一种工控网络攻击检测系统、方法及电子设备

技术领域

本发明属于工控网络安全威胁检测技术领域，具体涉及一种工控网络攻击检测系统、方法及电子设备。

背景技术

随着工业互联网的不断深入发展，工控网络与互联网的融合不断加深，使工控网络中的安全问题日益突出。工控网络中的工业控制系统缺少足够的安全防护机制，容易遭受网络攻击。这些网络攻击可能会对生产制造产生严重影响，甚至对社会稳定和民生安全产生威胁。为了保障工控网络安全稳定的运行，需要对工控网络进行威胁检测，及时发现网络攻击并对其进行防御。

现有的网络攻击检测技术将检测设备放置在主干网络中，对工控网络中的通信流量进行检测。但是，在使用现有技术过程中，发明人发现现有技术中至少存在如下问题：

不同网络攻击方法需要多个节点协同工作，需要多方信息的融合分析对攻击进行检测发现，而现有技术中，基于流量分析的网络攻击检测技术，仅关注于节点之间的交互信息，使得现有技术在网络攻击检测过程中，缺少工业控制系统节点自身的数据信息，导致现有技术对僵尸网络、分布式端口扫描、DNS(Domain Name Server，域名服务器)放大等攻击方法的检测能力不足。

发明内容

本发明旨在至少在一定程度上解决上述技术问题，本发明提供了一种工控网络攻击检测系统、方法及电子设备。

为了实现上述目的，本发明采用以下技术方案：

第一方面，本发明提供了一种工控网络攻击检测系统，包括流量特征提取模块、主机信息采集模块、数据聚合模块和攻击检测模块，所述流量特征提取模块和主机信息采集模块均通过所述数据聚合模块与所述攻击检测模块连接，所述攻击检测模块中搭载有改进后图神经网络模型；其中，

所述流量特征提取模块，用于采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

所述主机信息采集模块，用于采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

所述数据聚合模块，用于对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

所述攻击检测模块，用于基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。

本发明可以提高已有的威胁检测系统的网络攻击检测能力。具体地，本发明在实施过程中，分别通过所述流量特征提取模块采集工控网络中的主机节点信息，通过主机信息采集模块采集工控网络中的流量交互信息，再通过数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，最后通过攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。本发明中，由于本申请在基础信息采集阶段除采集主机节点之间的流量交互信息外，还同步采集工控网络中的主机节点信息，并通过数据聚合模块对主机节点信息和流量交互信息进行聚合，最后基于攻击检测模块中的改进后图神经网络模型实现对预处理后信息的网络攻击检测，实现对工控网络中的威胁检测，进而得到攻击检测结果，在此过程中，由于主机节点信息的加入，实现了多方信息融合的作用，使得本发明具有主机节点信息和流量交互信息聚合分析的能力，弥补了现有技术中部分网络攻击检测能力不足的问题，进而利于提升威胁检测系统的攻击检测范围和准确率。

在一个可能的设计中，所述工控网络攻击检测系统还包括信息存储模块，所述数据聚合模块和所述攻击检测模块均与所述信息存储模块通信连接；其中，

所述数据聚合模块，还用于得到预处理后信息后，将所述预处理后信息存储至所述信息存储模块；

所述攻击检测模块，还用于在所述图神经网络模型需要更新时，从所述信息存储模块调用所述预处理后信息，以便对所述图神经网络模型进行更新。

在一个可能的设计中，所述改进后图神经网络模型的构建过程如下：

构建初始图神经网络模型；其中，所述初始图神经网络模型具有K个图卷积层，K为自然数；

获取工控网络中的主机节点样本信息和流量交互样本信息，并根据所述主机节点样本信息和流量交互样本信息，得到工控网络对应的网络拓扑关系图，再将所述网络拓扑关系图作为所述初始图神经网络模型的初始网络结构图，将所述网络拓扑关系图中的所有主机节点作为所述初始图神经网络模型中的节点；

在所述初始图神经网络模型的每个图卷积层中，对其中的所有节点的邻接节点进行聚合处理，得到所述初始图神经网络模型中所有节点的邻接聚合信息；

将所有节点的邻接聚合信息和所有节点对应的所述主机节点样本信息集合中节点信息进行聚合处理，得到所有节点的节点表示信息；

将所述初始图神经网络模型中任意两个节点的节点表示信息进行聚合处理，得到当前两个节点的前向边表示信息；

根据所述前向边表示信息进行所述初始图神经网络模型的损失函数的计算，并根据所述损失函数的计算结果对所述初始图神经网络模型进行后向传播训练，以便得到改进后图神经网络模型。

