本發(fā)明涉及工業(yè)自動(dòng)化控制，特別涉及一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的方法及系統(tǒng)。

背景技術(shù)：

1、工控網(wǎng)絡(luò)，作為工業(yè)自動(dòng)化領(lǐng)域的基石，依托特定的通信協(xié)議與先進(jìn)的連接設(shè)備，巧妙地將工廠內(nèi)錯(cuò)綜復(fù)雜的生產(chǎn)流程與自動(dòng)化控制系統(tǒng)編織成一張緊密的信息網(wǎng)絡(luò)。這張網(wǎng)絡(luò)不僅促進(jìn)了各類(lèi)設(shè)備與系統(tǒng)間高效、精準(zhǔn)的數(shù)據(jù)流通，更成為了監(jiān)控、控制及管理生產(chǎn)過(guò)程的強(qiáng)大支撐。在現(xiàn)代工業(yè)生產(chǎn)體系中，工控網(wǎng)絡(luò)占據(jù)著不可或缺的核心地位。

2、為了確保工控網(wǎng)絡(luò)的穩(wěn)定運(yùn)行與數(shù)據(jù)安全，實(shí)時(shí)監(jiān)視機(jī)制顯得尤為重要。通過(guò)實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)，分析監(jiān)視數(shù)據(jù)，能夠偵測(cè)并辨識(shí)網(wǎng)絡(luò)中的異常波動(dòng)或潛在的入侵跡象，從而及時(shí)采取相應(yīng)措施，最大限度地減少潛在損失和風(fēng)險(xiǎn)?，F(xiàn)有的實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵中，主要通過(guò)分析數(shù)據(jù)來(lái)判斷網(wǎng)絡(luò)是否存在異常，但這通常缺乏預(yù)見(jiàn)性，無(wú)法預(yù)測(cè)工控網(wǎng)絡(luò)在未來(lái)可能發(fā)生的數(shù)據(jù)變動(dòng)或安全危險(xiǎn)，在面對(duì)潛在的入侵行為時(shí)，往往只能采取事后反應(yīng)的策略，難以在危險(xiǎn)初現(xiàn)端倪時(shí)就及時(shí)、有效地遏制其擴(kuò)散，進(jìn)而限制了減少潛在損失和風(fēng)險(xiǎn)的能力。

3、因此，如何提供一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的方法及系統(tǒng)，是目前亟待解決的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明實(shí)施例提供了一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的方法及系統(tǒng)，以解決現(xiàn)有技術(shù)中存在的上述技術(shù)問(wèn)題。

2、為了對(duì)披露的實(shí)施例的一些方面有一個(gè)基本的理解，下面給出了簡(jiǎn)單的概括。該概括部分不是泛泛評(píng)述，也不是要確定關(guān)鍵／重要組成元素或描繪這些實(shí)施例的保護(hù)范圍。其唯一目的是用簡(jiǎn)單的形式呈現(xiàn)一些概念，以此作為后面的詳細(xì)說(shuō)明的序言。

3、根據(jù)本發(fā)明實(shí)施例的第一方面，提供了一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的方法。

4、在一個(gè)實(shí)施例中，一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的方法，包括：

5、根據(jù)工控網(wǎng)絡(luò)內(nèi)的通信數(shù)據(jù)，提取特征數(shù)據(jù)，并分析特征數(shù)據(jù)建立工控網(wǎng)絡(luò)基線(xiàn)模型；

6、將特征數(shù)據(jù)與機(jī)器學(xué)習(xí)算法融合，構(gòu)建工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型；

7、將實(shí)時(shí)通信數(shù)據(jù)輸入至工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型內(nèi)，輸出預(yù)測(cè)結(jié)果，并將預(yù)測(cè)結(jié)果與工控網(wǎng)絡(luò)基線(xiàn)模型結(jié)合，對(duì)工控網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)；

8、將入侵檢測(cè)結(jié)果與預(yù)設(shè)的閾值進(jìn)行對(duì)比，并根據(jù)對(duì)比結(jié)果制定對(duì)應(yīng)的監(jiān)視機(jī)制。

