网络安全作为国际上新兴的“战场”,近些年来越来越多的作为关键词出现在了国际新闻中,例如2020年初的“美伊”冲突中,伊朗宣称收到并抵御住了历史上检测到的最大规模的网络攻击,还有联想大约十年前攻击伊朗核设施的大名鼎鼎的“震网病毒”以及其他层出不穷的网络安全事件和网络监听丑闻,不难发现如今全世界各国已经陆续将网络作为继海陆空和太空之外的又一个主要战场,而在这种日益严峻的安全形势下,互联网突飞猛进的发展又是提高国民生产力不可缺少的重要动力,因而对于网络安全的研究有着十分重要的意义和迫切性。工业控制系统(ICS,Industrial Control Systems)已成为我国现代化生产的重要支柱,其安全问题也是国家网络安全的重要组成部分,因此建立针对于ICS的综合入侵防御系统十分重要。本文针对基于机器学习算法的工控网络入侵防御系统开展了研究,主要工作及贡献如下:(1)针对传统入侵检测中静态规则检测的不够灵活以及专家规则的人力成本过高且时效性较低问题,提出了一种基于机器学习的无监督异常检测算法。在系统截取网络流量或其他行为信息数据后,首先进行简单且高速的预处理,将数据简化为向量形式,根据向量具体数据,构建出不同的树,并由这些树构成森林,根据树每个数据在树中的具体位置,经过计算得到数据的异常分数,最后根据这个异常分数判断数据是否为异常数据。由于提出的无监督机器学习算法训练不需要进行预先的数据打标处理,算法同时也适用于难以进行数据收集分类的实际ICS系统应用场景。(2)针对工业控制系统的环境特点将孤立森林算法模型改进为流模型,可以应对无限的流量同时将检测结果实时返回。改进后的算法模型是基于决策树的森林模型,在完成了初步的模型建立之后,可以将数据流引入一个缓冲区。当缓冲区中的数据满足一定条件后,采取修改树结构的方式对整个森林进行更新;在更新操作结束后,还会对过于臃肿以及检测结果偏差相对较大的部分树进行丢弃处理,同时会用最新的数据重新构建相同数量的树,保证森林中的树数量恒定。(3)设计并实现了一个入侵防御系统结构。整个入侵防御系统采用C/S模式,一个服务端可以同时监控多个客户端的安全状况。客户端agent进程主要负责对数据的采集和对异常行为的阻断或者其他处理操作,采集的数据包括宿主机的网络流量信息和部分进程行为信息。服务端会根据传回的数据进行客户端宿主机安全状况的分析,首先根据静态规则判断进行初步的判断,如果判断结果正常则将数据输入机器学习部分,进行进一步的检测分析。所有从客户端传回的数据都会被存入Elasticsearch进行备份存储,而入侵防御系统相关的数据则会被存放在Mongo数据库中。此外,入侵系统还提供一个网页管理界面系统,提供对系统整体的管理和控制功能以及对数据的可视化展示。本文设计并实现的入侵防御系统同时也是与国家某机构的合作项目中的研究成果,并已经进行了试用部署,为提升国家电网的安全防御水平起到了一定的作用。