本發明公開了一種機器學習中規則模型的建立方法，屬于工控網絡安全技術領域，能夠解決現有協議操作指令檢測規則自動化分類配置時，配置難度較大，效率較低，且容易出錯的問題。所述建立方法包括：對第一工控協議通訊行為樣本進行解析，提取第一協議樣本；將第一協議樣本輸入機器學習模塊中進行訓練，確定通訊正常庫；對第二工控協議通訊行為樣本進行解析，提取第二協議樣本；將第二協議樣本輸入機器學習模塊中進行訓練；獲取第二協議樣本的權重，并根據第二協議樣本的權重更新通訊正常庫和建立通訊異常庫。本發明用于規則模型的建立。

技術領域

本發明涉及一種機器學習中規則模型的建立方法，屬于工控網絡安全技術領域。

背景技術

隨著工業控制網絡和互聯網絡不斷的融合，工業控制系統正朝著數字化、網絡化、智能化的方向發展，越來越多的工控系統及相關設備與外部公共網絡連接，工業互連已成為不可避免的趨勢，高度網絡化、開放協議和通用組件互聯，帶來了更多的攻擊路徑和攻擊方式，網絡空間的安全問題直接延伸到工業控制系統中，工控系統面臨更加復雜的信息安全威脅，自動識別異常工控行為成為了亟待解決的問題。

傳統審計系統需要人工對協議進行檢測規則配置，系統獲取流量數據，并解析工控行為報文，根據檢測規則判斷該工控行為是否為異常操作行為。檢測規則配置，需要運維人員對協議以及業務非常了解，隨著工控設備使用協議越來越多，協議指令也越來越復雜，人工配置協議檢測規則難度變大，且配置過程中容易配置錯誤；并且現有的機器學習模型不完善，只能學習到行為，不能對協議操作指令檢測規則進行自動化分類配置，從而需要人為分類配置，導致配置難度較大，效率較低，且容易出錯。

發明內容

本發明提供了一種機器學習中規則模型的建立方法，能夠解決現有協議操作指令檢測規則自動化分類配置時，配置難度較大，效率較低，且容易出錯的問題。

本發明提供了一種機器學習中規則模型的建立方法，所述建立方法包括：對第一工控協議通訊行為樣本進行解析，提取第一協議樣本；將所述第一協議樣本輸入機器學習模塊中進行訓練，確定通訊正常庫；對第二工控協議通訊行為樣本進行解析，提取第二協議樣本；將所述第二協議樣本輸入機器學習模塊中進行訓練；獲取所述第二協議樣本的權重，并根據所述第二協議樣本的權重更新通訊正常庫和建立通訊異常庫。

可選的，所述將所述第一協議樣本輸入機器學習模塊中進行訓練，確定通訊正常庫，具體為：將所述第一協議樣本的權重標記為1，并將所述第一協議樣本添加至通訊正常庫中。

可選的，所述獲取所述第二協議樣本的權重，并根據所述第二協議樣本的權重更新通訊正常庫和建立通訊異常庫，具體包括：若所述第二協議樣本存在于所述通訊正常庫中，且其權重不為1，則更新所有權重不為1的第二協議樣本的權重；并根據更新后所述第二協議樣本的權重將所述第二協議樣本添加至所述通訊正常庫中或所述通訊異常庫中；若所述第二協議樣本不存在于所述通訊正常庫中，則將所述第二協議樣本的權重設置為預設權重，更新所有權重不為1的第二協議樣本的權重，并將所述第二協議樣本轉入通訊異常庫中；其中，所述預設權重小于0.5。

可選的，所述預設權重為0.1。

可選的，所述根據更新后所述第二協議樣本的權重將所述第二協議樣本添加至所述通訊正常庫中或所述通訊異常庫中，具體包括：若更新后的第二協議樣本的權重小于閾值權重，則將所述第二協議樣本轉入所述通訊異常庫中；并且，若所述第二協議樣本存在于所述通訊正常庫中，將其從所述通訊正常庫中刪除；若更新后的第二協議樣本的權重大于或等于所述閾值權重，則將所述第二協議樣本添加至所述通訊正常庫中；并且，若所述第二協議樣本存在于所述通訊異常庫中，將其從所述通訊異常庫中刪除。

可選的，所述閾值權重為0.5。

可選的，所述更新所有權重不為1的第二協議樣本的權重具體為：采用信息量權重法重新計算所有權重不為1的第二協議樣本的權重。