本申請公開了一種工業控制系統的入侵檢測方法、存儲器和處理器，所述方法包括，利用大數據平臺采集監測點數據，并進行實時數據緩沖存儲和離線數據存儲；將存儲的離線數據作為訓練集分別參與有監督模型的訓練和無監督模型的訓練；將存儲的實時數據輸入訓練完成的有監督模型中識別是否為已知入侵行為；若否，則將上述存儲的實時數據輸入無監督模型中識別是否為該無監督模型中已學習的未知入侵行為；若是，則將上述存儲的實時數據作為訓練數據參與有監督模型的訓練。通過本申請解決了工業控制系統入侵檢測準確度和效率有待提高的問題，從而實現了工業控制入侵檢測的高準確度和高效率。

技術領域

本申請涉及到工業互聯網安全領域，具體地涉及一種面向工業控制系統的分布式入侵檢測方法。

背景技術

自2010年出現Stuxnet病毒以來，工業控制系統(Industrial?Control?System，ICS)信息安全防護方法和技術問題引起研究領域的廣泛關注。入侵檢測已被公認為是檢測入侵行為的重要技術。作為一種主動安全防御手段，入侵檢測通過快速收集、分析網絡通信行為數據，并利用已知模型對其作出判斷，以識別工業控制網絡中的入侵行為，并在入侵行為發生作用前發出報警信號，啟動防御措施。高效的入侵檢測系統能夠彌補安全機制缺陷，實時監控網絡流量，對于有效防范網絡攻擊、保障工業控制網絡安全運行具有重要意義。近年來，隨著工業控制網絡安全問題的持續增加，國內外學者對其入侵檢測技術展開了廣泛而深入的研究，提出了很多建設性方法。研究的方法主要包含基于行為、狀態和協議，基于模型，基于機器學習檢測方法及其他檢測方法幾個方面。

由于ICS運行中斷會造成嚴重損失，ICS要求設備7/24小時不間斷運行，想要進行系統錯誤修復或軟件更新非常困難。并且ICS持續運行產生大量實時數據，如部分傳感器采用高速采樣(每秒120次)，并以較低延遲發往處理單元。這就要求入侵檢測算法能夠實時處理大量數據。此外，ICS中包含的傳感器和執行器存儲、計算能力有限，且分布于環境差異較大的集中或分散的物理空間，存在傳輸時延，很難執行復雜的安全程序，限制了較高復雜度的方法的應用。因此，工業控制系統入侵檢測面臨準確度和效率有待提高的問題。

發明內容

本申請實施例提供了一種工業控制系統的入侵檢測方法、存儲器和處理器，以至少解決工業控制系統入侵檢測準確度和效率有待提高的問題。

根據本申請的一個方面，提供了一種工業控制系統的入侵檢測方法，

利用大數據平臺采集監測點數據，并進行實時數據緩沖存儲和離線數據存儲；

將存儲的離線數據作為訓練集分別參與有監督模型的訓練和無監督模型的訓練；

將存儲的實時數據輸入訓練完成的有監督模型中識別是否為已知入侵行為；

若否，則將上述存儲的實時數據輸入無監督模型中識別是否為該無監督模型中已學習的未知入侵行為；

若是，則將上述存儲的實時數據作為訓練數據參與有監督模型的訓練。

進一步的，在本發明中，該方法中至少采用以下技術之一：所述大數據平臺為Hadoop；所述監測點數據通過flume技術采集。

進一步的，在本發明中，該方法中至少采用以下技術之一：所述實時數據緩沖存儲在Kafka中；所述離線數據存儲在HDFS中。

進一步的，在本發明中，所述有監督模型結合MapRduce算法和LightGBM算法。

進一步的，在本發明中，所述有監督模型訓練過程如下：

初始化決策樹；

將大數據平臺中的每個參與計算的對象當作一個計算實體進行映射；

將每個計算實體的映射結果進行歸約；