一种工控攻击事件监测感知处理方法及系统、存储介质与流程

本发明涉及工控攻击领域，尤其涉及一种工控攻击事件监测感知处理方法及系统、存储介质。

背景技术：

1、工控攻击指的是针对工业控制系统(industrial control system，ics)或工业物联网(industrial internet ofthings，iiot)的恶意攻击。这些攻击可能导致生产中断、设备瘫痪、信息泄露等损失。

2、传统的工控攻击事件监测方式是利用人工的方式识别监测工控攻击事件的发生，无法准确识别；并且因为人工的排查攻击信息的原因，无法保障及时的监测到工控攻击事件发生，进而无法保障对工控攻击事件及时处理，经常会导致设备故障事件发生。

技术实现思路

1、本发明的目的在于提供一种工控攻击事件监测感知处理方法及系统、存储介质，解决了现有技术中指出的上述技术问题。

2、本发明提出了一种工控攻击事件监测感知处理方法，包括如下操作步骤：

3、获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作；

4、所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息；

5、当所述执行动作不一致时，从所述执行动作中确定异常动作；

6、从所述至少两个控制节点中确定生成所述异常动作的异常控制节点；

7、将所述异常控制节点中执行的所述指令信息确定为异常指令信息；

8、利用爬虫技术爬取得到多个漏洞数据，利用所述漏洞数据构建漏洞数据库；基于所述漏洞数据库中所有漏洞数据通过遗传算法计算，分别对应生成多个攻击信息；

9、所述漏洞数据表征漏洞位置及漏洞处理方式；

10、判断所述异常指令信息与所述攻击信息是否有一致；若有一致，则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复；若不一致，则确定当前异常指令信息为非常规漏洞；将所述非常规漏洞记录并上报进行处理，得到对应的处理方式；将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。

11、较佳的，所述基于所述漏洞数据库中所有漏洞数据通过遗传算法计算，分别对应生成多个攻击信息，包括如下操作步骤：

12、根据所述漏洞数据随机生成一定数量的攻击向量个体；将所述攻击向量个体进行归一化处理，得到初始优化攻击向量个体；根据所述初始优化攻击向量个体，构建初始攻击向量种群i＝(p1，p2，p3，...，pi)；其中，pi为第i个攻击向量个体；

13、对所述初始攻击向量种群中每个初始优化攻击向量个体的染色体进行编码操作；对所述初始优化攻击向量个体进行模拟测试，得到攻击向量测试得分s；预设适应度函数值e，并根据所述攻击向量测试得分计算获取每个初始优化攻击向量个体的适应度f；

14、所述初始优化攻击向量个体的适应度f的计算方式为：

15、

16、式中，fi为第i个初始优化攻击向量个体的适应度；

17、e为适应度函数值；

18、si为第i个初始优化攻击向量个体的攻击向量测试得分；

19、根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作，并进行迭代操作，得到多个最优攻击向量个体i'＝(p'1，p'2，p'3，...，p'i)，计算获取所述最优攻击向量个体的适应度fi'；其中，p'i为第i个最优攻击向量个体；

20、定义最优攻击向量个体输出分值参数u，并根据所述最优攻击向量个体的适应度分别计算各个最优攻击向量个体的输出分值d；

21、所述最优攻击向量个体的输出分值d的计算方式为：

22、d＝fi'×u；

23、式中，fi'为第i个最优攻击向量个体的适应度；

24、u为最优攻击向量个体输出分值参数；

25、d为最优攻击向量个体的输出分值；

26、预设输出分值最低阈值m，从所述最优攻击向量个体中筛选输出分值大于或等于所述输出分值最低阈值m的最优攻击向量个体，并确定为攻击信息。

27、较佳的，所述根据所述适应度对每个初始优化攻击向量个体进行个体选择、染色体交换、个体变异操作，并进行迭代操作，得到多个最优攻击向量个体，包括如下操作步骤：

28、个体选择操作：预设适应度第一阈值k与适应度第二阈值l，判断所述适应度是否大于或等于所述适应度第二阈值l；若判断所述适应度大于或等于所述适应度第二阈值l，则判断所述适应度对应的初始优化攻击向量个体为最优攻击向量个体；

