本发明涉及工控信息安全领域,特别是指一种工控入侵检测自适应优化方法。
背景技术:
近年来,工业控制系统(简称“工控系统”,industrialcontrolsystems,ics)目前已经广泛应用于金融、交通、水利、制造、能源、军工等重要领域,是国家关键信息基础设施中的重要组成部分,直接影响国计民生。近年来,随着工控系统与互联网的不断融合,以及网络空间安全形势日益严峻,针对工控系统的攻击越来越多,工控领域正成为网络空间安全对抗的主战场,保障工控系统安全稳定运行已成为国家政治、军事、经济、社会稳定亟需解决的核心问题之一。
入侵检测(intrusiondetectionsystem,ids)是工控系统安全防护的重要手段之一。通过对工控网络或工控系统中的若干关键点收集信息并对其进行分析,从中发现工控网络或系统中是否有违反安全策略的行为和被攻击的迹象。然而,已有的入侵检测技术仅适用于静态环境,未考虑实际系统运行过程中多变的网络环境和攻击方式对入侵检测精度的不良影响,因此入侵检测系统无法根据环境的变化进行动态自适应的调优,而只能进行人为手动调优,浪费大量人力,并且不及时的系统调优很可能使检测精度显著下降,进一步导致工控系统安全防护水平降低,存在严重的安全隐患。
技术实现要素:
本发明要解决的技术问题是提供一种工控入侵检测自适应优化方法及装置,以解决现有工控入侵检测技术所存在的无法根据环境的变化进行动态自适应的调优的问题。
为解决上述技术问题,本发明实施例提供一种工控入侵检测自适应优化方法,包括:
s101,获取工控入侵检测精度的影响要素;
s102,度量工控入侵检测精度;
s103,构建工控入侵检测精度及其影响要素之间的关联模型;
s104,根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优。
进一步地,度量的工控入侵检测精度包括:相邻两次误报间隔时间ta和相邻两次漏报间隔时间tr。
进一步地,所述构建工控入侵检测精度及其影响要素之间的关联模型包括:
对ta和tr在预先定义的模糊集上分别进行模糊化;
根据ta和tr的模糊化结果以及预先制定的模糊满意度规则,得到对ta的模糊化满意度sa和对tr的模糊化满意度sr;
根据模糊化满意度sa和sr生成每一个影响要素的模糊化调优策略。
进一步地,每一个影响因素对应1条或多条调优策略,每条调优策略拥有各自的权重。
进一步地,所述根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优包括:
将每条调优策略进行解模糊化,得到对应影响要素的定量调优值;
利用得到的定量调优值,调整对应的影响要素的取值;
基于调整后的影响要素的取值返回s102进行下一轮工控入侵检测。
本发明实施例还提供一种工控入侵检测自适应优化装置,包括:
获取单元,用于获取工控入侵检测精度的影响要素;
度量单元,用于度量工控入侵检测精度;
构建单元,用于构建工控入侵检测精度及其影响要素之间的关联模型;
优化单元,用于根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优。
进一步地,度量的工控入侵检测精度包括:相邻两次误报间隔时间ta和相邻两次漏报间隔时间tr。
进一步地,所述构建单元包括:
第一构建模块,用于对ta和tr在预先定义的模糊集上分别进行模糊化;
第二构建模块,用于根据ta和tr的模糊化结果以及预先制定的模糊满意度规则,得到对ta的模糊化满意度sa和对tr的模糊化满意度sr;
生成模块,用于根据模糊化满意度sa和sr生成每一个影响要素的模糊化调优策略。
进一步地,每一个影响因素对应1条或多条调优策略,每条调优策略拥有各自的权重。
进一步地,所述优化单元包括:
确定模块,将每条调优策略进行解模糊化,得到对应影响要素的定量调优值;
调整模块,用于利用得到的定量调优值,调整对应的影响要素的取值,基于调整后的影响要素的取值返回所述度量单元进行下一轮工控入侵检测。
本发明的上述技术方案的有益效果如下:
上述方案中,获取工控入侵检测精度的影响要素;度量工控入侵检测精度;构建工控入侵检测精度及其影响要素之间的关联模型;根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优,这样,可以使工控入侵检测系统能够在较少人工参与的前提下,在运行过程中进行自适应优化,提升工控入侵检测系统对动态环境的适应性,始终保持理想的工控入侵检测精度。
