(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211014515.8 (22)申请日 2022.08.23 (71)申请人 中国石油天然气集团有限公司 地址 100007 北京市东城区东 直门北大街9 号 申请人 中国石油集团川庆钻探 工程有限公 司 (72)发明人 余健　陈炫邑　张运迪　邓君　 曾莎莉　吴鹏　 (74)专利代理 机构 成都中玺知识产权代理有限 公司 5123 3 专利代理师 张敏 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种工控网络的入侵 检测方法和系统 (57)摘要 本发明提供了一种工控网络的入侵检测方 法和系统， 属于工业控制领域。 所述工控网络的 入侵检测方法包括： 采集工控网络中各节点的数 据， 建立入侵检测行为知识库； 构建工控入侵检 测精度及其影 响因素之间的训练模 型； 将当前时 刻工控网络中各节点的网络和主机行为数据输 入至训练模型中， 并与所述知识库进行对比分 析； 若检测结果是入侵行为， 则记录相关证据并 响应处置； 若检测结果是非入侵行为， 则提取行 为， 并归纳入知识库； 根据构建的训练模型对模 型中的参数进行调整。 本发明能够在较少人工参 与的前提下， 在运行过程中进行自适应优化， 提 升工控入侵检测系统对动态环 境的适应性， 始终 保持理想的工控 入侵检测精度。 权利要求书3页 说明书10页 附图4页 CN 115378711 A 2022.11.22 CN 115378711 A 1.一种工控网络的入侵检测方法， 其特 征在于， 所述入侵检测方法包括以下步骤： S100、 采集工控网络中各节点的网络数据和主机数据， 建立工控入侵检测行为知识库， 所述知识库包括历史行为数据、 特定行为数据和其他行为数据， 历史行为数据指网络和主 机的正常操作行为数据， 特定行为数据指入侵攻击行为数据； S200、 构建工控入侵检测的训练模型， 所述训练模型包括健康基准子模型、 告警诊断子 模型和威胁预测子模型； S300、 将当前时刻工控网络中各节点的网络和主机行为数据输入至所述训练模型中， 并与所述知识库中历史时刻工控网络中各节点的网络和主机行为数据进 行对比分析， 获得 当前时刻检测结果， 并根据检测结果度量工控 入侵检测精度； S400、 若检测结果输出是入侵行为， 则记录相关证据并进行响应处置； 若检测结果输出 是非入侵行为， 则提取 行为， 与当前系统/用户行为进行对比， 并归纳入所述知识库； S500、 更新所述训练模型， 并针对下一时刻的网络数据进行检测。 2.根据权利要求1所述的工控网络的入侵检测方法， 其特征在于， 步骤S200中， 利用历 史行为数据形成健康基准子模型、 告警诊断子模型和 威胁预测子模型， 利用特定行为数据 形成告警诊断子模型和威胁预测子模型， 利用策略维护记录形成威胁预测子模型。 3.根据权利要求1所述的工控网络的入侵检测方法， 其特征在于， 步骤S300中， 采用主 成分分析算法、 BA算法和ELM分类 器算法计算当前时刻检测结果。 4.根据权利要求1所述的工控网络的入侵检测方法， 其特征在于， 步骤S300包括以下子 步骤： S310、 接收不同类型的数据， 并进行 特征提取和分析； S320、 每一个影响因素对应至少一个调优策略， 每条调优策略拥有独立权重， 根据各节 点的网络数据和对立权 重， 进行网络数据训练； S330、 对训练网络数据进行编码和标准 化， 获得标准训练网络数据； S340、 采用预设算法对标准训练网络数据进行降维， 获得降维网络数据； S350、 根据降维网络数据对 优化后的分类 器进行训练， 获得 所述训练模型； S360、 进行模型验证； S370、 对验证后的训练模型添加附加标识信息， 形成模型部署信息， 再将添加标识信息 后的网络包按照预设协议 通信过程中的网络包顺序存 入日志文件或数据库中。 