The invention discloses an intrusion detection model of industrial control network based on automatic establishment method, including: first determine the intrusion detection model is in accordance with the requirements, the default detection if not, real-time extraction of communication behavior of traffic data; according to the communication flow data set of training data set and test data set according to the training data; in creating the initial intrusion detection model; using the test data set on the initial intrusion detection model is tested, the test results meet the requirements of the second to create the preset detection model based on Intrusion detection. The detection accuracy of the second intrusion detection model is high, so as to improve the intrusion detection rate of abnormal behavior and reduce the false alarm rate and false alarm rate.
【技术实现步骤摘要】
本申请涉及一种基于工业控制网络的入侵检测模型的自动建立方法及装置,属于工业控制网络安全防护
技术介绍
工业控制系统(IndustrialControlSystems,以下简称ICS)是由计算机设备与工业过程控制部件组成的自动控制系统,其广泛运用于工业、能源、交通、石油化工等工业基础领域。由于ICS越来越多的与企业网和互联网相连,形成了一个开放式的网络环境,因此ICS的网络安全防护技术对于保障ICS的安全、可靠和稳定运行具有重要的意义。目前主要采用入侵检测技术保障ICS的网络安全。入侵检测是一种主动的安全防护技术,通过提取ICS中的通信流量数据特征,并对其分析,以检测出异常的行为操作,并在异常行为产生危害之前进行拦截、报警、系统恢复等操作。现有技术中,根据网络通信流量数据建立入侵检测模型,然后一直利用该入侵检测模型进行异常行为的入侵检测,而工业通信是实时的,通信行为的流量数据也是持续变化的,因此现有技术的入侵检测的误报率和漏报率较高。
技术实现思路
根据本申请的一个方面,提供了一种基于工业控制网络的入侵检测模型的自动建立方法,该方法得到的入侵检测模型的检测精度高,从而提高了异常行为的入侵检测率,降低了误报率和漏报率。一种基于工业控制网络的入侵检测模型的自动建立方法,包括:判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;根据所述通信行为流量数据设置训练数据集和测试数据集;根据所述训练数据集创建初始入侵检测模型;利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。其中,所述预 ...
【技术保护点】
一种基于工业控制网络的入侵检测模型的自动建立方法,其特征在于,包括:判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;根据所述通信行为流量数据建立训练数据集和测试数据集;根据所述训练数据集创建初始入侵检测模型;利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。
【技术特征摘要】
1.一种基于工业控制网络的入侵检测模型的自动建立方法,其特征在于,包括:判断第一入侵检测模型是否符合预设的检测要求,如果否,实时提取通信行为流量数据;根据所述通信行为流量数据建立训练数据集和测试数据集;根据所述训练数据集创建初始入侵检测模型;利用所述测试数据集对所述初始入侵检测模型进行测试,根据测试结果创建符合预设检测要求的第二入侵检测模型。2.根据权利要求1所述的方法,其特征在于,所述预设的检测要求包括检测率阈值、检测时间阈值、误报率阈值和/或漏报率阈值。3.根据权利要求1或2所述的方法,其特征在于,所述实时提取通信行为流量数据之后,还包括:对实时提取的通信行为流量数据进行属性约简。4.根据权利要求3所述的方法,其特征在于,所述对实时提取的通信行为流量数据进行属性约简,具体为:采用RST对实时提取的通信行为流量数据进行属性约简。5.一种基于工业控制网络的入侵检测模型的自动建立装置,其特征在于,所述装置包括:判断模块,提取模块,设置模块,第一创建模块,第二创建模块;所述判断模块,用于判断第...
【专利技术属性】
技术研发人员:曾鹏,尚文利,赵剑明,万明,安攀峰,
申请(专利权)人:中国科学院沈阳自动化研究所,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。