基于梯度提升决策树算法的工控漏洞检测方法和系统与流程

本技术涉及计算机网络安全领域领域，特别涉及一种基于梯度提升决策树算法的工控漏洞检测方法和系统。

背景技术：

1、工控系统通过传感器、仪表等设备将数据实时传输到工业互联网中，实现对工业设备和工业生产流程的远程控制和监测。近年来，随着物联网技术的快速发展及市场需求的不断推动，工控系统正朝着智能化，自动化，高效化的方向不断发展。然而，随着工控系统的普及和推广，工控系统的网络安全问题越来越受到企业的重视。一旦工控系统的网络安全出现问题，将会给企业的工业生产活动和工人的生命财产安全造成无法预估的损失。因此，企业普遍采用工控漏洞检测系统对网络安全漏洞进行监测，从而能够及时掌握漏洞信息，采取相应的风险规避措施，以提高工控系统的安全性和生产效率，保证工业生产活动的有序进行。

2、工控漏洞检测系统是专门用于对工控系统进行安全漏洞扫描和检测的工具，能够帮助企业及时发现工控系统中存在的漏洞和安全隐患，提高工控系统的安全防护能力。工控漏洞检测系统集成了工控系统自动识别，针对性漏洞扫描技术，构建漏洞数据库，生成风险评估报告和安全检测报告等多种功能，其核心功能是快速自动检测和分析工控系统中的安全漏洞和隐患。

3、目前，随着信息技术的不断发展和互联网应用的不断普及，工业互联网中的漏洞数量不断增加，漏洞类型呈现出多样化的趋势，漏洞的复杂性也日益增加，传统的工控漏洞检测系统已难以满足现代工控系统的安全性要求。传统工控漏洞检测系统目前主要存在以下几个问题：1）漏洞检测准确性不高：由于现代工控系统日趋复杂，漏洞检测的准确性越来越低，经常出现漏检或误检的现象，很大程度上影响工业生产活动的效率；2）资源占用高：漏洞检测需要实时进行，传统的漏洞检测系统面对新型的漏洞检测场景时，存在计算复杂度高的问题，占用海量的内存资源，导致整个工控系统的性能下降，稳定性减弱；3）专业技术的要求更高：日趋复杂的漏洞检测场景传统工控系统无法胜任，需要投入大量的专业安全人员进行人工判别，且对安全员的业务水平也有着很高的要求；4）系统兼容性差：现有的工控系统有着多种系统和协议，传统漏洞检测系统无法很好的与之兼容。

技术实现思路

1、（一）申请目的

2、基于此，为了提高漏洞检测的准确率，以及解决工控系统发生改变时，漏洞检测系统不能兼容的问题，本技术公开了以下技术方案。

3、（二）技术方案

4、本技术公开了一种基于梯度提升决策树算法的工控漏洞检测方法，包括：

5、s1、获取工控系统中的数据包，分析所述数据包，提取数据特征，将所述数据特征划分为训练集和测试集；

6、s11，对所述数据特征动静结合分析，将数据特征构成数字向量；

7、s12，以数字向量的形式划分数据特征，得到训练集和测试集；

8、s2、基于梯度提升决策树算法，以所述训练集训练漏洞检测模型；

9、s3、根据所述测试集评估训练完成的漏洞检测模型；

10、s31、选取并计算所述漏洞检测模型的性能评估指标；

11、s32、根据所述性能评估指标的计算值评估所述漏洞检测模型；

12、s4、通过满足评估标准的漏洞检测模型实现工控系统的漏洞检测。

13、在一种可能的实施方式中，所述数据特征包括静态特征和动态特征，所述静态特征包括注释数量，变量数量，函数数量，运算符数量，指令序列，控制流图；所述动态特征包括api调用，函数调用，输入输出，资源利用和内存映像。

14、在一种可能的实施方式中，所述数字向量构成公式包括：

15、。在一种可能的实施方式中，所述漏洞检测模型的训练过程包括：

16、s21、初始化分类器：将初始分类器设定为训练集中所有样本数据特征的平均值；

17、其中，表示当前分类器；表示训练集中的第i个样本的数据特征，n为当前训练集中的样本个数；表示第i个样本的数据特征的实际值；

18、s22、计算残差：计算每个样本的残差；

19、其中，表示第m颗决策树上的样本i的残差，表示当前决策树的预测值；

20、s23、构建树模型：拟合残差学习一颗回归树，得到回归树；

21、s24、增大模型复杂度：将当前决策树加入回归树中，得到更新的决策树；

22、s25、重复s22~s24：达到拟合效果后，停止迭代，得到最终的提升树；

23、其中，提升树为前m颗树的加权和。

24、在一种可能的实施方式中，所述性能评估指标及评估方法包括：

25、准确率p：

26、其中，准确率p是指分类判断正确的代码在所有样本中所占的比例，准确率越高说明漏洞检测的成功率越高，tp表示真良性代码，fp表示假良性代码；

27、召回率r：

28、其中，召回率r是指所有实际为良性代码的样本中，被所述漏洞检测模型正确预测为良性代码的样本数量占比，召回率高表示分类器对正样本分类的漏判较少，fn表示假的恶意代码；

29、f1得分：

30、其中，f1得分是所述准确率和所述召回率的调和平均，f1值越高，分类器性能越好。

31、作为本技术的第二方面，本技术还公开了一种基于梯度提升决策树算法的自适应工控漏洞检测系统，包括：

32、获取模块：用于获取工控系统中的数据包，分析所述数据包，提取数据特征，将所述数据特征划分为训练集和测试集；

33、训练模块：用于基于梯度提升决策树算法，以所述训练集训练漏洞检测模型；

34、评估模块：用于根据所述测试集评估所述漏洞检测模型；

35、检测模块：用于通过满足评估标准的漏洞检测模型实现工控系统的漏洞检测。

36、在一种可能的实施方式中，所述获取模块包括：

37、分析子模块：用于对所述数据特征动静结合分析，将数据特征构成数字向量；

38、划分子模块：用于以数字向量的形式划分数据特征，得到训练集和测试集。

39、在一种可能的实施方式中，所述评估模块包括：

40、选取子模块：用于选取并计算所述漏洞检测模型的性能评估指标；

41、评估子模块：用于根据所述性能评估指标的计算值评估所述漏洞检测模型

42、作为本技术的第三方面，本技术还公开了一种存储介质，所述存储介质存储有多条指令所述指令适于由处理器加载并执行上述任意一项所述的方法。

43、作为本技术的第四方面，本技术还公开了一种电子设备，包括：一个或多个处理器和存储器，其特征在于，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述任意一项所述的方法。

44、（三）有益效果

45、本技术公开的基于梯度提升决策树算法的工控漏洞检测方法和系统，基于梯度提升决策树算法，训练漏洞检测模型，通过多维的数字向量对数据特征进行描述，有利于漏洞检测模型对工控系统是否出现漏洞进行尽可能的分析，提高检测准确率，降低误警概率，根据性能评估指标对漏洞检测模型的检测性能进行评估，根据性能评估指标的好坏来决定当前模型的整体性能和下一步的优化方向，进一步提高模型漏洞检测的准确率。