一种LLM驱动的工业网络入侵检测方法和响应系统与流程

本技术涉及网络安全领域，尤其涉及一种llm驱动的工业网络入侵检测方法和响应系统。

背景技术：

1、近年来，工业控制系统中各类工业设备逐渐通过网络实现互联互通，形成了复杂的工业网络环境。复杂的工业网络环境面临着来自内外部的各种网络攻击威胁，一旦遭受入侵，不仅会导致生产数据泄露、设备损坏等经济损失，更可能引发重大安全事故，对人民生命财产安全和国家关键基础设施安全造成严重威胁。因此，加强工业网络的网络安全防护，构建高效智能的入侵检测与响应体系尤为重要。

2、在相关技术中，工业网络入侵检测技术主要包括特征匹配、异常检测等方法。特征匹配的方法通过提取已知攻击的特征，并与网络流量进行匹配，以识别潜在的入侵行为，进而进行拦截预警。异常检测的方法则通过建立正常通信模式，识别偏离正常模式的异常流量，及时识别异常状况。

3、然而，相关的工业网络入侵检测方法主要依赖专家经验和浅层次的数据分析，由于缺乏对工业场景的语义理解和知识推理能力，往往难以准确检测复杂和未知的网络攻击。

技术实现思路

1、 本技术提供了一种llm（large language model，大语言模型）驱动的工业网络入侵检测方法与响应系统，用于基于大语言模型进行工业网络的入侵检测，提高检测范围和检测准确性。

2、第一方面，本技术提供了一种llm驱动的工业网络入侵检测方法，应用于响应系统，该方法包括：收集工业安全资讯、目标工业网络的工业协议规范、设备手册和安全事件报告，构建覆盖通信协议、设备属性、已知攻击特征的工业安全知识图谱；从工业安全知识图谱中提取语义三元组作为预训练材料，并基于预训练材料对通用大语言模型进行针对性训练，得到具备工业网络安全领域知识的工业安全语言模型；实时提取目标工业网络在运行过程中的报文特征和设备状态特征，并将报文特征和设备状态特征输入到工业安全语言模型中，得到推理分析结果；推理分析结果包括状态评分和入侵事件分析报告；在状态评分低于预设评分阈值时，确定目标工业网络出现入侵行为，并发送警示信息和入侵事件分析报告至用户端；调用工业安全语言模型对入侵行为的类型和危害程度进行分析，生成安全响应措施并下发安全响应措施至目标工业网络的安全防护设备进行执行。

3、在上述实施例中，响应系统通过将目标工业网络运行过程中实时提取的报文特征和设备状态特征输入该工业安全语言模型进行分析，可以得到反映网络安全状态的评分和入侵事件分析报告。当评分低于预设阈值时，即可判定出现入侵行为，通过调用语言模型分析入侵行为的类型和危害程度，动态生成安全响应措施并下发到安全防护设备执行，从而实现对入侵行为的精准检测和自适应阻断。相比传统的基于规则或统计的入侵检测方法，该方法融合了工业领域知识和大语言模型的语义理解与推理能力，可以更全面地覆盖各类已知和未知的攻击威胁，提高检测的准确性和响应的时效性。

4、结合第一方面的一些实施例，在一些实施例中，实时提取目标工业网络在运行过程中的报文特征和设备状态特征，并将报文特征和设备状态特征输入到工业安全语言模型中，得到推理分析结果，具体包括：实时捕获目标工业网络中各设备之间传输的网络报文；基于网络报文，提取包含时间戳、源目的ip地址、端口号、协议类型、负载内容、工业控制指令的报文特征向量；实时采集目标工业网络中各设备的运行状态数据；对运行状态数据进行特征工程处理，提取包含cpu使用率、内存使用率、磁盘i/o、异常进程、登录日志、系统调用序列的设备状态特征向量；将报文特征向量与设备状态特征向量进行拼接，生成网络安全状态表征向量；通过注意力机制对多个不同维度的网络安全状态表征向量进行动态加权计算，得到初始表征向量；将初始表征向量输入到工业安全语言模型中，通过对初始表征向量的语义解析、相似度量和小样本学习，得到推理分析结果。