9、在一個(gè)實(shí)施例中，所述根據(jù)工控網(wǎng)絡(luò)內(nèi)的通信數(shù)據(jù)，提取特征數(shù)據(jù)，并分析特征數(shù)據(jù)建立工控網(wǎng)絡(luò)基線(xiàn)模型包括：

10、運(yùn)用網(wǎng)絡(luò)抓包工具獲取工控網(wǎng)絡(luò)中的通信數(shù)據(jù)，并對(duì)通信數(shù)據(jù)進(jìn)行預(yù)處理；

11、利用統(tǒng)計(jì)分析技術(shù)從預(yù)處理后的通信數(shù)據(jù)中提取特征數(shù)據(jù)，其中，特征數(shù)據(jù)包括網(wǎng)絡(luò)流量特征數(shù)據(jù)、時(shí)間模式特征數(shù)據(jù)及行為異常特征數(shù)據(jù)；

12、采用方差分析及偏差分析算法對(duì)提取的特征數(shù)據(jù)進(jìn)行分析，識(shí)別通信變量；

13、利用關(guān)聯(lián)規(guī)則挖掘算法對(duì)通信變量進(jìn)行關(guān)聯(lián)規(guī)則挖掘，生成通信關(guān)聯(lián)規(guī)則發(fā)現(xiàn)；

14、結(jié)合通信關(guān)聯(lián)規(guī)則發(fā)現(xiàn)與層次聚類(lèi)算法，對(duì)預(yù)處理后的通信數(shù)據(jù)進(jìn)行分類(lèi)；

15、利用解釋性分析技術(shù)分析各類(lèi)通信數(shù)據(jù)，并根據(jù)各類(lèi)通信數(shù)據(jù)的分析結(jié)果建立工控網(wǎng)絡(luò)基線(xiàn)模型。

16、在一個(gè)實(shí)施例中，所述結(jié)合通信關(guān)聯(lián)規(guī)則發(fā)現(xiàn)與層次聚類(lèi)算法，對(duì)預(yù)處理后的通信數(shù)據(jù)進(jìn)行分類(lèi)包括：

17、基于通信關(guān)聯(lián)規(guī)則發(fā)現(xiàn)的結(jié)果，篩選出用于層次聚類(lèi)分析的通信數(shù)據(jù)；

18、將篩選后的通信數(shù)據(jù)作為初始聚類(lèi)，利用通信相似度公式計(jì)算初始聚類(lèi)之間的相似度值；

19、選取相似度值最高的若干聚類(lèi)進(jìn)行合并，生成新的聚類(lèi)；

20、重復(fù)執(zhí)行聚類(lèi)合并操作，直至達(dá)到預(yù)設(shè)的聚類(lèi)閾值，獲取聚類(lèi)結(jié)果；

21、根據(jù)聚類(lèi)結(jié)果，將預(yù)處理后的通信數(shù)據(jù)分配到各聚類(lèi)類(lèi)別中，得到通信數(shù)據(jù)的分類(lèi)。

22、在一個(gè)實(shí)施例中，所述通信相似度公式為：

23、

24、式中，lm，n表示通信數(shù)據(jù)中第m個(gè)聚類(lèi)與第n個(gè)聚類(lèi)之間的相似度值；cm表示通信數(shù)據(jù)中第m個(gè)聚類(lèi)數(shù)據(jù)集合，cn表示通信數(shù)據(jù)中第n個(gè)聚類(lèi)數(shù)據(jù)集合；j（cm，cn）表示cm與cn之間的杰卡德系數(shù)；s表示通信數(shù)據(jù)中第m個(gè)聚類(lèi)與第n個(gè)聚類(lèi)之間的聚類(lèi)數(shù)量；ω表示調(diào)節(jié)參數(shù)；k表示通信數(shù)據(jù)中的聚類(lèi)數(shù)量；tm表示通信數(shù)據(jù)中第m個(gè)聚類(lèi)對(duì)應(yīng)的相似度系數(shù)；tn表示通信數(shù)據(jù)中第n個(gè)聚類(lèi)對(duì)應(yīng)的相似度系數(shù)；tk表示通信數(shù)據(jù)中第m個(gè)聚類(lèi)與第n個(gè)聚類(lèi)之間的相似度系數(shù)。

