本發明公開了一種工控網絡安全檢測方法，包括以下步驟：接收第一隨機參數，從基檢測器庫中動態獲取一個異構基檢測器子集；接收第二隨機參數，從集成算法庫中動態獲取一個集成算法，所述集成算法庫為預先配置的；基于所述異構基檢測器子集中各個基檢測器，自適應地提取待檢測網絡會話的特征子集；將所述特征子集輸入所述異構基檢測器子集，得到的輸出結果經過所述集成算法，得到檢測結果。本發明通過動態選擇異構的基檢測器、異構的集成方法，針對不同的基檢測器，采用動態異構的集成方法，使攻擊者不易捕捉檢測系統的漏洞進行對抗攻擊。

技術領域

本申請涉及工業控制領域，尤其涉及一種工控網絡安全檢測方法、裝置、電子設備以及存儲介質。

背景技術

所有網絡攻擊會體現為通信行為異常，這是通過被動流量檢測進行網絡安全監測的基礎。結合工業控制網絡的分層結構特點，目前工控網絡攻擊場景主要有三種表現：其一是針對OSI七層協議中第3-4層網絡層和傳輸層的傳統網絡攻擊，比如掃描探測、DDoS、緩沖區溢出攻擊；其二是針對OSI協議中第7層應用層的基于工控深度協議的網絡攻擊，比如PLC蠕蟲攻擊造成的CC通信、DDoS，SCADA系統中的S7、Modbus流量篡改、中間人攻擊；其三是針對第7層的隱蔽過程攻擊，該類攻擊命令雖然符合協議規范，但違背了工控系統的生產邏輯，使系統處于危險狀態，比如假數據注入攻擊(FDIAs)。

針對上述工控網絡攻擊的三種表現，現有技術中工控網絡安全檢測技術主要分為三類。一類是近年發展比較成熟的完全依賴于監督學習的入侵檢測技術，特別是基于CNN、RNN深度學習方法在網絡安全中的應用；但模型依賴于適合安全場景的標記數據，而實際可用的異常安全數據往往有限，因此模型對于未知攻擊的檢測能力有限。一類是完全依賴于無監督學習的異常檢測技術，不需要事先標記好數據，可以通過數據本身在時空維度上的內在聯系，通過基于統計的、分層的、基于聚類的、基于孤立性等特點建立異常檢測模型；但也存在如下缺點：不同應用場景下的安全數據分布差異大，異常檢測模型的選擇設計是個挑戰；單一異常檢測模型的檢測能力有限、虛警率較高。一類是適用于應用場景的傳統統計學方法，比如一種通過累計變量誤差(CUSUM)實現異常檢測的方法，通過針對過程變量分析，可以提高檢測方法的魯棒性，降低誤檢率。

此外，隨著人工智能（Artificial Intelligence, AI）技術越來越多的應用到網絡安全領域，攻擊者正在使用類似的AI技術來欺騙網絡安全中使用的機器學習（MachineLearning，ML）模型。AI和ML也被用來制造更多的深度偽造內容。主流對抗攻擊直接針對于分類任務，比如欺騙基于卷積神經網絡CNN的分類器。

發明內容

本發明解決的技術問題是在工控網絡場景中，如何在保證實時檢測的前提下，提高檢測敏感力、降低虛警率，并提升防御對抗樣本攻擊的能力。

為解決上述技術問題，本發明的一個方面在于，提供一種工控網絡安全檢測方法，包括以下步驟：

接收第一隨機參數，從基檢測器庫中動態獲取一個異構基檢測器子集；

接收第二隨機參數，從集成算法庫中動態獲取一個集成算法，所述集成算法庫為預先配置的；

基于所述異構基檢測器子集中各個基檢測器，自適應地提取待檢測網絡會話的特征子集；

將所述特征子集輸入所述異構基檢測器子集，得到的輸出結果經過所述集成算法，得到檢測結果。

可選的，在所述接收隨機參數，從基檢測器庫中動態獲取一個異構基檢測器子集的步驟之前，還包括步驟：

構造所述基檢測器庫，所述基檢測器庫包含傳統攻擊檢測算法庫和深度協議攻擊檢測算法庫。

可選的，在所述接收隨機參數，從基檢測器庫中動態獲取一個異構基檢測器子集的步驟之前，還包括步驟：

判斷所述待檢測會話是否為深度解析會話；