[发明专利]一种机器学习中规则模型的建立方法

说明书

本发明公开了一种机器学习中规则模型的建立方法，属于工控网络安全技术领域，能够解决现有协议操作指令检测规则自动化分类配置时，配置难度较大，效率较低，且容易出错的问题。所述建立方法包括：对第一工控协议通讯行为样本进行解析，提取第一协议样本；将第一协议样本输入机器学习模块中进行训练，确定通讯正常库；对第二工控协议通讯行为样本进行解析，提取第二协议样本；将第二协议样本输入机器学习模块中进行训练；获取第二协议样本的权重，并根据第二协议样本的权重更新通讯正常库和建立通讯异常库。本发明用于规则模型的建立。

技术领域

本发明涉及一种机器学习中规则模型的建立方法，属于工控网络安全技术领域。

背景技术

随着工业控制网络和互联网络不断的融合，工业控制系统正朝着数字化、网络化、智能化的方向发展，越来越多的工控系统及相关设备与外部公共网络连接，工业互连已成为不可避免的趋势，高度网络化、开放协议和通用组件互联，带来了更多的攻击路径和攻击方式，网络空间的安全问题直接延伸到工业控制系统中，工控系统面临更加复杂的信息安全威胁，自动识别异常工控行为成为了亟待解决的问题。

传统审计系统需要人工对协议进行检测规则配置，系统获取流量数据，并解析工控行为报文，根据检测规则判断该工控行为是否为异常操作行为。检测规则配置，需要运维人员对协议以及业务非常了解，随着工控设备使用协议越来越多，协议指令也越来越复杂，人工配置协议检测规则难度变大，且配置过程中容易配置错误；并且现有的机器学习模型不完善，只能学习到行为，不能对协议操作指令检测规则进行自动化分类配置，从而需要人为分类配置，导致配置难度较大，效率较低，且容易出错。

发明内容

本发明提供了一种机器学习中规则模型的建立方法，能够解决现有协议操作指令检测规则自动化分类配置时，配置难度较大，效率较低，且容易出错的问题。

本发明提供了一种机器学习中规则模型的建立方法，所述建立方法包括：对第一工控协议通讯行为样本进行解析，提取第一协议样本；将所述第一协议样本输入机器学习模块中进行训练，确定通讯正常库；对第二工控协议通讯行为样本进行解析，提取第二协议样本；将所述第二协议样本输入机器学习模块中进行训练；获取所述第二协议样本的权重，并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库。

可选的，所述将所述第一协议样本输入机器学习模块中进行训练，确定通讯正常库，具体为：将所述第一协议样本的权重标记为1，并将所述第一协议样本添加至通讯正常库中。

可选的，所述获取所述第二协议样本的权重，并根据所述第二协议样本的权重更新通讯正常库和建立通讯异常库，具体包括：若所述第二协议样本存在于所述通讯正常库中，且其权重不为1，则更新所有权重不为1的第二协议样本的权重；并根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中；若所述第二协议样本不存在于所述通讯正常库中，则将所述第二协议样本的权重设置为预设权重，更新所有权重不为1的第二协议样本的权重，并将所述第二协议样本转入通讯异常库中；其中，所述预设权重小于0.5。

可选的，所述预设权重为0.1。

可选的，所述根据更新后所述第二协议样本的权重将所述第二协议样本添加至所述通讯正常库中或所述通讯异常库中，具体包括：若更新后的第二协议样本的权重小于阈值权重，则将所述第二协议样本转入所述通讯异常库中；并且，若所述第二协议样本存在于所述通讯正常库中，将其从所述通讯正常库中删除；若更新后的第二协议样本的权重大于或等于所述阈值权重，则将所述第二协议样本添加至所述通讯正常库中；并且，若所述第二协议样本存在于所述通讯异常库中，将其从所述通讯异常库中删除。

可选的，所述阈值权重为0.5。

可选的，所述更新所有权重不为1的第二协议样本的权重具体为：采用信息量权重法重新计算所有权重不为1的第二协议样本的权重。