[发明专利]工业控制系统的入侵检测方法、存储器和处理器

说明书

本申请公开了一种工业控制系统的入侵检测方法、存储器和处理器，所述方法包括，利用大数据平台采集监测点数据，并进行实时数据缓冲存储和离线数据存储；将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练；将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为；若否，则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为；若是，则将上述存储的实时数据作为训练数据参与有监督模型的训练。通过本申请解决了工业控制系统入侵检测准确度和效率有待提高的问题，从而实现了工业控制入侵检测的高准确度和高效率。

技术领域

本申请涉及到工业互联网安全领域，具体地涉及一种面向工业控制系统的分布式入侵检测方法。

背景技术

自2010年出现Stuxnet病毒以来，工业控制系统(Industrial Control System，ICS)信息安全防护方法和技术问题引起研究领域的广泛关注。入侵检测已被公认为是检测入侵行为的重要技术。作为一种主动安全防御手段，入侵检测通过快速收集、分析网络通信行为数据，并利用已知模型对其作出判断，以识别工业控制网络中的入侵行为，并在入侵行为发生作用前发出报警信号，启动防御措施。高效的入侵检测系统能够弥补安全机制缺陷，实时监控网络流量，对于有效防范网络攻击、保障工业控制网络安全运行具有重要意义。近年来，随着工业控制网络安全问题的持续增加，国内外学者对其入侵检测技术展开了广泛而深入的研究，提出了很多建设性方法。研究的方法主要包含基于行为、状态和协议，基于模型，基于机器学习检测方法及其他检测方法几个方面。

由于ICS运行中断会造成严重损失，ICS要求设备7/24小时不间断运行，想要进行系统错误修复或软件更新非常困难。并且ICS持续运行产生大量实时数据，如部分传感器采用高速采样(每秒120次)，并以较低延迟发往处理单元。这就要求入侵检测算法能够实时处理大量数据。此外，ICS中包含的传感器和执行器存储、计算能力有限，且分布于环境差异较大的集中或分散的物理空间，存在传输时延，很难执行复杂的安全程序，限制了较高复杂度的方法的应用。因此，工业控制系统入侵检测面临准确度和效率有待提高的问题。

发明内容

本申请实施例提供了一种工业控制系统的入侵检测方法、存储器和处理器，以至少解决工业控制系统入侵检测准确度和效率有待提高的问题。

根据本申请的一个方面，提供了一种工业控制系统的入侵检测方法，

利用大数据平台采集监测点数据，并进行实时数据缓冲存储和离线数据存储；

将存储的离线数据作为训练集分别参与有监督模型的训练和无监督模型的训练；

将存储的实时数据输入训练完成的有监督模型中识别是否为已知入侵行为；

若否，则将上述存储的实时数据输入无监督模型中识别是否为该无监督模型中已学习的未知入侵行为；

若是，则将上述存储的实时数据作为训练数据参与有监督模型的训练。

进一步的，在本发明中，该方法中至少采用以下技术之一：所述大数据平台为Hadoop；所述监测点数据通过flume技术采集。

进一步的，在本发明中，该方法中至少采用以下技术之一：所述实时数据缓冲存储在Kafka中；所述离线数据存储在HDFS中。

进一步的，在本发明中，所述有监督模型结合MapRduce算法和LightGBM算法。

进一步的，在本发明中，所述有监督模型训练过程如下：

初始化决策树；

将大数据平台中的每个参与计算的对象当作一个计算实体进行映射；

将每个计算实体的映射结果进行归约；