一种基于自学习白名单的工控异常行为分析方法及系统与流程

[0001]
本发明涉及异常行为分析技术领域，尤其涉及一种基于自学习白名单的工控异常行为分析方法及系统。


背景技术：

[0002]
工业控制系统(industrial control systems,ics)是由计算机设备与工业过程控制部件组成的自动控制系统，在铁路，石化和电力等关键基础设施领域发挥着重要作用。随着工业信息化进程的不断进行，工业控制系统的封闭性逐渐被打破，越来越多的信息和计算机技术被广泛应用于工业控制领域。这使得工业控制系统被恶意程序或者网络攻击破坏的风险大大增加，工业控制系统被广泛应用到电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中，如遭受攻击，受到影响的将不仅是相关企业的经济损失，可能对国家基础设施造成破坏并带来重大经济损失。因此，工控安全问题已成为当前世界各国最为重视的安全问题；为解决上述问题，本申请中提出一种基于自学习白名单的工控异常行为分析方法及系统。


技术实现要素：

[0003]
(一)发明目的
[0004]
为解决背景技术中存在的技术问题，本发明提出一种基于自学习白名单的工控异常行为分析方法及系统，可以通过评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，同时有效地检测并解决病毒、恶意软件的入侵，防止核心数据、配方被窃取，保密性能高；对工控系统功能未授权的访问和请求进行评估，提高安全性能。
[0005]
(二)技术方案
[0006]
本发明提供了一种基于自学习白名单的工控异常行为分析方法及系统，包括异常行为检测系统、自学习系统和白名单系统；其中，自学习系统和白名单系分别与异常行为检测系统通讯连接，自学习系统和白名单系统通讯连接；异常行为检测系统包括规则检测模块、自动梳理模块、指令监测模块、报文异常检测模块、漏洞攻击检测模块、协议入侵检测模块和以太网入侵检测模块；自学习系统包括特征提取模块、特征映射模块、训练数据库、评估模块、特征学习模块和修复更改模块；其中，
[0007]
规则检测模块，用于规划检测规则，且检测规则按照各检测场景进行分类，便于检测规则的查看与配置；
[0008]
自动梳理模块，用于自动获取网络连接信息，以及自动发现个网络、活跃ip，并将发现的网段进行梳理并绘制出网络拓扑图，便于查看个主机之间的网络连接情况；
[0009]
指令监测模块，用于根据预设的指令针对网络环境中重点或者敏感操控命令进行专门监测并记录；
[0010]
报文异常检测模块，用于网络伪造报文攻击检测，及时发现恶意构造的异常报文和畸形报文；
[0011]
漏洞攻击检测模块，用于系统内置多条工控漏洞攻击检测规则，支持利用已知工控设备漏洞的入侵攻击行为检测；
[0012]
协议入侵检测模块，用于对工控语言的解读，研究其中各种入侵途径，从而形成工控网络检测策略；
[0013]
以太网入侵检测模块，用于对标准以太网的网络流量进行检测防止入侵行为的发生；
[0014]
特征提取模块，用于提取数据中的特征；
[0015]
特征映射模块，用于将高维数据的特征向量映射到一维或者低维空间的过程；
[0016]
训练数据库，用于从数据中提取出隐含的过去未知的有价值的潜在信息；
[0017]
评估模块，用于评估已有行为的正确性或优良度，并自动修改系统结构或参数以改进自身品质；
[0018]
特征学习模块，用于学习并将得到的改进和保存；
[0019]
修复更改模块，用于修复滋生的不足并更改。
[0020]
优选的，特征提取模块中的提取方法包括wireshark、tcptrace、qpa、tstat、capanalysis和xplico。
[0021]
优选的，特征映射模块中的降维方法包括基于低维投影的降维方法、基于神经网络的降维方法、基于数据间相关度的降维方法和基于分形的降维方法。
[0022]
优选的，白名单系统包括白名单数据库、信息特征对比模块和数据更新模块；
[0023]
白名单数据库，用于用于储存系统设置的白名单数据和账号；
[0024]
信息特征对比模块，用于将请求授权数据与白名单数据进行对比，如果相同则授权，如果不相同，则不给与授权；
[0025]
数据更新模块，用于更新白名单的数据和白名单的授权权限。
[0026]
优选的，以太网入侵检测模块中可以检测到的入侵包括已知的各种木马、蠕虫、僵尸网络、缓冲区溢出攻击、ddos、扫描探测、欺骗劫持以及网站挂马。
[0027]
优选的，数据更新模块包括数据自动更新模块、数据手动更新模块和权限更改模块，其中；
[0028]
数据自动更新模块，用于自动更新数据内的白名单；
[0029]
数据手动更新模块，用于操作者发送指令进行更新数据库内的白名单；
[0030]
权限更改模块，用于更改白名单数据库中白名单的运行权限。
[0031]
优选的，白名单系统中设有用于示警的警示模块。
[0032]
优选的，还包括基于自学习白名单的工控异常行为分析方法及系统的操作方法，具体包括以下步骤；
[0033]
s1、首先对获取的数据信息导入异常行为检测系统，对其导入的数据进行检测并阻止异常数据通过，然后将不具有入侵危险的数据导入白名单系统中；
[0034]
s2、对导入白名单系统中的数据和白名单数据库进行特征分析并对比，当数据对比符合时，给予数据授权请求；当数据对比不符合时做出以下指令：第一将数据导入自学习系统中，并进行评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，再将数据重新导入白名单系统进行数据对比；第二：通过警示模块向主机发送警示信息，及时提醒检测者或者检测系统；
[0035]
s3、在自学习系统中，先提取数据中的特征并进行映射，之后从数据中提取出隐含的过去未知的有价值的潜在信息，评估已有行为的正确性或优良度，修复滋生的不足并更改；最后将学习并将得到的改进和保存。
