一种工控网络攻击检测系统、方法及电子设备与流程

本发明属于工控网络安全威胁检测，具体涉及一种工控网络攻击检测系统、方法及电子设备。

背景技术：

1、随着工业互联网的不断深入发展，工控网络与互联网的融合不断加深，使工控网络中的安全问题日益突出。工控网络中的工业控制系统缺少足够的安全防护机制，容易遭受网络攻击。这些网络攻击可能会对生产制造产生严重影响，甚至对社会稳定和民生安全产生威胁。为了保障工控网络安全稳定的运行，需要对工控网络进行威胁检测，及时发现网络攻击并对其进行防御。

2、现有的网络攻击检测技术将检测设备放置在主干网络中，对工控网络中的通信流量进行检测。但是，在使用现有技术过程中，发明人发现现有技术中至少存在如下问题：

3、不同网络攻击方法需要多个节点协同工作，需要多方信息的融合分析对攻击进行检测发现，而现有技术中，基于流量分析的网络攻击检测技术，仅关注于节点之间的交互信息，使得现有技术在网络攻击检测过程中，缺少工业控制系统节点自身的数据信息，导致现有技术对僵尸网络、分布式端口扫描、dns(domain name server，域名服务器)放大等攻击方法的检测能力不足。

技术实现思路

1、本发明旨在至少在一定程度上解决上述技术问题，本发明提供了一种工控网络攻击检测系统、方法及电子设备。

2、为了实现上述目的，本发明采用以下技术方案：

3、第一方面，本发明提供了一种工控网络攻击检测系统，包括流量特征提取模块、主机信息采集模块、数据聚合模块和攻击检测模块，所述流量特征提取模块和主机信息采集模块均通过所述数据聚合模块与所述攻击检测模块连接，所述攻击检测模块中搭载有改进后图神经网络模型；其中，

4、所述流量特征提取模块，用于采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

5、所述主机信息采集模块，用于采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

6、所述数据聚合模块，用于对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

7、所述攻击检测模块，用于基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。

8、本发明可以提高已有的威胁检测系统的网络攻击检测能力。具体地，本发明在实施过程中，分别通过所述流量特征提取模块采集工控网络中的主机节点信息，通过主机信息采集模块采集工控网络中的流量交互信息，再通过数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，最后通过攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。本发明中，由于本技术在基础信息采集阶段除采集主机节点之间的流量交互信息外，还同步采集工控网络中的主机节点信息，并通过数据聚合模块对主机节点信息和流量交互信息进行聚合，最后基于攻击检测模块中的改进后图神经网络模型实现对预处理后信息的网络攻击检测，实现对工控网络中的威胁检测，进而得到攻击检测结果，在此过程中，由于主机节点信息的加入，实现了多方信息融合的作用，使得本发明具有主机节点信息和流量交互信息聚合分析的能力，弥补了现有技术中部分网络攻击检测能力不足的问题，进而利于提升威胁检测系统的攻击检测范围和准确率。

9、在一个可能的设计中，所述工控网络攻击检测系统还包括信息存储模块，所述数据聚合模块和所述攻击检测模块均与所述信息存储模块通信连接；其中，

10、所述数据聚合模块，还用于得到预处理后信息后，将所述预处理后信息存储至所述信息存储模块；

11、所述攻击检测模块，还用于在所述图神经网络模型需要更新时，从所述信息存储模块调用所述预处理后信息，以便对所述图神经网络模型进行更新。

12、在一个可能的设计中，所述改进后图神经网络模型的构建过程如下：

13、构建初始图神经网络模型；其中，所述初始图神经网络模型具有k个图卷积层，k为自然数；

14、获取工控网络中的主机节点样本信息和流量交互样本信息，并根据所述主机节点样本信息和流量交互样本信息，得到工控网络对应的网络拓扑关系图，再将所述网络拓扑关系图作为所述初始图神经网络模型的初始网络结构图，将所述网络拓扑关系图中的所有主机节点作为所述初始图神经网络模型中的节点；

15、在所述初始图神经网络模型的每个图卷积层中，对其中的所有节点的邻接节点进行聚合处理，得到所述初始图神经网络模型中所有节点的邻接聚合信息；

16、将所有节点的邻接聚合信息和所有节点对应的所述主机节点样本信息集合中节点信息进行聚合处理，得到所有节点的节点表示信息；

17、将所述初始图神经网络模型中任意两个节点的节点表示信息进行聚合处理，得到当前两个节点的前向边表示信息；

18、根据所述前向边表示信息进行所述初始图神经网络模型的损失函数的计算，并根据所述损失函数的计算结果对所述初始图神经网络模型进行后向传播训练，以便得到改进后图神经网络模型。

19、在一个可能的设计中，所述流量交互样本信息包括源ip地址、目的ip地址、源端口、目的端口和包平均长度；所述主机节点样本信息包括主机存活时间、网卡吞吐量、cpu使用率和内存占用率。

20、在一个可能的设计中，所述初始图神经网络模型中，第k个图卷积层的节点v的邻接聚合信息为：

21、

22、其中，v为从所述网络拓扑关系图g(v，e)中选中的任一主机节点样本信息对应的所述初始图神经网络模型中的节点，u∈v；表示由节点v的所有邻接节点构成的邻接节点集合，u为邻接节点集合中的任一节点，euv表示所述初始图神经网络模型中，节点v和节点u的连接边；表示第k-1个图卷积层中节点v到节点u的连接边；aggk()表示第k个图卷积层使用的聚合函数。

23、在一个可能的设计中，所述聚合函数采用可微分聚合函数；其中，所述可微分聚合函数为：

24、

25、其中，α(u)为第k个图卷积层中节点u的注意力权重，用于对第k个图卷积层中节点v和节点u的连接边euv进行权重赋值；α(u)＝softmax(leakyrelu(wk·u·v))，其中，softmax()为软最大值函数；leakyrelu()为整流函数；wk为所述图神经网络模型中第k个图卷积层的权重矩阵和聚合参数。

26、在一个可能的设计中，第k个图卷积层中节点v的节点表示信息为：

27、

28、其中，concat()为向量拼接函数，用于将当前节点的邻接聚合信息和第k-1个图卷积层的节点v的节点信息vk-1的向量进行拼接，leakyrelu()为预设的激活函数。

29、在一个可能的设计中，第k个图卷积层中，节点u和节点v的前向边表示信息为：

30、

31、其中，concat()为向量拼接函数；为第k个图卷积层中节点u的节点表示信息；为第k个图卷积层中节点v的节点表示信息。

32、第二方面，本发明提供了一种工控网络攻击检测方法，基于上述任一项所述的工控网络攻击检测系统实现，所述方法包括：

33、所述流量特征提取模块采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

34、所述主机信息采集模块采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

35、所述数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

36、所述攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。

37、第三方面，本发明提供了一种电子设备，包括：

38、存储器，用于存储计算机程序指令；以及，

39、处理器，用于执行所述计算机程序指令从而完成如上述任一项所述的工控网络攻击检测方法的操作。