本发明专利技术涉及一种基于多算法融合并行的再学习工业控制入侵检测方法,内容包括:采集工控网络数据并提取数据包特征,建立以时间序列的数据特征训练集,采用支持向量机以及基于单层决策树CART的Adaboost算法并行检测,将两种方法输出的数据对比后得到的差异数据再通过基于单层决策树CART的Adaboost算法进行再分类,再分类后输出的被攻击数据返回到支持向量机的训练集中再学习,经过支持向量机重新训练后分类的被攻击数据以及之前再分类后得到的正常数据整合输出。本发明专利技术相比传统基于白名单的检测方式最大程度提高对检测工业控制网络中的攻击行为的检测准确率。
【技术实现步骤摘要】
一种基于多算法融合并行的再学习工业控制入侵检测方法
:本专利技术涉及层次入侵检测
,具体涉及一种基于多算法融合并行的再学习工业控制入侵检测方法。
技术介绍
:工业控制系统(ICS)是指工业生产过程中用到的各种工业组件的统称,工业控制系统因其稳定性和耐用性已经被广泛应用在电网系统、城市交通、工厂自动化等。随着科技逐渐发展,控制系统正在越来越多地相互连接,并且目前很多工控网络都是几乎“裸奔”的状态,缺乏有效的检测手段,极易受到黑客的攻击,一旦遭受入侵攻击势必带来无法估量的损失。国际上发生了很多网络攻击的大事件,如:2010年,震网病毒入侵伊朗核电站,使得设备功能瘫痪,无法正常运行;2015年,乌克兰某些地区的电力系统遭受了网络攻击,造成大面积的停电事故,对人们生活造成极大影响。工控网络的安全极大地影响着国家安全和人们的生活安全。为了维护网络安全,入侵检测系统应运而生。现有的入侵检测方式主要以单一算法为主,样本的分类准确性欠佳,且由于样本数量差异较大,对入侵模式的分类存在不平衡分类问题。再者,传统的入侵检测方式多采用基于流量白名单的检测方法,在如今复杂的网络背景下,白名单的方式极其容易被绕过。因此,根据工业控制系统产生流量的特点,亟需一种对工控网络存在网络攻击识别率高的入侵检查方法,本案由此而生。
技术实现思路
:本专利技术的目的是提高入侵检测的准确率,故而提出一种基于多算法融合并行的再学习工业控制入侵检测方法。为了达到上述目的,本专利技术所采用的技术方案为:一种基于多算法融合并行的再学习工业控制入侵检测方法,包括以下步骤:(1)使用wireshark从工控网络中捕获网络数据包,提取数据包特征,并形成特征流,建立时间序列的数据特征集;(2)利用基于遗传算法优化的支持向量机模型以及基于单层决策树CART的Adaboost算法对数据特征集进行并行检测;将支持向量机输出的分类结果标注为被攻击数据和隐性正常数据,将Adaboost算法输出的分类结果标注为正常数据和隐性被攻击数据;(3)将正常数据与隐性正常数据对比得出存在差异的数据称为正常差异数据,将被攻击数据与隐性被攻击数据对比得出存在差异的数据称为被攻击差异数据,将正常差异数据以及被攻击差异数据一并送入另外的基于单层决策树CART的Adaboost算法中进行再分类;再分类后得到的被攻击数据返回给支持向量机进行重新训练,经过支持向量机重新训练后分类的被攻击数据以及之前再分类后得到的正常数据整合输出。进一步设置,所述步骤(1)中的数据特征集被分为正常工控网络数据集和包含攻击的工控网络数据集,包含攻击的工控网络数据集中的样本数据少于正常工控网络数据集中的样本数据。进一步设置,所述步骤(2)中的支持向量机模型检测包含攻击的工控网络数据集,基于单层决策树CART的Adaboost算法检测正常工控网络数据集。进一步设置,所述步骤(2)中基于遗传算法优化的支持向量机模型检测方法包括:(4.1)对由步骤(1)产生的数据特征集,随机生成初始种群个体;(4.2)将种群中各个基因串解码为相应核函数编号、核函数参数和错误惩罚因子C,将这三个参数代入支持向量机以训练数据;(4.3)按照适应度计算法则,计算个体适应度值;(4.4)判断是否达到终止条件,若满足终止条件则遗传优化结束,由此得到优化参数组合,使用得到的分类器模型将捕获的数据记录归为正常工控网络数据和包含攻击的工控网络数据;若不满足终止条件则依次执行(4.5)和(4.6);(4.5)执行选择算子,按照最优保存、最差取代的原则进行;(4.6)执行交叉算子和变异算子,交叉概率取0.7,变异概率取0.1,形成新一代个体后,返回(4.2)重新执行上述步骤。