基于深度学习的工控异常检测及攻击分类方法技术

技术编号:21142188 阅读:17 留言:0更新日期:2019-05-18 05:28
本发明专利技术公开了基于深度学习的工控异常检测及攻击分类方法,基于马氏距离的工控流量特征映射方法;该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵;通过分析现有异常检测方法的不足,使用卷积神经网络模型进行检测及分类。同时,考虑到工业控制系统各种特征之间关系的特点,提出了一种基于马氏距离的特征映射方法,将一维流数据转换为用作CNN输入的二维矩阵。该方法在2分类问题和多分类问题上均表现出优异的性能,满足SCADA异常检测和攻击分类的预期要求,为维护工业控制系统的安全提供了帮助。

【技术实现步骤摘要】
基于深度学习的工控异常检测及攻击分类方法
本专利技术涉及工业控制网络
,特别涉及一种基于深度学习的工控异常检测及攻击分类方法。
技术介绍
工业控制系统(IndustrialControlSystems,ICS)是由计算机设备与工业过程控制部件组成的自动控制系统,在铁路,石化和电力等关键基础设施领域发挥着重要作用。随着工业信息化进程的不断进行,工业控制系统的封闭性逐渐被打破,越来越多的信息和计算机技术被广泛应用于工业控制领域。这使得工业控制系统被恶意程序或者网络攻击破坏的风险大大增加,可能对国家基础设施造成破坏并带来重大经济损失。由于资源条件受限和环境相对封闭等原因,工业控制系统在最初设计时并没有充分考虑到可能存在网络安全隐患。随着现代ICS和信息技术的发展,潜在的安全问题逐渐暴露出来。为了使工业过程稳定可靠地运行,ICS需要在必要时加以保护。为解决工控网络的信息安全问题,学术界和工业界都在积极的寻找合适的解决方案。传统的信息系统解决方案已作为早期防御方法应用于工业控制系统。然而,这些措施无法在高实时性和资源约束条件下充分预测和控制。近年来,工业控制系统的异常检测和安全保护在世界范围内得到了广泛的研究。工控异常检测方法的原理主要是通过测量当前行为与正常行为之间的偏差来识别恶意模式。目前常用的方法为:基于知识的异常检测方法,基于统计的异常检测方法和基于机器学习的异常检测方法。基于知识的异常检测方法在正常运行情况下分析系统状态,行为模式或协议规范,并建立检测规则,以便它可以检测不符合规范的攻击,其不足在于无法检测符合正常行为规范的潜在攻击;基于统计的异常检测方法通常使用分析和统计相关方法来分析工业控制系统的参数并建立系统的正常行为轮廓,但该方法无法精确利用数据的内部关系,同时,入侵者可以训练检测系统将入侵视为正常行为;基于机器学习算法的异常检测方法在一定程度上可以提高工业控制环境中异常行为检测的准确性,对建立智能高效的入侵检测模型具有重要意义,但是随着工业大数据时代的来临,工控网络数据集的规模不断增大,传统的机器学习方法的检测性能逐渐降低,计算成本也在不断上升。除了上述所述的不足之处以外,将异常行为检测简单认为二元分类问题也是远远不够的。为了实现在发生网络攻击时快速定位攻击来源,并及时进行对控制系统状态的缓解和恢复,从而尽可能的减少各类损失,有必要对工控网络的异常模式进行更加详细的划分。因此,在以上研究目标的推动下,本专利技术提出了将深度学习技术应用于工控网络异常检测和攻击分类的方法。
技术实现思路
为了解决上述问题,本专利技术提出了基于深度学习的工控异常检测及分类方法。首先使用基于马氏距离(Mahalanobis)的特征映射方法,将深度学习中的经典方法——卷积神经网络方法应用在对SCADA系统的异常检测及攻击分类中。本专利技术能够有效实现对工业控制系统网络异常流量的检测以及对不同种类攻击的精确分类。本专利技术提出了一种基于深度学习的工控异常检测及分类方法,所使用的模型是卷积神经网络模型。同时,考虑到工业控制系统网络流量的各种特征之间具有较强相关性的特点,提出了一种基于马氏距离的特征映射方法。本专利技术提出的特征映射方法可将一维流数据转换为可用作卷积神经网络模型输入的二维矩阵。本专利技术在2分类问题和多分类问题上均表现出优异的性能,能够满足SCADA异常检测和攻击分类的预期要求,可以为工业控制系统的安全提供帮助。附图说明图1是本专利技术的总体结构示意图。图2是本专利技术所使用卷积神经网络模型的结构示意图。图3是本专利技术所使用的模型训练及异常检测流程示意图。具体实施方式以下将结合附图所示的具体实施方式对本专利技术进行详细描述。本专利技术基于深度学习的异常检测及分类方法的整体结构示意图如图1所示,包括:基于马氏距离的工控流量特征映射方法。该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,可以将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵。步骤1.将第i个工控网络数据流xi表示为其中m是每个数据流中包含的特征变量数目。并且表示第i个工控数据流中的第l个特征的值。步骤2.为了充分利用第i个网络流特征向量中不同特征之间的相关性,将xi转换为m行m列的矩阵。矩阵的具体的转换方法为:其中Im是m阶对角矩阵,是xi的转置矩阵,表示第i个工控数据流中的第l个特征的值。显然,矩阵Xi的各对角线元素是m维特征的值。步骤3.利用m维向量表示矩阵Xi的每一列:其中,在这里,代表矩阵Xi中第j行第p列的取值。因此,矩阵Xi可以用m个m维向量表示为:其中,代表矩阵的第j个向量。步骤4.计算矩阵Xi的协方差矩阵并获得其逆矩阵:∑-1与Coh(Xi)-1均表示Xi的协方差矩阵的逆矩阵。表示第m个向量与第k个向量求协方差。步骤5.将流特征向量的不同特征之间的相关性由马氏距离定义如下:其中,表示第j个和第k个特征之间的马氏距离。最终,第i个工业数据流可以表示为对称矩阵MHDxi,该对称矩阵第m行m列的元素全部为零:通过上述所提出的特征映射方法,本专利技术实现了原始一维工业数据流到二维矩阵的映射。经过映射的矩阵可用作卷积神经网络的输入,作为后续离线训练和在线检测的基础。本专利技术所使用模型的结构示意图如图2所示,包括:本专利技术基于所生成的流量数据灰度图的特征,改进了经典卷积神经网络——LeNet-5的架构。改进主要考虑到两个方面:首先,根据通过特征映射获得的灰度图像大小,将网络的输入层设计为26×26像素。其次,考虑到多分类的输出要求,对输出层中的节点数进行修改。本专利技术所使用的CNN将原始的26×26×1大小的图像作为输入,并且卷积层C1利用大小为3×3的六个内核执行卷积操作以获得六个24×24大小的特征映射。子采样层S2将C1层的输出作为输入,并使用2×2大小的窗口对6个图像进行池化,以获得6个12×12的特征映射。卷积层C3的内核大小与C1的大小相同,但使用预先训练的16个通道进行卷积运算,因此结果是16个大小为10×10的特征映射。子采样层S4仍然使用2×2大小的窗口汇集16个输入,并且结果是16个5×5大小的特征映射。该架构的最后两层是全连接层,用于把网络前面部分提取到的高级特征综合起来。全连接层所设置的节点数量以LeNet-5为参考,分别为120和84,最终输出节点的数量为8。本专利技术所使用的卷积神经网络架构使用Softmax函数实现多分类,使用dropout函数用于防止模型的过拟合,使用非线性激活函数ReLU将稀疏性引入神经网络,降低其他复杂激活函数中诸如指数函数的影响;同时活跃度的分散性使得神经网络整体计算成本下降。本专利技术模型训练及异常检测流程示意图如图3所示,包括以下步骤:步骤1.收集原始工业控制系统的过程数据流并进行处理。将SCADA数据集划分为训练数据集和测试数据集,并执行特征映射操作。步骤2.初始化卷积神经网络。依据图2所示的体系结构搭建卷积神经网络模型,并进行网络相关参数的初始化操作。步骤3.离线训练卷积神经网络模型。将训练数据输入到检测模型中,并通过训练自动确定卷积神经网络的每一层的权重系数。步骤4.测试卷积神经网络模型。训练完成后,将测试数据输入到训练好的卷积神经网络中以对SCADA流量进行分类并确定每个度量是否高于阈值。如本文档来自技高网
...

