[发明专利]一种基于多模式人工智能的工控安全检测系统

权利要求书

1.一种基于多模式人工智能的工控安全检测和防御系统，其特征在于通过多个模块或子系统之间的密切配合和协同进化，逐步提高整个系统的安全检测和防御能力，整个系统提供的攻防策略可以根据生产者的规模和需求配置，进行动态的自我调节，且具有一定的可解释性，也为其他具有类似情况的生产方提供借鉴和参考；主要包括，模型搭配模块，工控及其数据分析模块，工控模拟系统，蜜罐及其数据分析模块，攻防对抗模块；

工控模拟系统包含三个功能独立但相互配合的子模块，分别是工艺仿真模块，模式数据生成模块，异常情景修复模块；工艺仿真模块根据工厂生产的标准工艺，仿真工控环境生产过程中各部分的数据流；模式数据生成模块接收对真实工控流量分析挖掘后得到的模式，并结合工艺仿真模块，生成据有可变性的模拟数据，然后定期发送到真实工控环境进行验证，得到的反馈结果交给异常情景修复模块处理，以修复模拟软件系统的bug和提高模拟质量；

工控及其数据分析模块，实时记录正常生产的流量数据的同时，定期分析随着生产方生产规模和产品或工艺的改变而改变的实时数据，挖掘其在不同时期的正常模式和变化模式；定期发送到工控模拟系统中的模式数据生成模块；定期接收模拟环境在其挖掘的模式基础上生成的数据，进行模拟数据异常情况的反馈，以增加模拟环境生成数据的多样性，真实性和稳定性；

蜜罐及其数据分析模块中的蜜罐本身不用单独去设计，其搭建框架可以复刻或简化工控模拟环境中的配置；在工控环境的实际部署时，一方面可以分担对工控系统实际攻击的流量压力，另一方面记录攻击行为；攻击行为经过其数据分析模块得到的启发式策略，发送到在工控模拟环境中进行对抗博弈的双方，以提高攻防双方的水平，同时攻防双方策略的更新，使攻防双方在工控模拟环境中的行为更贴近真实工控系统与互联网连接后的情况，在实际部署前，也可以检验攻防策略的有效性；

模型搭配模块在于初始阶段为工控模拟系统中对抗博弈双方筛选合适的基本模型，构建基本模型之间的组合关系；之后随着工控模拟环境的不断完善，则可以利用其模拟出的源源不断的正反均衡数据去训练更多的人工智能模型，供工控模拟环境中的对抗博弈双方使用，如此循环迭代，进一步提高对抗博弈的水平；

在攻防对抗模块中，攻防博弈双方采纳模型搭配模块筛选和训练的模型，在工控模拟环境中进行对抗博弈模拟；具体博弈过程：防御/攻击模型训练时，工控模拟环境的规模与配置和攻击/防御模型保持不变；在攻防双方达到纳什均衡后，根据生产方的规划，决定是否进行模拟环境扩容和配置改变，以便继续进行下一阶段的博弈对抗；

所述系统执行如下步骤：

(1)模型搭配模块依据强化学习的思想筛选可用的基本模型及构建模型之间的组合关系，为攻防双方搭配博弈对抗的模型；

(2)工控模拟系统依据工控生产的标准工艺产生模拟数据和生产设备之间的通信流量数据；

(3)首先依据不同人工智能模型的需要，对模拟的工控数据进行相应的预处理，然后攻防对抗模块采用模型搭配模块提供的初始模型进行攻防博弈，当攻防双方能力不均衡时，攻防对抗模块可与模型搭配模块进行协商处理；

(4)工控及其数据分析模块在正常生产时存储实时流量数据，并挖掘流量数据的内在模式，将其发送给工控模拟环境中的模式数据生成模块，同时在不干扰生产方正常生产的情况下，测试工控模拟环境产生的数据的合理性，将异常情况反馈给工控模拟环境中的异常情景修复模块；

(5)工控模拟系统依据真实工控系统对模拟数据的异常反馈，进行异常情景修复，即修复模拟软件系统编码的设计缺陷；依据真实工控系统反馈来的数据内在模式，继续生成模拟数据，以增加模拟工控数据的多样性，工控模拟系统通过接收来自真实工控系统的两种反馈，不断进行迭代改进，以缩小与真实工控系统的差距；

(6)蜜罐及其数据分析模块复刻或简化工控模拟环境，然后部署在实际的互联网环境中，经过一段时间的运行后，通过分析经由蜜罐的流量数据，启发式策略被发送给攻防对抗模块以供攻防双方参考；

(7)在攻防对抗模块中，博弈对抗双方可以通过工控模拟环境的配置修改、蜜罐及其数据分析模块输出的启发式策略，进行动态调整，在此基础上开始新一轮的博弈对抗，不断为今后的安全防护提供预见性的参考和指导，博弈对抗的主要形式是，模拟环境的容量和配置不变，在攻击/防御方训练时，防御/攻击方积极防御/攻击但自身策略不变，当对抗双方达到纳什均衡后，根据生产方需要对模拟环境进行扩容或结构调整；

(8)在整个系统运行了一段时间后，工控模拟系统可以产生正反比例均衡的数据，模型搭配模块由于有了更多的优质训练数据，可以更加灵活的进行模型的选择，组合和训练。