[发明专利]一种用于工业控制系统网络的安全监测方法

权利要求书

1.一种用于工业控制系统网络的安全监测方法，其特征在于，包括：

获取所述工业控制系统网络的工控元数据；所述工控元数据包括所述工业控制系统网络中传输的数据包；

提取所述工控元数据的特征信息；

将所述工控元数据的特征信息输入到预设模型，并依据所述预设模型输出的结果获取所述工业控制系统网络安全的风险指数；

所述预设模型包括树模型、支持向量机模型和/或聚类算法模型；

所述树模型的建立包括：

分别对每个所述工控元数据的特征信息建立决策树模型；将样本分为训练集、验证集和测试集；所述样本是基于时间序列按一预设采样频率和/或采样周期获取所述工控元数据的特征信息；依据树类算法，按一预设异常指数比例筛选所述训练集，并通过所述验证集优化参数；采用所述测试集评估模型训练的效果，选取最优的作为所述树模型；每个所述决策树模型进行投票，依据每个所述决策树模型的投票结果获取树模型的输出结果；

所述支持向量机模型的建立包括：

对所述工控元数据的特征信息建立支持向量机模型；将样本分为训练集、验证集和测试集；所述样本是基于时间序列按一预设采样频率和/或采样周期获取所述工控元数据的特征信息；依据支持向量机类算法，按一预设预测错误率筛选所述训练集，并通过所述验证集优化参数；采用所述测试集评估模型训练的效果，选取最优的作为所述支持向量机模型；

所述聚类算法模型的建立包括：

对基于时间序列按一预设采样频率和/或采样周期获取所述工控元数据的特征信息建立数据集；将所述数据集划分为训练集和测试集；采用聚类算法依据所述训练集构建所述聚类算法模型；采用所述测试集评估模型训练的效果，选取最优的作为所述聚类算法模型；所述聚类算法包括基于密度的聚类算法。

2.如权利要求1所述的方法，其特征在于，所述获取所述工业控制系统网络的工控元数据，包括：

从所述工业控制系统网络的网卡循环队列中获取发送和接收两个方向的数据包。

3.如权利要求1所述的方法，其特征在于，所述工业控制系统网络中传输的数据包包括所述工业控制系统网络传输的用于组态变更、操作指令变更、指令参数变更、开关机、启动停止程序、PLC下装和/或负载变更数据的数据包；和/或，所述工控元数据的特征信息包括所述数据包的MAC地址、IP地址、端口、工控指令、控制点位信息和/或应用层协议。

4.如权利要求1所述的方法，其特征在于，所述基于时间序列对数据深度解析进行异常检测模型的建立包括：

对基于时间序列按一预设采样频率和/或采样周期获取工控元数据的特征信息建立训练集；

依据一预设换算方法获取训练集的正常值区间，以建立基于时间序列对数据深度解析进行异常检测模型。

5.如权利要求4所述的方法，其特征在于，所述依据一预设换算方法获取训练集的正常值区间，包括：

所述正常值区间为(μ-3σ，μ+3σ)，其中，μ为训练集样本平均值，σ为样本方差。

6.如权利要求4所述的方法，其特征在于，所述依据一预设换算方法获取训练集的正常值区间，包括：

所述正常值区间为大于Q₃+1.5IQR之外的数和小于Q₁-1.5IQR，其中，Q₁为所述训练集样本中所有数值由小到大排列后第25%的数字，Q₃为所述训练集样本中所有数值由小到大排列后第75%的数字，IQR为Q₃和Q₁的差。