[发明专利]一种智能工控安全监控与防护方法和系统

说明书

提供了一种智能工控安全监控与防护方法、系统和存储介质。所述方法包括：获取将要输入到所述智能工控系统中的数据包，将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类；以及根据所述威胁种类判断所述数据包是否具有威胁，如果判断所述数据包具有威胁，则进行报警和/或对所述数据包进行拦截，如果判断所述数据包不具有威胁，则允许所述数据包输入所述智能工控系统以进行后续操作。通过本发明的方案，不但可以实时监控智能工控系统以判断数据包是否具有威胁，还可以给出威胁的类别，对于威胁的定位更加精确，并且可以拦截判断为具有威胁的数据包，从而提高智能工控系统的安全性。

技术领域

本发明涉及智能工业控制系统领域，具体涉及一种用于智能工控系统的智能工控安全监控与防护方法和系统。

背景技术

工业控制系统(简称工控系统)作为国家重点信息基础设施的重要组成部分，其安全性受到了越来越多的重视，但由于工控系统建立之初是以业务优先，并未考虑太多安全方面的因素，而传统的防护方式也只是采用防火墙、杀毒软件等被动防护方式，因此工控系统极易因本身存在的漏洞而被攻击者攻破。目前所能采取的措施比较有限，基本是发现漏洞后上报厂家进行漏洞修复，但这种方法效率很低，并且很多情况下厂家也不能提供很好的修复方案，因为厂家设计产品时主要考虑产品的性能，并未将相对复杂的例如登录认证、权限管理等安全因素引入到产品中。工控网络安全管理人员在威胁识别、发现隐患及系统维护方面都面临着很大的难题，发生网络攻击时，网络安全管理人员很难及时发现攻击并且针对不同攻击采取相应措施。

因此，需要一种能够解决上述问题至少之一的智能工控安全监控与防护系统。

发明内容

为解决上述技术问题至少之一，本发明提出了如下的智能工控安全监控与防护方法和相应的系统。

根据本发明的第一方面，提供一种智能工控安全监控与防护方法，包括：

获取将要输入到所述智能工控系统中的数据包，将获取的所述数据包输入到预训练的威胁识别模型中进行威胁识别并且确定所述数据包具有的威胁种类；以及

根据所述威胁种类判断所述数据包是否具有威胁，如果判断所述数据包具有威胁，则进行报警和/或对所述数据包进行拦截，如果判断所述数据包不具有威胁，则允许所述数据包输入所述智能工控系统以进行后续操作

在一个实施方案中，所述威胁识别模型是通过以下方式被预训练的：

定义包含一个或多个种类的关于所述智能工控系统的威胁的威胁种类集合；

获取关于智能工控系统运行的至少一个数据包，从所述至少一个数据包中提取出一个或多个数据包特征，并且将获取到的所述至少一个数据包及其相关信息存储到数据库中；

获取所述数据库中存储的多于一个的数据包及其相关信息以建立数据集，其中所述相关信息包括所述数据包的数据包特征和所述数据包具有的威胁种类，并且其中所述数据包包括正常数据包和异常数据包；以及

将所述数据集中的一部分作为训练集以使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数，其中所述模型参数与输入到所述威胁识别模型中的数据包属于每一种威胁类型的概率有关。

在一个实施方案中，所述方法还包括：

获取所述数据集中的另一部分作为测试集或者实时抓取将要输入到所述智能工控系统中的数据包，向预训练的威胁识别模型发送所述测试集或实时抓取的数据包进行威胁识别，根据威胁识别结果以及所述智能工控系统的后续反馈得出被误拦截和/或误通过的数据包数量，从而计算出误拦截率和/或误通过率，并且根据所述误拦截率和/或误通过率对所述预训练的威胁识别模型进行修正。

在一个实施方案中，所述使用机器学习算法对所述威胁识别模型进行训练从而计算出所述威胁识别模型的模型参数包括：