进一步设置,所述步骤(2)中以及步骤(3)中的基于单层决策树CART的Adaboost算法检测方法均包括以下内容:(5.1)初始化训练数据(每个样本)的权值分布:选用N个样本,每个训练的样本点刚开始都被赋予相同的权重:1/N,这些权重构成向量D;(5.2)训练弱分类器,并计算分类器的错误率,然后在统一数据上再次训练弱分类器,在第二次训练过程中,将会重新调整每个样本的权值,其中第一次分对的样本的权重会降低,分错的样本的权重会提高;(5.3)给每个弱分类器分配一个权重值alpha,alpha值α是根据每个弱分类器的错误率ε进行计算的;(5.4)在对权重向量D进行更新,使得正确分类的样本的权重降低而错分样本的权重升高;如果样本被正确分类,那么该样本的权重为;如果样本被错误分类,那么该样本的权重为;(5.5)计算出D以后,进入下一次迭代,最后得到一个强分类器为Hfinal;其中,Ht为各个弱分类器,αt为弱分类器的权重值。进一步设置,所述步骤(5.2)中,训练弱分类器CART包括如下内容:(6.1)训练数据集B,计算现有特征对训练数据集的基尼指数,此时对于每一个特征A,对其可能取得每一个值a,根据此值将训练样本切分为B1和B2两部分,然后根据下式计算A=a基尼指数;其中,Gint是一种不等性度量,介于[0,1];(6.2)在所有可能的特征以及所有可能的值里面选择基尼指数最小的特征及其切分点作为最优的特征及切分点,从结点生成两个子结点,将训练数据集分配到子结点中去;(6.3)递归调用(6.1)和(6.2)直到满足停止条件,生成决策树。本专利技术中的基于多算法融合并行的再学习工业控制入侵检测方法的有益效果在于:经过针对性的并行检测,极大的强化了数据分类效果,补足被攻击样本数量少的特点,并将首次分类有差异的数据进行再次分类,再次分类为被攻击样本的数据重新导入到支持向量机重新训练,以强化和完善数据集,从而进一步加强分类效果,提高了入侵检测结果的准确性。以下通过附图和具体实施方式对本专利技术做进一步阐述。附图说明:图1为本专利技术实施例的入侵检测方法流程图;图2为本专利技术实施例的遗传算法流程图;图3为本专利技术实施例的集成学习AdaBoost算法示意图。具体实施方式:本专利技术公开一种基于多算法融合并行的再学习工业控制入侵检测方法,下面结合图1至图3来详细介绍该方法所包含的主要内容。第一步:数据的采集以及数据特征集的建立:使用wireshark从工控网络中捕获网络数据包,提取数据包特征,并形成特征流,建立时间序列的数据特征集。在采集数据时,由于工业控制系统数据实时性高、体量大、复杂度高,具有很强的非线性关系。通过数据采集模块利用wireshark从工控网络中捕获网络数据包,并对数据进行特征提取,降低工业数据的维度,以克服工控系统的数据量大、纬度高的特点,并进一步降低后续数据建模和数据处理的复杂度。因此,在形成数据特征集时,就分为正常工控网络数据集以及包含攻击的工控网络数据集,包含攻击的工控网络数据集的样本数较少,正常工控网络数据集的样本数较多。第二步:采用两种方式并行检测,完成第一层的样本分类:采用基于遗传算法优化的支持向量机模型(SVM模型)来对包含攻击的工控网络数据集进行训练(考虑到支持向量机具有较少的计算时间,较少的数据样本即可用于训练,可以建立较精确的分类模型);采用基于单层决策树CART的Adaboost算法来对正常工控网络数据集进行训练;将支持向量机输出的分类结果标注为被攻击数据和隐性正常数据,将Adaboos本文档来自技高网...