在一个可能的设计中，所述流量交互样本信息包括源IP地址、目的IP地址、源端口、目的端口和包平均长度；所述主机节点样本信息包括主机存活时间、网卡吞吐量、CPU使用率和内存占用率。

在一个可能的设计中，所述初始图神经网络模型中，第k个图卷积层的节点v的邻接聚合信息为：

其中，v为从所述网络拓扑关系图G(V，E)中选中的任一主机节点样本信息对应的所述初始图神经网络模型中的节点，u∈V；

在一个可能的设计中，所述聚合函数采用可微分聚合函数；其中，所述可微分聚合函数为：

其中，α(u)为第k个图卷积层中节点u的注意力权重，用于对第k个图卷积层中节点v和节点u的连接边e

在一个可能的设计中，第k个图卷积层中节点v的节点表示信息为：

其中，CONCAT()为向量拼接函数，用于将当前节点的邻接聚合信息

在一个可能的设计中，第k个图卷积层中，节点u和节点v的前向边表示信息为：

其中，CONCAT()为向量拼接函数；

第二方面，本发明提供了一种工控网络攻击检测方法，基于上述任一项所述的工控网络攻击检测系统实现，所述方法包括：

所述流量特征提取模块采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

所述主机信息采集模块采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

所述数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

所述攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。

第三方面，本发明提供了一种电子设备，包括：

存储器，用于存储计算机程序指令；以及，

处理器，用于执行所述计算机程序指令从而完成如上述任一项所述的工控网络攻击检测方法的操作。

附图说明

图1是实施例中一种工控网络攻击检测系统的模块框图；

图2是实施例中构建改进后图神经网络模型的流程图。

具体实施方式

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将结合附图和实施例或现有技术的描述对本发明作简单地介绍，显而易见地，下面关于附图结构的描述仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在此需要说明的是，对于这些实施例方式的说明用于帮助理解本发明，但并不构成对本发明的限定。

实施例1：

本实施例公开了一种工控网络攻击检测系统，本实施例中，所述工控网络攻击检测系统部署在工控网络中的主干网络上，如图1所示，所述工控网络攻击检测系统包括流量特征提取模块、主机信息采集模块、数据聚合模块和攻击检测模块，所述流量特征提取模块和主机信息采集模块均通过所述数据聚合模块与所述攻击检测模块连接，所述攻击检测模块中搭载有改进后图神经网络模型；其中，

所述流量特征提取模块，用于采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

所述主机信息采集模块，用于采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

所述数据聚合模块，用于对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

所述攻击检测模块，用于基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。具体地，攻击检测结果包含可疑主机的IP地址、可疑交互流量等具体信息。

本实施例可以提高已有的威胁检测系统的网络攻击检测能力。具体地，本实施例在实施过程中，分别通过所述流量特征提取模块采集工控网络中的主机节点信息，通过主机信息采集模块采集工控网络中的流量交互信息，再通过数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，最后通过攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。本实施例中，由于本申请在基础信息采集阶段除采集主机节点之间的流量交互信息外，还同步采集工控网络中的主机节点信息，并通过数据聚合模块对主机节点信息和流量交互信息进行聚合，最后基于攻击检测模块中的改进后图神经网络模型实现对预处理后信息的网络攻击检测，实现对工控网络中的威胁检测，进而得到攻击检测结果，在此过程中，由于主机节点信息的加入，实现了多方信息融合的作用，使得本实施例具有主机节点信息和流量交互信息聚合分析的能力，弥补了现有技术中部分网络攻击检测能力不足的问题，进而利于提升威胁检测系统的攻击检测范围和准确率。