25、在一個(gè)實(shí)施例中，所述將特征數(shù)據(jù)與機(jī)器學(xué)習(xí)算法融合，構(gòu)建工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型包括：

26、根據(jù)提取的特征數(shù)據(jù)，建立特征數(shù)據(jù)集，并將特征數(shù)據(jù)集劃分為訓(xùn)練集與測(cè)試集；

27、結(jié)合特征數(shù)據(jù)與隨機(jī)森林算法，構(gòu)建初始工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型；

28、利用訓(xùn)練集訓(xùn)練初始工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型，并通過(guò)測(cè)試集評(píng)估訓(xùn)練完成后的初始工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型，得到工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型。

29、在一個(gè)實(shí)施例中，所述工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型的公式為：

30、

31、式中，n表示工控網(wǎng)絡(luò)入侵預(yù)測(cè)值；m表示隨機(jī)森林中決策樹(shù)的數(shù)量；fz（x）表示第z棵決策樹(shù)對(duì)輸入特征數(shù)據(jù)x的預(yù)測(cè)結(jié)果。

32、在一個(gè)實(shí)施例中，所述將實(shí)時(shí)通信數(shù)據(jù)輸入至工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型內(nèi)，輸出預(yù)測(cè)結(jié)果，并將預(yù)測(cè)結(jié)果與工控網(wǎng)絡(luò)基線(xiàn)模型結(jié)合，對(duì)工控網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)包括：

33、收集工控網(wǎng)絡(luò)內(nèi)的實(shí)時(shí)通信數(shù)據(jù)，并對(duì)實(shí)時(shí)通信數(shù)據(jù)進(jìn)行預(yù)處理；

34、從預(yù)處理后的實(shí)時(shí)通信數(shù)據(jù)中提取實(shí)時(shí)特征數(shù)據(jù)，并將實(shí)時(shí)特征數(shù)據(jù)輸入至工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型內(nèi)，輸出預(yù)測(cè)結(jié)果；

35、根據(jù)工控網(wǎng)絡(luò)基線(xiàn)模型，獲取各類(lèi)特征數(shù)據(jù)；

36、將預(yù)測(cè)結(jié)果與各類(lèi)特征數(shù)據(jù)進(jìn)行比對(duì)，計(jì)算數(shù)據(jù)差值。

37、在一個(gè)實(shí)施例中，所述監(jiān)視機(jī)制包括警報(bào)監(jiān)視機(jī)制及網(wǎng)絡(luò)監(jiān)視機(jī)制。

38、在一個(gè)實(shí)施例中，所述將入侵檢測(cè)結(jié)果與預(yù)設(shè)的閾值進(jìn)行對(duì)比，并根據(jù)對(duì)比結(jié)果制定對(duì)應(yīng)的監(jiān)視機(jī)制包括：

39、將計(jì)算得到的數(shù)據(jù)差值與預(yù)設(shè)閾值進(jìn)行對(duì)比，并根據(jù)對(duì)比結(jié)果判斷工控網(wǎng)絡(luò)是否發(fā)生入侵；

40、若數(shù)據(jù)差值大于或等于預(yù)設(shè)閾值，則工控網(wǎng)絡(luò)發(fā)生入侵，啟動(dòng)警報(bào)監(jiān)視機(jī)制，并將警報(bào)發(fā)送至工控網(wǎng)絡(luò)管理員；

41、若數(shù)據(jù)差值小于預(yù)設(shè)閾值，則工控網(wǎng)絡(luò)沒(méi)有發(fā)生入侵，繼續(xù)保持網(wǎng)絡(luò)監(jiān)視機(jī)制。

42、根據(jù)本發(fā)明實(shí)施例的第二方面，提供了一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的系統(tǒng)。

