一種基于自學(xué)習(xí)白名單的工控異常行為分析方法及系統(tǒng)，包括異常行為檢測(cè)系統(tǒng)、自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)；其中，自學(xué)習(xí)系統(tǒng)和白名單系分別與異常行為檢測(cè)系統(tǒng)通訊連接，自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)通訊連接；異常行為檢測(cè)系統(tǒng)包括規(guī)則檢測(cè)模塊、自動(dòng)梳理模塊、指令監(jiān)測(cè)模塊、報(bào)文異常檢測(cè)模塊、漏洞攻擊檢測(cè)模塊、協(xié)議入侵檢測(cè)模塊和以太網(wǎng)入侵檢測(cè)模塊；自學(xué)習(xí)系統(tǒng)包括特征提取模塊、特征映射模塊、訓(xùn)練數(shù)據(jù)庫(kù)、評(píng)估模塊、特征學(xué)習(xí)模塊和修復(fù)更改模塊；本發(fā)明可以通過評(píng)估已有行為的正確性或優(yōu)良度，自動(dòng)修改系統(tǒng)結(jié)構(gòu)或參數(shù)以改進(jìn)自身品質(zhì)，同時(shí)有效地檢測(cè)并解決病毒、惡意軟件的入侵，防止核心數(shù)據(jù)、配方被竊取，保密性能高；提高安全性能。

技術(shù)領(lǐng)域

本發(fā)明涉及異常行為分析技術(shù)領(lǐng)域，尤其涉及一種基于自學(xué)習(xí)白名單的工控異常行為分析方法及系統(tǒng)。

背景技術(shù)

工業(yè)控制系統(tǒng)(Industrial Control Systems,ICS)是由計(jì)算機(jī)設(shè)備與工業(yè)過程控制部件組成的自動(dòng)控制系統(tǒng)，在鐵路，石化和電力等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域發(fā)揮著重要作用。隨著工業(yè)信息化進(jìn)程的不斷進(jìn)行，工業(yè)控制系統(tǒng)的封閉性逐漸被打破，越來(lái)越多的信息和計(jì)算機(jī)技術(shù)被廣泛應(yīng)用于工業(yè)控制領(lǐng)域。這使得工業(yè)控制系統(tǒng)被惡意程序或者網(wǎng)絡(luò)攻擊破壞的風(fēng)險(xiǎn)大大增加，工業(yè)控制系統(tǒng)被廣泛應(yīng)用到電力、石化、交通、市政以及關(guān)鍵制造業(yè)等涉及國(guó)計(jì)民生的重要行業(yè)中，如遭受攻擊，會(huì)帶來(lái)重大經(jīng)濟(jì)損失。因此，工控安全問題已成為當(dāng)前世界各國(guó)最為重視的安全問題；為解決上述問題，本申請(qǐng)中提出一種基于自學(xué)習(xí)白名單的工控異常行為分析方法及系統(tǒng)。

發(fā)明內(nèi)容

（一）發(fā)明目的

為解決背景技術(shù)中存在的技術(shù)問題，本發(fā)明提出一種基于自學(xué)習(xí)白名單的工控異常行為分析方法及系統(tǒng)，可以通過評(píng)估已有行為的正確性或優(yōu)良度，自動(dòng)修改系統(tǒng)結(jié)構(gòu)或參數(shù)以改進(jìn)自身品質(zhì)，同時(shí)有效地檢測(cè)并解決病毒、惡意軟件的入侵，防止核心數(shù)據(jù)、配方被竊取，保密性能高；對(duì)工控系統(tǒng)功能未授權(quán)的訪問和請(qǐng)求進(jìn)行評(píng)估，提高安全性能。

（二）技術(shù)方案

本發(fā)明提供了一種基于自學(xué)習(xí)白名單的工控異常行為分析方法及系統(tǒng)，包括異常行為檢測(cè)系統(tǒng)、自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)；其中，自學(xué)習(xí)系統(tǒng)和白名單系分別與異常行為檢測(cè)系統(tǒng)通訊連接，自學(xué)習(xí)系統(tǒng)和白名單系統(tǒng)通訊連接；異常行為檢測(cè)系統(tǒng)包括規(guī)則檢測(cè)模塊、自動(dòng)梳理模塊、指令監(jiān)測(cè)模塊、報(bào)文異常檢測(cè)模塊、漏洞攻擊檢測(cè)模塊、協(xié)議入侵檢測(cè)模塊和以太網(wǎng)入侵檢測(cè)模塊；自學(xué)習(xí)系統(tǒng)包括特征提取模塊、特征映射模塊、訓(xùn)練數(shù)據(jù)庫(kù)、評(píng)估模塊、特征學(xué)習(xí)模塊和修復(fù)更改模塊；其中，

規(guī)則檢測(cè)模塊，用于規(guī)劃?rùn)z測(cè)規(guī)則，且檢測(cè)規(guī)則按照各檢測(cè)場(chǎng)景進(jìn)行分類，便于檢測(cè)規(guī)則的查看與配置；

自動(dòng)梳理模塊，用于自動(dòng)獲取網(wǎng)絡(luò)連接信息，以及自動(dòng)發(fā)現(xiàn)各網(wǎng)絡(luò)、活躍IP，并將發(fā)現(xiàn)的網(wǎng)段進(jìn)行梳理并繪制出網(wǎng)絡(luò)拓?fù)鋱D，便于查看各主機(jī)之間的網(wǎng)絡(luò)連接情況；

指令監(jiān)測(cè)模塊，用于根據(jù)預(yù)設(shè)的指令針對(duì)網(wǎng)絡(luò)環(huán)境中重點(diǎn)或者敏感操控命令進(jìn)行專門監(jiān)測(cè)并記錄；

報(bào)文異常檢測(cè)模塊，用于網(wǎng)絡(luò)偽造報(bào)文攻擊檢測(cè)，及時(shí)發(fā)現(xiàn)惡意構(gòu)造的異常報(bào)文和畸形報(bào)文；

漏洞攻擊檢測(cè)模塊，用于系統(tǒng)內(nèi)置多條工控漏洞攻擊檢測(cè)規(guī)則，支持利用已知工控設(shè)備漏洞的入侵攻擊行為檢測(cè)；

協(xié)議入侵檢測(cè)模塊，用于對(duì)工控語(yǔ)言的解讀，研究其中各種入侵途徑，從而形成工控網(wǎng)絡(luò)檢測(cè)策略；

以太網(wǎng)入侵檢測(cè)模塊，用于對(duì)標(biāo)準(zhǔn)以太網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行檢測(cè)防止入侵行為的發(fā)生；

特征提取模塊，用于提取數(shù)據(jù)中的特征；

特征映射模塊，用于將高維數(shù)據(jù)的特征向量映射到一維或者低維空間的過程；

訓(xùn)練數(shù)據(jù)庫(kù)，用于從數(shù)據(jù)中提取出隱含的過去未知的有價(jià)值的潛在信息；