[发明专利]一种基于深度学习的一体化工控蜜罐识别系统及方法

权利要求书

1.一种基于深度学习的一体化工控蜜罐识别系统，其特征在于，包括：特征数据获取模块、模型训练模块以及在线特征识别模块；

所述特征数据获取模块，用于根据蜜罐识别需求，获取不同类型工控设备的原始数据，并从获取的原始数据中进行特征提取，得到可精确识别蜜罐的强特征数据和用于训练学习的通用特征数据；

所述模型训练模块，用于根据所述强特征数据识别出蜜罐和工控设备，并将识别出的蜜罐和工控设备对应的通用特征和识别结果作为训练集，输入至深度学习模型进行训练，以构建训练好的蜜罐识别模型；

所述在线特征识别模块，用于在线从不同类型工控设备的原始数据中进行特征提取，提取出第一特征数据，并将所述第一特征数据输入至所述蜜罐识别模型，以得到所述蜜罐识别模型输出第一识别结果。

2.如权利要求1所述的基于深度学习的一体化工控蜜罐识别系统，其特征在于，所述特征数据获取模块，包括IP地址获取单元、探测报文构造单元、探测结果生成单元以及特征提取单元；

所述IP地址获取单元，用于从待扫描的工控设备IP地址库中读取多个工控设备的IP地址信息；

所述探测报文构造单元，用于根据蜜罐识别需求构造不同类型的探测报文，并将不同类型的探测报文发送给对应的联网工控设备；

所述探测结果生成单元，用于将联网工控设备返回的响应报文作为探测结果写回IP地址库，并将所述探测结果作为原始数据；

所述特征提取单元，用于从所述原始数据中进行特征提取，提取出可精确识别蜜罐的强特征数据和用于训练学习的通用特征数据。

3.如权利要求2所述的基于深度学习的一体化工控蜜罐识别系统，其特征在于，所述强特征数据包括强特征工控蜜罐和强特征正常工控设备；

所述强特征工控蜜罐为，ISP为云平台或高校或研究院、操作系统指纹为window、开放端口数量大于Port threshold且违反端口开放规则、OS指纹为window的设备；

所述强特征正常工控设备为，ISP为非云平台或非高校研究院、开放端口小于Portthreshold且不违反端口开放规则、操作系统指纹为嵌入式OS系统的设备。

4.如权利要求1所述的基于深度学习的一体化工控蜜罐识别系统，其特征在于，还包括模型更新模块；

所述模型更新模块，用于当在线识别出错时，将错误的结果修正，并将修正后的识别结果作为训练集输入至在离线状态的蜜罐识别模型中进行训练，训练完成后重新将训练完成的蜜罐识别模型应用于在线识别。

5.如权利要求1所述的基于深度学习的一体化工控蜜罐识别系统，其特征在于，所述不同类型工控设备的原始数据包括防御特征数据、内在特征数据以及网络属性特征数据。

6.一种基于深度学习的一体化工控蜜罐识别方法，其特征在于，包括以下步骤：

根据蜜罐识别需求，获取不同类型工控设备的原始数据，并从获取的原始数据中进行特征提取，得到可精确识别蜜罐的强特征数据和用于训练学习的通用特征数据；

根据所述强特征数据识别出蜜罐和工控设备，并将识别出的蜜罐和工控设备对应的通用特征和识别结果作为训练集，输入至深度学习模型进行训练，以构建训练好的蜜罐识别模型；

在线从不同类型工控设备的原始数据中进行特征提取，提取出第一特征数据，并将所述第一特征数据输入至所述蜜罐识别模型，以得到所述蜜罐识别模型输出第一识别结果。

7.如权利要求6所述的基于深度学习的一体化工控蜜罐识别方法，其特征在于，所述根据蜜罐识别需求，获取不同类型工控设备的原始数据，并从获取的原始数据中进行特征提取，得到可精确识别蜜罐的强特征数据和用于训练学习的通用特征数据，具体为：

从待扫描的工控设备IP地址库中读取多个工控设备的IP地址信息；

根据蜜罐识别需求构造不同类型的探测报文，并将不同类型的探测报文发送给对应的联网工控设备；

将联网工控设备返回的响应报文作为探测结果写回IP地址库，并将所述探测结果作为原始数据；

从所述原始数据中进行特征提取，提取出可精确识别蜜罐的强特征数据和用于训练学习的通用特征数据。