[0036]
与现有技术相比，本发明的上述技术方案具有如下有益的技术效果：通过异常行为检测系统，检测并过滤掉具有入侵危险的数据进行过滤，然后白名单系统进行特征分析对比和筛选，选择有效有授权权限的数据通过，并对未授权且不属于入侵的数据通过自学习系统进行特征提取评估以及训练，评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，并在对比后产生不符合的数据时发生警示信息，及时提醒；系统可以有效地检测并解决病毒、恶意软件的入侵，防止核心数据、配方被窃取，保密性能高；对工控系统功能未授权的访问和请求进行评估，提高安全性能。
附图说明
[0037]
图1为本发明提出的一种基于自学习白名单的工控异常行为分析方法及系统的框图。
[0038]
图2为本发明提出的一种基于自学习白名单的工控异常行为分析方法及系统中数据更新模块的框图。
[0039]
图3为本发明提出的一种基于自学习白名单的工控异常行为分析方法及系统中的执行方法图。
具体实施方式
[0040]
为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
[0041]
如图1-3所示，本发明提出的一种基于自学习白名单的工控异常行为分析方法及系统，包括异常行为检测系统、自学习系统和白名单系统；其中，自学习系统和白名单系分别与异常行为检测系统通讯连接，自学习系统和白名单系统通讯连接；异常行为检测系统包括规则检测模块、自动梳理模块、指令监测模块、报文异常检测模块、漏洞攻击检测模块、协议入侵检测模块和以太网入侵检测模块；自学习系统包括特征提取模块、特征映射模块、训练数据库、评估模块、特征学习模块和修复更改模块；其中，
[0042]
规则检测模块，用于规划检测规则，且检测规则按照各检测场景进行分类，便于检测规则的查看与配置；
[0043]
自动梳理模块，用于自动获取网络连接信息，以及自动发现个网络、活跃ip，并将发现的网段进行梳理并绘制出网络拓扑图，便于查看个主机之间的网络连接情况；
[0044]
指令监测模块，用于根据预设的指令针对网络环境中重点或者敏感操控命令进行专门监测并记录；
[0045]
报文异常检测模块，用于网络伪造报文攻击检测，及时发现恶意构造的异常报文和畸形报文；
[0046]
漏洞攻击检测模块，用于系统内置多条工控漏洞攻击检测规则，支持利用已知工
控设备漏洞的入侵攻击行为检测；
[0047]
协议入侵检测模块，用于对工控语言的解读，研究其中各种入侵途径，从而形成工控网络检测策略；
[0048]
以太网入侵检测模块，用于对标准以太网的网络流量进行检测防止入侵行为的发生；
[0049]
特征提取模块，用于提取数据中的特征；
[0050]
特征映射模块，用于将高维数据的特征向量映射到一维或者低维空间的过程；
[0051]
训练数据库，用于从数据中提取出隐含的过去未知的有价值的潜在信息；
[0052]
评估模块，用于评估已有行为的正确性或优良度，并自动修改系统结构或参数以改进自身品质；
[0053]
特征学习模块，用于学习并将得到的改进和保存；
[0054]
修复更改模块，用于修复滋生的不足并更改。
[0055]
在一个可选的实施例中，特征提取模块中的提取方法包括wireshark、tcptrace、qpa、tstat、capanalysis和xplico。
[0056]
在一个可选的实施例中，特征映射模块中的降维方法包括基于低维投影的降维方法、基于神经网络的降维方法、基于数据间相关度的降维方法和基于分形的降维方法。
[0057]
在一个可选的实施例中，白名单系统包括白名单数据库、信息特征对比模块和数据更新模块；
[0058]
白名单数据库，用于用于储存系统设置的白名单数据和账号；
[0059]
信息特征对比模块，用于将请求授权数据与白名单数据进行对比，如果相同则授权，如果不相同，则不给与授权；
[0060]
数据更新模块，用于更新白名单的数据和白名单的授权权限。
[0061]
在一个可选的实施例中，以太网入侵检测模块中可以检测到的入侵包括已知的各种木马、蠕虫、僵尸网络、缓冲区溢出攻击、ddos、扫描探测、欺骗劫持以及网站挂马。
[0062]
在一个可选的实施例中，数据更新模块包括数据自动更新模块、数据手动更新模块和权限更改模块，其中；
[0063]
数据自动更新模块，用于自动更新数据内的白名单；
[0064]
数据手动更新模块，用于操作者发送指令进行更新数据库内的白名单；
[0065]
权限更改模块，用于更改白名单数据库中白名单的运行权限。
[0066]
在一个可选的实施例中，白名单系统中设有用于示警的警示模块。
[0067]
还包括基于自学习白名单的工控异常行为分析方法及系统的操作方法，具体包括以下步骤；
[0068]
s1、首先对获取的数据信息导入异常行为检测系统，对其导入的数据进行检测并阻止异常数据通过，然后将不具有入侵危险的数据导入白名单系统中；
[0069]
s2、对导入白名单系统中的数据和白名单数据库进行特征分析并对比，当数据对比符合时，给予数据授权请求；当数据对比不符合时做出以下指令：第一将数据导入自学习系统中，并进行评估已有行为的正确性或优良度，自动修改系统结构或参数以改进自身品质，再将数据重新导入白名单系统进行数据对比；第二：通过警示模块向主机发送警示信息，及时提醒检测者或者检测系统；
[0070]
s3、在自学习系统中，先提取数据中的特征并进行映射，之后从数据中提取出隐含的过去未知的有价值的潜在信息，评估已有行为的正确性或优良度，修复滋生的不足并更改；最后将学习并将得到的改进和保存。
[0071]
应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。