一种基于机器学习的工控环境智能安全检测方法和系统与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种基于机器学习的工控环境智能安全检测方法和系统。


背景技术：

2.从工业控制系统自身来看，随着计算机和网络技术的发展，尤其是信息化与工业化的深度融合，工业控制系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工业控制系统的攻击行为大幅度增长，也使得工业控制系统的脆弱性正在逐渐显现，面临的信息安全问题日益突出。
3.对工业控制系统中的网络的未知安全漏洞进行挖掘需要基于工控协议的模糊测试技术，也即通过对工控网络中的设备和系统进行模糊测试来发现未知安全漏洞。但工控网络与互联网的不同之处在于，工控领域中的设备类型多，协议复杂，协议规约不统一，技术领域涉及石化炼油、水利调度、电力调度、轨道交通等领域。不同的plc或其它被测设备基于的协议各不相同。常用的工控协议就覆盖modbus、iec101、iec103、iec104、dnp3.0、goose、mms、profinet、s7_comm、fins等几十种。工控安全检测系统需要兼容这些协议，测试时需要从这些协议中挑选出适合于被测设备的。
4.现有技术中的安全测试平台虽然也集成了很多不同协议类型的测试用例，但是在对被测设备进行未知安全漏洞挖掘时要输入哪个测试用例则需要用户自己去判断，且在判断完成后用户自己去选取确定的测试用例去对被测设备进行未知安全漏洞挖掘，一方面，自动化程度低，需要人参与的过程较多，另一方面，由于人的参与，错误率较高。