5、在上述实施例中，响应系统在提取报文特征和设备状态特征时，通过捕获网络报文提取时间戳、源目的ip、端口号、协议类型、负载内容和工控指令等多维度特征，同时采集设备运行状态数据提取cpu、内存、磁盘、进程、日志等多方面特征，然后将这些异构特征拼接成统一的网络安全状态表征向量。将优化后的特征向量输入语言模型，基于模型强大的语义解析、相似度量和小样本学习能力，即使在训练样本不足的情况下，也能得出鲁棒和准确的推理分析结果。从多角度提取和融合了工业网络的流量和资产特征，形成对网络安全状态的动态和整体刻画，为语言模型的推理判断提供了丰富可靠的输入信息。

6、结合第一方面的一些实施例，在一些实施例中，调用工业安全语言模型对入侵行为的类型和危害程度进行分析，生成安全响应措施并下发安全响应措施至目标工业网络的安全防护设备进行执行，具体包括：将入侵事件分析报告输入到工业安全语言模型中，通过工业安全语言模型对入侵事件分析报告的语义理解与因果推理，基于入侵行为的攻击链和溯源路径，确定攻击类型、目标设备、危害程度和扩展风险；基于攻击类型、目标设备、危害程度和扩展风险，对预设的安全策略知识图谱中的策略节点进行图嵌入表征和关联性推理，匹配适用于攻击类型和目标设备的安全防护规则组合；根据危害程度和扩展风险动态调整安全防护规则组合的严格程度与持续时间，得到安全响应措施；在将安全响应措施转化为可被目标工业网络的安全防护设备直接解析和执行的安全防护指令脚本之后，通过目标工业网络的安全通信协议下发至对应的安全防护设备，以执行安全响应措施。

7、在上述实施例中，响应系统可以从攻击链的视角去溯源和关联分析本次入侵的起因经过，准确定位攻击类型、目标设备、危害程度和扩展风险。进一步从海量的安全策略知识库中匹配挖掘与本次攻击类型和目标设备相关的防护规则，并根据入侵的危害和风险级别动态调整防护的严格程度和持续时间，最终形成定制化的安全响应措施。该方法充分发挥了语言模型在知识表征和逻辑推理方面的优势，使其能够理解复杂攻击行为的来龙去脉，并根据攻击的严重性给出有针对性的响应策略，最大限度地遏制和消除入侵的危害。同时响应措施的自动化执行，也大大提高了响应的效率和可靠性。

8、结合第一方面的一些实施例，在一些实施例中，在收集工业安全资讯、目标工业网络的工业协议规范、设备手册和安全事件报告，构建覆盖通信协议、设备属性、已知攻击特征的工业安全知识图谱的步骤之前，该方法还包括：通过配置工业资产探测引擎，采用多个工业协议扫描确定目标工业网络中的设备资产；获取与设备资产相关的包括名称、类型、厂商、型号、版本、ip地址和mac地址的资产属性元数据，建立工业资产知识库；提取工业报文中的协议类型、功能码、寄存器和负载，构建覆盖多种工业协议指令语义的通信协议知识库；从工业设备的固件和源代码中提取通用漏洞描述，从工控安全情报平台获取工控漏洞预警信息，从工控蜜罐系统获取捕获到的恶意样本信息，汇总生成脆弱性知识库和恶意代码特征库；利用知识图谱技术整合工业资产知识库、通信协议知识库、脆弱性知识库和恶意代码特征库，构建工业安全领域的综合性知识图谱。

9、在上述实施例中，响应系统在构建工业安全知识图谱之前，还需要进行一系列的数据准备和知识抽取工作。首先通过工业资产探测引擎扫描目标网络，全面盘点出其中的设备资产，并获取设备的各项属性元数据，整合形成工业资产知识库。然后从工业报文中提取通信协议的语义信息，构建起覆盖多种工业协议指令的知识库。接着从各种内外部渠道，包括设备固件程序、工控漏洞库、蜜罐系统等，广泛收集各类工控设备和系统的脆弱性信息以及恶意代码的行为特征，汇总成脆弱性知识库和恶意代码特征库。最后采用知识图谱技术将上述各个领域知识库进行语义关联和融合，形成一个结构化、可检索、易推理的工业安全知识大脑。该方法对工业网络的资产、协议、脆弱性、威胁等多维场景信息进行了全面的挖掘和提炼，通过将分散割裂的知识碎片进行语义化的表示与关联，构建了一个高度贴合工业网络安全需求的知识引擎，不仅为后续的语言模型训练提供了丰富可靠的领域知识来源，也为入侵检测响应提供了强大的知识查询和推理支撑。

