[发明专利]一种基于自学习白名单的工控异常行为分析方法及系统

说明书

一种基于自学习白名单的工控异常行为分析方法及系统，包括异常行为检测系统、自学习系统和白名单系统；其中，自学习系统和白名单系分别与异常行为检测系统通讯连接，自学习系统和白名单系统通讯连接；异常行为检测系统包括规则检测模块、自动梳理模块、指令监测模块、报文异常检测模块、漏洞攻击检测模块、协议入侵检测模块和以太网入侵检测模块；自学习系统包括特征提取模块、特征映射模块、训练数据库、评估模块、特征学习模块和修复更改模块；本发明可以通过评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，同时有效地检测并解决病毒、恶意软件的入侵，防止核心数据、配方被窃取，保密性能高；提高安全性能。

技术领域

本发明涉及异常行为分析技术领域，尤其涉及一种基于自学习白名单的工控异常行为分析方法及系统。

背景技术

工业控制系统(Industrial Control Systems,ICS)是由计算机设备与工业过程控制部件组成的自动控制系统，在铁路，石化和电力等关键基础设施领域发挥着重要作用。随着工业信息化进程的不断进行，工业控制系统的封闭性逐渐被打破，越来越多的信息和计算机技术被广泛应用于工业控制领域。这使得工业控制系统被恶意程序或者网络攻击破坏的风险大大增加，工业控制系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中，如遭受攻击，会带来重大经济损失。因此，工控安全问题已成为当前世界各国最为重视的安全问题；为解决上述问题，本申请中提出一种基于自学习白名单的工控异常行为分析方法及系统。

发明内容

（一）发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于自学习白名单的工控异常行为分析方法及系统，可以通过评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，同时有效地检测并解决病毒、恶意软件的入侵，防止核心数据、配方被窃取，保密性能高；对工控系统功能未授权的访问和请求进行评估，提高安全性能。

（二）技术方案

本发明提供了一种基于自学习白名单的工控异常行为分析方法及系统，包括异常行为检测系统、自学习系统和白名单系统；其中，自学习系统和白名单系分别与异常行为检测系统通讯连接，自学习系统和白名单系统通讯连接；异常行为检测系统包括规则检测模块、自动梳理模块、指令监测模块、报文异常检测模块、漏洞攻击检测模块、协议入侵检测模块和以太网入侵检测模块；自学习系统包括特征提取模块、特征映射模块、训练数据库、评估模块、特征学习模块和修复更改模块；其中，

规则检测模块，用于规划检测规则，且检测规则按照各检测场景进行分类，便于检测规则的查看与配置；

自动梳理模块，用于自动获取网络连接信息，以及自动发现各网络、活跃IP，并将发现的网段进行梳理并绘制出网络拓扑图，便于查看各主机之间的网络连接情况；

指令监测模块，用于根据预设的指令针对网络环境中重点或者敏感操控命令进行专门监测并记录；

报文异常检测模块，用于网络伪造报文攻击检测，及时发现恶意构造的异常报文和畸形报文；

漏洞攻击检测模块，用于系统内置多条工控漏洞攻击检测规则，支持利用已知工控设备漏洞的入侵攻击行为检测；

协议入侵检测模块，用于对工控语言的解读，研究其中各种入侵途径，从而形成工控网络检测策略；

以太网入侵检测模块，用于对标准以太网的网络流量进行检测防止入侵行为的发生；

特征提取模块，用于提取数据中的特征；

特征映射模块，用于将高维数据的特征向量映射到一维或者低维空间的过程；

训练数据库，用于从数据中提取出隐含的过去未知的有价值的潜在信息；