本实施例中，所述工控网络攻击检测系统还包括信息存储模块，所述数据聚合模块和所述攻击检测模块均与所述信息存储模块通信连接；其中，

所述数据聚合模块，还用于得到预处理后信息后，将所述预处理后信息存储至所述信息存储模块；

所述攻击检测模块，还用于在所述图神经网络模型需要更新时，从所述信息存储模块调用所述预处理后信息，以便对所述图神经网络模型进行更新。

本实施例中，改进后图神经网络模型包括依次连接的多个图卷积层及与最末一图卷积层连接的输出层，图卷积层包括用于信息聚合的聚合层一级用于图信息卷积计算的计算层。在实施过程中，使用2个图卷积层，表示取二阶邻居，即下文中K通常值为2。

本实施例中，所述改进后图神经网络模型的构建过程如下：

S1.构建初始图神经网络模型；其中，所述初始图神经网络模型具有K个图卷积层，第k个图卷积层的权重矩阵和聚合参数为W

S2.获取工控网络中的主机节点样本信息和流量交互样本信息，并根据所述主机节点样本信息和流量交互样本信息，得到工控网络对应的网络拓扑关系图G(V，E)，再将所述网络拓扑关系图G(V，E)作为所述初始图神经网络模型的初始网络结构图，将所述网络拓扑关系图G(V，E)中的所有主机节点作为所述初始图神经网络模型中的节点；本实施例的网络拓扑关系图G(V，E)中，V表示主机节点样本信息集合，V＝{v

S3.在所述初始图神经网络模型的每个图卷积层中，用可微分聚合函数对其中的所有节点的邻接节点进行聚合处理，得到所述初始图神经网络模型中所有节点的邻接聚合信息

本实施例中，所述初始图神经网络模型中，第k个图卷积层的节点

其中，v为从所述网络拓扑关系图G(V，E)中选中的任一主机节点样本信息对应的所述初始图神经网络模型中的节点，u∈V；

具体地，本实施例中，所述聚合函数采用可微分聚合函数；其中，所述可微分聚合函数为：

其中，α(u)为第k个图卷积层中节点u的注意力权重，用于对第k个图卷积层中节点v和节点u的连接边e

S4.将所有节点的邻接聚合信息

其中，CONCAT()为向量拼接函数，用于将当前节点的邻接聚合信息

S5.将所述初始图神经网络模型中任意两个节点的节点表示信息进行聚合处理，也即将所述网络拓扑关系图G(V，E)中任意两个主机节点对应节点的节点表示信息进行聚合处理，得到当前两个节点的前向边表示信息

其中，CONCAT()为向量拼接函数；

S6.根据所述前向边表示信息

具体的，本实施例中初始图神经网络的训练流程遵循神经网络训练的基本流程。在单轮训练中，训练数据集经过所有图卷积层的迭代得到前向边表示信息

本实施例在改进后图神经网络模型的构建过程中，获取的主机节点样本信息和流量交互样本信息构成初始图神经网络模型的训练数据集，通过获取主机节点样本信息，在后续进行网络攻击检测过程中，使主机节点信息参与威胁检测，由此拓展攻击检测功能的信息量，进而解决现有技术中部分攻击方法检测不足的问题。

实施例2：

本实施例公开了一种工控网络攻击检测方法，可以但不限于由具有一定计算资源的计算机设备或虚拟机执行，例如由个人计算机、智能手机、个人数字助理或可穿戴设备等电子设备执行，或者由虚拟机执行。

本实施例中，所述工控网络攻击检测方法基于实施例1所述的工控网络攻击检测系统实现，所述方法包括：

所述流量特征提取模块采集工控网络中的主机节点信息，然后将所述主机节点信息发送至所述数据聚合模块；

所述主机信息采集模块采集工控网络中的流量交互信息，然后将所述流量交互信息发送至所述数据聚合模块；

所述数据聚合模块对所述主机节点信息和所述流量交互信息进行预处理，得到预处理后信息，然后将所述预处理后信息发送至所述攻击检测模块；

所述攻击检测模块基于所述改进后图神经网络模型对所述预处理后信息进行网络攻击检测，得到攻击检测结果。

实施例3：

在实施例2的基础上，本实施例公开了一种电子设备，该设备可以是智能手机、平板电脑、笔记本电脑或者台式电脑等。电子设备可能被称为用于终端、便携式终端、台式终端等，电子设备包括：

存储器，用于存储计算机程序指令；以及，

处理器，用于执行所述计算机程序指令从而完成如实施例1中任一所述的工控网络攻击检测方法的操作。

最后应说明的是，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。