[发明专利]一种智能工控安全监控与防护方法和系统

权利要求书

1.一种智能工控安全监控与防护方法，包括：

获取将要输入到智能工控系统中的数据包，将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类，所述预训练的威胁识别模型具有模型参数，其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关；以及

根据所述威胁种类判断所述数据包是否具有威胁，如果判断所述数据包具有威胁，则进行报警和/或对所述数据包进行拦截，如果判断所述数据包不具有威胁，则允许所述数据包输入所述智能工控系统以进行后续操作。

2.根据权利要求1所述的方法，其中所述威胁识别模型是通过以下方式被预训练的：

定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合；

获取关于智能工控系统运行的至少一个数据包，从所述至少一个数据包中提取出一个或多个数据包特征，并且将获取到的所述至少一个数据包及其相关信息存储到数据库中；

获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集，其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类，并且其中所述数据包包括正常数据包和异常数据包；以及

将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数。

3.根据权利要求2所述的方法，其中所述方法还包括：

获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包，向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别，根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量，从而计算出误拦截率和/或误通过率，并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。

4.根据权利要求2所述的方法，其中所述使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的所述模型参数包括：

将所述数据集表示为{(x⁽¹⁾,y⁽¹⁾),(x⁽²⁾,y⁽²⁾)…,(x^(m),y^(m))},x⁽ⁱ⁾＝[x_i1,x_i2…x_ij]^T，其中x⁽ⁱ⁾表示所述数据集的m个数据包中的第i个数据包，x_ij表示所述第i个数据包的第j个数据包特征，y⁽ⁱ⁾为所述威胁种类集合Y＝{y₁,y₂,…y_k}中的一种，其表示所述第i个数据包具有的威胁种类，并且将所述模型参数表示为θ＝[θ₁,θ₂,...θ_k]；

定义假设函数为其中为归一化项，p(y⁽ⁱ⁾＝k|x⁽ⁱ⁾；θ)表示数据包x⁽ⁱ⁾具有的威胁y⁽ⁱ⁾为y_k的概率；

根据所述假设函数h_θ得出代价函数其中1{·}的取值规则为大括号内的表达式值为真时取1，为假时取0；

对代价函数进行求导得出如下梯度公式：

其中然后采用梯度下降法迭代更新的公式对所述模型参数θ进行迭代更新以求出所述模型参数θ的最优解，其中α为学习率。

5.根据权利要求2所述的方法，其中所述从所述至少一个数据包中提取出一个或多个数据包特征进一步包括：判断并提取出在所述智能工控系统的正常运行过程中基本保持稳定但是在所述智能工控系统受到攻击时表现为异常的数据包特征。