5.根据权利要求4所述的工控网络的入侵检测方法， 其特征在于， 子步骤S310具体包 括： 将收集到的网络和主机数据按照 不同工作模式进行聚类分析， 获得不同工作模式的数 据合集； 针对收集的网络流 量信息和日志数据信息， 提取告警诊断信息， 并进行分类； 针对收集的网络流 量信息、 日志数据信息和基线信息， 形成策略配置信息； 针对收集的网络流量信息和日志数据信息， 分析提取威胁信息， 并利用回归分析技术 形成威胁预测信息 。 6.根据权利要求4所述的工控网络的入侵检测方法， 其特征在于， 子步骤S350中， 利用 MEC集成的AI训练平台公有云服 务完成算法模型训练。 7.根据权利要求1所述的工控系统前端的入侵检测方法， 其特征在于， 度量工控入侵检权　利　要　求　书 1/3 页 2 CN 115378711 A 2测精度包括： 相邻两次误报间隔时间和相邻两次漏报间隔时间。 8.一种工控网络的入侵检测系统， 其特征在于， 所述入侵检测系统包括数据采集单元、 工控入侵检测行为知识库、 训练模型构建单元、 入侵检测单元、 入侵检测精度度量单元、 入 侵响应单 元、 行为数据提取 单元和训练模型 更新单元， 其中， 数据采集单 元， 用于采集工控网络中各节点的网络数据和主机数据； 工控入侵检测行为知识库， 用于存 储历史行为数据、 特定行为数据和其 他行为数据； 训练模型构建单元， 用于构建工控入侵检测的训练模型， 所述训练模型包括健康基准 子模型、 告警诊断子模型和威胁预测子模型； 入侵检测单元， 用于将当前时刻工控 网络中各节点的网络和主机行为数据输入至训练 模型中， 并与所述知识库进行对比分析， 输出当前时刻检测结果； 入侵检测精度 度量单元， 用于根据检测结果度量工控 入侵检测精度； 入侵响应单 元， 用于检测结果输出 是入侵行为时， 记录相关证据并进行响应处置； 行为数据提取单元， 用于检测结果输出是非入侵行为， 提取行为， 与当前系统/用户行 为进行对比， 并归纳入所述知识库； 训练模型更新单元， 用于根据当前时刻工控网络中各节点的网络和主机行为数据， 更 新训练模型。 9.根据权利要求8所述的工控 网络的入侵检测系统， 其特征在于， 所述训练模型构建单 元包括特征提取模块、 训练网络数据获取模块、 标准训练网络数据获取模块、 降维网络数据 获取模块、 模型确定模块、 模型验证模块和模型部署模块， 其中， 特征提取模块， 用于 接收不同类型的数据， 并进行 特征提取和分析； 训练网络数据获取模块， 用于根据各节点的网络数据和调优策略的对立权重， 进行网 络数据训练， 获得训练网络数据； 标准训练网络数据获取模块， 用于对训练网络数据进行编码和标准化， 获得标准训练 网络数据； 降维网络数据获取模块， 用于采用预设算法对标准训练网络数据进行降维， 获得降维 网络数据； 模型确定模块， 用于根据降维网络数据对优化后的分类器进行训练， 获得所述训练模 型； 模型验证模块， 用于进行模型验证； 模型部署模块， 用于对验证后的训练模型添加附加标识信 息， 形成模型部署信 息， 再将 添加标识信息后的网络包按照预设协议通信过程中的网络包顺序存入日志文件或数据库 中。 10.根据权利要求9所述的工控网络的入侵检测系统， 其特征在于， 所述特征提取模块 包括数据合集提取子模块、 告警诊断信息提取子模块、 策略配置信息提取子模块和 威胁预 测信息提取子模块， 其中， 数据合集提取子模块， 用于将收集到的网络和主机数据按照 不同工作模式进行聚类分 析， 获得不同工作模式的数据合 集； 告警诊断信息提取子模块， 用于针对收集的网络流量信息和日志数据信息， 提取告警 诊断信息， 并进行分类；权　利　要　求　书 2/3 页 3 CN 115378711 A 3