(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350481.5 (22)申请日 2021.11.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市海淀区东北旺西路8号 中关村软件园8号楼三层316室 (72)发明人 王小东　李佳鑫　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 代理人 田亚飞 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) G06N 3/08(2006.01) (54)发明名称 一种工业控制系统入侵 检测方法及系统 (57)摘要 本发明提供工业控制系统入侵检测方法及 系统， 涉及网络安全技术领域， 通过将工业控制 系统中的每个应用程序及系统服务对应进程单 独视为一类， 或是将多个行为相似的应用程序及 系统服务视为一类， 针对性的训练神经网络， 提 升入侵检测的准确率， 保障工业控制系统网络环 境的安全， 提高工业控制系统对恶意程序攻击的 感知能力。 权利要求书1页 说明书3页 附图1页 CN 114124504 A 2022.03.01 CN 114124504 A 1.一种工业控制系统入侵检测方法， 其特 征在于， 包括以下步骤： 步骤一： 记录工业控制系统环境中需要的运行的全部软件及操作系统， 配置工业控制 系统， 并采集和存 储运行时的工业控制系统的行为信息； 步骤二： 运行恶意程序， 采集和存储恶意程序运行的行为信 息， 将采集的工业控制系统 的行为信息和恶意 程序运行的行为信息进行处 理， 生成特 征序列； 步骤三： 分类标注特征序列并训练神经网络模型， 采集和存储实 际运行的工业控制系 统的行为信息； 步骤四： 处理实际运行的工业控制系统 的行为信息， 生成特征序列， 并通过训练后的神 经网络模型判别特征序列， 如果判别结果认定特征序列属于恶意程序行为， 则暂停工业控 制系统运行。 2.根据权利要求1所述的工业控制系统入侵检测方法， 其特征在于， 所述步骤三中将被 保护的工业控制系统中的每 个应用程序及系统服 务对应进程单独视为 一类建模。 3.根据权利要求1所述的工业控制系统入侵检测方法， 其特征在于， 将多个行为相似的 应用程序及系统服 务视为一类建模。 4.根据权利要求1所述的工业控制系统入侵检测方法的系统， 其特 征在于， 包括 控制系统， 用于记录工业控制系统环境中需要的运行的全部软件及操作系统， 并采集 和存储运行时的工业控制系统的行为信息； 信息处理模块， 采集和存储恶意程序运行的行为信息， 将采集的工业控制系统的行为 信息和恶意程序运行 的行为信息进行处理， 生成特征序列； 分类标注特征序列并训练神经 网络模型， 采集和存 储实际运行的工业控制系统的行为信息； 判定模块， 处理实际运行的工业控制系统 的行为信息， 生成特征序列， 并通过训练后的 神经网络模型判别特征序列， 如果判别结果认定特征序列属于恶意程序行为， 则暂停工业 控制系统运行。权　利　要　求　书 1/1 页 2 CN 114124504 A 2一种工业控制系统入侵检测方 法及系统 技术领域 [0001]本发明涉及网络安全领域 技术领域， 尤其涉及一种工业控制系统入侵检测方法。 背景技术 [0002]随着网络攻击的不断增多， 入侵检测系统已经成为组建安全网络系统的重要组成 部分。 工业控制系统是工业部门的重要基础设施， 工业控制系统是对诸如图像、 语音信号等 大数据量、 高速率传输的要求， 当前在商业领域风靡的以太网与控制网络的结合； 检测入侵 事件， 保护工业控制网络安全， 维护工业控制系统的正常运转， 是当前网络安全建设的核心 内容之一。 [0003]基于规则的入侵检测方法， 主要实现方式是通过匹配规则码或特征码来检测出入 侵行为； 这种 方式准确率较高， 误报率低， 但是检测效果完全取决与规则库， 而且无法发现 未知的攻击行为， 有较大的局限性。 发明内容 [0004](一)发明目的 [0005]为解决背景技术中存在的技术问题， 本发明提出一种工业控制系统入侵检测方法 及系统， 将被保护的工业控制系统中的每个应用程序及系统服务对应进程单独视为一类， 或是将多个行为相似的应用程序及系统服务视为一类进行建模， 增强模型训练的针对性， 解决行为空间庞大导 致的建模不够准确的问题。 [0006](二)技术方案 [0007]本发明提出了一种工业控制系统入侵检测方法， 包括以下步骤： [0008]步骤一： 记录工业控制系统环境中需要的运行的全部软件及操作系统， 配置工业 控制系统， 并采集和存 储运行时的工业控制系统的行为信息； [0009]步骤二： 运行恶意程序， 采集和存储恶意程序运行的行为信息， 将采集的工业控制 系统的行为信息和恶意 程序运行的行为信息进行处 理， 生成特 征序列； [0010]步骤三： 分类标注特征序列并训练神经网络模型， 采集和存储实际运行的工业控 制系统的行为信息； [0011]步骤四： 处理实际运行的工业控制系统的行为信息， 生成特征序列， 并通过训练后 的神经网络模型判别特征序列， 如果判别结果认定特征序列属于恶意程序行为， 则暂停工 业控制系统运行。 [0012]优选地， 所述步骤三中将被保护的工业控制系统中的每个应用程序及系统服务对 应进程单独视为 一类建模。 [0013]优选地， 将多个行为相似的应用程序及系统服 务视为一类建模。 [0014]本发明还提供了 工业控制系统入侵检测方法的系统， 包括 [0015]控制系统， 用于记录工业控制系统环境中需要的运行的全部软件及操作系统， 并 采集和存 储运行时的工业控制系统的行为信息；说　明　书 1/3 页 3 CN 114124504 A 3