43、在一個(gè)實(shí)施例中，所述一種用于實(shí)時(shí)監(jiān)視工控網(wǎng)絡(luò)入侵的系統(tǒng)，包括：

44、工控網(wǎng)絡(luò)基線(xiàn)模型建立模塊，用于根據(jù)工控網(wǎng)絡(luò)內(nèi)的通信數(shù)據(jù)，提取特征數(shù)據(jù)，并分析特征數(shù)據(jù)建立工控網(wǎng)絡(luò)基線(xiàn)模型；

45、工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型構(gòu)建模塊，用于將特征數(shù)據(jù)與機(jī)器學(xué)習(xí)算法融合，構(gòu)建工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型；

46、工控網(wǎng)絡(luò)入侵檢測(cè)模塊，用于將實(shí)時(shí)通信數(shù)據(jù)輸入至工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型內(nèi)，輸出預(yù)測(cè)結(jié)果，并將預(yù)測(cè)結(jié)果與工控網(wǎng)絡(luò)基線(xiàn)模型結(jié)合，對(duì)工控網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)；

47、入侵檢測(cè)結(jié)果處理模塊，用于將入侵檢測(cè)結(jié)果與預(yù)設(shè)的閾值進(jìn)行對(duì)比，并根據(jù)對(duì)比結(jié)果制定對(duì)應(yīng)的監(jiān)視機(jī)制。

48、根據(jù)本發(fā)明實(shí)施例的第三方面，提供了一種計(jì)算機(jī)設(shè)備。

49、在一些實(shí)施例中，所述計(jì)算機(jī)設(shè)備包括存儲(chǔ)器和處理器，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)上述方法的步驟。

50、根據(jù)本發(fā)明實(shí)施例的第四方面，提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

51、在一個(gè)實(shí)施例中，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法的步驟。

52、本發(fā)明實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

53、1、本發(fā)明通過(guò)深度挖掘工控網(wǎng)絡(luò)中的通信數(shù)據(jù)，建立了工控網(wǎng)絡(luò)基線(xiàn)模型，從而精準(zhǔn)地描繪了網(wǎng)絡(luò)在不同狀態(tài)下的行為特征，為后續(xù)的異常行為檢測(cè)奠定了堅(jiān)實(shí)的基礎(chǔ)，能夠更加敏銳地察覺(jué)并應(yīng)對(duì)潛在的安全威脅，進(jìn)而實(shí)現(xiàn)了工控網(wǎng)絡(luò)安全性的顯著提升。

54、2、本發(fā)明通過(guò)將實(shí)時(shí)通信數(shù)據(jù)輸入到工控網(wǎng)絡(luò)入侵預(yù)測(cè)模型中，輸出預(yù)測(cè)結(jié)果，并將預(yù)測(cè)結(jié)果與工控網(wǎng)絡(luò)基線(xiàn)模型中的各類(lèi)特征數(shù)據(jù)進(jìn)行對(duì)比，能夠迅速識(shí)別出偏離正常行為模式的異常通信數(shù)據(jù)，極大地加速了對(duì)潛在入侵行為的檢測(cè)速度，確保了安全團(tuán)隊(duì)能夠迅速響應(yīng)并采取相應(yīng)的防御措施。

55、3、本發(fā)明通過(guò)監(jiān)視機(jī)制，能夠根據(jù)入侵檢測(cè)結(jié)果，動(dòng)態(tài)調(diào)整監(jiān)視策略，確保采取最為有效的應(yīng)對(duì)措施，不僅提升了應(yīng)急響應(yīng)能力，還為后續(xù)的安全策略?xún)?yōu)化提供了豐富的數(shù)據(jù)支持；此外，整個(gè)監(jiān)視流程的自動(dòng)化設(shè)計(jì)，從數(shù)據(jù)提取、模型構(gòu)建到實(shí)時(shí)檢測(cè)與結(jié)果處理，均大幅減少了人工干預(yù)，不僅提高了運(yùn)維效率，還顯著降低了因人為錯(cuò)誤引發(fā)的安全風(fēng)險(xiǎn)及監(jiān)控成本，實(shí)現(xiàn)了成本與效益的雙重優(yōu)化。

56、應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。