技术实现要素：

5.本发明实施例提供一种基于机器学习的工控环境智能安全检测方法和系统，以解决现有技术中工控环境的安全检测自动化程度低，需要人参与的过程较多、错误率较高的问题。
6.第一方面，本发明实施例提供一种基于机器学习的工控环境智能安全检测方法，包括：
7.s1、基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
8.s2、计算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
9.s3、基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
10.作为优选的，所述步骤s2中，计算所有数据指标的卡方值，具体包括：
11.[0012][0013]
上式中，k表示数据指标，k取值范围是k∈{1,2,...,nk}，nk表示指标总数，x2k表示k的卡方值，i表示数据指标的属性类别，i∈{1,2,...,mk}，mk表示指标k的属性类别总数，j表示数据包的分类类别，j∈{0,1}；a
kij
表示指标类别为k属性值为i且属于第j类安全事件发生的次数；a
kij
表示指标类别为k属性值为i且属于第j类安全事件发生的次数。
[0014]
作为优选的，所述步骤s2中，基于所述卡方值确定对应类型数据的概率值，具体包括：
[0015]
将所有所述数据指标对应的卡方值代入卡方分布标准表，确定每个卡方值对应数据指标的概率值。
[0016]
作为优选的，所述步骤s3具体包括：
[0017]
步骤s31、令第n条数据包发生安全事件的概率看做pn，则分类标签为1的特征指标发生安全事件的概率为：
[0018][0019][0020]
上式中，x1，x2,...,xn为对应的特征指标数据；w
t
为通过损失函数训练得到的最佳系数；
[0021]
分类标签为0的特征指标发生安全事件的概率为：
[0022][0023]
逻辑回归模型表达式为：
[0024][0025]
令各所述特征指标相互独立，根据最大似然函数确定输入对应特征指标数据后发生安全事件的概率为：
[0026][0027]
计算最小化负对数似然函数对n个样本取平均即得到损失函数：
[0028][0029]
在0-1分布的基础上取对数后再取负数，将损失函数与0-1分布的分布律对应，根据梯度下降法确定所述损失函数的最小值，得到通过损失函数训练得到的最佳系数w
t
。
[0030]
第二方面，本发明实施例提供一种基于机器学习的工控环境智能安全检测系统，包括：
[0031]
指标检测模块，基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
[0032]
指标提取模块，算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
[0033]
风险概率分析模块，基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
[0034]
作为优选的，所述指标提取模块具体用于将所有所述数据指标对应的卡方值代入卡方分布标准表，确定每个卡方值对应数据指标的概率值。
[0035]
第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本发明第一方面实施例所述基于机器学习的工控环境智能安全检测方法的步骤。
[0036]
第四方面，本发明实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如本发明第一方面实施例所述基于机器学习的工控环境智能安全检测方法的步骤。
[0037]
本发明实施例提供的一种基于机器学习的工控环境智能安全检测方法和系统，包括：s1、基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；s2、计算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；s3、基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。通过智能算法实现自动检测，解决了现有技术中工控环境的安全检测自动化程度低，需要人参与的过程较多、错误率较高的问题。
附图说明
[0038]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0039]
图1为根据本发明实施例的基于机器学习的工控环境智能安全检测方法流程框图；
[0040]
图2为根据本发明实施例的基于机器学习的工控环境智能安全检测系统结构示意图；
[0041]
图3为根据本发明实施例的实体结构示意图。
具体实施方式
[0042]
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员
在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0043]
在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本技术的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
[0044]
图1为本发明实施例提供一种基于机器学习的工控环境智能安全检测方法，包括：
[0045]
s1、基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
[0046]
s2、计算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
[0047]
s3、基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
[0048]
在一个实施方式中，所述步骤s2中，计算所有数据指标的卡方值，具体包括：
[0049][0050][0051]
上式中，k表示数据指标，k取值范围是k∈{1,2,...,nk}，nk表示指标总数，x2 k表示k的卡方值，i表示数据指标的属性类别，i∈{1,2,...,mk}，mk表示指标k的属性类别总数，j表示数据包的分类类别，j∈{0,1}；a
kij
表示指标类别为k属性值为i且属于第j类安全事件发生的次数；a
kij
表示指标类别为k属性值为i且属于第j类安全事件发生的次数。
[0052]
在一个实施方式中，所述步骤s2中，基于所述卡方值确定对应类型数据的概率值，具体包括：
[0053]
将所有所述数据指标对应的卡方值代入卡方分布标准表，确定每个卡方值对应数据指标的概率值。
[0054]
在一个实施方式中，所述步骤s3具体包括：
[0055]
步骤s31、令第n条数据包发生安全事件的概率看做pn，则分类标签为1的特征指标发生安全事件的概率为：
[0056][0057][0058]
上式中，x1，x2,...,xn为对应的特征指标数据；w
t
为通过损失函数训练得到的最佳系数；
[0059]
分类标签为0的特征指标发生安全事件的概率为：
[0060]
[0061]
逻辑回归模型表达式为：
[0062][0063]
令各所述特征指标相互独立，根据最大似然函数确定输入对应特征指标数据后发生安全事件的概率为：
[0064][0065]
计算最小化负对数似然函数对n个样本取平均即得到损失函数：
[0066][0067]
在0-1分布的基础上取对数后再取负数，将损失函数与0-1分布的分布律对应，根据梯度下降法确定所述损失函数的最小值，得到通过损失函数训练得到的最佳系数w
t
。
[0068]
本发明实施例还提供一种基于机器学习的工控环境智能安全检测系统，如图2所示，包括：
[0069]
指标检测模块210，基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
[0070]
指标提取模块220，算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
[0071]
风险概率分析模块230，基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
[0072]
在一个实施方式中，所述指标提取模块具体用于将所有所述数据指标对应的卡方值代入卡方分布标准表，确定每个卡方值对应数据指标的概率值。
[0073]
基于相同的构思，本发明实施例还提供了一种实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)301、通信接口(communications interface)302、存储器(memory)303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信。处理器301可以调用存储器303中的逻辑指令，以执行如上述各实施例所述基于机器学习的工控环境智能安全检测方法的步骤。例如包括：
[0074]
s1、基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
[0075]
s2、计算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
[0076]
s3、基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
[0077]
基于相同的构思，本发明实施例还提供一种非暂态计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序包含至少一段代码，该至少一段代码可由主控设备执行，以控制主控设备用以实现如上述各实施例所述基于机器学习的工控环境
智能安全检测方法的步骤。例如包括：
[0078]
s1、基于工业控制内部网应用层协议的数据包，确定与安全事件分类相关的数据指标；
[0079]
s2、计算所有数据指标的卡方值，基于所述卡方值确定对应数据指标的概率值；若判断所述概率值小于预设概率阈值，则将对应的指标筛选为特征指标；
[0080]
s3、基于所述特征指标构建安全检测模型，所述安全检测模型用于基于所述特征指标进行安全事件检测。
[0081]
基于相同的技术构思，本技术实施例还提供一种计算机程序，当该计算机程序被主控设备执行时，用以实现上述方法实施例。
[0082]
所述程序可以全部或者部分存储在与处理器封装在一起的存储介质上，也可以部分或者全部存储在不与处理器封装在一起的存储器上。
[0083]
基于相同的技术构思，本技术实施例还提供一种处理器，该处理器用以实现上述方法实施例。上述处理器可以为芯片。
[0084]
需要说明的是，在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其它实施例的相关描述。
[0085]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0086]
尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0087]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。