一种工控网络安全态势预测方法及装置与流程

本发明涉及网络安全，特别涉及一种工控网络安全态势预测方法及装置。

背景技术：

1、随着工业信息化进程的不断深入，工业控制网络的结构变得愈发复杂，网络协议的种类也愈发繁杂，针对工业控制网络的攻击手段也日益多样化，传统防火墙、入侵防御等静态防御和边界防御为主的安全防护策略已然无法应对具备隐蔽性、渗透性的高级新型威胁。结合工业控制系统的特点，大量学者将工业控制系统的安全研究重点定为网络流量异常检测方面。以安全大数据为基础，从全局视角对工业控制网络全网数据进行安全威胁发现、理解分析、最后响应处理的网络态势感知技术在维护工业控制系统安全性方面具有非常好的适配性。

2、现有维护工控网络安全的方法大多只是运用各种机器学习或深度学习的方法构建入侵检测系统，通过训练分类器以识别采集的工控网络流量数据是否安全。对于工业控制网络中大规模的数据、已知和未知的威胁并无法有效预测。

技术实现思路

1、本发明实施例提供了一种工控网络安全态势预测方法及装置，该方法能准确预测即将发生的工控网络安全态势。

2、第一方面，本发明实施例提供了一种工控网络安全态势预测方法，包括：

3、对获取到的工控网络流量数据进行评分，得到按照时间顺序排列的评分序列；

4、初始化gru神经网络模型，并利用粒子群优化算法优化所述gru神经网络模型的网络权值，构建预测模型；

5、根据所述评分序列对所述预测模型进行训练，得到目标预测模型；

6、将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中，输出预测的工控网络态势。

7、可选地，所述对获取到的工控网络流量数据进行评分，得到按照时间顺序排列评分序列，包括：

8、对所述工控网络流量数据进行等间隔划分，得到对应不同时间段的子数据；

9、针对每个所述子数据，均执行：获取该子数据所包括的事件和漏洞；根据所述事件的危险等级和数量，确定所述事件的第一权重和第一评分数量；并根据所述漏洞的危险等级和数量，确定所述漏洞的第二权重和第二评分数量；然后根据所述第一权重、所述第一评分数量、所述第二权重和所述第二评分数量，确定风险评分；

10、将不同时间段的子数据对应的风险评分按照时间顺序进行排列，得到所述评分序列。

11、可选地，所述风险评分通过如下公式确定：

12、

13、其中， f用于表征所述风险评分； n用于表征所述事件的危险等级总数； αn’用于表征第n’危险等级的事件对应的所述第一权重； sn’用于表征第n’危险等级的事件对应的所述第一评分数量； m用于表征所述漏洞的危险等级总数； βm’用于表征第m’危险等级的漏洞对应的所述第二权重； sm’用于表征第m’危险等级的漏洞对应的所述第二评分数量。

14、可选地，所述利用粒子群优化算法优化所述gru神经网络模型的网络权值，构建预测模型，包括：

15、s1：初始化所述粒子群优化算法，确定种群规模、最大迭代次数、学习因子、惯性权重最大值、惯性权重最小值；

16、s2：初始化种群中每个粒子的位置、速度；

17、s3：将各所述粒子的位置参数作为神经网络节点训练gru神经网络模型，计算适应度值，并确定当前迭代中的个体极值和全局极值；

18、s4：根据当前迭代次数、所述最大迭代次数、所述惯性权重最大值、所述惯性权重最小值，计算所述当前迭代的惯性权重；

19、s5：根据所述个体极值、所述全局极值和所述当前迭代的惯性权重，对所述粒子的速度和位置进行更新，得到更新粒子；

20、s6：判断所述当前迭代次数是否大于所述最大迭代次数，若是，则执行步骤s7；否则，返回步骤s3；

21、s7：将所述更新粒子作为所述gru神经网络模型的初始网络权值进行训练，得到所述预测模型。

22、可选地，所述当前迭代的惯性权重通过如下公式确定：

23、

24、其中， ω用于表征所述当前迭代的惯性权重； ω max用于表征所述惯性权重最大值； ω min用于表征所述惯性权重最小值； kmax用于表征所述最大迭代次数； kn用于表示所述当前迭代次数。

25、可选地，所述对所述粒子的速度和位置进行更新，得到更新粒子；

26、所述更新粒子的速度通过如下公式确定：

27、

28、所述更新粒子的位置通过如下公式确定：

29、

30、其中，用于表征第n+1次迭代时第i个粒子的速度；用于表征第n次迭代时第i个粒子的速度； ω用于表征第n次迭代时的惯性权重;用于表征第i个粒子在第n次迭代时的个体极值；用于表征所述种群在第n次迭代时的全局极值；用于表征第n次迭代时第i个粒子的位置；用于表征第n+1次迭代时第i个粒子的位置； c1、 c2均为所述学习因子； r1、 r2均为[0,1]内的随机数。

31、可选地，所述将各所述粒子的位置参数作为神经网络节点训练gru神经网络模型，计算适应度值，包括：

32、将所述评分序列划分为训练数据和测试数据；

33、根据所述训练数据和各所述粒子的位置参数对所述gru神经网络模型进行训练，得到第一预测模型；其中，所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值；

34、利用所述测试数据对所述第一预测模型进行测试，计算得到适应度值；

35、所述适应度值通过如下公式确定：

36、

37、其中， mse用于表征所述适应度值；m用于表征所述测试数据的个数；yj用于表征第j个测试数据的真实值；用于表征第j个测试数据的预测值。

38、可选地，所述根据所述评分序列对所述预测模型进行训练，得到目标预测模型，包括：

39、将所述评分序列划分为训练数据和测试数据；

40、根据所述训练数据对所述预测模型进行训练，得到第二预测模型；其中，所述训练数据中包括作为输入的历史评分序列以及作为输出的在历史时间之后的工控网络态势的预测值；

41、利用所述测试集对所述第二预测模型进行测试，获得评价参数；

42、在所述评价参数小于预设阈值时，确定所述第二预测模型为所述目标预测模型。

43、第二方面，本发明实施例还提供了一种工控网络安全态势预测装置，包括：

44、处理模块，用于对获取到的工控网络流量数据进行评分，得到按照时间顺序排列的评分序列；

45、构建模块，用于初始化gru神经网络模型，并利用粒子群优化算法优化所述gru神经网络模型的网络权值，构建预测模型；

46、训练模块，用于根据所述评分序列对所述预测模型进行训练，得到目标预测模型；

47、预测模块，用于将当前工控网络流量数据对应的评分序列输入至所述目标预测模型中，输出预测的工控网络态势。

48、第三方面，本发明实施例还提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现上述任一项所述的工控网络安全态势预测方法。

49、第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述任一项所述的工控网络安全态势预测方法。

50、本发明实施例提供了一种工控网络安全态势预测方法及装置，该方法首先对工控网络流量数据进行评分，以得到按照时间顺序排列的评分序列，然后利用粒子群优化算法优化gru神经网络模型的网络权值，构建预测模型，通过评分序列对该预测模型进行训练，得到目标预测模型，如此便能通过将当前工控网络流量数据对应的评分序列输入至目标预测模型中，输出预测的工控网络态势。如此，本发明提供的工控网络安全态势预测方法能准确预测未来时刻的工控网络态势的评分。