基于ATT&CK框架的工控入侵检测方法及系统

本发明实施例提供一种基于ATT&CK框架的工控入侵检测方法及系统，属于入侵检测技术领域。所述方法包括：收集并标准化所需的相关数据，复现各攻击技术，以生成初始攻击检测规则；将攻击事件信息与初始攻击检测规则进行对比，识别攻击行为；识别误报和/或漏报的攻击行为，作为优化攻击行为目标，并对各优化攻击行为目标执行迭代地优化攻击检测规则，获得优化攻击行为集；基于优化攻击行为集和对应的攻击事件信息构建知识图谱，并基于所述知识图谱执行入侵实时监测。本发明方案实现了自动化的攻击行为检测与优化，大大提升了对工业控制系统入侵攻击的防御能力，同时通过不断迭代优化，确保了攻击检测的精准性和实时性。