技術領域

本申請涉及一種基于工業控制網絡的入侵檢測模型的自動建立方法及裝置，屬于工業控制網絡安全防護技術領域。

背景技術

工業控制系統(Industrial Control Systems，以下簡稱ICS)是由計算機設備與工業過程控制部件組成的自動控制系統，其廣泛運用于工業、能源、交通、石油化工等工業基礎領域。由于ICS越來越多的與企業網和互聯網相連，形成了一個開放式的網絡環境，因此ICS的網絡安全防護技術對于保障ICS的安全、可靠和穩定運行具有重要的意義。

目前主要采用入侵檢測技術保障ICS的網絡安全。入侵檢測是一種主動的安全防護技術，通過提取ICS中的通信流量數據特征，并對其分析，以檢測出異常的行為操作，并在異常行為產生危害之前進行攔截、報警、系統恢復等操作。

現有技術中，根據網絡通信流量數據建立入侵檢測模型，然后一直利用該入侵檢測模型進行異常行為的入侵檢測，而工業通信是實時的，通信行為的流量數據也是持續變化的，因此現有技術的入侵檢測的誤報率和漏報率較高。

發明內容

根據本申請的一個方面，提供了一種基于工業控制網絡的入侵檢測模型的自動建立方法，該方法得到的入侵檢測模型的檢測精度高，從而提高了異常行為的入侵檢測率，降低了誤報率和漏報率。

一種基于工業控制網絡的入侵檢測模型的自動建立方法，包括：

判斷第一入侵檢測模型是否符合預設的檢測要求，如果否，實時提取通信行為流量數據；

根據所述通信行為流量數據設置訓練數據集和測試數據集；

根據所述訓練數據集創建初始入侵檢測模型；

利用所述測試數據集對所述初始入侵檢測模型進行測試，根據測試結果創建符合預設檢測要求的第二入侵檢測模型。

其中，所述預設的檢測要求包括檢測率閾值、檢測時間閾值、誤報率閾值和/或漏報率閾值。

進一步的，所述實時提取通信行為流量數據之后，還包括：

對實時提取的通信行為流量數據進行屬性約簡。

所述對實時提取的通信行為流量數據進行屬性約簡，具體為：

采用RST對實時提取的通信行為流量數據進行屬性約簡。

根據本申請的一個方面，提供了一種基于工業控制網絡的入侵檢測模型的自動建立裝置，所述裝置包括：判斷模塊，提取模塊，設置模塊，第一創建模塊，第二創建模塊；

所述判斷模塊，用于判斷第一入侵檢測模型是否符合預設的檢測要求，如果否，觸發所述提取模塊；

所述提取模塊，用于在受到所述判斷模塊的觸發后，實時提取通信行為流量數據；

所述設置模塊，用于根據所述提取模塊提取的通信行為流量數據設置訓練數據集和測試數據集；

所述第一創建模塊，用于根據所述設置模塊設置的訓練數據集創建初始入侵檢測模型；

所述第二創建模塊，用于利用所述設置模塊設置的測試數據集對所述第一創建模塊創建的初始入侵檢測模型進行測試，根據測試結果創建符合預設檢測要求的第二入侵檢測模型。

所述預設的檢測要求包括檢測率閾值、檢測時間閾值、誤報率閾值和/或漏報率閾值。

進一步地，還包括屬性簡約模塊，用于對所述提取模塊實時提取的通信行為流量數據進行屬性約簡；

相應的，所述設置模塊，用于根據所述屬性簡約模塊簡約后的通信行為流量數據設置訓練數據集和測試數據集。

具體地，所述屬性簡約模塊采用RST對實時提取的通信流量數據特征進行屬性約簡。

本申請能產生的有益效果包括：

1)本申請通過判斷第一入侵檢測模型是否符合預設的檢測條件，當其不符合預設的檢測條件時，實時提取通信行為流量數據，根據實時提取的通信行為流量數據設置訓練數據集和測試數據集，根據訓練數據集創建初始入侵檢測模型，然后利用測試數據集對初始入侵檢測模型進行測試，根據測試結果創建符合預設檢測要求的第二入侵檢測模型，相對于采用固定的第一入侵檢測模型進行入侵檢測的現有技術來說，本發明實施例得到的第二入侵檢測模型的檢測精度高，從而提高了異常行為的入侵檢測率，降低了誤報率和漏報率；

2)進一步地，本申請采用RST對實時提取的通信行為流量數據進行屬性約簡，降低了第二入侵檢測模型的復雜度，進一步提高了第二入侵檢測模型的檢測精度，節約了檢測時間。

附圖說明

圖1為一種基于工業控制網絡的入侵檢測模型的自動建立方法流程示意圖；

圖2為一種基于工業控制網絡的入侵檢測模型的自動建立裝置結構示意圖。