【技术保护点】
1.一种基于多算法融合并行的再学习工业控制入侵检测方法,其特征在于:包括以下步骤:(1)使用wireshark从工控网络中捕获网络数据包,提取数据包特征,并形成特征流,建立时间序列的数据特征集;(2)利用基于遗传算法优化的支持向量机模型以及基于单层决策树CART的Adaboost算法对数据特征集进行并行检测;将支持向量机输出的分类结果标注为被攻击数据和隐性正常数据,将Adaboost算法输出的分类结果标注为正常数据和隐性被攻击数据;(3)将正常数据与隐性正常数据对比得出存在差异的数据称为正常差异数据,将被攻击数据与隐性被攻击数据对比得出存在差异的数据称为被攻击差异数据,将正常差异数据以及被攻击差异数据一并送入另外的基于单层决策树CART的Adaboost算法中进行再分类;再分类后得到的被攻击数据返回给支持向量机进行重新训练,经过支持向量机重新训练后分类的被攻击数据以及之前再分类后得到的正常数据整合输出。
【技术特征摘要】
1.一种基于多算法融合并行的再学习工业控制入侵检测方法,其特征在于:包括以下步骤:(1)使用wireshark从工控网络中捕获网络数据包,提取数据包特征,并形成特征流,建立时间序列的数据特征集;(2)利用基于遗传算法优化的支持向量机模型以及基于单层决策树CART的Adaboost算法对数据特征集进行并行检测;将支持向量机输出的分类结果标注为被攻击数据和隐性正常数据,将Adaboost算法输出的分类结果标注为正常数据和隐性被攻击数据;(3)将正常数据与隐性正常数据对比得出存在差异的数据称为正常差异数据,将被攻击数据与隐性被攻击数据对比得出存在差异的数据称为被攻击差异数据,将正常差异数据以及被攻击差异数据一并送入另外的基于单层决策树CART的Adaboost算法中进行再分类;再分类后得到的被攻击数据返回给支持向量机进行重新训练,经过支持向量机重新训练后分类的被攻击数据以及之前再分类后得到的正常数据整合输出。2.根据权利要求1所述的一种基于多算法融合并行的再学习工业控制入侵检测方法,其特征在于:所述步骤(1)中的数据特征集被分为正常工控网络数据集和包含攻击的工控网络数据集,包含攻击的工控网络数据集中的样本数据少于正常工控网络数据集中的样本数据。3.根据权利要求2所述的一种基于多算法融合并行的再学习工业控制入侵检测方法,其特征在于:所述步骤(2)中的支持向量机模型检测包含攻击的工控网络数据集,基于单层决策树CART的Adaboost算法检测正常工控网络数据集。4.根据权利要求1所述的一种基于多算法融合并行的再学习工业控制入侵检测方法,其特征在于:所述步骤(2)中基于遗传算法优化的支持向量机模型检测方法包括:(4.1)对由步骤(1)产生的数据特征集,随机生成初始种群个体;(4.2)将种群中各个基因串解码为相应核函数编号、核函数参数和错误惩罚因子C,将这三个参数代入支持向量机以训练数据;(4.3)按照适应度计算法则,计算个体适应度值;(4.4)判断是否达到终止条件,若满足终止条件则遗传优化结束,由此得到优化参数组合,使用得到的分类器模型将捕获的数据记录...
【专利技术属性】
技术研发人员:洪榛,陈焕,俞立,
申请(专利权)人:浙江理工大学,浙江工业大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。