29、若判断所述适应度小于所述适应度第二阈值l，则进一步判断所述适应度是否大于或等于所述适应度第一阈值m；若判断所述适应度大于或等于所述适应度第一阈值m，则确定所述适应度对应的初始优化攻击向量个体为父个体；

30、所述适应度第一阈值k小于所述适应度第二阈值l；

31、将所述父个体的染色体互换基因序列，得到多个子个体；

32、对所述子个体的染色体进行变异操作，得到多个变异个体i”＝(p”1，p”2，p”3，...，p”i)；将所述变异个体作为初始优化攻击向量个体，计算获取初始优化攻击向量个体的适应度后返回上述个体选择操作进行迭代处理操作，同时将迭代次数n加1；预设迭代次数最大阈值n，若所述迭代次数小于所述迭代次数最大阈值n，则继续进行迭代，得到多个最优攻击向量个体；直至所述迭代次数等于所述迭代次数最大阈值n；

33、所述迭代次数n初始为0。

34、较佳的，所述将所述父个体的染色体互换基因序列，得到多个子个体包括如下操作步骤：

35、将所述父个体通过文本处理方式进行对齐，得到优化父个体；

36、任意选择交叉点，对所述优化父个体进行切割，得到多个切割分体；

37、将所述切割分体进行重新组合，获取多个子个体。

38、较佳的，所述将所述父个体通过文本处理方式进行对齐，得到优化父个体，包括如下操作步骤：

39、提取所述父个体的关键词；根据所述关键词进行重新组合获取第一优化父个体；

40、获取所有所述初始优化父个体的长度，基于所述初始优化父个体的长度，计算获取所述初始优化父个体长度平均值；

41、根据所述初始优化父个体长度平均值，对所述初始优化父个体进行对齐操作，得到优化父个体。

42、本发明提供了一种工控攻击事件监测感知处理系统，包括模拟执行模块、异常筛选模块、攻击信息生成模块、中央处理器；

43、其中，所述模拟执行模块，用于获取工业系统中的至少两个控制节点针对各自执行的同一指令信息生成的执行动作；

44、所述同一指令信息是所述控制节点中对应于同一指令信息源执行的指令信息；

45、所述异常筛选模块，用于当所述执行动作不一致时，从所述执行动作中确定异常动作；

46、从所述至少两个控制节点中确定生成所述异常动作的异常控制节点；

47、将所述异常控制节点中执行的所述指令信息确定为异常指令信息；

48、所述攻击信息生成模块，用于利用爬虫技术爬取得到多个漏洞数据，利用所述漏洞数据构建漏洞数据库；基于所述漏洞数据库中所有漏洞数据通过遗传算法计算，分别对应生成多个攻击信息；

49、所述漏洞数据表征漏洞位置及漏洞处理方式；

50、所述中央处理器，用于判断所述异常指令信息与所述攻击信息是否有一致；若有一致，则将所述异常指令信息进行记录并根据所述漏洞数据库对所述异常指令信息进行自动修复；若不一致，则确定当前异常指令信息为非常规漏洞；将所述非常规漏洞记录并上报进行处理，得到对应的处理方式；将所述非常规漏洞及所述处理方式保存至所述漏洞数据库。

51、本发明提供了一种工控攻击事件监测感知处理存储介质，所述存储介质烧录有计算机程序，所述计算机程序在服务器的内存中运行时实现上述所述的一种工控攻击事件监测感知处理方法。

52、与现有技术相比，本发明实施例至少存在如下方面的技术优势：

53、分析本发明提供的上述一种工控攻击事件监测感知处理方法及系统、存储介质可知，在具体应用时通过对工业系统中的两个以上的控制节点对同一指令信息进行执行得到执行动作，从执行动作不一致指令信息中确定得到异常指令信息；然后从漏洞数据库中得到多个攻击信息，通过异常指令信息与攻击信息进行比对，得到异常指令信息的处理方式；从而保障对工业系统的攻击事件实时监测处理管理操作；并且在进行得到多个攻击信息过程中，利用遗传算法及文本处理方式进行计算处理，保障得到的攻击信息数量足够且更好地对攻击事件进行自动处理。