[發明專利]一種工控網絡威脅自動隔離方法及系統在審

申請號：	202010466114.0	申請日：	2020-05-28
公開（公告）號：	CN111935064A	公開（公告）日：	2020-11-13
發明（設計）人：	李牧野;黃益彬;朱世順;劉葦;景娜;陸英瑋;祁龍云;金建龍;張林霞;王梓;楊康樂	申請（專利權）人：	南京南瑞信息通信科技有限公司
主分類號：	H04L29/06	分類號：	H04L29/06
代理公司：	南京縱橫知識產權代理有限公司 32224	代理人：	史俊軍
地址：	210003 ***	國省代碼：	江蘇;32
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	一種網絡威脅自動隔離方法系統
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種工控網絡威脅自動隔離方法，其特征在于：包括，

獲取工業控制系統內各設備的運行信息，提取運行信息的特征；

響應于預設威脅決策表內存在與運行信息特征匹配的威脅事件，獲取威脅事件對應的隔離策略，隔離威脅源；

響應于預設威脅決策表內不存在與運行信息特征匹配的威脅事件，將運行信息特征輸入預先訓練的決策模型，獲得運行信息特征對應的事件類別；響應于運行信息特征對應的事件為威脅事件，獲取威脅事件對應的隔離策略，隔離威脅源，并將運行信息特征存入預設威脅決策表。

2.根據權利要求1所述的一種工控網絡威脅自動隔離方法，其特征在于：運行信息包括工業控制系統日志、網絡連接信息和業務運行信息；日志包括內核及操作系統日志、用戶操作日志和程序運行日志，網絡連接信息包括設備自身與外界的TCP/UDP連接信息，業務運行信息包括工業控制系統各類測量、控制及調試指令的信息。

3.根據權利要求1所述的一種工控網絡威脅自動隔離方法，其特征在于：提取運行信息特征的過程為，

對運行信息格式進行范式化轉換；

對范式化轉換后的運行信息進行特征提取；

對運行信息特征進行缺失補償，得到完整的運行信息特征。

4.根據權利要求1所述的一種工控網絡威脅自動隔離方法，其特征在于：運行信息的特征包括連續型特征和類別型特征，連續型特征為0/1特征向量，類別型特征為符合標準正太分布的特征。

5.根據權利要求1所述的一種工控網絡威脅自動隔離方法，其特征在于：決策模型為，

目標函數

判決函數

其中，ω為決策模型判決函數的權重，C₊、C_-為正向類樣本和負向類樣本懲罰因子，p為正向類樣本數量，q為負向類樣本數量，ξ_i、ξ_j為松弛變量，f(x)為待判決運行信息特征x的判決結果，(x_i,y_i)為訓練樣本，x_i為訓練樣本中的運行信息特征，y_i為x_i對應的事件類別，n為訓練樣本數量，為第i個訓練樣本對應的拉格朗日乘子，b^*為閾值，K(x,x_i)為徑向基核函數，σ為K(x,x_i)的寬度參數。