1. 一种基于机器学习的工控环境智能安全检测系统,其特征在于,基于工业控制内部网部署安全探针装置,所述安全探针装置包括数据采集模块、基线形成模块和安全检测模块;

所述数据采集模块,用于采集工业控制内部网应用层协议的数据包;

所述基线形成模块,用于对采集的数据包进行预处理,将预处理后得到的数据作为训练数据集进行机器学习,生成适应当前工控环境的合法行为基线;

所述安全检测模块,用于根据所述合法行为基线在不同工控环境下进行安全检测,当检测到不符合所述基线形成模块学习的行为则告警;

所述基线形成模块包括预处理模块、机器学习模块和安全检测基线形成模块;

所述预处理模块,用于对所述数据采集模块采集的数据包进行预处理;

所述机器学习模块,用于通过机器学习算法对所述预处理模块处理后得到的数据作为训练数据集进行机器学习;

所述安全检测基线形成模块,用于根据所述机器学习模块的训练结果生成适应当前工控环境的合法行为基线;

所述预处理模块基于本体将数据聚合,即,将工业控制系统中具有相同概念和语义的数据进行归类和抽取,将聚合得到新的数据分类,所有分类构成的集合作为机器学习的训练数据集;

所述机器学习模块基于CNN/RNN学习与建模;

所述安全检测基线形成模块根据机器学习训练结果形成符合安全规范的协议特征、设备对象信息,并生成可供参考的网络通信特征列表,通过对协议分布和流量信息的匹配形成安全检测基线。

2.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述安全探针装置部署在主节点上。

3.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述数据采集模块通过PF_RING进行数据包流量采集,将所述数据包按照既定的通信协议规则解析出各个不同意义的字段,并将解析出来的每个字段的数据进行标记。

4.根据权利要求1所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述安全检测模块的安全检测包括:实施应用白名单、配置合规性检查与补丁扫描、正常工控协议与异常工控协议列表。

5.根据权利要求4所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述配置合规性检查是对工控系统的配置文件进行解析,将功能代码与具体业务操作、国家标准和行业标准进行关联,用于实现合规性检查功能。

6.根据权利要求5所述的基于机器学习的工控环境智能安全检测系统,其特征在于,所述正常工控协议与异常工控协议列表针对不同行业工控网络进行异常监测;

  所述正常工控协议包括:DNP3IEC104IEC61850-GOOSEIEC61850-MMSMODBUSS7COMMIEC62351