合时做出以下指令：第一将数据导入自学习系统中，并进行评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，再将数据重新导入白名单系统进行数据对比；第二：通过警示模块向主机发送警示信息，及时提醒检测者或者检测系统；

S3、在自学习系统中，先提取数据中的特征并进行映射，之后从数据中提取出隐含的过去未知的有价值的潜在信息，评估已有行为的正确性或优良度，修复滋生的不足并更改；最后将学习并将得到的改进和保存。

2.根据权利要求1所述的一种基于自学习白名单的工控异常行为分析系统，其特征在于，特征提取模块中的提取方法包括WireShark、Tcptrace、QPA、Tstat、CapAnalysis和Xplico。

3.根据权利要求1所述的一种基于自学习白名单的工控异常行为分析系统，其特征在于，特征映射模块中的降维方法包括基于低维投影的降维方法、基于神经网络的降维方法、基于数据间相关度的降维方法和基于分形的降维方法。

4.根据权利要求1所述的一种基于自学习白名单的工控异常行为分析系统，其特征在于，以太网入侵检测模块中可以检测到的入侵包括已知的各种木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDOS、扫描探测、欺骗劫持以及网站挂马。