10、结合第一方面的一些实施例，在一些实施例中，从工业设备的固件和源代码中提取通用漏洞描述，从工控安全情报平台获取工控漏洞预警信息，从工控蜜罐系统获取捕获到的恶意样本信息，汇总生成脆弱性知识库和恶意代码特征库，具体包括：通过反汇编工业设备的固件镜像文件，获取设备运行的二进制程序代码；利用静态代码分析工具扫描二进制程序代码，识别潜在漏洞；潜在漏洞包括内存破坏漏洞、权限提升漏洞和逻辑漏洞；提取潜在漏洞的cve编号、漏洞类型、影响范围和利用条件，汇总形成脆弱性知识库；订阅多个工控安全情报平台，定期同步更新控漏洞预警信息和技术细节，补充完善脆弱性知识库；在工控蜜罐系统记录到新的恶意程序样本时，提取样本文件进行特征化分析，得到恶意代码的行为特征、文件属性和代码结构；利用聚类算法对特征相似度超过预设阈值的恶意代码样本进行归类，并结合外部威胁情报对其家族归属和攻击目的进行判定，形成恶意代码特征库。

11、在上述实施例中，响应系统在生成脆弱性知识库和恶意代码特征库时，采用了多种数据源和分析技术相结合的方式。一方面，通过对工业设备固件镜像的反汇编分析以及程序代码的静态扫描，可以从源头上发现设备自身可能存在的各种漏洞，包括内存破坏、权限提升、逻辑缺陷等，形成本地的脆弱性知识库。同时还订阅外部权威的工控漏洞平台，持续同步最新披露的漏洞信息，与内部知识库形成互补。另一方面，通过在蜜罐环境中对捕获到的恶意样本进行沙箱分析，可以从代码层面深入刻画恶意程序的行为特点和家族谱系，提取出文件属性、代码结构、攻击目的等多方位特征，并结合聚类算法和外部威胁情报，对同类样本进行归并和溯源，最终形成一个海量的恶意代码特征库。既重视设备漏洞自身的主动挖掘，也密切关注外界最新的漏洞态势，既深入分析单个恶意样本，也宏观把握各类样本的关联性，进而建立起一套全景式的脆弱性和威胁情报知识库，为入侵行为的分析、检测、响应提供了坚实的基础。

12、结合第一方面的一些实施例，在一些实施例中，在调用工业安全语言模型对入侵行为的类型和危害程度进行分析，生成安全响应措施并下发安全响应措施至目标工业网络的安全防护设备进行执行的步骤之后，该方法还包括：持续监测目标工业网络中的流量变化和资产状态变化，确定安全响应措施的执行效果；将目标工业网络的最新状态特征输入到工业安全语言模型中，动态更新网络安全评分；在网络安全评分连续多个周期高于预设恢复阈值后，确定网络安全状态已恢复正常；调用工业安全语言模型自动生成事件响应报告；事件响应报告包括本次入侵事件的攻击源、攻击路径、影响范围、处置过程和优化建议；将事件响应报告发送至目标工业网络的管理员终端，并将相关数据汇总至工业安全知识图谱库，以迭代更新工业安全语言模型。

13、在上述实施例中，响应系统在通过工业安全语言模型实施了安全响应措施以阻断入侵行为后，还引入了一套持续监测优化机制。首先通过感知网络中的流量和资产状态变化，来评估当前安全响应措施的执行成效，通过将最新的状态特征反馈输入到语言模型中，动态更新网络安全评分，当评分连续多周期超过恢复阈值时，可判定此次入侵威胁已经解除。同时语言模型还可自动生成一份完整的事件响应报告，详细记录此次入侵的全过程，包括攻击源、路径、影响、处置情况等，既可向管理员提供决策参考，也可作为宝贵的安全知识积累回馈到图谱库中，促进语言模型的持续学习和迭代优化。

