1.一種基于自學(xué)習(xí)白名單的工控異常行為分析系統(tǒng)，其特征在于，包括異常行為檢測(cè)系統(tǒng)、自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)；其中，自學(xué)習(xí)系統(tǒng)和白名單系分別與異常行為檢測(cè)系統(tǒng)通訊連接，自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)通訊連接；

白名單系統(tǒng)包括白名單數(shù)據(jù)庫、信息特征對(duì)比模塊和數(shù)據(jù)更新模塊；

白名單數(shù)據(jù)庫，用于儲(chǔ)存系統(tǒng)設(shè)置的白名單數(shù)據(jù)和賬號(hào)；

信息特征對(duì)比模塊，用于將請(qǐng)求授權(quán)數(shù)據(jù)與白名單數(shù)據(jù)進(jìn)行對(duì)比，如果相同則授權(quán)，如果不相同，則不給與授權(quán)；

數(shù)據(jù)更新模塊，用于更新白名單的數(shù)據(jù)和白名單的授權(quán)權(quán)限；

異常行為檢測(cè)系統(tǒng)包括規(guī)則檢測(cè)模塊、自動(dòng)梳理模塊、指令監(jiān)測(cè)模塊、報(bào)文異常檢測(cè)模塊、漏洞攻擊檢測(cè)模塊、協(xié)議入侵檢測(cè)模塊和以太網(wǎng)入侵檢測(cè)模塊；自學(xué)習(xí)系統(tǒng)包括特征提取模塊、特征映射模塊、訓(xùn)練數(shù)據(jù)庫、評(píng)估模塊、特征學(xué)習(xí)模塊和修復(fù)更改模塊；其中，

規(guī)則檢測(cè)模塊，用于規(guī)劃?rùn)z測(cè)規(guī)則，且檢測(cè)規(guī)則按照各檢測(cè)場(chǎng)景進(jìn)行分類，便于檢測(cè)規(guī)則的查看與配置；

自動(dòng)梳理模塊，用于自動(dòng)獲取網(wǎng)絡(luò)連接信息，以及自動(dòng)發(fā)現(xiàn)各網(wǎng)絡(luò)、活躍IP，并將發(fā)現(xiàn)的網(wǎng)段進(jìn)行梳理并繪制出網(wǎng)絡(luò)拓?fù)鋱D，便于查看各主機(jī)之間的網(wǎng)絡(luò)連接情況；

指令監(jiān)測(cè)模塊，用于根據(jù)預(yù)設(shè)的指令針對(duì)網(wǎng)絡(luò)環(huán)境中重點(diǎn)或者敏感操控命令進(jìn)行專門監(jiān)測(cè)并記錄；

報(bào)文異常檢測(cè)模塊，用于網(wǎng)絡(luò)偽造報(bào)文攻擊檢測(cè)，及時(shí)發(fā)現(xiàn)惡意構(gòu)造的異常報(bào)文和畸形報(bào)文；

漏洞攻擊檢測(cè)模塊，用于系統(tǒng)內(nèi)置多條工控漏洞攻擊檢測(cè)規(guī)則，支持利用已知工控設(shè)備漏洞的入侵攻擊行為檢測(cè)；

協(xié)議入侵檢測(cè)模塊，用于對(duì)工控語言的解讀，研究其中各種入侵途徑，從而形成工控網(wǎng)絡(luò)檢測(cè)策略；

以太網(wǎng)入侵檢測(cè)模塊，用于對(duì)標(biāo)準(zhǔn)以太網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)防止入侵行為的發(fā)生；

特征提取模塊，用于提取數(shù)據(jù)中的特征；

特征映射模塊，用于將高維數(shù)據(jù)的特征向量映射到一維或者低維空間的過程；

訓(xùn)練數(shù)據(jù)庫，用于從數(shù)據(jù)中提取出隱含的過去未知的有價(jià)值的潛在信息；

評(píng)估模塊，用于評(píng)估已有行為的正確性或優(yōu)良度，并自動(dòng)修改系統(tǒng)結(jié)構(gòu)或參數(shù)以改進(jìn)自身品質(zhì)；

特征學(xué)習(xí)模塊，用于學(xué)習(xí)并將得到的改進(jìn)和保存；

修復(fù)更改模塊，用于修復(fù)滋生的不足并更改；

基于自學(xué)習(xí)白名單的工控異常行為分析系統(tǒng)的操作方法，具體包括以下步驟；

S1、首先對(duì)獲取的數(shù)據(jù)信息導(dǎo)入異常行為檢測(cè)系統(tǒng)，對(duì)其導(dǎo)入的數(shù)據(jù)進(jìn)行檢測(cè)并阻止異常數(shù)據(jù)通過，然后將不具有入侵危險(xiǎn)的數(shù)據(jù)導(dǎo)入白名單系統(tǒng)中；

S2、對(duì)導(dǎo)入白名單系統(tǒng)中的數(shù)據(jù)和白名單數(shù)據(jù)庫進(jìn)行特征分析并對(duì)比，當(dāng)數(shù)據(jù)對(duì)比符合時(shí)，給予數(shù)據(jù)授權(quán)請(qǐng)求；當(dāng)數(shù)據(jù)對(duì)比不符合時(shí)做出以下指令：第一將數(shù)據(jù)導(dǎo)入自學(xué)習(xí)系統(tǒng)中，并進(jìn)行評(píng)估已有行為的正確性或優(yōu)良度，自動(dòng)修改系統(tǒng)結(jié)構(gòu)或參數(shù)以改進(jìn)自身品質(zhì)，再將數(shù)據(jù)重新導(dǎo)入白名單系統(tǒng)進(jìn)行數(shù)據(jù)對(duì)比；第二：通過警示模塊向主機(jī)發(fā)送警示信息，及時(shí)提醒檢測(cè)者或者檢測(cè)系統(tǒng)；

S3、在自學(xué)習(xí)系統(tǒng)中，先提取數(shù)據(jù)中的特征并進(jìn)行映射，之后從數(shù)據(jù)中提取出隱含的過去未知的有價(jià)值的潛在信息，評(píng)估已有行為的正確性或優(yōu)良度，修復(fù)滋生的不足并更改；最后將學(xué)習(xí)并將得到的改進(jìn)和保存。