【技术保护点】
1.基于深度学习的工控异常检测及攻击分类方法,其特征在于:包括,基于马氏距离的工控流量特征映射方法;该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵;步骤1.将第i个工控网络数据流xi表示为

【技术特征摘要】
1.基于深度学习的工控异常检测及攻击分类方法,其特征在于:包括,基于马氏距离的工控流量特征映射方法;该方法考虑到工业控制系统的实际情况,利用特征之间的马氏距离进行相关性度量,将原始的一维流数据转换为用作卷积神经网络模型输入的二维矩阵;步骤1.将第i个工控网络数据流xi表示为其中m是每个数据流中包含的特征变量数目;并且表示第i个工控数据流中的第l个特征的值;步骤2.为了充分利用第i个网络流特征向量中不同特征之间的相关性,将xi转换为m行m列的矩阵;矩阵的具体的转换方法为:其中Im是m阶对角矩阵,是xi的转置矩阵,表示第i个工控数据流中的第l个特征的值;显然,矩阵Xi的各对角线元素是m维特征的值;步骤3.利用m维向量表示矩阵Xi的每一列:其中,在这里,代表矩阵Xi中第j行第p列的取值;因此,矩阵Xi可以用m个m维向量表示为:其中,代表矩阵的第j个向量;步骤4.计算矩阵Xi的协方差矩阵并获得其逆矩阵:∑-1与Coh(Xi)-1均表示Xi的协方差矩阵的逆矩阵;表示第m个向量与第k个向量求协方差;步骤5.将流特征向量的不同特征之间的相关性由马氏距离定义如下:其中,表示第j个和第k个特征之间的马氏距离;最终,第i个工业数据流表示为对称矩阵MHDxi,该对称矩阵第m行m列的元素全部为零:通过特征映射方法,实现了原始一维工业数据流到二维矩阵的映射;经过映射的矩阵用作卷积神经网络的输入,作为后续离线训练和在线检测的基础。2.根据权利要求1所述的基于深度学习的工控异常检测及攻击分类方法,其特征在于:所使用模型的结构包括基于所生成的流量数据灰度图的特征,改进了经典卷积神经网络——LeNet-5的架构;改进主要考虑到两个方面:首先,根据通过特征映射获得的灰度图像大小,将网络的输入层设计为26×26像素;其次,考虑到多分类的输出要求,对输出层...

【专利技术属性】
技术研发人员:赖英旭张靖雯刘静
申请(专利权)人:北京工业大学
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1