附图说明
图1为本发明实施例提供的工控入侵检测自适应优化方法的流程示意图;
图2为本发明实施例提供的工控入侵检测精度与其影响要素之间的模糊关联关系示意图;
图3为本发明实施例提供的工控入侵检测自适应优化方法的详细流程示意图;
图4为本发明实施例提供的工控入侵检测自适应优化装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的工控入侵检测技术无法根据环境的变化进行动态自适应的调优的问题,提供一种工控入侵检测自适应优化方法及装置。
实施例一
如图1所示,本发明实施例提供的工控入侵检测自适应优化方法,包括:
s101,获取工控入侵检测精度的影响要素;
s102,度量工控入侵检测精度;
s103,构建工控入侵检测精度及其影响要素之间的关联模型;
s104,根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优。
本发明实施例所述的工控入侵检测自适应优化方法,获取工控入侵检测精度的影响要素;度量工控入侵检测精度;构建工控入侵检测精度及其影响要素之间的关联模型;根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优,这样,可以使工控入侵检测系统能够在较少人工参与的前提下,在运行过程中进行自适应优化,提升工控入侵检测系统对动态环境的适应性,始终保持理想的工控入侵检测精度。
本实施例中,s101中的工控入侵检测精度的影响要素,由工控入侵检测工程师和工控系统管理员在分析检测算法特征和工控系统特性的基础上共同确定,如果有多个影响要素,则形成影响要素集合{ei}。
本实施例中,s102中的工控入侵检测精度通常由误报率和漏报率共同表征,误报率和漏报率均较低表示检测精度较高。误报率和漏报率的计算通常依赖于较长一段时间的检测结果积累,度量时效性较差,因此,优选地,本实施例采用一种更为直观、实时的方式度量工控入侵检测精度,所述工控入侵检测精度包括:相邻两次误报间隔时间ta和相邻两次漏报间隔时间tr。
本实施例中,可以根据系统管理员对异常告警的反馈情况(也可以通过人工干预和查询等方式获取工控系统的实际状态),计算误报间隔时间ta和漏报间隔时间tr。
本实施例中,工控入侵检测精度与影响要素之间的关系并非简单的线性关系,故很难用一个确定的函数表达式来描述。为此,可以引入一个中间变量,即工控系统管理员对工控入侵检测精度的满意度,来构建工控入侵检测精度与其影响要素之间的关联关系。由于满意度是一个主观变量,不易定量化,因此,可以借助模糊理论来描述三者的模糊关联关系,如图2所示,定量化的工控入侵检测精度影响系统管理员的模糊化满意度,模糊化满意度决定了影响要素取值的模糊化调优策略,模糊化调优策略解模糊化后对影响要素的取值进行定量化调优,影响要素的优化值将产生新的工控入侵检测精度。
本实施例中,作为一可选实施例,所述构建工控入侵检测精度及其影响要素之间的关联模型包括:
对ta和tr在预先定义的模糊集上分别进行模糊化;
根据ta和tr的模糊化结果以及预先制定的模糊满意度规则,得到对ta的模糊化满意度sa和对tr的模糊化满意度sr;
根据模糊化满意度sa和sr生成每一个影响要素的模糊化调优策略。
本实施例中,每一个影响因素对应1条或多条调优策略,每条调优策略拥有各自的权重。
在前述工控入侵检测自适应优化方法的具体实施方式中,进一步地,所述根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优包括:
将每条调优策略进行解模糊化,得到对应影响要素的定量调优值;
利用得到的定量调优值,调整对应的影响要素的取值;
基于调整后的影响要素的取值返回s102进行下一轮工控入侵检测。
本发明实施例中,工控入侵检测精度、系统管理员满意度、工控入侵检测精度影响要素三者之间的关系能构成一个循环过程,因此可以借助反馈控制思想实现工控入侵检测系统的自适应优化,为了更好地理解本发明实施例所述的工控入侵检测自适应优化方法,对其进行详细所述,所述工控入侵检测自适应优化方法的整体流程如图3所示,具体步骤可以包括:
a11,工控入侵检测系统运行之初,首先设置影响要素的初始值{ini(ei)},并启动工控入侵检测,这样,可以根据当前设置的值进行工控入侵检测、告警;
a12,根据系统管理员对入侵告警的反馈情况(可通过人工干预和查询等方式获取工控系统的实际状态),计算相邻两次误报间隔时间ta和相邻两次漏报间隔时间tr,并对ta和tr在预先定义的模糊集进行模糊化。假设时间间隔的论域为{很短,短,较短,一般,较长,长,很长},那么ta和tr均可转换为该论域上的模糊表示:{μ很短(t),μ短(t),μ较短(t),μ一般(t),μ较长(t),μ长(t),μ很长(t),其中,μx(t)表示间隔时间t在模糊集x上的隶属度。
a13,根据工控系统管理员预先制定的模糊满意度规则,得到其对工控入侵检测精度的模糊化满意度sa和sr,比如“若ta很长,则sa为很不满意”、“若ta短,则sa为满意”,“若tr很短,则sr为很满意”等;
a14,根据模糊化满意度sa和sr分别生成每一个影响要素ei的模糊化调优策略,比如“如果sa为很不满意,则大幅减小ei”、“如果sr为满意,则不调整ei”等。由于针对每一个影响因素都有可能产生多条调优策略,且每一条调优策略拥有各自的权重,因此需将多条调优策略进行解模糊化,如通过加权平均法、最大隶属度法、中位数法等,转换成对应影响要素ei的定量调优值△ei,从而获得影响要素ei的新取值ei=ei+△ei;
a15,工控入侵检测系统使用调整后的影响要素的取值进行下一轮工控入侵检测,产生新的工控入侵检测精度以及后续的影响要素取值调优策略,从而实现工控入侵检测系统的自适应优化,在运行过程中始终保持理想的检测精度。
实施例二
本发明还提供一种工控入侵检测自适应优化装置的具体实施方式,由于本发明提供的工控入侵检测自适应优化装置与前述工控入侵检测自适应优化方法的具体实施方式相对应,该工控入侵检测自适应优化装置可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的,因此上述工控入侵检测自适应优化方法具体实施方式中的解释说明,也适用于本发明提供的工控入侵检测自适应优化装置的具体实施方式,在本发明以下的具体实施方式中将不再赘述。
如图4所示,本发明实施例还提供一种工控入侵检测自适应优化装置,包括:
获取单元11,用于获取工控入侵检测精度的影响要素;
度量单元12,用于度量工控入侵检测精度;
构建单元13,用于构建工控入侵检测精度及其影响要素之间的关联模型;
优化单元14,用于根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优。
本发明实施例所述的工控入侵检测自适应优化装置,获取工控入侵检测精度的影响要素;度量工控入侵检测精度;构建工控入侵检测精度及其影响要素之间的关联模型;根据构建的关联模型,基于反馈控制机制,利用模糊推理机制对工控入侵检测系统进行自适应调优,这样,可以使工控入侵检测系统能够在较少人工参与的前提下,在运行过程中进行自适应优化,提升工控入侵检测系统对动态环境的适应性,始终保持理想的工控入侵检测精度。
在前述工控入侵检测自适应优化装置的具体实施方式中,进一步地,度量的工控入侵检测精度包括:相邻两次误报间隔时间ta和相邻两次漏报间隔时间tr。
在前述工控入侵检测自适应优化装置的具体实施方式中,进一步地,所述构建单元包括:
第一构建模块,用于对ta和tr在预先定义的模糊集上分别进行模糊化;
第二构建模块,用于根据ta和tr的模糊化结果以及预先制定的模糊满意度规则,得到对ta的模糊化满意度sa和对tr的模糊化满意度sr;
生成模块,用于根据模糊化满意度sa和sr生成每一个影响要素的模糊化调优策略。
在前述工控入侵检测自适应优化装置的具体实施方式中,进一步地,每一个影响因素对应1条或多条调优策略,每条调优策略拥有各自的权重。
在前述工控入侵检测自适应优化装置的具体实施方式中,进一步地,所述优化单元包括:
确定模块,将每条调优策略进行解模糊化,得到对应影响要素的定量调优值;
调整模块,用于利用得到的定量调优值,调整对应的影响要素的取值,基于调整后的影响要素的取值返回所述度量单元进行下一轮工控入侵检测。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。