[发明专利]基于梯度提升决策树算法的工控漏洞检测方法和系统

权利要求书

1.基于梯度提升决策树算法的工控漏洞检测方法，其特征在于，包括：

S1、获取工控系统中的数据包，分析所述数据包，提取数据特征，将所述数据特征划分为训练集和测试集；

S11，对所述数据特征动静结合分析，将数据特征构成数字向量；

S12，以数字向量的形式划分数据特征，得到训练集和测试集；

S2、基于梯度提升决策树算法，以所述训练集训练漏洞检测模型；

S3、根据所述测试集评估训练完成的漏洞检测模型；

S31、选取并计算所述漏洞检测模型的性能评估指标；

S32、根据所述性能评估指标的计算值评估所述漏洞检测模型；

S4、通过满足评估标准的漏洞检测模型实现工控系统的漏洞检测。

2.如权利要求1所述的方法，其特征在于，所述数据特征包括静态特征和动态特征，所述静态特征包括注释数量，变量数量，函数数量，运算符数量，指令序列，控制流图；所述动态特征包括API调用，函数调用，输入输出，资源利用和内存映像。

3.如权利要求2所述的方法，其特征在于，所述数字向量构成公式包括：

。

4.如权利要求3所述的方法，其特征在于，所述漏洞检测模型的训练过程包括：

S21、初始化分类器：将初始分类器设定为训练集中所有样本数据特征的平均值；

其中，表示当前分类器；表示训练集中的第i个样本的数据特征，n为当前训练集中的样本个数；表示第i个样本的数据特征的实际值；

S22、计算残差：计算每个样本的残差；

其中，表示第m颗决策树上的样本i的残差，表示当前决策树的预测值；

S23、构建树模型：拟合残差学习一颗回归树，得到回归树；

S24、增大模型复杂度：将当前决策树加入回归树中，得到更新的决策树；

S25、重复S22~S24：达到拟合效果后，停止迭代，得到最终的提升树；

其中，提升树为前M颗树的加权和。

5.如权利要求1所述的方法，其特征在于，所述性能评估指标及评估方法包括：

准确率P：

其中，准确率P是指分类判断正确的代码在所有样本中所占的比例，准确率越高说明漏洞检测的成功率越高，TP表示真良性代码，FP表示假良性代码；

召回率R：

其中，召回率R是指所有实际为良性代码的样本中，被所述漏洞检测模型正确预测为良性代码的样本数量占比，召回率高表示分类器对正样本分类的漏判较少，FN表示假的恶意代码；

F1得分：

其中，F1得分是所述准确率和所述召回率的调和平均，F1值越高，分类器性能越好。

6.基于梯度提升决策树算法的自适应工控漏洞检测系统，其特征在于，包括：

获取模块：用于获取工控系统中的数据包，分析所述数据包，提取数据特征，将所述数据特征划分为训练集和测试集；

训练模块：用于基于梯度提升决策树算法，以所述训练集训练漏洞检测模型；

评估模块：用于根据所述测试集评估所述漏洞检测模型；

检测模块：用于通过满足评估标准的漏洞检测模型实现工控系统的漏洞检测。

7.如权利要求6所述的系统，其特征在于，所述获取模块包括：

分析子模块：用于对所述数据特征动静结合分析，将数据特征构成数字向量；

划分子模块：用于以数字向量的形式划分数据特征，得到训练集和测试集。

8.如权利要求6所述的系统，其特征在于，所述评估模块包括：

选取子模块：用于选取并计算所述漏洞检测模型的性能评估指标；

评估子模块：用于根据所述性能评估指标的计算值评估所述漏洞检测模型。

9.一种存储介质，其特征在于，所述存储介质存储有多条指令所述指令适于由处理器加载并执行权利要求1至5中任意一项所述的方法。

10.一种电子设备，包括：一个或多个处理器和存储器，其特征在于，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至5中任意一项所述的方法。