14、结合第一方面的一些实施例，在一些实施例中，持续监测目标工业网络中的流量变化和资产状态变化，确定安全响应措施的执行效果，具体包括：获取目标工业网络中安全防护设备的日志数据，提取第一统计指标；第一统计指标包括阻断的可疑连接数、可疑程序数和违规操作次数；获取目标工业网络中核心资产节点的性能指标数据，提取第二统计指标；第二统计指标包括cpu负载、内存使用率、进程数量和磁盘i/o；将第一统计指标和第二统计指标输入预训练的安全评估神经网络模型中，通过模型推理计算得到综合安全评分；若综合安全评分在超过预设时间阈值后仍未恢复到安全区间，则安全响应措施的执行效果低于期望数值；触发二次调查流程，排查安全防护设备的规则遗漏和组件异常。

15、在上述实施例中，响应系统在对安全响应措施的执行效果开展持续监测时，该方法从全局和局部两个层面设计了一套综合评估指标。通过将两个维度的指标整合输入到预训练的安全评估神经网络模型中，可以动态计算出一个量化的综合安全评分，直观展示当前网络整体的安全状态，当评分长时间偏离正常区间，即可判定既有安全措施并未达到预期成效，需要触发二次调查流程，排查安全设备的规则遗漏或组件异常等潜在问题。该方法并非笼统地估计安全措施的效果，而是基于全局统计与局部指标的多维综合评判，形成一套量化的评分机制，持续刻画当前的整体安全形势，及时发现措施执行过程中的纰漏和不足，并据此启动针对性的复查和改进，以确保安全防护始终处于动态优化和精准可控的状态。

16、第二方面，本技术实施例提供了一种响应系统，该响应系统包括：一个或多个处理器和存储器；该存储器与该一个或多个处理器耦合，该存储器用于存储计算机程序代码，该计算机程序代码包括计算机指令，该一个或多个处理器调用该计算机指令以使得该响应系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。

17、第三方面，本技术实施例提供一种包含指令的计算机程序产品，当上述计算机程序产品在响应系统上运行时，使得上述响应系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。

18、第四方面，本技术实施例提供一种计算机可读存储介质，包括指令，当上述指令在响应系统上运行时，使得上述响应系统执行如第一方面以及第一方面中任一可能的实现方式描述的方法。

19、可以理解地，上述第二方面提供的响应系统，第三方面提供的计算机程序产品和第四方面提供的计算机存储介质均用于执行本技术实施例所提供的方法。因此，其所能达到的有益效果可参考对应方法中的有益效果，此处不再赘述。

20、本技术实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

21、1、由于采用了融合工业安全领域知识的大语言模型来检测和推理分析工业网络的异常行为，所以可以综合利用工业安全知识图谱和语言模型强大的语义理解与推理能力，有效解决了传统入侵检测方法覆盖面窄、误报率高、分析能力不足的问题，进而实现了对工业网络入侵行为的全面精准检测和溯源分析。传统的基于规则、特征、异常的检测方法往往只能应对已知的特定攻击类型，对未知威胁的发现能力很弱。

22、 2、由于采用了工业安全语言模型来自动分析入侵行为的危害并动态生成定制化的安全响应措施，所以攻防策略可以紧密结合入侵事件本身的特点，做到随案施策、有的放矢，有效解决了既有安全系统响应措施通用性差、粒度粗、时效性不足的问题，进而实现了对工业入侵威胁的快速精准阻断和系统性防护。传统的安全响应往往依赖于预置的阻断规则和防护策略，规则制定过程繁琐，且无法覆盖所有的场景，导致通用性和适配性较差。

23、 3、由于采用了主动免疫和持续优化机制来应对工业网络入侵的复杂多变性，所以安全防护体系可以通过持续学习入侵应对的经验，不断强化自身的检测识别和快速响应能力，有效解决了传统安全系统缺乏持续进化能力，易被apt等新型威胁长期绕过的问题，进而实现了对未知威胁的持续监测、快速发现、有效遏制的良性循环。